E.4 Politique d’évaluation en continu des risques de l’Équipe de la revue des pratiques et de l’audit interne
-
La présente politique décrit l’approche appliquée en continu par l’Équipe de la revue des pratiques et de l’audit interne (RPAI) pour surveiller, identifier et suivre les risques au Bureau du vérificateur général du Canada (BVG ou Bureau) dans le cadre de l’évaluation des risques de la RPAI. Cette politique permet à l’Équipe de la RPAI de déterminer l’incidence possible des risques sur son plan de travail original.
Processus actuel d’évaluation annuelle des risques de la RPAI
-
L’Équipe de la RPAI réalise une évaluation annuelle des risques pour déterminer les secteurs de risque sur lesquels elle devrait se pencher dans le cadre de ses activités d’audit interne. Le plan d’audit fondé sur les risques est établi comme suit :
-
L’Équipe de la RPAI définit le plan d’audit en relevant les activités auditables, puis en organisant ensuite l’univers d’audit selon les activités de base du Bureau (tous les secteurs des pratiques et des services) de manière à garantir une couverture d’audit complète. Pour chacun des secteurs de l’univers d’audit, l’équipe examine les risques recensés à l’aide de leurs registres des risques respectifs. Les registres des risques des services corporatifs, du groupe des pratiques et du groupe des services du Bureau recensent les principaux risques à surveiller et à gérer pour que le Bureau s’acquitte de ses engagements et réalise ses objectifs. Le cadre du Bureau permet d’évaluer les risques et de les classer selon les catégories de risques suivantes : stratégiques, de non‑conformité et opérationnels.
-
Les membres de l’Équipe de la RPAI assistent aux séances des chefs des services et des responsables des pratiques avec l’Équipe de gestion des risques dans le but d’observer, d’évaluer et d’obtenir des précisions au besoin.
-
L’Équipe de la RPAI classe les risques comme étant faibles ou élevés et tient compte des mesures d’atténuation en place pour chacun des secteurs des pratiques et des services. Les risques qui sont communiqués au Conseil de direction du Bureau pour faire l’objet d’un suivi permanent sont considérés pour les besoins de l’équipe comme étant faibles et ne sont pas soumis à d’autres examens puisque la direction prend les mesures qui s’imposent. L’Équipe de la RPAI examine également tous les secteurs pris ensemble pour cerner les risques communs à plusieurs secteurs de service. Ces risques sont considérés comme étant élevés.
-
-
En plus de procéder à une évaluation annuelle, l’Équipe de la RPAI surveille l’évolution du contexte de risques en ce qui a trait à la gouvernance, à la gestion des risques et à l’environnement de contrôle au BVG. L’Équipe da RPAI renseignera le vérificateur général et les membres du Comité d’audit périodiquement, au besoin.
-
Voici la participation actuelle de l’Équipe de la RPAI au sein de comités du BVG :
| Membre de l’Équipe de la RPAI | Nom du comité ou de la réunion officielle sur les risques prévue et rôle joué | Fréquence |
|---|---|---|
| Dirigeant principal de l’audit interne (DPAI) | Conseil de direction (observateur | Une fois par semaine – Une heure Une fois par mois – une journée |
| DPAI | Comité d’audit (ressource technique | Au moins quatre fois par année |
| DPAI | Comité directeur de la pratique d’audit de performance | Une fois par semaine |
| DPAI et directeurs | Forum de discussion des PX/DX sur l’audit annuel | Une fois par mois |
| Directeur, audit annuel | Réseau des champions de l’audit annuel (observateur) | Toutes les six semaines environ |
| Directeur, mission d’appréciation directe | Forum des directeurs de l’audit de performance | Une fois par mois |
| Directeur | Comité de la santé et de la sécurité au travail | Au moins neuf fois par année |
| Directeur, audit annuel | DX – audit annuel | Aux deux semaines |
| DPAI | PX – audit de performance | Aux deux semaines |
| DPAI | PX – audit annuel | Aux deux semaines |
| DPAI | CCVL – Revue des pratiques | Trimestriellement |
| DPAI | Réunions du DPAI | Selon les besoins, mais au moins une fois par année |
| DPAI | Comité de surveillance de la pratique d’audit de performance | Selon les besoins |
| DPAI | Comité de surveillance de l’audit annuel | Selon les besoins |
| DPAI | Rencontre individuelle avec le vérificateur général | Au moins une fois par trimestre, avant la réunion du Comité d’audit |
Approche d’évaluation en continu des risques
-
Afin d’évaluer les risques en continu, l’approche décrite ci-dessus (voir Processus actuel d’évaluation annuelle des risques mené de la RPAI) a été modifiée pour tenir compte des facteurs abordés lors de réunions de comités ou d’autres réunions. À l’heure actuelle, l’Équipe de la RPAI se rencontre une fois par semaine pour discuter des tâches et des projets en cours et d’autres sujets de ce genre. Chaque réunion dure 1,5 heure.
-
Afin de mieux surveiller les risques, nous avons ajouté récemment un point permanent à l’ordre du jour pour discuter de l’évaluation des risques.
-
Nous nous servons du modèle élaboré pour notre exercice annuel de planification des risques comme point de départ à la discussion. Les questions à étudier sont les suivantes :
-
Y a-t-il des risques qui se sont aggravés (plus élevés) depuis l’évaluation antérieure?
-
De nouveaux risques, qui n’ont pas été évalués par le passé, sont-ils portés à notre attention?
-
Est-ce que certains des risques importants déjà recensés ont évolué ou estimons-nous que la direction prend inutilement des risques au moment de gérer ces risques?
-
-
Une réponse positive à l’une de ces trois questions entraînera l’ajout ou la modification d’un risque dans l’analyse des facteurs de risque à examiner. La priorité accordée au risque déterminera les prochaines étapes.
-
Par exemple, l’équipe pourrait avoir à effectuer des recherches supplémentaires pour déterminer la nature et l’ampleur du risque, les mesures d’atténuation des risques requises, etc.
-
Après avoir mené des recherches suffisantes, l’Équipe de la RPAI peut, si elle a relevé un risque important pour lequel il n’y a pas de mesures d’atténuation ou des mesures insuffisantes, proposer un projet pour approfondir l’analyse de la situation. Une discussion avec le vérificateur général et les membres du Comité d’audit aura lieu, qui pourrait aboutir à une lettre de recommandations ou à un audit interne.
- Mise à jour :
- 2018-03-28