Audit des stratégies d'atténuation des risques organisationnels - Avril 2025
Division de l’audit interne et de l’évaluation
Sur la recommandation du Comité ministériel d’audit, soumis à l’approbation du directeur des poursuites pénales le 24 mars 2025.
Approuvé par le directeur des poursuites pénales le 24 avril 2025.
© Sa Majesté le Roi du chef du Canada, 2025
No de catalogue : J79-38/2025F-PDF
ISBN : 978-0-660-76653-9
Tables des matiéres
- Sommaire
- Constatations et recommandations – Capacité
- Constatations et recommandations – Sécurité du personnel
- Plan d'action de la direction
- Annexe A - Renseignements sur l'audit
- Annexe B - Liste des acronymes/abréviations
Sommaire
Contexte
Le Profil de risque organisationnel (PRO) du Service des poursuites pénales du Canada (SPPC) est le résultat d’un exercice visant à identifier les risques pouvant affecter la réalisation des objectifs de l’organisme, à définir les stratégies d’atténuation de ces risques et à décrire les cycles officiels de surveillance et de production de rapports en matière de gestion des risques.
Le gouvernement doit accroître sa capacité d’évaluer, de communiquer et de gérer les risques, afin de susciter la confiance à la fois au sein du gouvernement et auprès du publicNote de base de page A.
Dans son PRO, qui fait l’objet d’un examen et d’une mise tous les deux ans, le SPPC a identifié les principaux risques organisationnels et défini les stratégies d’atténuation à mettre en œuvre. Bien que le PRO 2024 soit en cours d’élaboration, la haute direction souhaite obtenir l’assurance de l’efficacité des stratégies d’atténuation définies dans le PRO 2020-2022, en particulier en ce qui concerne les risques liés à la sécurité du personnel et à la capacité.
L’Audit des stratégies d’atténuation des risques organisationnels, réalisé par la Division de l’audit interne et de l’évaluation, vise à fournir cette assurance, conformément au plan d’audit axé sur les risques qui a été approuvé.
Objectif
L’Audit vise à déterminer si les stratégies d’atténuation identifiées dans le PRO 2020‑2022 ont été mises en œuvre et si elles permettent d’atténuer efficacement les risques identifiés.
Conclusions
Bien que des stratégies d’atténuation ont été élaborées et partiellement mises en œuvre, il est nécessaire d’utiliser une terminologie définie dans les résultats attendus. Améliorer la responsabilité peut faciliter la mise en œuvre en temps opportun des stratégies d’atténuation. La définition de mesures de référence permettra de déterminer à quel point les stratégies d’atténuation définies peuvent réduire efficacement les risques identifiés, à un niveau jugé acceptable par l’organisme.
Bien que la sensibilisation aide les employés à comprendre les politiques et les mesures liées à leur sécurité, elle ne garantit pas que les politiques et les outils mis en place permettront de gérer efficacement les risques identifiés ou que les employés les adopteront. Le fait de ne pas tenir compte de la sécurité des mandataires dans les stratégies d’atténuation, de ne pas assurer un suivi des progrès adéquat et de ne pas établir clairement les stratégies d’atténuation à mettre en place auprès du responsable de risque nuit à la capacité de l’organisme d’atténuer efficacement les risques.
Recommandations
Le directeur général principal des Services ministériels, en collaboration avec le ou les responsables de risque, doit consigner et mettre en œuvre des stratégies d’atténuation des risques bien définies et associées à des mesures de référence, en adoptant une approche de surveillance fondée sur les risques, qui permet de garantir la responsabilisation quant à la mise en œuvre en temps opportun des stratégies définies et d’évaluer l’efficacité de celles-ci pour réduire les risques identifiés à un niveau jugé acceptable par l’organisme.
Constatations et recommandations – Capacité
Ce à quoi nous nous attendions
Nous nous attendions à ce que le SPPC ait mis en œuvre des stratégies d’atténuation permettant de gérer efficacement les risques liés à la capacité.
Constatations
Dans le PRO 2020-2022 du SPPC, l’insuffisance de la capacité interne a été identifiée parmi les principaux risques, en soulignant l’incapacité à recruter du personnel en temps opportun ou de recruter les personnes possédant les compétences requises pour répondre aux besoins actuels et futurs de l’organisme. Six stratégies d’atténuation des risques ont été définies :
- examiner les structures organisationnelles afin de veiller à ce que les ressources nécessaires à la réalisation du mandat du SPPC soient en place, de manière à ce que le travail soit attribué au bon groupe et au bon niveau;
- améliorer la prévision des besoins au moyen de la planification des RH et de l’analyse des données relatives aux effectifs, notamment les taux d’attrition, les données sur les groupes désignés en matière d’emploi, etc., afin de mettre en œuvre des stratégies de recrutement et de planification de la relève pour les postes clés dans les domaines de la gestion et de l’administration et dans les domaines juridique et fonctionnel;
- faire mieux connaître le SPPC par des activités de sensibilisation proactives (salons de l’emploi, événements à l’échelle de la fonction publique, etc.);
- développer et mettre sur pied un plan d’action pour adresser le biais et la discrimination systématique avec l’objectif de créer et maintenir un milieu du travail divers et inclusif. Le plan y comprendra le recrutement ainsi que le développement et avancement des employés;
- effectuer une analyse de la capacité en matière de langues officielles au sein du SPPC et élaborer une stratégie ministérielle et un plan d'action pour combler les lacunes;
- moderniser la culture d’apprentissage et de perfectionnement, renforcer la capacité de supervision et de gestion grâce à l’initiative du Réseau des superviseurs et les programmes de perfectionnement, et encourager la formation polyvalente pour accroître la capacité dans les rôles spécialisés.
De manière générale, nous avons constaté que sur les six stratégies d’atténuation des risques définies, deux ont été entièrement mises en œuvre, trois l’ont été partiellement et une ne l’a pas été. Cependant, nous n’avons pas été en mesure de déterminer si les stratégies définies ont permis d’atténuer efficacement les risques identifiés, en raison de ce qui suit :
- il a été difficile de déterminer si les résultats attendus ont été atteints, étant donné la terminologie imprécise utilisée dans la formulation des énoncés d’atténuation des risques et l’absence de mesures de référence;
- certaines activités de mise en œuvre ont été réalisées après la date cible de 2020-2022, aussi tard qu’en 2024.
- Sans responsabilisation claire au moyen d’un suivi, il arrive que les stratégies d’atténuation ne soient pas mises en œuvre en temps opportun et que, en conséquence, les risques identifiés demeurent à un niveau jugé trop élevé par la direction.
Conclusion
Bien que des stratégies d’atténuation ont été élaborées et partiellement mises en œuvre, il est nécessaire d’utiliser une terminologie définie dans les stratégies d’atténuation et les résultats attendus. Améliorer la responsabilité peut faciliter la mise en œuvre en temps opportun des stratégies d’atténuation des risques. La prise en compte de mesures de référence permettra de déterminer si les stratégies d’atténuation définies permettent de réduire les risques à un niveau jugé acceptable par l’organisme.
Constatations et recommandations – Sécurité du personnel
Ce à quoi nous nous attendions
Nous nous attendions à ce que le SPPC ait mis en œuvre des stratégies d’atténuation permettant de gérer efficacement les risques liés à la sécurité du personnel.
Constatations
Dans le PRO 2020-2022 du SPPC, la sécurité du personnel a été identifiée parmi les principaux risques, étant donné que les employés et les mandataires peuvent être exposés à des menaces et à de l’intimidation en raison de la nature de leur travail de procureur. La stratégie d’atténuation suivante a été définie en vue d’atténuer les risques identifiés :
- mettre en œuvre la stratégie de sensibilisation à la sécurité à long terme visant à améliorer la position de l’organisation dans les domaines de la sécurité physique, de la sécurité de l’information et de la sécurité du personnel.
Nous n’avons pas examiné les éléments liés à la sécurité de l’information, puisque ceux-ci ne font pas partie du cadre du présent audit et en raison de travaux d’audit réalisés récemment
Bien que nous ayons constaté que la Stratégie de sensibilisation à la sécurité à long terme (la Stratégie) des Services de sécurité était mentionnée dans le cadre de la priorité 1 et à l’annexe 4 du Plan de sécurité stratégique 2021-2024 et que la mise en œuvre des activités d’atténuation des risques faisait l’objet d’un suivi dans le contexte de la priorité 1 du Plan d’activités opérationnel 2021-2024, les Services de sécurité n’ont pas clairement défini en quoi consiste la Stratégie, en raison, notamment, du départ du précédent directeur des Services de sécurité.
Nous avons constaté ce qui suit relativement aux cinq activités d’atténuation des risques prévues pour 2020‑2022 dans la Stratégie :
- les activités de la Semaine de la sensibilisation à la sécurité ont été mises en œuvre et ont eu lieu en 2022;
- une présence accrue a été assurée sur iNet et du contenu lié à la sécurité y a été ajoutéNote de base de pageB, mais pas aux autres plateformes;
- le cours de sensibilisation à la sécurité (A230) a été rendu obligatoire; cependant, l’audit a révélé que seuls 57 % des employés ont obtenu un certificat attestant qu’ils ont réussi le cours, et aucun suivi n’a été assuré à cet égard par le responsable de risque;
- le plan visant la mise en œuvre de ratissages de sécurité dans l’ensemble de l’organisme était toujours en cours en novembre 2024;
- nous n’avons pas pu vérifier la mise en œuvre d’une des activités d’atténuation, en raison de l’absence de réponse du responsable de risque désigné.
En outre, la Stratégie ne traite pas de la sécurité des mandataires, bien que celle-ci fasse l’objet de l’énoncé de risque formulé dans le PRO 2020-2022. Les activités d’atténuation des risques susmentionnées ne mettent l’accent que sur la sécurité des employés du SPPC.
Conclusion
Bien que la sensibilisation aide les employés à comprendre les politiques et les mesures liées à leur sécurité, elle ne garantit pas que les politiques et les outils mis en place permettront de gérer efficacement les risques identifiés ou que les employés les adopteront. Le fait de ne pas tenir compte de la sécurité des mandataires dans les stratégies d’atténuation, de ne pas assurer un suivi des progrès adéquat et de ne pas établir clairement les stratégies d’atténuation à mettre en place auprès du responsable de risque nuit à la capacité de l’organisme d’atténuer efficacement les risques.
Recommandation 1
Le directeur général principal des Services ministériels, en collaboration avec le ou les responsables de risque, doit consigner et mettre en œuvre des stratégies d’atténuation des risques bien définies et associées à des mesures de référence, en adoptant une approche de surveillance fondée sur les risques, qui permet de garantir la responsabilisation quant à la mise en œuvre en temps opportun des stratégies définies et d’évaluer l’efficacité de celles-ci pour réduire les risques identifiés à un niveau jugé acceptable par l’organisme. (Moyen)
Plan d’action de la direction
| No | Recommandation | Risque | Plan d’action de la direction | Bureau de première responsabilité | Date cible |
|---|---|---|---|---|---|
| 1 | Le directeur général principal des Services ministériels, en collaboration avec le ou les responsables de risque, doit consigner et mettre en œuvre des stratégies d’atténuation des risques bien définies et associées à des mesures de référence, en adoptant une approche de surveillance fondée sur les risques, qui permet de garantir la responsabilisation quant à la mise en œuvre en temps opportun des stratégies définies et d’évaluer l’efficacité de celles-ci pour réduire les risques identifiés à un niveau jugé acceptable par l’organisme. | Moyen |
La gestion est d’accord avec la recommandation. En vue des prochains exercices sur les risques organisationnels, l’unité de Planification stratégique et mesure du rendement (PSMR) recueillera les principaux risques et les stratégies d’atténuation auprès des responsables de risque. Les responsables de risque devront s’assurer que les stratégies d’atténuation sont assorties de mesures de référence clairement définies et mesurables. L’unité de PSMR établira un plan de surveillance axé sur les risques afin d’assurer le suivi des progrès réalisés en matière de mise en œuvre. Les responsables de risque devront évaluer à nouveau les risques et les comparer aux mesures de référence définies afin de déterminer à quel point les stratégies d’atténuation sont efficaces pour réduire les risques à un niveau jugé acceptable. Des responsabilités assorties d’échéances seront attribuées pour garantir la responsabilisation, et des examens réguliers seront effectués pour modifier les stratégies, au besoin. |
Directeur général principal, Services ministériels |
Décembre 2025 |
Annexe A - Renseignements sur l'audit
Énoncé d’assurance
L’audit a été effectuée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes, à la politique et à la directive du Conseil du Trésor sur l’audit interne, comme en témoignent les résultats de l’évaluation externe de l’assurance de la qualité.
Portée
Le présent audit porte sur les risques identifiés dans le PRO 2020-2022 liés à la sécurité du personnel et à la capacité, ainsi que sur les stratégies d’atténuation connexes.
La Division de l’audit interne et de l’évaluation a réalisé l’Audit des stratégies d’atténuation des risques organisationnels, conformément au plan d’audit axé sur les risques 2024-2025 et 2025-2026, qui ont été approuvés par le directeur des poursuites pénales, le 18 juin 2024. Les phases de planification et d’examen de l’Audit ont été réalisées d’octobre à décembre 2024.
Méthodologie
Les activités suivantes s’inscrivent dans la méthodologie appliquée :
- entrevues menées auprès de la direction des Services de sécurité et des Ressources humaines;
- examen et analyse des données et des politiques, pratiques et procédures consignées et des documents organisationnels connexes.
Critères de l’audit
- Des stratégies d’atténuation ont été mises en œuvre et permettent de gérer efficacement les risques liés à la sécurité du personnel.
- Des stratégies d’atténuation ont été mises en œuvre et permettent de gérer efficacement les risques liés à la capacité.
Annexe B - Liste des acronymes/abréviations
- PRO
- Profil de risque organisationnel
- PSMR
- Planification stratégique et mesure du rendement
- SPPC
- Service des poursuites pénales du Canada
- Date de modification :