Gestion des risques

La Recommandation du Conseil de l’OCDE sur l’intégrité publique appelle les adhérents à « appliquer un cadre interne de contrôle et de gestion des risques pour protéger l’intégrité au sein des entités du secteur public, notamment :

a) en garantissant un environnement de contrôle assorti d’objectifs clairs qui démontrent l’attachement des responsables à l’intégrité publique et aux valeurs du service public, cet environnement offrant un niveau d’assurance raisonnable quant à l’efficience et aux résultats de l’entité et à sa conformité avec les lois et les usages ;

b) en garantissant une approche stratégique de la gestion des risques qui consiste notamment à évaluer les risques pour l’intégrité publique, à combler les lacunes en matière de contrôle (en particulier en intégrant des dispositifs d’avertissement dans les processus d’importance critique) et à développer un mécanisme efficient de suivi et d’assurance-qualité du système de gestion des risques ;

c) en veillant à ce que les mécanismes de contrôle soient cohérents et intègrent des procédures clairement définies qui permettent de donner suite aux soupçons fondés de violation de la législation et de la réglementation, et en facilitant le signalement des abus aux autorités compétentes sans crainte de représailles ».

Questions d'auto-évaluation :

1. Les politiques gouvernementales de gestion des risques sont-elles explicitement axées sur la gestion des risques liés à l’intégrité ?

Les politiques et les normes de gestion des risques à l’échelle gouvernementale ne mettent pas explicitement l’accent sur la gestion des risques liés à l’intégrité.

Le centre du gouvernement (CdG) ou un autre organe compétent a élaboré des normes de contrôle interne et de gestion des risques en mettant explicitement l’accent sur la gestion des risques liés à l’intégrité. Toutefois, les normes ne sont pas formalisées ni communiquées.

Le CdG ou un autre organe compétent définit et harmonise les normes et les politiques de contrôle interne et de gestion des risques à l’échelle de l’administration, en mettant explicitement l’accent sur les risques liés à l’intégrité. Il existe une surveillance systémique pour s’assurer que l’encadrement supérieur établit un environnement de contrôle fondé sur l’intégrité. De plus, les différentes entités gouvernementales qui partagent la responsabilité de la mise en œuvre des normes (par exemple, le CdG, les institutions d’audit, les unités centrales d’harmonisation et les organes d’intégrité ou de lutte contre la corruption) ont des rôles et des responsabilités clairement définis pour garantir un environnement de contrôle cohérent.

2. Existe-t-il des orientations à l’échelle du gouvernement pour aider les gestionnaires à gérer et à évaluer les risques liés à l’intégrité ?

Aucune orientation n’est fournie à l’échelle du gouvernement pour aider les gestionnaires à gérer et à évaluer les risques liés à l’intégrité.

Le CdG ou un autre organe compétent a élaboré des orientations pour aider les gestionnaires à gérer et à évaluer les risques liés à l’intégrité, mais celles-ci ne sont pas largement diffusées ou communiquées.

Le CdG ou un autre organe compétent fournit des orientations pour aider les gestionnaires à gérer et à évaluer les risques liés à l’intégrité. Celles-ci sont distribuées et communiquées à l’ensemble du gouvernement, et soutenues par des modules de formation génériques sur la gestion des risques.

Le CdG ou un autre organe compétent fournit des orientations pour aider les gestionnaires à gérer et à évaluer les risques liés à l’intégrité. Celles-ci sont diffusées et communiquées à l’ensemble de l’administration. Afin d’aborder les différents niveaux de capacité et d’expertise en matière de gestion des risques liés à l’intégrité, l’orientation et la formation sont ciblées et spécifiques à chaque secteur.

3. Existe-t-il des politiques, des orientations et des mécanismes à l’échelle du gouvernement pour signaler et répondre aux violations potentielles en matière d’intégrité ?

Il n’existe pas de politiques, d’orientations ou de mécanismes permettant de signaler les violations potentielles en matière d’intégrité ni d’y répondre au sein du gouvernement.

Le CdG ou un autre organe compétent a établi des politiques et des orientations qui imposent le signalement et la prise en charge des éventuelles violations en matière d’intégrité. Toutefois, la communication de ces politiques et orientations est limitée. Il n’existe aucun mécanisme de signalement des violations présumées.

Le CdG ou un autre organe compétent a établi des politiques et des orientations pour signaler et répondre aux violations présumées en matière d’intégrité, et une communication efficace de ces politiques et orientations est en place. Des mécanismes centralisés ont été mis en place à l’intention des agents publics et du public pour signaler les violations présumées, mais les délais de réaction sont longs, la coordination médiocre et les résultats des actions de suivi ne sont pas communiqués.

Les politiques et les orientations pour signaler et répondre aux violations présumées en matière d’intégrité sont bien établies et communiquées à l’ensemble du gouvernement. Des mécanismes centralisés existent à l’intention des agents publics et du public pour signaler les violations présumées, et les signalements sont traités dans les délais, la coordination est efficace et les résultats des actions de suivi sont communiqués aux organes gouvernementaux concernés.

4. Existe-t-il des politiques à l’échelle du gouvernement qui exigent que les fonctions d’audit interne fournissent une assurance sur la gestion des risques liés à l’intégrité ?

Il n’existe pas de politiques exigeant que les fonctions d’audit interne fournissent une assurance sur la gestion des risques liés à l’intégrité.

Le CdG ou un autre organe compétent a élaboré des politiques pour les fonctions d’audit interne afin de fournir une assurance sur la gestion des risques liés à l’intégrité. Toutefois, les rôles et les responsabilités des fonctions d’audit interne en matière d’assurance de la gestion des risques liés à l’intégrité restent flous.

Le CdG ou un autre organe compétent a élaboré des politiques pour les fonctions d’audit interne afin de fournir une assurance sur la gestion des risques liés à l’intégrité dans les organismes du secteur public. Les rôles et les responsabilités des fonctions d’audit interne en matière d’assurance de la gestion des risques liés à l’intégrité sont clairs, mais il existe peu d’orientations sur la façon d’assumer ces rôles et responsabilités, et aucun mécanisme de coordination n’existe pour partager les connaissances.

Le CdG ou un autre organe compétent a élaboré des politiques pour les fonctions d’audit interne afin de fournir une assurance sur la gestion des risques liés à l’intégrité dans les organismes du secteur public. Les rôles et les responsabilités des fonctions d’audit interne en matière d’assurance de la gestion des risques liés à l’intégrité sont clairs, et des orientations sont en place pour soutenir ces rôles et responsabilités. Des mécanismes de coordination efficaces existent dans l’ensemble du gouvernement entre les fonctions d’audit interne pour le partage des connaissances et la promotion d’approches cohérentes.

5. Les politiques de gestion des risques au niveau de l’organisation sont-elles explicitement axées sur la gestion des risques liés à l’intégrité ?

La politique de gestion des risques n’est pas explicitement axée sur la gestion des risques liés à l’intégrité.

Il existe une politique de gestion des risques assortie d’objectifs spécifiques pour la gestion des risques liés à l’intégrité. Les rôles et les responsabilités sont définis, mais donnent un rôle de premier plan à la fonction d’audit interne pour évaluer les risques liés à l’intégrité plutôt qu’aux gestionnaires. La politique de gestion des risques n’est pas liée à des objectifs organisationnels plus larges et est mal communiquée. Les politiques ne sont pas révisées ou mises à jour pour suivre l’évolution des risques et les changements dans l’environnement externe et interne.

Il existe une politique de gestion des risques qui inclut la gestion des risques liés à l’intégrité. Les politiques de gestion des risques liés à l’intégrité sont clairement reliées à des objectifs organisationnels plus larges et sont largement diffusées. Les politiques définissent clairement les rôles et les responsabilités en matière d’évaluation des risques liés à l’intégrité. Les gestionnaires des risques liés à l’intégrité relèvent directement de l’encadrement supérieur. Les rôles et responsabilités de la fonction d’audit interne et des gestionnaires sont clairement définis et conformes aux normes internationales. Les politiques sont révisées et mises à jour de manière ponctuelle pour suivre l’évolution des risques et les changements de l’environnement externe et interne.

Il existe une politique de gestion des risques qui inclut la gestion des risques liés à l’intégrité et qui est reliée à des objectifs institutionnels plus généraux. Les rôles et les responsabilités en matière de gestion et d’évaluation des risques liés à l’intégrité sont clairement définis, avec des gestionnaires qui dirigent la gestion des risques liés à l’intégrité et une fonction d’audit interne qui joue un rôle d’assurance. Les gestionnaires relèvent directement de l’encadrement supérieur. Les politiques et pratiques de gestion des risques sont communiquées et connues dans toute l’organisation afin de promouvoir la responsabilité de chacun dans la gestion proactive des risques liés à l’intégrité à tous les niveaux. Les politiques sont régulièrement révisées et mises à jour pour suivre l’évolution des risques et les changements dans l’environnement externe et interne.

6. L’organisme public évalue-t-il les risques liés à l’intégrité ?

L’organisation évalue des risques, mais pas spécifiquement les risques liés à l’intégrité.

L’organisation évalue les risques liés à l’intégrité, mais les évaluations sont ponctuelles et largement considérées comme des exercices de conformité (c’est-à-dire des formalités). Dans la mesure où des évaluations des risques liés l’intégrité sont effectuées, leur portée est limitée et incomplète. Les outils d’analyse des risques et de documentation des résultats des évaluations des risques sont peu développés ou inexistants. Il existe peu ou pas de supports d’orientation ou de possibilités de formation sur l’identification et l’évaluation des risques, et aucun personnel spécialisé n’est en place.

L’organisation évalue périodiquement les risques liés à l’intégrité. Les évaluations des risques liés à l’intégrité prennent en compte les risques inhérents et résiduels, ainsi que les risques dans l’environnement interne et externe. Les évaluations des risques sont proactives, vont au-delà des approches de vérification, et comprennent une analyse de l’efficacité des activités de contrôle. Cependant, les niveaux de tolérance des risques sont mal définies et ne sont pas prises en compte lors des analyses de risque. L’organisation utilise efficacement les outils d’analyse et de documentation des résultats des évaluations des risques, tels que les cartographies, les registres et les profils de risques. En général, les évaluations des risques sont principalement qualitatives et basées sur les perceptions. Les résultats des évaluations des risques sont utilisés pour éclairer les modifications de l’environnement de contrôle, mais ne sont pas largement diffusés au sein de l’organisation.

L’organisation évalue régulièrement les risques liés à l’intégrité, en tenant compte des risques inhérents et résiduels ainsi que des risques dans l’environnement interne et externe. Les évaluations des risques tiennent également compte des risques émergents pertinents pour les objectifs organisationnels et de l’environnement de contrôle. Des critères de risque sont définis pour chaque catégorie de risque, y compris la fraude et la corruption. Les critères sont étayés par des niveaux de tolérance des risques définis. Des méthodes qualitatives et quantitatives sont utilisées pour effectuer les évaluations des risques (c’est-à-dire des registres et des tableaux de bord automatisés). Il existe des outils appropriés (c’est-à-dire des programmes d’analyse des données et des outils informatiques) et des modèles qui facilitent l’évaluation des risques. Les résultats des évaluations des risques sont utilisés pour éclairer la prise de décision en matière de gestion, l’évaluation des performances et les modifications de l’environnement de contrôle. Les résultats des évaluations des risques liés à l’intégrité sont largement diffusés au sein de l’organisation.

7. Des procédures et des mécanismes clairs ont-ils été mis en place pour le signalement et la réponse aux violations potentielles de l’intégrité au sein de l’organisation ?

Il n’existe pas de procédures ou de mécanismes permettant de signaler les violations potentielles de l’intégrité au sein de l’organisation.

Il existe des mécanismes de signalement, avec des mesures de protection de l’anonymat. Les mécanismes ne font cependant pas bien l’objet d’une communication et les procédures ne sont pas claires. Des responsabilités sont attribuées à une unité ou à une personne pour répondre aux signalements de violations potentielles de l’intégrité, mais la capacité à remplir ces rôles est limitée.

Il existe des mécanismes de signalement pour les agents publics, avec des mesures de protection de l’anonymat. Les mécanismes sont font l’objet d’une communication et des procédures claires sont en place. Les mécanismes de signalement mis à la disposition du public sont limités. Les orientations décrivent la marche à suivre en cas de suspicion de violation de l’intégrité, y compris les enquêtes internes et le signalement aux services de répression. Une unité ou une personne se voit attribuer la responsabilité de répondre aux signalements de violations potentielles de l’intégrité, et dispose de moyens suffisants pour traiter les signalements. La coordination et la communication avec les parties prenantes concernées, notamment les régulateurs, les forces de l’ordre, les responsables de l’éthique ou autres, sont limitées.

Des mécanismes de signalement sont en place, avec des lignes de communication distinctes établies et accessibles aux agents publics et au public (par exemple, des lignes téléphoniques dédiées pour les questions d’éthique et les lanceurs d’alerte, des rapports internes). Des garanties sont en place pour protéger l’anonymat ainsi que la confidentialité tout au long du processus. Les orientations décrivent la marche à suivre en cas de suspicion de violation de l’intégrité, y compris les enquêtes internes et le signalement aux services de répression. Les mesures de sensibilisation encouragent activement le signalement des violations présumées de l’intégrité. L’équipe chargée de recevoir et de répondre aux signalements dispose de ressources et d’orientations suffisantes. Les affaires sont résolues de manière efficace et efficiente. Une coordination et une communication régulières ont lieu avec les parties prenantes concernées, notamment les régulateurs, les services de répression, les responsables des questions d’éthique ou autres.

8. La fonction d’audit interne fournit-elle une assurance en matière de gestion des risques liés à l’intégrité au sein de l’organisation ?

La fonction d’audit interne ne fournit pas d’assurance en matière de gestion des risques liés à l’intégrité dans l’organisation.

La fonction d’audit interne fournit une assurance limitée en matière de gestion des risques liés à l’intégrité. Les audits ont rarement, voire jamais, des objectifs spécifiques liés à la gestion des risques liés à l’intégrité.

La fonction d’audit interne fournit une assurance raisonnable relative à la gestion des risques liés à l’intégrité par des audits réguliers. La fonction d’audit interne détermine la portée de l’audit interne, effectue le travail et communique les résultats, et ce en toute indépendance. La fonction d’audit interne guide la direction dans sa réponse aux risques et soutient activement la sensibilisation aux risques liés à l’intégrité. Elle s’appuie sur les travaux d’autres organes de contrôle, tels que les institutions supérieures de contrôle des finances publiques ou d’autres fonctions d’audit interne, et se coordonne avec eux, pour évaluer les risques liés à l’intégrité.

La fonction d’audit interne fournit une assurance raisonnable sur la gestion des risques liés à l’intégrité par des audits réguliers ; et elle détermine la portée de l’audit interne, effectue le travail et communique les résultats en toute indépendance. La fonction d’audit interne guide la direction dans sa réponse aux risques et contribue à l’identification des risques, sans, toutefois, diriger l’évaluation des risques. Elle s’appuie sur les travaux d’autres organes de contrôle, tels que les institutions supérieures de contrôle des finances publiques ou d’autres fonctions d’audit interne, et se coordonne avec eux, pour évaluer les risques liés à l’intégrité.