Printemps 2019 — Rapports du vérificateur général du Canada au Parlement du Canada Rapport des auditeurs indépendantsRapport des co-auditeurs au Conseil d’administration de la Banque de développement du Canada — Examen spécial — 2018

Printemps 2019 — Rapports du vérificateur général du Canada au Parlement du CanadaRapport des co-auditeurs au Conseil d’administration de la Banque de développement du Canada — Examen spécial — 2018

Rapport des auditeurs indépendants

Ce rapport est une reproduction du rapport d’examen spécial remis par les co-auditeurs à la Banque de développement du Canada le 3 décembre 2018. Le Bureau n’a pas fait de travail d’audit de suivi sur les enjeux soulevés dans ce rapport reproduit.

Introduction

Information générale

1. Fondée en 1974 pour favoriser l’entrepreneuriat au Canada, la Banque de développement du Canada axe ses efforts particulièrement sur les petites et moyennes entreprises. Elle rend compte au Parlement par l'intermédiaire du ministre de la Petite Entreprise et de la Promotion des exportations.

2. La Banque est une société d’État fédérale financièrement autonome qui dessert plus de 56 000 propriétaires de petites et moyennes entreprises. Elle a trois grands types d’activités d’affaires :

La pièce 1 présente des renseignements sur les activités d’affaires de la Banque et ses revenus.

Pièce 1 — Principales activités commerciales de la Banque de développement du Canada

Pièce 1 — Principales activités commerciales de la Banque de développement du Canada
Activité d’affaires Valeur (en millions de dollars)
2016 2017 2018
Financement — Engagement total envers les clients 23 818 26 711 28 532
Services d’investissement — Engagement total envers les clients 1 995 2 184 2 460
Revenus provenant des services-conseils 17 20 20
Résultat net consolidé 538 465 818

Source : Banque de développement du Canada, Rapport annuel 2018

3. Pour donner suite à la demande du gouvernement du Canada d’augmenter les investissements dans le secteur des technologies propres (Initiative des technologies propres), la Banque a lancé en décembre 2017 l’Initiative visant la croissance des entreprises du secteur des technologies propres (Initiative technologies propres). Cette initiative apporte une aide financière aux entreprises de technologies propres prometteuses. Elle est dotée d’un budget de 700 millions de dollars, qui se compose d’une contribution de 600 millions de dollars du gouvernement et de 100 millions de dollars provenant de la Banque, pour la période allant de 2018 à 2022.

4. En 2015, le Bureau du surintendant des institutions financières a formulé un certain nombre de recommandations après avoir examiné les activités de la Banque. La Banque a donné suite à ces recommandations en définissant un plan d’action pluriannuel qu’elle s’emploie, depuis, à mettre en œuvre. Le plan porte essentiellement sur des pratiques et des politiques relatives à la gouvernance et à la gestion des risques. La Banque prévoit avoir terminé la mise en œuvre du plan d’action d’ici le 31 mars 2019.

5. Au cours des dernières années, la Banque a aussi lancé diverses initiatives de réaménagement en vue d’améliorer la prestation des services, surtout grâce aux nouvelles technologies.

6. Pour s’acquitter de son mandat et réussir à instaurer des changements, la Banque compte en grande partie sur la qualité de ses ressources humaines, sur sa capacité à attirer et à garder des employés compétents et expérimentés, de même que sur ses programmes de perfectionnement professionnel destinés au personnel.

Objet de l’audit

7. Notre audit visait à déterminer si les moyens et les méthodes de la Banque de développement du Canada que nous avons sélectionnés aux fins de l’examen lui fournissaient l’assurance raisonnable que ses actifs étaient protégés et contrôlés, que ses ressources étaient gérées avec efficience et économie et que ses activités étaient menées avec efficacité, comme l’exige l’article 138 de la Loi sur la gestion des finances publiques.

8. De plus, aux termes de l’article 139 de la Loi sur la gestion des finances publiques, nous devons exprimer une opinion, à savoir si, compte tenu des critères établis, il y avait une assurance raisonnable que les moyens et méthodes que nous avons examinés ne comportaient pas de défaut grave. Un défaut grave est signalé lorsque les moyens et méthodes examinés n’ont pas satisfait aux critères établis. Cela donne alors lieu à une constatation selon laquelle la Banque pourrait ne pas avoir l’assurance raisonnable que ses actifs sont protégés et contrôlés, que ses ressources sont gérées avec efficience et économie, et que ses activités sont menées avec efficacité.

9. En nous fondant sur notre évaluation des risques, nous avons sélectionné les moyens et méthodes dans les secteurs suivants :

Les moyens et méthodes sélectionnés et les critères appliqués pour les évaluer sont présentés dans différentes pièces tout au long du rapport.

10. La section intitulée À propos de l’audit, à la fin du présent rapport, donne des précisions sur l’objectif, l’étendue, la méthode et les sources des critères de l’audit.

Constatations, recommandations et réponses

Message général

11. Dans l’ensemble, nous avons constaté qu’il n’y avait aucun défaut grave dans les moyens et les méthodes de la Banque de développement du Canada. Nous avons constaté que la Banque avait des moyens et des méthodes pour assurer la prestation de ses services de financement et d’investissement et de ses services-conseils aux petites et moyennes entreprises. Nous avons cependant noté que l’échelle de rémunération totale du président et chef de la direction était inférieure à celle de certains postes de cadres supérieurs. Nous avons aussi constaté que la Banque s’employait à donner suite aux recommandations formulées dans le rapport d’examen de 2015 du Bureau du surintendant des institutions financières, qui portaient sur ses méthodes de gestion des risques, notamment dans le secteur de la validation des modèles financiers et de risque ainsi que dans celui de la gestion du risque lié aux technologies de l’information.

Méthodes de gestion organisationnelle

12. La Banque est régie par un Conseil d’administration composé de treize membres. Le Conseil bénéficie de l’appui des six comités suivants :

13. La planification stratégique constitue une responsabilité qui doit être exercée en continu par une société. Elle est essentielle pour définir des objectifs à court et à long terme, pour identifier les principaux risques et pour déterminer des indicateurs pour les résultats attendus. Dans le budget de 2017, le gouvernement du Canada a alloué un nouveau financement de 600 millions de dollars à la Banque pour son Initiative technologies propres, qui devait être intégré dans le tout dernier exercice de planification de la Banque. Ces fonds s’ajoutaient aux 100 millions fournis par la Banque.

14. La Banque doit pouvoir compter sur des moyens et méthodes de gestion des risques pour assurer la viabilité de ses activités et s’acquitter de son mandat. Une fonction interne solide pour la gestion des risques devrait examiner d’un œil critique les activités des divers secteurs et contribuer à l’efficacité de la gestion des risques et des processus décisionnels. De bonnes méthodes de gestion des risques favorisent la réalisation des objectifs de la Banque. Celle-ci est exposée à des risques stratégiques, à des risques d’atteinte à la réputation, à des risques de crédit, ainsi qu’à divers risques opérationnels et financiers. La gestion des risques opérationnels porte aussi sur le risque technologique, notamment la planification de la continuité des activités, la planification de la gestion d’événements perturbateurs et les mesures visant à garantir la sécurité des technologies de l’information.

15. Dans le cadre de leurs méthodes de gestion des risques, les institutions financières rédigent un énoncé sur l’appétit pour le risque. Cet énoncé décrit le niveau et le type de risque qu’une organisation est prête à accepter avant de mettre en œuvre des mesures d’atténuation ou de réduction des risques. Le niveau global de tolérance aux pertes d’une organisation s’établit selon des limites et des seuils, qui sont attribués aux différents secteurs d’activité de l’organisation. Les divers risques englobent le risque stratégique, le risque opérationnel et les risques liés aux activités d’affaires (par exemple aux activités de prêt et d’investissement en capital de risque de la Banque). Une fois les seuils et les limites définis, l’organisation doit régulièrement évaluer et surveiller sa situation par rapport à ceux-ci afin de s’assurer que l’appétit pour le risque de l’ensemble de l’organisation n’a pas été outrepassé et que des mesures correctives sont prises au besoin.

La rémunération du président et chef de la direction était inférieure à celle de certains postes de cadres supérieurs, et la gestion du risque de la Banque présentait des faiblesses

16. Nous avons constaté que la Banque de développement du Canada avait de bonnes méthodes de gouvernance d’entreprise, de planification stratégique, d’évaluation du rendement et de communication des résultats. Nous avons cependant constaté que l’échelle de rémunération totale du président et chef de la direction était inférieure à celle de certains postes de cadres supérieurs de l’organisation. Nous avons aussi constaté qu’il y avait des faiblesses dans les méthodes de gestion des risques de la Banque : elle n’avait pas encore terminé la validation de ses modèles financiers et de ses modèles de risque et elle ne disposait pas d’un plan officiel de gestion des risques pour les technologies de l’information.

17. Notre analyse à l’appui de cette constatation porte sur :

18. Nos recommandations relativement au secteur examiné sont présentées aux paragraphes 23, 24, 29 et 32.

19. Analyse — Nous avons constaté que la Banque disposait de bonnes méthodes de gouvernance d’entreprise. Cependant, l’échelle de rémunération totale du président et chef de la direction était inférieure à celle de certains postes de cadres supérieurs (voir la pièce 2).

Pièce 2 — Gouvernance d’entreprise : Principales constatations et évaluation

Pièce 2 — Gouvernance d’entreprise : Principales constatations et évaluation
Moyens et méthodes Critères Principales constatations Évaluation en fonction des critères établis

Indépendance du Conseil d’administration

Le Conseil d’administration fonctionnait de manière indépendante.

La Banque avait des chartes pour son Conseil d’administration et ses comités, des procédures de gestion des conflits d’intérêts, ainsi qu’un code de conduite pour les administrateurs qui les obligeait à rester indépendants de la direction.

Les administrateurs ont déclaré tout conflit d’intérêts lors des réunions du Conseil d’administration et dans une déclaration annuelle.

Le Conseil d’administration et ses comités se sont régulièrement réunis en privé sans les membres de la direction.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Établissement d’une orientation stratégique

Le Conseil d’administration a établi une orientation stratégique.

Le Conseil d’administration a activement participé à la définition de l’orientation stratégique de la Banque.

Le Conseil d’administration a défini des objectifs pour le président et chef de la direction, qui étaient conformes à l’orientation stratégique de la Banque. Le Conseil a par ailleurs évalué le rendement du président et chef de la direction par rapport à ces objectifs.

Le Conseil d’administration a collaboré avec la direction de la Banque en vue de définir un cadre de gouvernance et de gestion pour les opérations et les activités menées dans le cadre de la nouvelle Initiative technologies propres.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Surveillance par le Conseil d’administration (y compris la planification de la relève pour les postes de président et d’autres cadres supérieurs, et la surveillance des initiatives de transformation)

Le Conseil d’administration a rempli son rôle de surveillance de la Banque.

La structure organisationnelle du Conseil d’administration reflétait la nature et la complexité de ses activités et de ses responsabilités.

La structure du Conseil d’administration a récemment été réaménagée par l’ajout d’un nouveau comité chargé de l’Initiative technologies propres, ce qui concorde avec les nouvelles responsabilités de la Banque.

Les membres du Conseil d’administration ont reçu l’information nécessaire pour examiner les décisions de manière critique et les orienter, et pour prendre des décisions.

Des audits internes ont été réalisés et leurs résultats ont été communiqués régulièrement au Comité de la vérification.

Le Conseil d’administration a commencé à établir des plans pour assurer la relève du président et chef de la direction et d’autres membres de direction.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Nomination et compétences des membres du Conseil d’administration

Les membres du Conseil d’administration possédaient collectivement les capacités et les compétences nécessaires pour s’acquitter de leurs responsabilités.

Le Conseil d’administration a défini les compétences et l’expertise dont il avait besoin pour être efficace et il a vérifié si les administrateurs possédaient les compétences et les connaissances voulues pour s’acquitter de leurs responsabilités.

Les membres du Conseil d’administration ont suivi des séances d’orientation et ont eu l’occasion d’assister à des cours de formation.

Le Conseil d’administration a eu accès à des experts externes et y a eu recours pour combler, au besoin, les lacunes dans son profil de compétences et d’expertise.

Le Conseil d’administration a communiqué avec le ministre de tutelle au sujet de la nomination des administrateurs, du renouvellement de sa composition et des vacances de poste.

Le Conseil d’administration fonctionnait avec un effectif complet, et la durée des mandats des administrateurs était étalée dans le temps pour favoriser la continuité.

Faiblesse

L’échelle de rémunération totale du président et chef de la direction était devenue inférieure à celle de certains postes de cadres supérieurs.

Le point d’exclamation dans un cercle jaune signifie « Satisfait aux critères, mais des améliorations s’imposent »

Légende — Évaluation en fonction des critères établis

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Satisfait aux critères

Le point d’exclamation dans un cercle jaune signifie « Satisfait aux critères, mais des améliorations  s’imposent »

Satisfait aux critères, mais des améliorations s’imposent

Le signe négatif dans un cercle rouge signifie « Ne satisfait pas aux critères »

Ne satisfait pas aux critères

20. Faiblesse — Nomination et compétences des membres du Conseil d’administration — Nous avons constaté que l’échelle de rémunération totale du président et chef de la direction était devenue inférieure à celle de certains postes de cadres supérieurs. L’échelle de rémunération totale du président et chef de la direction est fixée par le gouverneur en conseilDéfinition i, en fonction d’une échelle salariale établie en 2012. Les échelles de rémunération totale pour les postes de cadres supérieurs sont quant à elles établies par le Conseil d’administration, en fonction des normes en vigueur sur le marché.

21. Cette faiblesse est importante parce que cet écart salarial pourrait limiter la capacité de la Banque à attirer et à retenir des candidats qualifiés pour le poste de président et chef de la direction, ce qui pose un risque pour la gestion de la Banque.

22. Nous avons aussi constaté que la Banque n’avait pas divulgué publiquement la rémunération versée aux membres de la direction, notamment dans son rapport annuel. Or, la rémunération constitue l’une des plus importantes dépenses de fonctionnement de la Banque. Publier la rémunération des membres de la direction ou les échelles des salaires favoriserait la transparence et serait conforme aux pratiques généralement en vigueur au sein de l’administration publique et du secteur financier. La publication de cette information aiderait aussi les parties prenantes à mieux comprendre les structures de la rémunération et les problèmes connexes.

23. Recommandation — La Banque de développement du Canada devrait se concerter avec son ministre de tutelle et le Bureau du Conseil privé au sujet de la rémunération du président et chef de la direction.

Réponse de la Banque — Recommandation acceptée. La Banque de développement du Canada examinera cet enjeu et communiquera avec le ministre responsable et le Bureau du Conseil privé, selon le cas. Il s’agira d’obtenir l’assurance que la Banque pourra attirer et retenir des personnes qualifiées pour occuper le poste de président et chef de la direction.

24. Recommandation — La Banque de développement du Canada devrait envisager de divulguer son cadre de rémunération et le montant total de la rémunération associée aux postes de la haute direction (par exemple dans son rapport annuel) conformément aux pratiques en vigueur dans l’administration publique et le secteur financier.

Réponse de la Banque — Recommandation acceptée. La Banque de développement du Canada effectuera un examen des informations publiées annuellement sur le cadre de rémunération et la rémunération totale des postes de haute direction.

25. Analyse — Nous avons constaté que la Banque disposait de méthodes efficaces dans les secteurs de la planification stratégique, de la mesure du rendement et de la communication des résultats (voir la pièce 3).

Pièce 3 — Planification stratégique, mesure du rendement et communication des résultats : Principales constatations et évaluation

Pièce 3 — Planification stratégique, mesure du rendement et communication des résultats : Principales constatations et évaluation
Moyens et méthodes Critères Principales constatations Évaluation en fonction des critères établis

Processus de planification stratégique

La Banque a établi un plan stratégique et des objectifs stratégiques qui sont en phase avec son mandat.

La Banque disposait de processus de planification stratégique.

La Banque a pris en compte son environnement interne et externe, ses forces et ses faiblesses sur le plan de la compétitivité, ainsi que les principaux risques auxquels elle était exposée.

La Banque a défini des objectifs stratégiques qui concordaient avec son mandat législatif, son mandat d’intérêt public et les priorités du gouvernement.

Le plan d’entreprise a été diffusé dans l’ensemble de l’organisation.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Mesure du rendement

La Banque a établi des indicateurs de rendement qui appuient l’atteinte des objectifs stratégiques.

La Banque a établi des mesures de rendement (indicateurs de rendement clés et cibles connexes). Elle a utilisé ces mesures pour évaluer les progrès réalisés en continu en vue d’atteindre les objectifs stratégiques, et pour surveiller ses activités.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Surveillance du rendement et rapports sur le rendement

La Banque a surveillé les progrès réalisés à l’égard de ses objectifs stratégiques et en a rendu compte.

La Banque a communiqué ses résultats à l’interne au Conseil d’administration et à la haute direction, et à l’externe dans son rapport annuel.

Les activités de suivi des progrès réalisés en vue d’atteindre les objectifs stratégiques ont favorisé la prise de décisions en temps opportun.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Légende — Évaluation en fonction des critères établis

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Satisfait aux critères

Le point d’exclamation dans un cercle jaune signifie « Satisfait aux critères, mais des améliorations  s’imposent »

Satisfait aux critères, mais des améliorations s’imposent

Le signe négatif dans un cercle rouge signifie « Ne satisfait pas aux critères »

Ne satisfait pas aux critères

26. Analyse — Durant notre examen, la Banque s’employait à actualiser ses politiques et méthodes de gestion des risques afin de donner suite aux recommandations du Bureau du surintendant des institutions financières. Nous avons constaté qu’il y avait des faiblesses dans la validation des modèles financiers et des modèles d’atténuation des risques ainsi que dans la gestion du risque lié aux technologies de l’information (voir la pièce 4).

Pièce 4 — Gestion du risque d’entreprise : Principales constatations et évaluation

Pièce 4 — Gestion du risque d’entreprise : Principales constatations et évaluation
Moyens et méthodes Critères Principales constatations Évaluation en fonction des critères établis

Gouvernance en matière de gestion des risques, et identification et évaluation des risques

La Banque a identifié et évalué les risques qu’elle doit gérer pour atteindre ses objectifs stratégiques.

La Banque avait une Politique de gestion des risques de l’entreprise, qui définissait les principes de la gestion des risques, les rôles et responsabilités, l’appétit pour les risques et les activités de gestion des risques.

La Banque avait une structure de gouvernance selon laquelle les comités chargés de la gestion des risques faisaient rapport à la fois au Conseil d’administration et à la haute direction.

La Banque a récemment instauré un registre des risques dans lequel étaient consignés les risques, les résultats d’évaluation de leur incidence et de leur probabilité de survenance, ainsi que les mesures d’atténuation pour chaque risque.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Atténuation des risques

La Banque a défini et pris des mesures pour atténuer les risques.

La Banque avait un énoncé sur l’appétit pour le risque pour ses grandes catégories de risque. Cet énoncé indiquait la tolérance au risque (seuils et limites) et fournissait des directives sur l’élaboration de stratégies d’atténuation des risques.

La Banque a récemment mis en œuvre une version améliorée de son processus d’évaluation interne de la suffisance du capital, qui a permis d’évaluer les besoins en capital.

La Banque disposait d’un processus pour diffuser l’énoncé sur l’appétit pour le risque d’entreprise dans l’ensemble de l’organisation.

Faiblesse

La Banque n’avait pas encore validé tous ses modèles financiers et ses modèles de risques en vue de confirmer leur fiabilité.

Le point d’exclamation dans un cercle jaune signifie « Satisfait aux critères, mais des améliorations s’imposent »

Surveillance des risques et communication de l’information à cet égard

La Banque a surveillé la mise en œuvre des mesures d’atténuation des risques et a communiqué de l’information à cet égard.

Des rapports sur la gestion intégrée du risque ont été remis tous les trimestres aux comités de gestion des risques du Conseil d’administration et de la direction de la Banque, ainsi qu’au Comité de direction de l’entreprise.

Les rapports contenaient des renseignements détaillés sur les principaux risques. Ils dressaient la liste des risques (notamment les risques opérationnels) et évaluaient ceux-ci par rapport aux seuils de tolérance aux risques et aux limites approuvés.

La haute direction et le Conseil d’administration de la Banque ont utilisé le rapport sur le processus d’évaluation interne de la suffisance du capital pour faire le suivi des besoins en capital et de la suffisance du capital.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Continuité des activités, plan de gestion des événements perturbateurs, plan de reprise des activités, plan de résilience et sécurité des technologies de l’information (TI)

La Banque avait des systèmes informatiques qui étaient disponibles et accessibles au besoin, et qui pouvaient résister à une attaque et se remettre en marche après une défaillance.

La Banque avait défini un plan général de continuité des activités et des plans distincts pour tous les processus opérationnels et lieux d’activité clés. De plus, un plan de continuité des activités des TI a été élaboré pour les centres de données de la Banque. Les plans ont été régulièrement actualisés et testés.

La Banque a procédé à diverses évaluations de la sécurité informatique, notamment à des évaluations de la vulnérabilité pour les applications mobiles, à des évaluations des solutions d’infonuagique, à des évaluations des contrôles généraux informatiques, à des campagnes de sensibilisation à l’hameçonnage et à des simulations de cyberattaques.

Faiblesse

La Banque n’avait pas encore de plan officiel de gestion des risques liés aux TI décrivant tous les systèmes et processus informatiques et les données, et indiquant ceux qui étaient essentiels ou exposés à des risques élevés.

Le point d’exclamation dans un cercle jaune signifie « Satisfait aux critères, mais des améliorations s’imposent »

Gestion du risque lié au portefeuille de prêts

La Banque avait un cadre de gestion des risques lui permettant d’identifier, d’évaluer, d’atténuer, et de surveiller le risque lié au portefeuille de prêts et d’en rendre compte.

Les politiques de gestion du risque de crédit étaient documentées et communiquées et elles étaient conformes à l’appétit pour le risque établi par la Banque.

Pour son portefeuille de prêts, la Banque avait un énoncé sur l’appétit pour le risque qui définissait des critères qualitatifs ainsi que des seuils et des limites quantitatifs. La Banque disposait de processus pour garantir l’exercice d’une diligence raisonnable lors de l’identification et de l’évaluation des risques avant l’octroi des prêts.

Les décisions relatives aux opérations de crédit et d’investissement ont été prises après l’exercice d’une diligence raisonnable et la réalisation d’une évaluation du risque, et selon un modèle de tarification ajusté en fonction du risque.

La Banque a surveillé les risques liés au portefeuille de prêts et les a communiqués à la haute direction mensuellement et trimestriellement.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Gestion des risques liés au portefeuille de placements en capital de risque

La Banque avait un cadre de gestion des risques qui lui a permis d’identifier, d’évaluer, d’atténuer et de surveiller le risque lié au portefeuille de placements en capital de risque et d’en rendre compte.

Pour son portefeuille de placements en capital de risque, la Banque avait un énoncé sur l’appétit pour le risque qui définissait des critères qualitatifs ainsi que des seuils et des limites quantitatifs. La Banque disposait de processus pour garantir l’exercice d’une diligence raisonnable lors de l’identification et de l’évaluation des risques avant de faire un placement.

Il y avait des renseignements suffisants pour appuyer la mise en œuvre de l’énoncé sur l’appétit pour le risque.

La Banque a identifié, évalué, géré et surveillé les risques liés au portefeuille de placements en capital de risque. Elle a communiqué ces risques à la haute direction tous les trimestres.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Légende — Évaluation en fonction des critères établis

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Satisfait aux critères

Le point d’exclamation dans un cercle jaune signifie « Satisfait aux critères, mais des améliorations  s’imposent »

Satisfait aux critères, mais des améliorations s’imposent

Le signe négatif dans un cercle rouge signifie « Ne satisfait pas aux critères »

Ne satisfait pas aux critères

27. Faiblesse — Atténuation des risques — Nous avons constaté que, conformément aux méthodes propres à son secteur d’activité, la Banque s’était fondée sur des modèles financiers et des modèles de risques pour prendre des décisions. Elle a appliqué ces modèles pour évaluer et gérer les risques en calculant les cotes de crédit des emprunteurs, pour déterminer la valeur des prêts, pour quantifier les pertes potentielles et pour établir les réserves. Tout modèle devrait être soumis régulièrement à des tests de validation pour confirmer sa fiabilité. La Banque a récemment approuvé une directive générale sur les risques liés aux modèles, qui contient une liste des modèles appliqués. Elle avait aussi commencé à valider les modèles selon le calendrier prévu dans la directive. La Banque n’avait toutefois pas terminé de valider tous ses modèles financiers et ses modèles de risque.

28. Cette faiblesse est importante parce que les modèles qui n’ont pas été soumis à une validation pourraient incidemment produire de l’information peu fiable pour appuyer la prise de décisions. Cela pourrait exposer la Banque à des pertes imprévues ou à une pénurie de capitaux.

29. Recommandation — La Banque de développement du Canada devrait procéder à la validation de ses modèles conformément à sa directive générale sur les risques liés aux modèles.

Réponse de la Banque — Recommandation acceptée. Comme cela est indiqué dans ce rapport d’audit, la Banque de développement du Canada s’est dotée d’une directive générale sur les risques liés aux modèles. Cette directive comporte une liste de tous les modèles, un processus d’évaluation des risques liés aux modèles (qui sont cotés en fonction de critères de complexité et d’importance relative) et un calendrier de validation des modèles (qui a été établi en fonction des cotes de risque expliquées précédemment). La validation des modèles pertinents est en cours et la Banque prévoit terminer la validation de ces modèles selon le calendrier prévu dans la directive.

30. Faiblesse — Continuité des activités, plan de gestion des événements perturbateurs, plan de reprise des activités, plan de résilience et sécurité des technologies de l’information (TI) — Nous avons constaté que la Banque n’avait toujours pas de plan officiel de gestion du risque lié aux TI, doté de mesures d’atténuation des risques axées sur les systèmes, les processus et les données essentiels, et qui assurait la sécurité, la reprise des activités ou leur continuité.

31. Cette faiblesse est importante parce que, faute d’un plan officiel de gestion du risque lié aux TI, il est possible que les stratégies visant à assurer la protection, le rétablissement ou la reprise des activités ne soient pas adaptées à l’importance des systèmes, des processus et des données clés concernés ou à l’importance relative du risque connexe. Les stratégies pourraient donc ne pas suffire à atténuer efficacement les risques liés à la continuité des activités de TI ou à la sécurité informatique, dans le respect de l’énoncé sur l’appétit pour le risque de la Banque. Cette situation pourrait exposer la Banque à des pertes sur le plan opérationnel et financier.

32. Recommandation — La Banque de développement du Canada devrait mettre en œuvre un plan officiel de gestion du risque lié aux technologies de l’information, qui contiendrait une liste et une évaluation de tous les processus et systèmes informatiques et des données, et indiquerait les activités d’atténuation des risques requises.

Réponse de la Banque — Recommandation acceptée. Après la fin de la période visée par l’audit, la Banque de développement du Canada a terminé de rédiger et approuvé sa directive générale de gestion du risque technologique, qui comprend un cadre de gestion du risque technologique permettant de répondre à des questions soulevées dans le cadre de l’audit. Cette directive a été examinée par le Comité de la vérification et le Comité du conseil du risque. La Banque de développement du Canada s’est engagée à mettre en œuvre la directive ainsi que les composantes de ce cadre. La Banque de développement du Canada dispose actuellement d’un certain nombre de processus et de contrôles documentés qui garantissent l’atténuation des risques technologiques.

Gestion des activités

33. Services de financement — Les prêts aux entreprises forment la plus grande partie du portefeuille de prêts de la Banque. Le secteur du financement de la Banque (Banque de développement du CanadaBDC Financement) propose des prêts à terme et des solutions spécialisées qui ont été conçus pour favoriser la création et la croissance des entreprises, le développement et l’expansion des marchés, les investissements dans la croissance des entreprises, l’acquisition et la modernisation d’installations et d’équipements, ainsi que le transfert d’entreprise.

34. Pour un des segments de ses activités de prêt aux entreprises, la Banque a commencé à utiliser de nouvelles interfaces technologiques et en ligne pour permettre à ses clients d’avoir accès plus rapidement et plus facilement à ses services. À mesure que leur efficacité est prouvée, la Banque prévoit élargir l’utilisation de ses nouvelles technologies à d’autres volets de ses prêts aux entreprises.

35. Services d’investissement (capital de risque et autres placements) — Par l’entremise de son secteur d’activité du capital de risque (BDC Capital) et d’autres activités d’investissement, la Banque offre aux entrepreneurs diverses solutions de financement par emprunts et par capitaux propres. Ses services d’investissement offrent une aide appréciable aux propriétaires de petites et de moyennes entreprises canadiennes.

36. En 2017, le gouvernement a demandé à la Banque de jouer un rôle plus important pour ce qui est d’aider les entreprises de technologies propres. En décembre 2017, la Banque a donc lancé son Initiative technologies propres. Au cours de la période visée par l’audit, la Banque était en voie d’officialiser le cadre de gouvernance de cette initiative ainsi que ses contrôles internes et procédures connexes. Dans le cadre de l’initiative, la Banque a commencé à décaisser des fonds et à établir son portefeuille. Elle se fondera sur de bonnes pratiques de gouvernance et de gestion pour avoir l’assurance que ses activités contribuent à la réalisation de son mandat, tout en respectant l’énoncé sur l’appétit pour le risque établi. Au cours de la mise en œuvre de ces pratiques, le Conseil d’administration a participé à l’examen et à l’approbation des placements faits dans le cadre de l’initiative, et il a reçu des renseignements détaillés sur les activités menées.

37. Services-conseils — Le secteur des services-conseils de la Banque (BDC Services-conseils) aide les entrepreneurs à prendre de l’expansion et à développer leur entreprise. Même si ce secteur d’activité ne produit actuellement aucun revenu net, il procure un soutien précieux aux entrepreneurs. Au cours des dernières années, dans le souci d’améliorer ses services, la Banque a segmenté sa clientèle en fonction de la taille des entreprises et a adapté ses services-conseils à chaque segment ainsi créé. De plus, les directeurs de comptes du secteur du financement sont de plus en plus engagés dans la gestion des relations avec les clients ainsi que dans l’offre et la prestation de services-conseils.

La Banque avait de bonnes méthodes de gestion de ses activités

38. Nous avons constaté que la Banque avait de bonnes méthodes pour gérer ses activités.

39. Notre analyse à l’appui de cette constatation porte sur :

40. Nous n’avons pas présenté de recommandation relativement au secteur examiné.

41. Analyse — Nous avons constaté que la Banque avait de bonnes méthodes de gestion de ses services de financement (voir la pièce 5).

Pièce 5 — Gestion des services de financement : Principales constatations et évaluation

Pièce 5 — Gestion des services de financement : Principales constatations et évaluation
Moyens et méthodes Critères Principales constatations Évaluation en fonction des critères établis

Planification opérationnelle

La Banque a défini des plans opérationnels qui cadraient avec ses plans stratégiques et son mandat.

Le plan opérationnel du secteur du financement cadrait avec les objectifs du plan d’entreprise et la stratégie de la Banque.

Un processus avait été établi pour garantir la prise en compte des besoins des principales parties prenantes dans la planification opérationnelle.

Le secteur d’activité avait un processus officiel de gestion des risques qui le menaçaient lors de la mise en œuvre du plan stratégique, de l’établissement des priorités et de l’affectation des ressources.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Mise en œuvre du plan opérationnel

La direction a mis en œuvre le plan opérationnel afin de produire les résultats attendus du secteur d’activité.

Le secteur d’activité avait des processus et des systèmes pour mettre en œuvre et surveiller son plan opérationnel.

Le secteur d’activité a défini des indicateurs de rendement clés pour évaluer les résultats de ses activités et il les a actualisés régulièrement.

Il y avait des politiques, des procédures et des contrôles pour encadrer les activités de prêts, selon le niveau d’appétit pour le risque établi par la Banque.

La Banque a officiellement communiqué aux employés de l’information sur ses objectifs de rendement courants et les indicateurs de rendement connexes.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Surveillance du rendement et rapports connexes

La Banque a surveillé les résultats de ses activités et en a rendu compte.

Le secteur d’activité a remis des rapports mensuels et trimestriels au Conseil d’administration et à la direction. Les rapports comportaient des indicateurs de rendement clés et comparaient les principaux résultats opérationnels avec les attentes établies.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Gestion du changement : formation et perfectionnement des ressources humaines

La Banque avait les moyens, méthodes et pratiques de gestion des changements nécessaires pour l’organisation et ses employés.

La Banque avait un processus d’orientation normalisé pour les nouveaux employés qui prévoyait une formation particulière pour le personnel du secteur d’activité.

Le secteur d’activité avait un processus de formation et de perfectionnement pour veiller à ce que les employés possèdent les compétences adéquates pour s’acquitter de leurs rôles et responsabilités.

La Banque avait un système d’évaluation du rendement. Le système était fondé sur des indicateurs clés pour permettre au secteur d’activité d’évaluer les progrès réalisés par rapport à des objectifs individuels et aux objectifs de l’ensemble de l’organisation.

La Banque avait une équipe d’efficacité organisationnelle pour appuyer la planification des effectifs.

La Banque a réalisé un exercice de planification des effectifs pour mieux faire concorder son plan de gestion des ressources humaines avec les besoins des clients et les priorités en matière de ressources humaines.

La Banque a revu son répertoire de compétences et commencé à actualiser ses programmes de ressources humaines pour les faire cadrer avec les compétences dont elle avait besoin.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Légende — Évaluation en fonction des critères établis

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Satisfait aux critères

Le point d’exclamation dans un cercle jaune signifie « Satisfait aux critères, mais des améliorations  s’imposent »

Satisfait aux critères, mais des améliorations s’imposent

Le signe négatif dans un cercle rouge signifie « Ne satisfait pas aux critères »

Ne satisfait pas aux critères

42. Analyse — Nous avons constaté que la Banque possédait de bonnes méthodes pour gérer ses placements en capital de risque et autres placements (voir la pièce 6).

Pièce 6 — Gestion des placements en capital de risque et autres placements : Principales constatations et évaluation

Pièce 6 — Gestion des placements en capital de risque et autres placements : Principales constatations et évaluation
Moyens et méthodes Critères Principales constatations Évaluation en fonction des critères établis

Planification opérationnelle

La Banque a défini des plans opérationnels qui cadraient avec ses plans stratégiques et son mandat.

Les plans opérationnels en matière de capital de risque et de croissance et transfert d’entreprise cadraient avec les priorités stratégiques de la Banque de même qu’avec ses objectifs et ses initiatives.

La Banque a défini sa stratégie de capital de risque en se fondant sur les conditions actuelles de marché (par exemple les lacunes et les nouvelles tendances technologiques).

Dans son plan d’entreprise, la Banque a examiné les risques clés et les nouveaux risques liés au capital de risque, ainsi que la gestion du capital, la surveillance des risques et les programmes de simulation de crise.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Mise en œuvre du plan opérationnel

La direction a mis en œuvre le plan opérationnel afin de produire les résultats attendus au sein du secteur d’activité.

Il y avait des indicateurs de rendement clés pour les activités d’investissement en capital de risque et les autres activités d’investissement.

Les stratégies, politiques et procédures en matière d’investissement ont été documentées et communiquées. Elles étaient conformes à l’orientation stratégique de la Banque et à l’appétit pour le risque établi.

La Banque a officiellement communiqué aux employés de l’information sur ses objectifs de rendement courants et les indicateurs de rendement connexes.

Il y avait des processus et des systèmes pour assurer la mise en œuvre du plan opérationnel des activités d’investissement en capital de risque et des autres activités d’investissement.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Surveillance du rendement et rapports connexes

La Banque a surveillé les résultats de ses activités et en a rendu compte.

Il y avait des processus et des systèmes pour assurer la surveillance des résultats par rapport au plan opérationnel des activités d’investissement en capital de risque et des autres activités d’investissement.

La Banque a communiqué trimestriellement les indicateurs de rendement clés au Comité de direction de l’entreprise et au Conseil d’administration.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Initiative technologies propres — planification opérationnelle, mise en œuvre du plan opérationnel, et surveillance du rendement et rapports connexes

La Banque a défini des plans opérationnels qui cadraient avec ses plans stratégiques et son mandat.

La direction a mis en œuvre le plan opérationnel afin de produire les résultats attendus du secteur d’activité.

La Banque a surveillé les résultats de ses activités et en a rendu compte.

L’équipe chargée de l’Initiative technologies propres a défini un plan stratégique relativement à l’Initiative. Le plan analysait les risques financiers et opérationnels ainsi que les besoins des parties prenantes. Il cadrait avec le plan d’entreprise de la Banque et son mandat.

L’équipe a rédigé un énoncé sur l’appétit pour le risque qui visait expressément l’Initiative, pour avoir l’assurance que les principaux risques liés aux placements faits dans le cadre de l’initiative étaient identifiés et analysés.

Cette initiative avait des critères bien établis pour évaluer l’admissibilité au financement, qui avaient été approuvés par le Conseil d’administration.

Pendant l’élaboration et la mise en œuvre des processus, la haute direction, le chef de la gestion des risques et le Conseil d’administration ont participé étroitement à l’approbation des opérations.

L’équipe chargée de l’Initiative technologies propres s’employait à instaurer les processus de gouvernance, de surveillance et de rapports nécessaires à l’Initiative, notamment des indicateurs de rendement et des indicateurs de risque clés.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Légende — Évaluation en fonction des critères établis

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Satisfait aux critères

Le point d’exclamation dans un cercle jaune signifie « Satisfait aux critères, mais des améliorations  s’imposent »

Satisfait aux critères, mais des améliorations s’imposent

Le signe négatif dans un cercle rouge signifie « Ne satisfait pas aux critères »

Ne satisfait pas aux critères

43. Analyse — Nous avons constaté que la Banque avait de bonnes méthodes pour gérer ses services-conseils (voir la pièce 7).

Pièce 7 — Gestion des services-conseils : Principales constatations et évaluation

Pièce 7 — Gestion des services-conseils : Principales constatations et évaluation
Moyens et méthodes Critères Principales constatations Évaluation en fonction des critères établis

Planification opérationnelle

La Banque a défini des plans opérationnels qui cadraient avec ses plans stratégiques et son mandat.

Le plan stratégique triennal du secteur d’activité des services-conseils cadrait avec le plan d’entreprise de la Banque et ses principaux objectifs et priorités.

Le plan opérationnel définissait les principales initiatives stratégiques, un calendrier détaillé des activités, les activités d’identification et d’atténuation des risques et le niveau de soutien requis des fonctions internes de la Banque pour pouvoir atteindre les objectifs.

Le secteur d’activité avait établi des indicateurs de rendement clés et des budgets pour pouvoir surveiller son rendement par rapport au plan opérationnel.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Mise en œuvre du plan opérationnel

La direction a mis en œuvre le plan opérationnel afin de produire les résultats attendus du secteur d’activité.

Le plan d’entreprise et les plans des secteurs d’activité ont été publiés à l’interne et diffusés dans l’ensemble de l’organisation pour favoriser l’atteinte des objectifs établis.

Les politiques, les directives et le flux des processus du secteur d’activité étaient à jour et conformes aux pratiques en vigueur et ils avaient été communiqués à tous les employés sur le site intranet de l’organisation.

Les objectifs de rendement individuels favorisaient la réalisation du plan stratégique.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Surveillance du rendement et rapports connexes

La Banque a surveillé les résultats de ses activités et en a rendu compte.

Le secteur d’activité a communiqué trimestriellement l’information sur les indicateurs de rendement clés au Comité de direction de l’entreprise et au Conseil d’administration.

L’énoncé sur l’appétit pour le risque du secteur d’activité prévoyait un processus officiel de surveillance des indicateurs de risque clés.

La Banque a utilisé des sondages sur la satisfaction de sa clientèle menés par des firmes indépendantes pour surveiller son rendement.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Gestion des services-conseils

La Banque avait des moyens et des méthodes pour appuyer la prestation de services-conseils.

La Banque avait des processus pour sélectionner, en exerçant une diligence raisonnable, des experts-conseils externes avant de leur permettre de travailler avec le secteur d’activité.

Les contrats de prestation de services-conseils aux clients étaient clairement définis et indiquaient les échéances des travaux, les produits à livrer et les honoraires.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Gestion du changement : formation et perfectionnement des ressources humaines

La Banque avait les moyens, méthodes et pratiques de gestion du changement nécessaires pour l’organisation et ses employés.

La Banque avait un processus d’orientation normalisé pour les nouveaux employés, qui prévoyait une formation particulière et des possibilités de perfectionnement pour le personnel du secteur d’activité.

La Banque avait un système d’évaluation du rendement. Le système était fondé sur des indicateurs clés pour permettre au secteur d’activité d’évaluer les progrès réalisés par rapport à des objectifs individuels et aux objectifs de l’ensemble de l’organisation.

L’équipe des Ressources humaines a participé activement au processus de planification des effectifs en vue d’appuyer les initiatives en cours.

La Banque a revu son répertoire de compétences et l’a mis à jour en fonction de ses besoins.

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Légende — Évaluation en fonction des critères établis

Le crochet dans un cercle vert signifie « Satisfait aux critères »

Satisfait aux critères

Le point d’exclamation dans un cercle jaune signifie « Satisfait aux critères, mais des améliorations  s’imposent »

Satisfait aux critères, mais des améliorations s’imposent

Le signe négatif dans un cercle rouge signifie « Ne satisfait pas aux critères »

Ne satisfait pas aux critères

Conclusion

44. À notre avis, compte tenu des critères établis, il existe une assurance raisonnable que les moyens et les méthodes de la Banque de développement du Canada que nous avons examinés ne comportaient aucun défaut grave. Nous avons conclu que la Banque avait mis en œuvre ses moyens et méthodes tout au long de la période visée par l’audit d’une manière qui lui a fourni l’assurance raisonnable requise aux termes de l’article 138 de la Loi sur la gestion des finances publiques.

À propos de l’audit

Le présent rapport de certification indépendant sur la Banque de développement du Canada a été préparé par le Bureau du vérificateur général du Canada (le Bureau) et Deloitte Société en nom collectif à responsabilité limitéeS.E.N.C.R.L./Société à responsabilité limitées.r.l.Note de bas de page 1 Notre responsabilité consistait à exprimer :

En vertu de l’article 131 de la Loi sur la gestion des finances publiques (LGFP), la Banque de développement du Canada est tenue de mettre en œuvre, en matière de finances et de gestion, des moyens de contrôle et d’information et de faire appliquer des méthodes de gestion de manière à fournir l’assurance raisonnable que :

Aux termes de l’article 138 de la LGFP, la Banque est tenue de soumettre ces moyens et méthodes à un examen spécial au moins une fois tous les dix ans.

Tous les travaux effectués dans le cadre du présent audit ont été réalisés à un niveau d’assurance raisonnable conformément à la Norme canadienne de missions de certification (NCMC) 3001 — Missions d’appréciation directe de Comptables professionnels agréés du Canada (CPA Canada), qui est présentée dans le Manuel de CPA Canada — Certification.

Le Bureau et Deloitte S.E.N.C.R.L./s.r.l. appliquent la Norme canadienne de contrôle qualité 1 et, en conséquence, maintiennent un système de contrôle qualité exhaustif qui comprend des politiques et des procédures documentées en ce qui concerne la conformité aux règles de déontologie, aux normes professionnelles et aux exigences légales et réglementaires applicables.

Lors de la réalisation de nos travaux d’audit, nous nous sommes conformés aux règles sur l’indépendance et aux autres règles de déontologie des codes de conduite pertinents applicables à l’exercice de l’expertise comptable au Canada, qui reposent sur les principes fondamentaux d’intégrité, d’objectivité, de compétence professionnelle et de diligence, de confidentialité et de conduite professionnelle.

Conformément à notre processus d’audit, nous avons obtenu ce qui suit de la direction de la Banque :

Objectif de l’audit

L’audit visait à déterminer si les moyens et les méthodes de la Banque de développement du Canada que nous avons sélectionnés aux fins de l’examen lui fournissaient l’assurance raisonnable que ses actifs étaient protégés et contrôlés, que ses ressources étaient gérées avec efficience et économie et que ses activités étaient menées avec efficacité, comme l’exige l’article 138 de la Loi sur la gestion des finances publiques.

Étendue et méthode

Nos travaux d’audit ont porté sur la Banque de développement du Canada. Nous avons délimité l’étendue de l’examen spécial en nous fondant sur notre évaluation des risques qui pourraient empêcher la Banque de s’acquitter de ses obligations aux termes de la Loi sur la gestion des finances publiques.

Dans le cadre de nos travaux, nous avons examiné des documents clés qui se rattachaient aux moyens et méthodes sélectionnés aux fins de l’examen. Nous nous sommes entretenus avec des membres du Conseil d’administration, des membres de la haute direction et des employés de la Banque. Nous avons aussi testé les moyens et méthodes mis en place pour obtenir le niveau d’assurance requis.

Les moyens et méthodes sélectionnés pour chacun des secteurs d’examen de l’audit sont présentés dans différentes pièces tout au long du rapport.

Dans le cadre de l’examen spécial, nous ne nous sommes fondés sur aucuns travaux d’audit interne. Nous avons toutefois tenu compte des constatations issues de l’examen réalisé par le Bureau du surintendant des institutions financières en 2015.

Sources des critères

Les critères appliqués pour évaluer les moyens et méthodes sélectionnés sont présentés dans différentes pièces tout au long du rapport.

Gouvernance d’entreprise

Secrétariat du Conseil du Trésor du Canada, Répondre aux attentes des Canadiennes et des Canadiens — Examen du cadre de gouvernance des sociétés d’État du Canada, 2005

Committee of Sponsoring Organizations of the Treadway Commission, Référentiel intégré de contrôle interne, 2013

Ministère des Finances Canada et Conseil du Trésor, La régie des sociétés d’État et autres entreprises publiques – Lignes directrices, 1996

Institut Canadien des Comptables Agréés, 20 Questions que les administrateurs devraient poser sur les risques, 2006

Bureau du Conseil privé, Programme de gestion du rendement pour les premiers dirigeants de sociétés d’État – Lignes directrices, 2016

The Institute of Internal Auditors, Practice Guide: Assessing Organizational Governance in the Public Sector, 2014

Planification stratégique, mesure du rendement et rapports sur les résultats

Secrétariat du Conseil du Trésor du Canada, Répondre aux attentes des Canadiennes et des Canadiens — Examen du cadre de gouvernance des sociétés d’État du Canada, 2005

Secrétariat du Conseil du Trésor du Canada, Lignes directrices pour la préparation des plans d’entreprise, 1996

Ministère des Finances Canada et Conseil du Trésor, La régie des sociétés d’État et autres entreprises publiques – Lignes directrices, 1996

Conseil des normes comptables internationales du secteur public, Lignes directrices de pratique recommandée 3, un rapport sur la performance de service, 2015

Institut Canadien des Comptables Agréés, 20 Questions que les administrateurs devraient poser sur les risques, 2006

Gestion du risque d’entreprise

Institut Canadien des Comptables Agréés, 20 Questions que les administrateurs devraient poser sur les risques, 2006

Committee of Sponsoring Organizations of the Treadway Commission, Référentiel intégré de contrôle interne, 2013

Ministère des Finances Canada et Conseil du Trésor, La régie des sociétés d’État et autres entreprises publiques – Lignes directrices, 1996

Association des professionnels de la vérification et du contrôle des systèmes d’informationISACA, Cadre de référence Gouvernance, Contrôle et Audit de l’Information et des Technologies AssociéesCOBIT 5, APO13 (Gérer la sécurité), BAI10 (Gérer la configuration), DSS05 (Gérer les services de sécurité) et MEA03 (Surveiller, évaluer et mesurer la conformité aux exigences externes)

Gestion du financement

Secrétariat du Conseil du Trésor du Canada, Lignes directrices pour la préparation des plans d’entreprise, 1996

Project Management Institute IncorporatedInc., Guide du Corpus des connaissances en management de projet (Guide Project Management Body of KnowledgePMBOK®), 4e édition, 2008

ISACA, Cadre de référence COBIT 5, APO05 (Gérer le portefeuille), BAI01 (Gérer les programmes et les projets)

Modèle de gestion « Plan-Do-Check-Act » adapté de la roue de Deming

Committee of Sponsoring Organizations of the Treadway Commission, Référentiel intégré de contrôle interne, 2013

ISACA, Cadre de référence COBIT 5, EDM02 (Assurer la livraison des bénéfices)

Institut Canadien des Comptables Agréés, 20 Questions que les administrateurs devraient poser sur les risques, 2006

Ministère des Finances Canada et Conseil du Trésor, La régie des sociétés d’État et autres entreprises publiques – Lignes directrices, 1996

Conseil du Trésor, Politique en matière d’apprentissage, de formation et de perfectionnement, 2006

Association des professionnels en ressources humaines et Commerce Clearing HouseCCH, Ultimate Human ResourceHR Manual

Gestion des placements en capital de risque et autres placements

Secrétariat du Conseil du Trésor du Canada, Lignes directrices pour la préparation des plans d’entreprise, 1996

Project Management Institute Inc., Guide du Corpus des connaissances en management de projet (Guide PMBOK®), 4e édition, 2008

ISACA, Cadre de référence COBIT 5, APO05 (Gérer le portefeuille), BAI01 (Gérer les programmes et les projets)

Modèle de gestion « Plan-Do-Check-Act » adapté de la roue de Deming

Committee of Sponsoring Organizations of the Treadway Commission, Référentiel intégré de contrôle interne, 2013

ISACA, Cadre de référence COBIT 5, EDM02 (Assurer la livraison des bénéfices)

Institut Canadien des Comptables Agréés, 20 Questions que les administrateurs devraient poser sur les risques, 2006

Ministère des Finances Canada et Conseil du Trésor, La régie des sociétés d’État et autres entreprises publiques – Lignes directrices, 1996

Gestion des services-conseils

Secrétariat du Conseil du Trésor du Canada, Lignes directrices pour la préparation des plans d’entreprise, 1996

Project Management Institute Inc., Guide du Corpus des connaissances en management de projet (Guide PMBOK®), 4e édition, 2008

ISACA, Cadre de référence COBIT 5, APO05 (Gérer le portefeuille), BAI01 (Gérer les programmes et les projets)

Modèle de gestion « Plan-Do-Check-Act » adapté de la roue de Deming

Committee of Sponsoring Organizations of the Treadway Commission, Référentiel intégré de contrôle interne, 2013

ISACA, Cadre de référence COBIT 5, EDM02 (Assurer la livraison des bénéfices)

Conseil du Trésor, Politique en matière d’apprentissage, de formation et de perfectionnement, 2006

Association des professionnels en ressources humaines et CCH, Ultimate HR Manual

Période visée par l’audit

L’examen spécial a porté sur la période allant du 25 septembre 2017 au 23 juillet 2018. Il s’agit de la période à laquelle s’applique la conclusion de l’audit. Toutefois, afin de mieux comprendre les principaux moyens et méthodes, nous avons aussi examiné certains dossiers antérieurs à la date du début de cette période.

Date du rapport

Nous avons fini de rassembler les éléments probants suffisants et appropriés à partir desquels nous avons fondé notre conclusion le 25 octobre 2018, à Ottawa et à Montréal, au Canada.

Équipe d’audit

Bureau du vérificateur général du Canada

Directrice principale : Lissa Lamarche
Directeur : Patrick Polan
Geneviève Hivon
Kim Villeneuve

Deloitte S.E.N.C.R.L./s.r.l.

Associés : Umberto Delucilla et Normand Favreau
Directrices : Mariama Zhouri et Julie Retik

Tableau des recommandations

Le tableau qui suit regroupe les recommandations et les réponses apparaissant dans le présent rapport. Le numéro qui précède chaque recommandation correspond au numéro du paragraphe de la recommandation dans le rapport. Les chiffres entre parenthèses correspondent au numéro des paragraphes où le sujet de la recommandation est abordé.

Méthodes de gestion organisationnelle
Recommandation Réponse

23. La Banque de développement du Canada devrait se concerter avec son ministre de tutelle et le Bureau du Conseil privé au sujet de la rémunération du président et chef de la direction. (20 à 22)

Réponse de la Banque — Recommandation acceptée. La Banque de développement du Canada examinera cet enjeu et communiquera avec le ministre responsable et le Bureau du Conseil privé, selon le cas. Il s’agira d’obtenir l’assurance que la Banque pourra attirer et retenir des personnes qualifiées pour occuper le poste de président et chef de la direction.

24. La Banque de développement du Canada devrait envisager de divulguer son cadre de rémunération et le montant total de la rémunération associée aux postes de la haute direction (par exemple dans son rapport annuel) conformément aux pratiques en vigueur dans l’administration publique et le secteur financier. (20 à 22)

Réponse de la Banque — Recommandation acceptée. La Banque de développement du Canada effectuera un examen des informations publiées annuellement sur le cadre de rémunération et la rémunération totale des postes de haute direction.

29. La Banque de développement du Canada devrait procéder à la validation de ses modèles conformément à sa directive générale sur les risques liés aux modèles. (27 à 28)

Réponse de la Banque — Recommandation acceptée. Comme cela est indiqué dans ce rapport d’audit, la Banque de développement du Canada s’est dotée d’une directive générale sur les risques liés aux modèles. Cette directive comporte une liste de tous les modèles, un processus d’évaluation des risques liés aux modèles (qui sont cotés en fonction de critères de complexité et d’importance relative) et un calendrier de validation des modèles (qui a été établi en fonction des cotes de risque expliquées précédemment). La validation des modèles pertinents est en cours et la Banque prévoit terminer la validation de ces modèles selon le calendrier prévu dans la directive.

32. La Banque de développement du Canada devrait mettre en œuvre un plan officiel de gestion du risque lié aux technologies de l’information, qui contiendrait une liste et une évaluation de tous les processus et systèmes informatiques et des données, et indiquerait les activités d’atténuation des risques requises. (30 à 31)

Réponse de la Banque — Recommandation acceptée. Après la fin de la période visée par l’audit, la Banque de développement du Canada a terminé de rédiger et approuvé sa directive générale de gestion du risque technologique, qui comprend un cadre de gestion du risque technologique permettant de répondre à des questions soulevées dans le cadre de l’audit. Cette directive a été examinée par le Comité de la vérification et le Comité du conseil du risque. La Banque de développement du Canada s’est engagée à mettre en œuvre la directive ainsi que les composantes de ce cadre. La Banque de développement du Canada dispose actuellement d’un certain nombre de processus et de contrôles documentés qui garantissent l’atténuation des risques technologiques.