Contenu archivé

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Plan de vérification en fonction du risque, 2008-2010

1. Introduction

1.1 Contexte

1.2 Objectifs et méthode

2. Principaux risques cernés

3. Plan de vérification axée sur le risque

3.1 Activités de vérification pour 2008-2010

Annexe A — Charte de vérification

1 Introduction

1.1 Contexte

Le commissaire à l’information et son Commissariat sont assujettis aux exigences de la nouvelle Politique sur la vérification interne du Conseil du Trésor (CT), qui est entrée en vigueur le 1er avril 2006. La Politique exige entre autres l’établissement d’une fonction de vérification interne et d’un Comité de vérification indépendant, la nomination d’un chef de la vérification interne et l’approbation d’un plan de vérification interne.

Les hauts fonctionnaires du Parlement ont créé un groupe de travail pour mettre au point conjointement des méthodes permettant aux bureaux d’appliquer les principes de la politique de vérification interne tout en respectant leur indépendance par rapport au gouvernement. Les membres du Groupe de travail des hauts fonctionnaires du Parlement se sont entendus sur le fait que les systèmes, les processus et l’infrastructure de vérification interne de chacun des bureaux du Parlement devraient respecter la Politique en matière de vérification interne du gouvernement, compte tenu toutefois de leur statut indépendant, du fait qu’ils sont relativement petits et du rôle de surveillance joué par le Comité consultatif parlementaire à l’égard du financement des hauts fonctionnaires du Parlement.

Le Commissariat à l’information a embauché Deloitte et Touche s.r.l. (« Deloitte ») pour l’aider dans la prestation des services de vérification interne requis pour l’exercice 2008-2009. Parmi les services fournis par Deloitte, mentionnons les suivants :

  • l’élaboration d’une charte de vérification interne propre au Commissariat à l’information;
  • l’élaboration d’un plan de vérification en fonction du risque (PVFR);
  • la réalisation d’une ou deux vérifications entre avril 2008 et mars 2009.

Le présent document constitue le PVFR du Commissariat à l’information, qui cerne les vérifications potentielles et les établit par ordre de priorité pour les trois prochains exercices, en fonction des difficultés ou risques principaux auxquels le Commissariat à l’information est confronté. La charte de vérification interne du Commissariat à l’information est présentée en annexe (annexe A) et a été adaptée pour refléter le contexte du Commissariat et fournir davantage d’information sur les rôles et responsabilités de Deloitte. Veuillez noter que le PVFR est harmonisé avec les principes de la vérification interne énoncés dans la charte de vérification interne.



1.2 Objectifs et méthode

La vérification en fonction du risque vise tout d’abord à cerner et à comprendre les objectifs organisationnels, puis tient compte des risques qui ont une incidence sur l’atteinte de ces objectifs et des activités en place visant à atténuer ces risques.

Les objectifs du plan de vérification en fonction du risque sont les suivants :

  • déterminer les priorités en matière de vérification interne en fonction des risques auxquels l’organisation peut être exposée;
  • établir le programme de vérifications et le délai nécessaire pour la réalisation des vérifications internes;
  • fournir une base pour la présentation du PVFR au Comité de vérification aux fins d’examen et d’approbation.

La méthode utilisée pour l’élaboration du PVFR est décrite ci-dessous.

 Diagram_1_PVFR-fra.jpg

Il convient de mentionner que, au moment de la sélection des vérifications à réaliser, le contexte actuel du Commissariat à l’information a été l’une des principales considérations; le Commissariat à l’information a subi d’importantes transformations et a mis en place (ou est en train de le faire) un certain nombre de nouve aux processus de base, en plus d’éclaircir les rôles et responsabilités au cours de la dernière année. Par conséquent, au cours de discussions avec la direction du Commissariat , nous avons convenu qu’au départ, les services de vérification interne consisteraient principalement en des vérifications fournissant de la rétroaction au moment opportun sur les processus nouveaux ou en cours d’élaboration, dans le but de maximiser la valeur de la vérification interne pour le Commissariat. Comme la fonction de vérification interne et les processus récemment mis en place par le Commissariat sont toujours en évolution, le principal objet de la vérification interne peut changer, de façon à ce que les vérifications portent davantage sur la conformité, au besoin. Veuillez noter que cette méthode est conforme à la Charte de vérification interne.

Comme l’exige la Directive sur les comités ministériels de vérification du CT, le plan de vérification interne en fonction du risque sera présenté au nouveau comité de vérification indépendant pour examen et recommandation au commissaire.  



2. Principaux risques

Voici un résumé des principaux risques pour l’organisation qui sont ressortis au cours des entrevues avec la direction du Commissariat à l’information : 

  • Efficacité a) des solutions aux problèmes de traitement des plaintes et b) des processus d’enquête nouveaux et existants : Pendant les entrevues avec la direction du Commissariat à l’information, l’efficacité et l’efficience du processus d’enquête sur les plaintes a été déterminé comme étant un domaine présentant un risque. Plus particulièrement, la capacité du Commissariat d’enquêter de façon efficace et efficiente sur les plaintes relatives à l’accès à l’information a connu des difficultés en raison de l’augmentation importante du nombre de plaintes reçues au cours de la dernière année, qui est principalement due à l’augmentation du nombre d’organisations fédérales assujetties à la Loi sur l’accès à l’information. L’augmentation du nombre de plaintes a exercé une pression sur la capacité du Commissariat d’enquêter sur les plaintes et de les régler et a entraîné une augmentation importante du nombre de dossiers en traitement et du nombre de dossiers qui n’ont pas encore été ouverts. En vue de faire face à l’augmentation du nombre de plaintes et de réduire la quantité de plaintes en traitement, la Direction du règlement des plaintes et du respect de la Loi a mis en place une stratégie qui comprend l’élaboration d’un processus de règlement rapide des plaintes. Comme pour tout nouveau processus, il y a des risques liés à la conception appropriée des mécanismes de contrôle, à la formation des intervenants et aux communications avec eux, à la mise en place de mesures du rendement permettant de faire un suivi des résultats, etc. Il a été mentionné qu’il était tout aussi important de s’assurer d’avoir en place, en plus du nouveau processus, un processus d’enquête efficace et efficient suivant la résolution rapide des plaintes. Si cela n’est pas fait de façon appropriée, le Commissariat à l’information sera confronté à des risques touchant sa capacité de s’acquitter efficacement de son mandat.
  • Capacité de recruter des employés et de les maintenir en poste : Actuellement, le Commissariat à l’information connaît des difficultés de recrutement et de maintien en poste d’enquêteurs compétents en matière d’accès à l’information. Les entrevues avec la direction du Commissariat ont révélé qu’il est difficile de trouver des enquêteurs compétents et expérimentés en raison du besoin accru en agents de l’AIPRP partout dans la fonction publique fédérale. Il convient de mentionner que même si le Commissariat à l’information a eu accès à un budget pour l’embauche d’enquêteurs supplémentaires, il n’a pas été en mesure de doter un grand nombre des postes d’enquêteurs vacants en raison d’un manque d’enquêteurs compétents sur le marché. Cela constitue un fardeau supplémentaire qui nuit à la capacité du Commissariat d’enquêter de façon efficace et de réduire le nombre de plaintes en matière d’accès à l’information actuellement en traitement. Des problèmes de capacité ont aussi été mentionnés dans d’autres domaines, notamment pour ceux qui travaillent aux Relations parlementaires, aux Politiques, aux Communications, aux Finances, aux Ressources humaines et à la GI/TI, car les personnes interrogées ont mentionné qu’actuellement, les ETP ne suffisent pas à gérer les exigences liées à la charge de travail. Un autre risque est mentionné en matière de dotation en personnel : le « point de défaillance » (c.­à­d. les situations dans lesquelles une seule personne détient la majeure partie du savoir institutionnel dans un domaine en particulier, sans que l’information concernant les procédures soit documentée de façon adéquate; si cette personne n’était pas disponible, le Commissariat aurait de la difficulté à poursuivre ses activités dans ce domaine). Veuillez noter que les travaux liés aux risques en matière de dotation sont actuellement en cours avec le Commissariat et comprennent une révision des services votés et une analyse de rentabilisation de la GI/TI, qui est en cours d’élaboration et qui sera représentée au SCT.
  • Efficacité de la gestion de l’information/des technologies de l’information (GI/TI) du Commissariat à l’information : Actuellement, le Commissariat réalise des activités dans un grand nombre d’environnements de TI distincts (des environnements internes, externes, juridiques et financiers). Les environnements multiples font en sorte que le personnel du Commissariat est moins efficace dans la réalisation des activités de tous les jours. De plus, l’hébergement et le partage de l’environnement financier des TI au Commissariat à la protection de la vie privée (CPVP) entraîne des risques supplémentaires pour l’unité des Finances du Commissariat et a récemment entraîné des difficultés d’accès à l’information financière. De plus, les applications de gestion des plaintes et de gestion des documents utilisées par la Direction du règlement des plaintes et du respect de la Loi et la Direction des services juridiques sont des applications mises au point sur demande difficiles à utiliser, dont la maintenance est difficile et qui en sont aussi à la fin de leur vie utile. Ces difficultés constituent d’importants risques pour le Commissariat en ce qui a trait à l’exécution efficace de ses processus opérationnels. Il convient de mentionner que pour mieux satisfaire aux exigences du Commissariat en matière de GI/TI, la direction des TI a récemment embauché un consultant et l’a chargé d’élaborer un plan à long terme en matière de GI/TI et de préparer une analyse de rentabilisation pour qu’elle puisse obtenir davantage de financement.
  • Pratiques appropriées en matière de gestion de l’information : En ce qui concerne les questions de GI/TI susmentionnées, le Commissariat à l’information n’a actuellement pas de politiques ni de pratiques efficaces en place dans toute l’organisation relativement à la gestion de l’information. Cela expose la réputation du Commissariat à l’information à d’importants risques puisqu’il préconise et promeut des normes élevées en matière de gestion de l’information en tant que chef de file en gestion efficace des demandes liées à l’accès à l’information. En plus de cet important risque pour toute l’organisation, le Commissariat à l’information est souvent en possession, dans le cadre de son mandat, d’information confidentielle ou désignée d’autres ministères et organismes du gouvernement qui doit être adéquatement protégée. La divulgation inappropriée d’information de nature délicate en raison d’une atteinte à la sécurité ou de pratiques inadéquates de gestion de l’information par le Commissariat pourrait sérieusement entacher la réputation du Commissariat auprès d’autres ministères du gouvernement, de députés et du grand public. En plus de protéger l’information classifiée et désignée, le Commissariat doit aussi veiller à maintenir l’intégrité des documents sur des enquêtes et des causes judiciaires et à ce que les dossiers ne soient pas modifiés ou jetés par inadvertance. La direction du Commissariat à l’information a indiqué qu’il y a des questions techniques concernant les documents d’enquête et de gestion des causes judiciaires qui pourraient avoir une incidence sur l’intégrité des documents du Commissariat. S’il devait y avoir des problèmes dans ce domaine, cela constituerait un risque important pour l’organisation.
  • Capacité de répondre aux demandes d’accès à l’information : Depuis le 1er avril 2007, le Commissariat à l’information est lui-même assujetti aux exigences de la Loi sur l’accès à l’information. Compte tenu des difficultés auxquelles il est confronté en matière de GI/TI et du fait que des processus mis au point récemment sont en train d’être mis en œuvre, il y a davantage de risques associés au respect des normes en matière d’accès à l’information. Les demandes d’accès à l’information présentées au Commissariat peuvent aussi être plus complexes que celles reçues par d’autres organisations fédérales parce que le Commissariat reçoit souvent des demandes concernant des enquêtes actuelles ou récentes et qu’il doit être plus prudent pour s’assurer que l’information n’est pas divulguée de façon inappropriée avant la fin de l’enquête et la communication des résultats aux intervenants concernés par l’enquête. De plus, vu le mandat du Commissariat à l’information, il est important que ses pratiques soient impeccables et constituent un exemple à suivre pour les autres organismes fédéraux. Si le Commissariat à l’information ne satisfaisait pas aux exigences en matière d’accès à l’information et n’adoptait pas des pratiques exemplaires dans ce domaine, cela constituerait un risque important pour sa réputation.
  • Conformité avec les politiques et règlements fédéraux : Comme tous les organismes et ministères fédéraux, le Commissariat à l’information est assujetti à un certain nombre de politiques et règlements du gouvernement fédéral. Comme il s’agit d’une petite organisation, il est possible que le Commissariat à l’information ait de la difficulté à se conformer en raison de ses ressources limitées. De plus, la responsabilité du Commissariat à l’information en matière de conformité avec les règlements et politiques s’est accrue avec l’entrée en vigueur de la Loi fédérale sur la responsabilité, qui lui octroie le rôle d’agent comptable et l’oblige à se présenter devant un comité parlementaire sur demande. Des exemples de non-conformité avec la politique ont déjà été relevés dans le domaine des ressources humaines et de la rémunération dans le cadre de la vérification annuelle du BVG pour l’exercice 2006­2007. La non-conformité avec les politiques et règlements constitue un risque constant auquel tous les ministères et organismes du gouvernement, y compris le Commissariat à l’information, sont confrontés. L’obligation pour le Commissariat à l’information de demeurer indépendant du Conseil du Trésor rend encore plus complexe sa conformité avec les politiques et règlements fédéraux. Un groupe de travail des hauts fonctionnaires du Parlement a pour mandat d’examiner les exigences des nouvelles politiques pour déterminer si elles ont une incidence sur l’indépendance ou sur la perception de l’indépendance des hauts fonctionnaires du Parlement. Il convient de mentionner que le Commissariat discute continuellement avec le Secrétariat du Conseil du Trésor au sujet des politiques existantes et, dans le cadre du renouvellement de l’ensemble des politiques, au sujet de l’applicabilité des politiques aux fonctionnaires du Parlement.
  • Gestion du changement : Le Commissariat à l’information a énormément changé au cours de la dernière année (pour ce qui est, entre autres, de la structure, des processus, etc.), et, compte tenu des initiatives actuelles, on s’attend à ce que cela continue. Quand le changement n’est pas géré de façon officielle, les contrôles requis pour obtenir les résultats voulus et le renforcement nécessaire pour assurer la durabilité des changements proposés ne sont pas toujours en place. De plus, les changements peuvent entraîner des conséquences imprévues qui peuvent être nuisibles pour l’organisation et sa capacité d’atteindre ses objectifs.


3. Plan de vérification en fonction du risque

Le PVFR pour 2008 à 2010 est résumé dans le tableau ci-dessous. On a choisi les vérifications et examens en se fondant sur les principaux risques ciblés pendant le processus de planification de la vérification en fonction du risque décrit à la Section 2. On a déterminé des vérifications/examens offrant une possibilité de couverture suffisante pour satisfaire aux exigences de la direction, afin de s’assurer qu’il y a un environnement de contrôle interne adéquat relativement aux risques cernés. Cependant, il est entendu que les contraintes liées aux ressources peuvent empêcher l’organisation de réaliser toutes les vérifications mentionnées et que le Comité de vérification se réserve le droit de choisir la portée des vérifications en fonction de ce qu’il juge approprié.

Il convient aussi de mentionner que les vérifications/examens recommandés pour les trois prochaines années ont été choisis en fonction des principes énoncés dans la Charte de vérification interne.

3.1 Activités de vérification pour 2008-2010

Activité de vérification Description Année de planification Justification de la vérification
Année 1 Année 2 Année 3
Vérification des processus d’évaluation des dossiers en cours de traitement et de gestion stratégique des dossiers mis en place pour faciliter le traitement du grand nombre de dossiers ouverts avant le 1er avril 2008

Vérification des processus d’évaluation des dossiers en cours de traitement et de gestion stratégique des dossiers afin de déterminer si les processus ont été bien conçus et s’ils fonctionnent bien. La vérification sera une occasion de procéder à un examen indépendant des nouveaux processus, qui fournira une rétroaction dans les domaines où ils fonctionnent bien et dans les domaines où il y a place à amélioration. La vérification visera, entre autres, les éléments suivants :

  • le caractère approprié des protocoles de gestion du risque et des contrôles internes établis au sein des processus;
  • l’efficacité de la formation et des communications associées à la mise en œuvre des nouveaux processus;
  • l’efficacité des contrôles de gestion du changement nécessaires pour garantir que le changement est accepté et maintenu et qu’il donne les résultats attendus;
le caractère approprié des protocoles de mesure du rendement mis en place pour fournir une rétroaction continue sur le processus.
check_mark     Les nouveaux processus d’évaluation des dossiers en cours de traitement et de gestion stratégique des dossiers sont essentiels pour que le Commissariat à l’information règle les problèmes relatifs au traitement des plaintes, qui est devenu une préoccupation des intervenants du Commissariat, y compris le Parlement et le Conseil du Trésor. Ces nouveaux processus constitueront aussi un apport essentiel à l’établissement d’un processus viable pour l’avenir. Comme pour tous les nouveaux processus, il y a des risques liés à la conception et à la mise en œuvre qui bénéficieraient d’un examen indépendant pour l’obtention d’une rétroaction.
Vérification des processus de réception et de résolution des plaintes et du processus de conformité mis en place pour le traitement des dossiers reçus après avril 2008

La vérification permettrait de déterminer le cadre de gestion et de contrôle des risques en place au sein des processus de réception et de résolution rapide des plaintes et de conformité. La vérification permettrait aussi de déterminer les domaines dans lesquels il serait possible d’améliorer les processus et la mesure dans laquelle les leçons tirées de la gestion des dossiers en traitement avant avril 2008 ont eu des répercussions. La vérification aborderait les éléments suivants :

  • le caractère approprié des contrôles internes établis au sein des processus;
  • l’examen des pratiques de surveillance/gouvernance à l’égard des enquêtes;
  • le caractère approprié de la gestion de la documentation et de l’établissement de rapports;
l’efficacité des contrôles de gestion du changement nécessaires pour garantir que le changement est accepté et maintenu et qu’il entraîne les résultats attendus.
  L’efficacité des processus de réception et de résolution rapide des plaintes et de ceux liés au respect de la Loi est essentielle à la réalisation du mandat du Commissariat à l’information. Il faut des processus efficaces dans ce domaine pour veiller à gérer rapidement les dossiers reçus, pour faire preuve d’une diligence raisonnable et pour atténuer le risque que les nouveaux dossiers s’accumulent au fil du temps. Une approche fondée sur le risque à l’égard de l’affectation des ressources durant les processus soutient l’efficacité et l’efficience des activités. Ces processus essentiels devraient faire l’objet d’une vérification indépendante de façon périodique.
Vérification des processus de RH et du modèle de prestation de services

La vérification permettrait d’examiner les principaux processus de RH et le modèle de prestation de services du Commissariat à l’information en accordant une attention particulière aux éléments suivants :

  • le caractère approprié des plans et des pratiques de recrutement et de maintien en poste;
  • la viabilité de la méthode de formation et de perfectionnement;
  • la mise en œuvre de pratiques comme la planification de la relève, des programmes de reconnaissance ou de récompense, etc.
Veuillez noter que cette vérification ne visera pas à examiner pas la conformité avec les règlements en matière de RH, compte tenu du travail récent dans ce domaine du Bureau du vérificateur général et de la Commission de la fonction publique.
    Compte tenu des difficultés auxquelles le Commissariat est confronté quand vient le temps d’attirer et de maintenir en poste des ressources compétentes et expérimentées, un examen indépendant des pratiques de RH dans ce domaine serait peut-être profitable.
Examen de la mise en œuvre de la stratégie en matière de GI/TI Après le travail actuellement en cours au Commissariat à l’information concernant la stratégie en matière de GI/TI, si l’analyse de rentabilisation de la GI/TI est approuvée, cet examen permettra d’évaluer le caractère approprié du plan de gestion du Commissariat visant l’amélioration des pratiques en matière de GI/TI au sein de l’organisation. L’examen sera axé sur les progrès réalisés à ce jour et sur tout obstacle ou risque apparent qui pourrait nuire à la capacité de l’organisation de s’attaquer aux difficultés observées en matière de GI/TI. Pour terminer, cette vérification permettra d’examiner l’efficacité des contrôles de gestion du changement nécessaires pour que le changement soit accepté et maintenu et qu’il donne les résultats attendus.     Des entrevues avec les dirigeants du Commissariat à l’information ont révélé que l’environnement de GI/TI du Commissariat est un obstacle à la réalisation efficace de ses activités. Même si, actuellement, une évaluation, une planification et une analyse de rentabilisation de haut niveau en matière de TI sont en cours, il sera essentiel que le Commissariat se conforme à la stratégie élaborée de façon appropriée pour s’attaquer aux problèmes décelés en matière de GI/TI. Cet examen fournira une information indépendante au Comité de vérification sur les progrès réalisés par la direction dans ce domaine.
Examen des processus de gestion de l’information et d’accès à l’information

Un examen de haut niveau des pratiques de gestion de l’information du Commissariat vise à garantir que l’information est bien protégée et qu’il existe des procédures et des politiques concernant la gestion de l’information de nature délicate. L’examen traitera principalement des éléments suivants :

  • les pratiques, politiques et procédures en matière de gestion de l’information;
  • les dispositifs de sécurité liés à la sécurité des TI;
  • la conservation des documents et l’intégrité des données pour ce qui est de l’information concernant les enquêtes de l’information juridique;
  • le traitement des demandes d’accès à l’information;
L’efficacité des contrôles de gestion du changement nécessaires pour garantir que le changement est accepté et maintenu et qu’il donne les résultats attendus.
    La gestion appropriée de l’information est essentielle pour le Commissariat, qui doit conserver la confiance des autres ministères et organismes du gouvernement, du Parlement et du grand public. De plus, pour valider les résultats, le Commissariat doit s’assurer que l’information concernant les enquêtes et l’information juridique est exacte et complète et n’a pas été modifiée.
Vérification d’une sélection de contrôles au niveau des entités

Vérification des principaux contrôles de gestion de haut niveau du Commissariat pour garantir que la haute direction donne l’exemple en faisant la promotion d’un environnement sain pour les contrôles internes. La vérification couvrira :

  • les valeurs et l’éthique;
  • la gouvernance;
  • la planification;;
  • la gestion du risque;
  • la gestion des politiques.
    Le contrôle au niveau des entités ou « l’exemple de la direction » est considéré comme étant un élément essentiel d’un environnement de contrôle interne efficace, en particulier dans le contexte actuel qui exige davantage de responsabilités et de transparence. Un examen indépendant des principales pratiques dans divers domaines de contrôle des entités serait profitable.
Audit Support Activities
Présence aux réunions et aux exposés Assister à certains exposés du Comité de vérification et réunions de la direction. Nécessaire pour maintenir une présence visible au sein du Commissariat et pour rendre compte des constatations de la vérification au Comité de vérification.
Activités de planification de la vérification Réaliser les activités requises pour mettre à jour le plan de vérification interne sur une base annuelle. Nécessaire pour s’assurer que les vérifications prévues sont toujours pertinentes et pour cerner d’autres priorités en matière de vérification au fur et à mesure qu’elles se présentent.
Activités de suivi des vérifications

Procéder à un suivi des vérifications internes précédentes pour déterminer si la direction a donné suite aux recommandations.

  AD AD Nécessaire pour s’assurer que la direction a donné suite aux recommandations.


Annexe A — Charte de vérification

Commissariat à l’information du Canada

CHARTE DE VÉRIFICATION INTERNE

MISSION ET PORTÉE DES TRAVAUX 

La mission de la fonction de vérification interne du Commissariat à l’information du Canada est de fournir une garantie et des services de consultation indépendants et objectifs conçus pour ajouter de la valeur aux activités de l’organisation et de les améliorer. Cette fonction aide l’organisation à atteindre ses objectifs en lui fournissant une méthode systématique et disciplinée d’évaluation et d’amélioration de l’efficacité des processus de gestion du risque, de contrôle et de gouvernance.

L’objet des travaux du service de vérification interne est de déterminer si l’ensemble des processus de gestion du risque, de contrôle et de gouvernance de l’organisation, tels que conçus et présentés par la direction, est adéquat et permet de garantir ce qui suit :

  • les risques sont bien délimités et gérés;
  • l’interaction avec les divers groupes de gouvernance a lieu au besoin;
  • l’information importante concernant les finances, la gestion et les opérations est exacte, fiable et disponible en temps opportun;
  • les employés se conforment aux politiques, normes, procédures, lois et règlements applicables;
  • des ressources sont acquises de façon économique, utilisées de façon efficace et adéquatement protégées;
  • les programmes, les plans et les objectifs sont respectés;
  • les processus de contrôle de l’organisation favorisent la qualité et l’amélioration continues;
  • les importantes questions législatives ou réglementaires ayant une incidence sur l’organisation sont reconnues et abordées de façon appropriée.

Comme la vérification interne est une nouvelle fonction au sein du Commissariat et que l’organisation subit actuellement des transformations importantes, les services de vérification interne devront d’abord procéder à des vérifications qui fournissent une rétroaction en temps opportun sur les processus nouveaux ou en évolution, afin de maximiser la valeur de la vérification interne pour le Commissariat. Pendant le peaufinement de la fonction de vérification interne et des nouveaux processus du Commissariat, l’objet des vérifications internes peut changer, et les vérifications peuvent porter davantage sur la conformité, au besoin.

La Charte de vérification interne est une composante essentielle du régime de vérification interne, et ce qui suit est le reflet de la Politique sur la vérification interne du CT et de l’Entente conjointe du Groupe de travail des hauts fonctionnaires du Parlement. Les membres du Groupe de travail des hauts fonctionnaires du Parlement se sont entendus sur le fait que les systèmes, les processus et l’infrastructure de vérification interne de chacun des bureaux du Parlement devraient être conforme à la Politique en matière de vérification interne du gouvernement, qui doit toutefois respecter l’indépendance de ces bureaux par rapport au gouvernement et tenir compte du fait qu’ils sont relativement petits et du rôle de surveillance joué par le Comité consultatif parlementaire à l’égard du financement des hauts fonctionnaires du Parlement.

RESPONSABILITÉ 

Dans l’exercice des fonctions suivantes, le responsable de la vérification interne rendra compte au commissaire et au Comité de vérification pour ce qui est de :

  • fournir une évaluation de l’efficacité et du caractère adéquat des processus de l’organisation visant le contrôle de ses activités et la gestion des risques dans les domaines énoncés à la section Mission et Objet des travaux;
  • signaler les problèmes importants liés aux processus de contrôle des activités de l’organisation, notamment les améliorations qui pourraient être apportées à ces processus, et fournir de l’information concernant ces problèmes et leurs solutions;
  • fournir régulièrement de l’information sur l’évolution et les résultats du plan de vérification annuel et sur le caractère suffisant des ressources en matière de vérification interne;
  • coordonner d’autres fonctions de contrôle interne et externe et de surveillance (p. ex. la gestion du risque, la sécurité et la vérification externe).

INDÉPENDANCE 

Pour assurer l’indépendance de la personne responsable de la vérification interne, cette personne relèvera, sur le plan administratif, du commissaire adjoint, Politique, communications et opérations, et, sur le plan fonctionnel, du commissaire et du Comité de vérification. La personne responsable de la vérification interne doit rencontrer régulièrement le président du Comité de vérification, tenir des séances à huis clos avec le Comité de vérification, demander au Comité de vérification de recommander au commissaire d’approuver le plan annuel et la Charte de vérification et demander au Comité de vérification de prendre part aux décisions concernant la nomination ou la destitution du chef de la vérification interne. La reddition de comptes administrative est liée à la relation qui facilite les activités quotidiennes de vérification interne et comprend des activités comme la coordination et les communications internes, la coordination des missions de vérification et les rapports d’étape.

RESPONSABILITÉ

Le responsable de la vérification interne assume les responsabilités suivantes :

  • élaborer un plan annuel flexible de vérification en utilisant une méthode appropriée axée sur le risque, y compris tout risque ou toute préoccupation concernant le contrôle cerné par la direction ou le Comité de vérification, et présenter ce plan au Comité de vérification pour qu’il l’examine et recommande son approbation;
  • mettre en œuvre le plan annuel de vérification, tel qu’approuvé, y compris, s’il y a lieu, toute tâche ou tout projet spécial demandé par la direction ou le Comité de vérification;
  • coordonner ses activités avec celles des vérificateurs externes pour assurer une transmission appropriée de l’information et l’harmonisation des efforts de façon à éviter le chevauchement des tâches;
  • maintenir en poste un effectif professionnel en matière de vérification ayant les connaissances, les compétences, l’expérience et les certifications professionnelles nécessaires pour satisfaire aux exigences de la charte;
  • mettre sur pied un programme d’assurance de la qualité pour l’exécution des activités de vérification interne;
  • évaluer les changements importants au sein de l’organisation qui pourraient avoir une incidence sur la capacité de la direction d’atteindre ses objectifs pendant leur élaboration, leur mise en œuvre ou leur expansion;
  • publier périodiquement des rapports résumant les résultats des activités de vérification à l’intention du Comité de vérification et de la direction;
  • tenir le Comité de vérification au courant des nouvelles tendances et des pratiques de vérification interne qui donnent de bons résultats;
  • contribuer à l’enquête sur des activités frauduleuses importantes cernées ou soupçonnées au sein de l’organisation et informer le commissaire et le Comité de vérification des résultats;
  • tenir compte de la portée des travaux des vérificateurs externes, s’il y a lieu, dans le but d’assurer une vérification optimale des différents secteurs de l’organisation à un coût total raisonnable.

AUTORISATION 

Le responsable de la vérification interne (Deloitte) est autorisé à :

  • avoir un accès illimité à l’ensemble des dossiers, fonctions, biens et employés et à obtenir de l’information et des explications auprès des employés et entrepreneurs du bureau en respectant les lois applicables;
  • avoir un accès libre et complet au Comité de vérification;
  • affecter les ressources, établir les fréquences, choisir les sujets, déterminer l’ampleur des travaux et appliquer les techniques requises pour atteindre les objectifs de la vérification;
  • obtenir l’aide nécessaire auprès du personnel des unités de l’organisation au sein desquelles il procède à des vérifications de même qu’auprès d’autres services spécialisés internes ou externes.

Pour soutenir ces pouvoirs, le Commissariat à l’information a affecté une ressource, le directeur de la Vérification interne et de la planification, à titre d’agent de liaison pouvant faciliter les accès de Deloitte, mentionnés précédemment. Cependant, le directeur n’assumera aucune des responsabilités liées à la fonction de vérification interne.

Le responsable de la vérification interne (Deloitte) n’est pas autorisé à :

  • exercer une fonction opérationnelle quelconque pour l’organisation;
  • entreprendre ou approuver des opérations financières ne relevant pas de la fonction de vérification interne;
  • diriger les activités des employés de l’organisation n’étant pas affectés à la fonction de vérification interne, sauf si ces employés font partie des équipes de vérification ou sont autorisés à fournir une aide quelconque au responsable de la vérification interne.

MODÈLE OPÉRATIONNEL 

Le Commissariat à l’information a décidé d’impartir la fonction de vérification interne et a désigné Deloitte et Touche s.r.l. (« Deloitte ») chef de la vérification interne (ci-après « CVI »).

Le chef de la vérification interne mènera des activités de vérification conformément à la présente Charte de vérification et collaborera avec le Comité de vérification pour s’assurer que les plans de vérification permettent une étendue appropriée de la vérification et une présence/visibilité au sein du Commissariat, et qu’ils permettent aux employés du Commissariat d’avoir un accès approprié à la fonction de vérification interne, au besoin.  

Pour se tenir suffisamment informé des activités du Commissariat à l’information, le CVI ou son délégué devrait être invité à assister aux réunions de la direction du Commissariat (à titre d’observateur), être informé des principaux envois de courriels du Commissariat et être inclus dans son annuaire téléphonique.

Le Comité de vérification devrait réexaminer officiellement le modèle d’impartition de la fonction de vérification interne de façon périodique pour s’assurer qu’il satisfait adéquatement aux exigences du Commissariat.

NORMES RELATIVES AUX PRATIQUES DE VÉRIFICATION 

Le chef de la vérification interne satisfera aux normes et à la Politique sur la vérification interne du gouvernement du Canada, notamment les Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des vérificateurs internes, ou les dépassera, pour réaliser ses missions de vérification interne.

APPROBATIONS 

Original signé par
Deloitte & Touche LLP
In its capacity as the OIC’s
Chief Audit Executive
 
Original signé par

Président du Comité de vérification interne

 
Original signé par
Robert Marleau
Commissaire à l’information