Plan de vérification et d’évaluation axé sur les risques pour 2017-2020

Commissariat à l’information du Canada
Octobre 2017

Table des matières

Table des matières

Sommaire

Introduction

Ce document présente le plan intégré de vérification et d’évaluation axé sur les risques (PVEAR) pour le Commissariat à l’information du Canada (le Commissariat). Le PVEAR regroupe le plan de vérification interne et le plan d’évaluation pour les trois prochaines années (2017 à 2020). Il a pour objectif d’affecter les ressources aux secteurs qui présentent les risques les plus importants et qui sont prioritaires pour le Commissariat, ainsi que de satisfaire aux exigences des politiques du Conseil du Trésor sur les résultats et la vérification interne.

Le PVEAR met à profit le plan de vérification et d’évaluation axé sur les risques 2014-2018 du Commissariat et le plan de vérification interne triennal axé sur les risques du Bureau du contrôleur général pour les exercices 2016-2017 à 2018-2019 en intégrant les projets d’évaluation conformément à la Politique sur les résultats et à la Politique sur la vérification interne du Conseil du Trésor (CT). Le plan indique les ressources nécessaires pour pouvoir répondre efficacement et en temps opportun aux demandes du Comité de vérification et d’évaluation et du Comité exécutif. Le PVEAR reconfirme l’objectif d’affecter les ressources aux secteurs qui représentent les priorités les plus importantes pour l’organisation et de veiller à ce que les services de vérification interne et d’évaluation procurent les plus grands avantages possible au Commissariat.

À titre d’agent du Parlement, le Commissariat relève directement du Parlement et est exclu de la surveillance traditionnelle exercée par le Secrétariat du Conseil du Trésor du Canada (SCT). Cependant, le Commissariat doit avoir mis en place un comité de vérification et d’évaluation et il considère que ses mécanismes de surveillance interne et sa structure de gouvernance sont de la plus haute importance pour aider à faire en sorte que des pratiques de gestion adéquates soient en place.

Vérifications et évaluations proposées

Exercice Nom du projet de vérification Entité principale Budget prévu
2017-2018 Évaluation de la menace et des risques (EMR) et Évaluation de la menace et de la vulnérabilité (EMV) Technologie de l’information (TI) 24 000 $
2018-2019 Examen de la gestion du rendement et des talents Ressources humaines (RH) 30 000 $
2018-2019 Vérification de l’approvisionnement et de la passation des marchés Commission canadienne des droits de la personne (CCDP) et Commissariat à l’information - Finances 35 000 $
2019-2020 Vérification de sécurité de la gestion de l’information et de l’infrastructure physique Services organisationnels 25 000 $
2019-2020 Évaluation des enquêtes Haute direction et règlement des plaintes 35 000 $

Contexte de la planification

Contexte

Le commissaire à l’information est un agent du Parlement nommé en vertu de la Loi sur l’accès à l’information.

Le commissaire protège les droits d’accès à l’information et en fait la promotion.

Le commissaire représente le premier niveau de révision indépendante des décisions des institutions concernant les demandes d’accès à l’information du secteur public. La Loi précise que le commissaire doit mener une enquête sur toutes les plaintes qu’il reçoit. Il est épaulé dans son travail par le Commissariat à l’information.

Le Commissariat soutient également le commissaire dans son rôle consultatif auprès du Parlement et des comités parlementaires sur toutes les questions se rapportant à l’accès à l’information. Il fait la promotion active d’un plus grand accès à l’information au Canada au moyen d’initiatives ciblées, comme la Semaine du droit à l’information, et par un dialogue constant avec les Canadiens, le Parlement et les institutions.

En avril 2017, l’actuelle commissaire à l’information, Suzanne Legault, a annoncé qu’elle ne solliciterait pas un autre mandat.

Modifications à la Loi sur l’accès à l’information

En juin 2017, le gouvernement a déposé le projet de loi C-58 visant à apporter des modifications législatives à la Loi sur l’accès à l’information.
Les changements proposés, en particulier à la fonction de surveillance du commissaire, pourraient avoir une incidence sur le profil de risque du Commissariat.

Priorités à l’échelle du gouvernement

Dans le discours du Trône du 4 décembre 2015, le gouverneur général a présenté le programme du gouvernement. Les principales priorités du gouvernement sont de favoriser :

  • La croissance de la classe moyenne;
  • Un gouvernement ouvert et transparent;
  • Un environnement sain et une économie forte;
  • La diversité;
  • La sécurité et les possibilités.

La lettre de mandat du président du Conseil du Trésor contient la priorité suivante : « Collaborer avec la ministre de la Justice afin d’accroître la transparence du gouvernement, y compris diriger un examen de la Loi sur l’accès à l’information afin que les Canadiens aient plus facilement accès à leurs renseignements personnels, que le commissaire à l’information soit habilité à ordonner la communication de renseignements gouvernementaux et que la Loi s’applique de façon appropriée au Cabinet du premier ministre et aux cabinets des ministres ainsi qu’aux institutions administratives à l’appui du Parlement et des tribunaux. »

Des priorités similaires ont également été énoncées dans les lettres de mandat adressées à la ministre de la Justice et procureur général du Canada et à la ministre des Institutions démocratiques.

Le gouvernement du Canada est actuellement l’un des quatre coprésidents du Partenariat pour un gouvernement ouvert. En 2018-2019, il assumera le rôle de coprésident gouvernemental principal.

L’engagement d’un gouvernement ouvert et transparent est directement lié au mandat du Commissariat.

Priorités stratégiques du Commissariat

Vision : Un gouvernement ouvert et responsable

Mission : Promouvoir et protéger les droits d’accès à l’information.

Engagement de la direction : Nous mobilisons l’ensemble du personnel en vue de bâtir un milieu de travail sain.

L’objectif des quatre priorités énoncées ci-dessous est de permettre au Commissariat de concentrer ses efforts dans les domaines qui lui permettent le mieux de remplir son mandat, de respecter les priorités et les politiques du gouvernement et d’attirer et de conserver des travailleurs exceptionnels.

Protéger les droits d’accès à l’information des Canadiens : Les enquêtes sont au cœur du programme du Commissariat et constituent le principal moyen par lequel le commissaire protège les droits conférés par la Loi sur l’accès à l’information.

Promouvoir les droits d’accès à l’information des Canadiens : Le Commissariat joue un rôle clé dans la promotion des droits d’accès, et préconise un système d’accès robuste et moderne afin de fournir aux demandeurs les renseignements dont ils ont besoin pour demander des comptes au gouvernement.

Assurer une saine gouvernance : Le Commissariat doit faire preuve d’une saine intendance des fonds et des ressources publics et appliquer les normes les plus élevées en matière de reddition de comptes.

Favoriser un milieu de travail exceptionnel : Il est essentiel que le Commissariat canalise les compétences, les connaissances et l’expérience de sa main-d’œuvre et qu’il lui assure un environnement de travail sain pour être en mesure de concrétiser le mandat du commissaire.

Ces priorités ont été prises en considération lors de l’élaboration du PVEAR.

Structure et ressources du Commissariat

Effectif et structure organisationnelle : L’effectif du Commissariat comprend 93 équivalents temps plein (ETP) approuvés, comme pour les trois années précédentes. De ces 93 ETP, 71 travaillent aux enquêtes alors que les 22 autres fournissent des services organisationnels. Voir l’annexe E pour consulter l’organigramme.

Ressources financières : Le budget principal des dépenses du Com missariat pour les cinq dernières années variait de 11 707 736 $ en 2012-2013 à 11 194 485 $ en 2016-2017. Il est identique pour 2017-2018. Le Commissariat a reçu un financement temporaire de 3 432 858 $ en 2016-2017 de la réserve de gestion du Conseil du Trésor afin de réduire le nombre de plaintes de l'inventaire reçues avant le 1er avril 2016.

Historique des plaintes : Le Commissariat reçoit deux types de plaintes : les plaintes administratives et les plaintes de refus. Toute plainte non résolue au cours de l’exercice où elle est reçue est reportée à l’exercice suivant et considérée comme faisant partie de l’inventaire des plaintes. Le graphique ci-dessous présente le nombre de cas reçus, réglés et reportés depuis 2012-2013.

Nombre de plaintes reçues, réglées et dans l'inventaire (2012-2013 à 2016-2017)

Version texte

Le présent diagramme à lignes montre le nombre de plaintes que la commissaire a reçues, résolues et qui restent toujours dans l’inventaire à la fin de l’année. Le diagramme démontre les données pour les années 2012-2013 à 2016-2017.

En 2012-2013, la commissaire a reçu 1 596 plaintes, 1 621 plaintes ont été résolues et 1 798 plaintes restent toujours dans l’inventaire à la fin de l’année.

En 2013-2014, la commissaire a reçu 2 081 plaintes, 1 788 plaintes ont été résolues et 2 091 plaintes restent toujours dans l’inventaire à la fin de l’année.

En 2014-2015, la commissaire a reçu 1 749 plaintes, 1 596 plaintes ont été résolues et 2 244 plaintes restent toujours dans l’inventaire à la fin de l’année.

En 2015-2016, la commissaire a reçu 2 047 plaintes, 1 281 plaintes ont été résolues et 3 010 plaintes restent toujours dans l’inventaire à la fin de l’année.

En 2016-2017, la commissaire a reçu 2 079 plaintes, 2 245 plaintes ont été résolues et 2 844 plaintes restent toujours dans l’inventaire à la fin de l’année.

 

Progression de la mise en œuvre du plan de vérification et d’évaluation du Commissariat de 2014-2018

Un plan de vérification et d’évaluation a été achevé en 2013. Il comportait les projets de vérification et d’évaluation suivants devant être terminés d’ici la fin mars 2018. Les progrès réalisés dans ce plan ont été pris en compte dans le nouveau plan. Le tableau ci dessous résume l’état actuel du plan de 2014-2018.

Exercice Nom du projet de vérification Entité principale Situation actuelle
2013-2014 Vérification de la dotation et de la gouvernance Services organisationnels Complété en mars 2013 (Samson)
2014-2015 (Après l’emménagement) Vérification de la sûreté des technologies de l’information et de l’infrastructure physique Services organisationnels Terminé en septembre 2016 (Samson)
EMR/EMV en cours (Cistel)
2014-2015 Évaluation du règlement des plaintes et des enquêtes. Phase I : Élaboration d’un cadre de mesure du rendement et d’évaluation Règlement des plaintes et respect de la Loi Des indicateurs du rendement ont été élaborés pour faire le suivi des délais de règlement moyens des plaintes, ainsi que pour suivre le nombre de recommandations mises en œuvre.
2015-2016 Vérification de l’approvisionnement et de la passation des marchés Services organisationnels En suspens
Les services ont été sous traités à la Commission canadienne des droits de la personne (CCDP).
2015-2016 Vérification de la gestion de l’information Services organisationnels Terminé en septembre 2016 (Samson)
Avril 2017 (RHEA)
2016-2017 Évaluation des enquêtes, phase II : Mise en œuvre Règlement des plaintes et respect de la Loi En suspens
2017-2018 Vérification du Système de gestion des dossiers Services organisationnels En suspens

Risques organisationnels clés du Commissariat (2013-2014)

La liste des principaux risques organisationnels suivante a été élaborée en 2012. À l’époque, le Commissariat effectuait une transition importante puisqu’il déménageait physiquement ses bureaux à l’emplacement actuel au 30, rue Victoria. En même temps, le gouvernement faisait face à une période de rajustement de la main-d’œuvre qui a entraîné une réduction de 5 % des niveaux de financement affectés. Ces risques ont été examinés et pris en compte dans l’élaboration du profil de risque à jour du Commissariat :

  1. Contraintes financières;
  2. Évolution des plaintes;
  3. Effectif;
  4. Gestion du changement;
  5. Sécurité de l’infrastructure physique et des technologies de l’information (TI);
  6. Cibles et mesures de rendement inadéquates.

Classement des risques des petits ministères établi par priorité par le BCG

Le Secrétariat du Conseil du Trésor assure la vérification et la surveillance par l’intermédiaire d’un comité de vérification des petits ministères et organismes (PMO) formé de membres de l’extérieur nommés pour superviser 42 petits ministères et 5 organismes de développement régional comptant moins de 500 employés et moins de 300 millions de dollars en dépenses annuelles approuvées. Même si le Commissariat, en tant qu’agent du Parlement, n’est pas soumis à cette surveillance, il choisit néanmoins de tenir compte des catégories de risque élevé des PMO que le CT a établies comme prioritaires dans son plan de vérification. Le SCT a cerné neuf secteurs à prendre en compte durant la vérification :

  1. Gestion de la technologie de l’information;
  2. Rémunération;
  3. Gestion des services partagés et communs;
  4. Gestion des effectifs;
  5. Gestion de la sécurité;
  6. Passation de marchés et approvisionnement;
  7. Gestion réglementaire;
  8. Gestion et supervision (information financière et non financière pour la prise de décisions);
  9. Planification des investissements et gestion des projets.

Veuillez consulter l’annexe B pour obtenir plus de renseignements sur le profil de risque des PMO en date d’octobre 2016.

Approche de planification

Exigences principales en matière de vérification et d’évaluation

Un certain nombre de politiques, de directives et de lignes directrices du Conseil du Trésor déterminent les exigences et les pratiques exemplaires aux fins de la planification, de la vérification et de l’évaluation au sein du gouvernement fédéral. Ces politiques, directives et lignes directrices ont été utilisées comme meilleures pratiques pour l’élaboration du PVEAR. La présente section met en relief quelques-unes des principales exigences et obligations et présente l’approche utilisée pour évaluer les projets à inclure dans le PVEAR et en établir l’ordre de priorités.

Plan et champ d’application de l’évaluation

Pour le gouvernement du Canada, l’évaluation est la collecte et l’analyse systématiques de données probantes sur les résultats des programmes afin d’optimiser les ressources des programmes du gouvernement fédéral et de trouver d’autres façons d’obtenir les mêmes résultats.

Selon la politique du CT, les institutions fédérales doivent préparer un plan quinquennal d’évaluation continue. La couverture requise par le plan est essentiellement fondée sur deux aspects.

La Loi sur la gestion des finances publiques (article 42.1) exige qu’une évaluation de tous les programmes de subventions et contributions (S et C) permanents soit effectuée sur un cycle de cinq ans (ne s’applique pas au Commissariat).

La Politique sur les résultats du CT exige qu’à compter de 2016, les administrateurs généraux soient responsables d’approuver annuellement et de fournir au Secrétariat du Conseil du Trésor du Canada, de la manière et au moment prescrits par celui-ci, un plan d’évaluation présentant clairement la portée de l’évaluation prévue, y compris pour ce qui est des dépenses organisationnelles et des programmes de l’inventaire, pendant la période de planification. La Politique sur les résultats exempte les agents du Parlement de l’obligation de fournir un plan de vérification et d’évaluation quinquennal.

En outre, il existe un certain nombre d’autres exigences de planification possibles. Plus particulièrement, les plans d’évaluation doivent également :

  • S’aligner sur le cadre ministériel des résultats;
  • Appuyer le système de gestion des dépenses;
  • Inclure l’aspect administratif des principales dépenses en vertu de la loi (ne s’applique pas au Commissariat);
  • Inclure d’autres programmes, évaluations précises ou éléments du plan d’évaluation général du gouvernement, le cas échéant.

Compte tenu du mandat du Commissariat, les dépenses de programme directes se limitent à un secteur de programme : respect des obligations liées à l’accès à l’information. Ce programme est appuyé par le programme des services internes. Bien que le Commissariat ne dispose pas d’une fonction d’évaluation interne, il est néanmoins doté d’une stratégie de mesure du rendement officielle et le rapport annuel de l’organisation fournit une analyse détaillée et comparative du rendement du Commissariat pour ce qui est de son secteur de programme et de ses services internes. Des examens plus approfondis sont exécutés, au besoin, pour évaluer les causes sous-jacentes aux nouvelles tendances et variations dans le rendement en matière de protection des droits d’accès à l’information en vertu de la Loi.

Plan de vérification interne

Les vérifications internes fournissent des conclusions indépendantes, objectives et documentées sur l’efficacité des processus de gestion du risque, de contrôle et de gouvernance. L’accent est mis sur tous les systèmes, les processus et les pratiques de gestion, y compris l’intégrité de l’information financière et non financière. Les services d’assurance de la vérification interne fournissent des opinions fondées sur des données probantes quant à la mesure dans laquelle le système de contrôle interne est approprié et appuie le respect des impératifs suivants de manière efficace :

  • la réalisation des objectifs opérationnels;
  • la protection des biens;
  • l’efficacité et l’efficience des opérations;
  • la fiabilité et l’intégrité de l’information financière et opérationnelle;
  • la conformité avec les lois, politiques et lignes directrices.

En vertu de la politique du CT, les plans de vérification interne doivent couvrir les domaines présentant des risques et une importance plus élevés. Le plan de vérification interne doit aussi présenter les caractéristiques suivantes :

  • être axé sur les risques;
  • être examiné par le comité de vérification;
  • se concentrer principalement sur la prestation de services d’assurance;
  • s’appuyer sur un horizon pluriannuel;
  • traiter les risques et les vérifications internes désignés par le contrôleur général dans le cadre de la couverture pangouvernementale;
  • soutenir le rapport annuel sur l’assurance concernant l’état global des processus de gestion des risques, de contrôle et de gouvernance de l’organisation.

Approche de planification

La méthode sur laquelle s’appuie ce plan est fondée sur le Cadre de référence international des pratiques professionnelles de la vérification interne de l’Institute of Internal Auditors (IIA). Le PVEAR a été élaboré à l’aide de l’approche décrite dans l’illustration suivante :

Approche de la planification de la vérification et de l'évaluation axée sur les risques

Version texte

Ce graphique présente l’approche de planification du Plan de vérification et d’évaluation axé sur les risques. L’approche de planification comporte quatre principales étapes qui sont présentées dans des encadrés distincts, en ordre de gauche à droite. Les encadrés ont la forme de flèches qui pointent vers la droite et indiquent le titre de chaque étape de planification. Sous chaque encadré en forme de flèche, on retrouve des puces qui décrivent plus en détail chaque étape.

Étape 1 : Définition de l’univers de vérification et d’évaluation

Renseignements supplémentaires :

  • Inventaire des programmes aligné
  • Définition de la portée possible de l’activité de vérification interne et d’évaluation
  • Détermination des entités « vérifiables » ou « évaluables »

Étape 2 : Analyse de l’environnement de l’univers de vérification et d’évaluation

Renseignements supplémentaires :

  • Consultations stratégiques avec le commissaire, les sous-commissaires, la haute direction et un membre du Comité de vérification
  • Examen des principaux documents (p. ex. plan ministériel, Rapport ministériel sur le rendement, rapport annuel)

Étape 3 : Priorisation des entités de l’univers de vérification et d’évaluation

Renseignements supplémentaires :

  • Approche fondée sur des critères pondérés en fonction du contexte pour chaque entité de l’univers avec une échelle de cotation pour les évaluations de l’incidence et de la probabilité

Étape 4 : Sélection des projets et élaboration du plan

Renseignements supplémentaires :

  • Prise en compte de la faisabilité, des vérifications antérieures, des évaluations et d’autres évaluations
  • Prise en compte des ressources disponibles, du délai, de la portée des objectifs
  • Mise à jour annuelle
 

Définition de l’univers de vérification et d’évaluation

L’univers de vérification et d’évaluation définit la portée possible des missions proposées et comprend les entités individuelles de l’univers qui peuvent faire l’objet d’une vérification interne ou d’une évaluation. Afin d’assurer l’harmonisation entre l’objet des projets de vérification interne et d’évaluation et la structure opérationnelle du Commissariat, les entités de l’univers ont été harmonisées avec les programmes et les services internes du Commissariat, comme il est indiqué dans l’inventaire des programmes 2017-2018.

Le tableau suivant présente l’univers de vérification et d’évaluation du Commissariat :

Univers de vérification et d’évaluation

Résultat stratégique Un gouvernement fédéral transparent, responsable et sensible aux besoins des Canadiens
Programme 1. Respect des obligations liées à l’accès à l’information
Entités de l’univers de vérification et d’évaluation Enquêtes (trois unités organisationnelles)
Litiges
Conseils au Parlement
Programme 2. Services internes
Entités de l’univers de vérification et d’évaluation Bureau du commissaire Planification et rapports ministériels Gestion des ressources humaines
Finances Technologie de l’information Gestion de l’information
Accès à l’information et protection des renseignements personnels Approvisionnement, cartes d’achat et passation de marchés Voyages et accueil
Valeurs et éthique Services administratifs Vérification interne et évaluation

Analyse de l’environnement

Une série d’entrevues ont été menées auprès de la commissaire à l’information, des sous-commissaires, de la direction et d’un membre externe du Comité de vérification et d’évaluation afin de cerner les changements organisationnels, les principaux risques auxquels les activités sont exposées et les domaines dans lesquels la vérification interne ou l’évaluation pourraient présenter la plus grande valeur à l’appui de la réalisation des objectifs organisationnels. Il convient de noter que les entrevues ont eu lieu peu de temps après que le gouvernement ait annoncé les modifications législatives à la Loi et que la commissaire à l’information actuelle ait annoncé qu’elle ne solliciterait pas un autre mandat. Ces annonces ont été prises en compte dans les risques cernés lors des entrevues.

Des documents clés, tels que le Rapport annuel 2016-2017, le Rapport ministériel sur le rendement (RMR) de 2016-2017 et le Plan ministériel (PM) de 2017-2018, ont été examinés afin de faciliter la reconnaissance des priorités organisationnelles et des principaux secteurs de risque. Ces renseignements permettent non seulement à la direction de déterminer dans quels domaines elle doit axer ses efforts, mais aussi de dégager l’information relative à l’exposition au risque qui a été utilisée pour répertorier les entités de l’univers et établir la priorité des projets de vérification et d’évaluation. Comme point de départ pour les entrevues, les risques clés déterminés par le Bureau du contrôleur général (BCG) ont été pris en compte pour le classement des risques pendant les entrevues ainsi que les principaux risques cernés en 2013 pour le PVEAR du Commissariat de 2014-2018.

Priorisation des entités de l’univers de vérification et d’évaluation

Au cours des entrevues avec la direction, chaque risque éventuel a été classé en fonction de deux critères : la probabilité de l’occurrence du risque et son incidence sur le Commissariat, en utilisant une échelle de 1 (faible) à 5 (élevé). Les résultats finaux du classement se trouvent à l’annexe C.

Une cote moyenne a été établie pour chaque risque afin de classer les secteurs de risque du Commissariat par ordre de priorité. De plus, les risques ont ensuite été reportés sur un diagramme X et Y afin de visualiser ceux dont l’incidence et la probabilité sont les plus grandes. Ce diagramme d’exposition aux risques se trouve à l’annexe D.

Risques cernés lors de l’analyse des risques

Au cours de l’analyse de l’environnement, les risques ci-après ont été reconnus comme les plus probables et ceux ayant la plus forte incidence sur le Commissariat.

Modifications à la Loi sur l’accès à l’information : Les changements législatifs apportés à la Loi sur l’accès à l’information pourraient avoir une incidence sur le nombre de plaintes reçues par le Commissariat et sur l’environnement opérationnel dans lequel il mène ses enquêtes.

Ressources humaines : En tant qu’agent du Parlement comptant moins de 100 ETP, le Commissariat est exposé à un risque constant d’avoir un nombre insuffisant d’employés possédant l’expérience et l’éventail de connaissances nécessaires pour mener à bien ses activités ou traiter ses priorités concurrentes. De plus, la perte d’employés qualifiés au profit de plus grandes organisations offrant plus de possibilités d’avancement pourrait avoir une incidence sur la capacité du Commissariat d’exécuter son mandat en temps opportun.

Passation de marchés et approvisionnement : Le Commissariat a conclu une entente autorisant la Commission canadienne des droits de la personne (CCDP) à fournir des services d’approvisionnement et de passation de marchés. La sous-traitance de ce service (dépendance à l’égard d’une autre organisation), le respect des politiques et des règlements, le roulement des employés à la CCDP, l’urgence des marchés avec les enquêteurs et l’incidence possible sur les niveaux de service ont été reconnus comme des risques éventuels pour le Commissariat.

Gestion de l’information et technologie de l’information : Une atteinte à la sécurité entraînant la divulgation de renseignements obtenus lors d’une enquête, y compris des renseignements personnels ou secrets, pourrait avoir des effets très significatifs sur la réputation du Commissariat et sur sa capacité à respecter ses obligations juridiques de protéger les droits à l’information. Ce risque deviendra plus important avec l’introduction prochaine d’un nouveau formulaire de plainte en ligne.

Problèmes liés au système de paye Phénix : Les problèmes de rémunération découlant du lancement du système de paye Phénix ont frappé tous les organismes fédéraux et ne sont pas propres au Commissariat. L’incidence des problèmes de rémunération sur le Commissariat n’est pas importante pour ce qui est des coûts, mais il existe un risque que ces problèmes affectent le moral, le recrutement et la productivité des employés.

Il est important de noter que le plus grand risque auquel était confronté le Commissariat en 2013 était les contraintes liées aux ressources financières. Ce risque a toujours été reconnu comme un risque externe pour le Commissariat (voir la section suivante), mais il a été atténué au cours des deux dernières années. En 2016-2017, le Commissariat a reçu 3,4 millions de dollars de la réserve de gestion du Conseil du Trésor pour aider à réduire l’inventaire des plaintes au Commissariat.

Risques externes cernés lors de l’analyse de l’environnement des risques

Au cours de l’analyse de l’environnement, les risques externes suivants ont été reconnus comme étant les plus probables et ceux ayant le plus d’incidence sur le Commissariat :

  1. Augmentation continue des demandes d’accès à l’information et des plaintes;
  2. Financement inadéquat pour gérer le nombre de plaintes et satisfaire aux exigences du mandat;
  3. Lenteur du changement culturel vers un gouvernement plus ouvert et transparent.

Ces risques sont principalement hors du contrôle du Commissariat; cependant, ils pourraient avoir une incidence importante sur l’organisation.

Sélection des projets et élaboration du plan

Les projets de vérification et d’évaluation ont été sélectionnés afin d’être inclus dans le PVEAR triennal du Commissariat. Les priorités de vérification les plus élevées ont servi de point de départ et fourni la principale, mais non la seule, considération pour la sélection des projets. Les principaux risques prioritaires ont été examinés par rapport à diverses contraintes et possibilités, notamment :

  • les vérifications récemment terminées;
  • la disponibilité des ressources de vérification et d’évaluation au cours de la période de trois ans;
  • la faisabilité de l’exécution d’une vérification ou d’une évaluation;
  • les autres examens de surveillance (évaluations, vérifications du Bureau du vérificateur général);
  • les projets de vérification prescrits (suivis, BVG et obligations du Bureau du contrôleur général et de la Commission de la fonction publique pour les vérifications horizontales);
  • la tolérance au risque;
  • les demandes de la direction;
  • l’orientation du Comité de vérification et d’évaluation et de la haute direction.

Le résultat a pris la forme d’une courte liste de projets à mener sur un horizon de planification de trois ans.

Lors de la mise au point du PVEAR, des mesures ont été prises afin de s’assurer que l’univers de vérification et d’évaluation a été couvert de manière appropriée. Le PVEAR renforce l’intégration des projets de vérification et d’évaluation, dans la mesure du possible, et veille à ce que l’évaluation englobe l’ensemble des dépenses de programme directes sur la période de trois ans.

Résumé du plan de vérification et d’évaluation

La portée de la vérification et de l’évaluation proposée par le PVEAR vise à établir un juste équilibre entre diverses exigences et considérations et prévoit la réalisation d’un ou de deux projets par année. Le plan triennal tient compte de l’harmonisation nécessaire aux risques et aux priorités de l’organisation.

Le Commissariat a un programme appelé « Respect des obligations liées à l’accès à l’information ». Les politiques du CT sur les résultats stipulent qu’à compter d’avril 2017, les administrateurs généraux des agents du Parlement sont responsables d’approuver et de fournir chaque année un plan d’évaluation au Secrétariat du Conseil du Trésor du Canada, de la manière et au moment prescrits par celui-ci, présentant clairement la portée de l’évaluation prévue, y compris la couverture des dépenses organisationnelles et les programmes de l’inventaire, pendant la période de planification. Une évaluation des enquêtes a été recommandée en 2013 et celle-ci a été reportée dans le PVEAR actuel pour la raison susmentionnée.

Le PVEAR est fondé sur une hypothèse fondamentale à l’égard de l’attribution du financement. Bien que le budget annuel moyen ait été estimé à 70 000 $, le processus d’attribution du Commissariat en 2017-2018 n’est pas terminé et pourrait encore faire l’objet d’ajustements. Le budget de 2017-2018 comprend actuellement un montant de 30 000 $ pour la vérification interne, la vérification de l’EMR/EMV (24 000 $) figurant sous le poste de dépenses de la TI et constituant un poste distinct. En raison des ressources globales limitées au Commissariat, le plan de vérification et d’évaluation devra s’inscrire dans le budget annuel alloué.

Il est prévu que le Commissariat réussira à respecter ses plus hautes priorités de vérification et d’évaluation au cours de la période de planification de trois ans. Lorsque la faisabilité ou la valeur associée à la réalisation ou à la poursuite d’une vérification ou d’une évaluation est remise en question en raison de facteurs tels que de nouvelles priorités, un manque de ressources ou d’expertise en la matière, etc., le dirigeant principal de la vérification portera ce fait à l’attention du Comité de vérification et d’évaluation pour examen et approbation.

Plan de vérification et d’évaluation détaillé (2017-2020)

Le tableau suivant présente l’objectif, la portée et la justification de chacun des projets de vérification et d’évaluation proposés de 2017 à 2020. S’il y a lieu, la justification comprend une mise en correspondance avec les principaux risques auxquels le Commissariat s’expose, et une référence aux cotes de priorité des vérifications est fournie à l’annexe D. Il convient de noter que la portée, les objectifs finaux et les budgets prévus pour les vérifications et les évaluations proposées peuvent varier en fonction des résultats des étapes de planification de chaque projet. En plus des projets de vérification ci-dessous, les vérificateurs internes continueront d’assister aux principales réunions de la direction et du Comité de vérification et d’évaluation, d’effectuer des suivis des vérifications précédentes (au besoin) ainsi que de définir la portée des missions indiquées dans le PVEAR.

Exercice Nom du projet de vérification Entité principale Budget prévu Portée, objectif et justification de la vérification

2017-2018

Évaluation de la menace et des risques (EMR) et Évaluation de la menace et de la vulnérabilité (EMV)

Technologie de l’information (TI)

24 000 $

Portée : Analyse du réseau et collecte d’informations du Commissariat

Objectif : Pour évaluer le niveau de vulnérabilité du réseau du Commissariat aux menaces externes : i) mener des entretiens avec les parties prenantes et les propriétaires de systèmes au sein du Commissariat; ii) effectuer des essais de pénétration; et iii) fournir un rapport et effectuer un compte rendu sur place.

Justification : Exigence de vérification élevée, 4.1 Incidence et 2.6 Probabilité. Cette vérification sera considérée comme essentielle au moment où le Commissariat lancera son formulaire de plainte en ligne. Le risque de divulgation de renseignements confidentiels, y compris les renseignements personnels, préoccupe grandement le Commissariat.

2018-2019

Examen du recrutement, du maintien en poste et du rendement des employés

Ressources humaines (RH)

30 000 $

Portée : Un examen des pratiques de RH du Commissariat

Objectif : Il ne s’agit pas d’une vérification en profondeur, mais d’un examen de l’efficacité des pratiques suivantes du Commissariat en matière de RH : i) évaluation du rendement des employés; ii) programme de gestion des talents; iii) roulement du personnel; iv) entrevues de départ.

Justification : Exigence de vérification élevée, 3.3 Incidence et 3.4 Probabilité. Lors des entretiens avec la direction et de la réunion de planification stratégique, la nécessité de recruter des employés hautement qualifiés dans plusieurs postes clés a été reconnue comme hautement prioritaire.

2018-2019

Vérification de l’approvisionnement et de la passation des marchés

Commission canadienne des droits de la personne (CCDP)

35 000 $

Portée : Pratiques de gestion et évaluation des contrôles liées à l’approvisionnement et à la passation de marchés à la CCDP.

Objectif : Évaluer l’efficacité opérationnelle et la conformité des processus et des méthodes d’approvisionnement et de passation de marchés de même que la mesure dans laquelle les activités d’approvisionnement appuient les secteurs d’activités et les objectifs organisationnels.

Justification : Exigence de vérification élevée, 3.3 Incidence et 3.3 Probabilité. Le Commissariat a conclu une entente pour que ses services de passation de marchés et d’approvisionnement soient offerts par la CCDP. Compte tenu de la complexité et de la rigueur entourant les politiques fédérales en matière d’approvisionnement et de passation de marchés et du risque d’atteinte à la réputation inhérent à ces activités, une vérification est fortement recommandée.

2019-2020

Vérification de la sécurité de la gestion de l’information et de l’infrastructure physique

Services organisationnels

25 000 $

Portée : Pratiques de gestion et évaluation des contrôles liées à la gestion de l’information.

Objectif : Évaluer l’efficacité opérationnelle des pratiques de gestion de l’information et la conformité aux recommandations formulées dans la vérification par RHEA, notamment en ce qui concerne la conservation et l’élimination des documents sensibles et à diffusion restreinte.

Justification : Exigence de vérification élevée, 3.2 Incidence et 2.3 Probabilité. Compte tenu de la sensibilité des renseignements conservés par le Commissariat et des risques pour la réputation de celui ci en cas de gestion inappropriée de renseignements à accès restreint ou confidentiels, il est fortement recommandé d’exécuter une vérification de cette activité.

2019-2020

Évaluation des enquêtes

Règlement des plaintes et respect de la Loi

25 000 $

Portée : Programme des enquêtes

Objectif : Évaluer, conformément à la Politique sur les résultats du CT, la pertinence et le rendement du programme des enquêtes. L’évaluation doit tenir compte de la nature évolutive des enquêtes grâce à une analyse du portefeuille de plaintes (p. ex. source, institution ciblée, type de plainte), ainsi que du nouveau contexte dans lequel le programme fonctionne (p. ex. modifications législatives).

Justification : Exigence d’évaluation élevée, 4.2 Incidence et 3.6 Probabilité. Étant donné que le programme des enquêtes est le programme clé du Commissariat, une évaluation de cette activité est recommandée à intervalles de quelques années.

Annexe A : Risques organisationnels clés du Commissariat pour 2014-2018

Rang Vérification possible Risques reconnus Pertinence en 2017
1 Contraintes financières Risque que les réductions budgétaires successives et importantes aient placé le Commissariat à la limite de sa marge de manœuvre organisationnelle et financière. Le Commissariat n’a toujours pas suffisamment de fonds pour remplir son mandat.
2 Évolution des plaintes Risque que les augmentations importantes et soutenues des plaintes reçues mettent à rude épreuve les ressources d’enquête du Commissariat, ce qui pourrait accroître le nombre de plaintes en attente de traitement. Un autre risque est que les institutions ne soient pas capables de répondre aux demandes d’enquête en temps opportun, ce qui pourrait forcer le Commissariat à suivre des processus plus officiels, entraîner une hausse du nombre de litiges et, en fin de compte, entraîner des répercussions négatives sur les droits des demandeurs. Le Commissariat se trouve encore confronté à ce défi en 2017. En fait, le nombre de plaintes n’a fait qu’augmenter depuis 2014, mais les ressources stagnent. Voir également les commentaires relatifs à la pertinence au no 4 ci-après.
3 Main d’œuvre Risque que le déménagement de 2013-2014 entraîne des répercussions négatives sur la productivité du Commissariat. La productivité sera réduite pendant le déménagement, et il s’ensuivra une période de réduction de l’efficacité pendant que la main d’œuvre s’adapte aux nouveaux outils et à l’espace de travail dans le Milieu de travail 2.0. Ce risque sera exacerbé, car le Commissariat devra composer avec un groupe des Services organisationnels de taille réduite, lequel détient les renseignements clés sur l’organisation, les compétences et l’expertise, autant d’atouts qui demeureront entre les mains d’un petit nombre d’employés. Le déménagement des bureaux est terminé.
En tant qu’agent du Parlement comptant moins de 100 ETP, le roulement de la main d’œuvre est un risque constant.
4 Gestion du changement Risque que les changements organisationnels continuent dans les principaux domaines fonctionnels, les processus et les systèmes fondamentaux, conjugués avec le déménagement physique vers le Milieu de travail 2.0 en 2013-2014, détournent l’attention de la direction et les ressources du Commissariat de leurs fonctions principales qui consistent à mener des enquêtes efficaces et à offrir un service de règlement des plaintes de qualité. Le déménagement des bureaux est terminé.
Puisque des modifications législatives à la Loi sur l’accès à l’information ont été présentées, il pourrait y avoir des changements au nombre de plaintes et au volume des opérations au Commissariat.
5 Sécurité de la technologie de l’information (TI) et de la gestion de l’information (GI) Risque que le déménagement du Commissariat entraîne des difficultés liées au respect des exigences de la politique liée à l’infrastructure physique et aux TI, compte tenu des vulnérabilités inhérentes aux plateformes technologiques et aux secteurs partagés qui ont une incidence sur la capacité du Commissariat de démontrer des pratiques exemplaires ou qu’il est à la hauteur de sa réputation. Le déménagement des bureaux est terminé.
L’incidence d’une atteinte à la sécurité est considérée comme très élevée et, par conséquent, ce risque est perpétuel.
6 Cibles et mesures de rendement inadéquates Risque que le cadre de mesure du rendement du Commissariat ou la stratégie de collecte de données n’appuie pas la surveillance continue des principaux indicateurs de rendement et l’établissement de rapports sur ceux ci, ainsi que l’identification et la mise en œuvre des mesures correctives requises en temps voulu. Par ailleurs, il y a aussi le risque que les cibles de rendement ne tiennent pas compte des capacités actuelles du Commissariat, de la complexité croissante des enquêtes, de l’augmentation prévue du nombre de litiges, des contraintes dans les ressources financières et humaines ainsi que des répercussions des changements politiques et organisationnels continus. L’incapacité d’atteindre les cibles prévues pourrait ternir la réputation du Commissariat. Le Commissariat a élaboré des cibles de rendement et des objectifs pour les enquêteurs depuis le dernier PVEAR. Ces objectifs établissent des cibles mensuelles pour le nombre de plaintes résolues par enquêteur et sont étroitement surveillés par la haute direction.

Annexe B : Priorités de l’univers de vérification établies par le BCG Risques associés aux petits ministères

Rang Vérification possible Niveau du risque Risques reconnus par le BCG

 

1

Gestion de la technologie de l’information

Très élevé

  • Risque que le programme de transformation de la GI/TI à l’échelle du gouvernement, y compris des systèmes pangouvernementaux, ne réponde pas aux besoins des petits ministères et perturbe leur capacité à exécuter les programmes et services.
  • Risque que les petits ministères accordent une priorité élevée à la TI aux dépens de la GI.
  • Risque que la GI ne soit pas intégrée dans tous les aspects des opérations.
  • Risque que les petits ministères sous-estiment le rôle que jouent les contrôles de sécurité des TI dans le cadre plus général de la sécurité des TI à l’échelle du gouvernement.

2

Rémunération

Très élevé

  • Risque d’expérience, de compétences et de connaissances insuffisantes liées à la rémunération et au système de rémunération, y compris les politiques applicables et les conventions collectives.
  • Risque que les rôles, les responsabilités et les obligations relatifs à la rémunération et au système de paye ne soient pas clairs.
  • Risque que les contrôles internes liés aux transactions de paye soient inadéquats.

3

Gestion des services partagés et communs

Très élevé

  • Risque que les responsabilités, les obligations de rendre compte et les attentes en matière de rendement entre les fournisseurs de services et les petits ministères ne soient pas claires.
  • Risque que les fournisseurs de services ne répondent pas aux besoins des petits ministères, ce qui pourrait avoir une incidence sur la capacité de ceux-ci à réaliser leurs mandats ministériels.
  • Risque que les contrôles internes soient inadéquats pendant les périodes de transition vers des services partagés ou communs.
  • Risque que les économies de coûts résultant des services communs ou partagés ne puissent être mesurées ou réalisées.

4

Gestion des effectifs

Très élevé

  • Risque que le nombre d’employés possédant l’expérience et l’éventail de connaissances nécessaires pour mener à bien des activités de plus en plus complexes ou pour répondre à des priorités concurrentes soit insuffisant.
  • Risque que les ressources humaines pour gérer les ententes de service avec les nouveaux fournisseurs de services après les transitions vers des services partagés ou communs soient insuffisantes.
  • Risque de perdre des employés qualifiés attirés par les grandes organisations offrant plus de possibilités d’avancement.
  • Risque que les outils et la formation offerts aux employés pour leur permettre de réaliser leurs rôles et responsabilités soient inadéquats.
  • Risque que les outils et le personnel disponibles pour aider à surmonter les problèmes de santé mentale soient inadéquats.

5

Gestion de la sécurité

Très élevé

  • Risque que les considérations de sécurité ne soient pas prises en compte dans les processus opérationnels.
  • Risque que les exigences en matière de sécurité physique et de gestion des mesures d’urgence pour les fonctionnaires et les biens matériels ne soient pas prises en compte.
  • Risque que la sécurité des systèmes informatiques gérés par les fournisseurs de services soit inadéquate pour les petits ministères.
  • Risque que l’expérience ou les connaissances soient insuffisantes pour protéger adéquatement les informations classifiées.

6

Passation de marchés et approvisionnement

Élevé

  • Risque que l’expérience, les compétences et les connaissances soient insuffisantes dans le domaine de la passation de marchés et de l’approvisionnement.
  • Risque de non-conformité avec les instruments de passation de marchés et d’approvisionnement applicables.
  • Risque de contrôles internes inadéquats concernant les activités de passation de marchés et d’approvisionnement.
  • Risque d’une utilisation inefficace ou incompétente des outils d’approvisionnement.

7

Gestion réglementaire

Élevé

  • Risque que les règlements n’atteignent pas leurs objectifs ou que l’atteinte des objectifs réglementaires ne puisse pas être mesurée.
  • Risque de supervision et d’application inadéquates de la réglementation et de manque de cohérence dans l’application.
  • Risque de consultation inadéquate des parties prenantes lors de la rédaction des règlements.

8

Gestion et supervision (information financière et non financière pour la prise de décisions)

Élevé

  • Risque de capacité insuffisante (comprend les outils, l’expérience et les connaissances) pour répondre efficacement aux exigences en matière de rapports ministériels.
  • Risque que les exigences ministérielles ne soient pas adaptées aux petits ministères.
  • Risque que les structures de gouvernance pour appuyer la surveillance et la gestion (y compris la délégation des pouvoirs) soient inadéquates.
  • Risque d’insuffisance de la documentation appuyant la prise de décisions.

9

Planification des investissements et gestion des projets

Élevé

  • Risque que les investissements ne soient pas alignés avec le mandat du ministère.
  • Risque que la capacité interne d’établissement des coûts soit inadéquate ou que les dépenses pour le développement de la capacité interne d’établissement des coûts soient excessives.
  • Risque que les besoins des petits ministères ne soient pas pris en compte dans les projets pangouvernementaux.
  • Risque que les rôles, les responsabilités et les obligations redditionnelles liés aux grands projets ne soient pas clairs.
  • Risque que l’expérience, les compétences et les connaissances soient insuffisantes dans le domaine de la gestion de projet.

Annexe C : Résultats de l’entrevue du Commissariat et évaluation des risques

Interviewé 1 2 3 4 5 6 7 8 9 10 11 12 Totaux
Risques I P I P I P I P I P I P I P I P I P I P I P I P I P Note totale
Gestion de la technologie de l’information     4 2         5 3 5 2 4 3     5 2 5 2 4 1 4 1 4.5 2.0 3.3
Rémunération 2 5 2 5 5 5 2 5 1 5 2 5 2 5     2 5 2 5 1 1 1 1 2.0 4.3 3.1
Gestion des services partagés et communs 2 2 4 4 4 4             3 3 3 3 2 5 3 3 3 3 3 3 3.0 3.3 3.2
Gestion des effectifs 3 2 3 4 3 3 3 4 3 3 4 4 3 4 5 5 2 2 4 3         3.3 3.4 3.3
Gestion de la sécurité     1 1 4 2 3 3 5 3             2 2     4 3 4 3 3.3 2.4 2.9
Passation de marchés et approvisionnement 4 4 4 2 3 5                     2 2             3.3 3.3 3.3
Gestion de la réglementation – Modifications législatives à la Loi     4 4 5 2 5 2 5 2 4 3 5 5 5 5 2 5 3 5 4 3 4 3 4.2 3.5 3.9
Surveillance et gestion (information financière et non financière pour la prise de décisions) 3 3                                     4 2 4 2 3.5 2.2 2.8
Planification des investissements et gestion des projets 3 3     4 4 1 1                         1 2 1 2 1.9 2.3 2.1
Évolution des plaintes     4 4     5 2 5 2 2 4                         4.0 3.0 3.5
Gestion du changement 1 1 4 4     1 1     2 4                 3 3 3 3 2.3 2.7 2.5
Cibles et mesures de rendement inadéquates 1 1 1 1 1 2     1 1 1 1                         1.0 1.2 1.1
  • Onze entretiens ont été menés en personne et un par courriel.
  • Les personnes interviewées n’ont classé que les risques qui s’appliquaient à leur domaine d’expertise.
  • Les risques ont été classés de faible (1) à élevé (5) pour l’incidence (I) et la probabilité (P).

Annexe D : Diagramme d’exposition aux risques du Commissariat

Diagramme d’exposition aux risques du Commissariat

Version texte

Ce graphique présente les risques identifiés par le Commissariat à l’information du Canada dans le Plan de vérification et d’évaluation axé sur les risques sur un axe des X et un axe des Y. L’axe des X indique l’incidence qu’un risque peut avoir sur l’organisation selon une échelle de 1 à 5, 5 représentant la plus grande incidence. L’axe des Y indique la probabilité qu’un risque puisse se produire selon une échelle de 1 à 5, 5 représentant la cause la plus probable. Le graphique est divisé en quatre quadrants égaux. Dans le quadrant inférieur gauche, on retrouve les objectifs liés à la planification des investissements et à la gestion de projet, ainsi que les cibles de rendement, qui représentent le moins de risque. Dans le quadrant inférieur droit, on retrouve la sécurité, la gestion financière et la TI, dont la probabilité est faible, mais les répercussions importantes. Dans le quadrant supérieur gauche, on retrouve la rémunération et la gestion du changement, qui sont très probables mais qui ont moins d’incidence. Dans le quadrant supérieur droit, on retrouve les services communs, les RH, l’approvisionnement, la gestion réglementaire et l’évolution des plaintes, les plus à risque.

 

Annexe E : Organigramme

Organigramme du Commissariat à l'information

Version texte

Ce tableau hiérarchique présente l’organigramme du Commissariat à l’information du Canada. La commissaire à l’information occupe le haut de la hiérarchie en tant que chef de l’organisation. Au deuxième niveau, on retrouve deux sous-commissaires. À gauche, la sous-commissaire, Enquêtes et Gouvernance, et dirigeante principale des finances. Les liens ci-dessous sont ceux de la Direction des enquêtes et des Services organisationnels. À droite, la sous-commissaire, Services juridiques et affaires publiques. Les liens ci-dessous sont ceux de la Direction des services juridiques ainsi que ceux des directions responsables des communications, politiques et affaires parlementaires, et AIPRP.