Plan de vérification axé sur les risques 2010−2013


        

Table des matières

1.0 Introduction
1.1 Plan de vérification axé sur les risques

2.0 Vérification interne au Commissariat à l’information du Canada
2.1 Commissariat à l’information du Canada
2.2 Fonction de vérification interne du Commissariat

3.0 Approche et méthodologie liées à la planification de la vérification axée sur les risques 3.1 Objectifs de la planification
3.2 Buts et priorités
3.3 Méthode et approche en matière de planification

4.0 Risques identifiés grâce à la planification de la vérification axée sur les risques

5.0 Plan de vérification à l’intention du Commissariat
5.1 Suivi des vérifications précédentes
5.2 Disponibilité des ressources et coûts du projet

6.0 Surveillance de la mise en œuvre du Plan de vérification axé sur les risques

Annexe A : Évaluation des risques
Annexe B : Liste de personnes interviewées
Annexe C : Liste des documents examinés

Liste des tableaux et schémas

Tableau 1 – Risques pour le Commissariat revus dans le cadre de la planification de la vérification axée sur les risques

Tableau 2 – Missions de vérification proposées au Commissariat pour 2010−2013

Tableau 3 – Résumé du coût estimatif par année

Tableau 4 – Risques ciblés pour le PVAR de 2010−2013

Tableau 5 - Résumé des risques ciblés dans le PVAR de 2008−2010 et explication de leur inclusion dans le PVAR de 2010−2013

Introduction

1.1 Plan de vérification axé sur les risques

Le présent document a été conçu par le Centre de gestion publique Inc. (CGP) afin d’offrir au Commissariat à l’information du Canada un Plan de vérification axé sur les risques (PVAR) pour 2010−2013. Il décrit un programme de vérifications internes qui soutient les attentes exprimées dans le Cadre international des pratiques professionnelles de l’Institute of Internal Auditors (IIA) de même que dans la Politique sur la vérification interne du Conseil du Trésor (CT), qui est entrée en vigueur le 1er avril 2006 (modifiée en juillet 2009). Le Plan se concentre sur les secteurs qui ont été jugés les plus à risque suivant un examen de la documentation et des entrevues effectuées auprès des gestionnaires.

Plus particulièrement, le Plan :

  • comprend une liste des risques importants, qui ont été mis en correspondance avec les composantes du cadre des contrôles financiers du Committee of Sponsoring Organizations (COSO) et qui pourraient faire l’objet d’une vérification;
  • démontre que le Plan de vérification interne vise les secteurs considérés les plus à risque et les plus importants;
  • offre, pendant une période de trois ans, l’assurance des aspects importants des processus de gestion des risques, de contrôle et de gouvernance;
  • concentre principalement les ressources de vérification sur la prestation de services d’assurance;
  • fournit une estimation des ressources permettant de mener à bien le Plan.

2.0 Vérification interne au Commissariat à l’information du Canada

2.1 Commissariat à l’information du Canada

Le Commissariat à l’information du Canada est un organisme public indépendant qui a été créé en 1983 en vertu de la Loi sur l’accès à l’information pour assister la commissaire à l’information à s’acquitter de son rôle de haut fonctionnaire du Parlement et d’ombudsman. Comme le décrit son Rapport sur les plans et les priorités pour 2010−2011, le Commissariat « assure le respect des droits que la Loi sur l’accès à l’information confère aux demandeurs, ce qui en retour favorise la transparence et la reddition de comptes de l’appareil gouvernemental fédéral ».

En vertu de la Loi sur l’accès à l’information, quiconque demande de l’information à une institution fédérale et n’est pas satisfait de la réponse ou de la façon dont la demande a été traitée peut porter plainte auprès du Commissariat. Par conséquent, ce dernier s’avère grandement influencé par des forces extérieures, tant par la façon dont les institutions fédérales traitent les demandes de renseignements que par le nombre de plaintes déposées en retour par des personnes ou autres entités. Compte tenu de ces forces extérieures, le Commissariat fait face à des défis considérables dans le contrôle et la prévision de sa charge de travail.

Le Commissariat reconnaît que ses processus, systèmes et contrôles doivent être en mesure de traiter de manière efficace et efficiente divers volumes de plaintes et de demandes. Il s’est aussi fixé des objectifs ambitieux dans de nombreux aspects de sa prestation de services aux Canadiennes et aux Canadiens (notamment le but ultime de limiter entre 200 et 500 cas son inventaire de nouvelles plaintes en fin d’exercice d’ici 2012−2013).

En vue de résoudre les plaintes en inventaire et d’accroître l’efficience et l’efficacité de son processus de réception des nouvelles plaintes, le Commissariat a mis au point sa procédure de réception à partir des recommandations et du plan d’action découlant d’une vérification menée en 2009−2010 sur l’Unité de réception et de règlement rapide.

Au cours des prochaines années, le Commissariat mettra en œuvre diverses initiatives dans le cadre du renouvellement de son modèle opérationnel, de sa stratégie en matière de gestion de l’information (GI) et de technologie de l’information (TI) ainsi que de son plan de ressources humaines (RH). Bref, l’organisation connaîtra des changements notables d’ici et durant 2013−2014.

2.2 Fonction de vérification interne du Commissariat

Selon le Groupe de travail des hauts fonctionnaires du Parlement, un important principe dans la mise en œuvre de la Politique sur la vérification interne par les hauts fonctionnaires du Parlement est l’inclusion d’un solide régime de vérification interne. Pour les hauts fonctionnaires du Parlement dotés de petites organisations, cela peut nécessiter d’importantes mesures de sous-traitance en vue d’obtenir les ressources qualifiées appropriées. Afin d’assurer une certaine objectivité et indépendance, le Commissariat a confié en sous-traitance à CGP Inc. l’examen et la mise à jour de son Plan de vérification axé sur les risques pour la période allant de 2010−2013, de même que l’exécution de toutes les vérifications visées par le PVAR.

Dans ce contexte, CGP Inc. assurera la fonction de vérification interne du Commissariat et offrira des services d’assurance objectifs et indépendants conçus pour augmenter la valeur des activités du Commissariat et les améliorer. CGP Inc. aidera le Commissariat à atteindre ses objectifs en fournissant une approche systématique et rigoureuse pour évaluer et améliorer l’efficacité des processus de gestion des risques, de contrôle et de gouvernance.

Comme l’a souligné le Groupe de travail des hauts fonctionnaires du Parlement, il s’avère peu pratique pour le Commissariat d’avoir un dirigeant principal de la vérification (DPV) à plein temps compte tenu de sa taille, de son profil de risque et de ses ressources. Par conséquent, les responsabilités habituellement assumées par le DPV seront partagées entre CGP Inc. et le directeur de la planification stratégique, des finances et de l’administration du Commissariat de la manière suivante :

  • CGP Inc. sera chargé de préparer et de présenter ce PVAR révisé de même que les vérifications subséquentes visées par le Plan;
  • le directeur de la planification stratégique, des finances et de l’administration aura la responsabilité administrative de la fonction de vérification interne et relèvera directement de la commissaire à l’information.

CGP Inc. et le directeur de la planification stratégique, des finances et de l’administration seront conjointement chargés de veiller à ce que la fonction de vérification interne au Commissariat réponde aux critères suivants :

  • respecte les normes relatives à la vérification interne du gouvernement du Canada et la Politique sur la vérification interne du CT;
  • instaure un système de surveillance pour s’assurer que les plans d’action de gestion sont correctement mis en œuvre;
  • communique au public les rapports de vérification interne dans la mesure permise par la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels.

Le Comité de vérification (CV) du Commissariat comprend deux membres externes expérimentés et compétents, dont la présidente du CV, en plus de la commissaire à l’information. Le CV est un élément essentiel de la structure de gouvernance et un aspect primordial d’un régime de vérification interne solide et crédible.

Conformément à la Directive sur les comités ministériels de vérification, le CV (en place depuis octobre 2008), doit s’assurer que la commissaire à l’information reçoive des avis et conseils indépendants et objectifs ainsi qu’une assurance quant à la pertinence des processus institutionnels de gestion des risques, de contrôle et de reddition de comptes. Afin d’assurer ce soutien à la commissaire, le CV doit exercer, d’une manière intégrée et systématique, une surveillance active des principaux secteurs de contrôle et de reddition de comptes du Commissariat.

Le CV doit examiner l’évaluation des risques ainsi que le PVAR pour veiller à ce que ce dernier favorise, au besoin, la production d’un rapport annuel indépendant en matière d’assurance et pour pouvoir ensuite recommander à la commissaire l’approbation du PVAR.

3.0 Approche et méthodologie liées à la planification de la vérification axée sur les risques

3.1 Objectifs de la planification

Voici les principaux objectifs du processus de planification de la vérification interne :

  • Respecter les attentes énoncées dans la Politique sur la vérification interne (2009) du Conseil du Trésor ainsi les autres pratiques exemplaires, favoriser un processus de vérification à valeur ajoutée et appuyer les exigences en ce qui a trait à la publication éventuelle d’un rapport d’assurance annuel indépendant sur les mécanismes de gestion des risques, de contrôle et de gouvernance.
  • Faire de la vérification un fondement efficace de la gouvernance et de la gestion. Les vérifications permettent avant tout de faire état de la gérance et de la responsabilisation relativement aux dépenses publiques et jouent un rôle prédominant dans le renforcement de la fonction de contrôleur. Une solide fonction de vérification interne au sein du gouvernement est un élément essentiel de l’Initiative de renforcement de la gestion du secteur public.

3.2 Buts et priorités

Les buts associés au processus de planification sont énoncés ci-dessous :

  • Soutien au programme de gestion du Commissariat : Le PVAR appuie les priorités du Commissariat énoncées dans son Rapport sur les plans et les priorités pour 2010−2011 et reflète une compréhension des principaux risques auxquels l’organisation fait face.
  • Couverture des unités fonctionnelles du Commissariat : Le Commissariat a une seule activité de programme en plus des Services internes, à savoir le respect des obligations relatives à l’accès à l’information. Dans le but d’assurer une couverture de l’activité de programme, CGP Inc. a mené des entrevues auprès de chaque direction afin d’examiner et de mettre à jour les principaux risques répertoriés dans le PVAR de 2008−2010. Une fois à jour, ces derniers ont été mis en correspondance avec les composantes du cadre des contrôles financiers du COSO en vue de garantir la couverture des contrôles internes. Le PVAR assure une couverture de vérification complète des domaines à haut risque en évaluant cet univers suivant la pertinence de la vérification compte tenu de facteurs comme le risque inhérent, la complexité, la visibilité, l’importance stratégique et l’absence de vérification antérieure.
  • Assurance à l’égard des contrôles internes : Comme indiqué plus haut, pour garantir une couverture suffisante des contrôles internes, les risques ont été mis en correspondance avec le cadre des contrôles financiers du COSO.

3.3 Méthode et approche en matière de planification

L’élaboration du PVAR s’est effectuée en quatre principales phases, décrites ci-après :

  1. Examiner les documents d’information – En vue de comprendre l’environnement du Commissariat, les risques ciblés dans le PVAR de 2008−2010 et les profils de risque des directions (présentés au CV à l’automne 2009) ont été examinés et évalués. CGP Inc. a aussi examiné un certain nombre d’autres documents d’information afin de mieux comprendre l’environnement du Commissariat (voir annexe C).

  2. Déceler et mettre à jour les principaux risques pour le Commissariat – Au cours du mois de mai 2010, CGP Inc. a interviewé les membres de l’équipe de la haute gestion, y compris la commissaire à l’information et les deux commissaires adjointes, en vue de mettre à jour les risques présentés dans le PVAR de 2008−2010 et d’en déceler de nouveaux. Les résultats de cette mise à jour se trouvent au tableau 1 de la section 4.0. La discussion sur les risques actuels pour le Commissariat est fournie à l’annexe A. Veuillez consulter l’annexe B pour la liste des personnes interviewées. 

  3. Déterminer les projets de vérification possibles – Les résultats des entrevues ont été résumés et compilés pour générer une liste de missions de vérification possibles afin de s’occuper des domaines à haut risque.

  4. Préparer le Plan et les projets, établir le budget et ordonnancer – Les projets de vérification hautement prioritaires ont ensuite été répartis sur les trois années du PVAR. Le Plan détaillé se trouve au tableau 2.

4.0 Risques identifiés grâce à la planification de la vérification axée sur les risques

Comme mentionné dans la section précédente, CGP Inc. a produit une liste à jour des risques pour le Commissariat au moyen d’un examen de la documentation et d’entrevues menées avec la haute gestion en mai 2010. Les risques qui figurent au tableau 1 ci-dessous ont été classés par ordre de priorité en fonction de la compréhension de leur complexité, de leur importance ou des préoccupations suscitées. Ces différents facteurs, de même que leur probabilité et les répercussions attendues, ont permis de déterminer le niveau de risque inhérent, défini comme le risque pour le Commissariat avant l’application des contrôles.

Le détail de la justification et du raisonnement concernant les risques figure à l’annexe A. On y trouve également un tableau de concordance entre les risques ciblés dans le PVAR de 2008−2010 et la présente mise à jour.

Tableau 1 – Risques pour le Commissariat revus dans le cadre de la planification de la vérification axée sur les risques

Risques

Niveau de risque inhérent

1. Efficacité et rapidité du règlement des plaintes

Élevé

2. Capacité à conserver la mémoire institutionnelle et l’élan organisationnel advenant un roulement du personnel de gestion

Élevé

3. Respect de la Politique sur la sécurité du gouvernement

Élevé

4. Efficacité des systèmes de technologie de l’information (TI) et des pratiques de gestion de l’information (GI)

Modéré

5. Conformité aux instruments de politique de la gestion financière du Secrétariat du Conseil du Trésor du Canada

Modéré

 

 

5.0 Plan de vérification à l’intention du Commissariat

Le calendrier des missions de vérification proposées présenté au tableau 2 ci-dessous cible les domaines pour lesquels la pertinence de la vérification est élevée. Dans le but d’établir cette pertinence, les nouveaux projets ont été évalués en tenant compte de leur vérifiabilité (c.-à-d. en examinant des facteurs comme la disponibilité de l’information, la clarté des critères de vérification, les changements majeurs récents ou la complexité du domaine), du niveau de risque inhérent indiqué au tableau 1 et des priorités de gestion (conformément à l’intérêt exprimé pendant les entrevues avec la commissaire, son équipe de haute gestion et les dirigeants de chaque direction).

Le tableau 2 présente le calendrier des missions de vérification pour le plan de vérification du Commissariat. Les domaines pour lesquels la pertinence de la vérification est élevée ont été regroupés pour former des missions de vérification possibles et ont été répartis sur les trois années visées par la planification. La portée précise de chaque vérification sera déterminée pendant la phase de planification de chaque projet.

Tableau 2 – Missions de vérification proposées au Commissariat pour 2010−2013

 

Activités de vérification

 

Lien avec les risques ciblés dans le PVAR du Commissariat de 2010−2013

 

Liste des composantes du cadre des contrôles financiers du COSO relatives à la vérification

Répartition

Détails de la vérification proposée

2
0
1
0

2
0
1
1
2
0
1
1

2
0
1
2
2
0
1
2

2
0
1
3
 

Considérations préliminaires relatives à la portée (à confirmer/modifier durant la planification de la vérification)

 

Ressources estimées ($)

Vérification de la Direction du règlement des plaintes et respect de la Loi

Voici les risques présentés au tableau 1 et compris dans la portée de cette vérification :

  • Efficacité et rapidité du règlement des plaintes;
  • Capacité à conserver la mémoire institutionnelle et l’élan organisationnel advenant un roulement du personnel de gestion.
  • Environnement de contrôle

  • Information et communication

  • Évaluation des risques

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Objectif et portée préliminaires de la vérification :

Cette vérification étudiera les processus opérationnels, les paramètres de rendement et les renseignements servant à appuyer le processus décisionnel de la haute gestion au sein de la Direction du règlement des plaintes et respect de la Loi (la Direction) afin de veiller à ce qu’ils favorisent une gestion efficace et rapide des cas. Les actions possibles comprennent :

  • Évaluer la mesure dans laquelle les processus sont officialisés et documentés et intègrent le concept de risque;
  • Évaluer la mesure dans laquelle l’officialisation et la documentation des processus facilite la conservation de la mémoire institutionnelle;
  • Évaluer la mesure dans laquelle les renseignements sur les activités, le rendement et les risques découlent des processus opérationnels et sont utilisés dans le processus décisionnel de la gestion;
  • Évaluer si les décisions sont documentées (assurance de la qualité/qualité des décisions prises);
  • Évaluer la mesure dans laquelle l’environnement interne et externe, pertinent à la Direction, influence le processus décisionnel;
  • Évaluer l’actualité, la qualité, la pertinence, la fiabilité et l’exactitude des renseignements utilisés dans le processus décisionnel.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

34 000

Vérification du respect de la Politique sur la sécurité du gouvernement et suivi de l’évaluation des menaces et risques (EMR) pour la sécurité physique menée en 2010−2011

Voici le risque présenté au tableau 1 et compris dans la portée de cette vérification :

  • Respect de la Politique sur la sécurité du gouvernement.
  • Environnement de contrôle

  • Information et communication

  • Évaluation des risques

 

 

 

 

 

 

 

 

 

 

Objectif et portée préliminaires de la vérification :

Cette vérification vise à évaluer le respect de la Politique sur la sécurité du gouvernement. En 2010-2011, le Commissariat a entrepris une évaluation interne de la conformité dans ce domaine, notamment une EMR pour la sécurité physique. Même si ces travaux n’étaient pas encore achevés au cours de l’élaboration du présent PVAR, il s’avère fort probable qu’un plan d’action soit nécessaire pour assurer la pleine conformité à la Politique. Cette vérification examinera ce qui suit :   

  • Les activités d’évaluation de la conformité entreprises par le Commissariat;
  • Les recommandations et le plan d’action;
  • L’état de mise en œuvre du plan d’action;
  • Le respect général de la Politique.

 

 

 

 

 

 

 

 

35 000

Vérification suivant la mise en œuvre du système de gestion des cas (SGC)

Voici les risques présentés au tableau 1 et compris dans la portée de cette vérification :

  • Efficacité et rapidité du règlement des plaintes;
  • Capacité à conserver la mémoire institutionnelle et l’élan organisationnel advenant un roulement du personnel de gestion;
  • Efficacité des systèmes de technologie de l’information (TI) et des pratiques de gestion de l’information (GI) du Commissariat.
  • Information et communication

  • Surveillance

 

 

 

 

 

 

 

 

 

 

 

 

Objectif et portée préliminaires de la vérification :

Cette vérification examinera les processus de gestion des risques, de contrôle et de gouvernance qui appuient le SGC du Commissariat.

Étant donné que sa portée sera influencée par les conclusions de(s) vérification(s) précédente(s), cette vérification examinera ce qui suit :

  • Les exigences opérationnelles originales du SGC et leur correspondance aux besoins organisationnels;
  • La mesure dans laquelle les exigences originales ont été appliquées au système;
  • La réussite du système dans l’atteinte de ses objectifs de départ;
  • L’approche en matière de gestion de projet qui a servi à concevoir, mettre en œuvre, tester et convertir le système.

 

 

 

 

 

 

 

 

 

 

36 000

Vérification du respect des politiques du SCT relatives aux contrôles financiers et internes

  • Conformité aux instruments de politique de la gestion financière du Secrétariat du Conseil du Trésor du Canada.
  • Activités de contrôle

Ne figure actuellement pas au calendrier. À revoir dans les mises à jour du PVAR de 2011−2012 et de 2012−2013.

Objectif et portée préliminaires de la vérification :

Cette vérification viserait avant tout le respect de la Politique sur le contrôle interne. Toutefois,le SCT dispose d’un large éventail de politiques et autres lignes directrices dans le domaine de la gestion financière. La détermination de la portée de cette vérification se fera à partir d’un examen des domaines à haut risque de non-conformité. Elle se limitera à la conformité à deux ou trois instruments de politique ou d’orientation dans le but d’atteindre une exhaustivité appropriée compte tenu des ressources prévues au budget.

 

 

 

 

 

35 000

5.1 Suivi des vérifications précédentes

En 2009−2010, une vérification a porté sur l’Unité de réception et de règlement rapide. Comme le montre le tableau suivant, un suivi est prévu pour 2011−2012. 

Description de la vérification

Répartition

Détails de la vérification proposée

Ressources estimées ($)

2010−2011

2011−2012

2012−2013

 


Suivi

 

 


 

Effectuer un examen de suivi pour la vérification suivante, menée en 2009-2010 :

  • Vérification de l’Unité de réception et de règlement rapide

 


10 000

5.2 Disponibilité des ressources et coûts du projet

Dimensions financières des projets de vérification

Le Commissariat a attribué un contrat à CGP Inc. pour la prestation des missions de vérification présentées dans ce plan. Le coût de chaque vérification est présenté en fonction des estimations fournies dans le cadre du processus d’approvisionnement. Le Commissariat offrira son soutien dans la répartition des entrevues et l’obtention de renseignements au besoin.

Cette information est détaillée dans le tableau 3 ci-dessous.

Tableau 3 – Résumé du coût estimatif par année

Exercice Activités de vérification Coût estimatif ($) Nombre estimé de jours
 

2010−2011

  • Vérification de la Direction du règlement des plaintes et respect de la Loi
 

34 000

 

60


2011−2012
  • Vérification du respect de la Politique sur la sécurité du gouvernement et suivi de l’EMR menée en 2010−2011
  • Suivi de la vérification de l’Unité de réception et de règlement rapide
 

45 000

 

72

 

2012−2013

  • Vérification suivant la mise en œuvre du système de gestion des cas (SGC)
 

36 000

 

60

 

 

6.0 Surveillance de la mise en œuvre du Plan de vérification axé sur les risques

Les plans évoluent constamment en raison de nouvelles circonstances ou de nouveaux événements. Le PVAR fera l’objet d’une surveillance continue et les renseignements seront maintenus à jour tout au long de l’année. Il sera officiellement mis à jour annuellement par CGP Inc., en collaboration avec les gestionnaires du Commissariat. Le Comité de vérification du Commissariat examinera le Plan annuellement et en recommandera l’approbation à la commissaire à l’information.

Les responsables de la fonction de vérification interne surveilleront aussi les progrès quant à la mise en œuvre du Plan et feront régulièrement état des progrès au CV et à la commissaire.

Annexes

Annexe A : Évaluation des risques

Annexe B : Liste des personnes interviewées

Annexe C : Liste des documents examinés

Annexe A : Évaluation des risques

Tableau 4 : Risques ciblés pour le PVAR de 2010−2013

Risque Justification ou raisonnement Niveau de risque

1. Efficacité et rapidité du règlement des plaintes

(Direction du règlement des plaintes et respect de la Loi)

Le Commissariat a beaucoup amélioré le processus de règlement des plaintes grâce à ses critères de triage et à la mise en oeuvre du plan d’action de la gestion en réponse à la vérification de l’Unité de réception et de règlement rapide (URRR). Cependant, les gestionnaires ont signalé que différents facteurs ont une incidence sur la rapidité et l’efficacité du règlement des plaintes, dont ceux énumérés ci-dessous, qui nécessitent encore des améliorations :

  • normalisation de la démarche de triage et de fermeture des dossiers;
  • normalisation des procédures de communication de l’information et de documentation;
  • paramètres de rendement;
  • intégration des concepts relatifs aux risques dans le processus;
  • communication des renseignements appropriés aux hauts dirigeants afin de leur permettre de prendre des décisions;
  • contrôle du volume de travail et de l’environnement externe.

L’amélioration de ces facteurs permettra d’accroître l’efficacité et de diminuer les répercussions associées aux augmentations inattendues du volume des plaintes.

 

 

 

 

 

Risque élevé

2. Capacité à conserver la mémoire institutionnelle et l’élan organisationnel advenant un roulement du personnel de gestion

(Toutes les directions)

Le Commissariat s’est engagé à introduire certaines initiatives clés dans le but d’améliorer ses pratiques en matière de ressources humaines par la mise en œuvre de son plan des RH 2009−2014. Les pratiques de recrutement ont été grandement améliorées et les risques relatifs au maintien en poste des membres du personnel de rang subalterne et intermédiaire ont été atténués. Cependant, le départ de gestionnaires continue de poser un risque de perte de mémoire institutionnelle puisqu’il n’existe pas de possibilité de progression au sein de l’organisation au-delà du niveau EX-1 et que plusieurs directeurs se préparent à prendre leur retraite. Les postes de hauts dirigeants au Commissariat nécessitent une expérience et des compétences uniques, qui leur permettent d’aider la commissaire à exécuter son mandat. En cas de roulement de personnel, il importe de disposer de plans de relève et de systèmes permettant d’assurer la collecte et le transfert des connaissances.

 

 

 

Risque élevé

3. Respect de la Politique sur la sécurité du gouvernement

(Toutes les directions)

La sécurité au sein du Commissariat comporte trois volets : physique, personnelle et technologie de l’information. La nouvelle Politique sur la sécurité du gouvernement du CT, qui est entrée en vigueur le 1er juillet 2009, a remplacé la Politique sur la sécurité de 2002 et la Politique de gestion de l’infrastructure à clé publique du gouvernement du Canada de 2004. Par conséquent, le Commissariat doit mettre en œuvre un Plan de sécurité institutionnelle d’ici avril 2012 pour respecter la nouvelle politique. Ce plan doit respecter la Directive sur la gestion de la sécurité ministérielle du SCT, ce qui constitue un défi puisque le plan doit en intégrer toutes les composantes, y compris le Plan de continuité des opérations et le Plan d’intervention d’urgence.

Le Commissariat travaille à l’élaboration du programme de sécurité institutionnelle et il a déjà mis en œuvre différentes initiatives, y compris une EMR pour la sécurité physique, qui est actuellement en cours. La sécurité constitue un risque pour tous les ministères et les organismes. Cependant, compte tenu de la nature du Commissariat et des renseignements qu’il détient, ce risque a été jugé élevé. Bien qu’il existe un risque de non-conformité à la politique du CT avec les conséquences que cela encourt, ce risque équivaut au risque inhérent associé à une sécurité insuffisante ou inefficace, et la Politique sur la sécurité du gouvernement constitue la référence en matière de sécurité.

 

 

 

 

 

Risque élevé

4. Efficacité des systèmes de technologie de l’information (TI) et des pratiques de gestion de l’information (GI) du Commissariat

(Toutes les directions)

Le Commissariat a élaboré une stratégie quinquennale en matière de GI-TI afin d’atténuer le risque. Cette stratégie en est à sa deuxième année de mise en œuvre et des améliorations seront apportées à de nombreux aspects de la technologie de l’information. Les principales initiatives, qui seront lancées prochainement, comprennent la mise en œuvre du SGDDI, ainsi que le remplacement des systèmes de gestion des cas des services juridiques et des services des enquêtes. Bien que le Commissariat accomplisse des progrès dans ce domaine, les entrevues réalisées auprès des gestionnaires révèlent que la TI est encore perçue comme un domaine de risque en raison du nombre de modifications et de mises à jour à apporter aux systèmes. Ce risque comprend l’incidence du changement technologique sur le Commissariat et l’importance d’utiliser des techniques de gestion du changement appropriées.

D’après le profil de risque organisationnel de la division de GI et selon les discussions avec les gestionnaires, l’inefficacité des systèmes, processus et pratiques de GI pourrait avoir des conséquences négatives sur les activités fondamentales du Commissariat, dont les suivantes : pertes importantes de connaissances et de mémoire institutionnelle si des personnes dont les connaissances ne sont pas documentées quittent le Commissariat; communication accidentelle de renseignements sensibles; difficulté à localiser et à récupérer des documents, ce qui pourrait nuire à la capacité du Commissariat d’exécuter son programme d’AIPRP. De plus, la réputation du Commissariat pourrait être entachée si quelqu’un découvrait que l’organisation ne disposait pas de pratiques, de processus et de systèmes de GI efficaces. Les gens s’attendent à ce que le Commissariat dispose des meilleures pratiques en matière de GI afin de pouvoir inspirer les autres organismes fédéraux.

 

 

 

 

 

 

 

Risque modéré

5. Conformité aux instruments de politique de la gestion financière du Secrétariat du Conseil du Trésor du Canada

(Direction des politiques, communications et opérations)

La non-conformité aux politiques et aux règlements fédéraux constitue un risque inhérent pour le Commissariat ainsi que pour tous les autres ministères et organismes fédéraux. Il faudrait toujours surveiller ce risque en raison des modifications qui sont constamment apportées à ces instruments. Pour les hauts fonctionnaires du gouvernement, la situation est encore plus complexe puisqu’un certain nombre de politiques et de règlements ne s’appliquent pas. Le domaine des instruments de politique de la gestion financière est complexe, et la nouvelle Politique sur le contrôle interneexige que les ministères, organismes et hauts fonctionnaires du Parlement veillent à ce que les risques liés à la gérance des ressources publiques soient gérés adéquatement grâce à des contrôles internes efficaces, y compris les contrôles internes en matière de rapports financiers. L’application générale de cette politique augmente le risque de non-conformité et des travaux d’envergure seront nécessaires dans l’ensemble du gouvernement afin d’en assurer la mise en œuvre.

 

 

 

Risque modéré

Tableau 5 – Résumé des risques ciblés dans le PVAR de 2008−2010 et explication de leur inclusion dans le PVAR de 2010−2013

Risques ciblés dans le PVAR de 2008−2010 Inclusion des risques dans le PVAR de 2010−2013

Efficacité des éléments suivants :


a) solutions relatives à l’inventaire;
b) processus d’enquête nouveaux et existants

Depuis le PVAR de 2008−2010, des améliorations importantes au processus d’enquête ont été apportées ou sont prévues dans le cadre de la réponse et du plan d’action de la gestion faisant suite à la vérification de l’Unité de réception et de règlement rapide.

Ce risque sera évalué lors du processus de suivi de l’exercice de vérification.

Capacité à recruter des employés et à les maintenir en poste

Depuis le dernier PVAR, le Commissariat a lancé de nouvelles initiatives importantes visant à améliorer ses pratiques en matière de ressources humaines par la mise en œuvre de son plan des RH 2009−2014. Les entrevues réalisées auprès des gestionnaires révèlent que les nouvelles stratégies de recrutement ont été plutôt efficaces pour doter convenablement les postes. Cependant, le maintien en poste est encore perçu comme un enjeu pour l’organisation. Par conséquent, ce risque a été reporté dans le PVAR de 2010−2013, mais il a été reformulé ainsi :

  • Capacité à conserver la mémoire institutionnelle et l’élan organisationnel advenant un roulement du personnel de gestion.

Efficacité de l’environnement de gestion de l’information et de la technologie de l’information (GI-TI) du Commissariat

Le Commissariat a élaboré une stratégie quinquennale en matière de GI-TI afin d’atténuer une partie du risque. Cette stratégie en est à sa deuxième année de mise en œuvre et des améliorations seront apportées à de nombreux aspects de la gestion de l’information et de la technologie de l’information. Cependant, compte tenu du risque inhérent associé à la technologie et de l’importance de la gestion de l’information au sein du Commissariat, ce risque sera reporté et reformulé de la façon suivante :

  • Efficacité des systèmes de technologie de l’information (TI) et des pratiques de gestion de l’information (GI) du Commissariat.

Pratiques de gestion de l’information appropriées

À inclure dans le risque relatif à la GI-TI ci-dessus.

Capacité de répondre aux demandes d’accès à l’information (AI)

  • Ce risque est reporté dans le PVAR de 2010−2013, mais il sera traité comme une composante de deux risques distincts inhérents à la capacité du groupe de l’AIPRP à obtenir les renseignements nécessaires pour répondre aux demandes d’AI, et non au fonctionnement en soi du groupe de l’AIPRP. La capacité à répondre aux demandes d’AI dépend non seulement de l’efficacité et de la rapidité des processus (facteur inclus dans le risque no 1), mais aussi de l’efficacité des systèmes de technologie de l’information (TI) et des pratiques de gestion de l’information (GI) de l’organisation.

Respect des politiques et des règlements fédéraux

En 2008, lorsque le précédent PVAR a été élaboré, le gouvernement fédéral a approuvé de nouvelles politiques et de nouveaux règlements. Il ne semblait pas clair au départ lesquels s’appliqueraient au Commissariat et comment l’organisation assurerait le respect à leur égard. La vérification annuelle du BVG pour l’exercice 2006−2007 a aussi permis de déceler certaines dérogations aux politiques dans les domaines des ressources humaines et de la rémunération. Depuis, d’importantes initiatives et mesures ont été instaurées afin d’atténuer le risque de non-conformité par le truchement de la mise en œuvre de la politique du Commissariat concernant la gestion du personnel, laquelle assure le respect des règlements connexes du Conseil du Trésor (CT). De plus, afin de clarifier l’application de la Politique sur la vérification interne aux hauts fonctionnaires du Parlement, un groupe de travail a été formé avec le mandat de préciser et de confirmer la façon dont ces hauts fonctionnaires se conformeraient à la Politique. Ce risque a été reporté dans le PVAR de 2010−2013 et modifié pour qu’il traite expressément des politiques de gestion financière.

Gestion du changement

Ce risque a été retiré du PVAR de 2010−2013 et ajouté au risque en matière de GI-TI. La gestion du changement sera ajoutée aux risques particuliers, selon le cas, dans le but d’améliorer la vérifiabilité et de lui fournir le profil dont elle a besoin.

 

 

Annexe B : Listes de personnes interviewées

Nom

Titre

Date

Suzanne Legault

Commissaire à l’information

7 mai 2010

Andrea Neill

Commissaire adjointe à l’information, Direction du règlement des plaintes et respect de la Loi

7 mai 2010

Layla Michaud

Commissaire adjointe à l’information par intérim – Direction des politiques, communications et opérations

7 mai 2010

Stephen Campbell

Directeur intérimaire, Planification stratégique, finances et administration

7 mai 2010

Thérèse Boisclair

Directrice, Communications et relations extérieures

10 mai 2010

Ginette Rochon

Directrice, Direction des ressources humaines

10 mai 2010

Stephen Campbell

Directeur intérimaire, Planification stratégique, finances et administration

10 mai 2010

Laurence Kearley

Directeur intérimaire, Direction des services juridiques

10 mai 2010

Trish Boyd

Conseillère juridique principale intérimaire

10 mai 2010

Monica Fuijkschot

Directrice, Gestion de l’information

10 mai 2010

Ed Vandesande

Chef, Technologie de l’information

10 mai 2010

Sandra George

Directrice, Unité de réception et de règlement rapide

17 mai 2010

Muriel Korngold-Wexler

Directrice, Unité du respect de la Loi

17 mai 2010

Josée Villeneuve

Directrice, Affaires systémiques, politiques et relations parlementaires

17 mai 2010

 

 

Annexe C : Liste des documents examinés

  • Plan de vérification axé sur les risques 2008−2010 pour le Commissariat à l’information du Canada
  • Charte du Comité de vérification interne
  • Mandat du Comité de vérification interne
  • Groupe de travail des hauts fonctionnaires du Parlement et interprétation de la Politique sur la vérification interne
  • Rapport de vérification de l’Unité de réception et de règlement rapide et Plan d’action de gestion connexe
  • Rapport de révision des services votés du Commissariat à l’information du Canada, janvier 2009
  • Plan stratégique en matière de GI−TI : rapport annuel 2009−2010 intitulé Bringing You Unprecedented Access (Un accès sans précédent) du Commissariat à l’information du Canada
  • Contenu des cahiers du Comité de vérification, ordres du jour des réunions et comptes rendus des décisions entre octobre 2008 et mars 2010
  • Rapport ministériel sur le rendement de 2007−2008
  • Rapport ministériel sur le rendement de 2008−2009
  • Rapport sur les plans et priorités de 2007−2008
  • Rapport sur les plans et priorités de 2008−2009
  • Rapport sur les plans et priorités de 2009−2010
  • Rapport sur les plans et priorités de 2010−2011