2014-2015 Rapport annuel de la dirigeante principale de la vérification
Commissariat à l’information du Canada
Août 2015
1. Introduction
Le présent rapport de la dirigeante principale de la vérification (DPV) du Commissariat à l’information (le Commissariat) passe en revue les activités de la fonction de vérification interne entre le 1er avril 2014 et le 31 mars 2015.
La DPV fournit un rapport annuel d’assurance globale sur l’efficacité et la pertinence de la gestion des risques, des contrôles internes et de la gouvernance.
L’article 6.6.1.1 de la Directive sur la vérification interne au gouvernement du Canada du Secrétariat du Conseil du Trésor prévoit que le dirigeant principal de la vérification prépare un rapport annuel qui inclut des sections sur :
- l’indépendance, le professionnalisme, le rendement et les résultats de la vérification interne en regard du plan établi, notamment en ce qui a trait à l’utilisation des ressources, aux leçons apprises et aux effets sur les plans des prochaines années;
- les résultats du suivi de la mise en œuvre des plans d’action de la direction.
Le Comité de vérification et d’évaluation (CVE) continue d’être un important pilier sur lequel s’appuie la fonction d’évaluation indépendante et neutre des processus de gestion du risque, de contrôle et de gouvernance du Commissariat. Cette année, le CVE a accueilli un nouveau membre externe.
2. Survol de la fonction de vérification interne du Commissariat
2.1 Aperçu général
La fonction de vérification interne permet au Commissariat d’atteindre son objectif visant à instaurer une méthode systématique et structurée pour évaluer et améliorer l’efficacité des processus de gouvernance, de contrôle et de gestion des risques. La fonction de vérification interne s’en remet à une structure organisationnelle dirigée par la commissaire, qui est secondé par le CVE et la DPV, pour avoir l’autorisation de mener ses activités de vérification.
Le travail de la fonction de vérification interne consiste principalement à fournir une évaluation indépendante de la validité des stratégies et des pratiques de gestion des risques, ainsi que de la gestion des cadres et des pratiques de contrôle pour atteindre les objectifs du Commissariat.
2.2 La fonction de vérification interne en 2014-2015
Le Commissariat est un petit organisme doté d’un mandat unique défini par la loi. Le Commissariat a un faible effectif et compte un nombre limité d’opérations financières. Il possède un comité de vérification et d’évaluation indépendant et a confié la mise en place de ses principaux systèmes de gestion des ressources humaines à Services partagés Canada et ceux liés au traitement de ses données financières, au Commissariat à la protection de la vie privée (CPVP). À compter du 1er avril 2015, le Commissariat a également conclu un protocole d’entente avec la Commission canadienne des droits de la personne (CCDP) pour la prestation de services de gestion financière, y compris le traitement de toutes les demandes et de toutes les factures aux fins de paiement.
De plus, le Commissariat est assujetti à des vérifications annuelles effectuées par le Bureau du vérificateur général (BVG). En raison de ces facteurs, il n’avait pas besoin de maintenir en poste à temps plein un ou une DPV.
La fonction de vérification interne a pu fournir à la commissaire à l’information des renseignements, des avis et une assurance lui permettant de déterminer si les services administratifs importants ainsi que les processus et systèmes de gestion sont conçus de façon appropriée et fonctionnent efficacement, conformément aux politiques et aux principes directeurs.
2.3 Cadre de travail et indépendance du DPV
En février 2013, le Commissariat a confié les responsabilités du DPV à Bernard Bougie, membre externe du CVE. Le titulaire du poste de DPV est soutenu par la directrice générale des Services organisationnels. Depuis le 27 mai 2015, Nathalie Houle, agente principale des services financiers au Commissariat, assume les fonctions de DPV.
Pour 2014-2015, le Commissariat a décidé de confier les responsabilités de DPV à un membre indépendant de son CVE. Cette activité a été interrompue en mai 2015 à la suite de la nomination du nouveau membre David Rattray, FCPA, CIA, qui exercera un rôle de supervision de premier plan sur les activités de vérification interne et un rôle de mentor auprès de la nouvelle DPV nommée récemment dans l’exercice de ses fonctions.
La directrice générale des Services organisationnels veille à ce que le DPV ait accès à tous les documents, bases de données, lieux de travail et employés du Commissariat dont elle a besoin pour effectuer son travail. Le DPV a un lien direct avec la commissaire à l’information et les membres externes du CVE pendant la réalisation des vérifications.
De plus, il est important de signaler que le Bureau du vérificateur général effectue chaque année une vérification financière indépendante du Commissariat et qu’il en présente les résultats au CVE.
Conformément à ce cadre, le DPV conserve l’indépendance et l’intégrité requises pour la fonction de vérification interne. En outre, afin d’exécuter le Plan intégré de vérification et d’évaluation axé sur les risques, des stratégies d’atténuation ont été mises en œuvre, comme le fait d’engager des professionnels de la vérification pour effectuer les missions de vérification et afin de mettre à jour régulièrement le Plan de vérification axé sur les risques. Un examen de mi-parcours et une mise à jour du Plan de vérification axé sur les risques sont prévus en janvier 2016.
Les membres indépendants du CVE joueront un rôle plus important dans l’établissement du programme du Comité, l’examen des risques et la mise en œuvre des contrôles.
Le DPV se guide sur le Plan intégré de vérification et d’évaluation axé sur les risques – 2014-2018 approuvé par la commissaire.
2.4 Assurance de la qualité
Durant la conduite des vérifications internes du Commissariat, les professionnels de la vérification sont tenus de se conformer aux Normes relatives à la vérification interne au sein du gouvernement du Canada. Chaque rapport de vérification interne inclut une attestation que la vérification a été effectuée conformément à ces normes.
3. Rendement et résultats
3.1 Résultats du suivi de la mise en œuvre des plans d’action de la direction
En 2013-2014, en raison de l’impartition à Services partagés Canada, le Commissariat a mis à jour tous les documents liés à ces contrôles et processus.
Ce projet visait à valider les contrôles internes en matière de ressources humaines que le Commissariat avait déjà documentés et à mettre à jour ces contrôles, au besoin, en tenant compte des nouveaux processus. Plus précisément, l’examen portait notamment sur les contrôles relatifs à l’entrée de données dans le Système d’information sur les ressources humaines (utilisé seulement par le Commissariat) et sur les renseignements que le Commissariat transmet à Services partagés Canada pour qu’ils soient entrés dans le Système régional de paye. Cet examen a été mené pour fournir à la direction une assurance raisonnable de l’existence de contrôles permettant de garantir que les employés sont rémunérés conformément à leurs conditions d’emploi, aux conventions collectives et aux politiques du SCT et du Commissariat. De plus, Samson & Associés a examiné les contrôles relatifs aux approbations nécessaires en vertu des articles 32, 33 et 34 de la Loi sur la gestion des finances publiques tout au long du cycle d’administration de la paye.
Samson & Associés, une entreprise engagée par contrat, a constaté que, même si le Commissariat avait modifié ses pratiques et son cadre de contrôle en matière de ressources humaines, notamment en redéfinissant les rôles et les responsabilités des intervenants, les principaux contrôles relatifs à la gestion des fonctions des ressources humaines étaient en place. La firme a noté que seules quelques améliorations mineures s’imposaient et a formulé une série de recommandations pour renforcer davantage la gérance et la reddition de comptes et améliorer l’efficacité des processus du Commissariat en matière de ressources humaines et d’administration de la paye. Les recommandations tenaient compte de la petite taille du Commissariat et de la difficulté qui s’ensuit d’atteindre un niveau élevé de séparation des tâches, de même que des ressources disponibles et de la transition vers Services partagés Canada. Elles visaient en outre à renforcer l’efficacité des contrôles tout en faisant en sorte qu’il soit possible de mettre en œuvre les solutions proposées.
Les membres du CVE ont discuté des résultats finaux de l’examen des contrôles en matière de ressources humaines en novembre 2014.
3.2 Vérification du Bureau du vérificateur général
Le Bureau du vérificateur général du Canada a examiné les états financiers du Commissariat et a donné à ce dernier une opinion sans réserve pour 2013-2014. Vous pouvez consulter le rapport de vérification sur le site Web du Commissariat.
3.3 Plan de vérification et d’évaluation axé sur les risques
Le Plan de vérification et d’évaluation axé sur les risques (PVEAR) du Commissariat combine les plans d’évaluation et de vérification interne pour les cinq prochains exercices (de 2014 à 2018). Le PVEAR a pour objectif d’affecter les ressources aux secteurs qui présentent les risques les plus importants et qui sont prioritaires pour le Commissariat, et aussi de s’assurer que l’organisation respecte les exigences des politiques du Conseil du Trésor sur la vérification interne et l’évaluation.
La portée de la vérification et de l’évaluation proposées dans le PVEAR vise à atteindre un judicieux équilibre entre un certain nombre d’exigences et de considérations dans le contexte des contraintes budgétaires présumées sur lesquelles le plan est fondé. Le PVEAR permet au Commissariat de réaliser un ou deux projets par année.
Deux vérifications ont été identifiées pour 2014-2015 : la vérification de la sûreté de la technologie de l’information et de l’infrastructure physique et l’évaluation du programme de règlement des plaintes et d’enquêtes. Compte tenu des autres priorités et de la disponibilité des ressources, le CVE a recommandé que la vérification de la sûreté des technologies de l’information et de l’infrastructure physique soit reportée à 2015-2016.
Le Commissariat a retenu les services du cabinet de vérificateurs indépendant Raymond Chabot Grant Thornton pour aider à la réalisation de l’évaluation du programme de règlement des plaintes et d’enquêtes. Les critères d’évaluation étaient liés à l’efficacité et à l’efficience des opérations, et les améliorations recommandées étaient liées au processus d’enquête. Ces recommandations comprenaient une approche plus simplifiée. Elles ont été adoptées et mises en place.
3.4 Capacité et utilisation des ressources
Des professionnels de la vérification ont fourni, en sous-traitance, les principales ressources de la fonction interne de vérification pour la conduite des missions de vérification et la mise à jour annuelle du Plan de vérification axé sur les risques.
Le Commissariat collabore avec d’autres agents du Parlement afin de trouver des solutions meilleures et plus efficientes pour les projets de vérification interne. Par exemple, le Commissariat et le Commissariat aux langues officielles (CLO) ont commencé à échanger divers documents, comme leurs chartes de vérification, politiques et PVEAR respectifs.
4. Conclusion
La DPV croit que le système de la gestion est satisfaisant pour répondre aux besoins du Commissariat.
5. L’année à venir
Pour 2015-2016, le PVEAR demande une vérification de l’approvisionnement et de la passation de marchés. En outre, tel que mentionné précédemment, la vérification de la sûreté de la technologie de l’information et de l’infrastructure physique a été reportée de 2014-2015 à 2015-2016.
Enfin, le Commissariat continuera de partager avec les autres agents du Parlement de l’information sur la question de la vérification interne pour que les organisations concernées puissent acquérir expertise et compétence. De plus, la DPV et le CVE continueront de prodiguer des conseils d’experts et de fournir l’assurance que les processus et les services sont efficaces dans le domaine de la vérification et dans d’autres domaines d’activité.