2018-2019 Comité de vérification et d’évaluation rapport annuel

Commissariat à l’information

Table des matières

Introduction

Les membres externes du Comité de vérification et d’évaluation du Commissariat à l’information ont préparé le présent rapport à l’intention de la commissaire à l’information pour résumer les activités du Comité du 1er avril 2018 au 31 mars 2019.

Le rapport est également l’occasion pour les membres externes de faire part des points à améliorer au Commissariat selon eux, en fonction des évaluations et des délibérations du Comité au cours de l’année.

Rôle et composition du Comité

Le rôle du Comité consiste à fournir à la commissaire des conseils, une orientation et des recommandations indépendants et objectifs concernant le caractère adéquat des mécanismes de contrôle et de reddition de comptes du Commissariat, ainsi que le recours à l’évaluation au sein du Commissariat pour soutenir les pratiques de gestion, la prise de décision et le rendement des programmes.

Pour offrir ce soutien, le Comité surveille activement les principaux aspects du cadre de contrôle et de reddition de comptes du Commissariat. Ainsi, les membres du Comité se penchent sur des questions stratégiques de haut niveau ainsi que sur des questions opérationnelles afin de soutenir l’indépendance des activités de vérification interne au sein du Commissariat et la neutralité de la fonction d’évaluation. Grâce à la contribution du Comité, les résultats des vérifications internes et des évaluations sont intégrés aux processus opérationnels de planification et d’établissement des priorités du Commissariat.

À titre de ressources stratégiques pour la commissaire, les membres du Comité fournissent aussi les conseils et des recommandations que peut demander celle-ci en ce qui concerne de nouvelles priorités particulières, des préoccupations, certains risques, des occasions et/ou la reddition de comptes.

Le Comité compte trois membres, dont deux provenant de l’extérieur du gouvernement fédéral. En 2018-2019, les membres externes étaient David Rattray et Dyane Adam, qui présidait le Comité. Mme Adam a été nommée en octobre 2008 et quittera le Comité en août 2019. Elle sera remplacée par l’ancien commissaire aux langues officielles Graham Fraser. M. Rattray s’est joint au Comité en avril 2015 et il a été nommé pour un second mandat jusqu’au 30 août 2020. Collectivement, les membres externes ont des connaissances et une expérience considérables dans les domaines de la vérification, des contrôles internes et de la gestion du risque dans les secteurs public et privé, de même que des opérations et des responsabilités des agents du Parlement. La commissaire à l’information Caroline Maynard est le troisième membre du Comité.

La dirigeante principale des finances du Commissariat et la sous-commissaire, Enquêtes et Gouvernance, Layla Michaud, de même qu’un haut représentant du Bureau du vérificateur général (BVG), ont assisté à toutes les réunions au cours de la période visée par le rapport. Différents membres du personnel du Commissariat ont également assisté à des réunions pour présenter des rapports et d’autres livrables, ou pour informer les membres du Comité au sujet des opérations et des activités du Commissariat.

Depuis le 18 février 2019, France Labine, la nouvelle sous-commissaire, Services corporatifs, Planification stratégique et Services de transformation, et dirigeante principale des finances du Commissariat, mène maintenant les activités de vérification interne et d’évaluation du Commissariat.

Réunions

Le Comité de vérification et d’évaluation s’est réuni trois fois en personne et une fois par téléconférence entre le 1er avril 2018 et le 31 mars 2019. Des séances à huis clos auxquelles participaient seulement la commissaire et les membres externes ont eu lieu à la fin de chaque réunion.

Le Commissariat publie les procès-verbaux (comptes rendus) des réunions du Comité sur son site Web.

Activités

Les activités du Comité se répartissent dans les neuf catégories ci-dessous. Ces domaines de responsabilité sont liés de nombreuses façons, particulièrement en ce qui concerne le risque, et les membres du Comité en tiennent compte lorsqu’ils effectuent des évaluations et formulent des conseils.

Valeurs et éthique

Le Comité examine les dispositions prises par la direction du Commissariat pour promouvoir les valeurs de la fonction publique et les mettre en pratique ainsi que pour assurer le respect des lois, des règlements, des politiques et des normes relativement au comportement éthique.

Gestion du risque

La gestion et l’atténuation du risque demeurent des priorités pour le Comité, notamment l’examen du profil des risques de l’organisation et des stratégies et activités du Commissariat en matière de gestion des risques.

Les membres du Comité, avec l’aide du dirigeant principal de la vérification du Commissariat, ont revu et ajusté le calendrier des vérifications et des évaluations à venir, de même que certains points du Plan de vérification et d’évaluation axé sur les risques 2017-2021 du Commissariat.

Parmi les changements apportés au calendrier, il y avait l’ajout d’une Évaluation de la menace et des risques et d’une Évaluation de la menace et de la vulnérabilité de la technologie de l’information (TI), qui devait commencer en mars 2019 et se terminer au cours de l’exercice 2019-2020.

Le directeur de la TI du Commissariat a présenté ses plans pour accroître la sensibilisation à la sécurité en se fondant sur les 10 mesures de sécurité recommandées par le Centre de la sécurité des télécommunications Canada.

Les membres du Comité ont examiné de l’information concernant le risque provenant d’organismes externes et réfléchi à la manière dont elle pourrait s’appliquer au Commissariat. Cela comprenait une liste des risques importants pour les petits ministères préparée par le contrôleur général. Le Comité a aussi revu les recommandations du BVG concernant les problèmes continus avec le système de paye Phénix. Le dirigeant principal de la vérification du Commissariat a présenté un plan d’action pour donner suite aux recommandations, et l’a mis à jour par la suite. 

Enfin, la commissaire a informé les membres du Comité de son intention d’entreprendre un exercice de planification stratégique exhaustif au cours du prochain exercice afin d’établir les priorités à moyen et à long terme de son mandat. Les résultats seront reflétés dans le nouveau plan de vérification en fonction du risque qui sera préparé en 2020 ainsi que dans la gestion globale du risque au Commissariat.

Cadre de contrôle de la gestion

Le Comité examine les mécanismes de contrôle interne du Commissariat, y compris le caractère adéquat des vérifications menées par la direction.

Il y a eu de nombreuses activités et les discussions relatives au cadre de contrôle de la gestion, qui est lié à tous les autres domaines de responsabilité, tout au long de l’exercice.

Dans le cadre d’une entente, la Commission canadienne des droits de la personne (CCDP) offre au Commissariat des services de gestion financière et d’approvisionnement spécialisé. Le Commissariat se fie aux contrôles internes de la CCDP en ce qui concerne les rapports financiers et le système de gestion financière pour traiter les données financières que le Commissariat a approuvées, autorisées et transmises à la CCDP.

Chaque année, la CCDP donne au Commissariat un aperçu de ses activités de surveillance liées à son système de contrôle interne des rapports financiers, lui donne une assurance raisonnable que ces contrôles sont bien gérés et atteste de l’évaluation du système de contrôle de la CCDP.

Dans le cadre de l’évaluation, la CCDP a fait ce qui suit :

  • révisé et mis à jour la documentation sur les processus opérationnels et les contrôles afin qu’ils tiennent compte des processus et contrôles actuellement en place;
  • passé en revue les transactions du Commissariat dans le cadre du processus de passation de marchés et les transactions de la CCDP en ce qui concerne les autres processus opérationnels, ce qui a révélé que les principaux contrôles internes relatifs à ces processus étaient tous forts et fonctionnaient efficacement, à l’exception des transactions liées à la paye effectuées avec Phénix, le système de paye du gouvernement;
  • évalué, pour les transactions du Commissariat, l’efficacité opérationnelle de la gestion et de la sécurité de la TI.

L’évaluation a permis de constater que les contrôles relatifs aux systèmes de TI demeurent appropriés et que le Commissariat peut s’y fier. Pour ce qui est de la gestion de la TI, le système financier GX a été testé en ce qui concerne le contrôle interne concernant les contrôles financiers et on a pu constater qu’il était fort.

Pour ce qui est de Phénix, le BVG a déclaré dans sa vérification annuelle que le système n’était pas toujours capable de traiter correctement les paiements, mais que le Commissariat disposait de contrôles et de processus suffisants pour minimiser les répercussions et faire en sorte que les états financiers soient correctement présentés. Le BVG n’a pas trouvé d’exception lors de ses tests des contrôles ou dans son échantillon statistique.

Vérification interne

Le Comité est responsable de la planification de la vérification interne et de la préparation de rapports à ce sujet, de même que du suivi des plans d’action de la direction qui en découlent.

Les membres du Comité ont discuté de la portée d’une vérification interne sur l’approvisionnement qui a été effectuée durant la période visée par le rapport. Les résultats et les recommandations ont été déposés à la réunion de mai 2019. Le Comité a également passé en revue les résultats d’un examen interne des paiements rétroactifs. Cet examen a permis de conclure que le registre détaillé et les contrôles clés aidaient à réduire les risques liés à la conformité et à l’exactitude des données.

Un membre externe du Comité a présenté un résumé des mises à jour apportées en 2017 aux normes de l’Institute of Internal Auditors.

Layla Michaud a quitté ses fonctions de dirigeante principale de la vérification durant la période visée par le rapport et a été remplacée par Stephen Campbell, directeur, Finances, contrats et vérification.

Évaluation

Les responsabilités du Comité relativement à l’évaluation comprennent la révision et l’approbation du plan d’évaluation du Commissariat, les rapports sur les évaluations individuelles et les plans d’action de la direction, et la réception de mises à jour sur la mise en œuvre des recommandations par le Commissariat.

Une évaluation du programme d’enquêtes du Commissariat est prévue en 2019–2020.

Suivi des plans d’action de la direction

Le Comité reçoit régulièrement des mises à jour de la direction sur les plans d’action et du dirigeant principal de la vérification sur l’état et l’efficacité des mesures de suivi prises par la direction.

À chaque réunion, les membres ont reçu le compte rendu et une mise à jour sur les mesures de suivi découlant des réunions précédentes. En date du 31 mars 2019, toutes les mesures de suivi avaient été exécutées.

Le Comité a également passé en revue les recommandations et le plan d’action découlant de l’évaluation des risques associés à la TI effectuée à la fin de l’exercice 2017–2018.

États financiers et rapports sur les comptes publics

Le Comité passe en revue le rapport sur la vérification annuelle du BVG des états financiers du Commissariat et recommande leur acceptation à la commissaire.

Le BVG a présenté son rapport de vérification 2017–2018 avec une opinion non modifiée, indiquant qu’il n’avait trouvé aucune anomalie dans les contrôles internes et qu’aucun ajustement majeur n’était nécessaire. Le Commissariat a toujours reçu un rapport de vérification annuelle des états financiers avec une opinion non modifiée du BVG, depuis que les vérifications ont commencé en 2003–2004.

Au cours de l’exercice, le dirigeant des finances a tenu les membres du Comité au courant de l’état du budget de l’exercice en cours et de la préparation du budget 2019-2020, de même que des efforts déployés pour obtenir un financement permanent.

Reddition de comptes

Le Comité passe en revue les rapports organisationnels en vue de formuler des conseils à la commissaire et afin de repérer les erreurs ou omissions importantes.

Les rapports suivants ont fait l’objet d’une révision et de discussions par le Comité en 2018–2019 :

  • Rapport sur les résultats ministériels 2017-2018; et
  • Plan ministériel 2019-2020, y compris l’information sur les risques financiers liés au financement temporaire que le Commissariat a reçu du Conseil du Trésor, ainsi que les risques liés à l’infrastructure de TI, le réseau et la cybersécurité.

Le Comité a été informé au sujet de la nouvelle approche et du nouveau format du rapport annuel de la commissaire au Parlement.

Fournisseur externe de services d’assurance

Le Comité évalue de façon objective les éléments probants et les données afin de fournir une opinion ou des conclusions indépendantes sur les activités du Commissariat, les résultats, les risques, l’intendance et la gouvernance.

Évaluation globale de la gestion du risque, du contrôle et de la gouvernance

Selon les examens qu’il a effectués et les discussions qu’il a eues au cours de l’exercice 2018-2019, le Comité est raisonnablement convaincu que les processus de gestion du risque, de contrôle et de gouvernance du Commissariat fonctionnent bien.

Le Comité apprécie la diligence raisonnable dont a fait preuve le Commissariat en élaborant des processus et des pratiques sains, et la volonté de la direction de constamment les améliorer.

Efficacité du Comité

Le Comité, avec le soutien du dirigeant principal de la vérification, a élaboré, révisé et approuvé une nouvelle charte pour le Comité qui établit son mandat, sa composition et ses domaines de responsabilité.

Les membres externes du Comité sont satisfaits de l’évolution et de la maturité du Comité en ce qui a trait à son rôle consultatif. Les membres ont reçu de l’information pertinente et transparente permettant au Comité d’accomplir son mandat. Les membres ont apprécié le professionnalisme du personnel et sa franchise au sujet des difficultés auxquelles il fait face, de même que sa volonté d’appliquer les suggestions.

Le Comité fait maintenant partie intégrante du système de gouvernance du Commissariat. Malgré les priorités concurrentes et la nécessité d’accomplir plusieurs tâches à la fois propre aux petites organisations, l’engagement et le dévouement des cadres supérieurs et des analystes fonctionnels ont grandement aidé le Comité à remplir son mandat. Selon les observations faites au cours de la dernière année, le Comité conclut que le Commissariat semble aborder son mandat, la surveillance des résultats et la production de rapports publics de manière systématique et rationnelle.

Planification à long terme

Le Comité prévoit se réunir quatre fois durant l’exercice 2019-2020. Ses objectifs sont de continuer à donner des conseils qui respectent les principes fondamentaux de la fonction publique, de tenir compte de l’indépendance des agents du Parlement et de prendre en considération divers points de vue innovateurs et créatifs.

Le tableau ci-dessous présente la portée, l’objectif et la justification de chaque projet de vérification et d’évaluation proposé pour 2019-2020, 2020-2021 et 2021-2022.

Exercice Nom du projet de vérification Entité principale Budget prévu Portée, objectif et justification de la vérification

2018-2019, 2019-2020 et

2020-2021

Évaluation de la menace et des risques (EMR) et Évaluation de la menace et de la vulnérabilité (EMV) – Vaste portée

Technologie de l’information (TI)

34 000 $

Portée : Analyse du réseau du Commissariat et cueillette de renseignements

Objectif : Afin d’évaluer le niveau de vulnérabilité du réseau du Commissariat face aux menaces externes, i) interroger des intervenants et des responsables de systèmes au Commissariat; ii) procéder à des tests de pénétration; et iii) produire un rapport et procéder à un débreffage sur place.

Justification : Grand besoin de vérification, 4.1 Incidence et 2.6 Probabilité. Cette vérification est considérée comme essentielle en vue du lancement par le Commissariat de la fonction de téléchargement de documents dans le formulaire de plainte en ligne.

2019-2020

Évaluation des enquêtes

Haute direction et règlement des plaintes

25 000 $

Portée : Programme des enquêtes

Objectif : Évaluer, conformément à la Politique sur les résultats du Conseil du Trésor, la pertinence et le rendement du programme d’enquêtes.L’évaluation devrait tenir compte de la nature changeante des enquêtes en analysant le portefeuille de plaintes (p. ex. source, institution ciblée, type de plainte), de même que du nouveau contexte dans lequel le programme exerce ses activités (c.-à-d. changements législatifs).

Justification : Grand besoin de vérification, 4.2 Incidence et 3.6 Probabilité. Comme le programme des enquêtes est le programme principal au Commissariat, une évaluation de cette activité est recommandée à intervalles de quelques années.

2020–2021

Examen de la gestion du rendement et des talents

Ressources humaines

30 000 $

Portée : Examen des pratiques de ressources humaines au Commissariat

Objectif : Il ne s’agit pas d’une vérification exhaustive, mais d’un examen des pratiques suivantes de ressources humaines au Commissariat : i) évaluation du rendement des employés (efficacité); ii) programme de gestion des talents (efficacité); iii) roulement du personnel; et iv) entrevues de départ.

Justification : Grand besoin de vérification, 3.3 Incidence et 3.4 Probabilité. Durant les entrevues de la direction et la réunion de planification stratégique, il est apparu que le besoin de recruter des employés à haut rendement dans plusieurs postes clés était une priorité.

2021-2022

Vérification de la sécurité de la gestion de l’information et de l’infrastructure physique

Services corporatifs

25 000 $

Portée : Pratiques de gestion et évaluation des contrôles relatifs à la gestion de l’information

Objectif : Évaluer l’efficacité opérationnelle des pratiques de gestion de l’information et la conformité aux recommandations faites dans l’audit 2017 de RHEA sur la gestion de l’information, notamment celles concernant la conservation et la disposition de documents sensibles et à diffusion restreinte.

Justification : Grand besoin de vérification, 3.2 Incidence et 2.3 Probabilité. Compte tenu de la sensibilité de l’information détenue par le Commissariat et du risque de compromettre sa réputation en cas de mauvaise gestion des renseignements personnels ou à diffusion restreinte, une vérification de cette activité est fortement recommandée.

Date de modification :
Soumettre une plainte