2019-2020 Comité de vérification et d’évaluation rapport annuel

Commissariat à l’information du Canada

Table des matières

Avant-propos du président

L’exercice 2019-2020 a été une période de transition pour le Comité de vérification et d’évaluation et pour le Commissariat à l’information. Après plus de dix ans, Dyane Adam a quitté ses fonctions de présidente et m’a confié ce rôle. En fait, c’est la deuxième fois que je prends sa suite : je lui avais succédé au poste de commissaire aux langues officielles en 2006. Une fois de plus, j’hérite d’une institution en bonne santé. Une fois de plus, je voudrais la remercier pour sa rigueur, sa détermination et son dévouement au service public.

Ce fut également la première année complète de Caroline Maynard en tant que commissaire, et elle a assumé le rôle d’agente du Parlement avec vigueur et grâce. Les agents du Parlement ont pour mission de défendre des valeurs, et Caroline Maynard a toujours été une figure de proue exemplaire en ce qui concerne la protection et la promotion des valeurs qui ont servi de fondement à la Loi sur l’accès à l’information, à savoir l’ouverture et la transparence.

Le Commissariat étant une organisation de petite taille, j’ai été impressionné par la gestion scrupuleuse et responsable de son budget et par la compétence de son équipe de direction. Alors que l’organisation s’adapte aux changements législatifs débattus au cours de l’exercice 2019-2020 et adoptés à la fin de la session parlementaire, de nouveaux impératifs et de nouveaux défis s’annoncent. J’ai confiance en la capacité de la Commissaire et de son équipe à répondre aux impératifs et à relever les défis.

Graham Fraser, O.C.
Président, Comité de vérification et d’évaluation

Introduction

Les membres externes du Comité de vérification et d’évaluation (CVE) du Commissariat à l’information ont préparé le présent rapport à l’intention de la Commissaire à l’information pour résumer les activités du Comité du 1er avril 2019 au 31 mars 2020.

Le rapport est également l’occasion pour les membres externes de faire part des points à améliorer au Commissariat selon eux, en fonction des évaluations et des délibérations du Comité au cours de l’année. Le précédent rapport du CVE (celui concernant l’exercice 2018-2019) a été approuvé par la Commissaire lors de la réunion du CVE du 15 août 2019.

Rôle et composition du Comité

Le rôle du Comité consiste à fournir à la Commissaire des conseils, une orientation et des recommandations indépendants et objectifs concernant le caractère adéquat des mécanismes de contrôle et de reddition de comptes du Commissariat, ainsi que le recours à l’évaluation au sein du Commissariat pour soutenir les pratiques de gestion, la prise de décision et le rendement des programmes.

Pour offrir ce soutien, le Comité surveille activement les principaux aspects du cadre de contrôle de gestion et de reddition de comptes du Commissariat. Ainsi, les membres du Comité se penchent sur des questions stratégiques de haut niveau ainsi que sur des questions opérationnelles afin de soutenir l’indépendance des activités de vérification interne au sein du Commissariat et la neutralité de la fonction d’évaluation. Grâce à la contribution du Comité, les résultats des vérifications internes et des évaluations sont intégrés aux processus opérationnels de planification et d’établissement des priorités du Commissariat.

À titre de ressources stratégiques pour la Commissaire, les membres du Comité fournissent aussi les conseils et les recommandations que peut demander celle-ci en ce qui concerne de nouvelles priorités particulières, des préoccupations, certains risques, des occasions et/ou la reddition de comptes. Cette activité a été largement réalisée non seulement dans le cadre des quatre réunions du Comité tenues au cours de l’année écoulée, mais aussi lors de réunions avec la Commissaire en dehors des réunions officielles.

Le Comité compte trois membres, dont deux provenant de l’extérieur du gouvernement fédéral. En 2019-2020, les membres externes étaient David Rattray et Dyane Adam, qui présidait le Comité.

Mme Adam a été nommée en octobre 2008 et elle a terminé son mandat de présidente du Comité en août 2019. Elle a été remplacée à la présidence par l’ancien commissaire aux langues officielles,

M. Graham Fraser. M. Rattray s’est joint au Comité en avril 2015 et il a été nommé pour un second mandat jusqu’au 30 août 2020. Collectivement, les membres externes ont des connaissances et une expérience considérables dans les domaines de la vérification, des contrôles de gestion et de la gestion du risque dans les secteurs public et privé, de même que des opérations et des responsabilités des agents du Parlement. La commissaire à l’information Caroline Maynard est la troisième membre du Comité.

La dirigeante principale des finances, dirigeante principale de la vérification et de l’évaluation et sous-commissaire, Services organisationnels, Planification stratégique et Services de transformation, France Labine; la sous-commissaire, Enquêtes et Gouvernance, Layla Michaud; le sous-commissaire, Services juridiques et Affaires publiques, Gino Grondin; le directeur, Services financiers, sécurité et administration, Stephen Campbell; de même qu’un haut représentant du Bureau du vérificateur général (BVG) ont assisté à toutes les réunions tenues au cours de la période visée par le rapport.

Différents autres membres du personnel du Commissariat ont également assisté à des réunions pour présenter des rapports et d’autres livrables, ou pour informer les membres du Comité au sujet des opérations et des activités du Commissariat.

Réunions

Le Comité de vérification et d’évaluation s’est réuni quatre fois en personne entre le 1er avril 2019 et le 31 mars 2020, soit le 16 mai 2019, le 15 août 2019, le 7 novembre 2019 et le 30 janvier 2020. Des séances à huis clos auxquelles participaient seulement la Commissaire et les membres externes ont eu lieu à la fin de chaque réunion.

Le Commissariat a publié les procès-verbaux (comptes rendus) des réunions du Comité sur son site Web.

Activités

Les activités du Comité se répartissent dans les neuf catégories ci-dessous. Ces domaines de responsabilité sont liés de nombreuses façons, particulièrement en ce qui concerne le risque et les priorités stratégiques, et les membres du Comité en tiennent compte lorsqu’ils effectuent des évaluations et formulent des conseils.

Valeurs et éthique

Le Comité examine les dispositions prises par la direction du Commissariat pour promouvoir les valeurs de la fonction publique et les mettre en pratique ainsi que pour assurer le respect des lois, des règlements, des politiques et des normes relatives au comportement éthique. Le Comité a également reçu des commentaires sur les sondages menés auprès des employés du Commissariat et les plans d’action au cours de l’année. Le CVE a été satisfait du degré d’intégration et d’évaluation de l’éthique et des valeurs dans les activités du Commissariat.

Gestion du risque

La gestion et l’atténuation du risque demeurent des priorités pour le Comité, notamment l’examen du profil des risques de l’organisation et des stratégies et activités du Commissariat en matière de gestion des risques.

Les membres du Comité, avec l’aide du dirigeant principal de la vérification du Commissariat, ont revu et ajusté, à la suite des mises à jour concernant les risques, le calendrier des vérifications et des évaluations à venir, de même que certains points du Plan de vérification et d’évaluation axé sur les risques (PVEAR) 2017-2022 du Commissariat.

Parmi les changements apportés au calendrier, on compte l’ajout d’une Évaluation de la menace et des risques (EMR) et une Évaluation de la menace et de la vulnérabilité (EMV) de la technologie de l’information (TI) réalisées en 2019. Une discussion sur l’EMV et l’EMR a eu lieu lors de la réunion du CVE du 30 janvier 2020. Ces évaluations ont montré l’état actuel de la sécurité du Commissariat en ce qui concerne l’évaluation des menaces et des risques recensés dans le PVEAR. Elles portaient également sur l’ensemble des travaux réalisés par l’organisation au cours des 18 derniers mois ainsi que sur les étapes à venir. Le CVE était satisfait des travaux réalisés au cours de la période 2019-2020 en matière de risques.

Les membres du Comité ont examiné les renseignements relatifs aux risques fournis par des organismes externes tels que le BVG, le Bureau du contrôleur général (BCG) et le Secrétariat du Conseil du Trésor (SCT). Ils ont également réfléchi sur la manière dont ces renseignements pourraient s’appliquer au Commissariat. Ces renseignements comprenaient une liste des risques importants pour les petits ministères élaborés par le BCG. Le Comité a également examiné les recommandations que le BVG a formulées à la suite de sa vérification financière annuelle des comptes publics. Ces discussions comprenaient une discussion continue sur les problèmes liés au système de paye Phénix.

Enfin, lors de la réunion du 7 novembre 2019, la Commissaire a informé les membres du Comité de l’état d’avancement de l’exercice de planification stratégique exhaustif du Commissariat visant à établir les priorités et les objectifs à moyen et à long terme de son mandat. Les résultats ont été reflétés dans le PVEAR, qui a été approuvé par le Comité lors de sa réunion du 30 janvier 2020.

Cadre de contrôle de la gestion

Le Comité examine les mécanismes de contrôle interne du Commissariat, y compris le caractère adéquat des vérifications menées par la direction.

Des activités et des discussions relatives au cadre de contrôle de la gestion, qui est lié à tous les autres domaines de responsabilité, sont en cours.

Dans le cadre d’une entente, la Commission canadienne des droits de la personne (CCDP) offre au Commissariat des services de gestion financière et d’approvisionnement spécialisé. Le Commissariat se fie aux contrôles de gestion interne de la CCDP en ce qui concerne les rapports financiers et le système de gestion financière pour traiter les données financières que le Commissariat a approuvées, autorisées et transmises à la CCDP pour traitement.

Chaque année, la CCDP donne au Commissariat un aperçu de ses activités de surveillance liées à son système de contrôle interne des rapports financiers, lui donne une assurance raisonnable que ces contrôles sont bien gérés et atteste de l’évaluation du système de contrôle de la CCDP.

Dans le cadre du contrôle interne de la gestion financière et des rapports financiers, la CCDP a :

  • Révisé et mis à jour la documentation sur les processus opérationnels et les contrôles afin qu’ils tiennent compte des processus et contrôles actuellement en place;
  • Passé en revue les transactions du Commissariat dans le cadre du processus de passation de marchés et les transactions de la CCDP en ce qui concerne les autres processus opérationnels, ce qui a révélé que les principaux contrôles internes relatifs à ces processus étaient tous forts et fonctionnaient efficacement, à l’exception des transactions liées à la paye effectuées avec Phénix, le système de paye du gouvernement;
  • Évalué, pour les transactions du Commissariat, l’efficacité opérationnelle de la gestion et de la sécurité de la TI.

L’évaluation par la CCDP a permis au Commissariat de constater que les contrôles relatifs aux systèmes de TI demeurent appropriés et fiables. En matière de gestion de la TI, le système financier GX a été testé en ce qui concerne le contrôle interne pour les contrôles financiers, et on a pu constater qu’il était fort.

Pour ce qui est de Phénix, le système de paye central du gouvernement fédéral, le BVG a déclaré, dans sa vérification annuelle des finances de 2019-2020, que le système n’était pas toujours capable de traiter correctement les paiements, mais que le Commissariat disposait de contrôles et de processus compensatoires suffisants pour minimiser les répercussions et faire en sorte que les états financiers du Commissariat soient correctement présentés. Le BVG n’a pas trouvé d’exception lors de ses tests des contrôles ou dans son échantillon statistique. Comme il est indiqué précédemment dans le présent rapport, un haut représentant (directeur principal) a participé à chacune des quatre réunions du CVE qui se sont tenues cette année.

Vérification interne

Le Comité est responsable de la planification de la vérification interne et de la préparation de rapports à ce sujet, de même que du suivi des plans d’action de la direction qui en découlent.

Les membres du Comité ont discuté de la portée et de l’avancement d’une vérification interne sur l’approvisionnement et les contrats qui a été effectuée durant la période visée par le rapport. Les résultats et les recommandations ont été déposés à la réunion de mai 2019.

La charte du Comité de vérification et d’évaluation a été examinée et approuvée par le Comité lors de sa réunion du 30 janvier 2020.

En février 2019, France Labine a été nommée dirigeante principale des finances, dirigeante principale de la vérification et de l’évaluation et sous-commissaire, Services organisationnels, Planification stratégique et Services de transformation, et elle a remplacé Layla Michaud au poste de dirigeante principale de la vérification au cours de la période visée par le rapport.

Évaluation

Les responsabilités du Comité relativement à l’évaluation comprennent la révision et l’approbation du PVEAR du Commissariat, les rapports sur les évaluations individuelles et les plans d’action de la direction, et la réception de mises à jour sur la mise en œuvre des recommandations par le Commissariat. Le CVE surveille également les éventuels changements dans la Politique sur l’évaluation du Conseil du Trésor. Tout comme pour la Politique sur la vérification interne, le Commissariat n’est pas tenu d’adhérer à l’une ou l’autre de ces politiques en tant qu’agent indépendant du Parlement, mais il choisit de suivre l’esprit de ces politiques.

Une évaluation du programme d’enquêtes du Commissariat est prévue en 2020-2021 et 2021-2022.

Suivi des plans d’action de la direction

Le Comité a reçu des mises à jour régulières de la direction sur les plans d’action et sur l’état et l’efficacité des mesures de suivi prises par la direction. Lors de chacune des quatre réunions tenues au cours de l’année, des séances d’information de suivi ont été réalisées sur des secteurs de gestion tels que les Services organisationnels, les Enquêtes, les Services juridiques et les Affaires publiques.

Au 31 mars 2020, les mesures de suivi présentées lors des séances d’information des hauts fonctionnaires concernant les secteurs de gestion susmentionnés étaient soit en voie d’achèvement, soit déjà achevées. Le CVE a été impressionné par les mesures de gestion prises.

Lors de chaque réunion du CVE, les membres ont reçu le procès-verbal et une mise à jour sur les mesures découlant de ces séances et se sont montrés satisfaits du fait que toutes les mesures ont été traitées de manière satisfaisante.

Le Comité a également passé en revue les recommandations et le plan d’action découlant de l’évaluation des risques associés à la TI effectuée à la fin de l’exercice 2017–2018 et en était satisfait.

États financiers et rapports sur les comptes publics

Le BVG a présenté son rapport de vérification financière annuel pour 2018–2019 avec une opinion non modifiée, indiquant qu’il n’avait trouvé aucune anomalie dans les contrôles internes et qu’aucun ajustement majeur des états financiers n’était nécessaire. Le Commissariat a toujours reçu un rapport de vérification annuelle des états financiers avec une opinion non modifiée du BVG, depuis que les vérifications ont commencé en 2003-2004. Le rapport de vérification 2018-2019 du BVG a été examiné et approuvé par le Comité lors de sa réunion du 15 août 2019.

Le plan de vérification 2019-2020 du BVG a été présenté par le directeur principal du BVG lors de la réunion du Comité du 30 janvier 2020 et l’approche a été approuvée. Le CVE a confirmé au BVG l’absence de changements dans les responsabilités de la direction en matière de prévention et de détection des fraudes et l’absence de fraudes connues.

Au cours de l’exercice, le ADPF a tenu les membres du Comité au courant de l’état du budget de l’exercice en cours (2019-2020) et de la préparation du budget 2020-2021, de même que des efforts déployés pour obtenir une augmentation permanente du financement pour le Commissariat. La réunion du Comité du 7 novembre 2019 a été l’occasion d’une discussion approfondie sur les résultats de la revue budgétaire de mi-exercice et le Comité était satisfait des résultats de la revue.

Reddition de comptes

Le Comité a examiné divers rapports organisationnels et a formulé des conseils à la Commissaire durant l’année.

Les rapports suivants ont fait l’objet d’un examen et de discussions par le Comité en 2019-2020 :

Rapport sur les résultats ministériels 2018-2019 (réunion du 15 août 2019); orientation générale et observations concernant le rapport annuel de la Commissaire au Parlement et le Plan stratégique du Commissariat.

Fournisseur externe de services d’assurance

Le Comité a évalué de façon objective les éléments probants et les données afin de fournir une opinion ou des conclusions indépendantes sur les opérations, les résultats, les risques, l’intendance et la gouvernance du Commissariat.

Au cours de l’année, le Comité a rempli ses obligations consistant à fournir de manière satisfaisante des conseils et des recommandations sur des questions pour lesquelles la Commissaire, en tant qu’administratrice générale, fait office d’administratrice des comptes pour l’organisation.

Le Comité a reçu tous les renseignements qu’il avait jugés nécessaires pour remplir l’ensemble des obligations que lui impose son mandat.

Évaluation globale de la gestion du risque, du contrôle et de la gouvernance

Selon les examens et les discussions qui ont eu lieu au cours de l’exercice 2019-2020, le Comité est raisonnablement convaincu que les processus de gestion du risque, de contrôle et de gouvernance du Commissariat fonctionnent bien.

Le Comité apprécie la diligence raisonnable dont a fait preuve le Commissariat en élaborant une gestion, des processus et des pratiques de contrôle interne solides, et la volonté de la direction de constamment améliorer ces derniers l’encourage.

Efficacité du Comité de vérification et d’évaluation

Les membres externes du Comité sont satisfaits de l’évolution et de la maturité du Comité en ce qui a trait à son rôle consultatif. Les membres ont reçu des renseignements complets, opportuns et précis qui leur permettent de remplir leur mandat. Les membres ont apprécié le professionnalisme du personnel et sa franchise au sujet des difficultés auxquelles il fait face, de même que sa volonté d’appliquer les suggestions.

Le Comité fait maintenant partie intégrante du système de gouvernance du Commissariat. Malgré les priorités concurrentes et la nécessité d’accomplir plusieurs tâches à la fois, ce qui est caractéristique des petites organisations, l’engagement et le dévouement des cadres supérieurs et des spécialistes fonctionnels ont grandement aidé le Comité à remplir son rôle. En s’appuyant sur les observations effectuées au cours de l’année passée, les deux membres externes du Comité concluent que le Commissariat aborde son mandat, la surveillance des résultats et la production de rapports publics de manière systématique et rationnelle.

Planification à long terme

Le Comité prévoit se réunir quatre fois durant l’exercice 2020-2021. Ses objectifs sont de continuer à donner des conseils qui respectent les principes et valeurs fondamentaux de la fonction publique, de tenir compte de l’indépendance des agents du Parlement et de prendre en considération divers points de vue innovateurs et créatifs.

Le Comité d’audit et d’évaluation a réalisé son examen annuel des obligations du prochain exercice (2020-2021) et a approuvé le calendrier des activités le 7 novembre 2019.

Le tableau ci-dessous présente la portée, l’objectif et la justification de chaque projet de vérification et d’évaluation proposé pour 2020-2021, 2021-2022 et 2022-2023. Une modification des vérifications proposées a été approuvée lors de la réunion du Comité du 30 janvier 2020. Elle est reflétée dans le tableau ci-dessous.

Une modification du calendrier du PVEAR a été proposée, à savoir la prolongation du délai d’évaluation des enquêtes prévue pour l’exercice 2019-2020 jusqu’aux exercices 2020-2021 et 2021-2022.

Le changement a été débattu et accepté par les membres.

Modification du calendrier du PVEAR

2018-2019,

2019-2020

et

2020-2021

Évaluation de la menace et des risques (EMR) et Évaluation de la menace et de la vulnérabilité (EMV) – Vaste portée

Technologie de l’information (TI)

Portée : Analyse du réseau du Commissariat et collecte de renseignements

Objectif : Afin d’évaluer le niveau de vulnérabilité du réseau du Commissariat face aux menaces externes, i) interroger des intervenants et des responsables de systèmes au Commissariat;

ii) procéder à des tests de pénétration; et iii) produire un rapport et procéder à un débreffage sur place.

Justification : Grand besoin de vérification, 4.1 Incidence et 2.6 Probabilité. Cette vérification est considérée comme essentielle en vue du lancement par le Commissariat de la fonction de téléchargement de documents dans le formulaire de plainte en ligne.

2020-2021

et

2021-2022

Évaluation des enquêtes

Règlement des plaintes et conformité

Portée : Programme des enquêtes

Objectif : Évaluer, conformément à la Politique sur les résultats du Conseil du Trésor, la pertinence et le rendement du programme d’enquêtes. L’évaluation devrait tenir compte de la nature changeante des enquêtes en analysant le portefeuille de plaintes (p. ex., source, institution ciblée, type de plainte), de même que du nouveau contexte dans lequel le programme exerce ses activités (p. ex., les changements législatifs dans le projet de loi C-58).

Justification : Grand besoin d’évaluation, 4.2 Incidence et 3.6 Probabilité. Compte tenu des circonstances sans précédent liées à la COVID-19, le Commissariat a connu des retards d’approvisionnement, mais il pourrait être possible d’élaborer ou d’améliorer des plans pour assurer à la fois une transition en douceur et l’adoption de processus plus efficaces. Par conséquent, une évaluation prolongée jusqu’en 2021-2022 serait plus bénéfique et plus utile, puisqu’elle permettrait d’obtenir de meilleurs résultats. Étant donné que le programme des enquêtes est le programme clé du Commissariat, il est conseillé d’effectuer une évaluation de cette activité une fois tous les cinq ans.

2021-2022

Examen de la gestion du rendement et des talents

Ressources humaines (RH)

Portée : Un examen des pratiques de RH du Commissariat

Objectif : Il ne s’agit pas d’une vérification exhaustive, mais d’un examen des pratiques suivantes de RH au Commissariat : i) efficacité de l’évaluation du rendement des employés; ii) efficacité du programme de gestion des talents; iii) roulement du personnel; et iv) entrevues de fin d’emploi.

Justification : Grand besoin de vérification, 3.3 Incidence et 3.4 Probabilité. Durant les entrevues de la direction et la réunion de planification stratégique, il est apparu que le besoin de recruter des employés à haut rendement dans plusieurs postes clés était une priorité. Compte tenu des circonstances sans précédent liées à la COVID-19, il pourrait être possible d’élaborer ou d’améliorer des plans pour assurer à la fois une transition en douceur et l’adoption de processus plus efficaces.

Un report de l’examen en 2021-2022 serait plus bénéfique et plus utile, puisqu’il permettrait d’obtenir de meilleurs résultats.

2021-2022

Vérification de la sécurité de la gestion de l’information et de l’infrastructure physique

Services organisationn els

Portée : Pratiques de gestion et évaluation des contrôles relatifs à la gestion de l’information

Objectif : Évaluer l’efficacité opérationnelle des pratiques de gestion de l’information et la conformité aux recommandations formulées lors de la vérification de RHEA, notamment celles concernant la conservation et l’élimination de documents sensibles et à diffusion restreinte.

Justification : Grand besoin de vérification, 3.2 Incidence et 2.3 Probabilité. Compte tenu de la sensibilité des renseignements conservés par le Commissariat et des risques pour la réputation de celui-ci en cas de gestion inappropriée de renseignements à accès restreint ou confidentiels, il est fortement recommandé d’exécuter une vérification de cette activité.

Date de modification :
Soumettre une plainte