Plan de vérification et d’évaluation axé sur les risques pour 2017-2022

COMMISSARIAT À L’INFORMATION DU CANADA

AOÛT 2019

Table des matières

• Sommaire
  • Introduction
  • Vérifications et évaluations proposées
• Contexte de la planification
  • Contexte
  • Modifications à la Loi sur l’accès à l’information
  • Priorités à l’échelle du gouvernement
  • Priorités stratégiques du Commissariat
  • Structure et ressources du Commissariat
  • Progression de la mise en œuvre du plan de vérification et d’évaluation du Commissariat de 2014-2018
  • Risques organisationnels clés du Commissariat (2013-2014)
  • Classement des risques des petits ministères établi par priorité par le BCG
• Approche de planification
  • Exigences principales en matière de vérification et d’évaluation
  • Plan et champ d’application de l’évaluation
  • Plan de vérification interne
  • Approche de planification
  • Définition de l’univers de vérification et d’évaluation
  • Analyse de l’environnement
  • Priorisation des entités de l’univers de vérification et d’évaluation
  • Risques cernés lors de l’analyse des risques
  • Risques externes cernés lors de l’analyse de l’environnement des risques
  • Sélection des projets et élaboration du plan
• Résumé du plan de vérification et d’évaluation
• Plan de vérification et d’évaluation détaillé (2017-2022)
• Annexe A : Risques organisationnels clés du Commissariat pour 2014-2018
• Annexe B : Priorités de l’univers de vérification établies par le BCG - Risques associés aux petits ministères
• Annexe C : Résultats de l’entrevue du Commissariat et évaluation des risques
• Annexe D : Diagramme d’exposition aux risques du Commissariat
• Annexe E : Organigramme

Sommaire

Introduction

Ce document présente le plan intégré de vérification et d’évaluation axé sur les risques (PVEAR) pour le Commissariat à l’information du Canada (le Commissariat), mis-à-jour en août 2019. Le PVEAR regroupe le plan de vérification interne et le plan d’évaluation jusqu’en 2021-2022. Il a pour objectif d’affecter les ressources aux secteurs qui présentent les risques les plus importants et qui sont prioritaires pour le Commissariat, ainsi que de satisfaire aux exigences des politiques du Conseil du Trésor sur les résultats et la vérification interne.

Le PVEAR met à profit le plan de vérification et d’évaluation axé sur les risques 2014-2018 du Commissariat et le plan de vérification interne triennal axé sur les risques du Bureau du contrôleur général pour les exercices 2016-2017 à 2018-2019 en intégrant les projets d’évaluation conformément à la Politique sur les résultats et à la Politique sur la vérification interne du Conseil du Trésor (CT). Le plan indique les ressources nécessaires pour pouvoir répondre efficacement et en temps opportun aux demandes du Comité de vérification et d’évaluation et du Comité exécutif. Le PVEAR reconfirme l’objectif d’affecter les ressources aux secteurs qui représentent les priorités les plus importantes pour l’organisation et de veiller à ce que les services de vérification interne et d’évaluation procurent les plus grands avantages possible au Commissariat.

À titre d’agent du Parlement, le Commissariat relève directement du Parlement et est exclu de la surveillance traditionnelle exercée par le Secrétariat du Conseil du Trésor du Canada (SCT). Cependant, le Commissariat doit avoir mis en place un comité de vérification et d’évaluation et il considère que ses mécanismes de surveillance interne et sa structure de gouvernance sont de la plus haute importance pour aider à faire en sorte que des pratiques de gestion adéquates soient en place.

Vérifications et évaluations proposées

Année	Nom du projet de vérification	Entité principale	Budget prévu
2017-2018	Évaluation de la menace et des risques (EMR) et Évaluation de la menace et de la vulnérabilité (EMV) – étendue restreinte	Technologie de l’information (TI)	24 000$
2018-2019	Vérification de l’approvisionnement et de la passation de marché	Commission canadienne des droits de la personne (CCDP) et Commissariat à l’information -Finance	36 000$
2019-2020	Évaluation des enquêtes	Haute direction et règlement des plaintes	25 000 $
2018-2019, 2019-2020 et 2020-2021	Évaluation de la menace et des risques (EMR) et Évaluation de la menace et de la vulnérabilité (EMV) – Vaste portée	Technologie de l’information (TI)	34 000 $
2020–2021	Examen de la gestion du rendement et des talents	Ressources humaines	30 000 $
2021-2022	Vérification de la sécurité de la gestion de l’information et de l’infrastructure physique	Services corporatifs	25 000 $

Contexte de la planification

Contexte

Le commissaire à l’information est un agent du Parlement nommé en vertu de la Loi sur l’accès à l’information.

Le commissaire protège les droits d’accès à l’information et en fait la promotion.

Le commissaire représente le premier niveau de révision indépendante des décisions des institutions concernant les demandes d’accès à l’information du secteur public. La Loi précise que le commissaire doit mener une enquête sur toutes les plaintes qu’il reçoit. Il est épaulé dans son travail par le Commissariat à l’information.

Le Commissariat soutient également le commissaire dans son rôle consultatif auprès du Parlement et des comités parlementaires sur toutes les questions se rapportant à l’accès à l’information. Il fait la promotion active d’un plus grand accès à l’information au Canada au moyen d’initiatives ciblées, comme la Semaine du droit à l’information, et par un dialogue constant avec les Canadiens, le Parlement et les institutions.

Caroline Maynard fut nommée Commissaire à l’information du Canada pour un mandat de 7 ans le 1er mars 2018.

Modifications à la Loi sur l’accès à l’information

En juin 2017, le gouvernement a déposé le projet de loi C-58 visant à apporter des modifications législatives à la Loi sur l’accès à l’information.
Les changements proposés, en particulier à la fonction de surveillance du commissaire, pourraient avoir une incidence sur le profil de risque du Commissariat.

Priorités à l’échelle du gouvernement

Dans le discours du Trône du 4 décembre 2015, le gouverneur général a présenté le programme du gouvernement. Les principales priorités du gouvernement sont de favoriser :

• La croissance de la classe moyenne;
• Un gouvernement ouvert et transparent;
• Un environnement sain et une économie forte;
• La diversité;
• La sécurité et les possibilités.

La lettre de mandat du président du Conseil du Trésor contient la priorité suivante : « Collaborer avec la ministre de la Justice afin d’accroître la transparence du gouvernement, y compris diriger un examen de la Loi sur l’accès à l’information afin que les Canadiens aient plus facilement accès à leurs renseignements personnels, que le commissaire à l’information soit habilité à ordonner la communication de renseignements gouvernementaux et que la Loi s’applique de façon appropriée au Cabinet du premier ministre et aux cabinets des ministres ainsi qu’aux institutions administratives à l’appui du Parlement et des tribunaux. »

Des priorités similaires ont également été énoncées dans les lettres de mandat adressées à la ministre de la Justice et procureur général du Canada et à la ministre des Institutions démocratiques.

Le gouvernement du Canada est actuellement l’un des quatre coprésidents du Partenariat pour un gouvernement ouvert. En 2018-2019, il assumera le rôle de coprésident gouvernemental principal.

L’engagement d’un gouvernement ouvert et transparent est directement lié au mandat du Commissariat.

Priorités stratégiques du Commissariat

Vision : Un gouvernement ouvert et responsable
Mission : Promouvoir et protéger les droits d’accès à l’information.
Engagement de la direction : Nous mobilisons l’ensemble du personnel en vue de bâtir un milieu de travail sain.

L’objectif des quatre priorités énoncées ci-dessous est de permettre au Commissariat de concentrer ses efforts dans les domaines qui lui permettent le mieux de remplir son mandat, de respecter les priorités et les politiques du gouvernement et d’attirer et de conserver des travailleurs exceptionnels.

Aborder l’inventaire des plaintes : Réduire l’inventaire – notamment en élaborant et en appliquant desapproches innovantes pour traiter et résoudre les dossiers – contribue à la responsabilité fondamentale du Commissariat en matière de transparence gouvernementale et, par conséquent, au programme gouvernemental de transparence et d’ouverture, réduit le fardeau des institutions en récupérant les anciens fichiers et en facilitant la transition vers un tout nouveau modèle opérationnel requis par les modifications proposées à Loi sur l’accès à l’information.

Préparer la mise en œuvre du projet de loi C-58 : Le Commissariat doit s’assurer qu’il dispose des structures et des processus en place pour satisfaire aux exigences des dispositions, une fois qu’elles sont entrées en vigueur. Alors que le projet de loi se poursuit au Parlement, la commissaire à l’information pourrait être appelée à lui fournir des conseils et son expertise

Assurer une ouverture et la transparence du Commissariat: Le Commissariat doit  être un modèle du changement de culture nécessaire au gouvernement alors qu'il cherche à respecter ses engagements pour un gouvernement ouvert. Cela comprend une communication plus régulière et plus claire avec les plaignants, les institutions et les Canadiens.

Travailler en étroite collaboration avec les institutions : La collaboration avec les institutions pour les aider à respecter leurs obligations en vertu de la Loi et à éliminer les obstacles dans le système profite au fonctionnement du système d'accès et, ultimement, aux Canadiens. En soutenant les efforts de professionnalisation de la communauté de l'AIPRP, le Commissariat veillera à ce que les institutions puissent fournir un service de la plus haute qualité possible.

Ces priorités ont été prises en considération lors de l’élaboration du PVEAR.

Structure et ressources du Commissariat

Effectif et structure organisationnelle : L’effectif du Commissariat comprend 93 équivalents temps plein (ETP) approuvés, comme pour les trois années précédentes. De ces 93 ETP, 71 travaillent aux enquêtes alors que les 22 autres fournissent des services organisationnels. Voir l’annexe E pour consulter l’organigramme.

Ressources financières : Le budget principal des dépenses du Commissariat pour les cinq dernières années variait de 11 269 372 $ en 2015-2016 à 11 465 813 $ en 2019-2020. Il est de même pour 2020-21. Le Commissariat a reçu un financement temporaire de 2 880 000 $ en 2018-2019 du Conseil du Trésor afin de réduire le nombre de plaintes de l'inventaire reçues avant le 1er avril 2018.

Historique des plaintes : Le Commissariat reçoit deux types de plaintes : les plaintes administratives et les plaintes de refus. Toute plainte non résolue au cours de l’exercice où elle est reçue est reportée à l’exercice suivant et considérée comme faisant partie de l’inventaire des plaintes. Le graphique ci-dessous présente le nombre de cas reçus, réglés et reportés depuis 2013-2014.

Version texte

Le présent diagramme à lignes montre le nombre de plaintes que la commissaire a reçues, fermées et qui restent toujours dans l’inventaire à la fin de l’année. Le diagramme démontre les données pour les années 2013-2014 à 2018-2019.

En 2013-2014, la commissaire a reçu 2 081 plaintes, 1 788 plaintes ont été résolues et 2 091 plaintes restent toujours dans l’inventaire à la fin de l’année.
En 2014-2015, la commissaire a reçu 1 749 plaintes, 1 596 plaintes ont été résolues et 2 244 plaintes restent toujours dans l’inventaire à la fin de l’année.
En 2015-2016, la commissaire a reçu 2 047 plaintes, 1 281 plaintes ont été résolues et 3 010 plaintes restent toujours dans l’inventaire à la fin de l’année.
En 2016-2017, la commissaire a reçu 2 079 plaintes, 2 245 plaintes ont été résolues et 2 844 plaintes restent toujours dans l’inventaire à la fin de l’année.
En 2017-2018, la commissaire a reçu 2 598 plaintes, 1 974 plaintes ont été résolues et 3 489 plaintes restent toujours dans l’inventaire à la fin de l’année.
En 2018-2019, la commissaire a reçu 1 946 plaintes, 2 345 plaintes ont été résolues et 3 090 plaintes restent toujours dans l’inventaire à la fin de l’année.

Progression de la mise en œuvre du plan de vérification et d’évaluation du Commissariat de 2014-2018

Un plan de vérification et d’évaluation a été achevé en 2013. Il comportait les projets de vérification et d’évaluation suivants devant être terminés d’ici la fin mars 2018. Les progrès réalisés dans ce plan ont été pris en compte dans le nouveau plan. Le tableau ci-dessous résume l’état actuel du plan de 2014-2018.

Exercice	Nom du projet de vérification	Entité principale	Situation actuelle
2013-2014	Vérification de la dotation et de la gouvernance	Services organisationnels	Complété en mars 2013 (Samson)
2014-2015 (Après l’emménagement)	Vérification de la sûreté des technologies de l’information et de l’infrastructure physique	Services organisationnels	Terminé en septembre 2016 (Samson) EMR/EMV en cours (Cistel)
2014-2015	Évaluation du règlement des plaintes et des enquêtes. Phase I : Élaboration d’un cadre de mesure du rendement et d’évaluation	Règlement des plaintes et respect de la Loi	Des indicateurs du rendement ont été élaborés pour faire le suivi des délais de règlement moyens des plaintes, ainsi que pour suivre le nombre de recommandations mises en œuvre.
2015-2016	Vérification de l’approvisionnement et de la passation des marchés	Services organisationnels	En suspens Les services ont été sous-traités à la Commission canadienne des droits de la personne (CCDP).
2015-2016	Vérification de la gestion de l’information	Services organisationnels	Terminé en septembre 2016 (Samson) Avril 2017 (RHEA)
2016-2017	Évaluation des enquêtes, phase II : Mise en œuvre	Règlement des plaintes et respect de la Loi	En suspens
2017-2018	Vérification du Système de gestion des dossiers	Services organisationnels	En suspens

Risques organisationnels clés du Commissariat (2013-2014)

La liste des principaux risques organisationnels suivante a été élaborée en 2012. À l’époque, le Commissariat effectuait une transition importante puisqu’il déménageait physiquement ses bureaux à l’emplacement actuel au 30, rue Victoria. En même temps, le gouvernement faisait face à une période de rajustement de la main-d’œuvre qui a entraîné une réduction de 5 % des niveaux de financement affectés. Ces risques ont été examinés et pris en compte dans l’élaboration du profil de risque à jour du Commissariat :

• Contraintes financières;
• Évolution des plaintes;
• Effectif;
• Gestion du changement;
• Sécurité de l’infrastructure physique et des technologies de l’information (TI);
• Cibles et mesures de rendement inadéquates.

Classement des risques des petits ministères établi par priorité par le BCG

Le Secrétariat du Conseil du Trésor assure la vérification et la surveillance par l’intermédiaire d’un comité de vérification des petits ministères et organismes (PMO) formé de membres de l’extérieur nommés pour superviser 42 petits ministères et 5 organismes de développement régional comptant moins de 500 employés et moins de 300 millions de dollars en dépenses annuelles approuvées. Même si le Commissariat, en tant qu’agent du Parlement, n’est pas soumis à cette surveillance, il choisit néanmoins de tenir compte des catégories de risque élevé des PMO que le CT a établies comme prioritaires dans son plan de vérification. Le SCT a cerné neuf secteurs à prendre en compte durant la vérification :

• Gestion de la technologie de l’information;
• Rémunération;
• Gestion des services partagés et communs;
• Gestion des effectifs;
• Gestion de la sécurité;
• Passation de marchés et approvisionnement;
• Gestion réglementaire;
• Gestion et supervision (information financière et non financière pour la prise de décisions);
• Planification des investissements et gestion des projets.

Veuillez consulter l’annexe B pour obtenir plus de renseignements sur le profil de risque des PMO en date d’octobre 2016.

Approche de planification

Exigences principales en matière de vérification et d’évaluation

Un certain nombre de politiques, de directives et de lignes directrices du Conseil du Trésor déterminent les exigences et les pratiques exemplaires aux fins de la planification, de la vérification et de l’évaluation au sein du gouvernement fédéral. Ces politiques, directives et lignes directrices ont été utilisées comme meilleures pratiques pour l’élaboration du PVEAR. La présente section met en relief quelques-unes des principales exigences et obligations et présente l’approche utilisée pour évaluer les projets à inclure dans le PVEAR et en établir l’ordre de priorités.

Plan et champ d’application de l’évaluation

Pour le gouvernement du Canada, l’évaluation est la collecte et l’analyse systématiques de données probantes sur les résultats des programmes afin d’optimiser les ressources des programmes du gouvernement fédéral et de trouver d’autres façons d’obtenir les mêmes résultats.

Selon la politique du CT, les institutions fédérales doivent préparer un plan quinquennal d’évaluation continue. La couverture requise par le plan est essentiellement fondée sur deux aspects.

La Loi sur la gestion des finances publiques (article 42.1) exige qu’une évaluation de tous les programmes de subventions et contributions (S et C) permanents soit effectuée sur un cycle de cinq ans (ne s’applique pas au Commissariat).

La Politique sur les résultats du CT exige qu’à compter de 2016, les administrateurs généraux soient responsables d’approuver annuellement et de fournir au Secrétariat du Conseil du Trésor du Canada, de la manière et au moment prescrits par celui-ci, un plan d’évaluation présentant clairement la portée de l’évaluation prévue, y compris pour ce qui est des dépenses organisationnelles et des programmes de l’inventaire, pendant la période de planification. La Politique sur les résultats exempte les agents du Parlement de l’obligation de fournir un plan de vérification et d’évaluation quinquennal.

En outre, il existe un certain nombre d’autres exigences de planification possibles. Plus particulièrement, les plans d’évaluation doivent également :

• S’aligner sur le cadre ministériel des résultats;
• Appuyer le système de gestion des dépenses;
• Inclure l’aspect administratif des principales dépenses en vertu de la loi (ne s’applique pas au Commissariat);
• Inclure d’autres programmes, évaluations précises ou éléments du plan d’évaluation général du gouvernement, le cas échéant.

Compte tenu du mandat du Commissariat, les dépenses de programme directes se limitent à un secteur de programme : respect des obligations liées à l’accès à l’information. Ce programme est appuyé par le programme des services internes. Bien que le Commissariat ne dispose pas d’une fonction d’évaluation interne, il est néanmoins doté d’une stratégie de mesure du rendement officielle et le rapport annuel de l’organisation fournit une analyse détaillée et comparative du rendement du Commissariat pour ce qui est de son secteur de programme et de ses services internes. Des examens plus approfondis sont exécutés, au besoin, pour évaluer les causes sous-jacentes aux nouvelles tendances et variations dans le rendement en matière de protection des droits d’accès à l’information en vertu de la Loi.

Plan de vérification interne

Les vérifications internes fournissent des conclusions indépendantes, objectives et documentées sur l’efficacité des processus de gestion du risque, de contrôle et de gouvernance. L’accent est mis sur tous les systèmes, les processus et les pratiques de gestion, y compris l’intégrité de l’information financière et non financière. Les services d’assurance de la vérification interne fournissent des opinions fondées sur des données probantes quant à la mesure dans laquelle le système de contrôle interne est approprié et appuie le respect des impératifs suivants de manière efficace :

• la réalisation des objectifs opérationnels;
• la protection des biens;
• l’efficacité et l’efficience des opérations;
• la fiabilité et l’intégrité de l’information financière et opérationnelle;
• la conformité avec les lois, politiques et lignes directrices.

En vertu de la politique du CT, les plans de vérification interne doivent couvrir les domaines présentant des risques et une importance plus élevés. Le plan de vérification interne doit aussi présenter les caractéristiques suivantes :

• être axé sur les risques;
• être examiné par le comité de vérification;
• se concentrer principalement sur la prestation de services d’assurance;
• s’appuyer sur un horizon pluriannuel;
• traiter les risques et les vérifications internes désignés par le contrôleur général dans le cadre de la couverture pangouvernementale;
• soutenir le rapport annuel sur l’assurance concernant l’état global des processus de gestion des risques, de contrôle et de gouvernance de l’organisation.

Approche de planification

La méthode sur laquelle s’appuie ce plan est fondée sur le Cadre de référence international des pratiques professionnelles de la vérification interne de l’Institute of Internal Auditors (IIA). Le PVEAR a été élaboré à l’aide de l’approche décrite dans l’illustration suivante :

Version texte

Ce graphique présente l’approche de planification du Plan de vérification et d’évaluation axé sur les risques. L’approche de planification comporte quatre principales étapes qui sont présentées dans des encadrés distincts, en ordre de gauche à droite. Les encadrés ont la forme de flèches qui pointent vers la droite et indiquent le titre de chaque étape de planification. Sous chaque encadré en forme de flèche, on retrouve des puces qui décrivent plus en détail chaque étape.

Étape 1 : Définition de l’univers de vérification et d’évaluation

Renseignements supplémentaires :

• Inventaire des programmes aligné
• Définition de la portée possible de l’activité de vérification interne et d’évaluation
• Détermination des entités « vérifiables » ou « évaluables »

Étape 2 : Analyse de l’environnement de l’univers de vérification et d’évaluation

Renseignements supplémentaires :

• Consultations stratégiques avec le commissaire, les sous-commissaires, la haute direction et un membre du Comité de vérification
• Examen des principaux documents (p. ex. plan ministériel, Rapport ministériel sur le rendement, rapport annuel)

Étape 3 : Priorisation des entités de l’univers de vérification et d’évaluation

Renseignements supplémentaires :

• Approche fondée sur des critères pondérés en fonction du contexte pour chaque entité de l’univers avec une échelle de cotation pour les évaluations de l’incidence et de la probabilité

Étape 4 : Sélection des projets et élaboration du plan

Renseignements supplémentaires :

• Prise en compte de la faisabilité, des vérifications antérieures, des évaluations et d’autres évaluations
• Prise en compte des ressources disponibles, du délai, de la portée des objectifs
• Mise à jour annuelle

Définition de l’univers de vérification et d’évaluation

L’univers de vérification et d’évaluation définit la portée possible des missions proposées et comprend les entités individuelles de l’univers qui peuvent faire l’objet d’une vérification interne ou d’une évaluation. Afin d’assurer l’harmonisation entre l’objet des projets de vérification interne et d’évaluation et la structure opérationnelle du Commissariat, les entités de l’univers ont été harmonisées avec les programmes et les services internes du Commissariat, comme il est indiqué dans l’inventaire des programmes 2017-2018.

Le tableau suivant présente l’univers de vérification et d’évaluation du Commissariat :

	Univers de vérification et d’évaluation
Résultat stratégique	Un gouvernement fédéral transparent, responsable et sensible aux besoins des Canadiens
Programme	1. Respect des obligations liées à l’accès à l’information
Entités de l’univers de vérification et d’évaluation	Enquêtes (trois unités organisationnelles)
	Litiges
	Conseils au Parlement
Programme	2. Services internes
Entités de l’univers de vérification et d’évaluation	Bureau du commissaire	Planification et rapports ministériels	Gestion des ressources humaines
	Finances	Technologie de l’information	Gestion de l’information
	Accès à l’information et protection des renseignements personnels	Approvisionnement, cartes d’achat et passation de marchés	Voyages et accueil
	Valeurs et éthique	Services administratifs	Vérification interne et évaluation

Analyse de l’environnement

Une série d’entrevues ont été menées auprès de la commissaire à l’information, des sous-commissaires, de la direction et d’un membre externe du Comité de vérification et d’évaluation afin de cerner les changements organisationnels, les principaux risques auxquels les activités sont exposées et les domaines dans lesquels la vérification interne ou l’évaluation pourraient présenter la plus grande valeur à l’appui de la réalisation des objectifs organisationnels. Il convient de noter que les entrevues ont eu lieu peu de temps après que le gouvernement ait annoncé les modifications législatives à la Loi et que la commissaire à l’information actuelle ait annoncé qu’elle ne solliciterait pas un autre mandat. Ces annonces ont été prises en compte dans les risques cernés lors des entrevues.

Des documents clés, tels que le Rapport annuel 2016-2017, le Rapport ministériel sur le rendement (RMR) de 2016-2017 et le Plan ministériel (PM) de 2017-2018, ont été examinés afin de faciliter la reconnaissance des priorités organisationnelles et des principaux secteurs de risque. Ces renseignements permettent non seulement à la direction de déterminer dans quels domaines elle doit axer ses efforts, mais aussi de dégager l’information relative à l’exposition au risque qui a été utilisée pour répertorier les entités de l’univers et établir la priorité des projets de vérification et d’évaluation. Comme point de départ pour les entrevues, les risques clés déterminés par le Bureau du contrôleur général (BCG) ont été pris en compte pour le classement des risques pendant les entrevues ainsi que les principaux risques cernés en 2013 pour le PVEAR du Commissariat de 2014-2018.

Priorisation des entités de l’univers de vérification et d’évaluation

Au cours des entrevues avec la direction, chaque risque éventuel a été classé en fonction de deux critères : la probabilité de l’occurrence du risque et son incidence sur le Commissariat, en utilisant une échelle de 1 (faible) à 5 (élevé). Les résultats finaux du classement se trouvent à l’annexe C.

Une cote moyenne a été établie pour chaque risque afin de classer les secteurs de risque du Commissariat par ordre de priorité. De plus, les risques ont ensuite été reportés sur un diagramme X et Y afin de visualiser ceux dont l’incidence et la probabilité sont les plus grandes. Ce diagramme d’exposition aux risques se trouve à l’annexe D.

Risques cernés lors de l’analyse des risques

Au cours de l’analyse de l’environnement, les risques ci-après ont été reconnus comme les plus probables et ayant le plus grand impact sur le Commissariat. Certains ou tous les aspects de ces risques sont en dehors du contrôle du Commissariat.

Modifications à la Loi sur l’accès à l’information : Les changements législatifs apportés à la Loi sur l’accès à l’information pourraient avoir une incidence sur le nombre de plaintes reçues par le Commissariat et sur l’environnement opérationnel dans lequel il mène ses enquêtes. L'adoption du projet de loi a été plus lente que prévu et la date d'entrée en vigueur n'est pas connue. En effet, il n'est pas clair si le projet de loi sera adopté avant les élections d'octobre 2019.

Ressources humaines : En tant qu’agent du Parlement comptant moins de 100 ETP, le Commissariat est exposé à un risque constant d’avoir un nombre insuffisant d’employés possédant l’expérience et l’éventail de connaissances nécessaires pour mener à bien ses activités ou traiter ses priorités concurrentes. De plus, la perte d’employés qualifiés au profit de plus grandes organisations offrant plus de possibilités d’avancement pourrait avoir une incidence sur la capacité du Commissariat d’exécuter son mandat en temps opportun.

Passation de marchés et approvisionnement : Le Commissariat a conclu une entente autorisant la Commission canadienne des droits de la personne (CCDP) à fournir des services d’approvisionnement et de passation de marchés. La sous-traitance de ce service (dépendance à l’égard d’une autre organisation), le respect des politiques et des règlements, le roulement des employés à la CCDP, l’urgence des marchés avec les enquêteurs et l’incidence possible sur les niveaux de service ont été reconnus comme des risques éventuels pour le Commissariat.

Gestion de l’information et technologie de l’information : Une atteinte à la sécurité entraînant la divulgation de renseignements obtenus lors d’une enquête, y compris des renseignements personnels ou secrets, pourrait avoir des effets très significatifs sur la réputation du Commissariat et sur sa capacité à respecter ses obligations juridiques de protéger les droits à l’information. Alors que le Commissariat continue de transférer électroniquement davantage de ses activités de traitement des plaintes et d’enquêtes, ce risque demeure répandu.

Problèmes liés au système de paye Phénix :

Bien que le Commissariat ait mieux réussi que d’autres organisations fédérales en termes de problèmes dePhénix, il est crucial de continuer à réagir promptement à ces problèmes. Ne pas le faire met en danger le bien-être des employés et pourrait également affecter le moral, le recrutement et la productivité des employés.

D’autres risques notables incluent l'augmentation continue du nombre de demandes d'accès (plus de 100 000 en 2017-2018) et la possibilité que le Commissariat reçoive des plaintes en conséquence. La diminution de la performance institutionnelle, peut également entraîner davantage de plaintes. En outre, le Commissariat continue d’opérer avec du financement permanent insuffisant pour traiter le nombre de plaintes et satisfaire aux exigences du mandat. Enfin, la transition culturelle vers un gouvernement plus ouvert et transparent continue à être lente.

Sélection des projets et élaboration du plan

Les projets de vérification et d’évaluation ont été sélectionnés afin d’être inclus dans le PVEAR triennal du Commissariat. Les priorités de vérification les plus élevées ont servi de point de départ et fourni la principale, mais non la seule, considération pour la sélection des projets. Les principaux risques prioritaires ont été examinés par rapport à diverses contraintes et possibilités, notamment :

• les vérifications récemment terminées;
• la disponibilité des ressources de vérification et d’évaluation au cours de la période de trois ans;
• la faisabilité de l’exécution d’une vérification ou d’une évaluation;
• les autres examens de surveillance (évaluations, vérifications du Bureau du vérificateur général);
• les projets de vérification prescrits (suivis, BVG et obligations du Bureau du contrôleur général et de la Commission de la fonction publique pour les vérifications horizontales);
• la tolérance au risque;
• les demandes de la direction;
• l’orientation du Comité de vérification et d’évaluation et de la haute direction.

Le résultat a pris la forme d’une courte liste de projets à mener sur un horizon de planification de trois ans.

Lors de la mise au point du PVEAR, des mesures ont été prises afin de s’assurer que l’univers de vérification et d’évaluation a été couvert de manière appropriée. Le PVEAR renforce l’intégration des projets de vérification et d’évaluation, dans la mesure du possible, et veille à ce que l’évaluation englobe l’ensemble des dépenses de programme directes sur la période de trois ans.

Résumé du plan de vérification et d’évaluation

La portée de la vérification et de l’évaluation proposée par le PVEAR vise à établir un juste équilibre entre diverses exigences et considérations et prévoit la réalisation d’un ou de deux projets par année. Le plan triennal tient compte de l’harmonisation nécessaire aux risques et aux priorités de l’organisation.

Le Commissariat a un programme appelé « Respect des obligations liées à l’accès à l’information ». Les politiques du CT sur les résultats stipulent qu’à compter d’avril 2017, les administrateurs généraux des agents du Parlement sont responsables d’approuver et de fournir chaque année un plan d’évaluation au Secrétariat du Conseil du Trésor du Canada, de la manière et au moment prescrits par celui-ci, présentant clairement la portée de l’évaluation prévue, y compris la couverture des dépenses organisationnelles et les programmes de l’inventaire, pendant la période de planification. Une évaluation des enquêtes a été recommandée en 2013 et celle-ci a été reportée dans le PVEAR actuel pour la raison susmentionnée.

Le PVEAR est fondé sur une hypothèse fondamentale à l’égard de l’attribution du financement. Bien qu'il existe un budget annuel, celui-ci pourra faire l'objet de modifications en raison d'un rééchelonnement ou sur la base des coûts réels de la vérification ou de l'évaluation.

Il est prévu que le Commissariat réussira à respecter ses plus hautes priorités de vérification et d’évaluation au cours de la période de planification de quatre ans. Lorsque la faisabilité ou la valeur associée à la réalisation ou à la poursuite d’une vérification ou d’une évaluation est remise en question en raison de facteurs tels que de nouvelles priorités, un manque de ressources ou d’expertise en la matière, etc., le dirigeant principal de la vérification portera ce fait à l’attention du Comité de vérification et d’évaluation pour examen et approbation.

Vous trouverez le plan de vérification et d’évaluation détaillé pour 2017-2022 à la page suivante.

Plan de vérification et d’évaluation détaillé (2017-2022)

Le tableau suivant présente l’objectif, la portée et la justification de chacun des projets de vérification et d’évaluation proposés de 2017 à 2022. S’il y a lieu, la justification comprend une mise en correspondance avec les principaux risques auxquels le Commissariat s’expose, et une référence aux cotes de priorité des vérifications est fournie à l’annexe D. Il convient de noter que la portée, les objectifs finaux et les budgets prévus pour les vérifications et les évaluations proposées peuvent varier en fonction des résultats des étapes de planification de chaque projet. En plus des projets de vérification ci-dessous, les vérificateurs internes continueront d’assister aux principales réunions de la direction et du Comité de vérification et d’évaluation, d’effectuer des suivis des vérifications précédentes (au besoin) ainsi que de définir la portée des missions indiquées dans le PVEAR.

Exercice	Nom du projet de vérification	Entité principale	Budget prévu	Portée, objectif et justification de la vérification
2017-2018	Évaluation de la menace et des risques (EMR) et Évaluation de la menace et de la vulnérabilité (EMV) – étendue restreinte	Technologie de l’information (TI)	24 000 $	Portée : Analyse du réseau et collecte d’informations du Commissariat Objectif : Pour évaluer le niveau de vulnérabilité du réseau du Commissariat aux menaces externes : i) mener des entretiens avec les parties prenantes et les propriétaires de systèmes au sein du Commissariat; ii) effectuer des essais de pénétration; et iii) fournir un rapport et effectuer un compte rendu sur place. Justification : Exigence de vérification élevée, 4.1 Incidence et 2.6 Probabilité. Cette vérification sera considérée comme essentielle au moment où le Commissariat lancera son formulaire de plainte en ligne. Le risque de divulgation de renseignements confidentiels, y compris les renseignements personnels, préoccupe grandement le Commissariat.
2018-2019	Vérification de l’approvisionnement et de la passation des marchés	Commission canadienne des droits de la personne (CCDP)	36 000 $	Portée : Pratiques de gestion et évaluation des contrôles liées à l’approvisionnement et à la passation de marchés à la CCDP. Objectif : Évaluer l’efficacité opérationnelle et la conformité des processus et des méthodes d’approvisionnement et de passation de marchés de même que la mesure dans laquelle les activités d’approvisionnement appuient les secteurs d’activités et les objectifs organisationnels. Justification : Exigence de vérification élevée, 3.3 Incidence et 3.3 Probabilité. Le Commissariat a conclu une entente pour que ses services de passation de marchés et d’approvisionnement soient offerts par la CCDP. Compte tenu de la complexité et de la rigueur entourant les politiques fédérales en matière d’approvisionnement et de passation de marchés et du risque d’atteinte à la réputation inhérent à ces activités, une vérification est fortement recommandée.
2018-2019, 2019-2020 & 2020-2121	Évaluation de la menace et des risques (EMR) et Évaluation de la menace et de la vulnérabilité (EMV) – large étendue	Technologie de l’information (TI)	34 000 $	Portée : Analyse du réseau et collecte d’informations du Commissariat Objectif : Pour évaluer le niveau de vulnérabilité du réseau du Commissariat aux menaces externes : i) mener des entretiens avec les parties prenantes et les propriétaires de systèmes au sein du Commissariat; ii) effectuer des essais de pénétration; et iii) fournir un rapport et effectuer un compte rendu sur place. Justification : Exigence de vérification élevée, 4.1 Incidence et 2.6 Probabilité. Cette vérification sera considérée comme essentielle au moment où le Commissariat lancera la fonctionnalité de téléchargement de document pour le formulaire de plainte en ligne.
2019-2020	Évaluation des enquêtes	Règlement des plaintes et respect de la Loi	25 000 $	Portée : Programme des enquêtes Objectif : Évaluer, conformément à la Politique sur les résultats du CT, la pertinence et le rendement du programme des enquêtes. L’évaluation doit tenir compte de la nature évolutive des enquêtes grâce à une analyse du portefeuille de plaintes (p. ex. source, institution ciblée, type de plainte), ainsi que du nouveau contexte dans lequel le programme fonctionne (p. ex. modifications législatives). Justification : Exigence d’évaluation élevée, 4.2 Incidence et 3.6 Probabilité. Étant donné que le programme des enquêtes est le programme clé du Commissariat, une évaluation de cette activité est recommandée à intervalles de quelques années.
2020-2021	Examen du recrutement, du maintien en poste et du rendement des employés	Ressources humaines (RH)	30 000 $	Portée : Un examen des pratiques de RH du Commissariat Objectif : Il ne s’agit pas d’une vérification en profondeur, mais d’un examen de l’efficacité des pratiques suivantes du Commissariat en matière de RH : i) évaluation du rendement des employés; ii) programme de gestion des talents; iii) roulement du personnel; iv) entrevues de départ. Justification : Exigence de vérification élevée, 3.3 Incidence et 3.4 Probabilité. Lors des entretiens avec la direction et de la réunion de planification stratégique, la nécessité de recruter des employés hautement qualifiés dans plusieurs postes clés a été reconnue comme hautement prioritaire.
2021-2022	Vérification de la sécurité de la gestion de l’information et de l’infrastructure physique	Services organisationnels	25 000 $	Portée : Pratiques de gestion et évaluation des contrôles liées à la gestion de l’information. Objectif : Évaluer l’efficacité opérationnelle des pratiques de gestion de l’information et la conformité aux recommandations formulées dans la vérification par RHEA, notamment en ce qui concerne la conservation et l’élimination des documents sensibles et à diffusion restreinte. Justification : Exigence de vérification élevée, 3.2 Incidence et 2.3 Probabilité. Compte tenu de la sensibilité des renseignements conservés par le Commissariat et des risques pour la réputation de celui-ci en cas de gestion inappropriée de renseignements à accès restreint ou confidentiels, il est fortement recommandé d’exécuter une vérification de cette activité.

Annexe A : Risques organisationnels clés du Commissariat pour 2014-2018

Rang	Vérification possible	Risques reconnus	Pertinence en 2017
1	Contraintes financières	Risque que les réductions budgétaires successives et importantes aient placé le Commissariat à la limite de sa marge de manœuvre organisationnelle et financière.	Le Commissariat n’a toujours pas suffisamment de fonds pour remplir son mandat.
2	Évolution des plaintes	Risque que les augmentations importantes et soutenues des plaintes reçues mettent à rude épreuve les ressources d’enquête du Commissariat, ce qui pourrait accroître le nombre de plaintes en attente de traitement. Un autre risque est que les institutions ne soient pas capables de répondre aux demandes d’enquête en temps opportun, ce qui pourrait forcer le Commissariat à suivre des processus plus officiels, entraîner une hausse du nombre de litiges et, en fin de compte, entraîner des répercussions négatives sur les droits des demandeurs.	Le Commissariat se trouve encore confronté à ce défi en 2017. En fait, le nombre de plaintes n’a fait qu’augmenter depuis 2014, mais les ressources stagnent. Voir également les commentaires relatifs à la pertinence au no 4 ci-après.
3	Main d’œuvre	Risque que le déménagement de 2013-2014 entraîne des répercussions négatives sur la productivité du Commissariat. La productivité sera réduite pendant le déménagement, et il s’ensuivra une période de réduction de l’efficacité pendant que la main d’œuvre s’adapte aux nouveaux outils et à l’espace de travail dans le Milieu de travail 2.0. Ce risque sera exacerbé, car le Commissariat devra composer avec un groupe des Services organisationnels de taille réduite, lequel détient les renseignements clés sur l’organisation, les compétences et l’expertise, autant d’atouts qui demeureront entre les mains d’un petit nombre d’employés.	Le déménagement des bureaux est terminé. En tant qu’agent du Parlement comptant moins de 100 ETP, le roulement de la main-d’œuvre est un risque constant.
4	Gestion du changement	Risque que les changements organisationnels continuent dans les principaux domaines fonctionnels, les processus et les systèmes fondamentaux, conjugués avec le déménagement physique vers le Milieu de travail 2.0 en 2013-2014, détournent l’attention de la direction et les ressources du Commissariat de leurs fonctions principales qui consistent à mener des enquêtes efficaces et à offrir un service de règlement des plaintes de qualité.	Le déménagement des bureaux est terminé. Puisque des modifications législatives à la Loi sur l’accès à l’information ont été présentées, il pourrait y avoir des changements au nombre de plaintes et au volume des opérations au Commissariat.
5	Sécurité de la technologie de l’information (TI) et de la gestion de l’information (GI)	Risque que le déménagement du Commissariat entraîne des difficultés liées au respect des exigences de la politique liée à l’infrastructure physique et aux TI, compte tenu des vulnérabilités inhérentes aux plateformes technologiques et aux secteurs partagés qui ont une incidence sur la capacité du Commissariat de démontrer des pratiques exemplaires ou qu’il est à la hauteur de sa réputation.	Le déménagement des bureaux est terminé. L’incidence d’une atteinte à la sécurité est considérée comme très élevée et, par conséquent, ce risque est perpétuel.
6	Cibles et mesures de rendement inadéquates	Risque que le cadre de mesure du rendement du Commissariat ou la stratégie de collecte de données n’appuie pas la surveillance continue des principaux indicateurs de rendement et l’établissement de rapports sur ceux-ci, ainsi que l’identification et la mise en œuvre des mesures correctives requises en temps voulu. Par ailleurs, il y a aussi le risque que les cibles de rendement ne tiennent pas compte des capacités actuelles du Commissariat, de la complexité croissante des enquêtes, de l’augmentation prévue du nombre de litiges, des contraintes dans les ressources financières et humaines ainsi que des répercussions des changements politiques et organisationnels continus. L’incapacité d’atteindre les cibles prévues pourrait ternir la réputation du Commissariat.	Le Commissariat a élaboré des cibles de rendement et des objectifs pour les enquêteurs depuis le dernier PVEAR. Ces objectifs établissent des cibles mensuelles pour le nombre de plaintes résolues par enquêteur et sont étroitement surveillés par la haute direction.

Annexe B : Priorités de l’univers de vérification établies par le BCG - Risques associés aux petits ministères

Rang	Vérification possible	Niveau du risque	Risques reconnus par le BCG
1	Gestion de la technologie de l’information	Très élevé	• Risque que le programme de transformation de la GI/TI à l’échelle du gouvernement, y compris des systèmes pangouvernementaux, ne réponde pas aux besoins des petits ministères et perturbe leur capacité à exécuter les programmes et services. • Risque que les petits ministères accordent une priorité élevée à la TI aux dépens de la GI. • Risque que la GI ne soit pas intégrée dans tous les aspects des opérations. • Risque que les petits ministères sous-estiment le rôle que jouent les contrôles de sécurité des TI dans le cadre plus général de la sécurité des TI à l’échelle du gouvernement.
2	Rémunération	Très élevé	• Risque d’expérience, de compétences et de connaissances insuffisantes liées à la rémunération et au système de rémunération, y compris les politiques applicables et les conventions collectives. Risque que les rôles, les responsabilités et les obligations relatifs à la rémunération et au système de paye ne soient pas clairs. • Risque que les contrôles internes liés aux transactions de paye soient inadéquats.
3	Gestion des services partagés et communs	Très élevé	• Risque que les responsabilités, les obligations de rendre compte et les attentes en matière de rendement entre les fournisseurs de services et les petits ministères ne soient pas claires. • Risque que les fournisseurs de services ne répondent pas aux besoins des petits ministères, ce qui pourrait avoir une incidence sur la capacité de ceux-ci à réaliser leurs mandats ministériels. • Risque que les contrôles internes soient inadéquats pendant les périodes de transition vers des services partagés ou communs. • Risque que les économies de coûts résultant des services communs ou partagés ne puissent être mesurées ou réalisées.
4	Gestion des effectifs	Très élevé	• Risque que le nombre d’employés possédant l’expérience et l’éventail de connaissances nécessaires pour mener à bien des activités de plus en plus complexes ou pour répondre à des priorités concurrentes soit insuffisant. • Risque que les ressources humaines pour gérer les ententes de service avec les nouveaux fournisseurs de services après les transitions vers des services partagés ou communs soient insuffisantes. • Risque de perdre des employés qualifiés attirés par les grandes organisations offrant plus de possibilités d’avancement. • Risque que les outils et la formation offerts aux employés pour leur permettre de réaliser leurs rôles et responsabilités soient inadéquats. • Risque que les outils et le personnel disponibles pour aider à surmonter les problèmes de santé mentale soient inadéquats.
5	Gestion de la sécurité	Très élevé	• Risque que les considérations de sécurité ne soient pas prises en compte dans les processus opérationnels. • Risque que les exigences en matière de sécurité physique et de gestion des mesures d’urgence pour les fonctionnaires et les biens matériels ne soient pas prises en compte. • Risque que la sécurité des systèmes informatiques gérés par les fournisseurs de services soit inadéquate pour les petits ministères. • Risque que l’expérience ou les connaissances soient insuffisantes pour protéger adéquatement les informations classifiées.
6	Passation de marchés et approvisionnement	Élevé	• Risque que l’expérience, les compétences et les connaissances soient insuffisantes dans le domaine de la passation de marchés et de l’approvisionnement. • Risque de non-conformité avec les instruments de passation de marchés et d’approvisionnement applicables. • Risque de contrôles internes inadéquats concernant les activités de passation de marchés et d’approvisionnement. • Risque d’une utilisation inefficace ou incompétente des outils d’approvisionnement.
7	Gestion réglementaire	Élevé	• Risque que les règlements n’atteignent pas leurs objectifs ou que l’atteinte des objectifs réglementaires ne puisse pas être mesurée. • Risque de supervision et d’application inadéquate de la réglementation et de manque de cohérence dans l’application. • Risque de consultation inadéquate des parties prenantes lors de la rédaction des règlements.
8	Gestion et supervision (information financière et non financière pour la prise de décisions)	Élevé	• Risque de capacité insuffisante (comprend les outils, l’expérience et les connaissances) pour répondre efficacement aux exigences en matière de rapports ministériels. • Risque que les exigences ministérielles ne soient pas adaptées aux petits ministères. • Risque que les structures de gouvernance pour appuyer la surveillance et la gestion (y compris la délégation des pouvoirs) soient inadéquates. • Risque d’insuffisance de la documentation appuyant la prise de décisions.
9	Planification des investissements et gestion des projets	Élevé	• Risque que les investissements ne soient pas alignés avec le mandat du ministère. • Risque que la capacité interne d’établissement des coûts soit inadéquate ou que les dépenses pour le développement de la capacité interne d’établissement des coûts soient excessives. • Risque que les besoins des petits ministères ne soient pas pris en compte dans les projets pangouvernementaux. • Risque que les rôles, les responsabilités et les obligations redditionnelles liés aux grands projets ne soient pas clairs. • Risque que l’expérience, les compétences et les connaissances soient insuffisantes dans le domaine de la gestion de projet.

Annexe C : Résultats de l’entrevue du Commissariat et évaluation des risques

Interviewé	1	2	3	4	5	6	7	8	9	10	11	12	Totaux
Risques	I	P	I	P	I	P	I	P	I	P	I	P	I	P	I	P	I	P	I	P	I	P	I	P	I	P	Note totale
Gestion de la technologie de l’information			4	2					5	3	5	2	4	3			5	2	5	2	4	1	4	1	4.5	2.0	3.3
Rémunération	2	5	2	5	5	5	2	5	1	5	2	5	2	5			2	5	2	5	1	1	1	1	2.0	4.3	3.1
Gestion des services partagés et communs	2	2	4	4	4	4							3	3	3	3	2	5	3	3	3	3	3	3	3.0	3.3	3.2
Gestion des effectifs	3	2	3	4	3	3	3	4	3	3	4	4	3	4	5	5	2	2	4	3					3.3	3.4	3.3
Gestion de la sécurité			1	1	4	2	3	3	5	3							2	2			4	3	4	3	3.3	2.4	2.9
Passation de marchés et approvisionnement	4	4	4	2	3	5											2	2							3.3	3.3	3.3
Gestion de la réglementation – Modifications législatives à la Loi			4	4	5	2	5	2	5	2	4	3	5	5	5	5	2	5	3	5	4	3	4	3	4.2	3.5	3.9
Surveillance et gestion (information financière et non financière pour la prise de décisions)	3	3																			4	2	4	2	3.5	2.2	2.8
Planification des investissements et gestion des projets	3	3			4	4	1	1													1	2	1	2	1.9	2.3	2.1
Évolution des plaintes			4	4			5	2	5	2	2	4													4.0	3.0	3.5
Gestion du changement	1	1	4	4			1	1			2	4									3	3	3	3	2.3	2.7	2.5
Cibles et mesures de rendement inadéquates	1	1	1	1	1	2			1	1	1	1													1.0	1.2	1.1

• Onze entretiens ont été menés en personne et un par courriel.
• Les personnes interviewées n’ont classé que les risques qui s’appliquaient à leur domaine d’expertise.
• Les risques ont été classés de faible (1) à élevé (5) pour l’incidence (I) et la probabilité (P).

Annexe D : Diagramme d’exposition aux risques du Commissariat

Annexe E : Organigramme

Version texte

Ce tableau hiérarchique présente l’organigramme du Commissariat à l’information du Canada. La commissaire à l’information occupe le haut de la hiérarchie en tant que chef de l’organisation. Au deuxième niveau, on retrouve trois sous-commissaires. À gauche, le sous-commissaire, Services juridiques et Affaires publiques. Au centre, la sous-commissaire, Enquêtes et Gouvernance et à droite, la sous-commissaire, Service Corporatif, Planification stratégique et services de transformation.