Rapport de la Dirigeante principale de la vérification 2024-2025
Bureau de la Commissaire à l’Information du Canada
Préparé par France Labine, Dirigeante principale de la vérification (DPV)
Présenté à la rencontre du Comité d’audit et de l’évaluation (CAÉ) du 10 juillet 2025
Rencontre
La Dirigeante principale de la vérification (DPV) a agi à titre de secrétaire pour les 3 rencontres du comité d’audit et de l’évaluation :
- Le 13 juin 2024
- Le 18 septembre 2024
- Le 23 avril 2025
Comité de vérification et d'évaluation | Le Commissariat à l’information du Canada (oic-ci.gc.ca)
Politique sur la vérification interne
Conformément à la politique du Secrétariat du Conseil du Trésor en matière d'audit interne, le DPV confirme ce qui suit :
- Il ne s'est vu confier aucune responsabilité de gestion ou opérationnelle susceptible de compromettre son indépendance* et son objectivité dans le cadre de ses responsabilités d'audit
- Elle dispose d'un accès illimité au CAÉ.
- Elle a un accès illimité à tous les dossiers, bases de données, lieux de travail et employés pour exécuter le plan d'audit basé sur les
- Elle est en mesure de s'acquitter sans entrave de ses responsabilités, notamment en signalant les problèmes au Commissaire, au CAÉ et, le cas échéant, au contrôleur général du
* En raison de la taille de l'organisation, le DPV regroupe également d'autres fonctions de services généraux telles que l'informatique, les ressources humaines, la sécurité et les finances. Au besoin, le DPV fera appel à des auditeurs ou évaluateurs externes pour effectuer les principaux contrôles de qualité, audits et évaluations.
Rôle du responsable de l'audit interne
Fournit l'assurance :
- d'un contrôle approprié des ressources publiques
- d'un contrôle éclairé par une fonction d'audit interne professionnelle et objective
- des orientations indépendantes de la direction
- d'une gestion responsable pour les
Audits, Revue, Examens
États financiers 2023-24
- Bureau du vérificateur général (BVG)
- Achevés et approuvés en septembre 2024
Consultation sur les plaintes
- Réalisée par une tierce partie afin de recueillir les commentaires des plaignants sur le programme d'enquêtes du Commissariat à l'information.
- Les conclusions de la consultation a aidé le Commissariat à élaborer et à perfectionner ses stratégies de communication et d'accessibilité, à déterminer les améliorations à apporter aux processus et à optimiser davantage ses activités.
- Le rapport final ainsi que le plan d'action de la direction ont été présentés au comité à la réunion du 18 septembre 2024.
Auto-évaluation de la maturité cybernétique
- Dans le cadre du plan de sécurité ministériel et du plan d'audit et d'évaluation axé sur les risques, le Commissariat a effectué une auto- évaluation de son processus de cybersécurité à l'aide de l'outil d'auto-évaluation de la maturité cybernétique du
- Le Commissariat a également engagé un consultant externe pour revoir l’auto-évaluation du Commissariat et un rédacteur technique pour l'aider à élaborer des politiques et des procédures.
- Le rapport final ainsi que le plan d'action de la direction ont été présentés au Comité à la réunion du 13 juin 2025.
- En lien avec cette évaluation, un exercice de simulation en cybersécurité a été réalisé en 2024-2025 et les résultats seront présentés au comité en 2025-2026.
Profil de risque organisationnel
- Le CI a élaboré un nouveau profil de risque organisationnel comprenant un registre clé.
- Ce document officialise l’identification et la gestion des risques importants au sein du CI.
- Il a été présenté au comité lors de la réunion du 23 avril 2025 et des mises à jour seront présentées chaque année.
Items Importants pour le DPV
- Plan d'audit et d'évaluation axé sur les risques
- Nouveaux plans d'action de la direction
- Consultation des plaignants
- Autoévaluation en cybersécurité
- Suivi des plans d'action de la direction
- Dossier de dotation et exercice de suivi de la CSP des RH
- Évaluation des contrôles internes sur les salaires et les avantages sociaux des employés
- Audit des états financiers du BVG
- Plan ministériel
- Rapport sur les résultats ministériels
- Plan pluriannuel de tests de contrôle interne et résultats
- Profil de risque organisationnel
- Budgets réguliers et revue financière périodique
- Inventaire, processus et performance des enquêtes
- Dossiers de contentieux
- Activités parlementaires et communications
Plan d’audit et d'évaluation axé sur les risques – Mise à jour
| Année | Nom Projet d’audit | Entitée Responsable | Étendu de l’udit, objectif et justification |
|---|---|---|---|
2024-25 (Plan original) | Audit interne en temps réel du cadre de gestion des projets informatiques (CGPI) | GI/TI & Sécurité | Objectif Évaluer les risques et les impacts immédiats liés à l'absence d'un cadre formel pour les projets informatiques au sein de l'organisation et fournir des recommandations exploitables en temps réel pour son développement et sa mise en œuvre. La nature en temps réel de l'engagement garantira que le temps et les efforts précieux ne sont pas dépensés d'une manière ou d'une direction sous-optimale (c.-à-d. documenter nos pratiques actuelles en matière d'informatique et de cybersécurité, nos normes informatiques et notre plan d'action pour les projets informatiques). |
2024-25 (Proposé) | Exercice de simulation en cybersécurité | GI/TI & Sécurité | Objectif révisé Améliorer la préparation en identifiant les faiblesses et en testant les plans de réponse aux incidents. Il améliore la coordination interne et externe, renforce les compétences de l'équipe et évalue les processus existants. L'exercice permet également d'analyser divers scénarios de cyberattaque, de garantir la conformité réglementaire et de promouvoir une culture de la sécurité. Après l'exercice, les enseignements tirés permettent d'affiner les stratégies et d'améliorer la résilience globale face aux cybermenaces. Raison d'être de l'exercice de simulation en cybersécurité VS audit interne en temps réel ducadre de gestion des projets informatiques L'auto-évaluation de la maturité cybernétique 2023-24 a mis en évidence un domaine clé à améliorer pour le Commissariat : la documentation de ses processus opérationnels en matière de cybersécurité. Pour y remédier, des ressources seront allouées à la création d'une documentation complète, ce qui permettra d'améliorer la position du Commissariat en matière de cybersécurité. Par la suite, le Centre d'excellence en matière de sécurité (Bureau du Conseil privé) organisera un exercice de simulation de divers scénarios de cyberattaque. Cet exercice débouchera sur un rapport après action, détaillant les observations et fournissant des recommandations pour renforcer encore nos défenses en matière de cybersécurité. |
| 2025-26 | Audit Interne sur la rétention du personnel | Ressources humaines | Objectif L'objectif est d'évaluer les pratiques et les facteurs de rétention des employés du Commissariat. L'audit interne vise à identifier les forces, les faiblesses et les causes sous-jacentes de la rotation du personnel, ainsi que les facteurs influençant l'engagement des employés. Des recommandations seront formulées en vue d'améliorer les taux de rétention des employés et de renforcer la satisfaction et l'engagement globaux du personnel. Champ d'application L'étendue de la mission comprendra tous les facteurs influençant la fidélisation des employés et prendra probablement la forme suivante :
Raison d'être Comme la plupart des organisations du gouvernement du Canada, l'effectif du Commissariat est l'atout le plus important pour la réalisation de son mandat. Le Commissariat à l'information semble avoir des difficultés à retenir les employés les plus performants et il est difficile de savoir si cela est dû à la taille de l'organisation. Néanmoins, une mission de cette nature fournira à la direction générale des observations et des recommandations précieuses sur les mesures à prendre pour améliorer la situation. |