Plan de vérification et d'évaluation axé sur les risques 2023-2024 à 2025-2026
Table des matières
- Sommaire
- Contexte de la planification
- Contexte
- Priorités stratégiques du Commissariat
- Structure et ressources du Commissariat
- Progression de la mise en œuvre du plan de vérification et d’évaluation du Commissariat de 2017-2018 à 2021-2022
- Risques organisationnels clés du Commissariat (2023-2024)
- Secteurs de vérification du BCG concernant les risques des petits ministères
- Approche de planification
- Exigences principales en matière de vérification et d’évaluation
- Plan et champ d’application de l’évaluation
- Plan de vérification interne
- Approche de planification
- Définition de l’univers de vérification et d’évaluation
- Établissement de l’ordre de priorité des entités de l’univers de vérification et d’évaluation
- Sélection des projets et élaboration du plan
- Résumé du plan de vérification et d’évaluation
- Plan de vérification et d’évaluation détaillé (2023-2024 à 2025-2026)
Sommaire
Introduction
Ce document présente le plan intégré de vérification et d’évaluation axé sur les risques (PVEAR) du Commissariat à l’information du Canada, qui a été mis à jour au premier trimestre de 2023‑2024. Le PVEAR englobe à la fois le plan de vérification interne et le plan d’évaluation, couvrant la période allant jusqu’à la fin de 2025-2026. Le but premier du PVEAR est d’affecter des ressources d’assurance et d’évaluation aux secteurs du Commissariat qui présentent les risques les plus importants et qui ont les plus grandes priorités, conformément aux politiques du Conseil du Trésor (CT) sur les résultats et l’audit interne.
Ce plan s’appuie sur le PVEAR précédent du Commissariat et sur le Plan triennal de vérification interne axé sur les risques du Bureau du contrôleur général (BCG) pour 2022-2023 à 2023-2024, en intégrant les projets d’évaluation conformément aux politiques du CT sur les résultats et l’audit interne.
À titre d’agent du Parlement, le Commissariat relève directement du Parlement et est exclu de la surveillance traditionnelle exercée par le Secrétariat du Conseil du Trésor du Canada (SCT). Toutefois, le Commissariat reconnaît l’importance d’un comité de vérification et d’évaluation et considère que ses mécanismes de surveillance interne et sa structure de gouvernance sont essentiels pour s’assurer que des pratiques de gestion adéquates sont en place.
Vérifications et évaluations proposées
Année | Nom du projet de vérification | Entité principale |
---|---|---|
2023-2024 |
Évaluation de la maturité de la cybersécurité |
TI/GI et Sécurité |
2024-2025 |
Vérification interne en temps réel du plan d’action pour la gestion des événements de cybersécurité |
TI/GI et Sécurité |
2025-2026 |
Vérification interne du maintien en poste des employés |
Ressources humaines |
Contexte de la planification
Contexte
La Commissaire à l’information est un agent du Parlement nommé en vertu de la Loi sur l’accès à l’information.
La Commissaire examine les plaintes concernant la façon dont les organismes fédéraux appliquent la Loi, afin que les Canadiens puissent recevoir l’information à laquelle ils ont droit. La Commissaire représente le premier niveau de révision indépendante des décisions des institutions concernant les demandes d’accès à l’information du secteur public. La Loi précise que la Commissaire doit mener une enquête sur toutes les plaintes qu’elle reçoit. Le Commissariat à l’information appuie la Commissaire dans son travail.
Le Commissariat doit mener des enquêtes efficientes et justes, faire preuve d’ouverture et de transparence lors des interactions avec les institutions et les parties plaignantes, et donner des conseils éclairés au Parlement et aux autres intervenants concernant l’accès à l’information.
Le Commissariat soutient également la Commissaire dans son rôle consultatif auprès du Parlement et des comités parlementaires sur toutes les questions se rapportant à l’accès à l’information. Il fait la promotion active d’un plus grand accès à l’information au Canada au moyen d’initiatives ciblées, comme la Semaine du droit à l’information, et par un dialogue constant avec les Canadiens, le Parlement et les institutions.
Caroline Maynard a été nommée Commissaire à l’information du Canada pour un mandat de 7 ans à compter du 1er mars 2018.
Priorités stratégiques du Commissariat
Comme il est indiqué dans le Plan stratégique 2020-2021 à 2024-2025, le Commissariat adoptera trois stratégies pour réaliser sa vision, sa mission et ses valeurs :
- Investir dans les ressources et les appuyer : Le travail du Commissariat est difficile, exige beaucoup de main-d’œuvre et doit être exécuté par des employés professionnels et dévoués. Une équipe de plus de 100 enquêteurs, avocats, communicateurs, spécialistes de l’AIPRP et experts en GI/TI, en ressources humaines, en finances, en sécurité et en locaux travaillent ensemble pour appuyer la Commissaire à l’information et exécuter son mandat en vertu de la Loi sur l’accès à l’information.
- Innover et transformer les activités : En raison des progrès technologiques, de la volonté toujours forte des Canadiens et Canadiennes de demander des comptes au gouvernement ainsi que du cycle de nouvelles constant, le Commissariat doit demeurer vigilant et ne pas faire preuve de laxisme dans son travail. Pour demeurer adaptable et réceptif aux défis, il est essentiel que l’organisation ait recours à l’innovation et réorganise ses activités. On peut y parvenir en utilisant la technologie de façon créative, en mettant en œuvre des processus intelligents et efficaces, et en tirant parti des connaissances spécialisées. Ces mesures permettront à l’organisation d’améliorer sa capacité d’aider les parties plaignantes, de s’acquitter de ses fonctions et d’améliorer sa souplesse et sa réactivité globales.
- Maintenir et renforcer la crédibilité : La crédibilité du Commissariat dépend de la prise de mesures concrètes et du fait qu’il sert de modèle à d’autres institutions en effectuant constamment un travail rapide et de grande qualité. Les intervenants, y compris les citoyens ordinaires, les spécialistes de l’accès à l’information et les parlementaires, comptent sur le Commissariat pour présenter des faits bien documentés et des points de vue éclairés sur l’accès et la transparence.
L’élaboration du PVEAR a tenu compte de ces priorités.
Structure et ressources du Commissariat
Les ressources financières et humaines du Commissariat sont présentées dans le tableau ci‑dessous.
Postes votés et législatifs du Commissariat (en milliers de dollars) | Dépenses prévues 2023-2024 | Dépenses prévues 2024-2025 | Dépenses prévues 2025-2026 |
---|---|---|---|
Transparence gouvernementale |
11,2 M |
11,2 M |
11,2 M |
Services internes |
4,8 M |
4,8 M |
4,8 M |
Total |
16,0 M |
16,0 M |
16,0 M |
Total des équivalents temps plein (ETP) |
128 |
128 |
128 |
La structure organisationnelle de la haute direction est présentée dans le diagramme ci-dessous.
Version texte
Cette charte hiérarchique montre l’organigramme du Commissariat à l’information. La commissaire à l’information se situe au sommet de la hiérarchie en tant que chef de l’organisation. Au deuxième niveau, il y a trois sous-commissaires. Le sous-commissaire des services juridiques et affaires publiques est à la gauche. La sous-commissaire des enquêtes et gouvernance est au centre et la sous-commissaire des services corporatifs, de la planification stratégique et des services de transformation est à la droite.
Progression de la mise en œuvre du plan de vérification et d’évaluation du Commissariat de 2017-2018 à 2021-2022
Les progrès réalisés dans le cadre des missions définies dans le PVEAR précédent sont présentés dans le tableau ci-dessous.
Année prévue | Nom du projet de vérification | Entité principale | Statut |
---|---|---|---|
2017-2018 |
Évaluation de la menace et des risques (EMR) et Évaluation de la menace et de la vulnérabilité (EMV) – portée restreinte |
Technologie de l’information (TI) |
Terminées en 2020-2021 |
2018-2019 |
Vérification de l’approvisionnement et de la passation de marché |
Commission canadienne des droits de la personne (CCDP) et Commissariat à l’information – Finances |
Terminée en 2021-2022 |
2018-2019, 2019-2020 et 2020-2021 |
Évaluation de la menace et des risques (EMR) et Évaluation de la menace et de la vulnérabilité (EMV) – vaste portée |
Technologie de l’information (TI) |
Fusionnée avec l’article à la première ligne. |
2021-2022 et 2022-2023 |
Évaluation du programme des enquêtes |
Haute direction et Règlement des plaintes |
Plan d’action de la direction – en cours Phase I – Évaluation du Greffe 2021-2022 Phase II – Évaluation des Enquêtes et de la Gouvernance (reste du programme) 2022-2023 |
2021-2022 |
Examen de la gestion du rendement et des talents |
Ressources humaines |
Entièrement conforme Remplacé par l’évaluation de la dotation de la Commission de la fonction publique effectuée par un fournisseur externe d’assurance de la qualité en 2021-2022 |
2022-2023 |
Vérification de la sécurité de la gestion de l’information et de l’infrastructure physique |
Services corporatifs |
Supprimée. L’activité a été remplacée par l’élaboration d’un plan de sécurité ministériel (PSM) et d’un plan de continuité des activités (PCA). |
Risques organisationnels clés du Commissariat (2023-2024)
La gestion des risques joue un rôle important dans le renforcement de la capacité d’une organisation à réagir aux menaces et aux occasions dans un environnement complexe et dynamique. Ainsi, l’organisation peut faire face au changement et à l’incertitude en utilisant l’information sur les risques pour la prise de décisions, en favorisant la confiance à l’interne et à l’externe.
Pour remplir le mandat du Commissariat, le régime de gestion doit posséder des caractéristiques de souplesse et d’innovation et être axé sur les résultats. Le Cadre de gestion des risques (CGR) fourni offre des pratiques et des processus pour assurer la mise en œuvre uniforme de la gestion des risques, ce qui aide l’organisation à atteindre ses objectifs opérationnels conformément à son mandat et à ses priorités.
Le CGR définit la gouvernance comme une combinaison de processus, de structures et de comportements organisationnels mis en œuvre au Commissariat. La surveillance est reconnue comme étant toute activité de contrôle associée à la gestion des risques ayant lieu à tous les niveaux de l’organisation. Cette approche est fondée sur une version adaptée du modèle en trois lignes de défense de l’Institute of Internal Auditors. Voici une illustration du CGR :
Version texte
Cette image illustre le modèle de gouvernance de la gestion des risques. La commissaire est au sommet. En bas, à gauche, se trouvent les Fonctions de soutien des risques. En bas, à la droite du centre, se trouvent les Organes décisionnels et les Fournisseurs externes de services d’assurance sont en bas à droite.
Les Fonctions de soutien des risques comprennent le Dirigeant principal de la sécurité / agent principal de gestion des risques, qui :
- Fournit un appui aux membres des conseils de gestion dans leur rôle de gestion des risques de l’organisation.
- Assure l’orientation et la tenue à jour des outils du Cadre organisationnel de gestion des risques
- Établit des liens entre les sources d’information sur les risques.
- Dirige les campagnes de sensibilisation et la formation en gestion des risques au sein de l’organisation.
- Identifie, analyse et évalue les risques organisationnels.
- Remet en question et surveille les risques organisationnels et les mesures d’atténuation, et rend des comptes en ce sens.
- Favorise la propension à prendre des risques et à la tolérance au risque.
Et les Secteurs de risques horizontaux, qui :
- Fournissent un appui aux comités de la haute direction en remettant en question les risques horizontaux et les mesures d’atténuation, en les surveillant et en rendant des comptes en ce sens, et en examinant et en signalant les risques horizontaux au niveau supérieur (p. ex. protection des renseignements personnels, fraude, programmes/projets).
- Fournissent un appui aux responsables de la gestion et des mesures d’atténuation pour identifier, analyser et évaluer les risques horizontaux et élaborent des mesures d’atténuation des risques.
- Font la promotion des campagnes de sensibilisation, de la formation et des pratiques en matière de gestion des risques horizontaux.
- Favorisent la propension à prendre des risques et la tolérance au risque pour les secteurs de risques horizontaux.
Les Organes décisionnels comprennent le Comité de la haute direction, qui fait preuve de leadership et assure la surveillance :
- Du mandat, des objectifs et des priorités du Commissariat.
- Des risques d’entreprise et organisationnels, et des mesures d’atténuation.
- De la culture et de la propension à prendre des risques de l’organisation.
Et le Comité exécutif, qui fait preuve de leadership et assure la surveillance :
- Des activités et des livrables des secteurs ou divisions.
- De l’analyse, de l’évaluation et du contrôle des secteurs de risque et de l’organisation par secteur ou direction.
- De la tenue à jour de l’information, des risques et des mesures d’atténuation par secteur ou direction.
- De la participation des secteurs et divisions à la préparation et à la tenue du registre des risques (taxinomie) et des analyses environnementales.
Les Fournisseurs externes de services d’assurance comprennent le Comité de vérification et d’évaluation, qui fournit des conseils et une orientation, et le Dirigeant principal de la vérification, qui :
- Fournit une assurance indépendante quant à la conception, au caractère adéquat et à l’efficacité de la gouvernance, de la gestion des risques et des contrôles des processus opérationnels.
- Planifie une vérification axée sur les risques afin de cerner les secteurs de risques où la vérification interne pourrait générer de la valeur au moyen des missions d’assurance et de consultation.
Il y a des flèches dans l’image.
Une des flèches pointe du Dirigeant principal de la sécurité / agent principal de gestion des risques vers la Commissaire, avec la mention « Conseille et informe ».
Une des flèches pointe du Comité de vérification et d’évaluation vers la Commissaire, avec la mention « Conseille et informe ».
Une des flèches pointe du Dirigeant principal de la sécurité / agent principal de gestion des risques vers le Comité de la haute direction, avec la mention « Fournit un appui grâce à des analyses ».
Une des flèches pointe des Secteurs de risques horizontaux vers le Dirigeant principal de la sécurité / agent principal de gestion des risques, avec la mention « Informe ».
Une des flèches pointe des Secteurs de risques horizontaux vers le comité de la haute direction, avec la mention « Fournit un appui grâce à des analyses ».
Une des flèches pointe du Dirigeant principal de la sécurité / agent principal de gestion des risques et des Secteurs de risques horizontaux vers le Comité exécutif, avec la mention « Fournit un appui, des analyses et de la formation ».
Une des flèches pointe du Comité exécutif vers le Dirigeant principal de la sécurité / agent principal de gestion des risques, avec la mention « Informe ».
Une des flèches est située entre les Organes décisionnels et les Fournisseurs externes de services d’assurance, pointée vers le sommet, avec la mention « Risque de signalement au niveau supérieur ».
Compte tenu de la taille relativement petite du Commissariat par rapport aux autres organisations du gouvernement du Canada, il ne faut pas manquer des occasions de réaliser des gains d’efficacité. Par conséquent, la haute direction a pris la décision de mener un exercice d’évaluation intégrée des risques qui a permis de répondre aux besoins en matière de documents et d’initiatives divers liés aux risques, notamment le profil de risque de l’organisation, le Plan de vérification et d’évaluation axé sur les risques, et le Plan de sécurité ministériel.
La liste suivante, qui présente les principaux risques organisationnels, a été dressée en 2023 en fonction d’un exercice d’évaluation des risques complet à l’échelle de l’organisation, conforme à la nouvelle approche du CGR. Cette liste tient compte des risques fondamentaux compris dans le PVEAR précédent et elle est simplifiée pour présenter la maturité organisationnelle. En termes simples, le travail reposait sur des pratiques de gestion des risques de premier plan et comprenait une analyse de la conjoncture, des examens documentaires, des entrevues avec des intervenants clés, des discussions de groupe sur les risques et une évaluation des risques à l’aide des cotes associées à l’incidence et à la probabilité.
Les résultats de cet exercice ont été utilisés pour cerner les secteurs de risque suivants :
1. Gestion de la réglementation
Ce risque comprend l'augmentation continue des demandes d'accès et le fait que le Commissariat recevra plus de plaintes en conséquence. De plus, comme la commissaire rend plus d'ordonnances, il y a un risque que les ordonnances de la commissaire soient contestées devant la Cour fédérale ou ignorées par les institutions, augmentant ainsi la nécessité de recourir à des litiges. Les ressources actuelles des services juridiques sont insuffisantes pour s'adapter à cette nouvelle réalité. Le fait que le CI continue de fonctionner avec un mécanisme de financement qui dépend des priorités du gouvernement, que le niveau actuel de financement permanent est insuffisant pour gérer le nombre croissant de plaintes et de litiges, aggrave la situation. Certains, sinon tous les aspects de ce risque échappent au contrôle du Commissariat. En fin de compte, le fait de ne pas avoir la marge de manœuvre financière pour ajuster ses ressources à la demande accrue et pour s'acquitter correctement de son mandat de surveillance nuit à la crédibilité du Commissariat à l'information. Cela a des effets préjudiciables importants sur la démocratie, la crédibilité des institutions fédérales et le droit d'accès des Canadiens.
2. Gestion des ressources humaines
En tant qu'agent du Parlement qui doit fonctionner de manière indépendante avec un effectif relativement restreint d'employés, le risque d'avoir un nombre insuffisant d'employés possédant l'étendue et la profondeur d'expérience nécessaires pour mener à bien les activités de base axées sur le volume ou capables de s'attaquer efficacement à des priorités concurrentes est omniprésent. De plus, la perte d'employés qualifiés au profit d'organisations plus grandes offrant davantage de possibilités d'avancement pourrait avoir une incidence sur la capacité du Commissariat à s'acquitter de son mandat en temps opportun. Ce risque comprend également le défi de recruter, de développer et de maintenir une capacité continue au sein de la direction des ressources humaines ainsi que des fonctions de gestion de projets informatiques afin de soutenir pleinement le programme.
3. GI/TI
Risques liés au développement de l'infrastructure informatique et des applications de programme critiques, à la maintenance de ces actifs tout au long de leur cycle de vie, au développement de nouveaux actifs et aux vulnérabilités de sécurité liées aux réseaux informatiques. La taille du Commissariat affecte également notre capacité de GI/TI et il y a un risque que le Commissariat ne puisse pas embaucher suffisamment d'employés possédant l'expérience nécessaire pour s'attaquer aux projets de TI et innover. Avoir un bassin de sous-traitants qui peuvent aider le CI et offrir les services nécessaires est essentiel pour réduire ce risque.
4. Gestion de la sécurité
Risques liés aux contrôles et aux activités conçus pour prévenir, détecter, contrer et corriger les atteintes à la sécurité et les infractions qui menacent la sécurité des opérations gouvernementales.
5. Conception et mise en œuvre du programme
Risques liés à l’élaboration, à la conception et à l’exécution du mandat du Commissariat au niveau du programme.
6. Transformation et changement organisationnels
Risques liés à la mise en œuvre de changements structurels et procéduraux dans le fonctionnement des programmes et des services.
7. Gestion des services partagés/communs
Risques liés à la qualité et à la disponibilité des services partagés.
8. Gestion financière, passation de marchés, approvisionnement, sécurité du personnel et du matériel, et gestion des biens
Risques liés à la saine gestion des ressources financières.
Tous les risques susmentionnés sont gérés conformément aux pratiques de gestion des risques décrites dans le cadre de gestion des risques du Commissariat. Le classement de ces risques sont abordés ultérieurement dans le présent document.
Secteurs de vérification du BCG concernant les risques des petits ministères
Le Secrétariat du Conseil du Trésor (SCT) est chargé d’assurer la vérification et la surveillance centrales d’un groupe de petits ministères et d’organismes de développement régional. Ces ministères et organismes, qui comptent moins de 500 employés et dont les dépenses annuelles approuvées s’élèvent à 300 millions de dollars, sont supervisés par un comité de vérification des petits ministères et organismes (PMO) composé de membres provenant de l’extérieur. Même si le Commissariat, en tant qu’agent du Parlement, n’est pas soumis à cette surveillance, il choisit néanmoins de tenir compte des catégories de risque élevé des PMO que le CT a établies comme prioritaires dans son plan de vérification. Le SCT a cerné douze secteurs à prendre en compte durant la vérification :
- Vaccination des employés de l’administration publique centrale
- Stratégie numérique/gouvernement ouvert
- Transformation et changement organisationnels
- Gestion des ressources humaines
- Conception et mise en œuvre du programme
- Gestion des services partagés/communs
- Technologie de l’information
- Gestion des biens
- Gestion de la réglementation
- Passation de marchés et approvisionnement
- Gestion de la sécurité
- Gestion financière
Au cours de la période de 2022-2023 à 2023-2024, le BCG effectue les missions de vérification horizontale suivantes :
Année prévue | Nom du projet de vérification | Objectif préliminaire |
---|---|---|
2022-2023 à 2023-2024 |
Vérification interne horizontale de l’adoption des normes numériques par les ministères. |
Déterminer les principaux facteurs qui favorisent la réussite ainsi que les obstacles à celle-ci, en ce qui a trait à l’adoption des normes numériques par les ministères afin de proposer des conseils au Secrétariat du Conseil du Trésor sur la façon dont il pourrait mieux appuyer les ministères à cet égard et de fournir l’assurance que les résultats attendus à l’échelle du gouvernement de la Politique sur les services et le numérique peuvent être obtenus. |
2023-2024 |
Vérification interne horizontale des ressources humaines |
Vérifier si des structures de gouvernance et des pratiques de gestion adéquates ont été mises en place pour appuyer l’effectif et si les risques associés aux ressources humaines ont été documentés et évalués. |
2022-2023 à 2023-2024 |
Vérification interne de la mise en œuvre de l’outil d’autoévaluation des contrôles de base |
Contribuer à la sensibilisation aux principaux contrôles de base de la gestion financière dans les ministères et permettre à ceux-ci d’évaluer, de maintenir et d’améliorer les contrôles de base, au besoin, entre les cycles de vérification. |
2022-2023 à 2023-2024 |
Vérification interne horizontaleNote de bas de page 1 sur la mise en œuvre de la Politique sur la vaccination contre la COVID-19 applicable à l’administration publique centrale dans les petits ministères |
Évaluer la mise en œuvre de certains éléments de la Politique sur la vaccination contre la COVID-19 applicable à l’administration publique centrale, y compris la Gendarmerie royale du Canada, dans un échantillon de petits ministères. |
2023-2024 |
Vérification interne horizontale des marchés dans les petits ministères |
Déterminer les causes profondes des faiblesses des contrôles de base contractuels qui ont été cernées au cours du cycle I des vérifications des contrôles de base. |
Afin d’éviter le dédoublement du travail et le fardeau imposé à l’organisation, le Commissariat tient compte du travail du BCG dans la planification de ses propres activités d’assurance. De plus, les observations et les recommandations découlant des missions du BCG, même si le Commissariat n’est pas visé, seront évaluées afin d’en établir l’applicabilité et intégrées aux activités de l’organisation.
Approche de planification
Exigences principales en matière de vérification et d’évaluation
Un certain nombre de politiques, de directives et de lignes directrices du CT déterminent les exigences et les pratiques exemplaires aux fins de la planification, de la vérification et de l’évaluation au sein du gouvernement fédéral. Ces politiques, directives et lignes directrices ont été utilisées comme meilleures pratiques pour l’élaboration du PVEAR. La présente section met en relief quelques-unes des principales exigences et obligations et présente l’approche utilisée pour évaluer les projets à inclure dans le PVEAR et en établir l’ordre de priorités.
Plan et champ d’application de l’évaluation
L’évaluation vise à recueillir et à analyser systématiquement des données probantes sur les résultats des programmes du gouvernement du Canada. Ces évaluations permettent d’examiner l’optimisation des ressources des programmes et d’autres approches pour obtenir des résultats semblables.
Selon la politique du CT, les institutions fédérales sont tenues d’élaborer un plan d’évaluation quinquennal continu. Ce plan comporte deux volets principaux :
- La Loi sur la gestion des finances publiques (article 42.1) exige qu’une évaluation de tous les programmes de subventions et contributions permanents soit effectuée sur un cycle de cinq ans (ne s’applique pas au Commissariat).
- Les administrateurs généraux ont la responsabilité d’approuver un plan d’évaluation chaque année et de le présenter au SCT. Ce plan doit décrire clairement la portée prévue de l’évaluation, y compris les dépenses organisationnelles et les programmes énumérés dans l’inventaire des programmes, pendant la période de planification désignée. Il est important de noter que les agents du Parlement sont exemptés de fournir un plan quinquennal de vérification et d’évaluation conformément à la Politique sur les résultats.
En outre, il existe un certain nombre d’autres exigences de planification possibles. Plus particulièrement, les plans d’évaluation doivent également :
- S’aligner sur le cadre ministériel des résultats;
- Appuyer le système de gestion des dépenses;
- Inclure l’aspect administratif des principales dépenses en vertu de la loi (ne s’applique pas au Commissariat);
- Inclure d’autres programmes, évaluations précises ou éléments du plan d’évaluation général du gouvernement, le cas échéant.
En raison du mandat particulier du Commissariat, ses dépenses de programmes directes visent uniquement à assurer le respect des obligations en matière d’accès à l’information. Le programme des services internes existe pour appuyer ce secteur de programme principal. Bien que le Commissariat ait une fonction d’évaluation interne limitée et compte sur des ressources externes pour assurer l’exécution des missions prévues, il a mis en œuvre une stratégie officielle de mesure du rendement. Le rapport annuel comprend une analyse exhaustive et comparative du rendement du Commissariat dans le secteur de programme et les services internes. Au besoin, des examens approfondis sont effectués afin d’examiner les causes sous‑jacentes des tendances émergentes et des variations du rendement liées à la protection des droits d’accès à l’information, comme l’exige la Loi.
Étant donné que le Commissariat a récemment terminé une évaluation des enquêtes (2021‑2022 et 2022-23) et qu’il a donc satisfait aux exigences relatives à la portée de l’évaluation du programme, l’organisation concentrera ses ressources d’assurance sur les missions de vérification interne au cours des trois prochaines années.
Plan de vérification interne
Les vérifications internes fournissent des conclusions indépendantesNote de bas de page2, objectives et documentées sur l’efficacité des processus de gestion du risque, de contrôle et de gouvernance. L’accent est mis sur tous les systèmes, les processus et les pratiques de gestion, y compris l’intégrité de l’information financière et non financière. Les services d’assurance de la vérification interne fournissent des opinions fondées sur des données probantes quant à la mesure dans laquelle le système de contrôle interne est approprié et appuie le respect des impératifs suivants de manière efficace :
- la réalisation des objectifs opérationnels;
- la protection des biens;
- l’efficacité et l’efficience des opérations;
- la fiabilité et l’intégrité de l’information financière et opérationnelle;
- la conformité avec les lois, politiques et lignes directrices.
En vertu de la politique du CT, les plans de vérification interne doivent couvrir les domaines présentant des risques et une importance plus élevés. Le plan de vérification interne doit aussi présenter les caractéristiques suivantes :
- être axé sur les risques;
- être examiné par le comité de vérification;
- se concentrer principalement sur la prestation de services d’assurance;
- s’appuyer sur un horizon pluriannuel;
- traiter les risques et les vérifications internes désignés par le contrôleur général dans le cadre de la couverture pangouvernementale;
- soutenir le rapport annuel sur l’assurance concernant l’état global des processus de gestion des risques, de contrôle et de gouvernance de l’organisation.
Approche de planification
L’approche adoptée pour élaborer le plan est conforme à la méthodologie recommandée par le Cadre international de référence des pratiques professionnelles de l’Institute of Internal Auditors. Le diagramme ci-dessous présente les principaux éléments de l’approche.
Examen et mise à jour de l'univers de vérification et d'évaluation
Examen et mise à jour des secteurs qui pourraient faire l'objet d'une mission de vérification interne ou d'une évaluation de programme.
Analyse de la conjoncture de l'univers de vérification et d'évaluation
Évaluation des risques à l'échelle de l'organisation et consultations avec les intervenants.
Établissement des priorités de l'univers de vérification et d'évaluation
Évaluation cotée de l'incidence et des probabilités utilisées pour établir les priorités.
Sélection des projets et élaboration du plan
Élaboration d'un plan pour l'exécution des missions en fonction des vérifications précédentes, des contraintes liées aux ressources et du calendrier.
Définition de l’univers de vérification et d’évaluation
L’univers de vérification et d’évaluation du Commissariat est directement fondé sur les secteurs de risque déterminés. Il comprend une liste exhaustive des sujets, des projets ou des secteurs de vérification et d’évaluation possibles qui correspondent aux risques cernés. En fondant l’univers de la vérification et de l’évaluation uniquement sur les secteurs de risque déterminés, il est possible de veiller à ce que l’approche adoptée par rapport au Commissariat soit ciblée et efficace. Autrement dit, il s’agit d’une approche « adaptée » à la taille de l’organisation.
Pour assurer cette harmonisation, les processus à l’intérieur de l’univers de vérification et d’évaluation correspondent directement aux secteurs de risque précis, comme il est indiqué précédemment dans la section sur les principaux risques organisationnels du Commissariat. Cette approche rend possible une mise en correspondance directe des activités de vérification et d’évaluation avec les risques cernés, en veillant à ce que l’accent demeure mis sur les secteurs les plus prioritaires.
De plus, cette approche élimine tout écart potentiel entre le processus d’identification des risques et la planification de la vérification et de l’évaluation. Elle permet de veiller à ce que l’univers de vérification et d’évaluation soit à l’image de l’environnement de risque de l’organisation et à ce qu’il y ait une transition harmonieuse de l’identification des risques à l’étape de l’exécution de la vérification et de l’évaluation.
En faisant en sorte que l’univers de vérification et d’évaluation correspond aux secteurs de risque cernés, le Commissariat peut rationaliser ses efforts, se concentrer sur les risques les plus importants et produire des résultats qui contribuent à la réussite globale et à la gestion des risques de l’organisation.
Établissement de l’ordre de priorité des entités de l’univers de vérification et d’évaluation
Au cours des consultations avec les intervenants, chaque risque éventuel a été classé en fonction de deux critères : la probabilité du risque et son incidence sur le Commissariat, en utilisant une échelle de 1 (faible) à 5 (élevé). On a ensuite fait la moyenne de ces notes et on a illustré celles-ci dans le graphique ci-dessous, qui constitution une représentation visuelle du risque pour l’organisation. Cette « carte des points chauds » est présentée ci-dessous.
Version texte
Les risques éventuels ont été classés de faible (1) à élevé (5) pour les répercussions (R) et la probabilité (P). Les éléments suivants ont été notés comme suit :
Pour les technologies de l’information/gestion de l’information et la gestion des ressources humaines, la note était 3.5 pour les répercussions et 3.5 pour la probabilité.
Pour la gestion de la réglementation, la note était 4.5 pour les répercussions et 4.2 pour la probabilité.
Pour la conception et l’exécution du programme, la note était 2.3 pour les répercussions et 2.3 pour la probabilité.
Pour la gestion de la sécurité, la note était 2.5 pour les répercussions et 2.0 pour la probabilité.
Pour la transformation et le changement organisationnel, la note était 1.0 pour les répercussions et 1.9 pour la probabilité.
Pour la gestion des services partagés/communs, la note était 1.0 pour les répercussions et 1.0 pour la probabilité.
Pour la gestion financière, passation de marchés et approvisionnement, sécurité du personnel et physique et gestion des biens, la note était 1.4 pour les répercussions et 1.0 pour la probabilité.
Sélection des projets et élaboration du plan
Les priorités de vérification les plus élevées ont servi de point de départ et fourni la principale, mais non la seule, considération pour la sélection des projets de vérification et d’évaluation ont qui sont inclus dans le PVEAR du Commissariat. Les principaux risques prioritaires ont été examinés par rapport à diverses contraintes et possibilités, notamment :
- les vérifications récemment terminées;
- la disponibilité des ressources de vérification et d’évaluation au cours de la période de trois ans;
- la faisabilité de l’exécution d’une vérification ou d’une évaluation;
- les autres examens de surveillance (évaluations, vérifications du BVG général);
- les projets de vérification prescrits (suivis, BVG et obligations du BCG et de la Commission de la fonction publique pour les vérifications horizontales);
- la tolérance au risque;
- les demandes de la direction;
- l’orientation du Comité de vérification et d’évaluation et de la haute direction.
Lors de la mise au point du PVEAR, des mesures ont été prises afin de s’assurer que l’univers de vérification et d’évaluation a été bien couvert de manière appropriée. Le PVEAR renforce l’intégration des projets de vérification et d’évaluation, dans la mesure du possible, et veille à ce que l’évaluation englobe l’ensemble des dépenses de programme directes.
Résumé du plan de vérification et d’évaluation
Compte tenu de la taille relativement petite du Commissariat et des contraintes liées aux ressources connexes, il est réaliste de viser la réalisation d’une mission de type assurance par année. Cette approche tient compte des ressources disponibles au sein du Commissariat et fait en sorte que le temps et le travail requis puissent être consacrés à la réalisation d’une vérification ou d’une évaluation approfondie et exhaustive.
En raison de la taille limitée de l’organisation, il faut adopter une approche ciblée et fondée sur les priorités lorsqu’on affecte des ressources pour mener les missions d’assurance. En effectuant une mission par année, le Commissariat peut concentrer ses efforts sur les principaux risques et les principales priorités, notamment dans les domaines de la cybersécurité et de la gestion des ressources humaines, tout en répondant à ses besoins opérationnels quotidiens. Cette approche permet au Commissariat de réaliser efficacement les phases nécessaires de planification, d’exécution et de production de rapports des missions, tout en assurant la qualité et l’exhaustivité des résultats.
En fixant cet objectif réaliste, le Commissariat peut optimiser l’utilisation de ses ressources limitées et obtenir des résultats significatifs de chaque mission d’assurance. Ainsi, il est possible de mener un examen approfondi des risques et des priorités cernés au sein de l’organisation, tout en tenant compte des contraintes et de la capacité du Commissariat en tant qu’entité de petite taille.
Plan de vérification et d’évaluation détaillé (2023-2024 à 2025-2026)
Le tableau suivant présente l’objectif, la portée et la justification de chacun des projets de vérification et d’évaluation proposés de 2023-2024 à 2025-2026. Il est à noter que ces renseignements peuvent être modifiés en fonction des résultats des phases de planification de chacun des projets respectifs. En plus des projets de vérification ci-dessous, les vérificateurs internes continueront d’assister aux principales réunions de la direction et du Comité de vérification et d’évaluation et d’effectuer des suivis des vérifications précédentes (au besoin).
Année | Nom du projet de vérification | Entité principale | Portée, objectif et justification de la vérification |
---|---|---|---|
2023-2024 |
Évaluation de la maturité de la cybersécurité |
Gestion de la TI/GI et de la sécurité |
Objectif L’objectif préliminaire consiste à évaluer la maturité du programme et de la situation en ce qui a trait à la cybersécurité du Commissariat, afin de s’assurer que les cyberrisques de l’organisation sont gérés efficacement, de cerner les points à améliorer et de gérer le risque accru associé à l’environnement de travail hybride post-COVID-19. Portée La portée préliminaire de la mission comprendra tous les aspects du cadre de cybersécurité du Commissariat et prendra les formes suivantes :
Justification Comme il s’agit de l’un des principaux risques cernés dans le Plan de sécurité ministériel du Commissariat, une évaluation exhaustive du niveau de maturité de l’évaluation de la cybersécurité doit être effectuée aussi rapidement que possible. La réalisation d’une telle activité d’assurance permettra au Commissariat d’obtenir des renseignements importants sur la façon dont les cyberrisques de l’organisation sont gérés et déterminera les points à améliorer. En l’absence d’une évaluation de la maturité, le Commissariat pourrait ne pas être en mesure de déterminer et de prioriser adéquatement les risques liés à la cybersécurité, d’établir des stratégies d’atténuation et d’affecter efficacement les ressources. En raison des risques élevés découlant de l’environnement de travail hybride après la pandémie de COVID-19, il est encore plus important de gérer ce risque. Les observations faites dans le cadre de cette mission guideront directement la vérification interne en temps réel prévu du plan d’action de la gestion des incidents de cybersécurité de l’année prochaine. |
2024-2025 |
Vérification interne en temps réel du plan d’action pour la gestion des incidents de cybersécurité |
Gestion de la TI/GI et de la sécurité |
Objectif L’objectif préliminaire consiste à évaluer les risques et les répercussions immédiats associés à l’absence d’un plan d’action pour la gestion des incidents de cybersécurité au sein de l’organisation et à présenter des recommandations concrètes en temps réel en vue de son élaboration et de sa mise en œuvre. La nature en temps réel de la mission permettra au Commissariat de s’assurer que son temps et son travail précieux ne sont pas dépensés d’une manière sous-optimale ou mal ciblée. Portée La portée préliminaire de la mission comprendra tous les aspects du cadre de sécurité de la TI et de la GI du Commissariat et prendra les formes suivantes :
Justification La réalisation de cette vérification interne permettra au Commissariat de gérer de façon proactive les risques associés à l’absence d’un plan d’action pour la gestion des incidents de cybersécurité (risque élevé mentionné dans le plus récent Plan de sécurité du ministériel), de cibler et d’apporter des améliorations immédiates et de veiller à ce que les efforts déployés soient conformes aux pratiques exemplaires, les normes du SCT et les exigences réglementaires. |
2025-2026 |
Vérification interne du maintien en poste des employés |
Gestion des ressources humaines |
Objectif L’objectif est d’évaluer les pratiques et les facteurs de maintien en poste du Commissariat. La vérification interne vise à déterminer les forces, les faiblesses et les causes sous-jacentes du roulement et les facteurs qui influent sur l’engagement des employés. Des recommandations seront formulées sur l’amélioration des taux de maintien en poste des employés et l’amélioration de la satisfaction et de l’engagement de l’ensemble de l’effectif. Portée La portée de la mission comprendra tous les facteurs qui ont une influence sur le maintien en poste des employés et prendra probablement les formes suivantes :
Justification À l’instar de la plupart des organisations du gouvernement du Canada, l’effectif du Commissariat est l’atout le plus important pour remplir son mandat. Le Commissariat semble avoir de la difficulté à retenir les employés à rendement élevé. Néanmoins, une mission de cette nature fournira à la haute direction des observations et des recommandations utiles sur les mesures à prendre pour améliorer la situation. Une vérification interne ayant un objectif et une portée connexes a déjà été prévue pour l’exercice 2021-2022. Toutefois, il a été remplacé par un examen de l’assurance externe mené par la Commission de la fonction publique du Canada et un conseiller externe expert. |