2017-2023 Plan intégré de vérification et d’évaluation axé sur les risques

Mise à jour février 2021

Table des matières

Sommaire

Introduction

Ce document présente le plan intégré de vérification et d’évaluation axé sur les risques (PVEAR) pour le Commissariat à l’information du Canada (le Commissariat), mis-à-jour en février 2021. Le PVEAR regroupe le plan de vérification interne et le plan d’évaluation jusqu’en 2022-2023. Il a pour objectif d’affecter les ressources aux secteurs qui présentent les risques les plus importants et qui sont prioritaires pour le Commissariat, ainsi que de satisfaire aux exigences des politiques du Conseil du Trésor sur les résultats et la vérification interne.

Le PVEAR met à profit le plan de vérification et d’évaluation axé sur les risques 2014‑2018 du Commissariat et le plan de vérification interne triennal axé sur les risques du Bureau du contrôleur général pour les exercices 2016‑2017 à 2018‑2019 en intégrant les projets d’évaluation conformément à la Politique sur les résultats et à la Politique sur la vérification interne du Conseil du Trésor (CT). Le plan indique les ressources nécessaires pour pouvoir répondre efficacement et en temps opportun aux demandes du Comité de vérification et d’évaluation et du Comité exécutif. Le PVEAR reconfirme l’objectif d’affecter les ressources aux secteurs qui représentent les priorités les plus importantes pour l’organisation et de veiller à ce que les services de vérification interne et d’évaluation procurent les plus grands avantages possibles au Commissariat.

À titre d’agent du Parlement, le Commissariat relève directement du Parlement et est exclu de la surveillance traditionnelle exercée par le Secrétariat du Conseil du Trésor du Canada (SCT). Cependant, le Commissariat doit avoir mis en place un comité de vérification et d’évaluation et il considère que ses mécanismes de surveillance interne et sa structure de gouvernance sont de la plus haute importance pour aider à faire en sorte que des pratiques de gestion adéquates soient en place.

Vérifications et évaluations proposées

Vérifications et évaluations proposées
Année Nom du projet de vérification Entité principale
2017-2018 Évaluation de la menace et des risques (EMR) et Évaluation de la menace et de la vulnérabilité (EMV) – étendue restreinte Technologie de l’information (TI)
2018-2019 Vérification de l’approvisionnement et de la passation de marché Commission canadienne des droits de la personne (CCDP) et Commissariat à l’information -Finance
2021-2022 et 2022-2023 Évaluation des enquêtes Haute direction et règlement des plaintes
2018-2019, 2019-2020 et 2020-2021 Évaluation de la menace et des risques (EMR) et Évaluation de la menace et de la vulnérabilité (EMV) – Vaste portée Technologie de l’information (TI)
2021-2022 Examen de la gestion du rendement et des talents Ressources humaines
2022-2023 Vérification de la sécurité de la gestion de l’information et de l’infrastructure physique Services corporatifs

Contexte de la planification

Contexte

Le commissaire à l’information est un agent du Parlement nommé en vertu de la Loi sur l’accès à l’information.

La commissaire examine les plaintes au sujet de la façon dont les institutions fédérales appliquent la Loi, afin que les Canadiens puissent recevoir l’information à laquelle ils ont droit.

Le commissaire représente le premier niveau de révision indépendante des décisions des institutions concernant les demandes d’accès à l’information du secteur public. La Loi précise que le commissaire doit mener une enquête sur toutes les plaintes qu’il reçoit. Il est épaulé dans son travail par le Commissariat à l’information.

Le Commissariat doit mener des enquêtes efficientes et justes, faire preuve d’ouverture et de transparence lors des interactions avec les institutions et les plaignants, et donner des conseils éclairés au Parlement et aux autres intervenants concernant l’accès à l’information. Le Commissariat soutient également le commissaire dans son rôle consultatif auprès du Parlement et des comités parlementaires sur toutes les questions se rapportant à l’accès à l’information. Il fait la promotion active d’un plus grand accès à l’information au Canada au moyen d’initiatives ciblées, comme la Semaine du droit à l’information, et par un dialogue constant avec les Canadiens, le Parlement et les institutions.

Caroline Maynard fut nommée Commissaire à l’information du Canada pour un mandat de 7 ans le 1er mars 2018.

Modifications à la Loi sur l’accès à l’information

En août 2019, le Commissariat a reçu un financement permanent afin de concrétiser les nouveaux pouvoirs et les nouvelles responsabilités octroyés à la commissaire par le projet de loi C58. Ces pouvoirs, à savoir rendre des ordonnances et publier des comptes rendus, et ces responsabilités, comme rendre des décisions sur les demandes présentées par des institutions pour ne pas donner suite à une demande d’accès.

Priorités à l’échelle du gouvernement

La lettre de mandat du président du Conseil du Trésor contient la priorité suivante : « Collaborer avec la ministre de la Justice afin d’accroître la transparence du gouvernement, y compris diriger un examen de la Loi sur l’accès à l’information afin que les Canadiens aient plus facilement accès à leurs renseignements personnels, que le commissaire à l’information soit habilité à ordonner la communication de renseignements gouvernementaux et que la Loi s’applique de façon appropriée au Cabinet du premier ministre et aux cabinets des ministres ainsi qu’aux institutions administratives à l’appui du Parlement et des tribunaux. »

Des priorités similaires ont également été énoncées dans les lettres de mandat adressées à la ministre de la Justice et procureur général du Canada et à la ministre des Institutions démocratiques.

Le gouvernement du Canada est actuellement l’un des quatre coprésidents du Partenariat pour un gouvernement ouvert. En 2018‑2019, il assumera le rôle de coprésident gouvernemental principal.

L’engagement d’un gouvernement ouvert et transparent est directement lié au mandat du Commissariat.

Priorités stratégiques du Commissariat

Nous mettrons en œuvre trois stratégies pour réaliser notre vision, remplir notre mission et appliquer nos valeurs :

  • Investir dans nos ressources et les appuyer : Notre travail est difficile et exigeant, et doit être exécuté par des employés professionnels et dévoués. Notre équipe d’un peu plus de 100 employés compte des enquêteurs, des avocats, des communicateurs, des spécialistes de l’AIPRP ainsi que des experts en GI/TI, en ressources humaines, en finances, en sécurité et en locaux qui, ensemble, appuient la commissaire et exécutent son mandat en vertu de la Loi sur l’accès à l’information.

  • Innover et transformer nos activités : En raison de la révolution technologique, de la volonté toujours forte des Canadiens de demander des comptes au gouvernement et du cycle de nouvelles 24 heures sur 24, nous ne pouvons pas nous permettre de faire preuve de laxisme dans notre travail. En innovant et en transformant nos opérationsnotamment au moyen d’une utilisation créative de la technologie, de processus judicieux et efficients et d’une expertise ciblée — nous serons en position d’être plus agiles face aux défis, d’offrir de meilleurs services aux plaignants et de respecter nos obligations.

  • Maintenir et renforcer notre crédibilité : Pour être crédibles, nous devons passer de la parole aux actes et donner l’exemple aux institutions en ce qui a trait au respect des délais et à la qualité de notre travail. Les divers intervenants, dont les Canadiens ordinaires et les parlementaires, se tournent vers nous pour obtenir des faits et des opinions sur l’accès et la transparence qui sont fondés sur une recherche solide.

Ces priorités ont été prises en considération lors de l’élaboration du PVEAR.

Structure et ressources du Commissariat

Effectif et structure organisationnelle :  L’effectif du Commissariat comprend 135 équivalents temps plein (ETP) approuvés. De ces 135 ETP, 103 travaillent pour la responsabilité essentielle alors que les 32 autres pour les Services internes. Voir l’annexe E pour consulter l’organigramme.

Ressources financières : Le budget principal des dépenses du Commissariat pour les cinq dernières années variait de 11 291 086 $ en 2016-2017 à 13 068 088 $ en 2020-2021.

Historique des plaintes : Le Commissariat reçoit deux types de plaintes : les plaintes administratives et les plaintes de refus. Toute plainte non résolue au cours de l’exercice où elle est reçue est reportée à l’exercice suivant et considérée comme faisant partie de l’inventaire des plaintes. Le graphique ci‑dessous présente le nombre de cas reçus, réglés et reportés depuis 2014-2015.

Plaintes recues entre 2014-2020

Version texte

Le présent diagramme à lignes montre le nombre de plaintes que la Commissaire a reçues, fermées et qui restent toujours dans l’inventaire à la fin de l’année. Le diagramme démontre les données pour les années 2014-2015 à 2019-2020.

En 2014-2015, la Commissaire a reçu 1 749 plaintes, 1 596 plaintes ont été résolues et 2 244 plaintes restent toujours dans l’inventaire à la fin de l’année.

En 2015-2016, la Commissaire a reçu 2 047 plaintes, 1 281 plaintes ont été résolues et 3 010 plaintes restent toujours dans l’inventaire à la fin de l’année.

En 2016-2017, la Commissaire a reçu 2 079 plaintes, 2 245 plaintes ont été résolues et 2 844 plaintes restent toujours dans l’inventaire à la fin de l’année.

En 2017-2018, la Commissaire a reçu 2 598 plaintes, 1 974 plaintes ont été résolues et 3 489 plaintes restent toujours dans l’inventaire à la fin de l’année.

En 2018-2019, la Commissaire a reçu 1 946 plaintes, 2 608 plaintes ont été résolues et 3 348 plaintes restent toujours dans l’inventaire à la fin de l’année.

En 2019-2020, la Commissaire a reçu 1 946 plaintes, 5 528 plaintes ont été résolues et 3 359 plaintes restent toujours dans l’inventaire à la fin de l’année.

Progression de la mise en œuvre du plan de vérification et d’évaluation du Commissariat de 2014‑2018

Un plan de vérification et d’évaluation a été achevé en 2013. Il comportait les projets de vérification et d’évaluation suivants devant être terminés d’ici la fin mars 2018. Les progrès réalisés dans ce plan ont été pris en compte dans le nouveau plan. Le tableau ci‑dessous résume l’état actuel du plan de 2014‑2018.

Progression de la mise en œuvre du plan de vérification et d’évaluation du Commissariat de 2014‑2018
Exercice Nom du projet de vérification Entité principale Situation actuelle
2013‑2014 Vérification de la dotation et de la gouvernance Services organisationnels Complété en mars 2013 (Samson)
2014‑2015 (Après l’emménagement) Vérification de la sûreté des technologies de l’information et de l’infrastructure physique Services organisationnels Terminé en septembre 2016 (Samson) EMR/EMV en cours (Cistel)
2014‑2015 Évaluation du règlement des plaintes et des enquêtes. Phase I : Élaboration d’un cadre de mesure du rendement et d’évaluation Règlement des plaintes et respect de la Loi Des indicateurs du rendement ont été élaborés pour faire le suivi des délais de règlement moyens des plaintes, ainsi que pour suivre le nombre de recommandations mises en œuvre.
2015‑2016 Vérification de l’approvisionnement et de la passation des marchés Services organisationnels Terminé en 2018-2019 (Samson)
2015‑2016 Vérification de la gestion de l’information Services organisationnels Terminé en septembre 2016 (Samson) Avril 2017 (RHEA)
2016‑2017 Évaluation des enquêtes, phase II : Mise en œuvre Règlement des plaintes et respect de la Loi En suspens
2017‑2018 Vérification du Système de gestion des dossiers Services organisationnels En suspens

Risques organisationnels clés du Commissariat (2013‑2014)

La liste des principaux risques organisationnels suivante a été élaborée en 2012. À l’époque, le Commissariat effectuait une transition importante puisqu’il déménageait physiquement ses bureaux à l’emplacement actuel au 30, rue Victoria. En même temps, le gouvernement faisait face à une période de rajustement de la main‑d’œuvre qui a entraîné une réduction de 5 % des niveaux de financement affectés. Ces risques ont été examinés et pris en compte dans l’élaboration du profil de risque à jour du Commissariat :

  1. Contraintes financières;
  2. Évolution des plaintes;
  3. Effectif;
  4. Gestion du changement;
  5. Sécurité de l’infrastructure physique et des technologies de l’information (TI);
  6. Cibles et mesures de rendement inadéquates.

Classement des risques des petits ministères établi par priorité par le BCG

Le Secrétariat du Conseil du Trésor assure la vérification et la surveillance par l’intermédiaire d’un comité de vérification des petits ministères et organismes (PMO) formé de membres de l’extérieur nommés pour superviser 42 petits ministères et 5 organismes de développement régional comptant moins de 500 employés et moins de 300 millions de dollars en dépenses annuelles approuvées. Même si le Commissariat, en tant qu’agent du Parlement, n’est pas soumis à cette surveillance, il choisit néanmoins de tenir compte des catégories de risque élevé des PMO que le CT a établies comme prioritaires dans son plan de vérification. Le SCT a cerné neuf secteurs à prendre en compte durant la vérification :

  1. Gestion de la technologie de l’information;
  2. Rémunération;
  3. Gestion des services partagés et communs;
  4. Gestion des effectifs;
  5. Gestion de la sécurité;
  6. Passation de marchés et approvisionnement;
  7. Gestion réglementaire;
  8. Gestion et supervision (information financière et non financière pour la prise de décisions);
  9. Planification des investissements et gestion des projets.

Veuillez consulter l’annexe B pour obtenir plus de renseignements sur le profil de risque des PMO en date d’octobre 2016.

Approche de planification

Exigences principales en matière de vérification et d’évaluation

Un certain nombre de politiques, de directives et de lignes directrices du Conseil du Trésor déterminent les exigences et les pratiques exemplaires aux fins de la planification, de la vérification et de l’évaluation au sein du gouvernement fédéral. Ces politiques, directives et lignes directrices ont été utilisées comme meilleures pratiques pour l’élaboration du PVEAR. La présente section met en relief quelques‑unes des principales exigences et obligations et présente l’approche utilisée pour évaluer les projets à inclure dans le PVEAR et en établir l’ordre de priorités.

Plan et champ d’application de l’évaluation

Pour le gouvernement du Canada, l’évaluation est la collecte et l’analyse systématiques de données probantes sur les résultats des programmes afin d’optimiser les ressources des programmes du gouvernement fédéral et de trouver d’autres façons d’obtenir les mêmes résultats.

Selon la politique du CT, les institutions fédérales doivent préparer un plan quinquennal d’évaluation continue. La couverture requise par le plan est essentiellement fondée sur deux aspects.

La Loi sur la gestion des finances publiques (article 42.1) exige qu’une évaluation de tous les programmes de subventions et contributions (S et C) permanents soit effectuée sur un cycle de cinq ans (ne s’applique pas au Commissariat).

La Politique sur les résultats du CT exige qu’à compter de 2016, les administrateurs généraux soient responsables d’approuver annuellement et de fournir au Secrétariat du Conseil du Trésor du Canada, de la manière et au moment prescrits par celui‑ci, un plan d’évaluation présentant clairement la portée de l’évaluation prévue, y compris pour ce qui est des dépenses organisationnelles et des programmes de l’inventaire, pendant la période de planification. La Politique sur les résultats exempte les agents du Parlement de l’obligation de fournir un plan de vérification et d’évaluation quinquennal.

En outre, il existe un certain nombre d’autres exigences de planification possibles. Plus particulièrement, les plans d’évaluation doivent également :

  • S’aligner sur le cadre ministériel des résultats;
  • Appuyer le système de gestion des dépenses;
  • Inclure l’aspect administratif des principales dépenses en vertu de la loi (ne s’applique pas au Commissariat);
  • Inclure d’autres programmes, évaluations précises ou éléments du plan d’évaluation général du gouvernement, le cas échéant.

Compte tenu du mandat du Commissariat, les dépenses de programme directes se limitent à un secteur de programme : respect des obligations liées à l’accès à l’information. Ce programme est appuyé par le programme des services internes. Bien que le Commissariat ne dispose pas d’une fonction d’évaluation interne, il est néanmoins doté d’une stratégie de mesure du rendement officielle et le rapport annuel de l’organisation fournit une analyse détaillée et comparative du rendement du Commissariat pour ce qui est de son secteur de programme et de ses services internes. Des examens plus approfondis sont exécutés, au besoin, pour évaluer les causes sous‑jacentes aux nouvelles tendances et variations dans le rendement en matière de protection des droits d’accès à l’information en vertu de la Loi.

Plan de vérification interne

Les vérifications internes fournissent des conclusions indépendantes, objectives et documentées sur l’efficacité des processus de gestion du risque, de contrôle et de gouvernance. L’accent est mis sur tous les systèmes, les processus et les pratiques de gestion, y compris l’intégrité de l’information financière et non financière. Les services d’assurance de la vérification interne fournissent des opinions fondées sur des données probantes quant à la mesure dans laquelle le système de contrôle interne est approprié et appuie le respect des impératifs suivants de manière efficace :

  • La réalisation des objectifs opérationnels;
  • La protection des biens;
  • L’efficacité et l’efficience des opérations;
  • La fiabilité et l’intégrité de l’information financière et opérationnelle;
  • La conformité avec les lois, politiques et lignes directrices.

En vertu de la politique du CT, les plans de vérification interne doivent couvrir les domaines présentant des risques et une importance plus élevés. Le plan de vérification interne doit aussi présenter les caractéristiques suivantes :

  • Être axé sur les risques;
  • Être examiné par le comité de vérification;
  • Se concentrer principalement sur la prestation de services d’assurance;
  • S’appuyer sur un horizon pluriannuel;
  • Traiter les risques et les vérifications internes désignés par le contrôleur général dans le cadre de la couverture pangouvernementale;
  • Soutenir le rapport annuel sur l’assurance concernant l’état global des processus de gestion des risques, de contrôle et de gouvernance de l’organisation.

Approche de planification

La méthode sur laquelle s’appuie ce plan est fondée sur le Cadre de référence international des pratiques professionnelles de la vérification interne de l’Institute of Internal Auditors (IIA). Le PVEAR a été élaboré à l’aide de l’approche décrite dans l’illustration suivante :

Approche de planification

Version texte

Ce graphique présente l’approche de planification du Plan de vérification et d’évaluation axé sur les risques. L’approche de planification comporte quatre principales étapes qui sont présentées dans des encadrés distincts, en ordre de gauche à droite. Les encadrés ont la forme de flèches qui pointent vers la droite et indiquent le titre de chaque étape de planification. Sous chaque encadré en forme de flèche, on retrouve des puces qui décrivent plus en détail chaque étape.

Étape 1 : Définition de l’univers de vérification et d’évaluation

Renseignements supplémentaires :

  • Inventaire des programmes aligné
  • Définition de la portée possible de l’activité de vérification interne et d’évaluation
  • Détermination des entités « vérifiables » ou « évaluables »

Étape 2 : Analyse de l’environnement de l’univers de vérification et d’évaluation

Renseignements supplémentaires :

  • Consultations stratégiques avec le commissaire, les sous-commissaires, la haute direction et un membre du Comité de vérification
  • Examen des principaux documents (p. ex. plan ministériel, Rapport ministériel sur le rendement, rapport annuel)

Étape 3 : Priorisation des entités de l’univers de vérification et d’évaluation

Renseignements supplémentaires :

  • Approche fondée sur des critères pondérés en fonction du contexte pour chaque entité de l’univers avec une échelle de cotation pour les évaluations de l’incidence et de la probabilité

Étape 4 : Sélection des projets et élaboration du plan

Renseignements supplémentaires :

  • Prise en compte de la faisabilité, des vérifications antérieures, des évaluations et d’autres évaluations
  • Prise en compte des ressources disponibles, du délai, de la portée des objectifs
  • Mise à jour annuelle

Définition de l’univers de vérification et d’évaluation

L’univers de vérification et d’évaluation définit la portée possible des missions proposées et comprend les entités individuelles de l’univers qui peuvent faire l’objet d’une vérification interne ou d’une évaluation. Afin d’assurer l’harmonisation entre l’objet des projets de vérification interne et d’évaluation et la structure opérationnelle du Commissariat, les entités de l’univers ont été harmonisées avec les programmes et les services internes du Commissariat, comme il est indiqué dans l’inventaire des programmes.

Le tableau suivant présente l’univers de vérification et d’évaluation du Commissariat :

Définition de l’univers de vérification et d’évaluation
  Univers de vérification et d’évaluation    
Résultat stratégique Un gouvernement fédéral transparent, responsable et sensible aux besoins des Canadiens    
Programme 1. Respect des obligations liées à l’accès à l’information    
Entités de l’univers de vérification et d’évaluation Enquêtes (trois unités organisationnelles)    
  Litiges    
  Conseils au Parlement    
Programme 2. Services internes    
Entités de l’univers de vérification et d’évaluation Bureau du commissaire Planification et rapports ministériels Gestion des ressources humaines
  Finances Technologie de l’information Gestion de l’information
  Accès à l’information et protection des renseignements personnels Approvisionnement, cartes d’achat et passation de marchés Voyages et accueil
  Valeurs et éthique Services administratifs Vérification interne et évaluation

Analyse de l’environnement

Une série d’entrevues ont été menées auprès de la Commissaire à l’information, des sous-commissaires, de la direction et d’un membre externe du Comité de vérification et d’évaluation afin de cerner les changements organisationnels, les principaux risques auxquels les activités sont exposées et les domaines dans lesquels la vérification interne ou l’évaluation pourraient présenter la plus grande valeur à l’appui de la réalisation des objectifs organisationnels. Il convient de noter que les entrevues ont eu lieu peu de temps après que le gouvernement ait annoncé les modifications législatives à la Loi et que la Commissaire à l’information actuelle ait annoncé qu’elle ne solliciterait pas un autre mandat. Ces annonces ont été prises en compte dans les risques cernés lors des entrevues.

Des documents clés, tels que le Rapport annuel 2016‑2017, le Rapport ministériel sur le rendement (RMR) de 2016‑2017 et le Plan ministériel (PM) de 2017‑2018, ont été examinés afin de faciliter la reconnaissance des priorités organisationnelles et des principaux secteurs de risque. Ces renseignements permettent non seulement à la direction de déterminer dans quels domaines elle doit axer ses efforts, mais aussi de dégager l’information relative à l’exposition au risque qui a été utilisée pour répertorier les entités de l’univers et établir la priorité des projets de vérification et d’évaluation. Comme point de départ pour les entrevues, les risques clés déterminés par le Bureau du contrôleur général (BCG) ont été pris en compte pour le classement des risques pendant les entrevues ainsi que les principaux risques cernés en 2013 pour le PVEAR.

Priorisation des entités de l’univers de vérification et d’évaluation

Au cours des entrevues avec la direction, chaque risque éventuel a été classé en fonction de deux critères : la probabilité de l’occurrence du risque et son incidence sur le Commissariat, en utilisant une échelle de 1 (faible) à 5 (élevé). Les résultats finaux du classement se trouvent à l’annexe C.

Une cote moyenne a été établie pour chaque risque afin de classer les secteurs de risque du Commissariat par ordre de priorité. De plus, les risques ont ensuite été reportés sur un diagramme X et Y afin de visualiser ceux dont l’incidence et la probabilité sont les plus grandes. Ce diagramme d’exposition aux risques se trouve à l’annexe D.

Risques cernés lors de l’analyse des risques

Au cours de l’analyse de l’environnement, les risques ci-après ont été reconnus comme les plus probables et ayant le plus grand impact sur le Commissariat. Certains ou tous les aspects de ces risques sont en dehors du contrôle du Commissariat.

Modifications à la Loi sur l’accès à l’information : Les changements législatifs apportés à la Loi sur l’accès à l’information pourraient avoir une incidence sur le nombre de plaintes reçues par le Commissariat et sur l’environnement opérationnel dans lequel il mène ses enquêtes. L'adoption du projet de loi a été plus lente que prévu et la date d'entrée en vigueur n'est pas connue. En effet, il n'est pas clair si le projet de loi sera adopté avant les élections d'octobre 2019.

Ressources humaines : En tant qu’agent du Parlement, le Commissariat est exposé à un risque constant d’avoir un nombre insuffisant d’employés possédant l’expérience et l’éventail de connaissances nécessaires pour mener à bien ses activités ou traiter ses priorités concurrentes. De plus, la perte d’employés qualifiés au profit de plus grandes organisations offrant plus de possibilités d’avancement pourrait avoir une incidence sur la capacité du Commissariat d’exécuter son mandat en temps opportun.

Passation de marchés et approvisionnement : Le Commissariat a conclu une entente autorisant la Commission canadienne des droits de la personne (CCDP) à fournir des services d’approvisionnement et de passation de marchés. La sous‑traitance de ce service (dépendance à l’égard d’une autre organisation), le respect des politiques et des règlements, le roulement des employés à la CCDP, l’urgence des marchés avec les enquêteurs et l’incidence possible sur les niveaux de service ont été reconnus comme des risques éventuels pour le Commissariat.

Gestion de l’information et technologie de l’information : Une atteinte à la sécurité entraînant la divulgation de renseignements obtenus lors d’une enquête, y compris des renseignements personnels ou secrets, pourrait avoir des effets très significatifs sur la réputation du Commissariat et sur sa capacité à respecter ses obligations juridiques de protéger les droits à l’information.  Alors que le Commissariat continue de transférer électroniquement davantage de ses activités de traitement des plaintes et d’enquêtes, ce risque demeure répandu.

Problèmes liés au système de paye Phénix :

Bien que le Commissariat ait mieux réussi que d’autres organisations fédérales en termes de problèmes dePhénix, il est crucial de continuer à réagir promptement à ces problèmes. Ne pas le faire met en danger le bien-être des employés et pourrait également affecter le moral, le recrutement et la productivité des employés.

D’autres risques notables incluent l'augmentation continue du nombre de demandes d'accès (plus de 100 000 en 2017-2018) et la possibilité que le Commissariat reçoive des plaintes en conséquence. La diminution de la performance institutionnelle, peut également entraîner davantage de plaintes. En outre, le Commissariat continue d’opérer avec du financement permanent insuffisant pour traiter le nombre de plaintes et satisfaire aux exigences du mandat. Enfin, la transition culturelle vers un gouvernement plus ouvert et transparent continue à être lente.

Sélection des projets et élaboration du plan

Les projets de vérification et d’évaluation ont été sélectionnés afin d’être inclus dans le PVEAR. Les priorités de vérification les plus élevées ont servi de point de départ et fourni la principale, mais non la seule, considération pour la sélection des projets. Les principaux risques prioritaires ont été examinés par rapport à diverses contraintes et possibilités, notamment :

  • les vérifications récemment terminées;
  • la disponibilité des ressources de vérification et d’évaluation au cours de la période de trois ans;
  • la faisabilité de l’exécution d’une vérification ou d’une évaluation;
  • les autres examens de surveillance (évaluations, vérifications du Bureau du vérificateur général);
  • les projets de vérification prescrits (suivis, BVG et obligations du Bureau du contrôleur général et de la Commission de la fonction publique pour les vérifications horizontales);
  • la tolérance au risque;
  • les demandes de la direction;
  • l’orientation du Comité de vérification et d’évaluation et de la haute direction.

Lors de la mise au point du PVEAR, des mesures ont été prises afin de s’assurer que l’univers de vérification et d’évaluation a été couvert de manière appropriée. Le PVEAR renforce l’intégration des projets de vérification et d’évaluation, dans la mesure du possible, et veille à ce que l’évaluation englobe l’ensemble des dépenses de programme directes.

Résumé du plan de vérification et d’évaluation

La portée de la vérification et de l’évaluation proposée par le PVEAR vise à établir un juste équilibre entre diverses exigences et considérations et prévoit la réalisation d’un ou de deux projets par année. Le plan triennal tient compte de l’harmonisation nécessaire aux risques et aux priorités de l’organisation.

Le Commissariat a un programme appelé « Respect des obligations liées à l’accès à l’information ». Les politiques du CT sur les résultats stipulent qu’à compter d’avril 2017, les administrateurs généraux des agents du Parlement sont responsables d’approuver et de fournir chaque année un plan d’évaluation au Secrétariat du Conseil du Trésor du Canada, de la manière et au moment prescrits par celui‑ci, présentant clairement la portée de l’évaluation prévue, y compris la couverture des dépenses organisationnelles et les programmes de l’inventaire, pendant la période de planification. Une évaluation des enquêtes a été recommandée en 2013 et celle‑ci a été reportée dans le PVEAR actuel pour la raison susmentionnée.

Le PVEAR est fondé sur une hypothèse fondamentale à l’égard de l’attribution du financement. Bien qu'il existe un budget annuel, celui-ci pourra faire l'objet de modifications en raison d'un rééchelonnement ou sur la base des coûts réels de la vérification ou de l'évaluation.

Il est prévu que le Commissariat réussira à respecter ses plus hautes priorités de vérification et d’évaluation au cours de la période de planification de quatre ans. Lorsque la faisabilité ou la valeur associée à la réalisation ou à la poursuite d’une vérification ou d’une évaluation est remise en question en raison de facteurs tels que de nouvelles priorités, un manque de ressources ou d’expertise en la matière, etc., le dirigeant principal de la vérification portera ce fait à l’attention du Comité de vérification et d’évaluation pour examen et approbation.

Vous trouverez le plan de vérification et d’évaluation détaillé pour 2017‑2022 à la page suivante.

Plan de vérification et d’évaluation détaillé (2017‑2023)

Le tableau suivant présente l’objectif, la portée et la justification de chacun des projets de vérification et d’évaluation proposés de 2017 à 2022. S’il y a lieu, la justification comprend une mise en correspondance avec les principaux risques auxquels le Commissariat s’expose, et une référence aux cotes de priorité des vérifications est fournie à l’annexe D. Il convient de noter que la portée, les objectifs finaux et les budgets prévus pour les vérifications et les évaluations proposées peuvent varier en fonction des résultats des étapes de planification de chaque projet. En plus des projets de vérification ci‑dessous, les vérificateurs internes continueront d’assister aux principales réunions de la direction et du Comité de vérification et d’évaluation, d’effectuer des suivis des vérifications précédentes (au besoin) ainsi que de définir la portée des missions indiquées dans le PVEAR.

Plan de vérification et d’évaluation détaillé (2017‑2023)
Exercice Nom du projet de vérification Entité principale Portée, objectif et justification de la vérification
2017‑2018 Évaluation de la menace et des risques (EMR) et Évaluation de la menace et de la vulnérabilité (EMV) – étendue restreinte Technologie de l’information (TI)

Portée : Analyse du réseau et collecte d’informations du Commissariat

Objectif : Pour évaluer le niveau de vulnérabilité du réseau du Commissariat aux menaces externes : i) mener des entretiens avec les parties prenantes et les propriétaires de systèmes au sein du Commissariat; ii) effectuer des essais de pénétration; et iii) fournir un rapport et effectuer un compte rendu sur place.

Justification : Exigence de vérification élevée, 4.1 Incidence et 2.6 Probabilité. Cette vérification sera considérée comme essentielle au moment où le Commissariat lancera son formulaire de plainte en ligne. Le risque de divulgation de renseignements confidentiels, y compris les renseignements personnels, préoccupe grandement le Commissariat.

2018‑2019 Vérification de l’approvisionnement et de la passation des marchés Commission canadienne des droits de la personne (CCDP)

Portée : Pratiques de gestion et évaluation des contrôles liées à l’approvisionnement et à la passation de marchés à la CCDP.

Objectif : Évaluer l’efficacité opérationnelle et la conformité des processus et des méthodes d’approvisionnement et de passation de marchés de même que la mesure dans laquelle les activités d’approvisionnement appuient les secteurs d’activités et les objectifs organisationnels.

Justification : Exigence de vérification élevée, 3.3 Incidence et 3.3 Probabilité. Le Commissariat a conclu une entente pour que ses services de passation de marchés et d’approvisionnement soient offerts par la CCDP. Compte tenu de la complexité et de la rigueur entourant les politiques fédérales en matière d’approvisionnement et de passation de marchés et du risque d’atteinte à la réputation inhérent à ces activités, une vérification est fortement recommandée.

2018‑2019, 2019-2020 & 2020-2121 Évaluation de la menace et des risques (EMR) et Évaluation de la menace et de la vulnérabilité (EMV) – large étendue Technologie de l’information (TI)

Portée : Analyse du réseau et collecte d’informations du Commissariat

Objectif : Pour évaluer le niveau de vulnérabilité du réseau du Commissariat aux menaces externes : i) mener des entretiens avec les parties prenantes et les propriétaires de systèmes au sein du Commissariat; ii) effectuer des essais de pénétration; et iii) fournir un rapport et effectuer un compte rendu sur place.

Justification : Exigence de vérification élevée, 4.1 Incidence et 2.6 Probabilité. Cette vérification sera considérée comme essentielle au moment où le Commissariat lancera la fonctionnalité de téléchargement de document pour le formulaire de plainte en ligne.

2021-2022 et 2022-2023 Évaluation des enquêtes Règlement des plaintes et respect de la Loi

Portée : Programme des enquêtes

Objectif : Évaluer, conformément à la Politique sur les résultats du CT, la pertinence et le rendement du programme des enquêtes. L’évaluation doit tenir compte de la nature évolutive des enquêtes grâce à une analyse du portefeuille de plaintes (p. ex. source, institution ciblée, type de plainte), ainsi que du nouveau contexte dans lequel le programme fonctionne (p. ex. C-58 modifications législatives).

Justification : Exigence d’évaluation élevée, 4.2 Incidence et 3.6 Probabilité. Compte tenu des circonstances sans précédent de la Covid-19, le Commissariat a connu des retards dans l’approvisionnement, mais il peut être possible d’élaborer / d’améliorer des plans pour assurer une transition en douceur et l’adoption de processus plus efficaces. Par conséquant, une évaluation prolongée jusqu’en 2021-2022 et 2022-2023 serait plus bénéfique et utile, car elle produira de meilleurs résultats. Étant donné que le programme des enquêtes est le programme clé du Commissariat, une évaluation de cette activité est recommendé tous les 5 ans.

2021-2022 Examen du recrutement, du maintien en poste et du rendement des employés Ressources humaines (RH)

Portée : Un examen des pratiques de RH du Commissariat

Objectif : Il ne s’agit pas d’une vérification en profondeur, mais d’un examen de l’efficacité des pratiques suivantes du Commissariat en matière de RH: i) évaluation du rendement des employés; ii) programme de gestion des talents; iii) roulement du personnel : iv) entrevues de départ.

Justification : Exigence de vérification élevée, 3.3 Incidence et 3.4 Probabilité. Lors des entretiens avec la direction et de la réunion de planification stratégique, la nécessité de recruiter des employés hautement qualifiés dans plusieurs postes clés a été reconnue comme hautement prioritaire. Compte tenu des circonstances sans précédent de la Covid-19, il pourrait être possible d’élaborer / d’améliorer des plans pour assurer une transition en douceur et l’adoption de processus plus efficaces. Un examen reporté en 2021-2022 serait plus bénéfique et utile, car il produira de meilleurs résultats.

2022-2023 Vérification de la sécurité de la gestion de l’information et de l’infrastructure physique Services organisationnels

Portée : Pratiques de gestion et évaluation des contrôles liées à la gestion de l’information.

Objectif : Évaluer l’efficacité opérationnelle des pratiques de gestion de l’information et la conformité aux recommandations formulées dans la vérification par RHEA, notamment en ce qui concerne la conservation et l’élimination des documents sensibles et à diffusion restreinte.

Justification : Exigence de vérification élevée, 3.2 Incidence et 2.3 Probabilité. Compte tenu de la sensibilité des renseignements conservés par le Commissariat et des risques pour la réputation de celui‑ci en cas de gestion inappropriée de renseignements à accès restreint ou confidentiels, il est fortement recommandé d’exécuter une vérification de cette activité mais pour 2022-2023 au lieu de 2021-2022. Ce changement est dû à la situation pandémique et à la dérogation en vigueur dans la sécurité de la GI.

Annexe A : Risques organisationnels clés du Commissariat pour 2014‑2018

Risques organisationnels clés du Commissariat pour 2014‑2018
Rang Vérification possible Risques reconnus Pertinence en 2017
1 Contraintes financières Risque que les réductions budgétaires successives et importantes aient placé le Commissariat à la limite de sa marge de manœuvre organisationnelle et financière. Le Commissariat n’a toujours pas suffisamment de fonds pour remplir son mandat.
2 Évolution des plaintes Risque que les augmentations importantes et soutenues des plaintes reçues mettent à rude épreuve les ressources d’enquête du Commissariat, ce qui pourrait accroître le nombre de plaintes en attente de traitement. Un autre risque est que les institutions ne soient pas capables de répondre aux demandes d’enquête en temps opportun, ce qui pourrait forcer le Commissariat à suivre des processus plus officiels, entraîner une hausse du nombre de litiges et, en fin de compte, entraîner des répercussions négatives sur les droits des demandeurs. Le Commissariat se trouve encore confronté à ce défi en 2017. En fait, le nombre de plaintes n’a fait qu’augmenter depuis 2014, mais les ressources stagnent. Voir également les commentaires relatifs à la pertinence au no 4 ci‑après.
3 Main d’œuvre Risque que le déménagement de 2013‑2014 entraîne des répercussions négatives sur la productivité du Commissariat. La productivité sera réduite pendant le déménagement, et il s’ensuivra une période de réduction de l’efficacité pendant que la main d’œuvre s’adapte aux nouveaux outils et à l’espace de travail dans le Milieu de travail 2.0. Ce risque sera exacerbé, car le Commissariat devra composer avec un groupe des Services organisationnels de taille réduite, lequel détient les renseignements clés sur l’organisation, les compétences et l’expertise, autant d’atouts qui demeureront entre les mains d’un petit nombre d’employés. Le déménagement des bureaux est terminé. En tant qu’agent du Parlement comptant moins de 100 ETP, le roulement de la main‑d’œuvre est un risque constant.
4 Gestion du changement

Risque que les changements organisationnels continuent dans les principaux domaines fonctionnels, les processus et les systèmes fondamentaux, conjugués avec le déménagement physique vers le Milieu de travail 2.0 en 2013‑2014, détournent l’attention de la direction et les ressources du Commissariat de leurs fonctions principales qui consistent à mener des enquêtes efficaces et à offrir un service de règlement des plaintes de qualité.

Le déménagement des bureaux est terminé.

Puisque des modifications législatives à la Loi sur l’accès à l’information ont été présentées, il pourrait y avoir des changements au nombre de plaintes et au volume des opérations au Commissariat.

5 Sécurité de la technologie de l’information (TI) et de la gestion de l’information (GI) Risque que le déménagement du Commissariat entraîne des difficultés liées au respect des exigences de la politique liée à l’infrastructure physique et aux TI, compte tenu des vulnérabilités inhérentes aux plateformes technologiques et aux secteurs partagés qui ont une incidence sur la capacité du Commissariat de démontrer des pratiques exemplaires ou qu’il est à la hauteur de sa réputation. Le déménagement des bureaux est terminé. L’incidence d’une atteinte à la sécurité est considérée comme très élevée et, par conséquent, ce risque est perpétuel.
6 Cibles et mesures de rendement inadéquates Risque que le cadre de mesure du rendement du Commissariat ou la stratégie de collecte de données n’appuie pas la surveillance continue des principaux indicateurs de rendement et l’établissement de rapports sur ceux‑ci, ainsi que l’identification et la mise en œuvre des mesures correctives requises en temps voulu. Par ailleurs, il y a aussi le risque que les cibles de rendement ne tiennent pas compte des capacités actuelles du Commissariat, de la complexité croissante des enquêtes, de l’augmentation prévue du nombre de litiges, des contraintes dans les ressources financières et humaines ainsi que des répercussions des changements politiques et organisationnels continus. L’incapacité d’atteindre les cibles prévues pourrait ternir la réputation du Commissariat. Le Commissariat a élaboré des cibles de rendement et des objectifs pour les enquêteurs depuis le dernier PVEAR. Ces objectifs établissent des cibles mensuelles pour le nombre de plaintes résolues par enquêteur et sont étroitement surveillés par la haute direction.

Annexe B : Priorités de l’univers de vérification établies par le BCG ‑ Risques associés aux petits ministères

Priorités de l’univers de vérification établies par le BCG ‑ Risques associés aux petits ministères
Rang Vérification possible Niveau du risque Risques reconnus par le BCG
1 Gestion de la technologie de l’information Très élevé
  • Risque que le programme de transformation de la GI/TI à l’échelle du gouvernement, y compris des systèmes pangouvernementaux, ne réponde pas aux besoins des petits ministères et perturbe leur capacité à exécuter les programmes et services.
  • Risque que les petits ministères accordent une priorité élevée à la TI aux dépens de la GI.
  • Risque que la GI ne soit pas intégrée dans tous les aspects des opérations.
  • Risque que les petits ministères sous‑estiment le rôle que jouent les contrôles de sécurité des TI dans le cadre plus général de la sécurité des TI à l’échelle du gouvernement.
2 Rémunération Très élevé
  • Risque d’expérience, de compétences et de connaissances insuffisantes liées à la rémunération et au système de rémunération, y compris les politiques applicables et les conventions collectives. Risque que les rôles, les responsabilités et les obligations relatifs à la rémunération et au système de paye ne soient pas clairs.
  • Risque que les contrôles internes liés aux transactions de paye soient inadéquats.
3 Gestion des services partagés et communs Très élevé
  • Risque que les responsabilités, les obligations de rendre compte et les attentes en matière de rendement entre les fournisseurs de services et les petits ministères ne soient pas claires.
  • Risque que les fournisseurs de services ne répondent pas aux besoins des petits ministères, ce qui pourrait avoir une incidence sur la capacité de ceux‑ci à réaliser leurs mandats ministériels.
  • Risque que les contrôles internes soient inadéquats pendant les périodes de transition vers des services partagés ou communs.
  • Risque que les économies de coûts résultant des services communs ou partagés ne puissent être mesurées ou réalisées.
4 Gestion des effectifs Très élevé
  • Risque que le nombre d’employés possédant l’expérience et l’éventail de connaissances nécessaires pour mener à bien des activités de plus en plus complexes ou pour répondre à des priorités concurrentes soit insuffisant.
  • Risque que les ressources humaines pour gérer les ententes de service avec les nouveaux fournisseurs de services après les transitions vers des services partagés ou communs soient insuffisantes.
  • Risque de perdre des employés qualifiés attirés par les grandes organisations offrant plus de possibilités d’avancement.
  • Risque que les outils et la formation offerts aux employés pour leur permettre de réaliser leurs rôles et responsabilités soient inadéquats.
  • Risque que les outils et le personnel disponibles pour aider à surmonter les problèmes de santé mentale soient inadéquats.
5 Gestion de la sécurité Très élevé
  • Risque que les considérations de sécurité ne soient pas prises en compte dans les processus opérationnels.
  • Risque que les exigences en matière de sécurité physique et de gestion des mesures d’urgence pour les fonctionnaires et les biens matériels ne soient pas prises en compte.
  • Risque que la sécurité des systèmes informatiques gérés par les fournisseurs de services soit inadéquate pour les petits ministères.
  • Risque que l’expérience ou les connaissances soient insuffisantes pour protéger adéquatement les informations classifiées.
6 Passation de marchés et approvisionnement Élevé
  • Risque que l’expérience, les compétences et les connaissances soient insuffisantes dans le domaine de la passation de marchés et de l’approvisionnement.
  • Risque de non‑conformité avec les instruments de passation de marchés et d’approvisionnement applicables.
  • Risque de contrôles internes inadéquats concernant les activités de passation de marchés et d’approvisionnement.
  • Risque d’une utilisation inefficace ou incompétente des outils d’approvisionnement.
7 Gestion réglementaire Élevé
  • Risque que les règlements n’atteignent pas leurs objectifs ou que l’atteinte des objectifs réglementaires ne puisse pas être mesurée.
  • Risque de supervision et d’application inadéquate de la réglementation et de manque de cohérence dans l’application.
  • Risque de consultation inadéquate des parties prenantes lors de la rédaction des règlements.
8 Gestion et supervision (information financière et non financière pour la prise de décisions) Élevé
  • Risque de capacité insuffisante (comprend les outils, l’expérience et les connaissances) pour répondre efficacement aux exigences en matière de rapports ministériels.
  • Risque que les exigences ministérielles ne soient pas adaptées aux petits ministères.
  • Risque que les structures de gouvernance pour appuyer la surveillance et la gestion (y compris la délégation des pouvoirs) soient inadéquates.
  • Risque d’insuffisance de la documentation appuyant la prise de décisions.
9 Planification des investissements et gestion des projets Élevé
  • Risque que les investissements ne soient pas alignés avec le mandat du ministère.
  • Risque que la capacité interne d’établissement des coûts soit inadéquate ou que les dépenses pour le développement de la capacité interne d’établissement des coûts soient excessives.
  • Risque que les besoins des petits ministères ne soient pas pris en compte dans les projets pangouvernementaux.
  • Risque que les rôles, les responsabilités et les obligations redditionnelles liés aux grands projets ne soient pas clairs.
  • Risque que l’expérience, les compétences et les connaissances soient insuffisantes dans le domaine de la gestion de projet.

Annexe C : Résultats de l’entrevue du Commissariat et évaluation des risques

Résultats de l’entrevue du Commissariat et évaluation des risques
Interviewé 1   2   3   4   5   6   7   8   9   10   11   12     Totaux  
Risques I P I P I P I P I P I P I P I P I P I P I P I P I P Note totale
Gestion de la technologie de l’information     4 2         5 3 5 2 4 3     5 2 5 2 4 1 4 1 4.5 2.0 3.3
Rémunération 2 5 2 5 5 5 2 5 1 5 2 5 2 5     2 5 2 5 1 1 1 1 2.0 4.3 3.1
Gestion des services partagés et communs 2 2 4 4 4 4             3 3 3 3 2 5 3 3 3 3 3 3 3.0 3.3 3.2
Gestion des effectifs 3 2 3 4 3 3 3 4 3 3 4 4 3 4 5 5 2 2 4 3         3.3 3.4 3.3
Gestion de la sécurité     1 1 4 2 3 3 5 3             2 2     4 3 4 3 3.3 2.4 2.9
Passation de marchés et approvisionnement 4 4 4 2 3 5                     2 2             3.3 3.3 3.3
Gestion de la réglementation – Modifications législatives à la Loi     4 4 5 2 5 2 5 2 4 3 5 5 5 5 2 5 3 5 4 3 4 3 4.2 3.5 3.9
Surveillance et gestion (information financière et non financière pour la prise de décisions) 3 3                                     4 2 4 2 3.5 2.2 2.8
Planification des investissements et gestion des projets 3 3     4 4 1 1                         1 2 1 2 1.9 2.3 2.1
Évolution des plaintes     4 4     5 2 5 2 2 4                         4.0 3.0 3.5
Gestion du changement 1 1 4 4     1 1     2 4                 3 3 3 3 2.3 2.7 2.5
Cibles et mesures de rendement inadéquates 1 1 1 1 1 2     1 1 1 1                         1.0 1.2 1.1
  • Onze entretiens ont été menés en personne et un par courriel.
  • Les personnes interviewées n’ont classé que les risques qui s’appliquaient à leur domaine d’expertise.
  • Les risques ont été classés de faible (1) à élevé (5) pour l’incidence (I) et la probabilité (P).

Annexe D : Diagramme d’exposition aux risques du Commissariat

Diagramme d'exposition aux risques du Commissariat

Version texte

Les risques potentiels ont été classés de faible (1) à élevé (5) pour l'impact (I) et la probabilité (P). Les points suivants ont été notés comme suit:

Pour la gestion de la technologie de l’information, le score était de 4,5 pour l'impact et de 2,0 pour la probabilité.

Pour rémunération, le score était de 2,0 pour l'impact et de 4,3 pour la probabilité.

Pour la gestion des services partagés et communs, le score était de 3,0 pour l'impact et de 3,3 pour la probabilité.

Pour la gestion des effectifs, le score était de 3,3 pour l'impact et de 3,4 pour la probabilité.

Pour la gestion de la sécurité, le score était de 3,3 pour l'impact et de 2,4 pour la probabilité.

Pour la Passation de marchés et approvisionnement, le score était de 3,3 pour l'impact et de 3,3 pour la probabilité.

Pour la gestion de la réglementation, le score était de 4,2 pour l'impact et de 3,5 pour la probabilité.

Pour la surveillance et gestion, le score était de 3,5 pour l'impact et de 2,2 pour la probabilité.

Pour la planification des investissements et gestion des projets, le score était de 1,9 pour l'impact et de 2,3 pour la probabilité.

Pour la évolution des plaintes, le score était de 4,0 pour l'impact et de 3,0 pour la probabilité.

Pour la gestion du changement, le score était de 2,3 pour l'impact et de 2,7 pour la probabilité.

Pour les cibles et mesures de rendement inadéquates, le score était de 1,0 pour l'impact et de 1,2 pour la probabilité.

Annexe E : Organigramme

Organigramme

Version texte

Ce tableau hiérarchique présente l’organigramme du Commissariat à l’information du Canada. La commissaire à l’information occupe le haut de la hiérarchie en tant que chef de l’organisation. Au deuxième niveau, on retrouve trois sous-commissaires. À gauche, le sous-commissaire, Services juridiques et Affaires publiques. Au centre, la sous-commissaire, Enquêtes et Gouvernance et à droite, la sous-commissaire, Services organisationnels, Planification stratégique et services de transformation.

Date de modification :
Déposer une plainte