Sommaire

La sécurité physique au sein du gouvernement du Canada est gouvernée par la Politique sur la sécurité du gouvernement, la Directive sur la gestion de la sécurité ministérielle et la Norme opérationnelle sur la sécurité physique du Conseil du trésor (CT). La Politique du CT définit la sécurité du gouvernement comme l'assurance que l'information, les biens et les services ne sont pas compromis et que les personnes sont protégées contre la violence en milieu de travail.

Les administrateurs généraux sont responsables de la mise en œuvre efficace de contrôles matériels au sein de leurs ministères et de la nomination d'un agent ministériel de la sécurité pour gérer le programme de sécurité du ministère.

Statistique Canada gère la sécurité physique dans les quatre immeubles de la région de la capitale nationale. Ceci inclus trois immeubles reliés entre eux au pré Tunney à Ottawa, en Ontario, et d'un immeuble à Gatineau, au Québec, lequel est principalement utilisé pour effectuer le recensement aux cinq ans. Ces immeubles comprennent les bureaux des employés de Statistique Canada, d'autres locataires ainsi que des biens, données et services essentiels du gouvernement.

L'audit visait à fournir au statisticien en chef du Canada et au Comité de vérification de Statistique Canada l'assurance que :

• Le cadre de contrôle de gestion de Statistique Canada au chapitre de la sécurité physique est adéquat et efficace;
• Les pratiques et mesures de sécurité physique adoptées par Statistique Canada pour protéger les installations, les biens et les renseignements et d'en gérer l'accès sont conformes aux instruments de politiques pertinents du CT et de Statistique Canada en matière sécurité physique.

L'audit a été mené par la Division de l'audit interne conformément à la Politique sur l'audit interne du gouvernement du Canada.

Pourquoi est-ce important?

Pour réaliser son mandat, Statistique Canada a accès à des renseignements statistiques de nature délicate et confidentielle qui, s'ils étaient compromis, pourraient avoir une incidence directe sur la réputation de l'organisme et miner sa crédibilité. Statistique Canada partage ses locaux avec d'autres locataires, et aucun audit de la sécurité physique n'a été réalisé depuis la mise en œuvre de la nouvelle politique sur la sécurité en 2009 et la mise à jour de celle‑ci en 2012. L'audit a été ajouté au plan d'audit fondé sur les risques afin de fournir l'assurance que l'information, les biens et les services ne sont pas compromis et que les personnes sont protégées contre la violence en milieu de travail.

Principales constatations

Statistique Canada est doté d'une structure de gouvernance pour soutenir son programme de gestion de la sécurité physique, lequel comporte des rôles, des responsabilités, des politiques et des procédures clairement définis.

Des processus sont en place pour s'assurer que les employés possèdent une cote de sécurité et qu'ils reçoivent une formation sur les pratiques et exigences de sécurité. Pendant le processus de filtrage de sécurité, certains renseignements personnels relatifs à la sécurité sont échangés entre bureaux de la sécurité gouvernementaux au moyen de courriels non chiffrés.

Un plan de sécurité ministériel est en place pour soutenir la gestion de la sécurité physique de l'organisme ainsi qu'un plan pour s'assurer de la poursuite des activités en cas d'urgence.

L'accès physique aux installations de Statistique Canada est restreint au personnel possédant une cote de sécurité, [Cette information a été expurgée].

Les évaluations de la menace et des risques à la sécurité physique ne sont pas effectuées, ce qui limite la capacité de la gestion à prendre des décisions éclairées sur les contrôles de sécurité matériels, dont une approche adoptée à l'échelle de l'organisme concernant les zones et les contrôles de sécurité fondés sur des critères préétablis.

Certaines pratiques opérationnelles pourraient être améliorées afin de renforcer l'approche de l'organisme au chapitre de la sécurité. Cela nécessite de conclure des ententes écrites avec les locataires de l'immeuble (p. ex., d'autres ministères gouvernementaux) et de créer une fonction de remise en question pour s'assurer que les cartes d'identité sont portées en tout temps de façon visible.

Des pratiques de surveillance et de production de rapport sont en place, mais elles ne sont pas optimisées pour le soutien de la gestion de la sécurité physique. Il n'existe aucune définition documentée de ce qu'est exactement un incident de sécurité, aucun processus défini de renvoi au niveau supérieur pour les incidents de sécurité et aucune base de données centralisée sur les incidents.

Conclusion générale

De façon générale, Statistique Canada se conforme aux instruments de politique pertinents du CT et de Statistique Canada. Il existe une structure de gouvernance qui comprend des responsabilités et des rôles clairement définis. Des mesures de contrôles de sécurité matériels fournissent un accès aux personnes ayant fait l'objet d'un filtrage de sécurité, et il y a surveillance des incidents de sécurité et production de rapports à leur sujet.

Les contrôles au sein de l'environnement de contrôle matériel pourraient être améliorés par l'évaluation régulière des risques détectant les nouvelles menaces, par la mise sur pied d'une hiérarchie de zones de sécurité, et de procédures et protocoles consignés par écrit pour la déclaration d'incidents. La gestion de la sécurité physique se verrait renforcée par l'optimisation des pratiques de surveillance et de production de rapports afin de renforcer la posture globale de sécurité à Statistique Canada.

Conformité aux normes professionnelles

L'audit a été réalisé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA).

L'application de procédures d'audit suffisantes et appropriées et le rassemblement de données appuient l'exactitude des constatations et des conclusions du présent rapport et donnent une assurance de niveau audit. Les constatations et les conclusions sont fondées sur une comparaison des conditions, telles qu'elles existaient au moment de l'audit, au regard de critères d'audit préétablis. Les constatations et les conclusions s'appliquent à l'entité examinée et pour la portée et la période de référence de l'audit.

Steven McRoberts
Dirigeant principal de la
vérification et de l'évaluation

Introduction

Contexte

La sécurité physique au sein du gouvernement du Canada est régie par la Politique sur la sécurité du gouvernement, la Directive sur la gestion de la sécurité ministérielle et la Norme opérationnelle sur la sécurité physique du Conseil du trésor (CT). La Politique du CT définit la sécurité du gouvernement comme l'assurance que l'information, les biens et les services ne sont pas compromis et que les personnes sont protégées contre la violence en milieu de travail. Les administrateurs généraux sont responsables de la mise en œuvre et de la gouvernance efficace de la sécurité et de la nomination d'un agent ministériel de la sécurité (AMS) pour gérer le programme de sécurité du ministère.

À Statistique Canada, le directeur général de la Direction des opérations a été nommé comme AMS et assure la présidence du Comité de coordination de la sécurité (CCS). L'AMS est responsable de toutes les questions de sécurité, dont la sécurité physique des immeubles de Statistique Canada à Ottawa et des bureaux régionaux dans d'autres villes.

Statistique Canada gère la sécurité physique des quatre immeubles de la région de la capitale nationale. Ceci inclus trois immeubles interconnectés au pré Tunney à Ottawa en Ontario, et d'un immeuble à Gatineau, au Québec, lequel est principalement utilisé pour effectuer le recensement aux cinq ans. Ces immeubles comprennent les bureaux des employés de Statistique Canada, d'autres locataires ainsi que des biens, données et services essentiels du gouvernement.

Objectifs de l'audit

L'audit visait à fournir au statisticien en chef et au Comité de vérification de Statistique Canada l'assurance que :

• Le cadre de contrôle de gestion de Statistique Canada au chapitre de la sécurité physique est adéquat et efficace.
• Les pratiques et mesures de Statistique Canada touchant la sécurité physique en vue de protéger les installations, les biens et les renseignements de l'organisme et d'en gérer l'accès sont conformes aux instruments de politique pertinents du CT et de Statistique Canada en matière de sécurité physique.

Portée

L'audit consistait à examiner le programme de sécurité physique de Statistique Canada et à déterminer la mesure dans laquelle il permet la coordination et la gestion efficace des activités ministérielles de sécurité. L'audit a également observé la mesure dans laquelle le programme de sécurité est soutenu par une structure de gouvernance appropriée présentant des responsabilités claires, ainsi que des objectifs clairement définis qui cadrent avec les politiques, priorités et plans plus vastes de l'organisme.

L'audit ne comprenait pas l'évaluation de la sécurité physique pour les bureaux régionaux de Statistique Canada. Une visite de l'immeuble DE Gatineau a été effectuée, mais des tests approfondis n'y ont pas été effectués, car l'immeuble a été jugé comme présentant de faibles risques en raison de son utilisation et de son occupation limitées.

Approche et méthodologie

L'approche d'audit comprenait l'examen et l'analyse de documents pertinents, des entrevues avec des membres clés de la gestion et du personnel, des tests et une visite des quatre immeubles de la région de la capitale nationale, de même que l'examen des processus et des pratiques liées aux mesures de sécurité physique. Pendant la phase d'examen, l'équipe de l'audit s'est penchée sur la gouvernance, ainsi que les processus et procédures de gestion et de contrôle du risque, a examiné les mesures de protection matérielles et a comparé les pratiques de sécurité actuelles aux pratiques exemplaires et aux lignes directrices fournies par le Secrétariat du Conseil du trésor du Canada.

L'audit a été réalisé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA).

Autorité

L'audit a été mené en vertu des pouvoirs prévus dans le Plan d'audit et d'évaluation fondé sur les risques pour la période allant de 2016-2017 à 2020-2021, qui a été approuvé par Statistique Canada.

Constatations, recommandations et réponse de la direction

Une structure de gouvernance est en place à l'appui du programme de gestion efficace de la sécurité physique

Une structure efficace de gouvernance de la sécurité physique permet la coordination d'activités par l'attribution claire des responsabilités de gestion et de surveillance des contrôles de sécurité matériels afin d'atteindre les objectifs du programme.

La surveillance à Statistique Canada est fournie par le Comité de coordination de la sécurité (CCS). Relevant du Conseil exécutif de gestion, le CCS supervise tous les aspects des enjeux de sécurité du domaine de la technologie de l'information (TI) et de la gestion de l'information (GI) et est composé de représentants de tous ces groupes, ainsi que les installations et les ressources humaines. Le rôle principal du CCS est d'examiner et d'étudier les questions portant sur la sécurité et d'apporter son aide et ses conseils dans le cadre de l'élaboration des politiques, procédures et programmes appropriés, y compris les programmes de formation et de sensibilisation. Le CCS se réunit chaque mois et des processus formels sont en place à l'appui de son mandat.

Le directeur général des Opérations, relevant du statisticien en chef adjoint (SCA), Secteur du recensement, des opérations et des communications, est l'AMS désigné à Statistique Canada et préside le CCS. La directrice des Services de soutien intégrés relève du directeur général des Opérations, et s'est vue assigner le rôle d'agente de sécurité adjointe du ministère (ASAM), et est responsable des opérations de sécurité physique à Statistique Canada.

Les postes correspondant à la gestion de la sécurité physique sont documentés de manière formelle et cadrent avec les rôles et responsabilités de chaque poste. L'organigramme est à jour et a permis d'établir des voies de communications et de production de rapport clairs. La chef de la Sécurité, qui est responsable de toutes les questions opérationnelles au chapitre de la sécurité physique, relève de la directrice des Services de soutien intégrés et rencontre l'ASM ainsi que l'ASAM chaque semaine pour discuter des enjeux de sécurité physique.

Les membres clés du personnel de sécurité à Statistique Canada ont suivi une formation sur la sécurité pour demeurer au fait des nouveautés dans la gestion de la sécurité. Cette pratique est conforme à la Directive sur la gestion de la sécurité ministérielle du CT qui requiert que les AMS et les praticiens de la sécurité reçoivent une formation adéquate et actualisée pour s'assurer qu'ils possèdent les connaissances et les compétences nécessaires pour s'acquitter efficacement de leurs responsabilités en matière de sécurité.

Les politiques au chapitre de la sécurité physique fournissent une orientation aux gestionnaires, aux employés et aux partenaires au sujet de l'exercice de leurs responsabilités de sécurité. Statistique Canada suit les instruments de politique du CT portant sur la conformité de la sécurité physique et a créé, à l'interne, un Manuel des pratiques de sécurité. Il s'agit d'un guide complet comprenant huit chapitres portant sur la sécurité physique, la sécurité relative à la TI et à la GI, ainsi qu'un chapitre sur la structure de sécurité de Statistique Canada.

Un plan de sécurité ministériel et un plan de poursuite des activités sont en place

Le plan de sécurité ministériel (PSM) décrit les objectifs du programme de sécurité de l'organisme, détermine les risques et les stratégies d'atténuation des risques et précise la façon dont les ressources financières et humaines devraient être déployées. Il s'agit d'un instrument de contrôle clé dans la coordination des activités de sécurité organisationnelles.

Un PSM est en place pour Statistique Canada et est coordonné par le Bureau de la sécurité, la Division de la technologie de l'information, la Division de la gestion de l'information et le CCS. Le PSM est examiné et approuvé par l'AMS, le CCS et le Conseil exécutif de gestion et signé par le statisticien en chef. L'examen du procès-verbal du CCS a montré que l'on donne suite régulièrement aux mesures émanant du processus annuel du PSM.

Un plan de poursuite des activités (PPA) indique les activités qui auront lieu en cas d'incident critique qui empêche l'accès physique ou électronique aux systèmes clés. Il permet de s'assurer que Statistique Canada peut continuer à mettre en œuvre les programmes et les services essentiels à sa mission.

Un PPA est en place à Statistique Canada. Ce plan énumère treize programmes et services qui doivent disposer d'un PPA et nommer un chef de PPA. De plus, Statistique Canada est doté d'un PPA global (à l'échelle de l'organisme) qui intègre les treize PPA ainsi que la gouvernance, les rôles et responsabilités, et sert de document complet de référence. L'audit n'a pas mené de tests détaillés sur l'efficacité des plans en place, car ce domaine sera couvert en profondeur à l'occasion d'un prochain audit dans le cadre du Plan d'audit et d'évaluation fondé sur les risques.

Les procédures de filtrage de sécurité du personnel sont appliquées de façon uniforme conformément à la Politique sur la sécurité du gouvernement du CT; certains renseignements personnels relatifs à la sécurité ont été transmis vers d'autres bureaux de la sécurité gouvernementaux au moyen de courriels non chiffrés.

Le processus d'obtention de cote de sécurité fait en sorte que seules les personnes autorisées qui satisfont aux exigences de sécurité puissent accéder aux installations, systèmes et données de Statistique Canada.

Statistique Canada a adopté deux niveaux de filtrage de sécurité :

• Cote de fiabilité – obligatoire pour tous les employés de Statistique Canada. Les exigences à satisfaire sont : la vérification du crédit et la vérification d'antécédents criminels par la prise d'empreintes digitales. La cote est valide pendant 10 ans;
• Cote de sécurité de niveau secret – obligatoire pour tous les cadres supérieurs de Statistique Canada. Les exigences à satisfaire sont : la vérification du crédit et la vérification d'antécédents criminels par la prise d'empreintes digitales, ainsi que l'évaluation de la loyauté de l'employé par le Service canadien du renseignement de sécurité. La cote est valide pendant 10 ans.

L'équipe de l'audit a sélectionné de façon discrétionnaire un échantillon de cotes de sécurité d'employés pour effectuer un test. On a constaté que toutes les procédures relatives aux cotes de sécurité avaient été appliquées de façon uniforme, précise et complète. De plus, des revues générales ont montré que les renseignements conservés au Bureau de la sécurité sont stockés dans le lecteur sécurisé du Bureau de la sécurité sur le réseau A. Tous les dossiers sont protégés au moyen de groupes de sécurité et leur accès est restreint à certains employés.

Des tests ont permis de révéler que certains renseignements personnels relatifs à la sécurité (classés comme renseignements Protégé B) d'employés en détachement ou en affectation en provenance d'autres ministères ou vers ces derniers sont transmis entre les bureaux de la sécurité gouvernementaux au moyen de courriels non chiffrés. La Directive sur la transmission de renseignements protégés de Statistique Canada exige l'utilisation du service de courriel pangouvernemental doté de l'option de chiffrement. La Directive sur la gestion de la sécurité ministérielle du CT nécessite que les enquêtes de sécurité du personnel soient effectuées dans le respect des normes du gouvernement du Canada et puissent être transférées d'un ministère à l'autre.

Le processus de renouvellement du filtrage de sécurité est surveillé par le Bureau de la sécurité. Tous les trois mois, le Bureau de la sécurité demande un rapport aux Ressources humaines qui indique les employés dont les cotes de sécurité expireront au cours des trois mois suivants. L'audit a sélectionné au hasard un échantillon de quinze employés et a demandé à voir si leur cote de sécurité avait été renouvelée. Aucune exception n'a été constatée.

Un programme de sensibilisation à la sécurité est en place et une formation à la sécurité est obligatoire pour les employés

Des activités de formation et de sensibilisation offrent aux employés des renseignements sur les responsabilités quotidiennes au chapitre de la sécurité afin de protéger les personnes et de s'assurer que les systèmes, les biens et les données sont protégés contre les accès non autorisés.

La sensibilisation à la sécurité à Statistique Canada comprend une semaine de sensibilisation chaque année et des communications régulières. L'examen des comptes-rendus du CCS a révélé que la sensibilisation à la sécurité est au premier plan des discussions du comité. Des renseignements sont diffusés régulièrement sur des enjeux, des politiques et des procédures de sécurité. Il s'agit de renseignements de sécurité affichés sur les écrans dans divers secteurs de l'immeuble (le hall, la cafétéria, entre autres).

Une formation à la sécurité est obligatoire pour les employés de Statistique Canada. Tous les employés sont tenus de suivre le cours Sensibilisation à la sécurité offert par l'École de la fonction publique du Canada. Il s'agit d'un cours en ligne fournissant aux employés la connaissance et les outils leur permettant d'assumer leurs responsabilités en vertu de la Directive sur la gestion de la sécurité ministérielle du CT, et les sensibilise afin de réduire l'exposition de Statistique Canada aux risques de violation des politiques et des procédures de sécurité.

Tous les nouveaux employés doivent suivre ce cours au moment de l'embauche et, depuis septembre 2016, tous les employés actuels doivent suivre le cours avant de renouveler leur carte d'identité. L'exigence relative à la formation est indiquée dans le Guide du nouvel employé et le Manuel d'orientation, et cette formation fait l'objet d'un suivi.

L'examen du rapport de suivi (janvier 2017) a été effectué pour évaluer si les employés se conforment à l'exigence. L'audit a constaté que, en septembre 2016, la plupart des personnes avaient déjà suivi la formation, et que les autres étaient en formation.

Recommandation

Il est recommandé que le statisticien en chef adjoint du Secteur du recensement, des opérations et des communications s'assure que :

• Les renseignements personnels relatifs à la sécurité des employés en détachement ou en affectation sont communiqués à d'autres bureaux de la sécurité gouvernementaux conformément à la Directive sur la transmission de renseignements protégés de Statistique Canada.

Réponse de la direction

La direction accepte la recommandation.

Produits livrables et échéancier :

L'agent ministériel de la sécurité a envoyé un courriel aux membres du personnel de sécurité pour leur rappeler les exigences en matière de chiffrement.

La directrice de la Division des services de soutien intégrés (DSSI) s'assurera :

• d'élaborer des procédures de sécurité du personnel pour le partage de renseignements avec d'autres bureaux de la sécurité du gouvernement du Canada à la lumière des problèmes de compatibilité de chiffrement d'ici novembre 2017;
• de revoir la Directive sur la transmission de renseignements protégés de Statistique Canada et d'en proposer une révision d'ici le mois de janvier 2018.

Conception et mise en œuvre de mesures de contrôle de la sécurité physique

L'accès aux installations de Statistique Canada est restreint au personnel autorisé. Les évaluations régulières des menaces et des risques ne sont pas réalisées, ce qui limite la capacité de la gestion à prendre des décisions éclairées relatives aux mesures de contrôle de la sécurité physique.

Le complexe de Statistique Canada au pré Tunney à Ottawa comprend trois immeubles reliés, l'immeuble R.-H.-Coats, l'immeuble Principal et l'immeuble Jean-Talon. À titre de locataire principal de ces trois immeubles, Statistique Canada est responsable de la mise en œuvre et de la gestion de l'accès physique aux immeubles. L'immeuble Principal est partagé par quatre ministères : Statistique Canada, Santé Canada, Services partagés Canada et Services publics et Approvisionnement Canada (SPAC). En outre, certains organismes de services occupent également les lieux dans tous les immeubles, tels que les gestionnaires d'installations, le personnel de cafétéria et les fournisseurs de produits de nettoyage.

L'examen de documents ainsi que des entrevues ont révélé que des ententes écrites n'ont pas été établies par Statistique Canada avec d'autres ministères et organismes de services pour la mise en œuvre et la gestion de leurs exigences en matière de sécurité physique. La nouvelle version de la Directive sur la gestion de la sécurité ministérielle en attente d'approbation du CT exige une entente écrite lorsqu'un ministère aide un autre ministère ou un autre organisme à atteindre des objectifs gouvernementaux de sécurité. Des ententes écrites établissent des rôles, des responsabilités et des obligations de reddition de comptes, ainsi que des attentes claires, et sont considérées comme de saines pratiques même en l'absence d'exigences stratégiques.

La conception de mesures de contrôle de la sécurité physique devrait être axée sur une bonne compréhension des risques et des menaces au sein de l'environnement de sécurité physique de Statistique Canada. Une telle conception est rendue possible en réalisant l'évaluation de la menace et des risques (EMR) de façon régulière, tel qu'il est exigé par la politique du CT. Les EMR cernent les risques au moyen d'examens de l'environnement de sécurité, dont les incidents passés de sécurité, les menaces connues, et les vulnérabilités potentielles au chapitre de la sécurité. Circonscrire les risques permet à la gestion de prendre les décisions appropriées quant à la situation de la sécurité de Statistique Canada, dont des décisions relatives au choix d'atténuer les risques par des mesures de contrôle supplémentaires.

Les entrevues menées auprès du Bureau de la sécurité de Statistique Canada ont révélé que les EMR à la sécurité physique n'ont pas été réalisées. La nécessité d'effectuer des EMR a été établie par le Comité de coordination de la sécurité à la réunion de juin 2015. En outre, la description de poste des agents de sécurité indique qu'ils sont responsables de diffuser les conclusions, les résultats et les recommandations découlant des EMR à la direction.

Bien que Statistique Canada n'ait pas encore effectué ses propres EMR, les EMR relatives aux immeubles de Statistique Canada sont menées par le propriétaire des immeubles, soit Services publics et Approvisionnement Canada. Or, les renseignements produits par ces évaluations n'ont pas encore été optimisés par le Bureau de la sécurité pour orienter la conception de contrôles de sécurité.

L'équipe de l'audit a examiné le processus de conception des mesures de contrôle avec le personnel du Bureau de la sécurité. L'immeuble est contrôlé au moyen de deux zones : la zone publique et la zone réglementée. Cela signifie des lecteurs de cartes distincts et des secteurs verrouillés où sont stockés des renseignements et des biens statistiques protégés et classifiés.

Il n'existe pas d'approche adoptée à l'échelle de l'organisme en ce qui a trait aux zones et aux contrôles de sécurité selon des critères préétablis. Les décisions relatives aux mesures de protection supplémentaires sont prises par les divisions. Une approche uniforme pour déterminer les critères permettant de détecter les zones à haut risque aide chaque division à s'assurer d'avoir une quantité appropriée de contrôles matériels dans leurs secteurs, conformément à leurs biens et à leurs fonds de renseignements, et conformément à la posture de sécurité et la tolérance au risque de l'organisme.

L'utilisation d'une carte d'identité électronique donne l'accès général aux immeubles. Dès que les employés obtiennent leur cote de sécurité, il reçoivent une carte qui doit être portée de manière visible et est utilisée pour accéder aux immeubles de Statistique Canada. Des tourniquets électroniques sont installés aux entrées de tous les immeubles et les cartes des employés doivent être balayées pour avoir accès aux zones réglementées. L'activité des cartes d'identité de Statistique Canada est suivie dans le système de sécurité, et les cartes d'identité sont automatiquement désactivées après 90 jours d'inactivité. Si leur carte est perdue ou volée, les employés doivent en aviser le Bureau de la sécurité, lequel désactive immédiatement la carte.

L'équipe d'audit a constaté que les cartes d'identité n'étaient pas portées constamment de façon visible, et qu'aucune fonction de remise en question n'est exécutée par le personnel de sécurité. Des entrevues de suivi auprès du Bureau de la sécurité ont montré que des gardiens de sécurité sont en place et ont l'habitude d'assurer la sécurité physique. Or, ils ne sont pas tenus de demander aux employés de montrer leur carte de sécurité. Les gardiens de sécurité sont seulement tenus d'observer, de surveiller et de faire rapport, mais n'appliquent pas les règles de sécurité.

L'accès aux zones réglementées des immeubles est défini par trois périodes distinctes : les heures régulières, les heures restreintes et les heures de fermeture. L'équipe d'audit a tenté d'accéder aux zones réglementées pendant les heures régulières et en dehors de ces heures, ainsi que dans les secteurs où des contrôles de sécurité supplémentaires étaient déployés. Les tests ont confirmé que des contrôles étaient en place et fonctionnaient efficacement en vue de restreindre l'accès.

Une visite des immeubles [Cette information a été expurgée].

Des pratiques de surveillance et de rapport aux fins de sécurité physique sont en place, mais ne se pas optimisées pour soutenir la gestion de la sécurité physique.

Les processus de surveillance et d'établissement de rapport fournissent à la direction des renseignements sur l'efficacité des mesures contrôle de sécurité physique, ce qui permet aux gestionnaires de cerner les risques et de relever les tendances afin d'apporter des améliorations à ces mesures de contrôle, au besoin.

Statistique Canada mène plusieurs activités afin de surveiller et de faire rapport sur ses mesures de contrôle de sécurité physique.

Des ratissages de sécurité sont effectués chaque mois par les membres du CCS – l'ASM, l'ASAM, le directeur de la Division de la gestion de l'information, ainsi que le personnel de la TI et de la sécurité. À l'heure actuelle, la stratégie du Bureau de la sécurité pour les ratissages de sécurité est de fournir une formation. Pour cette raison, un préavis est donné au directeur de la division afin de mettre au courant le personnel du ratissage de sécurité à venir. L'équipe d'audit a observé un ratissage de sécurité en février 2017. Aucun problème majeur n'a été relevé. Des entrevues ont révélé que les futurs ratissages de sécurité auront lieu sans préavis afin de réaliser un test plus poussé des mesures de contrôle.

Les incidents de sécurité sont surveillés et suivis au moyen de trois bases de données d'incidents distinctes (sécurité physique, GI et TI). Les incidents de sécurité physique visant un large éventail de problèmes sont signalés au Bureau de la sécurité par courriel, par téléphone ou en personne. Il n'existe aucune définition documentée de ce qui est considéré comme un incident de sécurité qu'il conviendrait de saisir dans la base de données des incidents. Cependant, tout ce qui a une incidence sur les activités, la vie ou la santé s'y trouve saisi.

Un échantillon de rapports d'incident de sécurité a été testé pour déterminer si les incidents avaient adéquatement été définis, consignés et signalés. On est allé chercher les documents à l'appui dans la base de données pour vérifier si les renseignements contenus dans la base de données avaient été enregistrés correctement et en temps opportun et si des mesures de suivi avaient été prises.

Les résultats ont révélé que l'enquête et le processus de renvoi au niveau supérieur ne sont pas consignés, qu'il n'existe aucun document relatif aux communications à l'attention de l'ASM, et que, par conséquent, on n'a pas pu vérifier ou tester si ces rapports ont été transmis à l'ASM en temps opportun. Un suivi auprès du Bureau de la sécurité a révélé que les responsabilités d'enquête ne sont pas précisément définies ou intégrées dans un document, et que chaque incident est géré au cas par cas au moyen du jugement professionnel du chef de la Sécurité et d'autres cadres supérieurs. Des communications informelles et des rencontres formelles hebdomadaires sont lieu entre l'ASM et le chef de la Sécurité pour s'assurer que l'ASM est tenu au courant des enjeux urgents. Les incidents de sécurité physique sont signalés chaque mois au CCS. L'audit a permis de constater que, pour tous les incidents examinés dans l'échantillon, le cas échéant, on avait communiqué avec les policiers soit parce que la loi l'exige, soit parce que le chef de la Sécurité l'a jugé nécessaire.

De façon générale, l'audit a constaté que le personnel de sécurité surveille, suit les incidents de sécurité et y fait enquête. Néanmoins, l'établissement de rapport sur les incidents et les pratiques de surveillance ne sont pas optimisés de façon à orienter la posture de sécurité de Statistique Canada. Dégager les tendances relatives aux incidents de sécurité et cerner les nouveaux risques aide la direction à prendre des décisions éclairées en ce qui a trait aux changements apportés aux contrôles de sécurité matériels.

Recommandations

Il est recommandé que le statisticien en chef adjoint du Secteur du recensement, des opérations et des communications s'assure de ce qui suit :

1. Des évaluations de la menace et des risques à la sécurité physique sont régulièrement effectuées afin de prendre des décisions éclairées en ce qui a trait aux zones de sécurité physique et aux contrôles de sécurité;
2. Une hiérarchie de zones discernables est définie, consignée par écrit et communiquée conformément à la définition des zones de sécurité selon le TC, et des ententes écrites sont établies avec d'autres ministères et organismes en vue d'atteindre les objectifs de sécurité du gouvernement;
3. Des processus sont en place pour relever, signaler et suivre les tendances relatives aux incidents de sécurité afin d'apporter des ajustements aux contrôles de sécurité, au besoin.
4. L'exigence stratégique de visibilité des cartes d'identité des employés est appliquée au moyen d'un programme de sensibilisation et d'une fonction de remise en question périodique.

Réponse de la direction

La direction accepte les recommandations formulées.

1. L'évaluation de la menace et des risques à la sécurité physique harmonisée avec le cycle du plan de sécurité ministériel du CT (tous les trois ans) sera effectuée au moyen de tous les renseignements accessibles, y compris, mais sans s'y limiter, les rapports et les tendances en matière d'incidents de sécurité, les EMR des installations et les inspections de la sécurité physique, le Bureau de la sécurité prendra des décisions éclairées sur les zones de sécurité physique et les contrôles de sécurité.

   Le Bureau de la sécurité optimisera les renseignements obtenus au moyen des évaluations de la menace et des risques et des inspections de sécurité physique pendant l'élaboration du plan de sécurité ministériel.

Produits livrables et échéancier

2. La Directive sur la gestion de la sécurité ministérielle ou la Politique sur la sécurité du gouvernement n'exige pas que Statistique Canada conclue des ententes écrites avec d'autres ministères gouvernementaux qui sont soutenus par la Division de la sécurité de Statistique Canada. La version provisoire de la prochaine Directive sur la gestion de la sécurité ministérielle comprend une disposition à cet égard.

   Statistique Canada créera et mettra en œuvre un nouveau protocole d'entente (PE) afin d'indiquer les services de sécurité et les niveaux de sécurité que l'organisme fournira à d'autres ministères gouvernementaux servis par l'équipe de Statistique Canada et avec laquelle ils partagent des locaux.

   Statistique Canada a mis sur pied un plan pour la mise en œuvre de la hiérarchie établie par le Secrétariat du Conseil du trésor (SCT) de zones au moyen de son projet « barrières de sécurité physique et tourniquets ».

Produits livrables et échéancier

3. Le Bureau de la sécurité continuera d'optimiser le CCS afin d'obtenir un point de vue global sur les incidents de sécurité physique, les incidents de sécurité de la TI, et des incidents de gestion de l'information, et renforcera les renseignements communiqués afin de relever les tendances en matière d'incidents et de créer ensuite le moyen de mesurer les incidents.

   La Sécurité se servira des tendances et des mesures des incidents de sécurité afin de prendre des décisions éclairées au sujet des mesures de contrôle de sécurité. Par exemple, la Sécurité se référera aux tendances et aux risques antérieurs relatifs aux incidents de sécurité au moment de mener des inspections de sécurité physique. Ces tendances contribueront à la création des contrôles de sécurité. En outre, ces tendances en matière d'incidents de sécurité seront prises en compte dans le plan de sécurité ministériel.

Produits livrables et échéancier

4. Le Bureau de la sécurité, par l'intermédiaire de diverses voies de communication, continuera de rappeler aux employés de montrer visiblement leur carte d'identité en tout temps lorsqu'ils se trouvent dans les locaux de Statistique Canada. En ce moment, des messages et des affiches comportant ces instructions au sujet du port de la carte d'identité sont affichés partout dans les trois immeubles.

   Un groupe de travail sur la sensibilisation à la sécurité a été mis sur pied afin de renforcer la campagne de la Semaine de la sensibilisation à la sécurité.

   Le Bureau de la sécurité demandera aux gardiens de sécurité de remettre en question, de façon aléatoire, des employés ne portant pas leur carte d'identité de manière visible et leur rappellera de le faire.

Produits livrables et échéancier

• Mettre sur pied un plan de communication dressant la liste des diverses méthodes de communications (p. ex., le thème des cordons, des bulletins d'information) qui seront utilisées pour rappeler aux employés leurs responsabilités en matière de sécurité (c.-à-d. la responsabilité de porter visiblement leur carte d'identité en tout temps dans les locaux de Statistique Canada) d'ici novembre 2017;
• acheter des cordons et les distribuer pendant la Semaine de la sensibilisation à la sécurité (en février 2018) aux employés qui ne portent PAS leur carte d'identité de façon visible (mise à jour des commandes d'affichage, au besoin) d'ici novembre 2017;
• créer un formulaire d'attestation des employés concernant les cartes d'identité déclarant que les employés ont été informés de l'exigence de porter leur carte d'identité de manière visible en tout temps dans les locaux de Statistique Canada. Les employés devront signer ce formulaire avant de recevoir une carte d'identité nouvelle ou renouvelée. Le formulaire sera achevé d'ici novembre 2017.

Annexes

Annexe A : Critères de l'audit

Annexe B : Acronymes

Sommaire

Une initiative de transformation des services intégrés, le projet de l'Examen et automatisation des processus administratifs (EAPA), a été entreprise en 2011 à Statistique Canada pour remanier et standardiser la prestation des services des ressources humaines, des finances et d'approvisionnement ainsi que d'autres services administratifs. Ce projet avait pour but d'accroître l'efficacité et d'améliorer la prestation des services en temps opportun.

Cette transformation comprenait ce qui suit :

• la centralisation du modèle de prestation des services intégrés de Statistique Canada;
• la création du Centre d'expertise pour les voyages;
• l'élaboration d'un carrefour libre-service pour les services administratifs;
• la mise en œuvre d'un système d'approbation électronique des formulaires à l'appui des activités administratives, y compris l'approvisionnement et le paiement des biens et des services.

Étant donné la portée de la transformation, il est essentiel que la conception du nouveau modèle de prestation des services soit soutenue par un cadre de contrôle qui préserve la conformité aux exigences clés en matière de saine gestion financière.

Cet audit visait à fournir l'assurance raisonnable au statisticien en chef et au Comité ministériel de vérification (CMV) que Statistique Canada a maintenu un cadre de contrôle de gestion efficace des processus remaniés au cours du projet de l'EAPA pour assurer la conformité aux politiques et aux lois du gouvernement du Canada.

Pourquoi est-ce important?

L'EAPA est un projet important qui avait pour but d'accroître l'efficacité des processus financiers et administratifs. Compte tenu du niveau de transformation ayant découlé de ce projet, il a été jugé essentiel de confirmer le maintien de la conformité des contrôles clés aux lois et aux politiques qui s'appliquent.

Principales constatations

Les contrôles clés des processus de paiement, de voyage et de dotation expresse sont présentés brièvement dans les schémas et la documentation sur les processus. Il est possible de déterminer les types de contrôles déployés afin d'améliorer l'efficacité du test de contrôle interne.

Le test des contrôles clés a confirmé que toutes les mesures de contrôle fonctionnent comme prévu, incluant les contrôles des technologies de l'information pour assurer l'exactitude et la sécurité des dossiers du pouvoir d'approbation.

Les rôles et les responsabilités dans le cadre du nouveau projet de l'EAPA sont clairement définis et communiqués aux intervenants clés dans les processus remaniés, y compris les sous-sections du soutien administratif, les pouvoirs d'approbation, les voyageurs et les gestionnaires recruteurs. Les personnes ayant des pouvoirs délégués bénéficieraient de renseignements supplémentaires sur le processus de vérification complet afin de réduire le risque de dédoublement des contrôles.

Les risques et les stratégies d'atténuation ont été déterminés et gérés tout au long du projet, et les comités de gouvernance y ont participé efficacement.

Les résultats du projet ont été évalués au moyen de l'utilisation des indicateurs du rendement et sont surveillés de manière continue. Les enjeux déterminés dans le cadre du processus de surveillance sont abordés en temps opportun.

Conclusion générale

Statistique Canada a maintenu un cadre de contrôle de gestion efficace des processus qui ont été remaniés au cours du projet de l'EAPA pour assurer la conformité aux lois et aux politiques du gouvernement du Canada.

Conformité aux normes professionnelles

L'audit a été réalisé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA).

L'application de procédures d'audit suffisantes et appropriées et le rassemblement de données appuient l'exactitude des constatations et des conclusions du présent rapport et donnent une assurance de niveau audit. Les constatations et les conclusions sont fondées sur une comparaison des conditions, telles qu'elles existaient au moment de l'audit, au regard de critères d'audit préétablis. Les constatations et les conclusions s'appliquent à l'entité examinée et pour la portée et la période de référence de l'audit.

_________________________
Steven McRoberts
Dirigeant principal de la
vérification et de l'évaluation

Introduction

Contexte

Une initiative de transformation des services intégrés, le projet de l'Examen et automatisation des processus administratifs (EAPA), a été entreprise en 2011 à Statistique Canada pour remanier et standardiser la prestation des services des ressources humaines, des finances et d'approvisionnement ainsi que d'autres services administratifs. Ce projet a été amorcé dans le but d'accroître l'efficacité et d'améliorer la prestation des services en temps opportun.

Cette transformation comprenait la centralisation du modèle de prestation des services intégrés de Statistique Canada, la création d'un Centre d'expertise pour les voyages, l'élaboration d'un carrefour libre-service pour les services administratifs et la mise en œuvre d'un système d'approbation électronique des formulaires à l'appui des activités administratives, y compris l'approvisionnement et le paiement des biens et des services.

Les Services administratifs de Statistique Canada, en tant qu'organisme du gouvernement du Canada, sont régis par la Loi sur la gestion des finances publiques (LGFP), les Politiques sur les finances, les ressources humaines et l'approvisionnement du Conseil du Trésor (CT) du Canada et la Loi sur l'emploi dans la fonction publique (LEFP). En sa qualité d'administrateur des comptes, le statisticien en chef est responsable de s'assurer que les programmes organisationnels sont exécutés en conformité avec les lois et les politiques du gouvernement.

Compte tenu de la portée des changements découlant du projet de l'EAPA, un audit a été inclus au plan de vérification fondé sur les risques de Statistique Canada afin de confirmer que les exigences en matière de politiques et de lois demeuraient tout de même remplies avec le remaniement des processus administratifs. Au moyen du processus de détermination des risques, l'équipe d'audit a décidé de miser sur les trois transformations principales des processus qui suivent : le processus de paiement, le processus de voyage et le processus de dotation expresse.

Le processus de paiement sert à autoriser l'acquisition et la réception des biens et des services pour les opérations de Statistique Canada. Le processus de paiement a été remanié grâce au projet de l'EAPA en introduisant un système électronique qui permet de saisir toutes les demandes de paiement et à une sous-section administrative centrale spécialisée de vérifier la validité des demandes de paiement. Avant le remaniement, les paiements étaient décentralisés au sein de chaque unité opérationnelle, et des fichiers papier et des signatures rédigées à la main servaient à autoriser les paiements.

Le processus de voyage est utilisé pour les employés en déplacement officiel ou qui participent à des conférences et de la formation. Le projet de l'EAPA comportait la création du Centre d'expertise pour les voyages (CEV), qui est responsable de traiter les opérations relatives aux déplacements des employés. Statistique Canada a établi le CEV afin de réduire le taux d'erreur ainsi que d'assurer la mise en œuvre efficace du système de réservation des voyages du gouvernement du Canada et la conformité avec la nouvelle directive sur les dépenses d'événements. Avant le projet de l'EAPA, toutes les demandes de voyage étaient traitées séparément au sein de chaque unité opérationnelle.

Le processus de dotation expresse permet de soutenir les approbations à faible risque des ressources humaines, telles que l'embauche d'employés occasionnels et d'étudiants. Le projet de l'EAPA a introduit un module libre-service. Les gestionnaires de programme amorcent des mesures de dotation, sans la participation de conseillers en dotation, à l'aide d'un portail numérique.

Objectif de l'audit

Cet audit visait à fournir l'assurance raisonnable au statisticien en chef et au Comité ministériel de vérification (CMV) que Statistique Canada a maintenu un cadre de contrôle de gestion efficace des processus qui ont été remaniés au cours du projet de l'EAPA pour assurer la conformité avec les politiques et les lois du gouvernement du Canada.

Portée

La portée de cet audit comprenait un examen des processus de paiement, de voyage et de dotation expresse, qui ont été remaniés à la suite du projet de l'EAPA. Dans le cadre de l'audit, les contrôles clés ont été examinés en vue de leur intégration au nouveau modèle opérationnel. Les secteurs précis sur lesquels portait l'examen comprenaient l'attribution des rôles, des responsabilités et des obligations de rendre compte ainsi que les mécanismes de contrôle qui ont été établis pour les processus remaniés, y compris les contrôles clés et les activités de gestion des risques.

L'audit a aussi évalué la conformité des contrôles clés dans les processus sélectionnés avec les politiques et les lignes directrices du Conseil du Trésor et de Statistique Canada. En vue de faire des tests de l'efficacité des contrôles, des revues générales de chaque processus ont eu lieu et un échantillon discrétionnaire des opérations a été sélectionné afin d'évaluer la conception des processus, incluant la conformité avec les politiques et les lois pertinentes.

Approche et méthodologie

Le travail d'audit comprenait un examen complet et une analyse de la documentation pertinente, des entrevues avec des membres clés de la haute direction et du personnel, de même que le test des contrôles clés à partir d'un échantillon de processus pour évaluer la pertinence et l'efficacité des processus centralisés et remaniés à la suite du projet de l'EAPA.

Le travail d'audit comportait également un examen et une évaluation des activités entreprises afin d'atténuer et de surveiller les principaux risques qui pouvaient nuire à l'atteinte des résultats du projet, y compris la surveillance continue des rapports axés sur les lacunes et des rapports de rendement.

L'audit a été réalisé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'IIA.

Autorité

L'audit a été mené en vertu des pouvoirs prévus dans le Plan intégré d'audit et d'évaluation fondé sur les risques pour la période allant de 2016-2017 à 2020-2021, qui a été approuvé par Statistique Canada.

Constatations, recommandations et réponse de la direction

Les contrôles clés des opérations administratives sont en place.

Le projet de l'EAPA a permis de remanier les processus de paiement, de voyage et de dotation expresse afin d'accroître l'efficacité et d'améliorer l'exécution en temps opportun de ces opérations administratives. Au cours de ce remaniement, il était essentiel de maintenir les contrôles clés en conformité avec les politiques et les lois. Cela comprend la LGFP, la LEFP ainsi que les directives et les politiques sur la délégation des pouvoirs de signature en matière de finances, les voyages et l'accueil du CT.

Afin d'évaluer le maintien des contrôles clés nécessaires conformément aux politiques et aux lois, l'équipe d'audit a examiné la conception des processus et a fait des tests de contrôles en vue de leur fonctionnement prévu.

L'évaluation de la conception des contrôles clés comportait un examen de la documentation sur les processus, des schémas des processus, des descriptions narratives et des listes de vérification élaborées pour chacune des trois unités opérationnelles.

Le processus de paiement dans le cadre du remaniement du projet de l'EAPA est décrit ci-après. Les factures sont reçues par le comptoir des finances et envoyées au Centre de soutien pour les acquisitions. Un commis de la sous-section administrative (adjoint administratif) vérifie l'exactitude de la facture selon une liste de vérification des comptes prédéfinie. Une copie numérisée de la facture est entrée dans le système. Le superviseur de la sous-section administrative (agent de soutien opérationnel) examine la vérification des comptes pour s'assurer que tous les contrôles clés ont eu lieu. Une fois l'examen terminé, une notification électronique de la facture est envoyée au chargé de projet pour vérifier si les biens et les services ont été reçus et que la facture peut être acquittée. Après la vérification par le chargé de projet, une notification électronique est envoyée à la personne ayant des pouvoirs de signature délégués en matière de finances afin d'approuver le versement du paiement.

L'audit a révélé que deux diagrammes de processus ont été élaborés afin de documenter les sous-processus à jour en lien avec les paiements, y compris le lancement et le traitement des factures ainsi que le paiement de la facture. Les contrôles clés comprenaient l'autorisation (article 32 de la LGFP) et l'approbation des paiements (article 34 de la LGFP). Ces contrôles ont été clairement intégrés aux diagrammes de processus.

Le processus de voyage dans le cadre du remaniement de l'EAPA est décrit ci-après. Un voyageur envoie une demande de voyage, et le CEV entamera la recherche d'options de transport et d'hébergement. Un commis administratif du CEV entrera en contact avec le voyageur et lui communiquera les options selon les meilleurs coûts et les besoins opérationnels. Lorsque les choix sont confirmés, une vérification sera envoyée à la personne ayant le pouvoir délégué d'approuver les choix de voyage. À la suite du voyage, le voyageur soumettra les reçus des coûts engagés à la Direction des finances, qui autorisera le remboursement de tous frais au voyageur. Le paiement sera versé au voyageur en conformité avec le processus de paiement susmentionné.

L'examen de la documentation a révélé qu'un diagramme de processus a été élaboré pour le processus de voyage. Le diagramme donne un aperçu de la gestion et du traitement des plans et des demandes de voyage, des soldes engagés, des engagements, des demandes de remboursement de frais, des demandes anticipées, du rendement du pouvoir de paiement, de l'émission des paiements et de l'autorisation générale. Les contrôles clés comprennent le fait d'assurer que les personnes ont l'autorisation de voyager pour le compte du gouvernement, que les choix liés à l'hébergement et au transport respectent les exigences en matière de politiques et des tarifs du gouvernement du Canada et que les paiements versés aux voyageurs sont vérifiés. Ces contrôles ont été clairement intégrés aux diagrammes de processus.

Le processus de dotation expresse dans le cadre du remaniement de l'EAPA est décrit ci-après. Un carrefour libre-service a été créé. Ce carrefour permet au gestionnaire recruteur d'amorcer des demandes de processus à faible risque des RH, telles que l'embauche d'employés occasionnels et d'étudiants. Lorsqu'une personne autorisée fait une demande dans le carrefour, la sous-section administrative du groupe des RH approuve la demande. La sous-section administrative utilise une liste de vérification pour s'assurer que les exigences en matière de politiques et de lois sont satisfaites avant d'approuver la demande.

L'audit a découvert que deux diagrammes de processus ont été élaborés pour la dotation expresse. Les sous-processus qui comportent un déploiement interne, des affectations intérimaires de moins de quatre mois, des prolongations et des renouvellements, une mutation ainsi que l'embauche à l'externe de personnel à temps partiel et de manière occasionnelle sont formellement documentés. Les contrôles clés des demandes des RH ont été intégrés au processus, y compris ceux pour assurer que les employés occasionnels ne dépassent pas 90 jours dans toute année civile donnée et que les embauches d'étudiant satisfont aux critères d'admissibilité.

L'examen a confirmé que tous les contrôles clés ont été déterminés dans la documentation sur les processus dans le cas des trois processus. Cependant, la documentation sur les processus n'a pas défini les contrôles manuels et les contrôles automatisés. Considérant que l'équipe de la gestion financière doit faire régulièrement des tests de contrôles internes en matière d'établissement des rapports financiers en conformité avec la Politique sur le contrôle interne, déterminer les types de contrôles déployés (manuels par opposition à automatisés) permet d'assurer l'exactitude et l'efficacité de la conception du test de contrôle interne.

Les contrôles clés des opérations administratives fonctionnent comme prévu.

Afin de fournir l'assurance que les contrôles clés fonctionnent comme prévu, l'équipe d'audit a mené des revues générales, des entrevues et des tests d'un échantillon discrétionnaire d'opérations pour chacun des trois processus administratifs.

Dans le cadre d'un examen efficace de l'engagement des dépenses et de la certification que les biens et les services ont été reçus en conformité avec la LGFP, les personnes ayant des pouvoirs délégués d'approbation des paiements doivent se fier sur des renseignements exacts, suffisants, exhaustifs et opportuns dans le but de certifier que les biens et les services ont été reçus. Le test d'un échantillon de paiements a confirmé que les personnes ayant le pouvoir d'approuver les paiements des biens et des services avaient l'autorisation d'approuver les paiements et qu'elles avaient la documentation suffisante à l'appui pour approuver les opérations. De plus, le test a révélé que des contrôles des technologies de l'information étaient en place pour assurer un enregistrement exact des personnes ayant le pouvoir d'approuver et que l'accès pour apporter des changements à ces enregistrements est limité et contrôlé.

La revue générale du processus de voyage a confirmé que la création du CEV au sein de Statistique Canada a permis aux personnes ayant des pouvoirs délégués d'approuver les voyages d'accéder aux demandes et aux itinéraires de voyage, aux réclamations des frais de voyage et aux documents à l'appui des voyages que les experts en la matière du CEV ont préparés et approuvés. Ces documents à l'appui peuvent être revus en ligne dans un système d'application avant l'approbation. Le test détaillé d'un échantillon d'opérations relatives aux déplacements a indiqué que ces opérations respectent les politiques concernant les voyages du gouvernement du Canada. Cela inclut les exigences en matière d'autorisation de voyage, les processus d'hébergement et de transport approuvés et les indemnités quotidiennes.

L'examen du processus de dotation expresse a révélé que deux exigences doivent être remplies au moment de traiter les mesures de dotation expresse; s'assurer que les étudiants répondent aux critères d'admissibilité avant de renouveler leur période d'emploi et s'assurer que la période d'emploi des employés occasionnels ne dépasse pas 90 jours de tout calendrier civil. Des listes de vérification ont été créées aux fins de ce processus. Le test détaillé a indiqué, cependant, que les listes de vérification ne servaient pas toujours. Parmi les fichiers faisant l'objet de tests, quatre sur dix comprenaient une copie de la liste de vérification montrant que les contrôles clés étaient effectués. L'équipe d'audit a procédé à des entrevues de suivi avec l'équipe des RH. L'équipe a fait remarquer que les listes de vérification servent d'outil de formation et qu'elles ne servent pas toujours à montrer que les processus clés sont respectés. Le test détaillé a confirmé que toutes les opérations étaient conformes aux politiques et aux lois, même si la liste de vérification n'a pas toujours servi.

Les rôles et les responsabilités sont en place et communiqués; le processus de vérification peut être présenté brièvement aux personnes ayant des pouvoirs délégués afin de réduire le risque de dédoublement.

Les intervenants clés doivent être informés en temps opportun des changements de leurs rôles, leurs responsabilités et leur imputabilité. De cette manière, ils peuvent remplir efficacement leurs fonctions. En outre, communiquer les avantages des modifications apportées au système permet d'obtenir le soutien en vue de nouvelles initiatives et d'assurer une mise en œuvre réussie.

L'équipe d'audit a examiné le processus de communication des changements apportés aux rôles et responsabilités des sous-sections administratives, des personnes ayant un pouvoir de signature délégué en matière de finances (le pouvoir d'approuver l'approvisionnement et le paiement des biens et des services), des voyageurs et des gestionnaires recruteurs.

Un examen documentaire a révélé que l'équipe de l'EAPA a mis en place un processus de communication général au début du projet et à chaque étape de la transformation pour informer tous les employés des changements à venir. Ce processus comprenait les communications fournies dans le bilan annuel du statisticien en chef, les séances d'information offertes à chaque direction ainsi que les communications hebdomadaires par courriel et dans le site intranet de Statistique Canada. Un examen des documents a confirmé que les employés de tout l'organisme ont été avisés des objectifs, de la portée et des échéances du projet de l'EAPA ainsi que des changements prévus au sein de chaque unité opérationnelle et des incidences prévues sur les opérations.

L'équipe d'audit a en outre découvert que l'information énonçant les changements apportés aux rôles, aux responsabilités et aux obligations de rendre compte qui découlent des modèles opérationnels transformés était communiquée par un outil de référence central en ligne appelé carrefour. Le carrefour a été créé comme une passerelle pour lancer les demandes quotidiennes des services administratifs, financiers, des ressources humaines, informatiques, de gestion de l'information, des communications et des installations.

Le carrefour indique que les rôles, les responsabilités et les obligations de rendre compte des personnes chargées de l'examen et de l'approbation des factures n'ont pas changé à la suite du nouveau modèle opérationnel. La formation standard est la méthode utilisée pour communiquer les rôles, les responsabilités et les obligations de rendre compte des clients. Ces personnes doivent suivre la formation KLICK, qui est offerte par Statistique Canada, et la formation de l'École de la fonction publique du Canada. L'équipe d'audit a fait des tests d'un échantillon de fichiers de personnes pour obtenir la preuve de la participation à la formation obligatoire. Le test a confirmé que les signataires autorisés avaient suivi la formation.

Dans le cas des déplacements, les responsabilités des voyageurs ont grandement diminué à la suite de la transformation qui a découlé du projet de l'EAPA. Le carrefour fournit des directives détaillées par étape sur la manière de présenter une demande de voyage. Les directives fournissent des liens de sorte que les voyageurs puissent remplir leurs responsabilités, y compris celles visant à assurer que les formulaires qui s'appliquent sont utilisés et acheminés par les voies appropriées selon le type de voyage. Ces déplacements comprennent les voyages intérieurs et à l'étranger pour prendre part à des conférences, de la formation et aux opérations régionales.

En ce qui concerne la dotation expresse, les directives sur la façon de remplir et de présenter des demandes (p. ex., la documentation pertinente exigée) ont clairement été documentées dans le carrefour, lequel définit les attentes à l'égard des gestionnaires recruteurs qui utilisent le module libre-service.

L'équipe d'audit ont mené des entrevues détaillées auprès des personnes ayant des pouvoirs délégués, des voyageurs et des gestionnaires recruteurs afin de savoir si les principaux changements apportés à leurs rôles, leurs responsabilités et leurs obligations de rendre compte étaient bien compris et d'évaluer l'efficacité des stratégies de communication pour sensibiliser les utilisateurs quant aux avantages prévus de la transformation. Les entrevues ont corroboré l'efficacité des stratégies de communication afin de diffuser les changements de processus et leurs avantages prévus. Ces entrevues n'ont pas indiqué que les intervenants estimaient que les processus étaient inefficaces ou trop contrôlés.

Toutefois, les entrevues menées auprès d'un échantillon de personnes détenant le pouvoir délégué d'approuver des paiements ont révélé qu'elles ne connaissent pas entièrement les processus de vérification qui sont entrepris avant et après l'examen des opérations exigeant leur approbation. Par conséquent, les personnes ayant des pouvoirs délégués peuvent vérifier les factures de la même façon qu'avant la tenue du projet de l'EAPA et exercer un niveau de contrôle supérieur à ce qui était prévu. Cela pourrait réduire l'efficacité acquise dans le cadre du remaniement.

Enfin, l'équipe d'audit a mené des entrevues auprès du personnel clé des sous-sections administratives pour chacun des processus sélectionnés. Leur compréhension à l'égard des principaux rôles, responsabilités et obligations de rendre compte dans le cadre des nouveaux processus optimisés correspondait à ce qui avait été défini et communiqué. L'équipe d'audit a également examiné les interdépendances des processus pour établir si elles ont été communiquées et prises en compte. L'audit a révélé qu'il n'y avait aucune interdépendance entre les processus.

Les risques du projet de l'EAPA ont été déterminés, gérés et surveillés; le rendement est évalué et surveillé par rapport aux résultats.

Les risques du projet doivent être gérés efficacement pour assurer que les projets atteignent les résultats prévus. La gestion de ces risques exige la détermination, la surveillance et la mise en œuvre efficaces des stratégies d'atténuation aux différentes étapes du projet.

L'audit a révélé que les principaux risques à l'atteinte des résultats du projet ont été cernés par l'équipe de projet de l'EAPA, en collaboration avec les unités opérationnelles, les systèmes et les experts techniques en la matière. Les risques ont été déterminés pour chaque unité opérationnelle visée par les stratégies de transformation et d'atténuation afin d'aborder ces risques.

Chaque unité opérationnelle a déterminé les risques au moyen de la création de cas qui ont été saisis dans le système JIRA, qui comprenait la probabilité et l'incidence de tout risque ou toute stratégie d'atténuation. Cela a eu lieu pour chacun des trois secteurs administratifs dans le cadre de cet audit. Les cas ont été présentés au Bureau de gestion des projets de l'organisme (BGPO) et au Comité consultatif sur l'EAPA pour leur examen et leur approbation.

Parmi les risques cernés par les équipes de projet, les risques liés au mandat de base de l'unité ont été désignés pour la surveillance continue. Ces risques comportaient les taux d'erreur, l'exécution en temps opportun des processus et la satisfaction de la clientèle.

Les risques ont aussi été déterminés quant à la mise en œuvre du système d'Approbation électronique des demandes (AED). Pour établir la feuille de route de la mise en œuvre de la stratégie d'automatisation et d'authentification électronique, les Finances et les TI ont effectué une analyse des politiques en vue de définir les exigences en matière de politiques avant de passer des signatures manuscrites aux approbations électroniques. Des niveaux requis d'assurance ont été fixés et des exigences en matière d'authentification ont été introduites pour chacun des différents niveaux de confidentialité de l'information dans le but d'atténuer les risques connexes. Une évaluation des menaces et des risques a également été préparée avant la mise en œuvre du système AED. La documentation détermine un certain nombre de risques inhérents, dont la plupart présentent un niveau de risque moyen à faible.

L'examen des schémas de processus par l'équipe d'audit a révélé que les risques n'avaient pas été déterminés pour chaque processus examiné. En tant que pratique exemplaire, les schématisations de processus doivent non seulement contenir les contrôles clés, mais indiquer également où le processus est vulnérable aux facteurs de risque et le lien avec les stratégies d'atténuation en place.

Le système JIRA a permis de surveiller les risques. L'examen du contenu du système concernant l'EAPA mené par l'équipe d'audit a décelé que chaque risque déterminé était attribué à un propriétaire, pour la plupart des chefs responsables de l'unité opérationnelle ou un expert en la matière responsable des systèmes ou des aspects techniques du processus.

Les normes de rendement permettent d'assurer que les objectifs du projet sont atteints en matière d'efficacité des processus, de contrôle de la qualité et de satisfaction de la clientèle. Il faut élaborer les normes de rendement selon les résultats attendus du projet et les surveiller régulièrement en vue des déficiences qui seront abordées en temps opportun.

L'audit a révélé que des normes de rendement ont été élaborées pour le projet et qu'elles font toujours l'objet d'une surveillance à la suite de la transformation découlant de l'EAPA.

En ce qui concerne les processus de paiement et de voyage, l'information a été recueillie pour un certain nombre d'indicateurs, y compris les taux d'erreur, le traitement en temps opportun des opérations et la satisfaction de la clientèle. Lorsque les objectifs n'étaient pas atteints, la justification a été documentée et des rajustements ont été apportés aux processus opérationnels, le cas échéant. L'information est produite chaque mois et publiée à l'interne chaque trimestre.

Concernant le processus de dotation expresse, l'exécution en temps opportun du processus est une considération principale. Les Ressources humaines ont établi des normes de rendement pour les divers types de mesures de dotation qui font partie de la dotation expresse et ont mis en œuvre des moyens d'évaluer l'exécution en temps opportun du processus. Les résultats en comparaison des normes de rendement établies concernant le traitement en temps opportun des opérations et les enquêtes sur la satisfaction de la clientèle sont exprimés en pourcentage et sont aussi publiés à l'interne chaque trimestre.

En raison des normes de rendement limitées et des mesures de base n'ayant pas été élaborées avant la tenue de l'EAPA, la mesure de l'économie d'efficience n'est pas exacte dans le cadre du projet. Il a été difficile d'obtenir des mesures du rendement avant l'EAPA compte tenu du passage d'un modèle décentralisé à un modèle centralisé.

Les rapports de surveillance sont examinés par l'équipe des relations avec les clients qui a été créée par la Direction des finances. Les enjeux sont déterminés et abordés en temps opportun avec les membres du personnel clé de chaque unité opérationnelle. Les normes de rendement sont en place et surveillées, et un suivi a lieu concernant les opérations qui ne répondent pas aux attentes.

Recommandation

Il est recommandé que le statisticien en chef adjoint des Services intégrés et dirigeant principal des finances s'assure de ce qui suit :

1. La documentation sur le processus définit si les contrôles sont automatisés ou manuels afin de mieux concevoir l'approche en matière de test de contrôle interne.
2. Les personnes ayant des pouvoirs délégués connaissent entièrement les processus de vérification qui sont entrepris avant et après avoir exercé leurs responsabilités afin d'optimiser l'efficacité selon le remaniement du processus.

Réponse de la direction

La direction est d'accord avec la recommandation.

1. Les contrôles clés liés aux processus de voyage, de dotation expresse et de paiement seront clairement définis comme des contrôles automatisés ou manuels. Par la suite, cette recommandation sera intégrée au cadre de tests des contrôles internes de l'organisme. Cela s'harmonise avec l'examen narratif mené en vertu de la Politique sur la gestion financière.

Produits livrables et échéancier :

2. Aux fins du processus de paiement, une stratégie de communication destinée aux approbateurs de la DSFA sera élaborée et mise en œuvre pour accroître la sensibilisation au processus de vérification ayant lieu avant l'approbation d'un paiement aux termes de l'article 34. En outre, la confirmation dûment effectuée du chargé de projet dans le cadre du processus de vérification des comptes sera clairement définie pour l'approbateur de la DSFA dans le formulaire de paiement électronique.

   Cela réduira la probabilité qu'un approbateur effectue des vérifications redondantes avant l'approbation en vertu de l'article 34. Cela garantira également que le nouvel outil et processus sont utilisés à leur pleine capacité.

   La solution de gestion des voyages sera remaniée à l'aide de la même technologie que le processus de paiement. La date d'échéance de la mise en œuvre est prévue en mars 2018. Les gestionnaires seront avisés des mesures de vérification prises à l'appui de l'approbation des demandes de remboursement des frais de voyage conformément aux articles 32 et 34.

Produits livrables et échéancier :

Annexes

Annexe A : Critères de l'audit

Annexe B : Acronymes