Sommaire

La planification des ressources humaines est le processus qui consiste à déterminer les besoins en ressources humaines (RH) actuels et futurs d'une organisation pour réaliser ses objectifs. La planification des ressources humaines sert de lien entre la gestion des RH et le plan stratégique global d'une organisation.

Au cours de la dernière année, Statistique Canada a mis en œuvre une nouvelle vision d'une culture et d'une approche de milieu de travail modernisées pour la production et la collecte de statistiques, ce qui a entraîné l'amélioration et l'accélération de l'accès aux produits statistiques pour les Canadiens. Les RH sont au cœur des efforts de modernisation, car il sera essentiel d'avoir des habiletés et des compétences clés pour appuyer cette vision organisationnelle.

Comme Statistique Canada s'emploie actuellement à mettre en œuvre cette nouvelle orientation, de nombreux processus de RH ont été transformés, notamment les processus liés à la planification des RH et la gouvernance des activités de gestion des RH.

En s'appuyant sur une solide base de planification des RH, Statistique Canada est dans une position privilégiée pour tirer parti des possibilités d'améliorer bon nombre des processus existants, conformément aux objectifs de l'initiative de modernisation.

Pourquoi est-ce important?

Statistique Canada est en train de mettre en œuvre une initiative de modernisation, et les RH joueront un rôle essentiel à l'appui de cet objectif organisationnel. Les RH se tournent vers l'avenir et prennent les mesures nécessaires aujourd'hui pour répondre aux besoins en RH actuels et futurs.

Principales constatations

Les processus de gouvernance s'appliquant à la planification des RH sont en place pour assurer l'orientation et la supervision. Les comités et les sous-comités ont pour mission d'aborder tous les aspects de la gestion des RH et de soutenir l'initiative de modernisation.

Les rôles et responsabilités en matière de planification des RH sont clairement définis et documentés dans l'ensemble de l'organisation. De plus, les principaux risques liés à l'atteinte des objectifs de modernisation des RH ont été définis, et des stratégies d'atténuation ont été déterminées afin de gérer efficacement ces risques.

Les processus de planification des RH sont en place, de même que bon nombre des éléments clés nécessaires à l'élaboration d'un plan intégré des activités et des RH.

Les objectifs opérationnels ont été définis et des efforts ont été amorcés afin de mieux comprendre l'environnement et de cerner les lacunes en matière de compétences. La Direction des ressources humaines travaille avec les programmes et les comités pour déterminer les besoins à court et à long terme et y répondre, afin de mettre au point des options de recrutement et de dotation.

Certaines stratégies de RH ont été élaborées pour répondre aux ensembles de compétences essentiels nouveaux et émergents à l'échelle de l'organisme, mais elles n'ont pas encore été finalisées sous forme de plan général unifié. Cela s'explique en grande partie par le fait que l'organisation est en transition pour appuyer le nouveau programme de modernisation. Il existe des possibilités d'améliorer l'approche structurée et intégrée du processus de planification en créant un plan et des outils pour obtenir des renseignements plus détaillés à l'avenir, qui permettront de déterminer plus précisément les besoins en RH dans le contexte de la modernisation.

Enfin, au fur et à mesure que l'organisation élabore sa vision à long terme de la planification des RH, elle devrait élaborer des méthodes de surveillance assorties de cibles concrètes pour mesurer le succès de cette stratégie.

Conclusion générale

Statistique Canada a établi un cadre de planification des RH pour répondre aux besoins opérationnels en RH actuels. Les processus de planification des RH pour les besoins opérationnels à plus long terme dans le nouveau contexte de modernisation n'ont pas encore été élaborés à l'échelle de l'organisme.

Conformité aux normes professionnelles

L'audit a été réalisé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA).

L'application de procédures d'audit suffisantes et appropriées et le rassemblement de données appuient l'exactitude des constatations et des conclusions du présent rapport et donnent une assurance de niveau audit. Les constatations et les conclusions sont fondées sur une comparaison des conditions, telles qu'elles existaient au moment de l'audit, au regard de critères d'audit préétablis. Les constatations et les conclusions s'appliquent à l'entité examinée et pour la portée et la période de référence de l'audit.

Steven McRoberts
Dirigeant principal de la vérification et de l'évaluation

Introduction

Contexte

La planification des ressources humaines est le processus qui consiste à déterminer les besoins en RH actuels et futurs d'une organisation pour réaliser ses objectifs. La planification des RH sert de lien entre la gestion des RH et le plan stratégique global d'une organisation. À Statistique Canada, la planification des RH et la dotation sont une responsabilité partagée entre les gestionnaires de programme et la Direction des ressources humaines (DRH).

Les gestionnaires de programme sont directement responsables des décisions liées à la dotation, tandis que les conseillers en RH appuient les gestionnaires de programme en déterminant les stratégies de dotation possibles, en tenant compte des règles et des règlements établis.

Au cours de la dernière année, Statistique Canada a mis en œuvre une nouvelle vision d'une culture et d'une approche de milieu de travail modernisées pour la production et la collecte de statistiques, ce qui a entraîné l'amélioration et l'accélération de l'accès aux produits statistiques pour les Canadiens. Les RH sont au cœur des efforts de modernisation, car il sera essentiel d'avoir des habiletés et des compétences clés pour appuyer cette vision organisationnelle.

Comme Statistique Canada s'emploie actuellement à mettre en œuvre cette nouvelle orientation, de nombreux processus de RH ont été transformés, notamment les processus liés à la planification des RH et la gouvernance des activités de gestion des RH.

Par conséquent, Statistique Canada est dans une position privilégiée pour tirer parti des occasions d'améliorer bon nombre des structures, politiques et processus de gouvernance existants, tout en veillant à ce qu'ils s'harmonisent avec les objectifs de l'initiative de modernisation.

Objectif de l'audit

L'objectif de l'audit était de donner au statisticien en chef et au Comité ministériel de vérification de Statistique Canada l'assurance :

• qu'il existe un cadre de planification des RH qui s'harmonise avec les besoins opérationnels actuels et futurs de l'organisation.

Portée

La portée comprenait un examen des activités de planification des RH de Statistique Canada pour la coordination et la gestion des activités de dotation, ainsi qu'un examen de la mesure dans laquelle les activités de planification des RH sont appuyées par une structure de gouvernance appropriée qui définit les responsabilités et les objectifs alignés sur les stratégies et les plans organisationnels généraux. La période visée par l'audit s'étendait du 1^er avril 2017 au 31 décembre 2017.

Approche et méthodologie

Le travail de l'audit comprenait un examen des documents, des essais et des interviews avec la Direction des ressources humaines, les gestionnaires de secteur et un échantillon de divisions. L'audit portait sur la conformité aux politiques et lignes directrices pertinentes du Secrétariat du Conseil du Trésor du Canada (SCT) et de Statistique Canada (voir l'annexe A : Critères de l'audit pour les détails).

L'audit a été réalisé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA).

Autorité

L'audit s'est déroulé en vertu de l'autorité du Plan d'audit et d'évaluation intégré fondé sur les risques approuvé par Statistique Canada pour 2017-2018 à 2019-2020.

Constatations, recommandations et réponse de la direction

Gouvernance, supervision et gestion des risques dans le cadre de la planification des RH

Les processus de gouvernance assurent l'orientation et la supervision de la planification des RH. Ils définissent les objectifs du processus de planification, les politiques et les procédures pour l'exécution des travaux et le suivi de la mise en œuvre. Un processus efficace de gestion des risques en matière de planification des RH comprend la détermination des risques liés à la réalisation des objectifs et des stratégies d'atténuation des RH.

Les processus de gouvernance sont bien définis et assurent l'orientation et la supervision de la planification des RH.

L'orientation générale de la planification des RH de Statistique Canada est fournie par le Conseil d'examen de la haute direction (CEHD) et le Comité de planification intégrée (CPI).

Les membres du CEHD comprennent le statisticien en chef, les statisticiens en chef adjoints et les directeurs généraux (DG). Le CEHD se réunit deux fois par année pour établir l'orientation de l'organisme et définir sa stratégie d'investissement à long terme. Le CPI se réunit une fois par mois et est responsable de l'ensemble des activités de l'organisme relatives à la production de rapports, au ressourcement, au personnel et aux investissements.

Le CPI relevait auparavant du Conseil exécutif de gestion (CEG), mais il a été remanié en septembre 2017 à la suite de changements apportés à la structure de gouvernance de Statistique Canada. Le CEG a été restructuré pour s'assurer que les décisions sont prises au bon niveau et que les employés ont le droit de prendre des décisions pour mieux appuyer l'initiative de modernisation. Il a été remplacé par les trois comités suivants : le Comité de gestion stratégique, le Comité de la planification intégrée (CPI) et le Comité des opérations. Les membres du CPI comprennent le statisticien en chef, le chef de cabinet, tous les statisticiens en chef adjoints, le dirigeant principal de la vérification et de l'évaluation et les DG responsables des secteurs de service.

Le CPI reçoit de l'information sur les RH par l'entremise du Comité des ressources humaines (CRH) de l'organisme. Le rôle du CRH consiste à fournir au CPI des conseils et une orientation stratégique au sujet des mesures relatives à l'effectif et au milieu de travail quant à l'acquisition, à la formation, à l'affectation, à l'avancement professionnel et au maintien en poste des employés de Statistique Canada. Le CRH est également un comité de supervision des sous-comités d'acquisition des talents des RH (planification, attraction et recrutement), de mobilisation des talents et du mieux-être en milieu de travail (accueil, mobilisation et habilitation) et du développement des talents (croissance, perfectionnement et soutien).

Les membres des comités des RH comprennent un ensemble de DG, de directeurs et de directeurs adjoints représentant tous les secteurs de l'organisation, ainsi que des membres du Réseau des jeunes professionnels de Statistique Canada, du Réseau des chefs et des groupes visés par l'équité en matière d'emploi. Les membres sont chargés de communiquer les enjeux au comité et les décisions à leurs collègues. Ces sous-comités n'ont été créés que récemment et commencent à peine à élaborer leur mandat et à proposer des plans de travail en matière de RH pour l'organisme.

Les interviews et les examens des procès-verbaux des réunions du comité ont révélé que ce réseau de comités est chargé d'établir les orientations stratégiques des RH, de déterminer les besoins en RH actuels et futurs et d'élaborer les stratégies et les priorités organisationnelles.

Les rôles et responsabilités des principaux intervenants qui participent à la planification des RH sont clairement définis et documentés dans divers documents publiés par le SCT et Statistique Canada. Les descriptions de poste du niveau de statisticien en chef adjoint jusqu'au niveau de chef comprennent spécifiquement la responsabilité d'élaborer des plans à long terme et d'attribuer les exigences en RH en fonction de ces plans.

Dans l'ensemble, l'organisme a défini des structures de gouvernance pour assurer l'orientation et la supervision de la planification des RH. Les processus sont en place et les rôles et responsabilités sont clairement définis.

Il convient de souligner que bon nombre de ces comités sont relativement nouveaux et n'ont été réorientés pour appuyer les efforts de modernisation que récemment. Par conséquent, un nombre limité d'informations ont été communiquées ou rendues disponibles sur la question de savoir si l'orientation stratégique fournie par les comités de la haute direction est mise en œuvre et exécutée de manière efficace. Ces comités auront l'occasion d'élaborer une solide fonction de surveillance afin d'examiner le succès des stratégies visant l'atteinte des objectifs de modernisation. La surveillance est abordée plus en détail dans la prochaine section du rapport.

Les principaux risques liés à la gestion des RH ont été définis et des mesures d'atténuation ont été déterminées.

Les principaux risques liés à la planification des RH sont définis dans le Profil de risque organisationnel (PRO) de l'organisme. Le PRO désigne le DG de la Direction des ressources humaines (DRH) et le Comité des ressources humaines (CRH) comme responsables des risques liés aux RH.

Un examen des documents a été effectué pour la vision de la modernisation en ce qui a trait à l'effectif moderne et au milieu de travail souple, et les résultats suivants ont été définis : Statistique Canada aura les talents et l'environnement nécessaires pour répondre aux besoins opérationnels actuels, et demeurera ouvert et agile pour s'adapter aux demandes futures. Ce résultat est relié aux risques liés aux RH identifiés dans le PRO 2017-2018 de Statistique Canada, c'est-à-dire « l'incapacité de recruter des employés possédant les compétences et l'expertise requises ».

Des stratégies d'atténuation ont été définies pour ces risques liés aux RH. Les stratégies comprennent l'utilisation du processus intégré de planification stratégique (PIPS) pour veiller à ce que les besoins en RH soient harmonisés avec les ressources financières, et l'utilisation de compétences clés précises telles que définies pour tous les niveaux des groupes Mathématiques (MA), Économique et services de sciences sociales (EC) et Systèmes informatiques (CS).

Les interviews avec la DRH et un examen des documents déposés pendant le PIPS indiquent que ces stratégies d'atténuation sont en cours de mise en œuvre. La DRH fournit au CEHD les principales activités et les mises à jour de l'état d'avancement pendant le PIPS. Des répertoires des compétences pour chaque groupe ont été créés. Les lacunes critiques en matière de compétences dans l'ensemble de l'organisation n'ont pas encore été relevées.

L'équipe de vérification a examiné le processus du PRO de 2018-2019, qui est en cours. Un examen des risques cernés dans chaque secteur indique que les risques liés aux RH sont pris en compte dans l'analyse. Cela comprend les risques que les ressources pour répondre aux besoins émergents en matière de données soient limitées et que certains ensembles de compétences soient indisponibles.

Ces risques et leurs stratégies d'atténuation sont liés au niveau accru de risque organisationnel lié à la crédibilité et à la réputation, qui établit qu'en raison de la portée et de la complexité des transformations importantes réalisées dans le cadre de l'initiative de modernisation, il existe un risque que les objectifs de l'initiative ne soient pas entièrement atteints et que et les attentes élevées des utilisateurs ne soient pas entièrement comblées, ce qui entraînerait une perte de crédibilité et de réputation.

Dans l'ensemble, un processus de gestion des risques en cours permettra de déterminer les risques liés aux RH relativement à l'atteinte des objectifs du programme.

Stratégies et processus de planification des RH

La plus récente version du document du SCT intitulé « Planification intégrée : un guide pour les sous-ministres et les cadres supérieurs » détermine une démarche en cinq étapes pour élaborer un processus de planification intégré : déterminer les objectifs opérationnels, analyser l'environnement, analyser les écarts entre les besoins actuels et futurs, établir les priorités liées aux RH pour faciliter l'atteinte des objectifs opérationnels, et mesurer, surveiller et signaler les progrès accomplis.

Les processus de planification des RH sont en place pour répondre aux besoins en dotation à court terme. Les processus et les outils permettant de déterminer, d'intégrer et de surveiller les ensembles de compétences essentiels à long terme n'ont pas été entièrement élaborés.

Déterminer les objectifs opérationnels

Le PIPS sert à déterminer les objectifs opérationnels de l'organisme, qui établissent des perspectives d'investissement à long terme en matière de finances, de technologies de l'information (TI) et de ressources humaines. Ce processus permet de s'assurer que les décisions et les orientations de l'organisation sont intégrées et harmonisées avec les priorités stratégiques organisationnelles, tout en tenant compte des exigences et des capacités en matière de finances, de TI et, surtout, de RH.

L'objectif global du processus de planification des RH de Statistique Canada a été défini comme l'acquisition et le maintien d'un effectif compétent, motivé et souple capable de répondre aux besoins changeants de l'organisme^{Footnote 1}. Les interviews et l'examen des documents ont confirmé que cet objectif a été communiqué et qu'il est bien défini dans le cadre de l'initiative de modernisation.

Analyser l'environnement et les écarts

L'analyse de l'environnement et l'analyse des écarts sont effectuées principalement au moyen d'une analyse à l'échelle de l'organisme qui est préparée par la DRH et qui comprend des évaluations de l'effectif et du marché du travail. Les résultats de cette analyse sont présentés dans un tableau de bord des RH, qui est fourni aux divisions et présenté aux comités de la haute direction.

Les interviews avec les gestionnaires de programme ont permis de constater que ces données peuvent être de trop haut niveau. Par conséquent, de nombreux gestionnaires de programme choisissent d'effectuer leur propre analyse. Les interviews avec la DRH ont indiqué qu'elle peut effectuer une analyse détaillée des données à un niveau utile pour les gestionnaires de secteur, mais cela n'a pas été communiqué aux divisions.

Pour élaborer l'analyse des écarts à l'échelle de l'organisme, la DRH consulte les conseils de planification des secteurs au sujet des compétences et des besoins. Cela mène à la détermination des processus de recrutement et des besoins pour les processus de dotation collective.

La DRH participe également aux examens financiers mensuels en partenariat avec les agents de programme et les agents financiers. Les agents financiers dirigent les gestionnaires dans l'examen et la mise à jour des budgets et des exigences en matière de dotation à court terme, tout en assurant le suivi des répercussions financières des activités de dotation anticipée.

La DRH a indiqué que, bien que des discussions sur la planification aient lieu avec les secteurs au sujet des postes vacants actuels et futurs, les consultations avec chaque division au sujet des ensembles de compétences essentiels ont été limitées.

De plus, les interviews ont confirmé qu'il n'existe pas de document d'orientation ni d'outil pour effectuer la planification des RH à court et à long terme. La haute direction fournit l'orientation sur la planification par l'entremise des comités de gouvernance et des conseils de planification des secteurs.

En l'absence d'outil ou de directive, seules quelques divisions incluses dans l'échantillon de vérification avaient examiné et documenté officiellement leurs besoins opérationnels à long terme. L'un des secteurs a élaboré des plans à long terme, y compris un examen de ses exigences opérationnelles. Il s'agit d'une pratique qui pourrait être partagée à l'échelle de l'organisation pour assurer une démarche intégrée et uniforme.

Le processus de planification actuel aide à déterminer les besoins des divisions pour pourvoir les postes vacants à chaque niveau de classification, et l'organisation a adopté une démarche proactive pour disposer de bassins d'employés préqualifiés afin de répondre à ses besoins. Toutefois, compte tenu des nouveaux ensembles de compétences requis pour appuyer la modernisation, cela ne sera peut-être plus suffisant pour appuyer la planification à long terme.

Il existe des occasions pour la DRH d'élaborer une approche intégrée et structurée pour déterminer les besoins en dotation à long terme afin de déterminer, de perfectionner, de recruter et de maintenir en poste les ensembles de compétences essentiels nécessaires pour atteindre les objectifs de modernisation à long terme.

Établir les priorités liées aux RH

Les activités de planification des RH à long terme sont réalisées par la DRH. La DRH est responsable de l'élaboration du Plan intégré des activités et des ressources humaines (PIARH). Le PIARH opérationnalise l'orientation fournie dans les processus de planification stratégique et établit les priorités liées aux RH. Le plan, qui a été préparé pour la dernière fois en 2015, couvre la période de 2016 à 2018 et décrit les principales priorités liées à la dotation interne et externe, au perfectionnement de l'effectif et à l'amélioration des services de RH à Statistique Canada sur une période de trois ans.

Le PIARH n'a pas encore été mis à jour pour tenir compte des exigences opérationnelles actuelles de Statistique Canada et, plus précisément, des initiatives de modernisation. Les interviews avec la DRH ont indiqué qu'un PIARH mis à jour et remanié sera élaboré au cours de l'exercice 2018-2019 et qu'il intégrera les plus récentes stratégies.

Mesurer, surveiller et signaler les progrès accomplis

L'équipe de vérification a examiné les processus de surveillance des RH en place au niveau organisationnel et au niveau de la division afin de déterminer si les stratégies de RH atteignent le résultat souhaité.

La surveillance des progrès des RH par rapport à la stratégie de RH se fait principalement dans le cadre du Plan de surveillance de la dotation (PSD), qui a été présenté au CRH (janvier 2017) et à la haute direction (mai 2017), qui l'ont approuvé.

L'examen du PSD a révélé qu'il existe des indicateurs mesurables pour surveiller les tendances en matière de dotation organisationnelles afin de s'assurer que les activités de dotation menées par la DRH demeurent efficaces.

Les données recueillies dans le cadre du PSD sont classées dans trois catégories :

1. Efficacité de la dotation permettant la transformation de Statistique Canada : les mesures de cette catégorie comprennent la capacité d'attirer des talents de l'extérieur de l'organisation, la gestion efficace du bassin de candidats, la qualité des recrues, la mobilité du personnel et les ensembles de compétences essentiels.
2. Efficacité de la nouvelle orientation en matière de dotation : les mesures comprennent l'utilisation appropriée des nominations non annoncées, l'ambiance globale du système des RH (composante de dotation), la mise en œuvre des niveaux de subdélégation réduits, l'accès aux processus de sélection et la santé globale du système de dotation de Statistique Canada.
3. Contrôle de la qualité – Conformité au cadre législatif : les mesures comprennent l'application de la Loi sur l'embauche des anciens combattants et les droits de priorité, la conformité aux dossiers de dotation, l'utilisation appropriée de la dotation non impérative et l'utilisation appropriée du Décret d'exemption concernant les langues officielles dans la fonction publique.

Les autres outils de surveillance au sein des divisions comprennent les tableaux de bord des RH et les organigrammes de la base de données OrgPlus. Ces outils fournissent aux divisions de l'information pour gérer les besoins en dotation actuels.

Dans l'ensemble, il existe des outils pour mesurer la dotation et la planification des RH à court terme et en rendre compte. Toutefois, le succès de stratégies de modernisation des RH comme un milieu de travail moderne et souple et une démarche renouvelée en matière de recrutement n'a pas encore été mesuré et n'a pas encore fait l'objet de rapports. Au fur et à mesure que l'organisation élabore le PIARH, il faut tenir compte de la façon dont elle mesurera et surveillera le rendement des stratégies de RH et en rendra compte. Cela comprend l'établissement de cibles concrètes.

Recommandation

Il est recommandé que le statisticien en chef adjoint, Services intégrés et le dirigeant principal des finances s'assurent :

• qu'il existe un plan intégré des activités et des ressources humaines mis à jour avec les priorités liées aux RH, tel que défini dans le processus de planification stratégique;
• que la Direction des ressources humaines consulte les divisions et communique avec elles au sujet des besoins en RH et élabore des outils et des directives en vue de la création de plans à court et à long terme dans le cadre du Plan intégré des activités et des ressources humaines;
• qu'il existe une méthode pour mesurer les progrès accomplis dans l'atteinte des objectifs de modernisation des RH à long terme et en rendre compte.

Réponse de la direction

L'organisation s'appuie sur des bases solides et de longue durée en matière de planification des ressources humaines. Cette approche a très bien servi l'organisation au fil des ans et fournit des idées et des outils pour gérer de façon proactive la nature cyclique et la complexité de ses programmes au fil du temps. Le processus de modernisation dans lequel s'engage l'organisation et les nouveaux types de compétences et d'ensembles de compétences nécessaires pour se conformer à ces priorités ont été au cœur de notre amélioration continue afin de répondre à ces besoins d'une manière encore plus intégrée et stratégique. À cette fin, un certain nombre de nouvelles stratégies ont été élaborées et sont mises en œuvre. La dernière étape consiste maintenant à regrouper ces stratégies dans un plan des activités et des ressources humaines global et intégré pour 2018-2019 et au-delà.

La direction est d'accord avec les recommandations et prendra les mesures suivantes :

En 2017-2018, la Direction des RH a intégré la planification à ses priorités et ses activités afin d'établir une base solide pour appuyer les besoins et les efforts de modernisation de l'organisme. Au cours de la dernière année, la DRH :

• a stabilisé les postes de directeur (processus EX-01/EX-02 pour doter quatre postes vacants);
• a réorganisé la charge de travail et la capacité de corriger les lacunes et les sources de tension supplémentaires comme Phénix;
• a établi les sous-comités du CRH (de l'acquisition des talents, de perfectionnement des talents et de mobilisation des talents et du mieux-être en milieu de travail) pour établir l'orientation stratégique, cerner les besoins actuels et futurs, confirmer les exigences, et élaborer les stratégies et établir les priorités organisationnelles;
• a utilisé une optique d'analyse opérationnelle des RH pour établir des renseignements de base sur les RH dans les secteurs des besoins en matière de gestion des talents, des exigences en matière de compétences et d'ensembles de compétences, des partenariats possibles avec des établissements d'enseignement, des stratégies de recrutement, etc.;
• a établi un modèle de partenariat d'affaires en RH interne qui apparie un client (c.‑à‑d. le SCA) à un conseiller principal en RH qui agit comme principal point de contact pour une vaste gamme de services et de conseils en RH.

En 2018-2019, la DRH s'appuiera sur le succès obtenu en 2017-2018 en élaborant un Plan intégré des activités et des ressources humaines (PIARH) mis à jour qui donne des précisions sur les points suivants :

• Principales priorités liées aux RH à l'appui de la modernisation;
• Stratégies de RH fondées sur des données probantes et des mesures;
• Gouvernance des TI;
• Mesure des résultats et rapports sur ceux-ci.

Dans le cadre du PIARH, la DRH élaborera un cadre pour maintenir une communication et une consultation continues avec les divisions sur les besoins en RH et élaborera des outils et des directives à l'intention des divisions à l'appui de la planification des RH.

En annexe au PIARH, la DRH élaborera un cadre de mesure afin de mesurer les progrès accomplis dans l'atteinte des objectifs de modernisation des RH à long terme et d'en rendre compte.

Produits livrables et échéanciers :

Le DG des RH :

• rédigera le PIARH et le présentera au CRH pour obtenir des commentaires. Le PIARH sera soumis au Comité de gestion stratégique (CGS) pour approbation finale et publié sur le RCI et communiqué à tout le personnel d'ici le 30 juin 2018;
• rédigera le cadre de communication et de consultation dans le PIARH d'ici le 30 juin 2018;
• rédigera le cadre de mesure avec l'échéancier de production de rapports en annexe du PIARH d'ici le 30 juin 2018;
• mettra en œuvre le cadre du PIARH et communiquera avec les divisions au sujet des outils existants et élaborera de nouveaux outils au besoin d'ici le 31 mars 2019.

Annexes

Annexe A : Critères de l'audit

Annexe B : Sigles

CPI

Comité de la planification intégrée

CS

Systèmes informatiques

PRO

Profil de risque organisationnel

PDM

Plan de dotation ministériel

RH

Ressources humaines

EC

Économique et services de sciences sociales

CEG

Conseil exécutif de gestion

CPS

Conseil de planification du secteur

DGR

Direction des ressources humaines

CRH

Comité des ressources humaines

PIARH

Plan intégré des activités et des ressources humaines

PIPS

Processus intégré de planification stratégique

TI

Technologies de l'information

MA

Mathématiques

EFM

Examens financiers mensuels

SCT

Secrétariat du Conseil du Trésor du Canada

PSD

Plan de surveillance de la dotation

Sommaire

La sécurité physique au sein du gouvernement du Canada est gouvernée par la Politique sur la sécurité du gouvernement, la Directive sur la gestion de la sécurité ministérielle et la Norme opérationnelle sur la sécurité physique du Conseil du trésor (CT). La Politique du CT définit la sécurité du gouvernement comme l'assurance que l'information, les biens et les services ne sont pas compromis et que les personnes sont protégées contre la violence en milieu de travail.

Les administrateurs généraux sont responsables de la mise en œuvre efficace de contrôles matériels au sein de leurs ministères et de la nomination d'un agent ministériel de la sécurité pour gérer le programme de sécurité du ministère.

Statistique Canada gère la sécurité physique dans les quatre immeubles de la région de la capitale nationale. Ceci inclus trois immeubles reliés entre eux au pré Tunney à Ottawa, en Ontario, et d'un immeuble à Gatineau, au Québec, lequel est principalement utilisé pour effectuer le recensement aux cinq ans. Ces immeubles comprennent les bureaux des employés de Statistique Canada, d'autres locataires ainsi que des biens, données et services essentiels du gouvernement.

L'audit visait à fournir au statisticien en chef du Canada et au Comité de vérification de Statistique Canada l'assurance que :

• Le cadre de contrôle de gestion de Statistique Canada au chapitre de la sécurité physique est adéquat et efficace;
• Les pratiques et mesures de sécurité physique adoptées par Statistique Canada pour protéger les installations, les biens et les renseignements et d'en gérer l'accès sont conformes aux instruments de politiques pertinents du CT et de Statistique Canada en matière sécurité physique.

L'audit a été mené par la Division de l'audit interne conformément à la Politique sur l'audit interne du gouvernement du Canada.

Pourquoi est-ce important?

Pour réaliser son mandat, Statistique Canada a accès à des renseignements statistiques de nature délicate et confidentielle qui, s'ils étaient compromis, pourraient avoir une incidence directe sur la réputation de l'organisme et miner sa crédibilité. Statistique Canada partage ses locaux avec d'autres locataires, et aucun audit de la sécurité physique n'a été réalisé depuis la mise en œuvre de la nouvelle politique sur la sécurité en 2009 et la mise à jour de celle‑ci en 2012. L'audit a été ajouté au plan d'audit fondé sur les risques afin de fournir l'assurance que l'information, les biens et les services ne sont pas compromis et que les personnes sont protégées contre la violence en milieu de travail.

Principales constatations

Statistique Canada est doté d'une structure de gouvernance pour soutenir son programme de gestion de la sécurité physique, lequel comporte des rôles, des responsabilités, des politiques et des procédures clairement définis.

Des processus sont en place pour s'assurer que les employés possèdent une cote de sécurité et qu'ils reçoivent une formation sur les pratiques et exigences de sécurité. Pendant le processus de filtrage de sécurité, certains renseignements personnels relatifs à la sécurité sont échangés entre bureaux de la sécurité gouvernementaux au moyen de courriels non chiffrés.

Un plan de sécurité ministériel est en place pour soutenir la gestion de la sécurité physique de l'organisme ainsi qu'un plan pour s'assurer de la poursuite des activités en cas d'urgence.

L'accès physique aux installations de Statistique Canada est restreint au personnel possédant une cote de sécurité, [Cette information a été expurgée].

Les évaluations de la menace et des risques à la sécurité physique ne sont pas effectuées, ce qui limite la capacité de la gestion à prendre des décisions éclairées sur les contrôles de sécurité matériels, dont une approche adoptée à l'échelle de l'organisme concernant les zones et les contrôles de sécurité fondés sur des critères préétablis.

Certaines pratiques opérationnelles pourraient être améliorées afin de renforcer l'approche de l'organisme au chapitre de la sécurité. Cela nécessite de conclure des ententes écrites avec les locataires de l'immeuble (p. ex., d'autres ministères gouvernementaux) et de créer une fonction de remise en question pour s'assurer que les cartes d'identité sont portées en tout temps de façon visible.

Des pratiques de surveillance et de production de rapport sont en place, mais elles ne sont pas optimisées pour le soutien de la gestion de la sécurité physique. Il n'existe aucune définition documentée de ce qu'est exactement un incident de sécurité, aucun processus défini de renvoi au niveau supérieur pour les incidents de sécurité et aucune base de données centralisée sur les incidents.

Conclusion générale

De façon générale, Statistique Canada se conforme aux instruments de politique pertinents du CT et de Statistique Canada. Il existe une structure de gouvernance qui comprend des responsabilités et des rôles clairement définis. Des mesures de contrôles de sécurité matériels fournissent un accès aux personnes ayant fait l'objet d'un filtrage de sécurité, et il y a surveillance des incidents de sécurité et production de rapports à leur sujet.

Les contrôles au sein de l'environnement de contrôle matériel pourraient être améliorés par l'évaluation régulière des risques détectant les nouvelles menaces, par la mise sur pied d'une hiérarchie de zones de sécurité, et de procédures et protocoles consignés par écrit pour la déclaration d'incidents. La gestion de la sécurité physique se verrait renforcée par l'optimisation des pratiques de surveillance et de production de rapports afin de renforcer la posture globale de sécurité à Statistique Canada.

Conformité aux normes professionnelles

L'audit a été réalisé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA).

L'application de procédures d'audit suffisantes et appropriées et le rassemblement de données appuient l'exactitude des constatations et des conclusions du présent rapport et donnent une assurance de niveau audit. Les constatations et les conclusions sont fondées sur une comparaison des conditions, telles qu'elles existaient au moment de l'audit, au regard de critères d'audit préétablis. Les constatations et les conclusions s'appliquent à l'entité examinée et pour la portée et la période de référence de l'audit.

Steven McRoberts
Dirigeant principal de la
vérification et de l'évaluation

Introduction

Contexte

La sécurité physique au sein du gouvernement du Canada est régie par la Politique sur la sécurité du gouvernement, la Directive sur la gestion de la sécurité ministérielle et la Norme opérationnelle sur la sécurité physique du Conseil du trésor (CT). La Politique du CT définit la sécurité du gouvernement comme l'assurance que l'information, les biens et les services ne sont pas compromis et que les personnes sont protégées contre la violence en milieu de travail. Les administrateurs généraux sont responsables de la mise en œuvre et de la gouvernance efficace de la sécurité et de la nomination d'un agent ministériel de la sécurité (AMS) pour gérer le programme de sécurité du ministère.

À Statistique Canada, le directeur général de la Direction des opérations a été nommé comme AMS et assure la présidence du Comité de coordination de la sécurité (CCS). L'AMS est responsable de toutes les questions de sécurité, dont la sécurité physique des immeubles de Statistique Canada à Ottawa et des bureaux régionaux dans d'autres villes.

Statistique Canada gère la sécurité physique des quatre immeubles de la région de la capitale nationale. Ceci inclus trois immeubles interconnectés au pré Tunney à Ottawa en Ontario, et d'un immeuble à Gatineau, au Québec, lequel est principalement utilisé pour effectuer le recensement aux cinq ans. Ces immeubles comprennent les bureaux des employés de Statistique Canada, d'autres locataires ainsi que des biens, données et services essentiels du gouvernement.

Objectifs de l'audit

L'audit visait à fournir au statisticien en chef et au Comité de vérification de Statistique Canada l'assurance que :

• Le cadre de contrôle de gestion de Statistique Canada au chapitre de la sécurité physique est adéquat et efficace.
• Les pratiques et mesures de Statistique Canada touchant la sécurité physique en vue de protéger les installations, les biens et les renseignements de l'organisme et d'en gérer l'accès sont conformes aux instruments de politique pertinents du CT et de Statistique Canada en matière de sécurité physique.

Portée

L'audit consistait à examiner le programme de sécurité physique de Statistique Canada et à déterminer la mesure dans laquelle il permet la coordination et la gestion efficace des activités ministérielles de sécurité. L'audit a également observé la mesure dans laquelle le programme de sécurité est soutenu par une structure de gouvernance appropriée présentant des responsabilités claires, ainsi que des objectifs clairement définis qui cadrent avec les politiques, priorités et plans plus vastes de l'organisme.

L'audit ne comprenait pas l'évaluation de la sécurité physique pour les bureaux régionaux de Statistique Canada. Une visite de l'immeuble DE Gatineau a été effectuée, mais des tests approfondis n'y ont pas été effectués, car l'immeuble a été jugé comme présentant de faibles risques en raison de son utilisation et de son occupation limitées.

Approche et méthodologie

L'approche d'audit comprenait l'examen et l'analyse de documents pertinents, des entrevues avec des membres clés de la gestion et du personnel, des tests et une visite des quatre immeubles de la région de la capitale nationale, de même que l'examen des processus et des pratiques liées aux mesures de sécurité physique. Pendant la phase d'examen, l'équipe de l'audit s'est penchée sur la gouvernance, ainsi que les processus et procédures de gestion et de contrôle du risque, a examiné les mesures de protection matérielles et a comparé les pratiques de sécurité actuelles aux pratiques exemplaires et aux lignes directrices fournies par le Secrétariat du Conseil du trésor du Canada.

L'audit a été réalisé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA).

Autorité

L'audit a été mené en vertu des pouvoirs prévus dans le Plan d'audit et d'évaluation fondé sur les risques pour la période allant de 2016-2017 à 2020-2021, qui a été approuvé par Statistique Canada.

Constatations, recommandations et réponse de la direction

Une structure de gouvernance est en place à l'appui du programme de gestion efficace de la sécurité physique

Une structure efficace de gouvernance de la sécurité physique permet la coordination d'activités par l'attribution claire des responsabilités de gestion et de surveillance des contrôles de sécurité matériels afin d'atteindre les objectifs du programme.

La surveillance à Statistique Canada est fournie par le Comité de coordination de la sécurité (CCS). Relevant du Conseil exécutif de gestion, le CCS supervise tous les aspects des enjeux de sécurité du domaine de la technologie de l'information (TI) et de la gestion de l'information (GI) et est composé de représentants de tous ces groupes, ainsi que les installations et les ressources humaines. Le rôle principal du CCS est d'examiner et d'étudier les questions portant sur la sécurité et d'apporter son aide et ses conseils dans le cadre de l'élaboration des politiques, procédures et programmes appropriés, y compris les programmes de formation et de sensibilisation. Le CCS se réunit chaque mois et des processus formels sont en place à l'appui de son mandat.

Le directeur général des Opérations, relevant du statisticien en chef adjoint (SCA), Secteur du recensement, des opérations et des communications, est l'AMS désigné à Statistique Canada et préside le CCS. La directrice des Services de soutien intégrés relève du directeur général des Opérations, et s'est vue assigner le rôle d'agente de sécurité adjointe du ministère (ASAM), et est responsable des opérations de sécurité physique à Statistique Canada.

Les postes correspondant à la gestion de la sécurité physique sont documentés de manière formelle et cadrent avec les rôles et responsabilités de chaque poste. L'organigramme est à jour et a permis d'établir des voies de communications et de production de rapport clairs. La chef de la Sécurité, qui est responsable de toutes les questions opérationnelles au chapitre de la sécurité physique, relève de la directrice des Services de soutien intégrés et rencontre l'ASM ainsi que l'ASAM chaque semaine pour discuter des enjeux de sécurité physique.

Les membres clés du personnel de sécurité à Statistique Canada ont suivi une formation sur la sécurité pour demeurer au fait des nouveautés dans la gestion de la sécurité. Cette pratique est conforme à la Directive sur la gestion de la sécurité ministérielle du CT qui requiert que les AMS et les praticiens de la sécurité reçoivent une formation adéquate et actualisée pour s'assurer qu'ils possèdent les connaissances et les compétences nécessaires pour s'acquitter efficacement de leurs responsabilités en matière de sécurité.

Les politiques au chapitre de la sécurité physique fournissent une orientation aux gestionnaires, aux employés et aux partenaires au sujet de l'exercice de leurs responsabilités de sécurité. Statistique Canada suit les instruments de politique du CT portant sur la conformité de la sécurité physique et a créé, à l'interne, un Manuel des pratiques de sécurité. Il s'agit d'un guide complet comprenant huit chapitres portant sur la sécurité physique, la sécurité relative à la TI et à la GI, ainsi qu'un chapitre sur la structure de sécurité de Statistique Canada.

Un plan de sécurité ministériel et un plan de poursuite des activités sont en place

Le plan de sécurité ministériel (PSM) décrit les objectifs du programme de sécurité de l'organisme, détermine les risques et les stratégies d'atténuation des risques et précise la façon dont les ressources financières et humaines devraient être déployées. Il s'agit d'un instrument de contrôle clé dans la coordination des activités de sécurité organisationnelles.

Un PSM est en place pour Statistique Canada et est coordonné par le Bureau de la sécurité, la Division de la technologie de l'information, la Division de la gestion de l'information et le CCS. Le PSM est examiné et approuvé par l'AMS, le CCS et le Conseil exécutif de gestion et signé par le statisticien en chef. L'examen du procès-verbal du CCS a montré que l'on donne suite régulièrement aux mesures émanant du processus annuel du PSM.

Un plan de poursuite des activités (PPA) indique les activités qui auront lieu en cas d'incident critique qui empêche l'accès physique ou électronique aux systèmes clés. Il permet de s'assurer que Statistique Canada peut continuer à mettre en œuvre les programmes et les services essentiels à sa mission.

Un PPA est en place à Statistique Canada. Ce plan énumère treize programmes et services qui doivent disposer d'un PPA et nommer un chef de PPA. De plus, Statistique Canada est doté d'un PPA global (à l'échelle de l'organisme) qui intègre les treize PPA ainsi que la gouvernance, les rôles et responsabilités, et sert de document complet de référence. L'audit n'a pas mené de tests détaillés sur l'efficacité des plans en place, car ce domaine sera couvert en profondeur à l'occasion d'un prochain audit dans le cadre du Plan d'audit et d'évaluation fondé sur les risques.

Les procédures de filtrage de sécurité du personnel sont appliquées de façon uniforme conformément à la Politique sur la sécurité du gouvernement du CT; certains renseignements personnels relatifs à la sécurité ont été transmis vers d'autres bureaux de la sécurité gouvernementaux au moyen de courriels non chiffrés.

Le processus d'obtention de cote de sécurité fait en sorte que seules les personnes autorisées qui satisfont aux exigences de sécurité puissent accéder aux installations, systèmes et données de Statistique Canada.

Statistique Canada a adopté deux niveaux de filtrage de sécurité :

• Cote de fiabilité – obligatoire pour tous les employés de Statistique Canada. Les exigences à satisfaire sont : la vérification du crédit et la vérification d'antécédents criminels par la prise d'empreintes digitales. La cote est valide pendant 10 ans;
• Cote de sécurité de niveau secret – obligatoire pour tous les cadres supérieurs de Statistique Canada. Les exigences à satisfaire sont : la vérification du crédit et la vérification d'antécédents criminels par la prise d'empreintes digitales, ainsi que l'évaluation de la loyauté de l'employé par le Service canadien du renseignement de sécurité. La cote est valide pendant 10 ans.

L'équipe de l'audit a sélectionné de façon discrétionnaire un échantillon de cotes de sécurité d'employés pour effectuer un test. On a constaté que toutes les procédures relatives aux cotes de sécurité avaient été appliquées de façon uniforme, précise et complète. De plus, des revues générales ont montré que les renseignements conservés au Bureau de la sécurité sont stockés dans le lecteur sécurisé du Bureau de la sécurité sur le réseau A. Tous les dossiers sont protégés au moyen de groupes de sécurité et leur accès est restreint à certains employés.

Des tests ont permis de révéler que certains renseignements personnels relatifs à la sécurité (classés comme renseignements Protégé B) d'employés en détachement ou en affectation en provenance d'autres ministères ou vers ces derniers sont transmis entre les bureaux de la sécurité gouvernementaux au moyen de courriels non chiffrés. La Directive sur la transmission de renseignements protégés de Statistique Canada exige l'utilisation du service de courriel pangouvernemental doté de l'option de chiffrement. La Directive sur la gestion de la sécurité ministérielle du CT nécessite que les enquêtes de sécurité du personnel soient effectuées dans le respect des normes du gouvernement du Canada et puissent être transférées d'un ministère à l'autre.

Le processus de renouvellement du filtrage de sécurité est surveillé par le Bureau de la sécurité. Tous les trois mois, le Bureau de la sécurité demande un rapport aux Ressources humaines qui indique les employés dont les cotes de sécurité expireront au cours des trois mois suivants. L'audit a sélectionné au hasard un échantillon de quinze employés et a demandé à voir si leur cote de sécurité avait été renouvelée. Aucune exception n'a été constatée.

Un programme de sensibilisation à la sécurité est en place et une formation à la sécurité est obligatoire pour les employés

Des activités de formation et de sensibilisation offrent aux employés des renseignements sur les responsabilités quotidiennes au chapitre de la sécurité afin de protéger les personnes et de s'assurer que les systèmes, les biens et les données sont protégés contre les accès non autorisés.

La sensibilisation à la sécurité à Statistique Canada comprend une semaine de sensibilisation chaque année et des communications régulières. L'examen des comptes-rendus du CCS a révélé que la sensibilisation à la sécurité est au premier plan des discussions du comité. Des renseignements sont diffusés régulièrement sur des enjeux, des politiques et des procédures de sécurité. Il s'agit de renseignements de sécurité affichés sur les écrans dans divers secteurs de l'immeuble (le hall, la cafétéria, entre autres).

Une formation à la sécurité est obligatoire pour les employés de Statistique Canada. Tous les employés sont tenus de suivre le cours Sensibilisation à la sécurité offert par l'École de la fonction publique du Canada. Il s'agit d'un cours en ligne fournissant aux employés la connaissance et les outils leur permettant d'assumer leurs responsabilités en vertu de la Directive sur la gestion de la sécurité ministérielle du CT, et les sensibilise afin de réduire l'exposition de Statistique Canada aux risques de violation des politiques et des procédures de sécurité.

Tous les nouveaux employés doivent suivre ce cours au moment de l'embauche et, depuis septembre 2016, tous les employés actuels doivent suivre le cours avant de renouveler leur carte d'identité. L'exigence relative à la formation est indiquée dans le Guide du nouvel employé et le Manuel d'orientation, et cette formation fait l'objet d'un suivi.

L'examen du rapport de suivi (janvier 2017) a été effectué pour évaluer si les employés se conforment à l'exigence. L'audit a constaté que, en septembre 2016, la plupart des personnes avaient déjà suivi la formation, et que les autres étaient en formation.

Recommandation

Il est recommandé que le statisticien en chef adjoint du Secteur du recensement, des opérations et des communications s'assure que :

• Les renseignements personnels relatifs à la sécurité des employés en détachement ou en affectation sont communiqués à d'autres bureaux de la sécurité gouvernementaux conformément à la Directive sur la transmission de renseignements protégés de Statistique Canada.

Réponse de la direction

La direction accepte la recommandation.

Produits livrables et échéancier :

L'agent ministériel de la sécurité a envoyé un courriel aux membres du personnel de sécurité pour leur rappeler les exigences en matière de chiffrement.

La directrice de la Division des services de soutien intégrés (DSSI) s'assurera :

• d'élaborer des procédures de sécurité du personnel pour le partage de renseignements avec d'autres bureaux de la sécurité du gouvernement du Canada à la lumière des problèmes de compatibilité de chiffrement d'ici novembre 2017;
• de revoir la Directive sur la transmission de renseignements protégés de Statistique Canada et d'en proposer une révision d'ici le mois de janvier 2018.

Conception et mise en œuvre de mesures de contrôle de la sécurité physique

L'accès aux installations de Statistique Canada est restreint au personnel autorisé. Les évaluations régulières des menaces et des risques ne sont pas réalisées, ce qui limite la capacité de la gestion à prendre des décisions éclairées relatives aux mesures de contrôle de la sécurité physique.

Le complexe de Statistique Canada au pré Tunney à Ottawa comprend trois immeubles reliés, l'immeuble R.-H.-Coats, l'immeuble Principal et l'immeuble Jean-Talon. À titre de locataire principal de ces trois immeubles, Statistique Canada est responsable de la mise en œuvre et de la gestion de l'accès physique aux immeubles. L'immeuble Principal est partagé par quatre ministères : Statistique Canada, Santé Canada, Services partagés Canada et Services publics et Approvisionnement Canada (SPAC). En outre, certains organismes de services occupent également les lieux dans tous les immeubles, tels que les gestionnaires d'installations, le personnel de cafétéria et les fournisseurs de produits de nettoyage.

L'examen de documents ainsi que des entrevues ont révélé que des ententes écrites n'ont pas été établies par Statistique Canada avec d'autres ministères et organismes de services pour la mise en œuvre et la gestion de leurs exigences en matière de sécurité physique. La nouvelle version de la Directive sur la gestion de la sécurité ministérielle en attente d'approbation du CT exige une entente écrite lorsqu'un ministère aide un autre ministère ou un autre organisme à atteindre des objectifs gouvernementaux de sécurité. Des ententes écrites établissent des rôles, des responsabilités et des obligations de reddition de comptes, ainsi que des attentes claires, et sont considérées comme de saines pratiques même en l'absence d'exigences stratégiques.

La conception de mesures de contrôle de la sécurité physique devrait être axée sur une bonne compréhension des risques et des menaces au sein de l'environnement de sécurité physique de Statistique Canada. Une telle conception est rendue possible en réalisant l'évaluation de la menace et des risques (EMR) de façon régulière, tel qu'il est exigé par la politique du CT. Les EMR cernent les risques au moyen d'examens de l'environnement de sécurité, dont les incidents passés de sécurité, les menaces connues, et les vulnérabilités potentielles au chapitre de la sécurité. Circonscrire les risques permet à la gestion de prendre les décisions appropriées quant à la situation de la sécurité de Statistique Canada, dont des décisions relatives au choix d'atténuer les risques par des mesures de contrôle supplémentaires.

Les entrevues menées auprès du Bureau de la sécurité de Statistique Canada ont révélé que les EMR à la sécurité physique n'ont pas été réalisées. La nécessité d'effectuer des EMR a été établie par le Comité de coordination de la sécurité à la réunion de juin 2015. En outre, la description de poste des agents de sécurité indique qu'ils sont responsables de diffuser les conclusions, les résultats et les recommandations découlant des EMR à la direction.

Bien que Statistique Canada n'ait pas encore effectué ses propres EMR, les EMR relatives aux immeubles de Statistique Canada sont menées par le propriétaire des immeubles, soit Services publics et Approvisionnement Canada. Or, les renseignements produits par ces évaluations n'ont pas encore été optimisés par le Bureau de la sécurité pour orienter la conception de contrôles de sécurité.

L'équipe de l'audit a examiné le processus de conception des mesures de contrôle avec le personnel du Bureau de la sécurité. L'immeuble est contrôlé au moyen de deux zones : la zone publique et la zone réglementée. Cela signifie des lecteurs de cartes distincts et des secteurs verrouillés où sont stockés des renseignements et des biens statistiques protégés et classifiés.

Il n'existe pas d'approche adoptée à l'échelle de l'organisme en ce qui a trait aux zones et aux contrôles de sécurité selon des critères préétablis. Les décisions relatives aux mesures de protection supplémentaires sont prises par les divisions. Une approche uniforme pour déterminer les critères permettant de détecter les zones à haut risque aide chaque division à s'assurer d'avoir une quantité appropriée de contrôles matériels dans leurs secteurs, conformément à leurs biens et à leurs fonds de renseignements, et conformément à la posture de sécurité et la tolérance au risque de l'organisme.

L'utilisation d'une carte d'identité électronique donne l'accès général aux immeubles. Dès que les employés obtiennent leur cote de sécurité, il reçoivent une carte qui doit être portée de manière visible et est utilisée pour accéder aux immeubles de Statistique Canada. Des tourniquets électroniques sont installés aux entrées de tous les immeubles et les cartes des employés doivent être balayées pour avoir accès aux zones réglementées. L'activité des cartes d'identité de Statistique Canada est suivie dans le système de sécurité, et les cartes d'identité sont automatiquement désactivées après 90 jours d'inactivité. Si leur carte est perdue ou volée, les employés doivent en aviser le Bureau de la sécurité, lequel désactive immédiatement la carte.

L'équipe d'audit a constaté que les cartes d'identité n'étaient pas portées constamment de façon visible, et qu'aucune fonction de remise en question n'est exécutée par le personnel de sécurité. Des entrevues de suivi auprès du Bureau de la sécurité ont montré que des gardiens de sécurité sont en place et ont l'habitude d'assurer la sécurité physique. Or, ils ne sont pas tenus de demander aux employés de montrer leur carte de sécurité. Les gardiens de sécurité sont seulement tenus d'observer, de surveiller et de faire rapport, mais n'appliquent pas les règles de sécurité.

L'accès aux zones réglementées des immeubles est défini par trois périodes distinctes : les heures régulières, les heures restreintes et les heures de fermeture. L'équipe d'audit a tenté d'accéder aux zones réglementées pendant les heures régulières et en dehors de ces heures, ainsi que dans les secteurs où des contrôles de sécurité supplémentaires étaient déployés. Les tests ont confirmé que des contrôles étaient en place et fonctionnaient efficacement en vue de restreindre l'accès.

Une visite des immeubles [Cette information a été expurgée].

Des pratiques de surveillance et de rapport aux fins de sécurité physique sont en place, mais ne se pas optimisées pour soutenir la gestion de la sécurité physique.

Les processus de surveillance et d'établissement de rapport fournissent à la direction des renseignements sur l'efficacité des mesures contrôle de sécurité physique, ce qui permet aux gestionnaires de cerner les risques et de relever les tendances afin d'apporter des améliorations à ces mesures de contrôle, au besoin.

Statistique Canada mène plusieurs activités afin de surveiller et de faire rapport sur ses mesures de contrôle de sécurité physique.

Des ratissages de sécurité sont effectués chaque mois par les membres du CCS – l'ASM, l'ASAM, le directeur de la Division de la gestion de l'information, ainsi que le personnel de la TI et de la sécurité. À l'heure actuelle, la stratégie du Bureau de la sécurité pour les ratissages de sécurité est de fournir une formation. Pour cette raison, un préavis est donné au directeur de la division afin de mettre au courant le personnel du ratissage de sécurité à venir. L'équipe d'audit a observé un ratissage de sécurité en février 2017. Aucun problème majeur n'a été relevé. Des entrevues ont révélé que les futurs ratissages de sécurité auront lieu sans préavis afin de réaliser un test plus poussé des mesures de contrôle.

Les incidents de sécurité sont surveillés et suivis au moyen de trois bases de données d'incidents distinctes (sécurité physique, GI et TI). Les incidents de sécurité physique visant un large éventail de problèmes sont signalés au Bureau de la sécurité par courriel, par téléphone ou en personne. Il n'existe aucune définition documentée de ce qui est considéré comme un incident de sécurité qu'il conviendrait de saisir dans la base de données des incidents. Cependant, tout ce qui a une incidence sur les activités, la vie ou la santé s'y trouve saisi.

Un échantillon de rapports d'incident de sécurité a été testé pour déterminer si les incidents avaient adéquatement été définis, consignés et signalés. On est allé chercher les documents à l'appui dans la base de données pour vérifier si les renseignements contenus dans la base de données avaient été enregistrés correctement et en temps opportun et si des mesures de suivi avaient été prises.

Les résultats ont révélé que l'enquête et le processus de renvoi au niveau supérieur ne sont pas consignés, qu'il n'existe aucun document relatif aux communications à l'attention de l'ASM, et que, par conséquent, on n'a pas pu vérifier ou tester si ces rapports ont été transmis à l'ASM en temps opportun. Un suivi auprès du Bureau de la sécurité a révélé que les responsabilités d'enquête ne sont pas précisément définies ou intégrées dans un document, et que chaque incident est géré au cas par cas au moyen du jugement professionnel du chef de la Sécurité et d'autres cadres supérieurs. Des communications informelles et des rencontres formelles hebdomadaires sont lieu entre l'ASM et le chef de la Sécurité pour s'assurer que l'ASM est tenu au courant des enjeux urgents. Les incidents de sécurité physique sont signalés chaque mois au CCS. L'audit a permis de constater que, pour tous les incidents examinés dans l'échantillon, le cas échéant, on avait communiqué avec les policiers soit parce que la loi l'exige, soit parce que le chef de la Sécurité l'a jugé nécessaire.

De façon générale, l'audit a constaté que le personnel de sécurité surveille, suit les incidents de sécurité et y fait enquête. Néanmoins, l'établissement de rapport sur les incidents et les pratiques de surveillance ne sont pas optimisés de façon à orienter la posture de sécurité de Statistique Canada. Dégager les tendances relatives aux incidents de sécurité et cerner les nouveaux risques aide la direction à prendre des décisions éclairées en ce qui a trait aux changements apportés aux contrôles de sécurité matériels.

Recommandations

Il est recommandé que le statisticien en chef adjoint du Secteur du recensement, des opérations et des communications s'assure de ce qui suit :

1. Des évaluations de la menace et des risques à la sécurité physique sont régulièrement effectuées afin de prendre des décisions éclairées en ce qui a trait aux zones de sécurité physique et aux contrôles de sécurité;
2. Une hiérarchie de zones discernables est définie, consignée par écrit et communiquée conformément à la définition des zones de sécurité selon le TC, et des ententes écrites sont établies avec d'autres ministères et organismes en vue d'atteindre les objectifs de sécurité du gouvernement;
3. Des processus sont en place pour relever, signaler et suivre les tendances relatives aux incidents de sécurité afin d'apporter des ajustements aux contrôles de sécurité, au besoin.
4. L'exigence stratégique de visibilité des cartes d'identité des employés est appliquée au moyen d'un programme de sensibilisation et d'une fonction de remise en question périodique.

Réponse de la direction

La direction accepte les recommandations formulées.

1. L'évaluation de la menace et des risques à la sécurité physique harmonisée avec le cycle du plan de sécurité ministériel du CT (tous les trois ans) sera effectuée au moyen de tous les renseignements accessibles, y compris, mais sans s'y limiter, les rapports et les tendances en matière d'incidents de sécurité, les EMR des installations et les inspections de la sécurité physique, le Bureau de la sécurité prendra des décisions éclairées sur les zones de sécurité physique et les contrôles de sécurité.

   Le Bureau de la sécurité optimisera les renseignements obtenus au moyen des évaluations de la menace et des risques et des inspections de sécurité physique pendant l'élaboration du plan de sécurité ministériel.

Produits livrables et échéancier

2. La Directive sur la gestion de la sécurité ministérielle ou la Politique sur la sécurité du gouvernement n'exige pas que Statistique Canada conclue des ententes écrites avec d'autres ministères gouvernementaux qui sont soutenus par la Division de la sécurité de Statistique Canada. La version provisoire de la prochaine Directive sur la gestion de la sécurité ministérielle comprend une disposition à cet égard.

   Statistique Canada créera et mettra en œuvre un nouveau protocole d'entente (PE) afin d'indiquer les services de sécurité et les niveaux de sécurité que l'organisme fournira à d'autres ministères gouvernementaux servis par l'équipe de Statistique Canada et avec laquelle ils partagent des locaux.

   Statistique Canada a mis sur pied un plan pour la mise en œuvre de la hiérarchie établie par le Secrétariat du Conseil du trésor (SCT) de zones au moyen de son projet « barrières de sécurité physique et tourniquets ».

Produits livrables et échéancier

3. Le Bureau de la sécurité continuera d'optimiser le CCS afin d'obtenir un point de vue global sur les incidents de sécurité physique, les incidents de sécurité de la TI, et des incidents de gestion de l'information, et renforcera les renseignements communiqués afin de relever les tendances en matière d'incidents et de créer ensuite le moyen de mesurer les incidents.

   La Sécurité se servira des tendances et des mesures des incidents de sécurité afin de prendre des décisions éclairées au sujet des mesures de contrôle de sécurité. Par exemple, la Sécurité se référera aux tendances et aux risques antérieurs relatifs aux incidents de sécurité au moment de mener des inspections de sécurité physique. Ces tendances contribueront à la création des contrôles de sécurité. En outre, ces tendances en matière d'incidents de sécurité seront prises en compte dans le plan de sécurité ministériel.

Produits livrables et échéancier

4. Le Bureau de la sécurité, par l'intermédiaire de diverses voies de communication, continuera de rappeler aux employés de montrer visiblement leur carte d'identité en tout temps lorsqu'ils se trouvent dans les locaux de Statistique Canada. En ce moment, des messages et des affiches comportant ces instructions au sujet du port de la carte d'identité sont affichés partout dans les trois immeubles.

   Un groupe de travail sur la sensibilisation à la sécurité a été mis sur pied afin de renforcer la campagne de la Semaine de la sensibilisation à la sécurité.

   Le Bureau de la sécurité demandera aux gardiens de sécurité de remettre en question, de façon aléatoire, des employés ne portant pas leur carte d'identité de manière visible et leur rappellera de le faire.

Produits livrables et échéancier

• Mettre sur pied un plan de communication dressant la liste des diverses méthodes de communications (p. ex., le thème des cordons, des bulletins d'information) qui seront utilisées pour rappeler aux employés leurs responsabilités en matière de sécurité (c.-à-d. la responsabilité de porter visiblement leur carte d'identité en tout temps dans les locaux de Statistique Canada) d'ici novembre 2017;
• acheter des cordons et les distribuer pendant la Semaine de la sensibilisation à la sécurité (en février 2018) aux employés qui ne portent PAS leur carte d'identité de façon visible (mise à jour des commandes d'affichage, au besoin) d'ici novembre 2017;
• créer un formulaire d'attestation des employés concernant les cartes d'identité déclarant que les employés ont été informés de l'exigence de porter leur carte d'identité de manière visible en tout temps dans les locaux de Statistique Canada. Les employés devront signer ce formulaire avant de recevoir une carte d'identité nouvelle ou renouvelée. Le formulaire sera achevé d'ici novembre 2017.

Annexes

Annexe A : Critères de l'audit

Annexe B : Acronymes

Sommaire

Une initiative de transformation des services intégrés, le projet de l'Examen et automatisation des processus administratifs (EAPA), a été entreprise en 2011 à Statistique Canada pour remanier et standardiser la prestation des services des ressources humaines, des finances et d'approvisionnement ainsi que d'autres services administratifs. Ce projet avait pour but d'accroître l'efficacité et d'améliorer la prestation des services en temps opportun.

Cette transformation comprenait ce qui suit :

• la centralisation du modèle de prestation des services intégrés de Statistique Canada;
• la création du Centre d'expertise pour les voyages;
• l'élaboration d'un carrefour libre-service pour les services administratifs;
• la mise en œuvre d'un système d'approbation électronique des formulaires à l'appui des activités administratives, y compris l'approvisionnement et le paiement des biens et des services.

Étant donné la portée de la transformation, il est essentiel que la conception du nouveau modèle de prestation des services soit soutenue par un cadre de contrôle qui préserve la conformité aux exigences clés en matière de saine gestion financière.

Cet audit visait à fournir l'assurance raisonnable au statisticien en chef et au Comité ministériel de vérification (CMV) que Statistique Canada a maintenu un cadre de contrôle de gestion efficace des processus remaniés au cours du projet de l'EAPA pour assurer la conformité aux politiques et aux lois du gouvernement du Canada.

Pourquoi est-ce important?

L'EAPA est un projet important qui avait pour but d'accroître l'efficacité des processus financiers et administratifs. Compte tenu du niveau de transformation ayant découlé de ce projet, il a été jugé essentiel de confirmer le maintien de la conformité des contrôles clés aux lois et aux politiques qui s'appliquent.

Principales constatations

Les contrôles clés des processus de paiement, de voyage et de dotation expresse sont présentés brièvement dans les schémas et la documentation sur les processus. Il est possible de déterminer les types de contrôles déployés afin d'améliorer l'efficacité du test de contrôle interne.

Le test des contrôles clés a confirmé que toutes les mesures de contrôle fonctionnent comme prévu, incluant les contrôles des technologies de l'information pour assurer l'exactitude et la sécurité des dossiers du pouvoir d'approbation.

Les rôles et les responsabilités dans le cadre du nouveau projet de l'EAPA sont clairement définis et communiqués aux intervenants clés dans les processus remaniés, y compris les sous-sections du soutien administratif, les pouvoirs d'approbation, les voyageurs et les gestionnaires recruteurs. Les personnes ayant des pouvoirs délégués bénéficieraient de renseignements supplémentaires sur le processus de vérification complet afin de réduire le risque de dédoublement des contrôles.

Les risques et les stratégies d'atténuation ont été déterminés et gérés tout au long du projet, et les comités de gouvernance y ont participé efficacement.

Les résultats du projet ont été évalués au moyen de l'utilisation des indicateurs du rendement et sont surveillés de manière continue. Les enjeux déterminés dans le cadre du processus de surveillance sont abordés en temps opportun.

Conclusion générale

Statistique Canada a maintenu un cadre de contrôle de gestion efficace des processus qui ont été remaniés au cours du projet de l'EAPA pour assurer la conformité aux lois et aux politiques du gouvernement du Canada.

Conformité aux normes professionnelles

L'audit a été réalisé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA).

L'application de procédures d'audit suffisantes et appropriées et le rassemblement de données appuient l'exactitude des constatations et des conclusions du présent rapport et donnent une assurance de niveau audit. Les constatations et les conclusions sont fondées sur une comparaison des conditions, telles qu'elles existaient au moment de l'audit, au regard de critères d'audit préétablis. Les constatations et les conclusions s'appliquent à l'entité examinée et pour la portée et la période de référence de l'audit.

_________________________
Steven McRoberts
Dirigeant principal de la
vérification et de l'évaluation

Introduction

Contexte

Une initiative de transformation des services intégrés, le projet de l'Examen et automatisation des processus administratifs (EAPA), a été entreprise en 2011 à Statistique Canada pour remanier et standardiser la prestation des services des ressources humaines, des finances et d'approvisionnement ainsi que d'autres services administratifs. Ce projet a été amorcé dans le but d'accroître l'efficacité et d'améliorer la prestation des services en temps opportun.

Cette transformation comprenait la centralisation du modèle de prestation des services intégrés de Statistique Canada, la création d'un Centre d'expertise pour les voyages, l'élaboration d'un carrefour libre-service pour les services administratifs et la mise en œuvre d'un système d'approbation électronique des formulaires à l'appui des activités administratives, y compris l'approvisionnement et le paiement des biens et des services.

Les Services administratifs de Statistique Canada, en tant qu'organisme du gouvernement du Canada, sont régis par la Loi sur la gestion des finances publiques (LGFP), les Politiques sur les finances, les ressources humaines et l'approvisionnement du Conseil du Trésor (CT) du Canada et la Loi sur l'emploi dans la fonction publique (LEFP). En sa qualité d'administrateur des comptes, le statisticien en chef est responsable de s'assurer que les programmes organisationnels sont exécutés en conformité avec les lois et les politiques du gouvernement.

Compte tenu de la portée des changements découlant du projet de l'EAPA, un audit a été inclus au plan de vérification fondé sur les risques de Statistique Canada afin de confirmer que les exigences en matière de politiques et de lois demeuraient tout de même remplies avec le remaniement des processus administratifs. Au moyen du processus de détermination des risques, l'équipe d'audit a décidé de miser sur les trois transformations principales des processus qui suivent : le processus de paiement, le processus de voyage et le processus de dotation expresse.

Le processus de paiement sert à autoriser l'acquisition et la réception des biens et des services pour les opérations de Statistique Canada. Le processus de paiement a été remanié grâce au projet de l'EAPA en introduisant un système électronique qui permet de saisir toutes les demandes de paiement et à une sous-section administrative centrale spécialisée de vérifier la validité des demandes de paiement. Avant le remaniement, les paiements étaient décentralisés au sein de chaque unité opérationnelle, et des fichiers papier et des signatures rédigées à la main servaient à autoriser les paiements.

Le processus de voyage est utilisé pour les employés en déplacement officiel ou qui participent à des conférences et de la formation. Le projet de l'EAPA comportait la création du Centre d'expertise pour les voyages (CEV), qui est responsable de traiter les opérations relatives aux déplacements des employés. Statistique Canada a établi le CEV afin de réduire le taux d'erreur ainsi que d'assurer la mise en œuvre efficace du système de réservation des voyages du gouvernement du Canada et la conformité avec la nouvelle directive sur les dépenses d'événements. Avant le projet de l'EAPA, toutes les demandes de voyage étaient traitées séparément au sein de chaque unité opérationnelle.

Le processus de dotation expresse permet de soutenir les approbations à faible risque des ressources humaines, telles que l'embauche d'employés occasionnels et d'étudiants. Le projet de l'EAPA a introduit un module libre-service. Les gestionnaires de programme amorcent des mesures de dotation, sans la participation de conseillers en dotation, à l'aide d'un portail numérique.

Objectif de l'audit

Cet audit visait à fournir l'assurance raisonnable au statisticien en chef et au Comité ministériel de vérification (CMV) que Statistique Canada a maintenu un cadre de contrôle de gestion efficace des processus qui ont été remaniés au cours du projet de l'EAPA pour assurer la conformité avec les politiques et les lois du gouvernement du Canada.

Portée

La portée de cet audit comprenait un examen des processus de paiement, de voyage et de dotation expresse, qui ont été remaniés à la suite du projet de l'EAPA. Dans le cadre de l'audit, les contrôles clés ont été examinés en vue de leur intégration au nouveau modèle opérationnel. Les secteurs précis sur lesquels portait l'examen comprenaient l'attribution des rôles, des responsabilités et des obligations de rendre compte ainsi que les mécanismes de contrôle qui ont été établis pour les processus remaniés, y compris les contrôles clés et les activités de gestion des risques.

L'audit a aussi évalué la conformité des contrôles clés dans les processus sélectionnés avec les politiques et les lignes directrices du Conseil du Trésor et de Statistique Canada. En vue de faire des tests de l'efficacité des contrôles, des revues générales de chaque processus ont eu lieu et un échantillon discrétionnaire des opérations a été sélectionné afin d'évaluer la conception des processus, incluant la conformité avec les politiques et les lois pertinentes.

Approche et méthodologie

Le travail d'audit comprenait un examen complet et une analyse de la documentation pertinente, des entrevues avec des membres clés de la haute direction et du personnel, de même que le test des contrôles clés à partir d'un échantillon de processus pour évaluer la pertinence et l'efficacité des processus centralisés et remaniés à la suite du projet de l'EAPA.

Le travail d'audit comportait également un examen et une évaluation des activités entreprises afin d'atténuer et de surveiller les principaux risques qui pouvaient nuire à l'atteinte des résultats du projet, y compris la surveillance continue des rapports axés sur les lacunes et des rapports de rendement.

L'audit a été réalisé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'IIA.

Autorité

L'audit a été mené en vertu des pouvoirs prévus dans le Plan intégré d'audit et d'évaluation fondé sur les risques pour la période allant de 2016-2017 à 2020-2021, qui a été approuvé par Statistique Canada.

Constatations, recommandations et réponse de la direction

Les contrôles clés des opérations administratives sont en place.

Le projet de l'EAPA a permis de remanier les processus de paiement, de voyage et de dotation expresse afin d'accroître l'efficacité et d'améliorer l'exécution en temps opportun de ces opérations administratives. Au cours de ce remaniement, il était essentiel de maintenir les contrôles clés en conformité avec les politiques et les lois. Cela comprend la LGFP, la LEFP ainsi que les directives et les politiques sur la délégation des pouvoirs de signature en matière de finances, les voyages et l'accueil du CT.

Afin d'évaluer le maintien des contrôles clés nécessaires conformément aux politiques et aux lois, l'équipe d'audit a examiné la conception des processus et a fait des tests de contrôles en vue de leur fonctionnement prévu.

L'évaluation de la conception des contrôles clés comportait un examen de la documentation sur les processus, des schémas des processus, des descriptions narratives et des listes de vérification élaborées pour chacune des trois unités opérationnelles.

Le processus de paiement dans le cadre du remaniement du projet de l'EAPA est décrit ci-après. Les factures sont reçues par le comptoir des finances et envoyées au Centre de soutien pour les acquisitions. Un commis de la sous-section administrative (adjoint administratif) vérifie l'exactitude de la facture selon une liste de vérification des comptes prédéfinie. Une copie numérisée de la facture est entrée dans le système. Le superviseur de la sous-section administrative (agent de soutien opérationnel) examine la vérification des comptes pour s'assurer que tous les contrôles clés ont eu lieu. Une fois l'examen terminé, une notification électronique de la facture est envoyée au chargé de projet pour vérifier si les biens et les services ont été reçus et que la facture peut être acquittée. Après la vérification par le chargé de projet, une notification électronique est envoyée à la personne ayant des pouvoirs de signature délégués en matière de finances afin d'approuver le versement du paiement.

L'audit a révélé que deux diagrammes de processus ont été élaborés afin de documenter les sous-processus à jour en lien avec les paiements, y compris le lancement et le traitement des factures ainsi que le paiement de la facture. Les contrôles clés comprenaient l'autorisation (article 32 de la LGFP) et l'approbation des paiements (article 34 de la LGFP). Ces contrôles ont été clairement intégrés aux diagrammes de processus.

Le processus de voyage dans le cadre du remaniement de l'EAPA est décrit ci-après. Un voyageur envoie une demande de voyage, et le CEV entamera la recherche d'options de transport et d'hébergement. Un commis administratif du CEV entrera en contact avec le voyageur et lui communiquera les options selon les meilleurs coûts et les besoins opérationnels. Lorsque les choix sont confirmés, une vérification sera envoyée à la personne ayant le pouvoir délégué d'approuver les choix de voyage. À la suite du voyage, le voyageur soumettra les reçus des coûts engagés à la Direction des finances, qui autorisera le remboursement de tous frais au voyageur. Le paiement sera versé au voyageur en conformité avec le processus de paiement susmentionné.

L'examen de la documentation a révélé qu'un diagramme de processus a été élaboré pour le processus de voyage. Le diagramme donne un aperçu de la gestion et du traitement des plans et des demandes de voyage, des soldes engagés, des engagements, des demandes de remboursement de frais, des demandes anticipées, du rendement du pouvoir de paiement, de l'émission des paiements et de l'autorisation générale. Les contrôles clés comprennent le fait d'assurer que les personnes ont l'autorisation de voyager pour le compte du gouvernement, que les choix liés à l'hébergement et au transport respectent les exigences en matière de politiques et des tarifs du gouvernement du Canada et que les paiements versés aux voyageurs sont vérifiés. Ces contrôles ont été clairement intégrés aux diagrammes de processus.

Le processus de dotation expresse dans le cadre du remaniement de l'EAPA est décrit ci-après. Un carrefour libre-service a été créé. Ce carrefour permet au gestionnaire recruteur d'amorcer des demandes de processus à faible risque des RH, telles que l'embauche d'employés occasionnels et d'étudiants. Lorsqu'une personne autorisée fait une demande dans le carrefour, la sous-section administrative du groupe des RH approuve la demande. La sous-section administrative utilise une liste de vérification pour s'assurer que les exigences en matière de politiques et de lois sont satisfaites avant d'approuver la demande.

L'audit a découvert que deux diagrammes de processus ont été élaborés pour la dotation expresse. Les sous-processus qui comportent un déploiement interne, des affectations intérimaires de moins de quatre mois, des prolongations et des renouvellements, une mutation ainsi que l'embauche à l'externe de personnel à temps partiel et de manière occasionnelle sont formellement documentés. Les contrôles clés des demandes des RH ont été intégrés au processus, y compris ceux pour assurer que les employés occasionnels ne dépassent pas 90 jours dans toute année civile donnée et que les embauches d'étudiant satisfont aux critères d'admissibilité.

L'examen a confirmé que tous les contrôles clés ont été déterminés dans la documentation sur les processus dans le cas des trois processus. Cependant, la documentation sur les processus n'a pas défini les contrôles manuels et les contrôles automatisés. Considérant que l'équipe de la gestion financière doit faire régulièrement des tests de contrôles internes en matière d'établissement des rapports financiers en conformité avec la Politique sur le contrôle interne, déterminer les types de contrôles déployés (manuels par opposition à automatisés) permet d'assurer l'exactitude et l'efficacité de la conception du test de contrôle interne.

Les contrôles clés des opérations administratives fonctionnent comme prévu.

Afin de fournir l'assurance que les contrôles clés fonctionnent comme prévu, l'équipe d'audit a mené des revues générales, des entrevues et des tests d'un échantillon discrétionnaire d'opérations pour chacun des trois processus administratifs.

Dans le cadre d'un examen efficace de l'engagement des dépenses et de la certification que les biens et les services ont été reçus en conformité avec la LGFP, les personnes ayant des pouvoirs délégués d'approbation des paiements doivent se fier sur des renseignements exacts, suffisants, exhaustifs et opportuns dans le but de certifier que les biens et les services ont été reçus. Le test d'un échantillon de paiements a confirmé que les personnes ayant le pouvoir d'approuver les paiements des biens et des services avaient l'autorisation d'approuver les paiements et qu'elles avaient la documentation suffisante à l'appui pour approuver les opérations. De plus, le test a révélé que des contrôles des technologies de l'information étaient en place pour assurer un enregistrement exact des personnes ayant le pouvoir d'approuver et que l'accès pour apporter des changements à ces enregistrements est limité et contrôlé.

La revue générale du processus de voyage a confirmé que la création du CEV au sein de Statistique Canada a permis aux personnes ayant des pouvoirs délégués d'approuver les voyages d'accéder aux demandes et aux itinéraires de voyage, aux réclamations des frais de voyage et aux documents à l'appui des voyages que les experts en la matière du CEV ont préparés et approuvés. Ces documents à l'appui peuvent être revus en ligne dans un système d'application avant l'approbation. Le test détaillé d'un échantillon d'opérations relatives aux déplacements a indiqué que ces opérations respectent les politiques concernant les voyages du gouvernement du Canada. Cela inclut les exigences en matière d'autorisation de voyage, les processus d'hébergement et de transport approuvés et les indemnités quotidiennes.

L'examen du processus de dotation expresse a révélé que deux exigences doivent être remplies au moment de traiter les mesures de dotation expresse; s'assurer que les étudiants répondent aux critères d'admissibilité avant de renouveler leur période d'emploi et s'assurer que la période d'emploi des employés occasionnels ne dépasse pas 90 jours de tout calendrier civil. Des listes de vérification ont été créées aux fins de ce processus. Le test détaillé a indiqué, cependant, que les listes de vérification ne servaient pas toujours. Parmi les fichiers faisant l'objet de tests, quatre sur dix comprenaient une copie de la liste de vérification montrant que les contrôles clés étaient effectués. L'équipe d'audit a procédé à des entrevues de suivi avec l'équipe des RH. L'équipe a fait remarquer que les listes de vérification servent d'outil de formation et qu'elles ne servent pas toujours à montrer que les processus clés sont respectés. Le test détaillé a confirmé que toutes les opérations étaient conformes aux politiques et aux lois, même si la liste de vérification n'a pas toujours servi.

Les rôles et les responsabilités sont en place et communiqués; le processus de vérification peut être présenté brièvement aux personnes ayant des pouvoirs délégués afin de réduire le risque de dédoublement.

Les intervenants clés doivent être informés en temps opportun des changements de leurs rôles, leurs responsabilités et leur imputabilité. De cette manière, ils peuvent remplir efficacement leurs fonctions. En outre, communiquer les avantages des modifications apportées au système permet d'obtenir le soutien en vue de nouvelles initiatives et d'assurer une mise en œuvre réussie.

L'équipe d'audit a examiné le processus de communication des changements apportés aux rôles et responsabilités des sous-sections administratives, des personnes ayant un pouvoir de signature délégué en matière de finances (le pouvoir d'approuver l'approvisionnement et le paiement des biens et des services), des voyageurs et des gestionnaires recruteurs.

Un examen documentaire a révélé que l'équipe de l'EAPA a mis en place un processus de communication général au début du projet et à chaque étape de la transformation pour informer tous les employés des changements à venir. Ce processus comprenait les communications fournies dans le bilan annuel du statisticien en chef, les séances d'information offertes à chaque direction ainsi que les communications hebdomadaires par courriel et dans le site intranet de Statistique Canada. Un examen des documents a confirmé que les employés de tout l'organisme ont été avisés des objectifs, de la portée et des échéances du projet de l'EAPA ainsi que des changements prévus au sein de chaque unité opérationnelle et des incidences prévues sur les opérations.

L'équipe d'audit a en outre découvert que l'information énonçant les changements apportés aux rôles, aux responsabilités et aux obligations de rendre compte qui découlent des modèles opérationnels transformés était communiquée par un outil de référence central en ligne appelé carrefour. Le carrefour a été créé comme une passerelle pour lancer les demandes quotidiennes des services administratifs, financiers, des ressources humaines, informatiques, de gestion de l'information, des communications et des installations.

Le carrefour indique que les rôles, les responsabilités et les obligations de rendre compte des personnes chargées de l'examen et de l'approbation des factures n'ont pas changé à la suite du nouveau modèle opérationnel. La formation standard est la méthode utilisée pour communiquer les rôles, les responsabilités et les obligations de rendre compte des clients. Ces personnes doivent suivre la formation KLICK, qui est offerte par Statistique Canada, et la formation de l'École de la fonction publique du Canada. L'équipe d'audit a fait des tests d'un échantillon de fichiers de personnes pour obtenir la preuve de la participation à la formation obligatoire. Le test a confirmé que les signataires autorisés avaient suivi la formation.

Dans le cas des déplacements, les responsabilités des voyageurs ont grandement diminué à la suite de la transformation qui a découlé du projet de l'EAPA. Le carrefour fournit des directives détaillées par étape sur la manière de présenter une demande de voyage. Les directives fournissent des liens de sorte que les voyageurs puissent remplir leurs responsabilités, y compris celles visant à assurer que les formulaires qui s'appliquent sont utilisés et acheminés par les voies appropriées selon le type de voyage. Ces déplacements comprennent les voyages intérieurs et à l'étranger pour prendre part à des conférences, de la formation et aux opérations régionales.

En ce qui concerne la dotation expresse, les directives sur la façon de remplir et de présenter des demandes (p. ex., la documentation pertinente exigée) ont clairement été documentées dans le carrefour, lequel définit les attentes à l'égard des gestionnaires recruteurs qui utilisent le module libre-service.

L'équipe d'audit ont mené des entrevues détaillées auprès des personnes ayant des pouvoirs délégués, des voyageurs et des gestionnaires recruteurs afin de savoir si les principaux changements apportés à leurs rôles, leurs responsabilités et leurs obligations de rendre compte étaient bien compris et d'évaluer l'efficacité des stratégies de communication pour sensibiliser les utilisateurs quant aux avantages prévus de la transformation. Les entrevues ont corroboré l'efficacité des stratégies de communication afin de diffuser les changements de processus et leurs avantages prévus. Ces entrevues n'ont pas indiqué que les intervenants estimaient que les processus étaient inefficaces ou trop contrôlés.

Toutefois, les entrevues menées auprès d'un échantillon de personnes détenant le pouvoir délégué d'approuver des paiements ont révélé qu'elles ne connaissent pas entièrement les processus de vérification qui sont entrepris avant et après l'examen des opérations exigeant leur approbation. Par conséquent, les personnes ayant des pouvoirs délégués peuvent vérifier les factures de la même façon qu'avant la tenue du projet de l'EAPA et exercer un niveau de contrôle supérieur à ce qui était prévu. Cela pourrait réduire l'efficacité acquise dans le cadre du remaniement.

Enfin, l'équipe d'audit a mené des entrevues auprès du personnel clé des sous-sections administratives pour chacun des processus sélectionnés. Leur compréhension à l'égard des principaux rôles, responsabilités et obligations de rendre compte dans le cadre des nouveaux processus optimisés correspondait à ce qui avait été défini et communiqué. L'équipe d'audit a également examiné les interdépendances des processus pour établir si elles ont été communiquées et prises en compte. L'audit a révélé qu'il n'y avait aucune interdépendance entre les processus.

Les risques du projet de l'EAPA ont été déterminés, gérés et surveillés; le rendement est évalué et surveillé par rapport aux résultats.

Les risques du projet doivent être gérés efficacement pour assurer que les projets atteignent les résultats prévus. La gestion de ces risques exige la détermination, la surveillance et la mise en œuvre efficaces des stratégies d'atténuation aux différentes étapes du projet.

L'audit a révélé que les principaux risques à l'atteinte des résultats du projet ont été cernés par l'équipe de projet de l'EAPA, en collaboration avec les unités opérationnelles, les systèmes et les experts techniques en la matière. Les risques ont été déterminés pour chaque unité opérationnelle visée par les stratégies de transformation et d'atténuation afin d'aborder ces risques.

Chaque unité opérationnelle a déterminé les risques au moyen de la création de cas qui ont été saisis dans le système JIRA, qui comprenait la probabilité et l'incidence de tout risque ou toute stratégie d'atténuation. Cela a eu lieu pour chacun des trois secteurs administratifs dans le cadre de cet audit. Les cas ont été présentés au Bureau de gestion des projets de l'organisme (BGPO) et au Comité consultatif sur l'EAPA pour leur examen et leur approbation.

Parmi les risques cernés par les équipes de projet, les risques liés au mandat de base de l'unité ont été désignés pour la surveillance continue. Ces risques comportaient les taux d'erreur, l'exécution en temps opportun des processus et la satisfaction de la clientèle.

Les risques ont aussi été déterminés quant à la mise en œuvre du système d'Approbation électronique des demandes (AED). Pour établir la feuille de route de la mise en œuvre de la stratégie d'automatisation et d'authentification électronique, les Finances et les TI ont effectué une analyse des politiques en vue de définir les exigences en matière de politiques avant de passer des signatures manuscrites aux approbations électroniques. Des niveaux requis d'assurance ont été fixés et des exigences en matière d'authentification ont été introduites pour chacun des différents niveaux de confidentialité de l'information dans le but d'atténuer les risques connexes. Une évaluation des menaces et des risques a également été préparée avant la mise en œuvre du système AED. La documentation détermine un certain nombre de risques inhérents, dont la plupart présentent un niveau de risque moyen à faible.

L'examen des schémas de processus par l'équipe d'audit a révélé que les risques n'avaient pas été déterminés pour chaque processus examiné. En tant que pratique exemplaire, les schématisations de processus doivent non seulement contenir les contrôles clés, mais indiquer également où le processus est vulnérable aux facteurs de risque et le lien avec les stratégies d'atténuation en place.

Le système JIRA a permis de surveiller les risques. L'examen du contenu du système concernant l'EAPA mené par l'équipe d'audit a décelé que chaque risque déterminé était attribué à un propriétaire, pour la plupart des chefs responsables de l'unité opérationnelle ou un expert en la matière responsable des systèmes ou des aspects techniques du processus.

Les normes de rendement permettent d'assurer que les objectifs du projet sont atteints en matière d'efficacité des processus, de contrôle de la qualité et de satisfaction de la clientèle. Il faut élaborer les normes de rendement selon les résultats attendus du projet et les surveiller régulièrement en vue des déficiences qui seront abordées en temps opportun.

L'audit a révélé que des normes de rendement ont été élaborées pour le projet et qu'elles font toujours l'objet d'une surveillance à la suite de la transformation découlant de l'EAPA.

En ce qui concerne les processus de paiement et de voyage, l'information a été recueillie pour un certain nombre d'indicateurs, y compris les taux d'erreur, le traitement en temps opportun des opérations et la satisfaction de la clientèle. Lorsque les objectifs n'étaient pas atteints, la justification a été documentée et des rajustements ont été apportés aux processus opérationnels, le cas échéant. L'information est produite chaque mois et publiée à l'interne chaque trimestre.

Concernant le processus de dotation expresse, l'exécution en temps opportun du processus est une considération principale. Les Ressources humaines ont établi des normes de rendement pour les divers types de mesures de dotation qui font partie de la dotation expresse et ont mis en œuvre des moyens d'évaluer l'exécution en temps opportun du processus. Les résultats en comparaison des normes de rendement établies concernant le traitement en temps opportun des opérations et les enquêtes sur la satisfaction de la clientèle sont exprimés en pourcentage et sont aussi publiés à l'interne chaque trimestre.

En raison des normes de rendement limitées et des mesures de base n'ayant pas été élaborées avant la tenue de l'EAPA, la mesure de l'économie d'efficience n'est pas exacte dans le cadre du projet. Il a été difficile d'obtenir des mesures du rendement avant l'EAPA compte tenu du passage d'un modèle décentralisé à un modèle centralisé.

Les rapports de surveillance sont examinés par l'équipe des relations avec les clients qui a été créée par la Direction des finances. Les enjeux sont déterminés et abordés en temps opportun avec les membres du personnel clé de chaque unité opérationnelle. Les normes de rendement sont en place et surveillées, et un suivi a lieu concernant les opérations qui ne répondent pas aux attentes.

Recommandation

Il est recommandé que le statisticien en chef adjoint des Services intégrés et dirigeant principal des finances s'assure de ce qui suit :

1. La documentation sur le processus définit si les contrôles sont automatisés ou manuels afin de mieux concevoir l'approche en matière de test de contrôle interne.
2. Les personnes ayant des pouvoirs délégués connaissent entièrement les processus de vérification qui sont entrepris avant et après avoir exercé leurs responsabilités afin d'optimiser l'efficacité selon le remaniement du processus.

Réponse de la direction

La direction est d'accord avec la recommandation.

1. Les contrôles clés liés aux processus de voyage, de dotation expresse et de paiement seront clairement définis comme des contrôles automatisés ou manuels. Par la suite, cette recommandation sera intégrée au cadre de tests des contrôles internes de l'organisme. Cela s'harmonise avec l'examen narratif mené en vertu de la Politique sur la gestion financière.

Produits livrables et échéancier :

2. Aux fins du processus de paiement, une stratégie de communication destinée aux approbateurs de la DSFA sera élaborée et mise en œuvre pour accroître la sensibilisation au processus de vérification ayant lieu avant l'approbation d'un paiement aux termes de l'article 34. En outre, la confirmation dûment effectuée du chargé de projet dans le cadre du processus de vérification des comptes sera clairement définie pour l'approbateur de la DSFA dans le formulaire de paiement électronique.

   Cela réduira la probabilité qu'un approbateur effectue des vérifications redondantes avant l'approbation en vertu de l'article 34. Cela garantira également que le nouvel outil et processus sont utilisés à leur pleine capacité.

   La solution de gestion des voyages sera remaniée à l'aide de la même technologie que le processus de paiement. La date d'échéance de la mise en œuvre est prévue en mars 2018. Les gestionnaires seront avisés des mesures de vérification prises à l'appui de l'approbation des demandes de remboursement des frais de voyage conformément aux articles 32 et 34.

Produits livrables et échéancier :

Annexes

Annexe A : Critères de l'audit

Annexe B : Acronymes