Direction générale de la vérification et de l'évaluation
Mars 2009
Conseillé le 30 avril 2009 par le Comité ministérielle de vérification pour l'approbation du Député ministre
Approuvé par le Député ministre le 1 mai 2009
Table des matières
- 1.0 Sommaire
- 2.0 À propos de la vérification
- 3.0 Constatations et recommandations
- Annexe A: Critères de vérification
- Annexe B: Plan d'action de la gestion
1.0 Sommaire
1.1 Introduction
Le Bureau de la concurrence d'Industrie Canada (le Bureau) est un organisme administratif et d'application de la loi indépendant responsable de protéger et de favoriser un marché canadien concurrentiel ainsi que de permettre aux consommateurs canadiens de faire des choix éclairés. Le chef du Bureau, le commissaire de la concurrence, est nommé en vertu de la Loi sur la concurrence. Outre la Loi sur la concurrence, le commissaire est responsable de l'administration et de l'application de la Loi sur l'emballage et l'étiquetage des produits de consommation, de la Loi sur l'étiquetage des textiles et de la Loi sur le poinçonnage des métaux précieux. Le commissaire de la concurrence relève du sous-ministre d'Industrie Canada pour les questions administratives et financières et rend compte au Parlement par l'intermédiaire du ministre de l'Industrie en ce qui concerne son rôle d'agent indépendant d'application de la loi.
La présente vérification a été menée conformément au plan de vérification axé sur les risques 2008-2009 de la Direction générale de la vérification et de l'évaluation (DGVE), qui a été recommandé par le Comité ministériel de vérification et approuvé par le sous-ministre. La vérification avait pour objectif de fournir à la haute direction du Bureau l'assurance que les processus de contrôle interne, de gestion des risques et de gouvernance en place au Bureau fonctionnent comme il se doit et permettent au Bureau d'atteindre ses objectifs et ses buts. La vérification portait sur les quatre points suivants :
- plan et processus pour faire face aux changements soudains sur le marché;
- systèmes et processus de gestion du savoir;
- processus employés pour déterminer à quels dossiers donner suite, y compris obtenir les approbations de la direction pour utiliser les pouvoirs conférés par la Loi sur la concurrence;
- protection des actifs, des dossiers et de l'information.
La période visée par la vérification allait du 1er avril 2007 au 31 mars 2008.
Au cours de la planification de la vérification, il a été déterminé que l'analyse des forces, des faiblesses, des possibilités et des menaces (FFPM) effectuée par le Bureau portait sur certains volets du cadre de gestion des risques ministériels et n'était donc pas considéré comme une priorité clé pour le Bureau au moment de la vérification. Toutefois, la vérification a porté sur les risques individuels dans les domaines de la gouvernance et des contrôles internes.
1.2 Principales constatations
La vérification a donné lieu aux quatre constatations suivantes :
Gouvernance
1. Les mesures et les dispositions qui sont prises (de façon officielle ou non) en prévision de changements soudains sur le marché ne sont pas communiquées adéquatement à la haute direction.
2. Aucune stratégie n'a été définie officiellement pour traiter les défis de gestion du savoir et de l'information.
Contrôle interne
3. Les documents employés à l'appui des approbations n'étaient pas toujours disponibles et la description du processus et la série de procédures et de lignes directrices décrivant les activités d'approbation que devrait mener le personnel du Bureau étaient incomplètes ou ambiguës.
4. Certains contrôles mis en œuvre par le Bureau concernant l'autorisation, la modification, l'examen et la résiliation de l'accès des utilisateurs au réseau et aux systèmes clés ne fonctionnaient pas de façon efficace.
1.3 Recommandations
Les recommandations suivantes ont été formulées pour donner suite aux constatations ci-dessus :
Gouvernance
1. Le sous-commissaire, Direction générale de la conformité et des opérations, devrait communiquer à l'équipe de la haute direction du Bureau les mesures et les dispositions à prendre (de façon officielle ou non) pour faire face aux changements soudains sur le marché.
2. Le sous-commissaire, Direction générale de la conformité et des opérations, devrait s'assurer que les efforts se poursuivent en vue de définir la stratégie globale de gestion du savoir et de l'information du Bureau afin d'aborder les enjeux relevés ainsi que de définir les exigences générales se rattachant à la gouvernance, aux rôles et aux responsabilités et aux systèmes habilitants.
Contrôle interne
3. Le sous-commissaire de chaque direction générale devrait s'assurer que les procédures concernant le niveau attendu et acceptable de documentation, d'examen et d'approbation des dossiers soient étayées, communiquées et appliquées.
3.1 Le sous-commissaire, Direction générale de la conformité et des opérations, devrait s'assurer de la mise en œuvre d'une approche assurant un contrôle de la qualité de la conformité aux procédures établies pour la documentation, l'examen et l'approbation des dossiers.
4. Le sous-commissaire, Direction générale de la conformité et des opérations, devrait renforcer les contrôles concernant la gestion et la surveillance de l'accès des utilisateurs aux principaux réseaux, systèmes et centres de données du Bureau en veillant à ce que les documents prouvant l'autorisation des utilisateurs soient obtenus et conservés, qu'un examen périodique des privilèges d'accès au réseau d'utilisateurs soit effectué et que des orientations sur les principales procédures de sécurité du Bureau soient élaborées.
1.4 Énoncé d'assurance
Selon mon jugement professionnel en tant que dirigeant principal de la vérification, les procédures de vérification suivies et les données recueillies sont suffisantes et appropriées pour appuyer l'exactitude de l'opinion formulée dans le présent rapport. Cette opinion se fonde sur un examen des situations recensées au cours de la période visée à la lumière des critères de vérification préétablis. L'opinion ne s'applique qu'aux entités examinées et à la portée décrite dans le présent rapport.
1.5 Opinion de vérification
À mon avis, le Bureau de la concurrence présente des lacunes modérées et s'expose à des risques modérés en ce qui a trait aux processus de gouvernance et de contrôle qui requièrent l'attention de la direction.
Bill Merklinger
Dirigeant principal de la vérification, Industrie Canada
Date
2.0 À propos de la vérification
2.1 Contexte
Le Bureau de la concurrence d'Industrie Canada (le Bureau) est un organisme administratif et d'application de la loi indépendant responsable de protéger et de favoriser un marché canadien concurrentiel ainsi que de permettre aux consommateurs canadiens de faire des choix éclairés. Le chef du Bureau, le commissaire de la concurrence, est nommé en vertu de la Loi sur la concurrence. Outre la Loi sur la concurrence, le commissaire est responsable de l'administration et de l'application de la Loi sur l'emballage et l'étiquetage des produits de consommation, de la Loi sur l'étiquetage des textiles et de la Loi sur le poinçonnage des métaux précieux. Le commissaire de la concurrence relève du sous-ministre d'Industrie Canada pour les questions administratives et financières et rend compte au Parlement par l'intermédiaire du ministre de l'Industrie en ce qui concerne son rôle d'agent indépendant d'application de la loi.
Le Bureau, en tant qu'organisme d'application de la loi unique en son genre, et son commissaire sont tenus de respecter ces lois et les responsabilités et pouvoirs officiels confiés au Bureau. Par exemple, la Loi sur la concurrence stipule quand le commissaire peut ouvrir une enquête, comment et quand le Bureau peut demander à la cour des mandats de perquisition; quels dossiers et systèmes informatiques peuvent être perquisitionnés et saisis; et quand et à quelles fins le Bureau peut demander un entretien verbal, la production de documents et des déclarations écrites. La Loi sur la concurrence décrit également en détail les responsabilités du Bureau en matière de prise en charge des copies, des dossiers, des articles saisis et de la remise des dossiers à la fin d'une enquête ou au terme d'une décision. Les lois fournissent également la définition juridique d'une transaction devant faire l'objet d'un avis, de délit non voulu et de comportements anticoncurrentiels non désirés (p. ex., truquage des offres, conspiration, cartel, abus de position dominante, exclusivité, indications fausses ou trompeuses et télémarketing trompeur). Le Bureau doit aussi respecter les exigences du code criminel lors d'application de pouvoirs officiels administrés par ce code (p. ex., autorisation d'intercepter des communications privées, mandats de perquisition et ordonnance de communication.
Le Bureau compte huit directions générales : Fusions, Affaires criminelles, Affaires civiles, Pratiques loyales des affaires, Conformité et opérations, Politiques économiques et mise en application, Relations externes et affaires publiques, et Affaires législatives et parlementaires. Au moment de la vérification, le Bureau employait quelque 440 personnes, dont environ 360 dans la région de la capitale nationale et 80 dans sept bureaux régionaux et bureaux de district.
2.2 Objectif
La vérification avait pour objectif de fournir à la haute direction l'assurance que les processus de contrôle interne, de gestion des risques et de gouvernance en place au Bureau fonctionnent comme il se doit et permettent au Bureau d'atteindre ses objectifs et ses buts.
2.3 Portée
La vérification portait sur les quatre points suivants :
- plan et processus pour faire face aux changements soudains sur le marché;
- systèmes et processus de gestion du savoir;
- processus employés pour déterminer à quels dossiers donner suite, y compris obtenir les approbations de la direction pour utiliser les pouvoirs conférés par la Loi sur la concurrence;
- protection des actifs, des dossiers et de l'information.
La période visée par la vérification allait du 1er avril 2007 au 31 mars 2008.
2.4 Méthode
Cette vérification interne du Bureau de la concurrence a été menée conformément aux Normes pour la pratique professionnelle de la vérification interne de l'Institut des vérificateurs internes (IVI) et conformément à la Politique du gouvernement fédéral sur la vérification interne. L'approche de vérification comprenait ce qui suit :
- Une séance d'auto-évaluation des risques et des contrôles a été tenue avec les membres de l'équipe de direction du Bureau à l'étape de la planification de la vérification (examen préliminaire); les résultats de la séance, des entrevues et de l'examen des documents ont jeté les bases du programme de vérification suivi pour cette vérification.
- Les documents ont été examinés en vue de comprendre le cadre de contrôle interne, les processus et procédures du Bureau et l'analyse et les documents d'appui utilisés par le Bureau.
- Un échantillon de 55 dossiers, clôturés en 2007-2008, a été sélectionné et examiné en vue de vérifier l'efficacité des contrôles clés et la constance dans leur application. Cet échantillon représentait un échantillon statistique de l'ensemble des dossiers fermés. L'équipe de vérification a sélectionné au hasard des dossiers fermés de chaque direction générale (y compris à l'Administration centrale et dans les régions) en fonction d'un volume proportionnel d'activité.
- Au total, 21 entrevues ont été menées auprès d'intervenants, de dirigeants et d'employés du Bureau en vue d'obtenir et de corroborer l'information.
- Une visite sur place des systèmes et des salles de serveurs du Bureau a eu lieu.
L'information recueillie grâce aux procédures susmentionnées a été analysée par rapport aux critères de vérification énoncés à l'annexe A. Les critères de vérification sélectionnés reposaient sur les Contrôles de gestion de base du Conseil du Trésor et sur les contrôles axés sur les risques propres au Bureau. Les critères de vérification ont été établis en vue de permettre une évaluation des pratiques, procédures et contrôles clés en place au Bureau.
Le travail de vérification sur le terrain a été réalisé entre août 2008 et octobre 2008.
3.0 Constatations et recommandations
3.1 Introduction
La présente section fait état des constatations détaillées de la vérification du Bureau de la concurrence.
Outre les constatations présentées ci-dessous, les observations de conditions non systémiques et de moindre importance et présentant un risque faible ont été présentées à la direction, aux fins d'examen, dans une lettre à la gestion.
3.2 Gouvernance
Constatation 1.0 : Communication inadéquate des mesures prises pour faire face aux changements soudains sur le marché
Les mesures et les dispositions qui sont prises (de façon officielle ou non) en prévision de changements soudains sur le marché ne sont pas communiquées adéquatement à la haute direction.
Selon la haute direction du Bureau, un changement soudain sur le marché (p. ex., fusion entre deux entreprises possédant une part importante du marché) obligeant le Bureau à obtenir rapidement un financement et des ressources accrus ou à réorganiser le travail d'un grand nombre de ses employés, créerait une situation à haut risque. Même si les répercussions sur le Bureau pourraient être importantes (en termes de la charge de travail, du remaniement des priorités et des efforts, etc.), l'expérience nous a appris que ce genre de changement soudain ne se produit que fort rarement. La direction du Bureau a signalé qu'il n'était pas réaliste ni faisable de prédire dans quel secteur industriel ces changements pourraient se produire et, par conséquent, l'élaboration d'un plan d'urgence officiel ou d'un processus officiel d'intervention d'urgence n'a pas été jugée prioritaire jusqu'à présent.
La vérification a mis au jour une mesure d'intervention d'urgence adoptée par le Bureau — plus précisément, un modèle provisoire de présentation au Conseil du Trésor a été élaboré en vue de préciser les conditions d'application des augmentations des ressources et du financement en cas d'urgence. La direction du Bureau a signalé que d'autres initiatives (p. ex., recrutement fondé sur les compétences) et des stratégies de collaboration (p. ex., équipes sectorielles) avaient également été mises en œuvre, lesquelles, même si elles n'ont pas été mises en place dans le but précis de se préparer à un changement soudain sur le marché, fournissent des possibilités de formation polyvalente du personnel qui seraient bénéfiques advenant un changement soudain sur le marché. Par ailleurs, la haute direction du Bureau discute des tendances et changements dans le macro-environnement (p. ex., récession, crise du crédit) à ses réunions et dans le cadre de consultations régulières avec l'industrie et le personnel gouvernemental.
Toutefois, comme la haute direction du Bureau continue de considérer comme une situation à haut risque la possibilité d'un changement soudain sur le marché, le Bureau reconnaît la nécessité de mieux articuler les mesures et dispositions qu'il prend dans ce secteur et de les communiquer à la haute direction afin de dissiper les préoccupations.
Recommandation 1.0 :
Le sous-commissaire, Direction générale de la conformité et des opérations, devrait communiquer à l'équipe de la haute direction du Bureau les mesures et les dispositions à prendre (de façon officielle ou non) pour faire face aux changements soudains sur le marché.
Constatation 2.0 : La stratégie de gestion du savoir et de l'information n'est pas officiellement définie
Aucune stratégie n'a été définie officiellement pour traiter les défis de gestion du savoir et de l'information.
Le Bureau a récemment formé un comité de gestion chargé d'examiner ses exigences en matière de gestion du savoir, de gestion de l'information, de technologie de l'information et de collecte de renseignements. Il s'agit de l'une des principales priorités du Bureau pour l'exercice 2008-2009. Ce comité est un comité inter-directions générales qui est chargé de recueillir les commentaires de toutes les directions générales sur les besoins en gestion du savoir et de l'information, les priorités et la capacité à cet égard. Le comité formulera ses recommandations au comité de la haute direction du Bureau au printemps 2009. Dans ce contexte, le Bureau n'a pas encore défini ou communiqué une stratégie de gestion du savoir et de l'information.
Ce critère de vérification portait sur la gestion de l'information utile et pertinente pour aider les agents de la concurrence à mener leurs enquêtes (c'est-à-dire connaissance et information sur les cas). Tout au long de la vérification, certains défis reliés à la gestion de l'information ont été notés :
- Contrôle de la version — Les conventions régissant les noms des fichiers et les structures des fichiers ne sont pas officialisées; par conséquent, les agents de la concurrence ne savent pas toujours très bien quelle version des documents clés figurant sur le lecteur partagé du Bureau est la plus récente.
- En ce qui a trait au paragraphe 169 de la Politique du Bureau sur la création, le traitement et l'élimination des documents, au paragraphe 12(1) de la Loi sur la Bibliothèque et les Archives du Canada et à la Politique sur l'accès à l'information et la protection des renseignements personnels, le personnel du Bureau a signalé ne pas toujours savoir quand conserver des copies provisoires et temporaires de documents. Le fait que de nombreuses personnes conservent des versions différentes du même document dans des dossiers différents le prouve.
- L'information stockée sur le lecteur partagé du Bureau n'est pas facile à consulter, ce qui rend encore plus difficile la tâche des agents de la concurrence qui doivent chercher et trouver des précédents pertinents et des études de marché sur des cas similaires.
- Bien qu'un site intranet (Cintra) soit utilisé pour stocker des modèles utilisés par les agents de la concurrence, il nous a été signalé que l'information stockée dans le site intranet n'est pas toujours la plus récente. Par conséquent, il est devenu courant d'utiliser comme modèles des documents récemment établis. Ceci accroît le risque d'utiliser des documents incorrects et de suivre des procédures éventuellement mauvaises.
- Une application de base de données élaborée à l'interne afin d'aider à répondre aux besoins en gestion de l'information et du savoir (« Boîte à outils ») a été approuvée il y a deux ans et reconnue officiellement en tant que dépôt central des versions à jour des documents clés du Bureau. Lors de la première année, le Bureau a procédé au développement et à la phase pilote du projet alors que la deuxième année, les directions générales ont scanné leurs document en format papier et identifié les documents électroniques qui seront intégrés à la « Boîte à outils ». La « Boîte à outils » sera introduite par phase à mesure que les directions générales complèteront l'intégration de leur information dans leurs sections spécifiques de la « Boîte à outils ». La première phase débutera à la fin mars 2009 et sera complétée en septembre 2009. À ce jour, il n'existe aucune structure de gouvernance définie ni aucun budget officiel affecté à la « Boîte à outils » et aucun employé ou groupe d'employés ne s'est vu confier la responsabilité continue de charger la « Boîte à outils ».
Le principal risque des anomalies susmentionnées réside dans la capacité d'avoir accès et de récupérer rapidement l'information et les modèles fiables, d'effectuer des études de marché et de communiquer l'information et les analyses sur les cas antérieurs qui sont essentielles à la tenue des enquêtes. En ne gérant pas adéquatement les connaissances et l'information, il y a également un risque que de mauvaises décisions soient prises à la lumière d'information incomplète ou incorrecte.
Recommandation 2.0 :
Le sous-commissaire, Direction générale de la conformité et des opérations, devrait s'assurer que les efforts se poursuivent en vue de définir la stratégie globale de gestion du savoir et de l'information du Bureau afin d'aborder les enjeux relevés ainsi que de définir les exigences générales se rattachant à la gouvernance, aux rôles et aux responsabilités et aux systèmes habilitants.
3.3 Contrôle interne
Constatation 3.0 : Documentation incomplète à l'appui du processus d'examen et d'approbation
Les documents employés à l'appui des approbations n'étaient pas toujours disponibles et la description du processus et la série de procédures et de lignes directrices décrivant les activités d'approbation que devrait mener le personnel du Bureau étaient incomplètes ou ambiguës.
Le Bureau suit une série de procédures et un processus établis pour déterminer à quels dossiers donner suite et assurer que toutes les approbations nécessaires ont été obtenues relativement à des décisions prises pour confirmer les pouvoirs officiels conférés au Bureau par les lois. Bien que les directions générales du Bureau aient élaboré divers modèles et guides de pratiques et, à l'exception d'une d'entre elles, l'équipe de vérification n'a trouvé aucune description claire du processus ni aucune série de procédures ou lignes directrices qui décrivent les activités d'approbation que doit mener le personnel du Bureau (c'est-à-dire qui approuve, comment documenter l'approbation, quand et où donner son approbation) tout au long du processus. Le principal risque associé à une documentation inadéquate du processus est qu'elle accroît les risques que soient prises des décisions fondées sur des pratiques incohérentes ou inattendues.
Bien qu'un processus d'examen et d'approbation soit suivi, sur les 55 dossiers examinés, 22 (40 p. 100) ne comportaient aucun document de contrôle clé ni aucune copie signée, contrairement aux attentes, et les agents de la concurrence n'ont pu fournir les documents sur demande. Le principal risque associé à une documentation ou à une « piste de vérification » incomplète est qu'elle réduit la capacité de la direction à faire la preuve de diligence raisonnable et à assurer la supervision des processus d'examen et d'approbation.
Recommandation 3.0 :
Le sous-commissaire de chaque direction générale devrait s'assurer que les procédures concernant le niveau attendu et acceptable de documentation, d'examen et d'approbation des dossiers soient étayées, communiquées et appliquées.
Recommandation 3.1 :
Le sous-commissaire, Direction générale de la conformité et des opérations, devrait s'assurer de la mise en œuvre d'une approche assurant un contrôle de la qualité de la conformité aux procédures établies pour la documentation, l'examen et l'approbation des dossiers.
Constatation 4.0 : Application non uniforme des contrôles d'accès des utilisateurs
Certains contrôles mis en œuvre par le Bureau concernant l'autorisation, la modification, l'examen et la résiliation de l'accès des utilisateurs au réseau et aux systèmes clés ne fonctionnaient pas de façon efficace.
L'équipe de vérification a relevé les domaines suivants où les contrôles d'accès des utilisateurs pourraient être améliorés :
- Preuves non uniformes à l'appui des autorisations d'accès des utilisateurs :
- La preuve des autorisations d'accès des utilisateurs n'était pas toujours disponible. Les nouvelles autorisations d'accès sont contrôlées par les gestionnaires ou les superviseurs, qui ont délégué cette tâche aux administrateurs de la Direction générale. La vérification n'a toutefois trouvé aucune liste détaillée, indiquant quels administrateurs de la Direction générale sont autorisés à demander l'accès d'un nouvel utilisateur. La vérification a aussi constaté que toutes les nouvelles demandes d'accès n'étaient pas accompagnées d'une preuve de l'approbation de l'octroi de l'accès par le gestionnaire ou le superviseur. Un examen a révélé que 11 documents sur 15 (73 p. 100) renvoyés au Bureau ne comportaient aucune preuve d'approbation adéquate. En ne conservant pas adéquatement des preuves à l'appui des autorisations d'accès des utilisateurs, il existe un risque accru d'accès inapproprié des utilisateurs et la capacité de la direction de faire la preuve de diligence et d'assurer la supervision s'en trouve réduite.
- Examen informel de l'accès des utilisateurs et des privilèges d'accès :
- Un examen périodique officiel des comptes d'utilisateur du Système de gestion de l'information du Bureau (SGIB) et du réseau du Bureau ainsi que du registre d'accès par carte magnétique électronique au centre de données n'a pas été réalisé. Les preuves d'un examen visant à assurer que les privilèges d'accès aux comptes d'utilisateur demeurent pertinents n'ont pas été conservées. Par ailleurs, nous avons constaté que les modifications et les suppressions des comptes d'utilisateur n'ont pas toujours été traitées assez rapidement (c'est-à-dire moins de deux jours après le départ). L'examen d'un échantillon de 15 comptes du SGIB a révélé qu'il a fallu plus de deux jours pour fermer 9 comptes sur 15 (60 p. 100) et l'examen d'un échantillon de 15 comptes de réseau a révélé qu'il a fallu plus de 2 jours pour fermer 8 comptes sur 15 (53 p. 100). En n'effectuant pas un examen périodique de l'accès des utilisateurs et en n'assurant pas la fermeture rapide des comptes d'utilisateur, il existe un risque accru d'accès non autorisé.
- Orientations incomplètes pour certaines procédures de sécurité propres au Bureau :
- Il a été noté que le Bureau se sert principalement des politiques sur la sécurité du gouvernement du Canada et d'Industrie Canada à des fins d'orientation et de référence. D'autres procédures et pratiques de sécurité additionnelles ont toutefois été élaborées afin de satisfaire aux exigences en matière de sécurité propres au Bureau. En ce qui concerne les pratiques de sécurité propres au Bureau, la vérification n'a pas trouvé d'orientations documentées qui expliquaient comment mettre en œuvre les pratiques du Bureau. Plus précisément, il faut expliquer plus en détail les procédures à suivre dans les domaines suivants : administration des utilisateurs (c'est-à-dire procédures d'octroi de l'accès à un nouvel utilisateur, modifications à l'accès de l'utilisateur et suppression de l'accès de l'utilisateur) et opérations de la technologie de l'information (TI) (c'est-à-dire procédures pour la gestion du changement à la TI, ordonnancement des tâches et des lots, sauvegardes, destruction des supports). Sans une orientation plus précise sur les procédures, il existe un risque accru de non-conformité aux pratiques attendues ainsi que la possibilité de perte de mémoire institutionnelle relativement aux processus qui devraient être suivis, au cas où le Bureau connaîtrait un roulement de personnel dans ces domaines.
Recommandation 4.0 :
Le sous-commissaire, Direction générale de la conformité et des opérations, devrait renforcer les contrôles concernant la gestion et la surveillance de l'accès des utilisateurs aux principaux réseaux, systèmes et centres de données du Bureau en veillant à ce que les documents prouvant l'autorisation des utilisateurs soient obtenus et conservés, qu'un examen périodique des privilèges d'accès au réseau d'utilisateurs soit effectué et que des orientations sur les principales procédures de sécurité du Bureau soient élaborées.
3.4 Gestion des risques
Au cours de la phase de planification (examen préliminaire) de la vérification, la gestion des risques a été discutée avec la direction du Bureau. Ceux-ci ont recensé une série de pratiques en place, entre autres une analyse FFPM qui fait partie de leurs processus annuel de planification opérationnelle et de planification générale. En vue de déterminer la portée définitive de la vérification, d'autres secteurs de contrôle de gestion de base qui présentaient un risque plus élevé et étaient prioritaires ont été identifiés. Par conséquent, la gestion des risques n'a pas été examinée plus en détail pendant la vérification.
Annexe A : Critères de vérification
Les critères de vérification suivants ont été utilisés dans la présente vérification :
Des méthodes sont mises au point pour obtenir les ressources et les outils nécessaires en vue de faire face à des changements soudains sur le marché.
- La direction surveille régulièrement les changements sur le marché et prend des mesures appropriées.
- Des ententes ont été conclues avec les intervenants en vue d'accroître la capacité et les ressources.
- Les programmes et initiatives en vue de se préparer à des changements soudains sur le marché sont en place et gérés activement.
- Les mesures et dispositions prises par la haute direction pour se préparer aux changements soudains sur le marché sont communiquées.
Les connaissances sont recueillies, documentées et partagées efficacement au sein du Bureau.
- Les exigences en matière de gestion de l'information et du savoir ont été relevées et un plan a été mis en place pour combler les besoins.
- Les politiques et procédures se rapportant à l'acquisition, à la conservation, à l'archivage, à l'expiration et à la destruction du contenu sont en place.
- Les ressources responsables de l'organisation, de la classification et du contrôle de l'accès au contenu sont en place.
- Un processus continu de communication et de sensibilisation est en place en vue de l'utilisation et de la diffusion du contenu.
- Un employé ou une équipe est responsable de la conformité aux politiques (p. ex., surveillance, vérification, évaluation).
- Un processus d'entretien et d'examen continu du contenu est en place.
Processus utilisé pour déterminer à quels dossiers donner suite, y compris l'obtention des approbations de la direction pour utiliser les pouvoirs conférés en vertu de la Loi sur la concurrence.
- Il un processus officiel et des procédures ont été développées en vue de déterminer à quels dossiers donner suite et quels intérêts défendre.
- Toutes les approbations nécessaires et pertinentes sont obtenues de la haute direction en vue de donner suite à un dossier ou d'ouvrir une enquête sur une question.
- La gestion des dossiers, les accusés de réception (p. ex., lettres à l'avocat), l'établissement des documents selon les modèles et la conservation des dossiers sont assurés conformément aux politiques du Bureau.
- Les approbations tout au long des étapes clés du processus sont adéquatement documentées.
- Le suivi et la surveillance des normes de rendement et des événements clés sont effectués.
Les actifs, l'information et la confidentialité du client (p. ex., entreprise) sont protégés (p. ex., dossiers et information, accès et protection physique).
- Les utilisateurs sont authentifiés et doivent posséder un identificateur d'utilisateur unique pour établir les responsabilités.
- Des politiques officielles en matière de TI ont été établies afin d'assurer l'orientation générale et la mise en œuvre de la sécurité de l'information. La conformité à ces politiques fait l'objet d'une surveillance.
- La capacité d'apporter des modifications aux paramètres généraux de sécurité du système est limitée au personnel compétent.
- L'accès autorisé à des données de nature délicate est enregistré et les registres sont régulièrement passés en revue.
- Les propriétaires d'applications autorisent les privilèges d'accès des utilisateurs et veillent à ce que ces privilèges demeurent pertinents. Des procédures sont en place pour modifier ou supprimer l'accès des utilisateurs dans les délais prévus.
- Des sauvegardes sont réalisées en temps opportun pour assurer que le personnel peut récupérer l'information sur les dossiers en cas de panne du système ou de catastrophe.
Annexe B : Plan d'action de la gestion
Nom et numéro du projet : Vérification du Bureau de la concurrence
Mise à jour : 30 avril 2009
Recommandation (page/section) | Mesure prévue ou justification de la décision de ne pas donner suite à la recommandation | Responsable | Date cible d'achèvement | Date révisée d'achèvement | Situation actuelle |
---|---|---|---|---|---|
Recommandation 1 (p. 7/s. 3.2) : Le sous-commissaire, Direction générale de la conformité et des opérations (DCGO), devrait communiquer à l'équipe de la haute direction du Bureau les mesures et les dispositions à prendre (de façon officielle ou non) pour faire face aux changements soudains sur le marché. |
| Sous-commissaire, DGCO | 30 juin 2009 | ||
Recommendation 2 (p. 8/ s. 3.2) : Le sous-commissaire, Direction générale de la conformité et des opérations, devrait s'assurer que les efforts se poursuivent en vue de définir la stratégie globale de gestion du savoir et de l'information du Bureau afin d'aborder les enjeux relevés ainsi que de définir les exigences générales se rattachant à la gouvernance, aux rôles, aux responsabilités et aux systèmes habilitants. |
| Sous-commissaire, DGCO | Niveau 2 | ||
| 24 juin 2009 | ||||
| 31 juillet 2009 | ||||
| 31 juillet 2009 | ||||
| Sous-commissaire, DGCO | 31 octobre 2009 | |||
| 30 juin 2010 | ||||
| Janvier – Juin 2010 | ||||
Recommendation 3 (p. 9/s. 3.3) : Le sous-commissaire de chaque direction générale devrait s'assurer que les procédures concernant le niveau attendu et acceptable de documentation, d'examen et d'approbation des dossiers sont étayées, communiquées et appliquées. |
| Sous-commissaires, directions générales responsables de l'application | 30 septembre 2009 | ||
| 30 septembre 2009 | ||||
Recommandation 3.1 (p. 9/s. 3.3) : Le sous-commissaire, Direction générale de la conformité et des opérations, devrait s'assurer de la mise en œuvre d'une approche assurant un contrôle de la qualité de la conformité aux procédures établies pour la documentation, l'examen et l'approbation des dossiers. |
| Sous-commissaire, DGCO | Développement 31 mars 2010 Contrôle de qualité débute le 1 avril 2010 Plan – 31 mars 2010 Achèvement – six mois Implémentation 30 septembre 2010 | ||
| Sous-commissaire, DGCO | 30 septembre 2010 | |||
Recommandation 4 (p. 10/ s. 3.3) : Le sous-commissaire, Direction générale de la conformité et des opérations, devrait renforcer les contrôles concernant la gestion et la surveillance de l'accès des utilisateurs aux principaux réseaux, systèmes et centres de données du Bureau en veillant à ce que les documents prouvant l'autorisation des utilisateurs soient obtenus et conservés, qu'un examen périodique des privilèges d'accès au réseau d'utilisateurs soit effectué et que des orientations sur les principales procédures de sécurité du Bureau soient élaborées. |
| Sous-commissaire, DGCO | 30 juin 2009 | ||
| 30 septembre 2009 | ||||
| Plan d'action de la gestion sera développé avant le 30 septembre 2009 | ||||
| Implémentation du plan d'action reste à déterminer | ||||
| Sous-commissaire, DGCO | 30 septembre 2010 |