Vérification du Bureau de la concurrence

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Direction générale de la vérification et de l'évaluation

Mars 2009

Conseillé le 30 avril 2009 par le Comité ministérielle de vérification pour l'approbation du Député ministre
Approuvé par le Député ministre le 1 mai 2009


Table des matières


1.0 Sommaire

1.1 Introduction

Le Bureau de la concurrence d'Industrie Canada (le Bureau) est un organisme administratif et d'application de la loi indépendant responsable de protéger et de favoriser un marché canadien concurrentiel ainsi que de permettre aux consommateurs canadiens de faire des choix éclairés. Le chef du Bureau, le commissaire de la concurrence, est nommé en vertu de la Loi sur la concurrence. Outre la Loi sur la concurrence, le commissaire est responsable de l'administration et de l'application de la Loi sur l'emballage et l'étiquetage des produits de consommation, de la Loi sur l'étiquetage des textiles et de la Loi sur le poinçonnage des métaux précieux. Le commissaire de la concurrence relève du sous-ministre d'Industrie Canada pour les questions administratives et financières et rend compte au Parlement par l'intermédiaire du ministre de l'Industrie en ce qui concerne son rôle d'agent indépendant d'application de la loi.

La présente vérification a été menée conformément au plan de vérification axé sur les risques 2008-2009 de la Direction générale de la vérification et de l'évaluation (DGVE), qui a été recommandé par le Comité ministériel de vérification et approuvé par le sous-ministre. La vérification avait pour objectif de fournir à la haute direction du Bureau l'assurance que les processus de contrôle interne, de gestion des risques et de gouvernance en place au Bureau fonctionnent comme il se doit et permettent au Bureau d'atteindre ses objectifs et ses buts. La vérification portait sur les quatre points suivants :

  • plan et processus pour faire face aux changements soudains sur le marché;
  • systèmes et processus de gestion du savoir;
  • processus employés pour déterminer à quels dossiers donner suite, y compris obtenir les approbations de la direction pour utiliser les pouvoirs conférés par la Loi sur la concurrence;
  • protection des actifs, des dossiers et de l'information.

La période visée par la vérification allait du 1er avril 2007 au 31 mars 2008.

Au cours de la planification de la vérification, il a été déterminé que l'analyse des forces, des faiblesses, des possibilités et des menaces (FFPM) effectuée par le Bureau portait sur certains volets du cadre de gestion des risques ministériels et n'était donc pas considéré comme une priorité clé pour le Bureau au moment de la vérification. Toutefois, la vérification a porté sur les risques individuels dans les domaines de la gouvernance et des contrôles internes.

1.2 Principales constatations

La vérification a donné lieu aux quatre constatations suivantes :

Gouvernance

1. Les mesures et les dispositions qui sont prises (de façon officielle ou non) en prévision de changements soudains sur le marché ne sont pas communiquées adéquatement à la haute direction.

2. Aucune stratégie n'a été définie officiellement pour traiter les défis de gestion du savoir et de l'information.

Contrôle interne

3. Les documents employés à l'appui des approbations n'étaient pas toujours disponibles et la description du processus et la série de procédures et de lignes directrices décrivant les activités d'approbation que devrait mener le personnel du Bureau étaient incomplètes ou ambiguës.

4. Certains contrôles mis en œuvre par le Bureau concernant l'autorisation, la modification, l'examen et la résiliation de l'accès des utilisateurs au réseau et aux systèmes clés ne fonctionnaient pas de façon efficace.

1.3 Recommandations

Les recommandations suivantes ont été formulées pour donner suite aux constatations ci-dessus :

Gouvernance

1. Le sous-commissaire, Direction générale de la conformité et des opérations, devrait communiquer à l'équipe de la haute direction du Bureau les mesures et les dispositions à prendre (de façon officielle ou non) pour faire face aux changements soudains sur le marché.

2. Le sous-commissaire, Direction générale de la conformité et des opérations, devrait s'assurer que les efforts se poursuivent en vue de définir la stratégie globale de gestion du savoir et de l'information du Bureau afin d'aborder les enjeux relevés ainsi que de définir les exigences générales se rattachant à la gouvernance, aux rôles et aux responsabilités et aux systèmes habilitants.

Contrôle interne

3. Le sous-commissaire de chaque direction générale devrait s'assurer que les procédures concernant le niveau attendu et acceptable de documentation, d'examen et d'approbation des dossiers soient étayées, communiquées et appliquées.

3.1 Le sous-commissaire, Direction générale de la conformité et des opérations, devrait s'assurer de la mise en œuvre d'une approche assurant un contrôle de la qualité de la conformité aux procédures établies pour la documentation, l'examen et l'approbation des dossiers.

4. Le sous-commissaire, Direction générale de la conformité et des opérations, devrait renforcer les contrôles concernant la gestion et la surveillance de l'accès des utilisateurs aux principaux réseaux, systèmes et centres de données du Bureau en veillant à ce que les documents prouvant l'autorisation des utilisateurs soient obtenus et conservés, qu'un examen périodique des privilèges d'accès au réseau d'utilisateurs soit effectué et que des orientations sur les principales procédures de sécurité du Bureau soient élaborées.

1.4 Énoncé d'assurance

Selon mon jugement professionnel en tant que dirigeant principal de la vérification, les procédures de vérification suivies et les données recueillies sont suffisantes et appropriées pour appuyer l'exactitude de l'opinion formulée dans le présent rapport. Cette opinion se fonde sur un examen des situations recensées au cours de la période visée à la lumière des critères de vérification préétablis. L'opinion ne s'applique qu'aux entités examinées et à la portée décrite dans le présent rapport.

1.5 Opinion de vérification

À mon avis, le Bureau de la concurrence présente des lacunes modérées et s'expose à des risques modérés en ce qui a trait aux processus de gouvernance et de contrôle qui requièrent l'attention de la direction.

line

Bill Merklinger
Dirigeant principal de la vérification, Industrie Canada
line

Date

2.0 À propos de la vérification

2.1 Contexte

Le Bureau de la concurrence d'Industrie Canada (le Bureau) est un organisme administratif et d'application de la loi indépendant responsable de protéger et de favoriser un marché canadien concurrentiel ainsi que de permettre aux consommateurs canadiens de faire des choix éclairés. Le chef du Bureau, le commissaire de la concurrence, est nommé en vertu de la Loi sur la concurrence. Outre la Loi sur la concurrence, le commissaire est responsable de l'administration et de l'application de la Loi sur l'emballage et l'étiquetage des produits de consommation, de la Loi sur l'étiquetage des textiles et de la Loi sur le poinçonnage des métaux précieux. Le commissaire de la concurrence relève du sous-ministre d'Industrie Canada pour les questions administratives et financières et rend compte au Parlement par l'intermédiaire du ministre de l'Industrie en ce qui concerne son rôle d'agent indépendant d'application de la loi.

Le Bureau, en tant qu'organisme d'application de la loi unique en son genre, et son commissaire sont tenus de respecter ces lois et les responsabilités et pouvoirs officiels confiés au Bureau. Par exemple, la Loi sur la concurrence stipule quand le commissaire peut ouvrir une enquête, comment et quand le Bureau peut demander à la cour des mandats de perquisition; quels dossiers et systèmes informatiques peuvent être perquisitionnés et saisis; et quand et à quelles fins le Bureau peut demander un entretien verbal, la production de documents et des déclarations écrites. La Loi sur la concurrence décrit également en détail les responsabilités du Bureau en matière de prise en charge des copies, des dossiers, des articles saisis et de la remise des dossiers à la fin d'une enquête ou au terme d'une décision. Les lois fournissent également la définition juridique d'une transaction devant faire l'objet d'un avis, de délit non voulu et de comportements anticoncurrentiels non désirés (p. ex., truquage des offres, conspiration, cartel, abus de position dominante, exclusivité, indications fausses ou trompeuses et télémarketing trompeur). Le Bureau doit aussi respecter les exigences du code criminel lors d'application de pouvoirs officiels administrés par ce code (p. ex., autorisation d'intercepter des communications privées, mandats de perquisition et ordonnance de communication.

Le Bureau compte huit directions générales : Fusions, Affaires criminelles, Affaires civiles, Pratiques loyales des affaires, Conformité et opérations, Politiques économiques et mise en application, Relations externes et affaires publiques, et Affaires législatives et parlementaires. Au moment de la vérification, le Bureau employait quelque 440 personnes, dont environ 360 dans la région de la capitale nationale et 80 dans sept bureaux régionaux et bureaux de district.

2.2 Objectif

La vérification avait pour objectif de fournir à la haute direction l'assurance que les processus de contrôle interne, de gestion des risques et de gouvernance en place au Bureau fonctionnent comme il se doit et permettent au Bureau d'atteindre ses objectifs et ses buts.

2.3 Portée

La vérification portait sur les quatre points suivants :

  • plan et processus pour faire face aux changements soudains sur le marché;
  • systèmes et processus de gestion du savoir;
  • processus employés pour déterminer à quels dossiers donner suite, y compris obtenir les approbations de la direction pour utiliser les pouvoirs conférés par la Loi sur la concurrence;
  • protection des actifs, des dossiers et de l'information.

La période visée par la vérification allait du 1er avril 2007 au 31 mars 2008.

2.4 Méthode

Cette vérification interne du Bureau de la concurrence a été menée conformément aux Normes pour la pratique professionnelle de la vérification interne de l'Institut des vérificateurs internes (IVI) et conformément à la Politique du gouvernement fédéral sur la vérification interne. L'approche de vérification comprenait ce qui suit :

  • Une séance d'auto-évaluation des risques et des contrôles a été tenue avec les membres de l'équipe de direction du Bureau à l'étape de la planification de la vérification (examen préliminaire); les résultats de la séance, des entrevues et de l'examen des documents ont jeté les bases du programme de vérification suivi pour cette vérification.
  • Les documents ont été examinés en vue de comprendre le cadre de contrôle interne, les processus et procédures du Bureau et l'analyse et les documents d'appui utilisés par le Bureau.
  • Un échantillon de 55 dossiers, clôturés en 2007-2008, a été sélectionné et examiné en vue de vérifier l'efficacité des contrôles clés et la constance dans leur application. Cet échantillon représentait un échantillon statistique de l'ensemble des dossiers fermés. L'équipe de vérification a sélectionné au hasard des dossiers fermés de chaque direction générale (y compris à l'Administration centrale et dans les régions) en fonction d'un volume proportionnel d'activité.
  • Au total, 21 entrevues ont été menées auprès d'intervenants, de dirigeants et d'employés du Bureau en vue d'obtenir et de corroborer l'information.
  • Une visite sur place des systèmes et des salles de serveurs du Bureau a eu lieu.

L'information recueillie grâce aux procédures susmentionnées a été analysée par rapport aux critères de vérification énoncés à l'annexe A. Les critères de vérification sélectionnés reposaient sur les Contrôles de gestion de base du Conseil du Trésor et sur les contrôles axés sur les risques propres au Bureau. Les critères de vérification ont été établis en vue de permettre une évaluation des pratiques, procédures et contrôles clés en place au Bureau.

Le travail de vérification sur le terrain a été réalisé entre août 2008 et octobre 2008.

3.0 Constatations et recommandations

3.1 Introduction

La présente section fait état des constatations détaillées de la vérification du Bureau de la concurrence.

Outre les constatations présentées ci-dessous, les observations de conditions non systémiques et de moindre importance et présentant un risque faible ont été présentées à la direction, aux fins d'examen, dans une lettre à la gestion.

3.2 Gouvernance

Constatation 1.0 : Communication inadéquate des mesures prises pour faire face aux changements soudains sur le marché

Les mesures et les dispositions qui sont prises (de façon officielle ou non) en prévision de changements soudains sur le marché ne sont pas communiquées adéquatement à la haute direction.

Selon la haute direction du Bureau, un changement soudain sur le marché (p. ex., fusion entre deux entreprises possédant une part importante du marché) obligeant le Bureau à obtenir rapidement un financement et des ressources accrus ou à réorganiser le travail d'un grand nombre de ses employés, créerait une situation à haut risque. Même si les répercussions sur le Bureau pourraient être importantes (en termes de la charge de travail, du remaniement des priorités et des efforts, etc.), l'expérience nous a appris que ce genre de changement soudain ne se produit que fort rarement. La direction du Bureau a signalé qu'il n'était pas réaliste ni faisable de prédire dans quel secteur industriel ces changements pourraient se produire et, par conséquent, l'élaboration d'un plan d'urgence officiel ou d'un processus officiel d'intervention d'urgence n'a pas été jugée prioritaire jusqu'à présent.

La vérification a mis au jour une mesure d'intervention d'urgence adoptée par le Bureau — plus précisément, un modèle provisoire de présentation au Conseil du Trésor a été élaboré en vue de préciser les conditions d'application des augmentations des ressources et du financement en cas d'urgence. La direction du Bureau a signalé que d'autres initiatives (p. ex., recrutement fondé sur les compétences) et des stratégies de collaboration (p. ex., équipes sectorielles) avaient également été mises en œuvre, lesquelles, même si elles n'ont pas été mises en place dans le but précis de se préparer à un changement soudain sur le marché, fournissent des possibilités de formation polyvalente du personnel qui seraient bénéfiques advenant un changement soudain sur le marché. Par ailleurs, la haute direction du Bureau discute des tendances et changements dans le macro-environnement (p. ex., récession, crise du crédit) à ses réunions et dans le cadre de consultations régulières avec l'industrie et le personnel gouvernemental.

Toutefois, comme la haute direction du Bureau continue de considérer comme une situation à haut risque la possibilité d'un changement soudain sur le marché, le Bureau reconnaît la nécessité de mieux articuler les mesures et dispositions qu'il prend dans ce secteur et de les communiquer à la haute direction afin de dissiper les préoccupations.

Recommandation 1.0 :

Le sous-commissaire, Direction générale de la conformité et des opérations, devrait communiquer à l'équipe de la haute direction du Bureau les mesures et les dispositions à prendre (de façon officielle ou non) pour faire face aux changements soudains sur le marché.

Constatation 2.0 : La stratégie de gestion du savoir et de l'information n'est pas officiellement définie

Aucune stratégie n'a été définie officiellement pour traiter les défis de gestion du savoir et de l'information.

Le Bureau a récemment formé un comité de gestion chargé d'examiner ses exigences en matière de gestion du savoir, de gestion de l'information, de technologie de l'information et de collecte de renseignements. Il s'agit de l'une des principales priorités du Bureau pour l'exercice 2008-2009. Ce comité est un comité inter-directions générales qui est chargé de recueillir les commentaires de toutes les directions générales sur les besoins en gestion du savoir et de l'information, les priorités et la capacité à cet égard. Le comité formulera ses recommandations au comité de la haute direction du Bureau au printemps 2009. Dans ce contexte, le Bureau n'a pas encore défini ou communiqué une stratégie de gestion du savoir et de l'information.

Ce critère de vérification portait sur la gestion de l'information utile et pertinente pour aider les agents de la concurrence à mener leurs enquêtes (c'est-à-dire connaissance et information sur les cas). Tout au long de la vérification, certains défis reliés à la gestion de l'information ont été notés :

  • Contrôle de la version — Les conventions régissant les noms des fichiers et les structures des fichiers ne sont pas officialisées; par conséquent, les agents de la concurrence ne savent pas toujours très bien quelle version des documents clés figurant sur le lecteur partagé du Bureau est la plus récente.
  • En ce qui a trait au paragraphe 169 de la Politique du Bureau sur la création, le traitement et l'élimination des documents, au paragraphe 12(1) de la Loi sur la Bibliothèque et les Archives du Canada et à la Politique sur l'accès à l'information et la protection des renseignements personnels, le personnel du Bureau a signalé ne pas toujours savoir quand conserver des copies provisoires et temporaires de documents. Le fait que de nombreuses personnes conservent des versions différentes du même document dans des dossiers différents le prouve.
  • L'information stockée sur le lecteur partagé du Bureau n'est pas facile à consulter, ce qui rend encore plus difficile la tâche des agents de la concurrence qui doivent chercher et trouver des précédents pertinents et des études de marché sur des cas similaires.
  • Bien qu'un site intranet (Cintra) soit utilisé pour stocker des modèles utilisés par les agents de la concurrence, il nous a été signalé que l'information stockée dans le site intranet n'est pas toujours la plus récente. Par conséquent, il est devenu courant d'utiliser comme modèles des documents récemment établis. Ceci accroît le risque d'utiliser des documents incorrects et de suivre des procédures éventuellement mauvaises.
  • Une application de base de données élaborée à l'interne afin d'aider à répondre aux besoins en gestion de l'information et du savoir (« Boîte à outils ») a été approuvée il y a deux ans et reconnue officiellement en tant que dépôt central des versions à jour des documents clés du Bureau. Lors de la première année, le Bureau a procédé au développement et à la phase pilote du projet alors que la deuxième année, les directions générales ont scanné leurs document en format papier et identifié les documents électroniques qui seront intégrés à la « Boîte à outils ». La « Boîte à outils » sera introduite par phase à mesure que les directions générales complèteront l'intégration de leur information dans leurs sections spécifiques de la « Boîte à outils ». La première phase débutera à la fin mars 2009 et sera complétée en septembre 2009. À ce jour, il n'existe aucune structure de gouvernance définie ni aucun budget officiel affecté à la « Boîte à outils » et aucun employé ou groupe d'employés ne s'est vu confier la responsabilité continue de charger la « Boîte à outils ».

Le principal risque des anomalies susmentionnées réside dans la capacité d'avoir accès et de récupérer rapidement l'information et les modèles fiables, d'effectuer des études de marché et de communiquer l'information et les analyses sur les cas antérieurs qui sont essentielles à la tenue des enquêtes. En ne gérant pas adéquatement les connaissances et l'information, il y a également un risque que de mauvaises décisions soient prises à la lumière d'information incomplète ou incorrecte.

Recommandation 2.0 :

Le sous-commissaire, Direction générale de la conformité et des opérations, devrait s'assurer que les efforts se poursuivent en vue de définir la stratégie globale de gestion du savoir et de l'information du Bureau afin d'aborder les enjeux relevés ainsi que de définir les exigences générales se rattachant à la gouvernance, aux rôles et aux responsabilités et aux systèmes habilitants.

3.3 Contrôle interne

Constatation 3.0 : Documentation incomplète à l'appui du processus d'examen et d'approbation

Les documents employés à l'appui des approbations n'étaient pas toujours disponibles et la description du processus et la série de procédures et de lignes directrices décrivant les activités d'approbation que devrait mener le personnel du Bureau étaient incomplètes ou ambiguës.

Le Bureau suit une série de procédures et un processus établis pour déterminer à quels dossiers donner suite et assurer que toutes les approbations nécessaires ont été obtenues relativement à des décisions prises pour confirmer les pouvoirs officiels conférés au Bureau par les lois. Bien que les directions générales du Bureau aient élaboré divers modèles et guides de pratiques et, à l'exception d'une d'entre elles, l'équipe de vérification n'a trouvé aucune description claire du processus ni aucune série de procédures ou lignes directrices qui décrivent les activités d'approbation que doit mener le personnel du Bureau (c'est-à-dire qui approuve, comment documenter l'approbation, quand et où donner son approbation) tout au long du processus. Le principal risque associé à une documentation inadéquate du processus est qu'elle accroît les risques que soient prises des décisions fondées sur des pratiques incohérentes ou inattendues.

Bien qu'un processus d'examen et d'approbation soit suivi, sur les 55 dossiers examinés, 22 (40 p. 100) ne comportaient aucun document de contrôle clé ni aucune copie signée, contrairement aux attentes, et les agents de la concurrence n'ont pu fournir les documents sur demande. Le principal risque associé à une documentation ou à une « piste de vérification » incomplète est qu'elle réduit la capacité de la direction à faire la preuve de diligence raisonnable et à assurer la supervision des processus d'examen et d'approbation.

Recommandation 3.0 :

Le sous-commissaire de chaque direction générale devrait s'assurer que les procédures concernant le niveau attendu et acceptable de documentation, d'examen et d'approbation des dossiers soient étayées, communiquées et appliquées.

Recommandation 3.1 :

Le sous-commissaire, Direction générale de la conformité et des opérations, devrait s'assurer de la mise en œuvre d'une approche assurant un contrôle de la qualité de la conformité aux procédures établies pour la documentation, l'examen et l'approbation des dossiers.

Constatation 4.0 : Application non uniforme des contrôles d'accès des utilisateurs

Certains contrôles mis en œuvre par le Bureau concernant l'autorisation, la modification, l'examen et la résiliation de l'accès des utilisateurs au réseau et aux systèmes clés ne fonctionnaient pas de façon efficace.

L'équipe de vérification a relevé les domaines suivants où les contrôles d'accès des utilisateurs pourraient être améliorés :

  1. Preuves non uniformes à l'appui des autorisations d'accès des utilisateurs :
    • La preuve des autorisations d'accès des utilisateurs n'était pas toujours disponible. Les nouvelles autorisations d'accès sont contrôlées par les gestionnaires ou les superviseurs, qui ont délégué cette tâche aux administrateurs de la Direction générale. La vérification n'a toutefois trouvé aucune liste détaillée, indiquant quels administrateurs de la Direction générale sont autorisés à demander l'accès d'un nouvel utilisateur. La vérification a aussi constaté que toutes les nouvelles demandes d'accès n'étaient pas accompagnées d'une preuve de l'approbation de l'octroi de l'accès par le gestionnaire ou le superviseur. Un examen a révélé que 11 documents sur 15 (73 p. 100) renvoyés au Bureau ne comportaient aucune preuve d'approbation adéquate. En ne conservant pas adéquatement des preuves à l'appui des autorisations d'accès des utilisateurs, il existe un risque accru d'accès inapproprié des utilisateurs et la capacité de la direction de faire la preuve de diligence et d'assurer la supervision s'en trouve réduite.
  2. Examen informel de l'accès des utilisateurs et des privilèges d'accès :
    • Un examen périodique officiel des comptes d'utilisateur du Système de gestion de l'information du Bureau (SGIB) et du réseau du Bureau ainsi que du registre d'accès par carte magnétique électronique au centre de données n'a pas été réalisé. Les preuves d'un examen visant à assurer que les privilèges d'accès aux comptes d'utilisateur demeurent pertinents n'ont pas été conservées. Par ailleurs, nous avons constaté que les modifications et les suppressions des comptes d'utilisateur n'ont pas toujours été traitées assez rapidement (c'est-à-dire moins de deux jours après le départ). L'examen d'un échantillon de 15 comptes du SGIB a révélé qu'il a fallu plus de deux jours pour fermer 9 comptes sur 15 (60 p. 100) et l'examen d'un échantillon de 15 comptes de réseau a révélé qu'il a fallu plus de 2 jours pour fermer 8 comptes sur 15 (53 p. 100). En n'effectuant pas un examen périodique de l'accès des utilisateurs et en n'assurant pas la fermeture rapide des comptes d'utilisateur, il existe un risque accru d'accès non autorisé.
  3. Orientations incomplètes pour certaines procédures de sécurité propres au Bureau :
    • Il a été noté que le Bureau se sert principalement des politiques sur la sécurité du gouvernement du Canada et d'Industrie Canada à des fins d'orientation et de référence. D'autres procédures et pratiques de sécurité additionnelles ont toutefois été élaborées afin de satisfaire aux exigences en matière de sécurité propres au Bureau. En ce qui concerne les pratiques de sécurité propres au Bureau, la vérification n'a pas trouvé d'orientations documentées qui expliquaient comment mettre en œuvre les pratiques du Bureau. Plus précisément, il faut expliquer plus en détail les procédures à suivre dans les domaines suivants : administration des utilisateurs (c'est-à-dire procédures d'octroi de l'accès à un nouvel utilisateur, modifications à l'accès de l'utilisateur et suppression de l'accès de l'utilisateur) et opérations de la technologie de l'information (TI) (c'est-à-dire procédures pour la gestion du changement à la TI, ordonnancement des tâches et des lots, sauvegardes, destruction des supports). Sans une orientation plus précise sur les procédures, il existe un risque accru de non-conformité aux pratiques attendues ainsi que la possibilité de perte de mémoire institutionnelle relativement aux processus qui devraient être suivis, au cas où le Bureau connaîtrait un roulement de personnel dans ces domaines.

Recommandation 4.0 :

Le sous-commissaire, Direction générale de la conformité et des opérations, devrait renforcer les contrôles concernant la gestion et la surveillance de l'accès des utilisateurs aux principaux réseaux, systèmes et centres de données du Bureau en veillant à ce que les documents prouvant l'autorisation des utilisateurs soient obtenus et conservés, qu'un examen périodique des privilèges d'accès au réseau d'utilisateurs soit effectué et que des orientations sur les principales procédures de sécurité du Bureau soient élaborées.

3.4 Gestion des risques

Au cours de la phase de planification (examen préliminaire) de la vérification, la gestion des risques a été discutée avec la direction du Bureau. Ceux-ci ont recensé une série de pratiques en place, entre autres une analyse FFPM qui fait partie de leurs processus annuel de planification opérationnelle et de planification générale. En vue de déterminer la portée définitive de la vérification, d'autres secteurs de contrôle de gestion de base qui présentaient un risque plus élevé et étaient prioritaires ont été identifiés. Par conséquent, la gestion des risques n'a pas été examinée plus en détail pendant la vérification.


Annexe A : Critères de vérification

Les critères de vérification suivants ont été utilisés dans la présente vérification :

Des méthodes sont mises au point pour obtenir les ressources et les outils nécessaires en vue de faire face à des changements soudains sur le marché.

  • La direction surveille régulièrement les changements sur le marché et prend des mesures appropriées.
  • Des ententes ont été conclues avec les intervenants en vue d'accroître la capacité et les ressources.
  • Les programmes et initiatives en vue de se préparer à des changements soudains sur le marché sont en place et gérés activement.
  • Les mesures et dispositions prises par la haute direction pour se préparer aux changements soudains sur le marché sont communiquées.

Les connaissances sont recueillies, documentées et partagées efficacement au sein du Bureau.

  • Les exigences en matière de gestion de l'information et du savoir ont été relevées et un plan a été mis en place pour combler les besoins.
  • Les politiques et procédures se rapportant à l'acquisition, à la conservation, à l'archivage, à l'expiration et à la destruction du contenu sont en place.
  • Les ressources responsables de l'organisation, de la classification et du contrôle de l'accès au contenu sont en place.
  • Un processus continu de communication et de sensibilisation est en place en vue de l'utilisation et de la diffusion du contenu.
  • Un employé ou une équipe est responsable de la conformité aux politiques (p. ex., surveillance, vérification, évaluation).
  • Un processus d'entretien et d'examen continu du contenu est en place.

Processus utilisé pour déterminer à quels dossiers donner suite, y compris l'obtention des approbations de la direction pour utiliser les pouvoirs conférés en vertu de la Loi sur la concurrence.

  • Il un processus officiel et des procédures ont été développées en vue de déterminer à quels dossiers donner suite et quels intérêts défendre.
  • Toutes les approbations nécessaires et pertinentes sont obtenues de la haute direction en vue de donner suite à un dossier ou d'ouvrir une enquête sur une question.
  • La gestion des dossiers, les accusés de réception (p. ex., lettres à l'avocat), l'établissement des documents selon les modèles et la conservation des dossiers sont assurés conformément aux politiques du Bureau.
  • Les approbations tout au long des étapes clés du processus sont adéquatement documentées.
  • Le suivi et la surveillance des normes de rendement et des événements clés sont effectués.

Les actifs, l'information et la confidentialité du client (p. ex., entreprise) sont protégés (p. ex., dossiers et information, accès et protection physique).

  • Les utilisateurs sont authentifiés et doivent posséder un identificateur d'utilisateur unique pour établir les responsabilités.
  • Des politiques officielles en matière de TI ont été établies afin d'assurer l'orientation générale et la mise en œuvre de la sécurité de l'information. La conformité à ces politiques fait l'objet d'une surveillance.
  • La capacité d'apporter des modifications aux paramètres généraux de sécurité du système est limitée au personnel compétent.
  • L'accès autorisé à des données de nature délicate est enregistré et les registres sont régulièrement passés en revue.
  • Les propriétaires d'applications autorisent les privilèges d'accès des utilisateurs et veillent à ce que ces privilèges demeurent pertinents. Des procédures sont en place pour modifier ou supprimer l'accès des utilisateurs dans les délais prévus.
  • Des sauvegardes sont réalisées en temps opportun pour assurer que le personnel peut récupérer l'information sur les dossiers en cas de panne du système ou de catastrophe.

Annexe B : Plan d'action de la gestion

Nom et numéro du projet : Vérification du Bureau de la concurrence

Mise à jour : 30 avril 2009

Plan d'action de la gestion
Recommandation (page/section) Mesure prévue ou justification de la décision de ne pas donner suite à la recommandation Responsable Date cible d'achèvement Date révisée d'achèvement Situation actuelle
Recommandation 1
(p. 7/s. 3.2) :

Le sous-commissaire, Direction générale de la conformité et des opérations (DCGO), devrait communiquer à l'équipe de la haute direction du Bureau les mesures et les dispositions à prendre (de façon officielle ou non) pour faire face aux changements soudains sur le marché.
  • Le sous-commissaire, DGCO, doit énumérer à l'intention des dirigeants les mesures à suivre au cas où le Bureau aurait besoin de ressources additionnelles pour faire face efficacement aux changements soudains sur le marché.

Sous-commissaire, DGCO

30 juin 2009

   
Recommendation 2
(p. 8/ s. 3.2) :

Le sous-commissaire, Direction générale de la conformité et des opérations, devrait s'assurer que les efforts se poursuivent en vue de définir la stratégie globale de gestion du savoir et de l'information du Bureau afin d'aborder les enjeux relevés ainsi que de définir les exigences générales se rattachant à la gouvernance, aux rôles, aux responsabilités et aux systèmes habilitants.
  • Continuer à diriger l'élaboration du projet pilote de la structure de classification des affaires (comme la nomenclature des fichiers et le classement).
Sous-commissaire, DGCO

Niveau 2

31 octobre 2009

   
  • Assurer l'établissement et le fonctionnement efficaces du Comité de gouvernance, y compris l'élaboration de modèles de rapports, la formation des membres du Comité et la transition à une approche de gestion centralisée de projets.

24 juin 2009

  • Établir les priorités en gestion de l'information / technologie de l'information pour 2009-2010 avec les ressources connexes affectées ces priorités.

31 juillet 2009

  • Examiner la Politique sur la création, le traitement et l'élimination des documents à la lumière de la Loi sur la Bibliothèque et les Archives du Canada.

31 juillet 2009

  • Mettre en œuvre des initiatives approuvées par l'entremise du Comité de gouvernance.
Sous-commissaire, DGCO

31 octobre 2009

  • Examiner les processus de gouvernance en place pour s'assurer qu'ils sont efficaces.

30 juin 2010

  • Mettre en œuvre la structure de classification des affaires (comme la nomenclature des fichiers et le classement).

Janvier – Juin 2010

Recommendation 3
(p. 9/s. 3.3) :

Le sous-commissaire de chaque direction générale devrait s'assurer que les procédures concernant le niveau attendu et acceptable de documentation, d'examen et d'approbation des dossiers sont étayées, communiquées et appliquées.
  • Relever avec les hauts fonctionnaires les principales mesures propres à la direction générale (si ce n'est déjà fait).
Sous-commissaires, directions générales responsables de l'application

30 septembre 2009

   
  • Concevoir et mettre en œuvre des listes de vérification des dossiers faciles à suivre qui précisent les approbations nécessaires à obtenir pour le dossier.

30 septembre 2009

Recommandation 3.1
(p. 9/s. 3.3) :

Le sous-commissaire, Direction générale de la conformité et des opérations, devrait s'assurer de la mise en œuvre d'une approche assurant un contrôle de la qualité de la conformité aux procédures établies pour la documentation, l'examen et l'approbation des dossiers.
  • Élaborer un protocole et effectuer périodiquement une évaluation de dossiers choisis au hasard.
  • Effectuer des analyses pour améliorer le Système de gestion de l'information du Bureau (SGIB) afin de promouvoir l'uniformité et l'amélioration de la documentation des dossiers dans l'ensemble des directions générales.

Sous-commissaire, DGCO

Développement 31 mars 2010

Contrôle de qualité débute le 1 avril 2010

Plan – 31 mars 2010

Achèvement – six mois

Implémentation 30 septembre 2010

   
  • Modifier le SGIB afin de mettre en œuvre les exigences du Bureau et des directions générales.
  • Évaluer l'efficacité des évaluations aléatoires et apporter des modifications au besoin.

Sous-commissaire, DGCO

30 septembre 2010

Recommandation 4
(p. 10/ s. 3.3) :

Le sous-commissaire, Direction générale de la conformité et des opérations, devrait renforcer les contrôles concernant la gestion et la surveillance de l'accès des utilisateurs aux principaux réseaux, systèmes et centres de données du Bureau en veillant à ce que les documents prouvant l'autorisation des utilisateurs soient obtenus et conservés, qu'un examen périodique des privilèges d'accès au réseau d'utilisateurs soit effectué et que des orientations sur les principales procédures de sécurité du Bureau soient élaborées.
  • Élaborer un processus d'autorisation de l'accès qui documente les demandes d'autorisation pour les nouveaux comptes d'utilisateur et assure la résiliation rapide de l'accès.
Sous-commissaire, DGCO

30 juin 2009

   
  • Élaborer et documenter les accès existants à toutes les applications de technologie de l'information. Des rapports propres aux directions générales seront produits trimestriellement et distribués au sous-commissaire de chaque direction générale aux fins de validation.

30 septembre 2009

  • Donner suite aux recommandations découlant de l'EMR dans le but d'atténuer les risques relevés

Plan d'action de la gestion sera développé avant le 30 septembre 2009

  • Effectuer des examens officiels de ce qui suit :
    • Réseau du Bureau (accès aux comptes)
    • SGIB (accès aux comptes)
    • Centre de données (accès par carte magnétique électronique)

Implémentation du plan d'action reste à déterminer

  • Examiner les politiques en matière de sécurité en place à Industrie Canada et peaufiner les politiques propres au Bureau dans les domaines suivants :
    • Administration des utilisateurs
    • Accès d'usager
    • Opérations de la TI

Sous-commissaire, DGCO

30 septembre 2010