Rapport final de vérification interne (Direction générale de la vérification et de l'évaluation) — Vérification de la sécurité matérielle

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Juillet 2009

Recommendé le 8 juillet 2009 par le Comité ministérielle de vérification
pour l'approbation du sous-ministre
Approuvé par le sous-ministre le 22 juillet 2009

Table des matières


1.0 Sommaire

1.1 Introduction

La Politique ministérielle sur la sécurité (PMS) d'Industrie Canada vise à fournir un cadre au Programme de Services de sécurité matérielle d'Industrie Canada afin qu'il atteigne son objectif, à savoir protéger les employés, l'information et les biens et assurer la prestation continue des services. La PMS appuie la Politique du gouvernement sur la sécurité (PGS).

Pour satisfaire aux exigences de la PMS et de la PGS, la Direction des services de sécurité offre un large éventail de services de sécurité qui visent à assurer la sûreté et la sécurité de tous les employés et biens d'Industrie Canada ainsi que la prestation continue des fonctions et des services essentiels du Ministère.

La vérification avait pour objectif de fournir l'assurance qu'Industrie Canada se conforme aux lois, politiques, directives et procédures pertinentes en matière de sécurité matérielle.

La vérification portait sur les aspects actuels du programme de sécurité non liés à la technologie de l'information du programme de sécurité ministériel. On a établi que la planification de la continuité des opérations et la gestion de l'information sortaient du cadre de cette vérification et feraient l'objet de vérifications ultérieures.

Aux fins de la présente vérification, l'expression « sécurité matérielle » s'entend de tous les éléments de la Politique du gouvernement sur la sécurité qui appuient les objectifs opérationnels du gouvernement du Canada en protégeant les employés et les biens.

1.2 Principales constatations

Le programme de formation et de sensibilisation en matière de sécurité élaboré par la Direction des services de sécurité est bien accueilli par l'ensemble des employés d'Industrie Canada.

Gouvernance :

  1. Les rôles et les responsabilités des représentants régionaux de la sécurité ne sont pas clairement définis.
  2. Il y a un manque de communication entre les bureaux régionaux.

Contrôles :

  1. Les besoins en matière de ressources et de compétences ne sont pas établis.
  2. Il n'existe aucun plan officiel de formation régionale en matière de sécurité.

Gestion des risques

  1. Aucune suite n'est donnée aux recommandations découlant de l'évaluation des menaces et des risques.

1.3 Recommandations

Gouvernance :

  1. Que le directeur général, Approvisionnements, gérance et sécurité, en consultation avec l'agent de sécurité du Ministère, s'assure que les descriptions de travail des représentants régionaux de la sécurité soient passées en revue afin d'inclure des responsabilités propres à la sécurité.
  2. Que le directeur général, Approvisionnements, gérance et sécurité, en consultation avec l'agent de sécurité du Ministère, veille à la tenue de réunions régulières (en personne ou par conférence téléphonique) auxquelles participent tous les représentants régionaux de la sécurité, en vue de relever les problèmes et de communiquer l'information.

Contrôles :

  1. Que le directeur général, Approvisionnements, gérance et sécurité, en consultation avec l'agent de sécurité du Ministère, s'assure que la planification des ressources en matière de sécurité prévoie une analyse des besoins et des compétences et soit prise en compte dans le Plan stratégique des ressources humaines du Secteur de la fonction de contrôleur et de l'administration.
  2. Que le directeur général, Approvisionnements, gérance et sécurité, en consultation avec l'agent de sécurité du Ministère, veille à ce qu'un plan de formation plus détaillé soit établi pour les représentants régionaux de la sécurité.

Gestion des risques

  1. Que le directeur général, Approvisionnements, gérance et sécurité, en consultation avec l'agent de sécurité du Ministère, veille à ce qu'une réponse de la direction soit exigée après chaque évaluation des menaces et des risques en vue de surveiller la mise en œuvre des recommandations découlant de ces évaluations.

1.4 Énoncé d'assurance

Selon mon jugement professionnel en tant que dirigeant principal de la vérification, les procédures de vérification suivies et les données recueillies sont suffisantes et appropriées pour appuyer l'exactitude de l'opinion formulée dans le présent rapport. Cette opinion se fonde sur un examen des situations recensées au cours de la période visée à la lumière des critères de vérification préétablis. L'opinion ne s'applique qu'aux entités examinées et au champ d'étude décrit dans le présent rapport.

1.5 Opinion de vérification

À mon avis, la Direction des services de sécurité présente des lacunes notables et s'expose à de faibles risques en ce qui a trait aux processus de gestion des risques, de contrôle et de gouvernance se rapportant à la sécurité matérielle du Ministère qui requièrent l'attention de la direction.

ligne

Bill Merklinger
Dirigeant principal de la vérification, Industrie Canada
ligne

Date

2.0 À propos de la vérification

2.1 Contexte

La Politique ministérielle sur la sécurité (PMS) d'Industrie Canada vise à fournir un cadre au Programme de Services de sécurité matérielle d'Industrie Canada afin qu'il atteigne son objectif, à savoir protéger les employés, l'information et les biens et assurer la prestation continue des services. La PMS appuie la Politique du gouvernement sur la sécurité (PGS), qui établit qu'il faut mener des activités de formation et de sensibilisation pour assurer que le personnel du gouvernement du Canada possède une connaissance de base des pratiques de sécurité dans ses activités quotidiennes.

Pour satisfaire aux exigences de la PMS et de la PGS, la Direction des services de sécurité (DSS) offre un large éventail de services de sécurité qui visent à assurer la sûreté et la sécurité de tous les employés et biens d'Industrie Canada ainsi que la prestation continue des fonctions et des services essentiels du Ministère.

À cette fin, les mesures suivantes sont prises :

  • formation et sensibilisation en matière de sécurité;
  • classification de l'information et des biens ministériels;
  • sélection adéquate du personnel ministériel;
  • intervention et techniques d'enquête;
  • évaluations des menaces et des risques;
  • mise en œuvre de mesures de sécurité pour l'accès aux installations d'Industrie Canada; et
  • l'élaboration, mise à l'essai et maintien de plans de poursuite des activités.

2.2 Objectif

La vérification avait pour objectif de fournir l'assurance qu'Industrie Canada se conforme aux lois, politiques, directives et procédures pertinentes en matière de sécurité matérielle.

2.3 Portée

La vérification portait sur les aspects actuels du programme de sécurité non liés à la technologie de l'information du programme de sécurité ministériel. On a établi que la planification de la continuité des opérations et la gestion de l'information sortaient du cadre de cette vérification et feraient l'objet de vérifications ultérieures.  

Aux fins de la présente vérification, l'expression « sécurité matérielle » s'entend de tous les éléments de la Politique du gouvernement sur la sécurité qui appuient les objectifs opérationnels du gouvernement du Canada tout en protégeant les employés et les biens.

2.4 Méthode

Cette vérification interne de la sécurité matérielle a été menée conformément aux normes de la pratique professionnelle de la vérification interne de l'Institut des vérificateurs internes (IVI) et conformément à la Politique du gouvernement fédéral sur la vérification interne. Le travail de vérification sur place a été réalisé entre décembre 2008 et mars 2009. Le travail de vérification prévoyait l'examen de documents ainsi que des politiques et procédures pertinentes et des entrevues avec des personnes clés. Plus précisément, les activités suivantes ont été menées par l'équipe de vérification :

  • examen de la conformité d'Industrie Canada à la PGS et à la PMS;
  • entrevues avec des gestionnaires clés à la DSS et des représentants régionaux de la sécurité (RRS);
  • examen de documents, entre autres : plans et priorités des services de sécurité, organigramme de la DSS, plans de travail des services de sécurité et directives techniques de la GRC;
  • examen du Plan stratégique des ressources humaines du Secteur de la fonction de contrôleur et de l'administration (SFCA);
  • vérification des suivis des évaluations des menaces et des risques à l'Administration centrale et dans les régions.

3.0 Constatations et recommandations

3.1 Introduction

La présente section fait état des constatations détaillées de la vérification ministérielle de la sécurité matérielle. Les constatations reposent sur des données probantes et sur l'analyse de la planification et de la vérification détaillée réalisées.

Le programme de formation et de sensibilisation en matière de sécurité élaboré par la Direction des services de sécurité est bien accueilli par l'ensemble des employés d'Industrie Canada.

3.2 Gouvernance

Constatation 1.0 : Les rôles et les responsabilités des représentants régionaux de la sécurité ne sont pas clairement définis

Il faut que les descriptions de travail soient claires et détaillées pour que les employés comprennent leurs responsabilités.
Un échantillon comprenant 10 descriptions de travail régionales ont été examinées par l'équipe de vérification. On a constaté que les descriptions de travail des RRS ne décrivaient pas clairement leurs responsabilités et leurs compétences en matière de sécurité. Les responsabilités relatives à la sécurité ne sont pas regroupées dans les descriptions et ne sont pas décrites de manière claire et détaillée.

Les rôles et les responsabilités des RRS concernant les évaluations des menaces et des risques ne sont pas clairs. Des rôles et responsabilités non définis peuvent entraîner des taux de mise en œuvre inférieurs des recommandations découlant des EMR, ce qui pourrait créer un contexte propice à une augmentation des risques pour les biens et les employés d'Industrie Canada.

L'absence de descriptions de travail claires et détaillées permet difficilement aux RRS de comprendre leurs responsabilités en matière de sécurité.

Recommandation 1.0 :

Que le directeur général, Approvisionnements, gérance et sécurité, en consultation avec l'agent de sécurité du Ministère, s'assure que les descriptions de travail des représentants régionaux de la sécurité soient passées en revue afin d'inclure des responsabilités propres à la sécurité.

Constatation 2.0 : Il y a un manque de communication entre les bureaux régionaux

La structure organisationnelle permet des voies de communication et des liaisons hiérarchiques claires. Toutefois, l'information n'est pas communiquée régulièrement entre les bureaux régionaux.

Une communication ouverte et régulière est requise pour échanger de l'information, aborder des questions et mettre en commun les connaissances. Une structure organisationnelle qui permet des voies de communication et des liaisons hiérarchiques claires encouragera un échange d'information suffisant et créera des possibilités d'apprentissage.

Dans le cadre des entrevues avec les RRS, on a constaté que des réunions mensuelles avaient été réclamées pour communiquer l'information sur la sécurité entre les bureaux régionaux et l'Administration centrale. Bien que la DSS soit disponible pour répondre aux questions et examiner les préoccupations, aucune réunion officielle n'a lieu.

Les réunions mensuelles ou trimestrielles serviraient de tribune où aborder des problèmes communs et créer des synergies. Une discussion commune enrichirait également les connaissances des représentants régionaux, dont bon nombre occupent leur poste depuis peu.

Recommandation 2.0 :

Que le directeur général, Approvisionnements, gérance et sécurité, en consultation avec l'agent de sécurité du Ministère, veille à la tenue de réunions régulières (en personne ou par conférence téléphonique) auxquelles participent tous les représentants régionaux de la sécurité, en vue de relever les problèmes et de communiquer l'information.

3.3 Contrôle interne

Constatation 3.0 : Les besoins en matière de ressources et de compétences ne sont pas établis

Le Plan stratégique des ressources humaines du SFCA n'inclut pas d'analyse des besoins en ressources et en compétences en matière de sécurité.

Le Plan stratégique des ressources humaines du SFCA inclut une analyse des besoins actuels et futurs de la DSS en ressources et en compétences, afin que celle-ci soit en mesure de répondre aux besoins actuels et futurs en matière de capacité et se conforme aux exigences de la PGS et la PMS.

L'examen du Plan stratégique des ressources humaines 2008-2009 n'a pas mis au jour une analyse des besoins en ressources et en compétences en matière de sécurité. Le plan analysait la planification de la relève à un niveau stratégique, mais ne renfermait aucune analyse des besoins en ressources et en compétences en matière de sécurité.

La conformité aux actuelles PGS et PMS ne pourra être durable si l'on n'établit pas les ressources requises. Par ailleurs, les besoins en ressources pour la nouvelle Politique du gouvernement sur la sécurité doivent être établis et comblés.

Recommandation 3.0 :

Que le directeur général, Approvisionnements, gérance et sécurité, en consultation avec l'agent de sécurité du Ministère, s'assure que la planification des ressources en matière de sécurité prévoie une analyse des besoins et des compétences et soit prise en compte dans le Plan stratégique des ressources humaines du Secteur de la fonction de contrôleur et de l'administration.

Constatation 4.0 : Il n'existe aucun plan officiel de formation régionale en matière de sécurité

Il n'existe aucun plan détaillé de formation en sécurité dans les régions.

En vertu de la section 10.5 de la Politique du gouvernement sur la sécurité, les ministères doivent assurer la formation de manière appropriée et actualisée des personnes chargées de tâches précises en matière de sécurité. Des plans de formation détaillés sont nécessaires pour renforcer la capacité future et veiller à ce que les employés possèdent les compétences nécessaires pour mener à bien les activités quotidiennes.

L'équipe de vérification a relevé l'absence de plans de formation détaillés dans les régions. Les entrevues de RRS indiquent que des programmes de formation supplémentaires de la DSS les aideraient à assumer les responsabilités en matière de sécurité.

Des plans de formation médiocres peuvent donner lieu à une capacité insuffisante et empêcher le respect ultérieur des exigences en matière de sécurité.

Recommandation 4.0 :

Que le directeur général, Approvisionnements, gérance et sécurité, en consultation avec l'agent de sécurité du Ministère, veille à ce qu'un plan de formation plus détaillé soit établi pour les représentants régionaux de la sécurité.

3.4 Gestion des risques

Constatation 5.0 : Aucune suite n'est donnée aux recommandations découlant de l'évaluation des menaces et des risques (EMR)

Le suivi des recommandations découlant de l'EMR n'est pas assuré et aucune réponse de la direction n'est requise une fois qu'une EMR a été réalisée.

Selon la section 10.7 de la Politique du gouvernement sur la sécurité, les ministères doivent continuellement être aux aguets de tout changement aux menaces et faire les ajustements nécessaires au maintien d'un niveau de risque acceptable et d'un équilibre entre les besoins opérationnels et la sécurité.

Pour qu'une EMR soit efficace, il faut agir pour mettre en œuvre les mesures de sécurité recommandées par les analystes de la sécurité. La direction doit prendre des mesures pour assurer qu'une suite adéquate est donnée aux recommandations découlant des EMR et ce, en temps opportun.

Les entrevues ont révélé que les rôles et les responsabilités des RRS ne sont pas clairs en ce qui a trait à la mise en œuvre des recommandations découlant des EMR. À l'échelle régionale, sur les 99 recommandations découlant des EMR examinées, 30, ou 30 %, n'avaient pas été mises en œuvre. À l'Administration centrale, sur les 24 recommandations examinées, 3, ou 11 %, n'avaient pas été mises en œuvre.

Les recommandations découlant des EMR qui n'ont pas été mises en œuvre pourraient faire peser un risque sur les employés et les biens d'Industrie Canada.

Recommandation 5.0 :

Que le directeur général, Approvisionnements, gérance et sécurité, en consultation avec l'agent de sécurité du Ministère, veille à ce qu'une réponse de la direction soit exigée après chaque EMR en vue de surveiller la mise en œuvre des recommandations découlant de ces évaluations.

4.0 Annexe A – Critères de vérification détaillés

Gouvernance

  • Les responsabilités et les attentes en matière de rendement dont les gestionnaires et les superviseurs sont tenus responsables sont définies officiellement (selon des objectifs stratégiques/opérationnels et réalistes) et clairement communiquées. Les tâches et responsabilités des employés sont clairement définies.
  • Le pouvoir est officiellement délégué et le pouvoir délégué est en adéquation avec les responsabilités des particuliers.
  • Un système officiel est en place pour la reconnaissance officielle de la compréhension et de l'acceptation des responsabilités.
  • Le personnel de supervision rencontre périodiquement les employés afin d'examiner le rendement au travail et de proposer des améliorations.
  • La structure organisationnelle est actualisée et communiquée à grande échelle.
  • La structure organisationnelle permet des voies de communication et des liaisons hiérarchiques claires et efficaces (p. ex., rapports hiérarchiques établis – officiels ou informels, directs ou indirects, communication d'information aux gestionnaires qui correspond à leurs responsabilités et à leur pouvoir).
  • L'étendue des responsabilités de la direction est adéquate.
  • L'autorité fonctionnelle est confiée aux chefs fonctionnels compétents qui l'exercent.

Contrôle interne

  • La planification des ressources humaines et la planification opérationnelle ou stratégique sont clairement harmonisées (p. ex., les plans d'activités et les plans stratégiques font référence aux besoins en ressources humaines).
  • Un plan des ressources humaines est documenté et communiqué et comprend les éléments suivants :
    1. analyse des besoins actuels et futurs en ressources et en compétences;
    2. analyse des postes clés et de la planification de la relève; et plan de formation et de perfectionnement.
  • Il existe un plan détaillé de formation et de perfectionnement qui comprend les éléments clés suivants :
    1. L'établissement des besoins en compétences et en capacité;
    2. Une analyse des connaissances actuelles de l'effectif par rapport aux besoins en compétences et en capacité (analyse des besoins);
    3. Plans de formation et de perfectionnement conformes aux plans d'activités (et mis à l'essai au PPL-1); et
    4. Mesures et priorités, et rôles et responsabilités connexes.
  • Les employés ont accès à des outils suffisants, comme le logiciel, l'équipement, les méthodes de travail et les procédures d'exploitation standard.
  • Les postes clés et les activités ont été établis et des renforts suffisants sont disponibles.
  • Des ressources sont affectées aux plans de formation et de perfectionnement, qui sont mis en œuvre. 
  • Il existe un processus d'échange d'information à l'appui de la diffusion efficace et ciblée d'information pertinente et fiable à ceux qui en ont besoin.
    1. Les processus en place respectent les exigences législatives et réglementaires, les politiques du SCT (Secrétariat du Conseil du trésor) et sont en accord avec les valeurs, éthiques et codes de conduite de l'organisation.
    2. Les processus sont compris et respectés.
  • Pour les services fournis par des tiers, la direction a mis en œuvre un programme de surveillance des activités.

Gestion des risques

  • L'exposition au risque résiduel est examinée par rapport aux tolérances établies aux risques par le niveau de direction responsable du risque.
  • Une réaction officielle (p. ex., éviter, atténuer ou accepter) au risque est étayée et communiquée à toutes les parties nécessaires.
  • Des plans d'action sont mis en place pour gérer et traiter les risques jugés inacceptables par la direction. Les plans d'action incluent :
    1. des mesures d'atténuation particulières;
    2. les délais dans lesquels les mesures seront appliquées; et
    3. le responsable de chaque mesure.

5.0 Annexe B – Plan d'action de la direction

Annexe B - Plan d'action de la direction
Recommandation (Page/Section) Mesure prévue ou justification de la décision de ne pas donner suite à la recommandation Responsable Date cible d'achèvement Situation actuelle

Recommandation 1

Que le directeur général, Approvisionnements, gérance et sécurité, en consultation avec l'agent de sécurité du Ministère, s'assure que les descriptions de travail des représentants régionaux de la sécurité soient passées en revue afin d'inclure des responsabilités propres à la sécurité.

La direction est d'accord avec la recommandation.

Les Services de sécurité aideront le responsable régional à examiner et à modifier les descriptions de travail en y insérant les responsabilités en matière de sécurité et les soumettront ensuite à l'approbation de l'agent de sécurité du Ministère.

DG, DGAGS

Mars 2010

 

Recommandation 2

Que le directeur général, Approvisionnements, gérance et sécurité, en consultation avec l'agent de sécurité du Ministère, veille à la tenue de réunions régulières (en personne ou par conférence téléphonique) auxquelles participent tous les représentants régionaux de la sécurité, en vue de relever les problèmes et de communiquer l'information.

La direction est d'accord avec la recommandation.

Les employés clés de la Direction des services de sécurité tiendront régulièrement des téléconférences avec les responsables régionaux de la sécurité et leurs gestionnaires pour discuter des problèmes de sécurité du moment.

DG, DGAGS

Août, 2009

 

Recommandation 3

Que le directeur général, Approvisionnements, gérance et sécurité, en consultation avec l'agent de sécurité du Ministère, s'assure que la planification des ressources en matière de sécurité prévoie une analyse des besoins et des compétences et soit prise en compte dans le Plan stratégique des ressources humaines du Secteur de la fonction de contrôleur et de l'administration.

La direction est d'accord avec la recommandation.

Une évaluation des capacités et des compétences a été réalisée. Ses résultats seront pris en compte dans le Plan stratégique des ressources humaines.

DG, DGAGS

Terminée

 

Recommandation 4

Que le directeur général, Approvisionnements, gérance et sécurité, en consultation avec l'agent de sécurité du Ministère, veille à ce qu'un plan de formation plus détaillé soit établi pour les représentants régionaux de la sécurité.

La direction est d'accord avec la recommandation.

Les capacités des représentants régionaux de la sécurité seront évaluées.

Un plan de formation sera établi pour accroître les connaissances des représentants régionaux de la sécurité.

La formation visera surtout à inculquer des compétences techniques concernant des mesures de sécurité matérielle particulières, comme les plans de situation, les mécanismes de verrouillage, le contrôle de l'accès, les évaluations des menaces et des risques et les mesures d'enquête, ainsi qu'à faire comprendre aux participants les divers processus pour assurer le recensement et la classification adéquate des biens afin d'éviter toute éventuelle divulgation non autorisée de renseignements ministériels de nature délicate.

DG, DGAGS

Janvier 2010

 

Recommandation 5

Que le directeur général, Approvisionnements, gérance et sécurité, en consultation avec l'agent de sécurité du Ministère, veille à ce qu'une réponse de la direction soit exigée après chaque évaluation des menaces et des risques en vue de surveiller la mise en œuvre des recommandations découlant de ces évaluations.

La direction est d'accord avec la recommandation.

Un système de surveillance sera établi pour assurer que l'on donne suite aux recommandations découlant de l'évaluation des menaces et des risques.

DG, DGAGS

Octobre 2009