Audit de la mise en œuvre de la Stratégie de formation pour les compétences et l’emploi destinée aux Autochtones, Mai 2014
Sommaire exécutif
La Stratégie de formation pour les compétences et l’emploi destinée aux Autochtones (SFCEA) est un programme de contribution visant à accroître la présence des Autochtones sur le marché du travail et à faire en sorte que les Premières Nations, les Inuits et les Métis occupent des emplois significatifs de longue durée. La SFCEA fournit du financement aux organisations autochtones afin de faciliter l’absorption des coûts des programmes et services associés au marché du travail ainsi que des autres activités de ces organisations.
La SFCEA succède à la Stratégie de développement des ressources humaines autochtones (SDRHA). En avril 2010, les trois piliers stratégiques ci-dessous ont été établis afin de soutenir la SFCEA :
- Développement des compétences axées sur la demande;
- Partenariats;
- Amélioration des résultats par la reddition des comptes.
Objectif de l’audit
L’audit avait pour objectif d’examiner le cadre de gestion de la SFCEA, pour vérifier que les contrôles appropriés avaient été établis et qu’ils fonctionnaient comme prévu.
Sommaire des constatations principales
Les vérificateurs ont signalé que des contrôles adéquats avaient été établis pour la gestion de la SFCEA. Un cadre de gouvernance approprié est d’ailleurs en vigueur. De plus, les exigences en ce qui a trait à la mise en application et la gestion de la SFCEA ont été bien communiquées aux agents régionaux et aux bénéficiaires. Toutefois, les vérificateurs ont relevé des secteurs où le cadre de gestion et l’application des contrôles pourraient être améliorés. Il s’agissait notamment des secteurs suivants :
- Les risques associés au programme ont été évalués, mais cette évaluation ne portait pas sur les risques recensés au préalable et ne prenait pas en compte les observations des régions.
- Les contrôles utilisés pour Protégé ne fonctionnaient pas comme prévu.
- À la fin du travail d’audit sur le terrain, les mécanismes garantissant que les intervenants à l’extérieur du Ministère protégeaient les renseignements personnels n’étaient pas encore en vigueur.
Conclusion de l’audit
Les vérificateurs ont conclu que des contrôles adéquats avaient été établis pour gérer la SFCEA, mais que ceux-ci ne fonctionnaient pas toujours comme prévu. En particulier, les Protégé pour la Protégé doivent être appliqués uniformément. Comme ce programme se poursuit jusqu’en 2015, il est encore temps de procéder à des améliorations.
Recommandations
- Le sous-ministre adjoint (SMA) de la Direction générale des compétences et de l’emploi (DGCE) devrait mettre à jour l’évaluation des risques associés au programme, de façon à inclure les aspects soulevés dans le présent rapport et les autres risques pouvant être recensés par les régions et les directions générales concernées.
- Les cadres supérieurs de la gestion des services (CSGS) devraient s’assurer que les contrôles pour Protégé sont appliqués uniformément.
- Les CSGS devraient s’assurer que les contrôles pour la surveillance des exigences en matière de protection des renseignements personnels dans les ententes de contribution sont appliqués de façon uniforme.
1.0 Renseignements généraux
1.1 Contexte
La SFCEA est un programme de contribution visant à accroître la présence des Autochtones sur le marché du travail et à faire en sorte que les Premières Nations, les Inuits et les Métis occupent des emplois significatifs de longue durée. La SFCEA fournit du financement aux organisations autochtones afin de faciliter l’absorption des coûts des programmes et services associés au marché du travail ainsi que des autres activités de ces organisations.
La SFCEA a succédé à la SDRHA en avril 2010 . Le coût total de la SFCEA devrait s’élever à 1,68 G$ durant les exercices 2010-2011 à 2014-2015. Les trois piliers stratégiques ci-dessous ont été établis afin de soutenir la SFCEA :
- Développement des compétences axées sur la demande, pour associer les activités d’intervention à la demande locale et régionale provenant des employeurs;
- Partenariats avec le secteur privé et les divers ordres de gouvernement pour améliorer les résultats sur le marché du travail et l’utilisation des ressources;
- L’amélioration des résultats par la reddition des comptes, pour faire en sorte que les bénéficiaires puissent évaluer le rendement par rapport aux cibles et respecter les exigences en matière de responsabilisation.
Même si la SFCEA et la SDRHA ont des objectifs similaires, la transition vers la SFCEA représentait un changement fondamental dans le mode de planification, d’exécution et d’évaluation des activités des programmes et dans la production de rapports à cet égard. Aux termes de la SFCEA, les activités entreprises par les bénéficiaires devaient être mises en œuvre conformément aux plans opérationnels pluriannuels approuvés, qui garantissent le respect des piliers stratégiques.
La Direction des affaires autochtones, au sein de la DGCE, joue un rôle prépondérant dans la conception du modèle global d’exécution des programmes et dans la gestion stratégique. En outre, la DGCE surveille le rendement et les résultats, facilite les activités d’évaluation et voit à la responsabilisation financière.
La Direction des opérations des programmes autochtones, qui relève de la Direction générale des opérations de programmes (DGOP), fournit une orientation fonctionnelle et des instructions aux bureaux régionaux de Service Canada sur le fonctionnement de la SFCEA, y compris la surveillance financière, l’évaluation des risques des projets et la communication des résultats. Parmi les responsabilités régionales, mentionnons la gestion du processus d’approbation, la gestion des demandes et des paiements, ainsi que le suivi et la production de rapports à l’égard des activités et des dépenses.
En novembre 2011, on comptait 82 bénéficiaires Note de bas de page 1 à l’échelle du pays. Souvent, les services étaient fournis par des tierces parties appelées « titulaires d’ententes auxiliaires ». Il incombe aux bénéficiaires de surveiller ces tierces parties afin de vérifier qu’elles respectent les clauses des ententes. Même si les employés du Ministère mettent l’accent sur les activités des bénéficiaires, on s’attend à ce qu’ils se rendent au moins une fois chez les titulaires d’ententes auxiliaires pendant la durée des ententes principales.
1.2 Objectif de l’audit
L’audit avait pour objectif d’examiner le cadre de gestion de la SFCEA, pour vérifier que les contrôles appropriés avaient été établis et qu’ils fonctionnaient comme prévu.
1.3 Portée
L’audit portait sur les cadres, les processus de contrôle et les systèmes servant à faciliter la mise en application et l’administration de la SFCEA.
Le travail sur le terrain a été réalisé dans la région de l’Ontario et la région de l’Ouest et des Territoires durant la deuxième année du programme. Les endroits choisis étaient Vancouver, Edmonton et Toronto. La phase d’exécution de l’audit, qui comprenait aussi des travaux à l’administration centrale (AC), s’est déroulée entre février et mai 2012. Les auditeurs ont pris en compte les contrôles en vigueur entre le début de la mise en application et la fin des visites sur le terrain en 2012.
1.4 Méthodologie
Les techniques d’audit ci-dessous ont été utilisées :
- Entrevues avec la direction de la DGCE et de la DGOP, ainsi qu’avec les gestionnaires et les employés responsables des programmes autochtones à Vancouver, Edmonton et Toronto.
- Revue et analyse des politiques, lignes directrices et processus du Conseil du Trésor et du Ministère.
- Tests d’audit de la documentation des bénéficiaires et des titulaires d’ententes auxiliaires dans les endroits visités, pour vérifier le respect des clauses relatives à l’admissibilité des dépenses, à la surveillance et à la protection des renseignements personnels.
Les vérificateurs ont choisi un échantillon aléatoire de 23 bénéficiaires, ce qui constituait la moitié des bénéficiaires à chacun des endroits visités. Les ententes faisant partie de l’échantillon représentait 471 M$, soit 31 % de la valeur totale des ententes, qui se chiffrait à 1,5 G$. Comme il s’agissait d’un échantillon stratifié, les bénéficiaires d’ententes importantes avaient plus de probabilité d’être choisis.
2.0 Constatations de l’audit
2.1 Les pratiques de gestion des risques associés au programme pourraient être renforcées
Une gestion avisée des risques peut constituer le fil conducteur d’un cadre de surveillance relatif au rendement, à la gestion des tierces parties, à la surveillance financière, à la protection des renseignements personnels et aux modalités des ententes de contribution. Des pratiques judicieuses de gestion des risques associés au programme sont particulièrement utiles dans une situation d’exécution complexe, comme c’est le cas pour la SFCEA. En effet, ce programme de 1,5 G$ nécessite la participation de deux directions générales de l’administration centrale, des quatre régions, de 82 bénéficiaires et de centaines de tierces parties.
La gestion des risques, au niveau du programme, aurait pu être plus complète. Les régions n’ont pas participé à l’évaluation des risques, et certains risques recensés au début de la mise en application n’ont pas été considérés durant l’évaluation des risques dans le cadre de Protégé. Par exemple, un risque lié aux systèmes de données sur le rendement des bénéficiaires a été signalé dans le plan d’activités 2010-2011 de la DGCE, mais ne figurait pas dans l’évaluation initiale. Les problèmes relatifs à l’information sur le rendement soulevés plus loin dans le présent rapport (voir la section 2.2) auraient pu être atténués plus tôt si le risque en question avait été pris en considération. De plus, les évaluations des risques ne portaient pas sur les questions Protégé soulevées dans les audits internes antérieures des programmes de contribution, qui étaient similaires aux questions figurant dans le présent rapport Protégé.
Les risques associés aux projets sont examinés par les agents régionaux, qui évaluent numériquement, pour chaque projet, dix facteurs de risque prédéterminés figurant dans l’outil d’évaluation, gestion et atténuation des risques, afin d’établir l’ampleur de la surveillance dont le projet doit faire l’objet. Des listes de vérification normalisées, élaborées aux fins de la SFCEA, sont utilisées lorsque les agents se rendent sur le terrain, chez les bénéficiaires. L’équipe de l’audit a constaté que ces listes portent sur plusieurs secteurs de risque associés au programme, mais en omettent d’autres, notamment les contrôles utilisés par les bénéficiaires pour la protection des renseignements personnels. Les listes de vérification en question seraient plus utiles si elles pouvaient être adaptées afin de porter sur les principaux risques recensés à l’égard d’un bénéficiaire donné. Cela pourrait permettre, par exemple, que les questions spécifiques Protégé des bénéficiaires soient spécialement abordées lors des visites sur place. Nous estimons que les projets pourraient être gérés plus efficacement si les listes de vérification servaient avant tout à atténuer les risques particuliers d’un projet. En mettant l’accent sur les secteurs où les risques sont plus élevés pour le programme et le bénéficiaire, le Ministère pourrait affecter plus précisément ses ressources limitées à l’occasion des activités de surveillance régionales.
Les pratiques globales de gestion des risques associés à la SFCEA pourraient être renforcées. Étant donné que le programme ne se termine pas avant 2015 et que la planification pour le renouvellement de la SFCEA sera entreprise en 2013-2014, il est encore temps de procéder à ces améliorations.
Recommandation
Le SMA de la DGCE devrait mettre à jour l’évaluation des risques associés au programme, de façon à inclure les aspects soulevés dans le présent rapport et les autres risques pouvant être recensés par les régions et les directions générales concernées.
Réponse de la direction
En accord. La GCE, en collaboration avec la DGOP, le Dirigeant principal de la vérification et les autres directions générales, actualisera l’évaluation des risques liés au programme; en tenant compte des risques identifiés dans cet audit et dans la première évaluation des risques du programme complétée en 2010. L’évaluation des risques, qui aura été mise à jour, guidera l’élaboration des politiques et l’exécution de tous les programmes ministériels pour les Autochtones sur le marché du travail. La date d’achèvement prévue est septembre 2014.
2.2 Le cadre de gouvernance est adéquat
Directives
Généralement, les directives ministérielles à l’intention des régions et des bénéficiaires sur la mise en application et la gestion de la SFCEA ont été bien communiquées, et elles étaient suffisantes. Cependant, tout au long des tests à l’occasion des visites régionales sur place, les vérificateurs ont constaté que plusieurs exigences qui figuraient dans les documents contenant les directives n’étaient pas appliquées uniformément.
Les exigences ministérielles comprennent l’entente de contribution, le manuel d’accompagnement, le manuel de mise en œuvre de la SFCEA et le guide relatif au dialogue de mi-exercice. Les principaux volets de ces documents sont présentés ci-dessous :
Entente de contribution
- L’entente présente les attentes à l’égard des bénéficiaires en matière de gestion de l’exécution du programme.
- L’entente comprend le guide sur la surveillance des finances et des activités du bénéficiaire, qui indique clairement et succinctement comment les demandes de remboursement de dépenses doivent être validées, comment les examens sur place des documents doivent être surveillés et comment le rendement des activités doit être analysé. Ces procédures devaient être appliquées par le Ministère, à l’égard des bénéficiaires, et par les bénéficiaires, à l’égard des projets et des tierces parties.
Manuel d’accompagnement
- Transmis aux régions et aux bénéficiaires, le manuel d’accompagnement précise les clauses des ententes en vertu de la SFCEA.
- On y souligne l’obligation de faire approuver par le Ministère les ententes auxiliaires entre les bénéficiaires et les tierces parties.
- On y souligne l’obligation de faire en sorte que le Ministère puisse vérifier les dépenses jusqu’à ce que les fonds atteignent la personne.
Manuel de mise en oeuvre de la SFCEA
- Le manuel renseigne les agents régionaux sur l’information à analyser et à examiner avec les bénéficiaires avant l’approbation des demandes de participation à la SFCEA présentées par les bénéficiaires.
- Les renseignements à analyser et à examiner comprenaient les constatations formulées au terme des audits antérieurs chez les bénéficiaires et les problèmes de conformité, ainsi que les résultats antérieurs des clients par rapport aux cibles.
Guide relatif au dialogue de mi-exercice
- Le processus de dialogue de mi-exercice visait à obtenir de l’information sur les progrès réalisés par les bénéficiaires en vue de l’atteinte des cibles.
- Les guides indiquaient aux régions et aux bénéficiaires comment utiliser l’analyse des résultats axés sur la demande dans les rapports annuels des bénéficiaires aux fins des discussions sur l’information relative au rendement.
L’équipe de l’audit a estimé que les directives étaient suffisantes pour la mise en œuvre et la gestion de la SFCEA. Toutefois, comme on l’a mentionné auparavant, les vérificateurs ont constaté que les directives formulées dans les documents susmentionnés n’étaient pas toujours appliquées. Protégé. Même si les régions et les organisations bénéficiaires ont indiqué qu’elles auraient aimé connaître plus rapidement les exigences durant la mise en application, l’équipe de l’audit estime que la cause principale du manque d’uniformité dans l’application des directives Protégé.
Rendement
Comme « l’amélioration des résultats par la reddition de comptes » constitue l’un des trois piliers de la SFCEA, les systèmes permettant de rendre compte des résultats des clients par rapport aux cibles doivent être efficaces. Conformément à la stratégie de mesure du rendement de la SFCEA, un « fichier standard de données » (FSD) est utilisé par le bénéficiaire pour communiquer de l’information exhaustive sur ses clients. Le FSD est transmis au Ministère, où il est traité en vue de valider les résultats des clients et du bénéficiaire.
En vue de régler des problèmes associés à la collecte et à la qualité des données, qui ont été signalés dans l’évaluation de la SDRHA, on a procédé à une refonte du FSD pour la SFCEA. Le nombre de champs du FSD est passé de 88 à 36, ce qui a réduit le fardeau de la production de rapports pour les bénéficiaires, et les champs sont devenus obligatoires pour chaque client. Toutefois, durant l’audit de la SFCEA, des problèmes en matière de collecte et de communication des données ont continué d’être observés. En effet, le logiciel destiné au Ministère et aux bénéficiaires n’a pas été correctement reconfiguré, ce qui a empêché les bénéficiaires de transmettre des rapports complets sur les activités de leurs clients. Il importe de signaler que la direction est au courant de ces problèmes et que l’équipe de l’audit a été informée que des mesures avaient été prises pour les régler.
Outre le FSD, des rapports annuels sur le rendement sont également transmis par les bénéficiaires, pour démontrer les progrès en regard des plans opérationnels annuels. Ces rapports favorisent la responsabilisation et aident la haute direction à surveiller le niveau d’atteinte des objectifs du programme. L’équipe de l’audit a constaté que, de par leur conception, les rapports annuels sur le rendement des bénéficiaires permettaient une comparaison des résultats des activités d’intervention par rapport aux plans d’activité annuels. Protégé.
Protégé. Cependant, en 2012-2013, la région Protégé a commencé à exiger que les activités puissent faire l’objet d’un rapprochement. Les vérificateurs considèrent qu’il s’agit d’une bonne pratique.
Tel que mentionné auparavant, un dialogue de mi-exercice a été instauré. Il visait à obtenir de l’information contextuelle sur la planification et le rendement, de façon à ce que le Ministère dispose d’un portrait complet des progrès réalisés par les bénéficiaires et des difficultés relativement aux trois piliers de la SFCEA. L’équipe de l’audit estime que la conception du processus de dialogue de mi-exercice constitue une pratique exemplaire. Les tests d’audit ont révélé que les agents régionaux avaient utilisé les « notes sur les faits saillants » du dialogue de mi-exercice pour communiquer efficacement de l’information utile sur l’administration et le risque associé aux bénéficiaires. L’examen des notes sur les faits saillants se rapportant à l’échantillon de 23 dossiers de bénéficiaire a révélé que 21 bénéficiaires réalisaient des progrès et atteignaient leurs objectifs. Protégé.
Vers la fin des travaux sur le terrain, l’équipe de l’audit a été informée que le Ministère s’affairait à résoudre les problèmes de configuration du logiciel et à élaborer des outils facilitant l’évaluation du rendement des bénéficiaires. Nous incitons le personnel du Ministère à poursuivre son travail dans ces secteurs, de façon à pouvoir présenter des rapports fiables sur le rendement.
2.3 Protégé
Demandes des bénéficiaires
Afin de participer à la SFCEA, les bénéficiaires devaient présenter des demandes au Ministère, en expliquant brièvement les activités qu’ils entreprendraient dans la réalisation des trois piliers de la SFCEA.
Des exigences en ce qui a trait aux demandes ont été établies. Notamment, le Ministère exigeait :
- des plans d’affaires stratégiques, décrivant les intentions des bénéficiaires au cours des cinq années suivantes;
- des plans opérationnels annuels, expliquant les intentions des bénéficiaires pendant les 18 premiers mois.
L’équipe de l’audit a constaté que le format des deux plans était adéquat, car il obligeait les bénéficiaires à fournir au Ministère de l’information importante sur la manière dont ils mettraient en application la SFCEA et bonifieraient les résultats au cours de la période de cinq ans. Plus particulièrement, dans les plans d’affaires stratégiques, les bénéficiaires devaient non seulement démontrer leur capacité actuelle de réaliser des interventions axées sur la demande, mais aussi décrire les améliorations qu’ils apporteraient à cette capacité pendant les cinq ans en question.
Les tests d’audit ont montré que les plans opérationnels annuels traitaient des objectifs des bénéficiaires relativement à l’amélioration de la capacité interne et de la prestation de services durant les 18 premiers mois. Toutefois, la plupart des plans d’affaires stratégiques examinés ne mentionnaient pas les améliorations tangibles à la prestation de services et à la capacité interne qui devaient être apportées après ces 18 premiers mois. Protégé.
Protégé.
Protégé.
Surveillance des tierces parties
L’équipe de l’audit a constaté que les modalités de l’entente de contribution ainsi que le guide sur la surveillance des finances et des activités du bénéficiaire fournissent les bases nécessaires pour permettre la surveillance efficace des organisations chargées, au final, d’exécuter le programme. Les termes de ces deux documents exigent que les bénéficiaires qui ont recours à des tierces parties pour fournir les services prévus par la SFCEA doivent :
- transmettre au Ministère, aux fins d’approbation, les ententes auxiliaires officielles avec les tierces parties;
- surveiller adéquatement les tierces parties;
- rendre disponible l’information sur les transactions associées aux dépenses engagées par les tierces parties.
De plus, les ententes comprenaient des clauses prévoyant, pour chaque titulaire d’une entente auxiliaire, au moins une visite de surveillance sur place effectuée par des agents du Ministère pendant la durée de l’entente principale avec le bénéficiaire.
Cette formule offre une base suffisante au Ministère pour s’assurer :
- qu’il connaît les tierces parties fournissant les services, ainsi que les modalités et les attentes relatives au fonctionnement;
- que les bénéficiaires décèlent et corrigent les problèmes avec leurs tierces parties;
- que les dépenses engagées par les bénéficiaires et les tierces parties sont admissibles à un remboursement.
Les tests effectués dans le contexte du présent audit ont révélé que ces exigences n’étaient pas toujours respectées. Par exemple, 6 des 23 bénéficiaires faisant partie de l’échantillon recouraient à des tierces parties qui n’avaient pas été autorisées par le Ministère à fournir des services et ils n’avaient pas non plus lesdites ententes auxiliaires. Or, dans le guide accompagnant les ententes de financement, on indique que «Tout financement affecté à une entente auxiliaire non approuvée sera considéré comme une dépense non admissible». Protégé.
Les auditeurs ont aussi constaté que les agents régionaux n’avaient pas encore réalisé de visites de surveillance chez les tierces parties pour 13 des 15 bénéficiaires recourant à des tierces parties. Il convient de remarquer que ces visites peuvent être réalisées à n’importe quel moment pendant la durée de l’entente. Les auditeurs ont aussi remarqué Protégé cas où les bénéficiaires utilisaient les services de Protégé tierces parties Protégé. Or, en pareil cas, il est possible que les agents n’aient pas le temps de réaliser des visites chez toutes les tierces parties avant la fin des ententes, le 31 mars 2015.
Protégé
Compte tenu des résultats, les auditeurs ont conclu que les contrôles Protégé en vigueur au moment de la mise en application de la SFCEA avaient bien été conçus, Protégé.
Recommandation
Les CSGS devraient s’assurer que les contrôles pour Protégé sont appliqués uniformément.
Réponse de la direction
En accord. Les équipes de direction régionales entreprendront des activités régulières de vérification et de surveillance afin de s’assurer que les contrôles internes en vigueur soient appliqués, ils veilleront aussi à améliorer l’expertise Protégé affectée aux accords conclus dans le cadre de la SFCEA. La date d’achèvement prévue est mars 2015.
2.4 Les contrôles relatifs à la protection des renseignements personnels pourraient être renforcés
Les mécanismes servant à vérifier que les intervenants ne faisant pas partie du Ministère protègent les renseignements personnels n’ont pas été pleinement mis en application. Comme ce programme pluriannuel se poursuit jusqu’en 2015, il est encore temps de corriger ces problèmes.
Dans le cadre de l’exécution de la SFCEA, les bénéficiaires et les tierces parties sont appelés à recueillir des renseignements personnels fournis par les individus voulant se prévaloir des services. Les bénéficiaires et les tierces parties accèdent aussi à des renseignements personnels conservés par le gouvernement du Canada, afin d’administrer le programme et de déterminer si les personnes ont le droit de toucher des prestations d’assurance-emploi (AE) pendant qu’ils participent à des programmes du marché du travail.
Le Ministère a signé avec les bénéficiaires des ententes de contribution comportant des clauses relatives à l’échange, la collecte et l’utilisation de renseignements personnels. Cependant, rien dans les dossiers du Ministère n’indique que les bénéficiaires ont signé, avec les tierces parties, des ententes auxiliaires renfermant les dispositions requises en matière de protection des renseignements personnels. Tel que mentionné auparavant dans la section sur la surveillance des tierces parties, 6 des 23 bénéficiaires faisant partie de l’échantillon avaient recours à des tierces parties qui n’avaient pas été autorisées par le Ministère à fournir des services dans le cadre de la SFCEA. Dans de telles circonstances, le Ministère n’a pas connaissance des attentes envers les tierces parties pour ce qui est de la protection des renseignements personnels. En outre, au moment de l’audit, les visites chez les tierces parties n’avaient pas encore été réalisées. Par conséquent, le Ministère ne savait pas si les tierces parties avaient mis en application des pratiques adéquates de protection des renseignements personnels.
Pour les besoins de l’administration du programme, les employés des bénéficiaires et des tierces parties doivent accéder à de l’information du Régime d’AE et transmettre des renseignements personnels concernant les participants au programme. Les ententes de contribution de la SFCEA requièrent un accord sur le niveau de service (ANS) entre le Ministère et le bénéficiaire régissant officiellement l’accès des employés du bénéficiaire aux systèmes de données du gouvernement du Canada. En l’absence d’un ANS, le bénéficiaire n’est pas tenu de garantir que ses employés et le personnel des tierces parties respectent les exigences en matière de systèmes et de sécurité.
L’ébauche d’une évaluation des facteurs relatifs à la vie privée (EFRVP) a été rédigée au moment de la mise en œuvre de la SFCEA. Depuis la fin des tâches de l’audit sur le terrain, le Ministère a rédigé une ébauche du plan d’action qui porte sur l’EFRVP et l’ANS qui, une fois mise en application, devrait répondre aux préoccupations susmentionnées. En outre, l’équipe de l’audit a été informée que le Ministère s’affaire à compléter l’ébauche de modèles pour l’EFRVP et l’ANS, et qu’ils devraient être présentés au Comité sur la protection des renseignements personnels et la sécurité de la technologie de l’information en 2013, aux fins d’examen.
Recommandation
Les CSGS devraient s’assurer que les contrôles pour la surveillance des exigences en matière de protection des renseignements personnels dans les ententes de contribution sont appliqués de façon uniforme.
Réponse de la direction
En accord. Des ANS seront mis en place pour l’ensemble des titulaires d’entente, et des contrôles pour la surveillance des exigences en matière de protection des renseignements personnels seront appliqués de façon uniforme et feront l’objet d’une surveillance. La date d’achèvement prévue est octobre 2014.
3.0 Conclusion
Les vérificateurs ont conclu que des contrôles adéquats avaient été établis pour gérer la SFCEA, mais que ceux-ci ne fonctionnaient pas toujours comme prévu. En particulier, les contrôles Protégé pour la Protégé doivent être appliqués uniformément. Comme ce programme se poursuit jusqu’en 2015, il est encore temps de procéder à des améliorations.
4.0 Énoncé d’assurance
Selon notre jugement professionnel, les procédures d’audit appliquées et les éléments probants recueillis sont suffisants et appropriés pour confirmer l’exactitude des constatations présentées dans ce rapport. Les constatations sont fondées sur les observations et les analyses faites lors de l’audit. Les constatations ne s’appliquent qu’à l’évaluation de la mise en œuvre de la SFCEA. Les éléments probants ont été recueillis conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de l’audit interne.
Annexe A : Évaluation des critères d’audit
On s’attend que:
1. Une stratégie de gestion des risques ait été établie, tant au niveau du programme que des projets, pour évaluer les principaux risques et déterminer des mesures de contrôle servant à les atténuer. Cette stratégie doit avoir été communiquée et mise en application pour les principaux risques recensés (section 2.1).
Conclusion: Amélioration possible
2.1. Des politiques, des procédures et des directives aient été élaborées pour la gestion de la SFCEA, puis aient été communiquées aux gestionnaires, aux agents de projet, aux bénéficiaires et aux signataires d’ententes auxiliaires concernés par la SFCEA (section 2.2).
Conclusion: Adéquat
2.2. Des systèmes de production de rapports soient en place pour fournir à la direction des informations en temps opportun, précises et utiles pour la prise de décisions et la mesure du rendement (section 2.2).
a. Sous-critère: Établis
Conclusion: Adéquat
b. Sous-critère: Fonctionnent comme prévu
Conclusion: Amélioration possible
3.1. Les demandes aient été évaluées afin de s’assurer que les propositions soient complètes et respectent les exigences de la stratégie (section 2.3).
a. Sous-critère: Établies
Conclusion: Adéquat
b. Sous-critère: Fonctionnent comme prévu
Conclusion: Contrôles existent mais ne fonctionnent pas comme prévu
Protégé
a. Sous-critère: Protégé
Conclusion: Protégé
b. Sous-critère: Protégé
Conclusion: Protégé
Protégé
a. Sous-critère: Protégé
Conclusion: Protégé
b. Sous-critère: Protégé
Conclusion: Protégé
3.4. Les procédures de surveillance des paiements axées sur les risques, les stratégies de rendement et d’atténuation aient été appliquées de façon proactive (sections 2.1 et 2.3).
a. Sous-critère: Établies
Conclusion: Amélioration possible
b. Sous-critère: Fonctionnent comme prévu
Conclusion: Contrôles existent mais ne fonctionnent pas comme prévu
4. Des mécanismes soient en place pour protéger les renseignements personnels gérés par le Ministère, les bénéficiaires et les signataires d’ententes auxiliaires (section 2.4).
a. Sous-critère: Établis
Conclusion: Amélioration possible Note de bas de page 2
b. Sous-critère: Fonctionnent comme prévu
Conclusion: Contrôles existent mais ne sont pas complètement mis en place
Annexe B : Glossaire
- AC
- Administration centrale
- AE
- Assurance-emploi
- ANS
- Accord sur le niveau de service
- CSGS
- Cadres supérieurs de la gestion des services
- DGCE
- Direction générale des compétences et de l’emploi
- DGOP
- Direction générale des opérations de programmes
- EFRVP
- Évaluation des facteurs relatifs à la vie privée
- FSD
- Fichier standard de données
- SDRHA
- Stratégie de développement des ressources humaines autochtones
- SFCEA
- Stratégie de formation pour les compétences et l’emploi destinée aux Autochtones
- SMA
- Sous-ministre adjoint