Comité ministériel de vérification : rapport annuel 2014 - 2015

Formats substituts

Message des membres indépendants (externes) du comité

Le Comité ministériel de vérification (CMV) est heureux de présenter son rapport annuel qui porte sur l’exercice 2014-2015, un septième rapport consécutif pour le compte d’Emploi et Développement social Canada (EDSC). Nous croyons avoir été en mesure d’attirer l’attention du Ministère sur de nombreux enjeux, plus particulièrement en ce qui concerne nos centres d’intérêt soit : le contrôle interne, la gouvernance et la gestion des risques. Plusieurs thèmes sont demeurés d’actualité au fil des ans, et de nouveaux secteurs d’intérêt ont fait leur apparition durant cette période.

EDSC est une organisation vaste et très complexe. Ainsi, pour favoriser l’efficience et l’efficacité de celle-ci, il est important qu’elle puisse proposer un environnement sain, ouvert et offrant du soutien à ses employés, et c’est grâce à celui-ci qu’EDSC pourra fournir aux contribuables d’importants services tout en optimisant ses ressources.

Le leadership du sous-ministre a permis la mise en place d’un dialogue ouvert et respectueux, ce qui a créé un environnement de vérification très positif pour la fonction d’audit, le CMV, la haute direction, le sous-ministre d’EDSC et, en dernier lieu, le Ministère. Le CMV a bien travaillé avec la haute direction ministérielle; le respect que se portaient mutuellement les deux parties a permis la tenue de discussions franches et la présentation de points de vue variés. Il va de soi que ces éléments ont renforcé la valeur de la fonction d’audit interne, de nos conseils et de notre réflexion.

La fonction d’audit sera évaluée plus loin au cours du présent rapport. Soulignons dans ce mot d’ouverture que le CMV estime que le dirigeant principal de la vérification (DPV) et son personnel ont été à l’écoute, professionnels et très efficaces. Nous apprécions cet appui.

En 2014-2015, nous avons eu le plaisir de visiter les locaux d’EDSC afin d’observer et de mieux comprendre ses activités. En effet, les visites de ce genre permettent d’avoir une nouvelle perspective et d’acquérir des connaissances d’une valeur inestimable. Cette année, nous avons fait des visites guidées du bureau central du Programme de Passeport Canada de même que du Centre national des opérations d’urgence, tous deux situés à Gatineau (Québec). Le CMV a traité de ces deux endroits lors de ses réunions et continuera de le faire au cours de la prochaine année.

Au cours de l’année, le CMV et la fonction d’audit se sont penchés plus particulièrement sur la gestion des ressources humaines. Avec un effectif considérable de quelque 24 000 personnes, EDSC doit s’assurer de maintenir un bon niveau de motivation et de bien gérer son effectif afin d’être un milieu de travail de choix. La gestion des ressources humaines est également directement liée aux valeurs et à l’éthique, aux initiatives récentes sur les pratiques professionnelles et sur la façon dont ces pratiques sont liées à la protection des renseignements personnels des contribuables ainsi qu’à la conformité à la législation applicable. À ce titre, elle fait partie intégrante de la gestion des risques et, en fin de compte, à la prestation des services.

Dans notre rapport annuel précédent, nous faisions référence au concept de « cohérence ministérielle ». Par là, nous entendons que toutes les parties de la grande organisation qu’est EDSC devraient poursuivre le même objectif, en même temps. C’est un défi de taille. Nous avions également souligné que la direction avait mis en œuvre bon nombre d’améliorations en matière de gouvernance afin de continuer de cumuler les réussites à cet égard. Nous sommes heureux de constater que ces nouveaux mécanismes de gouvernance, ainsi que la dotation des postes vacants de sous-ministres délégués, ont consolidé ces gains.

Le CMV a consacré beaucoup de temps à la gestion des risques du Ministère et a observé qu’un nouveau mécanisme de gestion des risques très robuste avait été mis sur pied. Il appert que ce dernier sert bien à la gestion et nous sommes très heureux de constater que le plan d’audit s’aligne bien sur les secteurs de risque d’EDSC.

La gestion de l’information (GI)/technologie de l’information (TI) continue d’être un secteur d’intérêt important. EDSC compte sur vaste structure technologique intégrale très complexe pour offrir ses services. Le CMV rencontre le dirigeant principal de l’information (DPI) à chaque réunion et reçoit une mise à jour concernant les secteurs de risque et les mesures d’atténuation. Soulignons qu’EDSC entretient d’importantes relations avec Services partagés Canada (SPC) qui lui fournit des services clés. D’où la nécessité pour le CMV de continuer de s’intéresser à l’évolution de cette relation et de soutenir EDSC dans la prestation de ses services et la modernisation de ses efforts.

Comme il a été mentionné dans les rapports précédents, le CMV considère que la conformité avec la Loi sur la gestion des finances publiques (LGFP) est un enjeu critique. C’est pourquoi nous nous assurons toujours que la question de la conformité à la LGFP est suffisamment abordée lors de nos audits.

L’année dernière, le Ministère et le Bureau du vérificateur général (BVG) ont mis en œuvre deux nouvelles pratiques que nous considérons comme étant d’importantes améliorations. La première pratique amène le BVG à rencontrer le CMV afin de discuter de son plan stratégique pour les audits d’EDSC potentiels/futurs. Cette pratique a été utile pour EDSC, le CMV et le BVG. La seconde pratique est que notre séance d’information technique annuelle, qui réunit le CMV, la direction d’EDSC et le BVG pour que des examens soient effectués et des recommandations formulées concernant les différents états financiers ainsi que les audits financiers connexes du BVG, est maintenant coordonnée afin qu’elle puisse consister en un seul événement complet s’échelonnant sur une journée. Ainsi, il est plus facile d’avoir une vue d’ensemble.

Le CMV a tenu régulièrement des réunions à huis clos avec l’agent principal des finances (APF), le DPV et le sous-ministre, et fera de même avec le DPI en 2014-2015. Ces réunions ont été des plus utiles pour comprendre les priorités ministérielles, les risques et les mesures d’atténuation qui seront mises en œuvre.

Sur le plan humain et personnel, c’est avec une grande tristesse que nous soulignons le décès de Mme Jalynn Bennett qui a été membre de ce comité depuis sa mise sur pied en novembre 2008. Mme Bennett était une personne perspicace et serviable, mélangeant sagesse et vivacité d’esprit avec grâce. Son départ crée un vide immense.

Un nouveau membre s’est greffé au CMV, M. Tim Wilson, en novembre 2014. M. Wilson met à la disposition du CMV sa grande sagacité et son expertise du monde des affaires. Dès son arrivée, il est devenu l’une des composantes les plus efficaces du Comité. Le CMV est impatient de prendre connaissance du point de vue et des suggestions de M. Wilson.

Nous aimerions également remercier le secrétaire du CMV, M. Christopher Tracey, qui a participé aux activités du CMV avec aplomb et efficacité durant les cinq dernières années. Nous lui souhaitons beaucoup de succès dans ses nouvelles fonctions.

Enfin, le CMV apprécie tout particulièrement l’excellente relation de travail qu’il entretient avec le DPV et son équipe ainsi que leur précieux soutien. C’est avec plaisir que les membres du Comité ont travaillé avec ce groupe.

La prochaine année amènera son lot de défis, mais nous sommes impatients de l’entamer et d’en récolter les fruits.

Section 1 : Enjeux et observations

Le Rapport annuel 2014-2015 du Comité ministériel de vérification d’Emploi et Développement social Canada a été élaboré et rédigé par les membres indépendants (externes) du Comité dans le but de soutenir le sous-ministre (SM) dans son rôle d’administrateur des comptes. Nonobstant cette réalité, nous encourageons les cadres de tous les niveaux à examiner et à examiner les avis fournis ici étant donné que le CMV est devenu partie intégrante de la structure et du régime de gouvernance d’EDSC.

Notre rapport annuel nous donne l’occasion de présenter un survol ou un résumé de haut niveau de nos activités, de nos conseils et de nos recommandations offerts au sous-ministre (SM) pour l’exercice 2014-2015. Le rapport est fondé sur les responsabilités qui nous sont confiées en tant que CMV, décrites dans la Directive sur la vérification interne au gouvernement du Canada .

La fonction d’audit interne, de même que le Ministère, a mené et achevé quantité de travaux ayant permis de soutenir davantage les secteurs de responsabilité touchant la gestion des risques ainsi que le cadre de contrôle de la gestion et la production de rapports. Les travaux d’audit interne complétés étaient majoritairement des activités d’assurance qui ont, par ailleurs, continué de contribuer à l’amélioration de l’efficience en plus d’atténuer les risques ministériels. La fonction d’audit interne a examiné les secteurs liés à la protection des renseignements personnels, à la Sécurité de la vieillesse (SV), à la planification et à la gestion des risques, à la rémunération et aux avantages sociaux, aux pratiques relatives à l’intégrité, à la sécurité de la TI, aux contrôles informatiques généraux de la TI (CIGTI) et à la conformité du Programme canadien de prêts aux étudiants avec les articles 33 et 34 de la Loi sur la gestion des finances publiques (LGFP). Un survol plus exhaustif de nos observations, commentaires et recommandations offerts au SM conformément à la fonction d’audit interne peut être consulté à la section 2.1 : Évaluation de la fonction d’audit interne .

L’ensemble des constatations et des recommandations de l’audit interne ont été acceptées par la haute direction, à l’exception d’une seule recommandation portant sur les CIGTI (contrôles des applications). Selon nous, l’approbation des recommandations de l’audit interne par la direction, ainsi que son attention et son dévouement pour traiter et mettre en œuvre ces constatations et ces recommandations, reflète autant la solide relation qui existe entre la fonction d’audit interne et ses clients ou l’entité auditée que la grande confiance dont témoigne la direction à l’égard de la fonction. Il est évident que la direction accueille favorablement les conseils et l’orientation offerts par la fonction d’audit interne et qu’elle collabore entièrement au processus d’audit.

Une fois de plus, nous avons discuté avec la direction d’une foule de sujets et avons eu le privilège de participer à tout un éventail de séances d’information et de présentations qui nous ont permis d’approfondir nos connaissances et notre appréciation du Ministère, à savoir dans les secteurs de la GI, de la TI (dont la sécurité de la TI et la prévention de la perte de données), de la modernisation des subventions et des contributions (S et C), de la planification de l’effectif, de la gestion de projet, de la mise en œuvre de la Politique sur le contrôle interne (PCI) et de la modernisation de la prestation des services liés à l’assurance-emploi (AE). Ces discussions et ces séances d’information nous ont permis de nous concentrer davantage sur les secteurs de responsabilité touchant la gestion des risques ainsi que le cadre de contrôle de la gestion et la production de rapports, en plus de fournir des conseils et des recommandations à la direction, lorsque nécessaire (souligné et résumé dans le tableau ci-dessous).

Secteurs de responsabilité du CMV : Gestion des risques et cadre de contrôle de la gestion et production de rapports

Thèmes principaux de 2014-2015

Les principaux thèmes cernés en 2013-2014 reflètent nos activités et nos opérations de 2014-2015, c’est pourquoi ceux-ci restent d’actualité malgré l’apparition d’un nouveau thème, thèmes pour lesquels nous avons formulé les conseils et les recommandations à l’intention des cadres supérieurs du Ministère et du SM que voici :

Gestion de l’information et technologie de l’information : EDSC continue de moderniser la fonction de GI-TI en apportant des améliorations à la gestion de projet et en s’assurant que les ressources sont et continuent d’être attribuées aux priorités opérationnelles, plus particulièrement pour les services et la conformité. Les efforts de la haute direction concernant la gestion des risques de GI-TI connexes et visant à assurer la sécurité et la protection des renseignements personnels sont louables et dignes de mention. Une fois de plus, le CMV a reçu des mises à jour concernant la GI-TI de façon régulière tout au long de 2014-2015, ce qui a démontré l’engagement et la sensibilité de la direction à l’égard de l’intérêt que porte le CMV pour ce secteur. L’attention soutenue du CMV a permis d’appuyer l’amélioration de la gouvernance et de la gestion de la GI-TI ainsi que de la relation avec la direction, et a permis au Ministère de mieux comprendre et de préciser ses besoins. Ainsi, le CMV croit que le Ministère a été très réceptif envers ses points de vue, ses conseils et ses recommandations dans ce secteur.

Cohérence ministérielle : Le Comité a examiné quantité de produits de vérification qui traitaient de l’harmonisation de diverses facettes d’EDSC. En d’autres termes, il cherche à savoir si toutes les composantes d’EDSC poursuivent le même objectif et travaillent de concert pour assurer la cohérence ministérielle verticale et horizontale du Ministère. Le CMV a examiné les travaux d’audit effectués dans les secteurs de la protection des renseignements personnels, de la planification intégrée et de la gestion des risques, de la rémunération et des avantages sociaux, de l’intégrité des programmes, de la sécurité de la TI ainsi que du programme de passeport. Les responsables de chacun de ces secteurs ont souligné que la direction ministérielle se devait d’harmoniser les efforts des différentes composantes du Ministère.

Gestion des risques : Le Ministère a procédé à la mise en œuvre d’un nouveau processus de gestion des risques amélioré en 2013-2014 et en 2014-2015. Le CMV a examiné le nouveau processus et a émis des commentaires à ce sujet. Ce processus renforce le lien entre la gestion des risques et les processus opérationnels et les cadres supérieurs clés du Ministère. Le CMV a formulé des commentaires sur les nouvelles stratégies d’atténuation des risques et le risque cerné, et a demandé que l’on veille à établir une correspondance plus marquée entre ce risque et les stratégies en question, ce qui a été fait. Nous croyons que cette nouvelle approche est une grande amélioration en ce qui a trait à la détermination et à l’atténuation des risques.

Contrôle et conformité : Le CMV a demandé la mise à jour périodique des améliorations apportées aux contrôles en matière de rapports financiers. Par ailleurs, le CMV a poursuivi ses efforts afin d’établir clairement une différence entre les divers contrôles sur les rapports financiers et la conformité à la LGFP. Nous avons demandé à ce que des séances d’information soient tenues régulièrement dans ces secteurs afin de soutenir une gestion financière saine. Le Ministère a mis en œuvre des plans pour améliorer ces deux secteurs.

Gestion des ressources humaines : En 2014-2015, nous nous sommes penchés davantage sur la gestion des ressources humaines ainsi que sur la disponibilité et l’attribution des ressources. Nous avons examiné les résultats du Cadre de responsabilisation de gestion (CRG) de 2013-2014 et avons cherché à comprendre comment ces derniers peuvent être améliorés, notamment, en tenant compte du rendement et de la gestion des talents ainsi que de la planification de la relève (gestion des personnes). À la suite de nos discussions et de nos observations portant sur le CRG, nous avons assisté à une séance d’information ciblée sur la planification de l’effectif d’EDSC et le plan d’action sur l’effectif qui l’appuie. Nous étions heureux de constater que la planification de l’effectif sera intégrée au cycle ou processus de planification des activités 2015-2016, cependant, nous reconnaissons la quantité d’efforts et de travail considérable qui sera requise pour respecter les engagements du plan d’action. Par ailleurs, nous avons amorcé une discussion sur l’attribution des ressources à la suite de la réponse du Ministère et des mesures d’atténuation découlant du Rapport spécial au Parlement du commissaire à la protection de la vie privée du Canada intitulé Enquête sur la perte d’un disque dur à Emploi et Développement social Canada. Le CMV continuera de s’intéresser à ces secteurs dans le cadre de la stratégie élargie sur les ressources humaines. Après divers exercices d’examen des programmes, il a été conclu que des efforts continus devraient être entrepris en ce qui a trait au perfectionnement du personnel et, à plus long terme, au développement des capacités du personnel.

En somme, le CMV a eu une influence considérable, à laquelle le Ministère a réagi, dans les secteurs des ressources humaines, de la gestion des risques, de la conformité, du contrôle et de la gouvernance.

Section 2 : Objectifs précis des activités du comité

Le CMV d’EDSC a convenu de tenir quatre (4) réunions en personne au cours de l’exercice 2014-2015 aux dates suivantes :

• 27 mai 2014;
• 26 août 2014 (Séance d’information technique 2013-2014);
• 25 novembre 2014;
• 31 mars 2015

En plus de ses réunions ordinaires en personne, le Comité a également décidé de tenir deux (2) téléconférences aux dates suivantes :

• 17 avril 2015;
• Afin d’examiner l’ébauche du Plan de vérification interne axé sur les risques 2014-2017, d’en discuter et de fournir des premiers commentaires à cet égard avant notre réunion du 27 mai 2015.
• 5 septembre 2014
• Afin d’examiner et de commenter le Rapport ministériel sur le rendement 2013-2014 (RMR) .

Il est possible de consulter une ventilation plus détaillée des activités et des opérations du Comité (points à l’ordre du jour et séances d’information) de 2014-2015 à l’annexe B; on y décrit et illustre nos travaux et on établit des liens avec nos secteurs de responsabilité. Les efforts du Ministère ainsi que du DPV et de son personnel doivent être louangés puisqu’ils ont su s’occuper de manière appropriée de nos secteurs de responsabilité.

Au-delà de nos secteurs de responsabilité clés, dans le cadre du rapport annuel de l’an dernier, nous avons utilisé les principaux thèmes que nous avions cernés pour l’exercice 2013-2014 pour en faire nos secteurs d’intérêt (centres d’intérêt) pour 2014-2015. Parmi ces secteurs, notons les suivants :

Gestion de l’information et technologie de l’information : Accorder une attention soutenue aux risques liés à la GI-TI et aux stratégies d’atténuation des risques de même qu’aux travaux en cours portant sur la protection des renseignements personnels.

Cohérence ministérielle : Poursuivre nos efforts et fournir des conseils et des directives au SM et à la haute direction relativement à l’importance et à la nécessité d’assurer l’harmonisation horizontale et verticale afin d’améliorer la gouvernance ministérielle, la gestion des risques et les stratégies et mesures d’atténuation des risques.

Gestion des risques, conformité et contrôle : Accorder une attention accrue aux secteurs de responsabilité liés à notre gestion des risques ainsi qu’à notre cadre de contrôle de la gestion et la production de rapports, étant donné les liens entre ces secteurs et leur interconnectivité.

Interroger le Ministère sur le risque, la gestion des risques, les cadres de contrôle de la gestion ainsi que la conformité et les contrôles et l’inviter à déployer des efforts à ce sujet. Au final, ceci permettra au CMV de fournir des conseils précieux et clairs au SM.

Le Comité était également d’avis qu’en conservant ces principaux thèmes pour l’exercice 2014-2015, il pourrait se fonder sur les conseils qu’il avait préalablement fournis au SM en plus de pouvoir donner un aperçu holistique plus complet dans le présent rapport annuel. L’opinion générale et les commentaires que nous avons émis à propos des domaines d’intérêt continu que nous avons relevés, de même que l’engagement de la haute direction pour ces secteurs, se retrouvent à la section 2.9 : Domaines d’intérêt continu pour 2014-2015 .

Afin de bien remplir notre rôle de consultants externes et de ressource stratégique du SM, la mission, les objectifs, les priorités et le profil de risque du Ministère doivent être à l’avant-plan des activités du Comité. Comme le stipule le Rapport sur les plans et les priorités – 2014-2015 (RPP), la mission d’EDSC est de bâtir un Canada plus fort et plus concurrentiel, d’aider les Canadiens et les Canadiennes à faire de bons choix afin que leur vie soit plus productive et gratifiante, et d’améliorer leur qualité de vie. Le Ministère offre aux Canadiens divers programmes et services dont ils peuvent bénéficier tout au long de leur vie, par l’entremise de trois secteurs d’activité :

• Emploi et Développement social
• Programme du travail
• Service Canada

Objectifs et priorités d’EDSC

On a cerné dans le RPP 2014-2015 les priorités organisationnelles du Ministère suivantes :

• Transformation des activités et modernisation des activités principales
• Amélioration des politiques et des programmes
• Établissement d’une organisation à haut rendement

Profil de risque d’EDSC

Le RPP 2014-2015 a cerné le profil de risque comme suit :

• Gestion des projets
• Protection des renseignements personnels et sécurité
• Renouvellement de l’infrastructure des technologies de l’information et continuité des activités;
• Gestion des ressources humaines

Cette année encore, il convient de féliciter la haute direction pour l’engagement et le dévouement sans borne dont elle fait preuve envers l’atteinte des objectifs du Ministère et le respect des priorités qu’il a établies. En continuant de miser sur les priorités ministérielles définies en 2013-2014 durant l’exercice 2014-2015, la transformation et la modernisation du Ministère ont pu continuer de progresser. Au cours des délibérations de notre comité, nous nous sommes aperçus que la haute direction avait intégré les priorités et les objectifs ministériels à ses secteurs d’activités et à ses opérations en harmonisant conséquemment les activités de transformation et de modernisation.

De notre point de vue unique et externe, et compte tenu de nos secteurs de responsabilité établis, nous croyons que plusieurs éléments des activités du Comité correspondaient aux priorités organisationnelles et au profil de risque d’EDSC pour 2014-2015. Nous avons eu le privilège d’assister à différentes séances d’information ciblées concernant la TI à plusieurs occasions, de même que sur la gestion de l’identité, les enjeux en matière d’intégrité et la sécurité de la TI. De plus, nous avons participé à des discussions portant sur la gestion de projet et la planification de l’effectif. La fonction d’audit interne a également aidé le Ministère à s’occuper des risques cernés pour 2014-2015 en effectuant et en menant à bien des projets d’audit particuliers dans les secteurs de la protection des renseignements personnels et de la TI. Un survol plus complet de ces projets d’audit particuliers et des travaux de la fonction d’audit interne se retrouve à la section 2.1 : Évaluation de la fonction d’audit interne du présent rapport.

En plus de notre examen du RMR 2013-2014, nous avons été informés du contenu du profil de risque du Ministère (PRM) 2014-2015, du Plan d’évaluation ministérielle 2014-2019 et du Rapport annuel sur l’état de la mesure du rendement à l’appui de l’évaluation correspondant. Soulignons que le Ministère a demandé au CMV de participer proactivement à l’élaboration et à l’achèvement du RPP pour l’exercice à venir lorsque le décès de notre collègue, Mme Jalynn Bennett, est survenu. Malheureusement, cet événement est venu perturber la préparation d’une téléconférence qui avait pour but d’examiner le RPP et d’en discuter. En revanche, même si nous n’avons pas eu l’occasion d’examiner le RPP avant qu’il soit soumis au Conseil du Trésor (CT), le Ministère accueille tout de même chaleureusement nos commentaires, conseils et recommandations qui seront pris en considération au début de l’élaboration des RPP des prochains exercices. Ainsi, nous avons reçu un exemplaire du RPP 2015-2016 afin que nous puissions en prendre connaissance, l’examiner et le commenter, au besoin.

2.1 Évaluation de la fonction d’audit interne

La fonction d’audit interne d’EDSC fait partie de la Direction générale des services de vérification interne (DGSVI). Le DPV, qui relève directement du SM, en est responsable. Ce rapport direct assure l’indépendance de la fonction d’audit interne.

La DGSVI a effectué un total de dix-sept (17) missions d’audit interne en 2014-2015, une légère diminution, néanmoins conséquente, par rapport à ce qui a été fait l’année précédente. Ceci démontre que la fonction a su préserver les ressources et la capacité nécessaires pour réussir les missions d’audit prévues. Les projets d’audit internes qui étaient assortis d’un plan d’action de la direction (PAD), pour chaque date de réunion du CMV approuvée par le SM, suivant les recommandations du CMV sont les suivants :

Le 27 mai 2014 :

• Audit de la mise en œuvre de la Stratégie de formation pour les compétences et l’emploi destinée aux Autochtones
• Audit des plans d’action établis par les programmes pour la protection des renseignements personnels
• Vérification de l’assurance-emploi – phase III – Maintien des paiements et des demandes
• Audit de l’inscription automatique à une pension de la Sécurité de la vieillesse – phase 1B
• Audit de la planification intégrée et de la gestion des risques

Le 25 novembre 2014 :

• Audit de la rémunération et des avantages sociaux
• Évaluation de l’auditabilité des pratiques de gestion de l’identité
• Audit sur la conformité aux articles 34 et 33 de la Loi sur la gestion des finances publiques du Programme canadien de prêts aux étudiants
• Audit des pratiques relatives à l’intégrité des programmes
• Enquête préliminaire sur la prestation des services de passeport
• Audit des contrôles ministériels en matière de système d’information et de technologie de l’information – Phase 1 – Contrôles des applications
• Audit de l’état consolidé des frais administratifs imputés au compte du Régime de pensions du Canada par Emploi et Développement social Canada – 31 mars 2014

Le 31 mars 2015

• Audit de la rémunération et des avantages sociaux
• Évaluation de l’auditabilité des pratiques de gestion de l’identité
• Audit sur la conformité aux articles 34 et 33 de la Loi sur la gestion des finances publiques du Programme canadien de prêts aux étudiants
• Audit des pratiques relatives à l’intégrité des programmes
• Enquête préliminaire sur la prestation des services de passeport
• Audit des contrôles ministériels en matière de système d’information et de technologie de l’information – Phase 1 – Contrôles des applications
• Audit de l’état consolidé des frais administratifs imputés au compte du Régime de pensions du Canada par Emploi et Développement social Canada – 31 mars 2014

En ce qui concerne les projets d’audit susmentionnés, l’Audit de la mise en œuvre de la Stratégie de formation pour les compétences et l’emploi destinée aux Autochtones (SFCEA) révisé a été réexpédié au Comité afin qu’il l’examine et formule des recommandations suite aux conseils qu’il avait donnés à la direction et au SM lors de la réunion du 4 février 2014. Les révisions apportées au rapport d’audit ainsi que celles touchant le PAD à l’appui ne sont qu’un exemple de la façon dont le CMV a aidé la direction et le SM, plus particulièrement en lui donnant des conseils d’expert tenant compte de l’équilibre entre la conformité aux contrôles ainsi que les risques et les éléments complexes associés aux divers groupes de clients. Par ailleurs, nous sommes heureux de constater que notre recommandation d’effectuer des travaux de suivi d’audit au cours des prochains six (6) à douze (12) mois, afin de fournir une assurance supplémentaire au Comité et à la haute direction sur l’état et le statut de la SFCEA, a été prise en compte dans le Plan de vérification axé sur les risques (PVAR) 2015-2017.

Dans le cadre de l’examen des différents projets d’audit de l’exercice 2014-2015, grâce au point de vue externe qui nous est propre, nous avons continué de formuler des recommandations et des conseils utiles à la direction. Les membres du Comité reconnaissent que la clarté et le contexte sont d’une importance capitale dans les rapports d’audit. Par conséquent, en de nombreuses occasions, nous avons demandé à la direction et à la DGSVI de fournir des éclaircissements sur le contexte. Soulignons notre demande d’intégrer les « commentaires de la direction » dans l’évaluation de l’auditabilité des pratiques de gestion de l’identité afin de mettre en contexte les travaux en cours touchant la gestion de l’identité, les stratégies d’atténuation des risques ainsi que l’approche générale harmonisée à l’échelle du Ministère qui est utilisée dans les différents programmes. En outre, et compte tenu de notre secteur de responsabilité concernant le suivi des plans d’action de la direction , nous avons suggéré à la direction de brosser un tableau des mesures provisoires d’atténuation des risques au moment de donner suite aux recommandations issues d’audit par l’entremise des réponses de la direction, plus particulièrement lorsque les mises en œuvre ne sont pas prévues ou ciblées avant au moins un an. Les audits de la mise en œuvre de la délégation de pouvoirs dans les SAP et des processus d’assurance de la qualité de la vérification des comptes sont des exemples pour lesquels nous avons fait des suggestions. Nous croyons qu’il s’agit d’une précision importante qui aidera à gérer et à atténuer les risques relevés en plus d’apporter des garanties supplémentaires à la direction et au SM.

En ce qui concerne les faits saillants découlant des projets d’audit examinés, soulignons la confiance affichée par la fonction d’audit interne lorsqu’elle a produit un rapport concernant les résultats de l’Audit de l’inscription automatique à la pension de la Sécurité de la vieillesse – phase 1B. L’audit interne n’a pas mené à la formulation de recommandations à la direction et nous avions l’impression qu’il était important de le noter. De plus, nous soutenons et approuvons le désaccord de la direction envers une recommandation formulée dans le cadre de l’Audit des contrôles ministériels en matière de système d’information et de technologie de l’information – Phase 1 – Contrôles des applications. Malgré ce désaccord, bien que nous approuvions l’approche horizontale à l’échelle du Ministère proposée par la direction en réponse à la recommandation, nous reconnaissons tout de même l’importance de cette recommandation.

Nous avons examiné une charte d’audit interne mise à jour et révisée et avons été consultés à cet égard lors des délibérations en mai 2014. Nous avons recommandé l’apport d’une correction mineure à la charte d’audit interne; cette correction permettra de préciser que notre comité exerce une fonction unique sur le plan de l’analyse critique. Comme le veut la pratique courante, la charte d’audit interne est déposée devant le Comité chaque année à des fins d’examen.

Au cours de l’exercice 2014-2015, la DGSVI a été exploitée selon une nouvelle structure organisationnelle au sein de laquelle les directions de la Direction générale ont été regroupées et les rapports hiérarchiques rationalisés. Nous avions déjà été consultés à propos cette restructuration et nous étions en faveur des changements visant à rationaliser la Direction générale. La réalisation de dix-sept (17) missions d’audit interne montre que la fonction continue de recevoir les ressources nécessaires lui permettant de s’acquitter de ses missions prévues et de répondre aux demandes de la direction, au besoin. Par contre, nous encourageons le DPV et l’équipe de la haute direction de la DGSVI de continuer leurs efforts de recrutement et de maintien en poste de même que de planification de la relève dans le but d’assurer le professionnalisme de la fonction et sa réussite. À noter qu’il s’agit d’une nécessité de plus en plus importante à une époque où le financement et les ressources sont limités.

En 2014-2015, nous avons examiné et approuvé le PVAR 2014-2017 de même que le PVAR 2015-2017. En ayant eu l’occasion d’examiner et d’approuver les deux PVAR, nous avons été en mesure d’observer l’évolution de la fonction d’audit interne de même que l’augmentation de la complexité de la planification et de l’élaboration des plans d’audit. Nous avons constaté une harmonisation horizontale continue aux risques et à la gestion des risques de même qu’une augmentation de l’attention portée à l’horizontalité et à l’harmonisation des projets d’audit aux priorités et aux objectifs du Ministère. Collectivement, et en suivant une recommandation du DPV, nous avons soutenu la transition vers l’élaboration d’un PVAR biennal, étant donné que les activités de planification d’audit doivent être constamment mises à jour et qu’il est nécessaire de se concentrer davantage sur les missions d’audit prévues. Bien sûr, nous avons sondé et questionné le DPV concernant les exigences potentielles en matière de politique et de conformité découlant du retrait de la 3e année du PVAR 2015-2017 et des prochains PVAR. Nous avons été heureux d’apprendre qu’un plan d’audit biennal respecte les exigences en matière de politique et avons accueilli favorablement l’ajout de la section « Services consultatifs et analyse approfondie des renseignements opérationnels » dans le PVAR 2015-2017, laquelle aide à visualiser les prochaines missions d’audit planifiées de même que l’engagement continu de l’audit interne afin de surveiller constamment les risques et de les évaluer.

Le DPV et la haute direction de la DGSVI ont continué de rendre compte régulièrement des progrès quant à la mise en œuvre du PVAR 2014-2017. Les rapports d’étape sur les projets d’audit interne continuent d’être des sujets de discussion à toutes nos réunions et ceux-ci nous aident à surveiller et à superviser les travaux de la fonction d’audit interne. Ces mises à jour régulières ont également permis au Comité de noter tout changement pertinent qui survient dans le contexte en matière de risques du Ministère de même qu’à amorcer des discussions concernant les risques nouveaux ou émergents ou l’ajout, l’annulation ou le regroupement de projets d’audit précédemment prévus. Nos mises à jour et examens ordinaires du PVAR nous ont également permis de nous assurer que les ressources d’audit sont suffisantes et continueront de l’être. Nous apprécions les efforts du DPV et de la haute direction de la DGSVI visant à fournir régulièrement au Comité des mises à jour concernant la mise en œuvre des missions d’audit prévues; toutefois, nous croyons qu’une « représentation plus visuelle » des progrès serait bénéfique. Par conséquent, nous encourageons le DPV à représenter visuellement les progrès des missions d’audit prévues à l’avenir. Ceci pourrait inclure l’intégration de représentations graphiques de l’état et des progrès des missions prévues et l’ajout de renseignements généraux sur les projets prévus. Les éléments du PVAR 2015-2017 nouvellement élaboré et approuvé pourraient être mis à profit pour aider à faire état visuellement du progrès des projets d’audit interne.

Comme dans notre rapport de l’année précédente, nous continuons de croire que le rendement de la fonction d’audit interne au sein d’EDSC (un environnement vaste, complexe et exigeant) est satisfaisant et que l’étendue de l’audit est complète. Les projets d’audit terminés de même que le PVAR pluriannuel ont eu des retombées majeures au sein du Ministère. Des travaux d’assurance importants ont été menés et ont fourni des recommandations à valeur ajoutée dans les secteurs de la protection des renseignements personnels, de la planification, de la gestion des risques, de la TI (y compris l’intégrité et la gestion de l’identité) ainsi que de la prestation des activités et des services liés aux passeports. Le travail de la fonction d’audit interne continue de s’harmoniser avec la gestion des risques ministériels cernés et d’en soutenir l’atténuation. De plus, l’évolution et l’harmonisation horizontale de la planification et de l’élaboration du PVAR en témoignent grandement.

Alors que nous nous dirigeons vers l’exercice 2015-2016, nous accueillons favorablement la tenue de séances d’information et de discussions supplémentaires concernant la surveillance et l’évaluation du rendement de la fonction d’audit interne. Ayant eu l’occasion de passer en revue les résultats de l’examen externe des pratiques de 2011, ainsi qu’en prévision et en préparation de l’examen externe des pratiques de 2016, nous aimerions tenir des discussions supplémentaires et présenter les résultats du programme d’assurance et d’amélioration de la qualité de la DGSVI. Nous croyons que le CMV pourrait profiter de ces séances d’information et de mises à jour concernant les résultats des enquêtes postérieures à l’audit ainsi que des rapports d’assurance de la qualité et contribuer à l’amélioration globale de la fonction d’audit interne en fournissant des recommandations précieuses et pertinentes. Soulignons que nous sommes également heureux de poursuivre les discussions concernant le Cadre de mesure du rendement de la DGSVI qui aidera grandement la fonction d’audit interne à effectuer la surveillance continue ainsi que les auto-évaluations annuelles. Nous sommes néanmoins persuadés que la fonction d’audit interne demeure conforme aux normes d’audit professionnelles et que l’indépendance de la fonction est maintenue.

Puisque la fonction d’audit interne continue de répondre à nos attentes, nous n’avons pas de recommandations spécifiques à formuler au SM concernant celle-ci. Par ailleurs, nous continuons d’apprécier le grand professionnalisme du DPV et de son personnel. Toutefois, nous aimerions réaffirmer que nous encourageons les efforts continus et supplémentaires fournis dans les secteurs du recrutement et du maintien en poste, de même qu’à la planification de la relève pour les ressources d’audit. Nous sommes impatients de participer aux discussions continues sur le rendement et nous continuerons de surveiller les niveaux de ressources de la fonction afin qu’elle puisse continuer d’être efficace.

2.2 Suivi des plans d’action de la direction

Au cours de l’année dernière, le DPV a déposé les résultats de l’exercice de suivi du PAD devant le Comité, aux fins de discussion et de partage d’information, en trois occasions distinctes. Ces présentations ont fourni au Comité des renseignements précieux et utiles sur les expositions au risque du Ministère cernées dans les rapports d’audit interne et externe et les stratégies que la direction mettra en place pour atténuer ces risques.

Plus particulièrement, lors de la réunion du 25 novembre 2014, le DPV a déposé les résultats de l’exercice interne et externe du PAD de juin 2014. Cet exercice a été exhaustif et comportait deux cent quatorze (214) recommandations internes et externes. L’analyse menée a démontré que cent vingt-six (126) d’entre elles avaient été évaluées et qualifiées de « complètement mises en œuvre ». Les quatre-vingt-huit (88) recommandations restantes étaient soit « désuètes », « dans les délais prévus », « en retard – à surveiller » ou « en retard – avec préoccupations ».

À la suite de la présentation et de notre examen des résultats des exercices de suivi internes et externes du PAD, nous avons observé un nombre élevé de recommandations d’audit dites « en retard » et nous étions préoccupés par la mise en œuvre en temps opportun des recommandations ainsi que les risques d’atteinte à la réputation auxquels s’expose le Ministère en raison de ces retards prolongés ou d’autres retards dans la mise en œuvre. Bien que nous sachions que plusieurs recommandations dépendaient de l’implantation de solutions de TI à l’échelle du Ministère et de la collaboration avec SPC, nous avons recommandé que le DPV effectue des travaux de suivi supplémentaires afin de mettre en contexte ces retards en plus de fournir une évaluation des risques et des stratégies d’atténuation des risques connexes.

Conformément à notre demande, le 31 mars 2015, le DPV a déposé les résultats des travaux de suivi supplémentaires de la DGSVI concernant les préoccupations que nous avions mentionnées précédemment. Dans le cadre de ce processus, la DGSVI a évalué les recommandations d’audit interne et externe qui ont été en suspens pendant une période de trois ans (c.-à-d. 11 recommandations) et les recommandations d’audit interne et externe qui devaient être mises en œuvre entre septembre 2014 et décembre 2014 (c.-à-d. 47 recommandations). Les résultats de ces travaux de suivi supplémentaire ont été positifs et ont indiqué que :

• toutes les recommandations qui ont été en suspens pendant une période de trois ans ou plus ont été mises en œuvre de façon appropriée;
• parmi les recommandations dont la date d’achèvement était prévue entre septembre 2014 et décembre 2014, vingt-cinq (25) ont été jugées « complètement mises en œuvre ». Les vingt et une (21) recommandations restantes ont été retardées en raison de facteurs externes à l’organisation ou leur date d’achèvement ciblée a été modifiée. Le contenu des vingt et une (21) recommandations est considéré comme présentant un faible risque pour le Ministère.

Par ailleurs, le DPV a également mené un exercice de validation, à l’aide d’une approche fondée sur le risque, afin de déterminer si les mesures mises en œuvre par la direction portaient sur les problèmes qui avaient été déterminés dans leurs rapports d’audit interne respectifs et pour savoir si les risques résiduels, le cas échéant, avaient été relevés et approuvés par la haute direction. Les résultats ont été déposés aux fins de discussion et de partage d’information lors de notre réunion du 31 mars 2015. Nous étions satisfaits des résultats de l’exercice de validation et sommes ravis de voir la progression de la mise en œuvre des recommandations d’audit ainsi que de voir le maintien des éléments probants de l’audit.

Notre suivi portant sur le secteur de responsabilité lié aux PAD a été traité de manière appropriée au cours de l’exercice 2014-2015. Notre seule recommandation demandait d’appuyer davantage le SM dans ses fonctions de surveillance, d’évaluation et d’atténuation des risques et appelait le DPV et la haute direction du Ministère à mettre en contexte adéquatement la probabilité du risque lorsque la mise en œuvre d’une recommandation est hors du contrôle du Ministère et dépend d’une entité externe. Cette mise en contexte devrait aussi inclure la description des mesures d’atténuation des risques provisoires du Ministère qui sont prises, qui peuvent être prises ou qui pourraient être prises. Soulignons que nous continuons d’être impressionnés par la compréhension dont témoigne le Ministère à l’égard de l’importance de maintenir une documentation suffisante et appropriée pour soutenir l’auto-évaluation des recommandations « complètement mises en œuvre » ainsi que l’engagement de la haute direction et l’attention apportée à la mise en œuvre réussie des recommandations d’audit interne et externe.

2.3 Valeurs et éthique

Le CMV a abordé la question des valeurs et de l’éthique dans l’optique de la protection des renseignements personnels et de ceux des contribuables. Le travail d’audit dans ces domaines portait sur les pratiques professionnelles, et l’éthique, requises pour répondre aux normes pertinentes. À noter qu’il est évident que le Ministère adopte et favorise une culture où les valeurs et l’éthique sont au cœur de ses activités. Nous continuons de croire que le Code de conduite d’EDSC (ci-après le Code) est avant-gardiste et nous aimerions également féliciter la haute direction pour le temps qu’elle prend et les forces qu’elle mobilise périodiquement pour discuter du Code et des enjeux liés aux valeurs et à l’éthique avec ses employés. Ceci démontre l’engagement de la haute direction envers les valeurs et l’éthique. Ce dévouement a de plus été justifié par la cote « acceptable » octroyée dans les résultats du CRG 2013-2014 (déposé aux fins de discussion et de partage d’information lors de notre réunion en mai 2014).

Nous avons participé à des discussions approfondies portant sur la planification de l’effectif et la gestion de projet lors de notre réunion du 25 novembre 2014, et nous croyons que ces discussions ont apporté des bienfaits directs à notre secteur de responsabilité sur les valeurs et l’éthique. EDSC continue de moderniser et de transformer la manière dont les services sont offerts et ceci exige de gérer le changement efficacement, plus particulièrement le changement de la culture. En abordant toujours les enjeux liés à la gestion du changement et au changement de la culture en ayant en tête les valeurs et l’éthique, le Ministère sera en mesure de tirer profit du désir de changement ainsi que de la volonté des employés d’être des facteurs de changement afin de donner suite à la priorité ministérielle visant à mettre sur pied un organisme à haut rendement. Notre discussion sur la gestion de projet comportait différents points de vue et des observations de la direction sur le changement et sur les défis que pose la culture lorsque nous irons de l’avant avec la mise en œuvre du système d’information sur la gestion de projets (SIGP). Nous avons incité la direction à se conformer aux lignes directrices de la conduite professionnelle données à tous les employés d’EDSC telles qu’elles ont été établies dans le Code de même que dans le Code de valeurs et d’éthique du secteur public , car ces lignes directrices peuvent grandement aider à surmonter les défis que posent le changement et la culture.

Par ailleurs, nous comprenons que, en raison de l’Audit de la mise en œuvre du Code de conduite (achevé en novembre 2013), un cadre de surveillance et une vision triennale des valeurs et de l’éthique sont en cours d’élaboration. De plus, certains travaux ont permis de commencer à recueillir des données ainsi qu’à produire des statistiques afin de rendre compte adéquatement des problèmes et des violations liés aux valeurs et à l’éthique et d’en informer la direction. Nous attendons avec impatience les prochaines discussions portant sur ces sujets et avons hâte de prendre connaissance de la Stratégie de gestion des effectifs pluriannuelle du Ministère en 2015­2016. Nous croyons que le fait de discuter du cadre de surveillance et de la vision des valeurs et de l’éthique, et qu’en appliquant l’approche axée sur les valeurs et l’éthique à la Stratégie de gestion des effectifs pluriannuelle, nous serons en mesure de fournir des idées supplémentaires et d’autres recommandations à la direction, lesquelles apporteront davantage de bienfaits directs à notre secteur de responsabilité lié aux valeurs et à l’éthique.

2.4 Gestion des risques

Nous avons reçu un aperçu complet du profil de risque du Ministère de 2014-2015 dans le cadre de notre réunion de novembre 2014 et avons entamé une saine discussion avec la direction concernant les risques répertoriés auxquels est confronté le Ministère. Au cours de l’exercice financier 2014-2015, on a continué d’employer la nouvelle approche en matière de gouvernance et de responsabilité en ce qui a trait aux risques ministériels qui a été établie pour l’exercice financier 2013-2014. Selon cette approche, les risques et les stratégies d’atténuation associées ont été surveillés et administrés par les comités de gouvernance de portefeuille appropriés par l’intermédiaire de hauts fonctionnaires responsables de la Direction générale. Cette approche continue de s’avérer efficace pour établir un lien direct entre la détermination, la gestion et l’atténuation des risques au sein de la structure de gouvernance d’EDSC et pour cette dernière et favorise et facilite la gestion et l’alignement horizontaux des risques ministériels. Un total de 21 catégories de risques ont été répertoriées, dont cinq ont été évaluées comme des catégories de risque élevé.

Nous avons proposé à la direction d’envisager le regroupement ou l’examen plus approfondi des 21 catégories de risque, mais nous sommes satisfaits que le Ministère ait porté son attention de manière appropriée sur les risques d’intérêt immédiat et potentiel. De plus, le Ministère continue de discuter de la possibilité de regrouper les risques ministériels répertoriés tout en sachant que tout regroupement supplémentaire risque de diluer l’importance du risque et d’éloigner les employés des risques ministériels. Nous encourageons le Ministère à ne jamais perdre de vue les facteurs de risques externes (politiques, socioéconomiques et environnementaux) qui pourraient avoir un impact sur le Ministère. Nous avons en outre conseillé à la direction d’envisager d’augmenter le niveau de risque de la prestation de services de moyen à élevé.

En plus des risques internes et de nos conseils et recommandations décrits à la section 1 en ce qui a trait à la gestion des risques, des cadres supérieurs du Bureau du vérificateur général (BVG) ont présenté un exposé dans le cadre de notre réunion du 31 mars 2015 pour nous parler de l’élaboration de leur Plan d’audit stratégique pluriannuel pour EDSC. Le BVG a rencontré divers responsables des programmes et du Ministère afin de réévaluer les risques auxquels fait face le Ministère (risques répertoriés dans son Plan monoétape de 2010) et nous donner de l’information sur l’évaluation des risques actuelle et nouvelle à la suite de ses récentes consultations. Cette discussion avec le BVG nous a été très utile et nous sommes reconnaissants de l’ouverture et de la volonté démontrées par le BVG pour discuter de l’avancement de son Plan d’audit stratégique. Nous avons profité de cette occasion pour exprimer au BVG que, de notre point de vue, les problèmes de capacité dans les domaines de la GI et de la TI et la gestion de l’effectif demeurent des sujets de préoccupation. Nous avons aussi indiqué que nous avions été informés des résultats de l’audit touchant à l’intégrité, à la gestion de l’identité et aux problèmes de conformité à la LGFP et qu’ils nous avaient été présentés, puis nous avons mis en évidence ces enjeux et les risques associés.

Le Commissariat à la protection de la vie privée du Canada a présenté un Rapport spécial au Parlement en mars 2014 concernant son Enquête sur la perte d’un disque dur à Emploi et Développement social Canada. Le disque dur externe contenait les renseignements personnels de 583 000 bénéficiaires de prêts d’études canadiens et de 250 employés d’EDSC. Les constatations et les recommandations du rapport ont été partagées ouvertement et ont fait l’objet de discussions libres dans le cadre de notre réunion de mai 2014. L’ampleur et la portée de la réponse du Ministère à la suite de cette atteinte à la vie privée et à la sécurité des renseignements de grande envergure, y compris les efforts et les ressources déployés, ont été très vastes et EDSC mérite nos compliments pour ses efforts visant à mettre en œuvre des mesures correctives et d’atténuation. Cet incident est un rappel marquant que « le Ministère doit toujours être conscient des renseignements personnels et des biens qu’il détient et de leur sensibilité et criticité ». Il a par la suite fallu mettre en place et intégrer des mesures de protection des renseignements personnels et de la TI robustes et efficaces ainsi que des mesures de gestion et d’atténuation des risques concernant les biens au sein des fonctions ministérielles. Même si l’incident de la perte d’un disque dur était délicat sur le plan politique et qu’il a reçu beaucoup d’attention de la part des médias, nous avons confiance dans la réponse du Ministère et les mesures qu’il a prises à la suite de cet incident et nous croyons qu’un meilleur système de gestion des risques est maintenant en place si un pareil événement devait se reproduire. Nous encourageons EDSC a partager les leçons apprises et les pratiques exemplaires découlant de cet incident avec d’autres ministères qui souhaitent adopter l’approche employée, compte tenu de la complexité et de l’exhaustivité des stratégies d’atténuation des risques.

L’Audit de la planification intégrée et de la gestion des risques effectué par la DGSVI a contribué à notre domaine de responsabilité de la gestion des risques et comportait une recommandation à la haute direction portant spécifiquement sur le besoin d’élaborer un processus de planification commun à l’échelle du Ministère en mettant à profit les bonnes assises dont nous disposons déjà. L’audit a de plus recommandé que les hauts fonctionnaires responsables des services habilitants élaborent un protocole pour intégrer ces services au cycle de planification des activités de chaque direction et ainsi améliorer la compréhension des activités essentielles du Ministère. Nous avons appuyé pleinement l’audit, la recommandation et le PAD associé qui permettront une plus grande intégration et un meilleur alignement organisationnels des risques et de la gestion des risques dans l’ensemble du Ministère.

Notre recommandation de l’exercice financier précédent demeure à la fois pertinente et applicable pour le présent exercice financier. Nous avons recommandé que les hauts fonctionnaires d’EDSC continuent d’évoluer vers une gestion globale des risques ministériels. Nous avons de plus encouragé le Ministère à s’appuyer sur les moyens, les méthodes et les processus en place et à les améliorer afin de répertorier, de gérer, d’atténuer et d’éliminer les risques. Nous avons aussi observé un mouvement vers des solutions à l’échelle du Ministère et de TI et nous croyons qu’il sera possible de mieux atténuer les risques grâce à ces mesures.

2.5 Cadre de contrôle de gestion et rapports

En plus de nos conseils et recommandations décrits à la section 1 en ce qui a trait au cadre de contrôle de gestion, nous souhaitons rappeler que le contrôle de gestion est un domaine qui, selon nous, ne devrait pas être vu comme un silo, mais plutôt être perçu comme un domaine global qui s’applique à l’ensemble du Ministère. Des mesures appropriées pour le contrôle de gestion devraient être intégrées et coordonnées dans tous les secteurs du Ministère afin d’encourager et d’appuyer la cohérence ministérielle.

Nous croyons qu’EDSC a consacré beaucoup de temps et de ressources afin de mieux aligner, horizontalement et verticalement, les efforts ministériels pour la planification et la production de rapports. Ces efforts ne sont pas passés inaperçus, car nous avons observé une intégration et une harmonie dans les rapports ministériels clés, à savoir le RPP, le RMR et le PRM. Cette intégration a été appliquée au processus d’élaboration des plans de vérification pluriannuels axés sur les risques et des plans d’évaluation.

Nous avons reçu une mise à jour détaillée des progrès accomplis dans la mise en œuvre des exigences de la Politique sur le contrôle interne (PCI) du CT lors de notre réunion de novembre 2014. Nous avons été ravis de constater qu’aucune faiblesse majeure n’avait été relevée ou signalée jusqu’à maintenant concernant le contrôle. Nous admettons cependant que dans un ministère aussi vaste et complexe qu’EDSC et compte tenu des contraintes budgétaires et de la diminution des ressources, la surveillance et la production de rapports continues en lien avec la PCI s’avéreront difficiles. Nous avons encouragé la direction à adopter une approche fondée sur les risques afin de s’acquitter des responsabilités ministérielles dans ce domaine. Nous sommes aussi conscients que la mise en œuvre réussie de la PCI n’est pas une responsabilité distincte et qu’elle exige la coopération et le soutien d’un grand nombre de responsables des processus opérationnels ainsi que leur engagement afin de se pencher sur des mesures correctives et de redressement en temps opportun. À ce titre, nous avons demandé et recommandé à l’APF de tenir le comité au courant des préoccupations, des défis ou des problèmes qui pourraient entraver la bonne mise en œuvre de la PCI.

Nous avons une fois de plus rencontré des hauts fonctionnaires du BVG et d’EDSC en août 2014 dans le cadre de notre séance d’information technique annuelle afin d’examiner la gamme complète des états financiers et des cadres de contrôle connexes associés aux rapports financiers et à la LGFP. Nous avons continué à nous pencher sur des domaines où les contrôles pourraient être améliorés et nous avons demandé des explications appropriées au BVG et à la direction lorsqu’il le fallait. Les autres conseils et recommandations que nous avons formulés concernant le cadre de contrôle pour les rapports financiers et la LGFP peuvent être consultés à la section 2.7 : États financiers et rapports des comptes publics .

L’audit interne a examiné et analysé plusieurs éléments du cadre de contrôle d’EDSC. Dans la foulée de son examen des cadres de contrôle importants, l’audit interne s’est penché notamment sur la mise en œuvre de la SFCEA, le caractère adéquat de la gestion des demandes de prestation d’assurance-emploi (AE), y compris l’autorisation et le versement de prestations, le cadre de gestion des enquêtes et la cohérence des méthodes d’enquête, et les processus et les contrôles associés aux responsabilités d’EDSC à l’égard du programme de passeport. Dans l’ensemble, l’audit interne a confirmé que les contrôles et les processus susmentionnés étaient adéquats et qu’ils fonctionnent comme voulu, mais a relevé des possibilités d’amélioration et a formulé des recommandations que nous avons endossées et qui, selon nous, permettront d’améliorer et de renforcer la solidité des cadres de contrôle actuellement en place. La haute direction a accepté les recommandations et a élaboré des PAD exhaustifs pour y répondre. Pour le comité, il s’agit d’une indication claire que les questions touchant les améliorations et le perfectionnement continus des cadres de contrôle de gestion ministérielle sont prises au sérieux par la haute direction. Cela démontre aussi l’attention et l’engagement soutenus de la haute direction à l’égard de l’amélioration continue.

La DGSVI s’est employée à appuyer les CIGTI, en particulier les contrôles des applications, et le BVG a fait le suivi des lettres de recommandation concernant les CIGTI qu’il avait soumises dans le cadre de son audit des états financiers de 2011-2012 du compte des opérations de l’AE et de son audit des états financiers de 2012-2013 du compte du Régime de pensions du Canada. L’évaluation des CIGTI et des contrôles des applications fait partie intégrante du cadre de la PCI et du cadre de contrôle de la gestion générale du Ministère. Ce suivi interne et externe arrive à point nommé puisque l’infrastructure et les services de TI sont essentiels pour que le Ministère poursuive ses efforts de modernisation et de transformation, ce qui fait ressortir encore plus le besoin d’un environnement de contrôle de la TI automatisé robuste. Le Ministère a adopté une approche horizontale et thématique à l’échelle de l’organisation pour se pencher sur les constatations et les recommandations afin de favoriser la cohérence et l’alignement. Cette approche aidera aussi le Ministère et SPC à mettre en œuvre des mesures correctives, particulièrement en ce qui concerne la surveillance de la sécurité et les contrôles d’accès.

Le cadre de contrôle interne du Ministère continue d’être efficace et, grâce à l’aide de la haute direction, les possibilités d’amélioration et de perfectionnement continues sont acceptées et examinées au gré des besoins. Le Ministère maintient ses efforts pour réaliser ses premières évaluations exhaustives fondées sur les risques du système de contrôle interne en matière de rapports financiers (CIRF), notamment en cernant et en corrigeant les lacunes et les faiblesses des systèmes de contrôle internes d’ici le 31 mars 2016. Quand la première évaluation de chaque processus clé sera achevée, un programme correspondant fondé sur les risques sera mis en œuvre pour assurer la surveillance continue du système de contrôle interne en matière de rapports financiers.

Alors que ce travail se poursuit, nous croyons qu’un rappel de notre Évaluation générale des processus de gestion des risques, de contrôle et de responsabilisation de RHDCC (telle que décrite à la section 2.3 de notre Rapport annuel 2011-2012) permet de résumer notre recommandation et notre conseil généraux au SM et à la haute direction pour 2014-2015, particulièrement au moment où le Ministère continue de transformer et de moderniser ses façons de faire et de mettre en œuvre de nouvelles pratiques :

« Il est essentiel d’être rigoureux et vigilant afin de s’assurer que les risques sont adéquatement gérés, que des stratégies d’atténuation appropriées sont en place, que les contrôles sont pertinents et efficaces, sans entraîner un fardeau excessif, et que les mécanismes de gouvernance et de responsabilisation sont bien définis et respectés. »

Nous avons observé des efforts considérables de la part de la haute direction pour améliorer et promouvoir le cadre de contrôle interne du Ministère et la stratégie de mise en œuvre des contrôles internes.

2.6 Certificateurs externes

En 2014-2015, nous avons continué d’être informés sur l’avancement de l’activité d’audit externe en qui concerne le Ministère. Les rapports d’étape sur l’audit externe étaient un sujet de discussion de toutes nos réunions et ils nous ont aidés à surveiller le travail des divers fournisseurs externes et de nous renseigner sur le sujet.

Comme nous l’avons mentionné plus tôt (voir section 2.4 : Gestion des risques ), le commissaire à la protection de la vie privée du Canada a présenté un Rapport spécial au Parlement en mars 2014 concernant son Enquête sur la perte d’un disque dur à Emploi et Développement social Canada. Nous avons étudié le rapport du commissaire avec la haute direction à l’occasion de notre réunion de mai 2014 et nous avons félicité le Ministère pour avoir réagi rapidement à l’incident et mis en œuvre d’importantes mesures d’atténuation des risques dans la foulée. Nous recommandons que le Ministère partage les leçons apprises et les pratiques exemplaires avec d’autres ministères et organismes compte tenu de l’exhaustivité du PAD. De plus, puisque le commissaire a fait allusion au délai pour aviser les personnes visées par l’incident, nous recommandons aussi que le Ministère mette en œuvre un mécanisme particulier qui permettrait de communiquer facilement avec les personnes concernées si un incident semblable devait se reproduire. On démontrerait ainsi une approche proactive plutôt que passive et le Ministère pourrait confirmer l’étendue des risques potentiels directement avec les personnes, les clients ou les employés concernés.

La Commission de la fonction publique a présenté les résultats de sa Vérification d’Emploi et Développement social Canada en octobre 2014 qui portait principalement sur les pouvoirs de dotation délégués du Ministère pour s’assurer que les nominations sont effectuées conformément aux exigences des lois, des règlements et des politiques. Nous avons été informés du rapport et du PAD à l’appui et les avons étudiés, comme nous l’avons fait pour la réponse du Ministère, dans le cadre de notre réunion de novembre 2014. Nous nous sommes informés à savoir pourquoi les conditions de nominations n’étaient pas toutes spécifiées et avons été heureux d’apprendre que la direction est convaincue qu’elle pourra prendre les mesures nécessaires pour régler cette question en améliorant les communications, les outils et les modèles internes. Nous avons félicité le Ministère pour les résultats positifs de la vérification en soulignant le taux élevé de conformité atteint.

Le vérificateur général (VG) du Canada a présenté son rapport de l’automne 2014 le matin du 25 novembre 2014, ce qui coïncidait avec notre réunion de novembre 2014. Le Chapitre 7 – Le patrimoine documentaire du gouvernement du Canada – Bibliothèque et Archives Canada du rapport de l’automne 2014 du VG a mentionné EDSC comme tiers. Une copie du rapport final a été remise au comité aux fins d’information et de référence et la direction nous a informés que le BVG avait accepté toutes les révisions proposées par le Ministère pour assurer l’exactitude de la mention de tiers.

Dans le cadre de notre réunion du 31 mars 2015, des hauts fonctionnaires du BVG nous ont parlé de l’élaboration de leur Plan d’audit stratégique pluriannuel pour EDSC (voir section 2.4 : Gestion des risques ). Nous continuons d’échanger régulièrement avec le BVG dans le cadre des travaux du comité afin d’améliorer davantage les relations de travail et de discuter de sujets d’intérêt mutuel. De plus, notre séance d’information technique annuelle qui vise à étudier les différents états financiers et les résultats des audits d’états financiers du BVG correspondants est maintenant intégrée aux processus de planification d’EDSC et du BVG.

Le BVG a émis des lettres de recommandation à l’issue de ses audits des états financiers annuels des comptes publics d’EDSC, du Compte des rentes sur l’État et du compte des opérations de l’assurance-emploi. Nous avons étudié les lettres de recommandation avec les hauts fonctionnaires appropriés et appuyé les PAD correspondants en réponse aux observations et recommandations. Bien que le BVG ait relevé des problèmes de non-conformité mineurs en lien avec les articles 33 et 34, nous restons convaincus que le Ministère mettra en œuvre les mesures de contrôle automatisées requises dans SAP, le nouveau système de gestion financière du Ministère, pour régler ces problèmes de conformité. La conformité à la LGFP est et demeure l’une de nos responsabilités essentielles; une responsabilité qui doit mériter toute notre attention et être au cœur de nos discussions et réflexions.

Nous reconnaissons que les risques sont intrinsèques et variés au sein d’une organisation aussi grande et complexe qu’EDSC et c’est pourquoi le Ministère est souvent visé par des projets d’audit externe des différentes entités. Malgré les divers mandats des entités chargées de l’audit externe, nous recommandons d’avoir recours à une fonction d’analyse critique dès le début des missions d’audit externe pour s’assurer que les travaux externes prévus sont nécessaires, qu’ils apporteront une valeur ajoutée à long terme et qu’ils donneront lieu à des recommandations significatives et utiles. À titre d’organisme consultatif externe du SM, nous apporterons l’aide nécessaire en exerçant notre fonction d’analyse critique unique à cet égard.

2.7 États financiers et rapports des comptes publics

Encore une fois cette année, les Rapports financiers trimestriels pour les T1, T2 et T3 ont été présentés au comité pour examen et discussion. L’APF a continué de nous fournir des aperçus détaillés des rapports trimestriels et nous continuons d’apprécier et d’accueillir favorablement ces présentations qui nous permettent de nous tenir informés et de participer activement aux questions financières d’intérêt ou qui exigent notre attention. Nous avons recommandé que l’APF profite de l’occasion pour nous conseiller et nous informer concernant les tendances saisonnières ou cycliques importantes et nous indiquer les différences significatives d’un trimestre à l’autre pour alimenter et améliorer nos discussions.

L’année dernière, nous avons contribué à l’organisation d’une séance d’information technique générale qui a duré toute une journée. Notre première séance d’information technique générale s’est déroulée le 26 août 2014 et nous a permis d’étudier les états financiers (EF) suivants en détail et d’en discuter avec les hauts fonctionnaires responsables du Ministère au cours de notre rencontre de la matinée :

• états financiers ministériels consolidés de 2013-2014 (non vérifiés);
• états financiers du compte des opérations de l’AE de 2013-2014;
• états financiers du compte du RPC de 2013-2014;
• états financiers du Compte des rentes sur l’État de 2013-2014;
• partie des Comptes publics du Canada relevant d’EDSC de 2013-2014.

Les hauts fonctionnaires responsables du BVG se sont aussi joints à notre séance d’information technique en après-midi et ont analysé et présenté les résultats et constatations de leurs quatre audits d’états financiers annuels suivants devant le comité et la haute direction :

• comptes publics d’EDSC de 2013-2014 – Présentation à la direction;
• compte des opérations de l’AE de 2013-2014 – Rapport aux signataires;
• Compte des rentes sur l’État de 2013-2014 – Présentation à la direction;
• Compte du RPC de 2013-2014 – Rapport aux signataires.

Nous avons aussi eu l’occasion d’organiser des séances à huis clos avec les directeurs du BVG ayant des responsabilités de vérification.

Comme l’année dernière, les états financiers consolidés du Ministère n’ont pas été soumis à l’examen d’un tiers indépendant. Même si nous continuons d’appuyer la décision de la direction de renoncer à cette pratique, nous sommes en faveur d’une vérification indépendante et recommandons à la direction d’envisager de rétablir cette pratique dans le futur. La mise en œuvre de SAP comme nouveau système de gestion financière du Ministère permet d’améliorer un grand nombre de systèmes de contrôle du Ministère et d’augmenter l’efficacité, mais elle entraîne aussi de nouveaux risques relativement à la façon dont les transactions sont enregistrées et traitées. Une vérification indépendante des états financiers consolidés du Ministère permettrait au Ministère de renforcer ses contrôles financiers automatisés et l’acheminement du travail en conséquence.

L’Annexe à la Déclaration de responsabilité de la direction englobant les contrôles internes en matière de rapports financiers a été présentée et étudiée conjointement avec les états financiers non consolidés de 2013-2014 du Ministère. Nous continuons d’observer que beaucoup de travail a été accompli concernant l’évaluation de l’efficacité de la conception des processus opérationnels planifiés existants et nous avons été ravis d’apprendre que l’évaluation de l’efficacité de la conception de l’AE et du RPC était presque terminée. D’importants progrès continuent aussi d’être réalisés concernant l’évaluation de l’efficacité du fonctionnement des principaux contrôles. Alors qu’EDSC prévoit achever la première évaluation exhaustive des risques de son système de CIRF d’ici la fin de 2015-2016, nous recommandons que des exposés et des présentations continuent d’être présentés au CMV concernant le CIRF et les résultats des différents examens de l’évaluation de l’efficacité de la conception et du fonctionnement des processus opérationnels. Nous avons eu droit à des mises à jour sur la PCI et participé à des discussions tout au long de 2014-2015, mais nous serions grandement reconnaissants si nous pouvions échanger davantage avec la direction concernant les résultats ainsi que les réponses et les plans d’action correspondants de la direction en lien avec l’évaluation de l’efficacité de la conception et du fonctionnement, particulièrement en ce qui a trait aux programmes législatifs du Ministère (AE, RPC, SV) et à d’autres processus opérationnels pertinents comme le Programme canadien de prêts aux étudiants et le programme de subventions et contributions.

Le BVG a terminé et présenté son audit annuel des états financiers du compte des opérations de l’AE, du compte du RPC, du Compte des rentes sur l’État et de la partie des comptes publics du Canada relevant d’EDSC pour l’exercice se terminant le 31 mars 2014. Une fois de plus, des opinions d’audit non modifiées ont été exprimées et aucun ajustement aux états financiers n’a été exigé. La direction d’EDSC a pleinement coopéré et a appuyé le BVG dans ses travaux et ceci a contribué au maintien d’une relation positive entre le BVG et EDSC. Cette relation positive, qui permet un dialogue, des échanges et une communication sans entrave, a été déterminante lorsqu’une question en lien avec le Compte des rentes sur l’État a été soulevée. Dans le cadre de son audit des états financiers de l’année dernière, le BVG a informé EDSC d’une décision de la Cour suprême du Canada concernant différents comptes des régimes de pension rendue en décembre 2012 qui pourrait avoir une incidence sur les états financiers du Compte des rentes sur l’État. Le Ministère a travaillé en étroite collaboration avec le BVG et est arrivé à un consensus pour présenter ce fait dans l’état de la situation financière du Compte des rentes sur l’État. Nous avons été informés de manière appropriée par la direction concernant cette question dans le cadre de notre séance d’information technique matinale et nous étions prêts à informer le BVG que nous avions étudié les révisions des états financiers du Compte des rentes sur l’État, trouvions l’approche employée adéquate et étions en faveur de la divulgation de cette question dans les notes complémentaires.

Le BVG a émis des lettres de recommandation à l’issue des audits des états financiers annuels de 2013-2014 des comptes publics d’EDSC, du Compte des rentes sur l’État et du compte des opérations de l’AE. Des problèmes de conformité à la LGFP (articles 33 et 34) ont été observés et des recommandations ont été formulées. Les lettres de recommandation, ainsi que les réponses du Ministère et les PAD à l’appui, nous ont été présentés et expliqués. Même si des lettres de recommandation ont été émises et qu’elles soulevaient des possibilités d’amélioration, découlant des activités d’audit réalisées par le BVG (qui comprenait des discussions sur les circonstances et les faits pertinents avec le niveau de gestion adéquat), aucune lacune importante concernant le contrôle interne n’a été cernée.

2.8 Reddition de comptes

Nous avons étudié les rapports ministériels clés suivants au cours de 2014-2015 et avons été informés de manière appropriée en ce qui les concerne :

• Rapport ministériel sur le rendement de 2013-2014;
• Profil de risque ministériel de 2014-2015;
• Plan d’évaluation ministériel pour 2014-2015 à 2018-2019 et le rapport correspondant sur l’état de la mesure du rendement à l’appui de l’évaluation.

Nous avons reçu un aperçu détaillé des résultats du CRG de 2013-2014 et on nous a remis une copie du RPP 2015-2016 pour information, examen et commentaires au besoin.

Tel qu’expliqué en contexte précédemment, nous avons observé une importante amélioration de l’alignement horizontal et vertical de ces rapports. Cette amélioration en dit long sur les processus de planification et d’élaboration et démontre l’engagement du Ministère en faveur de la cohérence et de l’uniformité.

Nous avons recommandé qu’il pourrait être avantageux de soumettre ces rapports ministériels, à savoir le RPP et le RMR, à l’examen d’un vérificateur externe afin de relever des détails techniques et de promouvoir l’utilisation d’un langage clair pour tenir compte du public cible (les membres du Parlement et le grand public). Nous pensons aussi que du matériel visuel pourrait être employé dès la parution de ces rapports afin de mieux les mettre en contexte et pour aider à saisir toute l’ampleur du Ministère et des nombreux programmes et services offerts.

2.9 Domaines d’intérêt continu pour 2014-2015

Comme indiqué plus tôt, en plus de nos huit secteurs de responsabilité clés, nous avons cerné les domaines d’intérêt continu suivants pour 2014-2015 (dans le cadre du processus de rapport annuel de l’année dernière) :

Gestion de l’information (GI)/technologie de l’information (TI) : Accorder une attention soutenue aux risques liés à la GI-TI et aux stratégies d’atténuation des risques de même qu’aux travaux en cours portant sur la protection des renseignements personnels.

Nous avons eu plusieurs discussions sur la GI et la TI avec le dirigeant principal de l’information et la haute direction concernant le plan de GI-TI de 2014-2015 et le plan relatif à la sécurité pluriannuel de la TI et nous avons été informés des initiatives en cours, des faits saillants et des plans pour le prochain exercice financier. Le comité a trouvé rassurant d’observer que des mesures correctives et concrètes pour répondre à certaines constatations et recommandations relatives à la prévention des pertes de données découlant du rapport spécial au Parlement du commissaire à la protection de la vie privée avaient été intégrées au plan de GI-TI du Ministère. Le travail qui a été accompli par la DGSVI en lien avec les CIGTI et le suivi effectué par le BVG ont démontré que le Ministère favorisait et employait des solutions en matière de TI à l’échelle de l’organisation afin de réduire et d’atténuer les risques. Le dialogue et les communications avec SPC s’améliorent et les cadres supérieurs participent maintenant davantage aux discussions sur la sécurité de la TI afin d’améliorer l’horizontalité. Le Ministère a continué de s’assurer que son niveau de sécurité de la TI et les mécanismes de défense associés fonctionnement comme prévu et qu’ils continuent de résister à la menace des nouvelles technologies en évolution et aux attaques intrusives de plus en plus sophistiquées.

À la lumière de ce qui précède, nous partageons le point de vue du SM que le Ministère est sur la bonne voie dans les domaines de la sécurité de la TI et de la prévention des pertes de données et nous avons recommandé la poursuite de la mise en œuvre du plan de GI-TI. Nous sommes pleinement conscients et reconnaissons que les progrès et la réussite continus dépendent largement de la participation, de la collaboration et de l’engagement de SPC et nous recommandons par conséquent que le Ministère informe et conseille le CMV comme il convient concernant les problèmes et les enjeux.

Cohérence organisationnelle : Poursuivre nos efforts et fournir des conseils et des directives au SM et à la haute direction relativement à l’importance et à la nécessité d’assurer l’harmonisation horizontale et verticale afin d’améliorer la gouvernance ministérielle, la gestion des risques et les stratégies et mesures d’atténuation des risques.

Grâce aux rapports ministériels clés (RPP, RMR et PRM), aux solutions en matière de TI à l’échelle de l’organisation et à l’élaboration de plans d’évaluation pluriannuels et de plans d’audit axés sur les risques, le Ministère a mis à profit et à contribution les bonnes assises existantes afin de mieux intégrer la planification et les processus de rapports et promouvoir la cohérence ministérielle. Nous avons observé cette intégration non seulement au niveau ministériel, mais aussi dans le domaine des programmes et des projets où les secteurs des politiques et des programmes, et des opérations et des technologies travaillent en collaboration de manière unifiée et parallèle.

Nous encourageons le Ministère à maintenir ses efforts en matière d’alignement horizontal et vertical puisque cet alignement permet d’améliorer la gouvernance ministérielle ainsi que la gestion des risques et les stratégies et mesures d’atténuation.

Gestion des risques, conformité et contrôle : Accorder une attention accrue aux secteurs de responsabilité liés à notre gestion des risques ainsi qu’à notre cadre de contrôle de la gestion et la production de rapports, étant donné les liens entre ces secteurs et leur interconnectivité.

Interroger le Ministère sur le risque, la gestion des risques, les cadres de contrôle de la gestion ainsi que la conformité et les contrôles et l’inviter à déployer des efforts à ce sujet. Au final, ceci permettra au CMV de fournir des conseils précieux et clairs au SM.

Comme décrit à la section 1 : Enjeux et observation s et tel que mentionné aux sections 2.4 : Gestion des risques et 2.5 : Cadre de contrôle de gestion et rapport s, nous avons accordé plus d’attention et de rigueur à ces secteurs de responsabilité clés. Nous continuons de nous renseigner sur la gestion des risques et les stratégies d’atténuation en place et de nous assurer que les nouveaux risques et les nouvelles stratégies d’atténuation font l’objet de discussion et qu’ils sont compris de manière appropriée. Au sein d’une organisation aussi vaste et complexe qu’EDSC, les risques sont présents dans pratiquement tous les secteurs et les activités et fonctions quotidiennes du Ministère. Alors que les efforts de modernisation se poursuivent, que des projets de transformation sont mis en œuvre, particulièrement dans les domaines de la GI et de la TI qui exigent la coopération et le soutien d’organisations externes, la probabilité qu’un évènement à risque se produise est accrue. Nous recommandons que le Ministère se penche davantage sur des mesures provisoires d’atténuation des risques selon les moyens et les mesures de contrôle dont il dispose et qu’il y accorde toute l’attention voulue. C’est ainsi qu’EDSC pourra renforcer la fonction générale de gestion des risques du Ministère.

Section 3 : Évaluation du CMV

Comme par les années précédentes, nous avons réalisé une auto-évaluation afin de mesurer le rendement du comité en ce qui concerne notre capacité de nous acquitter efficacement de notre rôle consultatif et de nos secteurs de responsabilité. Les résultats généraux de notre auto-évaluation continuent d’être extrêmement positifs, ce qui témoigne de l’engagement continu du sous-ministre et du dévouement de la haute direction et du personnel à l’égard du CMV.

Les activités de notre comité continuent d’être rationalisées, les exposés et les discussions sont devenus plus ciblés et nos programmes de réunions sont maintenant mieux équilibrés.

Collectivement et dans la foulée de notre auto-évaluation, nous encourageons le Ministère à maintenir ses efforts pour offrir aux nouveaux membres du CMV des séances d’orientation appropriées et détaillées afin de faciliter leur arrivée. Nous maintiendrons aussi nos efforts et donnerons des conseils et de l’orientation en matière de conformité à la LGFP, y compris sur le cadre de contrôle interne du Ministère et la stratégie de mise en œuvre des contrôles internes à EDSC. Toutefois, nous reconnaissons et sommes reconnaissants que la haute direction ait accordé plus d’attention à ces questions au cours de la dernière année.

La fonction d’audit interne sera soumise à un examen externe des pratiques en 2016. À ce titre, nous demanderons une mise à jour finale du DPV à la suite de l’examen des pratiques de 2011 pour nous assurer que les recommandations ont été examinées et mises en œuvre de manière appropriée. Nous intégrerons l’examen externe des pratiques dans notre évaluation du secteur de responsabilité de la fonction d’audit interne dans le cadre de notre rapport annuel 2015-2016.

Section 4 : Prochaines étapes

Alors que nous approchons de l’exercice 2015-2016, des réunions sont prévues en juin et en novembre 2015 ainsi qu’en mars 2016. Notre séance d’information technique générale annuelle aura lieu en septembre 2015 et nous procéderons comme nous l’avons fait cette année.

Comme il est d’usage, nous déterminons des domaines d’intérêt continu pour le prochain exercice financier dans le cadre de notre processus d’établissement de rapports annuels. Nous croyons que les domaines clés suivants seront extrêmement importants pour le comité tout au long du prochain exercice et que le Ministère peut tirer profit de nos conseils, de nos directives et de nos recommandations dans ces domaines :

Gestion de l’information (GI) / Technologie de l’information (TI) : Les risques associés à la GI et à la TI et les stratégies d’atténuation (tels qu’ils sont décrits dans notre rapport annuel 2013-2014) et plus particulièrement la sécurité de la TI et la protection des renseignements personnels, continueront de retenir notre attention. Parallèlement, nous tâcherons de soutenir la direction concernant les questions et les défis en matière de GI et de TI qui dépendent d’organisations et de partenariats externes, et nous nous tiendrons informés sur l’état de l’infrastructure de TI du Ministère pour assurer la continuité des activités.

Services de passeport, prestation et modernisation : Le 2 juillet 2013, le gouvernement du Canada a transféré la responsabilité principale du Programme de passeport du ministère des Affaires étrangères, du Commerce et du Développement (MAECD) à Citoyenneté et Immigration Canada (CIC) et EDSC devenait responsable de la prestation des services de passeport au Canada. Pour le Ministère, ce transfert entraîne la création d’un nouveau secteur d’activité qui comporte de nouveaux risques et défis pour une organisation déjà vaste et complexe. De plus, une initiative de modernisation du Programme vient d’être lancée au printemps 2015. Alors que l’intégration de ce nouveau secteur d’activité se poursuit au Ministère et compte tenu de l’initiative de modernisation en cours, nous sommes intéressés à recevoir des séances d’information régulières portant particulièrement sur la gestion et l’atténuation des risques et le cadre de gestion générale entourant le Programme de passeport (et le partenariat nécessaire et essentiel avec différents ministères).

Gestion des ressources humaines (rh) : Nous surveillerons de plus près la gestion des RH ainsi que la disponibilité, la souplesse et le déploiement des ressources au cours de l’exercice financier 2015-2016. Ce secteur d’activité exige de constamment mettre en œuvre, inculquer et adopter une culture du changement dans l’ensemble du Ministère. Il devient de plus en plus important pour EDSC de disposer du nombre d’employés adéquat ayant la mentalité et les compétences appropriées pour accomplir le programme de transformation des activités (futur) et le programme opérationnel régulier (actuel).

Nos domaines d’intérêt continu feront l’objet de discussion et seront examinés en accordant l’attention nécessaire à la gestion des risques, à la conformité et aux contrôles.

Nous avons accueilli M. Tim Wilson en novembre 2014 et nous accueillerons un nouveau membre du comité en 2015 qui remplacera feue Mme Jalynn Bennett. Nous sommes impatients d’accueillir et de travailler avec notre nouveau collègue et nous l’aiderons à s’intégrer au comité et à se familiariser avec ses différents domaines de responsabilité.

Section 5 : Conclusion

Le CMV estime qu’il s’est acquitté des responsabilités de son mandat en plus d’avoir donné des conseils au sous-ministre et à son équipe de direction concernant de nombreuses questions. À cet égard, l’année 2014-2015 a été stimulante, intéressante et couronnée de succès.

L’année qui vient s’annonce tout aussi stimulante alors que notre gestion des risques, notre gouvernance et nos responsabilités en matière de conformité seront axées principalement sur la GI et la TI, les ressources humaines, la cohérence ministérielle et la LGFP.

Nous sommes reconnaissants du soutien continu offert par le sous-ministre, l’équipe de direction, le DPV et l’équipe d’audit. Il s’agit là d’un groupe professionnel, engagé et déterminé et notre relation avec eux est excellente.

Annexe A : Composition du CMV, activités et biographies

Annexe B : Activités du CMV par secteur de responsabilité clé

Ce tableau décrit les différents points à l’ordre du jour et les différentes présentations du CMV selon ses secteurs de responsabilité correspondants. Puisque les secteurs de responsabilité du CMV ne sont pas indépendants, des liens ont été établis entre eux, ce qui permet au Comité d’exercer le plus efficacement possible son rôle consultatif. C’est la raison pour laquelle certains points apparaissent dans plus d’un secteur de responsabilité.

Dates des réunions du CMV en 2014–2015

Secteur de Responsabilité

Valeurs et éthique

25 novembre 2014

• Planification de l’effectif d’EDSC
• Gestion de projet et migration vers le SAP

Gestion des risques

27 mai 2014

• Mise à jour du plan relatif à la sécurité de la GI-TI 2014 2015
• Modernisation du Programme des subventions et contributions
• Audit de la planification intégrée et de la gestion des risques

25 novembre 2014

• Planification de l’effectif d’EDSC
• Gestion de projet et migration vers le SAP
• Profil de risque ministériel (PRM) de 2014-2015
• Mise à jour sur la Politique sur le contrôle interne

31 mars 2015

• Sécurité de la TI – Mise à jour
• Modernisation de la prestation des services liés à l’assurance emploi

Cadre de contrôle de gestion et rapports

27 mai 2014

• Cadre de responsabilisation de gestion (CRG) 2013-2014
• Mise à jour du plan relatif à la sécurité de la GI-TI 2014 2015
• Modernisation du Programme de subventions et contributions

25 novembre 2014

• Gestion de projet et migration vers le SAP
• Mise à jour sur la Politique sur le contrôle interne

31 mars 2015

• Sécurité de la TI
• Modernisation de la prestation des services liés à l’assurance emploi

Fonction de vérification interne

27 mai 2014

• Mise à jour de la charte d’audit interne
• Plan de vérification interne axé sur les risques (PVAR) 2014-2017
• Rapport annuel 2013-2014 du DPV
• Rapport d’étape sur les projets d’audit interne
• Audit des plans d’action établis par les programmes pour la protection des renseignements personnels
• Vérification de l’assurance emploi – Étape III – Maintien des paiements et des demandes
• Audit de l’inscription automatique à une pension de la Sécurité de la vieillesse – phase 1B
• Audit de la planification intégrée et de la gestion des risques

25 novembre 2014

• Rapport d’étape sur les projets d’audit interne
• Audit de la rémunération et des avantages sociaux
• Évaluation de l’auditabilité des pratiques de gestion de l’identité
• Audit des pratiques relatives à l’intégrité des programmes
• Audit des contrôles ministériels en matière de système d’information et de technologie de l’information – Phase 1 – Contrôles des applications
• Audit sur la conformité aux articles 34 et 33 de la Loi sur la gestion des finances publiques du Programme canadien de prêts aux étudiants
• Enquête préliminaire sur la prestation des services de passeport
• Audit de l’état consolidé des frais administratifs imputés au compte du Régime de pensions du Canada par EDSC – 31 mars 2014
• Mise à jour du Plan de vérification interne axé sur les risques 2014-2017 (PVAR)

31 mars 2015

• Plan de vérification interne axé sur les risques 2015-2017
• Rapport d’étape sur les projets d’audit interne
• Audit de la mise en œuvre de la délégation de pouvoirs dans le SAP
• Audit des processus d’assurance de la qualité de la vérification des comptes
• Audit de la gestion des renseignements personnels pour l’analyse de politiques, la recherche et l’évaluation
• Programme de passeport d’EDSC – Évaluation de l’efficacité de la conception des contrôles internes
• Audit de la sécurité de la technologie de l’information sur les supports numériques portatifs

17 avril 2015

• Plan de vérification interne axé sur les risques 2014-2017 (Conférence téléphonique)

Certificateurs externes

27 mai 2014

• Rapport d’étape sur les projets d’audit externe
• Commissariat à la protection de la vie privée du Canada (CPVP) – Rapport spécial au Parlement – Enquête sur la perte d’un disque dur à Emploi et Développement social Canada

25 novembre 2014

• Rapport d’étape sur les projets d’audit externe
• Commission de la fonction publique du Canada (CFP) – Vérification de la dotation
• Audit par le BVG du patrimoine documentaire du gouvernement du Canada – Bibliothèque et Archives Canada (BAC))
• CIGTI du BVG
• Suivi des lettres de recommandation de 2011 2012 du BVG sur l’AE – Mise à jour de juin 2014 et lettre de recommandation de 2012 2013 du BVG concernant le SERTI du RPC – Mise à jour d’août 2014

31 mars 2015

• Plan d’audit stratégique pluriannuel du BVG pour EDSC – Discussion sur les risques
• Rapport d’étape sur les projets d’audit externe
• Audits des états financiers annuels de 2013 – 2014 par le BVG – Lettres de recommandation (Comptes publics, AE et Compte des rentes sur l’État) et plan d’action de la direction

Suivi des plans d’action de la direction (PAD)

27 mai 2014

• Exercice annuel de validation de 2013 de la DGSVI des plans d’action de la direction mis en œuvre découlant des audits internes et externes

25 novembre 2014

• Résultats de l’exercice de suivi de juin 2014 de la DGSVI des plans d’action de la direction découlant des audits internes et externes

31 mars 2015

• Exercice de validation annuel 2014 de la DGSVI relativement aux plans d’action de la direction mis en œuvre découlant des audits internes et externes
• Exercice de suivi intérimaire de la DGSVI de certaines recommandations découlant des audits internes et externes

États financiers et rapports des comptes publics

27 mai 2014

• Rapport financier trimestriel T3

26 aout 2014

• États financiers 2013-2014 du Ministère
• Ébauche des états financiers ministériels consolidés 2013 2014; y compris l’annexe à la Déclaration de responsabilité de la direction
• Ébauche des états financiers du compte des opérations de l’AE de 2013 2014
• Ébauche des états financiers du RPC de 2013 2014
• Ébauche des états financiers du Compte des rentes sur l’État de 2013 2014
• Comptes publics du Canada 2013-2014
• Présentation du BVG à la direction – Audit des Comptes publics de 2013 2014
• Rapport préliminaire du BVG aux signataires –Audit annuel du compte des opérations de l’AE pour l’exercice se terminant le 31 mars 2014
• Rapport préliminaire du BVG aux signataires – Audit annuel du RPC pour l’exercice se terminant le 31 mars 2014
• Présentation du BVG à la direction – Audit annuel du Compte des rentes sur l’État pour l’exercice se terminant le 31 mars 2014
• Séances à huis clos avec le BVG – Audits annuels des Comptes publics, de l’AE, du RPC et du Compte des rentes sur l’État

25 novembre 2014

• Résultats finaux des audits des états financiers de 2013 2014 du BVG (audits annuels des Comptes publics, de l’AE, du RPC et du Compte des rentes sur l’État)
• Rapport financier trimestriel T1
• Contrôles informatiques généraux des technologies de l’information (CIGTI) du BVG
• Suivi de la lettre de recommandation de 2011 2012 du BVG concernant l’AE – Mise à jour de juin 2014 et lettre de recommandation de 2012 2013 du BGV concernant le SERTI du RPC – Mise à jour d’août 2014

31 mars 2015

• Audits des états financiers annuels de 2013 – 2014 par le BVG – Lettres de recommandation (Comptes publics, AE et Compte des rentes sur l’État) et plan d’action de la direction
• Rapport financier trimestriel T2

Reddition de comptes

25 novembre 2014

• Plan d’évaluation ministériel (PEM) 2014-2019
• Rapport annuel sur l’état de la mesure du rendement à l’appui de l’évaluation
• PRM de 2014-2015

5 septembre 2014

• Rapport ministériel sur le rendement 2013-2014 (Conférence téléphonique)