Audit de la Gestion de la Continuité des Activités
Titre officiel : Audit de la Gestion de la Continuité des Activités
Sur cette page
Formats substituts
Audit de la gestion de la continuité des activités [PDF - 513 Ko]
Les formats en gros caractères, braille, MP3 (audio), texte électronique, et DAISY sont disponibles sur demande en commandant en ligne ou en composant le 1 800 O-Canada (1-800-622-6232). Si vous utilisez un téléscripteur (ATS), composez le 1-800-926-9105.
Liste des abréviations
- AIA
- Analyse des incidences sur les activités
- CGE
- Comité de gestion d’entreprise
- CGP
- Conseil de gestion du portefeuille
- CNOU
- Centre national des opérations d’urgence
- CT
- Conseil du Trésor
- DGSI
- Direction générale des services d’intégrité
- DGUCA
- Division de la gestion des urgences et de la continuité des activités
- EDSC
- Emploi et Développement social Canada
- GCA
- Gestion de la continuité des activités
- GU
- Gestion des urgences
- PCA
- Plan de continuité des activités
- SDGU
- Système de demande de gestion des urgences
- SMA
- Sous-ministre adjoint
1. Mise en situation
La Politique sur la sécurité du gouvernement du Conseil du Trésor (CT) exige que les ministères créent un programme de gestion de la continuité des activités (GCA). Emploi et développement social Canada (EDSC) tient un inventaire de 23 services critiques. Il s'agit notamment de programmes tels que l'assurance-emploi et le Régime de pensions du Canada. Le Ministère qualifie un programme ou un service de critique s'il doit se rétablir et atteindre des niveaux de service minimum dans un délai de 72 heures.
EDSC fait actuellement l'objet d'un rafraîchissement de son programme de gestion de GCA, sous la direction de la Division de la gestion des urgences et de la continuité des activités (DGUCA) au sein de la Direction générale des services d'intégrité (DGSI). La mise à jour comprend une nouvelle approche de GCA qui s'aligne sur la méthodologie recommandée dans le guide du programme de GCA 2023 de Sécurité publique Canada. En outre, la DGUCA prévoit de lancer une solution logicielle intégrée de continuité des activités et de gestion des urgences, appelée Système de demande de gestion des urgences (SDGU), en juillet 2024. Ce logiciel remplacera les modèles existants basés sur Excel.
1.1 Objectif de l'audit
L'objectif de l'audit consistait à évaluer si le Ministère avait établi un programme de GCA efficace afin de permettre la disponibilité continue de ses services critiques et de ses biens connexes.
1.2 Portée
L'audit a porté sur l'évaluation des éléments obligatoires d'un programme de GCA, tels qu'ils sont décrits à l'annexe D de la Directive sur la gestion de la sécurité du CT, et a couvert la période du cycle de GCA le plus récent du Ministère.
1.3 Méthodologie
L'audit a utilisé les méthodes suivantes :
- Examen et analyse de la documentation
- Entrevues avec la direction et le personnel
- Sondage auprès des coordinateurs du plan de continuité des activités (PCA)
- Examen d'un échantillon de plans et de dispositions de GCA
2. Constats de l'audit
2.1 La DGUCA a établi des documents d'orientation et des outils de GCA conformes aux exigences de la politique du CT
La Directive sur la gestion de la sécurité du CT décrit les procédures obligatoires pour la GCA. L'audit a permis de constater que la directive opérationnelle du Ministère, les orientations connexes et les modèles sont conformes aux exigences législatives. Par exemple, la directive définit clairement les rôles et les responsabilités dans le processus de GCA :
- la DGUCA est la chef de file du programme, responsable de l'orientation et de la direction fonctionnelles ainsi que de la supervision et de la communication des résultats;
- les coordinateurs régionaux et de la Direction générale jouent un rôle essentiel dans l'exécution du cycle de GCA du début à la fin, y compris dans la préparation, la coordination et la mise à l'essai des plans;
- les sous-ministres adjoints (SMA) des directions générales et des régions ont la responsabilité globale de l'élaboration et de l'approbation en matière de GCA à l'appui des services critiques d'EDSC.
2.2 Les directions générales et les régions responsables de services critiques manquent d'expertise et de soutien de la part de la haute direction
La DGUCA dispose d'une équipe qualifiée et expérimentée, chargée à la fois de la GCA et de la gestion des urgences (GU). Toutefois, ces dernières années, la DGUCA a donné la priorité à la modernisation des programmes de GU et de GCA. Entre 2020 et 2023, le Centre national des opérations d'urgence (CNOU) et les équipes ministérielles de gestion de crise ont connu une hausse d'activité sans précédent. En raison d'événements tels que la COVID-19 et les perturbations liées au climat, la DGUCA a mis l'accent sur la GU pendant cette période. En outre, la mise en œuvre du SDGU a débuté en juin 2023. Par conséquent, la DGUCA n'a pas satisfait à certaines exigences en matière de la GCA, notamment en raison de l'absence d'un programme de formation spécialisé dans ce domaine aux directions générales et des régions. Pour remédier à cette lacune, DGUCA a fourni un encadrement et un soutien aux intervenants tout au long du dernier cycle de GCA.
En général, les directions générales responsables de services critiques ne disposaient pas d'équipes et de structures compétentes pour répondre aux exigences du programme de GCA. Les structures de la GCA varient, mais la plupart des coordinateurs de la GCA manquent à la fois d'expertise et de sensibilisation de leurs responsabilités. De plus, la haute direction a fait preuve d'une plus grande sensibilisation et a mis l'accent sur la GU, négligeant souvent les exigences en matière de GCA, telles que les mises à l'essai des PCA.
Bien que la DGUCA dispose d'une équipe qualifiée et expérimentée, les responsables de services critiques amélioreraient les résultats du programme avec des équipes solides et robustes. Dans les directions générales et les régions où les équipes disposaient d'une expertise en GCA et du soutien de la haute direction, la qualité des documents et des activités de soutien à la GCA était plus susceptible de répondre aux attentes.
2.2.1. Recommandation
Le SMA de la Direction générale des services d'intégrité (DGSI) devrait élaborer et mettre en œuvre un plan visant à former les intervenants à la GCA afin qu'elles puissent satisfaire aux exigences de la GCA conformément aux orientations ministérielles.
2.2.2. Réponse de la direction
Le SMA de la DGSI est d'accord.
La DGSI élaborera et mettra en œuvre un plan pour former les intervenants de la gestion de la continuité des activités (GCA) afin qu'ils puissent répondre aux exigences de la GCA conformément aux directives ministérielles. Récemment, Sécurité publique a mis à la disposition des ministères du matériel de formation et de sensibilisation. Sécurité publique, en collaboration avec l'École de la fonction publique du Canada, élabore une série de cours sur la GCA qui seront offerts à tous les employés du gouvernement. Lorsqu'ils seront disponibles, DGUCA les inclura dans le plan de formation des intervenants de la GCA.
2.3 Le programme de GCA d'EDSC ne fonctionne pas comme prévu
L'EDSC a mené son dernier cycle de GCA entre avril 2021 et janvier 2023. Au cours de ce processus, la DGUCA a supervisé l'élaboration d'analyses d'impact sur les activités (AIA) et de plans de continuité des activités (PCA) pour soutenir les 23 services critiques du Ministère, tout en apportant son soutien et ses conseils aux directions générales et aux régions. La DGUCA a mené des examens de l'achèvement des processus, surveillé les délais d'achèvement des AIA et des PCA, et s'est régulièrement entretenue avec les intervenants. Toutefois, il n'existait pas de fonction formelle d'examen de la qualité ou de remise en question pour confirmer la qualité, l'exhaustivité et la mise à jour régulière des documents et des activités de GCA.
Selon la directive opérationnelle, les PCA au niveau des directions générales doivent être regroupés horizontalement en PCA au niveau des programmes. Cette initiative n'était pas en place pour les services critiques d'EDSC et la DGUCA a indiqué son intention de relancer ce processus lors du prochain cycle de GCA. La DGUCA met actuellement en œuvre le SDGU, qui vise à renforcer les capacités de collaboration et de suivi. Le renforcement de la surveillance et de l'établissement de rapports sera essentiel pour tirer des avantages du SDGU à l'appui des PCA au niveau du programme.
La mise à l'essai et l'exercice des PCA sont des éléments essentiels d'un programme de GCA parvenu à maturité. Bien que l'équipe d'audit ait cherché à obtenir des preuves pour vérifier que les services essentiels d'EDSC avaient été testés par les responsables au cours des 2 dernières années, la documentation disponible était insuffisante. Cependant, plus de la moitié des répondants à l'enquête menée par l'équipe d'audit auprès des coordonnateurs du PCA ont indiqué qu'ils n'avaient jamais participé à un test ou à un exercice de PCA. Étant donné que les résultats des tests n'ont pas été surveillés ni communiqués aux comités de gouvernance de la haute direction d'EDSC, l'équipe d'audit s'est appuyée sur le Cadre de responsabilisation de gestion de 2022 à 2023, qui indiquait que seulement 30 pour cent des PCA pour les services essentiels d'EDSC avaient été testés par les responsables au cours des 2 dernières années. L'équipe DGUCA a atténué cette lacune en intensifiant la sensibilisation des départements et les exercices d'entreprise au cours de l'année écoulée.
Bien qu'il ne s'agisse pas d'une exigence en vertu de la directive actuelle d'EDSC, les manuels opérationnels ont été introduits par Sécurité publique Canada et mis en œuvre par DGUCA en mars 2024 afin d'améliorer l'état de préparation du Ministère en réponse à des événements particuliers qui ont une incidence sur le Ministère et les Canadiens, comme la grève dans la fonction publique et les feux de forêt. Ces manuels représentent une approche proactive de l'atténuation des risques et complètent les PCA obligatoires pour les services essentiels. Ils ont été introduits pour la première fois à l'automne 2022 en prévision de la grève de l'Alliance de la Fonction publique du Canada de 2023 et les manuels tous risques ont été mis en œuvre à l'échelle du Ministère au cours de l'exercice de 2023 à 2024.
Les difficultés rencontrées par EDSC pour satisfaire aux exigences prescrites en matière de GCA pourraient avoir une incidence sur la qualité et la fiabilité des plans de continuité des activités. En l'absence d'une validation, d'un test et d'une mise à jour adéquats des plans, EDSC est confronté à un risque de continuité élevé pour ses services critiques.
2.3.1. Recommandation
Le SMA de la DGSI devrait demander à la DGUCA de coordonner les évaluations annuelles, par les responsables des services critiques, de la qualité et de l'exhaustivité des documents et des activités relatifs à la GCA soutenant les services critiques d'EDSC, et de mettre au point un mécanisme permettant de collecter, d'analyser et de communiquer les résultats.
2.3.2. Réponse de la direction
Le SMA de la DGSI est d'accord.
Suite à l'achèvement du prochain exercice d'actualisation de l'AIA/GCA, la DGUCA aidera et coordonnera avec les responsables de services essentiels d'EDSC, qui effectueront une évaluation annuelle de l'exhaustivité et de la qualité des plans, des mesures, des arrangements et des résultats de continuité à l'appui des services essentiels d'EDSC. Conformément à Sécurité publique, un programme de GCA nécessite un engagement continu de la part de la haute direction qui s'assure que les pratiques de GCA sont mises en œuvre et qu'elles sont financées de manière appropriée (par exemple, déterminer le financement potentiel de la stratégie d'atténuation pour réduire les vulnérabilités et soutenir les stratégies de rétablissement). Sécurité publique Canada recommande un cycle ministériel de GCA basé sur un cycle de 3 ans, en commençant par une mise à jour complète de l'AIA et de la GCA au cours de l'année 1, puis un examen annuel au cours des années 2 et 3.
Le nouveau système de demande de gestion des urgences comprend un mécanisme permettant de recueillir, d'analyser et de communiquer efficacement les résultats.
De plus, la DGSI dirigera le Ministère dans l'élaboration d'un manuel opérationnel « pan-ministériel » (approche horizontale de GCA) qui décrit les mesures d'intervention, les déclencheurs, les mesures d'atténuation et les processus décisionnels en cas de crise de la prestation de services à EDSC et à Service Canada liée aux événements cycliques.
En outre, la DGSI dirigera le Ministère dans les exercices de GCA « pan-ministériels » qui appuient et aident à assurer la continuité des activités dans des secteurs et des scénarios clés, en visant la prestation continue de services aux Canadiens.
2.4 La DGUCA n'utilise pas efficacement sa structure de comités de gouvernance pour la prise de décision et le contrôle
La structure de gouvernance relative à la GCA d'EDSC est décrite dans la directive opérationnelle et le plan stratégique de gestion des urgences du Ministère. Le Conseil de gestion du portefeuille (CGP) est le principal organe de décision du Ministère, soutenu par le Comité de gestion d'entreprise (CGE), qui dispose d'une autorité de surveillance et de décision pour la GCA. L'audit a permis de constater que le coordinateur de crise ministériel, c'est-à-dire le SMA de la DGSI, n'associe pas systématiquement le CGE à la prise de décision ni à la surveillance. Par exemple, le SMA de la DGSI n'a pas présenté la liste des services critiques du Ministère au CGE pour approbation après l'exercice de l'AIA 2021 et n'a pas non plus fourni à CGE des mises à jour périodiques sur l'état de conformité du Ministère aux exigences de GCA pour des services critiques d'EDSC. Néanmoins, les services critiques ont été approuvés par le Sous-ministre en février 2022.
Une meilleure utilisation des comités de gouvernance pour la surveillance de la GCA améliorerait la responsabilité, la qualité et l'exhaustivité.
2.4.1. Recommandation
Le SMA de la DGSI devrait formaliser un plan et une approche visant à exploiter périodiquement le CGE et le CGP pour :
- présenter et faire approuver les services critiques et les plans correspondants; et
- rendre compte de l'exhaustivité et de la qualité des plans de continuité, des mesures, des dispositions et des résultats à l'appui des services critiques d'EDSC
2.4.2. Réponse de la direction
Le SMA de la DGSI est d'accord.
Note: le CGE et le CGP n'ont pas à approuver les plans correspondants, c'est la responsabilité du SMA de la direction générale ou de la région concernée.
Conformément aux nouvelles directives de Sécurité publique Canada sur l'identification et la catégorisation des services essentiels, la première étape du nouveau cycle de GCA consistera à remplir un sondage sur l'AIA pour évaluer la criticité de chaque service. La DGSI déposera la liste des services essentiels au Comité de gestion d'entreprise pour approbation.
Suite à l'achèvement du prochain exercice d'actualisation de la GCA, qui comprend les AIA et les PCA des directions générales et des régions, la DGUCA de la DGSI rendra compte de l'exhaustivité et de la qualité des plans, des mesures, des arrangements et des résultats de continuité à l'appui des services essentiels d'EDSC à CGE et à CGP.
3. Conclusion
La DGUCA a mis en place des orientations, des outils et une structure de gouvernance pour soutenir un programme de GCA efficace. Toutefois, les résultats du programme de GCA ne répondent pas actuellement aux exigences en matière d'essai, de maintenance et de formation en matière de GCA.
Pour améliorer la qualité des plans et des arrangements de GAC, il est nécessaire d'améliorer l'expertise et le soutien des directions générales et des régions responsables des services critiques. De plus, une surveillance et un suivi renforcés par les comités de haute direction constituent un mécanisme de responsabilisation important pour GCA.
4. Énoncé d'assurance
Selon notre jugement professionnel, des procédures d'audit suffisantes et appropriées ont été mises en œuvre et des éléments de preuve ont été recueillis pour étayer l'exactitude des conclusions tirées et contenues dans le présent rapport. Les conclusions sont fondées sur les observations et les analyses effectuées au moment de l'audit. Les conclusions ne s'appliquent qu'à l'audit de la gestion de la continuité des activités. Les éléments de preuve ont été recueillis conformément à la Politique sur l'audit interne du CT et aux normes internationales pour la pratique professionnelle de l'audit interne.
Annexe A : Évaluation des critères d'audit
Critères d'audit : Cadre de référence de la gestion de la continuité des activités
On s'attendait à ce que le Ministère ait :
- mis en place une structure de comité de gouvernance adéquate pour coordonner les activités de GCA et pour superviser et rendre compte du rendement
- Cote: Suffisamment contrôlé; exposition à un risque faible
- défini, documenté et communiqué les rôles, les responsabilités et les pouvoirs liés au programme de GCA afin d'articuler des responsabilités claires (y compris au niveau de l'administration centrale et des régions)
- Cote: Contrôlé, mais devrait être renforcé; exposition à un risque moyen
- établi, documenté et tenu à jour les procédures et pratiques opérationnelles du programme de GCA, conformément aux exigences et orientations législatives et politiques de Sécurité publique et du CT
- Cote: Suffisamment contrôlé; exposition à un risque faible
- mis en place des mécanismes d'établissement de rapport sur le rendement permettant de cerner et de signaler en temps utile les risques, les problèmes et les nouvelles menaces liés au programme de GCA dans l'environnement opérationnel du Ministère
- Cote: Contrôles clés manquants; exposition à un risque élevé
Critères d'audit : Pratiques de la gestion de la continuité des activités
On s'attendait à ce que :
- les exigences du programme de GCA soient communiquées aux intervenants et que les activités de formation et de sensibilisation soient d'un niveau adéquat, y compris la formation spécialisée des personnes directement impliquées dans la coordination de la GCA
- Cote: Contrôles clés manquants; exposition à un risque élevé
- les structures et les processus de gestion de la continuité des activités dans les directions générales et les régions aient été mis en place avec des ressources et un soutien adéquat de la part de la haute direction pour permettre d'atteindre les objectifs du programme de GCA
- Cote: Contrôles clés manquants; exposition à un risque élevé
- le Ministère ait utilisé la structure et le processus de gouvernance de GCA établi pour cerner les programmes et les services qui sont essentiels à la santé, à la sécurité ou au bien-être économique des Canadiens et au bon fonctionnement du gouvernement, et que la priorité ait été attribuée sur la base des niveaux de service minimum, des objectifs de temps de récupération, des périodes de criticité, des interdépendances et des impacts
- Cote: Contrôlé, mais devrait être renforcé; exposition à un risque moyen
- les PCA des directions générales/régions aient été élaborés et regroupés afin de créer des PCA horizontaux pour les programmes et services critiques définis, sur la base des AIA, qui sont conformes aux procédures opérationnelles, aux orientations et à la méthodologie
- Cote: Contrôles clés manquants; exposition à un risque élevé
- les PCA ait été régulièrement revus et mis à jour pour tenir compte de l’évolution de l’environnement de la menace, en tenant compte des résultats de l’analyse d’impact et des enseignements tirés des événements perturbateurs
- Cote: Contrôles clés manquants; exposition à un risque élevé
- des essais réguliers de l’état de préparation du programme de GCA aient été effectués pour confirmer leur faisabilité et leur efficacité à soutenir, dans un état de préparation acceptable, la disponibilité continue des programmes, des services et des actifs associés essentiels à la mission
- Cote: Contrôles clés manquants; exposition à un risque élevé