Vérification interne du Cadre sur la gestion de la conformité

Rapport de vérification
Direction générale de la vérification interne et de la responsabilisation
Citoyenneté et Immigration Canada
Janvier 2014


Table des Matières


Sommaire

La vérification visait à démontrer à la haute direction que des pratiques efficaces sont en place à Citoyenneté et Immigration Canada (CIC) aux fins de la gestion de la conformité aux exigences des politiques du Conseil du Trésor.

Elle ne visait pas à évaluer la conformité à des politiques particulières du Conseil du Trésor, mais plutôt à établir si un cadre avait été mis en place pour la surveillance axée sur le risque, le contrôle et la reddition de comptes au sujet de la conformité aux exigences.

Pourquoi est-ce important?

Selon les principes de la gestion de la fonction publique, la façon d’atteindre un objectif est aussi importante que l’objectif en soi. Les prescriptions juridiques et les exigences des politiques du Conseil du Trésor, notamment les codes de conduite applicables, comportent toutes une norme comportementale et de conduite minimale qui, de l’avis du législateur et des ministres, est essentielle afin de préserver la confiance du public.

Le fait de se doter d’un programme de conformité axée sur le risque peut permettre de fournir à l’administrateur des comptes (administrateur général) et à la haute direction l’assurance que CIC satisfait à toutes les exigences des politiques du Conseil du Trésor et peut se fier aux résultats des exercices de surveillance et des  rapports en vue de prendre les mesures appropriées lorsque cela est nécessaire.

Principales constatations

En 2012, CIC a lancé un exercice dans le but de permettre aux titulaires de l’autorité fonctionnelle d’attester qu’ils se conforment aux exigences de l’ensemble des politiques, des lois et des règlements. À cette fin, une analyse a été menée de manière à dresser la liste des politiques du Conseil du Trésor s’appliquant à CIC, après quoi les responsabilités ont été assignées par domaine fonctionnel. Par ailleurs, un exercice annuel d’attestation de la conformité a été instauré afin d’orienter la gestion de la conformité au sein du Ministère. Les autoévaluations prévues dans le cadre de l’exercice d’attestation de la conformité n’ont pas été officiellement mises au défi et n’étaient pas fondées sur le risque. Les exigences de rendement en matière de  conformité ne sont pas officialisées. Les enjeux de non-conformité sont traités de manière ponctuelle.

Conclusions

À la suite de ce premier exercice visant à évaluer la conformité, CIC a amorcé des activités permettant d’attribuer officiellement l’imputabilité par rapport aux domaines des politiques du Conseil du Trésor, sans toutefois élaborer un cadre exhaustif pour la surveillance, le contrôle et la reddition de comptes en matière de conformité. Deux recommandations sont formulées à l’égard des améliorations à apporter afin de mettre en place un cadre fiable  via une surveillance accrue axée sur le risque.

La direction a accepté les conclusions de la vérification et conçu un plan d’action pour donner suite aux recommandations qui en découlentNote de bas de page 1.

Énoncé de conformité

La vérification est conforme aux normes de vérification interne du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité. Nous avons étudié suffisamment de données pertinentes pour étayer nos conclusions.

Gibby Armstrong
Dirigeante principale de la vérification interne, CIA, CA
Citoyenneté et Immigration Canada

Contexte

Les exigences des politiques du Conseil du Trésor comportent une norme comportementale et de conduite minimale qui est essentielle afin de préserver la confiance du public. Le Cadre sur la gestion de la conformité, avec en complément le Cadre principal des politiques du Conseil du Trésor et le Cadre de gestion des risques, est l’un des principaux éléments architecturaux de l’ensemble des politiques du Conseil du Trésor. Plus précisément, le Cadre sur la gestion de la conformité énonce les principes de gestion et de contrôle de la conformité à l’ensemble des politiques du Conseil du Trésor.

L’administrateur général d’un ministère a pour principale responsabilité de veiller à la conformité aux prescriptions juridiques et aux exigences des politiques du Conseil du Trésor. Il s’acquitte de cette responsabilité en favorisant un environnement propice à l’innovation et à la prise de risques éclairée afin d’offrir un meilleur rendement pour les Canadiens. Un cadre de gestion de la conformité doit énoncer les méthodes qui sont les plus susceptibles de bien faire correspondre le comportement aux attentes et à la tolérance au risque. En sa qualité d’administrateur des comptes, l’administrateur général doit faire le suivi des pratiques de gestion interne et, lorsque des problèmes surviennent, prendre les mesures qui s’imposent afin de maintenir de solides modalités de contrôle interne. Le Cadre sur la gestion de la conformité du Conseil du Trésor est en vigueur depuis avril 2009, mais le Secrétariat du Conseil du Trésor a laissé le soin à chaque ministère de décider comment il établira son cadre ministériel sur la gestion de la conformité aux politiques du Conseil du Trésor. Le Secrétariat du Conseil du Trésor n’a pas demandé, jusqu’à présent, aux organismes centraux d’exercer une surveillance du Cadre ni de produire de rapports à ce sujet. En 2012, CIC a, de son propre chef, commencé à évaluer sa conformité aux politiques applicables.

Le Bureau de responsabilisation en gestion (BRG) dirige, à CIC, les efforts visant à renforcer les pratiques de gestion et à harmoniser la responsabilisation associée aux politiques du Conseil du Trésor. Ainsi, le BRG supervise les évaluations du Cadre de responsabilisation de gestion (CRG) du Ministère et les plans d’action connexes, en plus de coordonner les activités associées au Cadre sur la gestion de la conformité. Le BRG ne s’est pas vu confier la responsabilité de veiller à la surveillance ou au contrôle axé sur le risque ni de s’assurer que des rapports sont produits à ce sujet.

Objectifs et portée de la vérification

La vérification visait à démontrer à la haute direction que des pratiques efficaces sont en place à CIC aux fins de la gestion de la conformité aux exigences des politiques du Conseil du Trésor.

La vérification visait également à déterminer si un programme de surveillance avait été mis en place à CIC de manière à satisfaire à toutes les exigences des politiques pertinentes du Conseil du Trésor en lien avec ses activités. En outre, il s’agissait également d’établir si un tel programme était appuyé par des pratiques de surveillance axée sur le risque ainsi que par des systèmes de reddition de comptes et de contrôle.

Afin de limiter la portée, la vérification ne portait pas sur les exigences législatives propres à CIC ou à un sous-groupe de ministères du gouvernement. Elle ciblait plutôt les exigences des politiques du Conseil du Trésor s’appliquant à l’ensemble de l’appareil gouvernemental.

La vérification a porté sur les activités qui se sont déroulées du 1er juin 2012 au 31 août 2013. Des documents produits entre 2009 et 2012 ont également été examinés en lien avec les exigences de reddition de comptes des organismes centraux et indépendants et avec le Renouvellement de l’ensemble des politiques, une initiative ministérielle lancée en 2009-2010 dans le but de simplifier les cadres, politiques et outils de CIC et d’en réduire le nombre.

Les critères établis aux fins de cette vérification sont énoncés à l’annexe A.

Recommandations et conclusions détaillées

Un exercice d’attestation de la conformité est mené chaque année, mais d’autres travaux sont nécessaires afin d’établir un cadre exhaustif pour la gestion de la conformité aux exigences des politiques du Conseil du Trésor.

Nous avons voulu savoir si un cadre avait été mis en place à CIC pour la gestion de la conformité aux exigences de l’ensemble des politiques du Conseil du Trésor. Nous avons également voulu savoir si une analyse avait été menée en vue de cerner les politiques pertinentes pour CIC, ainsi que pour savoir si les responsabilités avaient été imputées. Nous avons évalué les résultats de la surveillance de la conformité aux politiques du Conseil du Trésor afin de déterminer s’ils étaient fiables et axés sur le risque, et s’ils étaient signalés aux personnes à qui la responsabilité de surveillance a été assignée. Enfin, nous avons voulu savoir si la gestion du rendement comprenait des éléments liés à la conformité, et si CIC avait mis des mesures en place pour le traitement des cas de non-conformité.

Un ministère qui ne dispose pas d’un cadre sur la gestion de la conformité pourrait ne pas être en mesure de savoir s’il adhère aux politiques et s’y conformer selon les attentes. Pour s’assurer que son cadre est exhaustif, le ministère doit d'abord établir quelles sont les politiques applicables et déterminer à qui les responsabilités doivent être assignées. Sans une surveillance officielle, qui comprend une analyse critique, la haute direction ne peut pas comprendre les risques auxquels elle s’expose en matière  de conformité aux exigences. Une approche axée sur le risque aux fins de l’établissement des exigences en matière de surveillance de la conformité et de reddition de comptes permet de veiller à ce que les ressources soient attribuées aux secteurs qui en ont le plus besoin. La gestion de la conformité par le truchement des ententes de rendement ou de la mesure du rendement permet de garantir que le rendement des personnes à qui des responsabilités sont assignées est mesuré en fonction de leur adhérence aux exigences des politiques.

Une analyse a été menée dans le but d’établir les politiques du Conseil du Trésor qui s’appliquent à CIC, et les responsabilités ont été assignées.

Les instruments de politique du Conseil du Trésor (notamment les cadres, les directives et les lignes directrices) sont conçus en fonction des activités du gouvernement et peuvent ne pas s’appliquer à tous les ministères. CIC a entrepris de dresser la liste des instruments de politique qui s’appliquent à lui.

Les responsabilités associées à chaque domaine des politiques ont été assignées à une personne titulaire de l’autorité fonctionnelle (c.-à-d. un directeur général ou un directeur) qui est responsable de la mise en œuvre d’un sous-ensemble de politiques du Conseil du Trésor, comme, par exemple, celles portant sur les ressources humaines, les finances ou un autre domaine fonctionnel.

Un exercice annuel d’attestation de la conformité a été instauré pour gérer la conformité.

En 2012, CIC a lancé un exercice d’attestation de la conformité à l’issue duquel tous les titulaires d’une autorité fonctionnelle se sont soumis à une autoévaluation et ont signé une attestation confirmant la conformité aux éléments pertinents des politiques. Lors des entrevues menées, les titulaires d’autorités fonctionnelles ont été avisés des responsabilités associées à leurs domaines fonctionnels, mais, dans de nombreux cas, aucune documentation n’a été fournie afin de bien préciser quelles étaient les politiques du Conseil du Trésor qui relevaient de leur responsabilité. Les justifications fournies à l’appui des attestations variaient d’aucune à une analyse exhaustive établissant un lien entre les exigences des politiques et les procédures de CIC. Dans le cas de certaines politiques, il est précisé qu’il existe des exigences en matière de reddition de comptes à l’extérieur de CIC, comme, par exemple, aux organismes centraux ou indépendants, pour appuyer la conformité aux politiques. Lorsqu’une responsabilité associée aux politiques était répartie conjointement entre les domaines fonctionnels, aucune documentation n’avait été fournie pour démontrer comment la responsabilité avait été répartie.

Selon le Secrétariat du Conseil du Trésor, CIC a été le premier ministère à analyser les exigences du Cadre sur la gestion de la conformité. L’exercice d’attestation de la conformité doit être mené chaque année et les résultats doivent être présentés aux comités de la haute direction ainsi qu’au Comité ministériel de vérification.

Les autoévaluations prévues dans le cadre de l’exercice d’attestation de la conformité n’ont pas été officiellement mises au défi et n’étaient pas fondées sur le risque.

L’attestation servant à démontrer la conformité a été fournie par les titulaires de l’autorité fonctionnelle, sans que les conclusions aient fait l’objet de mises au défi indépendantes et officielles. De ce fait, la quantité de renseignements fournis à l’appui de la conformité variait considérablement d’un domaine fonctionnel à l’autre. Un gabarit et des directives normalisés ont été fournis, mais le niveau d’assurance obtenu à la suite de l’exercice ne fut pas optimal compte tenu du fait que le niveau de détails variait considérablement et n’était pas fondé sur la tolérance au risque.

Tous les titulaires d’autorités fonctionnelles étaient tenus de prendre part à l’exercice, peu importent les résultats des exercices d’assurance réalisés précédemment, les instruments de surveillance en place ou l’incidence potentielle de la non-conformité pour le Ministère. Bien que, dans sa forme actuelle, l’exercice a été conçu de manière à produire un aperçu de la conformité autoévaluée dans l’ensemble du Ministère, il pourrait ne pas avoir été suffisamment complet pour les domaines fonctionnels dont les risques sont plus élevés.

Il n’existe aucune exigence de surveillance axée sur le risque en matière de conformité.

Il existe différentes formes de mécanismes de surveillance et ces derniers peuvent comprendre la vérification régulière des contrôles ainsi que des rapports à ce sujet; la nécessité d’avoir recours à une surveillance externe; ou aucune activité officielle du fait que le secteur stratégique représente un risque faible pour le Ministère. À CIC, certains secteurs stratégiques font l’objet d’une surveillance, laquelle est assurée par des comités, mais les exigences de surveillance n’ont pas été officiellement définies ni normalisées dans la structure de gouvernance du Ministère. Comme aucune exigence n’est définie, il est impossible d’établir un cadre ministériel des contrôles internes de manière à constamment surveiller la conformité en fonction de la tolérance au risque de certains secteurs stratégiques en particulier.

Le mandat de quatre des trente comités de gestion de CIC fait mention de la conformité, tandis que deux comités ont pour mandat de faire progresser les pratiques exemplaires dans les secteurs stratégiques. À titre d’exemple de pratique exemplaire, le Comité de surveillance des approvisionnements et des marchés a cerné des activités d’approvisionnement qui devraient faire l’objet d’un examen plus poussé de la part de la direction, en fonction du risque. Comme la passation de marchés est habituellement considérée comme un secteur à risque élevé en raison de la complexité des règles et des exigences en matière de documentation, la direction générale responsable de l’approvisionnement et des marchés a commencé à soumettre les activités de passation de marchés, dans l’ensemble du Ministère, à des tests par échantillonnage et à produire des rapports sur les résultats en matière de conformité.

D’autres autorités fonctionnelles – comme les cadres de réglementation, l’accès à l’information et la protection des renseignements personnels, ainsi que les langues officielles – sont soumises à d’importantes exigences en matière de rapport aux organismes centraux, lesquelles exigences peuvent répondre aux besoins de la fonction de surveillance. Cependant, bon nombre de ces exigences ont été conçues dans le but de s’acquitter des obligations législatives et n’englobent pas toute la portée des politiques du Conseil du Trésor.

Comme elles sont menées par les autorités fonctionnelles, les activités de surveillance ne sont pas uniformes dans l’ensemble de CIC. Les exigences de surveillance concernant les secteurs d’autorité fonctionnelle et les ensembles de politiques n’ont pas été évaluées ni établies en fonction du risque. Les examens annuels du Cadre de responsabilisation de gestion (CRG) effectués par le Secrétariat du Conseil du Trésor sont perçus comme étant la principale source de surveillance pour de nombreuses activités de CIC. Toutefois, ces examens ne couvrent pas tous les secteurs stratégiques et ces derniers ne sont pas examinés chaque année. Tout comme pour le processus de gestion de la conformité susmentionné, si les exigences de surveillance ne sont pas fondées sur le risque ni normalisées dans l’ensemble du Ministère, la surveillance pourrait s’avérer insuffisante, ou beaucoup trop de ressources pourraient devoir être consacrées à une activité de surveillance.

Les exigences en matière de rendement en fonction de la conformité ne sont pas officialisées.

CIC dispose d’un programme rigoureux de planification et de reddition de comptes, mais ce programme ne comprend pas le rendement en fonction des exigences de surveillance. Bien que chaque titulaire de l’autorité fonctionnelle doive élaborer des jalons clés et rendre compte des progrès en fonction des objectifs, aucun programme officiel n’a été mis en place afin que le Ministère puisse surveiller la conformité aux politiques du Conseil du Trésor. Aucune documentation n’a été fournie pour démontrer que la gestion normalisée du rendement comprend des éléments touchant la conformité. S’il ne dispose pas d’un cadre de rendement officiel fondé sur le risque en matière de conformité, CIC ne sera pas en mesure de savoir si les efforts qu’il déploie pour atteindre ses objectifs ne seront pas aux dépens de ses obligations ou efficiences stratégiques.

Les enjeux ayant trait à la non-conformité sont traités de manière ponctuelle.

Des cas anecdotiques de résolution des cas de non-conformité ont été signalés, mais aucune approche normalisée n’est en place pour savoir, documentation à l’appui, si les réponses de la direction sont appliquées dans l’ensemble du Ministère. Comme nous l’avons mentionné plus haut, les secteurs stratégiques et domaines fonctionnels ne sont pas soumis à une évaluation du risque, ce qui pourrait se traduire par un processus informel de renvoi des cas de non-conformité. Un processus officiel de traitement des cas de non-conformité pourrait être inclus dans un cadre de surveillance axée sur le risque en matière de conformité.

Il est à noter que le Comité exécutif, après la période visée par la vérification, a approuvé l’Échelle commune d’incidence des risques, laquelle précise les seuils des niveaux d’incidence de la non-conformité devant faire l’objet d’un signalement à la haute direction. Le Ministère doit envisager des exigences en matière de contrôle et de rapports afin de s’assurer d’être en mesure de satisfaire aux exigences de l’Échelle commune d’incidence des risques, tel qu’il en est fait mention à la recommandation 1 ci-dessous.

Recommandation 1 (risque modéré)

CIC doit mettre au point un mécanisme de surveillance axée sur le risque pour la surveillance de la conformité aux exigences des politiques du Conseil du Trésor, comprenant la responsabilisation à l’égard de l’élaboration et de la mise en œuvre d’un cadre; le classement des risques et tolérance au risque en lien avec les politiques du Conseil du Trésor; la responsabilité à l’égard de la conformité aux exigences de chaque politique (y compris la responsabilité partagée, le cas échéant); la documentation des exigences pour appuyer les évaluations de la conformité; la surveillance des activités; et les exigences en matière de reddition de comptes, y compris l’établissement préalable de la fréquence de présentation des rapports.

Recommandation 2 (risque modéré)

CIC doit élaborer et mettre en œuvre des mesures afin de cerner les cas de non-conformité ainsi que rendre des comptes à ce sujet et sur la suffisance des mesures prises en cas de non-conformité aux exigences des politiques du Conseil du Trésor.

Annexe A – Critères détaillés de la vérification

La vérification visait à démontrer à la haute direction que des pratiques efficaces sont en place à Citoyenneté et Immigration Canada (CIC) aux fins de la gestion de la conformité aux exigences des politiques du Conseil du Trésor.

Secteurs d’intérêt CritèresNote de bas de page 2 ConclusionNote de bas de page 3

Gouvernance

Un mécanisme de surveillance existe pour veiller au respect de toutes les exigences des politiques pertinentes du Conseil du Trésor, conformément aux attentes des politiques du Conseil du Trésor.

1 – Une analyse a été menée pour cerner les politiques pertinentes pour CIC, et un cadre de surveillance approprié a été élaboré en fonction du risque. Problèmes modérés
2 – En ce qui a trait aux politiques pertinentes pour CIC, la responsabilité a été assignée et la gestion du rendement comprend des éléments liés à la conformité. Problèmes modérés
3 – Les résultats de la surveillance de la conformité aux politiques du Conseil du Trésor sont fiables et axés sur le risque, et sont communiqués aux titulaires de l’autorité fonctionnelle. Des mesures sont prises au besoin. Problèmes modérés
4 – CIC a mis en place des mesures pour veiller à ce que la non-conformité ainsi que la nature des conséquences et leur sévérité correspondent à la nature de la non-conformité. Problèmes modérés

Gestion des risques

Les politiques, les procédures et les pratiques de surveillance de CIC en lien avec les exigences des politiques du Conseil du Trésor ont été élaborées en tenant compte du risque.

5 – Les politiques et procédures de CIC sont à la mesure du risque associé à la non-conformité aux politiques du Conseil du Trésor. Problèmes modérés
6 – Les politiques et procédures favorisent un environnement propice à l’innovation et à la prise de risques éclairée. Problèmes modérés

Contrôles internes

Les processus, procédures et systèmes de surveillance des approbations de CIC cadrent avec les exigences des politiques du Conseil du Trésor.

7 – Les cadres de contrôle interne et les pratiques de gestion du Ministère ont été conçus de manière à être efficaces, transparents, faciles à comprendre et soutenus à CIC, et, le cas échéant, cadrent avec les exigences des politiques du Conseil du Trésor. Problèmes modérés
8 – Les employés ont été formés et ont accès à des possibilités de formation ainsi qu’aux renseignements pertinents afin d’accroître leur sensibilisation et leurs connaissances à l’égard des exigences des politiques applicables du Conseil du Trésor. Contrôlé

Définition des conclusions

Bien contrôlé
  • Bien géré, aucune faiblesse importante constatée
  • Efficace
Contrôlé
  • Bien géré, mais des améliorations mineures sont nécessaires
  • Efficace
Problèmes modérés

Certains problèmes modérés nécessitent l’attention de la direction (au moins un des deux critères suivants doit être rempli) :

  • faiblesses en matière de contrôle, mais l’exposition au risque est limitée, car la probabilité d’occurrence du risque n’est pas élevée;
  • il y a des faiblesses en matière de contrôle, mais l’exposition au risque est limitée, car l’incidence du risque n’est pas élevée.
Améliorations importantes requises

Des améliorations importantes doivent être apportées (au moins un des trois critères suivants doit être rempli) :

  • des redressements financiers importants s’imposent à l’égard de certains points ou secteurs pour le Ministère;
  • des faiblesses en matière de contrôle pourraient avoir des répercussions considérables si elles ne sont pas atténuées;
  • des faiblesses en matière de contrôles auxquelles est associée une probabilité élevée d’occurrence du risque.

Annexe B – Plan d’action de la direction

Recommandation Classement du risque Plan d’action Responsabilité Date cible

1. CIC doit mettre au point un mécanisme de surveillance axée sur le risque pour la surveillance de la conformité aux exigences des politiques du Conseil du Trésor, comprenant la responsabilisation à l’égard de l’élaboration et de la mise en œuvre d’un cadre; le classement des risques et tolérance au risque en lien avec les politiques du Conseil du Trésor; la responsabilité à l’égard de la conformité aux exigences de chaque politique (y compris la responsabilité partagée, le cas échéant); la documentation des exigences pour appuyer les évaluations de la conformité; la surveillance des activités; et les exigences en matière de reddition de comptes, y compris l’établissement préalable de la fréquence de présentation des rapports.

MODÉRÉ

  • Mobiliser la haute direction afin qu’elle établisse la portée et le niveau d’effort que CIC souhaite consacrer à l’établissement d’un cadre de surveillance axée sur le risque et de surveillance de la conformité aux exigences des politiques du Conseil du Trésor. Obtenir l’approbation du COMEX en ce qui a trait au mandat, aux rôles, aux responsabilités et aux ressources. (T4 2013-2014)
  • Conformément aux décisions du COMEX, élaborer et mettre en œuvre un plan d’action en vue de :
    1. mobiliser la collectivité fonctionnelle;
    2. revoir l’ensemble des politiques internes et du SCT, notamment la pertinence, les exigences, les responsabilités, les mécanismes de surveillance et de reddition de comptes en place, et les conséquences de la non-conformité, et cerner les lacunes;
    3. concevoir des outils d’évaluation du risque et mener une évaluation du risque de manière à classer le risque;
    4. concevoir une approche axée sur le risque afin de surveiller la conformité et rendre des comptes à ce sujet. (T2 2014-2015)

DGAC

T2 2014-2015

2. CIC doit élaborer et mettre en œuvre des mesures afin de cerner les cas de non-conformité ainsi que rendre des comptes à ce sujet et sur la suffisance des mesures prises en cas de non-conformité aux exigences des politiques du Conseil du Trésor.

MODÉRÉ

  • Conformément aux décisions du COMEX, élaborer et mettre en œuvre une approche axée sur le risque de manière à cerner les cas de non-conformité et à rendre des comptes à ce sujet, en mobilisant les titulaires de l'autorité fonctionnelle afin qu’ils :
    1. examinent les cas de non-conformité recensés dans le passé;
    2. classent, pour chacune des politiques, les conséquences de la non-conformité en fonction du risque;
    3. élaborent et mettent en œuvre une approche axée sur le risque aux fins de la surveillance de la conformité;
    4. établissent et mettent en œuvre un échéancier pour la présentation des rapports sur la conformité à la haute direction, y compris la suffisance des mesures prises dans les cas de non-conformité.

DGAC

T4 2014-2015

Annexe C – Liens vers les cadres, politiques, directives et normes applicables

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :