Archivé - Audit du Programme de planification de la continuité des activités

Approuvé par le sous-ministre des Finances sur la recommandation du Comité de vérification

29 août 2016

Préparé par
Vérification interne
Ministère des Finances du Canada

Sommaire

Contexte

Objectif de l’audit

Portée de l’audit

Critères de l’audit

Énoncé de conformité et approche de l’audit

Conclusion

Constatations de l’audit

Recommandations, réponse de la direction et plan d’action

La Norme de sécurité opérationnelle du Conseil du Trésor, en particulier le Programme de planification de la continuité des activités (PCA), exige des ministères qu’ils fournissent une disponibilité continue des services qui sont critiques à la santé, la sûreté, la sécurité, au bien-être économique des Canadiens, ou au bon fonctionnement du gouvernement.

La Politique sur la sécurité du gouvernement définit la planification de la continuité des activités comme « [l’]élaboration et [l’]exécution en temps opportun de plans, de mesures, de procédures et de dispositions afin d’éviter ou de minimiser toute interruption de la disponibilité des services et des biens critiques ».

Le ministère des Finances du Canada fournit la prestation de quatre services critiques :

L’analyse ministérielle et la planification pour la continuité des activités sont supposées inclure les répercussions de l’interruption des services, une évaluation et une priorisation des services considérés pour reprise, et les options de reprise pour les services en question. À Finances Canada, le Programme de planification pour la continuité des activités (PCA) comprend une PCA ministérielle ainsi que 14 tableaux sur l’analyse des répercussions et la planification de la continuité des opérations des directions et des services ministérielles (Tableaux).

Une fois l’activation de la PCA ministérielle, le Comité exécutif a pour mission de décider qui lancer parmi les nombreuses équipes décrits dans les 14 Tableaux.

L’objectif de l’audit était de fournir une assurance raisonnable que le ministère a établi un Programme de PCA qui épaule la disponibilité continue de ses services critiques et des biens connexes.

L’audit a conclu que le ministère a mis en place une PCA qui aide à la disponibilité continue de certains de ses services critiques. Des améliorations sont requises dans le développement des planifications et pour la mise à l’essai de certains services critiques.

Le rapport fournit les recommandations suivantes :

  1. Les sous-ministres adjoints (SMA) participant à la prestation des quatre services critiques du ministère, en collaboration avec l’agent de sécurité du ministère (ASM), doivent élaborer des Tableaux consolidés pour chacun des quatre services critiques.
  2. Le Comité exécutif, chaque année, devrait examiner les Tableaux consolidés qui ont été examinés et évalués par l’ASM, pour s’assurer qu’ils appuient les priorités du ministère pour la reprise et la prestation de services critiques.
  3. Le SMA de la Direction des services ministériels, en collaboration avec les SMA participants dans la prestation des quatre services critiques du ministère, doit mener des essais annuels des services critiques du ministère.

L’audit du Programme de planification de la continuité des activités (PCA) a été autorisé dans le cadre du Plan de vérification interne du ministère des Finances du Canada de 2015-2018 qui a été approuvé par le sous-ministre adjoint le 11 décembre 2015.

La Loi sur la gestion des urgences définit les responsabilités de chaque ministre dans le domaine de la gestion des urgences. Les ministres doivent identifier les risques dans leur domaine de responsabilité, y compris ceux liés à l’infrastructure indispensable, et il est exigé d’eux qu’ils préparent des plans de gestion des urgences à l’égard de ces risques, maintenir, mettre à l’essai et mettre en œuvre les plans, et mener des exercices et des formations pour les plans.

La Politique sur la sécurité du gouvernement du Conseil du Trésor et le « Programme de planification de la continuité des activités (NSO-PPCO) » qui s’y rattache fournissent une orientation et des directives aux ministères dans la mise en place d’un Programme de PCA. La Politique sur la sécurité du gouvernement définit la continuité de la planification des activités comme « [l’]élaboration et [l’]exécution en temps opportun de plans, de mesures, de procédures et de dispositions afin d’éviter ou de minimiser toute interruption de la disponibilité des services et des biens critiques ». La Politique sur la sécurité du gouvernement définit les services critiques comme suit : « services dont la compromission, du point de vue de la disponibilité ou de l’intégrité, porterait un préjudice élevé à la santé, la sûreté, la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada ».

Le NSO-PPCO identifie quatre éléments clés d’un Programme de PCA :

Les sous-ministres adjoints (SMA) sont responsables de l’élaboration et de la tenue à jour de leurs analyses des répercussions sur les activités et des Tableaux sur la planification de la continuité des activités (Tableaux) ainsi que de la mise à l’essai de leurs services critiques. Le Comité exécutif, qui comprend le sous-ministre et les sous-ministres adjoints, approuve la politique du Programme de PCA ministérielle ainsi que les arrangements connexes. Le SMA de la Direction des services ministériels dirige au moyen du Bureau de la PCA la conception, la tenue à jour, et l’évaluation permanente ainsi que la mise à l’essai de la PCA ministérielle. L’agent de sécurité ministériel est responsable du Bureau de la PCA. L’agent ministériel de la sécurité adjoint au Bureau de la PCA gère les opérations journalières du Programme de PCA.

Le Programme de PCA ministériel comprend une PCA ministérielle et 14 Tableaux provenant des directions et du niveau des services ministériels. Une fois l’activation de la PCA, le Comité exécutif a pour mission de décider qui activer parmi les nombreuses équipes de la continuité des niveaux de services ministériels du ministère dans les 14 Tableaux.

Il est exigé des 14 Tableaux qu’ils abordent :

Le Comité exécutif du ministère a déterminé que le ministère des Finances du Canada fournit la prestation de quatre services critiques :

Paiements de transfert à grande valeur
Les transferts à grande valeur aux gouvernements provinciaux, territoriaux et autochtones pour respecter les obligations fédérales sociales et celles ayant trait à la santé, à la péréquation et aux paiements fiscaux.

Coordination primaire du secteur financier
Assurer la liaison avec les organismes et associations du secteur financier et coordonner les opérations avec eux, informer le ministre et rédiger des messages destinés au public. Obtenir l'approbation pour les opérations des institutions financières et pour les opérations d'emprunt de la Banque du Canada. Appuyer les réserves de change, la gestion des liquidités et les programmes d'emprunt de l'État.

Leadership économique international
Surveiller l’intervention canadienne pour les crises internationales et assurer le leadership dans ces situations, notamment les interventions au G7, au G8 et au G20 ainsi qu’aux événements liés au Fonds monétaire international.

Préparation du budget fédéral
Préparation et coordination du budget et des opérations connexes.

Le ministère a un « centre de relève immédiate » consacré, doté de 17 stations de travail et un espace pour des réunions. Un « centre de relève immédiate » est un emplacement hors site qui permet à une organisation de reprendre ses opérations.

Fournir une assurance raisonnable que le ministère a établi un Programme de PCA qui soutient la disponibilité continue de ses services critiques et essentiels ainsi que des biens connexes.

La portée de l’audit a couvert les opérations ministérielles liées au Programme de PCA en place depuis janvier 2016. La portée a considéré les liens entre le PCA et le plan de continuité de la technologie de l’information, ainsi que les arrangements en place pour les dépendances internes et externes.

  1. Des processus ministériels sont en place pour l’élaboration et la mise à jour des Tableaux et des arrangements.
  2. Un cadre de gouvernance pour le Programme de PCA est en place, y compris une politique de PCA ministérielle qui est harmonisée au NSO-PPCO, des rôles et des responsabilités claires, et des processus pour surveiller et superviser le programme.
  3. Les préparatifs du Programme de PCA sont soutenus au moyen de révisions de plans permanents, de mises à l’essai et des validations de plans comprenant des leçons apprises, et des formations et de la sensibilisation, le tout de façon régulière.

L’audit a été réalisé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, selon les résultats du Programme d’assurance et d’amélioration de la qualité.

L’audit a été planifié et exécuté de manière à obtenir l’assurance raisonnable que l’objectif de l’audit a été atteint. Une évaluation des risques a été effectuée au début de l’audit pour établir les critères de l’audit qui ont été acceptés par la direction. Les résultats de l’audit reposent sur une comparaison des conditions en place au moment de l’audit selon les critères de l’audit.

Les procédures de vérification comprennent :

L’audit a conclu que le ministère a mis en place une PCA qui aide à la disponibilité continue de certains de ses services critiques. Des améliorations sont requises dans le développement des planifications et pour la mise à l’essai de certains services critiques.

L’équipe d’audit s’attendait à ce que le ministère ait mené une analyse des répercussions sur les opérations pour évaluer l’ampleur des interruptions, puis évaluer et prioriser les services considérés pour reprise. Nous attendions qu’en fonction de cette analyse, un plan de continuité des activités soit conçu, un qui contiendrait des options de reprise pour les services critiques du ministère.

L’équipe d’audit a constaté que bien que le ministère ait conçu une PCA ministérielle, les plans pour la continuité de ses services critiques et essentiels sont contenus dans les 14 Tableaux des directions et du niveau des services ministériels. L’équipe d’audit a examiné les 14 Tableaux pour évaluer la façon dont le ministère a établi :

L’équipe d’audit a constaté que l’analyse et les options de reprises pour les quatre services critiques étaient dispersées dans 10 des 14 Tableaux, où on s’attendait à ce que plusieurs directions fournissent des plans pour les mêmes services critiques. De façon collective, les Tableaux ne contenaient pas les informations attendues et n’étaient pas cohérentes pour 2 des 4 services critiques. Les observations sur les 4 services critiques sont les suivantes :

Ce service critique de l’exécution de paiements de transfert à grande valeur est fourni par la division de la gestion financière, en utilisant des montants déterminés dans quatre autres directions (Direction des relations fédérales-provinciales et de la politique sociale; Direction de la politique du secteur financier; Direction des finances et des échanges internationaux et Direction de la politique de l’impôt). L’équipe d’audit a constaté que le ministère a développé le niveau d’analyse et les options de reprise attendues pour la continuité des paiements de transfert à grande valeur. Des PE ont été mis en place et plusieurs bureaux sont disponibles pour assurer la continuité de ces paiements. Il a été constaté que ces plans étaient bien connus des personnes interrogées par l’équipe d’audit. Cependant, les options d’analyse et de reprise n’ont pas été expliquées dans la version le plus récent du Tableau du directorat de la gestion financière.

La fourniture de ce service critique est principalement contenue au sein de la direction de la politique du secteur financier. L’audit a constaté que cette direction a développé l’analyse et les options de reprise attendues pour ce service critique. En plus de leur Tableau, la direction a établi d’autres documents clés de la PCA, notamment un PE avec un autre ministère, et un « Livre rouge » contenant des renseignements plus étendus sur les organisations externes impliquées dans le leadership du secteur financier. L’équipe d’audit a constaté que c’était des pratiques exemplaires. Cependant, des copies de ces documents n’ont pas été conservées par le Bureau de la PCA. L’équipe d’audit s’attendait à ce que le Bureau de la PCA conserve tous les documents de la PCA liés aux services critiques du ministère dans le cadre de son rôle dans la coordination et la mise en place de la PCA et des efforts de reprise.

Presque toutes les directions ministérielles ont des responsabilités pour la prestation de services liés à la préparation et à la livraison du budget fédéral. L’audit a constaté que la plupart des directions n’avait pas fourni l‘analyse et les options de reprise attendues dans leurs Tableaux. Par exemple, la direction responsable pour la préparation du budget fédéral n’a pas fourni d’options de reprise, alors qu’une autre direction a indiqué qu’elle se reposerait sur les options de reprise de la première direction mentionnée. Les directions qui ont fourni une analyse et des options de reprise n’étaient pas intégrées les unes dans les autres.

Les entretiens avec les auteurs des divers Tableaux ont indiqué que les options de reprise étaient les suivantes :

L’équipe d’audit s’attendait à ce que l’analyse et les options de reprise aient été coordonnées entre les directions responsables de la préparation et de la livraison du budget fédéral et documentées dans les Tableaux.

La prestation de ce service critique est contenue principalement dans trois directions (la Direction des finances et des échanges internationaux, la Direction des politiques économique et budgétaire, et la Direction des consultations et des communications). L’audit a constaté qu’une des trois directions n’avait pas fourni d’options de reprise. Deux directions n’avaient pas déterminé les répercussions d’une interruption de service.

Le programme de la PCA ministérielle a aussi des attentes vagues quant à la reprise des opérations en dehors de ses bureaux au 90, rue Elgin. La PCA ministérielle du ministère s’attend à ce que dès son activation les équipes de la continuité de la direction requises feront un rapport au centre de rélève immédiate, comme il l’a été déterminé par le Comité exécutif. Cependant, la plupart des Tableaux indiquent que les employés vont se connecter à distance.

Le ministère fait face à certaines limitations en termes de capacité pour la reprise des opérations en dehors du ses bureaux au 90, rue Elgin. Il y a 17 stations de travail au centre de rélève immédiate à l’heure actuelle, cependant, les 14 Tableaux identifient collectivement 209 employés en tant qu’utilisateurs potentiels du centre de rélève immédiate. Nous avons aussi remarqué que seulement 210 des 739 employés peuvent être connectés à distance en même temps au réseau séparé du ministère.

Ainsi qu’il l’a été mentionné précédemment, la prestation de trois des quatre services critiques requiert un effort important de la part de plusieurs directions. En conséquence, une approche où les directions impliquées collaborent à concevoir un Tableau consolidé pour chacun des services critiques demandant un effort de la part de plusieurs directions fournirait une priorisation des services intégrée et cohérente à reprendre, et des options de reprise à considérer en fonction de la capacité disponible du ministère.

Le Bureau de la PCA a indiqué qu’il a l’intention de commencer à examiner et à évaluer les renseignements contenus dans les 14 Tableaux à la suite des mises à jour attendues à la fin 2016-2017.

1. Les sous-ministres adjoints (SMA) participant à la prestation des quatre services critiques du ministère, en collaboration avec l’agent de sécurité ministériel (ASM), doivent élaborer des Tableaux consolidés pour chacun des quatre services critiques.

L’audit s’attendait à ce que les cadres supérieurs aient été impliqués dans l’approbation d’analyses et de plans appropriés pour la continuité et la reprise de services critiques et essentiels.

Nous avons trouvé que la plupart des Tableaux avaient été approuvés par les SMA, cependant, ainsi qu’il l’a été mentionné plus haut, plusieurs de ces documents ne sont pas cohérents ou n’avaient pas les analyses et les options de reprise requises. Certaines des autres Tableaux ont aussi priorisé la reprise des services dans des façons qui n’étaient pas harmonisées avec les attentes quant aux risques et au temps d’arrêt maximal admissible du ministère.

Il a été constaté que les modèles de la PCA étaient très bien harmonisés avec les attentes NSO-PPCO. Cependant, l’audit a constaté que d’autres documents de la planification de contingence ministériels ont été créés sans l’utilisation d’un modèle et disposaient d’une meilleure analyse. Ces documents de planification de la contingence fournissaient aux cadres supérieurs de meilleures expressions sur les dépendances actuelles de la TI du ministère, des exigences au travail en face à face, et des options pour la priorisation des services.

NSO-PPCO indique que l’appui des cadres supérieurs est indispensable pour examiner les PCA et les opérations de façon régulière. Étant donné la dépendance du ministère sur l’environnement évolutif de la TI, le maintien constant des Tableaux pour saisir les répercussions de ces changements est important.

La politique de la PCA ministérielle indique que le Comité exécutif est responsable de l’approbation de la PCA ministérielle et des arrangements connexes. Le Comité exécutif a aussi des responsabilités quant à la fourniture de la coordination générale de la réponse du ministère par rapport à la reprise des opérations, y compris de la décision sur les équipes à activer décrites dans les 14 Tableaux. Le Bureau de la PCA, lequel est géré par l’agent de sécurité ministériel, a indiqué qu’il commencerait à examiner et à évaluer les Tableaux en 2016-2017. Le Comité exécutif devrait examiner ces Tableaux validés récemment pour assurer qu’ils sont cohésifs et qu’ils reflètent les priorités du ministère pour la reprise et la prestation de services critiques et essentiels. Dans le cadre de la maintenance permanente du programme de la PCA, le Comité exécutif devrait continuer à examiner les Tableaux validés pour s’assurer qu’ils reflètent ces priorités dans un environnement en évolution.

2. Le Comité exécutif devrait examiner les Tableaux consolidés qui ont été examinés et évalués par l’agent de sécurité ministériel annuellement pour s’assurer qu’ils appuient les priorités du ministère pour la reprise et la prestation de services critiques.

NSO-PPCO exige que les cadres supérieurs fassent des essais de la planification de la continuité des activités régulièrement et la politique de la PCA ministérielle exige que le Comité fasse un essai annuellement. Dans le plan d’action de la gestion de l’audit interne de la PCA de 2012, le ministère s’est engagé à achever les exercices exécutifs annuels de table de la PCA, conjointement avec les essais additionnels en cours sur la prestation des quatre services critiques.

L’équipe d’audit a mené des essais au centre de rélève immédiate et a constaté que la TI disponible et les appareils de communication fonctionnaient comme prévu et que les logiciels attendus étaient disponibles sur les appareils attendus. Depuis 2012, les essais se sont déroulés au moins une fois par an pour les paiements de transfert à grande valeur ainsi que pour la mise à l’essai des transactions associées avec les réserves étrangères, la gestion des liquidités, et les programmes d’emprunt de l’État. Cependant, la mise à l’essai pour les trois autres services critiques a été limitée.

Les exercices exécutifs de table de la PCA se sont déroulés en décembre 2012 et en janvier 2014.

La mise à l’essai au niveau de la direction a elle aussi été limitée. L’équipe d’audit est au fait de seulement trois mises à l’essai des directions depuis 2012.

Étant donné que le ministère fonctionne dans un seul bâtiment, avec des bureaux alternatifs et une connectivité à distance limitée, ainsi que le travail important entrepris pour livrer le budget fédéral, l’équipe d’audit encourage une mise à l’essai importante des quatre services critiques, y compris la prise de décisions sur la priorisation des services.

3. Le SMA de la Direction des services ministériels, en collaboration avec les SMA participants dans la prestation des quatre services critiques du ministère, doit mener des essais annuels des services critiques du ministère.

Recommandations, réponse de la direction et plan d'action

Recommandations Réponse de la direction et plan d’action
1. Les sous-ministres adjoints (SMA) participant à la prestation des quatre services critiques du ministère, en collaboration avec l'agent de sécurité ministériel (ASM), doivent élaborer des Tableaux consolidés pour chacun des quatre services critiques.

Réponse de la direction :
D'accord. Les SMA de la Direction des politiques économique et budgétaire (DPEB), de la Direction des finances et des échanges internationaux (DFEI), de la Direction de la politique du secteur financier (DPSF) et le dirigeant principal des finances (DPF) élaboreront des Tableaux consolidés pour chacun des quatre services critiques : préparation du budget fédéral, leadership économique international, coordination principale du secteur financier et paiements de transfert à grande valeur.

Plan d’action :
Des Tableaux consolidés seront élaborés; ils contiendront une d'analyse des répercussions sur les opérations des interruptions aux services critiques, une évaluation et la priorisation des services considérés pour reprise, et les plans de la continuité des opérations, y compris les options de reprise. Les SMA de la DPEB, de la DFEI, de la DPSF et le DPF, avec l'ASM, assureront la coordination avec toutes les directions participant à la prestation de ces services pour s'assurer que les Tableaux sont complets et que les options de reprise sont conformes aux contraintes de capacité du ministère.

Responsable :
SMA de la DPEB, de la DFEI, de la DPSF, ainsi que le DPF

Date cible :
Le 31 octobre 2016

2. Le Comité exécutif devrait examiner annuellement les Tableaux consolidés qui ont été examinés et évalués par l'ASM pour s'assurer qu'ils appuient les priorités du ministère pour la reprise et la prestation de services critiques.

Réponse de la direction :
D'accord. Le coordonnateur ministériel de la PCA examinera et évaluera annuellement les Tableaux consolidés pour chacun des quatre services critiques en vue de s'assurer qu'ils appuient les priorités ministérielles pour la reprise et la prestation de services critiques. Le SMA de la Direction des services ministériels communiquera annuellement ces Tableaux consolidés au Comité exécutif aux fins d'examen.

Plan d’action :
Le coordonnateur ministériel de la PCA examinera les Tableaux consolidés pour s'assurer que les stratégies de reprise documentées comportent des instructions de reprise détaillées et qu'elles appuient les priorités ministérielles pour la reprise et la prestation de services critiques. Ces Tableaux additionnels seront mises à jour annuellement (à l'automne), pour correspondre avec l'horaire de mise à jour d'autres Tableaux de directions. Le groupe ministériel de la PCA travaillera avec les membres du groupe de travail sur la PCA pour s'assurer que tout écart relevé dans les Tableaux est abordé. Le SMA de la Direction des services ministériels communiquera annuellement en décembre ces Tableaux consolidés au Comité exécutif aux fins d'examen.

Responsables :
Agent de sécurité ministériel

Date cible :
Le 31 décembre 2016

3. Le SMA de la Direction des services ministériels, en collaboration avec les SMA participants dans la prestation des quatre services critiques du ministère, doit mener des essais annuels des services critiques du ministère.

Réponse de la direction :
D'accord. Le coordonnateur ministériel de la PCA, au nom du SMA de la Direction des services ministériels, doit s'assurer qu'au minimum quatre essais coordonnés (un par service critique) soient organisés annuellement.

Plan d’action :
Quatre essais coordonnés seront intégrés aux événements et aux points de sensibilisation annuels au calendrier des Services de sécurité et ils seront exécutés en dehors des périodes de pointe de travail du ministère pour évaluer les niveaux d'états de préparation, et pour s'assurer que les priorités de reprise ministérielles sont respectées. Les essais seront effectués en collaboration avec les SMA participants dans la prestation des quatre services critiques du ministère. Les méthodes des essais (comme les exercices de table, les essais d'applications critiques, les essais de l'état de préparation de bureaux de rechange, ainsi que les essais et les examens des outils ministériels de la PCA) seront sélectionnés pour correspondre au service évalué.

Responsables :
Agent de sécurité ministériel

Date cible :
D'ici la fin de l'exercice 2017-2018

Détails de la page

Date de modification :