Audit interne du processus d'enquête de sécurité sur le personnel - Rapport d'audit interne
Présenté par la Direction de la vérification interne
Le 26 septembre 2023
Table des matières
- Résumé
- Contexte
- Objectif, portée, critères et approche de l'audit
- Opinion globale et déclaration de conformité
- Résumé des constatations
- Réponse de la direction et plans d'action
- Annexe A – Résultats des tests de conformité
- Annexe B – Stratégie d'échantillonnage
- Annexe C – Renseignements clés examinés
- Annexe D – Méthodologie de classement des risques
Résumé
L'audit du processus d'enquête de sécurité sur le personnel a été autorisé dans le cadre du Plan d'audit axé sur les risques 2022-2023 du ministère des Finances Canada (le Ministère), qui a été approuvé par le sous-ministre le 29 juin 2022.
Ce que nous avons examiné
Cet audit visait à fournir une assurance raisonnable que les contrôles internes du processus d'enquête de sécurité sur le personnel du Ministère sont efficaces et efficients, et que le processus est conforme aux politiques applicables.
Pourquoi c'est important
Les membres du personnel du Ministère sont tenus d'accéder à des renseignements de nature délicate pour effectuer leur travail consistant à fournir des analyses stratégiques et des conseils à la ministre des Finances. Un filtrage de sécurité efficace du personnel peut fournir une assurance raisonnable que des membres du personnel fiables protègent les informations, les biens et les installations du gouvernement et s'acquittent de leurs fonctions de manière digne de confiance.
Ce que nous avons découvert
Jusqu'à l'octroi d'une habilitation (autorisation) de sécurité, le Ministère dispose de contrôles efficaces pour le processus d'enquête de sécurité sur le personnel. Toutefois, d'importantes lacunes en matière de contrôle ont été repérées concernant la clôture du processus.
Des points à améliorer ont été repérés en ce qui concerne le rendement global du processus d'enquête de sécurité sur le personnel. Compte tenu du contexte imposant le travail à distance, des retards de traitement des autres organisations impliquées et des ressources actuellement affectées au processus, ces constatations ne sont pas inattendues.
De plus, le processus d'enquête de sécurité sur le personnel du Ministère n'est pas conforme à certaines exigences applicables issues de l'ensemble des politiques du Conseil du Trésor. Actuellement, le Ministère ne dispose d'aucun Plan de sécurité ministériel et d'aucun instrument de délégation de sécurité.
Le tableau suivant résume les constatations générales et les risques connexes pour le Ministère :
Constatations générales | Risque | Exigence de la politique (Oui/Non) |
---|---|---|
Le Ministère n'a actuellement aucun Plan de sécurité ministériel. | Élevé | Oui |
Le Ministère ne dispose actuellement d'aucun instrument de délégation de sécurité pour documenter les pouvoirs décisionnels. | Moyen | Oui |
Aucun suivi n'est actuellement effectué pour garantir que tous les membres du personnel ont assisté au breffage obligatoire sur la sécurité du Ministère. | Moyen | Oui |
Les certificats de sécurité (formulaire 330-47 du SCT) n'étaient généralement pas signés en temps opportun ou n'étaient pas signés du tout. | Moyen | Oui |
Les notifications au Service canadien du renseignement de sécurité (SCRS) concernant l'état des habilitations de sécurité délivrées n'ont généralement pas été envoyées en temps opportun ou n'ont pas été envoyées du tout. | Moyen | Oui |
Aucun breffage de sécurité de départ n'est effectué pour les membres du personnel qui quittent le Ministère. | Moyen | Oui |
Le processus d'enquête de sécurité est actuellement fondé sur le papier, ce qui a entraîné un important arriéré de dossiers en attente de traitement pendant la période de travail à distance causée par la pandémie de COVID-19. | Moyen | Non |
Les dossiers de sécurité en cas de mutation d'arrivée de membres du personnel provenant de d'autres ministères n'ont soit jamais été reçus par le Ministère, ont été reçus bien après la date demandée, ou ils étaient incomplets. Cependant, l'équipe d'audit a pu confirmer que les membres du personnel détenaient une habilitation de sécurité valide. | Moyen | Non |
Les agents de sécurité du personnel disposent de listes de contrôle pour garantir l'exhaustivité des dossiers, mais ne les utilisent pas efficacement. | Moyen | Non |
Il y a peu de communications avec les gestionnaires et les membres du personnel pour leur rappeler de leurs responsabilités en matière de sécurité. | Moyen | Non |
La Politique ministérielle sur la sécurité a été révisée pour la dernière fois en 2011 et contient des renseignements désuets. | Moyen | Non |
Les agents de sécurité du personnel consacrent beaucoup de temps à la saisie manuelle des données. | Faible | Non |
Une entente est en place avec le SCRS pour donner la priorité aux évaluations de sécurité des candidats embauchés dans le cadre des processus de recrutement universitaire et du Programme avancé pour les analystes de politiques (PAAP). Cette entente n'est pas formellement documentée. | Faible | Non |
Le principal groupe de discussion du Ministère chargé d'évoquer les questions de nature délicate liées à la sécurité a cessé de se réunir. Les réunions entre les principaux responsables de la sécurité du Ministère se déroulent actuellement de manière informelle. | Faible | Non |
Dirigeante principale de la vérification par intérim
Contexte
Au sein du ministère des Finances Canada (le Ministère), les membres du personnel sont tenus d'accéder à des renseignements protégés ou classifiés pour effectuer leur travail visant à fournir des analyses stratégiques et des conseils à la ministre des Finances. Afin de réduire le risque que des renseignements protégés ou classifiés soient consultés, utilisés ou diffusés de manière inappropriée, le gouvernement du Canada a mis en place des contrôles et des politiques de sécurité, y compris des politiques liées au filtrage de sécurité du personnel.
Le filtrage de sécurité du personnel nécessite la collecte de renseignements personnels auprès de particuliers avec leur consentement éclairé, ainsi que des renseignements auprès de sources de renseignements et de responsables de l'exécution de la loi, de même que d'autres sources et méthodes pour évaluer la fiabilité d'un particulier et sa loyauté envers le Canada. Un filtrage de sécurité efficace du personnel peut fournir une assurance raisonnable que des membres du personnel fiables protègent les informations, les biens et les installations du gouvernement et s'acquittent de leurs fonctions de manière digne de confiance.
La gestion de filtrage de sécurité du personnel est principalement régie par la Politique sur la sécurité du gouvernement, la Directive sur la gestion de la sécurité et la Norme sur le filtrage de sécurité (la Norme). L'objectif de la Norme est de veiller à ce que le filtrage de sécurité au sein du gouvernement du Canada est effectué de manière efficace, efficient, rigoureux, uniforme et équitable afin de fournir une assurance raisonnable que des personnes fiables protègent les informations et les biens du gouvernement et s'acquittent de leurs fonctions de manière digne de confiance, ainsi que pour permettre une transférabilité accrue du filtrage de sécurité entre ministères et organismes.
La Norme définit également le niveau du filtrage de sécurité et autorisations d'accès qui suit :
- La cote de fiabilité est la norme minimale de filtrage de sécurité pour les postes dont les titulaires doivent avoir un accès non supervisé à des informations, à des biens, et à des installations protégés du gouvernement du Canada ou à ses systèmes de technologie de l'information (TI).
- L'autorisation de niveau Secret est la norme de filtrage de sécurité pour tous les postes qui requièrent un accès à des informations, des biens, des installations ou des systèmes de TI du gouvernement du Canada désignés secrets.
- L'autorisation de niveau Très secret est effectué à l'égard des postes qui nécessitent un accès à des informations, des biens, des installations ou des systèmes de TI très secrets du gouvernement du Canada.
Compte tenu de la nature délicate des renseignements au sein du Ministère, tous les membres de son personnel doivent détenir au minimum une autorisation de niveau Secret.
Au sein du Ministère, la sous-ministre adjointe de la Direction des services ministériels (DSM) a été désignée comme dirigeante principale de la sécurité du Ministère. La Division des services de sécurité, au sein de la Direction des ressources humaines et de la sécurité de la DSM, est responsable du processus d'enquête de sécurité sur le personnel. De plus, la Division des services de sécurité est responsable de la gestion des incidents liés à la sécurité, de la gestion des situations d'urgence, de la sécurité ministérielle, de la sécurité matérielle, de la gestion des événements de sécurité, de la planification de la continuité des activités et de la sécurité des contrats et autres dispositions. Au moment de l'audit, l'équipe de la Division des services de sécurité était composée de cinq (5) équivalent temps plein (ETP), dont un (1) ETP dédié à temps plein au filtrage de sécurité du personnel.
Les ministères gouvernementaux suivants jouent également un rôle dans le processus d'enquête de sécurité :
- Le programme de filtrage de sécurité du gouvernement du Service canadien du renseignement de sécurité (SCRS) enquête et fournit des évaluations de sécurité sur les personnes nécessitant une habilitation de sécurité de niveau Secret ou Très secret dans le cadre de leur emploi.
- La Gendarmerie royale du Canada (GRC) est chargée d'effectuer la partie de la vérification du casier judiciaire du filtrage de sécurité du personnel.
Objectif, portée, critères et approche de l'audit
Objectif et portée de l'audit
Objectif de l'audit :
- Cette mission d'audit visait à fournir une assurance raisonnable que les contrôles internes du processus d'enquête de sécurité sur le personnel du ministère des Finances Canada (le Ministère) sont efficaces et efficients, et que le processus est conforme aux politiques applicables.
Portée de l'audit :
- La portée de l'audit comprenait une évaluation des contrôles clés relatifs au processus d'enquête de sécurité sur le personnel, ainsi qu'un examen des opérations de filtrage de sécurité du personnel (affectation, renouvellement et révocation des habilitations de sécurité) entre le 1er avril 2019 et le 30 septembre 2022.
-
Étaient exclus de la portée :
- Processus pour les cotes d'accès aux sites, utilisés pour les particuliers qui ne sont pas employés du gouvernement qui ne requièrent pas un accès à des informations de nature délicate, mais requièrent un accès à des installations à accès protégé ou restreint.
- Parties du processus d'enquête de sécurité sur le personnel qui appartiennent à d'autres organisations fédérales (par exemple, au Service canadien du renseignement de sécurité et à la Gendarmerie royale du Canada )
- Autres contrôles préventifs, de détection ou correctifs faisant partie d'un Programme de gestion des risques internes.Footnote 1
- L'efficience et l'efficacité des processus de dotation des ressources humaines du Ministère.
- L'évaluation de la conformité aux exigences de l'ensemble des politiques non liées au filtrage de sécurité du personnel.
Critères d'audit
Critère 1 : Les contrôles internes du processus d'enquête de sécurité sur le personnel du Ministère sont efficaces et conformes à la Politique sur la sécurité du gouvernement du Conseil du Trésor (CT), à la Directive sur la gestion de la sécurité et à la Norme sur le filtrage de sécurité.
Critère 2 : Les filtrages de sécurité du personnel sont traités de manière efficace et efficiente.
Approche de l'audit
En effectuant cet audit, nous avons :
- Examiné les documents pertinents tels que la législation, les politiques et les orientations, les ententes administratives et les orientations ministérielles.
- Interrogé du personnel de la Direction des services ministériels.
- Déterminé les contrôles clés et élaboré des schémas de processus.
- Mis à l'essai un échantillon discrétionnaire de 46 dossiers de sécurité du personnel tirés de la période examinée pour évaluer leur conformité aux lois, politiques et directives pertinentes.
- Effectué des analyses comparatives avec d'autres ministères et organismes fédéraux.
Opinion globale et énoncé de conformité
Opinion globale
Des procédures suffisantes et appropriées ont été effectuées et des éléments probants ont été recueillis en vue de soutenir l'exactitude de la conclusion de l'audit. Les constatations et les conclusions observées dans cet audit sont fondées sur une comparaison des conditions qui existaient au moment de la mission par rapport aux critères préétablis ayant été approuvés par la haute gestion.
Les constatations et les conclusions s'appliquent uniquement aux entités examinées ainsi qu'à la portée et de la période couvertes par l'audit.
Énoncé de conformité
L'audit a été menée conformément aux Normes internationales pour la pratique professionnelle de l'audit interne, comme l'attestent les résultats du programme d'assurance de la qualité et d'amélioration.
Résumé des constatations
Principales constatations – Remarque
Compte tenu des ressources actuelles de la Division des services de sécurité affectées au processus d'enquête de sécurité sur le personnel, l'équipe d'audit interne a émis une recommandation officielle concernant les constatations de non-conformité à la politique. Lorsqu'une recommandation formelle a été formulée, la direction a élaboré un Plan d'action de la direction (PAD). La Direction de la vérification interne (DVI) assurera le suivi de ces PAD pour s'assurer qu'ils ont été mis en œuvre.
La DVI n'effectuera pas de suivi sur les points à améliorer qui concernent l'efficience et l'efficacité globales du processus, car il incombe à la direction de gérer les risques dans ces domaines.
Principales constatations – Critère 1
Nous nous attendions à constater que les contrôles internes du processus d'enquête de sécurité sur le personnel du ministère des Finances Canada (le Ministère) sont efficaces et conformes à la Politique sur la sécurité du gouvernement du Conseil du Trésor (CT), à la Directive sur la gestion de la sécurité et à la Norme sur le filtrage de sécurité
L'équipe d'audit interne a constaté que les trois (3) vérifications majeures qui ont lieu lors du filtrage de sécurité (vérification du casier judiciaire, vérification de crédit et évaluation de la sécurité par le SCRS) ont été effectuées 100 % du temps dans les dossiers passés en revue. L'équipe d'audit interne a également constaté que lorsque des renseignements défavorablesFootnote 2 étaient découverts ou que des renseignements étaient incomplets, des processus étaient en place pour mener des entrevues sur la sécurité lorsque cela était nécessaire ou pour obtenir les renseignements manquants. Le tableau suivant présente les constatations ainsi que les recommandations pour l'action de la direction :
Constatations | Recommandation | Risque |
---|---|---|
Le sous-ministre (SM) est responsable d'approuver et de passer en revue chaque année un plan de sécurité ministériel triennal qui décrit comment le ministère sera en mesure de satisfaire aux exigences en matière de sécurité, de même que d'appuyer les priorités pangouvernementales en matière de sécurité qui traitent des mesures de sécurité. Le Ministère disposait auparavant d'un Plan de sécurité ministériel pour 2019-2021, qui avait été approuvé par le SM en janvier 2020. Au moment de l'exécution de la phase d'examen réalisés par l'équipe d'audit interne, aucun Plan de sécurité ministériel n'était en place. [L'information a été retranchée.] La Direction des services ministériels a embauché un expert-conseil pour élaborer un Plan de sécurité ministériel et vise à en rédiger un d'ici le printemps 2023. La dirigeante principale de la sécurité (la sous-ministre adjointe, DSM) est tenue de rendre compte au SM, au moins chaque année, sur les avancements de la réalisation des priorités définies dans le plan de sécurité ministériel. Étant donné qu'aucun plan de sécurité ministériel n'est actuellement en place, aucun rapport annuel n'a été présenté au SM. L'examen et la production de rapports annuels sur le Plan de sécurité ministériel permettent aux ministères de démontrer qu'une gouvernance appropriée est en place pour fournir une compréhension globale de la gestion de la sécurité, des priorités de sécurité et de l'atténuation des risques dans l'ensemble de l'organisation et offrent la possibilité de corriger le tir ou de redéfinir les priorités des activités selon les besoins. |
La dirigeante principale de la sécurité devrait élaborer un Plan de sécurité ministériel sur trois ans, le faire approuver par le SM et rendre compte chaque année au SM des progrès réalisés par rapport à ses priorités. | Élevé |
La dirigeante principale de la sécurité est responsable de définir et de documenter les rôles, les responsabilités et les pouvoirs pour les décisions connexes en matière de sécurité afin d'assurer la cohérence, la productivité et le maintien du respect de la législation pertinente.Le Ministère ne dispose actuellement d'aucun instrument de délégation de sécurité. | La dirigeante principale de la sécurité devrait créer un instrument de délégation de sécurité et le faire approuver par le sous-ministre. | Moyen |
Les membres du personnel sont tenus d'assister au séance d'information obligatoire sur la sécurité lorsqu'ils entrent au Ministère, puis de reconnaître leurs responsabilités en signant un certificat de sécurité (formulaire 330-47 du SCT). À l'heure actuelle, aucun suivi n'est effectué pour garantir que tous les membres du personnel du Ministère ont assisté à la séance d'information obligatoire sur la sécurité. L'équipe d'audit interne a noté dans les dossiers examinés qu'en général, les certificats de sécurité n'étaient pas signés par les membres du personnel, ou n'étaient pas signés en temps opportun. Cela augmente le risque que les membres du personnel ne soient pas conscients de leurs responsabilités en matière de protection des renseignements concernant leur habilitation de sécurité. [L'information a été retranchée.] |
La dirigeante principale de la sécurité devrait améliorer les contrôles en place pour garantir que tous les membres du personnel participent à la séance d'information obligatoire sur la sécurité et reconnaissent leurs responsabilités en signant leur certificat de sécurité. | Moyen |
Le Ministère est responsable de faire rapport au Service canadien du renseignement de sécurité (SCRS) lorsque de nouvelles habilitations (autorisations) de sécurité sont accordées (formulaire 4195 du SCRS) ou lorsqu'il y a eu un changement dans une habilitation de sécurité, comme un transfert, une réduction, une augmentation ou une réactivation (formulaire 4160 du SCRS). L'équipe d'audit interne a constaté, à partir des dossiers examinés, que les notifications au SCRS n'étaient pas envoyées en temps opportun ou n'étaient pas envoyées du tout. [L'information a été retranchée.] |
La dirigeante principale de la sécurité devrait améliorer les contrôles en place pour garantir que les agents de sécurité du personnel avisent le SCRS en temps opportun lorsqu'une autorisation est accordée (formulaire 4195 du SCRS) ou qu'un dossier de sécurité d'un membre du personnel est transféré entre les ministères, réduit, augmenté ou réactivé (formulaire 4160 du SCRS). | Moyen |
Le Ministère est responsable de fournir une séance d'information aux particuliers dont il est mis fin à l'emploi dans le cadre de laquelle ils seront informés de leur obligation continue de maintenir le caractère confidentiel des informations délicates auxquels ils ont eu accès. L'équipe d'audit interne a noté qu'aucune séance d'information de sécurité de départ était actuellement effectué. Il existe actuellement un risque que les membres du personnel quittent le Ministère et ignorent leurs obligations continues de maintenir le caractère confidentiel des informations auxquels ils ont eu accès au Ministère et puissent divulguer des informations délicates. |
La dirigeante principale de la sécurité devrait veiller à ce qu'un processus soit mis en place pour informer les membres du personnel de leurs obligations continues en matière de sécurité avant qu'ils quittent le Ministère. | Moyen |
Principales constatations – Critère 2
Nous nous attendions à ce que les filtrages de sécurité du personnel soient traités de manière efficace et efficiente.
Des domaines à améliorer ont été repérés en ce qui concerne l'efficience et l'efficacité du processus d'enquête de sécurité dans son ensemble. Le tableau suivant présente les constatations de l'équipe d'audit interne ainsi que certaines suggestions à l'intention de la direction.
Constatations | Points à améliorer | Risque |
---|---|---|
Le processus d'enquête de sécurité du Ministère est fondé sur le papier. À la suite de l'éclosion de la pandémie de COVID-19 et des consignes de travail à distance, la Division des services de sécurité a cessé de traiter certains types d'opérations car ses membres travaillaient à domicile et n'avaient plus accès aux imprimantes, créant ainsi un important arriéré de dossiers à traiter en personne. Il a également été observé lors de l'examen des dossiers que l'impression des dossiers de sécurité du personnel prenait beaucoup de temps, étant donné que plusieurs des rapports générés lors du processus d'enquête étaient déjà au format numérique. Lors de la sensibilisation effectuée auprès d'autres ministères gouvernementaux, l'équipe d'audit interne a noté que plusieurs ministères étaient passés aux fichiers numériques et acceptaient les signatures numériques sur les formulaires de filtrage de sécurité afin d'accroître la productivité dans le nouvel environnement de travail hybride. Cela a également augmenté l'efficience dans la capacité à transférer des dossiers vers d'autres ministères, une fois qu'un membre a été muté dans un autre ministère. |
La dirigeante principale de la sécurité peut envisager de travailler à la numérisation de tous les dossiers de sécurité du personnel et d'utiliser des signatures numériques lorsque cela est possible. La dirigeante principale de la sécurité devrait veiller à ce que l'arriéré des dossiers de mutation au Ministère et vers d'autres ministères soit régulièrement résorbé. |
Moyen |
Les dossiers de sécurité en cas de transfert de membres du personnel provenant d'autres ministères n'ont soit jamais été reçus par le Ministère, ont été reçus bien après la date demandée ou étaient incomplets. Cependant, l'équipe d'audit a pu confirmer que les membres du personnel détenaient une habilitation de sécurité valide. L'équipe d'audit interne a constaté que certains ministères refont la cote de fiabilité pour tous les membres du personnel transférés chez eux. S'assurer que le membre du personnel n'obtient aucun résultat défavorable lors d'une vérification de casier judiciaire ou d'une vérification de crédit réduit le risque pour le Ministère que le membre du personnel puisse divulguer des informations délicates en échange d'argent. |
La dirigeante principale de la sécurité pourrait envisager de refaire la cote de fiabilité des membres du personnel fédéraux transférés depuis d'autres ministères en utilisant une approche fondée sur les risques. | Moyen |
Les listes de contrôle sont utilisées par les agents de sécurité du personnel pour documenter que toutes les étapes requises du processus ont été suivies. Les listes de contrôle peuvent être un outil efficace pour garantir que toutes les étapes d'un processus ont été suivies. Après avoir examiné les dossiers de sécurité du personnel, l'équipe d'audit interne a constaté que les listes de contrôle n'étaient souvent ni signées ni datées, ou encore que certaines étapes du processus semblaient avoir été suivies alors qu'en réalité, elles ne l'avaient pas été. L'équipe d'audit interne a également remarqué que les listes de contrôle étaient généralement remplies par un membre subalterne de la Division des services de sécurité. |
La dirigeante principale de la sécurité peut envisager d'intégrer un processus de surveillance mené par un membre du personnel plus expérimenté pour examiner le caractère complet des dossiers. | Moyen |
Les gestionnaires ont la responsabilité de veiller à ce que leurs membres du personnel ont été informés de leurs responsabilités en matière de sécurité. Les gestionnaires ont également la responsabilité de relever les changements importants au niveau du comportement de leurs membres du personnel, et établir un rapport sur ces changements à la Division des services de sécurité. Les membres du personnel ont la responsabilité d'informer la Division de tout changement au chapitre de leur situation personnelle, de tout contact persistant ou inhabituel ou de tout comportement inhabituel chez d'autres personnes. L'équipe d'audit interne a constaté qu'il y a peu de communications avec les gestionnaires et les membres du personnel pour leur rappeler leurs responsabilités en matière de sécurité du personnel. |
La dirigeante principale de la sécurité peut envisager de sensibiliser davantage à la sécurité dans l'ensemble du Ministère, y compris aux rôles et responsabilités. | Moyen |
La Politique ministérielle sur la sécurité a été révisée pour la dernière fois en 2011 et contient des renseignements désuets. Ne pas disposer d'une politique à jour augmente le risque que les rôles, les responsabilités et les objectifs généraux liés à la sécurité ne soient pas clairement définis et compris. |
La dirigeante principale de la sécurité peut envisager de réviser et de mettre à jour la politique du Ministère en matière de sécurité. | Moyen |
Les agents de sécurité du personnel consacrent beaucoup de temps à la saisie manuelle des données. Non seulement cela prend du temps, mais la saisie manuelle des données augmente le risque d'erreurs de saisie humaine. En ce qui concerne la sensibilisation auprès d'autres ministères gouvernementaux, il a été noté que plusieurs ministères ont déjà mis en œuvre ou envisagent de mettre en œuvre des portails de soumission de formulaires numériques. Cela réduirait le besoin de saisie manuelle des données, la soumission de formulaires incomplets et les allers-retours ultérieurs entre l'agent de sécurité du personnel et le demandeur. | La dirigeante principale de la sécurité pourrait envisager d'explorer des options pour mettre en œuvre un nouveau système automatisé de filtrage de sécurité afin de réduire le besoin de saisie manuelle des données à partir des formulaires de filtrage de sécurité. | Faible |
Des retards importants dans le processus d'enquête sont causés par un arriéré au SCRS dans la réalisation des évaluations de sécurité. Le Ministère a une entente particulière avec le SCRS pour accorder la priorité à l'évaluation de sécurité des candidats embauchés dans le cadre du programme de recrutement universitaire et du Programme avancé pour les analystes de politiques (PAAP). Cette entente est informelle et n'est pas documentée. Étant donné le taux de roulement élevé au SCRS, il existe un risque que cette entente ne soit pas appliquée si certains membres du personnel du SCRS quittent leur poste. |
La dirigeante principale de la sécurité pourrait envisager de conclure une entente écrite avec le SCRS. | Faible |
La formalisation des structures de gouvernance et la documentation des décisions aident à tenir les personnes responsables de leurs décisions et à garantir que des mesures de suivi appropriées peuvent être prises. Le Comité de coordination de la sécurité du ministère des Finances (CCSFIN), le principal groupe de discussion du Ministère chargé d'évoquer les questions de nature délicate en matière de sécurité, a cessé de se réunir. Les réunions entre les principaux responsables de la sécurité se déroulent désormais de manière informelle. Étant donné qu'aucun compte rendu de ces réunions n'est conservé, l'équipe d'audit interne n'a pas été en mesure de tirer des conclusions sur l'efficacité de la surveillance. |
La dirigeante principale de la sécurité pourrait envisager de réformer la gouvernance du programme de sécurité du Ministère. | Faible |
Conclusion générale
Jusqu'à l'octroi d'une habilitation de sécurité, le ministère des Finances Canada (le Ministère) dispose de contrôles efficaces pour le processus d'enquête de sécurité sur le personnel. Toutefois, d'importantes lacunes en matière de contrôle ont été repérées concernant la clôture du processus.
Des domaines à améliorer ont été repérés en ce qui concerne le rendement globale du processus d'enquête de sécurité sur le personnel. Compte tenu du contexte imposant le travail à distance, des retards de traitement des autres organisations impliquées et des ressources actuellement affectées au processus, ces constatations ne sont pas inattendues.
De plus, le processus d'enquête de sécurité sur le personnel du Ministère n'est pas conforme à certaines exigences applicables issues de l'ensemble des politiques du Conseil du Trésor. Actuellement, le Ministère ne dispose d'aucun Plan de sécurité ministériel et d'aucun instrument de délégation de sécurité.
Réponse de la direction et plans d'action
Réponse globale de la direction :
La direction est d'accord avec les constatations de l'audit du processus de filtrage de sécurité du personnel. La dirigeante principale de la sécurité travaillera avec la Division des services de sécurité pour garantir que les recommandations issues de l'audit sont traitées par des mesures correctives, comme décrites ci-dessous.
Recommandations | Réponses de la direction | Plans d'action | Responsables | Dates cible |
---|---|---|---|---|
1. La dirigeante principale de la sécurité devrait élaborer un Plan de sécurité ministériel sur trois ans, le faire approuver par le sous-ministre (SM) et rendre compte chaque année au SM des progrès réalisés par rapport à ses priorités. | La direction est d'accord avec la recommandation. | La dirigeante principale de la sécurité élaborera un Plan de sécurité ministériel triennal et le soumettra à l'approbation du sous-ministre. La dirigeante principale de la sécurité fera également rapport chaque année au sous-ministre des progrès réalisés par rapport aux priorités définies dans le Plan de sécurité ministériel approuvé. | Dirigeante principale de la sécurité, sous-ministre adjointe – Direction des services ministériels | Plan de sécurité ministériel triennal : 31 octobre 2023Premier rapport d'étape annuel au sous-ministre : 31 mars 2025 |
2. La dirigeante principale de la sécurité devrait créer un instrument de délégation de sécurité et le faire approuver par le sous-ministre. | La direction est d'accord avec la recommandation. | La dirigeante principale de la sécurité élaborera un instrument de délégation de sécurité et le présentera au sous-ministre pour approbation. | Dirigeante principale de la sécurité, sous-ministre adjointe – Direction des services ministériels | 30 septembre 2023 |
3. La dirigeante principale de la sécurité devrait améliorer les contrôles en place pour garantir que tous les membres du personnel participent à la séance d'information obligatoire sur la sécurité et reconnaissent leurs responsabilités en signant leur certificat de sécurité. | La direction est d'accord avec la recommandation. | Le directeur, Division des services de sécurité, intégrera des contrôles améliorés dans le processus d'intégration ministériel pour s'assurer que tous les membres du personnel ont reçu le breffage obligatoire sur la sécurité et ont reconnu leurs responsabilités en signant leur certificat de sécurité. Le directeur de la Division des services de sécurité fournira un rapport annuel des résultats obtenus au dirigeant principal adjoint de la sécurité. | Directeur, Division des services de sécurité | 31 mars 2024 |
4. La dirigeante principale de la sécurité devrait veiller à ce qu'un processus soit mis en place pour informer les membres du personnel de leurs responsabilités durables en matière de sécurité avant qu'ils quittent le Ministère. | La direction est d'accord avec la recommandation. | Le directeur de la Division des services de sécurité élaborera et mettra en œuvre un processus pour garantir que les membres du personnel reçoivent un breffage sur leurs responsabilités durables en matière de sécurité avant qu'ils quittent le Ministère. Le directeur de la Division des services de sécurité fournira un rapport annuel des résultats obtenus au dirigeant principal adjoint de la sécurité. | Directeur, Division des services de sécurité | 31 mars 2024 |
5. La dirigeante principale de la sécurité devrait améliorer les contrôles en place pour garantir que les agents de sécurité du personnel avisent le SCRS en temps opportun lorsqu'une autorisation est accordée (formulaire 4195 du SCRS) ou qu'un dossier de sécurité d'un membre du personnel est transféré entre les ministères, réduit, augmenté ou réactivé (formulaire 4160 du SCRS). | La direction est d'accord avec la recommandation. | Le directeur, Division des services de sécurité, adaptera les procédures opérationnelles existantes et améliorera les contrôles en place pour garantir que les agents de sécurité du personnel informent le SCRS en temps opportun lorsqu'une autorisation est accordée ou lorsqu'un dossier de sécurité d'un membre du personnel est transféré entre les ministères. Le directeur de la Division des services de sécurité fournira un rapport annuel des résultats obtenus au dirigeant principal adjoint de la sécurité. | Directeur, Division des services de sécurité | 31 mars 2024 |
Annexe A – Résultats des tests de conformité
Critères de test – Nouvelles habilitations et renouvellements | Opérations mises à l'essai | Dossiers présentant des problèmes | Renseignements complémentaires |
---|---|---|---|
Le demandeur a rempli et signé un formulaire de filtrage de sécurité donnant son consentement pour la réalisation du filtrage de sécurité (formulaire 330-23 du SCT) | 31 | 3 |
|
Le demandeur a rempli et signé le formulaire 330-60 | 31 | 4 |
|
Vérification du casier judiciaire terminée | 31 | 0 |
|
Vérification de crédit terminée | 31 | 0 |
|
Lorsque des renseignements défavorables sont découverts, une enquête plus approfondie est menée | 1 | 0 |
|
L'agent de sécurité du personnel a accordé une cote de fiabilité | 31 | 2 |
|
Évaluation de sécurité du SCRS terminée | 31 | 0 |
|
L'agent de sécurité du personnel a accordé une habilitation de sécurité | 31 | 2 |
|
Le SCRS a été informé de la décision d'accorder une habilitation de sécurité (formulaire 4195 du SCRS) | 31 | 2 |
|
Le membre du personnel a reçu une séance d'information obligatoire sur la sécurité | 31 | Impossible à évaluer |
|
Le membre du personnel a reconnu ses responsabilités en signant un certificat de sécurité (formulaire 330-47 du SCT) | 31 | 19 |
|
Critères de test – Membres du personnel transférés au Ministère | Opérations mises à l'essai | Dossiers présentant des problèmes | Renseignements complémentaires |
---|---|---|---|
Le Ministère a reçu une première confirmation d'habilitation de sécurité du ministère d'origine | 12 | 1 |
|
Le Ministère a demandé le transfert du dossier de sécurité du personnel | 12 | 0 |
|
Le dossier a été reçu | 12 | 2 |
|
Le dossier transféré était complet (il comprenait la vérification de crédit, la vérification de casier judiciaire et l'évaluation du SCRS) | 10 | 5 |
|
Le SCRS a été informé du transfert du membre du personnel (formulaire 4160 du SCRS) | 10 | 2 |
|
Le membre du personnel a reçu une séance d'information obligatoire sur la sécurité | 12 | Impossible à évaluer |
|
Le membre du personnel a reconnu ses responsabilités en signant un certificat de sécurité (formulaire 330-47 du SCT) | 12 | 12 |
|
Critères de test – Membres du personnel transférés à l'extérieur du Ministère | Opérations mises à l'essai | Dossiers présentant des problèmes | Renseignements complémentaires |
---|---|---|---|
Le SCRS a été informé de la mutation du membre du personnel (formulaire 4160 du SCRS) | 3 | 0 |
|
Le Ministère a transféré le dossier de sécurité du personnel au ministère demandeur | 3 | 0 |
|
Annexe B – Stratégie d'échantillonnage
L'équipe d'audit interne a identifié un total de 510 habilitations (autorisations) de sécurité nouvelles et renouvelées, un total de 484 habilitations de sécurité pour des transferts au Ministère et un total de 264 habilitations de sécurité pour des transferts à l'extérieur du Ministère pour la période du 1er avril 2019 au 30 septembre 2022.Footnote 3
- Pour les nouvelles habilitations de sécurité et les renouvellements, sur les 510 dossiers d'habilitation de sécurité, 30 ont été sélectionnés à l'aide d'une méthode d'échantillonnage aléatoire et discrétionnaire. Footnote 4
- Pour les habilitations de sécurité relatives aux transferts au Ministère, sur les 484 dossiers d'habilitation de sécurité, 12 ont été sélectionnés à l'aide d'une méthode d'échantillonnage aléatoire et discrétionnaire.
- Pour les habilitations de sécurité relatives aux transferts à l'extérieur du Ministère, sur les 264 dossiers d'habilitation de sécurité, 3 ont été sélectionnés à l'aide d'une méthode d'échantillonnage aléatoire et discrétionnaire.
L'échantillon et la répartition du total sont les suivants :
StratificationFootnote 5 | Nombre d'échantillons | Décompte du total | ||||||
---|---|---|---|---|---|---|---|---|
Du 1er avril 2019 au 15 mars 2020 | Du 16 mars 2020 au 3 mai 2020 | Du 4 mai 2020 au 31 août 2020 | Du 1er septembre 2020 au 30 septembre 2022 | Du 1er avril 2019 au 15 mars 2020 | Du 16 mars 2020 au 3 mai 2020 | Du 4 mai 2020 au 31 août 2020 | Du 1er septembre 2020 au 30 septembre 2022 | |
Habilitations de sécurité nouvelles et renouvelées | 6 | 3 | 6 | 16 | 195 | 20 | 39 | 256 |
Habilitations de sécurité relatives à des transferts au Ministère | 4 | 8 | 138 | 346 | ||||
Habilitations de sécurité relatives à des transferts à l'extérieur du Ministère | 3 | 264 | ||||||
Total | 45 | 1 258 |
Annexe C – Renseignements clés examinés
Renseignements clés examinés
Voici une liste non exhaustive des renseignements clés examinés par l'équipe d'audit interne :
Législation, politiques et lignes directrices :
- Politique du CT sur la sécurité du gouvernement
- Directive du CT sur la gestion de la sécurité
- Norme du CT sur le filtrage de sécurité
Documents propres au ministère des Finances Canada :
- Politique ministérielle sur la sécurité (2011)
- Plan de sécurité du Ministère 2019-2021
- Rapports ministériels sur le Cadre de responsabilisation de gestion du ministère des Finances (2020-2021 et 2021-2022)
- Évaluations des menaces et des risques du ministère des Finances Canada
- Documentation du comité de gouvernance du ministère des Finances, comme le mandat et les comptes rendus de décisions
- Documentation sur les processus internes de la Division des services de sécurité
Autres documents :
- Guide de référence du Programme de gestion des risques internes du Service canadien du renseignement de sécurité
Annexe D – Méthodologie de classement des risques
Les risques attribués aux constatations étaient fondés sur la propre évaluation des risques par la Direction de la vérification interne. Le tableau suivant définit les critères utilisés pour attribuer le risque/la priorité :
Zone à haut risque | Risques qui dépassent considérablement le seuil d'acceptation des risques et nécessitent une gestion approfondie et, dans certains cas, une mesure urgente. |
---|---|
Zone à risque moyen | Risques qui dépassent le seuil d'acceptation des risques et nécessitent une gestion proactive. |
Zone à faible risque | Risques inférieurs au seuil d'acceptation des risques et ne nécessitant généralement pas de gestion active. |
Détails de la page
- Date de modification :