Audit interne horizontal de la planification de la continuité des activités (PCA) dans les grands et les petits ministères

Avis aux lecteurs

Ce rapport contient des renseignements personnels ou confidentiels, ou bien de l’information liée à la sécurité. En vertu de la Loi sur l’accès à l’information, ces informations n’ont pas été divulguées.


Bureau du contrôleur général

Sur cette page

Sommaire

Le présent audit visait à déterminer siVoir la note en bas de page 1 :

  • les cadres de gouvernance étaient en place à l’échelle du gouvernement et au sein des ministères pour assurer la planification de la continuité des activités (PCA)
  • des processus de PCA ministériels étaient en place

La portée de l’audit visait principalement les cadres et les processus en place au . Les éléments suivants ont été exclus de la portée de l’audit en raison de leur caractère unique, de leurs complexités et de leurs risques associés : la gestion des urgences comme sujet global; la planification de la continuité pour les technologies de l’information (TI)Voir la note en bas de page 2 et la continuité de l’État constitutionnel.Voir la note en bas de page 3

Pourquoi est-ce important?

Partout dans le monde, les catastrophes d’origine naturelle et humaine sont à la hausse et sont devenues des défis importants. Par exemple, au cours des sept dernières années, les risques liés à l’environnement, comme les phénomènes météorologiques extrêmes, ont continuellement figuré parmi les principaux risques mondiaux identifiés par le Forum économique mondial.Voir la note en bas de page 4 En 2017, le terrorisme a été ajouté à la liste des principaux risques mondiaux. Une tendance similaire prévaut également au Canada.

Il est maintenant plus probable que jamais que les opérations du gouvernement fédéral soient perturbées par des évènements naturels et d’autres d’origine humaine. Une perturbation de la disponibilité ou de l’intégrité de certains services du gouvernement fédéral pourrait entraîner un préjudice élevé à la santé, à la sûreté, à la sécurité, et au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement dans son ensemble (ces services sont ci-après nommés « services essentiels »).Voir la note en bas de page 5 Des interruptions semblables d’autres types de service pourraient également empêcher des ministères fédéraux particuliers d’exécuter leurs mandats importants pour les Canadiens (aux fins du présent audit, ces services sont ci-après nommés « services essentiels à la mission »). Même si certains services essentiels et services essentiels à la mission pourraient être identifiés plus facilement après un incident parce que les effets mentionnés précédemment se produiraient presque instantanément, ce n’est pas toujours le cas. D’autres services non critiques pourraient aussi être jugés essentiels et/ou essentiels à la mission s’ils ne sont pas entièrement rétablis dans un délai plus long après une perturbation.

Maintenant, il existe également un plus grand risque que même des interruptions localisées dans un ou quelques ministères fédéraux pourraient avoir des répercussions généralisées dans l’ensemble des opérations gouvernementales étant donné les interdépendances actuelles entre les ministères en raison de l’adoption croissante des modèles de prestation de services partagés.

Pour renforcer la résilienceVoir la note en bas de page 6 des opérations gouvernementales et la prestation de services, il est donc essentiel de mettre en place une gouvernance et des processus de PCA largement intégrés. Plus particulièrement, en cas de perturbation des activités opérationnelles usuelles du gouvernement, ces éléments permettront la continuité de la prestation de services aux Canadiens avec peu ou pas d’interruption.

Principales constatations

Cadres de gouvernance de la PCA

L’audit a permis d’examiner si des cadres de gouvernance de la PCA étaient en place dans l’ensemble du gouvernement et au sein des ministères. En général, l’audit a permis de constater que des éléments de tels cadres étaient en place, mais que des améliorations importantes s’imposaient aux deux niveaux.

L’audit a révélé que l’orientation de la politique pangouvernementale de la PCA a été établie par le cadre des politiques sur la sécurité du Conseil du Trésor. Dans certains secteurs, une orientation plus récente a été offerte par Sécurité publique Canada en tant que principal organisme de sécurité responsable d’exercer un leadership en matière de gestion des urgences (dont la continuité des activités). Cependant, les instruments de politique fondamentaux n’ont pas été mis à jour depuis plusieurs années et, dans plusieurs cas, leur accessibilité était restreinte. Des politiques liées au programme de PCA étaient établies dans la majorité des grands ministères, mais en général, ne l’étaient pas dans les petits ministères. Dans les ministères où de telles politiques étaient en place, un grand nombre de celles-ci n’avaient pas été mises à jour depuis plusieurs années. La possibilité de renforcer la communication des rôles et des responsabilités de la PCA aux intervenants a aussi été notée dans la plupart des ministères.

Pour appuyer la gouvernance de la sécurité et de la gestion des urgences, plusieurs comités interministériels ont été mis sur pied et ont traité les questions liées à la PCA dans l’ensemble du gouvernement. L’audit a aussi révélé que des comités de gouvernance semblables étaient en place dans la plupart des ministères. Cependant, les comités pangouvernementaux et ministériels n’ont pas démontré de manière générale avoir soutenu la PCA en se réunissant périodiquement, en suivant systématiquement les activités et en donnant suite aux initiatives de PCA.

Des thèmes stratégiques essentiels sur la gestion des urgences ont été élaborés dans l’ensemble du gouvernement et ont permis de constater le besoin de renforcer la planification de la gestion des urgences, y compris la PCA, comme l’une des priorités stratégiques fédérale. Cependant, au moment de l’audit, une stratégie intégrée sur la façon de renforcer la PCA dans l’ensemble du gouvernement et la façon de coordonner les initiatives de PCA n’avait pas encore été élaborée.

De plus, l’audit a révélé que malgré la mise en place de comités de gouvernance, dans le cadre du Plan fédéral d’intervention d’urgence, dans le but de coordonner une réponse fédérale dans l’éventualité d’une perturbation interministérielle (du point de vue de la continuité des opérations gouvernementales), une approche coordonnée plus proactive et centralisée pourrait aider à assurer la disponibilité ainsi que le maintien de renseignements fiables et opportuns sur les services essentiels qu’ils fournissent. L’amélioration de la qualité et de la disponibilité de l’information dans ce domaine aiderait à mieux informer la prise de décision lorsqu’une réponse fédérale est requise.

Enfin, l’audit a noté que la surveillance et l’établissement de rapports sur la PCA étaient limités dans l’ensemble du gouvernement. La surveillance de la PCA, à l’échelle du gouvernement, s’appuyait surtout sur les examens du Cadre de responsabilisation de gestion (CGR) qui vérifient la conformité avec les exigences du programme de PCA établies par le Secrétariat du Conseil du Trésor du Canada (le Secrétariat). Inversement, les ministères n’ont généralement pas démontré avoir surveillé la conformité et l’efficacité générales de leurs programmes de PCA. En outre, aucun des ministères n’a démontré qu’il avait mis en place une approche à la fois complète et formelle visant à mettre à l’essai et à valider régulièrement les plans de continuité des activités examinés dans le cadre de cet audit.

Processus ministériels relatifs à la PCA

Au nombre de leurs exigences de sécurité de base, tous les ministères doivent avoir mis en place un plan de continuité des activités afin d’assurer la continuité des opérations gouvernementales, et ce, qu’ils offrent des services essentiels ou non. La réalisation d’une analyse des répercussions sur les opérations (ARO) constitue un point de départ fondamental pour l’élaboration de ces plans. La Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA) décrit diverses autres activités qui doivent être réalisées dans le cadre de ce processus, y compris les exigences relatives au contenu des ARO et des plans de continuité des activités.

L’audit a évalué un échantillon axé sur les risques d’ARO et de plans de continuité des activités ministériels, afin de déterminer la mesure dans laquelle les ministères se conformaient à ces exigences.

Même si la majorité des ministères avait mené des ARO et avait mis en place des plans de continuité des activités pour tous les services échantillonnés, des possibilités d’amélioration importantes ont été relevées en ce qui concerne leur contenu et le processus utilisé pour les élaborer. Plus particulièrement, les ministères n’avaient généralement pas respecté la majorité des exigences de base prescrites par le Secrétariat pour les ARO, et un grand nombre de plans ministériels examinés ne respectaient pas la plupart des exigences de base pour les plans de continuité des activités.

Conclusion

Dans l’ensemble, l’audit a relevé un important besoin d’amélioration à l’égard des cadres de gouvernance ministériels et pangouvernementaux, ainsi que des processus de PCA mis en place au sein des ministères.

À l’échelle du gouvernement, des possibilités d’amélioration de la gouvernance de la PCA ont été relevées dans les domaines suivants : la disponibilité et la mise à jour des instruments de politique; le renforcement du soutien des comités pangouvernementaux de la haute direction; la planification stratégique; [Ces informations n’ont pas été divulguées]; et les cadres de surveillance et d’établissement de rapports.

Au sein des ministères, il est aussi nécessaire d’améliorer la gouvernance de la PCA par un soutien plus actif des comités de gouvernance, une meilleure communication des rôles et des responsabilités, et des cadres de surveillance et d’établissement de rapports plus rigoureux (y compris la mise à l’essai des plans de continuité des activités).

Enfin, l’harmonisation des processus de PCA ministériels avec les exigences de base est aussi un domaine où des améliorations s’imposent.

Conformité aux normes professionnelles

Cette mission d’audit a été menée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne.

Mike Milito, MBA, CIA, CRMA
Contrôleur général adjoint et dirigeant principal de la vérification
Secteur de la vérification interne, Bureau du contrôleur général

Contexte

La planification de la continuité des activités (PCA) est une mesure de sécurité proactive destinée à contribuer à accroître la résilience des organismes face aux événements perturbateurs. Plus précisément, la PCA renvoie à l’élaboration et à l’exécution en temps opportun de plans, de mesures, de procédures et de dispositions en vue d’éviter ou de minimaliser toute interruption à la disponibilité des services et des biens en cas de perturbation des activités opérationnelles normales, et ce, peu importe l’origine de la perturbation. La PCA est donc essentielle à la survie des organismes. À plus grande échelle, la PCA complète la gestion des urgences, car elle appuie les activités de préparation, d’intervention et de rétablissement.

Le but ultime de la gestion des urgences consiste à sauver des vies, à préserver l’environnement et à protéger les biens et l’économie. La gestion des urgences accroît la compréhension des risques et contribue à l’existence d’une société canadienne plus sécuritaire, plus prospère, plus durable et plus résiliente aux catastrophes. Dans le cadre de la gestion des urgences, les gouvernements fédéral, provinciaux et territoriaux adoptent une approche tous risquesVoir la note en bas de page 7 complète pour coordonner et intégrer les activités de prévention, d’atténuation, de préparation, d’intervention et de rétablissement afin de maximiser la sécurité des Canadiens (consulter l’annexe E pour un complément de renseignements généraux sur la gestion des urgences).

Selon la Loi sur la gestion des urgences fédérale, les responsabilités de chaque administrateur général en matière de gestion des urgences consistent à déterminer les risques qui relèvent du champ de compétence de son ministère, et à :

  • élaborer des plans de gestion des urgences (par exemple, un plan stratégique de gestion des urgences et des plans d’évacuation d’urgence des immeubles) à l’égard de ces risques
  • les mettre à jour, à l’essai et en œuvre
  • tenir des exercices et assurer la formation à leur égard

En vertu de la Loi sur la gestion des urgences, les plans de gestion des urgences ministériels doivent être appuyés par « des programmes, des dispositions ou d’autres mesures visant à assurer la continuité des activités ». Ce soutien est obtenu en établissant des programmes de PCA qui comprennent les éléments suivantsVoir la note en bas de page 8 :

  • une gouvernance du programme de PCA (par exemple, une politique sur la PCA et la nomination d’un coordonnateur de la PCA)
  • une analyse des répercussions sur les opérations (ARO)Voir la note en bas de page 9
  • des plans de continuité des activités et préparatifsVoir la note en bas de page 10
  • le maintien de l’état de préparation du programme de PCA (par exemple, examen et révision de tous les plans, et essais réguliers)

Même si la responsabilité des programmes ministériels de PCA revient aux administrateurs généraux, plusieurs intervenants (organismes centraux, organismes et ministères responsables de la sécurité) se partagent la responsabilité d’assurer la continuité des activités du gouvernement dans son ensemble.

Les principaux organismes responsables de la sécurité sont chargés de fournir des conseils, une orientation et des services pour appuyer les activités de sécurité quotidiennes des ministères, et de permettre à l’ensemble du gouvernement de gérer des activités de sécurité, de coordonner des interventions aux incidents de sécurité et de réaliser et maintenir un état de sécurité et de préparation acceptable.

Voici les principaux organismes responsables de la sécurité chargés d’assurer la continuité des activités du gouvernement dans son ensemble (consulter l’annexe F pour plus de détails) :

  • le Conseil du Trésor et le Secrétariat, pour leur rôle en matière de politique en tant qu’organisme central
  • Sécurité publique Canada, pour son rôle de leadership dans la gestion des urgences et la PCA
  • le Bureau du Conseil privé, pour son rôle en matière de sécurité nationale

Le cadre de la politique sur la sécurité du Conseil du Trésor, qui offre une direction pour la PCA pour l’ensemble du gouvernement fédéral, vise à assurer que les administrateurs généraux gèrent efficacement les activités de sécurité au sein des ministères tout en participant à la gestion efficace de la sécurité à l’échelle du gouvernement.

Le cadre de la politique comprend les instruments suivants (consulter l’annexe A) :

  • la Politique sur la sécurité du gouvernement du Conseil du Trésor
  • la Directive sur la gestion de la sécurité ministérielle du Secrétariat
  • la Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA) du Secrétariat
  • les guides techniques sur les programmes de PCA publiés par Sécurité publique Canada

Étant donné que la plupart de ces instruments de politique sont entrés en vigueur en 2009 ou avant, le Secrétariat et Sécurité publique Canada les renouvellent actuellement pour mieux refléter l’environnement stratégique et opérationnel actuel du gouvernement fédéral.

Au cours des consultations entourant la préparation du Plan triennal d’audit interne axé sur les risques de 2015 à 2018 du Bureau du contrôleur général, des préoccupations ont été soulevées spécifiquement au sujet de la PCA. Ces préoccupations se rapportaient à des défis tels que : les interdépendances accrues qui existent maintenant entre les ministères en raison de la transition vers des modèles de prestation de services partagés; la complexité de la PCA elle-même; et le risque que les plans de continuité des activités ministériels puissent ne pas avoir été mis à jour en temps opportun au fil des années.

Objectifs et portée de l’audit

Le présent audit visait à déterminer siVoir la note en bas de page 11 :

  • les cadres de gouvernance étaient en place à l’échelle du gouvernement et au sein des ministères pour assurer la PCA
  • des processus de PCA ministériels étaient en place

La portée de l’audit se concentrait sur les pratiques en place au . Un échantillon axé sur les risquesVoir la note en bas de page 12 des plans de continuité des activités ministériels en place à cette date a été examiné afin de vérifier les processus ministériels de PCA. Les cadres de gouvernance et les processus de PCA devaient s’harmoniser avec les exigences des politiques (consulter l’annexe A). Pour mieux présenter les constatations et les recommandations dans le contexte actuel, les initiatives entreprises après le et observées pendant les travaux d’audit ont également été prises en considération.

Les éléments de la gouvernance qui ont été examinés incluaient : les cadres de politique; les comités et les structures organisationnelles; la planification stratégique à l’échelle pangouvernementale; [Ces informations n’ont pas été divulguées]; les processus de collaboration interministérielle ainsi que la surveillance et l’établissement de rapports.

Les éléments des processus de PCA qui ont été examinés incluaient : les ARO; l’élaboration des stratégies de rétablissement; l’élaboration des plans de continuité des activités; la gestion des interdépendances avec les intervenants internes et externes; la formation et les outils liés à la PCA; la surveillance et l’établissement de rapports (y compris les essais); et la mise à jour des plans de continuité des activités.

L’audit portait uniquement sur les pratiques de PCA ministérielles et pangouvernementales en place pour assurer la disponibilité continue des services gouvernementaux fédéraux (les services essentiels et les services essentiels à la mission). Les éléments suivants ont été exclus de la portée de l’audit en raison de leur nature, de leurs complexités et de leurs risques associés uniques : la gestion des urgences comme sujet global; la planification de la continuité des technologies de l’information (TI)Voir la note en bas de page 13; et la continuité de l’État constitutionnel.Voir la note en bas de page 14

L’annexe B dresse la liste des ministères et des principaux organismes responsables de la sécurité qui sont visés par l’audit.

L’annexe C indique les champs d’enquête et les critères d’audit connexes utilisés pour formuler des conclusions quant aux objectifs de l’audit.

Constatations détaillées et recommandations

Constatation 1 : la gouvernance à l’échelle pangouvernementale

Un des résultats attendus de la Politique sur la sécurité du gouvernement du Conseil du Trésor consiste à avoir des structures de gouvernance en place dans l’ensemble du gouvernement. En vertu de cette politique, les administrateurs généraux sont responsables de la gouvernance efficace de la sécuritéVoir la note en bas de page 15 au sein de leurs ministères. Ils assument aussi la responsabilité partagée quant à la sécurité du gouvernement dans son ensemble. Les principaux organismes responsables de la sécurité partagent la responsabilité du soutien des ministères en fournissant des conseils, des lignes directrices et des services pour appuyer les activités de sécurité quotidiennes des ministères. Ces organismes permettent à l’ensemble du gouvernement de gérer les activités de sécurité de façon efficace; de coordonner les interventions en cas d’incidents de sécurité; et de réaliser et maintenir un état acceptable de sécurité et de préparation.

Étant donné la grande taille et la complexité des opérations du gouvernement fédéral, les divers intervenants et les interdépendances qui existent entre les ministères, il est essentiel de disposer d’une gouvernance pangouvernementale bien définie pour coordonner efficacement les efforts en vue d’assurer la continuité des opérations du gouvernement fédéral.

L’audit a examiné si les principaux organismes responsables de la sécurité et les ministères se sont acquittés de leurs responsabilités en matière de gouvernance de la PCA en vertu des instruments suivants : la Loi sur la gestion des urgences; la Loi sur la gestion des finances publiques; la Politique fédérale en matière de gestion des urgences; la Politique sur la sécurité du gouvernement; la Directive sur la gestion de la sécurité ministérielle; la Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA). À l’échelle du gouvernement, l’audit a mis l’accent sur les aspects suivants de la gouvernance de la continuité des activités et des services gouvernementaux : les instruments de politique; les structures des comités pangouvernementaux; la planification stratégique des initiatives à l’appui des ministères; les cadres de surveillance et d’établissement de rapports à l’échelle du gouvernement; et [Ces informations n’ont pas été divulguées].

Les instruments de politique n’étaient pas tous facilement disponibles et, dans la plupart des cas, ils n’ont pas été mis à jour depuis plusieurs années. Des travaux sont en cours en vue de renouveler les instruments de politique, et une orientation technique plus récente a été émise dans certains secteurs.

Le Secrétariat et Sécurité publique Canada ont des responsabilités qui se chevauchent pour ce qui est de fournir une orientation aux ministères sur la PCA (consulter l’annexe F). Par conséquent, les deux ministères devaient coordonner leurs efforts pour s’assurer que leurs responsabilités soient abordées et que leurs instruments de politique respectifs soient cohérents.

Conformément aux responsabilités de son mandat, le Secrétariat a publié des instruments de politique sur son site Web afin d’appuyer l’approche pangouvernementale relative à la PCA. Le Secrétariat a fourni une orientation pangouvernementale sur les rôles, les responsabilités et les attentes dans ce secteur, principalement au moyen des instruments suivants : la Politique sur la sécurité du gouvernement; la Directive sur la gestion de la sécurité ministérielle; et la Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA). Cependant, ces instruments de politique fondamentaux n’ont pas été mis à jour depuis plusieurs années (près d’une décennie dans la plupart des cas), et le Secrétariat a, à maintes reprises, reporté ses échéanciers ciblés pour le faire. Au fil des années, des changements importants se sont produits dans l’environnement opérationnel du gouvernement. L’adoption croissante des modèles de prestation de services partagés en est un exemple. Les représentants du Secrétariat ont expliqué que les retards dans la mise à jour de l’ensemble de politiques sur la sécurité du gouvernement découlaient de la nécessité d’effectuer une analyse plus poussée pour rehausser la clarté des exigences.

Le Secrétariat a démontré qu’il travaillait activement au renouvellement des instruments de politique sur la sécurité du gouvernement en consultation avec Sécurité publique Canada et plusieurs comités interministériels. Par exemple, des versions provisoires de la nouvelle Politique sur la sécurité du gouvernement et de la nouvelle Directive sur la gestion de la sécurité, qui découlaient de consultations interministérielles dirigées par le Secrétariat, ont été présentées pour obtenir l’appui du Comité consultatif sur la gestion de la fonction publique lors de sa réunion de septembre 2016, et ont été publiées sur le site Intranet du Gouvernement Fédéral (GCpédia).

Conformément aux responsabilités de son mandat en vertu de la Loi sur la gestion des urgences, Sécurité publique Canada a publié un Guide de planification de la continuité des activités, lequel est facilement disponible sur son site Web public. Cette publication donne des directives de haut niveau sur la PCA pour tous les types d’organismes des secteurs public et privé. Même si Sécurité publique Canada a élaboré d’autres guides et outils techniques offrant des orientations plus précises sur la PCA au sein du gouvernement fédéral, ces ressources n’étaient pas aussi facilement disponibles que l’était le guide de Sécurité publique Canada. L’audit a également révélé que bon nombre de ces ressources n’avaient pas été mises à jour depuis plusieurs années, et que certaines évoquaient des instruments de politique que le Secrétariat avait annulés il y a plusieurs années.

Pendant les travaux d’audit sur le terrain, Sécurité publique Canada a démontré qu’elle avait commencé à mettre à jour ses ressources qui appuient la PCA à l’échelle du gouvernement. Sécurité publique Canada a aussi fourni à l’équipe d’audit un plan de travail interne décrivant plusieurs initiatives visant à renforcer le soutien à la PCA auprès des ministères dans les domaines suivants : l’élaboration de programmes, la formation, les services consultatifs, la sensibilisation, et les communications. Par exemple, en 2016, Sécurité publique Canada a mis au point un guide pour l’élaboration d’un programme de gestion de la continuité des activités pour les petits ministères et organismes (PMO). Au cours de l’élaboration de ce guide, Sécurité publique Canada a consulté un sous-ensemble de représentants de la communauté des petits ministères, y compris le centre des politiques du Secrétariat. Même si aucune preuve n’a été fournie pour démontrer que le guide avait par la suite été communiqué à tous les petits ministères à l’échelle du gouvernement, les preuves examinées ont démontré que le guide avait été communiqué par courriel aux participants au réseau-conseil sur la sécurité pour les petits organismes.

Néanmoins, seuls quelques grands ministères visés par l’audit ont indiqué que leurs besoins avaient été satisfaits au chapitre de l’orientation sur la PCA offerte par les principaux organismes responsables de la sécurité (le Secrétariat, dans son rôle d’organisme central, et Sécurité publique Canada). Dans les petits ministères, la majorité des représentants interviewés ont indiqué que les directives sur la PCA fournies par les principaux organismes responsables de la sécurité n’avaient pas répondu à leurs besoins. Les représentants des grands et des petits ministères ont indiqué les préoccupations suivantes : l’orientation n’était pas facilement disponible; la terminologie manquait de clarté; l’orientation offerte est trop générale et est désuète. Plusieurs représentants des petits ministères ont aussi indiqué qu’ils ne connaissaient pas le guide pour l’élaboration d’un programme de gestion de la continuité des activités pour les petits ministères et organismes.

Disposer d’instruments de politique sur la PCA pangouvernementaux à jour qui sont communiqués et harmonisés de façon générale, et qui tiennent compte de l’environnement opérationnel actuel du gouvernement pourrait réduire le risque que les rôles, les responsabilités, les attentes et les exigences soient mal compris et réalisés. Des instruments de politique améliorés pourraient contribuer à accroître l’état de préparation du gouvernement fédéral ainsi que sa résilience aux interruptions.

Des comités de la haute direction pangouvernementaux ont été établis afin de surveiller les domaines généraux liés à la PCA (la gestion des urgences et la sécurité du gouvernement). Cependant, il y avait peu d’indications démontrant que ces comités se penchaient activement sur les dossiers propres à la PCA.

L’engagement de la haute direction à l’égard de la PCA est essentiel, et pour atteindre un niveau de résilience élevé, les efforts doivent être concertés dans l’ensemble du gouvernement fédéral. Sécurité publique Canada et le Secrétariat se partagent les responsabilités principales à cet égard à l’échelle du gouvernement (consulter l’annexe F).

Ensemble, le Secrétariat et Sécurité publique Canada ont mis sur pied plusieurs comités de la haute direction pangouvernementaux en plus des groupes de travail et des forums en vue d’appuyer une approche pangouvernementale en matière de sécurité et de gestion des urgences. Même si les comités de la haute direction pangouvernementaux ont manifesté indirectement leur soutien à l’égard de la PCA lorsqu’ils traitaient des questions liées à des initiatives générales (comme le renouvellement de l’ensemble des politiques du Conseil du Trésor et les thèmes stratégiques de base pour la gestion fédérale des urgences), il y avait peu d’éléments probants démontrant leur soutien relativement à la PCA en particulier. L’audit a également relevé que la représentation des petits ministères au sein de ces comités de la haute direction pangouvernementaux était limitée.

Au niveau opérationnel, Sécurité publique Canada a établi des groupes de gouvernance informels pour aborder plus particulièrement la PCA. En septembre 2015, l’établissement d’une communauté de pratique fédérale pour la gestion des urgences et la continuité des activités a été approuvé afin de promouvoir les pratiques exemplaires et l’échange de renseignements entre les ministères. Toujours en , Sécurité publique Canada a organisé des réunions distinctes de groupes de travail interministériels avec des représentants des petits ministères et du Secrétariat afin d’élaborer son guide pour l’élaboration d’un programme de gestion de la continuité des activités pour les petits ministères et organismes (PMO), achevé en 2016. Sécurité publique Canada a aussi tenu, en novembre 2015, une séance interministérielle pour obtenir de la rétroaction au sujet de la gestion des urgences et des outils de PCA des petits ministères et organismes.

Le Bureau du Conseil privé a mis sur pied des comités de gouvernance informels (par exemple, le Comité de préparation des agents de sécurité ministériel et ses regroupements) et un centre du développement comportant des mandats généraux liés à la sécurité qui englobent la PCA, et ce, dans le but d’aider la collectivité des agents de sécurité ministériel à s’acquitter de ses fonctions au niveau opérationnel.

La participation active et directe des comités de la haute direction pangouvernementaux à la gestion de la sécurité et des urgences, et une meilleure représentation des petits ministères au sein de ces comités, permettraient de mieux faire connaître la PCA dans l’ensemble du gouvernement. En échange, cela permettrait de s’assurer que la PCA est dûment prise en compte dans le cadre du processus décisionnel de tous les ministères, notamment au moment de hiérarchiser les priorités et de prendre des décisions concernant l’affectation des ressources.

La planification stratégique de la PCA à l’échelle du gouvernement est insuffisante. Des travaux sont en cours dans le but d’élaborer des priorités stratégiques pour la gestion fédérale des urgences qui engloberaient la PCA.

La Politique sur la sécurité du gouvernement du Conseil du Trésor reconnaît la nécessité d’établir une approche pangouvernementale relativement à la sécurité afin de soutenir les ministères et de permettre au gouvernement de gérer efficacement la sécurité ainsi que de parvenir à un état de préparation acceptable et de le maintenir. De plus, la Politique indique que « La sécurité est assurée lorsqu’elle est appuyée par la haute direction, une dimension qui fait partie intégrante de la planification stratégique et opérationnelle, et qu’elle est intégrée aux cadres, à la culture et aux activités courantes des ministères ainsi qu’aux comportements des employés. » Elle précise également que « à l’échelle d’un gouvernement, il faut gérer les menaces à la sécurité, les risques et les incidents de façon proactive pour faciliter la protection des biens, des renseignements et des services critiques du gouvernement, et assurer, dans le même temps, la sécurité nationale. » Parce que la PCA est considérée comme une exigence de sécurité de base, nous nous attendions à ce qu’une stratégie pangouvernementale fondée sur les risques qui englobe la PCA soit en place.

Selon la Politique sur la sécurité du gouvernement, le Secrétariat est responsable d’exercer une supervision stratégique; d’assumer la direction; et d’établir les priorités relatives à la sécurité du gouvernement. Puisque Sécurité publique Canada est le ministère fédéral de coordination responsable d’exercer un leadership en gestion des urgences en vertu de la Loi sur la gestion des urgences, le Secrétariat et Sécurité publique Canada se partagent la responsabilité de la planification stratégique dans l’ensemble du gouvernement en ce qui a trait à la PCA.

Conformément aux responsabilités de leadership qui lui sont mandatées, Sécurité publique Canada a sollicité les commentaires des comités de la haute direction pangouvernementaux afin de cerner les priorités transversales dans l’ensemble de la communauté de gestion des urgences fédérale, et d’aider à façonner un programme stratégique commun.

En tenant compte des commentaires reçus, Sécurité publique Canada a ensuite mené des discussions en 2015 auprès de ces comités sur une approche visant à accroître la collaboration interministérielle et à faire progresser les priorités stratégiques. En tant que membre de ces comités, le Secrétariat a participé à ces discussions. Ils sont parvenus à un consensus quant aux thèmes stratégiques proposés pour la gestion de base des urgences, et à la nécessité d’élaborer un plan de travail pluriannuel afin d’opérationnaliser ces thèmes. Les comités interministériels de sous-ministres adjoints et Sécurité publique Canada ont également insisté sur le besoin de mobiliser les sous-ministres à cet égard. Le renforcement de la planification de la gestion des urgences, y compris la PCA, a été relevé comme une priorité d’un des thèmes stratégiques de base.

Même si les travaux entourant les thèmes stratégiques se poursuivent, les trois thèmes suivants concernant la gestion des urgences de base ont été relevés afin d’assurer la résilience dans le contexte de l’environnement des risques actuel :

  • capacités : Pour renforcer les capacités, il faut entre autres disposer des bonnes structures, des bonnes ressources et des bons outils afin de gérer les événements et les urgences
  • connaissances et innovation : La facilitation de meilleurs échanges de connaissances, de la recherche et de l’innovation permettra de cerner de nouvelles possibilités et de veiller à ce que les approches soient mieux intégrées
  • relations et culture : Les relations et la culture accroissent la résilience sociétale en favorisant la sensibilisation aux risques et en établissant la confiance entre divers groupes

Cependant, au moment de l’audit, une stratégie intégrée particulière visant à renforcer la PCA dans l’ensemble du gouvernement et un plan d’action pangouvernemental pour mettre en œuvre une telle stratégie n’avaient pas encore été élaborés. De plus, les sous-ministres n’avaient pas encore été mobilisés sur les thèmes stratégiques de base proposés pour la gestion des urgences.

Accroître la résilience dans un environnement où les risques évoluent nécessite une approche plus intégrée. Au moyen d’une planification stratégique officielle intégrée à l’échelle du gouvernement, le gouvernement du Canada devrait être en mesure d’accroître sa capacité à obtenir les résultats attendus décrits dans l’ensemble des politiques sur la sécurité du Secrétariat et d’accroître de façon efficace sa résilience aux interruptions en concentrant ses ressources dans les secteurs qui présentent un risque plus élevé.

La surveillance pangouvernementale de la PCA était limitée. Des travaux sont en cours dans le but d’améliorer les cadres de surveillance et d’établissement de rapports.

La surveillance de la PCA à l’échelle du gouvernement est une responsabilité partagée entre le Secrétariat et Sécurité publique Canada. Le Secrétariat est responsable de la surveillance de la conformité pangouvernementale à l’ensemble des politiques du Conseil du Trésor et de l’atteinte des résultats attendus des politiques. Le Secrétariat devrait également avoir examiné l’efficacité et la mise en œuvre de l’ensemble des politiques du Conseil du Trésor et en avoir rendu compte à ce dernier cinq ans après l’entrée en vigueur de la Politique sur la sécurité du gouvernement (en ).

En vertu de la Loi sur la gestion des urgences, Sécurité publique Canada est chargé « d’analyser et d’examiner les plans de gestion des urgences établis par les institutions fédérales », y compris les plans de continuité des activités. Les responsabilités de Sécurité publique Canada aux termes de cette loi comprennent également la conduite d’exercices de gestion des urgences. En ce qui a trait à l’établissement de rapports, selon la Politique fédérale en matière de gestion des urgences, Sécurité publique Canada doit faire « tous les deux ans, un compte rendu au Comité des sous-ministres responsables des questions de gestion des mesures d’urgence concernant la mise en œuvre de cette politique et concernant l’état de préparation du système fédéral de gestion des mesures d’urgence à l’échelle de l’administration fédérale. Ces comptes rendus seront fondés sur les renseignements transmis par les institutions fédérales et sur le travail aussitôt entrepris par Sécurité publique Canada ».

Enfin, selon la Politique sur la sécurité du gouvernement, le Secrétariat et Sécurité publique Canada sont responsables de « s’assurer que des examens périodiques sont effectués en vue de vérifier l’efficacité de leurs services de soutien à la sécurité afin de veiller à ce que ces services continuent de répondre aux besoins des ministères et du gouvernement dans son ensemble ».

En effectuant des vérifications du Cadre de responsabilisation de gestion (CRG) au cours de l’exercice 2014 à 2015 et de l’exercice 2015 à 2016, le Secrétariat a démontré qu’il s’était acquitté de sa responsabilité pangouvernementale de surveiller la conformité aux exigences des politiques sur la PCA. Le Secrétariat a également participé à des exercices spéciaux de « leçons retenues » menés conjointement avec d’autres principaux organismes et ministères responsables de la sécurité après que des incidents de sécurité se soient produits. Cependant, le Secrétariat n’a pas respecté les exigences précitées en matière de rapport au Conseil du Trésor, et il n’a pas démontré avoir examiné périodiquement l’efficacité de ses initiatives de soutien relativement à la PCA.

Dans le cadre de sa responsabilité de surveillance pangouvernementale en tant que principal organisme responsable de la sécurité aux termes de la Politique sur la sécurité du gouvernement, Sécurité publique Canada a tenu des réunions du groupe de travail interministériel et des séances de rétroaction avec des représentants des petits ministères, afin d’examiner et d’améliorer les directives et les outils de PCA dont ils disposent. En ce qui concerne sa responsabilité législative d’effectuer des exercices de gestion des urgences, Sécurité publique Canada s’est acquitté de sa responsabilité en élaborant un calendrier d’exercice national pluriannuel pour 2013 à 2016, et en menant un exercice national en 2014 qui a couvert la PCA. Sécurité publique Canada a rédigé un « compte rendu après action » pour cet exercice, et il l’a présenté aux Comités de la gestion des urgences des sous-ministres adjoints et des directeurs généraux.

Au-delà de ces initiatives, Sécurité publique Canada n’a pas démontré avoir examiné périodiquement l’efficacité de ses initiatives de soutien relativement à la PCA. En outre, Sécurité publique Canada n’a pas démontré qu’il avait examiné les plans de continuité des activités des autres ministères. Cette question a été soulevée auparavant dans le Rapport de l’automne de 2009 de la vérificatrice générale du Canada et dans la Vérification interne de la planification de la gestion des urgences : leadership et surveillance de 2014 de Sécurité publique Canada. Même si le Bureau du vérificateur général du Canada n’a pas formulé de recommandation particulière dans son rapport de 2009 afin d’aborder cette question, une recommandation dans ce domaine a été formulée dans le rapport de vérification interne de 2014 de Sécurité publique Canada susmentionné.

En outre, nous avons noté que Sécurité publique Canada ne s’est pas acquittée de sa responsabilité consistant à rendre compte de l’état de préparation pangouvernemental relativement à la continuité des opérations gouvernementales. La Vérification interne de la planification de la gestion des urgences : leadership et surveillance de 2014 de Sécurité publique Canada a conclu que, en général, Sécurité publique Canada « n’est pas dotée des mécanismes suffisants ou efficaces pour évaluer comme il se doit l’état de préparation des institutions fédérales en cas d’urgence. Également, l’absence de mécanismes de suivi limite la capacité du Ministère de mieux saisir les points forts et les difficultés au sein des institutions fédérales. Cette capacité devrait en soi servir de base aux directives, aux politiques et à l’orientation de Sécurité publique Canada ».

Au cours des travaux d’audit sur le terrain, des données probantes ont été fournies démontrant que le Secrétariat et Sécurité publique Canada travaillent activement ensemble à l’élaboration d’approches conjointes dans le but d’améliorer les cadres de surveillance et d’établissement de rapports de la PCA à l’échelle du gouvernement.

Une surveillance périodique de la PCA à l’échelle pangouvernementale et la communication périodique des résultats aux comités de la haute direction pangouvernementaux aideraient à identifier et à traiter les vulnérabilités de façon plus proactive et systématique dans l’ensemble du gouvernement. Une telle surveillance et un tel établissement de rapports viendraient accroître la résilience du gouvernement face aux perturbations.

À l’échelle du gouvernement, l’approche pour [Ces informations n’ont pas été divulguées] est réactive et s’appuie sur des hypothèses non vérifiées. Des travaux sont en cours afin d’adopter une approche plus proactive à cet égard.

Renforcer la résilience du gouvernement aux interruptions dans un environnement de risque en évolution où les interdépendances entre les ministères ont augmenté considérablement nécessite une approche proactive et globale à la PCA. En ce qui concerne le processus, l’identification et l’établissement des priorités des services essentiels sont un point de départ fondamental sur le plan des risques. Si l’accès à ces services ou leur intégrité étaient compromis, il en résulterait un préjudice élevé à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada.

Selon la Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA), les ministères doivent « effectuer une analyse des répercussions sur les opérations pour évaluer l’incidence des interruptions sur le ministère et pour relever les services essentiels et les biens afférents ». La norme prescrit également une approche de base que les ministères doivent suivre lorsqu’ils effectuent une analyse des répercussions sur les opérations.Voir la note en bas de page 16 En outre, la Directive sur la gestion de la sécurité ministérielle prévoit une exigence au niveau des ministères indiquant qu’« un répertoire de services critiques et de renseignements connexes, de biens et de dépendances soit tenu à jour, et que ce répertoire soit transmis à Sécurité publique Canada au besoin. ».

[Ces informations n’ont pas été divulguées]. Compte tenu du rôle de leadership de Sécurité publique Canada comme ministère de coordination fédérale pour la gestion des urgences et du rôle du Secrétariat comme organisme central pour l’établissement et la surveillance d’une politique sur la sécurité du gouvernement, nous nous attendions à ce que les deux ministères aient collaboré à l’élaboration et à la mise en œuvre d’une telle approche.

En janvier 2011, Sécurité publique Canada a élaboré un Plan fédéral d’intervention d’urgence (PFIU) qui décrivait le plan d’intervention « tous risques »Voir la note en bas de page 17 du gouvernement du Canada. Le PFIU décrit les processus et les mécanismes de haut niveau qui facilitent une intervention intégrée du gouvernement du Canada en cas d’urgence, et qui éliminent le besoin pour les institutions fédérales de coordonner une intervention gouvernementale généralisée. L’annexe A du PFIU donne un aperçu général des fonctions au sein du gouvernement qui sont les plus souvent utilisées dans le cadre d’une intervention fédérale en cas d’urgence (les fonctions de soutien en cas d’urgence). L’annexe précise également les ministères qui jouent un rôle principal et un rôle auxiliaire dans chacun de ces domaines, et renferme une description générale de leurs responsabilités. Selon le PFIU, « au cours d’une intervention intégrée du gouvernement du Canada, toutes les institutions fédérales concernées participent à la détermination des objectifs globaux, contribuent aux plans conjoints et optimisent l’utilisation de toutes les ressources disponibles. Cela se produit aux échelons nationaux et régionaux au besoin, selon la portée et la nature de l’urgence ». Une vaste structure de gouvernance interministérielle a également été élaborée pour appuyer le PFIU dans le but de coordonner la gestion des urgences pendant les situations non urgentes et urgentes.Voir la note en bas de page 18

Même si le PFIU recense les domaines qui sont habituellement essentiels dans le cadre d’une intervention d’urgence fédérale (c’est-à-dire, les fonctions de soutien en cas d’urgence) et est appuyé par une structure de gouvernance interministérielle élargie pour coordonner les activités de gestion des urgences, il ne décrit pas clairement [Ces informations n’ont pas été divulguées]. Ceci est dû au fait que la portée du PFIU se situe à un niveau de gestion des urgences beaucoup plus général, et l’objectif du PFIU est « d’utiliser des méthodes de nature générique, modifiées au besoin selon les circonstances particulières ».

Les représentants de Sécurité publique Canada questionnés ont mentionné le fait que les ministères ont identifié les services essentiels « à des degrés différents » et « en fonction de leurs propres pouvoirs ». Ils ont ajouté que « lorsqu’une intervention pangouvernementale est requise (plusieurs ministères sont touchés par un événement) et que des décisions s’imposent [Ces informations n’ont pas été divulguées]) ». Selon ces représentants, de telles « décisions seraient prises en vertu de la gouvernance du PFIU établie. Les décisions liées à la PCA qui n’ont pas d’incidence sur une intervention intégrée du gouvernement du Canada demeureraient des décisions internes de chaque ministère. De plus, la structure du PFIU est uniquement centrée sur les activités d’intervention et le rétablissement initial. Les activités à plus long terme qui se produisent normalement pendant la phase du rétablissement ne sont pas abordées dans la structure du PFIU. »

L’approche adoptée à l’échelle pangouvernementale pour [Ces informations n’ont pas été divulguées] s’est donc révélée réactive. Les structures de gouvernance actuelles du PFIU ne sont désignées à cette fin qu’à titre spécial lorsque surviennent des urgences qui exigent une intervention intégrée du gouvernement. L’approche au niveau pangouvernemental est tributaire de la capacité des ministères touchés par ces urgences de fournir ces renseignements au besoin. Étant donné que la surveillance de la PCA ministérielle est limitée à l’échelle pangouvernementale, tel qu’indiqué à la section précédente, l’audit a conclu que l’approche réactive, à l’échelle du gouvernement, s’appuie également sur des hypothèses non vérifiées quant à la disponibilité, à la ponctualité et à l’exactitude des renseignements provenant des ministères concernant les services essentiels.

Cependant, pendant les travaux d’audit sur le terrain, l’équipe de l’audit a reçu l’ébauche [Ces informations n’ont pas été divulguées].Voir la note en bas de page 19

Enfin, l’audit a noté qu’en 2016, des représentants de Sécurité publique Canada et du Secrétariat ont tenu des réunions conjointes au niveau de travail afin de préciser leurs rôles et responsabilités respectifs et de mettre au point des approches communes pour [Ces informations n’ont pas été divulguées]. La documentation, résultant de ces réunions, exposait les grandes lignes de l’utilité de [Ces informations n’ont pas été divulguées] pour appuyer la coordination interministérielle et la prise de décisions au cours d’une intervention fédérale, et aux fins d’autres activités de gestion des urgences. Au moment de l’audit, les travaux effectués dans ce domaine étaient toujours en cours, et des représentants de Sécurité publique Canada ont mentionné que « même si des discussions étaient en cours entre Sécurité publique Canada et le Secrétariat du Conseil du Trésor du Canada à ce sujet, il n’y a pas eu d’entente formelle entre les deux parties sur l’élaboration [Ces informations n’ont pas été divulguées] ».

L’adoption d’une approche pangouvernementale plus proactive contribuerait à rehausser la qualité des renseignements relatifs aux [Ces informations n’ont pas été divulguées] sur les plans de la disponibilité, de la ponctualité et de l’exactitude. Une telle approche pourrait également accroître l’efficacité et l’efficience de l’établissement des priorités pour la PCA, la prise de décisions stratégiques connexe et l’intervention à la suite d’événements du point de vue pangouvernemental.

Cadres de gouvernance pangouvernementaux

La gouvernance de la PCA à l’échelle du gouvernement est exercée principalement par le biais d’instruments de politique, de comités de gouvernance interministériels, de groupes de travail, de forums, et d’activités de surveillance menées dans le cadre des évaluations du CRG. Les principaux ministères participant à la gouvernance de la PCA sont les suivants : Sécurité publique Canada, dans son rôle de leadership en tant que ministère de coordination fédérale; et le Secrétariat, dans son rôle d’organisme central.

Plusieurs possibilités d’amélioration ont été relevées à l’égard des aspects suivants : la disponibilité et la mise à jour des instruments de politique; le soutien de la haute direction; la planification stratégique; la surveillance et l’établissement de rapports; l’approche adoptée pour identifier et prioriser les services essentiels.

Recommandations : la gouvernance à l’échelle pangouvernementale

  1. Sécurité publique Canada et le Secrétariat devraient s’assurer que des plans de travail appropriés sont en place et surveillés régulièrement afin d’accélérer le renouvellement des instruments de politique qui appuient la PCA. Ce faisant, le Secrétariat devrait également déterminer la façon de renforcer les liens avec le guide technique sur la PCA de Sécurité publique Canada dans le cadre renouvelé des politiques sur la sécurité du Conseil du Trésor.
  2. Sécurité publique Canada devrait s’assurer que son guide technique sur la PCA est communiqué à tous les ministères et facilement disponible.
  3. Sécurité publique Canada et le Secrétariat devraient aborder périodiquement la question de la PCA dans les ordres du jour des réunions des comités de la haute direction pangouvernementaux liées à la sécurité et à la gestion des urgences. La représentation des petits ministères au sein de ces comités devrait également être renforcée.
  4. Sécurité publique Canada devrait, en consultation avec le Secrétariat, élaborer et mettre en œuvre un cadre de surveillance et d’établissement de rapports officiel pour examiner périodiquement les plans de continuité des activités d’autres ministères.
  5. Le Secrétariat, de concert avec Sécurité publique Canada et le Bureau du Conseil privé, devrait établir une stratégie pangouvernementale axée sur les résultats afin de renforcer la continuité des opérations gouvernementales et d’appuyer les ministères dans le renforcement de leurs programmes de PCA. La stratégie devrait :
    1. répondre aux besoins particuliers des ministères (par exemple, grâce à une formation pratique, à des outils, à une orientation technique, à des activités de développement de capacités, à un soutien ciblé, le cas échéant)
    2. comprendre l’élaboration d’une approche proactive pour permettre aux ministères de fournir des informations opportunes et précises sur la PCA, [Ces informations n’ont pas été divulguées]
    3. être élaborée en consultation avec les comités interministériels supérieurs pertinents chargés de la gestion de la sécurité et des urgences, ainsi que préciser les contributions de ces comités au renforcement de la PCA dans l’ensemble du gouvernement
    4. être surveillée régulièrement par le Secrétariat, de concert avec Sécurité publique Canada, afin de contribuer à faire en sorte que les résultats ciblés soient obtenus
    5. prendre en considération les résultats de toutes les activités de surveillance pangouvernementales qui se rapportent à la PCA (par exemple, les évaluations du CRG menées par le Secrétariat, les évaluations des plans ministériels de continuité des activités menées par Sécurité publique Canada et les évaluations de la maturité)

Constatation 2 : la gouvernance à l’échelle ministérielle

La Politique sur la sécurité du gouvernement du Conseil du Trésor stipule que les administrateurs généraux sont responsables de la mise en œuvre et de la gouvernance efficaces de la sécurité au sein de leurs ministères, et qu’ils se partagent la responsabilité en ce qui a trait à la sécurité du gouvernement dans son ensemble.

L’audit a examiné si les ministères se sont acquittés de leurs responsabilités liées à la gouvernance, conformément à la Politique sur la sécurité du gouvernement; à la Directive sur la gestion de la sécurité ministérielle; et à la Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA). L’audit s’est focalisé sur les aspects suivants de la gouvernance ministérielle pour la PCA : les comités de gouvernance; la communication des rôles et des responsabilités; les essais; la surveillance; et l’établissement de rapports.

Même si la grande majorité des ministères ont établi des comités de gouvernance afin de superviser et d’intégrer les activités liées à la PCA, la plupart d’entre eux n’ont pas démontré que leurs comités intervenaient activement dans ce domaine.

Selon la Politique sur la sécurité du gouvernement, « la sécurité est assurée lorsqu’elle est appuyée par la haute direction, une dimension qui fait partie intégrante de la planification stratégique et opérationnelle, et qu’elle est intégrée aux cadres, à la culture et aux activités courantes des ministères ainsi qu’aux comportements des employés ». La Directive sur la sécurité ministérielle exige des ministères qu’ils établissent des mécanismes de gouvernance de la sécurité (comme des comités et des groupes de travail) dans le but de veiller à la coordination et à l’intégration des activités liées à la sécurité, en plus de faciliter la prise de décisions. La gouvernance est aussi identifiée comme un élément clé des programmes ministériels de PCA en vertu de la Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA). Les ministères étaient donc censés avoir des comités de gouvernance en place qui participaient activement à la surveillance et à l’intégration des activités liées à la PCA.

L’audit a permis de constater que la grande majorité des ministères avaient des comités de la haute direction officiels en place pour surveiller et appuyer la coordination des activités de leurs organismes, y compris les activités se rapportant à la PCA. L’audit a aussi révélé, à titre de pratique exemplaire, que la plupart des grands ministères ainsi que certains petits ministères avaient également mis sur pied des comités ou des groupes de travail qui avaient des mandats consacrés à la PCA.

Cependant, les ministères n’ont généralement pas démontré que ces comités de gouvernance appuyaient activement la PCA en se réunissant régulièrement (selon une fréquence préétablie), et en suivant de façon systématique les initiatives reliées à la PCA et en y donnant suite.

Les comités de gouvernance qui démontrent activement leur soutien à la PCA en se rencontrant régulièrement et en donnant suite aux initiatives dans ce domaine augmenteraient le profil de la PCA. En retour, cela permettrait de s’assurer de tenir compte de la PCA comme il se doit dans le cadre du processus décisionnel, en plus de renforcer la coordination entre les intervenants ministériels.

La communication des rôles et des responsabilités doit être améliorée dans presque tous les ministères.

La Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA) stipule qu’un élément essentiel de la gouvernance est l’élaboration d’une politique de programme de PCA ministérielle approuvée par la haute direction afin de définir et de communiquer officiellement les attentes.

Les ministères doivent également nommer un agent de sécurité du ministère (ASM) et un coordonnateur ministériel de la PCA. La Politique sur la sécurité du gouvernement indique que l’ASM doit relever de façon fonctionnelle de l’administrateur général ou du comité exécutif ministériel pour gérer le programme de sécurité du ministère.Voir la note en bas de page 20 Les responsabilités de sécurité de l’ASM comprennent la PCA, et la Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA) exige que les ministères nomment un coordonnateur de la PCA pour appuyer l’ASMVoir la note en bas de page 21dans ce domaine. En vertu de cette norme, le coordonnateur de la PCA est censé informer l’ASM tout au long du processus de PCA.Voir la note en bas de page 22

La Directive sur la gestion de la sécurité ministérielle exige également que les ministères veillent à ce que les responsabilités, les délégations, les rapports hiérarchiques ainsi que les rôles et les responsabilités des employés ministériels ayant des responsabilités de sécurité soient définis, documentés et communiqués aux personnes concernées. Les ministères devaient s’être conformés à ces exigences pour les rôles et responsabilités liés à la PCA attribués à tous les employés participant au processus de la PCA du ministère (par exemple, l’ASM, le coordonnateur de la PCA et les gestionnaires fonctionnels)Voir la note en bas de page 23.

Même si la majorité des grands ministères examinés ont démontré que les politiques sur le programme de PCA approuvées par la haute direction étaient en place, ce n’était généralement pas le cas pour les petits ministères. L’audit a également relevé que, dans la moitié des grands ministères où ces politiques étaient en place, les politiques n’avaient pas été mises à jour depuis plusieurs années. Les représentants d’un de ces grands ministères ont indiqué qu’ils attendaient que le Secrétariat et Sécurité publique Canada mettent d’abord leurs instruments de politique connexes à jour.

La majorité des ministères ont nommé officiellement un ASM et un coordonnateur de la PCA, conformément aux exigences susmentionnées. Les rapports hiérarchiques observés entre ces deux intervenants concordaient aussi généralement avec ces exigences. Cependant, dans la moitié des grands ministères, il a été noté que le rapport hiérarchique entre l’ASM et l’administrateur général (ou le comité exécutif) n’était pas documenté ou communiqué officiellement aux deux parties.

En ce qui concerne la communication des rôles et des responsabilités relatifs à la PCA à tous les employés concernés par le processus de PCA ministériel, des possibilités d’amélioration ont été relevées dans la plupart des grands ministères et dans tous les petits ministères inclus dans le présent audit. Plus particulièrement, la plupart des grands ministères n’ont pas démontré avoir communiqué officiellement les rôles et responsabilités à l’égard de la PCA à tous les employés participant au processus de la PCA. Cette situation a également été constatée dans tous les petits ministères examinés. Dans plusieurs grands et petits ministères, l’audit a toutefois noté que certains employés étaient officiellement tenus responsables de leur rendement quant à l’exercice de leurs rôles à l’égard de la PCA (par exemple, au moyen de leur entente annuelle de gestion du rendement).

Le fait de s’assurer que les rôles et les responsabilités à l’égard de la PCA sont communiqués officiellement à toutes les personnes participant au processus de PCA ministériel contribuerait à une meilleure compréhension des attentes et à la coordination des activités dans ce secteur. En outre, le fait de tenir officiellement toutes les personnes responsables de leur rendement relativement à l’exercice de leurs rôles et de leurs responsabilités respectifs dans le cadre de ce processus contribuerait davantage à renforcer l’efficacité générale du programme de PCA.

Les cadres ministériels de surveillance de la PCA et d’établissement de rapports connexes étaient inexistants ou limités.

En vertu du cadre de la politique sur la sécurité du gouvernement, il incombe aux ministères d’établir des cadres de surveillance et d’établissement de rapports afin d’examiner périodiquement l’efficacité et la conformité de leurs programmes de PCA. La Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA) exige également de la part des ministères qu’ils effectuent des mises à l’essai et une validation régulières de tous leurs plans de continuité des activités.Voir la note en bas de page 24

Dans le Guide de planification de la continuité des activités de Sécurité publique Canada, il est recommandé que tous les ministères effectuent des examens internes une ou deux fois par année afin de veiller à l’exactitude, à la pertinence et à l’efficacité de leurs plans de continuité des activités.Voir la note en bas de page 25 Même s’il a été publié après la période visée par l’audit, le Guide pour l’élaboration d’un programme de gestion de la continuité des activités pour les petits ministères et organismes de Sécurité publique Canada recommande ceci : qu’« une session de revue généraleVoir la note en bas de page 26 ou un exercice sur tableVoir la note en bas de page 27 des plans soient effectués chaque année » et que les plans « soient mis à l’essai au moins une fois tous les deux ans ».Voir la note en bas de page 28 Le guide de Sécurité publique Canada à l’intention des PMO recommande également que « chaque PMO mène un examen périodique de son programme de PCA, y compris des risques, des ARO, des plans, de la formation ou de la sensibilisation et des mises à l’essai. En règle générale, un examen du programme devrait être mené tous les deux ans, ou après que le plan a été exécuté ou activé. »Voir la note en bas de page 29

Aucun des ministères inclus dans le présent audit n’a respecté la totalité des exigences mentionnées antérieurement et des pratiques recommandées en vigueur au cours de la période visée par l’audit. Plus précisément, la majorité des grands et petits ministères n’ont pas démontré qu’ils avaient mis en place des cadres de surveillance et d’établissement de rapports de la PCA pour assurer leur conformité avec le cadre des politiques sur la sécurité du gouvernement et l’efficacité générale de leurs programmes de PCA. La moitié des grands ministères n’ont également pas pris l’initiative de mettre à l’essai leurs plans de continuité des activités pour ceux échantillonnés dans le cadre de cet audit. Pour ceux qui l’ont fait, aucun n’a démontré avoir mené des essais complets,Voir la note en bas de page 30 et les essais menés se limitaient soit à des exercices sur table, à des exercices d’appel de demande d’interventionVoir la note en bas de page 31 ou à certains secteurs (par exemple, des services, des directions et des secteurs particuliers). La majorité des petits ministères n’ont pas démontré avoir mis à l’essai leurs plans de continuité des activités échantillonnés dans le cadre de cet audit. En outre, aucun des ministères n’a démontré avoir adopté des programmes d’essai officiels qui englobent des essais et des validations périodiques de tous les plans de continuité des activités conformément aux exigences des politiques et aux pratiques recommandées du gouvernement.

Des représentants ministériels de grands et de petits ministères ont donné différentes explications concernant le manque de surveillance. Plusieurs représentants ont mentionné qu’ils s’appuyaient sur les évaluations du CRG menées par le Secrétariat pour examiner la conformité de leurs programmes de PCA ministériels avec le cadre des politiques sur la sécurité du gouvernement. Certains représentants ont aussi noté que l’orientation fournie par le Secrétariat et Sécurité publique Canada concernant la surveillance des programmes de PCA ministériels était trop générale ou vague. D’autres ont mentionné qu’ils disposaient de ressources limitées à consacrer à ce secteur.

La surveillance et l’établissement de rapports périodiques officiels concernant la conformité en général et l’efficacité des programmes de PCA ministériels permettraient aux ministères de prendre l’initiative de cerner et de combler tout écart afin d’accroître leur résilience aux événements qui perturbent les activités opérationnelles normales. En tant qu’élément clé de ces cadres de surveillance et d’établissement de rapports, les essais périodiques des plans de continuité des activités donneraient aux ministères l’assurance pratique de la probabilité que ces plans fonctionneraient si de telles perturbations survenaient.

Cadres de gouvernance à l’échelle ministérielle

Des éléments des cadres de gouvernance des PCA ministériels comme ceux qui suivent étaient généralement en place dans tous les ministères : les comités de gouvernance; des politiques officielles (dans les grands ministères); des ASM; et des coordonnateurs de la PCA.

Les grands et les petits ministères pourraient améliorer leurs cadres de gouvernance de la PCA par une participation plus active des comités de gouvernance mis en place; une meilleure communication des rôles et des responsabilités aux employés; et la mise en œuvre de cadres officiels de surveillance et d’établissement de rapports (y compris les programmes d’exercice officiels).

Dans les grands ministères, il y a aussi la possibilité de s’assurer que les politiques des programmes de PCA soient mises à jour en temps opportun et de formaliser davantage les rapports hiérarchiques entre les ASM et les administrateurs généraux (ou les comités exécutifs).

Enfin, il y a une possibilité dans les petits ministères de mettre en place des politiques de programmes de PCA officiellement approuvées.

Recommandations : la gouvernance à l’échelle ministérielle

  1. Les ministères devraient s’assurer que des politiques à jour de programmes de PCA soient en place et s’harmonisent avec le cadre des politiques sur la sécurité du gouvernement.
  2. Les ministères devraient s’assurer que les rôles, les responsabilités et les rapports hiérarchiques en matière de PCA soient communiqués officiellement à tous les employés participant au processus de PCA ministériel.
  3. Les ministères devraient s’assurer que les comités de gouvernance appuient activement la PCA en se réunissant régulièrement et en donnant systématiquement suite aux initiatives à cet égard.
  4. Les ministères devraient établir des cadres de surveillance et d’établissement de rapports officiels à l’égard de la PCA, y compris des programmes de mise à l’essai, pour assurer la conformité avec le cadre des politiques sur la sécurité du gouvernement et l’efficacité générale des programmes de PCA.

Constatation 3 : les processus de PCA ministériels

Au nombre de leurs exigences de sécurité de base, tous les ministères doivent disposer d’un plan de continuité des activités afin d’assurer la continuité des opérations gouvernementales, et ce, qu’ils offrent des services essentiels ou non.Voir la note en bas de page 32 La réalisation d’une analyse des risques opérationnels (ARO) est un point de départ fondamental de l’élaboration de ces plans. La Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA) décrit diverses autres activités qui doivent être réalisées dans le cadre de ce processus, y compris les exigences relatives au contenu des ARO et des plans de continuité des activités.Voir la note en bas de page 33

L’audit a évalué un échantillon axé sur les risquesVoir la note en bas de page 34 d’ARO et de plans de continuité des activités ministériels, afin de déterminer la mesure dans laquelle les ministères respectaient ces exigences.

La majorité des ministères ont mené des ARO. Cependant, en général, ils ne répondent pas entièrement aux exigences de base à cet égard.

Les ministères étaient censés avoir mené des ARO afin d’identifier et de prioriser les services offerts en fonction de leur caractère essentiel (par exemple, sur le plan ministérielVoir la note en bas de page 35 et sur le plan intergouvernementalVoir la note en bas de page 36). Les ARO sont essentielles au processus de PCA, car elles fournissent les renseignements de base requis pour permettre aux ministères d’orienter leurs efforts et leurs ressources limitées de façon stratégique dans les domaines qui comptent le plus pour la continuité de leurs activités.

La Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA) exige que les ministères suivent les étapes suivantes lorsqu’ils mènent des ARO :

  1. déterminer la nature des activités du ministère (par exemple, son rôle et son mandat) et les services qu’il doit fournir. L’analyse doit également faire état des fonctions internes et externes sur lesquelles les services reposent
  2. déterminer les répercussions directes et indirectes des interruptions sur le ministère, y compris les effets quantitatifs et qualitatifs
  3. évaluer les services pour déterminer ceux qui sont les plus susceptibles de causer un préjudice élevé aux Canadiens et aux Canadiennes et au gouvernement, s’ils sont interrompus
  4. relever les services essentiels, les classer par ordre de priorité et dresser une liste des ressources (personnel, entrepreneurs, fournisseurs, information, systèmes et autres biens) qui soutiennent directement ou indirectement les services au sein et à l’extérieur du ministère. La priorité est établie selon le temps d’arrêt maximal admissibleVoir la note en bas de page 37 et le niveau de services minimalVoir la note en bas de page 38 requis avant qu’un préjudice élevéVoir la note en bas de page 39 ne soit causé. Les services qui doivent toujours être disponibles, c’est-à-dire pour lesquels une interruption est inacceptable et la reprise immédiate est essentielle, viennent au premier rang
  5. Faire approuver les résultats de l’analyse des répercussions sur les opérations par la haute direction avant de procéder à l’élaboration des plans de continuité

Même si les ARO ont été complétées dans la majorité des ministères, ce n’était pas le cas pour deux grands ministères et un petit ministère.

De plus, les grands et les petits ministères ne respectaient généralement pas entièrement la majorité des exigences énumérées antérieurement pour les ARO en vertu de la Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA).

À cet égard, les possibilités d’amélioration relevées dans le cadre de l’audit étaient plus importantes dans les domaines suivants : l’évaluation des services pour déterminer ceux qui sont les plus susceptibles de causer un préjudice élevé aux Canadiens et aux Canadiennes et au gouvernement; le classement des services par ordre de priorité en fonction de leurs temps d’arrêt maximaux admissibles et de leurs niveaux de service minimaux; l’approbation des ARO par la haute direction; et l’identification de dépendances internes et externes (par exemple, avec d’autres fonctions, ressources et ministères) nécessaires à la prestation de service.Voir la note en bas de page 40

L’exécution d’ARO complètes conformément à toutes les exigences de base permettrait d’améliorer la qualité des renseignements disponibles pour la PCA dans les ministères. À son tour, cela pourrait aider les ministères à accroître l’efficacité générale de leur programme de PCA.

La majorité des ministères avaient des plans de continuité des activités pour tous les services échantillonnés. Cependant, plusieurs possibilités d’amélioration ont été relevées relativement à leur contenu et aux processus exécutés pour élaborer ces plans.

Les plans de continuité des activités sont les principaux produits du processus de PCA, et essentiellement, ils offrent un plan des mesures qui devront être prises en cas d’interruption des activités opérationnelles régulières. Plus particulièrement, ils contiennent des procédures préétablies et convenues, incluant tous les renseignements pertinents pour permettre la continuité et la reprise subséquente des activités opérationnelles ministérielles touchées par des interruptions.

Selon les résultats concernant leurs ARO, les ministères doivent, en vertu de la Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA), accomplir les activités suivantes dans le cadre du processus d’élaboration de leurs plans de continuité des activités :

  1. élaborer des options de reprise qui permettront d’établir une stratégie de reprise pour chacun des services essentiels
  2. évaluer chaque option en termes d’interruption possible, de répercussions sur le ministère, d’avantages, de risques, de faisabilité et de coûts afin de choisir la stratégie la plus pertinente
  3. obtenir l’approbation de la haute direction pour appuyer et financer certaines stratégies
  4. élaborer des plans de continuité des activités qui font état :
    1. des services essentiels, des produits d’information et des dépendances relevés dans l’analyse des risques opérationnels
    2. des stratégies de reprise approuvées
    3. des mesures à prendre pour donner suite aux répercussions et aux effets des interruptions sur le ministère
    4. des équipes d’intervention et de reprise, y compris la composition des équipes et les coordonnées des membres
    5. des rôles, responsabilités et tâches des équipes, y compris des intervenants internes et externes
    6. des ressources requises et des procédures à suivre pour la reprise
    7. des mécanismes et des procédures de coordination
    8. des stratégies de communications
  5. obtenir l’approbation de la haute direction concernant les plans élaborés

Les ministères disposaient généralement de plans de continuité des activités visant tous les services échantillonnés. Plus particulièrement, tous les petits ministères avaient de tels plans pour chaque service échantillonné, mais ce n’était pas le cas pour certains grands ministères.

En général, les plans de continuité des activités examinés dans les petits ministères contenaient principalement tous les renseignements de base nécessaires en vertu de la Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA) (section 3.3 d). Cependant, c’est le contraire qui a été observé du côté des grands ministères. Les possibilités d’amélioration dans les grands et les petits ministères étaient les plus importantes en ce qui a trait à la détermination des interdépendances internes et externes auxquelles on se fiait et à la détermination des ressources et des procédures nécessaires à la reprise.Voir la note en bas de page 41 Dans les grands ministères, il y avait des possibilités d’amélioration plus importantes relativement à la détermination des éléments suivants : les mesures pour traiter les répercussions et les effets des interruptions; les rôles, les responsabilités et les tâches des équipes, y compris les intervenants internes et externes; et, les stratégies de communication.Voir la note en bas de page 42

Pour ce qui est des processus de PCA ministériels, les ministères n’ont généralement pas suivi la majorité des étapes prescrites dans la Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA) (section 3.3 a à e) pour l’élaboration de tous les plans de continuité des activités échantillonnés. Les possibilités d’amélioration étaient plus importantes au chapitre de l’élaboration et de l’évaluation des options de reprise avant la sélection de stratégies de reprise.Voir la note en bas de page 43 Dans les grands ministères, de plus importantes possibilités d’amélioration ont également été relevées quant à l’approbation des plans de continuité des activités.Voir la note en bas de page 44

En veillant à ce que les ARO et les plans de continuité des activités soient élaborés en pleine harmonisation avec les exigences de base et renferment tous les renseignements requis, les ministères seraient en meilleure position pour assurer la continuité de leurs activités en cas d’interruption. Il sera également essentiel de traiter toutes les interdépendances entre les ministères pour assurer l’efficacité des plans de continuité des activités, étant donné l’adoption croissante par le gouvernement des modèles de prestation de services partagés.

Processus de PCA ministériels

La majorité des ministères ont mené des ARO et avaient des plans de continuité des activités en place pour les services échantillonnés.

Cependant, les ministères n’avaient généralement pas respecté entièrement la majorité des exigences de base pour les ARO. Plusieurs possibilités d’amélioration ont également été notées concernant le contenu des plans de continuité des activités ministériels examinés et les processus suivis pour élaborer ces plans.

Recommandations : processus de PCA ministériels

  1. Les ministères devraient effectuer des ARO qui touchent tous les services et les programmes conformément à toutes les exigences de base.
  2. Les ministères devraient s’assurer que des plans de continuité des activités soient en place et qu’ils aient été élaborés conformément aux exigences de base.

Conclusion

En général, l’audit a noté un besoin important d’améliorations aux cadres de gouvernance pangouvernementaux et ministériels et aux processus de PCA en place au sein des ministères.

À l’échelle du gouvernement, des possibilités d’amélioration de la gouvernance de la PCA ont été soulignées relativement à : la disponibilité et la mise à jour des instruments de politique; le soutien des comités de la haute direction pangouvernementaux; la nécessité d’une planification stratégique; l’approche pour [Ces informations n’ont pas été divulguées]; et, les cadres de surveillance et d’établissement de rapports.

Au sein des ministères, il est aussi nécessaire d’améliorer la gouvernance de la PCA par le biais d’un soutien plus actif des comités de gouvernance; d’une meilleure communication des rôles et des responsabilités; et de cadres de surveillance et d’établissement de rapports plus rigoureux (y compris des programmes d’exercice destinés à mettre à l’essai les plans de continuité des activités).

Enfin, l’harmonisation des processus d’ARO et de PCA ministériels avec les exigences de base nécessite aussi des améliorations.

Réponse de la direction

Les constatations et les recommandations du présent audit ont été présentées au Secrétariat, à Sécurité publique Canada, au Bureau du Conseil privé ainsi qu’aux huit grands ministères et aux sept petits ministères qui ont participé à cet audit.

La direction a accepté les constatations du présent rapport et prendra les mesures qui s’imposent pour donner suite à toutes les recommandations applicables.

Annexe A : politiques, directives, normes, lignes directrices et pratiques exemplaires applicables

Politiques, directives, normes, lignes directrices et pratiques exemplaires Description

Politique sur la sécurité du gouvernement
Date d’entrée en vigueur :
Dernière mise à jour :

Cette politique a pour objectif de veiller à ce que les administrateurs généraux gèrent efficacement les activités de sécurité au sein des ministères et contribuent à la gestion efficace de la sécurité à l’échelle du gouvernement.
Directive sur la gestion de la sécurité ministérielle
Date d’entrée en vigueur :
Cette directive vise à assurer une gestion efficace, efficiente et responsable de la sécurité dans les ministères.
Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA)
Dernière mise à jour :
Cette norme définit les exigences de sécurité de base pour établir des programmes de PCA que les ministères fédéraux doivent respecter pour assurer la prestation continue des services gouvernementaux.
Politique fédérale en matière de gestion des urgences
Dernière mise jour :
L’objectif de cette politique est de promouvoir une approche intégrée et résiliente en matière de planification de la gestion des urgences pour l’ensemble du gouvernement, y compris renforcer les mesures de prévention et d’atténuation, de préparation, d’intervention et de rétablissement en cas d’urgence.
Guides techniques publiés par Sécurité publique Canada

International Professional Practices Framework for Continuity Practitioners (Cadre de référence international des pratiques professionnelles pour les professionnels de la continuité) du Disaster Recovery Institute
Publié en 2013 (disponible en anglais seulement)

Le Disaster Recovery Institute est le principal organisme offrant des cours et une accréditation reconnus à l’échelle internationale aux professionnels dans le domaine de la continuité des activités. Le Professional Practices Framework (Cadre de référence des pratiques professionnelles) est un ensemble de connaissances conçu pour aider une entité à élaborer et à mettre en œuvre un programme de PCA.

Annexe B : ministères visés par l’audit

Les principaux organismes de sécurité (incluant le centre de politique) et les grands et petits ministères ont été choisis aux fins de cet audit aux termes d’une évaluation des risques et d’un exercice de déclaration volontaire menés dans le cadre de la planification de l’audit axé sur les risques du Bureau du contrôleur général.

Les principaux organismes de sécurité (incluant le centre de politique) ont été sélectionnés aux fins d’inclusion dans l’audit :

  1. Secrétariat du Conseil du Trésor du Canada (le Secrétariat) – organisme central/centre de politique (SCT)
  2. Sécurité publique Canada (SP)
  3. Bureau du Conseil privé (BCP)

Les grands ministères suivants ont été sélectionnés aux fins d’inclusion dans l’audit (un astérisque (*) représente une organisation partenaire de Services partagés Canada) :

  1. Agriculture et Agroalimentaire Canada* (AAC)
  2. Agence des services frontaliers du Canada* (ASFC)
  3. Environnement et Changement climatique Canada* (ECCC)
  4. Affaires mondiales Canada* (AMC)
  5. Services publics et Approvisionnement Canada* (SPAC)
  6. Gendarmerie royale du Canada* (GRC)
  7. Services partagés Canada (SPC)
  8. Transports Canada* (TC)

Les petits ministères suivants ont été sélectionnés aux fins d’inclusion dans l’audit:

  1. Agence canadienne d’évaluation environnementale (ACEE)
  2. Commission canadienne de sûreté nucléaire* (CCSN)
  3. Bureau de la sécurité des transports du Canada (BST)
  4. Service administratif des tribunaux judiciaires (SATJ)
  5. Commission des libérations conditionnelles du Canada (CLCC)
  6. Office des transports du Canada (OTC)
  7. Diversification de l’économie de l’Ouest Canada* (DEO)

Les organismes de services partagés et les organismes de service aux entreprises sont SPC et SPAC.

Annexe C : champs d’enquête et critères d’audit

Les critères d’audit sont présentés dans le tableau ci-dessous par champ d’enquête.

Champ d’enquête Critères Source

1 – Cadre de gouvernance pangouvernemental

Un cadre de gouvernance pangouvernemental est en place pour la gestion de la PCA à l’échelle du gouvernement.

1.1 Des structures de gouvernance qui soutiennent activement la PCA à l’échelle du gouvernement sont en place, et leurs rôles ainsi que les responsabilités ont été documentés, approuvés et communiqués à tous les intervenants.

PSGtableau 1 note 1 (3.4, 6.11, annexe B)

DRI-PPFtableau 1 note 2 (1.2.d, 1.2.f, 1.2.h, 1.2.i, 1.3.g, 1.3.h)

1.2 Un cadre de politique pangouvernemental qui définit les rôles, les responsabilités, les attentes et les pratiques exemplaires à l’égard de la PCA est en place et à jour afin de refléter l’environnement opérationnel.

LGUtableau 1 note 3 4.1 (a), (b), (m), (n), (o), 6.2 (c)

PSG (6.2.1, annexe B)

1.3 Une stratégie pangouvernementale liée à la PCA et une approche systématique sont en place pour [Ces informations n’ont pas été divulguées].

[Ces informations n’ont pas été divulguées] tableau 1 note 4 tableau 1 note 5

1.4 Des processus de coordination et de collaboration interministériels sont en place afin d’intégrer la PCA et les activités de reprise dans l’ensemble du gouvernement.

LGU 3, 4.1 (e), (n), (o), (r)

PSG (annexe B)

NSO-PCA (3.1, 2h)

DRI-PPF (2.5.b, f, 3.5.b, 6.1.a(i), b(i))

2 – Cadre de gouvernance ministériel

Des cadres de gouvernance ministériels sont en place pour la gestion de la PCA au niveau ministériel.

2.1 Des structures ministérielles de gouvernance qui soutiennent activement la planification de la continuité des affaires sont en place, et leurs rôles et responsabilités ont été documentés, approuvés et communiqués à tous les intervenants.

PSG (6.1.1)

NSO-PCA (3.1)

DRI-PPF (Program Initiation and Management)

2.2 Un cadre stratégique ministériel définissant les rôles, les responsabilités et les attentes en matière de PCA est en place.

PSG (3.6, 6.1.1.b, 6.2.3)

NSO-PCA (3.1)

Sécurité publique Canada : Guide de planification de la continuité des activités

Ligne directrice sur les ententes de services : éléments essentiels (section 1)

DRII (PP6, PP8)

2.3 Une approche ministérielle systématique permettant d’identifier et de prioriser les services ministériels essentiels est en place.

PSG (3.3, 6.1.1.c, 6.1.4, 6.3)

NSO-PCA (3.1)

DGSM (6.1.1.4)

3 – Processus de PCA au niveau ministériel

Des processus ministériels de PCA sont en place aux fins d’élaboration, d’application, de mise à l’essai et de mise à jour des PCA ministériels.

3.1 Les ministères ont effectué une analyse des risques opérationnels (ARO).

NSO-PCA (3.2)

DGSM (annexe C, Planification des urgences et de la continuité des activités)

DRI-PPF (3)

3.2 Les ministères ont établi des stratégies de reprise des services essentiels définis dans leurs ARO, qui tiennent compte des liens de dépendances avec les autres ministères.

NSO-PCA (3.3 a à c)

DGSM (annexe C, Planification des urgences et de la continuité des activités)

DRI-PPF (4)

3.3 Les ministères ont établi des plans de continuité des activités afin d’assurer la continuité de leurs services essentiels ainsi que des services de soutien essentiels.

LGU 6.1 (a), 6.2 (c)

NSO-PCA (3.1 1h; 3.3 d à e)

DGSM (annexe C, Planification des urgences et de la continuité des activités)

DRI-PPF (4, 6.1b)

3.4 Les ministères coordonnent, avec les fournisseurs de services de soutien essentiels et d’autres intervenants internes clés, l’élaboration, la mise à l’essai et la mise à jour de leur PCA pour assurer l’intégration entre toutes les parties.

NSO-PCA (3.1 1h; 3.3 d.vii)

3.5 Les ministères veillent à ce que des séances de formation ainsi que des outils suffisants et pertinents soient disponibles pour permettre la mise en œuvre de la PCA et des activités de reprise.

LGU 6.1 (c)

PSG (3.3, 3.5, annexe B)

NSO-PCA (3.1, 3.3.g)

DRI-PPF (6.2(iv à v), 7, 7.4.d(i))

3.6 Les ministères veillent à ce que leurs plans de continuité des activités soient mis à l’essai et mis à jour périodiquement, et à ce qu’ils reflètent les liens de dépendance avec d’autres intervenants.

LGU 6.1 (b), (c)

NSO-PCA (3.4.a, c)

DGSM (annexe C, Planification des urgences et de la continuité des activités)

DRI-PPF (8.1, 8.2)

4 – Surveillance

Des processus de surveillance pangouvernementaux et ministériels sont en place pour surveiller l’état de préparation de la PCA.

4.1 Les ministères surveillent l’efficacité de leur PCA et en rendent compte.

PSG (6.1.1c)

DGSM (6.1.9, 6.2.1)

4.2 Les ministères surveillent leur conformité aux exigences liées à la PCA en vertu de la Politique sur la sécurité du gouvernement du Conseil du Trésor et informent le Secrétariat des écarts relevés.

PSG (6.3)

NSO-PCA (3.4.d)

4.3 Les principaux organismes responsables de la sécurité surveillent régulièrement l’état de préparation du gouvernement aux événements perturbateurs et en rendent compte.

LGU 4(1) (c), (n)

Politique fédérale en matière de gestion des urgences, 9.2

PSG (6.3, annexe B)

4.4 Le Secrétariat surveille l’efficacité et la conformité aux exigences liées à la PCA énoncées dans le cadre stratégique du Conseil du Trésor et en rend compte.

PSG (6.3, À l’échelle du gouvernement et annexe B)

Tableau 1 Notes

Tableau 1 Note 1

Politique sur la sécurité du gouvernement

Retourner au tableau 1 note 1

Tableau 1 Note 2

International Professional Practices Framework for Continuity Practitioners du Disaster Recovery Institute

Retourner au tableau 1 note 2

Tableau 1 Note 3

Loi sur la gestion des urgences

Retourner au tableau 1 note 3

Tableau 1 Note 4

[Ces informations n’ont pas été divulguées]

Retourner au tableau 1 note 4

Tableau 1 Note 5

[Ces informations n’ont pas été divulguées]

Retourner au tableau 1 note 5

Annexe D : recommandations par ministère et classement selon les risques

Le tableau suivant présente les ministères auxquels les recommandations de l’audit s’appliquent et attribue un niveau de priorité élevé, moyen ou faible à chaque recommandation. La détermination des niveaux de priorité est fondée sur les priorités relatives des recommandations et la mesure dans laquelle les recommandations indiquent le non-respect des politiques du Conseil du Trésor. La liste complète des ministères est fournie à l’annexe B.

Recommandations Les ministères auxquels s’applique la recommandationtableau 2 note 1 Niveau de prioritétableau 2 note 2

1. 1. Sécurité publique Canada et le Secrétariat devraient s’assurer que des plans de travail appropriés soient en place et surveillés régulièrement afin d’accélérer le renouvellement des instruments de politique qui appuient la PCA. Ce faisant, le Secrétariat devrait également déterminer la façon de renforcer les liens avec le guide technique sur la PCA de Sécurité publique Canada dans le cadre renouvelé des politiques sur la sécurité du Conseil du Trésor.
(S’applique aux possibilités d’amélioration indiquées sous le critère d’audit 1.2)

SP, et le Secrétariat

Élevé

2. Sécurité publique Canada devrait s’assurer que son guide technique sur la PCA soit communiqué à tous les ministères et facilement disponible.
(S’applique aux possibilités d’amélioration indiquées sous le critère d’audit 1.2)

SP

Élevé

3. 3. Sécurité publique Canada et le Secrétariat devraient aborder périodiquement la question de la PCA dans les ordres du jour des réunions des comités de la haute direction pangouvernementaux liées à la sécurité et à la gestion des urgences. La représentation des petits ministères au sein de ces comités devrait également être renforcée.
(S’applique aux possibilités d’amélioration indiquées sous les sous-critères d’audit : 1.1.1 à 1.1.3, 1.3.1, 1.3.2 et 4.3)

SP, et le Secrétariat

Élevé

4. Sécurité publique Canada devrait, en consultation avec le Secrétariat, élaborer et mettre en œuvre un cadre de surveillance et d’établissement de rapports officiel pour examiner périodiquement les plans de continuité des activités d’autres ministères.
(S’applique aux possibilités d’amélioration indiquées sous le critère d’audit 4.3)

SP

Élevé

5. Le Secrétariat, de concert avec Sécurité publique Canada et le Bureau du Conseil privé, devrait établir une stratégie pangouvernementale axée sur les résultats afin de renforcer la continuité des opérations gouvernementales et d’appuyer les ministères dans le renforcement de leurs programmes de PCA. La stratégie devrait :

  1. répondre aux besoins particuliers des ministères (par exemple, grâce à une formation pratique, à des outils, à une orientation technique, à des activités de développement de capacités, à un soutien ciblé, le cas échéant);
  2. comprendre l’élaboration d’une approche proactive pour permettre aux ministères de fournir des informations opportunes et précises sur la PCA, [Ces informations n’ont pas été divulguées]
  3. être élaborée en consultation avec les comités interministériels supérieurs pertinents chargés de la gestion de la sécurité et des urgences, ainsi que préciser les contributions de ces comités au renforcement de la PCA dans l’ensemble du gouvernement;
  4. être surveillée régulièrement par le Secrétariat, de concert avec Sécurité publique Canada, afin de contribuer à faire en sorte que les résultats ciblés soient obtenus;
  5. prendre en considération les résultats de toutes les activités de surveillance pangouvernementales qui se rapportent à la PCA (par exemple, les évaluations du CRG menées par le Secrétariat, les évaluations des plans ministériels de continuité des activités menées par Sécurité publique Canada et les évaluations de la maturité).

(S’applique aux possibilités d’amélioration indiquées aux sous-critères d’audit 1.3.1 et 1.3.2)

PS, le Secrétariat, et BCP

Élevé

6. Les ministères devraient s’assurer que des politiques à jour de programmes de PCA soient en place et s’harmonisent avec le cadre des politiques sur la sécurité du gouvernement.
(S’applique aux possibilités d’amélioration indiquées aux sous-critères d’audit 2.2.1, 2.2.2 et 2.2.3)

AAC, ECCC, GRC, OTC, ACEE, CLCC, DEO, BST

Moyen

7. Les ministères devraient s’assurer que les rôles, les responsabilités et les rapports hiérarchiques en matière de PCA soient communiqués officiellement à tous les employés participant au processus de PCA ministériel.
(S’applique aux possibilités d’amélioration indiquées au sous-critère d’audit 2.1.3)

AMC, ECCC, TC, SPAC, SPC, et tous les petits ministères identifiés dans l’annexe B

Élevé

8. Les ministères devraient s’assurer que les comités de gouvernance appuient activement la PCA en se réunissant régulièrement et en donnant systématiquement suite aux initiatives à cet égard.
(S’applique aux possibilités d’amélioration indiquées aux sous-critères d’audit 2.1.1, 2.1.2 et 2.1.4)

AAC, AMC, SPAC, SPC, CCSN, SATJ, ACEE, CLCC, DEO, BST

Élevé

9. Les ministères devraient établir des cadres de surveillance et d’établissement de rapports officiels à l’égard de la PCA, y compris des programmes de mise à l’essai, pour assurer la conformité avec le cadre des politiques sur la sécurité du gouvernement ainsi que l’efficacité générale des programmes de PCA.
(S’applique aux possibilités d’amélioration indiquées aux sous-critères d’audit 3.6.1, 3.6.2, 4.1 et 4.2)

Tous les grands et petits ministères identifiés dans l’annexe B

Élevé

10. Les ministères devraient effectuer des ARO qui touchent tous les services et les programmes conformément à toutes les exigences de base.
(S’applique aux possibilités d’amélioration indiquées aux sous-critères d’audit 2.3.1, 2.3.2 et 3.1)

AAC, ASFC, AMC, SPAC, GRC, SPC, TC, ACEE, CCSN, OTC, SATJ, CLCC, BST, DEO

Élevé

11. Les ministères devraient s’assurer que des plans de continuité des activités soient en place et qu’ils aient été élaborés conformément aux exigences de base.
(S’applique aux possibilités d’amélioration indiquées aux sous-critères d’audit 3.2 et 3.3)

Tous les grands et petits ministères identifiés dans l’annexe B

Élevé

Tableau 2 Notes

Tableau 2 Note 1

Des recommandations ont été formulées afin de donner suite aux constatations horizontales (à l’échelle du gouvernement). À ce titre, lorsqu’elles visent plus d’un ministère, les recommandations peuvent s’appliquer en tout ou en partie aux ministères particuliers indiqués dans la présente annexe, selon les constatations particulières observées dans chaque ministère.

Retourner au tableau 2 note 1

Tableau 2 Note 2

Les niveaux de priorité ont été attribués en fonction des risques d’un point de vue pangouvernemental. Étant donné que les constatations variaient d’un ministère à l’autre, le niveau de risque sur le plan ministériel peut varier.

Retourner au tableau 2 note 2

Annexe E : renseignements généraux supplémentaires sur la gestion des urgences

Dans le cadre de la gestion des urgences, les gouvernements fédéral, provinciaux et territoriaux adoptent une approche tous risques complète afin de coordonner et d’intégrer les activités de prévention, d’atténuation, de préparation, d’intervention et de rétablissement pour maximiser la sûreté des Canadiens. Plus particulièrement, cette approche englobe les activités suivantesVoir la note en bas de page 45 :

  • prévention et atténuation : élimine ou réduit les risques de catastrophes. La prévention et l’atténuation comprennent des mesures structurelles (comme la construction de canaux d’évacuation des crues et de digues) et des mesures non structurelles (comme les codes du bâtiment, la planification de l’utilisation du sol et des encouragements d’assurance).
  • préparation : vise à être prêt à intervenir en cas de catastrophe et à en gérer les conséquences au moyen de mesures prises avant un événement (comme des plans d’intervention d’urgence, des ententes d’assistance mutuelle, des inventaires de ressources et la formation, le matériel et les programmes d’exercice).
  • intervention : comprend la prise de mesures pendant, immédiatement avant ou immédiatement après une catastrophe afin d’en gérer les conséquences (comme les communications publiques d’urgence, la recherche et le sauvetage, l’assistance médicale d’urgence et l’évacuation).
  • rétablissement : comprend la réparation ou le rétablissement des conditions à un niveau acceptable au moyen de mesures prises après une catastrophe (comme le retour d’évacués, le counseling traumatologique et la reconstruction).

La PCA est une composante de la gestion des urgences, car elle appuie les activités de préparation, d’intervention et de rétablissement décrites ci-dessus. Nonobstant l’origine spécifique et l’ampleur d’une urgence ou d’un évènement, il est important de noter que les plans de continuités des activités peuvent être mis-en-œuvre en réponse à des évènements locaux, ou dans un contexte plus large tel qu’une réponse pangouvernementale.

Annexe F : rôles et responsabilités des principaux organismes responsables de la sécurité et de l’organisme central

Principaux ministères Sommaire des rôles et des responsabilités pour appuyer la PCA à l’échelle du gouvernement

Conseil du Trésor et le Secrétariat
(organisme central/Centre de politique)

Les rôles et les responsabilités du Conseil du Trésor et du Secrétariat sont décrits dans la Loi sur la gestion des finances publiques et dans la Politique sur la sécurité du gouvernement du Conseil du Trésor. Les responsabilités principales du Conseil du Trésor et du Secrétariat à l’appui de la PCA à l’échelle du gouvernement sont résumées ci-dessous :

  • En vertu de l’article 7 de la Loi sur la gestion des finances publiques, le Conseil du Trésor a le pouvoir d’émettre une politique et des directives sur la sécurité pour le gouvernement du Canada. Pour sa part, le Conseil du Trésor a délégué au président du Conseil du Trésor le pouvoir de modifier ces directives au besoin, y compris le pouvoir d’émettre et de modifier des normes connexes dans le domaine de la PCA. En tant qu’organe administratif du Conseil du Trésor rendant des comptes à son Président, le Secrétariat est l’organisme central responsable de l’élaboration et de la tenue à jour d’instruments de politiques en matière de gestion à l’échelle du gouvernement dans ce domaine
  • En vertu de la Politique sur la sécurité du gouvernement (annexe B), le Secrétariat est responsable de ce qui suit :
    • établir et maintenir la gouvernance interministérielle afin de surveiller une approche pangouvernementale à la sécurité
    • assurer une surveillance stratégique, assumer la direction et établir les priorités relatives à la sécurité du gouvernement
    • veiller à ce que des inspections périodiques soient menées pour examiner l’efficacité de ses services de soutien à la sécurité afin de s’assurer qu’ils continuent de répondre aux besoins des ministères et du gouvernement dans son ensemble
  • Le Secrétariat est responsable de surveiller la conformité à l’ensemble des politiques de sécurité du Conseil du Trésor à l’échelle du gouvernement et la réalisation de ses résultats attendus. Le Secrétariat devrait également avoir examiné et présenté des rapports au Conseil du Trésor sur l’efficacité et la mise en œuvre de cet ensemble de politiques cinq ans après la date d’entrée en vigueur de la Politique sur la sécurité du gouvernement (c’est-à-dire, d’ici )

Sécurité publique Canada
(organisme principal responsable de la sécurité et ministère de coordination fédérale de la gestion des urgences au Canada)

Les rôles et les responsabilités de Sécurité publique Canada sont décrits dans la Loi sur la gestion des urgences, dans la Politique sur la sécurité du gouvernement du Conseil du Trésor et dans la Politique fédérale en matière de gestion des urgences. Les responsabilités principales de Sécurité publique Canada liées à la PCA sont résumées ci-dessous :

  • En vertu de la Loi sur la gestion des urgences, Sécurité publique Canada est responsable de ce qui suit :
    • exercer un leadership et agir à titre de ministère de coordination fédérale relativement à la gestion des urgences au Canada. Cette responsabilité générale comprend le pouvoir d’établir des politiques relatives à la préparation, au maintien, à la mise à l’essai et à la mise en œuvre par une institution fédérale de plans de gestion des urgences, et le pouvoir d’établir des politiques et des programmes concernant la gestion des urgences. Selon la Loi sur la gestion des urgences, l’expression « plans de gestion des urgences » englobe les programmes, dispositions ou autres mesures à mettre en œuvre pour assurer la continuité des activités des institutions fédérales
    • “analyser et examiner les plans de gestion des urgences des institutions fédérales”, y compris les plans de continuité des activités
    • effectuer des exercices liés à la gestion des urgences
  • En ce qui concerne l’établissement de rapports, une exigence de la Politique fédérale en matière de gestion des urgences stipule que « tous les deux ans, Sécurité publique Canada fera un compte rendu au Comité des sous-ministres responsables des questions de gestion des mesures d’urgence concernant l’état de préparation du système fédéral de gestion des mesures d’urgence à l’échelle de l’administration fédérale. Ces comptes rendus seront fondés sur les renseignements transmis par les institutions fédérales et sur le travail aussitôt entrepris par Sécurité publique Canada »
  • En vertu de la Politique sur la sécurité du gouvernement, “Sécurité publique Canada est chargé de veiller à ce que des examens périodiques soient exécutés en vue d’examiner l’efficacité de leurs services de soutien à la sécurité pour s’assurer que ces services continuent de répondre aux besoins des ministères et du gouvernement dans son ensemble. ”

Bureau du Conseil privé
(organisme principal responsable de la sécurité)

Le Bureau du Conseil privé (BCP) est désigné comme un organisme principal responsable de la sécurité à l’annexe B de la Politique sur la sécurité du gouvernement. Le BCP conseille et appuie le premier ministre et le Cabinet sur les questions de sécurité nationale, et il coordonne les activités connexes des ministères et organismes. Conformément à la Politique sur la sécurité du gouvernement, le BCP est chargé de ce qui suit :

  • fournir une orientation stratégique pangouvernementale sur les priorités en matière de sécurité nationale et de renseignement
  • conseiller les ministères sur les stratégies, activités et mécanismes nécessaires pour élaborer, mettre en œuvre, évaluer et améliorer un système de sécurité complètement intégré au sein du gouvernement du Canada, à l’appui des objectifs de sécurité nationale
  • fournir des directives à Sécurité publique Canada pour contribuer à résoudre les incidents de sécurité du gouvernement et les événements susceptibles d’avoir une incidence sur la sécurité nationale
  • fournir des directives et des conseils aux ministères et organismes sur la mise en œuvre des niveaux de sécurité appropriés dans les situations d’urgence et de menace accrues
  • aider le premier ministre à déterminer si des candidats sont aptes à occuper des charges publiques, et effectuer des vérifications de sécurité pour les administrateurs généraux
  • fournir des directives et des conseils aux ministères et organismes sur le niveau de soutien à la sécurité devant être procuré aux ministres, aux secrétaires d’État et aux secrétaires parlementaires
  • établir une politique gouvernementale sur la sécurité des documents confidentiels du Cabinet (documents confidentiels du Conseil privé de la Reine pour le Canada) et des documents gérés dans le cadre du Système des dossiers du Cabinet, et coordonner les enquêtes menées sur les cas de divulgation non autorisée ou de compromission de ces documents.

© Sa Majesté la Reine du chef du Canada, représentée par le président du Conseil du Trésor, 2018,
ISBN : 978-0-660-27229-0

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :