Audit interne horizontal de la planification de la continuité des activités (PCA) dans les grands et les petits ministères

Pourquoi est-ce important?

Partout dans le monde, les catastrophes d’origine naturelle et humaine sont à la hausse et sont devenues des défis importants. Par exemple, au cours des sept dernières années, les risques liés à l’environnement, comme les phénomènes météorologiques extrêmes, ont continuellement figuré parmi les principaux risques mondiaux identifiés par le Forum économique mondial.^{Voir la note en bas de page 4} En 2017, le terrorisme a été ajouté à la liste des principaux risques mondiaux. Une tendance similaire prévaut également au Canada.

Il est maintenant plus probable que jamais que les opérations du gouvernement fédéral soient perturbées par des évènements naturels et d’autres d’origine humaine. Une perturbation de la disponibilité ou de l’intégrité de certains services du gouvernement fédéral pourrait entraîner un préjudice élevé à la santé, à la sûreté, à la sécurité, et au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement dans son ensemble (ces services sont ci-après nommés « services essentiels »).^{Voir la note en bas de page 5} Des interruptions semblables d’autres types de service pourraient également empêcher des ministères fédéraux particuliers d’exécuter leurs mandats importants pour les Canadiens (aux fins du présent audit, ces services sont ci-après nommés « services essentiels à la mission »). Même si certains services essentiels et services essentiels à la mission pourraient être identifiés plus facilement après un incident parce que les effets mentionnés précédemment se produiraient presque instantanément, ce n’est pas toujours le cas. D’autres services non critiques pourraient aussi être jugés essentiels et/ou essentiels à la mission s’ils ne sont pas entièrement rétablis dans un délai plus long après une perturbation.

Maintenant, il existe également un plus grand risque que même des interruptions localisées dans un ou quelques ministères fédéraux pourraient avoir des répercussions généralisées dans l’ensemble des opérations gouvernementales étant donné les interdépendances actuelles entre les ministères en raison de l’adoption croissante des modèles de prestation de services partagés.

Principales constatations

Conclusion

Dans l’ensemble, l’audit a relevé un important besoin d’amélioration à l’égard des cadres de gouvernance ministériels et pangouvernementaux, ainsi que des processus de PCA mis en place au sein des ministères.

À l’échelle du gouvernement, des possibilités d’amélioration de la gouvernance de la PCA ont été relevées dans les domaines suivants : la disponibilité et la mise à jour des instruments de politique; le renforcement du soutien des comités pangouvernementaux de la haute direction; la planification stratégique; [Ces informations n’ont pas été divulguées]; et les cadres de surveillance et d’établissement de rapports.

Au sein des ministères, il est aussi nécessaire d’améliorer la gouvernance de la PCA par un soutien plus actif des comités de gouvernance, une meilleure communication des rôles et des responsabilités, et des cadres de surveillance et d’établissement de rapports plus rigoureux (y compris la mise à l’essai des plans de continuité des activités).

Enfin, l’harmonisation des processus de PCA ministériels avec les exigences de base est aussi un domaine où des améliorations s’imposent.

Objectifs et portée de l’audit

Le présent audit visait à déterminer si^{Voir la note en bas de page 11} :

• les cadres de gouvernance étaient en place à l’échelle du gouvernement et au sein des ministères pour assurer la PCA
• des processus de PCA ministériels étaient en place

La portée de l’audit se concentrait sur les pratiques en place au 31 décembre 2015. Un échantillon axé sur les risques^{Voir la note en bas de page 12} des plans de continuité des activités ministériels en place à cette date a été examiné afin de vérifier les processus ministériels de PCA. Les cadres de gouvernance et les processus de PCA devaient s’harmoniser avec les exigences des politiques (consulter l’annexe A). Pour mieux présenter les constatations et les recommandations dans le contexte actuel, les initiatives entreprises après le 31 décembre 2015 et observées pendant les travaux d’audit ont également été prises en considération.

Les éléments de la gouvernance qui ont été examinés incluaient : les cadres de politique; les comités et les structures organisationnelles; la planification stratégique à l’échelle pangouvernementale; [Ces informations n’ont pas été divulguées]; les processus de collaboration interministérielle ainsi que la surveillance et l’établissement de rapports.

Les éléments des processus de PCA qui ont été examinés incluaient : les ARO; l’élaboration des stratégies de rétablissement; l’élaboration des plans de continuité des activités; la gestion des interdépendances avec les intervenants internes et externes; la formation et les outils liés à la PCA; la surveillance et l’établissement de rapports (y compris les essais); et la mise à jour des plans de continuité des activités.

L’audit portait uniquement sur les pratiques de PCA ministérielles et pangouvernementales en place pour assurer la disponibilité continue des services gouvernementaux fédéraux (les services essentiels et les services essentiels à la mission). Les éléments suivants ont été exclus de la portée de l’audit en raison de leur nature, de leurs complexités et de leurs risques associés uniques : la gestion des urgences comme sujet global; la planification de la continuité des technologies de l’information (TI)^{Voir la note en bas de page 13}; et la continuité de l’État constitutionnel.^{Voir la note en bas de page 14}

L’annexe B dresse la liste des ministères et des principaux organismes responsables de la sécurité qui sont visés par l’audit.

L’annexe C indique les champs d’enquête et les critères d’audit connexes utilisés pour formuler des conclusions quant aux objectifs de l’audit.

Constatation 1 : la gouvernance à l’échelle pangouvernementale

Un des résultats attendus de la Politique sur la sécurité du gouvernement du Conseil du Trésor consiste à avoir des structures de gouvernance en place dans l’ensemble du gouvernement. En vertu de cette politique, les administrateurs généraux sont responsables de la gouvernance efficace de la sécurité^{Voir la note en bas de page 15} au sein de leurs ministères. Ils assument aussi la responsabilité partagée quant à la sécurité du gouvernement dans son ensemble. Les principaux organismes responsables de la sécurité partagent la responsabilité du soutien des ministères en fournissant des conseils, des lignes directrices et des services pour appuyer les activités de sécurité quotidiennes des ministères. Ces organismes permettent à l’ensemble du gouvernement de gérer les activités de sécurité de façon efficace; de coordonner les interventions en cas d’incidents de sécurité; et de réaliser et maintenir un état acceptable de sécurité et de préparation.

Étant donné la grande taille et la complexité des opérations du gouvernement fédéral, les divers intervenants et les interdépendances qui existent entre les ministères, il est essentiel de disposer d’une gouvernance pangouvernementale bien définie pour coordonner efficacement les efforts en vue d’assurer la continuité des opérations du gouvernement fédéral.

L’audit a examiné si les principaux organismes responsables de la sécurité et les ministères se sont acquittés de leurs responsabilités en matière de gouvernance de la PCA en vertu des instruments suivants : la Loi sur la gestion des urgences; la Loi sur la gestion des finances publiques; la Politique fédérale en matière de gestion des urgences; la Politique sur la sécurité du gouvernement; la Directive sur la gestion de la sécurité ministérielle; la Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA). À l’échelle du gouvernement, l’audit a mis l’accent sur les aspects suivants de la gouvernance de la continuité des activités et des services gouvernementaux : les instruments de politique; les structures des comités pangouvernementaux; la planification stratégique des initiatives à l’appui des ministères; les cadres de surveillance et d’établissement de rapports à l’échelle du gouvernement; et [Ces informations n’ont pas été divulguées].

Les instruments de politique n’étaient pas tous facilement disponibles et, dans la plupart des cas, ils n’ont pas été mis à jour depuis plusieurs années. Des travaux sont en cours en vue de renouveler les instruments de politique, et une orientation technique plus récente a été émise dans certains secteurs.

Le Secrétariat et Sécurité publique Canada ont des responsabilités qui se chevauchent pour ce qui est de fournir une orientation aux ministères sur la PCA (consulter l’annexe F). Par conséquent, les deux ministères devaient coordonner leurs efforts pour s’assurer que leurs responsabilités soient abordées et que leurs instruments de politique respectifs soient cohérents.

Conformément aux responsabilités de son mandat, le Secrétariat a publié des instruments de politique sur son site Web afin d’appuyer l’approche pangouvernementale relative à la PCA. Le Secrétariat a fourni une orientation pangouvernementale sur les rôles, les responsabilités et les attentes dans ce secteur, principalement au moyen des instruments suivants : la Politique sur la sécurité du gouvernement; la Directive sur la gestion de la sécurité ministérielle; et la Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA). Cependant, ces instruments de politique fondamentaux n’ont pas été mis à jour depuis plusieurs années (près d’une décennie dans la plupart des cas), et le Secrétariat a, à maintes reprises, reporté ses échéanciers ciblés pour le faire. Au fil des années, des changements importants se sont produits dans l’environnement opérationnel du gouvernement. L’adoption croissante des modèles de prestation de services partagés en est un exemple. Les représentants du Secrétariat ont expliqué que les retards dans la mise à jour de l’ensemble de politiques sur la sécurité du gouvernement découlaient de la nécessité d’effectuer une analyse plus poussée pour rehausser la clarté des exigences.

Le Secrétariat a démontré qu’il travaillait activement au renouvellement des instruments de politique sur la sécurité du gouvernement en consultation avec Sécurité publique Canada et plusieurs comités interministériels. Par exemple, des versions provisoires de la nouvelle Politique sur la sécurité du gouvernement et de la nouvelle Directive sur la gestion de la sécurité, qui découlaient de consultations interministérielles dirigées par le Secrétariat, ont été présentées pour obtenir l’appui du Comité consultatif sur la gestion de la fonction publique lors de sa réunion de septembre 2016, et ont été publiées sur le site Intranet du Gouvernement Fédéral (GCpédia).

Conformément aux responsabilités de son mandat en vertu de la Loi sur la gestion des urgences, Sécurité publique Canada a publié un Guide de planification de la continuité des activités, lequel est facilement disponible sur son site Web public. Cette publication donne des directives de haut niveau sur la PCA pour tous les types d’organismes des secteurs public et privé. Même si Sécurité publique Canada a élaboré d’autres guides et outils techniques offrant des orientations plus précises sur la PCA au sein du gouvernement fédéral, ces ressources n’étaient pas aussi facilement disponibles que l’était le guide de Sécurité publique Canada. L’audit a également révélé que bon nombre de ces ressources n’avaient pas été mises à jour depuis plusieurs années, et que certaines évoquaient des instruments de politique que le Secrétariat avait annulés il y a plusieurs années.

Pendant les travaux d’audit sur le terrain, Sécurité publique Canada a démontré qu’elle avait commencé à mettre à jour ses ressources qui appuient la PCA à l’échelle du gouvernement. Sécurité publique Canada a aussi fourni à l’équipe d’audit un plan de travail interne décrivant plusieurs initiatives visant à renforcer le soutien à la PCA auprès des ministères dans les domaines suivants : l’élaboration de programmes, la formation, les services consultatifs, la sensibilisation, et les communications. Par exemple, en 2016, Sécurité publique Canada a mis au point un guide pour l’élaboration d’un programme de gestion de la continuité des activités pour les petits ministères et organismes (PMO). Au cours de l’élaboration de ce guide, Sécurité publique Canada a consulté un sous-ensemble de représentants de la communauté des petits ministères, y compris le centre des politiques du Secrétariat. Même si aucune preuve n’a été fournie pour démontrer que le guide avait par la suite été communiqué à tous les petits ministères à l’échelle du gouvernement, les preuves examinées ont démontré que le guide avait été communiqué par courriel aux participants au réseau-conseil sur la sécurité pour les petits organismes.

Néanmoins, seuls quelques grands ministères visés par l’audit ont indiqué que leurs besoins avaient été satisfaits au chapitre de l’orientation sur la PCA offerte par les principaux organismes responsables de la sécurité (le Secrétariat, dans son rôle d’organisme central, et Sécurité publique Canada). Dans les petits ministères, la majorité des représentants interviewés ont indiqué que les directives sur la PCA fournies par les principaux organismes responsables de la sécurité n’avaient pas répondu à leurs besoins. Les représentants des grands et des petits ministères ont indiqué les préoccupations suivantes : l’orientation n’était pas facilement disponible; la terminologie manquait de clarté; l’orientation offerte est trop générale et est désuète. Plusieurs représentants des petits ministères ont aussi indiqué qu’ils ne connaissaient pas le guide pour l’élaboration d’un programme de gestion de la continuité des activités pour les petits ministères et organismes.

Disposer d’instruments de politique sur la PCA pangouvernementaux à jour qui sont communiqués et harmonisés de façon générale, et qui tiennent compte de l’environnement opérationnel actuel du gouvernement pourrait réduire le risque que les rôles, les responsabilités, les attentes et les exigences soient mal compris et réalisés. Des instruments de politique améliorés pourraient contribuer à accroître l’état de préparation du gouvernement fédéral ainsi que sa résilience aux interruptions.

Des comités de la haute direction pangouvernementaux ont été établis afin de surveiller les domaines généraux liés à la PCA (la gestion des urgences et la sécurité du gouvernement). Cependant, il y avait peu d’indications démontrant que ces comités se penchaient activement sur les dossiers propres à la PCA.

L’engagement de la haute direction à l’égard de la PCA est essentiel, et pour atteindre un niveau de résilience élevé, les efforts doivent être concertés dans l’ensemble du gouvernement fédéral. Sécurité publique Canada et le Secrétariat se partagent les responsabilités principales à cet égard à l’échelle du gouvernement (consulter l’annexe F).

Ensemble, le Secrétariat et Sécurité publique Canada ont mis sur pied plusieurs comités de la haute direction pangouvernementaux en plus des groupes de travail et des forums en vue d’appuyer une approche pangouvernementale en matière de sécurité et de gestion des urgences. Même si les comités de la haute direction pangouvernementaux ont manifesté indirectement leur soutien à l’égard de la PCA lorsqu’ils traitaient des questions liées à des initiatives générales (comme le renouvellement de l’ensemble des politiques du Conseil du Trésor et les thèmes stratégiques de base pour la gestion fédérale des urgences), il y avait peu d’éléments probants démontrant leur soutien relativement à la PCA en particulier. L’audit a également relevé que la représentation des petits ministères au sein de ces comités de la haute direction pangouvernementaux était limitée.

Au niveau opérationnel, Sécurité publique Canada a établi des groupes de gouvernance informels pour aborder plus particulièrement la PCA. En septembre 2015, l’établissement d’une communauté de pratique fédérale pour la gestion des urgences et la continuité des activités a été approuvé afin de promouvoir les pratiques exemplaires et l’échange de renseignements entre les ministères. Toujours en septembre 2015, Sécurité publique Canada a organisé des réunions distinctes de groupes de travail interministériels avec des représentants des petits ministères et du Secrétariat afin d’élaborer son guide pour l’élaboration d’un programme de gestion de la continuité des activités pour les petits ministères et organismes (PMO), achevé en 2016. Sécurité publique Canada a aussi tenu, en novembre 2015, une séance interministérielle pour obtenir de la rétroaction au sujet de la gestion des urgences et des outils de PCA des petits ministères et organismes.

Le Bureau du Conseil privé a mis sur pied des comités de gouvernance informels (par exemple, le Comité de préparation des agents de sécurité ministériel et ses regroupements) et un centre du développement comportant des mandats généraux liés à la sécurité qui englobent la PCA, et ce, dans le but d’aider la collectivité des agents de sécurité ministériel à s’acquitter de ses fonctions au niveau opérationnel.

La participation active et directe des comités de la haute direction pangouvernementaux à la gestion de la sécurité et des urgences, et une meilleure représentation des petits ministères au sein de ces comités, permettraient de mieux faire connaître la PCA dans l’ensemble du gouvernement. En échange, cela permettrait de s’assurer que la PCA est dûment prise en compte dans le cadre du processus décisionnel de tous les ministères, notamment au moment de hiérarchiser les priorités et de prendre des décisions concernant l’affectation des ressources.

La planification stratégique de la PCA à l’échelle du gouvernement est insuffisante. Des travaux sont en cours dans le but d’élaborer des priorités stratégiques pour la gestion fédérale des urgences qui engloberaient la PCA.

La Politique sur la sécurité du gouvernement du Conseil du Trésor reconnaît la nécessité d’établir une approche pangouvernementale relativement à la sécurité afin de soutenir les ministères et de permettre au gouvernement de gérer efficacement la sécurité ainsi que de parvenir à un état de préparation acceptable et de le maintenir. De plus, la Politique indique que « La sécurité est assurée lorsqu’elle est appuyée par la haute direction, une dimension qui fait partie intégrante de la planification stratégique et opérationnelle, et qu’elle est intégrée aux cadres, à la culture et aux activités courantes des ministères ainsi qu’aux comportements des employés. » Elle précise également que « à l’échelle d’un gouvernement, il faut gérer les menaces à la sécurité, les risques et les incidents de façon proactive pour faciliter la protection des biens, des renseignements et des services critiques du gouvernement, et assurer, dans le même temps, la sécurité nationale. » Parce que la PCA est considérée comme une exigence de sécurité de base, nous nous attendions à ce qu’une stratégie pangouvernementale fondée sur les risques qui englobe la PCA soit en place.

Selon la Politique sur la sécurité du gouvernement, le Secrétariat est responsable d’exercer une supervision stratégique; d’assumer la direction; et d’établir les priorités relatives à la sécurité du gouvernement. Puisque Sécurité publique Canada est le ministère fédéral de coordination responsable d’exercer un leadership en gestion des urgences en vertu de la Loi sur la gestion des urgences, le Secrétariat et Sécurité publique Canada se partagent la responsabilité de la planification stratégique dans l’ensemble du gouvernement en ce qui a trait à la PCA.

Conformément aux responsabilités de leadership qui lui sont mandatées, Sécurité publique Canada a sollicité les commentaires des comités de la haute direction pangouvernementaux afin de cerner les priorités transversales dans l’ensemble de la communauté de gestion des urgences fédérale, et d’aider à façonner un programme stratégique commun.

En tenant compte des commentaires reçus, Sécurité publique Canada a ensuite mené des discussions en 2015 auprès de ces comités sur une approche visant à accroître la collaboration interministérielle et à faire progresser les priorités stratégiques. En tant que membre de ces comités, le Secrétariat a participé à ces discussions. Ils sont parvenus à un consensus quant aux thèmes stratégiques proposés pour la gestion de base des urgences, et à la nécessité d’élaborer un plan de travail pluriannuel afin d’opérationnaliser ces thèmes. Les comités interministériels de sous-ministres adjoints et Sécurité publique Canada ont également insisté sur le besoin de mobiliser les sous-ministres à cet égard. Le renforcement de la planification de la gestion des urgences, y compris la PCA, a été relevé comme une priorité d’un des thèmes stratégiques de base.

Même si les travaux entourant les thèmes stratégiques se poursuivent, les trois thèmes suivants concernant la gestion des urgences de base ont été relevés afin d’assurer la résilience dans le contexte de l’environnement des risques actuel :

• capacités : Pour renforcer les capacités, il faut entre autres disposer des bonnes structures, des bonnes ressources et des bons outils afin de gérer les événements et les urgences
• connaissances et innovation : La facilitation de meilleurs échanges de connaissances, de la recherche et de l’innovation permettra de cerner de nouvelles possibilités et de veiller à ce que les approches soient mieux intégrées
• relations et culture : Les relations et la culture accroissent la résilience sociétale en favorisant la sensibilisation aux risques et en établissant la confiance entre divers groupes

Cependant, au moment de l’audit, une stratégie intégrée particulière visant à renforcer la PCA dans l’ensemble du gouvernement et un plan d’action pangouvernemental pour mettre en œuvre une telle stratégie n’avaient pas encore été élaborés. De plus, les sous-ministres n’avaient pas encore été mobilisés sur les thèmes stratégiques de base proposés pour la gestion des urgences.

Accroître la résilience dans un environnement où les risques évoluent nécessite une approche plus intégrée. Au moyen d’une planification stratégique officielle intégrée à l’échelle du gouvernement, le gouvernement du Canada devrait être en mesure d’accroître sa capacité à obtenir les résultats attendus décrits dans l’ensemble des politiques sur la sécurité du Secrétariat et d’accroître de façon efficace sa résilience aux interruptions en concentrant ses ressources dans les secteurs qui présentent un risque plus élevé.

La surveillance pangouvernementale de la PCA était limitée. Des travaux sont en cours dans le but d’améliorer les cadres de surveillance et d’établissement de rapports.

La surveillance de la PCA à l’échelle du gouvernement est une responsabilité partagée entre le Secrétariat et Sécurité publique Canada. Le Secrétariat est responsable de la surveillance de la conformité pangouvernementale à l’ensemble des politiques du Conseil du Trésor et de l’atteinte des résultats attendus des politiques. Le Secrétariat devrait également avoir examiné l’efficacité et la mise en œuvre de l’ensemble des politiques du Conseil du Trésor et en avoir rendu compte à ce dernier cinq ans après l’entrée en vigueur de la Politique sur la sécurité du gouvernement (en juillet 2014).

En vertu de la Loi sur la gestion des urgences, Sécurité publique Canada est chargé « d’analyser et d’examiner les plans de gestion des urgences établis par les institutions fédérales », y compris les plans de continuité des activités. Les responsabilités de Sécurité publique Canada aux termes de cette loi comprennent également la conduite d’exercices de gestion des urgences. En ce qui a trait à l’établissement de rapports, selon la Politique fédérale en matière de gestion des urgences, Sécurité publique Canada doit faire « tous les deux ans, un compte rendu au Comité des sous-ministres responsables des questions de gestion des mesures d’urgence concernant la mise en œuvre de cette politique et concernant l’état de préparation du système fédéral de gestion des mesures d’urgence à l’échelle de l’administration fédérale. Ces comptes rendus seront fondés sur les renseignements transmis par les institutions fédérales et sur le travail aussitôt entrepris par Sécurité publique Canada ».

Enfin, selon la Politique sur la sécurité du gouvernement, le Secrétariat et Sécurité publique Canada sont responsables de « s’assurer que des examens périodiques sont effectués en vue de vérifier l’efficacité de leurs services de soutien à la sécurité afin de veiller à ce que ces services continuent de répondre aux besoins des ministères et du gouvernement dans son ensemble ».

En effectuant des vérifications du Cadre de responsabilisation de gestion (CRG) au cours de l’exercice 2014 à 2015 et de l’exercice 2015 à 2016, le Secrétariat a démontré qu’il s’était acquitté de sa responsabilité pangouvernementale de surveiller la conformité aux exigences des politiques sur la PCA. Le Secrétariat a également participé à des exercices spéciaux de « leçons retenues » menés conjointement avec d’autres principaux organismes et ministères responsables de la sécurité après que des incidents de sécurité se soient produits. Cependant, le Secrétariat n’a pas respecté les exigences précitées en matière de rapport au Conseil du Trésor, et il n’a pas démontré avoir examiné périodiquement l’efficacité de ses initiatives de soutien relativement à la PCA.

Dans le cadre de sa responsabilité de surveillance pangouvernementale en tant que principal organisme responsable de la sécurité aux termes de la Politique sur la sécurité du gouvernement, Sécurité publique Canada a tenu des réunions du groupe de travail interministériel et des séances de rétroaction avec des représentants des petits ministères, afin d’examiner et d’améliorer les directives et les outils de PCA dont ils disposent. En ce qui concerne sa responsabilité législative d’effectuer des exercices de gestion des urgences, Sécurité publique Canada s’est acquitté de sa responsabilité en élaborant un calendrier d’exercice national pluriannuel pour 2013 à 2016, et en menant un exercice national en 2014 qui a couvert la PCA. Sécurité publique Canada a rédigé un « compte rendu après action » pour cet exercice, et il l’a présenté aux Comités de la gestion des urgences des sous-ministres adjoints et des directeurs généraux.

Au-delà de ces initiatives, Sécurité publique Canada n’a pas démontré avoir examiné périodiquement l’efficacité de ses initiatives de soutien relativement à la PCA. En outre, Sécurité publique Canada n’a pas démontré qu’il avait examiné les plans de continuité des activités des autres ministères. Cette question a été soulevée auparavant dans le Rapport de l’automne de 2009 de la vérificatrice générale du Canada et dans la Vérification interne de la planification de la gestion des urgences : leadership et surveillance de 2014 de Sécurité publique Canada. Même si le Bureau du vérificateur général du Canada n’a pas formulé de recommandation particulière dans son rapport de 2009 afin d’aborder cette question, une recommandation dans ce domaine a été formulée dans le rapport de vérification interne de 2014 de Sécurité publique Canada susmentionné.

En outre, nous avons noté que Sécurité publique Canada ne s’est pas acquittée de sa responsabilité consistant à rendre compte de l’état de préparation pangouvernemental relativement à la continuité des opérations gouvernementales. La Vérification interne de la planification de la gestion des urgences : leadership et surveillance de 2014 de Sécurité publique Canada a conclu que, en général, Sécurité publique Canada « n’est pas dotée des mécanismes suffisants ou efficaces pour évaluer comme il se doit l’état de préparation des institutions fédérales en cas d’urgence. Également, l’absence de mécanismes de suivi limite la capacité du Ministère de mieux saisir les points forts et les difficultés au sein des institutions fédérales. Cette capacité devrait en soi servir de base aux directives, aux politiques et à l’orientation de Sécurité publique Canada ».

Au cours des travaux d’audit sur le terrain, des données probantes ont été fournies démontrant que le Secrétariat et Sécurité publique Canada travaillent activement ensemble à l’élaboration d’approches conjointes dans le but d’améliorer les cadres de surveillance et d’établissement de rapports de la PCA à l’échelle du gouvernement.

Une surveillance périodique de la PCA à l’échelle pangouvernementale et la communication périodique des résultats aux comités de la haute direction pangouvernementaux aideraient à identifier et à traiter les vulnérabilités de façon plus proactive et systématique dans l’ensemble du gouvernement. Une telle surveillance et un tel établissement de rapports viendraient accroître la résilience du gouvernement face aux perturbations.

À l’échelle du gouvernement, l’approche pour [Ces informations n’ont pas été divulguées] est réactive et s’appuie sur des hypothèses non vérifiées. Des travaux sont en cours afin d’adopter une approche plus proactive à cet égard.

Renforcer la résilience du gouvernement aux interruptions dans un environnement de risque en évolution où les interdépendances entre les ministères ont augmenté considérablement nécessite une approche proactive et globale à la PCA. En ce qui concerne le processus, l’identification et l’établissement des priorités des services essentiels sont un point de départ fondamental sur le plan des risques. Si l’accès à ces services ou leur intégrité étaient compromis, il en résulterait un préjudice élevé à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada.

Selon la Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA), les ministères doivent « effectuer une analyse des répercussions sur les opérations pour évaluer l’incidence des interruptions sur le ministère et pour relever les services essentiels et les biens afférents ». La norme prescrit également une approche de base que les ministères doivent suivre lorsqu’ils effectuent une analyse des répercussions sur les opérations.^{Voir la note en bas de page 16} En outre, la Directive sur la gestion de la sécurité ministérielle prévoit une exigence au niveau des ministères indiquant qu’« un répertoire de services critiques et de renseignements connexes, de biens et de dépendances soit tenu à jour, et que ce répertoire soit transmis à Sécurité publique Canada au besoin. ».

[Ces informations n’ont pas été divulguées]. Compte tenu du rôle de leadership de Sécurité publique Canada comme ministère de coordination fédérale pour la gestion des urgences et du rôle du Secrétariat comme organisme central pour l’établissement et la surveillance d’une politique sur la sécurité du gouvernement, nous nous attendions à ce que les deux ministères aient collaboré à l’élaboration et à la mise en œuvre d’une telle approche.

En janvier 2011, Sécurité publique Canada a élaboré un Plan fédéral d’intervention d’urgence (PFIU) qui décrivait le plan d’intervention « tous risques »^{Voir la note en bas de page 17} du gouvernement du Canada. Le PFIU décrit les processus et les mécanismes de haut niveau qui facilitent une intervention intégrée du gouvernement du Canada en cas d’urgence, et qui éliminent le besoin pour les institutions fédérales de coordonner une intervention gouvernementale généralisée. L’annexe A du PFIU donne un aperçu général des fonctions au sein du gouvernement qui sont les plus souvent utilisées dans le cadre d’une intervention fédérale en cas d’urgence (les fonctions de soutien en cas d’urgence). L’annexe précise également les ministères qui jouent un rôle principal et un rôle auxiliaire dans chacun de ces domaines, et renferme une description générale de leurs responsabilités. Selon le PFIU, « au cours d’une intervention intégrée du gouvernement du Canada, toutes les institutions fédérales concernées participent à la détermination des objectifs globaux, contribuent aux plans conjoints et optimisent l’utilisation de toutes les ressources disponibles. Cela se produit aux échelons nationaux et régionaux au besoin, selon la portée et la nature de l’urgence ». Une vaste structure de gouvernance interministérielle a également été élaborée pour appuyer le PFIU dans le but de coordonner la gestion des urgences pendant les situations non urgentes et urgentes.^{Voir la note en bas de page 18}

Même si le PFIU recense les domaines qui sont habituellement essentiels dans le cadre d’une intervention d’urgence fédérale (c’est-à-dire, les fonctions de soutien en cas d’urgence) et est appuyé par une structure de gouvernance interministérielle élargie pour coordonner les activités de gestion des urgences, il ne décrit pas clairement [Ces informations n’ont pas été divulguées]. Ceci est dû au fait que la portée du PFIU se situe à un niveau de gestion des urgences beaucoup plus général, et l’objectif du PFIU est « d’utiliser des méthodes de nature générique, modifiées au besoin selon les circonstances particulières ».

Les représentants de Sécurité publique Canada questionnés ont mentionné le fait que les ministères ont identifié les services essentiels « à des degrés différents » et « en fonction de leurs propres pouvoirs ». Ils ont ajouté que « lorsqu’une intervention pangouvernementale est requise (plusieurs ministères sont touchés par un événement) et que des décisions s’imposent [Ces informations n’ont pas été divulguées]) ». Selon ces représentants, de telles « décisions seraient prises en vertu de la gouvernance du PFIU établie. Les décisions liées à la PCA qui n’ont pas d’incidence sur une intervention intégrée du gouvernement du Canada demeureraient des décisions internes de chaque ministère. De plus, la structure du PFIU est uniquement centrée sur les activités d’intervention et le rétablissement initial. Les activités à plus long terme qui se produisent normalement pendant la phase du rétablissement ne sont pas abordées dans la structure du PFIU. »

L’approche adoptée à l’échelle pangouvernementale pour [Ces informations n’ont pas été divulguées] s’est donc révélée réactive. Les structures de gouvernance actuelles du PFIU ne sont désignées à cette fin qu’à titre spécial lorsque surviennent des urgences qui exigent une intervention intégrée du gouvernement. L’approche au niveau pangouvernemental est tributaire de la capacité des ministères touchés par ces urgences de fournir ces renseignements au besoin. Étant donné que la surveillance de la PCA ministérielle est limitée à l’échelle pangouvernementale, tel qu’indiqué à la section précédente, l’audit a conclu que l’approche réactive, à l’échelle du gouvernement, s’appuie également sur des hypothèses non vérifiées quant à la disponibilité, à la ponctualité et à l’exactitude des renseignements provenant des ministères concernant les services essentiels.

Cependant, pendant les travaux d’audit sur le terrain, l’équipe de l’audit a reçu l’ébauche [Ces informations n’ont pas été divulguées].^{Voir la note en bas de page 19}

Enfin, l’audit a noté qu’en 2016, des représentants de Sécurité publique Canada et du Secrétariat ont tenu des réunions conjointes au niveau de travail afin de préciser leurs rôles et responsabilités respectifs et de mettre au point des approches communes pour [Ces informations n’ont pas été divulguées]. La documentation, résultant de ces réunions, exposait les grandes lignes de l’utilité de [Ces informations n’ont pas été divulguées] pour appuyer la coordination interministérielle et la prise de décisions au cours d’une intervention fédérale, et aux fins d’autres activités de gestion des urgences. Au moment de l’audit, les travaux effectués dans ce domaine étaient toujours en cours, et des représentants de Sécurité publique Canada ont mentionné que « même si des discussions étaient en cours entre Sécurité publique Canada et le Secrétariat du Conseil du Trésor du Canada à ce sujet, il n’y a pas eu d’entente formelle entre les deux parties sur l’élaboration [Ces informations n’ont pas été divulguées] ».

L’adoption d’une approche pangouvernementale plus proactive contribuerait à rehausser la qualité des renseignements relatifs aux [Ces informations n’ont pas été divulguées] sur les plans de la disponibilité, de la ponctualité et de l’exactitude. Une telle approche pourrait également accroître l’efficacité et l’efficience de l’établissement des priorités pour la PCA, la prise de décisions stratégiques connexe et l’intervention à la suite d’événements du point de vue pangouvernemental.

Constatation 2 : la gouvernance à l’échelle ministérielle

La Politique sur la sécurité du gouvernement du Conseil du Trésor stipule que les administrateurs généraux sont responsables de la mise en œuvre et de la gouvernance efficaces de la sécurité au sein de leurs ministères, et qu’ils se partagent la responsabilité en ce qui a trait à la sécurité du gouvernement dans son ensemble.

L’audit a examiné si les ministères se sont acquittés de leurs responsabilités liées à la gouvernance, conformément à la Politique sur la sécurité du gouvernement; à la Directive sur la gestion de la sécurité ministérielle; et à la Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA). L’audit s’est focalisé sur les aspects suivants de la gouvernance ministérielle pour la PCA : les comités de gouvernance; la communication des rôles et des responsabilités; les essais; la surveillance; et l’établissement de rapports.

Même si la grande majorité des ministères ont établi des comités de gouvernance afin de superviser et d’intégrer les activités liées à la PCA, la plupart d’entre eux n’ont pas démontré que leurs comités intervenaient activement dans ce domaine.

Selon la Politique sur la sécurité du gouvernement, « la sécurité est assurée lorsqu’elle est appuyée par la haute direction, une dimension qui fait partie intégrante de la planification stratégique et opérationnelle, et qu’elle est intégrée aux cadres, à la culture et aux activités courantes des ministères ainsi qu’aux comportements des employés ». La Directive sur la sécurité ministérielle exige des ministères qu’ils établissent des mécanismes de gouvernance de la sécurité (comme des comités et des groupes de travail) dans le but de veiller à la coordination et à l’intégration des activités liées à la sécurité, en plus de faciliter la prise de décisions. La gouvernance est aussi identifiée comme un élément clé des programmes ministériels de PCA en vertu de la Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA). Les ministères étaient donc censés avoir des comités de gouvernance en place qui participaient activement à la surveillance et à l’intégration des activités liées à la PCA.

L’audit a permis de constater que la grande majorité des ministères avaient des comités de la haute direction officiels en place pour surveiller et appuyer la coordination des activités de leurs organismes, y compris les activités se rapportant à la PCA. L’audit a aussi révélé, à titre de pratique exemplaire, que la plupart des grands ministères ainsi que certains petits ministères avaient également mis sur pied des comités ou des groupes de travail qui avaient des mandats consacrés à la PCA.

Cependant, les ministères n’ont généralement pas démontré que ces comités de gouvernance appuyaient activement la PCA en se réunissant régulièrement (selon une fréquence préétablie), et en suivant de façon systématique les initiatives reliées à la PCA et en y donnant suite.

Les comités de gouvernance qui démontrent activement leur soutien à la PCA en se rencontrant régulièrement et en donnant suite aux initiatives dans ce domaine augmenteraient le profil de la PCA. En retour, cela permettrait de s’assurer de tenir compte de la PCA comme il se doit dans le cadre du processus décisionnel, en plus de renforcer la coordination entre les intervenants ministériels.

La communication des rôles et des responsabilités doit être améliorée dans presque tous les ministères.

La Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA) stipule qu’un élément essentiel de la gouvernance est l’élaboration d’une politique de programme de PCA ministérielle approuvée par la haute direction afin de définir et de communiquer officiellement les attentes.

Les ministères doivent également nommer un agent de sécurité du ministère (ASM) et un coordonnateur ministériel de la PCA. La Politique sur la sécurité du gouvernement indique que l’ASM doit relever de façon fonctionnelle de l’administrateur général ou du comité exécutif ministériel pour gérer le programme de sécurité du ministère.^{Voir la note en bas de page 20} Les responsabilités de sécurité de l’ASM comprennent la PCA, et la Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA) exige que les ministères nomment un coordonnateur de la PCA pour appuyer l’ASM^{Voir la note en bas de page 21}dans ce domaine. En vertu de cette norme, le coordonnateur de la PCA est censé informer l’ASM tout au long du processus de PCA.^{Voir la note en bas de page 22}

La Directive sur la gestion de la sécurité ministérielle exige également que les ministères veillent à ce que les responsabilités, les délégations, les rapports hiérarchiques ainsi que les rôles et les responsabilités des employés ministériels ayant des responsabilités de sécurité soient définis, documentés et communiqués aux personnes concernées. Les ministères devaient s’être conformés à ces exigences pour les rôles et responsabilités liés à la PCA attribués à tous les employés participant au processus de la PCA du ministère (par exemple, l’ASM, le coordonnateur de la PCA et les gestionnaires fonctionnels)^{Voir la note en bas de page 23}.

Même si la majorité des grands ministères examinés ont démontré que les politiques sur le programme de PCA approuvées par la haute direction étaient en place, ce n’était généralement pas le cas pour les petits ministères. L’audit a également relevé que, dans la moitié des grands ministères où ces politiques étaient en place, les politiques n’avaient pas été mises à jour depuis plusieurs années. Les représentants d’un de ces grands ministères ont indiqué qu’ils attendaient que le Secrétariat et Sécurité publique Canada mettent d’abord leurs instruments de politique connexes à jour.

La majorité des ministères ont nommé officiellement un ASM et un coordonnateur de la PCA, conformément aux exigences susmentionnées. Les rapports hiérarchiques observés entre ces deux intervenants concordaient aussi généralement avec ces exigences. Cependant, dans la moitié des grands ministères, il a été noté que le rapport hiérarchique entre l’ASM et l’administrateur général (ou le comité exécutif) n’était pas documenté ou communiqué officiellement aux deux parties.

En ce qui concerne la communication des rôles et des responsabilités relatifs à la PCA à tous les employés concernés par le processus de PCA ministériel, des possibilités d’amélioration ont été relevées dans la plupart des grands ministères et dans tous les petits ministères inclus dans le présent audit. Plus particulièrement, la plupart des grands ministères n’ont pas démontré avoir communiqué officiellement les rôles et responsabilités à l’égard de la PCA à tous les employés participant au processus de la PCA. Cette situation a également été constatée dans tous les petits ministères examinés. Dans plusieurs grands et petits ministères, l’audit a toutefois noté que certains employés étaient officiellement tenus responsables de leur rendement quant à l’exercice de leurs rôles à l’égard de la PCA (par exemple, au moyen de leur entente annuelle de gestion du rendement).

Le fait de s’assurer que les rôles et les responsabilités à l’égard de la PCA sont communiqués officiellement à toutes les personnes participant au processus de PCA ministériel contribuerait à une meilleure compréhension des attentes et à la coordination des activités dans ce secteur. En outre, le fait de tenir officiellement toutes les personnes responsables de leur rendement relativement à l’exercice de leurs rôles et de leurs responsabilités respectifs dans le cadre de ce processus contribuerait davantage à renforcer l’efficacité générale du programme de PCA.

Les cadres ministériels de surveillance de la PCA et d’établissement de rapports connexes étaient inexistants ou limités.

En vertu du cadre de la politique sur la sécurité du gouvernement, il incombe aux ministères d’établir des cadres de surveillance et d’établissement de rapports afin d’examiner périodiquement l’efficacité et la conformité de leurs programmes de PCA. La Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA) exige également de la part des ministères qu’ils effectuent des mises à l’essai et une validation régulières de tous leurs plans de continuité des activités.^{Voir la note en bas de page 24}

Dans le Guide de planification de la continuité des activités de Sécurité publique Canada, il est recommandé que tous les ministères effectuent des examens internes une ou deux fois par année afin de veiller à l’exactitude, à la pertinence et à l’efficacité de leurs plans de continuité des activités.^{Voir la note en bas de page 25} Même s’il a été publié après la période visée par l’audit, le Guide pour l’élaboration d’un programme de gestion de la continuité des activités pour les petits ministères et organismes de Sécurité publique Canada recommande ceci : qu’« une session de revue générale^{Voir la note en bas de page 26} ou un exercice sur table^{Voir la note en bas de page 27} des plans soient effectués chaque année » et que les plans « soient mis à l’essai au moins une fois tous les deux ans ».^{Voir la note en bas de page 28} Le guide de Sécurité publique Canada à l’intention des PMO recommande également que « chaque PMO mène un examen périodique de son programme de PCA, y compris des risques, des ARO, des plans, de la formation ou de la sensibilisation et des mises à l’essai. En règle générale, un examen du programme devrait être mené tous les deux ans, ou après que le plan a été exécuté ou activé. »^{Voir la note en bas de page 29}

Aucun des ministères inclus dans le présent audit n’a respecté la totalité des exigences mentionnées antérieurement et des pratiques recommandées en vigueur au cours de la période visée par l’audit. Plus précisément, la majorité des grands et petits ministères n’ont pas démontré qu’ils avaient mis en place des cadres de surveillance et d’établissement de rapports de la PCA pour assurer leur conformité avec le cadre des politiques sur la sécurité du gouvernement et l’efficacité générale de leurs programmes de PCA. La moitié des grands ministères n’ont également pas pris l’initiative de mettre à l’essai leurs plans de continuité des activités pour ceux échantillonnés dans le cadre de cet audit. Pour ceux qui l’ont fait, aucun n’a démontré avoir mené des essais complets,^{Voir la note en bas de page 30} et les essais menés se limitaient soit à des exercices sur table, à des exercices d’appel de demande d’intervention^{Voir la note en bas de page 31} ou à certains secteurs (par exemple, des services, des directions et des secteurs particuliers). La majorité des petits ministères n’ont pas démontré avoir mis à l’essai leurs plans de continuité des activités échantillonnés dans le cadre de cet audit. En outre, aucun des ministères n’a démontré avoir adopté des programmes d’essai officiels qui englobent des essais et des validations périodiques de tous les plans de continuité des activités conformément aux exigences des politiques et aux pratiques recommandées du gouvernement.

Des représentants ministériels de grands et de petits ministères ont donné différentes explications concernant le manque de surveillance. Plusieurs représentants ont mentionné qu’ils s’appuyaient sur les évaluations du CRG menées par le Secrétariat pour examiner la conformité de leurs programmes de PCA ministériels avec le cadre des politiques sur la sécurité du gouvernement. Certains représentants ont aussi noté que l’orientation fournie par le Secrétariat et Sécurité publique Canada concernant la surveillance des programmes de PCA ministériels était trop générale ou vague. D’autres ont mentionné qu’ils disposaient de ressources limitées à consacrer à ce secteur.

La surveillance et l’établissement de rapports périodiques officiels concernant la conformité en général et l’efficacité des programmes de PCA ministériels permettraient aux ministères de prendre l’initiative de cerner et de combler tout écart afin d’accroître leur résilience aux événements qui perturbent les activités opérationnelles normales. En tant qu’élément clé de ces cadres de surveillance et d’établissement de rapports, les essais périodiques des plans de continuité des activités donneraient aux ministères l’assurance pratique de la probabilité que ces plans fonctionneraient si de telles perturbations survenaient.

Constatation 3 : les processus de PCA ministériels

Au nombre de leurs exigences de sécurité de base, tous les ministères doivent disposer d’un plan de continuité des activités afin d’assurer la continuité des opérations gouvernementales, et ce, qu’ils offrent des services essentiels ou non.^{Voir la note en bas de page 32} La réalisation d’une analyse des risques opérationnels (ARO) est un point de départ fondamental de l’élaboration de ces plans. La Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA) décrit diverses autres activités qui doivent être réalisées dans le cadre de ce processus, y compris les exigences relatives au contenu des ARO et des plans de continuité des activités.^{Voir la note en bas de page 33}

L’audit a évalué un échantillon axé sur les risques^{Voir la note en bas de page 34} d’ARO et de plans de continuité des activités ministériels, afin de déterminer la mesure dans laquelle les ministères respectaient ces exigences.

La majorité des ministères ont mené des ARO. Cependant, en général, ils ne répondent pas entièrement aux exigences de base à cet égard.

Les ministères étaient censés avoir mené des ARO afin d’identifier et de prioriser les services offerts en fonction de leur caractère essentiel (par exemple, sur le plan ministériel^{Voir la note en bas de page 35} et sur le plan intergouvernemental^{Voir la note en bas de page 36}). Les ARO sont essentielles au processus de PCA, car elles fournissent les renseignements de base requis pour permettre aux ministères d’orienter leurs efforts et leurs ressources limitées de façon stratégique dans les domaines qui comptent le plus pour la continuité de leurs activités.

La Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA) exige que les ministères suivent les étapes suivantes lorsqu’ils mènent des ARO :

1. déterminer la nature des activités du ministère (par exemple, son rôle et son mandat) et les services qu’il doit fournir. L’analyse doit également faire état des fonctions internes et externes sur lesquelles les services reposent
2. déterminer les répercussions directes et indirectes des interruptions sur le ministère, y compris les effets quantitatifs et qualitatifs
3. évaluer les services pour déterminer ceux qui sont les plus susceptibles de causer un préjudice élevé aux Canadiens et aux Canadiennes et au gouvernement, s’ils sont interrompus
4. relever les services essentiels, les classer par ordre de priorité et dresser une liste des ressources (personnel, entrepreneurs, fournisseurs, information, systèmes et autres biens) qui soutiennent directement ou indirectement les services au sein et à l’extérieur du ministère. La priorité est établie selon le temps d’arrêt maximal admissible^{Voir la note en bas de page 37} et le niveau de services minimal^{Voir la note en bas de page 38} requis avant qu’un préjudice élevé^{Voir la note en bas de page 39} ne soit causé. Les services qui doivent toujours être disponibles, c’est-à-dire pour lesquels une interruption est inacceptable et la reprise immédiate est essentielle, viennent au premier rang
5. Faire approuver les résultats de l’analyse des répercussions sur les opérations par la haute direction avant de procéder à l’élaboration des plans de continuité

Même si les ARO ont été complétées dans la majorité des ministères, ce n’était pas le cas pour deux grands ministères et un petit ministère.

De plus, les grands et les petits ministères ne respectaient généralement pas entièrement la majorité des exigences énumérées antérieurement pour les ARO en vertu de la Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA).

À cet égard, les possibilités d’amélioration relevées dans le cadre de l’audit étaient plus importantes dans les domaines suivants : l’évaluation des services pour déterminer ceux qui sont les plus susceptibles de causer un préjudice élevé aux Canadiens et aux Canadiennes et au gouvernement; le classement des services par ordre de priorité en fonction de leurs temps d’arrêt maximaux admissibles et de leurs niveaux de service minimaux; l’approbation des ARO par la haute direction; et l’identification de dépendances internes et externes (par exemple, avec d’autres fonctions, ressources et ministères) nécessaires à la prestation de service.^{Voir la note en bas de page 40}

L’exécution d’ARO complètes conformément à toutes les exigences de base permettrait d’améliorer la qualité des renseignements disponibles pour la PCA dans les ministères. À son tour, cela pourrait aider les ministères à accroître l’efficacité générale de leur programme de PCA.

La majorité des ministères avaient des plans de continuité des activités pour tous les services échantillonnés. Cependant, plusieurs possibilités d’amélioration ont été relevées relativement à leur contenu et aux processus exécutés pour élaborer ces plans.

Les plans de continuité des activités sont les principaux produits du processus de PCA, et essentiellement, ils offrent un plan des mesures qui devront être prises en cas d’interruption des activités opérationnelles régulières. Plus particulièrement, ils contiennent des procédures préétablies et convenues, incluant tous les renseignements pertinents pour permettre la continuité et la reprise subséquente des activités opérationnelles ministérielles touchées par des interruptions.

Selon les résultats concernant leurs ARO, les ministères doivent, en vertu de la Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA), accomplir les activités suivantes dans le cadre du processus d’élaboration de leurs plans de continuité des activités :

1. élaborer des options de reprise qui permettront d’établir une stratégie de reprise pour chacun des services essentiels
2. évaluer chaque option en termes d’interruption possible, de répercussions sur le ministère, d’avantages, de risques, de faisabilité et de coûts afin de choisir la stratégie la plus pertinente
3. obtenir l’approbation de la haute direction pour appuyer et financer certaines stratégies
4. élaborer des plans de continuité des activités qui font état :
   1. des services essentiels, des produits d’information et des dépendances relevés dans l’analyse des risques opérationnels
   2. des stratégies de reprise approuvées
   3. des mesures à prendre pour donner suite aux répercussions et aux effets des interruptions sur le ministère
   4. des équipes d’intervention et de reprise, y compris la composition des équipes et les coordonnées des membres
   5. des rôles, responsabilités et tâches des équipes, y compris des intervenants internes et externes
   6. des ressources requises et des procédures à suivre pour la reprise
   7. des mécanismes et des procédures de coordination
   8. des stratégies de communications
5. obtenir l’approbation de la haute direction concernant les plans élaborés

Les ministères disposaient généralement de plans de continuité des activités visant tous les services échantillonnés. Plus particulièrement, tous les petits ministères avaient de tels plans pour chaque service échantillonné, mais ce n’était pas le cas pour certains grands ministères.

En général, les plans de continuité des activités examinés dans les petits ministères contenaient principalement tous les renseignements de base nécessaires en vertu de la Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA) (section 3.3 d). Cependant, c’est le contraire qui a été observé du côté des grands ministères. Les possibilités d’amélioration dans les grands et les petits ministères étaient les plus importantes en ce qui a trait à la détermination des interdépendances internes et externes auxquelles on se fiait et à la détermination des ressources et des procédures nécessaires à la reprise.^{Voir la note en bas de page 41} Dans les grands ministères, il y avait des possibilités d’amélioration plus importantes relativement à la détermination des éléments suivants : les mesures pour traiter les répercussions et les effets des interruptions; les rôles, les responsabilités et les tâches des équipes, y compris les intervenants internes et externes; et, les stratégies de communication.^{Voir la note en bas de page 42}

Pour ce qui est des processus de PCA ministériels, les ministères n’ont généralement pas suivi la majorité des étapes prescrites dans la Norme de sécurité opérationnelle : Programme de planification de la continuité des activités (PCA) (section 3.3 a à e) pour l’élaboration de tous les plans de continuité des activités échantillonnés. Les possibilités d’amélioration étaient plus importantes au chapitre de l’élaboration et de l’évaluation des options de reprise avant la sélection de stratégies de reprise.^{Voir la note en bas de page 43} Dans les grands ministères, de plus importantes possibilités d’amélioration ont également été relevées quant à l’approbation des plans de continuité des activités.^{Voir la note en bas de page 44}

En veillant à ce que les ARO et les plans de continuité des activités soient élaborés en pleine harmonisation avec les exigences de base et renferment tous les renseignements requis, les ministères seraient en meilleure position pour assurer la continuité de leurs activités en cas d’interruption. Il sera également essentiel de traiter toutes les interdépendances entre les ministères pour assurer l’efficacité des plans de continuité des activités, étant donné l’adoption croissante par le gouvernement des modèles de prestation de services partagés.