Plan de vérification interne et d’évaluation axé sur les risques 2014-2017
1. Introduction
1.1 Contexte
Compte tenu des transformations survenues ces dernières années, notamment la rationalisation de la méthode de traitement des plaintes et la mise en œuvre d'un projet de GI/TI de grande envergure, ainsi que de la collaboration des agents du Parlement pour la prestation de services internes clés, il ne fait aucun doute qu'un solide plan de vérification interne et d'évaluation axé sur les risques sera un élément de gouvernance important pour aider le Commissariat aux langues officielles (Commissariat) à atteindre ses objectifs.
Le plan de vérification interne et d'évaluation axé sur les risques reconfirme l'objectif qui consiste à allouer des ressources de vérification aux principaux secteurs prioritaires du Commissariat et à veiller à ce que les services de vérification interne profitent à l'organisation dans son ensemble.
1.2 Détermination de l’univers de vérification
L'univers de vérification définit l'étendue possible de l'activité de vérification interne et est composé des « entités vérifiables » pouvant faire l'objet de cette activité. Pour que l'objet de la vérification interne et de l'évaluation concorde avec la structure opérationnelle de l'organisation, les 23 entités vérifiables ont été mises en adéquation avec les trois activités de programme indiquées dans la structure de l'architecture d'alignement des programmes (AAP).
1.3 Méthode
La validation des secteurs de risque aux fins de la planification de la vérification et de l'évaluation s'est faite à l'aide de renseignements tels que les sources de risque, les incidences éventuelles et les mesures de contrôle existantes, ainsi que des stratégies d'atténuation planifiées. Les préoccupations exprimées par les membres externes du Comité de vérification et d'évaluation ont également été prises en considération.
L'incidence de chaque risque, s'il devait se matérialiser, et la probabilité qu'il se matérialise ont aussi été prises en considération pour établir l'ordre de priorité des risques décelés et pour élaborer le diagramme d'exposition aux risques qui pourraient empêcher le Commissariat d'atteindre ses objectifs.
Nous nous sommes également penchés sur d'autres facteurs, comme l'importance de faire le suivi du rendement pour atteindre les objectifs et respecter les normes de service, de gérer l'information pour obtenir des données exactes et complètes, d'évaluer la capacité et la compétence du personnel pour répondre aux attentes, ainsi que la connaissance de l'évolution de l'environnement dans lequel œuvrent les agents du Parlement et l'incidence de cette évolution sur leur indépendance.
1.4 Élaboration du plan
Au cours de l'élaboration du plan triennal de vérification et d'évaluation, nous avons également examiné diverses contraintes et possibilités, notamment :
- disponibilité des ressources de vérification et d'évaluation;
- faisabilité;
- réalisation d'autres examens et projets de vérification assurant une surveillance (p. ex., vérifications du BVG, vérifications horizontales du BCG et de la CFP, etc.);
- demandes de la direction.
Les priorités ont été déterminées en fonction de ces contraintes et possibilités. On a ainsi obtenu une brève liste de projets de vérification et d'évaluation ainsi que d'activités qui seront menés au cours des trois prochaines années pour nous assurer d'avoir un plan de vérification équilibré. Le plan de vérification et d'évaluation proposé est harmonisé aux ressources du Commissariat et tient compte des changements récents. Il met l'accent sur les risques indiqués dans le profil de risque organisationnel et sur les activités requises pour atteindre le résultat stratégique de l'organisation.
Ce plan de vérification et d'évaluation ajoutera une valeur à l'organisation en faisant en sorte que le Comité exécutif et le Comité de vérification et d'évaluation (CVE) disposent de renseignements objectifs sur les pratiques de gestion, les cadres de contrôle, les politiques, les directives, etc. du Commissariat dans les domaines qui, selon la direction, comportent un risque élevé ou sont d'un intérêt particulier pour favoriser une meilleure gestion de l'organisation.
Des précisions sont fournies sur les activités prévues, entre autres la portée, les objectifs, la justification, les principaux risques organisationnels et le calendrier de chaque mission.1.5 Sommaire des vérifications et évaluations recommandées pour 2014-2017
2014-2015 - Services internes
Vérification
- Vérification du projet de renouvellement de la GI/TI (Effort relatif : intense)
2015-2016 - Protection des droits linguistiques
Vérification
- Vérification des pratiques de vérification externe (Effort relatif : modéré)
2016-2017 - Protection des droits linguistiques et promotion de la dualité linguistique
Évaluation
- Évaluation de l’incidence des enquêtes, des vérifications, de la gestion stratégique du rendement et du rapport annuel (Effort relatif : intense)
Questions à examiner ultérieurement
Services internes
Évaluation
- Intégrité des données (Effort relatif : modéré)
Protection des droits linguistiques
Évaluation
- Vérification des pratiques de gestion juridique (Effort relatif : modéré)
Nota :
Le Bureau du contrôleur général (BCG) a inclus le Commissariat dans le champ d'étude de la vérification interne horizontale de la sécurité des technologies de l'information dans les grands et petits ministères, qui a été entreprise en mai 2014.
La vérification vise à déterminer si :
- des cadres de gouvernance sur la sécurité de la technologie de l'information (TI) ont été mis en place dans les ministères et dans l'ensemble du gouvernement;
- certains cadres de contrôle ont été mis en place dans les ministères pour réduire les risques liés à la sécurité de la TI.
Par ailleurs, l'inspection des pratiques de vérification externe sera achevée en 2014-2015, et la validation externe des résultats de l'inspection devrait se faire au cours du troisième trimestre de 2014-2015.
Le Commissariat a en outre demandé d'être inclus dans le champ d'étude de la vérification interne horizontale de la gestion de l'information que le BCG devrait effectuer en 2015-2016.1.6 Description des projets de vérification et d’évaluation
L'information ci-dessous indique la portée, l'objectif et la justification de chaque projet de vérification proposé pour la période 2014 à 2017. La description comprend, le cas échéant, l'inventaire des principaux risques organisationnels auxquels le Commissariat est exposé. Enfin, il est à noter que la délimitation et les objectifs définitifs des vérifications et des évaluations pourraient être modifiés selon les résultats constatés à l'étape de la planification de chacun des projets.
Services internes – 2014-2015
Titre du projet
Vérification du projet de renouvel-lement de la GI/TI
Entité principale
Direction générale de la gestion intégrée (Direction de la GI/TI)
Effort relatif
Intense
Portée
La vérification porte sur le projet de renouvellement de la GI/TI et plus précisément sur l'état d'avancement du nouveau solution intégrée de gestion de l'entreprise (SIGE), dont l'un des trois modules a été installé, les deux autres devant l'être au cours des deux prochaines années.
Objectif
La vérification vise à déterminer l'état d'avancement du projet de renouvellement de la GI/TI en ce qui a trait à l'achèvement des éléments à réaliser en regard des plans initiaux (c.-à-d. coûts, fonctionnalité et délais).
Justification
Exigence de vérification élevée. Compte tenu du fait que des ressources considérables sont affectées au projet de renouvellement de la GI/TI, et de la nécessité d'atteindre des objectifs de rendement précis et de respecter des normes de service, la GI est cruciale pour le Commissariat. Le moment choisi pour l'évaluation devrait permettre au Commissariat d'obtenir de la rétroaction sur les questions et les préoccupations qui pourraient influer sur la réussite de la mise en œuvre du projet.
Lien avec le principal risque organisationnel
- Capacité de répondre aux attentes – Risque que le Commissariat n'ait pas la capacité requise pour répondre aux attentes des parlementaires, du public et des institutions fédérales.
Programme de protection des droits linguistiques – 2015-2016
Titre du projet
Vérification des pratiques de vérification externe
Entité principale
Direction générale de l'assurance de la conformité (DGAC)
Effort relatif
Modéré
Portée
Les pratiques de gestion des vérifications de la DGAC.
Objectif
Cette vérification vise à déterminer si les pratiques de gestion des vérifications du Commissariat sont efficaces. Elle porte sur les rôles et les responsabilités, la façon dont les vérifications sont déterminées et établies par ordre de priorité, la façon de réaliser les vérifications et de gérer les dossiers, la façon dont le Commissariat tire profit des renseignements découlant des vérifications, ainsi que sur la capacité à influer efficacement sur la mise en œuvre des recommandations.
Justification
Exigence de vérification moyenne. Il est important que le personnel du Commissariat ait les compétences et l'expertise nécessaires pour gérer des vérifications complexes, formuler des recommandations pertinentes et mesurables, et effectuer un suivi rigoureux des recommandations par le biais de ses pratiques de vérification externe.
Lien avec le principal risque organisationnel
- Pertinence des interventions et des pouvoirs d'influence du commissaire – Risque que la pertinence des interventions et des pouvoirs d'influence du commissaire soit remise en cause.
Protection des droits linguistiques – 2016–2017
Titre du projet
Évaluation des répercussions des enquêtes, des vérifications, de la gestion stratégique du rendement et des études
Entité principale
Direction générale de l'assurance de la conformité (Enquêtes et vérifications)
Direction générale des politiques et des communications* (Communications stratégiques et production)
Effort relatif
Intense
Portée
L'évaluation porte sur les enquêtes, les vérifications et la gestion stratégique du rendement, et plus particulièrement sur leur fonction de production de rapports. Elle sera axée sur les répercussions, sur la nature à long terme des répercussions attendues et sur l'attribution des résultats.
Objectif
L'évaluation vise à examiner la pertinence, les résultats et les répercussions du programme. Par conséquent, elle analysera les effets globaux ou nets – prévus ou imprévus – du programme de protection des droits linguistiques dans son ensemble par rapport aux enquêtes, aux vérifications et à la gestion stratégique du rendement. *Elle examinera aussi le programme de promotion de la dualité linguistique dans le contexte des recommandations formulées dans le rapport annuel et les études.
Justification
Exigence élevée. Cette évaluation est réalisée dans le cadre du plan d'évaluation quinquennal afin que chaque programme soit revu au cours de cette période. Elle est axée sur les résultats obtenus par le biais de la fonction de production de rapports des enquêtes, des vérifications, de la gestion stratégique du rendement et des études. Les résultats de l'évaluation répondront aux besoins en matière de reddition de compte, d'apprentissage et de prise de décision. Les constatations devraient orienter la façon dont le Commissariat utilise les moyens à sa disposition pour influer efficacement sur la mise en œuvre de ses recommandations dans les délais prévus.
Lien avec le principal risque organisationnel
- Pertinence des interventions et des pouvoirs d'influence du commissaire – Risque que la pertinence des interventions et des pouvoirs d'influence du commissaire soit remise en cause.
- Maintien de l'indépendance du commissaire – Risque quant au maintien de l'indépendance du commissaire à titre d'agent du Parlement.
Questions à examiner ultérieurement – Services internes
Titre du projet
Intégrité des données
Entité principale
Direction générale de la gestion intégrée (GI/TI)
Effort relatif
Modéré
Portée
Gestion de l'information en ce qui a trait à l'intégrité des données saisies dans le SIGE.
Objectif
La vérification vise à déterminer si les renseignements saisis sont exacts et complets. Le Commissariat doit s'assurer que la direction dispose de l'information nécessaire pour prendre des décisions éclairées en temps opportun et pour se conformer aux exigences en matière de rapports, telles qu'elles sont définies dans les politiques, directives et pratiques exemplaires du SCT et du Commissariat.
Justification
Exigence de vérification moyenne. L'intégrité des données est un élément important de la gestion de l'information, car les renseignements recueillis servent à améliorer le rendement, à soutenir la prise de décision et à gérer les risques efficacement.
Lien avec le principal risque organisationnel
- Pertinence des interventions et des pouvoirs d'influence du commissaire – Risque que la pertinence des interventions et des pouvoirs d'influence du commissaire soit remise en cause.
- Maintien de l'indépendance du commissaire – Risque quant au maintien de l'indépendance du commissaire à titre d'agent du Parlement.
- Capacité de répondre aux attentes – Risque que le Commissariat n'ait pas la capacité requise pour répondre aux attentes des parlementaires, du public et des institutions fédérales.
Questions à examiner ultérieurement – Protection des droits linguistiques
Titre du projet
Vérification des pratiques de gestion juridique
Entité principale
Direction générale des affaires juridiques
Effort relatif
Modéré
Portée
Les pratiques de gestion liées au soutien de nature juridique et aux interventions devant les tribunaux (portée à définir plus précisément).
Objectif
La vérification vise à déterminer si les pratiques de gestion du Commissariat sont efficaces en ce qui a trait au soutien de nature juridique et aux interventions devant les tribunaux, y compris la façon dont les activités sont planifiées, classées par ordre de priorité et réalisées. Cela comprend le déroulement du travail, la charge de travail et la capacité du personnel à répondre à la demande de services juridiques.
Justification
Exigence de vérification moyenne. Cette vérification évaluerait le nouveau modèle de prestation des services, pour donner suite à un examen qui indiquait des moyens d'optimiser les services juridiques. Le moment choisi pour la vérification devrait permettre d'avoir une période raisonnable pour la mise en œuvre car, autrement, elle risquerait d'être inutile.
Lien avec le principal risque organisationnel
- Capacité de répondre aux attentes – Risque que le Commissariat n'ait pas la capacité requise pour répondre aux attentes des parlementaires, du public et des institutions fédérales.
- Pertinence des interventions et des pouvoirs d'influence du commissaire – Risque que la pertinence des interventions et des pouvoirs d'influence du commissaire soit remise en cause.
Annexe A – Diagramme d’exposition aux risques
Description – Diagramme d'exposition aux risques
| Éléments | Niveau de risque |
|---|---|
| 1. Traitement des plaintes | Probabilité élevé, Impact modéré-élevé |
| 2. Réponse aux demandes de renseignements | Probabilité modéré-faible, Impact modéré-faible |
| 3. Soutien aux services internes et juridiques | Probabilité modéré-faible, Impact modéré-élevé |
| 4. Maintien de la productivité et des compétences du personnel du Commissariat | Probabilité modéré-élevé, Impact modéré-élevé |
| 5. Sensibilisation des institutions fédérales à leurs obligations linguistiques | Probabilité modéré, Impact modéré-élevé |
| 6. Modification de la Loi | Probabilité modéré-faible, Impact modéré-élevé |
| 7. Conformité à la Loi | Probabilité modéré-faible, Impact modéré-faible |
| 8. Transformation des réalités linguistiques | Probabilité modéré-faible, Impact modéré-faible |
| 9. Transformation du leadership du CT en matière de langues officielles | Probabilité modéré-faible, Impact modéré-faible |
| 10. Visibilité constante dans les médias | Probabilité faible, Impact modéré-faible |
| 11. Transformation de la façon dont travaillent les agents du Parlement | Probabilité modéré-élevé, Impact élevé |
| 12. Partage de services avec d’autres institutions fédérales | Probabilité faible, Impact modéré-faible |
| 13. Stagnation de la connaissance du français et de l’anglais au Canada | Probabilité modéré-faible, Impact modéré-faible |
| 14. Différences régionales | Probabilité modéré-faible, Impact modéré-faible |
Annexe B – Grilles d’évaluation des risques
Évaluation des risques
Lorsqu’on procède à l’évaluation des risques, chacun des risques déterminés doit être évalué en fonction de la probabilité qu’il se produise et de son incidence possible sur l’atteinte des résultats stratégiques du Commissariat. La représentation de ces résultats sur le diagramme ci dessous illustre le niveau de risque associé à chaque facteur. Selon la méthodologie du Commissariat, il existe trois niveaux de risque, chacun correspondant à une couleur sur le diagramme (voir le tableau sur le niveau de risque).
| Risque | Tolérance au risque/Lignes directrices concernant le renvoi du risque à un niveau d’intervention supérieur |
|---|---|
| Élevé | Intolérable - Mesure d’atténuation requise immédiatement – Le risque doit faire l’objet d’une surveillance étroite par le commissaire et le Comité exécutif, qui doivent être prêts à faire face aux conséquences éventuelles. |
| Moyen | Surveillance étroite - Mesure d’atténuation continue – Le risque doit faire l’objet d’une surveillance étroite par le commissaire adjoint, et le commissaire ainsi que le Comité exécutif doivent être informés sur l’exposition au risque. Le directeur, le personnel des RH et les régions doivent être prêts à faire face aux conséquences éventuelles. |
| Faible | Tolérable - Le risque est géré selon les procédures courantes. Le commissaire adjoint n’intervient qu’au besoin, et le directeur doit être prêt à faire face aux conséquences éventuelles. |
Déterminer la probabilité qu'un risque se matérialise
Pour évaluer la probabilité, vous devez tenir compte des méthodes en place pour gérer le risque (stratégies d’atténuation ou mesures de contrôle).
| Probabilité | Probabilité d’occurrence | Expérience/Fréquence observée |
|---|---|---|
| 3. Probable | > 60 % | Attendu ou très susceptible de se produire. Fréquence de l’occurrence tous les ans ou aux deux ans. |
| 2. Moyenennement probable | 25 - 60 % | Possible ou susceptible de se produire. Fréquence de l’occurrence tous les trois à six ans. |
| 1. Peu probable | < 25 % | Peu probable. Fréquence de l’occurrence tous les sept ans ou moins souvent. |
Déterminer l'incidence d'un risque
Pour évaluer les répercussions, vous devez déterminer l’incidence que chaque risque aurait sur l’objectif établi s’il se matérialisait. Les risques qui se concrétisent peuvent avoir diverses conséquences, notamment en ce qui concerne les dommages et la responsabilité, les facteurs opérationnels et la perte de réputation. L’incidence des risques est évaluée à l’aide d’une échelle à trois points. Les divers degrés d’incidence du risque ainsi que certains indicateurs pour chaque degré d’incidence sont décrits dans le tableau suivant.
| Incidence | Description | Finances | Exactitude et pertinence de l’information | Couverture médiatique | Confiance des intervenants |
|---|---|---|---|---|---|
| 3. Élevée | Incapacité ou capacité très réduite de réaliser les résultats attendus et les priorités organisationnelles |
|
Renseignements erronés relatifs à la gestion ou aux dépenses utilisés dans des processus décisionnels clés | Grand scandale médiatique ou tollé général | Perte importante de la confiance des intervenants |
| 2. Modérée | Incidence modérée sur la capacité à réaliser les objectifs opérationnels |
|
Renseignements erronés relatifs à la gestion ou aux dépenses utilisés à des fins redditionnelles | Couverture médiatique négative importante | Une certaine perte de la confiance des intervenants |
| 1. Faible | Incidence limitée sur la capacité à réaliser les résultats attendus et les priorités organisationnelles |
|
Retards dans la disponibilité de renseignements relatifs à la gestion ou aux dépenses | Une certaine couverture médiatique négative | Revers au chapitre du renforcement de la confiance des intervenants |