Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Vérification de la planification de la continuité des activités

Bureau de la vérification interne et de l'évaluation

Table des matières

Énoncé d'assurance

Le Bureau de la vérification interne et de l'évaluation (BVIE) a effectué une vérification du Programme de planification de la continuité des activités (PPCA) pour le compte du Secrétariat du Conseil du Trésor du Canada (le Secrétariat). La vérification visait à évaluer l'adéquation et l'efficacité du cadre de contrôle de gestion (CCG) du PPCA en place au Secrétariat, y compris l'observation des politiques, des directives, des normes et des politiques et procédures internes du Conseil du Trésor. L'approche et les méthodes de vérification sont en conformité avec les Normes relatives à la vérification interne au sein du gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de la vérification interne de l'Institut des vérificateurs internes.

Nous concluons avec une assurance raisonnable que le cadre de contrôle de gestion du PPCA du Secrétariat est conforme à la plupart des points de la Politique sur la sécurité du gouvernement, de la Directive sur la gestion de la sécurité ministérielle et de la Norme de sécurité opérationnelle - Programme de planification de la continuité des activités (PCA) du Conseil du Trésor. Une amélioration est nécessaire pour se pencher sur les éléments clés du cadre de contrôle de gestion du PPCA, en particulier en ce qui a trait aux rôles et aux responsabilités, à la gouvernance, à la formation et aux mécanismes de surveillance et de reddition de comptes. Il est aussi crucial que le Secrétariat :

  • termine la préparation des documents restants des secteurs ayant trait à l'analyse des répercussions sur les activités (ARA) et à la planification de la continuité des activités (PCA);
  • évalue tous les documents des secteurs ayant trait à l'ARA et à la PCA;
  • élabore et mette en œuvre un cycle de mise à l'essai de la PCA ainsi qu'un cycle standard de tenue à jour du PPCA dans son ensemble.

L'examen, qui a été mené de juin 2011 à janvier 2012, couvrait le cadre en place pour le PPCA jusqu'à août 2011. La vérification a consisté en des entrevues, en une étude de la documentation et en un examen des documents des secteurs ayant trait à l'ARA et à la PCA suivant une méthode d'échantillonnage discrétionnaire. Les éléments probants recueillis sont considérés comme suffisants pour donner à la haute direction une assurance raisonnable au regard des résultats issus de la vérification.

Selon le jugement professionnel du dirigeant principal de la vérification, des procédures de vérification suffisantes et pertinentes ont été suivies et des éléments probants ont été recueillis pour étayer l'exactitude de l'opinion présentée dans ce rapport. Il convient de préciser que cette opinion repose sur une comparaison des conditions existantes au moment de la vérification par rapport à des critères de vérification préétablis. Elle ne s'applique qu'aux entités examinées et ne couvre que la période précisée.

Sommaire

Préambule

La planification de la continuité des activités dans le contexte de l'administration fédérale est une composante des exigences de base en matière de sécurité et elle constitue un processus visant à faire en sorte que les services essentiels du gouvernement puissent être assurés en continu en cas de catastrophe éventuelle, d'incident lié à la sécurité, d'interruption ou d'urgence. Ces exigences de sécurité sont prévues dans la Loi sur la gestion des urgences de 2007 et dans la Politique sur la sécurité du gouvernement, établie par le Conseil du Trésor. La planification de la continuité des activités est importante afin de prévoir « [l']élaboration et [l']exécution en temps opportun de plans, de mesures, de procédures et de dispositions afin d'éviter ou de minimiser toute interruption de la disponibilité des services et des biens essentiels » 1 advenant toute éventualité. Aux termes de la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (PPCA) du Conseil du Trésor, les ministères sont tenus de mettre en œuvre un programme de planification de la continuité des activités (PPCA) et d'effectuer leur planification en fonction des urgences ou des interruptions susceptibles de nuire à la prestation des services essentiels du gouvernement.

Contexte

Sécurité publique Canada applique la définition de « service essentiel » qui se trouve dans la Politique sur la sécurité du gouvernement, établie par le Conseil du Trésor : « Service dont la compromission, du point de vue de la disponibilité ou de l'intégrité, porterait un grave préjudice à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada. » 2 Pour qu'un service soit jugé comme essentiel, il doit être manifeste que son interruption commencera à porter préjudice dans une période de temps donnée d'un maximum de 30 jours.

Suivant cette définition, le Secrétariat du Conseil du Trésor du Canada (le Secrétariat) a déterminé qu'il ne fournit pas de services essentiels. Cependant, un certain nombre de fonctions de soutien critiques 3 et une dépendance critique 4 ont été relevées. Pour éviter toute confusion entre la définition de « service essentiel » contenue dans la Politique sur la sécurité du gouvernement, établie par le Conseil du Trésor, et la terminologie employée dans les documents du Secrétariat relatifs au PPCA, le Secrétariat utilise le terme « activité essentielle » pour désigner ses dépendances et ses fonctions de soutien critiques.

Le PPCA ministériel a pour objet de permettre la gestion des interruptions temporaires des activités durant tout au plus 30 jours. La planification de la continuité des activités est fondée sur deux scénarios :

  1. Pénurie d'effectifs dans l'éventualité où le nombre d'employés en mesure de se présenter au travail est insuffisant en raison, par exemple, d'une pandémie.
  2. Pénurie d'infrastructures dans l'éventualité où les locaux occupés par le personnel du Secrétariat ne peuvent être occupés en raison de dommages ou de l'absence de services publics.

Objectif et portée

La vérification visait à évaluer l'adéquation et l'efficacité du cadre de contrôle de gestion (CCG) du PPCA au Secrétariat, y compris l'observation des politiques, des directives, des normes et des politiques et procédures internes du Conseil du Trésor.

La vérification portait plus particulièrement sur les activités relatives au PPCA ministériel en place au Secrétariat. L'examen du cadre de contrôle de gestion comprenait les éléments suivants : les objectifs, les obligations redditionnelles, les rôles et les responsabilités, la structure organisationnelle, la planification et la gestion des risques, les politiques et les procédures, la formation, et la surveillance et la reddition de comptes.

Principales constatations

Depuis l'automne 2009, le Secrétariat a entrepris de nombreuses initiatives afin de développer et de mettre en œuvre les éléments d'un solide cadre de contrôle de gestion du PPCA. Voici en quoi consistent ces initiatives :

  • Nomination d'un agent de sécurité ministériel et d'un coordonnateur à la tête du PPCA;
  • Création des groupes de travail clés qu'exige un PPCA conformément aux normes et à la politique;
  • Intégration de la planification de la continuité des activités aux cycles ministériels de planification des activités et de gestion des risques;
  • Rédaction et diffusion d'une série de documents ministériels qui sont conformes aux politiques et aux normes du Conseil du Trésor, et qui définissent les objectifs, les rôles, les responsabilités et les procédures ministérielles concernant les analyses des répercussions sur les activités (ARA), la planification de la continuité des activités (PCA) et d'autres activités connexes au PPCA;
  • Communication de nombreux éléments et processus relatifs aux activités du PPCA sur l'InfoSite du ministère;
  • Remise de rapports ad hoc à la haute direction au sujet des activités du PPCA, notamment l'obtention de décisions concernant les priorités opérationnelles critiques et l'approbation de documents clés.

Nonobstant ce qui précède, la vérification a permis de cerner un certain nombre d'éléments du cadre de contrôle de gestion qui doivent être améliorés :

  • Même si les rôles et les responsabilités sont définis dans une série complète de documents mis au point depuis 2009, le rôle des employés n'a pas été défini et certains documents demeurent provisoires. En outre, les rôles et les responsabilités de certains intervenants sont définis en partie dans un certain nombre de documents, et ce, sans qu'il n'y ait de définition complète provenant d'une seule source.
  • La structure de gouvernance du PPCA doit être améliorée de manière à pouvoir miser en permanence sur une orientation et une surveillance stratégiques.
  • Les responsabilités relatives à la formation et à la communication du PPCA sont l'affaire du groupe du PCA et des chefs de secteur. Il reste toutefois à définir des stratégies de communication et de formation afin de veiller à ce que les personnes qui participent au PPCA aient les connaissances requises pour s'acquitter de leurs responsabilités une fois le PCA de leur secteur activé.
  • La vérification a permis de constater qu'il y a lieu de formuler des résultats attendus qui soient mesurables et quantifiables, outre les objectifs déjà en place, à l'appui de la surveillance et de la reddition de comptes. Il reste à mettre au point des processus formels de surveillance et de reddition de comptes périodiques.

La vérification a aussi permis de constater que le cycle de planification de la continuité des activités continue d'évoluer au Secrétariat. Il convient de préciser que les documents des secteurs ayant trait à l'ARA et à la PCA n'ont pas tous été soumis au groupe du PCA. L'évaluation des documents des secteurs ayant trait à l'ARA et à la PCA avait débuté au moment de la vérification, mais elle n'avait pas suffisamment progressé pour permettre à l'équipe de la vérification d'évaluer le processus. En outre, la mise au point de processus de mise à l'essai et de tenue à jour à l'appui du PPCA n'avait pas encore eu lieu au moment de la vérification.

Conclusion

Nous concluons avec une assurance raisonnable que le cadre de contrôle de gestion du PPCA du Secrétariat est conforme à la plupart des points de la Politique sur la sécurité du gouvernement, de la Directive sur la gestion de la sécurité ministérielle et de la Norme de sécurité opérationnelle - Programme de planification de la continuité des activités (PPCA) du Conseil du Trésor.Une amélioration est nécessaire pour se pencher sur les éléments clés du cadre de contrôle de gestion du PPCA.

Plus précisément, il faut :

  • examiner les rôles et les responsabilités pour s'assurer qu'ils sont rationalisés, qu'ils englobent l'ensemble des parties prenantes et qu'ils sont approuvés officiellement;
  • définir et officialiser l'intégration du PPCA aux travaux des comités de la haute direction, afin de pouvoir miser en permanence sur une orientation stratégique et une surveillance; 
  • élaborer des stratégies de formation et de communication qui, en plus de répondre aux autres besoins cernés, permettent de sensibiliser au PPCA les employés et les personnes prenant part à des activités essentielles;
  • élaborer et mettre en application des processus formels de surveillance et de reddition de comptes périodiques.

De plus, pour que le Secrétariat soit bien préparé à intervenir efficacement advenant un incident connexe au PCA, il est crucial que soient achevés les travaux restants concernant le développement du PPCA.

Plus précisément, il faut :

  • terminer la préparation des documents restants des secteurs ayant trait à l'ARA et à la PCA;
  • évaluer tous les documents des secteurs ayant trait à l'ARA et à la PCA;
  • élaborer et mettre en œuvre un cycle de mise à l'essai de la PCA ainsi qu'un cycle standard de tenue à jour de la PPCA dans son ensemble.

Un plan d'action de la direction élaboré par le Secrétariat est présenté à l'annexe 2.

1. Introduction 

1.1   La planification de la continuité des activités au sein de l'administration fédérale

La planification de la continuité des activités dans le contexte de l'administration fédérale est une composante des exigences de base en matière de sécurité et elle constitue un processus visant à faire en sorte que les services essentiels du gouvernement puissent être assurés en continu en cas de catastrophe éventuelle, d'incident lié à la sécurité, d'interruption ou d'urgence. Ces exigences de sécurité sont prévues dans la Loi sur la gestion des urgences de 2007 et dans la Politique sur la sécurité du gouvernement, établie par le Conseil du Trésor. La planification de la continuité des activités est importante afin de prévoir « [l']élaboration et [de l']exécution en temps opportun de plans, de mesures, de procédures et de dispositions afin d'éviter ou de minimiser toute interruption de la disponibilité des services et des biens essentiels » 5 advenant toute éventualité. Aux termes de la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (PPCA) du Conseil du Trésor, les ministères sont tenus de mettre en œuvre un programme de planification de la continuité des activités (PPCA) et d'effectuer leur planification en fonction des urgences ou des interruptions susceptibles de nuire à la prestation des services essentiels du gouvernement.

Des évènements comme la crise du verglas de 1998, la grande noirceur de 2003, la pandémie de grippe H1N1 en 2009 et le tremblement de terre survenu à Ottawa en 2010 ont mis en évidence l'importance que revêtent les plans de continuité des activités dans l'ensemble de l'organisation.

Le PPCA est constitué de quatre éléments :

  1. La mise sur pied d'un mécanisme de gouvernance pour le PPCA;
  2. L'exécution d'une analyse des répercussions sur les activités (ARA);
  3. La préparation de plans et d'ententes concernant la continuité des activités;
  4. Le maintien de l'état de préparation du PPCA.

1.2 La planification de la continuité des activités au Secrétariat du Conseil du Trésor du Canada

Le Plan de continuité des activités (PCA) du Secrétariat du Conseil du Trésor du Canada (le Secrétariat) aide le Secrétariat à s'acquitter de son mandat, y compris de ses responsabilités liées au Plan fédéral d'intervention d'urgence, au Plan d'intervention immédiate pour la fonction publique et aux activités internes.

À l'automne 2009, le Secrétariat a mis au point sa propre politique ministérielle sur la planification de la continuité des activités. Un an plus tard, il a mis au point son PCA ministériel, qui est un survol de haut niveau de l'intervention du Secrétariat en cas d'incident. Les PCA des secteurs, une fois validés et mis à l'essai, deviennent des éléments du PPCA ministériel et viennent préciser la façon dont un secteur réagit en cas d'incident et si l'activité essentielle d'un secteur est de mise.

Sécurité publique Canada applique la définition de « service essentiel » qui se trouve dans la Politique sur la sécurité du gouvernement, établie par le Conseil du Trésor : « Service dont la compromission, du point de vue de la disponibilité ou de l'intégrité, porterait un grave préjudice à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada. » 6 Pour qu'un service soit jugé comme essentiel, il doit être manifeste que son interruption commencera à porter préjudice dans une période de temps donnée d'un maximum de 30 jours.

Dans le cadre d'un exercice de simulation réalisé en décembre 2010 auquel des cadres supérieurs du Secrétariat ont participé, il a été déterminé que le Secrétariat ne fournit pas de services essentiels au regard de la définition précitée. Les cadres concernés ont toutefois cerné un certain nombre de fonctions de soutien critiques 7 et une dépendance critique. 8 Pour éviter toute confusion entre la définition de « service essentiel » contenus dans la Politique sur la sécurité du gouvernement, établie par le Conseil du Trésor, et la terminologie employée dans les documents du Secrétariat relatifs au PPCA, le Secrétariat utilise le terme « activité essentielle » pour désigner ses dépendances et ses fonctions de soutien critiques.

Tel qu'indiqué précédemment, le PPCA est constitué de quatre éléments clés, dont l'exécution d'une ARA et l'élaboration d'un document connexe à la PCA.

L'ARA vise à définir le mandat ainsi que les produits ou services essentiels de l'organisation, à établir l'ordre de priorité des services ou des produits pour une prestation continue ou une reprise rapide, et à cerner les effets internes et externes des interruptions 9.

Le PCA ministériel a pour objet de permettre la gestion des interruptions temporaires des activités durant tout au plus 30 jours. La planification de la continuité des activités est fondée sur deux scénarios :

  1. Pénurie d'effectifs dans l'éventualité où le nombre d'employés en mesure de se présenter au travail est insuffisant en raison, par exemple, d'une pandémie.
  2. Pénurie d'infrastructures dans l'éventualité où les locaux occupés par le personnel du Secrétariat ne peuvent être occupés en raison de dommages ou de l'absence de services publics.

Le PCA prévoit la disponibilité en continu des services essentiels à la sécurité des employés et au bon fonctionnement du ministère advenant une situation d'urgence ou une interruption.

Le PCA explique ce qu'une organisation a préparé en matière de gouvernance, de processus (y compris les processus d'approbation) et d'outils pour s'assurer de pouvoir réagir en cas d'incident ou de perturbation, et ce, que la situation dure quelques heures, quelques jours ou beaucoup plus longtemps. Le PCA définit clairement les rôles et les responsabilités des personnes et des groupes clés pour assurer le maintien des services cruciaux pour le fonctionnement efficace du Secrétariat. Il est activé dans l'éventualité où une activité essentielle risque de ne pas pouvoir être assurée et il prévoit le soutien additionnel des employés affectés à des activités non essentielles.

Contexte opérationnel

Au Secrétariat, les responsabilités inhérentes au PPCA sont réparties entre le groupe du PCA de la Direction de l'administration et de la sécurité du Secteur des services ministériels et les 17 secteurs et directions du Secrétariat 10.

Le directeur de la sécurité, qui travaille au sein de la Direction de l'administration et de la sécurité, a été nommé agent de sécurité du ministère (ASM) responsable de l'élaboration et de la tenue à jour du PPCA.

Relevant de l'ASM, le coordonnateur du PCA est chargé de coordonner et d'appuyer l'élaboration, la gestion, l'exécution, ainsi que la surveillance et la tenue à jour des plans de continuité des activités du Secrétariat. En outre, il est épaulé par le groupe de travail du PCA.

Les chefs de secteur et leurs équipes de direction doivent évaluer les incidents, déterminer les mesures à prendre les plus à propos dans leurs secteurs respectifs, et préparer une ARA ou une PCA de secteur afin d'exposer et de consigner leurs interventions. Chaque secteur nomme un coordonnateur du PCA et un remplaçant pour le représenter au sein du groupe de travail du PCA et pour aider le chef de secteur en cas d'incident.

Le groupe de travail du PCA du Secrétariat, constitué des coordonnateurs sectoriels du PCA et de leurs remplaçants, veille à l'élaboration et à la mise en œuvre du PPCA. Ce groupe de travail est présidé par l'ASM.

L'équipe de gestion des incidents (EGI) du Secrétariat, composée des principaux intervenants en matière de communications, de technologie de l'information, de ressources humaines et de services de sécurité, aide l'ASM et le coordonnateur du PCA à activer et à coordonner le PCA du Secrétariat et la planification de la continuité des activités des secteurs en cas d'incident, conformément à la :

  • Loi sur la gestion des urgences;
  • Politique sur la sécurité du gouvernement;
  • Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (PPCA);
  • Politique sur la planification de la continuité des activités du Secrétariat.

Le secrétaire adjoint du Secteur des services ministériels est le président de l'EGI.

L'activation du PCA du Secrétariat se fait suivant la directive du secrétaire, ou de son remplaçant, en réaction à un incident qui risque de miner la capacité du Secrétariat d'exercer ses activités essentielles. Dans l'éventualité où le secrétaire et son remplaçant ne sont pas disponibles, la décision revient au président de l'EGI. Les PCA des secteurs, de même que certains éléments du PCA du Secrétariat, seront activés en cas d'incident, au besoin.

2. Détails de la vérification

2.1 Objectif et portée

La vérification visait à évaluer l'adéquation et l'efficacité du cadre de contrôle de gestion (CCG) du PPCA au Secrétariat, y compris l'observation des politiques, des directives, des normes et des politiques et procédures internes du Conseil du Trésor.

La vérification portait principalement sur les éléments suivants du CCG :

  • les objectifs;
  • les obligations redditionnelles, les rôles et les responsabilités;
  • la structure organisationnelle;
  • la planification et la gestion des risques;
  • les politiques et les procédures;
  • la formation;
  • la surveillance et la reddition de comptes.

La vérification englobait les activités inhérentes au PCCA au Secrétariat.

Des précisions au sujet des critères de vérification se trouvent à l'annexe 1.

Exclusions

La vérification ne porte pas sur les attributions d'organisme central du Secrétariat à l'appui du Plan d'intervention immédiate pour la fonction publique 11 ou d'autres mesures de sécurité du gouvernement fédéral dans son ensemble. Ces activités sont distinctes des activités du Secrétariat et elles sont régies au moyen de différents processus et procédures. Elles concernent aussi des intervenants ministériels autres.

2.2 Champs d'enquête

La vérification comportait deux champs d'enquête :

  • Cadre de contrôle de gestion – Un CCG a été instauré pour veiller à ce que le Secrétariat administre convenablement ses responsabilités eu égard à la Politique sur la sécurité du gouvernement, à la Norme de sécurité opérationnelle - Programme de planification de la continuité des activités (PPCA) et à la Directive sur la gestion de la sécurité ministérielle du Conseil du Trésor.
  • État de préparation relativement à la planification de la continuité des activités – La planification de la continuité des activités fait partie d'un cycle de tenue à jour permanente qui comprend des évaluations et la validation des plans de façon périodique.

La vérification visait à déterminer si les activités et les mécanismes de contrôle de gestion étaient clairement définis, s'ils couvraient les risques connus, s'ils étaient suffisants et communiqués efficacement, s'ils faisaient l'objet d'une surveillance adéquate et s'ils permettaient de repérer les risques et les principaux problèmes liés au PPCA. Elle visait également à évaluer le niveau de conformité aux autorisations pertinentes au moyen d'un examen détaillé des ARA et des PCA soumis au groupe du PCA en 2011.

2.3 Approche et méthodologie

L'approche et les méthodes de vérification adoptées sont fondées sur le risque et conformes aux Normes relatives à la vérification interne au sein du gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de la vérification interne de l'Institut des vérificateurs internes. Aux termes de ces normes, la vérification doit être planifiée et menée de façon à fournir une assurance raisonnable quant à l'atteinte des objectifs visés.

La vérification comportait divers tests et procédures jugés nécessaires, afin de fournir une telle assurance, dont les suivants :

  • Entrevues avec des membres clés du personnel, recherche, examen des documents clés, évaluation des risques en vue de cerner une éventuelle exposition au risque, et analyse des ARA et des PCA des secteurs et des ministères afin de dégager des tendances, de surveiller l'observation des exigences en vigueur et de déterminer l'état de préparation.
  • Validation et évaluation des éléments du CCG décrits dans la portée. De plus, les principaux documents du PPCA ont été examinés pour évaluer le degré de conformité aux exigences en vigueur. La phase d'examen de la vérification s'est déroulée de juin 2011 à janvier 2012, suivant l'information et les documents obtenus en août 2011.

3. Résultats de la vérification 

3.1 Champ d'enquête 1 : Cadre de contrôle de gestion

L'équipe de vérification s'attendait à ce qu'un bon cadre de contrôle de gestion soit en place afin d'aider la direction à atteindre les objectifs du Secrétariat au chapitre de la continuité des activités, de favoriser un prise de décisions efficace et de signaler rapidement tout problème de contrôle important. Elle s'attendait également à ce que l'information requise aux fins de la mise en œuvre et de la tenue à jour du PPCA soit dotée d'une documentation officielle et qu'elle soit tenue à jour et communiquée efficacement à l'ensemble des intervenants prenant part aux activités liées au PPCA.

Depuis l'automne 2009, le Secrétariat a entrepris de nombreuses initiatives afin de mettre au point le PPCA. Voici en quoi consistent ces initiatives :

  • Nomination d'un agent de sécurité ministériel et d'un coordonnateur à la tête du PPCA;
  • Création des groupes de travail clés qu'exige un PPCA conformément aux normes et à la politique;
  • Intégration de la planification de la continuité des activités aux cycles ministériels de planification des activités et de gestion des risques;
  • Rédaction et diffusion d'une série de documents ministériels qui sont conformes aux politiques et aux normes du Conseil du Trésor, et qui définissent les objectifs, les rôles, les responsabilités et les procédures ministérielles concernant les analyses des répercussions sur les activités (ARA), la planification de la continuité des activités (PCA) et d'autres activités connexes au PPCA;
  • Communication de nombreux éléments et processus relatifs aux activités du PPCA sur l'InfoSite du ministère;
  • Remise de rapports ad hoc à la haute direction au sujet des activités du PPCA, notamment l'obtention de décisions concernant les priorités opérationnelles critiques et l'approbation de documents clés.  

Même si le Secrétariat a mis en place plusieurs éléments essentiels au PPCA, il convient de mentionner que le développement et la mise en œuvre du programme ne sont pas pour autant terminés.

Objectif

L'objectif du PPCA a été défini de façon générale dans la politique ministérielle sur la planification de la continuité des activités ainsi que dans le PCA du Secrétariat. Il correspond aux résultats attendus aux termes de la Politique sur la sécurité du gouvernement du Conseil du Trésor en ce qui a trait à la planification de la continuité des activités. Il y a toutefois lieu de formuler des résultats attendus mesurables et quantifiables à l'appui de la surveillance et de la reddition de comptes liées au PPCA.

Structure organisationnelle

Conformément aux obligations redditionnelles et aux responsabilités des secteurs, la structure organisationnelle du PCCA est décentralisée. Une structure organisationnelle officielle et documentée a été mise en place à l'appui des activités du PCCA pour le groupe du PCA du Secteur des services ministériels. Cependant, ces intervenants ont aussi des responsabilités à l'égard d'autres activités de sécurité, comme le plan ministériel de sécurité, la gestion des situations d'urgence, ainsi que la santé et la sécurité au travail. Étant donné que ces activités additionnelles n'étaient pas couvertes par la vérification, il n'a pas été possible d'évaluer la suffisance des ressources consacrées au PCCA.

La structure organisationnelle des autres employés participant à des activités connexe au PCA, comme les coordonnateurs du groupe de travail sur les PCA des secteurs, n'est pas officielle;  des responsabilités sont attribuées aux employés en fonction des besoins du secteur.

Obligations redditionnelles, rôles et responsabilités

Dans l'ensemble, la majorité des obligations redditionnelles, des rôles et des responsabilités ont été clairement définis dans les documents clés. La vérification a aussi permis de constater que les principaux intervenants, y compris les membres du groupe de travail du PCA, de l'EGI et de l'équipe du PCA, de la Direction de l'administration et de la sécurité du Secteur des services ministériels, étaient, de façon générale, conscients de leurs responsabilités concernant le PCCA.

Cependant, certains documents définissant les rôles et les responsabilités n'étaient pas approuvés au moment de la vérification. En outre, même si les employés ont des responsabilités aux termes de la Directive sur la gestion de la sécurité ministérielle du Conseil du Trésor, il appert que ces responsabilités n'étaient pas définies dans les documents ministériels, notamment la politique ministérielle sur la planification de la continuité des activités et le PCA. Enfin, les rôles et les responsabilités de certains intervenants étaient définis en partie dans certains documents, sans pour autant avoir été définis de façon exhaustive dans un seul document.

Planification et gestion des risques

L'orientation stratégique et les décisions clés liées au PPCA ont été établies par la haute direction au moyen de divers mécanismes comme des présentations au Comité exécutif du Secrétariat et au Comité de gestion et d'infrastructure, selon les besoins du moment. De même, il a été établi que les activités du PPCA étaient incluses et prises en considération dans les cycles de planification et de gestion des risques du Secrétariat.

Même si les comités de la haute direction discutent périodiquement de sujets liés au PPCA, ils n'ont pas de rôle officiel concernant une orientation stratégique et une surveillance en continu, comme le recommande la Norme de sécurité opérationnelle - Programme de planification de la continuité des activités (PPCA) du Conseil du Trésor. Il existe un groupe de travail sur le PCA dont les membres se réunissent sur convocation du président; ses membres proviennent en grande partie de niveaux inférieurs à celui de la direction.

Politiques, procédures et lignes directrices ministérielles

Des efforts substantiels ont été déployés afin d'élaborer une série de documents exposant la politique principale, les plans, les procédures, les modèles et les lignes directrices dont devrait être doté un PPCA. La politique principale et les plans sont, de façon générale, conformes à la Politique sur la sécurité du gouvernement et à la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (PPCA) du Conseil du Trésor. Cependant, au moment de la vérification, comme certains documents n'avaient pas été officiellement approuvés, ils n'avaient pas pu être mis en œuvre et communiqués aux participants du PPCA. De plus, certains documents requièrent des révisions afin d'inclure des éléments liés à la formation et à la surveillance du rendement.

Formation

Les responsabilités inhérentes à la formation sont réparties entre le groupe du PCA et les chefs de secteur. Certains des membres du groupe de travail du PCA ont participé à des activités de formation et un certain nombre de documents d'orientation ont été affichés sur le site intranet du Secrétariat. Il reste toutefois à définir des stratégies de communication et de formation afin de veiller à ce que les personnes qui participent au PPCA aient les connaissances requises pour s'acquitter de leurs responsabilités une fois le PCA de leur secteur activé. Selon les entrevues réalisées, certains membres du groupe de travail du PCA et de l'EGI se fient sur les connaissances acquises dans le cadre d'expériences passées et sur des pratiques ponctuelles instaurées dans l'ensemble du Secrétariat. Étant donné que le Secrétariat a dû composer avec un roulement annuel d'environ 1 000 employés à chacune des deux dernières années, des stratégies de communication et de formation sont plus que nécessaires pour faire en sorte que les employés connaissent les détails du programme et disposent de l'information requise pour réagir en cas d'incident relatif au PCA. Le parachèvement de la série de documents susmentionnée aiderait à jeter les bases d'un programme de formation.

Surveillance et reddition de comptes

La Politique sur la sécurité du gouvernement, la Directive sur la gestion de la sécurité ministérielle et la Norme de sécurité opérationnelle - Programme de planification de la continuité des activités (PPCA) renferment des exigences au regard des activités de surveillance et de reddition de comptes. L'équipe de vérification s'attendait donc à trouver des documents exposant la démarche adoptée aux fins de la surveillance et de la reddition de comptes continues, y compris les principaux résultats assujettis à une surveillance et à une reddition de comptes au fil du temps. En plus de satisfaire aux exigences de la politique, cette démarche permet de faire en sorte, entre autres choses, que la direction soit au fait des principaux résultats atteints dans le cadre du programme, ainsi que des principaux risques ou problèmes qui se présentent.

Même si les processus de surveillance et de reddition de comptes n'ont pas été officiellement définis, la vérification a permis de constater que la surveillance de certaines activités du PPCA était exercée périodiquement à l'aide de rapports ad hoc  présentés à la haute direction. Ces activités avaient trait à l'élaboration de documents connexes au PPCA, comme la politique ministérielle sur la planification de la continuité des activités, le PCA ministériel, l'évaluation ministérielle de la menace et des risques, le plan de reprise en cas de catastrophe, les résultats des tests NIP à NIP, ainsi que les priorités du PCA présentées à la haute direction en février 2011. Les ARA initiales des secteurs ont aussi été soumises à la haute direction et elles ont déclenché l'exercice de simulation réalisé en décembre 2010 auquel des cadres supérieurs du Secrétariat ont participé. Le suivi des documents des secteurs ayant trait à l'ARA et à la PCA a aussi eu lieu.

Le niveau de surveillance et de reddition de comptes signalé antérieurement représente une progression notable au regard du PPCA du Secrétariat au cours des deux derniers exercices. La définition officielle de ces processus, incluant les détails au sujet de ce qui doit faire l'objet d'une surveillance et d'une reddition de comptes, permettrait à la haute direction de mieux connaître les aspects cruciaux du programme et favoriserait une orientation et une surveillance en temps opportun.

Parmi les principaux résultats pouvant faire l'objet d'une surveillance et d'une reddition de comptes périodiques, mentionnons :

  • les activités de formation et de sensibilisation (p. ex., pour les nouveaux employés et les principaux intervenants du PPCA);
  • les résultats des activités de mise à l'essai et de tenue à jour;
  • les problèmes et les risques décelés dans le cadre du PPCA, ainsi que leurs solutions;
  • le statut et les résultats des activités critiques du PPCA.

Recommandations

On recommande au secrétaire adjoint du Secteur des services ministériels de prendre les mesures suivantes :

  1. Examiner la série de documents exposant les rôles et les responsabilités inhérents au PPCA pour s'assurer qu'ils sont rationalisés, qu'ils englobent l'ensemble des parties prenantes et qu'ils sont approuvés officiellement.

    Niveau de priorité : élevé

  2. Intégrer officiellement le PPCA à la structure des comités de la haute direction, afin de pouvoir compter en permanence sur une orientation stratégique et une surveillance.

    Niveau de priorité : élevé

  3. Élaborer et mettre en œuvre, de concert avec les chefs de secteur, des stratégies de communication et de formation afin de satisfaire aux besoins définis.

    Niveau de priorité : élevé

  4. Définir officiellement les processus de surveillance et de reddition de comptes, y compris les principaux résultats attendus, afin de soutenir efficacement les activités du PPCA.

    Niveau de priorité : moyen

3.2 Champ d'enquête 2 : État de préparation à la planification de la continuité des activités

L'équipe de vérification s'attendait à ce que le Secrétariat ait terminé la préparation et la validation des ARA et des PCA des secteurs. Elle s'attendait aussi à ce que ces ARA et ces PCA soient conformes à la politique ministérielle sur la planification de la continuité des activités et qu'il existe un cycle de mise à l'essai et de tenue à jour pour le PPCA.

Afin de veiller à ce que le Secrétariat soit préparé à réagir advenant un incident et à activer les PCA des secteurs concernés, il faut que chaque secteur ait une ARA approuvée et un PCA approuvé qui représente son intervention prévue au regard des activités essentielles et non essentielles.

Il a été constaté que le cycle de planification de la continuité des activités continue d'évoluer au Secrétariat. En 2008-2009, la première série d'ARA des secteurs a été préparée. Ces documents ont été résumés dans un document ministériel qui cernait les activités essentielles et déterminait le nombre d'employés requis advenant un incident connexe au PCA. Ce rapport est devenu l'un des éléments déclencheurs de l'examen et de l'établissement de l'ordre de priorité des activités essentielles, lequel a été effectué par le Comité exécutif du Secrétariat en décembre 2010.

C'est à ce moment qu'ont été recensées les sept principales activités qu'il convient de mettre en branle dans les 24 heures suivant un incident. L'ordre de priorité de neuf autres activités essentielles a ensuite été établi. En 2011, les ARA des secteurs ont été mises à jour, et l'élaboration du premier cycle des PCA des secteurs a commencé.

Au cours de cette période, le groupe du PCA du Secteur des services ministériels a fourni une orientation et a mis au point des outils en vue d'aider les secteurs à établir leurs documents d'ARA et de PCA.

La plupart des secteurs ont préparé et soumis des ARA et des PCA; quatre secteurs exerçant des activités essentielles n'ont toutefois pas soumis ces documents. La majorité des secteurs ont utilisé les modèles conçus par les ministères; l'information contenue dans bon nombre des documents comportait toutefois des lacunes et des ambiguïtés.

Au moment de notre vérification, l'équipe du PCA avait enclenché le processus d'examen et de validation des ARA et des PCA des secteurs; ce processus n'était toutefois pas assez avancé pour que l'équipe de vérification puisse l'évaluer. Les cycles de mise à l'essai et de tenue à jour n'avaient pas débuté.

D'autres efforts sont requis pour :

  • terminer la préparation des documents restants des secteurs ayant trait à l'ARA et à la PCA;
  • évaluer tous les documents des secteurs ayant trait à l'ARA et à la PCA;
  • élaborer et mettre en œuvre un cycle de mise à l'essai du Plan de continuité des activités (PCA) ainsi qu'un cycle standard de tenue à jour du PPCA dans son ensemble.

Dans le cadre de la mission, l'équipe de vérification a cerné la possibilité de simplifier davantage le programme au moyen de documents génériques d'ARA et de PCA qui permettraient de tenir compte des activités non essentielles et de certaines activités essentielles. La vérification a permis de constater que la plupart des secteurs exercent des activités non essentielles et que les interventions du PCA sont souvent identiques ou semblables. Cela dit, l'utilisation d'interventions génériques, sans délaisser pour autant les besoins propres aux secteurs, permet de réduire l'effort global. Cette démarche possible n'est soumise qu'à titre de suggestion à la direction, et elle ne fait donc pas partie des recommandations qui suivent.

Recommandation :

On recommande au secrétaire adjoint du Secteur des services ministériels de prendre la mesure suivante :

  1. Effectuer, de concert avec les chefs de secteurs, le travail qu'il reste à accomplir aux fins de l'élaboration du PPCA.

Plus précisément, il faut :

  • terminer la préparation des documents restants des secteurs ayant trait à l'ARA et à la PCA, et veiller à leur évaluation;
  • établir et mettre en œuvre un cycle de vérification et de tenue à jour des documents et des activités connexes à l'ARA et au PCA.

Niveau de priorité : élevé

3.3 Conclusion générale

Depuis septembre 2009, le Secrétariat a accompli des progrès substantiels au regard de l'élaboration et de la mise en œuvre d'un cadre de contrôle de gestion pour le PPCA.

Nous concluons avec une assurance raisonnable que le cadre de contrôle de gestion du PPCA du Secrétariat est conforme à la plupart des points de la Politique sur la sécurité du gouvernement, de la Directive sur la gestion de la sécurité ministérielle et de la Norme de sécurité opérationnelle - Programme de planification de la continuité des activités (PPCA) du Conseil du Trésor. Une amélioration est nécessaire pour se pencher sur les éléments clés du cadre de contrôle de gestion du PPCA

Plus précisément, il faut :

  • examiner les rôles et les responsabilités pour s'assurer qu'ils sont rationalisés, qu'ils englobent l'ensemble des parties prenantes et qu'ils sont approuvés officiellement;
  • définir et officialiser l'intégration du PPCA aux travaux des comités de la haute direction, afin de pouvoir compter en permanence sur une orientation stratégique et une surveillance; 
  • élaborer des stratégies de formation et de communication qui, en plus de répondre aux autres besoins cernés, permettent de sensibiliser au PPCA les employés et les personnes prenant part à des activités essentielles;
  • élaborer et mettre en application des processus formels de surveillance et de reddition de comptes périodiques.

De plus, pour que le Secrétariat soit bien préparé à intervenir efficacement advenant un incident connexe au PCA, il est crucial que soient achevés les travaux restants concernant le développement du PPCA.

Plus précisément, il faut :

  • terminer la préparation des documents restants des secteurs ayant trait à l'ARA et à la PCA;
  • évaluer tous les documents des secteurs ayant trait à l'ARA et à la PCA;
  • élaborer et mettre en œuvre un cycle de mise à l'essai du PCA ainsi qu'un cycle standard de tenue à jour du PPCA dans son ensemble.

Annexe 1 : Critères de la vérification

Champ d'enquête 1 : Cadre de contrôle de gestion

Un cadre de contrôle de gestion a été instauré pour veiller à ce que le Secrétariat administre convenablement ses responsabilités eu égard à la:

  • Politique sur la sécurité du gouvernement du Conseil du Trésor;
  • Norme de sécurité opérationnelle - Programme de planification de la continuité des activités (PPCA) du Conseil du Trésor
  • Directive sur la gestion de la sécurité ministérielle du Conseil du Trésor.
  1. Les objectifs et les buts sont clairement définis, officiellement approuvés, actuels et communiqués.
  2. La reddition de comptes, les rôles et les responsabilités sont clairement définis, officiellement approuvés et communiqués efficacement.
  3. La structure organisationnelle est officielle et elle est appuyée par des ressources suffisantes.
  4. La planification et la gestion des risques sont exécutées de façon périodique.
  5. Les politiques, les procédures et les lignes directrices ministérielles sont conformes aux autorisations pertinentes et elles sont également complètes, actuelles et communiquées.
  6. La formation des membres de la direction et du personnel ayant des responsabilités au chapitre de la planification de la continuité des activités – formation offerte aux fins de sensibilisation à l'égard des politiques, directives et pratiques en vigueur – appuie avec efficacité le Programme de planification de la continuité des activités (PPCA).
  7. Un mécanisme efficace de surveillance et de reddition de comptes est en place.

Champ d'enquête 2 : État de préparation à la planification de la continuité des activités

La planification de la continuité des activités fait partie d'un cycle de tenue à jour permanente qui comprend des évaluations et la validation des plans de façon périodique.

  1. Les analyses sectorielles des répercussions des activités (ARA) sont conformes aux règles en vigueur, validées, mises à l'essai et tenues à jour.
  2. Les plans de continuité des activités (PCA) des secteurs et du ministère sont conformes aux règles établies, validés, mis à l'essai et tenus à jour.

Annexe 2 : Plan d'action de la direction

Recommandation 1 :

Il est recommandé que le secrétaire adjoint, Secteur des services ministériels, examine la série de documents exposant les rôles et les responsabilités inhérents au PPCA pour s'assurer qu'ils sont rationalisés, qu'ils englobent l'ensemble des parties prenantes et qu'ils sont approuvés officiellement.

Niveau de priorité : élevé

Mesures prises par la direction Date d'achèvement Bureau de première responsabilité (BPR)
Nous sommes d'accord avec la recommandation.
Le Secteur des services ministériels (SSM) devra examiner et réviser la politique ministérielle du Plan de continuité des activités (PCA) afin de clarifier les rôles et les responsabilités de toutes les personnes engagées dans le processus de PCA. T3 2012-2013 SSM
Toute la documentation devra être mise à jour et rationalisée, au besoin. T3 2012-2013 SSM
Les documents ayant des répercussions à l'extérieur du SSM, y compris les politiques, doivent être approuvés par le Secrétariat après l'examen du Après qu'ils auront été révisés, les documents devront être approuvés par le Comité de la gestion et de l'infrastructure (CGI). T4 2012-2013 SSM

Recommandation 2 :

Il est recommandé que le secrétaire adjoint, Secteur des services ministériels, intègre officiellement le PPCA à la structure des comités de la haute direction, afin de pouvoir compter en permanence sur une orientation stratégique et une surveillance.

Niveau de priorité : élevé

Mesures prises par la direction Date d'achèvement Bureau de première responsabilité (BPR)
Nous sommes d'accord avec la recommandation.
Le SSM devra examiner et réviser la gouvernance actuelle du programme de PCA pour assurer une intégration officielle de l'orientation au niveau stratégique et la supervision de la structure des comités de la haute direction. Octobre 2012 SSM
La structure de gouvernance révisée doit être présentée au COEX aux fins d'examen. Novembre 2012 SSM
NOTA : Le Plan stratégique de gestion des urgences (PSGU) sera approuvé par la secrétaire d'ici décembre 2012. Le PSGU intégrera tous les niveaux d'intervention d'urgence ainsi que les cas d'urgence dans les immeubles, les considérations du PCA et le rôle de l'organisme central que dirige le SCT à l'égard du Plan fédéral d'intervention d'urgence (PFIU). Décembre 2012 SSM / AISJ 12

Recommandation 3 :

Il est recommandé que le secrétaire adjoint, Secteur des services ministériels, de concert avec les chefs de secteur, élabore et mette en œuvre des stratégies de communication et de formation afin de satisfaire aux besoins définis.

Niveau de priorité : élevé

Mesures prises par la direction Date d'achèvement Bureau de première responsabilité (BPR)
Nous sommes d'accord avec la recommandation.
Le SSM et le Secteur des communications stratégiques et des affaires ministérielles (SCSAM) élaboreront une stratégie de communication dans le cadre du plan de travail du Groupe de travail sur la planification de la continuité des activités (GTPCA) de 2012‑2013. 31 janvier 2013 SSM / SCSAM
Le SSM obtiendra l'approbation du secrétaire adjoint, SSM de relativement à la stratégie de communication. 31 mars 2013 SSM
La stratégie de communication sera mise en œuvre. Mai 2013 SSM / SCSAM
Le SSM élaborera et mettra en œuvre une stratégie de formation sur trois ans ciblant l'engagement au sein du secteur et de l'organisation et en obtiendra l'approbation. 31 mars 2013 SSM
Le SSM élaborera des outils génériques et le matériel de formation dont se servira le GTPCA pour aider aux exercices du PCA dans les secteurs en 2012‑2013. Septembre 2012 SSM
À l'aide des outils génériques créés par le SSM et avec l'aide du SSM (au besoin), les secteurs :
Tiendront des séances d'information ou de formation à l'intention de tous les employés, dans les secteurs d'activité essentiels ou non essentiels, conformément aux besoins décrits dans leur plan. Décembre 2012 Chefs de secteurs SSM / SCSAM
Veilleront à offrir de la formation additionnelle aux membres du personnel qui ont un rôle à jouer dans les opérations critiques du secteur afin d'assurer qu'ils ont connaissance adéquate des exigences du PCA, conformément aux besoins décrits dans leur plan. Mars 2013 Chefs de secteurs SSM / SCSAM

Recommandation 4 :

Il est recommandé que le secrétaire adjoint, Secteur des services ministériels, définisse officiellement les processus de surveillance et de reddition de comptes, y compris les principaux résultats attendus, afin de soutenir efficacement les activités du PPCA.

Niveau de priorité : moyen

Mesures prises par la direction Date d'achèvement Bureau de première responsabilité (BPR)
Nous sommes d'accord avec la recommandation.
Le SSM créera un processus de surveillance. Ce processus permettra de mettre en œuvre un cadre de surveillance de l'élaboration des objectifs stratégiques et des mécanismes de présentation de rapports officiels ainsi que des mesures claires conformément à ce processus. T4 2012-2013 SSM
Le processus de surveillance sera approuvé par le secrétaire adjoint, SSM, et mis en œuvre. 31 mars 2013 SSM
Les rapports officiels sur les activités du PCA seront mis en œuvre. T3 2013-2014 SSM

Recommandation 5 :

Il est recommandé que le secrétaire adjoint, Secteur des services ministériels, de concert avec les chefs de secteurs, effectue le travail qu'il reste à accomplir dans le cadre de l'élaboration du Programme de la planification et de la continuité des activités (PPCA).

Plus précisément, il faut :

  • Terminer les documents restants entourant l'analyse des répercussions sur les activités (ARA) et la planification de la continuité des activités (PCA) et les soumettre chacun à une évaluation.
  • Établir et appliquer un cycle de vérification et de tenue à jour des documents et des activités d'ARA et de PCO.

Niveau de priorité : élevé

Mesures prises par la direction Date d'achèvement Bureau de première responsabilité (BPR)
Nous sommes d'accord avec la recommandation.
Tous les plans de secteur PCA et ARA terminés en 2011‑2012 ont été évalués en janvier 2012. Les secteurs ont obtenu une rétroaction écrite au sujet de leurs plans et ont été encouragés à rencontrer le SSM pour approfondir les discussions. Terminé SSM
Les secteurs seront tenus de présenter les plans de PCA approuvés et l'analyse des répercussions sur les activités (ARA) pour 2012‑2013 à l'intérieur du délai exigé par le SSM. 29 juin 2012 Chefs de secteurs
L'évaluation des plans de 2012‑2013 sera achevée par le SSM. Octobre 2012 SSM
Un cycle de vérification sera créé et approuvé par le secrétaire adjoint, SSM. 31 mars 2013 SSM
Le cycle de vérification sera mis en œuvre. T1 2013-2014 SSM
Un cycle de tenue à jour sera créé et approuvé par le secrétaire adjoint, SSM. 31 mars 2013 SSM
Le cycle de tenue à jour sera mis en œuvre et surveillé par le SSM. Les représentants de secteurs contribueront à la mise en œuvre des activités de tenue à jour. T1 2013-2014 SSM / représentants de secteurs

© Sa Majesté la Reine du chef du Canada, représentée par le président du Conseil du Trésor, [2013],
[ISBN : 978-0-660-25635-1]

Détails de la page

Date de modification :