Archivé - Vérification du plan de continuité opérationnelle

Informations archivées

Les informations archivées sont fournies aux fins de référence, de recherche ou de tenue de documents. Elles ne sont pas assujetties aux normes Web du gouvernement du Canada et n'ont pas été modifiées ou mises à jour depuis leur archivage. Pour obtenir ces informations dans un autre format, veuillez communiquez avec nous.

Préparé par
Vérification interne et évaluation
Ministère des Finances du Canada

Approuvé par le sous-ministre des Finances sur la recommandation du
Comité de vérification et d’évaluation le 28 août 2012

Table des matières

Sommaire

Contexte

Objectif et portée de la vérification

Énoncé de conformité et approche de vérification

Conclusions

Observations par critère de vérification

Recommandations et plan d’action de la direction

Annexe A – Liste des employés du ministère des Finances qui ont été interviewés

Annexe B – Principaux documents de référence consultés

Annexe C – Membres de l’équipe de vérification

Annexe D – Gabarit de l’analyse des répercussions sur les activités (ARA)

Annexe E – Gabarit des tableaux de planification de la continuité opérationnelle (TPCO)

Annexe F – Gabarit de la fiche de renseignements sur les plans de contingence (FRPC)

Sommaire

Selon la Loi sur la gestion des urgences (LGU), il incombe à chaque ministère fédéral d’établir un programme de continuité opérationnelle ainsi que les processus se rapportant à ce programme, c’est-à-dire des processus visant l’identification des risques stratégiques et opérationnels; l’établissement d’un plan de continuité opérationnelle (PCO); la tenue d’exercices de planification de la continuité opérationnelle, y compris l’organisation d’activités de sensibilisation/de formation; et le maintien d’une politique et de plans connexes. À l’appui de ces exigences, la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (Norme de PCA) du Conseil du Trésor fournit une orientation et des consignes pour la mise en œuvre des processus se rapportant aux PCO.

L’objectif de la vérification était de donner une assurance raisonnable au sujet de la suffisance et de la pertinence des processus mis en œuvre pour établir le programme de continuité opérationnelle du Ministère.

La vérification a conclu que, globalement, les processus pour mettre en place le programme de continuité opérationnelle du ministère sont adéquats et appropriés. Plus précisément, en conformité à la Norme de PCA, le ministère des Finances Canada a :

  • identifié les risques stratégiques que se produisent des événements nécessitant l’activation du PCO;
  • établi un cadre de gestion à l’appui de la planification de la continuité opérationnelle;
  • mis en place un processus de planification de la continuité opérationnelle aux fins de l’élaboration d’un PCO ministériel, y compris un cadre pour les plans au niveau des directions;
  • mené un exercice du PCO.

Même si le Ministère affiche des réalisations importantes par rapport au processus de planification de la continuité opérationnelle, la vérification a révélé des possibilités d’amélioration dans les trois domaines suivants :

  • compléter les analyses des répercussions sur les activités (ARA) au niveau des directions, particulièrement en ce qui concerne les sections sur les interdépendances et les besoins minimums en ressources;
  • diriger l’établissement rapide des tableaux de planification de la continuité opérationnelle (TPCO) et des fiches de renseignements sur les plans de contingence (FRPC) à travers toutes les directions du Ministère à l’appui du PCO ministériel;
  • organiser d’autres exercices du PCO et élaborer une stratégie de sensibilisation et de formation, y compris un plan d’action.

Contexte

La vérification du plan de continuité opérationnelle s’inscrit dans le Plan triennal de vérification axé sur les risques (PVAR) du ministère des Finances Canada. Le PVAR a été déposé lors de la réunion du 1er mars 2011 du Comité de vérification et d’évaluation et il a été approuvé par le Sous-ministre.

Selon la Loi sur la gestion des urgences (LGU), il incombe à chaque ministère fédéral d’établir un programme de continuité opérationnelle, et chaque ministère est responsable des processus se rapportant à un tel programme. Ces processus visent :

  • l’identification des risques stratégiques et opérationnels au moyen d’analyses des répercussions sur les activités (ARA) afin de définir les services critiques et les services de soutien critiques, les interdépendances et les besoins en ressources pour rétablir les opérations normales après les perturbations;
  • l’élaboration d’une politique, d’un plan de continuité opérationnelle (PCO) à l’échelle ministérielle, des tableaux de planification de la continuité opérationnelle (TPCO) et des fiches de renseignements sur les plans de contingence (FRPC) au niveau des directions (qu’on appelle parfois plans de contingence au niveau des directions);
  • la tenue d’exercices de PCO et l’élaboration d’activités de sensibilisation et de formation;
  • le maintien d’une politique et de plans.

La Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (Norme de PCA) du Conseil du Trésor fournit une orientation et des consignes sur la mise en œuvre de processus se rapportant aux programmes de continuité opérationnelle.

La Direction des services ministériels du Ministère, par l’entremise des Services de sécurité, a assumé la responsabilité de la gestion du programme de continuité opérationnelle. De plus, un Groupe de travail ministériel sur le plan de continuité opérationnelle coordonne l’élaboration, la mise en œuvre et le suivi du programme de continuité opérationnelle dans les diverses directions.

Objectif et portée de la vérification

Objectif

L’objectif de la vérification était de donner une assurance raisonnable au sujet de la suffisance et de la pertinence des processus mis en œuvre pour établir le programme de continuité opérationnelle du Ministère.

Portée

Comme la politique actuelle du ministère des Finances sur la planification de la continuité opérationnelle a été approuvée par le Comité exécutif en septembre 2009 et que la phase d’examen de la vérification a eu lieu en avril 2012, la vérification a couvert la période allant de septembre 2009 à avril 2012.

La vérification a examiné les éléments suivants du programme de continuité opérationnelle, en conformité aux exigences de la Loi sur la gestion des urgences et de la Norme de PCA du Conseil du Trésor :

  • suffisance des risques stratégiques définis par rapport aux événements nécessitant l’activation du PCO;
  • suffisance des risques opérationnels déterminés, qui sont énumérés sous forme d’interdépendances et de besoins en ressources dans les ARA et les tableaux de planification de la continuité opérationnelle (TPCO);
  • suffisance du cadre de gestion à l’appui de la planification de la continuité opérationnelle, par exemple par l’entremise de la Politique ministérielle sur la planification de la continuité opérationnelle;
  • pertinence du processus de planification de la continuité opérationnelle, y compris l’élaboration d’un PCO à l’échelle du ministère et de TPCO et des fiches de renseignements sur les plans de contingence (FRPC) au niveau des directions;
  • pertinence du processus des enseignements tirés des exercices du PCO;
  • pertinence du degré de sensibilisation au processus du PCO et des activités de formation entreprises pour l’appuyer.

Les questions suivantes n’ont pas été examinées :

  • Le maintien de la politique et des plans de continuité opérationnelle du Ministère, car celui­ci n’avait pas achevé son programme de continuité opérationnelle au moment de la vérification;
  • Le plan de reprise de la TI (technologie de l’information) du Ministère, compte tenu des changements significatifs qui touchent actuellement la division de la gestion de l’information et de la technologie;
  • Les plans pour d’autres ministères et organismes lorsqu’il y a un lien, à des fins de coordination, entre le PCO du Ministère et ces organisations de l’extérieur;
  • Les responsabilités du Ministère en matière de sûreté ainsi que de santé et de sécurité au travail.

Énoncé de conformité et approche de vérification

La vérification a été menée en conformité aux normes de vérification interne du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité.

La vérification a été planifiée et menée de façon à obtenir une assurance raisonnable que l’objectif a été atteint. Pendant leur mission, les vérificateurs ont suivi des procédures appropriées et ils ont recueilli suffisamment d’éléments probants pour confirmer l’exactitude des constatations et des conclusions présentées dans le présent rapport. Les constatations reposent sur une comparaison entre la situation observée au moment de la vérification et les critères de vérification énumérés dans le présent rapport, qui ont été acceptés par la direction. Elles ne s’appliquent qu’à l’entité examinée, et les éléments probants recueillis étaient suffisants pour fournir à la haute direction la preuve des constatations tirées de la vérification interne.

La procédure de vérification comprenait entre autres des entrevues, des observations, l’examen de documents de référence et des analyses. Les critères de vérification qui ont servi à mettre en place les tests de vérification requis reposent sur 1) la Loi sur la gestion des urgences; (2) la Norme de PCA du Conseil du Trésor; (3) les éléments pertinents des Critères de vérification liés au Cadre de responsabilisation de gestion du Bureau du contrôleur général; et 4) de bonnes pratiques de gestion, comme celles que propose le document intitulé Business Continuity Management – Better Practice Guide du Bureau national de vérification de l’Australie.

Dix personnes ont été interviewées en tout (voir leurs noms à l’annexe A). L’équipe chargée de la vérification a en outre examiné et analysé les autorisations et les politiques applicables ainsi que d’autres documents pertinents (une liste des principaux documents consultés est fournie à l’annexe B).

L’approche retenue a permis de communiquer les résultats de la mission de la vérification de manière à permettre à la direction d’examiner et de commenter les constatations et les conclusions avant qu’elles ne soient finalisées.

Conclusions

Objectif de la vérification

Donner une assurance raisonnable au sujet de la suffisance et de la pertinence des processus mis en œuvre pour établir le programme de continuité opérationnelle du Ministère
























La vérification a conclu que, globalement, les processus pour mettre en place le programme de continuité opérationnelle du département sont adéquats et appropriés. Plus précisément, en conformité à la Norme de PCA, le ministère des Finances a :

  • identifié les risques stratégiques que se produisent des événements nécessitant l'activation du PCO;
  • établi un cadre de gestion à l’appui de la planification de la continuité opérationnelle;
  • mis en place un processus de planification de la continuité opérationnelle aux fins de l’élaboration d’un PCO ministériel, y compris un cadre pour les plans au niveau des directions;
  • mené un exercice du PCO.

Même si le Ministère affiche des réalisations importantes par rapport au processus de planification de la continuité opérationnelle, la vérification a révélé des possibilités d’amélioration dans les trois domaines suivants :

  • compléter les analyses des répercussions sur les activités (ARA) au niveau des directions, particulièrement en ce qui concerne les sections sur les interdépendances et les besoins minimums en ressources;
  • diriger l’établissement rapide des tableaux de planification de la continuité opérationnelle (TPCO) et des fiches de renseignements sur les plans de contingence (FRPC) à travers toutes les directions du Ministère à l’appui du PCO ministériel;
  • organiser d’autres exercices du PCO et élaborer une stratégie de sensibilisation et de formation, y compris un plan d’action.

Observations par critère de vérification

Le tableau qui suit présente l’évaluation du niveau d’exposition au risque que la vérification a permis de déceler. Pour chaque critère de vérification, l’exposition au risque est classée comme étant élevée, moyenne ou faible:

Exposition élevée
Exposition moyenne
Exposition faible

Les classements correspondent à l’exposition possible au risque qui, selon les vérificateurs, pourrait avoir une incidence sur l’atteinte des objectifs du Ministère et indique la priorité que la direction doit donner aux recommandations.

L’évaluation résume les observations de la vérification fondées sur des éléments probants factuels recueillis et analysés durant la mission de vérification. Les problèmes fondés sur ces évaluations, ainsi que les causes possibles, l’incidence, les recommandations et les initiatives de la direction sont résumés dans la section « Recommandations et plan d’action de la direction ».

Observations par critère de vérification
Critère Exposition au risque Évaluation
1. Détermination des risques pour la continuité opérationelle
Le ministère des Finances Canada détermine les risques stratégiques et opérationnels que se produisent des événements nécessitant l'activation du PCO, en conformité à la Norme de PCA  Faible   Le Ministère a déterminé ses risques stratégiques en matière de continuité opérationnelle; toutefois, pour respecter la Norme de PCA, les analyses des répercussions sur les activités (ARA) (c’est-à-dire les analyses des risques opérationnels) devraient être plus détaillées.

Selon la Norme de PCA, les ministères doivent déterminer les risques stratégiques et les risques opérationnels qui peuvent entraver la continuité opérationnelle.

Les risques stratégiques comprennent les risques qui se répercutent sur des éléments critiques du Ministère ayant une incidence sur la capacité du Ministère d’atteindre ses objectifs. Il s’agit notamment : 1) des processus reliés à la préparation du budget fédéral; 2) du rôle de premier plan que joue le Ministère en matière de coordination du secteur financier; 3) du leadership international qu’il exerce en matière économique; 4) des paiements de transfert de grande valeur; et 5) de la technologie de l’information en tant que service de soutien critique.

Les risques opérationnels comprennent les risques définis dans les ARA, comme les interdépendances et les besoins en ressources, qui sont critiques pour la poursuite des opérations des directions du Ministère après une catastrophe (c’est-à-dire pendant la période de reprise). Sans ces ressources, les directions ne seraient pas en mesure d’atteindre leurs objectifs.

Les vérificateurs ont évalué si les risques stratégiques étaient définis et ont examiné toutes les ARA pour déterminer si elles étaient complètes, et notamment si les interdépendances et les besoins en ressources étaient définis.

La vérification a permis de conclure que le Ministère avait déterminé les risques stratégiques qui se posent pour la continuité opérationnelle. Pour ce qui est des ARA au niveau des directions (c’est-à-dire les analyses des risques opérationnels), la vérification a permis de constater que des renseignements supplémentaires s’imposent sur les interdépendances internes et externes, par exemple la définition de l’incidence que représenterait la perte temporaire d’autres organisations gouvernementales, de fournisseurs et d’entrepreneurs. De la même façon, la vérification a aussi permis de constater que des renseignements supplémentaires s’imposent dans la section des besoins minimums en ressources, à cause des pressions accrues prévues et des répercussions que les perturbations auraient sur les personnes, les infrastructures, les biens et/ou les fournitures.

Voici des exemples d’ARA que les Services de sécurité ont reçues des différentes directions du Ministère et qu’ils ont communiqué à l’équipe de vérification qui nécessitent un complément d’information :
  1. Direction du développement économique et des finances intégrées – interdépendances avec d’autres ministères et le secteur privé, comme des noms et des moyens de rechange de communiquer avec des personnes-ressources clés;
  2. Direction de la politique du secteur financier – interdépendances concernant des comités du secteur public/du secteur privé (p. ex. le secteur bancaire canadien), par exemple par la définition de protocoles de communication à mettre en œuvre entre le Ministère et ces comités;
  3. Direction des finances et des échanges internationaux – interdépendances avec des organisations internationales, comme la détermination de personnes-ressources en cas de perturbation et le moyen le plus efficace de communiquer avec des organisations clés;
  4. Direction de la politique de l’impôt – interdépendance avec l’Agence du revenu du Canada, par la détermination de la voie de communication qui sera utilisée entre le Ministère et l’Agence en cas de perturbation.

Pendant la vérification, les Services de sécurité ont communiqué leurs plans futurs et leur engagement de communiquer avec les personnes-ressources des services critiques dans chaque direction, pour les aider à compléter leurs ARA respectives.

L’équipe de vérification recommande que les Services de sécurité travaillent étroitement avec le personnel des services de soutien et des services critiques dans les directions pour compléter les ARA, et particulièrement pour remplir les sections sur les interdépendances et les besoins minimums en ressources.

Le tableau qui suit résume les constatations de la vérification pour le critère 1:

Composante du critère 1 : La composante portant sur l'identification des risques stratégiques que se produisent des évènements nécessitant l'activation du PCO était achevée. La composante portant sur l'identification des risques opérationnels que se produisent des évènements nécessitant l'activation du PCO (analyses des répercussions sur les activités) était partiellement achevée.
2. Politique et plan de continuité opérationnelle
Le ministère des Finances Canada établit la politique et le plan de continuité opérationnelle en fonction des risques définis, en conformité à la Norme de PCA  Faible Le Ministère a établi sa politique de planification de la continuité opérationnelle en conformité à la Norme de PCA et a élaboré un PCO ministériel, y compris un cadre pour les plans au niveau des directions. Toutefois, les tableaux de planification de la continuité opérationnelle (TPCO) n’étaient remplis que partiellement et les fiches de renseignements sur les plans de contingence (FRPC) n’étaient pas remplies.

La Norme de PCA exige l’élaboration d’une politique et d’un plan ministériel de planification de la continuité opérationnelle qui font notamment état :
  1. des services essentiels, des équipements d’information et des interdépendances;
  2. des stratégies de reprise approuvées;
  3. des mesures à prendre pour faire face aux répercussions et aux effets des interruptions sur le ministère;
  4. des équipes d’intervention et de reprise, y compris la composition des équipes et les coordonnées des membres;
  5. des rôles, responsabilités et tâches des équipes;
  6. des ressources requises et des procédures à suivre pour la reprise;
  7. des mécanismes et des procédures de coordination;
  8. des stratégies de communication.

Ces huit éléments doivent se retrouver dans les TPCO et les FRPC des directions.

Les vérificateurs ont évalué si le PCO comprenait les éléments essentiels prévus dans la Norme de PCA.

La vérification a permis de constater que dans l’ensemble, le Ministère maintient une politique de planification de la continuité opérationnelle pertinente. De plus, le PCO ministériel comprend des procédures préparatoires et des procédures réactives (p. ex. activation) pour minimiser les perturbations dans les opérations et soutenir la reprise. Un cadre pour les plans au niveau des directions a été communiqué aux directions; toutefois, la vérification a permis de constater que les TPCO et les FRPC des directions ne couvraient qu’en partie les huit éléments prévus dans la Norme de PCA.

Par exemple, à la fin de la phase d’examen de la vérification (avril 2012), les FRPC, qui sont exigées pour chaque direction, n’avaient pas été produites. Il est important de les remplir, pour que chaque équipe de continuité des services critiques et des services de soutien dispose de son propre plan détaillé, accompagné de procédures axées sur l’action. C’est pourquoi, pendant la vérification, les Services de sécurité ont commencé à élaborer un outil (le gabarit de la fiche de renseignements sur les plans de contingence) pour aider les directions à remplir leur FRPC.

Autre exemple : dans les tableaux de planification de la continuité opérationnelle (TPCO) des directions, les sections sur les interdépendances ne présentaient pas assez d’information au sujet des stratégies de reprise.

Un élément clé pour la production des TPCO et des FRPC au niveau des directions est le Groupe de travail du Ministère sur le plan de continuité opérationnelle (GTPCO), qui coordonne l’élaboration, la mise en œuvre et le suivi du programme de planification de la continuité opérationnelle, et qui par exemple facilite la production des FRPC des directions.

Au cours de diverses entrevues avec des membres du GTPCO, les vérificateurs ont constaté que les membres du GTPCO avaient généralement besoin de clarifications au sujet de leurs rôles respectifs en matière de continuité des opérations dans la production des TPCO et des FRPC des directions.

Dans ce contexte, les vérificateurs recommandent que les Services de sécurité prennent la tête de file de toutes les directions du Ministère pour la production rapide de leurs TPCO et de leurs FRPC respectifs à l’appui du PCO ministériel.

Le tableau qui suit résume les constatations pour le critère 2 à la fin de la phase d’examen de la vérification en avril 2012:

Composante du critère 2 : La composante portant sur la politique de continuité opérationnelle était achevée. La composante portant sur le PCO ministériel était achevée. La composante portant sur les TPCO au niveau des directions était partiellement achevée. La composante portant sur les FRPC au niveau des directions était inachevée.
3. Exercices du PCO, sensibilisation et formation 
Le ministère des Finances Canada mène des exercices et dispense de la formation concernant sa politique et son plan de continuité opérationnelle, en conformité à la Norme de PCA   Faible   Le Ministère a mené certains exercices et tests au sujet du PCO, en plus d’offrir certaines activités de sensibilisation au PCO sur son site Intranet. Toutefois, des exercices de PCO et des activités de sensibilisation et de formation supplémentaires s’imposent.

La Norme de PCA exige qu’une formation régulière sur la politique de planification de la continuité opérationnelle et le PCO soit dispensée par l’entremise d’exercices sur le PCO, et qu’une stratégie et un plan d’action de sensibilisation et de formation soient élaborés. Conformément à la politique ministérielle, des exercices du PCO devraient se faire annuellement pour tester et valider l’efficacité du PCO.

De plus, des activités de sensibilisation et de formation sont requises pour que le personnel du Ministère soit prêt à faire face aux perturbations dans les opérations, car les employés et les gestionnaires doivent être sensibilisés à leurs rôles respectifs dans le maintien de services importants.

L’équipe de vérification a comparé l’organisation d’exercices concernant le PCO au Ministère et les pratiques de celui-ci en matière de formation et de sensibilisation aux exigences de la Norme de PCA.

Les vérificateurs ont constaté qu’au cours de la période allant de septembre 2009 à avril 2012, le Ministère n’a tenu qu’un seul exercice de simulation sur table au sujet du PCO, en janvier 2011. Il s’agit d’un exercice important, dont les objectifs consistent notamment à évaluer l’intégralité du plan et à confirmer la sensibilisation du personnel ainsi que la sensibilisation globale au PCO et l’état général de préparation. De plus, pendant la période visée par la vérification, le Ministère a mené des tests sur les services critiques, également appelés exercices de plus petite échelle. Par exemple, de tels tests ont été menés au sujet des scénarios d’urgence pour le budget.

Les vérificateurs ont également constaté que le Ministère offre une information limitée à des fins de sensibilisation au PCO sur son site Intranet, qui comprend une annexe au PCO en cas de pandémie, la politique ministérielle sur le PCO ainsi que le mandat du Conseil de gestion des crises. Un complément d’information serait utile, par exemple 1) des définitions clés; 2) des descriptions des rôles et des interdépendances des services critiques et des services de soutien du Ministère; et 3) une description du soutien requis en matière de ressources humaines en cas de crise (p. ex. Programme d’aide aux employés).

De plus, les vérificateurs ont constaté qu’aucune formation formelle n’avait été dispensée sur les compétences en matière de planification de la continuité opérationnelle aux membres du Groupe de travail sur le PCO depuis que celui-ci a établi son cadre de référence actuel en septembre 2009. Une certaine formation informelle a toutefois eu lieu lors des réunions du GTPCO, qui se tiennent généralement tous les deux mois. Finalement, les vérificateurs ont noté que le directeur adjoint, Services de sécurité, a reçu une formation formelle en matière du PCO.

Les vérificateurs recommandent que les Services de sécurité tiennent d’autres exercices du PCO et élaborent une stratégie de sensibilisation et de formation, y compris un plan d’action qui comprendrait par exemple des activités comme les suivantes:
  • tenir des exercices du PCO plus fréquents (p. ex. une fois par année);
  • améliorer l’information sur le PCO offerte à des fins de sensibilisation sur le site Intranet en y ajoutant par exemple 1) des définitions clés; 2) des descriptions des rôles et des interdépendances des services critiques et des services de soutien du Ministère; et 3) une description du soutien requis en matière de ressources humaines en cas de crise (p. ex. Programme d’aide aux employés);
  • dispenser une formation formelle sur les compétences en matière de planification de la continuité opérationnelle aux membres du Groupe de travail sur le PCO.

Le tableau qui suit résume les constatations de la vérification pour le critère 3:

Composante du critère 3 : La composante portant sur les exercices annuels sur le PCO était partiellement achevée. La composante portant sur l'information sur le PCO offerte à des fins de sensibilisation sur le site Intranet était partiellement achevée. La composante portant sur la formation sur le PCO était partiellement achevée.

Recommandations et plan d’action de la direction

Les pages qui suivent présentent les possibilités d’amélioration déterminées par l’équipe de la vérification. L’incidence des observations et les recommandations issues de la vérification y sont aussi énoncées. S’il y a lieu, les initiatives de gestion pertinentes qui sont déjà en cours sont incluses. Pour chaque recommandation, la direction a précisé ce qui suit:

  • un plan d’action qui donne suite à la recommandation;
  • le titulaire du poste responsable de la mise en œuvre du plan d’action;
  • la date d’achèvement visée.

1. Compléter les analyses des répercussions sur les activités (ARA) au niveau des directions

Observations et incidence

Les services critiques dépendent souvent du même soutien externe pour le maintien du niveau minimum de fonctionnement requis. Conformément à la Norme de PCA, il est important que les ARA :

  • définissent les interdépendances internes et externes sur lesquelles les services reposent (p. ex. protocoles d’entente et accords avec d’autres ministères et des fournisseurs); et
  • déterminent non seulement les besoins minimums en ressources pour chaque secteur de service critique, mais aussi les opérations et ressources d’autres secteurs de services critiques et de services de soutien dont, collectivement, le Ministère a besoin.

L’équipe de vérification a examiné la mesure dans laquelle les ARA des directions étaient exhaustives et a constaté qu’un complément d’information s’impose au sujet des sections sur les interdépendances internes et externes et les besoins minimums en ressources.

Lorsque les interdépendances internes et externes et les besoins minimums en ressources ne sont pas définis adéquatement, un risque significatif se présente, à savoir que les services critiques et les services de soutien du Ministère puissent ne pas atteindre leurs objectifs respectifs en raison de ressources insuffisantes et du manque de soutien de la part des fonctions dont elles dépendent.

L’équipe de vérification recommande que les Services de sécurité travaillent étroitement avec le personnel des services critiques et des services de soutien des directions pour compléter les sections sur les interdépendances et les besoins minimums en ressources des ARA, ce qui aidera le personnel du Ministère à être bien préparé à faire face à une perturbation exigeant que le PCO soit activé, en tout ou en partie.

Recommandation

Que les Services de sécurité travaillent étroitement avec le personnel des services critiques et des services de soutien des directions pour compléter les analyses des répercussions sur les activités (ARA), et particulièrement les sections sur les interdépendances et les besoins minimums en ressources.
 

Réponse de la direction

D’accord. Le directeur des Services de sécurité continuera de collaborer avec les directions du Ministère pour compléter les analyses des répercussions sur les activités (ARA), et particulièrement les sections sur les interdépendances et les besoins minimums en ressources. Ce travail sera achevé pour le 31 décembre 2012.

2. Diriger l’établissement rapide des TPCO et des FRPC au niveau des directions

Observations et incidence

En vertu de la Norme de PCA, chaque équipe de continuité des services critiques et des services de soutien devrait disposer, au niveau de sa direction, 1) de tableaux de planification de la continuité opérationnelle (TPCO) indiquant par exemple les principales stratégies de reprise concernant les interdépendances de la direction; et 2) de sa propre fiche de renseignements sur les plans de contingence (FRPC) indiquant les membres clés du personnel et attribuant des responsabilités individuelles, et déterminant le calendrier et les résultats prévus de chaque mesure de reprise.

Les vérificateurs ont évalué si les composantes essentielles, y compris les TPCO et les FRPC, avaient été élaborés à l’appui du PCO ministériel. Ils ont constaté que les TPCO étaient partiellement remplis et que les FRPC n’avaient pas été produites.

En l’absence de TPCO et de FRPC au niveau des directions qui font état de renseignements essentiels comme les stratégies de reprise des opérations (y compris les responsabilités clés, le calendrier et les résultats prévus de chaque mesure de reprise), le risque s’accroît que les services critiques et les services de soutien du Ministère ne puissent pas atteindre leurs objectifs opérationnels en cas de perturbation.

L’équipe de vérification recommande que les Services de sécurité dirigent l’établissement rapide des TPCO et des FRPC au niveau des directions à l’appui du PCO ministériel, ce qui permettra d’assurer l’intégration de composantes clés dans le plan ministériel de continuité des opérations.

Recommandation

Que les Services de sécurité dirigent l’établissement rapide des tableaux de planification de la continuité opérationnelle (TPCO) et des fiches de renseignements sur les plans de contingence (FRPC) par toutes les directions à l’appui du PCO ministériel.

 

Réponse de la direction

D’accord. Le directeur des Services de sécurité continuera de collaborer avec les directions pour diriger le travail actuellement en cours d’établissement des tableaux de planification de la continuité opérationnelle (TPCO) et des fiches de renseignements sur les plans de contingence (FRPC). Ce travail sera achevé pour le 31 décembre 2012.

3. Organiser d’autres exercices du PCO et élaborer une stratégie de sensibilisation/de formation, y compris un plan d’action

Observations et incidence

En vertu de la Norme de PCA, il faut mener des exercices et élaborer un programme de sensibilisation et de formation pour aider le personnel du Ministère à acquérir l’assurance que le PCO sera efficace s’il s’avère nécessaire.

Les vérificateurs ont évalué les exercices ainsi que les pratiques de sensibilisation et de formation du Ministère en matière de planification de la continuité opérationnelle. Ils ont constaté que le dernier exercice du PCO remontait à janvier 2011, qu’une information limitée sur la continuité opérationnelle était affichée sur le site Intranet du Ministère et qu’une formation formelle avait été dispensée à un membre clé du personnel de la Direction des services ministériels. Ces constatations montrent que les dispositions pertinentes de la Norme de PCA ne sont que partiellement respectées.

En l’absence d’exercices réguliers du PCO et de stratégie efficace de sensibilisation et de formation, le personnel du Ministère ne sera pas bien préparé à faire face à des perturbations dans les opérations. Il est donc important de communiquer à tout le personnel les objectifs du Ministère en matière de continuité opérationnelle, les services critiques et les ressources et l’ordre de priorité convenu pour la reprise des opérations, et ce, par l’entremise d’exercices bien planifiés et d’activités de sensibilisation et de formation.

L’équipe de vérification recommande que les Services de sécurité organisent des exercices supplémentaires du PCO et élaborent une stratégie de sensibilisation et de formation, y compris un plan d’action, ce qui améliorera l’état de préparation du Ministère en cas de perturbations.

Recommandation

Que les Services de sécurité tiennent d’autres exercices du PCO et puissent élaborer une stratégie de sensibilisation et de formation, y compris un plan d’action.












Réponse de la direction

D’accord. D’ici le 31 décembre 2012, le directeur des Services de sécurité élabora un plan d’action qui comprendra les mesures suivantes :

  • des exercices annuels de simulation sur table du PCO pour la direction, parallèlement aux tests supplémentaires réguliers de la prestation des services critiques (p. ex. production du budget fédéral, transferts de grande valeur); et
  • une stratégie de sensibilisation et de formation qui saisira notamment le cumul systématique des résultats des tests et des leçons apprises.

Annexe A – Liste des employés du ministère des Finances qui ont été interviewés

  • Directeur exécutif, Ressources humaines, et agent de sécurité du ministère, Direction des services ministériels (DSM)
  • Directeur exécutif délégué, Ressources humaines, DSM
  • Directeur, Services de sécurité, DSM
  • Directeur adjoint, Services de sécurité, DSM
  • Conseiller principal, Direction de la politique économique et fiscale
  • Chef, Section des paiements et estimations des programmes, Direction des relations fédérales-provinciales et de la politique sociale
  • Chef de projet principal, Direction de la politique du secteur financier
  • Agent principal, Relations internationales, Direction des finances et des échanges internationaux
  • Directeur, Affaires publiques et opérations, Direction des consultations et des communications
  • Chef, Architecture et planification de la TI, DSM

Annexe B – Principaux documents de référence

Loi

  • Loi sur la gestion des urgences (L.C. 2007, ch. 15), paragraphe 6(1)

Politique et norme

  • Conseil du Trésor, Politique sur la sécurité du gouvernement, 2009
  • Conseil du Trésor, Norme de sécurité opérationnelle – Programme de planification de la continuité des activités, 2004

Lignes directrices et pratiques exemplaires

  • Sécurité publique Canada, Guide de planification de la continuité des activités, 2010
  • Australian National Audit Office, Business Continuity Management – Better Practice Guide, juin 2009
  • Institute of Internal Auditors, Business Continuity Management – Practice Guide, juillet 2008
  • Disaster Recovery Institute – The Institute for Continuity Management, Professional Practices for Business Continuity Practitioners
  • Alberta Emergency Management Agency, Business Continuity Guide, mars 2007

Documents propres à Finances Canada

  • Politique sur la planification de la continuité opérationnelle
  • Mandat du Comité exécutif / Conseil de gestion des crises
  • Mandat du Groupe de travail sur le plan de continuité opérationnelle (GTPCO)
  • Liste des membres du GTPCO
  • PCO et ARA/TPCO connexes
  • Aide-mémoire pour l’activation du PCO
  • Profil de risque ministériel, janvier 2012 et juin 2011
  • Registre des risques, novembre 2011
  • Plan opérationnel intégré 2011-2012

Annexe C – Membres de l’équipe de vérification

Cette vérification a été réalisée par:

  • Chantale Dumornay, BAA, vérificatrice, Vérification interne et évaluation
  • Jean-Luc Tétreault, CA-CIA, CGA, CMA, gestionnaire de la vérification, Vérification interne et évaluation
  • Christian Kratchanov, MBA, CIA, CMC, dirigeant principal de la vérification et de l’évaluation

Annexe D – Gabarit de l’analyse des répercussions sur les activités (ARA)

Gabarit de l'analyse des répercussions sur les activités (ARA). Désignation de la fonction, indicateurs de répercussion, niveau d'importance critique et temps d'arrêt maximal admissible (TAMA).

Annexe E – Gabarit des tableaux de planification de la continuité opérationnelle (TPCO)

Gabarit des tableaux de planification de la continuité opérationnelle (TPCO). Les tableaux  présentent les services et programmes critiques/essentiels dont la reprise doit être assurée ainsi que la stratégie de reprise, les répercussions de la non-exécution et le temps d'arrêt maximal admissible (TAMA).

Annexe F – Gabarit de la fiche de renseignements sur les plans de contingence (FRPC)

Gabarit de la fiche de renseignements sur les plans de contingence (FRPC). Indique les membres clés du personnel, les responsabilités individuelles ainsi que le calendrier et les résultats prévus de chaque mesure de reprise des opérations.