Rapport annuel du Comité de vérification interne 2014-2015

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Archivée

Cette page Web a été archivée dans le Web.

September 2, 2015

Avant-propos des membres externes du Comité

C'est avec grand plaisir que nous présentons le rapport annuel des membres externes du Comité de vérification (CV) du Commissariat à la protection de la vie privée (CPVP). Ce rapport couvre l'exercice qui s'est terminé le 31 mars 2015.

Nous tenons à exprimer notre pleine satisfaction quant aux améliorations que le CPVP continue d'apporter à ses pratiques de gestion. L'année 2014-2015 a été caractérisée par des défis et des changements : des défis pour atteindre les priorités et les résultats dans un contexte de contraintes budgétaires continues, et des changements qui comprenaient notamment la mise en œuvre de la Loi canadienne anti-pourriel (LCAP) et la nomination d'un nouveau commissaire. Tout au long de l'année, une attention soutenue et les processus de prévisions financières ont aidé la direction à gérer prudemment les ressources pour réaliser les priorités et les résultats attendus. Le bien-fondé des pratiques de comptabilité et des pratiques d'établissement de rapports financiers du CPVP est attesté dans un rapport favorable et non modifié du Bureau du vérificateur général à l'égard des états financiers 2013-2014 pour la dixième année consécutive. La vérification interne de la gouvernance de la gestion de l'information et de la technologie de l'information (GI-TI) et le début des examens des programmes des enquêtes de la Loi sur la protection des renseignements personnels illustrent la façon dont l'organisme emploie sa fonction de vérification interne efficacement afin de fournir au commissaire et à la direction de l'assurance sur la gouvernance, la gestion des risques et les pratiques de contrôle, en plus d'offrir des recommandations pratiques et utiles pour s'occuper de points à améliorer.

Au cours de la dernière année, nous avons mobilisé les membres de l'équipe de direction à chaque réunion. Nos discussions nous ont été très utiles pour en apprendre davantage sur les activités, les défis et les réalisations du CPVP et l'ont aidé à mieux comprendre le rôle et les travaux du CV. C'est avec plaisir que nous poursuivrons ces discussions au cours de la prochaine année.

Monsieur le commissaire, nous vous remercions sincèrement de votre intérêt et de votre soutien continus au CV. Nous voulons aussi remercier votre équipe de direction, et plus particulièrement la direction des services corporatifs, pour son travail acharné et son soutien constant. Dans l'année à venir, le CV continuera d'examiner les pratiques de gestion et d'offrir des conseils et des recommandations pratiques d'améliorations, tout en fournissant de l'orientation stratégique à l'appui de la finalisation et de la mise en œuvre des nouvelles priorités en matière de protection de la vie privée.

Laurel Murray, CPA, CA Jocelyne Coté-O'Hara, CM

1.0 Introduction

Le Rapport annuel remis au commissaire est rédigé par le Comité de vérification (CV) du Commissariat à la protection de la vie privée conformément aux exigences énoncées dans la Politique sur la vérification interne (2012) du Conseil du Trésor et dans le mandat approuvé du CV.

Il décrit les activités réalisées par le CV et présente aux membres externes^{Note de bas de page 1} ses premières impressions et observations qui découlent des travaux qu'il a réalisés pendant l'exercice 2014-2015.

Tout en assumant ses fonctions, le CV assure une surveillance indépendante adéquate et tisse des liens avec la direction et le Bureau du vérificateur général du Canada (BVG). Comme par les années précédentes, nous cherchons avant tout à cibler et à évaluer les risques ainsi qu'à superviser les pratiques exemplaires du Commissariat et ses processus de contrôle et de gouvernance. Notre mission est d'offrir au Commissariat des conseils objectifs, clairs et constructifs.

Comme le prévoit la Directive sur la vérification interne au gouvernement du Canada du Conseil du Trésor (CT), le CV assure la surveillance dans les domaines clés suivants :

• Valeurs et éthique
• Gestion des risques
• Cadre de contrôle de la gestion
• Fonction de vérification interne
• Fournisseurs externes de services d'assurance
• Suivi des plans d'action de la direction
• États financiers et rapports des comptes publics
• Reddition de comptes

Les observations et les conseils du CV dans chaque cas sont présentés à la section 3 du présent rapport.

2.0 Rôle et composition du Comité de vérification

Le CV a pour mandat de formuler, à l'intention du commissaire, des recommandations et des conseils indépendants sur la qualité et le fonctionnement généraux de ses cadres et processus de gestion des risques, de contrôle et de gouvernance. Il lui fournit également des conseils stratégiques sur les nouvelles priorités, les préoccupations, les risques, les possibilités et les rapports de responsabilisation.

Le CV se compose des personnes suivantes :

• Laurel Murray, CA, présidente, membre externe
• Jocelyne Coté-O'Hara C.M.,membre externe
• Daniel Therrien, commissaire (membre d'office)

En outre, les membres suivants du personnel du CPVP devaient assister à toutes les réunions du CV en 2014-2015 :

• Daniel Nadeau, dirigeant principal de la vérification et dirigeant principal des finances
• Chantale Roussel, secrétaire du Comité et directrice de la Direction de la planification organisationnelle et des pratiques de gestion^{Note de bas de page 2}

Le CV a décrit son rôle, ses responsabilités et son fonctionnement dans un énoncé de mandat. Depuis sa création en 2008, ce mandat a été souvent examiné et mis à jour par le CV par souci de conformité à la Directive sur la vérification interne au gouvernement du Canada du CT, avant d'être réaffirmé par le commissaire. Vous trouverez à l'annexe A une copie du mandat du CV, approuvée en novembre 2014.

Afin de respecter le mandat approuvé, le CV a mis au point un plan de travail pour 2014-2015 qui a été approuvé à la réunion de juin. Une copie du plan est incluse à l'annexe B. Les progrès réalisés par rapport à celui-ci sont surveillés tout au long de l'année pour veiller à ce que le CV respecte ses engagements.

3.0 Résumé des activités du Comité de vérification pour 2014-2015

Les paragraphes suivants présentent un résumé des activités centrales du Comité pour 2014­2015 et des conseils pour que le Commissariat continue de renforcer ses pratiques de gestion et de surveillance.

3.1 Réunions

Le CV a tenu quatre réunions pendant l'année :

• le 20 juin 2014;
• le 22 août 2014;
• le 18 novembre 2014;
• le 24 mars 2015.

Les membres externes ont également assisté, en novembre, à la séance de planification stratégique du CPVP qui mettait l'accent sur les priorités organisationnelles futures et sur les engagements clés envers la mise en œuvre des priorités dans l'année en cours.

Chaque réunion du CV commençait par une discussion ouverte des questions émergentes concernant l'organisme, notamment l'évolution des nouvelles priorités en matière de protection des renseignements personnels sous le leadership du commissaire. Durant ces discussions, le commissaire faisait le point sur les principaux événements survenus au sein du Commissariat depuis la dernière réunion, et sur les dossiers ou possibilités qui pourraient avoir des répercussions sur l'organisation. Les membres bénéficiaient de cette façon d'un contexte plus clair et d'observations utiles qui les aidaient à mieux comprendre un environnement social et de travail qui ne cesse d'évoluer. Ces discussions ont également permis aux membres du CV de fournir des conseils stratégiques au commissaire à propos de questions et de secteurs émergents touchant le CPVP. Par exemple, à la suite d'un échange consacré à l'incidence sur les activités du CPVP de l'adoption du projet de loi C-51, des membres ont proposé au commissaire d'examiner les contrôles de l'information des 17 ministères et organismes qui seront touchés par cette loi, de façon à surveiller proactivement la conformité et partager les bonnes pratiques.

Tout au long de l'année, les membres des équipes de direction ont offert au CV des séances de renseignements. Celles-ci ont permis aux membres de mieux comprendre les programmes du CPVP, notamment les difficultés et les questions émergentes. Alors que, par le passé, des séances d'information ponctuelles ou des mises à jour sur les activités du CPVP étaient offertes au CV, ce dernier a mis en œuvre un processus de renseignement plus normalisé en 2014-2015. Par exemple, à la réunion de juin, un aperçu des responsabilités du CPVP conformément à la LCAP a été présenté au CV. Les membres ont abordé les principales difficultés, les risques et les stratégies d'atténuation avec l'équipe responsable de la LCAP, y compris les changements à apporter à l'approche de l'organisme pour l'application de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) à la suite de cette nouvelle loi. À la réunion de novembre, des membres ont reçu des renseignements sur les enquêtes menées en vertu de la LPRPDE, dont l'initiative PAF (" Prendre appui sur nos forces ") visant à simplifier le processus d'enquête connexe et réduire les temps de traitement, ainsi que sur les progrès et les premiers renseignements de la mise en œuvre de la LCAP.

Tous les membres du CV et tous les participants requis ont assisté aux réunions de 2014-2015. Compte tenu du temps écoulé entre chaque réunion, on a adopté au cours de l'année un nouveau processus d'approbation des procès-verbaux. Les membres du CV doivent désormais lire et approuver par voie électronique le procès-verbal dans les semaines qui suivent chaque réunion du comité, tout en conservant la capacité de remettre à plus tard cette approbation, au besoin, jusqu'à la réunion suivante. Cette mesure a accru l'efficacité du processus, en plus de permettre d'informer la direction en temps opportun des travaux et des recommandations du CV. Une fois que le procès-verbal est approuvé par le CV, le président le signe officiellement pour communiquer clairement cette approbation.

Lors de chaque réunion, les membres externes du Comité se sont entretenus à huis clos avec le dirigeant principal de la vérification - qui agit également à titre de dirigeant principal des finances - et les représentants du BVG, lorsque ces derniers étaient présents. Cette façon de procéder leur procure l'occasion de discuter de questions délicates en toute confidentialité. Les membres externes peuvent se réunir à huis clos en fonction des besoins.

3.2 Perfectionnement professionnel

En novembre 2014, l'un des membres externes du CV a assisté au colloque sur l'innovation et l'excellence du Comité ministériel de vérification (Contribuer CMV) du Bureau du contrôleur général.

3.3 Transparence

Le public a accès aux renseignements concernant le CMV sur le site Web du CPVP. On y trouve des notices biographiques sur les membres du CV, le mandat du Comité, les rapports annuels et les rapports de vérification interne approuvés. Le CV estime que, en partageant cette information, il fournit à la population des indications et des renseignements pertinents sur le travail du Comité et sur son rôle pour la surveillance des pratiques de gestion du Commissariat.

4.0 Principaux domaines de responsabilité

Les sections suivantes présentent un résumé des efforts déployés par le CV durant l'année en vue de formuler des conseils au Commissariat pour consolider ses processus et pratiques de gouvernance, de gestion des risques et de contrôle.

4.1 Valeurs et éthique

Tout au long de l'année, le CV s'est penché sur différents aspects des pratiques du CPVP au chapitre des valeurs et de l'éthique. Il a notamment examiné son programme en cette matière, la nouvelle Directive sur les conflits d'intérêts et les résultats du sondage auprès des fonctionnaires fédéraux (SAFF).

Le CV a été heureux d'en apprendre davantage sur les travaux visant à renforcer le programme de valeurs et d'éthique de l'organisme. Celui-ci, qui comprend la formation et la communication, l'alignement des politiques et des programmes et la direction, réunit les pratiques et les processus de valeurs et d'éthique, qu'ils soient existants ou nouvellement conçus. À titre d'exemple, le nouveau programme englobe l'exigence actuelle prévoyant que les nouveaux employés doivent suivre une formation en valeurs et éthique dans le cadre de l'orientation sur le CPVP. Il comprend aussi l'exigence actuelle selon laquelle tous les employés doivent confirmer qu'ils adhèrent au Code de valeurs et d'éthique lors du processus annuel d'entente de rendement.

La nouvelle Directive sur les conflits d'intérêts mise en place par l'organisme en 2014 est un exemple des éléments liés aux valeurs et à l'éthique qui sont venus s'ajouter au programme global. Elle est conçue de façon à permettre aux employés de reconnaître, de façon claire et uniforme, les situations où il y a ou peut y avoir un conflit d'intérêts réel ou perçu, et de les régler. Les membres ont recommandé que la direction communique les messages clés de la directive et s'en serve dans les communications internes à titre de rappel constant et pratique au personnel concerné. Le CV est impatient de passer en revue les résultats de la mise en œuvre de cette nouvelle directive en 2016-2017.

En intégrant les pratiques et les processus de valeurs et d'éthique dans un programme consolidé, le CPVP est bien positionné pour appuyer, favoriser et veiller au maintien d'une solide culture de la fonction publique au sein du personnel. Les résultats du récent SAFF soulignent la culture positive en vigueur au CPVP. Dans la plupart des domaines abordés par le sondage, celui-ci a obtenu un résultat supérieur à la moyenne de la fonction publique. Le seul domaine où ce n'était pas le cas était celui du manque de possibilités d'avancement professionnel, un problème courant dans les petits organismes.

Les membres du CV sont satisfaits du leadership et du travail continus de la direction en vue d'élaborer, de mettre en œuvre et d'entretenir un code de valeurs et d'éthique sain pour l'organisme.

4.2 Gestion des risques

Un des éléments clés des mécanismes formels de gestion des risques du CPVP reste le profil de risque de l'organisation (PRO) que le Commissariat passe en revue et perfectionne d'année en année. Le PRO résume les risques stratégiques de l'organisme qui nécessitent une prise en charge et une surveillance continues. Il constitue un élément essentiel à la bonne marche du processus de planification stratégique de l'organisme ainsi qu'à l'élaboration du Rapport sur les plans et les priorités (RPP) du CPVP, un document de responsabilisation clé du processus d'examen des prévisions budgétaires.

Au cours de l'année, le CV a examiné avec la direction les principaux énoncés de risque de l'organisme ainsi que leur intégration dans le PRO. Les membres ont formulé des commentaires et des suggestions afin de préciser certains textes et de s'assurer que, pour chaque risque, on surveille les bons indicateurs.

Au cours de l'année à venir, le CV compte fournir des conseils sur l'utilisation de la prise en compte du risque pour l'élaboration et la mise en œuvre de plans d'action pour réaliser les nouvelles priorités du commissaire pour la protection de la vie privée.

4.3 Cadre de contrôle de gestion

L'examen du cadre de contrôle de gestion (CCG) du CPVP par le CV en cours d'année était axé sur les contrôles internes, la gestion du rendement, les résultats de l'évaluation des menaces et des risques, le cadre de responsabilisation de gestion (CRG), la gestion des ressources financières et l'établissement des rapports financiers trimestriels.

Contrôles internes

Les membres ont examiné les divers éléments des contrôles internes du CPVP tout au long de l'année, y compris les contrôles internes en matière de rapports financiers (CIRF). Bien que l'on s'attende à obtenir les résultats de l'examen des CIRF de l'année en cours au début du prochain exercice financier, les membres ont discuté de l'approche adoptée. Ils ont favorisé l'utilisation des résultats antérieurs pour déterminer la portée des prochains examens prévus, ainsi que le moment de l'exécution de ceux-ci. De plus, ils ont recommandé que les résultats présentés au CV durant l'année à venir mettent l'accent sur toute lacune cernée et sur les mesures proposées par la direction pour combler ces lacunes en temps voulu.

Cadre de contrôle de la gestion financière (CCGF)

Reconnaissant la grande importance d'une saine gestion financière, le CPVP a mis au point un cadre de contrôle de la gestion financière (CCGF). Celui-ci décrit les normes de gestion financière et les attentes de l'organisme, conformément aux exigences législatives, politiques et connexes. Les membres ont félicité la direction pour la rédaction de ce document et ont recommandé qu'il soit communiqué et intégré efficacement à l'organisme au moyen d'un processus en place, comme le processus de planification annuel.

Évaluation des menaces et des risques

Au cours de l'année, les membres ont reçu de l'information sur les initiatives qui ont constitué le cadre de l'évaluation des menaces et des risques (EMR), y compris les examens internes et externes sur un incident au cours duquel un disque dur a été perdu et les améliorations apportées au réseau du CPVP pour régler des problèmes de sécurité. Grâce à l'EMR, la direction a cerné des problèmes de sécurité du réseau et les a réglés en adoptant une solution économique répondant aux besoins du CPVP. D'autres ministères et organismes fédéraux l'étudient pour s'en servir comme modèle, ce qui témoigne admirablement de l'ingéniosité de la Direction générale de la GI-TI du CPVP. La direction a élaboré un plan d'action pour s'occuper d'autres points à améliorer en temps utile et d'une façon qui réduit au minimum les risques, tout en facilitant la conduite des opérations.

Auto-évaluation fondée sur le cadre de responsabilisation de gestion

À titre d'agent du Parlement, le Commissariat n'est pas tenu de se soumettre à une évaluation fondée sur le Cadre de responsabilisation de gestion (CRG) du Secrétariat du Conseil du Trésor. Cependant, reconnaissant l'importance de continuer d'améliorer les processus et les pratiques de gestion, la direction se sert du cadre du SCT pour effectuer semestriellement une auto-évaluation fondée sur le CRG.

En 2014-2015, le SCT a remanié l'évaluation fondée sur le CRG en adoptant une plus petite série de domaines qu'il prévoyait évaluer. La direction du CPVP s'est servie de ce nouveau cadre pour évaluer ses pratiques de gestion actuelles. Les membres ont été informés de cette nouvelle méthodologie et des résultats de l'auto-évaluation, et ont été heureux de constater que l'on n'a pas constaté de lacunes ou de problèmes importants.

Gestion des ressources financières

La gestion des ressources financières est cruciale pour la gestion efficace des ressources de l'organisme. Au fil des ans, la direction générale de la gestion intégrée (DGGI) a apporté plusieurs améliorations dans ce domaine et, au cours de l'année, a continué à renforcer les pratiques organisationnelles connexes. Cela incluait l'introduction d'un indicateur de rendement lié aux prévisions financières dans les ententes de gestion du rendement (EGR) des membres de la direction. Grâce à ces efforts, le CPVP est parvenu à gérer ses ressources pour 2014-2015 en se conformant aux prévisions. Une partie non utilisée des fonds liés au déménagement de l'administration centrale a été subséquemment appliquée au prêt connexe, de manière à réduire les coûts liés au remboursement de ce prêt.

Bien que les ressources aient été gérées conformément aux exigences, le CV a constaté que certains aspects des principales activités de l'organisme (c.-à-d. enquêtes de la Loi sur la protection des renseignements personnels) semblent être financés au moyen du report sur les exercices ultérieurs et de crédits non utilisés de l'année en cours. Les membres ont recommandé que l'on se penche sur la question pour éviter que le CPVP crée un déficit structurel par l'utilisation des crédits non utilisés de l'année en cours pour financer les pressions à long terme.

Rapports financiers trimestriels

Le CV a examiné les 1er, 2e et 3e rapports financiers trimestriels du CPVP et lui a fourni des commentaires et des conseils. Même si le format de présentation de ces rapports est prévu par le SCT, les membres ont estimé que les rapports de l'année en cours étaient une fois de plus succincts et exhaustifs. Aucune préoccupation majeure n'a été soulevée.

4.4 Fonction de vérification interne

4.4.1 Gouvernance

La fonction de vérification interne du CPVP appuie les activités de programme du Commissariat et le dirigeant principal de la vérification (DPV), qui est aussi le dirigeant principal des finances, relève directement du commissaire. Le mandat, les rôles, les responsabilités et les pouvoirs de la fonction sont décrits dans la Charte de vérification interne du CPVP, dont l'approbation est recommandée par le CV et qui est approuvée officiellement par le commissaire. La Charte a fait l'objet d'un examen par le CV en juin 2014 et, après quelques modifications mineures, a été recommandée aux fins d'approbation par le commissaire à la réunion de novembre.

Au CPVP, le personnel de vérification interne est constitué de la directrice de la planification organisationnelle et des pratiques de gestion, qui relève du DPV. Ce dernier, qui est aussi le dirigeant principal des finances et le directeur général de la Gestion intégrée, relève directement du commissaire.

Pour augmenter la capacité interne et appuyer l'autonomie de la fonction de vérification, le CPVP continue de partager ses responsabilités liées à l'élaboration du Plan de vérification fondé sur le risque (PVR) et ses missions individuelles en matière de vérification interne avec une entreprise de services professionnels indépendante. Cette entente permet au CPVP de conserver son rôle de contrôle et de supervision de la fonction et de tirer parti de l'expertise et de l'expérience de ses professionnels de la vérification interne. La présidente du CV, qui est comptable agréée, possède une vaste expertise en matière de vérification interne. Elle peut donc partager ses compétences techniques et offrir des directives et des conseils afin de soutenir l'amélioration de cette fonction, son indépendance et sa surveillance tout au long de l'année.

Comme l'exige la politique, le DPV doit soumettre un rapport annuel au CV et au Commissariat. Le CV, reconnaissant que la fonction de vérification interne du CPVP est très petite et qu'il y a un risque de chevauchement entre le Rapport annuel du CV et le rapport annuel du DPV, a appuyé l'approche du DPV qui consiste à déposer un rapport annuel simplifié. Le CV a discuté du rapport annuel 2013-2014 du DPV. Bien qu'aucun problème ni aucune préoccupation n'aient été soulevés, le CV a recommandé que le rapport du DPV comprenne désormais un court passage expliquant son point de vue sur les forces et les occasions d'amélioration relativement aux processus et aux pratiques de gestion du CPVP.

À la réunion de mars, au cours d'une rencontre à huis clos avec le commissaire, les membres externes ont fourni des commentaires à propos de l'évaluation du rendement du DPV.

4.4.2 Missions de vérification interne et plan axé sur les risques

Au cours de l'année, le CV a discuté du Plan de vérification axé sur les risques (PVR) de 2013-2014 à 2015-2016 pour déterminer les modifications requises pour 2014-2015. À la suite d'un examen et d'une discussion, y compris la recommandation de la direction de diviser en deux la vérification de la Loi sur la protection des renseignements personnels (LPRP) et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) en deux, en mettant l'accent d'abord et avant tout sur les enquêtes de la LPRP, les membres ont approuvé les modifications au plan pluriannuel. Au cours de la planification subséquente de cette vérification, y compris des discussions plus poussées avec le commissaire, on a décidé de recadrer ce projet pour en faire un examen de haut niveau du processus d'enquête de la LPRP. Le CV a été informé de la raison de cette modification et a approuvé l'approche adoptée.

En plus de commencer le projet susmentionné, le Commissariat a effectué la vérification de la gouvernance de la GI-TI au cours de l'année. À la suite du processus de planification, auquel des gestionnaires de tout l'organisme ont participé pour cerner et évaluer les risques liés à la gestion et à la technologie de l'information, on a déterminé que la vérification interne mettrait l'accent sur la gouvernance de la TI. Étant donné que ce domaine concerne la DGGI, la présidente du Comité de vérification a pris part plus activement à cette mission. Il a notamment participé à l'atelier sur le risque et examiné la note de service sur la planification de la vérification et l'ébauche du rapport de vérification, puis a formulé ses commentaires et des recommandations. Lors de la réunion du CV en mars, après une discussion sur l'ébauche ainsi que sur la réponse de la direction et le plan d'action, les membres ont recommandé au commissaire d'approuver le rapport.

4.4.3 Inspection des pratiques

Une inspection externe des pratiques a eu lieu en 2014-2015, conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada (les Normes). Le CV a examiné les résultats de cette inspection menée par une entreprise externe ayant une longue expérience dans le domaine. Les membres ont été heureux de constater que, même si le CPVP est un petit organisme, il respecte essentiellement les normes requises dans tous les domaines, avec seulement trois possibilités d'amélioration. La direction a présenté et abordé toutes les mesures découlant de cette inspection avant la fin de l'exercice. Celles-ci incluaient un cadre de mesure du rendement (CMR) servant à aider à surveiller le rendement de la fonction et régler tout problème constaté en temps opportun.

Le CV demeure très satisfait du travail de la directrice de la planification organisationnelle et des pratiques de gestion, qui gère la fonction de vérification interne de façon efficace et de manière à répondre aux besoins du CPVP.

4.5 Certificateurs externes

Chaque année, le Bureau du vérificateur général (BVG) vérifie les états financiers du Commissariat en vue de formuler une opinion sur ceux-ci. Des représentants du BVG ont assisté à la réunion de mars afin de discuter du plan annuel de vérification des états financiers 2014-2015 du CPVP.

Le directeur principal de la vérification du BVG et le chef de mission de vérification ont pris part à la réunion du CV d'août 2014 afin d'examiner les états financiers ayant été vérifiés et la lettre de déclaration de la direction, y compris l'annexe liée aux contrôles internes exercés en matière de rapports financiers (CIRF). Le rapport du BVG au CV, qui expose les résultats annuels de la vérification pour l'année financière se terminant le 31 mars 2014, a été l'un des documents clés examinés et abordés au cours de cette réunion. Pour la dixième année consécutive, le BVG a livré une opinion non modifiée^{Note de bas de page 3} sur les états financiers. Il n'a constaté aucun point faible important en ce qui concerne les contrôles internes, et n'a fourni aucune lettre à la direction. À la suite d'une discussion approfondie, les membres ont recommandé de mentionner la perte du disque dur dans l'annexe avec les mesures clés prises pour atténuer les risques liés à cette perte. Par la suite, ils ont recommandé officiellement au commissaire d'approuver les états financiers 2013-2014.

4.6 Suivi des plans d'action de la direction

Le CV surveille les progrès accomplis par la direction dans la mise en œuvre des plans d'action découlant de rapports de vérification interne, et ce, jusqu'à ce que toutes les recommandations aient été mises en œuvre de façon satisfaisante ou qu'elles ne soient plus pertinentes. Chaque semestre, le CV reçoit et passe en revue un rapport portant sur les progrès de la direction pour la mise en œuvre des mesures en suspens.

Comme l'indique le tableau ci-dessous, au 1er avril 2014, quatre recommandations restaient en suspens. Trois d'entre elles ont été mises en œuvre avant la mi-mars; on s'attend à ce que la recommandation finale soit terminée peu après. Le CV a examiné la raison des retards de la mise en œuvre ainsi que les plans de la direction pour réaliser les dernières recommandations en suspens. Dans les rapports fournis tout au long de l'année, et lors des discussions consacrées à l'état des recommandations en suspens, le DPV a donné l'assurance qu'il n'y a aucun risque considérable pour l'organisme en raison de ces retards.

Tableau 1 - État de la mise en œuvre du RPAD 2014-2015

Titre du projet	Année	Nombre de rec. formulées	Nombre de rec. en suspens le 1er avril 2014	État 2014-2015
				Mise en œuvre complète	Sur la bonne voie	Retardé	Nombre de rec. en suspens le 24 mars 2015
Vérification de la réponse aux demandes de renseignements	2010-2011	4	1	0		1	1
Examen des pratiques de gestion pour les pratiques de partage de l'information	2012-2013	6	3	3			0
Totaux		10	4	3		1	1

4.7 États financiers

Puisque le commissaire est un agent du Parlement, le BVG vérifie les états financiers du Commissariat pour tous les exercices. Le CV s'est entretenu avec le BVG en août afin d'examiner les états financiers vérifiés 2013-2014 du CPVP. Le CV a recommandé que le commissaire approuve ces états financiers.

4.8 Reddition de comptes

Les membres du CV ont examiné la version préliminaire du Rapport ministériel sur le rendement (RMR) 2013-2014 et la version préliminaire du Rapport sur les plans et les priorités (RPP) 2015-2016 du Commissariat. Les membres du CV ont formulé des conseils et des recommandations à la direction avant que les rapports soient approuvés par le commissaire.

5.0 Regard sur l'avenir

Au cours de l'année à venir, le Comité continuera d'assurer la surveillance de ses huit secteurs de responsabilité et portera une attention particulière aux éléments suivants :

• Mesure des risques et du rendement par rapport à la mise en œuvre des nouvelles priorités sur la protection de la vie privée.
• Prestation de conseils sur les mesures stratégiques du rendement à l'appui de la prise de décisions de la direction.
• Examen des résultats de l'examen des CIRF et de tout plan d'action de la direction visant à régler un problème constaté.
• Examen continu de la gestion des ressources financières et prestation de conseils connexes.

Annexe A – Mandat du Comité de vérification interne

1. INTRODUCTION

Le présent document décrit la raison d'être, les responsabilités, la composition et le mode de fonctionnement du Comité de vérification (CV) du Commissariat à la protection de la vie privée du Canada (CPVP).

Le CV est un élément essentiel du régime de vérification interne établi au sein du CPVP, et il est inspiré de la Politique de vérification interne du Conseil du Trésor, qui est entrée en vigueur le 1^er avril 2006^{Note de bas de page 1}, et de l'entente conjointe du Groupe de travail des hauts fonctionnaires du Parlement^{Note de bas de page 2}. Cette dernière renforce le statut du commissaire en tant que haut fonctionnaire du Parlement.

Les membres du Groupe de travail des hauts fonctionnaires du Parlement se sont entendus sur le fait que les systèmes, les processus et l'infrastructure de vérification interne de chacun des bureaux du Parlement devraient respecter la Politique en matière de vérification interne du gouvernement, compte tenu toutefois de leur statut indépendant, du fait qu'ils sont relativement petits et du rôle de surveillance joué par le Comité consultatif parlementaire à l'égard du financement des hauts fonctionnaires du Parlement.

2. MANDAT

Le CV fournit au commissaire des recommandations et des avis objectifs en ce qui concerne la convenance, la qualité et les résultats de la certification touchant la pertinence et le fonctionnement des cadres et des processus de gestion des risques, de contrôle et de gouvernance du CPVP (y compris les systèmes de responsabilisation et de vérification). Ce travail appuie le rôle du commissaire en tant qu'agent comptable du CPVP auprès du Parlement.

Pour offrir ce soutien au commissaire, le CV examine, en portant particulièrement attention aux risques, les principaux domaines des processus de gestion, de contrôle et de responsabilité du CPVP de façon intégrée, de manière à ce que les résultats des vérifications internes puissent être intégrés aux processus d'établissement des priorités et de planification stratégique. Par conséquent, le travail du CV renforce la qualité et la fiabilité de l'information financière et de l'information sur le rendement utilisées par les gestionnaires du CPVP dans le cadre de la prise de décisions et de la reddition de comptes et, par le fait même, il contribue au renforcement de la responsabilité de gestion. Le CV sert également à consolider l'indépendance, l'efficacité et la responsabilité du dirigeant principal de la vérification.

En outre, le CV donne des conseils et des recommandations à la demande du commissaire

3. REPRÉSENTATION ET COMPOSITION DU COMITÉ

3.1 Composition

Le commissaire est chargé d'établir un comité de vérification indépendant pour le Commissariat. Ce comité comprend trois membres. Deux d'entre eux sont des membres de l'extérieur qui ne font pas partie de la fonction publique fédérale, et le commissaire est membre d'office. Le dirigeant principal de la vérification (DPV) et dirigeant principal des finances (DPF) assiste à toutes les réunions.

Il incombe au commissaire de choisir le président, les membres et le secrétaire du CV. Tous les membres doivent être compétents en matière financière, ou le devenir dès la première année de leur mandat, et avoir une bonne connaissance des rapports financiers dans le secteur privé ou public. Au moins un d'entre eux est un expert financier qui possède une accréditation d'une association de comptables professionnels.

Les membres doivent être indépendants et le démontrer par l'absence d'intérêts personnels et financiers réels ou perçus, directs ou indirects, de leur part ou de celle de leur famille, de leurs associés ou de leurs concurrents, ET par leur capacité personnelle à amener la direction, le DPV et les vérificateurs externes à examiner les pratiques et les sujets de préoccupation. Cette exigence va jusqu'à imposer aux membres de signaler les rapports et les pratiques qui leur semblent incompatibles avec les faits ou les pratiques inacceptables - même lorsque leurs collègues du CV sont enclins à passer outre. Les membres ont donc l'obligation d'informer le commissaire directement dans de tels cas. La protection de l'indépendance peut conduire à un accord mutuel pour mettre un terme à la nomination.

Chaque année, les membres externes du CV doivent déclarer qu'ils sont indépendants et qu'ils n'ont aucun conflit d'intérêts.

3.2 Présentation de rapports

Le président représente le CV lors des réunions périodiques avec le commissaire.

3.3 Durée du mandat

Les membres sont nommés pour un mandat de quatre ans renouvelable une seule fois. Afin d'assurer la continuité, les mandats peuvent être échelonnés et certaines nominations peuvent avoir une durée de moins de quatre ans.

4. RÉUNIONS

4.1 Fréquence

Le CV doit se réunir deux ou trois fois par année, en personne ou par téléconférence, et davantage de réunions sont organisées si le président le juge nécessaire. Le calendrier des réunions sera généralement établi six mois d'avance de manière à ce que la direction du CPVP et les vérificateurs internes puissent préparer l'information et les rapports nécessaires au travail du CV. La date des réunions n'est modifiée qu'à titre exceptionnel.

4.2 Quorum

Il est établi par une majorité des membres. Les remplacements sont interdits.

4.3 Préparation et participation des membres

Pour améliorer l'efficacité des réunions du CV, chaque membre doit :

• consacrer le temps nécessaire à la préparation et à la participation à chaque réunion; il doit lire les rapports et les documents de référence fournis pour la réunion;
• maintenir un excellent dossier de participation aux réunions.

4.4 Participation des non-membres

Le dirigeant principal de la vérification assiste à toutes les réunions du CV. Le président peut demander la présence d'autres cadres supérieurs. Au besoin, il demande qu'un représentant principal des certificateurs externes assiste aux réunions du CV pour discuter des plans et constatations ainsi que d'autres questions d'intérêt mutuel.

4.5 Procès-verbaux des réunions

Le compte rendu de chaque réunion est conservé. Il contient la liste des personnes présentes, un résumé des décisions prises et un aperçu des points discutés. Le compte rendu est approuvé par le CV et signé par le président au nom de celui-ci.

4.6 Réunions à huis clos

À chacune de ses réunions, le CV doit tenir une réunion à huis clos avec le DPV/DPF, le représentant des certificateurs externes, lorsqu'il est présent, et tout autre représentant que le Comité décide de convoquer.

4.7 Plan annuel du CV

Le président, après consultation des autres membres du comité, préparera un plan à l'intention du commissaire, qui garantira que les responsabilités du CV sont pleinement prises en compte et assumées.

4.8 Examen du mandat du Comité

Le CV doit examiner périodiquement son mandat et, si des modifications y sont apportées, elles doivent être soumises à l'approbation du commissaire.

5. RESPONSABILITÉS

L'ordre de priorité des principaux secteurs de responsabilité décrits ci-après, ainsi que l'importance particulière devant être accordée à chacun, est déterminé par le commissaire de concert avec le CV. Ainsi, on tient compte du mandat, des objectifs et des priorités du CPVP, ainsi que des risques connexes auquel il est exposé.

Vous trouverez ci-dessous les principaux secteurs de responsabilité qui relèvent du mandat du CV, et qui devront être examinés en tenant dûment compte des risques et selon un cycle approprié.

5.1 Valeurs et éthique

Le CV doit examiner les systèmes et les pratiques du CPVP établis par le commissaire pour surveiller la conformité aux lois, aux règlements, aux politiques et aux normes en matière d'éthique, ainsi que formuler des conseils à ce sujet, pour relever et régler toutes les violations des lois et des règles d'éthique. Cela peut également inclure les dispositions établies par la direction pour mettre en valeur et promouvoir les valeurs de la fonction publique et veiller au respect des lois, des règlements, des politiques et des normes d'éthique.

5.2 Gestion des risques

Le CV doit examiner les mesures de gestion du risque mises en place par le CPVP et donner des avis à ce sujet.

5.3 Cadre de contrôle de la gestion

Le CV doit passer en revue les mécanismes de contrôle interne du CPVP, donner des conseils à ce sujet et être informé sur toute question d'importance découlant du travail réalisé par d'autres prestataires des services d'assurance à la haute direction et au commissaire.

5.4 Fonction de vérification interne

Le CV doit :

• recommander et revoir périodiquement la charte du CPVP pour la vérification interne aux fins de son approbation par le commissaire;
• fournir au commissaire des conseils sur la convenance des ressources affectées à la fonction de vérification interne;
• examiner et recommander aux fins d'approbation par le commissaire le Plan de vérification axé sur les risques (PVR);
• surveiller et évaluer le rendement de la fonction de vérification interne;
• conseiller le commissaire sur le recrutement et la nomination ainsi que sur l'évaluation du rendement du chef de la vérification interne;
• examiner et recommander, aux fins d'approbation par le commissaire, les rapports de vérification interne et les plans d'action de la gestion correspondants qui donnent suite aux recommandations;
• être informé des missions ou des tâches en vérification qui n'entraînent pas la présentation d'un rapport au CV et être informé aussi, par le niveau approprié de la gestion, de toutes les questions importantes associées à ces travaux;
• examiner les rapports périodiques faisant état des progrès réalisés dans l'exécution du plan de vérification fondé sur les risques.

5.5 Certificateurs externes

Le CV doit être informé de ce qui suit et en aviser le commissaire :

• tous les travaux de vérification concernant le CPVP qui seront réalisés par des prestataires externes de services d'assurance, notamment la réponse de la direction;
• les questions et les priorités de vérification soulevées par les certificateurs externes.

5.6 États financiers et rapports des comptes publics

Le CV examine les principaux rapports de gestion financière du CPVP et les informations à fournir, y compris les rapports financiers trimestriels, les états financiers annuels et les comptes publics, et conseille le commissaire à ce sujet.

Le CV examine également la Déclaration annuelle de responsabilité de la direction, y compris les contrôles internes applicables aux rapports financiers, et conseille le commissaire quant aux plans d'évaluation axés sur les risques et aux résultats connexes concernant l'efficacité du système des contrôles internes applicables aux rapports financiers.

Comme les états financiers du CPVP sont vérifiés par le BVG, le CV doit :

• examiner les états financiers en collaboration avec le vérificateur externe et la haute direction et discuter de toute estimation comptable importante et des corrections s'y rapportant, de toute correction devant être apportée aux états financiers à la suite de la vérification, ainsi que de toute difficulté ou de tout différend avec la direction survenu durant la vérification;
• se pencher sur les lettres de la direction découlant de la vérification externe;
• prendre connaissance des constatations et des recommandations du vérificateur au sujet des contrôles internes mis en place pour la production de rapports financiers, et en vérifier les effets sur les processus de contrôle, de gestion des risques et de gouvernance.

5.7 Suivi des plans d'action de la direction

Le CV examine les rapports périodiques sur les progrès réalisés dans la mise en œuvre des plans d'action de la direction approuvés, élaborés à partir des recommandations formulées dans le cadre de vérifications internes précédentes, ainsi que les plans d'action de la direction découlant des travaux des prestataires externes de services d'assurance.

5.8 Rapport de reddition de comptes

Le CV doit obtenir copie du Rapport sur les plans et les priorités, du Rapport ministériel sur le rendement et de tout autre rapport important de reddition de comptes. Ces rapports déterminent le contexte des délibérations du CV et des avis à donner au commissaire. Au fil du temps, lorsqu'il examinera ces documents à tour de rôle, le CV devra relever toutes les erreurs ou omissions importantes et formuler des avis à cet égard.

6. OPÉRATIONS

6.1 Accès

Le CV a libre accès au dirigeant principal de la vérification ainsi qu'aux autres employés du Commissariat et aux documents requis, sous réserve des dispositions législatives pertinentes, pour s'acquitter de ses fonctions. Le DPV a libre accès au CV et à son président.

6.2 Orientation, formation et éducation continue des membres du CV

Les membres doivent recevoir une orientation et une formation en bonne et due forme au sujet des responsabilités et des objectifs du CV et des activités du CPVP.

6.3 Soutien

La fonction de vérification interne fournit au CV le soutien nécessaire pour s'acquitter de ses responsabilités et exercer ses fonctions. Il a aussi le pouvoir d'obtenir de l'aide et des conseils indépendants. Le soutien accordé au CV se situe aux niveaux suivants :

• les tâches administratives (p. ex. préparation et distribution des ordres du jour, des comptes rendus et des documents des réunions);
• le soutien au CV pour effectuer son travail;
• le soutien au CV dans l'évaluation de son rendement;
• le soutien au CV dans sa reddition de comptes;
• le soutien dans l'orientation des nouveaux membres.

6.4 Obligation d'informer et obligation de démissionner - Désaccord

Si un membre a avec un autre membre une d'opinions qui ne peut être résolue par le président, ou s'il a une divergence d'opinions non résolue avec le président, pourvu que cette divergence, du point de vue du membre, ait ou risque d'avoir un impact négatif substantiel sur la qualité de l'information rapportée ou sur l'intégrité des opérations du CPVP, ou qu'elle implique le comportement douteux d'un individu, ce membre procéder comme suit :

• porter la question à l'attention du commissaire dans un délai raisonnable;
• si le commissaire est incapable de résoudre la question et que le membre est d'avis que celle-ci demeure, le membre a l'obligation de démissionner.

7. ÉVALUATION DU RENDEMENT DU COMITÉ

Le CV doit auto-évaluer périodiquement son rendement en vue de l'amélioration continue de l'exercice de ses responsabilités. Son rendement doit aussi faire partie de l'évaluation externe de la fonction de vérification interne, qui sera effectuée au moins tous les cinq ans par un vérificateur indépendant.

8. RAPPORT ANNUEL

Les membres indépendants du CV présentent un rapport annuel destiné au commissaire qui :

• résume les résultats de l'examen du CV quant aux secteurs de responsabilité;
• fournit l'évaluation des membres indépendants et formule des recommandations, au besoin, sur la capacité, l'indépendance et le rendement de la fonction de vérification interne;
• exprime uniquement et exclusivement l'opinion des membres indépendants, même si des représentants du CPVP ont aidé à la préparation du rapport.

9. APPROBATION DU MANDAT DU COMITÉ

 

 

Annexe B – Plan annuel 2014-2015

No	Description des mesures de suivi du CV	But/mesure	Fréquence	T1 Avril-juin	T2 Juillet-août	T3 Oct.-déc.	T4 Janv.- mars	Autres	Commentaires/Éléments pour considération
Infrastructure du CV
1	Mandat du CV	Examen et recommandation de l'approbation par le commissaire	Périodique	1					Dernière mise à jour en 2012-2013 à la suite de modifications apportées aux politiques et entrées en vigueur le 1er avril 2012.
2	Plan annuel du CV (pour le prochain exercice)	Examen et recommandation de l'approbation par le commissaire	Annuelle	1					Exigé chaque année pour déterminer la charge de travail annuelle du CV.
3	Établissement du calendrier des réunions du CV	Approbation	Tous les 6 mois			1		1	Effectué tous les six mois, puisqu'il n'est pas pratique de fixer les réunions trop tôt - souvent effectué entre les réunions plutôt que pendant celles-ci.
4	Besoins en matière d'orientation et de développement professionnel	Détermination	Périodique						Les membres répertorient et suivent les cours et les possibilités de développement professionnel continu au besoin.
Responsabilités de surveillance de la vérification interne
5	Charte de la vérification interne	Examen et recommandation de l'approbation par le commissaire	Périodique						Dernière mise à jour en 2012-2013 à la suite de modifications apportées aux politiques et entrées en vigueur le 1er avril 2012.
6	Caractère adéquat des ressources de vérification interne	Surveillance	Annuelle				1		Partie intégrante de l'approbation du plan pluriannuel de vérification interne.
7	Plan de vérification interne axé sur les risques (PVAR)	Examen et recommandation de l'approbation par le commissaire	Annuelle				1		Le CV participe au processus d'élaboration et examine l'ébauche du PVAR et en recommande l'approbation par le commissaire.
8	Rendement de la fonction de vérification interne et du DPV	Suivi et évaluation	Annuelle				1		Les commentaires du CV sont destinés à être incorporés dans l'évaluation du rendement annuelle du DPV. Réalisé au moyen d'une discussion à huis clos avec le commissaire à notre dernière réunion de l'année.
9	Rapports de vérification interne et réponses et plans d'action correspondants de la direction	Examen et recommandation de l'approbation par le commissaire	Continue				1		Selon le moment où sont effectuées les vérifications internes connexes.
10	Rapports d'étape en fonction du plan de vérification interne	Réception et examen	Continue	1		1	1
11	Rapport annuel du DPV	Réception et examen	Annuelle	1
Autres responsabilités
12	Valeurs et éthique	Examen et communication de conseils	En tenant compte des risques et selon un cycle approprié	1					Examiner la stratégie générale du CPVP en matière de valeurs et d’éthique et la Directive sur les conflits d’intérêts, et en discuter.
13	Gestion des risques	Examen et communication de conseils	En tenant compte des risques et selon un cycle approprié			1			Le profil de risque devrait suivre à la réunion d’automne qui coïncide avec le processus de planification stratégique du CPVP. Le CV devra examiner les résultats de l’évaluation de la menace et des risques (EMR) et en discuter.
14	Cadre de contrôle de gestion	Examen et communication de conseils	En tenant compte des risques et selon un cycle approprié	1		1		1	Le CV doit examiner le plan de vérification des contrôles internes sur les rapports financiers, ainsi que les résultats de l'examen des contrôles de la paie (qui doit avoir lieu à la réunion du printemps). Il doit examiner les mesures notées après l'auto-évaluation de 2014-2015 fondée sur le CRG. On prévoit connaître les résultats de cette auto-évaluation au milieu de l'année. Le CV doit aussi continuer à cerner des possibilités de simplifier les processus ou de les faire différemment pour réaliser des économies en veillant au respect continu des lois et des politiques.
15	BVG, agents du Parlement et organismes centraux	Examen du plan de vérification du BVG et examen et discussion des résultats de la vérification	Semestrielle		1		1		Le BVG participera à la réunion du CV pour discuter de la planification de la vérification des états financiers et une réunion spéciale est tenue à l'été afin de discuter des résultats de la vérification.
16	Suivi des plans d'action de la direction	Examen et communication de conseils	Périodique			1	1		Examen semestriel.
17	États financiers du CPVP	Examen et recommandation de l'approbation par le commissaire	Annuelle		1				Réunion spéciale tenue à l'été où le CV examine les états financiers et les résultats de la vérification du BVG de ceux-ci, et en discute, en plus de fournir des conseils et d'en recommander l'approbation.
18	Rapport de reddition de comptes
	Rapport sur les plans et les priorités (RPP)	Examen et communication de conseils	Annuelle			1			Lien avec les échéances pour la présentation de ces rapports au Parlement.
	Rapport ministériel sur le rendement (RMR)		Annuelle					1
	Rapport annuel concernant la LPRPDE	Examen pour information	Annuelle		1
	Rapport annuel concernant la Loi sur la protection des renseignements personnels		Annuelle			1
Évaluation du Comité
19	Auto-évaluation du Comité	Examen et surveillance de la mise en œuvre de toute mesure prise	Périodique
20	Inspection externe des pratiques	En cours/Examen	Tous les 5 ans	1					Examen des résultats de l'inspection des pratiques et du plan d’action proposé.
Responsabilisation et rapports
21	Rapport annuel du CV	Préparation et résumé pour le commissaire avant la version définitive	Annuelle	1
Nombre total de points à l'ordre du jour du CV				8	3	7	7	3