Audit de la sécurité matérielle : Rapport d’audit interne

Audit de la sécurité matérielle : Rapport d’audit interne
(PDF, 418 Ko)

Projet no 2018-6B300

Juin 2019


Sur cette page

  • Sommaire Exécutif
  • Introduction
  • Objectif de l’audit
  • Portée de l’audit et démarche
  • Constatations de l’audit
  • Conclusion
  • Annexe A : Secteurs d’intérêt et critères d’audit
  • Annexe B : Recommandations et plans d’action de gestion

  • Sommaire Exécutif

    L’objectif de cet audit était d’examiner si Pêches et Océans Canada avait mis en place des processus de gouvernance de la sécurité matérielle et de gestion des risques pour protéger ses employés et ses actifs. Cet audit portait sur la surveillance ministérielle en matière de sécurité matérielle ainsi que sur la planification, la réalisation, la production de rapports et la surveillance des évaluations de la sécurité visant les installations de catégorie 1.

    Principales constatations

    Gouvernance de la sécurité matérielle

    L’audit a révélé que :

    1. Le Ministère finalise actuellement la mise en place d’un Comité d’orientation sur la santé, la sécurité et les services d’urgences qui supervisera la collaboration et les consultations relatives aux politiques sur la sécurité à l’échelle du Ministère entre le quartier général national (QGN), les Services de santé, de sécurité et d’urgence (SSSU) régionaux, la Garde côtière canadienne (Garde côtière) et d’autres secteurs.
    2. Les obligations, rôles et responsabilités liés aux activités de sécurité matérielle ont été définis à l’échelle du Ministère. Toutefois, l’efficacité de la planification et de la collaboration, ainsi que la réalisation des priorités en matière de sécurité, sont limitées par :
      • Une absence de communications régulières entre le bureau de l’agent de sécurité du Ministère (ASM) et les représentants régionaux des SSSU pour collaborer et discuter des initiatives, des priorités et des plans de sécurité.
      • Une planification inadéquate des priorités de sécurité et des activités requises à l’échelle du Ministère par rapport à la capacité et l’aptitude des fonctions régionales des SSSU à les atteindre.
      • Des modèles opérationnels et des modèles de production de rapports des SSSU incohérents entre le QGN et les régions.

    Gestion des risques liés à la sécurité matérielle

    L’audit a révélé que :

    1. Le Ministère a élaboré un plan de sureté, sécurité et de gestion des urgences qui détermine et définit des stratégies afin d’atténuer les risques de sécurité liés à la sécurité des employés, l’information, aux actifs et à la prestation des services essentiels.
    2. Le Ministère a également élaboré un plan et une méthodologie d’évaluation des menaces et des risques pour la réalisation des évaluations de la sécurité. Toutefois, le Ministère ne complètent pas les évaluations de la sécurité des installations de catégorie 1 selon son plan quinquennal. La méthodologie n’est pas appliquée de façon uniforme dans les différentes régions, et les résultats des évaluations de la sécurité des installations ne font pas l’objet d’une surveillance visant à cerner les tendances de risques ou les vulnérabilités pour appuyer la prise de décision en matière de sécurité matérielle à l’échelle du Ministère.

    Conclusion

    L’audit a mené à la conclusion que Pêches et Océans Canada a mis en place des processus de gouvernance de la sécurité matérielle et de gestion des risques pour protéger les employés et les actifs. L’audit a également révélé des possibilités d’amélioration en ce qui concerne :

    • La communication, la collaboration et la planification des activités relatives à la sécurité matérielle entre le QGN, les directeurs généraux régionaux et les fonctions régionales des SSSU.
    • La surveillance des résultats des évaluations de la sécurité des installations pour cerner les tendances de risques ou les vulnérabilités afin de faciliter la prise de décision en matière de sécurité matérielle à l’échelle du Ministère.

    Énoncé de conformité

    Le présent audit a été effectué conformément aux Normes internationales pour la pratique professionnelle de la vérification interne, comme en font foi les résultats du Programme d’assurance et d’amélioration de la qualité de la Direction générale de l’audit interne de Pêches et Océans Canada.

    Introduction

    Cet audit a été entrepris conformément au Plan d’audit axé sur les risques de 2018–2020 de Pêches et Océans Canada. Il s’agit du premier audit de la Direction générale de l’audit interne portant sur les processus de gouvernance de la sécurité matérielle et de gestion des risques au sein du Ministère.

    La Politique sur la sécurité du gouvernement du Conseil du Trésor définit la sécurité du gouvernement comme étant l’assurance que l’information, les biens et les services ne sont pas compromis et que les personnes sont protégées contre la violence en milieu de travail. La Norme opérationnelle sur la sécurité matérielle du Conseil du Trésor fournit les exigences de base pour lutter contre les risques et les menaces liés à la sécurité matérielle qui pèsent sur les employés, les actifs et la prestation des services du gouvernement.

    À l’échelle ministérielle, la Direction des services de santé, de sécurité et d’urgence (SSSU) coordonne les comités de sécurité, élabore les politiques de sécurité, fournit des conseils stratégiques sur la mise en œuvre des politiques et coordonne les activités de planification, de surveillance et de production de rapports relatives à la sécurité ministérielle. La direction est assurée par l’agent de sécurité du Ministère (ASM), qui relève du sous-ministre adjoint (SMA) des Ressources humaines et Services intégrés (RHSI). Bien que la Direction des SSSU soit la direction ministérielle principale, la connaissance et la compréhension de la position et des politiques du Ministère en matière de sécurité sont une responsabilité partagée par tous les employés.

    Pourquoi cet audit est-il important?

    Les mesures de sécurité matérielle visant à protéger les employés, les installations, les actifs et les renseignements font l’objet d’une attention accrue en raison des récents incidents de sécurité survenus au Canada et ailleurs dans le monde. La mesure dans laquelle le gouvernement peut assurer sa propre sécurité a un effet direct sur sa capacité d’assurer la prestation continue de services qui contribuent à la santé, la sécurité, la prospérité économique et à la sûreté des Canadiens. À l’échelle ministérielle, cela exige une gouvernance efficace et la mise en œuvre de mesures visant à assurer la sécurité du personnel, des installations, des actifs et des renseignements du Ministère.

    Cet audit est important pour Pêches et Océans Canada, compte tenu du nombre d’employés que compte le ministère, soit plus de 11 000 personnes [Rapport sur les résultats ministériels de 2017-2018]Footnote 1 ; de la valeur de ses immobilisations, qui dépasse 4,35 milliards de dollars [États financiers pour l’exercice terminé le 31 mars 2018]Footnote 2 ; de la valeur de ses recherches scientifiques et de ses renseignements; de sa large couverture géographique; et de la nature et la portée de son mandat prescrit par la loi.

    Pêches et Océans Canada est le principal organisme fédéral responsable de la gestion des pêches du Canada et de la protection des eaux canadiennes, d’un océan à l’autre et dans l’Arctique. La présence nationale du Ministère s’étend sur six régions géographiques, et il exerce ses activités dans plus de 400 sites, dont plus de 130 bureaux. La Garde côtière canadienne représente la souveraineté maritime du gouvernement du Canada et assure une présence en cas d’urgence dans trois régions qui s’étendent sur un littoral de 243 000 kilomètres; un littoral plus vaste que celui de tout autre pays au monde. Pêches et Océans Canada est chargé de l’application de la Loi sur les pêches et d’autres lois clés. Dans toutes les régions, les agents des pêches ont dû faire face à des confrontations alors qu’ils exerçaient des activités d’application de la loi, et des manifestations ont eu lieu dans des installations du Ministère. Ces incidents témoignent de l’importance des mesures de protection de la sécurité matérielle.

    Objectif de l’audit

    Le présent audit visait à déterminer si Pêches et Océans Canada avait mis en place des processus de gouvernance de la sécurité matérielle et de gestion des risques pour protéger ses employés et ses actifs.

    Portée de l’audit et démarche

    Cet audit portait sur la surveillance ministérielle en matière de sécurité matérielle ainsi que sur la planification, la réalisation, la production de rapports et la surveillance des évaluations de la sécurité visant les installations de catégorie 1. L’audit n’a pas examiné les risques pour la sécurité matérielle relatifs à la conception des installations, aux mesures de contrôle d’accès ou à des aspects précis de sécurité liés aux employés, aux actifs ou à l’information.

    Voir l’annexe A pour connaître les secteurs d’intérêt et les critères d’audit.

    Les travaux d’audit ont été réalisés par les moyens suivants :

    • Des entrevues avec des représentants des Services de santé, de sécurité et d’urgence (SSSU) du Ministère du quartier général national dans les six régions de Pêches et Océans Canada et les quatre régions de la Garde côtière canadienne.
    • Un examen des mécanismes de gouvernance ministérielle chargés de superviser la sécurité, en particulier le Comité d’orientation sur la santé, la sécurité et les services d’urgences;
    • Un examen des plans de sécurité ministériels.
    • Un examen de la méthodologie d’évaluation des menaces et des risques du ministère pour la réalisation des évaluations de la sécurité des installations.
    • Quinze (15) visites d’installations dans quatre régions de Pêches et Océans Canada et quatre régions de la Garde côtière, dans des installations du Ministère sélectionnées où des évaluations de la sécurité ont été effectuées, dont dix (10) classées dans la catégorie 1.

    Les installations de catégorie 1 comprennent des laboratoires, des bureaux, des entrepôts de Pêches et Océans Canada et des bases de la Garde côtière qui ont été classés comme présentant un risque plus élevé et qui, par conséquent, ont fait l’objet d’évaluations de la sécurité des installations conformément au Cadre de responsabilisation de gestion (CRG) du Conseil du Trésor.

    La sélection des installations étaient basée selon la méthode d’évaluation des menaces et des risques (EMR) du Ministère pour le classement des installations. Les installations sont classées sur une échelle en cinq points allant de très élevé (5) à très faible (1) en utilisant des critères de classification fondés sur le risque, notamment la criticité (importance pour les activités), la vulnérabilité (ampleur des mesures de protection, de détection et d’intervention) et le nombre d’employés. Les visites des installations comprenaient des entrevues avec du personnel des Biens immobiliers et des SSSU, ainsi que des procédures pas à pas afin d’observer les mesures de contrôle de sécurité et de déterminer dans quelle mesure les recommandations des évaluations de la sécurité des installations ont été mises en œuvre et sont surveillée.

    Voir l’annexe B pour connaître les recommandations et les plans d’action de gestion.

    Constatations de l’audit

    Gouvernance de la sécurité matérielle

    Les obligations, rôles et les responsabilités en matière de sécurité matérielle ont été définis à l’échelle du Ministère.

    L’audit visait à déterminer si :

    • Les obligations, rôles et les responsabilités en matière de sécurité matérielle ont été définis, documentés et communiqués aux employés des SSSU, tel que exigée par la Directive sur la gestion de la sécurité ministérielle du Conseil du Trésor.
    • Le Ministère a adopté une approche intégrée pour la planification, réalisation et la surveillance des activités en matière de sécurité afin de s’assurer qu’elles sont gérées de manière efficace et efficiente, conformément à la Politique sur la sécurité du gouvernement et à la Directive sur la gestion de la sécurité ministérielle du Conseil du Trésor.

    L’audit a révélé que la Politique du Ministère sur la sûreté, la sécurité et la gestion des urgences et le Plan ministériel relatif à la sûreté, la sécurité et la gestion des urgences du Ministère définissent les obligations, rôles et les responsabilités des employés des SSSU du QGN et des régions.

    La communication, collaboration et la planification entre le QGN et les régions peuvent être améliorées pour favoriser la réalisation des priorités en matière de sécurité matérielle.

    Les entrevues réalisées avec des employés des SSSU du QGN et dans les régions dans le cadre de l’audit ont révélé que l’efficacité de la planification et la collaboration entre les régions et du QGN, ainsi que la réalisation des priorités en matière de sécurité, sont limitées par:

    1. Des communications peu fréquentes entre le bureau de l’ASM et les fonctions régionales des SSSU pour collaborer et discuter des initiatives, priorités et des plans en matière de sécurité. Le bureau de l’ASM n’a pas planifié des téléconférences sur la sécurité chaque mois. Toutefois, cela était en partie attribuable à la participation irrégulière des employés des SSSU régionaux.
    2. Le fait de ne pas avoir effectué d’examen stratégique de la sécurité à l’échelle du Ministère pour déterminer si le modèle opérationnel actuel des SSSU entre le QGN et les régions peut permettre de réaliser les priorités et les plans établis relativement à la capacité de dotation et aux plans de ressourcement actuels.

    L’audit a aussi révélé que :

    1. Les modèles opérationnels et de production de rapports ne sont pas cohérents entre le QGN et les SSSU régionaux, tel que démontré par les exemples suivants :
      • Les SSSU au QGN fonctionnent à titre de direction générale financée séparément depuis avril 2016. Toutefois, au sein de chaque région, les SSSU forment une fonction fusionnée avec Biens immobiliers;
      • Il n’existe pas de liens hiérarchiques fonctionnels ou directs entre les employés des SSSU régionaux et le bureau de l’ASM pour ce qui est de la planification, l’exécution, la production de rapports ou la surveillance des évaluations de la sécurité des installations et des autres activités essentielles liées à la sécurité; et
      • Bon nombre des bureaux régionaux n’ont pas d’agent dévoué à temps plein à la sécurité, ce qui entraîne une répartition des tâches entre plusieurs bureaux et le recours à des ressources externes pour réaliser les évaluations de la sécurité des installations, les enquêtes de sécurité sur le personnel et les autres activités liées à la sécurité.
    2. Année après année, les fonctions régionales des SSSU ne sont pas suffisamment financées pour accomplir les activités prioritaires en matière de sécurité demandées par les directeurs généraux régionaux et par le bureau de l’ASM.
      • Les employés des SSSU régionaux fournissent des services liés à la sécurité aux installations de la Garde côtière, car celle-ci n’a pas d’agent dévoué à la sécurité hors des navires. Toutefois, ni le QGN ni la Garde côtière n’apporte de soutien financier supplémentaire pour couvrir les coûts de ces services, parmi lesquels figurent les évaluations de la sécurité des installations.
      • Pour respecter les priorités en matière de sécurité, la plupart des fonctions des SSSU reçoivent des fonds supplémentaires qui proviennent des budgets régionaux de Biens immobiliers. Cette pratique, nous a t on dit, n’est pas conforme aux pratiques de gestion financière du Ministère, puisqu’elle ne rend pas compte du coût réel des activités des SSSU, et qu’elle limite ainsi la réaffectation des fonds aux autres régions pour les priorités de Biens immobiliers.

    Pendant l’audit, nous avons constaté que le bureau de l’ASM avait entrepris deux initiatives pour améliorer la collaboration entre les fonctions du QGN et les fonctions régionales des SSSU, et pour améliorer les activités des SSSU à l’échelle du ministère :

    1. À l’automne 2018, une réunion nationale des SSSU a eu lieu pour discuter du plan de sécurité ministériel, de la mise à jour de politiques et d’autres priorités liées à la sécurité. Les représentants régionaux des SSSU ont souligné que cette rencontre était un pas vers le rétablissement de relations de travail efficaces avec le bureau de l’ASM. Pour le bureau de l’ASM, cette rencontre a été utile pour comprendre les défis opérationnels auxquels sont confrontées les régions dans la gestion des priorités en matière de sécurité.
    2. À l’été 2018, un cabinet de conseil externe a été embauchée pour évaluer la situation actuelle de la structure, de la gouvernance et des pratiques en matière de prise de décision des SSSU, pour évaluer la répartition et les compétences des employés des régions et du QGN, y compris de la Garde côtière, et pour déterminer les besoins sur le plan de la formation et du soutien. Les résultats de l’évaluation sont attendus au printemps 2019, à la suite des consultations du QGN auprès de Pêches et Océans Canada, la Garde côtière canadienne, des directeurs généraux régionaux et des représentants des SSSU.

    Ces résultats sont importants, car dans l’absence d’une approche intégrée appuyée par la communication et la collaboration, les activités ministérielles relatives aux SSSU ne peuvent pas être planifiées, coordonnées et surveillées de façon efficace, elles ne peuvent pas éclairer la prise de décisions liées à la sécurité, et elles risquent de ne pas être effectuées de façon uniforme à l’échelle du Ministère, ce qui pourrait empêcher la détection ou la prévention d’incidents de sécurité.

    Recommandations :

    1. Le sous-ministre adjoint du Secteur des ressources humaines et des services intégrés devrait envisager la possibilité d’entreprendre, à l’échelle du Ministère, une évaluation stratégique des priorités, des besoins et des ressources en matière de sécurité afin de mieux harmoniser les fonctions du QGN et les fonctions régionales des SSSU.
    2. Le sous-ministre adjoint du Secteur des ressources humaines et des services intégrés, en collaboration avec les directeurs généraux régionaux, devrait mettre en place des mécanismes officiels pour améliorer la communication et la collaboration à l’échelle du Ministère en ce qui a trait aux initiatives liées à la sécurité, et préciser les rôles, les responsabilités et les attentes en matière de rendement.

    Réponse de la direction :

    La direction approuve les recommandations.

    En réponse à la recommandation 1, le sous-ministre adjoint du Secteur des ressources humaines et des services intégrés s’engage à :

    • Diriger une examen organisationnel par une tierce partie de la Direction des services de santé, de sécurité et d’urgence (SSSU) pour évaluer les lacunes dans la structure organisationnelle, la gouvernance et les compétences en matière de sécurité à l’échelle nationale.
    • Préparer une analyse de rentabilisation nationale pour combler les lacunes identifiées dans l’examen mentionné ci-dessus.
    • Examiner et mettre à jour le Plan ministériel relatif à la sûreté, la sécurité et la gestion des urgences (PM-SSGU) et le ressourcement connexe de sorte qu’ils cadrent avec l’analyse de rentabilisation approuvée.
    • Mener un exercice d’établissement des priorités concordant avec le PM-SSGU.

    En réponse à la recommandation 2, le sous-ministre adjoint du Secteur des ressources humaines et des services intégrés, en collaboration avec les directeurs généraux régionaux, s’engage à :

    • Rétablir la structure de gouvernance des SSSU, y compris le comité au niveau des directeurs généraux et les sous-groupes de travail.
    • Examiner et mettre à jour la politique ministérielle sur la santé, la sécurité et la gestion des urgences, y compris les rôles, les responsabilités et les attentes en matière de rendement.

    Un comité de gouvernance est en cours de développement pour superviser les politiques, les priorités et les plans ministériels en matière de sécurité.

    L’établissement d’une gouvernance de la sécurité est une exigence de la Politique sur la sécurité du gouvernement et de la Directive sur la gestion de la sécurité ministérielle du Conseil du Trésor. Cette gouvernance est essentielle pour assurer la coordination et l’intégration de toutes les activités liées à la sécurité au sein des opérations, des plans et des fonctions du Ministère afin de faciliter la prise de décision.

    L’audit avait pour but d’examiner si le Ministère a mis en place des mécanismes de gouvernance pour superviser les activités, politiques, priorités et les plans relatifs à la sécurité, et pour surveiller le rendement des activités liées à la sécurité et en rendre compte.

    Jusqu’à récemment, les questions de sécurité ont été discutées à la table de haute gestion et au Comité chargé des opérations. Le bureau de l’ASM achèvera bientôt la création du Comité d’orientation sur la santé, la sécurité et les services d’urgences. Le mandat de ce comité est d’élaborer et de maintenir un ensemble de politiques de SSSU cohérent et intégré qui répond à la fois aux besoins du Ministère et aux exigences du Conseil du Trésor. Dès le printemps 2019, le Comité d’orientation sur la santé, la sécurité et les services d’urgences supervisera la collaboration en matière de politiques à l’échelle du Ministère et les consultations entre le QGN, les SSSU régionaux, la Garde côtière et d’autres secteurs. Pour l’instant, on ne sait pas avec certitude si l’un des rôles du Comité d’orientation sur la santé, la sécurité et les services d’urgences sera de surveiller les enjeux relatifs à la sécurité matérielle. Toutefois, le sous-ministre adjoint du Secteur des ressources humaines et des services intégrés et le bureau de l’ASM ont été informés qu’à titre de comité de gouvernance de la sécurité du Ministère, il est important que le Comité d’orientation sur la santé, la sécurité et les services d’urgences supervise et surveille tous les aspects pertinents de la sécurité du Ministère, y compris la sécurité matérielle.

    Gestion des risques liés à la sécurité matérielle

    Un plan de sécurité ministériel a été élaboré et il contribue à la détermination et la gestion des risques liés à la sécurité.

    La Politique sur la sécurité du gouvernement et le Cadre de responsabilisation de gestion (CRG) du Conseil du Trésor exigent que les ministères fédéraux élaborent un plan de sécurité ministériel afin de protéger l’intégrité des renseignements, des actifs et des services, et de protéger les personnes contre la violence en milieu de travail.

    L’audit avait pour but d’examiner si le Ministère avait élaboré et mis en œuvre un plan de sécurité ministériel, si des examens périodiques étaient menés pour évaluer l’efficacité et la pertinence du plan par rapport aux besoins du Ministère, et si les cibles et les objectifs stratégiques et de contrôle du plan étaient atteints.

    L’audit a révélé que le Ministère a répondu à cette exigence du Conseil du Trésor en mettant en œuvre son Plan ministériel relatif à la sûreté, la sécurité et la gestion des urgences 2018-2020 (PM-SSGU), lequel détermine et définit des stratégies pour la gestion des domaines de risque de sécurité associés à la sécurité des employés, à la sécurité des renseignements, aux actifs et à la prestation des services essentiels. Le PM-SSGU fait partie intégrante du programme de sécurité du Ministère pour appuyer le processus décisionnel relatif à la gestion et d’assurer l’efficacité des initiatives en matière de sécurité. De plus, il décrit les paramètres de rendement, les résultats attendus, les indicateurs et les échéanciers cibles pour chaque domaine de risque lié à la sécurité.

    La responsabilité de gérer le PM-SSGU a été délégué par le sous-ministre au bureau du ASM, qui est chargé de :

    • Gérer le programme de sécurité du Ministère, ainsi que surveiller et mettre à jour annuellement le PM SSGU en fonction des mesures du rendement, des évaluations et des évaluations de risques.
    • Communiquer les paramètres de rendement aux régions, qui sont chargées d’assurer la surveillance et de produire des rapports à l’échelle régionale, en plus de présenter un rapport annuel sur le rendement au QGN.

    Le Ministère a élaboré un plan et une méthode d’évaluation des menaces et des risques pour la réalisation des évaluations de la sécurité des installations.

    L’audit avait notamment pour but d’examiner si le Ministère avait élaboré un plan et une méthode pour effectuer des évaluations de la sécurité des installations en appui à la gestion des risques liés à la sécurité.

    L’audit a révélé que le Ministère avait élaboré un plan quinquennal (2017-2022) pour effectuer des évaluations de la sécurité des installations dans les 154 emplacements classés comme des installations de catégorie 1, dans le cadre de sa stratégie de préparation des rapports relative à la conformité au CRG. À l’été 2017, le Ministère a élaboré et communiqué une nouvelle méthode d’évaluation des menaces et des risques pour l’ensemble des régions; cette méthode comporte des critères fondés sur le risque pour classer les installations en catégories, un questionnaire révisé sur la sécurité pour effectuer des évaluations de la sécurité des installations, et un outil de production de rapports permettant de consigner les résultats et de suivre les progrès. L’intention était de mettre en œuvre cette méthode et ce plan de façon uniforme dans toutes les régions.

    Toutefois, l’audit a fait trois constatations ayant une impacte sur la réalisation du plan d’évaluation de la sécurité des installations de catégorie 1 du Ministère et sur l’utilisation uniforme de la méthodologie :

    1. Le Ministère ne complètent pas les évaluations de la sécurité des installations de catégorie 1 selon son plan quinquennal.

    Sur les 154 installations de catégorie 1, seulement 33 (21 %) ont fait l’objet d’une évaluation de la sécurité. Les rapports d’évaluation de la sécurité de seulement 21 (64 %) de ces 33 installations ont été communiqués à la gestion des installations – voir la graphique 1. On nous a indiqué que cela était dû aux pressions exercées sur les ressources des fonctions régionales des SSSU, et à la répartition des tâches des agents de sécurité dans plusieurs bureaux régionaux afin d’accomplir les activités prioritaires de sécurité mandatées par les directeurs généraux régionaux et par le bureau de l’ASM.

    Graphique 1 indique par région le nombre d’installations de catégorie 1, le nombre d’installations qui ont fait l’objet d’une évaluation de la sécurité, et le nombre de rapports qui ont été communiqués à la gestion des installations.

    Graphique 1: Taux d’achèvement et de partage de l’évaluation de la sécurité
    Région# d ’installations catégorie 1 sites# d’installations qui ont fait l’objet d’une évaluation de la sécurité# de rapports qui ont été communiqués à la gestion des installations.
    Sommaire1543321
    Pacifique6151
    Centre & Arctique1192
    Québec1333
    Maritimes2966
    Golfe3266
    Terre-Neuve-et-Labrador865
    1. La méthodologie d’évaluation des menaces et des risques du Ministère n’est pas suivie de façon constante par les régions.

    L’audit a révélé des pratiques contradictoires autour des régions en ce qui a trait à l’utilisation du questionnaire pour réaliser les évaluations de la sécurité des installations de catégorie 1, et à l’utilisation de l’outil de production de rapports afin de saisir les résultats au moment opportun. Sur les dix (10) rapports d’évaluation de la sécurité des installations de catégorie 1 examinés, l’équipe d’audit a constaté ce qui suit :

    • Les dix rapports présentaient des problèmes d’intégrité des données découlant de renseignements manquants ou incomplets dans l’outil de production de rapports. Par exemple, aucun des dix rapports ne contenait de recommandations pour les domaines de contrôle de la sécurité indiqués comme étant non conformes, alors que celles-ci devraient être automatiquement générées en cas de non-conformité.
    • Une région effectue ses évaluations de la sécurité des installations de catégorie 1 en utilisant la méthode d’évaluation des menaces et des risques précédente, qui ne contient pas les questions mises à jour. Les résultats saisis dans l’outil de production de rapports sont donc incomplets, et ils ne mettront pas en évidence les cas de non-conformité ni ne fourniront de recommandations à leur égard.
    • Dans une région, trois des cinq rapports d’évaluation de la sécurité terminés n’ont pas été saisis dans l’outil de production de rapports.

    Tous les agents de sécurité régionaux ont indiqué que la méthode d’évaluation des menaces et des risques avait été communiquée et qu’une formation avait été donnée sur l’utilisation du questionnaire d’évaluation de la sécurité révisé et de l’outil de production de rapports, au besoin.

    L’audit a également révélé que les évaluations de la sécurité à l’échelle du Ministère, c’est-à-dire leur réalisation, la production des rapports et la communication des résultats à la gestion des installations, prenaient en moyenne 112 jours – voir la graphique 2. Cette situation a été attribuée au fait que le Ministère n’avait pas de lignes directrices ni de délais établis pour exiger que les rapports d’évaluation de la sécurité soient terminés et communiqués à la gestion des installations dans un délai spécifié.

    Graphique 2 indique que la production des rapports et la communication des résultats à la gestion des installations, prenaient en moyenne 112 jours

    Graphique 2 : Nombre de jours entre l’achèvement et le partage des rapports de l’évaluation de la sécurité avec la gestion immobilière
    Région# de jours entre l’achèvement et le partage des rapports de l’évaluation de sécurité
    Sommaire112
    Pacifique58
    Centre & Arctique122
    Québec196
    Maritimes29
    Golfe40
    1. Les résultats des évaluations de la sécurité des installations ne font pas l’objet d’une surveillance visant à cerner les tendances de risques ou les vulnérabilités pour appuyer la prise de décision en matière de sécurité matérielle à l’échelle du Ministère.

    Mis à part les taux d’achèvement de la production de rapports de conformité associés au CRG, les résultats des rapports d’évaluation de la sécurité des installations ne font pas l’objet d’une surveillance visant à cerner les tendances de risque ou les vulnérabilités pour appuyer la prise de décision en matière de sécurité matérielle à l’échelle du Ministère. Lors de l’examen du processus de production de rapports d’évaluation de la sécurité et des dix rapports d’évaluation de la sécurité des installations, l’équipe d’audit a constaté ce qui suit à l’échelle du Ministère :

    • Il n’existe pas de processus officiel ou uniforme pour l’analyse, la hiérarchisation et la surveillance des tendances de risque ou des vulnérabilités découlant des constatations ou recommandations de non-conformité des rapports d’évaluation de la sécurité, notamment en ce qui concerne les contrôles d’accès aux bureaux, la sécurité du périmètre, les matières dangereuses et le matériel d’urgence, et la sensibilisation à la sécurité. Le format de rapport actuel ne fournit pas d’analyse des vulnérabilités découlant d’une non-conformité et n’assigne pas une cote de priorité aux recommandations en fonction du risque.
    • La mise en œuvre des recommandations de l’évaluation de la sécurité des installations est faible par rapport au nombre de recommandations actuelles. Sur les 212 recommandations relevées dans l’ensemble des rapports d’évaluation de la sécurité des installations de trois régions, seulement 13 (6,1 %) ont été mises en œuvre – voir la graphique 3.

    Graphique 3 indique les 212 recommandations relevées dans l’ensemble des rapports d’évaluation de la sécurité des installations de trois régions, seulement 13 (6,1 %) ont été mises en œuvre.

    Graphique 3 : Mise en œuvre des recommandations du rapport de l’évaluation de la sécurité
    Région# de recommendations# of recommendations mis en oeuvre
    Overall21213
    Pacific347
    Cental & Artic901
    Quebec885

    La cause principale de cette constatation est attribuée au fait que le Ministère n’a pas établi de processus ni de responsabilités au bureau de l’ASM pour que les DGR ou les fonctions régionales des SSSU surveillent les tendances de risques, les vulnérabilités et les recommandations relevées dans les évaluations de la sécurité des installations pour appuyer les plans de hiérarchisation, d’atténuation et de surveillance.

    L’équipe d’audit a relevé une bonne pratique dans les régions du Québec et du Golfe qui utilise un outil de surveillance pour hiérarchiser, suivre et surveiller la mise en œuvre des recommandations pour les évaluations de la sécurité de catégorie 1.

    Trois régions ont été exclues de la graphique 3 (Golfe, Maritimes et Terre-Neuve-et-Labrador). Une région a été exclue parce qu’elle n’utilisait pas la méthode d’évaluation de la sécurité requise. Les deux autres ont été exclues parce que l’équipe d’audit n’a pas effectué de visite sur place dans ces régions ni examiné aucun rapport d’évaluation de la sécurité.

    Ces constatations sont importantes, car les évaluations de la sécurité des installations permettent de cerner des vulnérabilités et des risques importants sur le plan de la sécurité. Les évaluations de la sécurité des installations offrent la possibilité de les hiérarchiser, de les atténuer et de les surveiller au moment opportun. Sans un processus cohérent à l’échelle du Ministère, les risques et les vulnérabilités liés à la sécurité pourraient ne pas être hiérarchisés et atténués au moment opportun, ce qui pourrait avoir une incidence sur la capacité du Ministère à protéger les employés, les actifs et les renseignements.

    Recommandations :

    1. Le sous-ministre adjoint du Secteur des ressources humaines et des services intégrés, en collaboration avec les directeurs généraux régionaux, devrait mettre en place :
      1. Un processus de surveillance de l’intégrité des données pour les renseignements saisis dans l’outil de production de rapports d’évaluation de la sécurité.
      2. Un processus de surveillance pour s’assurer que les évaluations de sécurité ministérielles sont effectuées de façon uniforme.
      3. Des lignes directrices pour la réalisation des évaluations de la sécurité, la saisie dans l’outil de production de rapports et la communication des résultats de l’évaluation de la sécurité à la gestion des installations dans un délai raisonnable.
      4. Un processus commun pour surveiller les tendances de risques, les vulnérabilités et les recommandations dégagées des évaluations de la sécurité pour appuyer les plans de hiérarchisation, d’atténuation et de surveillance.

    Réponse de la direction :

    La direction approuve les recommandations.

    En réponse à la recommandation 3, le sous-ministre adjoint du Secteur des ressources humaines et des services intégrés, en collaboration avec les directeurs généraux régionaux, s’engage à :

    • Élaborer un processus d’examen de la gestion de l’évaluation de la sécurité (3a et 3b).
    • Créer une norme de service pour les services d’évaluation de la sécurité (3c);
    • Examiner et mettre à jour la stratégie d’évaluation de la sécurité ministérielle, notamment l’évaluation de la faisabilité et le plan de mise en œuvre pour la nouvelle application des technologies de l’information de la Gendarmerie royale du Canada (GRC) ou le développement de l’outil existant de Pêches et Océans Canada, afin d’y inclure des processus et des échéanciers normalisés pour la gestion des risques, y compris la surveillance et la production de rapports (3d).

    Conclusion

    L’audit a permis de conclure que Pêches et Océans Canada a mis en place des processus de gouvernance de la sécurité matérielle et de gestion des risques pour protéger les employés et les actifs. L’audit a révélé des possibilités d’amélioration en ce qui concerne :

    • La communication, la collaboration et la planification des activités relatives à la sécurité matérielle entre le QGN, les directeurs généraux régionaux et les fonctions régionales des SSSU.
    • La surveillance des résultats des évaluations de la sécurité des installations pour cerner les tendances de risques ou les vulnérabilités afin de faciliter la prise de décision en matière de sécurité matérielle à l’échelle du Ministère.

    Annexe A : Secteurs d’intérêt et critères d’audit

    Les critères d’audit ont été établis au moyen des sources suivantes :

    • Politique sur la sécurité du gouvernement du Conseil du Trésor
    • Directive sur la gestion de la sécurité ministérielle du Conseil du Trésor
    • Norme opérationnelle sur la sécurité du gouvernement du Conseil du Trésor
    • Norme de sécurité relative à l’organisation et l’administration du Conseil du Trésor
    Secteur d’intérêt 1 – Gouvernance de la sécurité
    Critère 1.1 : Les obligations, délégations, rapports hiérarchiques, les rôles et les responsabilités des employés du Ministère ayant des responsabilités en matière de sécurité sont définis, documentés et communiqués aux personnes concernées.
    Critère 1.2 : Des mécanismes de gouvernance de la sécurité sont en place pour assurer la coordination des activités de sécurité et leur intégration aux activités, aux plans, aux priorités et aux fonctions du Ministère, afin de faciliter la prise de décisions.
    Critère 1.3 : Un plan de sécurité ministériel a été élaboré et mis en œuvre.
    Critère 1.4 : Les gestionnaires, à tous les échelons, intègrent les exigences en matière de sécurité et de gestion de l’identité dans les plans, les programmes, les activités et les services.
    Secteur d’intérêt 2 – Gestion des risques
    Critère 2.1 : Des processus de gestion systématique des risques de sécurité ont été élaborés, documentés et mis en œuvre et sont maintenus à jour pour assurer une adaptation continue à l’évolution des besoins du Ministère et au contexte de la menace.
    Critère 2.2 : Une évaluation des menaces et des risques a été réalisée pour le Ministère, ainsi que pour des installations, des secteurs, des fonctions ou des systèmes précis.
    Critère 2.3 : Des examens périodiques sont effectués pour déterminer si le plan de sécurité ministériel est efficace, si les buts, les objectifs stratégiques et les objectifs de contrôle sont atteints, et si le plan continue de répondre aux besoins du Ministère.

    Annexe B : Recommandations et plans d’action de gestion

    Recommandations Plan d’action de gestion
    1.Le sous-ministre adjoint du Secteur des ressources humaines et des services intégrés devrait envisager la possibilité d’entreprendre, à l’échelle du Ministère, une évaluation stratégique des priorités, des besoins et des ressources en matière de sécurité afin de mieux harmoniser les fonctions du QGN et les fonctions régionales des SSSU.

    Diriger un examen organisationnel par un tiers de la Direction des services de santé, de sécurité et d’urgence (SSSU) pour cerner les lacunes dans la structure organisationnelle, la gouvernance et les compétences en matière de sécurité à l’échelle nationale (Février 2019).

    Préparer une analyse de rentabilisation chiffrée nationale pour combler les lacunes cernées dans l’examen mentionné ci-dessus (Octobre 2019).

    Examiner et mettre à jour le Plan ministériel relatif à la sûreté, la sécurité et la gestion des urgences (PM-SSGU) et le ressourcement connexe de sorte qu’ils cadrent avec l’analyse de rentabilisation approuvée (Mars 2020).

    Mener un exercice d’établissement des priorités concordant avec le PM-SSGU (Mars 2020).

    2.Le sous-ministre adjoint du Secteur des ressources humaines et des services intégrés, en collaboration avec les directeurs généraux régionaux, devrait mettre en place des mécanismes officiels pour améliorer la communication et la collaboration à l’échelle du Ministère en ce qui a trait aux initiatives liées à la sécurité, et préciser les rôles, les responsabilités et les attentes en matière de rendement.

    Rétablir la structure de gouvernance des SSSU, y compris le comité au niveau des directeurs généraux et les sous-groupes de travail (Juin 2019).

    Examiner et mettre à jour la politique ministérielle sur la santé, la sécurité et la gestion des urgences, y compris les rôles, les responsabilités et les attentes en matière de rendement (Octobre 2020).

    3.Le sous-ministre adjoint du Secteur des ressources humaines et des services intégrés, en collaboration avec les directeurs généraux régionaux, devrait mettre en place :
    1. Un processus de surveillance de l’intégrité des données pour les renseignements saisis dans l’outil de production de rapports d’évaluation de la sécurité.
    2. Un processus de surveillance pour s’assurer que les évaluations de sécurité ministérielles sont effectuées de façon uniforme.
    3. Des échéanciers pour la réalisation des évaluations de la sécurité, la saisie dans l’outil de production de rapports et la communication des résultats de l’évaluation de la sécurité à la gestion des installations dans un délai raisonnable.
    4. Un processus commun pour surveiller les tendances de risques, les vulnérabilités et les recommandations dégagées des évaluations de la sécurité pour appuyer les plans de hiérarchisation, d’atténuation et de surveillance.

    a) et b) Élaborer un processus d’examen de la gestion de l’évaluation de la sécurité (Mars 2020).

    c) Créer une norme de service pour les services d’évaluation de la sécurité (Mars 2020).

    d) Examiner et mettre à jour la stratégie d’évaluation de la sécurité ministérielle, notamment l’évaluation de faisabilité et le plan de mise en œuvre pour la nouvelle application des technologies de l’information de la Gendarmerie royale du Canada ou le développement de l’outil existant de Pêches et Océans Canada afin d’y inclure des processus et des échéanciers normalisés pour la gestion des risques, y compris la surveillance et la production de rapports (Juin 2020).

    Remarque : L'évaluation de la faisabilité dépendra du calendrier de mise en œuvre établi par la GRC. On envisage d’être un ministère participant au projet pilote. Une décision sur l'option à poursuivre devrait être prise dans les 6 prochains mois.