Pistes de vérification – Accès aux renseignements sur les contribuables à l'ordinateur central

Rapport final

Direction générale de la vérification et de l'évaluation de l'entreprise
Juin 2010


Table des matières

Sommaire

Contexte : La Politique du gouvernement sur la sécurité (PGS) stipule par l'entremise de la Norme de sécurité relative à l'organisation et l'administration que l'un des principes fondamentaux du gouvernement est de limiter l'accès aux renseignements de nature délicate aux personnes dont les fonctions l'exigent. L'Agence du revenu du Canada (ARC) est assujettie à cette politique et a élaboré la Politique sur la journalisation et surveillance de l'accès aux renseignements sur les contribuables (Politique de journalisation). En vertu de la Politique de journalisation, tous les accès tels la création, l'affichage, la modification ou la suppression des renseignements identifiables sur les contribuables doivent être enregistrés. En d'autres mots, tous les systèmes et les applications qui permettent d'accéder à des renseignements identifiables sur les contribuables doivent journaliser les accès dans une piste de vérification quotidienne, de la façon établie par la Direction de la sécurité et des affaires internes (DSAI).

À cet égard, l'ARC a mis en place un système national de pistes de vérification (SNPV) dont la DSAI est l'autorité fonctionnelle responsable alors que la Direction générale de l'informatique (DGI) est responsable de l'enregistrement des fichiers contenant les accès aux renseignements identifiables sur les contribuables. Deux types de recherche de pistes de vérification sont disponibles à partir de ce système : un système de pistes de vérification en direct (SPVD) et un système de recherche de pistes de vérification (SPV).

Objectif et étendue : L'objectif de cette vérification était de déterminer si les pistes de vérification des accès aux renseignements sur les contribuables à l'ordinateur central sont enregistrées, gérées et surveillées conformément à la politique de l'ARC.

Les pistes de vérification des accès aux renseignements des contribuables qui sont extraits de l'environnement de l'ordinateur central par l'entremise des applications locales ou des macros sont exclues de la présente vérification.

La phase d'examen de la vérification s'est déroulée de juillet 2009 à mars 2010 dans sept sites répartis dans trois régions et auprès des responsables désignés de la DSAI et de la DGI.

Conclusion : Les activités du SPV, lesquelles sont reliées à des contrôles d'accès très spécifiques, sont bien définies, encadrées et effectuées. Elles sont traitées par des responsables expérimentés qui maîtrisent bien le processus associé à ces cas.

Toutefois, pour les activités du SPVD, la Politique de journalisation n'est pas suffisamment détaillée et ne fournit pas l'encadrement nécessaire à son utilisation optimale. En effet, la rédaction de procédures pour clarifier les rôles et responsabilités des intervenants, les buts et objectifs des activités et l'élaboration des indicateurs de mesure de performance améliorerait l'encadrement pour l'ensemble des gestionnaires de l'ARC.

De plus, rien n'indique qu'un programme de suivi et de surveillance ainsi que de reddition de comptes est en place à la DSAI afin d'atteindre les buts et objectifs des activités de pistes de vérification du SPVD.

Des améliorations sont aussi nécessaires quant à la compilation de la liste des applications informatiques devant laisser des pistes de vérification.

Plan d'action :

La DSAI est en accord avec les recommandations et a développé des plans d'action pour y donner suite. Afin de renforcer la gouvernance du programme national de surveillance des pistes de vérification en direct (SPVD), la DSAI révisera sa Politique sur la journalisation et surveillance de l'accès aux renseignements sur les contribuables. Elle s'est aussi engagée à créer des instruments de politiques connexes et à mettre en place un programme national de surveillance des pistes de vérification.

La DSAI a aussi développé des plans d'action pour s'assurer que la liste courante des applications est correcte et à jour et que les EMR des applications exemptées sont complétées.

Introduction

L'Agence du revenu du Canada (ARC) est assujettie aux dispositions de la Politique du gouvernement sur la sécurité (PGS) et de la Politique sur la gestion de l'information gouvernementale ainsi qu'aux normes de la sécurité à l'échelle du gouvernement fédéral. La PGS fait référence à la Norme de sécurité relative à l'organisation et l'administration qui énonce que l'un des principes fondamentaux du gouvernement est de limiter l'accès aux renseignements de nature délicate aux personnes dont les fonctions l'exigent.

De plus, en raison des lois et des règlements appliqués par l'ARC, les Canadiens sont tenus de lui fournir des renseignements protégés et parfois classifiés. À cet égard, l'ARC a des obligations légales de protéger la confidentialité, l'intégrité, la disponibilité et la valeur des renseignements dont elle est responsable. Ces obligations découlent, entre autres, de la Loi de l'impôt sur le revenu; de la Loi sur la taxe d'accise; de la Loi sur l'accès à l'information; de la Loi sur la protection des renseignements personnels; du Régime de pensions du Canada et des conventions fiscales.

En conformité avec les dispositions de la PGS et en appui aux exigences reliées à la protection de la confidentialité spécifiées dans ces lois et règlements, l'ARC s'est dotée d'une Politique sur la journalisation et surveillance de l'accès aux renseignements sur les contribuables [Note1](Politique de journalisation) et a mis en place un système national de pistes de vérification (SNPV). La Direction de la sécurité et des affaires internes (DSAI) de la Direction générale des finances et de l'administration est l'autorité fonctionnelle responsable du SNPV. La Direction générale de l'informatique (DGI) est responsable de l'enregistrement des fichiers contenant les accès aux renseignements identifiables sur les contribuables.

Deux types de recherche de pistes de vérification sont disponibles à partir du SNPV :

En vertu de la Politique de journalisationtous les accès tels la création, l'affichage, la modification ou la suppression aux renseignements identifiables sur les contribuables doivent être enregistrés. En d'autres mots, tous les accès doivent laisser une piste de vérification. Les exemptions à cette politique doivent être justifiées par le processus d'Évaluation de la menace et des risques (EMR) et autorisées par la DSAI. En outre, le contrôle de l'accès aux renseignements des contribuables constitue une mesure d'atténuation clé pour gérer le risque d'utilisation non autorisée et la divulgation de renseignements sur les contribuables.

À l'ARC, la DSAI est chargée d'établir des mesures de protection et des programmes afin d'assurer la protection des renseignements et des biens de l'Agence, de mener des enquêtes sur des allégations ou soupçons d'inconduite, d'établir des méthodes de prévention des fraudes et de fournir des services de renseignements aux fins de la protection des employés et des biens. La Division de la sécurité de l'information (DSI) est responsable du SPVD, alors que la Division des affaires internes et de la prévention de la fraude (DAIPF) est responsable du SPV.

Portée de la vérification

La vérification interne avait pour objectif de déterminer si les pistes de vérification des accès aux renseignements sur les contribuables à l'ordinateur central sont enregistrées, gérées et surveillées conformément à la politique de l'ARC.

Il importe de mentionner que les pistes de vérification des accès aux renseignements des contribuables qui sont extraits de l'environnement de l'ordinateur central via des applications locales ou des macros sont exclues de l'étendue de la présente vérification.

La phase d'examen de la vérification s'est déroulée de juillet 2009 à mars 2010. Les entrevues, l'examen des documents clés, les tests utilisant la base de données du système des pistes de vérification de même que ceux portant sur les activités de surveillance ont été effectués à la DSAI et dans sept sites répartis dans trois régions. Dans un souci d'obtenir de plus amples informations, de confirmer et de valider certaines autres données recueillies précédemment, les responsables désignés de la DGI ont aussi été contactés.

La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l'audit interne.

Constatations, recommandations et plans d'action

1.0 Observation des politiques, des lignes directrices et des procédures

1.1 Liste des applications informatiques

Les employés autorisés à accéder aux renseignements sur les contribuables effectuent leurs tâches à l'aide de différentes applications informatiques installées sur l'ordinateur central de l'ARC. Afin de déterminer si des pistes de vérification sur ces accès sont enregistrées conformément à la Politique de journalisation, les vérificateurs internes se sont adressés à la DGI pour obtenir la liste de toutes les applications installées sur le système central de l'ARC. Cette liste ainsi obtenue en mai 2009 contenait un total de 134 applications qui possédaient la fonctionnalité de produire une piste de vérification. Ce document a été considéré comme source de référence principale tout au long de la phase d'examen et a été utilisé pour les fins suivantes qui constituent les trois étapes permettant de confirmer si ces applications laissent les pistes de vérification escomptées :

  1. Effectuer des tests auprès d'un échantillon d'utilisateurs dans les bureaux locaux visités;
  2. Comparer et valider les données de cette liste avec les tests effectués par notre analyste principal de la technologie de l'information;
  3. Comparer et valider les données de la liste avec celles de la DSI.

La première étape s'est déroulée auprès de 62 employés et chefs d'équipe. Elle a permis de confirmer l'existence de pistes de vérification dans le SNPV pour 84 des 134 applications. Ce résultat est acceptable à cette étape puisque plusieurs applications se retrouvent sur l'infrastructure informatique d'affaires électroniques pour lesquelles les utilisateurs rencontrés n'avaient pas d'accès dans le cadre de leur travail.

L'objectif de cette première étape était aussi de déterminer si certaines des applications auxquelles ont accédé les employés pendant les tests contenaient des renseignements identifiables sur les contribuables, mais sans être répertoriées sur la liste fournie par la DGI. À cet effet, aucun écart n'a été observé.

La seconde étape a été effectuée à partir de la base de données du SNPV. Ces tests ont permis de valider l'existence de pistes de vérification pour 46 autres applications.

Ces deux premières étapes ont donc permis de retracer l'existence de pistes de vérification pour 130 des 134 applications, soit 97 %. Les quatre autres applications non détectées ont été rapportées à la DSI pour investigation.

Pour la dernière étape, les vérificateurs internes ont demandé à la DSI, en décembre 2009, de fournir leur liste d'applications afin de la comparer avec celle fournie par la DGI et utilisée durant la phase d'examen. Cette liste de la DSI a été générée à partir des applications auxquelles ont accédé les employés dans le système central et qui ont été enregistrées dans le SNPV pendant le mois de novembre 2009. En comparant les deux listes, certains écarts en ce qui concerne le nombre total d'applications ont été détectés et rapportés à la DSI pour investigation. L'ensemble des tests démontre que la vérification interne n'a pas été capable d'obtenir une liste complète des applications qui devraient laisser des pistes de vérification.

Recommandation

La DSI , en collaboration avec la DGI, devrait s'assurer que la liste des applications donnant accès aux renseignements identifiables sur les contribuables est exacte, fiable et complète.
Plan d'action

La DSAI en collaboration avec la Direction générale de l'informatique (DGI) identifiera la raison des écarts entre les diverses listes utilisées pour répertorier les applications ayant ou nécessitant des pistes de vérification et s'assurera que la liste courante est correcte et à jour. Les modifications nécessaires seront identifiées et effectuées au besoin.
Date butoir : le 30 septembre 2010.

1.2 Applications exemptées

En vertu de la Politique de journalisation, tout accès à des renseignements identifiables sur les contribuables doit être consigné dans un registre (piste de vérification) à moins qu'une EMR menée par la DSAI l'exclue.

L'examen des documents et les entrevues avec la DSI ont démontré qu'il existe un processus de suivi des applications entre la DGI et la DSI pour assurer la conformité à la Politique de journalisation. Cependant, malgré l'existence d'applications récemment exemptées par la DSAI, une seule des quatre EMR demandées a été obtenue. Cette version ébauche de l'EMR datait de septembre 2007 tandis que la décision d'exempter cette application a été prise le 17 décembre 2008. Il n'y a donc pas d'évidence que le processus d'approbation des EMR demandées était complet.

Recommandation

La DSI devrait s'assurer de compléter et conserver toutes les versions finales des EMR pour chacune des applications exemptées.

Plan d'action

La DSAI en collaboration avec la DGI identifiera les EMR manquantes. Si les EMR n'ont pas été complétées la DSAI et la DGI travailleront de près avec le client pour commencer le processus et ainsi compléter les EMR.
Date butoir : le 31 décembre 2010.

1.3 Autorisation d'accès au SPV et au SPVD

L'accès au SPV est restreint au personnel de la DAIPF et aucun écart n'a été détecté à cet effet. La communication de la demande, du rapport de piste de vérification et des résultats de son analyse se limite aux individus ayant un besoin de savoir et les informations liées aux cas traités sont dûment consignées dans la base de données « Case Manager » de la DAIPF.

Concernant le SPVD, la Politique de journalisation mentionne que les utilisateurs autorisés des bureaux locaux peuvent faire des demandes de rapports dans le système et que le directeur local est l'autorité qui doit contrôler leur autorisation d'accès au SPVD.

Au moment de la phase d'examen, plusieurs utilisateurs du SPVD n'étaient pas autorisés par les directeurs locaux de trois sites vérifiés. De plus, la liste des détenteurs du profil n'était pas contrôlée périodiquement et n'était pas à jour, ce qui incombe également au directeur local.

Recommandation

La DSAI, en collaboration avec les intervenants régionaux, devrait s'assurer que l'autorité de contrôler les accès au SPVD est respectée et exercée uniquement au niveau du directeur local d'un bureau ou en son absence par le remplaçant désigné et qu'une surveillance appropriée soit effectuée.

Plan d'action

Comme mesure intérimaire, la DSAI enverra un communiqué à tous les directeurs pour leur rappeler leur autorité exclusive d'approuver l'octroi d'un accès au SPVD dans leur bureau respectif tel qu'il est défini dans la Politique existante.
Date butoir : le 31 juillet 2010.

La DSAI interrogera toutes les régions pour savoir quels processus, formulaires, documents et rapports elles se servent pour octroyer des accès, journaliser et surveiller l'accès des utilisateurs ainsi que pour cerner les écarts et les pratiques exemplaires.
Date butoir : le 30 septembre 2010.

En vertu de l'analyse des résultats de l'interrogatoire, une directive sur l'octroi des accès au SPVD (octroi, journalisation et surveillance) sera émise.
Date butoir : le 31 mars 2011.

La DSAI mettra en place un programme national de surveillance des pistes de vérification afin que l'ARC ait une approche cohérente lorsque vient le temps d'examiner les rapports de pistes de vérification.
Date butoir : le 30 juin 2011.

La DSAI passera en revue la Politique sur la journalisation et surveillance de l'accès aux renseignements sur les contribuables (chapitre 22), Manuel des finances et de l'administration, Volume de la sécurité, pour définir les rôles, responsabilités et imputabilités liés à l'octroi du SPVD. La création des instruments de politiques connexes est nécessaire pour bien définir les activités, les mesures de rendement, les étapes à suivre et uniformiser l'approche de surveillance du SPVD (directive, normes, procédures, lignes directrices). La Politique et les instruments connexes seront approuvés par le Conseil de direction d'ici la date butoir.
Date butoir : le 31 décembre 2011.

1.4 Analyse des rapports SPVD

Il est essentiel que les outils relatifs aux pistes de vérification soient utilisés d'une manière uniforme et aux fins requises par les intervenants.

La plupart des chefs d'équipe rencontrés ont démontré un manque de compréhension concernant les différents éléments à examiner lors de leur revue des rapports SPVD. Certains ne vérifiaient que brièvement les données figurant aux rapports, car ils considéraient qu'elles étaient beaucoup trop volumineuses. D'autres ne s'attardaient qu'à quelques éléments qui représentent un risque élevé pour leur secteur de travail.

Certaines informations pertinentes à l'analyse des rapports SPVD sont difficilement compréhensibles. Elles sont présentées sous une forme abrégée et sont parfois manquantes, telles que le nom des contribuables pour certaines applications consultées. Une étude menée par la DSAI concernant le SNPV avait également identifié des lacunes similaires en 2008. Cette étude a conclu que le SNPV ne satisfait pas aux besoins de la DSAI et a mené à l'élaboration d'un document contenant la vision recherchée pour ce système ainsi qu'à la définition des besoins d'amélioration décrits à l'intérieur du « High Level Business Requirements ».

La vérification n'a révélé aucune existence d'outil d'analyse national. Bien que des grilles d'analyses peu élaborées aient été développées localement ou régionalement, aucune d'entre elles n'offre une version permettant d'assurer un minimum d'uniformité dans les analyses effectuées. De plus, il n'y a aucun processus mis en place par la gestion pour vérifier la qualité du travail effectué concernant les analyses de rapports SPVD.

La DSI a aussi développé une application macro qui permet de sauvegarder les résultats des recherches SPVD. Cet outil était peu utilisé par les gestionnaires pour effectuer les vérifications. Il est à remarquer que cet outil ne permet pas de faire des tris ou des recherches pour soutenir les efforts d'analyse.

Recommandation

La DSAI devrait s'assurer d'apporter les correctifs nécessaires au système existant incluant le développement de l'application macro en format tel Excel et de donner des sessions de formation basées sur des exemples réels à laquelle elle intégrerait une grille d'analyse nationale.

Plan d'action

L'observation voulant que l'information contenue aux rapports du SPVD est difficilement compréhensible parce que certains champs d'information sont manquants ou abrégés sera adressée par la première phase de la modernisation du SNPV qui assurera une standardisation des champs d'information enregistrés au SNPV. La DSAI a complété la définition des besoins d'affaires de haut niveau et détaillés (High Level Business Requirements, Detailed Business Requirements) pour ce projet et obtenu un estimé des coûts de la Direction générale de l'informatique (DGI). La DSAI complétera l'analyse de rentabilisation pour présentation au Comité de gestion des ressources et des investissements (CGRI) pour une demande de financement du projet.
Date butoir : le 31 mars 2011

La DSAI interrogera toutes les régions sur les outils électroniques existants utilisés pour produire une analyse des rapports de pistes de vérification.
Date butoir : le 30 septembre 2010.

La DSAI examinera les outils existants et enverra à toutes les régions du Canada les meilleurs outils en tant que mesure intérimaire pour les gestionnaires afin qu'ils les intègrent à leurs pratiques.
Date butoir : le 30 novembre 2010.

La DSAI évaluera l'efficacité des grilles d'analyses et des outils technologiques (macro ou autres) existants, cernera les écarts et concevra, au besoin, des outils nationaux d'analyses. La DSAI concevra aussi une trousse de formation à l'intention des gestionnaires et un plan de mise en œuvre de cette formation.
Date butoir : le 31 mars 2011.

1.5 Mode d'utilisation du SPV et du SPVD

Les intervenants doivent utiliser les SPV et SPVD d'une manière uniforme et en conformité avec la Politique de journalisation. Le SPVD doit être utilisé pour des vérifications ponctuelles aléatoires tandis que l'utilisation du SPV répond à des besoins très spécifiques.

Tel qu'affirmé par tous les membres de la direction des bureaux locaux et régionaux rencontrés, le service de pistes de vérification fourni par la Division des affaires internes et de la prévention de la fraude (DAIPF) est adéquat et est effectué dans des délais raisonnables. Toutes les demandes SPV sont justifiées et conformes à la politique. Selon ce qui a été observé, la base de données « Case Manager » comporte un accès très restreint et est adéquate pour répondre aux besoins de la DAIPF.

Quant au SPVD, il est essentiel de clarifier et de préciser l'échantillonnage de la couverture, la fréquence des vérifications, le nombre de jours et la période couverts par la vérification. Selon les statistiques obtenues sur les rapports réalisés, certains objectifs établis par les régions pour effectuer les activités de vérifications d'accès sont plutôt théoriques puisque les résultats ne correspondent pas aux intentions initiales.

Des trois régions vérifiées, la première, avait fixé comme objectif régional de vérifier 10 % des employés par année en plus des objectifs locaux. Au moment de la phase d'examen, deux tiers des divisions vérifiées avaient délaissé le volet local et effectuaient seulement les vérifications exigées par le volet régional. Notre analyse des rapports régionaux nous porte à conclure que seulement 7 % des employés sont vérifiés. La seconde avait fixé comme objectif de vérifier 100 % des employés répartis sur 12 mois. La revue des rapports produits par cette région indique que seulement 46 % de cet objectif est atteint. Finalement, la troisième avait fixé comme objectif de vérifier 100 % de ses employés annuellement alors que les résultats des deux bureaux vérifiés indiquent que seulement 47 % et 35 % de l'objectif est atteint. Pour les deux premières régions, une partie de ces écarts sont attribuables à la méthode de sélection utilisée. Il y a donc un manque d'uniformité et de compréhension au niveau des objectifs fixés.

Un tableau Excel préparé par la DSAI est aussi très significatif des disparités de demandes SPVD concernant l'ensemble des bureaux de l'ARC. En outre, notre analyse de ce tableau démontre que très peu de vérifications étaient effectuées pour l'ensemble de l'administration centrale de même que dans une région de l'ARC.

Les intervenants n'utilisaient pas le SPVD d'une manière uniforme. Chaque région a développé sa propre méthode pour utiliser le système parce qu'elles n'ont pas reçu de directives claires de la DSAI.

Recommandation

La DSI , en consultation avec les régions, devrait définir les objectifs et émettre une ligne directrice afin d'uniformiser l'approche des recherches SPVD devant être effectuées.

Plan d'action

La DSAI interrogera les régions et évaluera leur programme respectif de surveillance du SPVD (objectifs, méthode de sélection d'échantillonnage, fréquence et délai prescrit).
Date butoir : le 30 septembre 2010.

Dès que les renseignements auront été examinés, la DSAI consultera les intervenants sur une directive proposée.
Date butoir : le 31 décembre 2010.

La DSAI émettra une directive intérimaire sur les objectifs, la méthode de sélection d'échantillonnage, la fréquence et le délai prescrit.
Date butoir : le 31 mars 2011.

La DSAI mettra sur pied un programme national de surveillance des pistes de vérification afin que l'ARC ait une approche cohérente lorsque vient le temps d'examiner les rapports de pistes de vérification.
Date butoir : le 30 juin 2011.

La DSAI passera en revue la Politique sur la journalisation et surveillance de l'accès aux renseignements sur les contribuables (chapitre 22), Manuel des finances et de l'administration, Volume de la sécurité, afin de définir l'objectif national (quantitatif et qualitatif) des revues de SPVD. La création d'instruments de politiques connexes est nécessaire pour bien définir les activités, les mesures de rendement, les étapes à suivre, et uniformiser l'approche de surveillance du SPVD (directives, normes, procédures, lignes directrices).
Date butoir : le 31 décembre 2011.  

1.6 Activités de surveillance et reddition de compte

Les activités de surveillance et d'établissement de rapports doivent être clairement définies, communiquées et contrôlées par la DSAI, la sécurité régionale et les bureaux locaux. Les rapports et la documentation des recherches SPVD doivent être conservés pour appuyer les efforts d'analyse et leurs résultats.

Toutefois, la Politique de journalisation ne fait aucunement mention de quelle façon les rapports et la documentation sur le SPVD devraient supporter les activités d'analyse et leurs résultats. Les instructions de consultation et de rétention de la documentation des recherches SPVD variaient d'une région à l'autre. Par surcroît, la façon dont les activités d'analyse étaient effectuées ne permettait pas d'exécuter un programme de surveillance.

Mise à part la compilation du nombre de demandes de SPVD, il n'existe pas de programme national de surveillance et d'établissement de rapports pour s'assurer d'une utilisation adéquate du SPVD. Il en résulte que certaines régions, bureaux ou secteurs de travail n'utilisent presque pas le SPVD et personne ne leur demande d'en rendre compte.

Pour les sites vérifiés, un formulaire peu explicite était rempli par les chefs d'équipe ou les gestionnaires et était ensuite envoyé à la sécurité locale ou régionale. Aucune évidence de revue de travail n'a pu être obtenue pour démontrer que les efforts d'analyses étaient rencontrés. Il est ainsi difficile de valider que le travail de la personne ayant effectué l'analyse ait été bien fait.

Recommandation

La DSAI devrait établir un programme de surveillance et de reddition de compte pour encadrer la revue des rapports SPVD afin de s'assurer que l'analyse est effectuée de façon uniforme selon les objectifs fixés.

Plan d'action

La DSAI interrogera les régions et évaluera leur programme respectif de surveillance du SPVD (normalisation des rapports et consignation des résultats).
Date butoir : le 30 septembre 2010.

Dès que les renseignements auront été examinés, la DSAI consultera les intervenants sur une directive proposée.
Date butoir : le 31 décembre 2010.

La DSAI émettra une directive intérimaire sur la normalisation des rapports et la consignation des résultats.
Date butoir : le 31 mars 2011.

La DSAI mettra sur pied un programme national de surveillance des pistes de vérification afin que l'ARC ait une approche cohérente lorsque vient le temps d'examiner les rapports de pistes de vérification.
Date butoir : le 30 juin 2011.

La DSAI passera en revue la Politique sur la journalisation et surveillance de l'accès aux renseignements sur les contribuables (chapitre 22), Manuel des finances et de l'administration, Volume de la sécurité, afin de définir l'objectif national (quantitatif et qualitatif) des revues de SPVD. La création d'instruments de politiques connexes est nécessaire pour bien définir les activités, les mesures de rendement, les étapes à suivre et uniformiser l'approche de surveillance du SPVD (directives, normes, procédures, lignes directrices). La Politique et les instruments connexes seront approuvés par le Conseil de direction d'ici la date butoir.
Date butoir : le 31 décembre 2011.  

2.0 Gouvernance

Les politiques, les lignes directrices et les procédures doivent être établies, définies, communiquées et comprises de sorte qu'elles fournissent une orientation opérationnelle claire au personnel des bureaux locaux, régionaux et de la DSAI. Ces politiques et procédures doivent inclure les rôles et les responsabilités, les buts et les objectifs et faire mention des méthodes de sélection, de mise en œuvre et de surveillance. Il importe également que des indicateurs de mesure de rendement soient en place pour permettre d'évaluer les progrès réalisés dans l'atteinte des buts et des objectifs des activités reliées aux pistes de vérification.

Aucune ligne directrice ou procédure n'est rattachée à la Politique de journalisationen ce qui concerne l'utilisation du SPVD, elle fait plutôt état d'un document d'orientation générale qui n'est pas assez détaillé pour guider les intervenants dans l'exercice de leurs fonctions.

Au niveau du SPV, la Politique de journalisation répond toutefois aux besoins de cette activité en raison de la nature et l'essence même des cas traités par des responsables d'expérience qui maîtrisent bien le processus associé à ces cas.

Quant au SPVD, les rôles et responsabilités relativement à la formation et à la façon dont les chefs ou les gestionnaires effectuent l'analyse nécessitent des précisions.

Certains intervenants sont préoccupés par le manque de communication et de coordination entre les utilisateurs causant leur insatisfaction et la confusion dans l'exécution des mesures de contrôle.

Les buts et objectifs tels qu'ils sont stipulés dans la politique sont articulés sous une forme générale et ne fournissent pas de précision sur les résultats quantitatifs attendus. Il faut également noter que certains chefs d'équipe mettent en doute l'efficacité de l'outil SPVD.

Basés sur les résultats régionaux des sites vérifiés, les buts et objectifs quantitatifs étaient définis sans toutefois être uniformes. De plus, localement, ils n'étaient pas respectés par certains secteurs ou divisions. Il n'existe aucune approche systématique et uniforme dans la réalisation et la supervision des activités de pistes de vérification à tous les niveaux.

Régionalement, il n'existe que très peu d'indicateurs de mesure de rendement et lorsqu'il y en a, ils ne sont pas rencontrés. De plus, il n'y a aucun suivi national qui permet d'évaluer l'état des progrès réalisés dans le processus de pistes de vérification.

Recommandation

Afin de fournir l'encadrement nécessaire, la DSAI devrait élaborer des procédures et des lignes directrices détaillées s'appliquant à tous les éléments du processus du SPVD afin de définir les rôles et les responsabilités des différents intervenants, de fixer des buts et objectifs concernant les activités du SPVD et d'élaborer des indicateurs de rendement afin d'assurer l'atteinte de ces objectifs.

Plan d'action

La DSAI émettra une directive intérimaire définissant l'objectif, les rôles et les responsabilités.
Date butoir : le 31 décembre 2010.

La DSAI mettra en place un programme national de surveillance des pistes de vérification afin que l'ARC ait une approche cohérente lorsque vient le temps d'examiner les rapports de pistes de vérification.
Date butoir : le 30 juin 2011.

La DSAI passera en revue la Politique sur la journalisation et surveillance de l'accès aux renseignements sur les contribuables (chapitre 22), Manuel des finances et de l'administration, Volume de la sécurité, afin de définir l'objectif national (quantitatif et qualitatif) des revues de SPVD. La création d'instruments de politiques connexes est nécessaire pour bien définir les activités, les mesures de rendement, les étapes à suivre et uniformiser l'approche de surveillance du SPVD (directives, normes, procédures, lignes directrices). La Politique et les instruments connexes seront approuvés par le Conseil de direction d'ici la date butoir.
Date butoir : le 31 décembre 2011.

CONCLUSION

L'ARC s'est doté d'une Politique de journalisation afin de contrôler les accès aux renseignements de nature délicate des contribuables et à cette fin, a mis en place deux types de recherche de pistes de vérification, le SPV et le SPVD.

Les activités du SPV, lesquelles sont reliées à des contrôles d'accès très spécifiques, sont bien définies, encadrées et effectuées. Elles sont traitées par des responsables expérimentés qui maîtrisent bien le processus associé à ces cas. Aucune préoccupation dans le cadre de cette vérification n'a été constatée à l'égard du SPV.

Malgré l'existence d'une Politique de journalisation, la vérification a identifié des opportunités d'amélioration pour renforcer les activités reliées au SPVD. Par conséquent, cette politique devrait être appuyée par des procédures détaillées afin de définir les rôles et responsabilités des intervenants, les buts et objectifs des activités, l'élaboration des indicateurs de mesure de performance, l'établissement d'un programme de suivi et de surveillance ainsi que de reddition de compte.

Des améliorations sont aussi nécessaires quant à la compilation de la liste des applications informatiques devant laisser des pistes de vérification ainsi que le processus d'approbation des applications exemptées.

Footnotes

[Note 1]
Manuel des Finances et Administration, Volume sécurité, Chapitre 22

Détails de la page

Date de modification :