Audit des entrepôts de la réserve nationale stratégique d’urgence
Organisation : Santé Canada
Date publiée : Août 2022
Rapport définitif
Août 2022
Préparé par le Bureau de l'audit et de l'évaluation
Table des matières
Résumé
Introduction
La Réserve nationale stratégique d'urgence (RNSU) du Canada contient des fournitures sur lesquelles les provinces et les territoires comptent en cas d'urgence, lorsque leurs propres ressources sont insuffisantes. Les installations de la RNSU permettent d'envoyer des fournitures partout au pays dans les 24 heures suivant la demande d'une province ou d'un territoire.
Au début de 2020, le niveau de service de la RNSU a augmenté afin de comprendre l'entreposage et la distribution de fournitures liées à la pandémie de COVID-19 (p. ex., des gants, des masques, des blouses, des doses de vaccin, des ventilateurs). En conséquence, un c contrat a été conclu pour l'utilisation de trois entrepôts temporaires. En raison de la pandémie et de l'urgence de disposer de plus d'espace d'entreposage pour la RNSU, les évaluations officielles de la sécurité matérielle n'ont pas été effectuées par manque de temps.
Étant donné la dépendance importante à ces entrepôts en cas d'urgence (contenu et distribution), il est essentiel d'assurer leur sécurité matérielle et de maintenir les niveaux de service actuels et possibles à l'avenir.
Objectif de la mission
Déterminer si la surveillance et les contrôles des installations d'entreposage de la RNSU appuient de façon adéquate la protection des biens essentiels et la continuité des services essentiels.
Portée de la mission
La portée de l'audit était axée sur les domaines qui appuient la protection des biens essentiels et la continuité des services essentiels dans les huit entrepôts existants et les trois entrepôts temporaires ayant fait l'objet de marchés en réponse à la pandémie de COVID-19. Plus précisément, l'audit a porté sur la sécurité matérielle, les inspections de sécurité et les plans d'urgence et de continuité des activités. La gestion des stocks et la modernisation du système de gestion des stocks n'ont pas été examinées. La période visée va de l'exercice 2016-2017 à l'exercice 2021-2022, afin d'englober les évaluations des risques effectuées au cours d'un cycle de cinq ans.
Critères de la mission
- Les rôles, les responsabilités, les obligations de rendre compte et les délégations sont conformes à la Politique sur la sécurité du gouvernement et à la Directive sur la gestion de la sécurité du Secrétariat du Conseil du Trésor (SCT) du Canada.
- Les risques sont correctement cernés, évalués, gérés et surveillés.
- Les stratégies d'atténuation sont établies, documentées et communiquées, et leur suivi est assuré par un personnel adéquatement formé.
Énoncé de conformité
Cet audit a été réalisé conformément aux Normes internationales pour la pratique professionnelle de l'audit interne et elle est validée par les résultats du programme d'amélioration et d'assurance de la qualité du Bureau de l'audit et de l'évaluation.
Conclusion générale
La Direction générale des services de gestion a élaboré un cadre de sécurité matérielle, y compris une méthodologie, des protocoles et des contrôles qui appuient la protection des biens essentiels dans les entrepôts de la RNSU. Cependant, nous avons constaté des lacunes en matière de contrôles qui présentent un risque modéré en ce qui concerne la conception de la sécurité matérielle des installations et les documents qui s'y rattachent, la mise en œuvre de stratégies d'atténuation et la continuité des services essentiels.
Veuillez noter que tout au long de ce rapport, les entrepôts de la RNSU sont désignés selon une convention de dénomination codée afin de protéger la nature délicate des installations.
Recommandations
- La vice-présidente de la Direction générale de la gestion des mesures d'urgence devrait attribuer les rôles et les responsabilités pour l'élaboration, la mise à jour, l'exécution et le déclenchement des plans de continuité des activités (PCA) pour les entrepôts de la RNSU et établir un processus de PCA correspondant sous la direction de la sous-ministre adjointe, Direction générale des services de gestion.
- La sous-ministre adjointe de la Direction générale des services de gestion devrait s'assurer que les évaluations des risques pour la sécurité matérielle sont officiellement approuvées, et la vice-présidente de la Direction générale de la gestion des mesures d'urgence devrait veiller à ce que les recommandations et les risques connexes soient officiellement acceptés et qu'un plan d'action officiel approprié soit élaboré, le cas échéant.
- La sous-ministre adjointe de la Direction générale des services de gestion devrait s'assurer que des évaluations sommaires du choix des emplacements et de la conception de la sécurité sont effectuées lors de la mise sur pied de nouvelles installations, et que les conceptions de la sécurité matérielle sont documentées et mises à jour au besoin.
- La sous-ministre adjointe de la Direction générale des services de gestion devrait élaborer un plan pour l'inspection régulière des entrepôts de la RNSU dans les régions et préciser les responsabilités concernant l'inspection des services et des dispositifs de sécurité qui visent à maintenir l'état des biens, et ce, en collaboration avec la vice-présidente de la Direction générale de la gestion des mesures d'urgence.
Critère 1 — Les rôles, les responsabilités, les obligations de rendre compte et les délégations sont conformes à la Politique sur la sécuritédu gouvernement et à la Directive sur la gestion de la sécurité du Secrétariat du Conseil du Trésor du Canada.
Contexte
La DGSG gère un cadre qui décrit les rôles et les responsabilités en matière d'orientation et de surveillance de la sécurité matérielle dans les installations de l'Agence de la santé publique du Canada et de Santé Canada.
La sécurité matérielle des entrepôts de la RNSU est gérée conjointement par la DGSG et la DGGMU. De manière générale, la DGSG assure l'orientation et la surveillance, alors que la DGGMU agit comme autorité chargée de l'acceptation des risques (AAR) et responsable de la mise en œuvre.
Que pensions-nous constater?
Nous nous attendions à constater que les rôles, les responsabilités, les obligations de rendre compte et les délégations liés à la protection des biens essentiels et à la continuité des services essentiels dans les installations d'entreposage de la RNSU étaient clairement définis et conformes à la Politique sur la sécurité du gouvernement et à la Directive sur la gestion de la sécurité du SCT.
Constatations
Harmonisation avec les politiques et les directives
Le cadre de sécurité matérielle de la DGSG était conforme à la Politique sur la sécurité du gouvernement et à la Directive sur la gestion de la sécurité du SCT en ce qui concerne la gestion de la sécurité matérielle des installations, qui s'articule autour des activités suivantes : déterminer les exigences de sécurité, s'assurer que les exigences de sécurité sont satisfaites, surveiller l'observation continue des exigences, formuler des recommandations concernant les mesures à prendre, fournir des conseils et produire les rapports pertinents.
Harmonisation avec le cadre
Les rôles, les responsabilités et les obligations documentés lors des entrevues étaient conformes au cadre de sécurité matérielle de la DGSG grâce à la responsabilité partagée en matière de gestion de la sécurité matérielle des entrepôts de la RNSU. La DGSG est responsable de la surveillance et de l'orientation alors que la DGGMU est l'AAR et elles sont responsables de la mise en œuvre.
Gestion des installations d'entreposage temporaires de la RNSU
La gestion de la sécurité matérielle des installations d'entreposage temporaires de la RNSU correspondait à celle des installations d'entreposage existantes de la RNSU, où divers services sont fournis par des tiers, selon l'installation.
Planification de la continuité des activités
En tant que service clé la RNSU a été compris dans la PCA de la Direction générale de l'infrastructure de sécurité sanitaire de 2019. Toutefois, en raison de la pandémie, de nombreux rôles de chef et de coordonnateur des PCA n'ont pas été attribués, en particulier dans les régions où il y a eu beaucoup de changements, notamment au sein de la DGGMU, où le Centre de mesures et d'interventions d'urgence (CMIU) s'occupait des PCA, avant la création des bureaux de la RNSU et de la DGGMU. Ainsi, la responsabilité des PCA de la RNSU n'a pas été attribuée et, par conséquent, les analyses des répercussions sur les activités et les plans de continuité des activités n'existaient pas et n'ont pas été examinés pour s'assurer qu'ils avaient été mis à jour et employés régulièrement, comme le prévoient les deuxième et troisième critères de l'audit.
Conclusions
Les rôles, les responsabilités, les obligations de rendre compte et les délégations liés à la gestion de la sécurité matérielle des installations d'entreposage de la RNSU étaient conformes à la Politique sur la sécurité du gouvernement et à la Directive sur la gestion de la sécurité du Secrétariat du Conseil du Trésor du Canada. Toutefois, la DGGMU n'avait pas précisé les rôles, les responsabilités et les obligations de rendre compte en ce qui a trait à l'élaboration, la mise à jour, l'exécution et le déclenchement des PCA.
Recommandation
La vice-présidente de la Direction générale de la gestion des mesures d'urgence devrait attribuer les rôles et les responsabilités concernant l'élaboration, la mise à jour, l'exécution et le déclenchement des plans de continuité des activités pour les entrepôts de la RNSU et établir un processus de PCA correspondant sous la direction de la sous-ministre adjointe de la Direction générale des services de gestion.
Critère 2 — Les risques sont correctement cernés, évalués, gérés et surveillés.
Cadre
Conformément au cadre de la DGSG, des évaluations des risques pour la sécurité matérielle doivent être effectuées régulièrement afin de cerner les lacunes possibles dans les contrôles de sécurité matérielle. Ces évaluations peuvent être réalisées sur place ou à distance, dans le cadre de l'examen périodique. Les éléments de sécurité matérielle sont ensuite évalués à l'aide d'une échelle de cotation normalisée et une recommandation de mise en œuvre est élaborée si la cote de risque atteint un seuil prédéterminé.
Que pensions-nous constater?
Nous nous attendions à constater que les risques et les menaces liés à la protection des biens essentiels et à la continuité des services essentiels dans les installations d'entreposage de la RNSU avaient été cernés, évalués, gérés et surveillés de façon régulière ou périodique, à moins qu'un examen n'ait été déclenché plus tôt
Constatations
Modèles
La détermination et l'évaluation des risques dans les installations d'entreposage de la RNSU ont été jugées appropriées, car elles sont réalisées à l'aide d'un modèle d'évaluation des risques de sécurité que présentent les installations lorsque l'évaluation est effectuée sur place, d'un modèle d'évaluation à distance des risques de sécurité que présentent les installations lorsque l'évaluation est effectuée à distance, et d'un modèle de questionnaire sur la sécurité matérielle et d'analyse de l'environnement qui renforce le processus de gestion des risques.
Cernés et évalués
Les évaluations des risques pour la sécurité matérielle ont systématiquement pris en compte et évalué les éléments suivants, le cas échéant : le type d'installation, la gestion et les services sous-traités à des fournisseurs externes, le personnel permanent, les contrôles de l'accès pour les entrepreneurs et le personnel, les groupes de catégories d'actifs, les mesures de protection internes et externes, les incidents internes et externes, notamment les statistiques de la criminalité dans le quartier, et les contrôles environnementaux. Il y a eu certaines exceptions, notamment les évaluations de deux établissements où des évaluations rapides des mesures de protection internes et externes auraient été effectuées, mais n'ont pas été documentées, et les évaluations de deux autres établissements où un incident connu n'a pas été relevé dans le cadre de l'examen dans chaque cas.
Gérés
Les évaluations des risques pour la sécurité matérielle ont systématiquement donné lieu à des recommandations qui ont été transmises au client lorsque les cotes de risque dépassaient le seuil autorisé. Le processus d'acceptation et de mise en œuvre des recommandations découlant des évaluations des risques pour la sécurité matérielle est abordé sous le critère 3.
Surveillés
Dans le cadre de notre examen visant le cycle quinquennal le plus récent, les évaluations des risques pour la sécurité matérielle ont toujours été effectuées dans les délais impartis (à moins qu'elles n'aient été déclenchées plus tôt en raison de changements environnementaux) pour toutes les installations d'entreposage de la RNSU, à l'exception de l'installation N05, car elle n'était pas entièrement occupée au moment de l'audit. Nous avons également pu établir indirectement que les exigences avaient été respectées au cours du cycle quinquennal précédent, le cas échéant, étant donné la date inscrite dans les évaluations précédentes, à l'exception d'un établissement, car l'évaluateur ne disposait pas de ces documents au moment de l'évaluation la plus récente.
Conclusions
Les risques pour la sécurité matérielle que présentent les installations d'entreposage de la RNSU ont été cernés de manière appropriée dans le cadre d'un examen normalisé, évalués en utilisant une échelle de cotation normalisée, gérés grâce à l'élaboration de recommandations lorsque la cote de risque dépassait un seuil déterminé, et surveillés au moyen d'évaluations menées tous les cinq ans, sauf si elles étaient déclenchées plus tôt.
Recommandation
Ce critère n'a pas donné lieu à une recommandation.
Critère 3 — Les stratégies d'atténuation sont établies, documentées et communiquées, et leur suivi est assuré par un personnel adéquatement
Cadre
Lors de la mise sur pied de nouvelles installations, des dossiers sur le choix de l'emplacement et la conception de la sécurité sont préparés afin d'évaluer les sites proposés et de concevoir des modèles de sécurité appropriés pour ces sites. Les installations sont ensuite surveillées au moyen d'évaluations des risques que présentent les installations, assorties de recommandations à mettre en œuvre si nécessaire, et d'inspections, ainsi que grâce au suivi et au signalement des incidents.
Que pensions-nous constater?
Nous nous attendions à constater que des évaluations concernant la mise sur pied des installations avaient été effectuées et que la documentation relative aux plans de sécurité matérielle existait et était tenue à jour. Nous nous attendions également à constater que les installations étaient surveillées par une combinaison de contrôles de détection, de protocoles de signalement des incidents et d'intervention en cas d'incident, et d'inspections régulières.
Constatations
Établies et communiquées
Les recommandations ont été adéquatement documentées dans les évaluations des risques correspondantes et un suivi approprié a été effectué à l'aide d'une feuille de calcul contenant les renseignements pertinents, notamment l'AAR, l'observation, la cote de risque, la recommandation et l'état. Cependant, nous avons constaté qu'il n'y avait pas d'acceptation officielle des recommandations ou des risques découlant des évaluations des risques et des plans d'action officialisés correspondants afin de mettre en œuvre les recommandations, malgré l'existence d'un endroit prévu pour la signature officielle du dirigeant principal adjoint de la sécurité et du directeur de la RNSU à la fin des évaluations des risques.
Documentées
La responsabilité de huit des installations d'entreposage de la RNSU a été transférée à la DGSG après leur mise sur pied. Par conséquent, il n'existait pas de dossiers sur le choix de l'emplacement et la conception de la sécurité pour ces installations. Les trois autres installations ont fait l'objet d'un marché en réponse à la pandémie de COVID-19. Toutefois, en raison de l'urgence de les établir, des examens rapides des sites ont remplacé les dossiers sur le choix de l'emplacement et la conception de la sécurité. De plus, bien que des plans de sécurité matérielle documentés existent pour les six entrepôts de la RNSU situés dans la région de la capitale nationale (RCN), il n'y en avait pas pour les cinq installations situées dans les régions.
Surveillés
Selon l'emplacement, les installations d'entreposage de la RNSU ont été surveillées au moyen de systèmes de sécurité, de balayages par caméra, de patrouilles, de gardes de sécurité 24 heures par jour, sept jours sur sept, de protocoles de signalement des incidents et d'intervention en cas d'incident, et d'inspections de sécurité qui sont menées chaque année par un consultant externe en sécurité matérielle. Cependant, les inspections n'ont pas été effectuées dans les installations situées dans les régions. En outre, la responsabilité de l'inspection des dispositifs qui visent à maintenir l'état des biens semblait mal définie, étant donné que ni la DGSG ni la DGGMU ne procédaient à ces inspections, alors que ces dispositifs n'existaient que dans la RCN.
Formation
La DGSG a veillé à ce que le personnel ait les compétences, les connaissances et l'expertise nécessaires pour orienter et surveiller la sécurité matérielle des installations d'entreposage de la RNSU grâce à sa stratégie de recrutement, à de la formation informelle, ainsi qu'à de la formation offerte par d'autres ministères qui fournissent des services de renseignements criminels, et à l'affiliation à ces ministères.
Conclusions
Le processus d'élaboration et de suivi des stratégies d'atténuation en matière de sécurité matérielle était appuyé par du personnel formé, un cadre, des méthodologies et des protocoles. Toutefois, il n'y avait pas d'évaluations et de documents connexes concernant la mise sur pied des nouvelles installations. Les recommandations découlant des évaluations des risques que présentent les installations ont été adéquatement documentées. L'approbation et les communications relatives à l'acceptation et à la mise en œuvre des mesures de contrôle correspondantes ont toutefois eu lieu de manière informelle. En ce qui concerne la surveillance des installations, les protocoles de signalement des incidents sont suivis de manière adéquate et des inspections sont menées annuellement par des fournisseurs externes dans la RCN, mais ce n'est le cas dans aucune des installations situées dans les régions.
Recommandations
- La sous-ministre adjointe da la Direction générale des services de gestion devrait s'assurer que les évaluations des risques pour la sécurité matérielle sont officiellement approuvées, et la vice-présidente de la Direction générale de la gestion des mesures d'urgence devrait veiller à ce que les recommandations et les risques connexes soient officiellement acceptés et qu'un plan d'action officiel approprié soit élaboré, le cas échéant.
- La sous-ministre adjointe de la Direction générale des services de gestion devrait s'assurer que des évaluations sommaires du choix des emplacements et de la conception de la sécurité sont effectuées lors de la mise sur pied de nouvelles installations, et que les conceptions de la sécurité matérielle sont documentées et mises à jour au besoin.
- La sous-ministre adjointe de la Direction générale des services de gestion devrait élaborer un plan pour l'inspection régulière des entrepôts de la RNSU dans les régions et, en collaboration avec la vice-présidente de la Direction générale de la gestion des mesures d'urgence, préciser les responsabilités concernant l'inspection des services et des dispositifs de sécurité qui visent à maintenir l'état des biens.
Annexe A – Fiche d'évaluation
Critère | Cote de risque | Risque qui demeurera si la recommandation n'est pas mise en œuvre | No de rec. |
Les rôles, les responsabilités, les obligations de rendre compte et les délégations sont conformes à la Politique sur la sécurité du gouvernement et à la Directive sur la gestion de la sécurité du Secrétariat du Conseil du Trésor (SCT) du Canada. | 3 | Si les responsabilités liées à l'élaboration, à la mise à jour, à l'exécution et au déclenchement des PCA de la RNSU ne sont pas attribuées, il y a un risque que la RNSU ne soit pas en mesure de fournir les services essentiels dont la population canadienne peut dépendre en cas d'urgence. | 1 |
Les risques sont correctement cernés, évalués, gérés et surveillés. | 1 | S. O. | S. O. |
Les stratégies d'atténuation sont établies, documentées et communiquées, et leur suivi est assuré par un personnel adéquatement formé. | 3 | Si les risques ou les recommandations ne sont pas acceptés officiellement et qu'un plan de mise en œuvre n'est pas élaboré, il y a un risque que l'obligation de rendre compte et la responsabilité de la mise en œuvre des recommandations correspondantes ne soient pas clairement définies. Par conséquent, les recommandations pourraient ne pas être mises en œuvre du tout ou en temps opportun, ce qui pourrait laisser des lacunes inacceptables en matière de contrôle, lesquelles pourraient compromettre la sécurité matérielle des entrepôts de la RNSU. En raison de la pandémie et de l'urgence de disposer de plus d'espace d'entreposage pour la RNSU, les évaluations officielles de la sécurité matérielle n'ont pas été effectuées par manque de temps. Si un dossier complet concernant le choix de l'emplacement et la conception de la sécurité n'est pas préparé avant la mise sur pied des installations, il y a un risque que certains aspects de l'examen détaillé soient négligés, ce qui entraînerait des lacunes qui pourraient compromettre la sécurité matérielle des entrepôts de la RNSU. Si les contrôles de sécurité matérielle concernant les entrepôts régionaux ne sont pas documentés et maintenus, il y a un risque que la direction ne soit pas en mesure de faire le suivi des contrôles qui ont été effectués dans chaque installation, ce qui ferait en sorte que ces contrôles ne seraient pas à jour. En l'absence d'inspections régulières des contrôles de sécurité matérielle dans les régions, il y a un risque qu'ils ne fonctionnent pas comme prévu, ce qui entraînerait des lacunes qui pourraient compromettre la sécurité matérielle des installations d'entreposage de la RNSU et des biens qui s'y trouvent. |
2, 3, 4 |
Les cotes de risque mesurent le risque résiduel si la recommandation n'est pas mise en œuvre : 1 - Risque minimal 2 - Risque mineur 3 - Risque modéré 4 - Risque important 5 - Risque majeur |
Détails de la page
- Date de modification :