Audit des plans de continuité des activités pour les services essentiels
Télécharger en format PDF
(266.2 Ko, 6 pages)
Organisation : Santé Canada
Date publiée : Septembre 2022
Septembre 2022
Préparé par le Bureau de l'audit et de l'évaluation
Sur cette page
- Résumé
- Détermination des services essentiels, élaboration et mise à jour des PCA
- Recommandations
- Annexe A – Fiche d'évaluation
- Annexe B – À propos de l'audit
Résumé
Contexte
La Directive sur la gestion de la sécurité du Conseil du Trésor du Canada de 2019 exige des ministères et des organismes qu'ils définissent, documentent et tiennent à jour des stratégies de continuité et des priorités de rétablissement, afin de pouvoir les utiliser en cas de perturbation pour maintenir un niveau acceptable de prestation des services et activités essentiels. La continuité des services essentiels a joué un rôle fondamental dans l'intervention de l'Agence de la santé publique du Canada (ASPC) et de Santé Canada (SC) face à la pandémie de COVID-19, car son succès dépend de la capacité du Ministère et de l'Agence à rester opérationnels et à fournir des services continus aux Canadiens.
Sécurité publique Canada définit un service essentiel comme « tout service ou activité dont la perturbation porterait un préjudice élevé ou très élevé à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens et des Canadiennes, ou encore au fonctionnement efficace du gouvernement du Canada ».
Les différentes directions générales de l'ASPC et de SC sont responsables de l'élaboration et de la tenue à jour de leurs plans de continuité des activités (PCA). La Direction générale des services de gestion (DGSG) est chargée du processus de PCA et d'assurer une fonction de coordination pour le Ministère et l'Agence. La DGSG a commencé à réviser tous les processus, outils et modèles de PCA en 2019. Cette initiative a été retardée en raison de la pandémie.
Alors que le Ministère et l'Agence continuent d'être à l'avant-garde de l'intervention du Canada face à la pandémie, de nouveaux risques sont apparus et continueront d'évoluer. L'environnement de travail ayant considérablement changé, les PCA peuvent être devenus obsolètes, ce qui augmente le risque de non-continuité des services essentiels en cas de nouvelles perturbations. Cet audit avait pour but de fournir l'assurance précise que le Ministère et l'Agence ont tenu leurs PCA à jour pendant la pandémie.
Objectif de l'audit
L'objectif de l'audit était de fournir l'assurance que le Ministère et l'Agence ont déterminé et priorisé les services essentiels dans le cadre du processus de PCA afin de garantir, en cas d'urgence ultérieure, la disponibilité continue de ses services essentiels.
La portée de l'audit comprenait l'examen d'un échantillon de PCA de la catégorie des services essentiels de Préparation en cas d'urgence et intervention de lutte contre les maladies infectieuses. L'audit n'a pas porté sur la gestion des plans de continuité des activités, des bases de données correspondantes, ni sur le caractère approprié des modèles et des évaluations des répercussions sur les activités. Nous avons examiné si SC et l'ASPC avaient des PCA à jour pour permettre la continuité des services dans l'environnement actuel, quel que soit le format de ces plans.
Constatations
Bons processus et pratiques exemplaires
- Certains secteurs ont élaboré des PCA complets et exhaustifs.
- Certains plans ont été mis à jour et mis à l'essai au cours de l'exercice financier 2021-2022.
- 33 des 34 PCA reçus comprenaient des renseignements tels que les activités à entreprendre, les rôles et responsabilités et les coordonnées nécessaires pour permettre leur activation.
Points à améliorer
- La liste des services essentiels était obsolète et incohérente.
- Les PCA ont été difficiles à obtenir; seuls 43 % (34 sur 80) de ceux demandés ont été fournis.
- 74 % (25 sur 34) des PCA reçus étaient obsolètes et n'avaient pas été mis à l'essai récemment (c.-à-d., avant la COVID).
- Très peu de PCA ont mentionné des risques plus récents, tels que la COVID-19 ou le travail à domicile pendant de longues périodes.
Conclusion
L'Agence et le Ministère ont élaboré, mis à jour et mis en essai les PCA pour certains des services essentiels cernés. Les PCA qui ont été examinés comprennent des renseignements clés qui seront nécessaires pour permettre une activation. Toutefois, le Ministère et l'Agence n'ont pas déterminé une liste complète de leurs services essentiels et plusieurs PCA n'ont pas été fournis. Les responsables ont indiqué que le Ministère et l'Agence ont utilisé des stratégies ponctuelles de continuité des activités en réponse à l'incidence sans précédent de la pandémie. La direction est d'accord avec les recommandations et a déjà commencé à prendre des mesures pour traiter des domaines à améliorer identifiés dans ce rapport.
Détermination des services essentiels, élaboration et mise à jour des PCA
Contexte
SC et l'ASPC ont déterminé les services essentiels (SE) dans les sept catégories suivantes :
- Gestion du risque et coordination de l'intervention nationale associée à des substances et à des urgences précises.
- Sécurité des produits de santé de consommation, des médicaments, de l'eau potable et des aliments.
- Conseils de santé opportuns et accès aux services de santé d'urgence pour la fonction publique, les voyageurs, les personnes jouissant d'une protection internationale au Canada et les ministères de la Santé des provinces et des territoires.
- Communications stratégiques et en temps de crise.
- Préparation en cas d'urgence et intervention de lutte contre les maladies infectieuses.
- Services de santé spécialisés.
- Gestion des services liés aux substances désignées.
Bien que le Programme national de gestion de la continuité des activités (PNGCA) au sein de la DGSG soit responsable de l'élaboration et du maintien de la préparation générale en matière de gestion de la continuité des activités, chaque direction générale compte un responsable de la GCA qui veille à ce qu'elle établisse une liste des SE et à ce que les PCA en place soient exacts et à jour en fournissant des conseils sur l'élaboration, la tenue à jour, la mise à l'essai et l'utilisation des PCA pour sa direction générale respective ou son équivalent.
Que pensions-nous trouver?
Une liste des SE déterminés était disponible et à jour et ces SE disposent de PCA élaboré et à jour. Ces PCA ont également été mis à jour et mis à l'essai périodiquement.
Constatations
Les services essentiels (SE) pour SC et l'ASPC sont organisés en sept catégories, comme mentionnées dans la section « Contexte » à gauche de cette page. Les SE sont ensuite classés par niveaux de criticité, le niveau 1 étant un service devant être opérationnel dans un délai de moins de 24 heures, le niveau 2 dans un délai de 1 à 7 jours, le niveau 3 dans un délai de 8 à 21 jours, et le niveau 4 ayant un temps d'arrêt maximum autorisé qui dépasse 22 jours, car ces services ne sont pas essentiels. Aux fins de cet audit, nous nous sommes concentrés sur les niveaux 1 et 2 uniquement.
D'après la documentation examinée, nous avons constaté que toutes les directions générales ont établi la liste des SE déterminés, en coordination avec le PNGCA. Nous avons également constaté que la liste était obsolète et comportait des lacunes, ce qui rendait difficile la détermination de la population globale.
Notre échantillon initial était composé de 89 SE et s'est concentré sur la catégorie de Préparation en cas d'urgence et intervention de lutte contre les maladies infectieuses. Lors de la demande de documents, les directions générales ont déclaré que certains renseignements relatifs aux SE figurant sur la liste étaient soit obsolètes, soit comportaient des erreurs. Notre échantillon final était composé de 80 PCA et, après de multiples demandes, nous n'avons reçu que 34 PCA.
Sur les 34 des 80 PCA examinés, nous avons constaté ce qui suit :
- Quelques secteurs disposaient de PCA (ou de plans de résilience) qui comprenaient les objectifs, les activités, les ressources nécessaires, les locaux pour mener ces activités et la priorisation des décisions pour assurer la continuité de chaque service essentiel. Quelques plans avaient été mis à jour depuis le début de la pandémie (mars 2020).
- Les quelques PCA qui étaient à jour et contenaient suffisamment de détails avaient été créés précisément pour le service et ne suivaient pas nécessairement le modèle établi, ce qui indique que le modèle n'était pas aussi utile que nécessaire pour la direction.
- La plupart des PCA examinés étaient obsolètes et n'avaient pas été mis à l'essai depuis mars 2020.
- Les PCA n'ayant pas été mis à jour récemment, ils ne mentionnaient pas les risques plus récents, tels que la COVID-19 et le travail à domicile pendant de longues périodes.
- Certains PCA examinés ne comprenaient que de brèves descriptions des services essentiels et aucun autre type d'information, comme les procédures d'activation, les rôles et les responsabilités, les essais, les communications, les procédures de tenue à jour et de stockage, ou plus précisément, les activités et les ressources nécessaires pour assurer la continuité de chaque service essentiel, les locaux nécessaires pour mener ces activités, le cas échéant, et la priorisation des décisions.
- Comme la plupart des PCA n'avaient pas été mis à jour ou mis à l'essai, le suivi et les mesures correctives n'ont pas eu lieu.
Tant SC que l'ASPC ont pu maintenir des services essentiels tout au long de la pandémie en prenant des mesures de gestion en dehors du processus de PCA. Ces mesures comprenaient la prise de décisions lors de réunions de gestion établies et ponctuelles, le suivi et l'établissement de rapports. La direction a indiqué que les modèles et processus de PCA établis n'étaient pas très utiles et devaient être révisés.
Conclusion
Nous avons constaté que la liste des services essentiels déterminés n'était pas à jour, et que la plupart des PCA n'avaient pas été mis à jour ou mis à l'essai depuis le début de la pandémie, ce qui augmente le risque de non-continuité des services essentiels en cas de nouvelles perturbations. Bien que certaines directions générales n'aient pas utilisé le modèle de PCA suggéré en raison de ses limites, nous nous attendions à trouver des renseignements liés à l'activation des PCA.
Recommandations
- La DGSG devrait se coordonner avec les SMA et les VP pour valider la liste des services essentiels et effectuer ce travail en priorité.
- La DGSG devrait collaborer avec les SMA et les VP pour mettre à jour l'outil des PCA pour qu'il soit fonctionnel et pertinent pour les directions générales.
- La DGSG devrait élaborer et mettre en œuvre un programme officiel de surveillance afin d'assurer que les PCA sont élaborés pour tous les services essentiels et qu'ils sont mis en essai et mis à jour de façon régulière.
Annexe A – Fiche d'évaluation
Les cotes de risque mesurent le risque résiduel si la recommandation n'est pas mise en œuvre.
1 - Risque minimal
2 - Risque mineur
3 - Risque modéré
4 - Risque important
5 - Risque majeur
| Critère | Cote de risqueNote de bas de page 1 | Risque qui demeurera si la recommandation n'est pas mise en œuvre | No de rec. |
|---|---|---|---|
|
4 | La détermination de vos services essentiels est la première étape du processus d'analyse des répercussions sur les activités (ARA) et de PCA. Nous avons constaté que la liste des services essentiels n'était pas exacte. Si la recommandation 1 n'est pas mise en œuvre, le Ministère et l'Agence continueront d'avoir une liste inexacte des services essentiels, ce qui affectera leur capacité à les maintenir. | 1 |
| 3 | Le processus de PCA, y compris son outil, doit être utile et significatif pour que la direction s'en serve. Si les outils ne sont pas mis à jour pour répondre aux besoins de la direction, le processus de PCA de l'Agence et du Ministère continuera à ne pas être utilisé pour maintenir les services essentiels. | 2 | |
| 3 | Afin d’assurer que les PCA pour les services essentiels sont élaborés, mis en essai et mis à jour régulièrement, la DGSG (PNGCA) doit mettre en œuvre un programme officiel de surveillance. L’absence de la surveillance peut emporter un risque que les PCA pour les services essentiels ne soient pas élaborés, ou qu’ils ne soient pas régulièrement mis à jour ou mis à l’essai. | 3 | |
|
|||
Annexe B – À propos de l'audit
Objectif de l'audit
L'objectif de cet audit était de fournir l'assurance que le Ministère et l'Agence ont déterminé et priorisé les services essentiels dans le cadre du processus de PCA afin de garantir, en cas d'urgence ultérieure, la disponibilité continue de ses services essentiels.
Portée de l'audit
La portée de cet audit comprenait l'examen d'un échantillon de PCA pour les services essentiels déterminés, mais pas l'examen des analyses des répercussions sur les activités. Notre échantillon pour cet audit était composé de 80 PCA pour les services essentiels énumérés dans la catégorie de Préparation en cas d'urgence et intervention de lutte contre les maladies infectieuses.
Approche de l'audit
L'approche d'audit comprenait notamment les éléments suivants, sans s'y limiter :
- Entrevues avec la haute direction et les employés;
- Examens de la documentation pertinente et des contrôles connexes;
- Mises à l'essai d'un échantillon de PCA.
Énoncé de conformité
Cet audit a été réalisé conformément aux Normes internationales pour la pratique professionnelle de l'audit interne et elle est validée par les résultats du programme d'amélioration et d'assurance de la qualité du Bureau de l'audit et de l'évaluation.
Critères d'audit
Les critères d'audit ont été tirés des contrôles de gestion de base du Secrétariat du Conseil du Trésor et du Cadre de gestion du risque d'entreprise du Comité des hauts fonctionnaires. Les critères suivants ont été utilisés pour effectuer l'audit :
Critère 1 : Le Ministère et l'Agence ont élaboré des plans de continuité des activités pour assurer la continuité de leurs services essentiels et de leurs services de soutien essentiels, et ces plans sont mis à l'essai et tenus à jour pour les services essentiels déterminés.
- Les directions générales ont mis en place des plans de continuité des activités en cas de nouvelles perturbations. •
- Les directions générales veillent à ce que leurs plans de continuité des activités soient périodiquement mis à l'essai et mis à jour, et qu'ils reflètent les interdépendances avec les autres intervenants afin de s'assurer que le Ministère et l'Agence sont prêts à intervenir en cas d'une nouvelle urgence.
Détails de la page
- Date de modification :