Rapport d’audit interne de la Division des installations et des services administratifs

1. Contexte

Introduction

L’Audit interne (AI) réalise des missions d’assurance pour déterminer si les processus de gestion du risque, de contrôle et de gouvernance du Bureau du surintendant des institutions financières Canada (BSIF), tels qu’ils ont été conçus et présentés par la direction, sont adéquats et fonctionnent de manière à ce que les risques soient bien identifiés et pris en charge, et pour veiller au respect des exigences sous forme, notamment, de politiques, de plans, de procédures ainsi que de lois et de leurs règlements d’application.

L’audit de la Division des installations et des services administratifs a été recommandé par le Comité d’audit du BSIF, et le surintendant en a approuvé l’inclusion dans le Plan d’audit interne 2016-2017 du BSIF.

Contexte

La Division des installations et des services administratifs (DISA), y compris les biens immobiliers et l’information s’y rattachant, constituent « des ressources ministérielles importantes qui, lorsque bien gérées, permettent des décisions éclairées et une exécution efficace et efficiente des programmes gouvernementaux tout en facilitant les initiatives horizontales »^{Note de bas de page 1}.

En 2015-2016, les coûts au titre des installations et des services administratifs du BSIF ont totalisé quelque 15 M$, soit environ 20 % du total des charges de l’organisation. Il importe que le BSIF passe périodiquement en revue les attributions en lien avec la planification et la fourniture des services administratifs et liés aux installations en faisant preuve de rigueur budgétaire.

Au BSIF, la DISA relève du directeur, Services de sécurité et d’administration, qui relève lui-même du directeur général, Ressources humaines et administration. Le portefeuille des installations englobe quatre (4) immeubles situés à Ottawa, Toronto, Montréal et Vancouver.

La gestion des installations relève conjointement du BSIF et de Services publics et Approvisionnement Canada (SPAC). Le programme de la DISA est régi par la Politique sur la gestion des biens immobiliers du Secrétariat du Conseil du Trésor et par certains articles de la Loi sur la gestion des finances publiques et de la Loi sur les immeubles fédéraux et les biens réels fédéraux.

2. Paramètres de l’audit

Objectifs de l’audit

Les objectifs de l’audit :

• évaluer l’efficience et l’efficacité des principaux processus et contrôles administratifs de la DISA;
• veiller à ce que les politiques, les pratiques et les contrôles permettent de planifier et de gérer les activités liées aux installations, ce qui comprend la gestion appropriée des dépenses de l’organisation;
• recenser les pratiques exemplaires utiles pour la DISA que le BSIF devrait songer à mettre en œuvre, le cas échéant.

Portée de l’audit

Étaient visés par l’audit :

• les attributions liées à la planification, à la supervision et à la fourniture d’une gestion efficace des installations et des services administratifs;
• les politiques, pratiques et contrôles appuyant la gestion efficace et efficiente de la planification, de l’optimisation et de la gestion de l’espace; des demandes de services; de la gestion de l’inventaire, du suivi de l’accessibilité et des achats. Ce dernier volet de l’audit ciblait les dépenses au titre des services de communication, des fournitures de bureau et du mobilier compte tenu de leur importance historique.

Puisque l’audit visait à examiner et à évaluer les processus liés aux installations et aux services administratifs, il ne couvrait pas :

• la négociation des baux, y compris l’approvisionnement contractuel, qui est assuré de concert avec SPAC;
• les processus liés à la sécurité matérielle, y compris les incendies et les urgences, puisqu’ils relèvent des services de sécurité du BSIF;
• la gestion de l’environnement et des déchets puisque toutes les installations sont louées et n’appartiennent pas à l’organisation.

L’audit a porté sur les activités et les transactions liées aux installations et aux services administratifs qui ont été effectuées entre le 1er avril 2015 et le 31 mars 2016.

Approche de l’audit

L’approche et la méthodologie globales employées pour réaliser l’audit proprement dit comprenait l’examen de la documentation et des entrevues auprès des principaux responsables des processus afin de mieux comprendre et évaluer les principaux processus et contrôles administratifs.

Les critères d’audit énoncent les éléments et les autres composantes ayant servi à évaluer les installations et les services administratifs. Ces critères se fondent sur le cadre intégré de gestion du risque d’entreprise du Committee of Sponsoring Organizations of the Treadway Commission (COSO), qui est reconnu à l’échelle internationale).

Les principaux contrôles de gouvernance, de gestion de l’inventaire, des achats et du suivi ont été évalués afin de déterminer si leur conception et leur efficacité opérationnelle sont adéquates. Les principaux processus opérationnels ont aussi été examinés et évalués au regard des pratiques sectorielles exemplaires.

Une fois l’audit proprement dit achevé, un sommaire des observations a été préparé et communiqué au directeur général, Ressources humaines et administration, afin de discuter des observations préliminaires et de les valider.

Le Protocole de rapport de la Vérification interne du BSIF a été suivi tout au long de la mission d’audit.

Déclaration de conformité

L’audit a été effectué conformément aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des vérificateurs internes (IVI), à la Politique sur la vérification interne du Secrétariat du Conseil du Trésor (SCT) et aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui sont appuyées par les résultats du programme d’amélioration et d’assurance de la qualité.

3. Catégories d’observations

Catégories d’observations

Les observations sont classées par catégorie afin d’aider la direction à affecter les ressources nécessaires pour combler les lacunes décelées et / ou améliorer les contrôles internes et / ou l’efficacité opérationnelle. Ces notes laissent place à une interprétation et la direction doit les interpréter selon sa propre expérience et propension à prendre des risques.

Les observations sont classées en trois catégories :

Observation prioritaire – une attention immédiate est requise compte tenu soit d’une lacune significative au plan d’un contrôle (c.-à-d., il n’y a pas de contrôle ou le contrôle est mal conçu ou ne fonctionne pas efficacement) soit d’une possibilité d’améliorer considérablement les opérations.

Observation à priorité moyenne – il faut combler une lacune au plan d’un contrôle ou améliorer les opérations à court terme.

Observation à faible priorité – observation non essentielle à laquelle on peut donner suite soit en resserrant un contrôle interne soit en améliorant les opérations, normalement à peu de frais et d’efforts.

Le classement ne doit pas être considéré en vase clos; il faut également tenir compte de son incidence sur d’autres objectifs et domaines.

4. Résultats de la mission

Sommaire

La Division des installations et des services administratifs (DISA) est dotée d’un mandat défini qui énonce son engagement à assurer un environnement de travail sûr, sécuritaire et confortable à tous les employés du BSIF. Pour s’en acquitter, elle favorise l’établissement de relations efficaces pour coordonner l’offre et la demande d’installations à bureaux ainsi que de biens et de services relatifs aux installations afin d’assurer au BSIF une valeur optimale.

La DISA comprend les tendances organisationnelles du BSIF et a recours à diverses pratiques opérationnelles éprouvées qui pourraient, dans certains cas, être renforcées et/ou révisées en investissant des ressources dans les éléments de planification, de suivi et de gestion du rendement de ses responsabilités de base, comment l’indiquent nos observations.

5. Réponse de la direction

Réponse

Le directeur, Services de la sécurité et de l’administration, récemment nommé à son poste au sein de la Division des ressources humaines et de l’administration, remercie l’AI de ses constatations et recommandations au sujet de la fonction Installation et services administratifs. L’audit a été utile pour confirmer les points forts connus et recenser quelques aspects auxquels on pourra apporter des améliorations mineures en 2017-2018.

6. Observations et recommandations

1. Gestion de l’espace de travail

Observation à priorité Moyenne

Une planification efficace de l’espace requiert la participation de la DISA et de la gestion opérationnelle et la collaboration entre elles pour optimiser l’espace existant et planifier les besoins futurs de manière proactive. La DISA tient une réunion annuelle de planification pour discuter des leçons tirées de l’exercice précédent et anticiper les changements au cours de la prochaine année. Comme ces rencontres sont peu fréquentes et plus ou moins structurées, elles ne permettent pas toujours à la DISA de comprendre, d’examiner et d’intégrer les renseignements et/ou les mesures opérationnelles clés à l’exercice annuel de planification de l’espace et au budget.

À l’heure actuelle, la DISA n’emploie pas d’indicateurs de rendement clés (IRC) établis en lien avec le rendement global et les priorités de la fonction comme l’exige la Politique sur la gestion des biens immobiliers du Secrétariat du Conseil du Trésor. À défaut d’IRC, il est difficile pour la DISA et pour la haute direction d’évaluer le rendement global, les tendances et les possibilités d’amélioration de la fonction de gestion des installations.

Recommandations

La DISA devrait instaurer une approche intégrée et proactive de planification de l’espace qui prévoit la mobilisation de la gestion opérationnelle. Par exemple, des réunions trimestrielles entre les responsables de services/groupes et des représentants de la DISA pour discuter de façon proactive des plans actuels et futurs de dotation et des besoins d’espace et d’installations pourraient fournir de meilleures perspectives afin d’aider la DISA à s’acquitter de son mandat.

La DISA devrait élaborer et suivre des IRC organisationnels et en rendre compte. On pourrait notamment faire le suivi des données suivantes :

• Nombre d’employés au mètre carré;
• Nombre de déménagements, d’ajouts et de changements par année, de même que les coûts correspondants;
• Coûts de fonctionnement au pied carré;
• Rendement au regard des normes de service.

Une fois les IRC au point, la DISA devrait songer à établir et à mettre en œuvre un cycle redditionnel à l’intention de la direction du BSIF pour favoriser la communication transparente et continue.

Mesures préconisées par la direction

Planification et IRC

La planification de l’espace est un exercice foncièrement difficile compte des différents horizons de planification. La DISA travaille avec SPAC sur les baux sur une période de cinq à dix ans, alors que des changements à l’effectif peuvent survenir en quelques semaines ou mois à peine. Nous reconnaissons néanmoins que nous devrions planifier l’espace de façon plus intégrée et plus proactive, et sensibiliser davantage la haute direction. Pour ce faire, depuis le troisième trimestre de 2016-2017, les équipes de la DISA et des ressources humaines se rencontrent chaque trimestre pour passer en revue l’arrivée prochaine de nouveaux employés et les départs prévus afin d’optimiser l’utilisation de l’espace dont nous disposons et planifier les besoins de façon proactive.

La DISA mettra en place des mécanismes supplémentaires pour veiller à ce que la planification de l’espace tienne compte des résultats du processus annuel de planification des RH (d’ici le premier trimestre de 2017-2018), et elle organisera des rencontres périodiques avec la haute direction afin de cerner les besoins d’espace (d’ici le deuxième trimestre de 2017-2018).

La DISA déterminera quelles mesures pourraient servir à suivre le rendement global de la fonction de gestion des installations au BSIF tout en tenant compte de l’effort requis pour obtenir ces renseignements, et elle travaillera avec l’équipe de la planification intégrée pour intégrer ces données aux rapports périodiques sur les IRC destinés à la haute direction (d’ici le quatrième trimestre de 2017-2018).

2. Gestion de l’actif

Observation à priorité moyenne

Conformément aux lignes directrices du BSIF, la DISA joue un rôle important dans la collecte et la tenue de données sur l’actif incorporel. Elle tient deux (2) séries de plans d’étage à l’aide d’Adobe; l’un est utilisé pour gérer les stocks et l’autre permet de suivre l’espace et l’emplacement des bureaux des employés. Puisque le logiciel d’Adobe n’est habituellement pas considéré comme un solide outil de gestion des actifs, le suivi des stocks est limité à l’heure actuelle.

Au cours de l’audit, nous avons comparé les plans d’étage aux actifs effectivement en main. On a relevé des écarts entre ce qu’indiquent les plans d’étage et l’emplacement réel des actifs. Plus précisément, les plans d’étage liés à l’inventaire ne font pas état du matériel audiovisuel de grande valeur et il n’y a pas d’autre mécanisme de suivi des stocks permettant de garder la trace de ce matériel.

À défaut d’un système de suivi/contrôle des actifs, la DISA pourrait ne pas être en mesure d’assurer la gestion du cycle de vie et de ce matériel et d’en planifier adéquatement le remplacement. Le risque de détournement d’actifs est aussi plus grand.

Recommandations

La DISA devrait mettre au point un processus plus rigoureux afin d’assurer un suivi et un contrôle plus précis des actifs liés aux installations et d’en rendre compte de façon plus exacte, ce qui aidera à suivre adéquatement les actifs qui pourraient être perdus ou volés, ou ne pas être prêts au moment où l’on en a besoin.

La DISA voudra sans doute songer à fixer un seuil monétaire et assurer le suivi des articles ou catégories d’articles de valeur égale ou supérieure à ce seuil.

Mesures préconisées par la direction

Catégorisation et suivi des actifs

À la lumière de nos entretiens avec le dirigeant principal des finances, nous croyons savoir que l’on a déjà discuté des coûts/avantages du suivi d’autres actifs (au-delà du matériel audiovisuel de grande valeur) et que l’on avait conclu qu’en raison du fait que le coût et l’effort requis pour instaurer un système de suivi sont plus importants que le risque de perte ou de détournement, il n’y avait pas de raison d’aller de l’avant.

Nous reconnaissons toutefois qu’aux fins de la gestion du cycle de vie, il conviendrait de mieux suivre et contrôler des actifs comme le matériel de vidéoconférence. Nous allons donc instaurer le suivi du matériel audiovisuel au troisième trimestre de 2017-2018.

3. Attributions en lien avec les demandes de services

Observation à faible priorité

La DISA est dotée d’un mandat défini qui énonce son engagement à assurer un environnement de travail sûr, sécuritaire et confortable à tous les employés du BSIF. Pour s’en acquitter, elle favorise l’établissement de relations efficaces pour coordonner l’offre et la demande d’installations à bureaux ainsi que de biens et de services relatifs aux installations afin de tirer une valeur optimale de l’espace que loue le BSIF.

Le catalogue de services et les normes opérationnelles standard de la DISA aident cette dernière à s’acquitter d’importantes responsabilités. On y retrouve le détail des rôles et des responsabilités et des procédures pour mener à bien les tâches de la Division.
Comme l’indiquent ces deux documents, l’une des principales attributions du personnel de la DISA consiste à répondre aux demandes de services. Les procédures opérationnelles et le catalogue décrivent les types de demandes de services et les délais de réponse recommandés.

Les demandes de services sont transmises par courriel (Outlook), en personne ou par téléphone. Il n’y a pas de mécanisme de consignation centralisée des demandes. La DISA n’est donc pas en mesure de suivre et de surveiller les demandes antérieures et en cours ou les normes de services, comme les délais de réponse, et d’en rendre compte.

De plus, les attributions de la DISA ne sont pas communiquées fréquemment aux employés du BSIF, de sorte que ces derniers ne comprennent pas clairement quels services relèvent ou non de la DISA. Cela ajoute à la charge du personnel de la DISA des demandes qui ne relèvent pas de son mandat (demandes de salles de réunion et d’aménagement souhaité des tables, aménagement de salles de réunion, nettoyage, etc.).

Malgré l’expansion significative du BSIF dans son ensemble, la taille de la DISA est demeurée relativement constante, ce qui a obligé cette dernière à mettre de côté des aspects plus proactifs de son mandat pour répondre à de très nombreuses demandes de services.

Recommandations

La DISA aurait avantage à diffuser plus fréquemment son catalogue de services à tous les employés du BSIF. Ceux-ci seraient ainsi mieux renseignés et comprendraient mieux son rôle, de même que les types de services fournis et les délais de prestation à prévoir.

La DISA pourrait aussi songer à mettre en place un processus, une technologie ou un mécanisme pour suivre de façon centralisée et rendre automatiquement compte des activités liées aux services (demandes antérieures, temps de réponse, etc.). Les données ainsi obtenues l’aideraient à établir des normes de service appropriées pour ses différentes activités.

Mesures préconisées par la direction

Gestion des demandes de services et communication du catalogue de services

Nous convenons que la gestion centralisée des demandes de services pourrait être grandement améliorée en utilisant un système automatisé de suivi et de rapport. La DISA a déjà un plan en place en collaboration avec la GI-TI pour se doter d’un tel mécanisme, et sa mise en œuvre est prévue pour le quatrième trimestre de 2017-2018. Ce projet comprend l’intégration du catalogue de services de la DISA et sera donc communiqué à tous les employés du BSIF dans le cadre de sa réalisation.

4. Approvisionnement

Observation à faible priorité

Processus et procédures

La DISA assure l’approvisionnement en biens et services de nature diverse pour les installations et les employés du BSIF. Elle utilise présentement la politique du BSIF sur la passation des marchés pour guider l’obtention de ces biens et services. Par contre, son modèle d’affaires et ses pratiques d’achat diffèrent de celles du groupe de l’approvisionnement et de la passation des marchés du BSIF, surtout en ce qui touche l’obtention et le paiement des services publics, la gestion de l’espace et les services immobiliers. À l’heure actuelle, il n’y a aucun document expliquant la marche à suivre pour les achats de ce type et la DISA s’en remet largement au savoir interne pour répondre à ces besoins.

De plus, les opérations de la DISA sont décentralisées; sa haute direction est à Ottawa et elle dispose d’une équipe à Toronto. Il n’y a présentement pas de documents répartissant les attributions en matière d’achat entre ces deux groupes; prescrivant la marche à suivre pour les achats; ou décrivant les biens admissibles.

Services BlackBerry et facturation

Il revient à la direction de la DISA de passer en revue et d’approuver les frais mensuels de mobilité et de données des appareils BlackBerry. Un échantillon de 25 transactions d’achats liés aux installations, y compris deux (2) factures BlackBerry, a été constitué sur la base du jugement à des fins de contrôle. Les frais mensuels par employé pour les services BlackBerry devraient s’élever à 17,94 $ plus les frais d’utilisation de données et de voix, d’après le forfait convenu avec le fournisseur de services du BSIF. D’après les deux factures examinées, les frais moyens par employé représentent plus du double du tarif du forfait négocié. L’examen d’autres comptes où les frais mensuels dépassent 250 $ révèle que la majorité des coûts étaient liés à des voyages à l’étranger et à des frais d’itinérance.

La DISA pourrait être la mieux placée pour remettre en question les tendances de la facturation de certains services pour le compte du BSIF.

Recommandations

La DISA pourrait songer à élaborer et mettre en place des lignes directrices établissant en détail les attributions des équipes d’Ottawa et de Toronto en ce qui a trait aux achats. Les schémas que nous avons élaborés pendant l’audit seront transmis à la DISA pour lui faciliter cette tâche.

Les dirigeants de la DISA pourraient songer à examiner régulièrement les factures périodiques, y compris le forfait BlackBerry en place, pour déterminer s’il serait possible de réduire les coûts ou de mieux aligner les services avec les besoins des employés du BSIF.

Mesures préconisées par la direction

Documentation

Les procédures opérationnelles de la DISA et la documentation pertinente sont déjà disponibles. Nous passerons en revue les schémas établis par l’AI et les utiliserons comme point de départ lorsque nous mettrons la documentation pertinente à jour, d’ici la fin du troisième trimestre de 2017-2018.

La DISA a mis en place un mécanisme d’examen des factures BlackBerry au deuxième trimestre de 2016-2017. Nous avons constaté une évolution positive des comportements et continuerons de suivre la situation.