Audit interne de la gestion de documents au moyen de la mise en œuvre de PROxI

Introduction
Observations et recommandations
Conclusion
À propos de l’audit interne

Introduction

1. Le Bureau du vérificateur général (le Bureau) est tenu de respecter les objectifs de la Politique sur la gestion de l’information ainsi que la Directive sur la tenue de documents du Secrétariat du Conseil du Trésor du Canada (le Secrétariat). Pour satisfaire à ces exigences, le personnel du Bureau doit systématiquement utiliser un système de gestion électronique des documents et des dossiers (SGEDD) et l’information doit être stockée, protégée et rendue accessible facilement afin d’appuyer les activités opérationnelles et stratégiques du Bureau. Selon la Politique sur la gestion de l’information du gouvernement du Canada, les administrateurs généraux doivent notamment :

veiller à ce que les exigences et les activités en matière de gestion de l’information soient intégrées à tous les aspects des activités ministérielles [développement, mise en œuvre, évaluation et établissement de rapports];
veiller à ce que les décisions et les processus décisionnels soient assortis de toute la documentation justificative nécessaire pour assurer et appuyer la continuité des opérations ministérielles, permettre la reconstitution de l’évolution des politiques et des programmes, et permettre la réalisation de vérifications et d’examens indépendants;
veiller à ce que l’information soit partagée le plus largement possible à l’intérieur du ministère et avec les autres ministères, tout en respectant les exigences en matière de sécurité et de protection des renseignements personnels;
mettre sur pied un programme ou une stratégie ministériel(le) d’amélioration de la gestion de l’information, en assurer l’évaluation et produire des rapports à son sujet.

2. La Norme pour les systèmes de gestion électronique des documents et des dossiers (SGEDD) du Secrétariat précise que les « ressources documentaires à valeur opérationnelle sont des actifs stratégiques utilisés pour appuyer la prise de décisions éclairées et pour faciliter les opérations courantes et la prestation des programmes et services au gouvernement. La Directive sur la tenue de documents oblige les ministères à mettre en place les mécanismes, méthodes et outils visant à appuyer les exigences ministérielles de tenue des documents pendant tout le cycle de vie de l’information ».

3. En tant que mandataire du Parlement, le Bureau a le pouvoir spécial de mener ses activités de façon indépendante. Il doit toutefois s’acquitter d’importantes obligations relatives aux politiques publiques. La Directive sur la tenue de documents énonce de nombreuses exigences stratégiques pour les administrateurs généraux. Les ministères devaient s’acquitter de ces obligations au plus tard en mars 2014, mais, en raison des commentaires formulés par les ministères et organismes, le Secrétariat a reporté cette échéance au 31 mars 2015 afin de leur donner le temps nécessaire à la mise en œuvre de toutes les exigences. Les ministères devaient effectuer une analyse exacte et fiable de leur niveau de maturité actuel en ce qui concerne la tenue de documents, recenser les lacunes et les faiblesses en la matière et évaluer les progrès accomplis au fil du temps.

4. Afin d’atteindre ces objectifs et ceux d’autres politiques connexes, le Bureau a investi considérablement dans des systèmes de gestion électronique des documents et des dossiers. Le Bureau utilise deux grands systèmes distincts pour gérer l’information. TeamMate sert expressément à gérer les dossiers d’audit et appuie le processus d’audit. PROxI est un SGEDD essentiel que le Bureau définit comme « une suite d’outils intégrée qui simplifiera la gestion, l’entreposage, l’extraction de l’information, et permettra d’échanger celle-ci dans l’ensemble du Bureau ». La mise en œuvre de PROxI a été terminée en juin 2009.

5. Bibliothèque et Archives Canada a fourni au Bureau une autorisation de disposer de documents, qui a été mise à jour en mai 2013. Cette autorisation permet au Bureau d’éliminer certains types d’information. Selon l’autorisation, le Bureau doit également classifier adéquatement l’information et consigner les décisions prises. Il doit continuer à faire le suivi de certains types d’information, comme l’information sur la gestion et la surveillance du Bureau, et les transmettre à Bibliothèque et Archives Canada. Cela comprend les décisions prises par la haute direction hors du cadre d’un audit particulier. PROxI sert à appuyer la gestion de ce type d’information.

6. Le Bureau doit maintenant évaluer la mesure dans laquelle il a mis en œuvre des systèmes de gestion de l’information et de technologie de l’information (GI-TI) afin de satisfaire aux exigences des politiques et des règlements en vigueur liés à la gestion de l’information. Il y a un risque que le Bureau ne puisse s’acquitter de ses nombreuses obligations stratégiques. Compte tenu de ce risque, le dirigeant principal de l’audit interne a choisi d’auditer l’adoption et la mise en œuvre du système de gestion de l’information du Bureau cette année. L’audit porte essentiellement sur l’obligation du Bureau de respecter les politiques et les directives publiques sur la gestion de l’information au moyen du système PROxI. Le logiciel de gestion des dossiers d’audit, TeamMate, ne fait pas partie de l’étendue de l’audit.

Objet de l’audit

7. Nous avons examiné la structure de régie de la gestion de l’information, la mise en œuvre du système PROxI et l’analyse des écarts, le suivi de la gestion de l’information et les rapports présentés à la haute direction au cours de la période allant du 1^er janvier au 31 décembre 2013. La section intitulée À propos de l’audit interne, à la fin du rapport, donne des précisions sur l’objectif, l’étendue, la méthode et les critères de l’audit.

Observations et recommandations

Suivi et rapports

8. Un suivi efficace de la gestion de l’information permet à une organisation de déterminer quels sont les documents qui ont une valeur opérationnelle, et de décider s’il est possible ou nécessaire de se défaire de certains documents ou s’ils doivent être conservés en raison de leur valeur durable.

9. Nous avons examiné les paramètres disponibles afin de déterminer si le Bureau a établi des procédures conformes aux pratiques exemplaires pour faire le suivi de la mise en œuvre de son système de gestion électronique des documents et des dossiers. Nous avons demandé que nous soient fournis tous les paramètres visant l’utilisation du système qui pourraient indiquer que les procédures établies étaient conformes aux pratiques exemplaires en matière de gestion de l’information.

Le suivi n’est pas fondé sur des processus opérationnels reproductibles

10. Nous avons constaté que le suivi n’était pas fondé sur des processus opérationnels reproductibles, mais plutôt réalisé de façon ponctuelle ou transactionnelle. Le suivi est limité au calcul du nombre de documents sauvegardés, à l’identification des directions qui sauvegardent des fichiers dans PROxI et à d’autres paramètres généraux semblables. Nous n’avons trouvé aucun sommaire ni document d’analyse qui permettrait au lecteur de comprendre les données fournies. En fait, nous avons été informés que les données devaient être soigneusement interprétées et que quelqu’un devrait nous en expliquer le sens.

11. La Politique sur la sécurité informatique du Bureau du vérificateur général et la Politique sur la sécurité du gouvernement du Secrétariat du Conseil du Trésor du Canada (le Secrétariat) prescrivent la réalisation d’activités de suivi pour déterminer si le programme de sécurité de l’organisation est efficace. Selon les directives du Bureau, les employés peuvent sauvegarder des documents classifiés jusqu’au niveau « Protégé B » dans le dépôt PROxI. Cette exigence est la même pour tous les dépôts de documents autres que PROxI. Nous avons observé qu’aucun suivi n’avait été réalisé pour s’assurer qu’aucune information ayant une cote supérieure à « Protégé B » n’était consignée dans PROxI ou dans tout autre dépôt utilisé actuellement par le Bureau.

12. Les employés sauvegardent des documents dans des dépôts autres que PROxI. Nous avons observé que d’autres dépôts de documents sont toujours en usage au Bureau, à savoir les lecteurs C:, H:, I:, O: et S: (ce dernier permettant la lecture seulement). Bien qu’il soit possible de justifier l’utilisation d’un espace de stockage supplémentaire, par exemple en raison d’une incompatibilité avec PROxI, certains des documents sauvegardés dans ces autres dépôts devraient être versés dans PROxI.

13. Les politiques du gouvernement exigent la mise sur pied d’un mécanisme pour satisfaire aux exigences relatives à la tenue de documents tout au long du cycle de vie d’un document, y compris son élimination. En outre, il faut que l’information puisse être échangée au sein du Bureau. L’efficacité de l’échange dépend de l’accès, de l’emplacement de l’information, des conventions d’appellation et des fonctionnalités de recherche. Sans une approche uniforme pour le profilage des objets électroniques dans PROxI, l’équipe de gestion de l’information pourrait ne pas être en mesure de mener des activités d’élimination automatisées des documents.

14. Nous sommes d’avis que le suivi de l’utilisation du système PROxI et des autres dépôts de documents permettrait à l’équipe de gestion de l’information :

de vérifier l’efficacité du système;
de définir la nature et l’étendue de la formation nécessaire;
de recenser les modifications qu’il serait souhaitable d’apporter aux politiques, aux directives et aux manuels.

À mesure que des améliorations sont recensées, le suivi continu peut être révisé afin de cibler les éléments plus préoccupants.

15. En résumé — Nous avons constaté que faute de suivi, le Bureau n’avait pas l’assurance que PROxI était utilisé de façon appropriée ni que le système faisait l’objet de contrôles appropriés.

16. Recommandation — Le Bureau devrait mettre en œuvre des activités de suivi fondées sur des processus opérationnels reproductibles afin d’obtenir l’assurance que le système de gestion électronique des documents et des dossiers est utilisé aux fins prévues et permet au Bureau de s’acquitter de ses obligations en matière de gestion des dossiers. Les activités de suivi devraient viser notamment les droits d’accès, l’emplacement d’information, les conventions d’appellation, le niveau de sécurité et la capacité.

Réponse de la direction — Recommandation acceptée. L’équipe de gestion de l’information a élaboré un plan de suivi général qui, au minimum, englobe les droits d’accès, la classification des documents, les conventions d’appellation et le niveau de sécurité. Elle examine l’utilisation de PROxI sous différents angles (par exemple, le plan de classement ou l’utilisation par direction), et cette activité sera effectuée au moins une fois l’an. L’élaboration du plan est terminée, et le suivi a commencé. Si de nouveaux éléments qui doivent être systématiquement surveillés se présentent, ils seront ajoutés au plan. L’activité « Surveillance » a été ajoutée à la fonction « Gestion des connaissances et de l’information » dans PROxI afin que toute la documentation du suivi, à l’avenir, soit enregistrée au même endroit dans le plan de classement. De plus, le coordonnateur de l’accès à l’information et de la protection des renseignements personnels (AIPRP) surveillera périodiquement le système pour s’assurer que des renseignements personnels ne risquent pas d’être indûment divulgués. L’utilité et l’exactitude des rapports produits par le système seront examinées et des modifications seront apportées au besoin.

Rien n’indique que la haute direction reçoit l’information nécessaire pour exercer la surveillance voulue

17. Grâce à des rapports périodiques qui lui sont fournis sur les principaux paramètres évalués, la haute direction peut déterminer si le système de gestion électronique des documents et des dossiers (SGEDD) est utilisé efficacement et si le Bureau satisfait aux exigences de sa politique sur la gestion de l’information. Étant donné que ces rapports sont essentiels à la prise de décisions éclairées, nous nous attendions à ce qu’ils soient régulièrement présentés à la haute direction du Bureau.

18. Nous n’avons trouvé aucun élément probant indiquant que les résultats des activités de suivi ont été présentés au directeur principal de l’information, au vérificateur général adjoint des Services corporatifs ou au Conseil de direction. Nous avons examiné et analysé les réponses d’entrevues, les réponses par courriel, le site INTRAnet du Bureau et les documents fournis par les services de gestion de l’information et de technologie de l’information (GI-TI) du Bureau, mais aucun document ne vient étayer cette question d’audit. Faute de séances d’information, de rapports et de recommandations formulées à l’intention de la haute direction du Bureau, on ne sait pas exactement la façon dont le Bureau s’acquitte de ses responsabilités législatives découlant des politiques, normes, lignes directrices et directives du gouvernement du Canada.

19. Nos préoccupations concernent deux niveaux de la haute direction : le directeur principal de l’information, qui est directement responsable de la gestion de l’information, et le Conseil de direction ou tout autre organe responsable de la surveillance générale. Il incombe au Conseil de direction, entre autres, d’établir des politiques et des principes qui guident la gestion des ressources humaines et des produits, et d’affecter les ressources. Pour ce faire, il doit disposer de l’information nécessaire. Des rapports de suivi permettraient de satisfaire à ce besoin. Le directeur principal de l’information a de nombreuses responsabilités en matière de gestion de l’information. De plus, le plan stratégique du directeur principal de l’information décrit une vision, une mission et des objectifs. Sans suivi, le directeur principal de l’information ne dispose pas de preuves concrètes indiquant que la gestion de l’information cadre avec la politique et les objectifs du Bureau.

20. En résumé — Nous avons constaté que les résultats des activités de suivi n’avaient pas été présentés à la haute direction pour appuyer et éclairer les processus décisionnels et justifier les décisions prises, conformément aux exigences stratégiques.

21. Recommandation — La haute direction du Bureau devrait recevoir régulièrement des rapports de suivi et des analyses lui indiquant si le Bureau respecte les exigences relatives à la gestion de l’information et les méthodes utilisées pour y parvenir. Ces rapports doivent appuyer la prise de décisions à l’égard de tout changement devant être apporté aux politiques et aux systèmes de gestion de l’information.

Réponse de la direction — Recommandation acceptée. L’équipe de gestion de l’information présentera un rapport mensuel au dirigeant principal de l’information et à l’agent principal des finances, qui est membre de l’équipe de direction. Le rapport comprendra des statistiques sur l’utilisation de PROxI et un résumé des activités de suivi pour le mois.

Mise en œuvre et utilisation de PROxI

22. Le système PROxI se veut le dépôt de tous les dossiers ayant une valeur opérationnelle. Les caractéristiques fondamentales d’un système de gestion électronique des documents et des dossiers (SGEDD) efficace sont notamment : la propriété; le classement et la description; l’organisation; l’accès et la protection; le stockage et la conservation; et l’élimination. Outre le respect des exigences techniques du système, sa configuration et son utilisation ont une incidence considérable sur l’ensemble de ces caractéristiques essentielles. Nous nous attendions à recueillir des éléments probants indiquant que le Bureau avait vérifié s’il était nécessaire d’améliorer la mise en œuvre et l’utilisation continue de PROxI.

23. Nous avons examiné et analysé les documents fournis par les services de gestion de l’information et de technologie de l’information (GI-TI) du Bureau pour déterminer si des lacunes dans la mise en œuvre de PROxI avaient été recensées. Nous avons également eu des entretiens avec des membres clés du personnel de ces services et reçu des réponses par courriel à des questions particulières.

La mise en œuvre et l’utilisation de PROxI comportent des lacunes

24. Nous avons constaté qu’une évaluation officielle des progrès réalisés ainsi que des activités visant à mobiliser les utilisateurs et à solliciter leurs commentaires avaient eu lieu en 2010 dans le cadre d’un examen annuel de PROxI. En 2012, une autre analyse moins vaste a été réalisée. Aucune autre séance de consultation ou de rétroaction des utilisateurs n’a eu lieu depuis 2012.

25. Le rapport de 2010 a notamment indiqué que le Bureau devait accorder une attention particulière aux secteurs suivants : les droits d’accès et la nécessité de mener des activités de suivi afin de mieux comprendre les difficultés des utilisateurs. L’analyse menée en 2012 a conclu qu’un examen exhaustif de l’architecture de l’information du Bureau devait être effectué. Les deux examens ont fait ressortir des préoccupations liées à l’utilisation ainsi que le besoin d’offrir davantage de formation pour mieux appuyer la mise en œuvre du système.

26. Nous n’avons trouvé aucun élément probant indiquant que des mesures avaient été prises pour donner suite à ces analyses. Comme nous l’avons mentionné précédemment, il n’existe aucune activité de suivi régulière. Nous n’avons trouvé aucun examen exhaustif de l’architecture de l’information, ce qui avait été recommandé en 2012. Nous n’avons recueilli aucun élément probant indiquant que des changements avaient été apportés au programme de formation, ce qui avait été recommandé en 2010. Bien que des séances de formation soient offertes aux nouveaux employés, elles ne sont pas obligatoires.

27. Une des lacunes dans la mise en œuvre du système relevées par l’équipe d’audit interne est le maintien de l’utilisation de dépôts non gérés, en dépit du fait que PROxI a été mis en œuvre il y a plus de cinq ans. À l’heure actuelle, il n’existe aucun plan propre au Bureau qui tienne compte des exigences opérationnelles et de l’amélioration des fonctionnalités pour les utilisateurs. Au lieu de solutions adaptées aux besoins du Bureau, ce dernier a recours à des solutions techniques obtenues d’un fournisseur.

28. En résumé — Nous avons constaté que l’utilisation et la mise en œuvre du système PROxI comportaient des lacunes.

29. Recommandation — Le Bureau devrait effectuer un examen pour recenser les lacunes dans l’utilisation actuelle de PROxI et aussi dans le dépôt de documents. Le Bureau devrait cerner les améliorations à apporter et les mesures à prendre à cet égard afin de pouvoir faire état des progrès réalisés grâce à un suivi continu.

Réponse de la direction — Recommandation acceptée.

Le processus de suivi mis en œuvre récemment permettra de recenser les éléments du plan de classement qui doivent être modifiés.
Un examen semblable à celui mené en 2010 devrait être effectué. Compte tenu des priorités de l’équipe de gestion de l’information pour 2014, cet examen ne sera peut-être pas réalisé avant 2015.
L’équipe de gestion de l’information est au courant des lacunes de la sensibilisation à la gestion de l’information et lancera une campagne afin que tous les employés connaissent leurs responsabilités et disposent des outils pour s’en acquitter.
Maintenant que le lecteur I: est contrôlé et géré, l’équipe de gestion de l’information commencera l’examen des lecteurs O: et S:. Les besoins opérationnels liés à l’utilisation d’autres lecteurs seront corroborés et consignés, afin qu’ils puissent être pris en compte dans les améliorations futures du système.

Structure de régie

30. Selon Optimum : La revue de gestion du secteur public, « Un cadre de régie efficace permet de gérer toutes les activités de GI-TI en tenant compte du point de vue de l’ensemble de l’organisme et de faire en sorte que ces activités contribuent à la réalisation des objectifs opérationnels et stratégiques de l’institution ». Cette revue définit également trois éléments du cadre de régie de la gestion de l’information et de la technologie de l’information (GI-TI) (voir la pièce 1).

Pièce 1 — Éléments du cadre de régie de la GI-TI

Principes de régie	Les principes de régie de toutes les activités de GI-TI.
Structure de régie	Le rôle et les responsabilités des principaux intervenants dans le processus décisionnel de régie de la GI-TI, dont les comités et les unités organisationnelles des directions générales.
Processus de régie	Les différentes étapes à réaliser pour l’examen, l’évaluation et l’approbation ou le rejet des nouveaux projets de GI-TI.

Source : Optimum : La revue de gestion du secteur public, vol. 29, nos 2/3

31. Nous avons vérifié si une structure de régie adéquate a été établie pour la mise en œuvre du système et la fonction de gestion de l’information. Nous avons examiné et analysé des documents fournis par les services de gestion de l’information et de la technologie de l’information du Bureau. De plus, nous avons reçu des réponses par courriel à des questions particulières et fait des recherches sur l’INTRAnet du Bureau afin d’obtenir des politiques pour compléter l’information reçue.

La structure de régie du Bureau est faible

32. Nous avons constaté que les rôles, les responsabilités et les attentes n’avaient pas été définis de manière précise en ce qui concerne la fréquence et l’opportunité des activités de régie. Les politiques de gestion de l’information faisant partie du recueil des documents ont été approuvées en 2009. Elles auraient dû être révisées en 2011, mais cela n’a pas été fait. Peu de rôles sont définis dans les politiques et les descriptions de travail. Il est donc difficile de déterminer à qui les différentes responsabilités ont été confiées.

33. Le recueil des documents que les employés peuvent consulter sur l’INTRAnet a ses limites. Aucun instrument de politique particulier ne décrit les contrôles internes, rôles, normes, politiques, lignes directrices, directives et pratiques exemplaires pour l’ensemble du programme de gestion de l’information. Des éléments comme les métadonnées, les réseaux sociaux et le courrier électronique, par exemple, nécessitent des procédures, des normes et des lignes directrices consignées. De même, les rôles et responsabilités pour les activités clés comme le suivi du système ne sont pas clairement énoncés. Lorsque les activités ne sont pas clairement consignées en dossier, il y a un risque qu’elles n’aient pas lieu ou soient réalisées d’une façon qui va à l’encontre des attentes de la haute direction.

34. La section sur les pratiques exemplaires relatives à la gestion de l’information et à PROxI, qui fait partie du recueil des documents concernant la gestion de l’information sur le site INTRAnet du Bureau, fournit une bonne base et peut servir de référence pour les utilisateurs. Toutefois, les directives sont désuètes et profiteraient d’une information explicative. Par exemple, la section « À faire et à ne pas faire – GI » n’explique pas la raison d’être des règles, ni les conséquences possibles du non-respect des directives du Bureau. Il semble que cette page INTRAnet ait été modifiée pour la dernière fois en 2010.

35. En résumé — Nous avons constaté que le recueil des documents sur la gestion de l’information et la structure de régie étaient insuffisants pour assurer la mise en œuvre de systèmes organisationnels de gestion de l’information durables et évolués.

36. Recommandation — Le Bureau devrait mettre à jour ses politiques de gestion de l’information et rédiger des descriptions de travail afin de définir clairement les rôles et les responsabilités, d’établir les attentes envers les employés à l’égard des exigences stratégiques et d’élaborer des calendriers de mise à jour de ces politiques. Il faudrait ajouter un mécanisme permettant au Bureau de veiller à ce qu’elles soient respectées.

Réponse de la direction — Recommandation acceptée. La Politique sur la gestion de l’information sera réécrite pour clarifier les nouveaux rôles et responsabilités et les obligations redditionnelles. L’équipe de la gestion de l’information vient de terminer un examen organisationnel qui a abouti à la création de nouvelles descriptions de travail.

Conclusion

37. Compte tenu de nos observations et de nos constatations, nous avons conclu que le Bureau du vérificateur général ne surveillait pas efficacement l’utilisation et la mise en œuvre de PROxI, son système de gestion électronique des documents et des dossiers qui ne sont pas liés aux activités d’audit. Le Bureau n’est donc pas en mesure de déterminer s’il satisfait aux exigences relatives à la gestion des documents. Nous avons conclu que le recueil des documents sur la gestion de l’information du Bureau et l’utilisation de PROxI comportaient des lacunes. De plus, les activités de suivi et les rapports produits pour appuyer la surveillance exercée par la direction sont insuffisants.

À propos de l’audit interne

L’Équipe de la revue des pratiques et de l’audit interne fournit au vérificateur général, de manière indépendante et objective, de l’information, des avis ainsi que des services de consultation et de certification, dans le but d’apporter une valeur ajoutée aux pratiques d’audit et aux activités du Bureau et de les améliorer, en permettant l’apprentissage et l’amélioration continus.

Dans le cadre de notre processus normal d’audit interne, nous avons obtenu de la direction la confirmation que les constatations présentées dans ce document sont fondées sur des faits.

Objectif

L’audit interne avait pour objectif de déterminer si le Bureau du vérificateur général satisfait aux exigences relatives à la gestion des documents grâce à la mise en œuvre et l’utilisation de son système de gestion de l’information.

Étendue

L’audit interne a porté sur les secteurs du Bureau responsables de l’élaboration, de la mise en œuvre et de la maintenance du système PROxI, en particulier les secteurs de la gestion de l’information et de la technologie de l’information (GI-TI) chargés de gérer l’information.

Critère

Critère	Sources
Les administrateurs généraux ont la responsabilité de mettre sur pied un programme ou une stratégie ministériel(le) d’amélioration de la gestion de l’information, d’en assurer l’évaluation et de produire des rapports à son sujet.	Secrétariat du Conseil du Trésor du Canada, Politique sur la gestion de l’information

Questions et méthode d’audit

Pour évaluer le critère de l’audit interne, nous avons posé les questions d’audit suivantes :

Questions d’audit	Types de travaux à réaliser
Le Bureau a-t-il établi une structure de régie efficace pour ses systèmes de gestion de l’information (GI)?	Examen de la structure de régie des services internes en ce qui concerne la mise en œuvre de la fonction et des systèmes de GI.
La mise en œuvre du système PROxI comportait-elle des lacunes?	Examen des principaux documents de base portant sur la mise en œuvre du système, notamment : évaluations antérieures (officielles ou non officielles) études de cas et notes d’information pertinentes demandes d’investissement pertinentes (notes de service, etc.) plans de projet, énoncés des produits livrables, diaporamas consultations sur la satisfaction des utilisateurs feuilles de route des mesures ou des investissements futurs
a) Le Bureau a-t-il établi des procédures conformes aux pratiques exemplaires afin de faire le suivi de la mise en œuvre de son système de gestion électronique des documents et des dossiers? Ces procédures sont-elles mises en œuvre de façon efficace? b) Dans la négative, relever des exemples qui témoignent des problèmes. Ces exemples n’ont pas besoin d’être exhaustifs. (Si ces travaux sont nécessaires, ils peuvent être effectués par le personnel du Bureau.)	Examen de tous les paramètres disponibles liés à l’utilisation du système, y compris des rapports sur les sujets suivants : le contenu des dépôts des documents le nombre de documents l’échange de documents (un moyen d’un lien) l’accès aux documents le contrôle des versions et l’achèvement des documents le nombre de comptes d’utilisateur la journalisation des tâches administratives la journalisation des travaux d’audit les interactions des utilisateurs les activités d’élimination les activités de conservation le nombre de documents de chaque utilisateur (auteur) les dossiers d’authentification (ouvertures et fermetures de session) ce qui est enregistré (types d’information) ce qui n’est pas enregistré (autres options de stockage)
Les résultats des activités de suivi ont-ils été présentés à la haute direction pour appuyer les processus décisionnels et justifier les décisions prises, conformément aux exigences stratégiques?	Examen des rapports actuels ou antérieurs qui ont éclairé ou guidé des décisions à l’égard d’un investissement continu (ressources humaines ou financières).

De plus, nous nous sommes entretenus avec des membres clés du personnel pour vérifier et accroître notre compréhension des faits.

La direction a examiné les critères de l’audit interne et elle en a reconnu la validité.

Période visée par l’audit

L’audit interne visait la période allant du 1^er janvier au 31 décembre 2013. Certaines informations, en particulier celles liées à la deuxième question, sont antérieures à la période ayant fait l’objet de l’audit. Les travaux d’audit interne dont il est question dans le présent rapport ont été terminés le 8 avril 2014.

Équipe d’audit interne

Dirigeant principal de l’audit interne : Ron Bergin
Directrice : Heather Miller

Expert-conseil : David Peterson

Pour obtenir de l’information, veuillez téléphoner à la Direction des communications : 613-995-3708 ou 1-888-761-5953 (sans frais).

Sélection de la langue

Recherche et menus

Recherche et menus

Audit interne de la gestion de documents au moyen de la mise en œuvre de PROxI

Audit interne de la gestion de documents au moyen de la mise en œuvre de PROxI

Introduction

Objet de l’audit

Observations et recommandations

Suivi et rapports

Le suivi n’est pas fondé sur des processus opérationnels reproductibles

Rien n’indique que la haute direction reçoit l’information nécessaire pour exercer la surveillance voulue

Mise en œuvre et utilisation de PROxI

La mise en œuvre et l’utilisation de PROxI comportent des lacunes

Structure de régie

Pièce 1 — Éléments du cadre de régie de la GI-TI

La structure de régie du Bureau est faible

Conclusion

À propos de l’audit interne

Objectif

Étendue

Critère

Questions et méthode d’audit

Période visée par l’audit

Équipe d’audit interne