Audit de la planification et de la préparation en cas d’urgence

 

Préparer par : Bureau de l'audit et de l'évaluation

Ce rapport a été recommandé pour approbation par le Comité ministériel d'audit (CMA) le 26 avril 2021.

Ce rapport a été approuvé par le président du CNRC le 11 mai 2021.

No de catalogue : NR16‑357/2021F‑PDF

ISBN : 978‑0‑660‑38900‑4

Sommaire et conclusion

Contexte

En vertu de la Loi sur la gestion des urgences (2007), tous les ministères et organismes fédéraux sont tenus de préparer des plans qui définissent les risques et les stratégies d'atténuation se rattachant à la gestion des urgences (GU). L'objectif fondamental de la GU est de sauver des vies, de préserver l'environnement et de protéger les biens et l'économie, en utilisant une approche axée sur tous les risques pour établir des plans et des interventions en cas de dangers et de catastrophes d'origine naturelle et humaine.Note de bas de page 1

Toutes les institutions fédérales ont la responsabilité de développer, de maintenir, de mettre à l'essai et d'appliquer des plans de GU qui tiennent compte des risques propres à leur sphère de responsabilité. La GU fait référence à la gestion de tous les risques, y compris les activités et les mesures de gestion des risques qui se rapportent à des éléments identifiés dans les quatre grands piliers de la GU (la prévention et l'atténuation, la préparation, l'intervention, et le rétablissement).

Dans le cadre du processus annuel de planification de la vérification fondée sur les risques de 2019–2022, le Bureau de la vérification et de l'évaluation du Conseil national de recherches du Canada (CNRC) a déterminé que l'audit de la planification et de la préparation en cas d'urgence était hautement prioritaire. Cette évaluation se basait sur les risques inhérents et le besoin de veiller à ce que le CNRC soit prêt en cas d'urgences. L'objectif de l'audit était de fournir une assurance que le CNRC ait mis en place un plan complet d'urgence qui aide une intervention coordonnée et efficace dans l'éventualité d'une urgence. En se fondant sur les politiques et directives du Conseil du Trésor ainsi que sur toutes les exigences en matière de sécurité publique, cet audit a permis d'évaluer le caractère adéquat et l'application de la planification et de la préparation en cas d'urgence, ainsi que la façon dont les résultats sont pris en compte pour assurer l'atténuation des principaux risques. En bref, cet audit a porté uniquement sur la prévention, l'atténuation et la préparation, soit les deux premiers des quatre piliers de la GU.

Opinion et conclusion de l'audit

À mon avis, en ma qualité de dirigeante principale de la vérification, bien que la planification et la préparation de la GU correspondent bien aux exigences législatives et politiques, il est nécessaire de renforcer le modèle d'évaluation des risques pour la planification de la GU afin de mieux refléter l'environnement opérationnel à risque du CNRC. L'audit a également permis d'identifier des possibilités d'amélioration de la formation, des exercices et des manœuvres pour sensibiliser le personnel à l'amélioration continue.

Principaux points à retenir

Dans l'ensemble, l'audit a révélé que le CNRC avait mis en œuvre tous les éléments nécessaires à l'exécution d'un programme efficace de GU, conformément aux lignes directrices du Guide pour la planification de la gestion des urgences. En ce qui a trait à la gouvernance, l'équipe de GU du CNRC a connu une augmentation en taille et en capacité. La matrice de responsabilité et d'imputabilité du programme de GU a été examinée par tous les intervenants. Cela a permis la clarté et la bonne exécution des rôles et les responsabilités des membres du Comité de gestion de la sécurité (CGS), des agents chef d'urgence de l'immeuble (ACUI), des responsables d'immeuble (RI), du coordinateur du programme de GU et des membres du Centre des opérations d'urgence.

Un Comité de gestion de la sécurité (CGS) a été créé pour conseiller le président, par l'intermédiaire du comité de la haute direction du CNRC, sur les questions relatives au programme de gestion des urgences. De plus, il a été observé que la Direction de la sécurité a nommé un coordonnateur du programme de GU du CNRC chargé de coordonner l'ensemble du programme.

Bien que le programme de GU dispose des ressources nécessaires pour soutenir ses activités de GU, des possibilités d'amélioration ont été relevées en ce qui concerne le développement d'un système officiel de gestion de l'information (GI) et d'un dépôt pour permettre aux personnes qui ont un rôle dans la GU un accès rapide à la documentation. Cela comprend les évaluations tous risques (ETR) du CNRC et les plans d'intervention d'urgence de l'immeuble (PIUI) de toutes les régions.

L'audit a révélé que le plan de communication en cas de crise (PCC), le plan de gestion des évènements de cybersécurité et le plan stratégique de la gestion des urgences (PSGU) étaient en place et qu'ils fonctionnaient comme prévu. Le PSGU a été révisé et mis à jour en 2020. Bien que des PIUI soient disponibles pour tous les immeubles occupés, nous avons constaté que les PIUI n'avaient pas tous été examinés et mis à jour sur une base annuelle. Les PIUI réduisent les risques associés à des immeubles particuliers et sont donc essentiels pour compléter le PSGU global.

Les procédures décrites dans les plans susmentionnés placent l'équipe de GU en bonne position pour évaluer rapidement la taille et la portée d'un incident et établir des communications internes et externes proportionnelles afin de traiter les problèmes. Des outils de communication interne tels que la messagerie texte et les courriels d'ALERTE du CNRC ont été mis au point pour contacter les employés en cas d'urgence. Ces outils ont fait leurs preuves lors d'exercices et permettent de promouvoir efficacement la sensibilisation et l'éducation du public à la GU par le biais de diverses activités et initiatives au cours des semaines à thème (p. ex., semaine de la sécurité).

Les employés qui occupent des rôles propres à la GU reçoivent de la formation spécialisée conformément aux exigences décrites dans le PSGU. Des possibilités d'amélioration ont été identifiées afin de mettre en place une approche plus cohérente en ce qui a trait à la formation des responsables d'immeuble et des membres de l'équipe de commandement en cas d'incident. Cela permettrait de faire face au risque de roulement du personnel et au degré élevé d'interdépendance et de délégation des tâches propre à ces rôles.

L'audit a révélé que le CNRC avait développé un modèle standard d'évaluation tous risques (ETR) et prévoyait de procéder à des évaluations annuelles des sites, dont la première série a eu lieu tout au long de 2019. Bien que les risques énumérés dans le modèle correspondent à la taxonomie des risques fournie dans le guide de GU, il existe des possibilités d'amélioration pour renforcer le modèle et le processus d'examen des évaluations tous risques ainsi que pour améliorer le processus de remise en question de la cohérence et de la pertinence des données issues des évaluations tous risques soumises. Davantage de clarté est également nécessaire quant à l'appropriation des recommandations et à leur état de mise en œuvre.

Recommandations

  1. La vice‑présidente des Services corporatifs et chef de la direction financière devrait veiller à ce que les efforts se poursuivent pour mettre à jour les plans d'intervention en cas d'urgence de l'immeuble, au besoin.

    [Priorité : modérée]

  2. La vice‑présidente des Services corporatifs et chef de la direction financière devrait veiller à ce que le modèle d'évaluation tous risques soit renforcé afin de garantir qu'une approche cohérente et documentée soit adoptée pour l'identification, l'analyse des risques et les justifications entourant les approbations du classement des risques.

    [Priorité : modérée]

  3. La vice‑présidente des Services corporatifs et chef de la direction financière, en consultation avec le Comité de la haute direction, devrait déterminer les processus d'appropriation, de surveillance et de suivi des risques liés à la mise en œuvre des plans d'action identifiés dans le registre des risques de la GU.

    [Priorité : modérée]

  4. La vice‑présidente des Services corporatifs et chef de la direction financière devrait s'assurer que les efforts se poursuivent dans les domaines suivants :

    1. mettre en place une formation cohérente correspondant au PSGU;
    2. renforcer l'approche du suivi de la formation et des exercices;
    3. adopter l'utilisation du système et du dépôt officiels de GI.

    [Priorité : modérée]

Énoncé de conformité

La mission d'audit a été exécutée conformément aux Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors et à son code de déontologie, comme le confirment les résultats du Programme d'assurance et d'amélioration de la qualité du CNRC.

Alexandra Dagger, vérificatrice interne certifiée (CIA) et dirigeante principale de la vérification

Remerciements

L'équipe de l'audit tient à remercier les personnes qui ont collaboré à l'exercice d'audit afin de faire ressortir les forces du CNRC et les possibilités d'améliorations pertinentes liées à ce projet d'audit.

1.0 Introduction

En vertu de la Loi sur la gestion des urgences (2007), tous les ministères et organismes fédéraux sont tenus de préparer des plans qui définissent les risques et les stratégies d'atténuation en lien avec la GU. La gestion des urgences concerne tous les risques, y compris ceux liés à des évènements naturels ou d'origine humaine. Elle comprend toutes les activités et mesures de gestion des risques qui se rapportent à des éléments identifiés dans les quatre piliers (prévention et atténuation, préparation, intervention et rétablissement). Conformément à la Loi sur la gestion des urgences, les institutions fédérales ont la responsabilité de développer, de maintenir, de mettre à l'essai et d'appliquer des plans de GU qui tiennent compte des risques propres à leur sphère de responsabilité.

Afin d'aider les fonctionnaires, les gestionnaires et les coordonnateurs fédéraux responsables de la planification de la GU, un Guide pour la planification de la gestion des urgences 2010–2011 a été préparé par Sécurité publique Canada. Le guide comprend le déroulement des activités de GU, un modèle de Plan stratégique de gestion des urgences (PSGU), des instructions étape par étape, des outils et des conseils pour développer et maintenir un PSGU complet. Selon le guide, la gestion des urgences s'applique à tous les risques, y compris toutes les activités et mesures de gestion des risques qui se rapportent aux quatre piliers.

Figure 1. Continuum de la gestion des urgences

 
""
Figure 1 - Version textuelle

Le continuum de la gestion des urgences est représenté par une roue dans laquelle les quatre fonctions de la gestion des urgences, fonctions étant associées au risque, sont inter reliées ainsi qu'interdépendantes dans un système allant de la prévention et de l'atténuation à la préparation, à l'intervention et au rétablissement. Ce système démontre que l'efficacité d'un tel système de gestion des urgences assure la mise en place d'efforts de prévention et de préparation afin de permettre qu'une intervention et qu'un rétablissement soient possibles suite à un incident.

Au centre de la roue se trouvent les éléments principaux qui influencent le développement d'un Plan stratégique de la gestion des urgences (PSGU). Ces éléments sont les suivants : l'analyse environnementale, le leadership responsable, l'évaluation tous risques, la formation, les exercices, le processus d'amélioration des capacités et l'évaluation de la performance.

 

Pourquoi cet audit est‑il important?

Les menaces et les risques pour la population canadienne et le Canada deviennent de plus en plus complexes en raison de la diversité des dangers naturels qui ont des répercussions sur notre pays. Les urgences dans l'environnement actuel ont une origine naturelle (inondation, séisme, tempête de verglas ou éclosion de maladie infectieuse) ou sont causées par l'homme (déversement de substances dangereuses, cyberattaque ou acte terroriste). Dans le cadre du processus annuel de planification fondée sur les risques de 2019–2020, le Bureau de la vérification et de l'évaluation a déterminé que l'audit de la planification et de la préparation en cas d'urgence était hautement prioritaire en raison des risques inhérents et du besoin de veiller à ce que le CNRC soit prêt en cas d'urgences.

2.0 L'audit

Objectif

L'objectif de cet audit était de fournir l'assurance que le CNRC ait mis en place des mécanismes complets de planification et de préparation en cas d'urgence qui aide une intervention coordonnée et efficace dans l'éventualité d'une urgence.

Plus précisément, l'audit interne a examiné si le CNRC avait :

  • dressé un PSGU aligné sur les exigences des politiques et qui privilégie une approche commune de GU;
  • établi des programmes, des mesures et des directives pour la préparation et l'entretien des activités de GU;
  • affecté des ressources suffisantes avec les capacités requises pour soutenir la planification et la préparation en cas d'urgence.

Portée

L'audit s'est limité à l'évaluation des deux éléments du cadre de gestion des urgences du CNRC et de sa mise en œuvre : la prévention et l'atténuation, et la préparation. Ces deux éléments constituent les deux premiers piliers de la GU illustrés dans la figure 1 ci‑dessus.

Approche et méthodologie

L'audit a été effectué en conformité avec les normes de l'Institute of Internal Auditors (IIA) et les Normes relatives à la vérification interne au sein du gouvernement du Canada, comme exigé par la Politique sur l'audit interne du Conseil du Trésor.

Des procédures et des tests d'audit fondés sur les risques ont été développés et définis dans le cadre d'un programme d'audit formel et ont été utilisés pour évaluer les pratiques du CNRC par rapport aux exigences législatives et aux lignes directrices.

Le programme d'audit comprenait les procédures suivantes :

  • entrevues avec les intervenants clés;
  • examen de la documentation pertinente, y compris les documents‑cadres, politiques, directives, procédures, rapports, programmes de formation et dossiers, ainsi que le mandat et les comptes rendus de réunion de comité;
  • détermination et examen des principaux systèmes d'information en place;
  • examen et analyse de la méthode d'évaluation des dangers du CNRC et du choix (p. ex., inspection des évènements dangereux et production de rapports);
  • visites sur place.

Les critères d'audit détaillés sont présentés à l'annexe A.

3.0 Constatations et recommandations de l'audit

Chacune des sections ci‑dessous contient un résumé des constatations étayé d'observations détaillées, une description des risques et de leur incidence, et des recommandations qui portent sur les aspects susceptibles d'améliorations.

3.1 Gouvernance et stratégie

Sommaire des résultats

L'audit a permis de constater que le CNRC dispose d'une structure de gouvernance de GU clairement définie et que celle‑ci établit les obligations et les responsabilités respectives des intervenants de la GU. Cette structure de gouvernance a été bien communiquée et soutient efficacement l'approche coordonnée des activités de GU et permet, dans une situation d'urgence, de fournir les renseignements et les conseils nécessaires au président et au CNRC dans son ensemble.

L'audit a constaté que le programme a identifié et communiqué les principales obligations et responsabilités des employés du CNRC qui ont des rôles particuliers à jouer relativement à la GU. Un Comité de gestion de la sécurité (CGS) a été mis sur pied. Il conseille le président par l'intermédiaire du Comité de la haute direction (CHD), et son fonctionnement repose sur un cadre stratégique et opérationnel élaboré conformément au Guide de la planification de la GU et à la Loi sur la gestion des urgences. Ses membres se réunissent régulièrement pour s'assurer qu'une orientation stratégique et opérationnelle pour la GU est fournie en temps opportun à la fois à l'échelle ministérielle et à l'échelle régionale/locale.

Selon l'audit, les intérêts et les responsabilités de tous les intervenants de la GU sont adéquatement représentés au sein du comité et la matrice des responsabilités et des obligations du programme de GU (matrice RASCI) a été examinée et acceptée par tous ces intervenants. Il a été mentionné que cela avait récemment permis au CGS, aux ACUI, aux responsables de l'immeuble, au coordonnateur du programme de GU et aux membres du centre des opérations d'urgence de clarifier et d'exécuter correctement leurs rôles et leurs responsabilités.

Parmi les pratiques exemplaires observées, mentionnons que le CGS a désigné un coordonnateur du programme de GU dont le mandat est d'appuyer activement l'administration et la coordination globales des activités du programme d'urgence du CNRC, tant sur le plan stratégique que sur le plan opérationnel. Cela comprend les communications avant un évènement d'urgence (s'il est prévu) et pendant celui‑ci. Ceci inclut d'assurer une formation adéquate des employés du CNRC affectés à des responsabilités de GU et de s'assurer que les plans d'urgence du centre de recherche, de la direction ou du Programme d'aide à la recherche industrielle font l'objet d'un exercice régulier, de manière à garantir que les employés du CNRC sont préparés et équipés pour faire face à une situation d'urgence. L'audit a également noté qu'un groupe de travail sur la GU récemment constitué a entrepris de tirer des enseignements afin d'examiner, de façon continue, l'efficacité du programme de gestion de l'environnement, y compris les interventions des principaux intervenants, compte tenu des récents évènements et de l'améliorer.

Recommandation

Aucune recommandation.

3.2 Plan stratégique de gestion des urgences

Sommaire des résultats

Un plan stratégique de gestion des urgences (PSGU) qui renferme tous les éléments requis du Guide pour la planification de la gestion des urgences du Secrétariat du Conseil du Trésor est à jour, approuvé et mis en œuvre dans l'ensemble du CNRC.

Le PSGU du CNRC définit le plan général de l'organisation pour une approche globale et coordonnée de ses activités de GU. Il repose sur des plans d'intervention en cas d'urgence de l'immeuble (PIUI) presque à jour, préparé pour chacun des immeubles. Ces plans ont été intégrés en vue d'une coordination optimale des activités de GU. Le PSGU inclut le PCC ainsi que le Plan de gestion des évènements de cyber sécurité (PGC).

Le PSGU du CNRC se fait l'écho de la structure organisationnelle et de l'environnement opérationnel actuels du CNRC. Il fournit des orientations stratégiques et opérationnelles actualisées, tant à l'échelle régionale qu'à l'échelle horizontale, pour répondre aux possibles problèmes liés aux situations d'urgence (p. ex., l'approche de l'évaluation tous risques). Il comprend le PCC requis, qui vise à appuyer l'activation des activités du PSGU en fournissant des directives sur la manière de coordonner et de la diffuser rapidement l'information au CNRC et aux intervenants. Le PCC a été approuvé en 2019 et est aligné sur le PSGU pour ce qui est du classement de la gravité des incidents possibles auxquels le CNRC pourrait être confronté.

Le PCC, en plus d'être aligné avec le PSGU, définit le cadre de classement du niveau de crise et d'intervention qui permettrait à l'équipe de communication en temps de crise d'évaluer rapidement la taille et la portée d'un incident et d'établir des communications internes et externes proportionnelles. Le plan comprend une liste à jour des personnes‑ressources de l'équipe de communication en temps de crise, ainsi que les coordonnées des intervenants externes (p. ex., les personnes‑ressources des médias et des partenaires), afin de favoriser une communication efficace en cas d'urgence.

L'audit a également évalué les principaux intrants à l'élaboration du PSGU, notamment les PIUI et le PGC du CNRC. Il a été signalé que si des PIUI étaient présents pour tous les immeubles occupés du CNRC, ils n'avaient pas tous été examinés et mis à jour de façon annuelle. Les PIUI sont essentiels pour garantir que le personnel clé reste informé des risques auxquels sont exposés leurs immeubles ainsi que des procédures opérationnelles qui doivent être mises en œuvre et suivies. En ce qui concerne le PGC requis, il a été observé que ce plan est en place et appuie PSGU en mettant l'accent sur l'intervention en cas de brèche de cybersécurité. En règle générale, l'audit a noté l'existence d'un processus d'examen régulier du PSGU ainsi que des principaux intrants au plan, ce qui permet une approche globale et coordonnée des activités de GU du CNRC.

Recommandation

1. La vice‑présidente des Services corporatifs et chef de la direction financière doit veiller à ce que les efforts se poursuivent pour mettre annuellement à jour les PIUI, au besoin.

[Priorité : modérée]

3.3 Communications opérationnelles

Sommaire des résultats

Le PCC inclut un plan de communications opérationnelles. Ainsi, des pratiques, des mécanismes et des systèmes de communication sont en place à l'appui des activités de GU du CNRC et afin de maintenir des voies de communication ouvertes et des relations avec tous les intervenants clés.

En cas d'urgence, il est essentiel de pouvoir communiquer en temps opportun de manière à garantir la prise des bonnes mesures d'atténuation. Il a été observé que le CNRC a instauré l'utilisation d'un système de communication, ALERTE CNRC. Ce système permet de communiquer avec l'ensemble du personnel lors d'évènements qui nécessitent une intervention coordonnée et des mesures rapides.

Le CNRC a également mis en place un centre des opérations d'urgence pour l'ensemble du Conseil afin d'appuyer la coordination du partage de renseignements en ce qui concerne l'ensemble des interventions organisationnelles et locales. On a constaté que le CNRC a pris des dispositions avec les principaux intervenants, partenaires et fournisseurs pour appuyer la coordination efficace des efforts de prestation des principaux services d'urgence. Au moment de l'audit, on a constaté que les accords de service avec les principaux intervenants externes en étaient à divers stades, la plupart des intervenants provinciaux et des services d'urgence qui ont conclu une forme quelconque d'accord avec le CNRC. Grâce aux mécanismes et aux systèmes de communication établis, les principaux intervenants internes et externes ont accès à des renseignements pertinents et suffisants pour remplir leur rôle et prendre des décisions en connaissance de cause.

De plus, des mécanismes de communication et de coordination internes formalisés sont en place pour assurer l'élaboration de mesures de GU harmonisées qui tirent le meilleur parti de la connaissance de la situation et de l'utilisation des ressources disponibles dans tout le CNRC. L'audit a également noté que le CNRC fait de façon proactive la promotion de la sensibilisation et de l'éducation à la GU grâce à une série d'activités et d'initiatives lors de ses campagnes annuelles de sensibilisation à la sécurité, soit la Semaine de la sensibilisation à la sécurité, la Semaine de la sécurité civile et la Semaine de la sécurité incendie.

Recommandation

Aucune recommandation.

3.4 Détermination des dangers et gestion des risques

Sommaire des résultats

Une approche de l'évaluation tous risques (ETR) ainsi que les processus d'appui ont été formalisés et mis en œuvre pour s'assurer que les dangers et les risques sont classés par ordre de priorité dans l'ensemble du CNRC, selon les besoins. Toutefois, des possibilités d'amélioration ont été observées en ce qui concerne le processus d'ETR.

L'approche de l'ETR vise à permettre aux responsables de l'immeuble du CNRC et aux ACUI d'effectuer des évaluations des risques de manière cohérente et structurée. Ces évaluations serviront de fondement pour l'élaboration de mesures d'atténuation qui favorisent la résilience. L'approche et les processus devraient permettre d'atteindre un équilibre optimal entre le risque et le contrôle ainsi qu'une représentation du risque à l'échelle du CNRC à l'appui de la planification de la GU. Le processus d'ETRNote de bas de page 2 est composé des éléments suivants :

  1. Établissement du contexte — processus consistant à énoncer les objectifs d'une organisation ainsi que ses paramètres externes et internes à prendre en compte dans la gestion des risques;
  2. Détermination des risques — processus qui consiste à recenser, à déterminer et à consigner les risques.
  3. Analyse des risques — processus qui vise à comprendre la nature et le niveau des risques en fonction de leur incidence et de leur probabilité;
  4. Évaluation des risques — processus qui consiste à comparer les résultats de l'analyse des risques avec les critères de risque pour déterminer si un risque ou son ampleur est acceptable ou tolérable.
  5. Traitement des risques — processus qui consiste à déterminer et à recommander des mesures de contrôle ou de traitement des risques.

Il a été observé qu'un modèle standard de l'ETR a été développé et que le CNRC a terminé les évaluations initiales des sites en 2019. Une deuxième vague d'évaluations de sites et la mise à jour des ETR ont été effectuées au début de 2021. Les résultats du processus d'ETR (évaluations de sites) sont destinés à permettre aux décideurs de comprendre pleinement les risques pertinents, y compris la probabilité et les conséquences de la réalisation de dangers ou de menaces particulières, qui pourraient affecter la réalisation des objectifs. Le processus d'ETR exige également la détermination d'indicateurs pour mesurer l'efficacité des mesures de traitement des risques établies, ainsi que la reconnaissance et la documentation des incertitudes inhérentes pertinentes pour tous les aspects clés du processus d'évaluation des risques.

Il a été noté qu'une taxonomie de la tolérance au risque pour les risques liés à la GU a été établie et incluse dans le modèle d'ETR du CNRC qui doit être rempli pour l'ensemble des immeubles du CNRC. Il est essentiel de définir la tolérance au risque et de communiquer formellement le modèle d'évaluation des risques par l'intermédiaire d'un modèle normalisé pour promouvoir l'uniformité de la détermination des dangers et des risques liés à la GU. Cela est aussi essentiel afin de prioriser l'élaboration et la documentation des mesures d'atténuation des risques dans les PIUI. L'audit s'est penché sur un échantillon de cinq ETR et a relevé que deux d'entre elles étaient incomplètes (y compris un questionnaire de préparation vide), ce qui indique qu'il existe des possibilités d'amélioration quant à cet aspect du processus global.

L'un des éléments essentiels de la gestion des risques est la nécessité d'établir des responsabilités clairement définies pour surveiller, remettre en question et confirmer l'efficacité du processus d'évaluation des risques, tout en tenant compte des changements inhérents à l'évolution des circonstances. Cela garantit la mise en place d'un processus complet de gestion des risques, de sorte que les hypothèses, les méthodes, les sources de données, les résultats et la justification des décisions font l'objet de contrôles réguliers. Bien que les éléments clés du processus d'ETR aient été établis, on a constaté des possibilités d'amélioration en ce qui concerne l'analyse et les liens (c.‑à‑d. la piste d'audit) entre le classement des risques dans les ETR et ceux contenus dans le registre des risques liés à la GU du CNRC. Ainsi, il y a un risque que le registre des risques actuel ne soit pas complètement représentatif et cohérent avec les risques cernés à divers endroits. Par conséquent, le CNRC pourrait ne pas avoir une vue d'ensemble des dangers et des risques d'urgence actuels et émergents, ce qui minerait sa capacité à mettre en place les mesures d'atténuation qui s'imposent.

Il a été observé que certaines ETR n'incluaient aucune stratégie d'atténuation des risques et que certains risques établis pour chaque immeuble occupé n'étaient pas intégrés dans la planification de la GU. L'audit a révélé un manque de clarté dans l'élaboration des options de traitement des risques et des stratégies d'atténuation. L'audit a également révélé que les renseignements sur les recommandations concernant la propriété des risques n'avaient pas été rédigés et que l'état d'avancement de la mise en œuvre des mesures d'atténuation des risques n'avait pas été consigné. En l'absence d'un registre des risques qui est géré de manière centralisée et qui inclut un compte rendu complet de l'ensemble des risques, des dangers, des stratégies d'atténuation des risques et de la propriété de l'atténuation des risques cernés par le CNRC ainsi que des renseignements à jour sur l'état d'avancement, le CGS ne peut pas garantir que les évaluations des risques et les stratégies d'atténuation soient effectuées de manière cohérente dans l'ensemble du CNRC.

Recommandation

2. La vice‑présidente des Services corporatifs et chef de la direction financière doit veiller à ce que le modèle d'ETR soit renforcé afin de garantir qu'une approche cohérente et documentée soit suivie pour la détermination, l'analyse des risques et les justifications relativement aux approbations du classement des risques.

[Priorité : modérée]

3. La vice‑présidente des Services corporatifs et chef de la direction financière, en collaboration avec le CHD, doit déterminer et documenter les processus de propriété, de surveillance et de suivi des risques liés à la mise en œuvre des plans d'action établis dans le registre des risques.

[Priorité : modérée]

3.5 Soutien logistique, suivi et capacité

Attentes et sommaire des constatations

Une formation en gestion des urgences est dispensée à tous les membres de l'organisme de secours de l'immeuble et des exercices sont régulièrement organisés afin de tenir les employés informés et préparés aux situations d'urgence. Cependant, l'équipe d'audit a remarqué que les installations n'organisent pas toutes des exercices conformément au PSGU et qu'il existe des possibilités d'amélioration pour garantir que tous les membres du personnel qui participent aux activités de GU (y compris leurs délégués) reçoivent une formation adéquate.

Le Comité de gestion de la sécurité (CGS) coordonne la tenue d'exercices réguliers afin de familiariser le personnel du centre des opérations d'urgence avec les rôles et les tâches qui lui sont assignés.

Les postes clés en matière de GU sont en train d'être pourvus afin d'assurer que le CNRC dispose de ressources et de compétences spécialisées suffisantes à l'avenir.

Bien que le CNRC accorde la priorité à la formation en GU, l'équipe d'audit a constaté qu'une approche globale et cohérente est nécessaire pour former les responsables de l'immeuble, les agents chef d'urgence de l'immeuble (ACUI) et les membres de l'équipe de commandement en cas d'incident. Cela s'explique par le taux de roulement élevé du personnel de GU et par le nombre élevé de remplaçants désignés qui participent aux activités de GU. Une connaissance insuffisante des procédures d'urgence et une méconnaissance des rôles et des responsabilités des différentes parties pourraient avoir une incidence sur la réalisation des activités et des objectifs liés à la GU destinés à réduire les pertes humaines et matérielles et les dommages environnementaux associés aux risques, ainsi que le risque de pertes financières.

L'audit a noté que le CGS coordonne la tenue d'exercices réguliers afin de familiariser le personnel du centre des opérations d'urgence avec les rôles et les tâches qui lui sont assignés. Le coordonnateur de la GU définit les exercices d'urgence, en établit le calendrier avec les principaux partenaires d'intervention et intervenants, et il organise des séances de compte rendu. Cependant, l'équipe d'audit a remarqué que les installations n'organisent pas toutes des exercices conformément au PSGU et qu'il est nécessaire de surveiller régulièrement le déroulement des manœuvres et exercices d'urgence obligatoires. Le PSGU prévoit que tous les employés reçoivent une formation sur les procédures d'urgence à suivre en cas d'urgence et exige la tenue régulière d'exercices d'urgence. Les simulations, les exercices sur table, les exercices à grand déploiement et les exercices fonctionnels sont essentiels pour repérer les lacunes et tirer des enseignements afin d'améliorer continuellement les mesures de GU. S'ils n'organisent pas d'exercices, la Direction de la sécurité et les organismes de secours de l'immeuble (OSI) de chaque immeuble seront dans l'impossibilité d'évaluer systématiquement l'état de préparation aux urgences du CNRC, d'améliorer l'efficacité ainsi que les pratiques et les processus de gestion des urgences, ou encore de réduire la possibilité de réapparition des problèmes.

Dans un souci d'amélioration continue et pour s'assurer que le CNRC traite correctement les risques liés à la GU, des mécanismes de surveillance et des indicateurs de rendement clés doivent être mis en place et des données doivent être recueillies pour permettre d'évaluer le rendement et le progrès des activités de GU. Dans cet esprit, l'audit a noté qu'il est nécessaire d'instituer des pratiques de gestion de l'information conformément à la politique et aux directives du CNRC. Même si un dépôt central de documents était en cours de développement au moment de l'audit, ce dépôt ne comprenait pas toutes les informations nécessaires (c'est‑à‑dire les orientations, les outils, les modèles, ainsi que le PSGU, le plan de communication en cas de crise [PCC], le plan de gestion des évènements de cybersécurité [PGC], les évaluations tous risques [ETR] et tous les PIUI régionaux) pour soutenir le personnel qui a des obligations et des responsabilités en matière de GU.

Sur le plan des ressources et de la capacité de GU, même si le Programme de GU dispose d'au moins un délégué pour chaque poste clé, assurant ainsi un excédent de personnel, la plupart de ces postes sont occupés par des volontaires. Toutefois, l'audit a noté que quatre postes à temps plein de GU étaient en voie d'être pourvus dans le but de garantir que le CNRC dispose de ressources et de compétences spécialisées suffisantes pour appuyer ses activités de GU à l'avenir.

Recommandation

4. Que la vice‑présidente des Services corporatifs et chef de la direction financière s'assure que les efforts se poursuivent dans les domaines suivants :

  1. développer une formation cohérente et alignée sur le PSGU;
  2. renforcer l'approche de suivi de la formation et des exercices;
  3. adopter l'utilisation du système de GI et du dépôt officiel du CNRC.

[Priorité : modérée]

Annexe A : Critères d'audit

Les critères ci‑après ont été utilisés pour évaluer la gestion des urgences au CNRC.

Premier secteur d'intérêt — Gouvernance et stratégie : Des structures et des processus de gouvernance ont été développés et mis en place afin de permettre une conception et une exécution efficaces des activités de gestion des urgences.

  1. Le plan stratégique de gestion des urgences du CNRC a été officiellement documenté en conformité avec les exigences de la politique, le mandat et les priorités du CNRC, et adapté en fonction des changements apportés aux environnements opérationnels internes et externes du CNRC.
  2. Les PIUI ont été officiellement documentés en conformité avec le plan stratégique de gestion des urgences du CNRC et adaptés en fonction de l'environnement opérationnel.
  3. La fonction de gouvernance relative à la gestion des urgences est en mesure de fournir des orientations suffisantes et d'examiner les activités de gestion des urgences du CNRC, de les approuver et de les hiérarchiser.
  4. Les partenariats et les collaborations avec les principaux intervenants externes sont établis formellement et communiqués.
  5. Les obligations, les rôles et les responsabilités des principaux intervenants internes en matière de gestion des urgences sont définis, documentés, mis à jour et communiqués.

Deuxième secteur d'intérêt — Gestion tous risques : La conception et l'exécution des activités de gestion des urgences sont fondées sur les risques.

  1. La vulnérabilité du CNRC à tous les dangers devrait être évaluée selon une méthode officielle, fondée sur le risque, qui comprend l'établissement de la tolérance au risque, des indicateurs et des mesures de la performance. Une telle méthode a été créée, documentée, approuvée et communiquée à tous les intervenants clés.
  2. Le plan stratégique de gestion des urgences du CNRC et les PIUI appliquent la méthode fondée sur le risque définie, ce qui ressort de l'évaluation des risques et de l'établissement des mesures d'atténuation et de leur hiérarchisation.

Troisième secteur d'intérêt — Soutien logistique et perfectionnement des processus : Des systèmes, des orientations et des ressources appropriés sont fournis pour appuyer les activités de gestion des urgences.

  1. Des mécanismes et des processus sont définis et mis en œuvre pour assurer une communication continue avec tous les intervenants clés.
  2. Des mécanismes et des processus sont définis et mis en œuvre afin d'affecter les capacités et les ressources à l'appui des activités de gestion des urgences du CNRC.
  3. Les principaux groupes d'intervenants et leurs compétences respectives sont définis, et des processus sont mis en place pour assurer la conservation des connaissances de l'entreprise.
  4. Les employés reçoivent la formation, les outils, les ressources et le soutien appropriés afin d'exercer leurs responsabilités en matière de gestion des urgences.
  5. Des systèmes de gestion de l'information et des technologies de l'information sont en place pour stocker les PIUI, les informations relatives aux dangers et aux incidents de sécurité existants et nouveaux, ainsi que l'analyse des évènements historiques et les conséquences.
  6. Les informations et les rapports essentiels nécessaires à la sensibilisation et à la prise de décision sont déterminés et communiqués aux principaux intervenants.

Quatrième secteur d'intérêt — Tests, surveillance et rapports : Les activités de gestion des urgences et les résultats sont communiqués en temps utile afin d'appuyer la prise de décision et une surveillance efficace.

  1. Des exercices d'urgence sont effectués régulièrement, ou selon les besoins, afin d'évaluer l'efficacité des plans de gestion des urgences (par rapport aux mesures de la performance établies), et de déterminer l'état de préparation du personnel à répondre à une urgence.
  2. Des plans d'action de la direction et des leçons apprises sont élaborés pour corriger les lacunes ou les faiblesses décelées, font l'objet d'un suivi et sont communiqués aux principaux intervenants en temps opportun.
  3. Les mesures correctives déterminées dans le cadre de l'examen sont classées par ordre de priorité et mises en œuvre en temps opportun afin de corriger les lacunes qui ont été décelées.

Annexe B : Plan d'action de la direction

Tableau 1
Degré de priorité des recommandations
Élevé

La mise en œuvre est recommandée dans les six mois afin de réduire le risque que des évènements potentiels à probabilité ou à incidence élevée compromettent l'intégrité des processus de gouvernance, de gestion des risques et de contrôle du CNRC.

Modérée

La mise en œuvre est recommandée au cours de l'année afin de réduire le risque que des évènements potentiels compromettent l'intégrité des processus de gouvernance, de gestion des risques et de contrôle du CNRC.

Faible

La mise en œuvre est recommandée au cours de l'année afin d'adopter les pratiques exemplaires ou de renforcer l'intégrité des processus de gouvernance, de gestion des risques et de contrôle du CNRC.

Tableau 2
Recommandation Plan des mesures correctives de la direction Date de mise en œuvre prévue et responsable au sein du CNRC

1. Que la vice‑présidente des Services corporatifs et chef de la direction financière s'assure que les efforts se poursuivent afin de mettre à jour les PIUI sur une base annuelle, au besoin.

[Priorité : modérée]

C'est au responsable de l'immeuble qu'incombe la responsabilité de mettre à jour le PIUI.

La Direction de la sécurité, et plus particulièrement le Programme de GU, a pris l'initiative de discuter avec le responsable de l'immeuble et l'agent chef d'urgence de l'immeuble, de les sensibiliser et de leur fournir des informations sur l'obligation de réviser leur PIUI chaque année et sur les ressources mises à leur disposition pour mettre à jour leur plan.

En outre, au printemps et à l'été 2021, dans le cadre des évaluations de sites et du processus d'évaluation tous risques, les analystes en GU seront proactifs dans la mise à jour de différents PIUI, en collaboration avec les agents locaux de secours en chef de l'immeuble.

DATE : En cours

Personne‑ressource : Chef de la sécurité

2. Que la vice‑présidente des Services corporatifs et chef de la direction financière s'assure que le modèle d'évaluation tous risques est renforcé afin de garantir qu'une approche cohérente et documentée est suivie pour déterminer et analyser les risques, et pour prouver le bien‑fondé des approbations du classement des risques.

[Priorité : modérée]

La Direction de la sécurité est actuellement en consultation avec un agent de planification et de gestion pour renforcer le modèle d'évaluation des risques associés à la GU afin qu'il soit harmonisé avec les autres modèles d'évaluation des risques du CNRC.

De plus, nous consultons d'autres ministères à vocation scientifique sur leurs modèles d'évaluation des risques afin de vérifier s'il est possible d'obtenir des gains d'efficacité pour le CNRC.

Un tel exercice comprendra l'examen de nos différents modèles d'évaluation des sites (analyses environnementales), de l'évaluation tous risques et du registre des risques du CNRC.

Avec ce nouveau modèle en place, l'équipe de GU de la Direction de la sécurité procédera à des évaluations de site individuelles et à des évaluations tous risques pour chaque installation du CNRC. Avec ces données en main, le registre des risques du CNRC peut être complété et évalué afin que les stratégies d'atténuation appropriées soient mises en œuvre.

1er octobre 2021

Personne‑ressource : Chef de la sécurité

3. Que la vice‑présidente des Services corporatifs et chef de la direction financière, en consultation avec le Comité de la haute direction, détermine et documente les processus de propriété, de surveillance et de suivi des risques associés à l'exécution des plans d'action indiqués dans le registre des risques.

[Priorité : modérée]

Tous les risques liés à la GU seront correctement documentés dans le registre des risques, et leur propriétaire sera identifié. Le registre des risques comprendra les mesures d'atténuation, s'assurera qu'elles sont attribuées à l'intervenant pertinent et que des plans d'action sont mis en place et réalisés.

1er octobre 2021

Personne‑ressource : Chef de la sécurité

4. Que la vice‑présidente des Services corporatifs et chef de la direction financière s'assure que les efforts se poursuivent dans les domaines suivants :

  1. développement d'une formation cohérente et alignée sur le PSGU;
  2. renforcement de l'approche de suivi de la formation et des exercices;
  3. adoption de l'utilisation du système de GI et du dépôt officiel du CNRC.

[Priorité : modérée]

  1. La Direction de la sécurité développe et met à jour continuellement des formations pour les différents intervenants du PSGU. La priorité était de s'assurer que les agents chef d'urgence de l'immeuble reçoivent la formation dont ils ont besoin pour exercer leurs fonctions.
  2. La Direction de la sécurité a augmenté les effectifs du Programme de GU afin de s'assurer qu'il dispose des ressources suffisantes pour suivre de près la formation et fournir un soutien pour organiser davantage d'exercices associés à la GU.
  3. La Direction de la sécurité a consulté son agent à la gestion de l'information pour mettre en œuvre une stratégie en vue d'assurer l'harmonisation avec le système de GI et le dépôt officiel du CNRC. Ce projet devrait être achevé d'ici l'été 2021.

1er octobre 2021

Personne‑ressource : Chef de la sécurité