9020 Gestion des documents contrôlés

août-2021

Circulation des documents

Les documents d’audit suivants sont contrôlés lorsqu’ils circulent à l’extérieur du BVG :

• les plans d’examen spécial, si le responsable de la mission le juge nécessaire;
• les ébauches du directeur principal, les versions modifiées subséquentes, les extraits, les réponses détaillées aux tableaux sur la prise en compte des commentaires reçus qui contiennent des extraits de l’ébauche du rapport d’audit;
• les ébauches de transmission (les ébauches du sous-ministre ou les ébauches du comité d’audit), les versions modifiées subséquentes, les extraits, les réponses détaillées aux tableaux sur la prise en compte des commentaires reçus qui contiennent des extraits de l’ébauche du rapport d’audit.

D’autres documents d’audit distribués à l’extérieur du BVG font également l’objet des procédures de contrôle lorsqu’ils contiennent de l’information qui pourrait être interprétée comme étant le résultat de travaux d’audit (par exemple : les messages clés, constatations préliminaires ou définitives, conclusions, recommandations). Il incombe au responsable de mission de décider si ces documents doivent être contrôlés et retournés.

Lorsque l’information contenue dans un document contrôlé peut avoir des incidences sur la sécurité ou est de nature délicate, il pourrait convenir davantage d’organiser une rencontre afin d’examiner l’information et d’en discuter plutôt que d’envoyer le document à l’entité. Le plan stratégique d’audit est un exemple de ce type de document, car il décrit les risques pour l’entité qui pourraient être interprétés comme des conclusions d’audit si le document était rendu public. Les documents qui renferment une mention de tiers (BVG Audit 8060 — Mentions de tiers) posent aussi le risque que des informations soient divulguées avant le dépôt du rapport.

La lettre d’avis au sujet de l’audit et du secret professionnel de l’avocat (pour les audits de performance) ou la lettre de mission et au sujet du secret professionnel de l’avocat (pour les examens spéciaux) qui est envoyée aux entités au début d’un audit les informent de la nature confidentielle des documents contrôlés et les avisent qu’elles ont la responsabilité de mettre sur pied et de suivre des procédures appropriées pour préserver la confidentialité des documents dont elles ont la garde (BVG Audit 2030 — Communication avec l’entité auditée : initiale et continue). Les lettres envoyées ultérieurement, notamment celles accompagnant l’ébauche du plan d’examen spécial (si le responsable de la mission juge nécessaire d’envoyer le plan d’examen spécial dans un document contrôlé), l’ébauche du PX et l’ébauche de transmission, rappellent aux responsables de l’entité que les informations contenues dans ces documents contrôlés doivent être traitées comme des renseignements confidentiels. Les documents contrôlés doivent être distribués en format électronique ou, à la demande de l’entité, en format papier (un maximum de deux copies).

Documents contrôlés — Format électronique

Le système CODI est une interface utilisée pour gérer les privilèges d’accès et la distribution des documents. L’équipe d’audit renseigne les responsables de l’entité sur le processus (y compris le responsable de la vérification interne et/ou l’agent de liaison). Les informations détaillées à l’intention des entités sont présentées dans le document intitulé Instructions à l’intention des responsables de l’entité sur l’utilisation de CODI (voir la section de directives ci-dessous). Les lettres d’accompagnement envoyées ultérieurement, notamment celles accompagnant l’ébauche du plan d’examen spécial (s’il y a lieu), l’ébauche du PX et l’ébauche de transmission, rappellent aux responsables de l’entité que les informations contenues dans ces documents contrôlés doivent être traitées comme des renseignements confidentiels.

L’accès individuel aux documents est géré par l’équipe d’audit du BVG. Deux semaines avant la transmission du document, l’équipe d’audit demande les noms et les adresses électroniques de tous les responsables qui recevront le document du BVG. Une nouvelle demande est présentée pour chaque document contrôlé soumis dans le cadre de l’audit, à l’aide du Formulaire de validation des courriels pour CODI. Les équipes d’audit devraient évaluer le caractère raisonnable du nombre de destinataires demandé par l’entité, en tenant compte de la taille de l’entité, de la présence de bureaux régionaux, du nombre de programmes ou de secteurs audités. Une semaine avant la transmission du document, l’équipe d’audit procède au processus d’inscription des destinataires du document.

Chaque document transmis en format électronique doit respecter une série de paramètres obligatoires par défaut. Par exemple, un droit d’accès aux documents hors ligne de trois jours est accordé par défaut. Ce paramètre d’accès peut être modifié par l’équipe d’audit dans des circonstances exceptionnelles. La révocation des droits d’accès se fait par défaut le jour suivant le dépôt du rapport d’audit. Cette période peut être écourtée ou prolongée au besoin.

Les responsables de l’entité inscrits dans CODI doivent authentifier leur identité et leur droit d’accès à l’information avant de pouvoir lire le document, le commenter et transmettre des copies accompagnées de leurs commentaires à d’autres utilisateurs autorisés ou au BVG. Le document ne peut pas être modifié, copié, imprimé ni converti, en totalité ou en partie. Une fois que l’accès au document n’est plus requis, ou le jour suivant le dépôt du rapport d’audit ou le jour suivant la transmission du rapport d’examen spécial définitif au conseil d’administration, le BVG révoque les privilèges d’accès.

Le Bureau transmet également des documents contrôlés par le système CODI à ses propres tierces parties, notamment aux conseillers externes et à d’autres personnes qui ont signé des contrats avec le BVG. Ces tierces parties sont tenues de respecter la confidentialité de l’information. Toutes les tierces parties devraient être avisées que les documents contrôlés du BVG ne doivent pas être copiés ou reproduits, en tout ou en partie, sans le consentement préalable du BVG.

Les équipes d’audit ne devraient pas envoyer de documents contrôlés du BVG directement aux tierces parties identifiées par les entités (qui ne sont pas des responsables de l’entité). Les entités peuvent transmettre nos documents contrôlés à des tierces parties qui ne sont pas des responsables officiels de leur organisation (p. ex. des membres du comité ministériel d’audit ou des experts-conseils travaillant pour l’entité). Cependant, les tierces parties doivent être inscrites dans le système CODI. L’entité doit donc inscrire dans le Formulaire de validation des courriels pour CODI les courriels des personnes n’étant pas des responsables officiels à qui elle souhaite transmettre notre document contrôlé. Elle doit ensuite cocher la case au bas du formulaire pour confirmer que les adresses courriel sont exactes, l’adresse courriel appartient au destinataire proposé et est gérée par lui, les destinataires proposés possèdent la cote de sécurité appropriée et ils ont un besoin de savoir. Une fois le formulaire reçu par le BVG, l’équipe d’audit peut inscrire ces tierces parties dans le système CODI. L’entité peut alors leur faire parvenir le document contrôlé et les tierces parties peuvent l’ouvrir. Toutefois, l’équipe d’audit doit rappeler aux responsables de l’entité qu’il leur incombe de garantir la confidentialité des documents qui sont confiés aux tierces parties.

Les politiques et les règles du Gouvernement du Canada régissant la manipulation et sauvegarde des renseignements et des biens classifiés et protégés peuvent être consultées à https://www.tpsgc-pwgsc.gc.ca/esc-src/msc-csm/chap6-fra.html.

Des procédures détaillées sur la façon d’utiliser l’interface sont présentées dans le document Directives destinées aux employés du BVG sur l’utilisation de CODI. Pour connaître les procédures détaillées à l’intention des responsables de l’entité, consulter le document Instructions à l’intention des responsables de l’entité sur l’utilisation de CODI, et pour connaître les procédures à l’intention des parties externes qui ont signé un contrat avec le BVG, voir le document Instructions à l’intention des parties extérieures au Bureau du vérificateur général du Canada. Des liens vers ces documents sont fournis dans la section Directives ci-dessous.

Documents contrôlés — Format papier

À la demande de l’entité, un maximum de deux (2) copies papier des documents d’audit contrôlés peut être fourni aux entités à l’usage de l’administrateur général et du ministre. Ces copies sont préparées sur du papier à bordure rouge, où il est clairement indiqué qu’elles sont la propriété du Bureau du vérificateur général. Elles sont aussi numérotées et datées. Les équipes d’audit doivent inscrire l’information appropriée dans un registre des documents papier contrôlés.

Si les employés du BVG utilisent des documents contrôlés en format papier dans le cadre de leurs travaux d’audit, ils n’ont pas le droit de les transporter à l’extérieur des locaux du Bureau (cela vise notamment les ébauches de rapport d’audit). Ces documents et l’information qu’ils contiennent doivent uniquement être consultés électroniquement, au moyen des ordinateurs portables du BVG.

Retour des documents

Documents contrôlés — Format électronique

Les privilèges d’accès aux documents contrôlés transmis en format électronique sont révoqués par le BVG une fois que les destinataires n’en ont plus besoin ou, au plus tard, le jour suivant le dépôt du rapport ou après la transmission du rapport d’examen spécial définitif au conseil d’administration.

Documents contrôlés — Format papier

Si des copies papier ont dû être envoyées à des parties externes, elles doivent être retournées à l’équipe d’audit dès qu’elles ont été utilisées aux fins prévues : par exemple, immédiatement après la réunion d’un comité consultatif ou après des discussions avec le comité d’audit, mais au plus tard une semaine après le dépôt à la Chambre des communes du rapport ou après la transmission du rapport d’examen spécial définitif au conseil d’administration.

Les responsables de l’entité auditée doivent informer sans délai le BVG lorsqu’un document contrôlé est perdu ou rendu public. Les équipes d’audit doivent faire tous les efforts raisonnables pour récupérer toutes les copies contrôlées. À cette fin, elles doivent normalement faire parvenir à l’entité des lettres de rappel avant la date limite fixée, et effectuer des suivis pour récupérer toute copie non retournée après la date limite. Si l’entité ne retourne pas les documents, le responsable de mission communique, au besoin, avec des gestionnaires de l’entité qui sont de niveau supérieur. Le vérificateur général adjoint est informé de la situation avant que l’équipe n’informe éventuellement le responsable de la sécurité du BVG que des documents sont manquants. La décision de rédiger une lettre officielle à l’intention de l’administrateur général ou au président-directeur général revient au responsable de mission, en consultation avec le vérificateur général adjoint, et cette décision peut dépendre du système qu’utilise l’entité pour faire le suivi des documents, des efforts faits par cette dernière pour récupérer le ou les documents manquants et de ses antécédents en matière de documents contrôlés.

Au plus tard six semaines après le dépôt du rapport au Parlement, ou la transmission du rapport définitif au conseil d’administration, les équipes d’audit doivent :

• faire le rapprochement, dans le registre des documents papier contrôlés, entre les documents numérotés qui ont été remis à l’entité ou aux autres parties externes et ceux qui ont été retournés par celles-ci;
• signaler toute copie manquante au responsable de la sécurité du BVG;
• conserver le registre des documents contrôlés en format papier dans les dossiers d’audit.

La section BVG Audit 1192 — Confidentialité, archivage sécurisé, intégrité, accessibilité et facilité de consultation de la documentation des missions comprend des précisions supplémentaires sur la sécurité de la documentation d’audit.