Audit interne sur les conflits d'intérêts
Rapport d'audit, juin 2021
Table des matières
- Sommaire
- Rapport détaillé
- 2.1 Contexte
- 2.2 Renseignements sur l’audit
- 2.3 Importance de l’audit
- 2.4 Objectif et portée de l’audit
- 2.5 Critères d’audit et méthodologie
- 2.6 Constatations et recommandations
- 2.7 Conclusion
- 2.8 Réponse de la direction aux recommandations
Annexe B : Critères d’audit pertinents
Sommaire
1.1 Contexte
Le mandat des Instituts de recherche en santé du Canada (IRSC), défini dans la Loi sur les Instituts de recherche en santé du Canada, est de créer de nouvelles connaissances scientifiques et d’en favoriser l’application en vue d’améliorer la santé, d’offrir de meilleurs produits et services de santé, et de renforcer le système de soins du Canada. Pour s’acquitter de ce mandat, les IRSC comptent sur des chercheurs actifs, dont les travaux sont souvent financés par les IRSC, pour participer à leur gouvernance, élaborer leurs plans stratégiques et assurer le fonctionnement des instituts. Étant donné que la gouvernance de l’organisme repose sur l’expertise du milieu de la recherche et en bénéficie grandement, les conflits d’intérêts (CI) potentiels, perçus ou réels sont indissociables des activités des IRSC. Ainsi, non seulement la gestion des CI potentiels, perçus ou réels est-elle une composante essentielle d’une gouvernance solide, mais les IRSC doivent aussi gérer ces conflits de façon active, efficace et transparente pour maintenir leur réputation d’organisme de financement de la recherche en santé impartial et digne de confiance.
1.2 Importance de l’audit
Un audit des CI était un engagement prioritaire dans le Plan d’audit axé sur les risques (2019‑2020) des IRSC. Il est à noter que le cadre de gestion des CI des IRSC n’avait jamais fait l’objet d’un audit.
Puisque les IRSC doivent compter sur l’expertise de parties prenantes qui sont en situation de conflit d’intérêts potentiel, perçu ou réel pour guider la prise de décisions stratégiques, il est essentiel de s’assurer que l’organisme suit une approche efficace pour gérer ces situations, tant dans les faits qu’en apparence. Une gestion rigoureuse des conflits d’intérêts est importante parce qu’elle inspire confiance dans l’administration et la prise de décisions des IRSC tout en mettant en valeur un environnement caractérisé par des normes éthiques élevées.
1.3 Objectif et portée de l’audit
L’objectif de l’audit est de fournir une confirmation indépendante que le cadre des IRSC en matière de CI est conçu de manière appropriée et mis en œuvre efficacement pour gérer tout CI potentiel, perçu ou réel.
La portée de l’audit englobe les structures et les activités de gestion des CI qui existaient du 1er avril 2018 au 31 décembre 2019, une attention particulière étant accordée à la haute direction (président, vice-présidents et vice-présidents associés des IRSC), aux membres du conseil d’administration (CA) et aux directeurs scientifiques (DS). En sont exclus les membres des comités d’évaluation par les pairs, les partenaires externes et tout le personnel au-dessous du niveau de vice-président associé.
1.4 Opinion générale des auditeurs
Les auditeurs concluent que, bien que certaines structures et pratiques soutiennent la gestion des CI pour les membres et la haute direction, la gouvernance, le processus de gestion des cas et la formation doivent être mis à jour et opérationnalisés pour assurer une gestion efficace des CI dans toute l’organisation.
1.5 Principales constatations des auditeurs
Les constatations suivantes requièrent l’attention de la direction :
Gouvernance
- L’obligation redditionnelle en matière de CI n’est pas clairement établie au sein de l’organisme. Les rôles, les responsabilités et les pouvoirs à cet égard sont mal compris, et les documents de politique sous‑jacents n’ont pas été mis à jour pour refléter les changements apportés à la fonction de CI.
- La surveillance de la gestion des CI est limitée. Il n’y a pas d’exigences de surveillance ou de rapport pour les activités relatives aux CI, ni d’examen du rendement en matière de CI par rapport aux objectifs.
- La gestion des risques de CI est incomplète. La fonction de CI n’a pas procédé à une évaluation en règle complète pour déterminer où se situent les principaux risques en matière de CI aux IRSC, ou quelles sont les activités qui permettraient de les atténuer.
Processus de gestion des CI
- Le processus de gestion des CI est informel et incomplet. La fonction de CI n’a pas de processus de gestion documenté définissant les rôles, les responsabilités, les activités et les normes de service en matière de CI.
- La gestion des cas de CI n’est pas soutenue par un suivi formel et des pratiques appropriées de gestion de l’information. Le suivi de la résolution des cas de CI n’est pas clair, et il n’y a pas d’exigences s’appliquant à la gestion appropriée de l’information ou au suivi.
Formation et sensibilisation
- Les IRSC n’offrent pas de formation structurée en matière de CI. Peu d’employés ont reçu une formation sur le sujet, et il y a un manque d’activités, de matériel de formation ou de communication liés à la gestion des CI.
La réponse de la direction aux observations et aux recommandations des auditeurs se trouve à la section 2.8.
1.6 Énoncé de conformité
L’audit des CI est conforme à la Politique sur l’audit interne, comme l’indiquent les résultats du programme d’assurance et d’amélioration de la qualité.
L’Unité d’audit interne remercie la direction et le personnel pour leur collaboration dans la réalisation de cet audit.
John-Patrick Moore
Dirigeant principal de la vérification et de l’évaluation et directeur général du Bureau de l’audit et de l’évaluation par intérim
Instituts de recherche en santé du Canada
Michael J. Strong, M.D., FRCPC, FAAN, MACSS
Président
Instituts de recherche en santé du Canada
Rapport détaillé
2.1 Contexte
Le mandat des Instituts de recherche en santé du Canada (IRSC), défini dans la Loi sur les Instituts de recherche en santé du Canada, est de créer de nouvelles connaissances scientifiques et d’en favoriser l’application en vue d’améliorer la santé, d’offrir de meilleurs produits et services de santé, et de renforcer le système de soins du Canada. Pour s’acquitter de ce mandat, les IRSC comptent sur des chercheurs actifs, dont les travaux sont souvent financés par les IRSC, pour participer à leur gouvernance, élaborer leurs plans stratégiques et assurer le fonctionnement des instituts (collectivement appelés « membres » dans le présent rapport). Par exemple, les IRSC disposent des conseils suivants :
- Un conseil d’administration (CA) formé de 18 personnes nommées par le gouverneur en conseil, dont certains sont des chercheurs en santé actifs. Le CA est chargé d’établir les orientations stratégiques et les objectifs des IRSC, d’évaluer le rendement global des IRSC, y compris en ce qui concerne l’atteinte de leurs objectifs, et d’approuver le budget des IRSC.
- Un conseil scientifique (CS), comité présidé par le président des IRSC et formé des 13 directeurs scientifiques (DS) des instituts des IRSC et de plusieurs membres de la haute direction. Le CS est chargé d’élaborer, aux fins d’approbation par le CA, les plans stratégiques des IRSC et les plans annuels de mise en œuvre, d’explorer et d’établir des partenariats qui facilitent la réalisation des objectifs des IRSC, d’examiner et d’approuver toutes les initiatives stratégiques multi‑instituts et de l’ensemble de l’organisme, de faire des recommandations au président sur les décisions de financement pour toutes les initiatives et possibilités de financement aux fins d’approbation, et de recommander au CA une répartition efficace et efficiente des fonds de recherche.
Étant donné que la gouvernance de l’organisme repose sur l’expertise du milieu de la recherche et en bénéficie grandement, les conflits d’intérêts (CI) potentiels, perçus ou réels sont indissociables des activités des IRSC. Ainsi, non seulement la gestion des CI potentiels, perçus ou réels est‑elle une composante essentielle d’une gouvernance solide, mais les IRSC doivent aussi gérer ces conflits de façon active, efficace et transparente pour maintenir leur réputation d’organisme de financement de la recherche en santé impartial et digne de confiance.
Durant la période visée par l’audit, la fonction de CI au sein de l’organisme incombait à la Direction des ressources humaines (RH) des IRSC, laquelle gérait les questions de CI tant pour les membres que pour les employés en appliquant deux politiques distinctes, quoique complémentaires : la Politique à l’intention des membres et la Politique sur les CI des IRSC.
Dans la Politique à l’intention des membres, un CI est défini comme suit :
« Situation dans laquelle des intérêts ou des engagements externes de membres des IRSC rivalisent ou entrent en conflit avec leurs responsabilités officielles au sein des IRSC, et pourraient être considérés comme pouvant servir leurs intérêts ou ceux d’autres personnes, ou procurer à d’autres des avantages indus dans leurs rapports avec les IRSC ou avec le gouvernement en général. »
Une définition comparable est utilisée dans la Politique sur les CI des IRSC :
« Situation dans laquelle l’employé a des intérêts personnels qui pourraient influer indûment sur l’exercice de ses fonctions et de ses responsabilités officielles. »
Au cours des dernières années, le CA et le CS ont exprimé des doutes quant à l’exhaustivité et à l’efficacité du cadre des IRSC en matière de CI. En 2019, l’Unité de renouvellement de la gouvernance a retenu les services de l’Institut sur la gouvernance pour produire le rapport Conflict of Interest Assessment: Document Review for CIHR’s COI Regime (Évaluation des conflits d’intérêts : examen documentaire du régime des conflits d’intérêts des IRSC). Bien que cet examen ait permis d’apporter des améliorations importantes à la gestion des CI par l’organisme, il s’agissait seulement d’une première étape. Il restait du travail à faire pour fournir à la direction l’assurance que le cadre des IRSC avait été bien pensé et mis en œuvre efficacement.
2.2 Renseignements sur l’audit
Ce rapport présente les résultats de l’audit interne des conflits d’intérêts. L’audit a été effectué par l’équipe de la fonction d’audit interne des IRSC entre novembre 2019 et mars 2021 dans le cadre du Plan d’audit axé sur les risques pour 2019-2020, approuvé par le CA. Le but de l’audit était d’évaluer la pertinence du cadre de gestion des CI des IRSC et l’efficacité des activités.
Il est important de savoir que l’audit a été considérablement retardé en raison de la pandémie de COVID-19. La plupart des contrôles par sondage ont été achevés au début de 2020. Par conséquent, le travail d’audit principal correspond à un point dans le temps, équivalant à la durée de la mission selon son cadre de référence (du 1er avril 2018 au 31 décembre 2019). Lorsque l’audit a repris en mars 2021, un sondage a été réalisé auprès de la direction et des membres sur les questions de CI, et les résultats ont été intégrés au présent rapport. Les auditeurs reconnaissent que pendant la période où l’audit a été retardé, la direction a commencé à prendre des mesures pour améliorer la gouvernance en matière de CI, sur la base des discussions initiales sur les constatations préliminaires de l’audit. Toutefois, ce travail se situe en dehors de la période visée par la mission et n’a pas été pris en compte.
2.3 Importance de l’audit
Un audit des CI était un engagement prioritaire dans le Plan d’audit axée sur les risques (2019-2020) des IRSC. Il est à noter que le cadre de gestion des CI des IRSC n’avait jamais fait l’objet d’un audit.
Puisque les IRSC doivent compter sur l’expertise de parties prenantes qui sont en situation de conflit d’intérêts potentiel, perçu ou réel pour guider la prise de décisions stratégiques, il est essentiel de s’assurer que l’organisme suit une approche efficace pour gérer ces situations, tant dans les faits qu’en apparence. Une gestion rigoureuse des conflits d’intérêts est importante parce qu’elle inspire confiance dans l’administration et la prise de décisions des IRSC tout en mettant en valeur un environnement caractérisé par des normes éthiques élevées.
2.4 Objectif et portée de l’audit
L’objectif de l’audit est de fournir une confirmation indépendante que le cadre des IRSC en matière de CI est conçu de manière appropriée et mis en œuvre efficacement pour gérer tout CI potentiel, perçu ou réel.
La portée de l’audit englobe les structures et les activités de gestion des CI qui existaient du 1er avril 2018 au 31 décembre 2019, une attention particulière étant accordée à deux groupes :
- les membres du CA et les DS;
- la haute direction (président, vice‑présidents et vice-présidents associés des IRSC).
Sont exclus de la portée de l’audit les membres des comités d’évaluation par les pairs, les partenaires externes et tout le personnel au‑dessous du niveau de vice‑président associé. Les conseils consultatifs d’institut (CCI) étaient au départ visés par l’audit, mais pour accélérer la production du rapport, le président a approuvé une modification de la portée de l’audit afin de reporter l’examen des CI chez les CCI à un projet ultérieur.
2.5 Critères d’audit et méthodologie
Les critères d’audit ont été sélectionnés sur la base d’une évaluation préliminaire des risques. Les sources des critères sont les suivantes :
- Cadre principal des politiques du Conseil du Trésor
- Code de valeurs et d’éthique du secteur public
- Politique sur la prévention et la gestion des conflits d’intérêts à l’intention des directeurs scientifiques et des membres du conseil d’administration et des organes consultatifs
- Loi sur les conflits d’intérêts [ PDF (341 Ko) - lien externe ]
- La gestion des conflits d’intérêts – rapport d’audit du Bureau du vérificateur général du Canada [ PDF (385 Ko) - lien externe ]
Veuillez consulter l’annexe B pour obtenir les critères d’audit détaillés. Ces critères ont guidé le travail sur place pour cet audit et ont servi de base aux constatations générales de l’audit.
Trois méthodes principales sont utilisées pour recueillir et évaluer les données par rapport aux critères d’audit :
- Un examen des documents pertinents, dont les documents des comités et les procès-verbaux des réunions, les politiques internes, les procédures, les lignes directrices (provisoires et finales), les dossiers de gestion des cas, les courriels et les autres documents relatifs à la structure et au processus de gestion en matière de CI.
- Des entretiens avec la direction et le personnel des IRSC, dont le président et les vice-présidents, les directeurs scientifiques des instituts, les membres du conseil d’administration et les membres du personnel affectés à la fonction de CI.
- Un sondage sur la gestion des CI réalisé en mars 2021 auprès des membres du CA, des DS et de la direction (le groupe de « la direction » comprend les directeurs généraux qui font partie des principaux comités ou participent à leurs travaux, les vice-présidents associés, les vice-présidents, le vice-président directeur et le président). Les taux de réponse au sondage sont les suivants : membres du CA, 82 %; DS, 62 %; direction, 58 %.
2.6 Constatations et recommandations
La section suivante présente les principales constatations et recommandations de l’audit.
Gouvernance
La gouvernance est un agencement de processus et de structures mis en place par la direction et le conseil afin d’éclairer, de diriger, de gérer et de suivre les activités en vue de réaliser les objectifs . Pour que la gouvernance des CI soit efficace, les obligations redditionnelles doivent être claires, les mesures de surveillance, être établies, et les processus et structures, être en place pour contrôler et soutenir l’atteinte des objectifs.
Constatation 1. L’obligation redditionnelle en matière de CI n’est pas clairement établie au sein de l’organisme. Urgence : Élevée
L’audit a révélé que l’obligation de rendre compte de la fonction de CI de l’organisme n’était pas claire. Les résultats d’un sondage sur la gestion des CI réalisé dans le cadre de l’audit montrent qu’une bonne part de la direction (64 %), des membres du CA (50 %) et des DS (50 %) n’ont pas l’impression que les rôles, les responsabilités et les pouvoirs de l’agent responsable des CI et du bureau des CI sont clairs. L’audit a également révélé que le manque de clarté pouvait découler de politiques en matière de CI qui sont obscures aux IRSC. Par exemple, la Politique à l’intention des membres n’identifie pas l’agent responsable des CI et n’indique pas où se situe le bureau des CI au sein de l’organisme. En revanche, la Politique sur les CI des IRSC (qui s’applique à la haute direction) indique que le dirigeant principal des finances (DPF) est responsable de la gestion des CI chez le personnel. Dans les faits, cependant, le poste de DPF ne gère pas les CI chez le personnel depuis 2018. Les politiques régissant la gestion des CI n’ont pas été mises à jour en fonction des changements apportés à la structure organisationnelle des IRSC.
Sans obligation redditionnelle formellement définie, l’organisme s’est appuyé sur la Direction des ressources humaines (RH) pour gérer la fonction de CI. Cela dit, l’organisme n’a pas réellement déterminé s’il s’agit du meilleur choix pour gérer cette fonction ou du niveau de ressources humaines et financières adéquat pour maintenir un programme de gestion des CI robuste.
Impact
Vu l’absence d’obligation redditionnelle claire, il a été difficile pour l’organisme d’établir un leadership cohérent en matière de CI. En conséquence, les failles indiquées plus loin dans le rapport n’ont pas été corrigées.Constatation 2. La surveillance de la gestion des CI est limitée. Urgence : Moyenne
L’audit a révélé que les mesures de surveillance de la gestion des CI n’ont pas encore été établies. Par exemple, l’organisme n’a pas de comité ou d’organe de surveillance chargé de s’assurer qu’il y a en place un programme de CI efficace, doté de ressources suffisantes et fonctionnant bien. Par conséquent, il n’y a pas de suivi ni de comptes rendus (tableaux de bord, indicateurs de rendement clés, compilations, examens) du rendement par rapport aux plans ou aux objectifs (p. ex. rapidité de traitement des cas, temps de résolution des cas, satisfaction) pour la haute direction ou tout autre organe directeur. L’organisme s’appuie plutôt sur des séances d’information ponctuelles sur des cas précis de CI à l’intention du responsable des CI, au lieu de rapports plus structurés.
Impact
Une surveillance limitée (suivi et rapports) réduit la capacité de l’organisme de corriger les failles lorsqu’elles apparaissent, ce qui complique le travail visant à garantir que la gestion des CI est efficace et continue de répondre aux besoins de l’organisme.Constatation 3. La gestion des risques de CI est incomplète. Urgence : Moyenne
La Politique sur les conflits d’intérêts et l’après-mandat (archivée) du Conseil du Trésor exige que les risques de CI liés au mandat de l’organisme soient gérés. Des exigences semblables pour la gestion des risques sont prévues dans la Politique sur les CI des IRSC et la Politique à l’intention des membres. Pour que les risques soient convenablement gérés, il faut établir une approche formelle en vertu de laquelle les risques sont cernés, évalués, atténués et suivis. Bien que l’audit ait révélé que des évaluations informelles des risques sont faites pour certaines situations de CI, l’organisme ne dispose pas d’une approche globale, à l’échelle des IRSC, pour gérer les risques liés aux CI. Ainsi, on ne sait pas quels types de CI sont les plus susceptibles de se produire ou d’avoir le plus grand impact sur l’organisme, ni quels secteurs opérationnels, activités, comités ou postes sont les plus à risque.
Impact
Sans approche formelle pour la gestion des risques de CI, les IRSC n’ont pas l’assurance que les activités actuelles en matière de CI ciblent les secteurs où l’organisme est le plus vulnérable. De plus, faute d’approche semblable, la direction n’a pas l’assurance que les risques de CI sont atténués comme il se doit.
Recommandations en matière de gouvernance
- La direction doit revoir la structure organisationnelle et indiquer un point de responsabilité unique pour la fonction de CI de l’organisme. La personne responsable doit avoir l’autorité nécessaire pour déterminer l’orientation de la fonction de CI et s’assurer que cette fonction dispose des ressources appropriées et est efficace. Une fois cette mesure prise, le point de responsabilité unique doit :
- mettre à jour et clarifier les obligations redditionnelles, les rôles et les responsabilités dans les politiques sur les CI des IRSC;
- s’assurer que des ressources humaines et financières suffisantes sont affectées à la fonction de CI;
- élaborer un plan opérationnel qui documente les objectifs et les priorités de la fonction de CI;
- communiquer les changements à la fonction de CI des IRSC au personnel, aux membres et aux principales parties prenantes de l’organisme.
- La direction doit établir des mesures de surveillance de la gestion des CI, y compris des attentes quant au suivi et à la reddition de comptes.
- La direction doit procéder à une analyse complète des risques pour cerner et évaluer formellement les risques de CI aux IRSC, puis définir une approche de gestion des risques permettant d’atténuer les points de vulnérabilité.
Processus de gestion des CI
Un processus de gestion décrit les étapes et les tâches nécessaires pour atteindre un objectif. Un processus de gestion des CI formel et prédéfini garantit que les CI sont traités et suivis de manière uniforme, transparente et opportune pour assurer l’obtention de résultats.
Constatation 4. Le processus de gestion des CI est informel et incomplet. Urgence : Élevée
Le bureau des CI procède à une évaluation annuelle en règle des déclarations de CI des membres, si bien que chaque année tous les membres sont invités à déclarer leurs CI et reçoivent des conseils à ce sujet. En outre, les employés assistent à une séance d’information et ont la possibilité de déclarer leurs CI au moment de leur embauche. Les membres et les employés peuvent aussi déclarer à n’importe quel moment tout nouveau CI et recevoir des conseils. Pour rendre cela possible, il existe une série de pratiques, gérées par un petit nombre de spécialistes au sein du bureau des CI, qui permettent d’enregistrer, d’analyser et de traiter les questions relatives aux CI.
Malgré les bonnes pratiques pour ce qui concerne les déclarations des employés et des membres, l’audit a révélé que le processus général de gestion des CI était dans une large mesure informel et incomplet. Par exemple, l’organisme n’a pas de processus documenté pour la gestion de bout en bout des CI qui englobe les rôles et les responsabilités, les activités et les étapes concernant la détection, l’analyse, la résolution et le suivi des CI. En outre :
- Il n’y a pas de directives ou de lignes directrices sur la transmission à un échelon supérieur (p. ex. cas où un problème de CI peut être porté à l’échelon supérieur à celui de l’agent responsable des CI) et l’appel des décisions.
- La fonction n’a pas établi de normes de service pour garantir le traitement des cas de CI dans des délais déterminés.
- Les IRSC n’ont pas établi de lignes directrices pour la gestion des CI dans le contexte culturel de la recherche autochtone.
En raison d’un processus largement informel et non documenté, le niveau de compréhension des CI est inégal au sein de l’organisme. Bien que tous les membres du CA ayant répondu au sondage sur la gestion des CI estiment que leurs rôles et responsabilités ont été clairement définis, et que la plupart (86 %) comprennent le processus général de gestion des CI, ce n’est pas le cas pour d’autres personnes de l’organisme. Une proportion beaucoup plus faible de DS et de membres de la direction déclarent que leurs rôles et responsabilités sont clairement définis (37 % et 14 %, respectivement) et que le processus général de gestion des CI est compris (50 % et 14 %, respectivement).
Impact
Sans processus formel de gestion des CI, ceux‑ci peuvent difficilement être gérés de façon claire, transparente et uniforme. Par surcroît, des pratiques non uniformes de gestion des CI, en particulier dans les cas délicats et présentant un risque élevé, pourraient éroder la confiance dans la façon dont les CI sont gérés par les IRSC.
Constatation 5. La gestion des cas de CI n’est pas soutenue par un suivi formel et des pratiques appropriées de gestion de l’information. Urgence : Moyenne
Pour que les cas de CI soient gérés efficacement, un processus selon lequel les situations de CI potentiel, perçu ou réel sont détectées, évaluées, atténuées et suivies doit être en place. Bien que l’organisme ne dispose pas d’un processus semblable, le Code de valeurs et d’éthique de la fonction publique et les politiques des IRSC en matière de CI vont dans le sens de ces attentes fondamentales.
Pour déterminer si un processus de base avait été appliqué pour gérer activement les cas de CI, l’audit a examiné un échantillon discrétionnaire de huit dossiers de CI. Cet examen a révélé que si la détection et l’évaluation des cas de CI étaient bien documentées, il y avait peu d’indications selon lesquelles les CI avaient été atténuées et qu’un suivi avait été effectué pour garantir que des mesures d’atténuation avaient été appliquées avec succès. Les résultats de l’examen des dossiers sont conformes aux entretiens avec les membres, qui donnent à penser que les décisions relatives aux CI et leur suivi ont parfois manqué de clarté.
Bien que ces constatations puissent laisser supposer des lacunes dans le traitement des cas de CI, la mauvaise gestion de l’information a joué un rôle important dans les résultats de l’examen des dossiers. Les IRSC n’ont pas de système pour suivre les cas de CI aux différentes étapes du processus (détection, évaluation, atténuation, suivi), et ils ne tiennent pas de dépôt central des renseignements clés sur la gestion des cas (décisions, approbations). L’organisme s’en remet plutôt à un amalgame de boîtes aux lettres électroniques personnelles et communes, de dossiers en réseaux semi-structurés et d’éléments de la mémoire organisationnelle.
Impact
De solides pratiques de gestion de l’information sont cruciales pour soutenir un suivi, une planification et une amélioration continue efficaces. Une gestion de l’information déficiente réduit la capacité de l’organisme de suivre les cas de CI et d’apporter des améliorations au processus de gestion des CI au fil du temps.Recommandations en matière de gestion
- La direction doit élaborer et formaliser un processus de gestion de bout en bout des CI qui englobe les rôles et les responsabilités, les principales étapes, les activités, la documentation à tenir et les normes de service.
- La direction doit créer un système de suivi électronique des cas de CI pour s’assurer que les renseignements à valeur opérationnelle sont conservés dans un dépôt central.
Formation et sensibilisation
Les activités de formation et de sensibilisation sont importantes pour garantir que les employés et les parties prenantes comprennent les attentes, les responsabilités et les obligations redditionnelles. Une formation efficace est souvent structurée, adaptée et dispensée à différents moments de la carrière d’une personne ou de la durée de sa nomination, entre autres au moment de l’embauche ou de la nomination et lorsque de nouvelles responsabilités sont assumées. Une sensibilisation continue aide à soutenir la formation en renforçant les concepts, les principes et les messages clés. Elle peut également servir à informer les parties prenantes des changements aux processus, des améliorations apportées et des politiques et lignes directrices mises à jour.
Constatation 6. Il n’y a pas de formation structurée en matière de CI aux IRSC. Urgence : Moyenne
Compte tenu des mandats et de la composition des organes de gouvernance des IRSC, les CI surviennent fréquemment dans les activités quotidiennes de l’organisme, d’où l’importance d’une formation efficace sur la façon de gérer les CI. Dans un sondage réalisé en appui à l’audit :
- 79 % des membres du CA font état de situations où des CI perçus ou réels sont survenus au cours des deux dernières années. Parmi ceux qui affirment avoir été témoins de CI, la plupart disent l’avoir été « parfois » ou « souvent » (82 %).
- 79 % des répondants faisant partie du CS font état de situations où des CI perçus ou réels sont survenus au cours des deux dernières années. Tous ceux qui affirment avoir été témoins de CI disent l’avoir été « parfois » ou « souvent » (100 %).
- 50 % des membres du Comité supérieur de direction font état de situations où des CI perçus ou réels sont survenus au cours des deux dernières années. Tous ceux qui affirment avoir été témoins de CI disent l’avoir été « parfois » (100 %).
Malgré la fréquence des CI dans les activités de l’organisme, l’audit a montré que la formation en matière de CI pour gérer ces situations est limitée. Seule une faible proportion des répondants au sondage (28 %) déclare avoir reçu une formation sur les CI de la part de l’organisme (membres du CA, 21 %; DS, 50 %; direction, 21 %). Quant à la formation offerte, l’audit a permis de constater que les IRSC prévoient quelques séances d’information sur la gestion des CI dans le cadre du processus d’embauche et d’intégration, et que divers documents sont à la disposition des membres et des employés. Toutefois, ces mesures ne font pas partie d’un programme vaste et complet de formation sur les CI qui couvrirait :
- la gouvernance des CI, y compris les rôles et les responsabilités;
- les scénarios ou cas de CI courants et la tolérance au risque (p. ex. les situations qui peuvent sembler des CI, mais qui sont acceptables, les situations qui sont inacceptables et les situations correspondant à des « zones grises » qui doivent être analysées plus à fond et, possiblement, transmises à un échelon supérieur);
- le processus de gestion des cas (détection, évaluation, atténuation, suivi).
Plusieurs répondants au sondage ont également souligné le besoin de formation complémentaire (p. ex. exécution efficace des rôles et responsabilités, études de cas sur les CI, formation continue au-delà de ce qui est offert au moment de l’intégration, application des politiques en matière de CI).
Impact
Sans formation efficace, les membres et la direction peuvent ne pas reconnaître les situations susceptibles de donner lieu à des CI ou ne pas comprendre comment gérer efficacement les situations de CI.Recommandations en matière de formation et de sensibilisation
- Il faut prévoir une formation complète sur les CI, en fonction des besoins, pour les membres et la direction. Cette formation doit comprendre une formation initiale, une sensibilisation continue et un suivi de l’achèvement.
- Il faut évaluer périodiquement la formation sur les CI pour s’assurer qu’elle reste actuelle et efficace, et apporter les améliorations qui s’imposent.
2.7 Conclusion
Les auditeurs concluent que, bien que certaines structures et pratiques soutiennent la gestion des CI pour les membres et la haute direction, la gouvernance, le processus de gestion des cas et la formation doivent être mis à jour et opérationnalisés pour assurer une gestion efficace des CI dans toute l’organisation.
2.8 Réponse de la direction aux recommandations
Point | Recommandation | Réponse de la direction | Délai d’exécution |
---|---|---|---|
1 | La direction doit revoir la structure organisationnelle et indiquer un point de responsabilité unique pour la fonction de CI de l’organisme. La personne responsable doit avoir l’autorité nécessaire pour déterminer l’orientation de la fonction de CI et s’assurer que cette fonction dispose des ressources appropriées et est efficace. Une fois cette mesure prise, le point de responsabilité unique doit :
|
D’accord/en désaccord : D’accord Responsabilité : VPA, Services généraux/agent responsable des CI Mesures : Les derniers détails de la délégation officielle des pouvoirs à l’agent responsable des CI sont en voie d’être réglés. Date d’exécution : d’ici à juin 2021. Le site Web des IRSC sera mis à jour et des communications seront diffusées à la grandeur de l’organisation pour assurer la clarté des améliorations de base apportées à la fonction de CI. Date d’exécution : avant juillet 2021. Un plan opérationnel sera établi pour mettre par écrit les objectifs et les priorités de la fonction de CI. Date d’exécution : d’ici à septembre 2021. Des mises à jour sont prévues pour le site intranet (p. ex. l’annonce de la structure complète en matière de CI) afin d’assurer la clarté des responsabilités, des rôles et des obligations organisationnelles. Date d’exécution : d’ici à octobre 2021. Des documents relatifs aux politiques et aux processus connexes seront créés et mis en œuvre tout au long de l’exercice 2021-2022, et les politiques seront révisées en profondeur, en conformité avec les engagements énoncés dans le plan stratégique, puis ajoutées au plan opérationnel dans le cadre de la planification de l’exercice 2022-2023. Il existe de nombreuses priorités concurrentes sur le plan des ressources humaines et financières dans l’organisation; toutefois, le VPA, Services généraux, continuera à réclamer des ressources humaines et financières pour assurer le soutien de la fonction de CI. Les décisions au chapitre de l’établissement des priorités peuvent avoir une incidence sur les engagements pris dans le présent document. |
6 mois ou moins Urgence : Élevée |
2 | La direction doit établir des mesures de surveillance de la gestion des CI, y compris des attentes quant au suivi et à la reddition de comptes. | D’accord/en désaccord : D’accord Responsabilité : VPA, Services généraux/agent responsable des CI Mesures : L’agent responsable des CI a instauré des séances d’information trimestrielles à l’intention du président et du vice‑président directeur pour faciliter la réponse aux premières attentes en fait de suivi et de rapport. La première réunion a eu lieu en juin 2021. Un mandat sera rédigé pour un comité consultatif sur les CI afin d’en déterminer la composition et la mise en place. Date de mise en place du comité : d’ici à octobre 2021. Une structure de gouvernance provisoire pour soutenir la gestion des CI sera définie aux fins d’approbation par les tables de gouvernance des IRSC. Cette structure assurera une capacité immédiate d’accroître la rigueur du suivi et des rapports en matière de CI. Ensuite, des propositions concernant la production de rapports détaillés sur les CI (qui comprennent tous les facteurs inclus dans le cadre de gestion des CI des IRSC) seront élaborées. Date d’exécution : d’ici à mars 2022. |
De 7 à 12 mois Urgence : Moyenne |
3 | La direction doit procéder à une analyse complète des risques pour cerner et évaluer formellement les risques de CI aux IRSC, puis définir une approche de gestion des risques permettant d’atténuer les points de vulnérabilité. | D’accord/en désaccord : D’accord Responsabilité : VPA, Services généraux/agent responsable des CI Mesures : On s’entend sur la valeur d’une analyse complète des risques pour cerner et évaluer de façon formelle les risques pour les IRSC. Grâce aux résultats d’audits et d’examens indépendants récents, les IRSC ont une meilleure compréhension des risques. En retour, en supposant un soutien continu en matière de ressources, on prévoit qu’une analyse complète sera effectuée d’ici à novembre 2021. |
De 7 à 12 mois Urgence : Moyenne |
4 | La direction doit élaborer et formaliser un processus de gestion de bout en bout des CI qui englobe les rôles et les responsabilités, les principales étapes, les activités, la documentation à tenir et les normes de service. | D’accord/en désaccord : D’accord Responsabilité : Agent responsable des CI Mesures : Les processus relatifs aux CI seront révisés et formalisés pour garantir la clarté de la gestion des CI, du début à la fin. Ces processus seront ébauchés à partir des politiques existantes et transmis aux tables de gouvernance. Date d’exécution : d’ici à décembre 2021. |
6 mois ou moins Urgence : Élevée |
5 | La direction doit créer un système de suivi électronique des cas de CI pour s’assurer que les renseignements à valeur opérationnelle sont conservés dans un dépôt central. | D’accord/en désaccord : D’accord Responsabilité : Agent responsable des CI et dirigeant principal de l’information Mesures : Comme il est indiqué ci-dessous, la collaboration avec les TI commencera d’ici à janvier 2022 pour déterminer la capacité de prioriser l’adoption d’un système de suivi électronique. Dans l’intervalle, les systèmes existants seront améliorés pour servir aux activités courantes de suivi et de rapport. Depuis janvier 2021, on procède à la révision des registres existants et à leur versement dans un dépôt centralisé. En supposant que l’organisation soit en mesure de prioriser l’adoption d’un système de suivi électronique, les exigences proposées pour le système seront présentées aux tables de gouvernance (selon les besoins) d’ici à mai 2022. On collaborera avec les TI pour s’assurer que des systèmes appropriés sont en place pour le suivi des CI et les rapports connexes. Date de début de la collaboration : d’ici à janvier 2022. |
De 7 à 12 mois Urgence : Moyenne |
6 | Il faut prévoir une formation complète sur les CI, en fonction des besoins, pour les membres et la direction. Cette formation doit comprendre une formation initiale, une sensibilisation continue et un suivi de l’achèvement. | D’accord/en désaccord : D’accord Responsabilité : Agent responsable des CI Mesures : Le matériel de formation existant sera révisé et enrichi pour créer une formation complète sur la gestion des CI, fondée sur les besoins, à l’intention des membres et de la direction. Ce travail commencera d’ici à février 2022, dans le but de l’achever avant avril 2022 pour une mise en œuvre ultérieure. Dans l’intervalle, le matériel de formation existant continuera d’être utilisé pour les séances de formation et de sensibilisation. |
De 7 à 12 mois Urgence : Moyenne |
7 | Il faut évaluer périodiquement la formation sur les CI pour s’assurer qu’elle reste actuelle et efficace, et apporter les améliorations qui s’imposent. | D’accord/en désaccord : D’accord Responsabilité : Agent responsable des CI Mesures : Dans le cadre de la planification opérationnelle continue en matière de CI, des évaluations périodiques de la formation auront lieu pour en assurer l’efficacité et l’efficience, et pour apporter des modifications, s’il y a lieu. Ces évaluations prendront la forme de sondages portant sur les séances de formation et de sensibilisation qui auront lieu d’ici à avril 2022. Au fur et à mesure de l’évolution de la fonction de CI, des évaluations régulières seront intégrées (dans la mesure du possible) à la gestion du rendement en matière de CI. |
De 7 à 12 mois Urgence : Moyenne |
Annexe A : Codage des recommandations par couleurs
Il est conseillé de donner suite à toutes les recommandations dans un délai de 18 mois après l’approbation d’un rapport d’audit. À cette fin, l’Unité d’audit interne utilise un système de codage par couleurs pour aider la direction à établir l’ordre de priorité des mesures correctives.
Le codage par couleurs décrit ci-dessous tient compte de l’urgence avec laquelle les recommandations doivent être traitées, de la complexité de la recommandation et des questions ou préoccupations sous‑jacentes, et du niveau de risque auquel l’organisme est exposé en raison de l’enjeu relevé.
Couleur |
Délai d’exécution suggéré |
---|---|
Urgence élevée |
6 mois ou moins |
Urgence moyenne |
de 7 à 12 mois |
Urgence faible |
de 13 à 18 mois |
Annexe B : Critères d’audit pertinents
Les critères utilisés pour évaluer les objectifs de l’audit ont été adaptés des documents suivants :
- Cadre principal des politiques du Conseil du Trésor
- Code de valeurs et d’éthique du secteur public
- Politique sur la prévention et la gestion des conflits d’intérêts à l’intention des directeurs scientifiques et des membres du conseil d’administration et des organes consultatifs
- Loi sur les conflits d’intérêts [ PDF (341 Ko) - lien externe ]
- La gestion des conflits d’intérêts – rapport d’audit du Bureau du vérificateur général du Canada [ PDF (385 Ko) - lien externe ]
Voici les principaux critères utilisés dans le cadre du rapport d’audit. Ils ont été simplifiés pour les besoins du rapport.
Critère |
Renvoi aux constatations |
---|---|
Question de recherche 1 : gouvernance |
|
1.1 Une structure organisationnelle et de gouvernance des CI formellement définie, proportionnelle aux risques et aux priorités de la gestion des CI, a été établie. | Constatations 1, 2 et 3 |
1.2 Des rôles, des responsabilités et des pouvoirs appropriés en matière de CI ont été définis et sont compris par les principales parties prenantes et la direction. | Constatations 1, 2 et 6 |
1.3 Une évaluation en règle a été effectuée et documentée pour déterminer les seuils de tolérance aux risques de CI, et des stratégies ont été élaborées pour garantir que les risques de CI sont atténués comme il se doit. |
Constatation 3 |
Question de recherche 2 : cadre et gestion |
|
2.1 Les valeurs, les objectifs et les attentes liés aux CI ont été formellement documentés dans le cadre de gestion des CI et sont compris par les principales parties prenantes et la direction. |
Constatations 1, 2 et 6 |
2.2 Des politiques, des procédures et des lignes directrices ont été établies et offrent un protocole/processus clair pour le traitement des situations de CI, y compris la détection, la transmission à un échelon supérieur, la résolution et la production de rapports. |
Constatations 4 et 5 |
2.3 Le bureau des CI fournit des directives claires et un soutien à l’organisme lorsqu’il reçoit des déclarations de CI et des demandes ponctuelles. |
Constatations 4 et 5 |
2.4 Les questions de CI réels ou potentiels sont soulevées et examinées au début de toutes les réunions de prise de décisions. |
Constatation 4 |
2.5 Des stratégies appropriées pour gérer les CI et atténuer les risques en la matière ont été établies et mises en œuvre. |
Constatations 3, 4 et 5 |
2.6 Des protocoles de transmission à un échelon supérieur sont prévus et permettent de reconsidérer les décisions prises en matière de CI. |
Constatation 4 |
Question de recherche 3 : formation et sensibilisation |
|
3.1 Des stratégies de communication adéquates sont prévues et ont été mises en œuvre relativement aux attentes en matière de CI et au cadre global. |
Constatation 6 |
3.2 Une formation adéquate est prévue et est fournie relativement au cadre de gestion des CI. |
Constatation 6 |
Question de recherche 4 : suivi, surveillance et rapports |
|
4.1 Il existe un mécanisme efficace de suivi, de rapport et de surveillance pour garantir que les CI sont suivis et gérés de manière uniforme dans toute l’organisation. |
Constatations 2, 4 et 5 |
- Date de modification :