2022 — Rapports 1 à 4 de la vérificatrice générale du Canada au Parlement du CanadaRapport de la vérificatrice générale du Canada au Conseil d’administration de Financement agricole Canada — Examen spécial — 2021
Rapport de l’auditeur indépendant
Table des matières
- Sommaire de l’audit
- Introduction
- Constatations, recommandations et réponses
- Conclusion
- À propos de l’audit
- Tableau des recommandations
- Pièces :
- 1 — Croissance de la Société depuis 2012
- 2 — Gouvernance de la Société : Principales constatations et évaluation
- 3 — Planification stratégique : Principales constatations et évaluation
- 4 — Gestion des risques d’entreprise : Principales constatations et évaluation
- 5 — Gestion des activités : Principales constatations et évaluation
- 6 — Sécurité des technologies de l’information : Principales constatations et évaluation
Sommaire de l’audit
Nous n’avons trouvé aucun défaut grave dans les méthodes de gestion organisationnelle et dans la gestion des activités de Financement agricole Canada pendant la période visée par l’audit. Toutefois, nous avons constaté certaines faiblesses, particulièrement en ce qui concerne l’autoévaluation du rendement du Conseil d’administration, la surveillance exercée par le Conseil d’administration et la technologie de l’information. Néanmoins, la Société d’État a généralement mis en œuvre des moyens et méthodes raisonnables pour remplir son mandat.
Introduction
Information générale
1. Financement agricole Canada (la Société) est une société d’État qui exerce ses activités en vertu de la Loi sur Financement agricole Canada.
2. La Société a pour mandat de « mettre en valeur le secteur rural canadien » en fournissant des services et produits financiers et commerciaux, spécialisés et personnalisés, aux exploitations agricoles. Les clients de la Société sont les fermes familiales et les petites et moyennes entreprises liées à l’agriculture. Les exploitations agricoles représentent 84 % de la clientèle de la Société, et les fournisseurs et les entreprises de transformation forment les 16 % restants.
3. En outre, la Société a reçu des lettres de mandat de la ministre de l’Agriculture et de l’Agroalimentaire dans laquelle la Société a été chargée de donner suite aux priorités suivantes :
- s’employer à promouvoir et à renforcer les produits et les services qui facilitent les transferts intergénérationnels et qui aident les jeunes agricultrices et agriculteurs à se joindre à l’industrie;
- appuyer les groupes sous‑représentés dans le secteur agricole canadien, y compris les femmes et les Autochtones qui œuvrent à titre d’entrepreneurs ou de producteurs agricoles;
- collaborer avec des organisations aux vues similaires, et les soutenir, afin d’aider les producteurs canadiens ayant des problèmes de santé mentale.
4. La Société offre des prêts, fournit des logiciels et des programmes d’apprentissage et diffuse des connaissances (notamment des idées, des avis et des ressources) pour aider ses clients et d’autres parties prenantes de l’industrie agricole et agroalimentaire à prendre des décisions éclairées.
5. Financement agricole Canada est une société d’État fédérale financièrement autonome. La Société a un effectif de plus de 2 100 personnes réparties dans 100 bureaux qui sont situés surtout en zone rurale. Son administration centrale se trouve à Regina. La Société possède un portefeuille de prêts dont la valeur dépassait 41 milliards de dollars en mars 2021. L’effectif de la Société et son portefeuille de prêts ont augmenté considérablement depuis notre dernier examen spécial en 2012 (voir la pièce 1).
Pièce 1 — Croissance de la Société depuis 2012
Année | Portefeuille (en milliards de dollars) |
Total des actifs (en milliards de dollars) |
Total des emprunts (en milliards de dollars) |
Effectif approximatif |
---|---|---|---|---|
2012 | 23,2 | 23,8 | 20,3 | 1 500 |
2013 | 25,1 | 25,9 | 22,0 | 1 600 |
2014 | 26,2 | 27,3 | 22,8 | 1 700 |
2015 | 27,3 | 28,7 | 23,4 | 1 700 |
2016 | 28,7 | 30,0 | 24,3 | 1 700 |
2017 | 31,2 | 33,0 | 26,9 | 1 800 |
2018 | 34,0 | 35,3 | 28,9 | 1 800 |
2019 | 36,2 | 37,6 | 30,7 | 1 900 |
2020 | 38,6 | 41,4 | 33,6 | 2 000 |
2021 | 41,5 | 43,9 | 35,3 | 2 100 |
Source : Rapports annuels de Financement agricole Canada
6. Le 23 mars 2020, la Société a reçu un apport en capital additionnel de 500 millions de dollars du gouvernement du Canada qui lui a permis d’augmenter sa capacité de prêts et d’accroître son exposition au risque pour soutenir l’industrie pendant la pandémie de maladie à coronavirus (COVID‑19)Définition 1. La Société a ainsi pu offrir un certain répit à ses clients, avec par exemple des modalités de remboursement prolongées, des taux d’intérêt et des frais réduits, plus de prêts à versement d’intérêts seulement et une hausse de la limite maximale du financement accordé aux clients.
Objet de l’audit
7. Notre audit visait à déterminer si les moyens et les méthodes de Financement agricole Canada que nous avons sélectionnés aux fins de l’examen fournissaient à la Société l’assurance raisonnable que ses actifs étaient protégés et contrôlés, que ses ressources étaient gérées avec efficience et économie et que ses activités étaient menées avec efficacité, comme l’exige l’article 138 de la Loi sur la gestion des finances publiques.
8. De plus, aux termes du paragraphe 139(2) de la Loi sur la gestion des finances publiques, nous devons exprimer une opinion, à savoir si, compte tenu des critères établis, il y avait une assurance raisonnable que les moyens et méthodes que nous avons examinés ne comportaient pas de défaut grave. Nous cernons et signalons des défauts graves lorsque, à notre avis, la Société pourrait ne pas avoir l’assurance raisonnable que ses actifs sont protégés et contrôlés, que ses ressources sont gérées avec efficience et économie, et que ses activités sont menées avec efficacité.
9. En nous fondant sur notre évaluation des risques, nous avons sélectionné les moyens et méthodes dans les secteurs suivants :
Les moyens et méthodes sélectionnés et les critères appliqués pour les évaluer sont présentés dans les pièces tout au long du rapport.
10. La section intitulée À propos de l’audit, à la fin du présent rapport, donne des précisions sur l’objectif, l’étendue, la méthode et les sources des critères de l’audit.
Constatations, recommandations et réponses
Méthodes de gestion organisationnelle
La Société avait de bonnes méthodes de gestion organisationnelle dans certains secteurs, mais des améliorations étaient nécessaires dans d’autres secteurs
11. Nous avons constaté que la Société avait de bonnes méthodes de gestion organisationnelle, mais que des améliorations s’imposaient. Plus particulièrement, le Conseil d’administration n’avait pas réalisé d’autoévaluation annuelle de son rendement, et les informations communiquées au Conseil sur certains points de surveillance étaient incomplètes ou inexactes.
12. L’analyse à l’appui de cette constatation porte sur :
13. La Société est régie par un Conseil d’administration qui compte 12 membres, dont la présidente du Conseil.
14. Le Conseil est soutenu par le Comité de gestion du risque, le Comité d’audit, le Comité de gouvernance d’entreprise et le Comité des ressources humaines.
15. Le Conseil surveille les activités de la Société, qui rend des comptes au Parlement par l’entremise de la ministre de l’Agriculture et de l’Agroalimentaire.
16. Pour remplir son mandat, la Société définit des objectifs stratégiques dans son plan stratégique. Elle établit également des indicateurs de rendement pour mesurer les progrès réalisés à l’égard de ces objectifs. En plus de ces indicateurs, la Société utilise des cibles qui précisent le niveau de succès ou les buts qui doivent être atteints pour qu’un objectif stratégique soit réalisé. Pour l’exercice financier 2019‑2020, la Société a défini six objectifs stratégiques :
- excellentes relations clients;
- industrie agricole dynamique et prospère;
- culture à rendement élevé;
- excellence de l’exécution;
- gestion efficace du risque d’entreprise;
- solidité financière.
17. La Société est exposée à quatre grandes catégories de risques : le risque stratégique, le risque financier, le risque opérationnel et le risque lié à la réputation. Des exemples de ces risques comprennent les risques liés à la continuité de l’exploitation, à la sécurité des technologies de l’information et à la cybersécurité. L’un des principaux risques financiers auxquels est exposée la Société est le risque lié aux prêts, qui comprend le risque de crédit, le risque de marché et le risque de liquidité. Des niveaux généraux de tolérance au risque sont établis et décomposés en seuils et en limites; ceux‑ci sont attribués aux différents secteurs opérationnels de l’organisation, qui doivent en assurer le suivi.
18. L’évaluation générale des risques réalisée par la Société détermine le capital requis pour appuyer l’orientation stratégique de la Société et poursuivre la prestation des services tout au long des cycles économiques, y compris en période de ralentissement économique et de déficit prolongé. Même si elle n’est pas officiellement réglementée, la Société gère son niveau de capital conformément à la ligne directrice Normes de fonds propres émise par le Bureau du surintendant des institutions financières Canada.
19. Nos recommandations relativement au secteur examiné sont présentées aux paragraphes 23, 26, 29 et 32.
20. Analyse — Nous avons constaté une faiblesse liée au fait que le Conseil d’administration et ses comités n’avaient pas réalisé d’autoévaluation annuelle de leur rendement. Nous avons aussi constaté que l’étendue et les résultats d’un exercice de reprise des activités après un sinistre n’avaient pas été communiqués au Conseil et que la Société n’avait pas suivi de processus fondé sur des preuves pour présenter des rapports sur sa conformité avec les autorisations pertinentes (voir la pièce 2).
Pièce 2 — Gouvernance de la Société : Principales constatations et évaluation
Moyens et méthodes | Critères | Principales constatations | Évaluation en fonction des critères établis |
---|---|---|---|
Indépendance du Conseil d’administration |
Le Conseil d’administration fonctionnait de manière indépendante. |
Les membres du Conseil d’administration ont déclaré tout conflit d’intérêts lors de réunions du Conseil d’administration et dans une déclaration annuelle. Les membres du Conseil se sont retirés des discussions lorsqu’il y avait des conflits d’intérêts possibles. Le Conseil a fonctionné indépendamment de la direction lorsqu’il prenait des décisions et a tenu régulièrement des réunions en privé sans la présence de la direction. Les membres du Conseil ont été informés des codes et des politiques sur les valeurs, l’éthique, les comportements et les conflits d’intérêts qui s’appliquaient à eux, et ils les respectaient. |
Coche dans un cercle vert |
Établissement d’une orientation stratégique |
Le Conseil d’administration a établi une orientation stratégique. |
Le Conseil d’administration a établi une orientation stratégique en examinant et en approuvant les plans stratégiques et les plans d’entreprise préparés par la direction. Pour éclairer cette orientation stratégique, le Conseil s’est appuyé sur les communications régulières de la Société avec ses parties prenantes et le gouvernement. Le Comité de gouvernance d’entreprise a fourni au Conseil des recommandations sur la gouvernance de la Société, notamment sur le processus de planification stratégique de la Société. Le Conseil a réalisé une évaluation annuelle du rendement de la présidente et du président‑directeur général. |
Coche dans un cercle vert |
Nomination et compétences des membres du Conseil d’administration |
Les membres du Conseil d’administration possédaient collectivement les capacités et les compétences nécessaires pour s’acquitter de leurs responsabilités. |
Le Conseil d’administration a déterminé les compétences et l’expertise dont il avait besoin pour être efficace et a vérifié si les membres du Conseil possédaient les compétences et les connaissances nécessaires pour s’acquitter de leurs responsabilités. Le Conseil a communiqué avec la ministre de l’Agriculture et de l’Agroalimentaire au sujet de la nomination de ses membres, du renouvellement des mandats et des postes vacants. Il a notamment proposé des compétences pour les postes vacants afin d’accroître les compétences du Conseil dans son ensemble. Les membres du Conseil ont pu assister à des séances d’orientation ainsi qu’à des cours de formation continue. Deux des douze postes au sein du Conseil étaient vacants, et le mandat de trois membres du Conseil avait pris fin le 31 mars 2021. Après la période visée par l’audit, le mandat de deux membres a été renouvelé, et trois nouveaux membres ont été nommés. Faiblesse Le Conseil d’administration et ses comités n’ont pas réalisé d’autoévaluation annuelle de leur rendement. |
Point d’exclamation dans un cercle jaune |
Surveillance par le Conseil d’administration |
Le Conseil d’administration a rempli son rôle de surveillance de la Société. |
Les membres du Conseil d’administration ont reçu des rapports sur le rendement éthique de la Société, notamment sur le respect, par les membres du personnel, de son code de conduite et de ses directives sur les conflits d’intérêts. La fonction d’audit interne a mené des audits périodiques. La chef de l’audit interne a régulièrement rencontré le Comité d’audit sans la présence de la direction. Cette pratique a aidé le Conseil à exercer ses responsabilités en matière de surveillance et de contrôle. Faiblesses Même si le Conseil d’administration a reçu des informations pour exercer sa fonction de surveillance, il n’a pas été informé de l’objectif, de l’étendue ou des résultats d’un exercice de reprise des activités après un sinistre. Les rapports fournis au Conseil sur la conformité de la Société avec les autorisations pertinentes (y compris les lois et les règlements) n’étaient pas étayés par des tests documentés qui auraient permis de confirmer qu’une évaluation de la conformité avec chacune des autorisations avait été réalisée. La Société n’a pas mis en œuvre l’une de ces autorisations, à savoir la Loi sur l’évaluation d’impact, dans ses secteurs opérationnels. |
Point d’exclamation dans un cercle jaune |
Légende — Évaluation en fonction des critères établis Coche dans un cercle vert Satisfait aux critères Point d’exclamation dans un cercle jaune Satisfait aux critères, mais des améliorations s’imposent Un X dans un cercle rouge Ne satisfait pas aux critères |
21. Faiblesse — Nominations et compétences des membres du Conseil d’administration — Nous avons constaté que le Conseil d’administration et ses comités n’avaient pas réalisé d’autoévaluation annuelle de leur rendement. Le Conseil a évalué son rendement pour la dernière fois en janvier 2019.
22. Cette faiblesse est importante parce que les autoévaluations du rendement, tant au niveau des comités que du Conseil d’administration, permettent au Conseil de relever les secteurs à améliorer et de se tenir à jour quant aux pratiques exemplaires à suivre.
23. Recommandation — Le Conseil d’administration de Financement agricole Canada et ses comités devraient régulièrement réaliser des autoévaluations de leur rendement.
Réponse de la Société — Recommandation acceptée. L’intention du Conseil d’administration de Financement agricole Canada était d’effectuer une évaluation du Conseil d’administration et de ses comités à la suite de la première année de mandat de la nouvelle présidente du Conseil (nommée en avril 2020) et de la dotation des trois postes vacants (pourvus en mai 2021). La direction appuiera une autoévaluation du Conseil d’administration et de ses comités d’ici le 30 juin 2022. La direction recommandera que le mandat du Comité de gouvernance d’entreprise soit amélioré afin d’exiger que cette évaluation soit effectuée à un moment précis, sur une base régulière.
24. Faiblesses — Surveillance par le Conseil d’administration — Dans le cadre de son plan et de sa politique de gestion de la continuité des activités, la Société a mené périodiquement un exercice de reprise des activités après un sinistre qui visait les principaux systèmes et infrastructures des technologies de l’information. Nous avons constaté que l’étendue et les résultats du dernier exercice avaient été communiqués au chef de la technologie de l’information, mais pas au Conseil d’administration, et ce, malgré le fait que la Société avait désigné la sécurité de l’information (y compris la compromission des renseignements essentiels) comme un secteur de risque important pour l’exercice 2020‑2021. En tant qu’organisation qui s’appuie sur plusieurs systèmes informatiques pour traiter et approuver des prêts, fournir à ses clients des décaissements de prêts au moment où ils en ont besoin et stocker des données sensibles sur les clients, la Société doit pouvoir récupérer les informations et reprendre rapidement ses activités à la suite d’un sinistre.
25. Cette faiblesse est importante parce qu’en l’absence de cette information, le Conseil d’administration ne peut pas exercer sa surveillance à l’égard d’une importante mesure d’atténuation des risques, à savoir la capacité de la Société de reprendre ses activités et de récupérer ses informations à la suite d’un sinistre.
26. Recommandation — Le Conseil d’administration de Financement agricole Canada devrait demander à la direction de lui communiquer en temps opportun l’objectif, l’étendue et les résultats de ses mesures d’atténuation des risques liés à la gestion de la continuité des activités.
Réponse de la Société — Recommandation acceptée. En février 2021, le Conseil d’administration de Financement agricole Canada a souligné la nécessité de nommer un conseiller indépendant pour l’aider à assurer la surveillance du risque lié aux technologies et à l’information. À la suite d’un concours, un conseiller a été sélectionné, et un contrat a été finalisé en juin 2021.
En octobre 2021, la direction a remis son rapport sommaire sur le risque lié à l’information et aux technologies au Comité de gestion du risque du Conseil d’administration et au conseiller de ce dernier. Ce rapport présentait notamment des processus d’intervention en cas d’incident et de reprise après sinistre liés à des scénarios de continuité des activités en cas de pannes de système. D’ici le 31 décembre 2021, la direction communiquera au Comité les résultats d’exercices antérieurs de reprise des activités après sinistre.
Les objectifs et la portée du programme général de continuité des activités, de même que les résultats continus de son atténuation des risques relativement à la gestion de la continuité des activités seront communiqués au Conseil d’administration d’ici le 15 décembre 2022.
27. Nous avons également constaté que la Société n’avait pas de processus rigoureux pour la présentation de rapports visant à donner au Conseil l’assurance que la Société se conformait aux lois et aux règlements fédéraux, provinciaux et territoriaux pertinents. Le Conseil doit obtenir cette assurance pour exercer pleinement sa surveillance à cet égard. La Société avait un processus pour dresser la liste des lois et des règlements qu’elle doit respecter. Ces lois et règlements ont été mis en œuvre dans les divers secteurs opérationnels de la Société au moyen de politiques et de procédures. La Société a aussi établi un processus d’attestation pour confirmer sa conformité avec les lois et règlements applicables. La direction a demandé aux cadres supérieurs responsables des divers secteurs opérationnels de la Société de lui confirmer qu’ils n’avaient pris connaissance d’aucune non‑conformité avec de telles autorisations. Toutefois, la confirmation se fondait sur une autoévaluation de ces cadres, plutôt que sur des tests ou des éléments probants documentés.
28. Cette faiblesse est importante parce que pour exercer pleinement son rôle de surveillance, le Conseil doit avoir accès à des informations qui sont étayées par des tests rigoureux et des éléments probants documentés permettant d’évaluer la conformité avec les autorisations. Un tel processus validerait la conformité et améliorerait la rigueur du processus d’attestation.
29. Recommandation — Le processus d’évaluation de la conformité de Financement agricole Canada avec les autorisations devrait être appuyé par des tests rigoureux et des éléments probants documentés.
Réponse de la Société — Recommandation acceptée. Une initiative de Financement agricole Canada visant à renforcer la gestion de la conformité réglementaire a été mise en œuvre en janvier 2020, et des rapports commenceront à être fournis au Comité d’audit en 2022. Le programme contribuera à améliorer les pratiques de la Société visant à assurer la conformité aux lois et règlements fédéraux ainsi qu’aux instruments du Conseil du Trésor. Il contribuera aussi à appuyer l’évaluation de conformité réglementaire fournie au Comité d’audit grâce à des éléments probants documentés et à des tests des contrôles en bonne et due forme. Le programme sera mis en œuvre d’ici le 31 mars 2023.
30. En outre, nous avons constaté que dans sa liste des lois et règlements applicables, la Société avait noté que la Loi canadienne sur l’évaluation environnementale avait été abrogée et remplacée par la Loi sur l’évaluation d’impact le 28 août 2019. Toutefois, la Société n’avait pas encore mis en œuvre la Loi sur l’évaluation d’impact dans ses secteurs opérationnels puisqu’elle n’avait pas encore réalisé une pleine analyse de l’effet de cette nouvelle loi sur ses politiques et ses procédures. Avant de consentir des prêts, la Société doit réaliser des évaluations environnementales conformément à sa politique sur l’évaluation du risque environnemental ainsi qu’à ses procédures et à ses documents d’évaluation. Or, aucun de ces instruments n’avait été mis à jour pour tenir compte des exigences de la nouvelle loi.
31. Cette faiblesse est importante parce que si la Société ne met pas à jour ses politiques et ses procédures en matière d’environnement pour tenir compte des exigences de la Loi sur l’évaluation d’impact, elle ne peut pas pleinement évaluer sa conformité avec cette loi. Dans les rapports sur la conformité qu’elle a fournis au Conseil d’administration, la Société n’a pas indiqué que les évaluations n’avaient pas été réalisées en tenant compte des textes législatifs les plus récents.
32. Recommandation — Financement agricole Canada devrait analyser la Loi sur l’évaluation d’impact et mettre à jour ses politiques et procédures en conséquence.
Réponse de la Société — Recommandation acceptée. Financement agricole Canada a analysé les exigences réglementaires de la Loi sur l’évaluation d’impact. La politique et le processus d’attestation juridique de la direction ont été mis à jour en fonction de la Loi. Des aspects de la Loi ont été intégrés à la Politique sur la gestion du risque environnemental existante de la Société. La politique, les procédures et le matériel d’appui ont été actualisés et mis en œuvre, y compris la formation, relativement aux projets qui se trouvent au Canada, avec prise d’effet le 27 septembre 2021. Les exigences de conformité pour les projets internationaux, y compris la formation, seront mises en œuvre d’ici le 30 avril 2022.
33. Analyse — Nous avons constaté que la Société avait des méthodes efficaces de planification stratégique (voir la pièce 3).
Pièce 3 — Planification stratégique : Principales constatations et évaluation
Moyens et méthodes | Critères | Principales constatations | Évaluation en fonction des critères établis |
---|---|---|---|
Processus de planification stratégique |
La Société a établi un plan stratégique et des objectifs stratégiques qui cadrent avec son mandat. |
La Société avait des processus de planification stratégique systématiques en place. Elle avait notamment un processus pour analyser ses forces et ses faiblesses, les occasions favorables ainsi que les principaux risques et menaces auxquels elle est exposée. La Société a établi des objectifs stratégiques mesurables qui correspondaient à son mandat législatif et aux priorités du gouvernement. Le plan d’entreprise était bien communiqué dans l’ensemble de l’organisation. La Société a communiqué à son personnel des informations stratégiques au moyen des objectifs de rendement établis pour la direction et des cibles de rendement opérationnel internes. Des informations stratégiques ont aussi été communiquées par l’entremise du site intranet de la Société. La Société était consciente des objectifs de développement durable des Nations Unies et a incorporé des aspects de ces objectifs dans son plan d’entreprise et dans son rapport sur la responsabilité sociale d’entreprise. |
Coche dans un cercle vert |
Mesure du rendement |
La Société a établi des indicateurs de rendement qui appuient l’atteinte des objectifs stratégiques. |
La Société a établi des indicateurs de rendement financier et opérationnel clés ainsi que des cibles pour évaluer les progrès continus dans la réalisation des objectifs stratégiques. Parmi ces indicateurs et cibles, la Société a choisi d’inclure des initiatives liées à l’environnement et au développement durable et à deux des objectifs de développement durable. |
Coche dans un cercle vert |
Surveillance du rendement et communication des résultats à cet égard |
La Société a surveillé les progrès réalisés par rapport à ses objectifs stratégiques et en a rendu compte. |
La Société a surveillé son rendement par rapport aux cibles chaque trimestre et a communiqué cette information à la haute direction et au Conseil d’administration, qui a analysé périodiquement les progrès par rapport aux initiatives stratégiques. Le rapport annuel de 2020 de la Société présentait les résultats de son rendement par rapport aux cibles et aux indicateurs établis pour ses objectifs stratégiques. La Société a tenu une réunion publique annuelle virtuelle pour communiquer ces résultats. Le rapport annuel comportait des mesures pour évaluer le rendement et les progrès en matière d’environnement et de développement durable à l’appui des objectifs de développement durable. La Société a aussi publié un rapport sur la responsabilité sociale d’entreprise, qui comprend de plus amples informations sur ces initiatives et sur son rendement annuel par rapport aux cibles connexes. |
Coche dans un cercle vert |
Légende — Évaluation en fonction des critères établis Coche dans un cercle vert Satisfait aux critères Point d’exclamation dans un cercle jaune Satisfait aux critères, mais des améliorations s’imposent Un X dans un cercle rouge Ne satisfait pas aux critères |
34. Analyse — Nous avons constaté que la Société avait de bonnes méthodes de gestion des risques d’entreprise (voir la pièce 4).
Pièce 4 — Gestion des risques d’entreprise : Principales constatations et évaluation
Moyens et méthodes | Critères | Principales constatations | Évaluation en fonction des critères établis |
---|---|---|---|
Identification et évaluation des risques |
La Société a identifié et évalué les risques qu’elle doit gérer pour atteindre ses objectifs stratégiques. |
La Société a identifié et évalué ses risques conformément à son cadre et à sa politique de gestion du risque d’entreprise, qui définissent les principes relatifs aux risques, les rôles et les responsabilités, la propension au risque et les activités de gestion des risques. Les politiques et procédures de gestion du risque de crédit correspondaient au cadre relatif à la propension au risque établi à l’échelle de la Société et aux limites et seuils de tolérance approuvés par le Conseil d’administration. La Société a évalué les nouveaux risques et les changements associés aux niveaux de risque en temps opportun. La Société a aussi mis à jour son registre des risques pour y ajouter la pandémie de COVID‑19 en tant que risque nouveau et important. |
Coche dans un cercle vert |
Atténuation des risques |
La Société a défini et pris des mesures pour atténuer les risques. |
La Société a défini, élaboré et mis en œuvre des mesures et des stratégies d’atténuation pour les risques identifiés, y compris le risque de crédit. Les stratégies d’atténuation des risques pour les principaux risques ont été approuvées par la direction et le Conseil d’administration. |
Coche dans un cercle vert |
Surveillance des risques et communication de l’information à cet égard |
La Société a surveillé la mise en œuvre des mesures d’atténuation des risques et a communiqué de l’information à cet égard. |
La direction a présenté au Conseil d’administration des rapports trimestriels qui décrivaient en détail les tendances en matière de risque et l’état d’avancement des plans d’action visant à atténuer les risques identifiés. Ces rapports comprenaient des informations sur l’état du risque de crédit, comparativement aux seuils de tolérance aux risques établis par la Société. |
Coche dans un cercle vert |
Légende — Évaluation en fonction des critères établis Coche dans un cercle vert Satisfait aux critères Point d’exclamation dans un cercle jaune Satisfait aux critères, mais des améliorations s’imposent Un X dans un cercle rouge Ne satisfait pas aux critères |
Gestion des activités
La Société avait de bonnes méthodes pour gérer ses activités, mais des améliorations s’imposaient dans les secteurs de la cybersécurité et de la sécurité des technologies de l’information
35. Nous avons constaté que la Société avait de bonnes méthodes opérationnelles, y compris en ce qui concerne la planification opérationnelle, la surveillance du rendement et la communication des résultats, ainsi que la gestion des activités. Toutefois, des améliorations s’imposaient dans les secteurs de la cybersécurité et de la sécurité des technologies de l’information.
36. L’analyse à l’appui de cette constatation porte sur :
37. L’activité principale de la Société consiste à fournir du financement à l’industrie agricole et agroalimentaire. La Société verse des prêts aux producteurs primaires (soit les producteurs de produits bruts comme les céréales, les oléagineux, le bétail, les produits laitiers, les porcins, le poisson et autres produits aquacoles, les fruits et les légumes) ainsi qu’aux secteurs de l’agroentreprise et de l’agroalimentaire (fournisseurs ou transformateurs, tels que les fabricants et concessionnaires d’équipement ou les grossistes qui desservent les producteurs primaires). La Société offre plusieurs produits de prêt pour répondre aux besoins de l’industrie. Ces produits ciblent aussi des groupes particuliers, comme les jeunes agricultrices et agriculteurs, les femmes entrepreneures, et les agricultrices, agriculteurs ou entreprises autochtones.
38. La Société s’appuie énormément sur les technologies de l’information. La sécurité des technologies de l’information, y compris la cybersécurité, est donc un secteur de service important au sein de la Société, puisque celle‑ci offre des services en ligne aux consommateurs (par exemple évaluation en ligne du risque de crédit associé à un prêt) et gère une grande quantité de données financières. La Société offre aussi à ses clients des logiciels de gestion agricole et de comptabilité. Lorsque la Société remplace ses technologies pour améliorer les services, accroître l’automatisation et fournir un accès à distance, les risques associés aux technologies de l’information et à la cybersécurité augmentent.
39. La Société a des bureaux partout au Canada, pour être proche de ses clients. Par ailleurs, en raison de la pandémie de COVID‑19, l’effectif de la Société a dû passer au travail à distance. Au cours de l’exercice 2020‑2021, la Société a connu une hausse des tentatives d’hameçonnage, ce qui a fait ressortir l’importance de son programme de cybersécurité et des contrôles connexes.
40. Notre examen a porté sur les activités de prêt, ainsi que sur la sécurité des technologies de l’information et la cybersécurité. La Société a aussi une division de marketing qui crée de nouveaux produits de prêt et qui élabore et offre de nouvelles connaissances et de nouvelles solutions logicielles à ses clients. Pour le critère de planification opérationnelle ci‑après, nous avons examiné les programmes de marketing en plus des produits de prêt.
41. Nos recommandations relativement au secteur examiné sont présentées aux paragraphes 47 et 50.
42. Analyse — Nous avons constaté que la Société disposait de bonnes méthodes pour planifier ses activités, mettre en œuvre son plan opérationnel, surveiller son rendement et communiquer les résultats (voir la pièce 5).
Pièce 5 — Gestion des activités : Principales constatations et évaluation
Moyens et méthodes | Critères | Principales constatations | Évaluation en fonction des critères établis |
---|---|---|---|
Planification opérationnelle |
La Société a défini des plans opérationnels qui cadraient avec ses plans stratégiques et son mandat. |
Les plans opérationnels de la Société cadraient avec ses plans stratégiques et son mandat. Ils tenaient compte des risques d’entreprise et des besoins des clients de la Société. Ils désignaient aussi les personnes responsables de la surveillance. Le processus de planification opérationnelle de la Société prévoyait l’élaboration d’objectifs de rendement pour la haute direction, qui cadraient avec les plans opérationnels et stratégiques de la Société. |
Coche dans un cercle vert |
Mise en œuvre du plan opérationnel |
La Société a mis en œuvre le plan opérationnel afin de produire les résultats prévus pour le secteur d’activité. |
La Société a appliqué ses politiques et procédures de constitution d’un dossier de prêt, d’octroi d’un prêt, d’évaluation et de tarification du crédit, de redressement de prêt, de modification de prêt et de surveillance des prêts. Le personnel responsable des prêts avait accès à ces politiques et procédures et celles‑ci étaient mises à jour régulièrement. En outre, ces politiques et procédures étaient approuvées par la direction et le Conseil d’administration à la suite d’une mise à jour et au besoin. La Société avait une ligne téléphonique confidentielle que pouvaient utiliser le public et le personnel pour signaler des activités frauduleuses. La Société disposait aussi d’une politique de protection des personnes dénonciatrices. Des enquêtes étaient menées à la suite de plaintes. La Société a recensé les connaissances et les compétences que le personnel responsable des prêts devait posséder et a offert de la formation en conséquence. La direction avait des processus pour repérer et signaler la détérioration du crédit des personnes qui empruntent et les prêts douteux, ainsi que des politiques et des lignes directrices pour gérer ces dossiers. Des mesures appropriées étaient prises à l’égard de tels dossiers, conformément aux politiques et aux lignes directrices établies. La direction avait des processus pour repérer les événements extraordinaires et les chocs externes importants pouvant influer sur le risque de crédit, pour évaluer ces événements et chocs et pour intervenir en conséquence. La direction avait des processus pour assurer un suivi des exceptions aux politiques et pour s’assurer que ces exceptions étaient gérées conformément au cadre de politique de la Société. |
Coche dans un cercle vert |
Surveillance du rendement et communication des résultats |
La Société a surveillé ses résultats opérationnels et a communiqué de l’information à cet égard. |
Tout au long de l’année, la direction a communiqué de façon périodique les principaux résultats opérationnels par rapport aux cibles. Elle a notamment expliqué les écarts et les cas de détérioration du crédit. La direction a surveillé et évalué périodiquement les progrès réalisés vers l’atteinte des objectifs annuels et des cibles de rendement du personnel de tous les niveaux. La direction a sondé les clients pour savoir si les services de la Société répondaient à leurs besoins. |
Coche dans un cercle vert |
Légende — Évaluation en fonction des critères établis Coche dans un cercle vert Satisfait aux critères Point d’exclamation dans un cercle jaune Satisfait aux critères, mais des améliorations s’imposent Un X dans un cercle rouge Ne satisfait pas aux critères |
43. Analyse — Nous avons constaté que la Société n’avait pas de programme complet de sensibilisation à la cybersécurité et de formation à ce sujet et qu’elle n’avait pas évalué pleinement son exposition aux risques liés à la sécurité des technologies de l’information et aux risques d’atteinte à la vie privée posés par ses contrats avec des tierces parties (voir la pièce 6).
Pièce 6 — Sécurité des technologies de l’information : Principales constatations et évaluation
Moyens et méthodes | Critères | Principales constatations | Évaluation en fonction des critères établis |
---|---|---|---|
Cybersécurité |
La Société s’est protégée contre les atteintes à la cybersécurité au moyen d’un programme de cybersécurité. |
La Société a mis en place un cadre de gestion des risques liés à la cybersécurité. Ce cadre établissait une correspondance entre les risques opérationnels et le risque d’entreprise. Il a été revu et mis à jour en août 2020. La Société a défini les rôles et les responsabilités en matière de cybersécurité. Les mandats des comités de la direction responsables de la cybersécurité étaient mis à jour périodiquement. La Société a établi des cibles et a évalué sa maturité en matière de cybersécurité pour déterminer si le programme de cybersécurité fonctionnait bien et s’il répondait aux objectifs. Ces évaluations étaient menées tous les deux ans. La dernière évaluation a été réalisée en 2019. La Société a établi un plan de réponse aux incidents de cybersécurité qui décrivait la stratégie globale et les rôles et responsabilités en matière d’intervention à la suite d’incidents de cybersécurité. Les incidents faisaient l’objet d’un suivi et étaient documentés conformément aux directives à l’appui du plan. Des exercices de simulation de cyberincident étaient aussi réalisés. Faiblesse La Société n’avait pas de programme complet de sensibilisation à la cybersécurité et de formation à ce sujet. |
Point d’exclamation dans un cercle jaune |
Sécurité des technologies de l’information |
La Société a protégé ses ressources d’information au moyen d’un programme de gestion de la sécurité de l’information |
La Politique de sécurité d’entreprise de la Société était la politique de référence quant à la protection du personnel et des ressources de la Société. La Société avait plusieurs autres cadres, politiques et normes clés qui traitaient de la gestion de la sécurité de l’information. La Société a prévu un site de sauvegarde en cas de sinistre ou d’événement grave. Elle a établi un guide détaillé qui présente les interventions possibles dans un éventail de scénarios et d’événements. La Société avait une politique et un plan de gestion de la continuité des activités. Cette politique était révisée tous les trois ans. La dernière révision a été effectuée en octobre 2018. Faiblesse La Société n’avait pas évalué d’anciens contrats encore en vigueur pour déterminer s’ils comportaient des clauses concernant le signalement des atteintes à la sécurité et à la vie privée de tierces parties et, dans la négative, quelle était l’exposition au risque pour la Société. |
Point d’exclamation dans un cercle jaune |
Légende — Évaluation en fonction des critères établis Coche dans un cercle vert Satisfait aux critères Point d’exclamation dans un cercle jaune Satisfait aux critères, mais des améliorations s’imposent Un X dans un cercle rouge Ne satisfait pas aux critères |
44. Faiblesse — Cybersécurité — Nous avons constaté que la Société n’avait pas de programme complet de sensibilisation à la cybersécurité et de formation à ce sujet. Elle n’avait pas non plus de programme de cours officiel sur la cybersécurité. Il y avait des cours de formation obligatoires sur la cybersécurité pour les nouveaux membres du personnel, mais le contenu de ces cours se limitait à l’utilisation acceptable des appareils et logiciels de la Société et à la protection des biens informatiques. Un programme de cours en cybersécurité qui s’adresse à tous les membres du personnel et qui présente des exemples d’attaques par hameçonnage et autres types d’ingénierie sociale et de logiciels malveillants, de même que des scénarios de cyberattaques, permettrait de mieux renseigner le personnel sur les risques cybernétiques.
45. La Société avait réalisé des exercices sur la cybersécurité et diffusé des communications visant à sensibiliser le personnel à ce sujet. Toutefois, aucun plan ne précisait la nature et la fréquence de ces activités. Un programme de sensibilisation à la cybersécurité à jour comprendrait des activités de formation et de communication ainsi que de suivi et d’évaluation. Un tel programme indiquerait aussi à quel moment et à quelle fréquence ces activités auraient lieu et tiendrait compte des menaces actuelles et des plans pour réagir à de telles menaces.
46. Cette faiblesse est importante parce que la Société a désigné les atteintes à la cybersécurité comme un secteur de risque important. Les programmes de sensibilisation et de formation peuvent aider les membres du personnel à reconnaître les cybermenaces et les cyberincidents et à y réagir de façon à réduire la probabilité que les tentatives d’accès aux systèmes et à l’information de la Société soient fructueuses.
47. Recommandation — Financement agricole Canada devrait établir un programme complet de sensibilisation à la cybersécurité et de formation à ce sujet à l’intention de tous les membres du personnel.
Réponse de la Société — Recommandation acceptée. Après la période d’examen, la direction de Financement agricole Canada a passé en revue le programme actuel de sensibilisation à la cybersécurité et de formation à cet égard. La mise en œuvre prioritaire d’améliorations complètes est en cours et devrait être achevée d’ici le 30 septembre 2022.
48. Faiblesse — Sécurité des technologies de l’information — La Société a réalisé des évaluations des risques liés à la sécurité des technologies de l’information et des risques d’atteinte à la vie privée posés par des tierces parties au moment d’accepter de nouveaux fournisseurs. Elle a aussi mis à jour les évaluations des principaux fournisseurs en procédant à une surveillance des rapports d’attestation des contrôles couvrant les risques liés à la sécurité et à la vie privée. La Société a aussi récemment commencé à ajouter systématiquement aux nouveaux contrats et aux contrats renouvelés des clauses concernant le signalement des atteintes à la sécurité et à la vie privée des tierces parties. Nous avons constaté que la Société avait commencé à évaluer certains de ses anciens contrats encore en vigueur pour déterminer s’ils contenaient des clauses sur le signalement des atteintes à la sécurité et à la vie privée des tierces parties, mais ce processus ne visait pas tous les contrats.
49. Cette faiblesse est importante parce que la Société pourrait être exposée à des risques liés à la sécurité des technologies de l’information et à des risques d’atteinte à la vie privée en raison de contrats avec des tierces parties qui ne nécessitaient pas, au moment de leur établissement, le signalement des atteintes à la sécurité des technologies de l’information et à la vie privée. Si la Société n’est pas capable d’intervenir rapidement à une atteinte à la sécurité ou à la vie privée, les systèmes pourraient devenir inaccessibles, des données pourraient être corrompues et des renseignements sensibles pourraient être perdus ou volés. Il y a aussi un risque de fraude. Si elle était avisée de telles atteintes résultant de contrats avec des tierces parties, la Société pourrait intervenir en conséquence.
50. Recommandation — Financement agricole Canada devrait évaluer tous les contrats conclus avec des tierces parties qui sont encore en vigueur pour déterminer son exposition aux risques liés à la sécurité des technologies de l’information et aux risques d’atteinte à la vie privée posés par des contrats qui pourraient ne pas contenir de clauses concernant le signalement des atteintes à la sécurité des technologies de l’information et à la vie privée et mettre en place les mesures d’atténuation qui s’imposent.
Réponse de la Société — Recommandation acceptée. Une initiative d’entreprise visant à renforcer la gestion des risques liés aux tierces parties a été entamée en 2020. Le programme améliorera les pratiques de Financement agricole Canada pour veiller à ce que les risques en matière de sécurité des TI et d’atteinte à la vie privée soient compris et atténués comme il convient avec toutes les tierces parties. Dans le cadre de ce travail, la direction évaluera tous les contrats de tierces parties en ce qui concerne la présence de clauses en matière de sécurité des TI et de protection des renseignements personnels d’ici le 31 mars 2022. Pour ce qui est des contrats dans lesquels il manque une clause, des tactiques d’atténuation seront établies au besoin d’ici le 31 décembre 2022, conformément à la stratification du risque des ententes.
Conclusion
51. À notre avis, compte tenu des critères établis, il existe une assurance raisonnable que les moyens et les méthodes de la Société que nous avons examinés ne comportaient aucun défaut grave. Nous avons conclu que Financement agricole Canada avait mis en œuvre ses moyens et méthodes tout au long de la période visée par l’audit d’une manière qui lui a fourni l’assurance raisonnable requise aux termes de l’article 138 de la Loi sur la gestion des finances publiques.
À propos de l’audit
Le présent rapport de certification indépendant sur Financement agricole Canada a été préparé par le Bureau du vérificateur général du Canada. Notre responsabilité consistait à exprimer :
- une opinion, à savoir si, pendant la période visée par l’audit, il existait une assurance raisonnable que les moyens et méthodes de la Société que nous avons sélectionnés aux fins de l’examen ne comportaient aucun défaut grave;
- une conclusion sur la conformité de la Société, dans tous ses aspects importants, aux critères applicables.
En vertu de l’article 131 de la Loi sur la gestion des finances publiques, la Société est tenue de mettre en œuvre, en matière de finances et de gestion, des moyens de contrôle et d’information et de faire appliquer des méthodes de gestion de manière à fournir l’assurance raisonnable que :
- ses actifs sont protégés et contrôlés;
- la gestion de ses ressources financières, humaines et matérielles est économique et efficiente;
- ses activités sont menées avec efficacité.
Aux termes de l’article 138 de la Loi, la Société est tenue de soumettre ces moyens et méthodes à un examen spécial au moins une fois tous les dix ans.
Tous les travaux effectués dans le cadre du présent audit ont été réalisés à un niveau d’assurance raisonnable conformément à la Norme canadienne de missions de certification (NCMC) 3001 — Missions d’appréciation directe de Comptables professionnels agréés du Canada (CPA Canada), qui est présentée dans le Manuel de CPA Canada — Certification.
Le Bureau du vérificateur général du Canada applique la Norme canadienne de contrôle qualité 1 et, en conséquence, maintient un système de contrôle qualité exhaustif qui comprend des politiques et des procédures documentées en ce qui concerne la conformité aux règles de déontologie, aux normes professionnelles et aux exigences légales et réglementaires applicables.
Lors de la réalisation de nos travaux d’audit, nous nous sommes conformés aux règles sur l’indépendance et aux autres règles de déontologie des codes de conduite pertinents applicables à l’exercice de l’expertise comptable au Canada, qui reposent sur les principes fondamentaux d’intégrité, d’objectivité, de compétence professionnelle et de diligence, de confidentialité et de conduite professionnelle.
Conformément à notre processus d’audit, nous avons obtenu ce qui suit de la Société :
- la confirmation de sa responsabilité à l’égard de l’objet considéré;
- la confirmation que les critères étaient valables pour la mission;
- la confirmation qu’elle nous a fourni toutes les informations dont elle a connaissance et qui lui ont été demandées ou qui pourraient avoir une incidence importante sur les constatations ou la conclusion contenues dans le présent rapport;
- la confirmation que les faits présentés dans le rapport sont exacts.
Objectif de l’audit
L’audit visait à déterminer si les moyens et les méthodes de Financement agricole Canada que nous avons sélectionnés aux fins de l’examen fournissaient à la Société l’assurance raisonnable que ses actifs étaient protégés et contrôlés, que ses ressources étaient gérées avec efficience et économie et que ses activités étaient menées avec efficacité, comme l’exige l’article 138 de la Loi sur la gestion des finances publiques.
Étendue et méthode
Nos travaux d’audit ont porté sur Financement agricole Canada. L’étendue de l’examen spécial a été délimitée en fonction de notre évaluation des risques qui pèsent sur la Société et qui pourraient nuire à sa capacité de satisfaire aux exigences de la Loi sur la gestion des finances publiques.
Les moyens et méthodes sélectionnés pour chacun des secteurs de l’audit sont présentés dans les pièces tout au long du rapport.
Dans le cadre de nos travaux d’examen, nous nous sommes entretenus avec des membres du Conseil d’administration, de la haute direction et du personnel de la Société afin de mieux comprendre les moyens et méthodes de l’organisation. Nous avons aussi examiné des documents qui se rattachaient aux moyens et méthodes sélectionnés aux fins de l’examen. Nous avons testé les moyens et méthodes pour obtenir le niveau d’assurance requis. Nos tests comprenaient parfois un échantillonnage détaillé. Par exemple, nous avons sélectionné des échantillons en fonction du jugement des auditrices et auditeurs dans les secteurs de la gouvernance organisationnelle, de la planification stratégique, de la gestion des risques d’entreprise, des activités et de la sécurité des technologies de l’information.
Dans le cadre de l’examen spécial, nous ne nous sommes fondés sur aucuns travaux d’audit interne.
Sources des critères
Les critères appliqués pour évaluer les moyens et méthodes sélectionnés sont présentés dans les pièces tout au long du rapport.
Gouvernance de la Société
Secrétariat du Conseil du Trésor du Canada, Répondre aux attentes des Canadiennes et des Canadiens — Examen du cadre de gouvernance des sociétés d’État du Canada, 2005
Committee of Sponsoring Organizations of the Treadway Commission, Référentiel intégré de contrôle interne, 2013
Secrétariat du Conseil du Trésor du Canada, Guide d’introduction aux rôles et responsabilités des administrateurs de sociétés d’État, 2019
Bureau du Conseil privé, Programme de gestion du rendement pour les premiers dirigeants de sociétés d’État — Lignes directrices, 2018
The Institute of Internal Auditors, Practice Guide : Assessing Organizational Governance in the Public Sector, 2014
Comptables professionnels agréés du Canada, 20 questions que les administrateurs devraient poser sur les technologies de l’information, deuxième édition, 2012
Planification stratégique
Secrétariat du Conseil du Trésor du Canada, Guide pour les sociétés d’État sur la préparation des plans d’entreprise et des budgets, 2019
Conseil des normes comptables internationales du secteur public (IPSASB), Lignes directrices de pratique recommandée 3, un rapport sur la performance de service, 2015
Gestion des risques d’entreprise
Committee of Sponsoring Organizations of the Treadway Commission, Synthèse : Le management des risques de l’entreprise – Une démarche intégrée à la stratégie et à la performance, 2017
Committee of Sponsoring Organizations of the Treadway Commission, Référentiel intégré de contrôle interne, 2013
Activités
Association des professionnels de la vérification et du contrôle des systèmes d’informationISACA, Cadre de référence Gouvernance, Contrôle et Audit de l’Information et des Technologies AssociéesCOBIT 5, APO05 (Gérer le portefeuille), BAI01 (Gérer les programmes et les projets)
Organisation internationale de normalisation, ISO 14001:2015 — Système de management environnemental
Commission de coopération environnementale, Améliorer la performance environnementale et la conformité à la législation sur l’environnement : Dix éléments pour des systèmes efficaces de gestion de l’environnement, 2000
Nations Unies, Transformer notre monde : le Programme de développement durable à l’horizon 2030, 2015
Bureau du surintendant des institutions financières Canada, Ligne directrice — Gouvernance d’entreprise, 2018
Committee of Sponsoring Organizations of the Treadway Commission, Référentiel intégré de contrôle interne, 2013
Bureau du surintendant des institutions financières Canada, Ligne directrice — Gestion du risque opérationnel, 2016
Committee of Sponsoring Organizations of the Treadway Commission, Synthèse : Le management des risques de l’entreprise – Une démarche intégrée à la stratégie et à la performance, 2017
ISACA, Cadre de référence COBIT 5, EDM02 (Assurer la livraison des bénéfices)
Sécurité des technologies de l’information
ISACA, Cadre de référence COBIT 2019
Organisation internationale de normalisation, ISO/IEC 27002:2013, Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le management de la sécurité de l’information
Organisation internationale de normalisation, ISO/IEC 27032:2012, Technologies de l’information — Techniques de sécurité — Lignes directrices pour la cybersécurité
Centre canadien pour la cybersécurité, Ligne directrice sur la sécurité de la technologie de l’informationITSG‑33, La gestion des risques liée à la sécurité des technologies de l’informationTI : Une méthode axée sur le cycle de vie
National Institute of Standards and Technology, Framework for Improving Critical Infrastructure Cybersecurity, version 1.1, 2018
Organisation internationale de normalisation, ISO 27001:2013, Technologies de l’information — Techniques de sécurité — Systèmes de management de la sécurité de l’information — Exigences
Organisation internationale de normalisation, ISO 22301:2019, Sécurité et résilience — Système de management de la continuité d’activité — Exigences
Organisation internationale de normalisation, ISO/IEC 27031:2011, Technologies de l’information — Techniques de sécurité — Lignes directrices pour la préparation des technologies de la communication et de l’information pour la continuité d’activité
Période visée par l’audit
L’examen spécial a porté sur la période allant du 1er juillet 2020 au 31 mars 2021. Il s’agit de la période à laquelle s’applique la conclusion de l’audit. Toutefois, afin de mieux comprendre les principaux moyens et méthodes, nous avons aussi examiné certains dossiers antérieurs à cette période.
Date du rapport
Nous avons fini de rassembler les éléments probants suffisants et appropriés à partir desquels nous avons fondé notre conclusion le 25 novembre 2021, à Ottawa, au Canada.
Équipe d’audit
Directrice principale : Marise Bédard
Directrices et directeurs : Erin Corbin, Marc Gauthier et Sze Man (Vivien) Ho
Yifan Zhu
Jodi Grant
Yucong Lu
Tableau des recommandations
Le tableau qui suit regroupe les recommandations et les réponses apparaissant dans le présent rapport. Le numéro qui précède chaque recommandation correspond au numéro du paragraphe de la recommandation dans le rapport. Les chiffres entre parenthèses correspondent au numéro des paragraphes où le sujet de la recommandation est abordé.
Méthodes de gestion organisationnelle
Recommandation | Réponse |
---|---|
23. Le Conseil d’administration de Financement agricole Canada et ses comités devraient régulièrement réaliser des autoévaluations de leur rendement. (21 à 22) |
Réponse de la Société — Recommandation acceptée. L’intention du Conseil d’administration de Financement agricole Canada était d’effectuer une évaluation du Conseil d’administration et de ses comités à la suite de la première année de mandat de la nouvelle présidente du Conseil (nommée en avril 2020) et de la dotation des trois postes vacants (pourvus en mai 2021). La direction appuiera une autoévaluation du Conseil d’administration et de ses comités d’ici le 30 juin 2022. La direction recommandera que le mandat du Comité de gouvernance d’entreprise soit amélioré afin d’exiger que cette évaluation soit effectuée à un moment précis, sur une base régulière. |
26. Le Conseil d’administration de Financement agricole Canada devrait demander à la direction de lui communiquer en temps opportun l’objectif, l’étendue et les résultats de ses mesures d’atténuation des risques liés à la gestion de la continuité des activités. (24 à 25) |
Réponse de la Société — Recommandation acceptée. En février 2021, le Conseil d’administration de Financement agricole Canada a souligné la nécessité de nommer un conseiller indépendant pour l’aider à assurer la surveillance du risque lié aux technologies et à l’information. À la suite d’un concours, un conseiller a été sélectionné, et un contrat a été finalisé en juin 2021. En octobre 2021, la direction a remis son rapport sommaire sur le risque lié à l’information et aux technologies au Comité de gestion du risque du Conseil d’administration et au conseiller de ce dernier. Ce rapport présentait notamment des processus d’intervention en cas d’incident et de reprise après sinistre liés à des scénarios de continuité des activités en cas de pannes de système. D’ici le 31 décembre 2021, la direction communiquera au Comité les résultats d’exercices antérieurs de reprise des activités après sinistre. Les objectifs et la portée du programme général de continuité des activités, de même que les résultats continus de son atténuation des risques relativement à la gestion de la continuité des activités seront communiqués au Conseil d’administration d’ici le 15 décembre 2022. |
29. Le processus d’évaluation de la conformité de Financement agricole Canada avec les autorisations devrait être appuyé par des tests rigoureux et des éléments probants documentés. (27 à 28) |
Réponse de la Société — Recommandation acceptée. Une initiative de Financement agricole Canada visant à renforcer la gestion de la conformité réglementaire a été mise en œuvre en janvier 2020, et des rapports commenceront à être fournis au Comité d’audit en 2022. Le programme contribuera à améliorer les pratiques de la Société visant à assurer la conformité aux lois et règlements fédéraux ainsi qu’aux instruments du Conseil du Trésor. Il contribuera aussi à appuyer l’évaluation de conformité réglementaire fournie au Comité d’audit grâce à des éléments probants documentés et à des tests des contrôles en bonne et due forme. Le programme sera mis en œuvre d’ici le 31 mars 2023. |
32. Financement agricole Canada devrait analyser la Loi sur l’évaluation d’impact et mettre à jour ses politiques et procédures en conséquence. (30 à 31) |
Réponse de la Société — Recommandation acceptée. Financement agricole Canada a analysé les exigences réglementaires de la Loi sur l’évaluation d’impact. La politique et le processus d’attestation juridique de la direction ont été mis à jour en fonction de la Loi. Des aspects de la Loi ont été intégrés à la Politique sur la gestion du risque environnemental existante de la Société. La politique, les procédures et le matériel d’appui ont été actualisés et mis en œuvre, y compris la formation, relativement aux projets qui se trouvent au Canada, avec prise d’effet le 27 septembre 2021. Les exigences de conformité pour les projets internationaux, y compris la formation, seront mises en œuvre d’ici le 30 avril 2022 |
Gestion des activités
Recommandation | Réponse |
---|---|
47 Financement agricole Canada devrait établir un programme complet de sensibilisation à la cybersécurité et de formation à ce sujet à l’intention de tous les membres du personnel. (44 à 46) |
Réponse de la Société — Recommandation acceptée. Après la période d’examen, la direction de Financement agricole Canada a passé en revue le programme actuel de sensibilisation à la cybersécurité et de formation à cet égard. La mise en œuvre prioritaire d’améliorations complètes est en cours et devrait être achevée d’ici le 30 septembre 2022. |
50. Financement agricole Canada devrait évaluer tous les contrats conclus avec des tierces parties qui sont encore en vigueur pour déterminer son exposition aux risques liés à la sécurité des technologies de l’information et aux risques d’atteinte à la vie privée posés par des contrats qui pourraient ne pas contenir de clauses concernant le signalement des atteintes à la sécurité des technologies de l’information et à la vie privée et mettre en place les mesures d’atténuation qui s’imposent. (48 à 49) |
Réponse de la Société — Recommandation acceptée. Une initiative d’entreprise visant à renforcer la gestion des risques liés aux tierces parties a été entamée en 2020. Le programme améliorera les pratiques de Financement agricole Canada pour veiller à ce que les risques en matière de sécurité des TI et d’atteinte à la vie privée soient compris et atténués comme il convient avec toutes les tierces parties. Dans le cadre de ce travail, la direction évaluera tous les contrats de tierces parties en ce qui concerne la présence de clauses en matière de sécurité des TI et de protection des renseignements personnels d’ici le 31 mars 2022. Pour ce qui est des contrats dans lesquels il manque une clause, des tactiques d’atténuation seront établies au besoin d’ici le 31 décembre 2022, conformément à la stratification du risque des ententes. |