Audit de l'Organisme de certification national en essais non destructifs AU1805

Approuvé par le sous-ministre
le 12 juillet 2018

TABLE DES MATIÈRES

• Sommaire
  • Introduction
  • Points forts
  • Domaines à améliorer
  • Conclusion de l'audit interne et opinion
  • Énoncé de conformité
  • Remerciements
• Introduction
  • But et objectifs de l'audit
  • Facteurs pris en considération lors de l'audit
  • Portée
  • Approche et méthodologie
  • Critères
• Constatations et recommandations
  • Processus de gestion et besoins des intervenants
  • Réalisation en ligne des examens d'OAEA
• ANNEXE A - Critères d'audit

Sommaire

Introduction

Les essais non destructifs (END) sont un ensemble de techniques utilisées pour inspecter les métaux, les matériaux, les composants et les structures de l'infrastructure essentielle sans les altérer de manière permanente. Plusieurs secteurs, dont les secteurs canadiens des ressources naturelles, des transports, de la fabrication, de l'énergie et de l'exploitation minière, s'appuient sur différentes méthodes d'inspection non destructives pour assurer l'intégrité de composants à fort impact sur la sûreté d'équipements et de constructions tels que les grues, l'équipement lourd, les réacteurs nucléaires, les oléoducs et autres applications. L'Organisme de certification national en essais non destructifs (OCNEND) fait partie du Laboratoire de technologies de CanmetMATÉRIAUX de Ressources naturelles Canada (RNCan). Initialement intégré au Secteur des minéraux et des métaux de RNCan, CanmetMATÉRIAUX a rejoint le Secteur de l'innovation et de la technologie de l'énergie en janvier 2017 pour couvrir la totalité de l'innovation technologique relative à l'énergie. L'OCNEND supervise la certification des personnes chargées de réaliser les essais non destructifs au Canada, et constitue une structure critique dont dépendent de multiples industries et groupes d'utilisateurs en matière de gestion des risques pour la santé humaine et l'infrastructure essentielle. L'OCNEND offre trois services de certification fondamentaux. À l'heure actuelle, il y a plus de 9 000 opérateurs accrédités actifs.

L'OCNEND se charge de l'octroi, du maintien, de la recertification, de la suspension et du retrait des certifications d'END. Ces responsabilités incluent l'élaboration des examens, le prise en charge des demandes de certification, le traitement des frais, la notation des examens, la délivrance des certifications, ainsi que le contrôle du respect continu d'un code professionnel de déontologie. Celles-ci sont gérées par le bureau central de l'OCNEND, situé à Hamilton, en Ontario. Avant d'obtenir leur certification, les candidats doivent suivre leur formation, acquérir une expérience de travail admissible et valider leurs examens écrits et pratiques. Les cours sont assurés par 59 organismes de formation tiers dans l'ensemble du Canada conformément aux exigences de l'OCNEND, et les examens écrits et pratiques sont supervisés par 13 centres d'examen agréés tiers au Canada. Les examens écrits sont effectués à la main, au format papier, sauf pour l'examen d'OAEA, qui est présenté au format électronique depuis novembre 2017. L'OCNEND envisage de faire passer d'autres examens au format électronique à l'avenir. 

L'OCNEND est soutenu par divers comités apportant leur expertise dans le but d'appuyer l'élaboration de politiques de programme, d'examens et de contenu de formation, et de s'assurer que le programme est compatible avec les normes nationales et internationales. L'OCNEND s'est vu octroyé la certification ISO 9001:2015 en juin 2016 par l'Office des normes générales du Canada de Services publics et Approvisionnement Canada (ONGC-SPAC), et a reçu une accréditation du International Accreditation Service (IAS) pour les organismes procédant à la certification de personnes conforme à la norme ISO 17024:2012 en mars 2017. Concernant le financement, l'OCNEND repose sur un modèle de recouvrement des coûts dans lequel la majorité des dépenses de fonctionnement sont financées à l'aide des frais versés par les utilisateurs. Une structure tarifaire à jour a été mise en œuvre en juillet 2017, après avoir été inchangée pendant 15 ans. Les recettes estimées de l'OCNEND pour l'exercice financier 2018-2019 s'élèvent à 2,3 millions de dollars, et le coût total estimé pour cet exercice est de 2,8 millions de dollars.

Le présent audit a été intégré dans le Plan de vérification axé sur les risques 2017-2020 et approuvé par le sous-ministre le 30 mars 2017. L'objectif de l'audit était d'évaluer l'efficience et l'efficacité des principaux processus de gestion à l'appui de l'OCNEND.

Points forts

De manière générale, l'OCNEND a établi des procédures claires et des processus efficaces pour gérer l'exécution de ses activités, notamment une planification financière, un suivi et un processus de rapports efficaces, ainsi que des pratiques continuellement améliorées. Des procédures, lignes directrices et outils sont fournis aux centres d'examen agréés et aux organismes de formation acceptés/reconnus aux fins de respect des exigences de l'OCNEND, et ce dernier cherche activement à obtenir l'avis des intervenants afin d'identifier leurs besoins et de répondre à ceux-ci.

Domaines à améliorer

Des opportunités ont été identifiées pour accroître l'efficience et renforcer la sécurité des données financières par le recours à une solution de TI dans laquelle les candidats pourraient directement saisir leurs données dans le système. Il existe aussi des opportunités de renforcement des contrôles de la TI relatifs à la migration en ligne récente de l'examen écrit des OAEA, conformément aux normes de TI généralement acceptées.

Conclusion de l'audit interne et opinion

Selon moi, l'OCNEND a établi et mis en œuvre des processus de gestion clés efficaces pour appuyer ses activités et les besoins des intervenants. Il est possible d'améliorer l'efficacité et la sécurité de l'information en créant un portail en ligne, et de renforcer les contrôles de TI relatifs à la migration en ligne récente des examens d'OAEA. En tant que dirigeant principal de l'audit, j'estime que l'utilisation accrue de technologie par le ministère dans le cadre de l'exécution des programmes présentera de nombreux avantages. Le présent audit renforce l'importance d'une collaboration étroite entre les secteurs du programme et la Direction du dirigeant principal de l'information pour assurer la bonne exécution des projets majeurs de transformation des TI.  

Énoncé de conformité

Selon mon jugement professionnel, en tant que dirigeant principal de l'audit, l'audit est conforme aux normes internationales pour la pratique professionnelle de la vérification interne de l'Institut des vérificateurs internes et à la Politique sur la vérification interne du gouvernement du Canada, comme en témoignent les résultats du programme d'assurance et d'amélioration de la qualité.

Christian Asselin, CPA, CA, CMA, CFE
Dirigeant principal de l'audit et de l'évaluation
Le 28 juin 2018

Remerciements

L'équipe d'audit souhaiterait remercier les personnes qui ont participé à ce projet, en particulier les employés qui ont apporté leurs points de vue et leurs commentaires dans le cadre du présent audit.

Introduction

Les essais non destructifs (END) sont un ensemble de techniques utilisées pour inspecter les métaux, les matériaux, les composants et les structures d'une infrastructure essentielle sans les altérer de manière permanente. Plusieurs secteurs, dont les secteurs canadiens des ressources naturelles, des transports, de la fabrication, de l'énergie et de l'exploitation minière, s'appuient sur différentes méthodes d'inspection non destructives pour assurer l'intégrité de composants à fort impact sur la sûreté d'équipements et de constructions tels que les grues, l'équipement lourd, les réacteurs nucléaires, les oléoducs et autres applications.

L'Organisme de certification national en essais non destructifs (OCNEND) fait partie du Laboratoire de technologies de CanmetMATÉRIAUX de Ressources naturelles Canada (RNCan). Initialement intégré au Secteur des minéraux et des métaux de RNCan, CanmetMATÉRIAUX a rejoint le Secteur de l'innovation et de la technologie de l'énergie en janvier 2017 pour couvrir la totalité de l'innovation technologique relative à l'énergie. L'OCNEND supervise la certification des personnes chargées de réaliser les essais non destructifs au Canada, et constitue une structure critique dont dépendent de multiples industries et groupes d'utilisateurs en matière de gestion des risques pour la santé humaine et une infrastructure essentielle. L'OCNEND offre trois services de certification fondamentaux : la certification en essais non destructifs de l'Office des normes générales du Canada, le programme de certification des opérateurs d'analyseur à fluorescence rayons X en collaboration avec Santé Canada, et l'examen écrit de certification des opérateurs d'appareils d'exposition de la Commission canadienne de sûreté nucléaire. À l'heure actuelle, il y a plus de 9 000 opérateurs accrédités actifs, avec plus de 1 000 nouvelles certifications délivrées chaque année. L'OCNEND vise à conserver au moins 4 800 Canadiens titulaires d'une ou plusieurs certifications d'essais non destructifs valides délivrées par RNCan.

L'OCNEND se charge de l'octroi, du maintien, de la recertification, de la suspension et du retrait des certifications d'END. Ces responsabilités incluent l'élaboration des examens, le prise en charge des demandes de certification, le traitement des frais, la notation des examens, la délivrance des certifications, ainsi que le contrôle du respect continu d'un code de déontologie professionnel. Celles-ci sont gérées par le bureau central de l'OCNEND, situé à Hamilton, en Ontario. Une seule personne peut être certifiée pour un certain nombre de méthodes et de niveaux d'essai, et peut donc détenir ou renouveler plusieurs certifications. Chaque certification est valide pour une période pouvant aller jusqu'à cinq ans, et peut être renouvelée pour une période supplémentaire de cinq ans. Un examen de recertification doit être passé avant la fin de la seconde période de validité d'une certification (soit environ tous les dix ans). Avant d'obtenir leur certification, les candidats doivent suivre leur formation, acquérir une expérience de travail admissible, valider leurs examens écrits et pratiques, satisfaire aux critères de vision et signer un code professionnel de déontologie. Les cours sont assurés par 59 organismes de formation tiers (dans l'ensemble du Canada) conformément aux exigences de l'OCNEND, et les examens écrits et pratiques sont supervisés par 13 centres d'examen agréés tiers au Canada. En 2016, près de 3 200 examens pratiques et écrits ont été passés pour les cinq méthodes d'essais non destructifs de la certification de l'Office des normes générales du Canada, avec un taux de réussite moyen de 81,5 %. Les examens écrits sont effectués à la main, au format papier, sauf pour l'examen d'OAEA, qui est présenté au format électronique depuis novembre 2017. L'OCNEND envisage de faire passer d'autres examens au format électronique à l'avenir. 

L'OCNEND est soutenu par divers comités. Le Comité consultatif de CanmetMATÉRIAUX (CMAT) sur la certification du personnel en END supervise l'exécution du programme de certification du personnel en END de CMAT et recommande des méthodes de gestion visant à améliorer la prestation du programme auprès de la communauté des END; Le comité surveille également les tendances et l'évolution de l'industrie des END, et assure la communication entre le programme de certification de RNCan et les comités sur les END de l'Office des normes générales du Canada. Les comités pilote et technique fournissent des recommandations sur la mise en œuvre et le contenu technique du programme de certification et sont formés d'experts en la matière. Les comités représentent les intérêts de tous les partis concernés par le processus de certification. Il existe plusieurs comités techniques, qui jouent un rôle dans le développement des aspects techniques du processus de certification pour les différentes méthodes d'END et qui appuient l'élaboration et la mise à jour du contenu technique de l'examen et de la certification.

L'OCNEND a établi et mis en œuvre un système de gestion de la qualité (SGQ) à partir de GCDocs. Celui-ci constitue un cadre de gestion pour ses activités. Le SGQ est structuré de manière à tenir compte des risques et des opportunités pour l'organisme, ainsi que des flux de documentation, des processus et des procédures afin de contribuer au maintien de la qualité des activités. L'OCNEND s'est vu octroyé la certification ISO 9001:2015 pour leur SGQ en juin 2016 par l'Office des normes générales du Canada de Services publics et Approvisionnement Canada (ONGC-SPAC) et a reçu une accréditation de l'International Accreditation Service (IAS) pour les organismes procédant à la certification de personnes conforme à la norme ISO 17024:2012 en mars 2017.

L'OCNEND repose sur un modèle de recouvrement des coûts dans lequel la majorité des dépenses de fonctionnement sont financées à l'aide des frais versés par les utilisateurs, frais qui sont perçus pour la demande de certification (y compris le renouvellement et la recertification) et les examens écrits et pratiques. Une structure tarifaire à jour a été mise en œuvre en juillet 2017, permettant ainsi de rationaliser et simplifier les frais de services de base. Les frais ont augmenté de 20 à 25 % par rapport à la structure précédente, qui était restée inchangée pendant 15 ans. Les recettes estimées de l'OCNEND pour l'exercice financier 2018-2019 s'élèvent à 2,3 millions de dollars, et le coût total estimé pour cet exercice est de 2,8 millions de dollars.

Le présent audit a été intégré dans le Plan de vérification axé sur les risques 2017-2020 et approuvé par le sous-ministre le 30 mars 2017.

But et objectifs de l'audit

L'objectif de l'audit était d'évaluer l'efficience et l'efficacité des principaux processus de gestion à l'appui de l'OCNEND.

Plus précisément, l'audit a évalué si :

• l'OCNEND a établi des processus efficaces et efficients pour gérer l'exécution de ses activités;
• l'OCNEND a établi des processus et des outils efficaces pour répondre aux besoins des intervenants;
• l'OCNEND a employé des outils et des systèmes issus de la technologie de l'information pour soutenir l'efficience de ses activités.

Facteurs pris en considération lors de l'audit

On a eu recours à une approche fondée sur le risque pour définir les objectifs, la portée et la méthode de réalisation du présent audit. Voici un résumé des risques principaux inhérents à l'audit qui pourraient avoir une incidence sur la gestion efficace de l'OCNEND.

Les activités de l'OCNEND reposent sur un modèle de recouvrement des coûts, avec des recettes financées par les frais versés par les utilisateurs. Ce sujet est d'une grande importance pour l'atteinte des objectifs du programme et a donc été évalué comme un domaine de risque accru dans le cadre du présent audit. 

L'OCNEND offre des services directs aux individus, et gère un grand volume d'information à caractère sensible (p. ex. renseignements personnels des utilisateurs). L'utilisation de processus automatisés et électroniques et la mise à disposition de méthodes de prestation en ligne sont nécessaires au traitement efficace, précis et sécurisé de cette information. Ce sujet est d'une grande importance pour l'atteinte des objectifs du programme et a donc été évalué comme un domaine de risque accru dans le cadre du présent audit.

L'OCNEND s'associe à plusieurs intervenants tiers pour une grande partie de sa prestation de services (p. ex. organismes de formation reconnus tiers, centres d'examen agréés). Ce sujet est d'une grande importance pour l'atteinte des objectifs du programme et a donc été évalué comme un domaine de risque accru dans le cadre du présent audit.

Portée

L'audit a principalement porté sur les activités de certification réalisées entre juin 2016 et mars 2018. Cependant, les périodes précédentes ont été prises en compte aux fins de planification financière et de prévisions.

Le présent audit n'a pas eu à évaluer la sécurité physique du Laboratoire de technologies de CanmetMATÉRIAUX, puisque cette installation était comprise dans l'audit de 2016 à ce sujet. ​​​​​​

Approche et méthodologie

L'approche et la méthodologie employées sont conformes aux normes internationales pour la pratique professionnelle de l'audit interne de l'Institut des auditeurs internes et à la Politique sur la vérification interne du gouvernement du Canada. Ces normes exigent que l'audit soit planifié et exécuté de manière à obtenir l'assurance raisonnable que les objectifs de l'audit sont atteints. L'audit comprenait des tests jugés nécessaires pour fournir cette assurance. Les auditeurs internes ont réalisé l'audit en toute indépendance et objectivité, telles que définies par les normes internationales pour la pratique professionnelle de l'audit interne.

L'approche d'audit comprenait les activités principales suivantes :

• des entrevues avec le personnel clé et des visites du site;
• un examen des documents, des processus commerciaux et matériaux de communication de l'OCNEND;
• un test d'un exemple de transactions et d'activités de certification.
• La phase de réalisation de l'audit était achevée de façon substantielle en mars 2018.

Critères

Les critères de l'audit sont présentés en détail à l'Annexe A. Ces critères ont guidé le travail sur place et servi de fondement à la conclusion globale de l'audit.

Constatations et recommandations

Processus de gestion et besoins des intervenants

Constatation générale

De manière générale, l'OCNEND a établi des processus efficaces pour gérer l'exécution de ses activités, notamment une planification financière efficace, un suivi des activités et améliorer de manière continue les pratiques en place aux fins de gestion de ses activités. Par ailleurs, des processus et des outils efficaces sont en place pour répondre aux besoins des intervenants. L'efficience et la sécurité des données financières pourraient être améliorées à l'aide d'un portail en ligne grâce auquel les candidats saisissent directement leurs données dans le système, y compris les paiements automatiques de leurs frais.

Observations pertinentes

L'OCNEND offre trois services de certification fondamentaux aux personnes réalisant des essais non destructifs au Canada. Afin d'offrir ces services de certification, l'OCNEND interagit avec divers intervenants, notamment des personnes certifiées, des organismes de formation, des centres d'examen agréés, ainsi que différents membres de l'industrie. L'audit a cherché à déterminer si l'OCNEND a établi des processus efficaces et efficients pour gérer l'exécution de ses activités, et si des processus et des outils efficaces sont en place pour répondre aux besoins des intervenants.

Processus de gestion

Planification financière

Le financement de l'OCNEND repose sur un modèle de recouvrement des coûts. Le recouvrement des coûts est une pratique consistant à établir et à collecter des frais d'utilisateurs pour des services, notamment les activités de réglementation. Afin de déterminer les montants à imputer aux candidats, l'OCNEND doit prévoir ses coûts attendus, ainsi que ses frais, qui sont perçus pour la demande de certification (y compris le renouvellement et la recertification) et les examens écrits et pratiques. L'audit a cherché à déterminer si des processus de planification financière efficaces sont en place pour estimer les coûts et les recettes nécessaires au soutien et à l'assurance du maintien des activités de l'OCNEND.

L'audit a permis de constater que l'OCNEND a mis en œuvre des processus de planification financière efficaces pour estimer les coûts et les recettes nécessaires au soutien et à l'assurance du maintien des activités de l'OCNEND. Plus précisément, l'OCNEND a recueilli et tenu à jour des données de prévision financière sur les coûts et les recettes qui prennent en compte l'analyse des tendances du programme ainsi que les facteurs externes. Les calculs de coûts sont conformes aux lignes directrices générales établies par le Conseil du Trésor. Il convient également de noter que l'OCNEND est assujetti aux articles relatifs aux rapports de la Loi sur les frais de service, entrée en vigueur le 1er avril 2018, et qu'il sera tenu de rendre des comptes au Parlement et au public sur les recettes générées par les frais collectés dans le cadre de ses activités.

En 2017, l'OCNEND a mis à jour sa structure tarifaire, qui était demeurée inchangée durant les 15 dernières années. La nouvelle structure tarifaire, qui représente une augmentation des frais de 20 à 25 % par rapport à la structure précédente, simplifie les frais de services de base et propose des modèles de recouvrement des coûts dans le but de maintenir un solde financier stable au cours des 10 prochaines années. En 2016-2017, l'OCNEND a recouvré 87 % du coût total qu'il assume grâce aux recettes générées par les frais d'utilisateur. De même, l'OCNEND a prévu de recouvrir en moyenne 86 % du coût total qu'il assume grâce aux recettes générées par les frais d'utilisateur au cours des trois prochaines années. La direction a indiqué que les coûts restants des activités du programme sont couverts par les services votés de CanmetMATÉRIAUX, et que des ajustements continus sont apportés aux dépenses de l'OCNEND pour éviter des absences de recettes importantes.

Procédures opérationnelles aux fins de gestion du processus de certification

L'audit a cherché à déterminer si l'OCNEND est doté de procédures opérationnelles visant à gérer le processus de certification de manière efficace et efficiente. L'audit a permis de constater que l'OCNEND s'est vu octroyé la certification ISO 9001:2015 pour leur système de gestion de la qualité (SGQ) en juin 2016 par l'Office des normes générales du Canada de Services publics et Approvisionnement Canada (ONGC-SPAC) et a reçu une accréditation de l'International Accreditation Service (IAS) pour les organismes procédant à la certification de personnes conforme à la norme ISO 17024:2012 en mars 2017. Le SGQ définit les principaux processus employés pour délivrer des certifications, ayant trait notamment à la gestion de la documentation; à l'octroi, au suivi et à la mise à jour des certifications; au flux de documents; à la gestion des violations du code de déontologie; à la notation des examens et aux procédures d'audit.

L'audit a obtenu les procédures opérationnelles relatives aux processus de demande, de certification et de renouvellement, et les a étudiées. L'audit a permis de constater que les procédures sont claires et exhaustives, et qu'elles sont appliquées de manière efficace. Plus précisément, l'audit a étudié un échantillon de dossiers de certification afin de déterminer si les demandes ont été traitées conformément aux exigences établies dans les procédures opérationnelles, et si les demandes satisfaisaient aux critères devant être respectés par les candidats pour obtenir leur certification, leur renouvellement ou leur recertification. L'audit a permis de constater que les 13 dossiers examinés ont été traités conformément aux exigences établies dans les procédures opérationnelles, et qu'ils satisfaisaient aux critères devant être respectés par les candidats pour obtenir leur certification, leur renouvellement ou leur recertification. Par ailleurs, toutes les demandes comportaient la documentation nécessaire.

Cependant, l'audit a permis de constater que l'administration de ces procédures dépend largement d'un processus manuel de saisie de données, et que des solutions de GI/TI pourraient être davantage employées pour soutenir l'efficacité des activités commerciales. Plus précisément, l'audit a indiqué que les demandes sont soumises de façon manuelle à l'heure actuelle (courrier, télécopie, courriel ou en personne). Les dossiers papier sont ensuite étudiés par les employés administratifs de l'OCNEND et l'information est manuellement saisie dans la base de données. On pourrait renforcer l'efficience du processus en utilisant un portail en ligne grâce auquel les candidats saisiraient directement leurs données dans le système. L'OCNEND a précisé à l'équipe d'audit qu'il étudie actuellement la possibilité de mettre en place une base de données à jour dotée d'un système renforcé de gestion des relations avec la clientèle aux fins de gestion des dossiers des candidats et des flux de travail connexes.

Puisque l'OCNEND collecte les renseignements personnels et financiers des personnes déposant une demande de certification, l'audit a également cherché à déterminer si des processus efficaces sont en place pour gérer les données des candidats en toute sécurité. L'audit a permis de constater que des processus et des procédures ont été établis pour gérer les renseignements des candidats, et que des mesures de contrôle sont en place pour veiller à la sécurité des dossiers papier et de l'information électronique. Les documents contenant les renseignements personnels et financiers des candidats sont traités et entreposés dans une salle de travail et d'enregistrement à accès contrôlé. Par ailleurs, les procédures manuelles sont régulièrement analysées et mises à jour afin d'assurer la sécurité de l'information. Toutefois, même si l'OCNEND a mis en place des mesures de contrôle visant à dissimuler les données de carte de crédit des candidats, celles-ci n'ont pas été jugées pleinement efficaces par l'équipe d'audit. En raison de l'accessibilité sur place des renseignements personnels et financiers, il existe un risque de perte ou de mauvaise utilisation des données du candidat.

Dans le cadre des procédures opérationnelles visant à gérer efficacement le processus de certification, et comme l'exige la certification ISO 9001, l'OCNEND a mis en œuvre des processus de suivi et d'amélioration continue. L'audit a permis d'étudier les processus de suivi et d'amélioration continue et de constater que l'OCNEND réalise ses propres audits, et a recours à des audits externes ainsi que des examens de la direction pour améliorer ses activités de manière continue. L'audit a également permis de constater que la direction prend des mesures correctives appropriées pour donner suite aux recommandations formulées en temps opportun. Ces mécanismes sont également utilisés pour rendre des comptes à la haute direction en temps opportun, et contribuent à des prises de décision éclairées.

L'OCNEND pratique également l'amélioration continue en s'appuyant sur le rapport de non-conformité (RNC) et le rapport consacré aux possibilités d'amélioration. Les deux rapports peuvent être produits tout au long de la procédure, lorsque le personnel de l'OCNEND observe un cas de non-conformité aux processus du SGQ ou des possibilités d'amélioration. Ils peuvent également être produits à partir des audits réalisés par l'OCNEND, des examens de la direction et des commentaires des candidats. Les rapports de non-conformité établissent la nature du cas de non-conformité désigné, ainsi que les mesures correctives nécessaires pour y remédier, les parties chargées de prendre ces mesures, et leurs résultats, alors que les rapports consacrés aux possibilités d'amélioration pourraient améliorer l'exécution globale du processus de certification. L'équipe d'audit a sélectionné un échantillon de trois rapports de non-conformité et de trois rapports consacrés aux possibilités d'amélioration pour déterminer si des mesures correctives ont été prises en temps opportun. L'audit a permis de constater que des mesures correctives ont été prises en temps opportun pour les 6 rapports analysés.

Besoins des intervenants

L'audit a cherché à déterminer si l'OCNEND fournit des procédures, des lignes directrices et des outils efficaces aux centres d'examen agréés et aux organismes de formation reconnus (OFR), et s'il cherche activement à obtenir l'avis des intervenants afin de cerner leurs besoins et de répondre à ceux-ci. Les intervenants de l'OCNEND comprennent les industries ayant recours à des essais non destructifs, le réseau d'organismes de formation et de centres d'examen et les opérateurs accrédités.

L'audit a permis de constater que l'OCNEND cherche activement à obtenir l'avis de ses intervenants afin de cerner leurs besoins et de répondre à ceux-ci. Plus précisément, les comités de l'OCNEND comptent en leur sein des représentants de l'industrie, et leurs membres se réunissent régulièrement pour discuter des processus et des mises à jour de l'OCNEND. Par ailleurs, l'OCNEND est doté d'un mécanisme de collecte des avis des candidats par le biais du processus de plaintes et d'appels, et surveille les mesures qu'il a prises pour répondre aux préoccupations des intervenants. Il a été également démontré la prise en compte des commentaires formulés par les opérateurs accrédités lors de l'examen des processus commerciaux du programme.

L'audit a permis de constater que l'OCNEND fournit des procédures, des lignes directrices et des outils suffisants à ses centres d'examen agréés et à ses organismes de formation reconnus par le biais d'un ensemble exhaustif de documents communiquant clairement les exigences qu'ils doivent suivre. L'OCNEND s'assure également que les centres d'examen agréés (CEA) et les OFR respectent leurs exigences en les soumettant à une évaluation initiale lors de la demande d'autorisation, puis tous les cinq ans. L'audit a passé en revue un échantillon de trois centres (CEA et OFR) dans le but d'établir si les évaluations ont été réalisées conformément à la méthodologie et aux procédures documentées, et si un suivi adéquat a été effectué pour s'assurer de l'application opportune des recommandations. L'audit a permis de constater que les évaluations étaient conformes à la méthodologie et aux procédures adoptées, et qu'un suivi adéquat a été effectué par l'OCNEND dans les trois cas étudiés. Il convient de noter que l'OCNEND est actuellement en pleine transition vers un nouveau cadre de gestion des OFR. Les établissements ont été avisés de la transition en octobre 2017 et ont été invités à communiquer leur intention de demeurer des CEA et des OFR de l'OCNEND. Ceux ne confirmant pas cette intention se verront retirer leur statut en octobre 2018.

Risques et incidences

Lorsque les processus reposent fortement sur des activités manuelles, il existe des inefficacités et des risques d'erreur humaine inhérents, qui peuvent donner lieu à des coûts supplémentaires. En outre, en raison de l'accessibilité sur place des renseignements personnels et financiers, il existe un risque de perte ou de mauvaise utilisation des données du candidat.

Recommandations

R1  Nous recommandons au SMA du SITE et au SMA du SGSI d'évaluer la possibilité de recourir à un portail en ligne grâce auquel les candidats saisissent directement leurs renseignements dans le système, notamment les paiements de frais automatiques. Si l'évaluation indique qu'il est possible d'adopter un tel système, ce dernier doit être mis en œuvre. Autrement, le SMA du SITE et le SMA du SGSI devront s'assurer qu'un autre processus est adopté pour accroître l'efficience et la sécurité de la gestion des données des candidats.

Réponse de la direction et plan d'action

R1 : La direction est d'accord.

L'OCNEND continuera de poursuivre cette initiative pour établir et mettre en œuvre un système de GI/TI à jour à l'aide des éléments recommandés (base de données contenant les renseignements des clients, gestion des relations avec la clientèle, intégration d'un portail en ligne et paiement de frais automatisés).

Postes responsables : Directeur de l'OCNEND et DPI du SGSI

Échéancier :

• Examen et définition des besoins commerciaux en collaboration avec le DP; d'ici septembre 2018, détermination de la solution choisie et exécution des plans de mise en œuvre; d'ici le T1 2019, lancement du système opérationnel.
• Le SMA du SITE et le SMA du SGSI discuteront et examineront périodiquement le statut du projet et détermineront les priorités de mise en œuvre.

Réalisation en ligne des examens d'OAEA

Constatation générale

L'OCNEND a reconnu la nécessité de passer des examens papier à des examens informatiques en ce qui a trait à la certification des personnes réalisant des essais non destructifs au Canada. Pour ce faire, l'examen écrit de certification des opérateurs d'appareils d'exposition (OAE) est présenté au format électronique depuis novembre 2017, grâce à un fournisseur de services tiers qui s'appuie sur le modèle de prestation infonuagique SaaS (Software as a Service). L'audit a permis de constater qu'il existe aussi des possibilités de renforcement des contrôles de la TI relatifs à la réalisation en ligne de la certification des OAE, conformément aux normes de TI généralement acceptées. Plus précisément, l'audit a permis de constater que le protocole entre RNCan et la Commission canadienne de sûreté nucléaire (CCSN) n'avait pas été mis à jour en vue de refléter l'environnement d'examen en ligne actuel et ne comprenait pas tous les éléments essentiels tels que définis dans la Ligne directrice sur les ententes de services du Conseil du Trésor (CT). Par ailleurs, le contrat existant entre RNCan et le fournisseur de services tiers ne détaille pas pleinement les attentes précises de tous les partis. L'audit a également permis de constater que les exigences de contrôle du gouvernement du Canada et de RNCan n'étaient pas pleinement respectées lorsque le système est entré en vigueur.

Observations pertinentes

Jusqu'en novembre 2017, tous les examens écrits étaient réalisés au format papier et notés à la main par un examinateur de l'OCNEND basé à Hamilton. Par conséquent, les utilisateurs ont dû attendre plusieurs semaines avant de recevoir les résultats de leurs examens. En raison du nombre accru de candidats, l'OCNEND a reconnu la nécessité d'adopter une méthode plus efficiente pour accélérer l'inscription aux examens, ainsi que la notation et le traitement de ces derniers. En novembre 2016, l'OCNEND a fait appel à un fournisseur de services tiers pour procéder à l'informatisation de l'examen écrit de certification des OEA, examen que l'Office au nom de la CCSN. Les premiers examens électroniques ont été passés en novembre 2017, et l'OCNEND a l'intention d'utiliser ce système pour procéder à l'ensemble de ses examens écrits dans un avenir proche. L'audit anticipait l'adoption des examens en ligne conformément aux normes de TI généralement acceptées. L'audit a permis de constater que certains contrôles de TI n'étaient pas en place avant l'adoption concrète de l'examen de certification des OEA en ligne.

L'audit a permis de passer en revue le protocole relatif à la certification des OEA conclu entre RNCan et la Commission canadienne de sûreté nucléaire. L'audit a permis de constater que le protocole était obsolète, et qu'il ne reflétait pas l'environnement d'examen en ligne actuel. L'audit a également permis de constater que le protocole était dépourvu de certains éléments essentiels, tels que définis dans la Ligne directrice sur les ententes de services du CT, pour éviter toute ambiguïté ou complication liée à des litiges ou des problèmes de rendement.

Concernant l'externalisation de l'offre en ligne de l'examen de certification des OEA, l'audit a permis de constater qu'un contrat valide et exhaustif existe entre RNCan et le fournisseur de services tiers. L'OCNEND a recours à un modèle de prestation infonuagique SaaS (Software as a Service) pour l'offre de l'examen de certification des OEA en ligne. SaaS est un modèle de prestation et d'octroi de licence logicielle basé sur un abonnement et dont l'hébergement est centralisé. Cette approche est conforme au Plan stratégique de la technologie de l'information 2017-2021 du gouvernement du Canada, qui encourage les ministères à étudier le modèle de prestation infonuagique public et privé « Everything as a Service » (XaaS) avant de développer des solutions internes. Toutefois, l'audit a permis de noter que le contrat en place avec le fournisseur de services tiers contient principalement des exigences de haut niveau et ne détaille pas les attentes précises de tous les partis, ni ne fournit de mécanisme de résolution des problèmes agissant à titre de tableau de bord à partir duquel les résultats et le rendement sont analysés. Sans la mise en place d'un mécanisme clair visant à traiter ces problèmes, on risque de ne pas satisfaire les besoins commerciaux de l'OCNEND.

Par ailleurs, l'audit a permis de constater que l'OCNEND n'a pas reçu l'assurance indépendante que le fournisseur de services tiers se conforme à toutes les politiques de sécurité de TI du gouvernement du Canada et de RNCan, et que les exigences de contrôle de TI du gouvernement du Canada et de RNCan n'étaient pas pleinement satisfaites avant l'entrée en vigueur du système. Par exemple, la liste de vérification des exigences relatives à la sécurité (LVERS) du CT, qui constitue un document clé de contrôle de la TI, n'a pas été mise à jour après l'octroi du contrat à un fournisseur tiers, bien qu'il soit obligatoire d'utiliser une nouvelle LVERS pour chaque nouvelle exigence ou demande. L'Énoncé de sensibilité de RNCan a également été jugé incomplet par l'équipe d'audit. La confidentialité, l'intégrité et la disponibilité des données pourraient être compromises en l'absence de contrôles de TI adéquats et efficaces pour le système de certification des OEA.

Risques et incidences

Les données consignées dans le système de certification des OEA ont la cote « Protégé A ». La confidentialité, l'intégrité et la disponibilité de ces données pourraient être compromises en l'absence de contrôles de TI adéquats et efficaces. Cela peut également donner lieu à une certification à tort des candidats.

Recommandations

R2 : Nous recommandons au SMA du SITE de veiller à ce que le protocole de certification des opérateurs d'appareils d'exposition soit mis à jour afin de refléter l'environnement d'affaires actuel, conformément à la Ligne directrice sur les ententes de services – Éléments essentiels du CT.

R3 : Nous recommandons au SMA du SITE, en consultation avec la Direction du dirigeant principal de l'information et de la sécurité (DDPIS), de veiller à ce que les contrôles de TI et les exigences de confidentialité adéquats soient en place dans le système de certification des OEA préalablement à la migration électronique d'autres examens, notamment : 

• s'assurer de l'évaluation des contrôles de TI et des exigences de confidentialité relatifs au système de certification des OEA, et de la compétence effective du ministère dans ce domaine, conformément aux lignes directrices du GC et de RNCan;
• s'assurer de la mise en place de mécanismes visant à résoudre les problèmes rencontrés et à répondre aux attentes de rendement pour le système de certification des OEA.

Réponse de la direction et plan d'action

R2 : La direction est d'accord.

Le protocole conclu entre RNCan et la CCSN sera mis à jour dans le but de refléter les processus commerciaux les plus récents.

Postes responsables : Directeur de l'OCNEND

Échéancier :

Mise à jour du protocole d'ici mars 2019.

R3 : La direction est d'accord.

Le système de TI, le processus et les contrôles contractuels du système de formation informatique seront passés en revue et mis à jour.

Postes responsables : Directeur de l'OCNEND, en collaboration avec la DDPIS

Échéancier :

Mise à jour et examen exhaustifs des contrôles en place d'ici décembre 2018.

ANNEXE A - Critères d'audit

Les objectifs et les critères de l'audit ont été établis à partir des mesures de contrôle clés figurant dans les contrôles de gestion de base du Conseil du Trésor (CT) du Canada. Ces critères ont guidé le travail sur place et servi de fondement à la conclusion globale de l'audit.

L'objectif de l'audit était d'évaluer l'efficience et l'efficacité des principaux processus de gestion à l'appui de l'OCNEND.

Les critères d'audit suivant ont été utilisés pour mener cet audit :

Sous-objectifs de l'audit	Critères de l'audit
Sous-objectif de l'audit no 1 : Déterminer si l'OCNEND a établi des processus efficaces et efficients pour gérer l'exécution de ses activités.	1.1 Des processus de planification financière efficaces sont en place pour estimer les coûts et les recettes nécessaires au soutien et à l'assurance du maintien des activités de l'OCNEND.
	1.2 Des processus commerciaux efficaces sont en place pour gérer les données du candidat en toute sécurité.
	1.3 Des procédures opérationnelles sont en place pour gérer le processus de certification de manière efficace et efficiente.
Sous-objectif de l'audit no 2 : Déterminer si l'OCNEND a établi des processus et des outils efficaces pour répondre au besoin des intervenants.	2.1 Des procédures, des lignes directrices et des outils efficaces sont fournis aux centres d'examen agréés et aux organismes de formation reconnus aux fins de respect des exigences de l'OCNEND.
	2.2 L'OCNEND cherche activement à obtenir l'avis des intervenants afin de cerner leurs besoins et de répondre à ceux-ci.
Sous-objectif de l'audit no 3 : Déterminer si l'OCNEND a employé des outils et des systèmes issus de la technologie de l'information pour soutenir l'efficacité de ses activités.	3.1 L'implantation des examens en ligne a été réalisée conformément aux normes de TI généralement acceptées.
	3.2 L'OCNEND emploie des solutions de GI/TI pour soutenir l'efficacité de ses activités commerciales.