Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Audit de la certification des contrôles par le dirigeant principal des finances – Politique sur le contrôle interne

Par Emploi et développement social Canada

Sur cette page

Formats substituts

Audit de la certification des contrôles par le dirigeant principal des finances – Politique sur le contrôle interne [PDF - 202 Ko]

Les formats en gros caractères, braille, MP3 (audio), texte électronique, et DAISY sont disponibles sur demande en commandant en ligne ou en composant le 1 800 O-Canada (1-800-622-6232). Si vous utilisez un téléscripteur (ATS), composez le 1-800-926-9105.

1. Renseignements généraux

En vertu de la Politique sur le contrôle interne (PCI) du Conseil du Trésor en vigueur depuis le 1er avril 2009, les ministères devaient gérer adéquatement les risques liés à la gérance des ressources publiques par l’entremise de contrôles internes efficaces, y compris le contrôle interne en matière de rapports financiers (CIRF).

1.1 Contexte

Conformément à la PCI, il incombe à l’administrateur général de :

  • veiller à la mise en place, au maintien, à la surveillance et à l’examen du système ministériel de contrôle interne en vue d’atténuer les risques dans les grandes catégories suivantes :
    • l’efficacité et l’efficience des programmes, des opérations et de la gestion des ressources, y compris la protection des actifs;
    • la fiabilité des rapports financiers;
    • la conformité aux lois, aux règlements, aux politiques et aux pouvoirs délégués.
  • signer annuellement la déclaration de responsabilité de la direction englobant le CIRF, également signée par le dirigeant principal des finances (DPF), qui constitue la préface des états financiers consolidés du Ministère;
  • surveiller la conformité à la PCI et aux directives et normes connexes à l’aide d’audits et d’autres examens périodiques afin d’assurer l’efficacité de leur mise en application;
  • s’assurer que des mesures appropriées sont prises en temps opportun pour corriger tout problème important lié au système ministériel de contrôle interne;
  • fournir des rapports ou de l’information sur le système ministériel de contrôle interne, à la demande du contrôleur général.

L’Unité de contrôle interne (UCI) de la Direction générale du dirigeant principal des finances (DGDPF) appuie l’administrateur général et le DPF en ce qui concerne la déclaration de responsabilité de la direction. L’UCI a deux fonctions principales :

  • la collaboration avec d’autres intervenants aux fins de l’application du processus lié à la PCI, notamment avec la Direction générale des services de vérification interne, le Bureau du vérificateur général du Canada et les principaux responsables des processus opérationnels;
  • l’exécution et la gestion du cadre de contrôle interne ministériel, y compris la vérification de l’efficacité de la conception et de l’efficacité opérationnelle.

1.2 Objectif de l’audit

L’objectif de cet audit était de s’assurer que le cadre de la PCINote de bas de page 1 est adéquat et qu’il permet de maintenir un système ministériel efficace de contrôle interne, y compris le CIRF à l’appui de l’approbation de la déclaration annuelle de responsabilité de la direction.

1.3 Portée

Le présent audit portait notamment sur la pertinence du cadre de contrôle interne ministériel (ci-après le « cadre »), élément fondamental du processus de certification du DPF pour la déclaration de responsabilité de la direction et les activités de CIRF. En outre, les secteurs suivants ont été sélectionnés et évalués aux fins de la détermination de l’efficacité de la mise en œuvre du cadre :

  • contrôles au niveau de l’entité (CNE);
  • contrôles généraux concernant la technologie de l’information (CGTI);
  • Programme canadien de prêts aux étudiants (PCPE);
  • gestion de la planification et de la budgétisation;
  • gestion des subventions et contributions (S et C);
  • assurance-emploi;
  • Régime de pensions du Canada (RPC);
  • gestion de la clôture financière.

L’audit portait principalement sur les activités menées pour étayer la déclaration de responsabilité de la direction à l’égard des états financiers de 2015 à 2016.

1.4 Méthodologie

Plusieurs méthodes ont été employées durant la phase d’exécution de l’audit, dont :

  • un examen et une analyse de la documentation;
  • un échantillonnage et une vérification de l’examen des dossiers;
  • des observations et une analyse des procédures;
  • des entrevues auprès des principaux responsables opérationnels, les membres de la direction et les employés de la DGDPF;
  • une analyse et une validation de l’information pour étayer les conclusions.

2. Constatations de l’audit

2.1 Les composantes clés du cadre sont en place

Méthode d’évaluation des risques

Le cadre a été approuvé par le sous-ministre en novembre 2013 et il est actuellement en cours de révision. Il fournit une structure et une orientation relativement aux fonctions financières au sein du Ministère. Il donne des directives aux membres de la haute direction, aux gestionnaires, aux agents financiers et aux employés qui doivent assurer une saine gestion des ressources financières. Une première étape du système de CIRF consiste à déterminer les postes des états financiers en fonction de leur importance relative, particulièrement en ce qui a trait à la fiabilité des rapports financiers. Ces postes des états financiers doivent être liés aux principaux processus opérationnels d’Emploi et Développement social Canada (EDSC). Selon le cadre, une évaluation des risques doit être réalisée annuellement pour déterminer les postes importants des états financiers et, par conséquent, les principaux processus opérationnels. L’évaluation des risques est menée d’après les critères établis, notamment l’importance relative des postes et l’incidence des transactions. Toutefois, l’impact des risques et la probabilité que ceux-ci se produisent ne sont pas prises en compte. Nous sommes d’avis qu’un examen de la probabilité et de l’impact des risques permettrait d’améliorer la méthode d’évaluation et de mieux classer les risques liés aux principaux processus opérationnels, en plus de contribuer à l’affectation des ressources aux fins de la vérification.

Vérification des CNE et des CGTI

Les CNE sont omniprésents dans les ministères. Ils comprennent le « ton donné par la haute direction », la culture de l’organisation, les valeurs et l’éthique, la gouvernance, la transparence et les mécanismes de reddition de comptes, de même que les activités et les outils mis en place par l’organisation pour sensibiliser le personnel et assurer une compréhension claire des rôles et des responsabilités. Le cadre indique qu’il existe 17 CNE au sein d’EDSC. Selon les constatations de l’audit, le cadre ne prévoyait pas d’approche détaillée sur la façon d’élaborer et de vérifier les CNE au sein d’EDSC. Une approche pour les CNE mieux définie permettrait une démarche plus uniforme pour la vérification de l’efficacité de la conception et de l’efficacité opérationnelle des CNE. Les cadres de la DGDPF ont indiqué qu’ils travaillent à élaborer une méthode mieux adaptée qui sera axée sur le CIRF, tout en assurant un suivi continu des CNE.

Les CGTI sont également un secteur clé qui doit faire l’objet d’une évaluation dans le cadre de la surveillance continue du CIRF. Les CGTI sont des contrôles se rapportant à l’infrastructure et aux systèmes informatiques généraux, qui sont utilisés à l’échelle d’un ministère (notamment les contrôles d’accès aux réseaux ou aux systèmes pour protéger contre les risques d’accès non autorisé, l’atteinte à l’intégrité des données, etc.). Des contrôles propres aux applications de technologie de l’information sont généralement évalués au niveau des processus opérationnels dans lesquels les applications en question servent aux données et aux transactions financières. Des éléments clés liés à la méthode d’évaluation des CGTI à EDSC, comme le cadre de référence employé pour la vérification des CGTI, la structure utilisée pour déterminer les applications et les systèmes visés ainsi que l’inventaire des systèmes et des applications, ne sont pas documentés dans le cadre. Afin d’améliorer ce cadre, la direction devrait envisager de documenter la méthode utilisée pour évaluer les CGTI. 

En 2015, un consultant externe a mené une évaluation de l’environnement des CGTI, ce qui a permis d’identifier et de documenter les principaux systèmes financiers. Le rapport sur l’efficacité de la conception et l’efficacité opérationnelle des CGTI a été émis en août 2016 par ce dernier. La direction a indiqué que le rapport d’évaluation externe a par la suite servi de fondement aux travaux liés aux CGTI.

2.2 La surveillance et l’assurance de la qualité pourraient être améliorées

Documentation des processus opérationnels  

La documentation est un aspect clé de la PCI du fait qu’elle aide à situer les principaux contrôles dans les processus et qu’elle comprend les descriptions des processus, les diagrammes et les matrices de contrôle. EDSC a identifié et documenté les principaux processus opérationnels, diagrammes et matrices de contrôle, y compris les CNE et les CGTI.

Le cadre fournit une orientation sur l’approche et la fréquence de la mise à jour des processus opérationnels et de la documentation relative aux contrôles. Selon les exigences du cadre, les diagrammes et les détails des principaux contrôles doivent être mis à jour et approuvés officiellement tous les ans par le sous-ministre adjoint (SMA) responsable du secteur concerné. De plus, les responsables opérationnels doivent faire part de tout changement important apporté à leurs principaux processus opérationnels. Au terme de l’audit, il a été déterminé que la plupart des diagrammes des processus opérationnels et des matrices de contrôle visés par notre examen n’étaient pas mis à jour annuellement. Aucun élément ne démontre, preuve à l’appui, que les changements aux principaux processus opérationnels étaient suivis d’une évaluation de l’importance relative et d’une mise à jour des diagrammes des processus opérationnels et des matrices de contrôle connexes. La documentation comprenait des systèmes et des processus désuets, comme le système de gestion ministérielle lié au processus de clôture financière qui n’a pas fait l’objet d’une mise à jour depuis novembre 2011 afin de tenir compte de la mise en œuvre de SAP en 2014. La DGDPF a indiqué que les principaux intervenants ont été informés que les diagrammes des processus opérationnels et les matrices de contrôle ne seraient pas mis à jour annuellement. L’équipe d’audit est d’avis qu’il serait possible pour la direction de mettre à jour le cadre de façon à tenir compte de l’approche actuelle.

Vérifications de l’efficacité de la conception et de l’efficacité opérationnelle

Selon les dispositions de la PCI, la déclaration annuelle de responsabilité de la direction et le CIRF devaient confirmer la tenue d’une évaluation annuelle des risques associés au système de CIRF dans le but de déterminer son efficacité continue, et ce par l’entremise de vérifications de l’efficacité de la conception et de l’efficacité opérationnelle. La vérification de l’efficacité de la conception des contrôles implique l’identification des principaux contrôles qui existent afin de prévenir ou de déceler toute inexactitude importante dans les états financiers et d’atténuer les principaux risques cernés. Cette vérification vise à confirmer l’harmonisation entre les contrôles clés et les principaux risques des états financiers qu’ils visent à atténuer. La vérification de l’efficacité opérationnelle des contrôles comprend l’évaluation de la mesure dans laquelle un contrôle clé a été mis en œuvre comme prévu au cours d’une période de temps précise. 

L’audit a permis de constater qu’en ce qui a trait aux principaux processus opérationnels visés, la vérification de la conception avait été achevée. Aussi, l’audit a révélé que les matrices de vérification et les feuilles des vérifications individuelles n’étaient pas toujours cohérentes et ne faisaient pas toujours l’objet de renvois à la source appropriée. Il a également été noté que deux principaux contrôles dont la conception s’est avérée efficace n’avaient pas fait l’objet d’une vérification de l’efficacité opérationnelle. Par conséquent, EDSC pourrait ne pas être en mesure de conclure si les principaux contrôles identifiés et évalués dans le cadre de la vérification de l’efficacité de la conception fonctionnaient efficacement (ou si les défaillances au chapitre des contrôles ont été corrigées). Cela ferait en sorte qu’EDSC ne respecterait pas son cadre et les lignes directrices de la PCI. Cela pourrait également donner lieu à des incohérences entre ce qui est indiqué dans l’annexe de la déclaration de responsabilité de la direction et ce qui a réellement été effectué.

Méthode d’échantillonnage

Le cadre comprend l’exigence selon laquelle les stratégies relatives à la portée des vérifications doivent être documentées. Toutefois, l’audit a révélé que les décisions sur la portée n’étaient pas toujours documentées ni fondées sur les risques (p. ex. complexité, importance relative, etc.). À titre d’exemple :

  • la vérification de l’efficacité opérationnelle des S et C a visé quatre (4) programmes de S et C, ce qui représente 9,43 % du budget total des programmes de S et C;
  • la vérification de l’efficacité de la conception du RPC a visé un seul centre de traitement, situé à Victoria, en Colombie-Britannique. La portée de la vérification ne comportait aucune justification étayée de la décision sur la portée (p. ex. complexité, importance relative, etc.).

Par conséquent, il existe un risque que les principaux contrôles liés aux transactions matérielles et/ou complexes, aux programmes ou aux régions ne soient pas évalués dans le cadre des vérifications de l’efficacité de la conception et de l’efficacité opérationnelle.

Une autre étape clé de la vérification de l’efficacité opérationnelle est la méthode utilisée pour sélectionner l’échantillon aux fins d’analyse. L’échantillonnage sert à déterminer le nombre d’analyses à effectuer sur une population, et l’échantillon permet de vérifier si les principaux contrôles fonctionnent adéquatement. EDSC a défini sa méthode d’échantillonnage dans le cadre, laquelle consiste en une approche fondée sur la nature et la fréquence des activités exécutées. Toutefois, cette approche ne tient pas compte du niveau de risque associé aux activités découlant des principaux processus opérationnels. L’ajout d’une composante de risque à la méthode d’échantillonnage permettrait de faire en sorte que les activités à risque élevé soient davantage visées par la vérification de l’efficacité opérationnelle.

L’audit a conclu que la méthode d’échantillonnage n’était pas appliquée uniformément lors de la vérification de l’efficacité opérationnelle. Par exemple, en ce qui concerne le RPC, malgré les indications du contrôle mensuel de rapprochement selon lesquelles au moins cinq échantillons doivent être analysés, seulement deux échantillons ont fait l’objet d’une analyse. La direction a indiqué que la méthode et l’approche mises sur pied par un consultant externe ont servi à la vérification de l’efficacité opérationnelle du RPC, ce qui explique la non-utilisation de la méthode d’échantillonnage d’EDSC.

Résultats des vérifications

Une fois que les vérifications de l’efficacité de la conception et de l’efficacité opérationnelle sont terminées, les résultats sont communiqués et des plans d’action sont élaborés. Le cadre exige que, pour toute lacune ou défaillance décelée durant une vérification, le responsable du processus (p. ex. le SMA) prépare un document Réponse et plan d’action de la direction (RPAD) énonçant les mesures prévues par la direction et les dates d’achèvement prévues. L’audit a révélé que la communication des résultats respectait les exigences du cadre, et aucune exception n’a été notée.

Méthode de surveillance

Selon les dispositions de la PCI, il incombe à l’administrateur général de surveiller le système ministériel de contrôle interne. Une méthode de surveillance continue axée sur les risques a été élaborée. Le cadre indique que les principaux contrôles internes seront examinés annuellement pour les activités à risque élevé, tous les deux ans pour les activités à risque modéré et tous les trois ans pour les activités à faible risque. La fréquence de la surveillance continue est précisée à l’annexe de la déclaration de responsabilité de la direction englobant le CIRF. Le tableau 1 présente un résumé du calendrier de surveillance en date du 31 mars 2016. La direction nous a informés que l’approche de surveillance continue a seulement débuté pendant l'année fiscale 2016 à 2017.

Tableau 1
Secteur d’activité Niveau de risque évalué Année de La vérification de l’efficacité de la conception Année de la vérification de l’efficacité opérationnelle Année prévue pour la réévaluation, conformément à l’annexe
RPC Modéré 2013 à 2014 2015 à 2016 2018 à 2019
PCPE Faible 2012 à 2013 2013 à 2014 2018 à 2019
Assurance-emploi Modéré 2013 à 2014 2015 à 2016 2017 à 2018
Clôture financière Modéré 2008 à 2009 2011 à 2012 2017 à 2018
S et C Élevé 2009 à 2010 2012 à 2013 2016 à 2017
Planification et budgétisation Faible 2011 à 2012 2012 à 2013 2018 à 2019

Assurance de la qualité

Le cadre ne prévoit pas d’étapes ou d’exigences précises en matière d’assurance de la qualité relativement aux activités liées à la PCI (p. ex. examen de la qualité, approbation des scénarios de vérification, travail accompli par des parties externes, etc.). L’approbation par les membres de la direction de l’UCI des principales activités liées à la PCI (p. ex. la mise à jour de la documentation relative aux processus opérationnels, des scénarios de vérification et des résultats) permettrait de réduire le risque d’erreurs et/ou les fausses déclarations et les incohérences dans le travail lié à la PCI. De plus, cette approbation améliorerait l’exactitude de l’annexe de la déclaration de responsabilité de la direction englobant le CIRF.

La sous-ministre et le DPF doivent signer une déclaration annuelle de responsabilité de la direction englobant le CIRF. Au moyen de cette déclaration, la direction reconnaît sa responsabilité à l’égard du maintien d’un système ministériel efficace de CIRF. Compte tenu de l’importance que revêt cette déclaration, on s’attendait à ce qu’un processus officiel d’assurance de la qualité soit en place pour appuyer la signature de la déclaration de responsabilité de la direction englobant le CIRF. L’audit n’a pas trouvé d’indication d’un processus officiel et documenté de contrôle de la qualité préalable à la certification du DPF. Pour ce qui est du contrôle de la qualité, la direction a précisé que les activités qui suivent sont en place. L’annexe de la déclaration de responsabilité de la direction englobant le CIRF est examinée par la directrice de l’UCI, la directrice générale principale (DGP) et le DPF. Une note d’information est préparée à l’intention du DPF, et une réunion entre la DGP et le DPF est tenue pour passer en revue l’annexe. Le DPF est tenu au courant des progrès réalisés tout au long de l’exercice par l’entremise des mises à jour à la PCI présentées lors des réunions du Comité de gestion ministérielle et du Comité ministériel d’audit. Tous les comptes rendus sommaires et les RPAD liés aux processus évalués font l’objet d’un examen et d’une approbation. Plusieurs séances d’information sont fournies, y compris des séances sur les résultats des vérifications financières externes et des audits internes. Des séances d’information sont également données au DPF à titre de président du groupe de travail principal de contrôle interne et d’assurance financière, qui est composé des SMA.

Recommandation
  1. Le DPF devrait établir un processus d’assurance de la qualité des activités liées à la PCI pour veiller au respect des exigences du cadre.
Réponse de la direction

L'année dernière, la DGDPF a élaboré un cadre révisé qui a été présenté au groupe de travail principal de contrôle interne et d'assurance financière en mars 2017. Il devrait être formellement approuvé à l'été 2017. Ce cadre est significativement différent de celui qui a été examiné dans le cadre de cet audit et il n’inclut pas de méthodologie ou de processus. Pendant l’évolution des examens de contrôle interne, il est devenu évident que l’on devrait garder le document du cadre actuel à un niveau supérieur. Le document du cadre général fera désormais l’inventaire des contrôles financiers ministériels et prendra davantage en consideration le rôle de toutes les fonctions responsables de fournir de l’assurance. La DGDPF reconnaît la nécessité de mieux documenter et de respecter systématiquement un processus d'assurance de la qualité dans le cadre de la signature de la déclaration annuelle de responsabilité de la direction. Plus de détails seront dispoibles à l’extérieur du document du cadre de contrôle puisqu’il est plus appropriée que ces détails fassent partie d’un cartable distinct. Ces documents feront tous partie du paysage des contrôles financiers et inclueront des documents relatifs à la planification, la portée, l’évaluation des risques et la surveillance continue du cadre. Les actions pour documenter entièrement le processus d’assurance de la qualité débuteront en 2017 et seront complétées d’ici le 1er avril 2019, afin de disposer de l’ensemble des preuves receuillies pendant un cycle complet.

3. Conclusion

L’audit a permis de conclure que les composantes clés du cadre sont en place. Il est toutefois possible d’améliorer l’uniformité et de renforcer le respect du cadre en mettant en œuvre un processus d’assurance de la qualité.

4. Énoncé d’assurance

Selon notre jugement professionnel, les procédures d’audit appliquées et les éléments probants recueillis sont suffisants et appropriés pour confirmer l’exactitude des constatations présentées dans ce rapport. Ces dernières sont fondées sur les observations et les analyses faites lors de l’audit. Elles s’appliquent uniquement à l’audit de la Certification des contrôles par le dirigeant principal des finances (Politique sur le contrôle interne). Les éléments probants ont été recueillis conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de l’audit interne.

Annexe A : Évaluation des critères d’audit

Cotation : Les contrôles ont été effectués, mais ceux-ci pourraient être renforcés; exposition modérée au risque

Critères d’audit :

  • Le Ministère a élaboré, documenté, approuvé et mis en œuvre un cadre adéquat lié à la PCI.
  • Le Ministère examine et met à jour périodiquement le cadre de la PCI pour s’assurer que les contrôles sont harmonisés avec l’environnement opérationnel actuel.
  • Le Ministère a établi des contrôles liés aux principaux processus opérationnels, des CNE et des CGTI.
  • Le Ministère a procédé à une vérification de l’efficacité de la conception et de l’efficacité opérationnelle des principaux contrôles intégrés aux processus opérationnels, aux CNE et aux CGTI, conformément au cadre approuvé de la PCI.
  • Le Ministère a documenté et communiqué les résultats des vérifications des contrôles pour étayer la déclaration de responsabilité de la direction englobant le CIRF.

Annexe B : Glossaire

  • CGTI : Contrôles généraux concernant la technologie de l’information
  • CIRF : Contrôle interne en matière de rapports financiers
  • CNE : Contrôles au niveau de l’entité
  • DGDPF : Direction générale du dirigeant principal des finances
  • DGP : Directrice générale principale
  • DPF : Dirigeant principal des finances
  • EDSC : Emploi et Développement social Canada
  • PCI : Politique sur le contrôle interne
  • PCPE : Programme canadien de prêts aux étudiants
  • RPAD : Réponse et plan d’action de la direction
  • RPC : Régime de pensions du Canada
  • S et C : Subventions et contributions
  • SMA : Sous-ministre adjoint
  • UCI : Unité de contrôle interne

Détails de la page

Date de modification :