Évaluation des risques de fraude et revue de la gouvernance, Environnement et Changement climatique Canada
Direction générale de la vérification et de l’évaluation
en collaboration avec la société Deloitte s.r.l.
Décembre 2015
Liste des acronymes :
- ACFE
- Association des examinateurs certifiés de fraude
- DGVE
- Direction générale de la vérification et de l’évaluation
- DPV
- Dirigeant principal de la vérification
- COSO
- Committee of Sponsoring Organizations
- CCEV
- Comité consultatif externe de vérification
- CEG
- Comité exécutif de gestion
- ECCC
- Environnement et Changement climatique Canada
- TEF
- Transfert électronique de fonds
- ERF
- Évaluation des risques de fraude
- IVI
- Institut des vérificateurs internes
- PCI
- Politique sur le contrôle interne
- TEC
- Travaux en cours
Préparé par la Direction générale de la vérification et de l’évaluation
Remerciements
La revue a été réalisé en collaboration avec Deloitte et a été dirigé par Jean-Luc Tétreault, directeur de la vérification, sous la direction de Stella Line Cousineau.
Contrôle de la version
Nom du fichier : Évaluation des risques de fraude et revue de la gouvernance.docx
Date : Le 16 décembre 2015
Table des matières
Sommaire
Selon les Normes relatives à la vérification interne au sein du gouvernement du CanadaNote1, la vérification interne doit évaluer le risque de fraude et la façon dont l’organisation gère ce risque. Les lignes directrices du Conseil du TrésorNote2 stipulent que le dirigeant principal de la vérification doit aider à réduire le risque de fraude, en s’assurant que des stratégies adéquates de gestion des risques de fraude sont en place pour décourager la fraude et réduire les pertes qui en découlent.
La présente revue s’inscrit donc dans le Plan de vérification et d’évaluation axé sur le risque 2013 du Ministère, qui a été approuvé par le sous-ministre, sur recommandation du Comité consultatif externe de vérification. La Direction générale de la vérification et de l’évaluation (DGVE) a retenu les services de Deloitte s.r.l. pour effectuer la revue. Ce projet avait deux objectifs distincts. D’abord, évaluer le cadre de gouvernance et de gestion pour la prévention et la détection de la fraude, l’enquête, l’intervention et le signalement en cas de fraude. Ensuite, effectuer une évaluation de haut niveau des risques de fraude au sein de l’organisation. Les cinq éléments du cadre du COSONote3 ont été utilisés pour évaluer la gouvernance et le cadre de gestion du Ministère.
Étant donné la nature délicate des renseignements contenus dans le rapport portant sur la revue et l’évaluation des risques de fraude (ERF) de Deloitte, la DGVE ne présente dans le présent rapport qu’un sommaire des conclusions de DeloitteNote4 et sa synthèse des recommandations.
À la lumière de son évaluation du cadre de gouvernance et de gestion pour la prévention de la fraude, Deloitte a déterminé que, dans l’ensemble, Environnement et Changement climatique Canada (ECCC) a conçu et mis en œuvre diverses politiques et procédures qui sont, pour la plupart, en accord avec les pratiques prépondérantes du cadre du COSO. Toutefois, il a constaté certaines lacunes dans la gouvernance et les politiques.
De plus, il a relevé un certain nombre de points à améliorer dans le contexte de l’ERF avec des suggestions afin de réduire les risques de fraude. Comme les suggestions de Deloitte doivent être examinées et confirmées par la direction, on a transmis séparément les renseignements détaillés concernant ces suggestions aux chefs des directions générales responsables.
Recommandation 1
Avec le soutien du sous-ministre et en consultation avec les membres du Comité exécutif de gestion, la Direction générale des services ministériels devrait coordonner l’examen de la structure de gouvernance et du cadre stratégique pour la gestion des risques de fraude, afin de clarifier les rôles et responsabilités et d’améliorer les politiques actuelles, en réponse aux observations présentées par Deloitte.
Réponse de la direction
D’accord. La Direction générale des services ministériels examinera le mandat et le cadre de référence du Comité de la sécurité ministérielle, et la politique d’ECCC pour la conduite d’enquêtes administratives.
Recommandation 2
Les sous-ministres adjoints de la Direction générale des finances, de la Direction générale des services ministériels, de la Direction générale des ressources humaines, de la Direction générale de l’application de la loi et la Direction générale de l’intendance environnementale devraient examiner en détail les observations et les suggestions présentées dans le rapport de Deloitte et déterminer si les améliorations proposées devraient être apportées.
Réponse de la direction
Les sous-ministres adjoints de la Direction générale des finances, de la Direction générale des services ministériels, de la Direction générale des ressources humaines, de la Direction générale de l’application de la loi et la Direction générale de l’intendance environnementale sont d’accord avec cette recommandation. La réponse complète de la direction peut être consultée dans la section 3 du présent rapport.
1. Introduction et contexte
La présente revue était incluse dans le Plan intégré de vérification et d’évaluation axé sur le risque 2013 du Ministère, qui a été approuvé par le sous-ministre, sur recommandation du Comité consultatif externe de vérification.
Selon les principes de bonne gouvernance, le conseil d’administration ou l’organisme de surveillance de toute organisation, peu importe qu’elle soit publique, privée ou sans but lucratif et peu importe sa taille ou son secteur d’activité, doit s’assurer que l’organisation a un comportement global qui soit hautement éthique. En traitant avec vigilance les cas de fraude au sein de son organisation, la haute direction envoie un message clair au public, aux intervenants, aux employés et aux organismes de réglementation qu’elle ne tolère pas la fraudeNote5.
Dans le contexte actuel de l’accroissement des exigences législatives et réglementaires, les organisations doivent mieux comprendre les risques de fraude et lutter contre la fraude. Les risques de fraude peuvent être réduits en mettant en œuvre des programmes antifraude efficaces et des mesures pour réduire les conséquences de la fraude. Détecter et prévenir la fraude sont également bons pour les affaires, et peuvent aider une organisation à réaliser des économies et à réduire les effets néfastes de la fraude.
Selon les Normes relatives à la vérification interne au sein du gouvernement du Canada, la vérification interne évaluer de façon périodique le risque de fraude au sein d’une organisation et la façon dont cette dernière gère ce risque. Les lignes directrices du Conseil du Trésor stipulent que le dirigeant principal de la vérification doit aider à réduire le risque de fraude, en s’assurant que des stratégies adéquates de gestion des risques de fraude sont en place pour décourager la fraude et réduire les pertes qui en découlent.
La Direction générale de la vérification et de l’évaluation (DGVE) a retenu les services de Deloitte s.r.l. pour évaluer le cadre de gouvernance et de gestion pour la prévention et la détection de la fraude, l’enquête, l’intervention et signalement en cas de fraude, et effectuer une évaluation de haut niveau des risques de fraude au sein du Ministère.
La méthode utilisée pour la l’évaluation est conforme au cadre COSO décrit dans le livre blanc intitulé « Anti-fraud Programs and Controls » que Deloitte a publié en 2004, ainsi qu’aux nouvelles interprétationsNote6 publiées par les organismes comptables internationaux.
2. Objectifs, portée et méthodologie
Objectifs
La vérification avait deux objectifs :
- évaluer le cadre de gouvernance et de gestion pour la prévention et la détection de la fraude et pour la réalisation d’une enquête, d’une intervention et d’un signalement en cas de fraude;
- effectuer une évaluation de haut niveau des risques de fraude.
Les objectifs, la portée et l’approche de la revue ont été présentés au Comité exécutif de gestion et au Comité consultatif externe de vérification lors de leurs réunions de juin 2014. Les résultats de l’évaluation des risques de fraude ont également été présentés au Comité consultatif externe de vérification lors de sa réunion de mars 2015. Vous trouverez un résumé des résultats de l’évaluation des risques de fraude à la section 3.2 du présent rapport.
Portée - Évaluation des risques de fraude
L’évaluation des risques de fraude visait les activités fonctionnelles suivantes :
- Approvisionnement/dépenses/comptes débiteurs
- Immobilisations et biens en construction
- Stocks
- Revenus et comptes débiteurs
- Biens incorporels ou renseignements confidentiels ou classifiés
- Ressources humaines et paie
La présente évaluation n’est pas une évaluation exhaustive de toutes les activités fonctionnelles. Elle ne vise que les activités choisies en fonction de l’examen de la documentation, qui a été mené par Deloitte. Ces activités fonctionnelles sont également alignées avec celles de la plupart des ministères, et pourront ainsi servir de base de comparaison.
Portée - Examen de la gouvernance
Pour réaliser la présente revue de la gouvernance pour la prévention de la fraude, les éléments suivants tirés du cadre COSO ont été pris en compte :
- la création d’un environnement de contrôle (gouvernance des risques de fraude);
- la réalisation d’évaluations des risques de fraude;
- la conception et la mise en œuvre d’activités de lutte contre la fraude;
- le partage de l’information et la communication;
- la surveillance.
Méthodologie
Deloitte a effectué l’examen des risques de fraude en réalisant un examen de la documentation, ainsi qu’une série d’entretiens et de séances de remue-méninges avec un large éventail de gestionnaires et d’employés de différentes directions générales d’Environnement et Changement climatique Canada (ECCC). Les scénarios de fraude qui ont été élaborés dans le cadre la présente évaluation des risques de fraude ont été mis en correspondance avec les contrôles internes d’ECCC, afin de déterminer si ces contrôles permettent de prévenir ou de détecter les scénarios envisagés, de façon à réduire le risque de leur concrétisation, et afin de déterminer le risque résiduel global lié à chacun de ces scénarios.
Étant donné la nature délicate des renseignements contenus dans le rapport de la revue et de l’évaluation des risques de fraude (ERF) de Deloitte, la DGVE ne présente dans le présent rapport qu’un sommaire des conclusions de Deloitte et sa synthèse des recommandations. Le rapport complet et les conclusions détaillées de Deloitte ont été fournis séparément aux chefs des directions générales responsables.
La DGVE examinera en profondeur le rapport de DeloitteNote7 et en tiendra compte dans le cadre de son exercice annuel de planification de la vérification et de ses travaux planification de projets individuels de vérification visant des secteurs connexes.
La méthodologie suivie est décrite en détail à l’annexe 1 du présent rapport.
Énoncé de conformité
Cette revue a été menée en conformité avec les Normes relatives à la vérification interne du gouvernement du Canada, tel que soutenu par les résultats du programme d’assurance et d’amélioration de la qualité et de son application dans le contexte d’une revue.
Selon notre jugement professionnel, tout comme les preuves recueillies, des procédures de vérification suffisantes et appropriées ont été appliquées pour appuyer les conclusions décrites dans la section revue du présent rapport. Toutefois, les contrôles n’ont pas été mis à l’essai. Les conclusions se fondent sur une comparaison des situations qui existaient à la fin du travail sur terrain, en décembre 2014.
3. Constatations et recommandations
3.1 Cadre de gouvernance et de gestion pour lutter contre la fraude
Deloitte a déterminé qu’ECCC a conçu et mis en œuvre de nombreuses politiques et procédures qui sont effaces et, pour la plupart, en accord avec les pratiques prépondérantes du cadre COSO, notamment son code de valeur et d’éthique, son code de conduite, sa politique d’enquête administrative, son cadre de contrôle interne et sa stratégie de surveillance pour la gestion des contrôles internes. Toutefois, il existe toujours des lacunes dans certains domaines. Ce qui suit est un résumé réalisé par la DGVE des conclusions de Deloitte.
Rôles et responsabilités
Bien qu’ECCC ait mis en place une politique sur la conduite d’enquêtes administrative et un comité de la sécurité, il n’a pas défini de façon tout à fait claire les rôles et responsabilités pour la gouvernance et la gestion de la fraude et pour la coordination des interventions en cas d’allégations de fraude.
L’examen révèle que les renseignements sur les cas de fraude ne sont pas partagés et communiqués systématiquement à tous les intervenants concernés. La DGVE a fait remarquer que le Comité de la sécurité ministérielle n’examine pas directement les risques ou les cas de fraude.
De plus, l’actuelle politique sur la conduite d’enquêtes administratives ne désigne pas explicitement la Direction générale des finances comme un bureau de soutien contre la fraude. Dans de nombreux cas, la Direction générale des finances peut trouver les renseignements pertinents pour une enquête et jouer un rôle clé dans la conception des contrôles appropriés pour atténuer les risques de fraude. Si on néglige de mettre à contribution tous les intervenants concernés, on augmente le risque que le secteur d’activité touché par la fraude ne corrige et/ou n’examine pas efficacement les défaillances dans ses activités de contrôle. En outre, il y a un risque qu’on ne prenne pas correctement en compte ces renseignements lors de la planification axée sur le risque du Ministère.
Politique
ECCC ne possède pas de politique antifraude officielle. Bien que certaines composantes d’une politique antifraude soient traitées par divers moyens (politique sur la conduite d’enquêtes administratives, cadre de contrôle interne, code d’éthique et de valeurs, code de conduite, feuilles de route de l’apprenant et stratégie de surveillance pour la gestion des contrôles internes), certaines lacunes subsistent.
Lors de son examen de la politique d’ECCC pour la conduite d’enquêtes administratives, Deloitte a signalé que la politique actuelle pourrait être améliorée dans les domaines suivants :
- recours aux conseils spécialisés d’une source extérieure, au besoin;
- directives officielles concernant les conflits d’intérêts potentiels lors du processus d’enquête;
- surveillance de fiches de vacances;
- formation sur la fraude offerte systématiquement aux nouveaux employés et périodiquement à tous les employés;
- attente de comportement éthique des fournisseurs;
- suivi/enregistrement de cas de fraude;
- mise à jour périodique des évaluations des risques de fraude;
- suivi de l’efficacité des mesures antifraude.
Une politique/stratégie antifraude mieux intégrée favoriserait des mesures plus exhaustives et mieux intégrées en cas de fraude. La politique antifraude devrait également inclure une définition de la fraude, une structure de responsabilité pour la gestion de la fraude, une description de l’attitude organisationnelle face à la fraude et une politique sur les mesures disciplinaires. De plus, elle devrait définir une fonction centrale et désigner une personne comme partie responsable des programmes et des contrôles antifraude. L’objectif d’une politique antifraude est de protéger la réputation et la viabilité financière d’une organisation par une meilleure gestion des risques de fraude.
Recommandation 1
Avec le soutien du sous-ministre et en consultation avec les membres du Comité exécutif de gestion, la Direction générale des services ministériels devrait coordonner l’examen de la structure de gouvernance et du cadre stratégique pour la gestion des risques de fraude, afin de clarifier les rôles et responsabilités et d’améliorer les politiques actuelles, en réponse aux observations présentées par Deloitte.
Réponse de la direction
D’accord. La Direction générale des services ministériels examinera le mandat et le cadre de référence du Comité de la sécurité ministérielle, et la politique d’ECCC pour la conduite d’enquêtes administratives.
3.2 Évaluation des risques de fraude
Deloitte a élaboré et validé des scénarios possibles de fraude dans les activités fonctionnelles énumérées dans la section sur la portée du présent rapport. Ces scénarios ont été réalisés grâce à un examen de la documentation, à une série d’entretiens et à des ateliers de remue-méninges. Les scénarios ont été mis en correspondance avec les contrôles internes d’ECCC, afin d’évaluer si ces contrôles permettent de prévenir ou de détecter les scénarios et de déterminer le risque résiduel global de chaque scénario.
Au total, 58 scénarios de fraude ont été élaborés dans le cadre de ce processus. Parmi ces scénarios, 19 ont été évalués comme présentant un risque résiduel moyen ou élevé. Le tableau ci-dessous présente les résultats des 58 scénarios de risques envisagés, par activité fonctionnelle.
Ce tableau montre également une comparaison avec les résultats d’autres organismes du secteur public. Bien qu’ECCC mène des activités fonctionnelles qui présentent un pourcentage légèrement plus élevé de risques résiduels, Deloitte a affirmé qu’il se situe dans la fourchette acceptable.
Scénarios de risques par activité fonctionnelle
Longue description de la Figure 1
Cinquante-huit scénarios de six catégories d’activités frauduleuses ont fait l’objet d’une évaluation afin de déterminer leur niveau de risque intrinsèque (avant la prise en compte des contrôles) et leur niveau de risque résiduel (après la prise en compte des contrôles).
Des trois scénarios sous le volet « Manœuvre frauduleuse en lien avec la facturation », les niveaux de risque intrinsèque sont les suivants : un est au niveau moyen et deux sont au niveau faible; les niveaux de risque résiduel sont les suivants : un est au niveau moyen et deux sont au niveau faible.
Des treize scénarios sous le volet « Corruption - Conflits d’intérêts, corruption ou truquage d’offres », les niveaux de risque intrinsèque sont les suivants : trois sont au niveau élevé, sept sont au niveau moyen et trois sont au niveau faible; les niveaux de risque résiduel sont les suivants : un est au niveau élevé, sept sont au niveau moyen et cinq sont au niveau faible.
Des trois scénarios sous le volet « Rapports financiers frauduleux », les niveaux de risque intrinsèque sont les suivants : deux sont au niveau moyen et un est au niveau faible; les niveaux de risque résiduel sont les suivants : trois sont au niveau faible.
Des trente et un scénarios sous le volet « Détournement d’actifs », les niveaux de risque intrinsèque sont les suivants : trois sont au niveau élevé, treize sont au niveau moyen et quinze sont au niveau faible; les niveaux de risque résiduel sont les suivants : un est au niveau élevé, huit sont au niveau moyen et vingt-deux sont au niveau faible.
Des trois scénarios sous le volet « Déclarations mensongères/conflits d’intérêts », les niveaux de risque intrinsèque sont les suivants : un est au niveau moyen et deux sont au niveau faible; les niveaux de risque résiduel sont les suivants : trois sont au niveau faible.
Des cinq scénarios sous le volet « Manœuvre frauduleuse en lien avec la paie », les niveaux de risque intrinsèque sont les suivants : deux sont au niveau moyen et trois sont au niveau faible; les niveaux de risque résiduel sont les suivants : un est au niveau moyen et quatre sont au niveau faible.
Total du rendement pour ECCC :
- six scénarios (dix pour cent) qui présentent un risque intrinsèque élevé;
- vingt-six scénarios (quarante-cinq pour cent) qui présentent un risque intrinsèque moyen;
- vingt-six scénarios (quarante-cinq pour cent) qui présentent un risque intrinsèque faible;
- deux scénarios (trois pour cent) qui présentent un risque résiduel élevé;
- dix-sept scénarios (vingt-huit pour cent) qui présentent un risque résiduel moyen;
- trente-neuf scénarios (soixante-sept pour cent) qui présentent un risque résiduel faible.
Comparativement à d’autres organismes du secteur public :
- dix-sept pour cent qui présentent un risque intrinsèque élevé;
- quarante pour cent qui présentent un risque intrinsèque moyen;
- quarante-trois pour cent qui présentent un risque intrinsèque faible;
- deux pour cent qui présentent un risque résiduel élevé;
- vingt-trois pour cent qui présentent un risque résiduel moyen;
- soixante-seize pour cent qui présentent un risque résiduel faible.
Remarque : La catégorie « Autres organismes publics » se fonde sur une moyenne de 11 évaluations des risques de fraude dans le secteur public qui ont été récemment réalisées par Deloitte. Elle est destinée à fournir une orientation sur le rendement d’ECCC, par rapport à d’autres organismes du secteur public. Deloitte n’a pas évalué si ces autres organismes du secteur public sont comparables à ECCC, pour les besoins de la comparaison de la nature et de l’étendue des risques de fraude.)
Deloitte a présenté un rapport distinct des résultats de l’évaluation des risques de fraude, qui contient également des mesures correctives ou des améliorations suggérées pour renforcer les contrôles actuels en fonction des différents scénarios présentant un risque résiduel élevé ou moyen. Les renseignements figurant dans le rapport détaillé ont été communiqués séparément aux chefs de direction générale.
Recommandation 2
Les sous-ministres adjoints de la Direction générale des finances, de la Direction générale des services ministériels, de la Direction générale des ressources humaines, de la Direction générale de l’application de la loi et la Direction générale de l’intendance environnementale devraient examiner en détail les observations et les suggestions présentées dans le rapport de Deloitte et déterminer si les améliorations proposées devraient être apportées.
Réponse de la direction
Les directions générales des finances, des services ministériels, des ressources humaines, de l’application de la loi et de l’intendance environnementale acceptent la recommandation d’analyser les observations détaillées décrites dans le rapport d’évaluation des risques de fraude et de revue de la gouvernance d’ECCC, afin de déterminer dans quelle mesure les actions proposées peuvent être mises en œuvre.
4. Conclusion
Dans l’ensemble, DGVE a conclu qu’ECCC a conçu et mis en œuvre diverses politiques et procédures qui sont, pour la plupart, en accord avec les pratiques prépondérantes du cadre COSO. Cependant, il a relevé des lacunes et des améliorations possibles dans les domaines de la gouvernance et des politiques pour la prévention de la fraude. De plus, il a relevé un certain nombre d’améliorations possibles à la lumière de l’ERF et a fait des suggestions pour réduire les risques de fraude.
Annexe 1 - Définitions et méthodologie détaillée
A - Définitions de la fraude
Aux fins de l’évaluation et de la revue des risques de fraude, les définitions de fraude suivantes ont été utilisées :
Code criminel, art. 380(1)
« Quiconque, par supercherie, mensonge ou autre moyen dolosif, constituant ou non un faux semblant au sens de la présente loi, frustre le public ou toute personne, déterminée ou non, de quelque bien, service, argent ou valeur. »
Selon l’Institut des comptables professionnels agréés du Canada
« Le mot “fraude” renvoie à un acte intentionnel commis par une ou plusieurs personnes parmi les membres de la direction, les autres employés, les responsables de la gouvernance ou des tiers, impliquant le recours à des manœuvres trompeuses dans le but d’obtenir un avantage indu ou illégal. »
D’après l’Institut des vérificateurs internes
« Tout acte illégal caractérisé par la tromperie, la dissimulation ou la violation de la confiance. Ces actes ne se fondent pas sur la menace de violence ou la force physique. Les fraudes sont perpétrées par des personnes et des entreprises afin d’obtenir de l’argent, des biens ou des services, afin d’éviter le paiement ou la perte de services ou afin de s’assurer un avantage personnel ou commercial. »
B - Méthode d’examen de la gouvernance pour la gestion de la fraude
Le présent examen s’inspire des principales composantes du cadre COSO pour la gestion de la fraude :
- Création d’un environnement de contrôle (gouvernance du risque de fraude) - « Ton de la direction » - Attitude de l’équipe de la haute direction à l’égard du risque global et d’un environnement de gestion du comportement contraire à l’éthique. Culture de l’organisation à l’égard de la lutte contre la fraude, la corruption et d’autres comportements contraires à l’éthique.
- Évaluation des risques de fraude - Analyse des risques de fraude externe et interne qui pourrait avoir des répercussions négatives sur l’atteinte des objectifs stratégiques de l’organisation.
- Conception et mise en œuvre d’activités de prévention de la fraude - Mesures de contrôle mises en place partout dans l’organisation pour prévenir et détecter le risque de fraude et de corruption.
- Échange d’information et communicationconcernant les activités liées au programme antifraude et anticorruption.
- Activités de surveillance liées au programme antifraude et anticorruption et aux mesures et initiatives de contrôle pour aider à s’assurer que le système demeure efficace et dynamique.
Un jugement professionnel a été appliqué pour évaluer la conception des programmes et des mesures de lutte contre la fraude, car la nature et la portée d’un programme antifraude efficace varient d’une entité à l’autre. La nature et la portée d’un programme antifraude efficace dépendent d’un certain nombre de facteurs, notamment la nature de l’entreprise, le nombre d’emplacements et les résultats de l’évaluation des risques de fraude de l’entité. Afin d’évaluer l’état actuel des programmes, des initiatives de contrôle, des politiques et des procédures d’ECCC, nous les avons comparés avec ce qui suit :
- Cadre intégré du contrôle interne du COSO;
- American Institute of Certified Public Accountants (AICPA) - Managing the Business Risk of Fraud;
- Pratiques exemplaires reconnues que les organisations possédant des programmes bien établis considèrent être les meilleures.
Deloitte a suivi des procédures pour recenser et analyser les politiques et activités antifraude et connexes d’ECCC. Il les a ensuite comparées avec les pratiques exemplaires dans chacun des cinq domaines du cadre COSO qui sont énumérés ci-dessus.
Il a suivi cette approche afin d’informer ECCC de l’état actuel de ses mesures antifraude et des lacunes par rapport au cadre COSO et à d’autres normes pertinentes qui constituent des pratiques exemplaires.
C - Méthodologie d’évaluation des risques de fraude
L’évaluation des risques de fraude s’est déroulée en quatre étapes :
- Recenser les facteurs de risque de fraude qui sont pertinents pour ECCC, grâce à une série d’entretiens avec la direction et les employés d’ECCC, et élaborer des scénarios de risques de fraude.
- Organiser des ateliers de remue-méninges avec la direction et les employés afin :
- de valider les scénarios de risques de fraude;
- de distinguer d’autres scénarios de risques de fraude qui sont pertinents pour Environnement et Changement climatique Canada;
- de classer les scénarios de risques de fraude en fonction de leur importance et de leur probabilité d’occurrence (en fonction de circonstances inhérentes au Ministère, sans égard des mesures de contrôle en place);
- de déterminer la cote globale de risque intrinsèque pour chaque scénario, en fonction aussi bien de la probabilité de leur concrétisation que de leur importance.
- Effectuer une analyse des lacunes dans les contrôles internes de l’organisation afin :
- de déterminer et de mettre en correspondance les contrôles internes d’ECCC (en se fondant sur la documentation sur les processus de contrôle interne et sur des entretiens avec les cadres et les employés) qui visent à atténuer les scénarios de risques intrinsèques moyens et élevés de fraude;
- de comparer, dans la mesure du possible, les contrôles d’ECCC avec les contrôles prévus dans des organismes similaires (secteur public);
- d’évaluer si les contrôles mis en correspondance permettraient de prévenir ou de détecter le scénario, de façon à réduire le risque qu’il se concrétise;
- de déterminer le risque résiduel global pour chaque scénario.
- Formuler des recommandations en réponse aux scénarios de risques qui ont été déterminés comme présentant un niveau de risque résiduel moyen ou élevé.
Au total, 58 scénarios de risque de fraude ont été élaborés dans le cadre du processus d’évaluation des risques de fraude. Certains des 58 scénarios ont été présentés à plusieurs groupes afin d’obtenir différents points de vue sur les scénarios, ce qui a entraîné un dédoublement de certains scénarios de groupe en groupe.
Les contrôles mis en correspondance avec les scénarios dans le cadre de la présente évaluation sont notamment les contrôles de processus qui sont appliqués conformément aux objectifs d’établissement de rapports financiers énoncés dans la Politique sur le contrôle interne, ainsi que des contrôles qui ne sont pas définis en tant que tel dans la documentation sur les procédures et dans d’autres documents d’ECCC.
En plus de la documentation mentionnée ci-dessus, Deloitte a recensé d’autres contrôles antifraude non formalisés par écrit, à la lumière d’entretiens de suivi et de courriels avec la direction et les employés d’ECCC au cours de l’exercice de validation. Le classement du risque résiduel a été évalué en se fondant sur l’hypothèse que les mesures de contrôle interne étaient appliquées comme consignées/décrites et qu’il n’était donc pas nécessaire de les mettre à l’essai.
En plus des contrôles au niveau des processus qui ont été mis en correspondance avec les scénarios de fraude décrits ci-dessus, ECCC a mis en place des contrôles au niveau des entités, dans le cadre de sa stratégie globale d’atténuation des risques. Les contrôles au niveau des entités ont été mis en correspondance avec les scénarios, lorsque cela était jugé approprié.
Bien que Deloitte ait recensé et associé plusieurs mesures de contrôle d’ECCC qui pourraient permettre de prévenir ou détecter chacun des scénarios de risque de fraude, il n’a pas réalisé d’essais supplémentaires de ces mesures. Par conséquent, Deloitte n’est pas en mesure de confirmer que ces mesures permettent d’atténuer efficacement chaque scénario de risque de fraude.
Dates importantes
Date de la première conférence (note de service de lancement)
Décembre 2013
Approche et méthodologie présentées au Comité exécutif de gestion
Mai 2014
Approche et méthodologie présentées au Comité consultatif externe de vérification
Juin 2014
Plan de revue envoyé à la direction
Juillet 2014
Présentation de l’évaluation des risques au CCEV
Mars 2015
Présentation du rapport final pour information au Comité exécutif de gestion
Juin 2015
Présentation du rapport final au CCEV
Juin 2015
Approbation du sous-ministre
Décembre 2015
Annexe 2 - Scénarios de risque moyen ou élevé
La section suivante fournit une liste des scénarios présentant un risque résiduel élevé ou moyen.
| No | Éléments et processus opérationnels | Description du scénario |
|---|---|---|
| 1 | Détournement d’actifs Ressources humaines et paie/finances/approvisionnement |
Détournement d’actifs Un employé fournit des renseignements confidentiels pour des gains personnels. |
| 2 | Corruption - Conflit d’intérêts, corruption ou truquage d’offres Biens incorporels et renseignements confidentiels ou classifiés/secteurs de programme |
Corruption - Conflit d’intérêts, corruption ou truquage d’offres Un employé utilise des connaissances d’initié pour des gains personnels. |
| 3 | Détournement d’actifs Rapports financiers, revenus et comptes débiteurs |
Détournement d’actifs En collusion avec un employé, un fournisseur soumet une facture de marchandises ou de services qui n’ont pas été fournis ou dont la quantité a été gonflée. |
| 4 | Détournement d’actifs Rapports financiers, revenus et comptes débiteurs |
Détournement d’actifs Radier des stocks ou les classer comme désuets, puis les prendre ou les vendre pour des gains personnels. |
| 5 | Détournement d’actifs Rapports financiers, revenus et comptes débiteurs |
Détournement d’actifs Remboursement ou crédit accordé à un client fictif ou porté à un compte personnel. |
| 6 | Détournement d’actifs Rapports financiers, revenus et comptes débiteurs |
Détournement d’actifs Remboursement et/ou crédit d’un permis accordé à une partie qui conserve tout de même le permis, en retour d’un pot-de-vin ou d’un autre avantage personnel. |
| 7 | Détournement d’actifs Approvisionnement et dépenses |
Détournement d’actifs Modifications apportées au fichier maître d’un fournisseur, en créant des fournisseurs fictifs ou en modifiant les données sur les fournisseurs existants afin de recevoir personnellement des paiements de factures valides ou fictives. |
| 8 | Détournement d’actifs Approvisionnement et dépenses |
Détournement d’actifs Un fournisseur obtient un contrat pour des produits respectant certaines exigences, mais les remplace par des produits moins coûteux (p. ex. les contrats de construction de biens immobiliers, les travaux en cours). |
| 9 | Détournement d’actifs Approvisionnement et dépenses |
Détournement d’actifs Un entrepreneur fournit plusieurs offres en présentant des soumissions de la part de sociétés fictives (afin que plusieurs soumissions soient prises en compte ou afin de donner l’apparence d’un processus concurrentiel). |
| 10 | Détournement d’actifs Ressources humaines et paie |
Détournement d’actifs Absences non autorisées fréquentes du lieu de travail. Non-déclaration de journées de congé. |
| 11 | Manœuvre frauduleuse en lien avec la facturation ou la paie Approvisionnement et dépenses |
Manœuvre frauduleuse en lien avec la facturation ou la paie Transfert de fonds électronique - Réacheminement de fonds sortants à une tierce partie ou pour son propre profit, en modifiant les comptes bancaires ou d’autres renseignements. |
| 12 | Corruption - Conflit d’intérêts, corruption ou truquage d’offres Approvisionnement et dépenses |
Corruption - Conflit d’intérêts, corruption ou truquage d’offres Un fournisseur falsifie ses qualifications, ses accréditations ou ses garanties et se voit attribuer un contrat pour des services (p. ex. un contrat de construction). |
| 13 | Corruption - Conflit d’intérêts, corruption ou truquage d’offres Approvisionnement et dépenses |
Corruption - Conflit d’intérêts, corruption ou truquage d’offres Des entrepreneurs agissent en collusion pour manipuler le processus d’approvisionnement concurrentiel (en soumettant des soumissions par rotation, en convenant d’un arrangement de suppression de soumissions, etc.). |
| 14 | Corruption - Conflit d’intérêts, corruption ou truquage d’offres Approvisionnement et dépenses |
Corruption - Conflit d’intérêts, corruption ou truquage d’offres Attribution de plusieurs contrats de fournisseur unique à un même entrepreneur, en échange d’un pot-de-vin ou d’autres avantages personnels. |
| 15 | Corruption - Conflit d’intérêts, corruption ou truquage d’offres Approvisionnement et dépenses |
Corruption - Conflit d’intérêts, corruption ou truquage d’offres Conclusion d’accords entre un employé et un fournisseur pour attribuer un contrat en fonction d’exigences moins strictes, puis augmentation du prix après l’attribution du contrat par suite de modifications, en retour d’un pot-de-vin ou d’autres avantages personnels. |
| 16 | Corruption - Conflit d’intérêts, corruption ou truquage d’offres Biens incorporels et renseignements confidentiels ou classifiés |
Corruption - Conflit d’intérêts, corruption ou truquage d’offres Un employé omet de prendre des mesures contre une entité qui ne se conforme pas entièrement ou exactement aux règlements, en échange d’un avantage personnel. |
| 17 | Corruption - Conflit d’intérêts, corruption ou truquage d’offres Biens incorporels et renseignements confidentiels ou classifiés |
Corruption - Conflit d’intérêts, corruption ou truquage d’offres Des entités commerciales influencent de façon inappropriée les décisions d’employés ou de la direction concernant l’établissement de règles et/ou de règlements. |
| 18 | Corruption - Conflit d’intérêts, corruption ou truquage d’offres Biens incorporels et renseignements confidentiels ou classifiés |
Corruption - Conflit d’intérêts, corruption ou truquage d’offres Un employé se trouve en situation de conflit d’intérêts dans ses activités de vérification de la conformité d’une entité et d’application de la loi. |
| 19 | Manœuvre frauduleuse en lien avec la paie Ressources humaines et paie |
Manœuvre frauduleuse en lien avec la paie En collusion avec son gestionnaire, un employé soumet une feuille de temps pour des heures de travail fictives. |
Détails de la page
- Date de modification :