Audit interne du système des contrôles internes en matière de rapports financiers

Direction générale de l’audit interne et de la responsabilisation
25 octobre 2018

Table des matières

I. Contexte

Introduction

  1. La Politique sur la gestion financière du Conseil du Trésor est entrée en vigueur le 1er avril 2017, remplaçant la Politique sur le contrôle interne de 2009. L’objectif de la Politique est de veiller à ce que les ressources financières du gouvernement soient bien gérées quant à l’exécution des programmes offerts à la population canadienne et soient protégées grâce à des contrôles équilibrés qui permettent une certaine souplesse et une gestion des risques. La Politique exige que les ministères établissent un système, axé sur les risques, de contrôles internes en matière de rapports financiers (CIRF). La Politique indique également que pour être efficace, le système devrait comprendre une évaluation annuelle des risques et un programme de surveillance continue. Une Déclaration annuelle de responsabilité de la direction est également requise pour certifier l’objectivité et l’intégrité des renseignements financiers ministériels. La Politique énonce les principales responsabilités des administrateurs généraux, des dirigeants principaux des finances, des cadres supérieurs du ministère et du contrôleur général du Canada quant à l’exercice d’une gestion financière efficace.
  2. Immigration, Réfugiés et Citoyenneté Canada (IRCC) a achevé son premier cycle complet d’évaluation en 2015-2016 et a mis en place un programme axé sur les risques pour respecter les exigences stratégiques visant à surveiller continuellement l’efficacité de son système de CIRF. Grâce au programme, le Ministère pourrait repérer en temps opportun les comptes et les processus connexes qui risquent le plus de causer des inexactitudes financières, et établir d’autres processus pour consigner, évaluer et améliorer les principaux contrôles.
  3. À IRCC, la Direction des politiques financières, de la surveillance et des rapports, au sein de la Direction générale des opérations financières, est chargée d’établir les mécanismes de surveillance continue des contrôles internes en matière de rapports financiers (CIRF). Elle assure ainsi la sous-ministre et le dirigeant principal des finances que ces contrôles sont adéquats et efficaces.

Figure 1. Processus de surveillance continue des contrôles financiers internes pour le système de CIRF

Processus de surveillance continue des contrôles financiers internes pour le système de CIRF - version texte ci-dessous

Version texte : Figure 1. Processus de surveillance continue des contrôles financiers internes pour le système de CIRF
Processus de surveillance continue
  1. Début : Cartographie des processus dans les comptes des états financiers
  2. Évaluation des risques liés aux processus
  3. Plan d’évaluation sur quatre ans - Contrôles au niveau de l’entité, CGTI, processus opérationnels, opérations décentralisées
  4. Identification des contrôles clés
  5. Test des contrôles clés pour l'efficacité de la conception et du fonctionnement
  6. Évaluation du déficit de contrôle et de sa gravité
  7. Recommandations et plans d’action de la direction pour remédier aux faiblesses d’un contrôle
Processus simultané:
  • Rapport semestriel au Comité de vérification ministériel
  • Surveillance semestrielle et activités de suivi des mesures correctives en suspens
  • Rapport externe annuel

II. Objectif, critères, portée et méthode de l’audit

Objectif, critères et portée de l’audit

  1. L’objectif de l’audit consiste à fournir l’assurance raisonnable qu’IRCC dispose d’un système de CIRF efficace.
  2. Voici les critères de l’audit :
    • Une structure de gouvernance détermine les rôles et responsabilités pour favoriser une supervision efficace des contrôles internes du Ministère en matière de rapports financiers.
    • Les risques liés aux contrôles internes en matière de rapports financiers sont cernés, évalués et surveillés de manière efficace.
    • On effectue l’évaluation des contrôles internes en matière de rapports financiers conformément aux normes et lignes directrices établies.
    • Les résultats de l’évaluation des CIRF sont communiqués aux responsables des processus opérationnels et à la haute direction, et des mesures adéquates sont prises pour corriger les lacunes repérées en matière de contrôle.
  3. Lors de l’audit, on a évalué le programme ainsi que les procédures et mécanismes connexes en place à IRCC afin de surveiller l’efficacité du système de CIRF et d’en rendre compte. L’audit visait les exercices 2015-2016 à 2017-2018.
  4. Lors de l’audit, on n’a pas effectué de nouveau les tests que l’équipe des contrôles financiers internes avait réalisés pour évaluer l’efficacité de la conception et du fonctionnement de contrôles clés en particulier. Lors de l’audit, on n’a pas évalué l’exactitude des états financiers d’IRCC.

Méthode

  1. Voici les procédures d’audit qui ont été exécutées pour appuyer les constatations, les recommandations et les conclusions de l’audit :
    • une révision structurée du processus de surveillance continue;
    • des entrevues avec l’équipe des contrôles financiers internes et les responsables des processus opérationnels;
    • une analyse d’un échantillon de quatre évaluations des contrôles sur le plan des processus opérationnels et de deux évaluations des contrôles sur le plan de l’entité;
    • des examens de plans de mesures correctives sélectionnés en suspens, ces plans découlant du processus de surveillance continue;
    • l’examen et l’analyse des documents importants.

Énoncé de conformité

  1. Le présent audit a été planifié et mené conformément au cadre de référence international des pratiques professionnelles de l’Institut des vérificateurs internes, comme en font foi les résultats du programme d’assurance de la qualité et de l’amélioration.

III. Constatations et recommandations de l’audit

Rôles, responsabilités et pouvoirs

  1. La définition des rôles, des responsabilités et des pouvoirs clés conformément à la Politique sur la gestion financière du Conseil du Trésor permet aux intervenants concernés d’assurer la surveillance et la supervision de l’efficacité du système. Par exemple, un cadre supérieur du ministère doit assumer la responsabilité suivante, comme l’indique la Politique : « aviser le dirigeant principal des finances (DPF) des faiblesses importantes d’un contrôle et s’assurer que des mesures correctives sont prises rapidement lorsque de telles faiblesses sont cernées dans leur domaine de responsabilité ».
  2. À IRCC, le Programme de surveillance continue des contrôles internes en matière de rapports financiers détermine la structure de gouvernance, l’approche de surveillance continue ainsi que certains rôles, responsabilités et pouvoirs clés des intervenants. Le Programme de surveillance est mis à jour annuellement. Il définit et communique les principaux rôles et responsabilités du dirigeant principal des finances, du Comité ministériel d’audit, du dirigeant principal de l’audit et de l’équipe des contrôles financiers internes. On définit certaines responsabilités des cadres supérieurs du Ministère. Lorsqu’on compare les exigences de la politique du SCT au Programme de surveillance du Ministère, les responsabilités liées à la surveillance continue axée sur les risques effectuée par les cadres supérieurs du Ministère, notamment les responsables des processus opérationnelsNote de bas de page 1, n’ont pas été mentionnées dans le Programme de surveillance de l’équipe des contrôles financiers internes. Puisque les cadres supérieurs du Ministère, y compris les responsables des processus opérationnels, doivent assumer un rôle important dans la gestion proactive et itérative des risques dans leur domaine de responsabilité et assurer la communication, en temps opportun, des lacunes en matière de contrôle au dirigeant principal des finances, il importe de définir les responsabilités de ces cadres supérieurs.
  3. Même si l’équipe des contrôles financiers internes examine et surveille les processus opérationnels ministériels d’après le plan de travail pluriannuel, les gestionnaires qui s’occupent de près des activités doivent assurer une surveillance provisoire et continue pour déceler les erreurs ou une fraude possible, mettre rapidement en œuvre des contrôles correctifs et gérer en connaissance de cause leurs pouvoirs et responsabilités en matière de gestion financière. Ce travail de surveillance qu’exécute le responsable des processus opérationnels est l’auto-évaluation. Il peut s’agir d’un sondage auprès des employés concernant le processus et l’état des contrôles; d’un examen, de revue de documents, d’un échantillon de transactions pour confirmer l’efficacité des contrôles; ou d’une évaluation détaillée de ses propres processus et contrôles internesNote de bas de page 2. L’équipe des contrôles financiers internes poursuivra l’examen de l’efficacité des processus d’auto-évaluation de la direction, sous forme d’évaluations distinctes comprenant des observations, des révisions et des mises à l’essai de contrôles au moyen de l’échantillonnage et de l’examen des renseignements utilisés par la direction dans son auto-évaluation. Les examens visent à fournir l’assurance raisonnable que les rapports financiers sont fiables. Par exemple, si on détermine qu’un processus opérationnel représente un risque moyen d’après certains critères prédéterminés, l’équipe des contrôles financiers internes évaluerait tous les trois ans les contrôles sur le plan de ce processus opérationnel en particulier. Entre-temps, le responsable du processus opérationnel effectuerait une auto-évaluation provisoire continue, axée sur les risques, de son processus et cernerait les changements à apporter aux contrôles ou les risques.
  4. IRCC a exécuté un cycle d’évaluation complet et a mis en œuvre un système de surveillance continue des CIRF. Une surveillance continue axée sur les risques assurée par les responsables des domaines des processus opérationnels permettra au Ministère de continuer de progresser et de disposer d’un système de CIRF à maturité. L’auto-évaluation et la surveillance continue axée sur les risques permettront aux responsables des processus opérationnels et à l’équipe des contrôles financiers internes de tenir des discussions liées aux risques et d’échanger des renseignements, menant ainsi à une approche de gestion des risques axée davantage sur la collaboration et à l’excellence en gestion.
  5. Recommandation 1. Le dirigeant principal des finances devrait s’assurer que le Programme de surveillance continue des contrôles internes en matière de rapports financiers permet de définir les responsabilités des cadres supérieurs du Ministère (y compris les responsables des processus opérationnels) pour mettre en œuvre et maintenir un système axé sur les risques. Pour ce faire, l’équipe des contrôles financiers internes et les cadres supérieurs concernés (y compris les responsables des processus opérationnels) devraient tenir des discussions continues sur les risques et échanger des renseignements connexes.

Système de surveillance continue axé sur les risques

  1. La mise en œuvre et le maintien d’un système de CIRF axé sur les risques conformément à la Politique sur la gestion financière du Conseil du Trésor, favoriseront un système de surveillance continue efficace et efficiente qui repère des lacunes en matière de contrôle et les corrige en temps opportun. Le processus annuel d’examen des risques permet à l’équipe des contrôles financiers internes de mettre au point un plan de travail pluriannuel fondé sur l’évaluation préliminaire des processus et des contrôles du Ministère. D’après cette évaluation des risques, y compris l’évaluation du risque de fraude, tous les processus à risque élevé sont réévalués tous les deux ans, les processus à risque moyen, tous les trois ans, et les processus à faible risque, tous les quatre ans. L’équipe des contrôles financiers internes a pu ainsi hiérarchiser le niveau d’effort nécessaire pour évaluer et surveiller les processus selon leur niveau de risque.
  2. Lors de l’audit, on a examiné divers documents liés à l’évaluation annuelle des risques des processus ministériels de l’équipe des contrôles financiers internes pour faciliter la préparation du plan de travail d’évaluation pluriannuel. On a examiné les renseignements liés à l’efficacité de la mise à l’essai de six échantillons de processus de 2015-2016 à 2017-2018. Il s’agissait entre autres d’examiner les documents d’évaluation des risques et les documents liés au processus de sélection, d’échantillonnage et de mise à l’essai de contrôles clés et de communication des lacunes à cet égard. On a passé en revue deux processus opérationnels à risque élevé, deux processus opérationnels à risque moyen, les contrôles sur le plan de l’entité et les contrôles généraux des technologies de l’information. L’examen a révélé qu’une approche axée sur les risques a été mise en œuvre pour chaque étape du processus d’évaluation et de surveillance actuellement en place.
  3. Le Ministère a mis en œuvre et maintient un programme de surveillance continue axé sur les risques, y compris une évaluation annuelle des contrôles internes axée sur les risques.

Rapports et supervision

  1. La Politique sur la gestion financière du Conseil du Trésor exige que la sous-ministre et le dirigeant principal des finances (DPF) établissent, surveillent et maintiennent un système de CIRF axé sur les risques. Afin de les soutenir continuellement dans l’exercice de leurs responsabilités, il importe de leur communiquer en temps opportun l’efficacité des contrôles en place, les lacunes en matière de contrôle et les mesures correctives à cet égard.
  2. Le DPF présente un rapport au Comité ministériel d’audit deux fois par année. Au printemps, le DPF fait rapport des résultats de l’évaluation annuelle des risques et du plan de travail pluriannuel qui en découle, et à l’été, il communique au Comité les résultats des évaluations des contrôles. On a examiné les comptes rendus de décisions et les documents des réunions de janvier 2016 à juin 2018 du Comité ministériel d’audit. Les présentations au Comité sur le résumé de l’état d’avancement des plans d’action ne mentionnaient pas les retards dans ces plans ou la prolongation de la date limite de ces plans. Dans le procès-verbal de sa réunion du 16 août 2016, le Comité ministériel d’audit a souligné l’importance de la mise en œuvre de plans d’action et a mentionné que si des problèmes surviennent, il faudrait les présenter à la réunion qui convient le mieux.
  3. Par exemple, le Programme de surveillance continue des contrôles internes en matière de rapports financiers, exécuté annuellement, indique que les mesures visant à corriger les lacunes présentant un risque élevé doivent être mises en œuvre dans un délai de six mois, tandis que les lacunes présentant un risque moyen doivent être corrigées dans un délai de 12 mois. Depuis décembre 2017, 56 plans d’action correctifs étaient en suspens. Parmi ceux-ci, 47 ont été retardés, notamment un plan d’action concernant une lacune présentant un risque élevé. Au total, 31 lacunes sur 47 (y compris celle présentant un risque élevé) ont fait l’objet d’au moins une modification à la date limite de leur plan d’action.
  4. Lorsqu’il y a un retard dans la mise en œuvre de mesures visant à corriger une lacune en matière de contrôle, il faut aviser le Comité ministériel d’audit du retard et de contrôles compensatoires provisoires en place pour ainsi assurer les organismes de supervision de l’efficacité de la surveillance, axée sur les risques, du système de CIRF.
  5. On a également examiné les comptes rendus de décisions des réunions du Comité exécutifNote de bas de page 3 tenues de janvier 2016 à mars 2018 et des réunions du Comité de gestion des risquesNote de bas de page 4 tenues en 2016 et en 2017. L’examen a révélé que, exception faite du Comité ministériel d’audit, aucun autre comité de supervision à l’échelon des cadres n’a tenu de discussion sur les résultats de l’évaluation des contrôles. Par exemple, dans le système de CIRF, l’évaluation des contrôles sur le plan de l’entité vérifie l’efficacité des contrôles panministériels qui ont une incidence directe ou indirecte sur tous les contrôles sous-jacents. Certains exemples de domaines d’évaluation portent sur les rôles et responsabilités à assumer pour établir les valeurs et l’éthique du Ministère, établir les normes de gestion du rendement et fournir aux employés la formation et les outils dont ils ont besoin pour exécuter leurs tâches. Les comités de supervision du Ministère concernés sont tenus au courant de l’état des contrôles panministériels au moyen de l’information et des mises à jour sur l’évaluation des contrôles clés et des processus, les lacunes en matière de contrôle cernées par la suite et les mesures correctives connexes.
  6. Recommandation 2. Le dirigeant principal des finances (DPF) devrait désigner les comités de supervision chargés de passer en revue les rapports sur l’efficacité du système des CIRF. Le DPF devrait également consulter les comités de supervision concernés pour déterminer le niveau de renseignements dont ils ont besoin en vue de s’acquitter de leurs rôles et responsabilités.

IV. Conclusion

  1. En conclusion, IRCC dispose d’un système de CIRF qui est en général efficace pour cerner et atténuer les risques d’inexactitudes importantes. Le dirigeant principal des finances a mis en place une approche fondée sur les risques pour la mise à l’essai des contrôles clés et la surveillance du système de CIRF. Cette approche fonctionne bien grâce à des plans de travail pluriannuels, des activités d’évaluation des contrôles bien documentées et un suivi régulier des mesures correctives qui ne sont pas encore mises en œuvre.
  2. Des améliorations à apporter ont été dégagées dans les domaines suivants : la participation des responsables des processus opérationnels aux processus afin que le Ministère améliore continuellement l’élaboration d’un système de CIRF plus à maturité; fournir suffisamment de renseignements sur la surveillance continue du système de CIRF aux organismes de supervision supérieurs.

La direction a accepté les constatations de l’audit et élaboré un plan d’action qui donne suite aux recommandations qui en découlent.

Annexe A – Réponse de la direction

Recommandation 1

Le dirigeant principal des finances devrait s’assurer que le Programme de surveillance continue des contrôles internes en matière de rapports financiers permet de définir les responsabilités des cadres supérieurs du Ministère (y compris les responsables des processus opérationnels) pour mettre en œuvre et maintenir un système axé sur les risques. Pour ce faire, l’équipe des contrôles financiers internes et les cadres supérieurs concernés (y compris les responsables des processus opérationnels) devraient tenir des discussions continues sur les risques et échanger des renseignements connexes.

Réponse de la direction

La direction est d’accord avec cette recommandation et mettra en œuvre des mesures correctives d’ici mars 2019.

Les rôles et responsabilités des cadres supérieurs du Ministère et des responsables des processus opérationnels quant à la mise en œuvre et au maintien d’un système efficace de contrôles internes en matière de rapports financiers (CIRF) axé sur les risques sont précisés dans le Programme de surveillance continue des CIRF.

L’équipe des contrôles financiers internes, la haute direction et les responsables des processus opérationnels collaboreront à ces fins :

  • mettre à jour l’analyse annuelle des risques;
  • obtenir par courriel les approbations par les DG des résultats finaux, pour chacun de leur domaine.

Recommandation 2

Le dirigeant principal des finances (DPF) devrait désigner les comités de supervision chargés de passer en revue les rapports sur l’efficacité du système des CIRF. Le DPF devrait également consulter les comités de supervision concernés pour déterminer le niveau de renseignements dont ils ont besoin en vue de s’acquitter de leurs rôles et responsabilités.

Réponse de la direction

La direction est d’accord avec cette recommandation et mettra en œuvre des mesures correctives d’ici février 2019.

Le Comité des services ministériels et des finances (CSMF) servira de comité de supervision pour examiner les rapports sur l’efficacité du système de CIRF.

Les renseignements présentés au CSMF comprendront les documents annuels suivants :

  • les résultats de la mise à jour de l’analyse des risques;
  • le plan de travail;
  • les résultats de la surveillance.

Détails de la page

Date de modification :