Audit de la surveillance du contrôle interne en matière de gestion financière

Santé Canada
Bureau de l'audit et de l'évaluation
Juin 2024

• Résumé
• Introduction
• Critère 1 – Gouvernance, politique, rôles et responsabilités
• Critère 2 – Approche de la surveillance du CIGF fondée sur les risques
• Critère 3 – Suivi des plans de mesures correctives des rapports de surveillance du CIGF
• Critère 4 – Le CIGF soutenu par la relation entre SC et l'ASPC
• Objectif 2
• Annexe A : À propos de l'audit

Résumé

Objectifs de la mission

Les objectifs de cet audit sont de déterminer :

• l'existence d'une surveillance efficace du système de contrôle interne en matière de gestion financière (CIGF) de Santé Canada (SC)
• la mesure dans laquelle le Bureau de l'audit et de l'évaluation (BAE) peut se fier à l'assurance sur les contrôles financiers fournis par les équipes des contrôles internes de SC, conformément aux principes du guide pratique de l'Institute of Internal Auditors de 2011 : Reliance by Internal Audit on other Assurance Providers.

Portée de la mission

L'audit a porté sur les éléments suivants :

• L'examen des aspects clés de la surveillance du CIGF au cours des exercices 2022-2023 et 2023-2024.
• Les processus et activités de gouvernance, de gestion des risques et de contrôle interne utilisés pour évaluer, surveiller et rendre compte du système de CIGF.

L'audit n'a pas évalué l'exactitude des états financiers de SC, l'efficacité conceptuelle et opérationnelle des contrôles individuels à l'échelle de l'entité, des contrôles généraux liés à la technologie de l'information, ni des contrôles des processus opérationnels.

Les résultats – Bonnes pratiques

SC a mis en place les éléments nécessaires à un cadre efficace pour la gestion du CIGF. La conception et la mise en œuvre des pratiques de surveillance du CIGF effectuées par l'Unité de contrôle interne (UCI) de SC sont conformes à la Politique de gestion financière du Conseil du Trésor (CT) qui attribue au Dirigeant principal des finances (DPF) la responsabilité d'établir, de surveiller et de maintenir un système de CIGF fondé sur les risques, y compris les rapports financiers, et de veiller à ce que l'on remédie rapidement à la situation lorsque des lacunes en matière de contrôle et des risques matériels importants n'ayant pas fait l'objet de mesures d'atténuation sont cernés, y compris tout risque de fraude, dans le système. Le système de CIGF fondé sur le risque de Santé Canada, en place depuis 2018-2019, s'appuie sur :

• Guide sur le contrôle interne en matière de gestion financière du Secrétariat du Conseil du Trésor (SCT);
• Guide de surveillance continue du contrôle interne en matière de gestion financière (SCT);
• Cadre sur le contrôle interne en matière de gestion financière de Santé Canada (intranet);
• Santé Canada - Norme sur la gestion du risque de fraude (intranet).

Depuis l'introduction d'un programme de surveillance fondée sur les risques, des améliorations ont été apportées à la normalisation et à la consignation de la surveillance du CIGF à SC, et l'équipe a atteint le niveau de maturité souhaité.

Nous avons constaté que la surveillance et la gouvernance qui entourent le CIGF étaient appropriées, formalisées et fonctionnaient comme prévu. En outre, les rôles et responsabilités en la matière étaient clairs et consignés de manière cohérente. Les évaluations initiales des risques, le plan de surveillance continue et les procédures opérationnelles d'évaluation ont été régulièrement réexaminés et mis à jour en fonction des besoins. Les résultats, les recommandations et les plans d'action de la direction qui découlent de chaque évaluation de processus ont été présentés et communiqués à la haute direction et au Comité ministériel d'audit (CMA) à intervalles réguliers au cours de l'exercice financier et du cycle de surveillance du CIGF.

Une approche structurée, guidée par les politiques du CT et de SC qui comprend un système d'évaluation, a été utilisée pour évaluer les risques du CIGF chaque année. Cette évaluation des risques s'est également appuyée sur d'autres éléments, notamment le travail effectué par l'UCI en coopération avec les responsables des processus opérationnels pour garantir l'exactitude de la documentation des processus et des contrôles intégraux. Nous avons trouvé des documents clairs sur les confirmations relatives à l'Énoncé de la responsabilité de la direction, notamment pour le contrôle interne des rapports financiers (CIRF), pour lesquels les cadres supérieurs, le DPF et l'administrateur général ont été informés du contexte et ont reçu du soutien et les renseignements appropriés.

Nous avons constaté qu'il y a des communications régulières entre les groupes de contrôle interne de SC et l'Agence de la santé publique du Canada (ASPC), et que SC applique une approche fondée sur le risque à la surveillance du CIGF de SC, y compris le CIRF qui s'applique aux transactions de l'ASPC. Une entente de partenariat régit la relation de services partagés entre SC et l'ASPC. En 2012, une entente de partenariat de services partagés a été établie entre l'ASPC et SC, qui a consolidé plusieurs fonctions communes, y compris les services financiers internes. Bien que l'ASPC et SC disposent tous deux de leur propre direction générale des finances, l'ASPC s'appuie sur certains processus menés par SC. Un comité a été établi dans le but de communiquer les priorités communes en matière d'opérations financières et d'approvisionnement liées à l'entente de partenariat, et à travailler en collaboration sur celles-ci. De plus, nous avons constaté que d'autres efforts avaient été déployés pour améliorer continuellement la fonction de surveillance du CIRF et pour accroître l'efficacité entre les équipes de SC et de l'ASPC dans la mesure du possible.

Introduction

La Politique de gestion financière du Conseil du Trésor (CT) (la Politique) est entrée en vigueur le 1^er avril 2017. Elle veille à ce que les ressources financières du gouvernement du Canada soient bien gérées quant à l'exécution des programmes offerts à la population canadienne et soient protégées grâce à des contrôles équilibrés qui permettent une certaine souplesse et une gestion des risques. La politique exige des ministères et des organismes du gouvernement du Canada qu'ils s'assurent qu'un système ministériel de CIGF fondé sur les risques est établi, surveillé et maintenu. La politique exige également que l'administrateur général et le DPF de SC signent une lettre de déclaration annuelle dans laquelle ils reconnaissent leurs responsabilités en ce qui concerne le maintien d'un système efficace de CIRF, y compris l'atténuation des risques pour la gestion prudente des fonds publics, la protection des actifs et la fiabilité des rapports.

Le CIGF est un ensemble de mesures et d'activités qui fournissent une assurance raisonnable de l'efficacité et de l'efficience des activités de gestion financière d'une organisation, et de la réalisation des objectifs de SC. Le CIRF, un sous-ensemble du CIGF, est un ensemble de mesures et d'activités qui permettent à la haute direction et aux utilisateurs d'états financiers d'avoir une assurance raisonnable de la précision et de l'intégralité des états financiers de l'organisation. Sans une surveillance adéquate du CIGF, la direction pourrait ne pas être en mesure de garantir une utilisation saine et prudente des fonds publics d'une manière efficace, efficiente et économique.

SC a commencé à mettre en œuvre un programme de surveillance fondée sur les risques pour le CIRF en 2013-2014 et, pour le CIGF en 2018-2019, ce programme a été réalisé principalement par une unité de contrôle interne. Le CT s'attendait à ce que les ministères et les organismes veillent à ce que tous les processus clés du CIGF aient atteint le stade de la surveillance continue d'ici le 31 mars 2024. Le BAE a effectué un audit du CIRF en 2017 et a entrepris l'audit des contrôles financiers clés – Opérations financières à SC en 2022, conformément au plan d'audit axé sur les risques de 2022 à 2024. Au cours de la phase de planification, le BAE a noté que l'UCI de SC était responsable de la surveillance de plusieurs domaines de contrôle principaux à SC qui appuient la surveillance du CIRF et du CIGF de l'ASPC. Le BAE a également reconnu la maturité accrue des équipes de contrôle interne de l'ASPC et de SC. À la suite de ces observations, le BAE a modifié l'approche de l'audit actuel pour se concentrer sur l'examen de la surveillance du CIGF à l'ASPC et à SC au moyen de deux audits distincts. En outre, au cours de cet audit, le BAE a été confronté à des contraintes de capacité qui ont contribué au retard de l'achèvement de l'audit.

Cet audit fournit une évaluation indépendante de l'efficacité du régime d'identification et de correction des problèmes qui concernent la surveillance fiable de la gestion financière et la production de rapports. Elle soutient la responsabilité du Comité ministériel d'audit (CMA) en matière de diligence raisonnable et de remise en question constructive des preuves et des plans d'action qui sous-tendent la certification dans l'annexe annuelle à la Déclaration de responsabilité de la direction. Le Bureau de première responsabilité pour cet audit était la Direction générale du dirigeant principal des finances.

Critère 1 – Gouvernance, politique, rôles et responsabilités

La surveillance du CIGF fait l'objet d'un contrôle formel et comprends des rôles et des responsabilités, des pouvoirs, une gouvernance clairement définis et la production régulière de rapports à la haute direction, à l'administrateur général et au Comité ministériel d'audit (CMA).

Contexte

Pour que SC puisse remplir sa mission qui consiste à aider les Canadiens et Canadiennes à maintenir et à améliorer leur santé, il est essentiel de disposer d'un système clair et efficace de contrôle et de production de rapports sur la surveillance des contrôles internes. La Politique de gestion financière du Conseil du Trésor définit les principales responsabilités de l'administrateur général, du DPF et cadres supérieurs du Ministère en ce qui concerne le CIGF, conformément à l'article 16.4 de la Loi sur la gestion des finances publiques. L'administrateur général est chargé de veiller à ce qu'un système de CIGF fondé sur le risque soit établi, surveillé et maintenu, et d'approuver la Déclaration annuelle de la responsabilité de la direction, y compris les CIRF, ainsi qu'un résumé de l'évaluation annuelle du système de CIRF. Les cadres supérieurs du Ministère et le DPF sont tenus de surveiller le rendement de la gestion financière. Le CMA est chargé d'utiliser une approche fondée sur les risques pour examiner et fournir des conseils sur les domaines de responsabilité des processus de gestion, de contrôle et de responsabilité du Ministère.

La Politique de gestion financière soutient précisément que la gouvernance et le contrôle de la gestion financière doivent être efficaces. La gestion du contrôle interne consiste en des structures de gouvernance et de responsabilité bien établies qui soutiennent l'évaluation et la surveillance des systèmes de contrôle interne. La production régulière de rapports internes sur les évaluations régulières des processus de CIGF, ainsi que sur les progrès réalisés depuis l'exercice financier précédent est requise, et un portrait de haut niveau de l'état général du processus d'évaluation complet devrait être fourni.

Résultats attendus

Nous nous attendions à ce que le cadre de gouvernance soutienne le contrôle, la responsabilité et la gestion de la surveillance du CIGF par SC. Ce cadre doit respecter les politiques, les directives et les pratiques pertinentes. Nous nous attendions également à ce que les rôles et les responsabilités soient clairement définis, consignés et communiqués, et qu'il existe des preuves d'un contrôle approprié, notamment au moyen de la production de rapports régulière et en temps opportun et d'une prise de décision éclairée.

Pourquoi ces résultats sont-ils importants;?

Les Canadiens et Canadiennes s'attendent à ce que les ressources financières de SC soient bien gérées et protégées par des contrôles internes, et que des rapports fiables, qui assurent la transparence et la responsabilité de la manière dont ces fonds publics sont dépensés, soient produits. Un cadre de gouvernance clair et coordonné est essentiel pour définir les obligations de rendre compte, les rôles et les responsabilités dans la gestion de la surveillance du CIGF. Un manque de clarté peut entraîner un manque d'efficacité, le chevauchement d'efforts et des erreurs non identifiées. Une surveillance efficace du CIGF est essentielle pour garantir que les risques liés à la gestion des ressources publiques sont gérés de manière adéquate.

Principales constatations

Nous avons constaté que la surveillance du CIGF à SC a été structurée et consignée de manière appropriée. Le système et le cadre fondés sur les risques pour la surveillance continue du CIGF sont fondés sur l'ensemble pertinent de politiques du CT et de SC et ont évolué pour inclure également des directives à l'appui. Les niveaux d'examen et d'approbation du cadre étaient conformes aux prévisions et à la Déclaration annuelle de la responsabilité de la direction concernant les états financiers de SC, y compris le CIRF.

Nous avons constaté que les évaluations des risques, le plan de surveillance continue et les procédures opérationnelles d'évaluation sont régulièrement revus et mis à jour. Nous avons aussi observé que les résultats de la surveillance du CIGF étaient régulièrement communiqués à de nombreux publics, mandatés ou non. Nous avons constaté que les nombreux rôles et responsabilités liés au CIGF étaient clairement consignés, cohérents et facilement accessibles à divers endroits, tels que les descriptions de poste, les politiques, les mandats des comités et le mandat du CMA.

Conclusion

Un cadre de gestion du contrôle interne a été établi et mis à jour au besoin, et les rôles et responsabilités liés au CIGF sont officiellement consignés, clairs et communiqués de façon appropriée. La surveillance du CIGF fait l'objet d'un contrôle, notamment par la production régulière de rapports à l'intention de la haute direction, de l'administrateur général et du CMA.

Critère 2 – Approche de la surveillance du CIGF fondée sur les risques

Les principaux contrôles internes sont évalués et réévalués périodiquement aux fins de surveillance au moyen d'une approche fondée sur les risques.

Contexte

Le maintien des contrôles internes efficaces est une mesure essentielle pour atténuer les risques financiers. Pour que les contrôles soient efficaces, elles doivent être régulièrement réévaluées et faire l'objet d'une surveillance appropriée. Les contrôles internes clés doivent d'abord être déterminés au moyen d'un processus de communication et de documentation rigoureux qui implique les propriétaires de chaque processus opérationnel. Le plan d'évaluation et de surveillance continue de ces contrôles doit être fondé sur les risques. Par conséquent, il est également nécessaire de connaître, en permanence, l'environnement et la propension de SC quant aux risques. Pour illustrer l'importance de fonder la surveillance du CIGF sur les risques, il convient de noter que l'objectif de la Politique de gestion financière est de veiller à ce que les ressources financières soient bien gérées et protégées grâce à des contrôles équilibrés qui permettent la flexibilité et la gestion des risques.

Résultats attendus

Nous nous attendions à ce que les processus d'évaluation des risques soient consignés, établis et surveillés de manière cohérente afin de permettre au Ministère de cerner, d'évaluer, de hiérarchiser et d'atténuer les risques liés au CIGF. Nous nous attendions à trouver des preuves de l'existence d'une approche approfondie et structurée de consignation des processus opérationnels et de détermination des contrôles, de la réalisation et de la consignation des évaluations, ainsi que de l'évaluation des risques liés au CIGF. Les cotes de risque doivent être utilisées pour éclairer les évaluations des processus opérationnels et le plan de surveillance. Nous nous attendions à ce que la tolérance au risque de la haute direction soit également prise en compte dans l'élaboration des processus et des priorités de l'UCI.

Pourquoi ces résultats sont-ils importants;?

Des processus structurés de planification stratégique et de gestion des risques réduisent la probabilité que les principaux risques stratégiques et opérationnels ne soient pas cernés ou atténués. L'évaluation et la surveillance régulière du CIGF sont essentielles à la bonne gestion financière d'une entité. L'identification et la hiérarchisation des domaines où les risques sont les plus importants améliorent la capacité du Ministère à optimiser l'utilisation des ressources et, en fin de compte, à réduire l'incidence des risques et la probabilité que des risques importants ne soient pas atténués, ce qui protège le Ministère contre le non-respect des exigences de son mandat et de ses obligations de gestion à l'égard de la population canadienne.

Principales constatations

Nous avons constaté qu'une compréhension détaillée et actualisée des processus opérationnels était recherchée de façon active et méthodique, et consignée de façon formelle et systématique. Ce processus se déroule selon un calendrier précis et commence avec l'UCI et les responsables des processus opérationnels, puis se poursuit pour inclure la contribution et l'approbation éventuelle de la haute direction. Ces documents servent de base pour déterminer les contrôles clés et contribuent au processus d'évaluation des risques. Le processus d'évaluation des risques est guidé par les politiques, le cadre et le plan du CT et de SC, et il est mené chaque année. Une approche structurée, qui comprend un système d'évaluation, est utilisée pour évaluer les risques liés au CIGF.

Nous avons constaté que, pour les processus d'établissement des coûts et des états financiers et de production de rapports, leurs activités, leurs contrôles, leurs séquences et d'autres caractéristiques étaient adéquatement consignés et bien organisés. Les preuves à l'appui ont été conservées de façon structurée; elles comprennent les communications et la validation régulières avec le responsable des processus opérationnels. Les risques de fraude ont été explicitement pris en compte. Comme prévu, les documents de travail de l'UCI et les preuves à l'appui étaient clairs et suffisants, et la conception et l'efficacité opérationnelle de chaque mesure de contrôle clés ont été évaluées. Nous avons constaté qu'un processus d'examen de supervision actif et adéquat est en place au sein de l'UCI.

Conclusion

L'UCI procède à des évaluations continues de la conception et de l'efficacité opérationnelle fondées sur les risques, et ce, pour tous les processus opérationnels. Il maintient une communication active avec le responsable du processus opérationnel, comme l'exige le Plan de surveillance continue. De plus, SC a établi des examens des contrôles pour la surveillance du CIGF.

Critère 3 – Suivi des plans de mesures correctives des rapports de surveillance du CIGF

La gestion du contrôle interne garantit que les mesures correctives recommandées à la suite de l'évaluation des contrôles internes sont prises si nécessaire.

Contexte

Le Dirigeant principal des finances (DPF) de SC est chargé de veiller à ce que des mesures correctives soient prises rapidement lorsque des faiblesses de contrôle et des risques matériels non atténués sont décelés, et la haute direction est responsable d'aviser le DPF de ces faiblesses. Un système efficace de gestion du contrôle interne garantit que le processus de surveillance continue cerne et signale les faiblesses de contrôle et que les mesures correctives nécessaires sont prises.

Résultats attendus

Nous nous attendions à trouver des éléments qui indiquent que les responsables des processus opérationnels valident et préparent des plans de mesures correctives et que ces plans de mesures, ainsi que les résultats de l'évaluation, sont communiqués à la haute direction, au DPF, à l'administrateur général et au CMA. L'état d'avancement des plans de mesures devrait également être communiqué, et les mesures correctives devraient être mises en œuvre en temps opportun et confirmées. Nous nous attendions à ce que la Déclaration annuelle de la responsabilité ait été communiquée aux personnes concernées et signée par celles-ci.

Pourquoi ces résultats sont-ils importants?

Un système de CIGF efficace est essentiel pour gérer et atteindre les objectifs de l'organisation, réduire le risque d'erreur et de fraude et renforcer la confiance du public. Les contrôles internes sont essentiels pour garantir que les risques liés à la gestion des ressources publiques sont gérés de manière adéquate. Par conséquent, le défaut de prendre les mesures correctives nécessaires en temps opportun pour corriger les constatations relevées dans une évaluation du contrôle interne pourrait mener à des erreurs importantes.

Principales constatations

Nous avons constaté que, pour les processus d'établissement des coûts et des états financiers et de production de rapports, les résultats de l'évaluation ont été communiqués de façon claire, et présentés de façon officielle aux responsables des processus opérationnels, puis à la haute direction, au DPF, à l'administrateur général et au CMA.

Nous avons constaté que la seule recommandation faite à la suite de l'évaluation de l'établissement des coûts avait été communiquée de façon appropriée au responsable des processus opérationnels, et qu'un plan de mesures correctives avait été élaboré et validé. La recommandation et le plan d'action, y compris les échéances, ont été présentés à la haute direction, au DPF, à l'administrateur général et au CMA. De plus, nous avons observé des preuves que le suivi du plan d'action était fait et que les progrès accomplis en vue de réaliser le plan d'action étaient communiqués régulièrement. Pour ce qui est du processus des états financiers et de la production de rapports financiers, de multiples recommandations ont été formulées et les mêmes procédures que celles mentionnées ci-haut ont été observées.

Nous avons constaté que la Déclaration annuelle de la responsabilité, notamment pour les CIRF, était fournie et expliquée à la haute direction, au DPF, à l'administrateur général et au CMA à des fins d'information. Des documents clairs qui contiennent des confirmations et des signatures ont été obtenus.

Conclusion

Les résultats de l'évaluation sont validés avec les responsables des processus opérationnels et communiqués à la haute direction, et la direction s'assure que les mesures correctives qui découlent de l'évaluation des contrôles internes sont prises au besoin.

Critère 4 – Le CIGF soutenu par la relation entre SC et l'ASPC

SC soutient la surveillance du CIGF de l'ASPC par le biais d'un partenariat efficace et clair, conformément aux directives du SCT.

Contexte

SC fournit des services à l'ASPC dans le cadre d'une entente de partenariat de services partagés. Les services fournis à l'ASPC pour le CIRF comprennent les ressources humaines, la gestion financière et la gestion du matériel. SC communique les résultats des examens et les résultats de suivi connexes avec l'ASPC sur les contrôles clés du CIRF de SC qui s'appliquent à l'ASPC. L'équipe des contrôles internes de l'ASPC est responsable de l'évaluation des autres contrôles de l'ASPC, ce qui lui permet d'obtenir une vue d'ensemble de ses propres processus de CIRF et CIGF et de faire rapport à la direction de l'ASPC et aux instances de gouvernance.

Résultats attendus

Nous nous attendions à ce que les services de surveillance du CIRF fournis à l'ASPC par SC soient appropriés et conformes à l'Entente de partenariat de services partagés. SC et l'ASPC devraient communiquer les renseignements de manière adéquate pour soutenir le succès de la surveillance du CIGF et collaborer pour améliorer et normaliser la fonction de gestion financière.

Pourquoi ces résultats sont-ils importants;?

Une communication optimale entre les différentes parties prenantes et la participation à des comités communs favorisent une diffusion efficace des renseignements, une collaboration, une coordination et une prise de décision éclairée. SC est ainsi mieux à même d'utiliser ses ressources de la manière la plus efficace possible et de tirer parti des innovations externes. Cela appuie les valeurs fondamentales de SC et gère les ressources confiées de façon responsable et judicieuse.

Principales constatations

Nous avons constaté que SC applique une approche fondée sur le risque pour la surveillance du CIGF de SC, y compris le CIRF qui s'applique aux transactions de l'ASPC. Des communications régulières ont lieu entre les groupes de contrôle interne de SC et de l'ASPC, et le partenariat fonctionne conformément aux directives du SCT. Il existe une entente de partenariat consignée qui régit la relation de services partagés entre SC et l'ASPC. Celle-ci est étayée par un catalogue qui détaille les normes de surveillance du CIRF. Nous avons constaté que des efforts avaient été déployés au nom de SC et de l'ASPC pour améliorer continuellement les fonctions de gestion financière, et que les groupes collaboraient pour accroître l'efficacité dans la mesure du possible.

Conclusion

SC et l'ASPC collaborent pour améliorer la surveillance du CIGF et éviter le chevauchement d'efforts possible. SC effectue les mêmes examens de CIRF pour SC que pour l'ASPC, que la transaction soit réalisée par SC ou l'ASPC, et fournit les résultats de ces examens à l'ASPC.

Objectif 2

Déterminer la mesure dans laquelle le BAE peut se fier à l'assurance sur les contrôles financiers fournie par l'UCI de SC, conformément aux principes du guide pratique de l'Institute of Internal Auditors (IIA) de 2011 : « Reliance by Internal Audit on other Assurance Providers ».

Contexte

Au cours de la phase de planification de cet audit, un deuxième objectif a été ajouté. Il vise à déterminer la mesure dans laquelle le BAE pourrait se fier à l'assurance sur les contrôles financiers fournie par l'UCI de SC, fondée sur les principes du guide pratique de l'IIA de 2011 : « Reliance by Internal Audit on other Assurance Providers ».

Résultats attendus

Nous nous attendions à constater que la surveillance du CIGF était suffisamment évoluée et bien établie pour permettre à l'équipe d'audit de la mesurer par rapport au guide pratique de 2011 de l'IIA : « Reliance by Internal Audit on Other Assurance Providers », et déterminer dans quelle mesure le BAE pourrait se fier à l'assurance des contrôles financiers fournie par l'UCI de SC.

Pourquoi ces résultats sont-ils importants;?

Il est important d'assurer une couverture adéquate et d'éviter le chevauchement d'efforts lors de la réalisation des tâches d'assurance au sein de SC pour respecter les normes de l'IIA de 2017, en particulier la norme 2050 – Coordination et utilisation d'autres travaux : « Afin d'assurer une couverture adéquate et d'éviter le dédoublement des efforts, le dirigeant principal de l'audit devrait communiquer les renseignements, coordonner les activités, et envisager d'utiliser les travaux des autres prestataires internes et externes d'assurance et de conseil. » Le BAE est ainsi mieux à même d'utiliser ses ressources de la manière la plus efficace possible et de tirer parti du travail d'autres fournisseurs d'assurance. Cette démarche appuie les valeurs fondamentales du BAE au moyen de la gestion responsable et judicieuse des ressources qui lui sont confiées.

Principales constatations

Nous avons constaté que l'UCI de SC a mis en œuvre les mesures suivantes :

• a clairement défini son objectif et son engagement à fournir une assurance quant à la surveillance du CIGF;
• dispose d'un degré d'indépendance et d'objectivité suffisant pour mener à bien ses tâches;
• a veillé à ce que l'unité soit compétente dans l'exercice de ses activités et de ses processus;
• a mis en place des politiques et des procédures qu'elle respecte;
• communique les résultats et veille à ce que des mesures soient prises en temps opportun pour donner suite à toute recommandation.

Conclusion

Selon le travail effectué et décrit ci-dessus, nous avons conclu que le BAE peut se fier à l'assurance sur les contrôles financiers fournie par l'UCI de SC, conformément aux principes du guide pratique de l'IIA de 2011 : « Reliance by Internal Audit on other Assurance Providers ». Cela signifie que lorsque le BAE effectue un travail d'audit dans un domaine pertinent qui implique directement ou indirectement le CIGF, le responsable de l'audit peut s'appuyer sur le travail de l'UCI effectué au cours de la période de l'audit.

Annexe A : À propos de l'audit

1. Objectif de l'audit

L'objectif de l'audit était de déterminer :

• l'existence d'une surveillance efficace du système de contrôle interne en matière de gestion financière (CIGF) de Santé Canada (SC);
• la mesure dans laquelle le Bureau de l'audit et de l'évaluation (BAE) peut se fier à l'assurance sur les contrôles financiers fournie par les équipes des contrôles internes de SC, conformément aux principes du guide pratique de l'Institute of Internal Auditors de 2011 : « Reliance by Internal Audit on other Assurance Providers ».

2. Portée de l'audit

La portée de l'audit comprenait L'examen des aspects clés de la surveillance du CIGF au cours des exercices financiers 2022-2023 et 2023-2024. L'audit a porté sur les processus et activités de gouvernance, de gestion des risques et de contrôle interne utilisés pour évaluer, surveiller et rendre compte du système de CIGF. Toutefois, l'audit n'a pas évalué l'exactitude des états financiers du Ministère, l'efficacité conceptuelle et opérationnelle des contrôles individuels à l'échelle de l'entité, des contrôles généraux pour la technologie de l'information, ni des contrôles des processus opérationnels.

3. Approche de l'audit

L'audit s'est déroulé conformément à la Politique sur l'audit interne du gouvernement du Canada, qui exige l'examen d'éléments de preuve suffisants et pertinents ainsi que la collecte de données et d'explications suffisantes pour offrir un niveau raisonnable d'assurance à l'appui de sa conclusion. L'approche retenue comprenait :

• des entrevues avec des fonctionnaires clés ayant des responsabilités liées au CIGF;
• l'examen des documents, des politiques, des normes, des lignes directrices et des cadres relatifs au CIGF, ainsi que des revues générales.

3. Énoncé de conformité

Cet audit a été mené conformément aux Normes internationales pour la pratique professionnelle de l'audit interne de 2017, comme en font foi les résultats du Programme d'assurance et d'amélioration de la qualité du BAE.

4. Critères d'audit

• La surveillance du CIGF fait l'objet d'un contrôle formel et comprend des rôles et des responsabilités, des pouvoirs, une gouvernance clairement définis et la production régulière de rapports à la haute direction, à l'administrateur général et au Comité ministériel d'audit.
• Les principaux contrôles sont évalués et réévalués périodiquement aux fins de surveillance au moyen d'une approche fondée sur les risques.
• La gestion du contrôle interne garantit que les mesures correctives recommandées à la suite de l'évaluation des contrôles internes sont prises si nécessaire.
• Santé Canada soutient la surveillance du CIGF de l'ASPC par le biais d'un partenariat efficace et clair, conformément aux directives du Secrétariat du Conseil du Trésor.