Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Audit des contrôles internes en matière de rapports financiers à l’Agence de la santé publique du Canada

Télécharger le format de rechange
(format PDF, 636ko, 26 pages)

Organization : Agence de la Santé Publique du Canada

Date publiée : 2017-09-25

Juin 2017

Table des matières

Version traduite. En cas de divergence entre le présent texte et le texte anglais, la version anglaise a préséance.

Sommaire

La Politique sur le contrôle interne (PCI) du Conseil du Trésor, qui est entrée en vigueur en 2009, prévoit que les sous-ministres, en tant qu'administrateurs des comptes désignés de leurs organisations en vertu de la Loi sur la gestion des finances publiques, doivent s'assurer de la mise en place et du maintien d'un système de contrôle interne en matière de gestion financière, y compris des rapports financiers et comptes ministériels.

Afin de respecter les exigences de la PCI et d'améliorer la qualité de la gestion financière et de la reddition de comptes, l'Agence de la santé publique du Canada (ASPC) a mis en place un cadre de contrôle interne en matière de rapports financiers (CIRF) qui comprenait la « mise en œuvre » initiale du système du CIRF et une stratégie de surveillance fondée sur les risques de l'ASPC à titre de surveillance continue. L'étape de mise en place du CIRF terminée, l'ASPC est maintenant à l'étape de surveillance du cycle.

Il convient de souligner qu'au 1er avril 2017 (à la suite du quasi-achèvement de la phase de mise en œuvre du présent audit), les exigences de la PIC ont été intégrées à la nouvelle  Politique sur la gestion financière du Conseil du Trésor. On a tenu compte dans le présent rapport des exigences de la nouvelle Politique sur la gestion financière.

Le présent audit avait pour objectif d'évaluer l'efficacité de la mise en œuvre et de l'exploitation continue du cadre de contrôle de la gestion du CIRF établi par le Bureau du dirigeant principal des finances (BDPF).

La portée de l'audit était fondée sur les risques et comprenait l'examen des aspects clés du système du CIRF au cours des années financières 2015-2016 et 2016-2017. L'audit portait sur la gouvernance, la gestion des risques et les contrôles internes de même que sur les processus liés à la conception, à la mise à l'essai et à la surveillance du CIRF.

À la lumière des entrevues, de l'examen de la documentation et de la réexécution des procédures d'essai choisies, des éléments probants suffisants et appropriés ont été obtenus à la conclusion de l'audit. Dans le cadre de l'audit, il a été conclu qu'un cadre de contrôle de la gestion adéquat est en place, notamment la gouvernance, les processus de gestion des risques et les contrôles internes connexes nécessaires à la mise en œuvre et au soutien continu d'un système efficace du CIRF. L'audit a permis de constater tout particulièrement ce qui suit :

  • les rôles et les responsabilités du CIRF sont définis et documentés dans les documents connexes au cadre et à la stratégie de surveillance, à l'appui d'une gouvernance efficace;
  • les résultats des évaluations du CIRF sont présentés par le DPF au Comité ministériel de vérification (CMV) à l'appui de la surveillance;
  • un processus fondé sur les risques a été entrepris pour définir et documenter la conception du système du CIRF et une stratégie de surveillance fondée sur les risques est en place, assurant une base solide pour une surveillance continue;
  • des stratégies et méthodologies de mise à l'essai ont été établies pour l'évaluation périodique du système de contrôles;
  • il existe un cadre pour la reddition de comptes et le suivi des lacunes qui ont été cernées sur le plan des contrôles.

L'audit a également permis de cerner des possibilités d'améliorations à apporter au système du CIRF et de formuler les recommandations suivantes :

  1. Il est recommandé que le DPF s'assure que le cadre du CIRF devrait être mis à jour pour comprendre et mieux décrire les rôles et responsabilités propres au CIRF et à la DCI en vertu du PSP, notamment la participation adéquate du BDPF dans l'élaboration des stratégies et des procédures d'essais et de surveillance, procédures et officialisation des exigences en matière de rapport.
  2. Il est recommandé que le DPF, de concert avec les responsables des procédés administratifs, s'assure que :
    1. les matrices de risque et de contrôle des processus et sous-processus opérationnels comprennent la documentation et le classement des risques particuliers à l'égard des états financiers;
    2. les processus opérationnels et les matrices de risque et de contrôle connexes sont officiellement validés chaque année par les responsables des procédés.
  3. Il est recommandé que le DPF examine les stratégies et les méthodologies d'essai du CIRF et s'assure qu'au besoin :
    1. les méthodologies d'essai sont harmonisées avec l'objectif des essais et tirent profit et document la dépendance sur les fonctionnalités du système existant et contrôles correctifs;
    2. il existe un processus documenté pour l'assurance de la qualité des activités d'essai.

La direction accepte les recommandations du présent rapport et a présenté un plan d'action portant sur les recommandations convenues visant à renforcer le cadre de contrôle de gestion soutenant les contrôles internes en matière de rapports financiers.

A - Introduction

1. Contexte

Des rapports financiers fiables soutiennent la prise de décision, l'élaboration de politiques et la prestation de programmes et de services. Ils permettent également de s'assurer que les fonds publics sont dépensés en vue d'obtenir des résultats pour les Canadiens et ce, de façon transparente et responsable. 

Politique du Conseil du Trésor

En 2009, le Conseil du Trésor a adopté la Politique sur le contrôle interne (PCI), en vertu de laquelle les ministères doivent assurer la mise en place, le maintien, la surveillance et l'examen du système ministériel de contrôle interne en vue d'atténuer les risques et de fournir des assurances raisonnables dans les grandes catégories suivantesFootnote 1 :

  • l'efficacité et l'efficience des programmes, des opérations et de la gestion des ressources, y compris la protection des actifs;
  • la fiabilité des rapports financiers;
  • la conformité aux lois, aux règlements, aux politiques et aux pouvoirs délégués.

La PCI souligne l'importance du contrôle interne en matière de rapports financiers (CIRF) en demandant aux administrateurs généraux et aux dirigeants principaux des finances (DPF) de signer annuellement la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers du ministère (la Déclaration). Cette déclaration reconnaît la responsabilité de la direction d'assurer le maintien d'un système efficace de contrôle interne pour garantir la fiabilité des rapports financiers, la protection des actifs de même que s'assurer que les opérations financières sont dûment autorisées et consignées. Depuis 2012, en plus de la Déclaration, les ministères doivent inclure une annexe résumant les résultats de l'évaluation annuelle sur l'efficacité du système des contrôles internes, et un plan d'action qui décrit la mise en œuvre des améliorations pour l'exercice prochain et les années financières subséquentes.

Le PIC définit explicitement le CIRF comme faisant partie d'un plus grand cadre de contrôles internes et stipule que le CIRF aide à s'assurer que :

  • des dossiers reflétant fidèlement toutes les opérations financières sont tenus;
  • l'inscription des opérations financières permet la préparation de renseignements, de rapports et d'états financiers internes et externes conformément aux politiques, aux directives et aux normes;
  • les revenus sont reçus et les dépenses sont effectuées conformément aux pouvoirs délégués, et que les opérations non autorisées qui pourraient avoir des répercussions importantes sur l'information financière et les états financiers sont empêchées ou repérées en temps opportun;
  • les ressources financières sont protégées contre les pertes importantes découlant de gaspillage, d'abus, d'une mauvaise gestion, de fraudes, d'omissions et d'autres irrégularités.

Pour satisfaire aux attentes du PIC et respecter la signature de la Déclaration,  les ministères doivent mener une évaluation annuelle fondée sur les risques du système de contrôle interne en matière de rapports financiers en vue de déterminer son efficacité continue. Ils doivent également établir des plans d'action qui ont été préparés pour corriger les problèmes importants qui ont été cernés à la suite de l'évaluation annuelle, et présenter un rapport à cet égard.

Il convient de souligner qu'au 1er avril 2017 (à la suite du quasi-achèvement de la phase de mise en œuvre du présent audit), les exigences de la PIC ont été intégrées à la nouvelle  Politique sur la gestion financière du Conseil du Trésor. On a tenu compte dans le présent rapport des exigences de la nouvelle Politique sur la gestion financière.

Parmi les éléments essentiels pour l'établissement et le maintien d'un système efficace du CIRF, notons : la portée des comptes des états financiers et des processus opérationnels; les essais de l'efficacité de la conception; les essais de l'efficacité opérationnelle; la surveillance continue (voir l'Annexe C). Un système efficace du CIRF comprend des contrôles internes classés ainsi :

  • les contrôles au niveau de l'entité (CNE : contrôles de haut niveau applicables à l'environnement opérationnel général de l'organisation, p. ex. le ton donné par la direction, l'engagement à l'égard de la compétence et l'engagement à l'égard de l'intégrité et de l'éthique;
  • les contrôles généraux liés à la technologie de l'information (CGTI) : contrôles qui touchent les systèmes liés à la technologie de l'information de l'organisation, p. ex. l'accès aux programmes et aux données, la modification des programmes;
  • les contrôles au niveau des processus opérationnels (CNP) : contrôles liés à des processus opérationnels précis comme les subventions et les contributions, l'approvisionnement et les comptes créditeurs. La responsabilité en matière d'efficacité de ces contrôles peut relever de la haute direction des bureaux ne touchant pas aux finances.

Agence de la santé publique du Canada

Depuis 2012, conformément à la PIC, l'ASPC a produit des états financiers accompagnés de la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers et l'annexe connexe. L'ASPC a également pris les dispositions nécessaires pour mettre en place les autres exigences de la PIC. Le Bureau du dirigeant principal des finances (BDPF) a établi un cadre en 2013, qui stipule les responsabilités pour le contrôle interne, notamment les contrôles internes en matière de rapports financiers. La portée des processus soutenant les comptes des états financiers et les activités de contrôle connexes a été entreprise et les essais connexes ont été terminés en 2015-2016; le cycle établi pour la surveillance et les essais continus a commencé en 2016-2017. L'audit a eu lieu en temps opportun, ce qui a permis de fournir une assurance et des conseils impartiaux sur l'efficacité de la mise en œuvre et du soutien continu du CIRF au moment de cette transition cruciale de la mise en œuvre à la surveillance continue.

L'ASPC travaille avec Santé Canada dans un environnement de services partagés. Cela signifie que la responsabilité du CIRF relève de la haute direction de l'ASPC; cependant, la responsabilité des principaux processus opérationnels cernés et des mises à l'essai connexes est divisée entre l'ASPC et Santé Canada (voir l'Annexe D) en vertu de l'entente de PSP de services partagés. Tout particulièrement, la responsabilité de la mise en place, du maintien, du suivi et de l'examen du système de contrôle interne de l'ASPC est divisée entre la Division de la gestion et de l'analyse des ressources (DGAR), le BDPF au sein de l'ASPC et la Division du contrôle interne (DCI) de Santé Canada (voir l'Annexe E). 

2. Objectif de l'audit

L'audit avait pour objectif d'évaluer l'efficacité de la mise en œuvre et des activités continues du cadre de contrôle de gestion du CIRF établi par le BDPF.

3. Portée de l'audit

L'audit a permis d'évaluer le cadre et les processus connexes en place à l'ASPC au cours des années financières 2015-2016 et 2016-2017 dans le but d'assurer un suivi de l'efficacité du système du CIRF et de produire des rapports à cet égard.  

Voici les éléments clés et les processus connexes compris dans le cadre de l'évaluation :

  • la structure de gouvernance en place soutient le CIRF, notamment les mécanismes de reddition de comptes, de responsabilité et de surveillance;
  • les évaluations des risques et la conception des contrôles internes connexes du CIRF avec une attention particulière accordée aux processus administratifs clés;
  • les approches mises en œuvre pour mener des essais sur le contrôle et la surveillance continue (stratégies et méthodologies);
  • faire des rapports et surveiller les lacunes qui ont été cernées et les plans d'action de gestion connexes.

L'audit ne fournit pas d'avis sur l'exactitude des équilibres signalés dans les états financiers de l'ASPC.

4. Approche de l'audit

Au cours de la phase de planification de l'audit, un examen de la documentation pertinente a été entrepris pour obtenir une meilleure compréhension du contexte actuel du CIRF à l'ASPC et sert de base pour les travaux d'audit à mener. La documentation qui a été examinée comprenait entre autres des évaluations et des rapports antérieurs d'audit au sein de l'ASPC, de Santé Canada et d'autres ministères; la Politique sur le contrôle interne du Conseil du Trésor et des documents d'orientation; et les rapports et les présentations de l'ASPC concernant les activités de surveillance récemment entreprises. Une évaluation des risques fondée sur les connaissances acquises a été entreprise et les critères appropriés ont été élaborés pour respecter l'objectif d'audit.

Dans le cadre de l'entente de services partagés, l'ASPC et Santé Canada partagent les responsabilités de surveillance des contrôles internes en matière de rapports financiers (CIRF) ayant une incidence sur les états financiers de l'ASPC. Ainsi, la portée de la phase du déroulement de la vérification comprend les processus suivis par les deux organisations. Les activités de la phase du déroulement comprennent l'examen et l'analyse des rapports et de la documentation liés au CIRF; des entrevues auprès des principaux intervenants; l'examen des activités d'évaluation, de mise à l'essai et de surveillance; et la reprise d'un échantillon des vérifications des contrôles entreprises par l'ASPC et Santé Canada.

Les champs d'enquête et critères particuliers sont présentés à l'Annexe A.

5. Énoncé de conformité

Selon le jugement professionnel du dirigeant principal de l'audit, les procédures ont été effectuées et des preuves ont été recueillies de façon suffisante et appropriée afin d'assurer l'exactitude de la conclusion de l'audit. Les résultats et la conclusion de l'audit sont fondés sur une comparaison des conditions qui existaient au moment de l'audit avec les critères de vérification convenus avec la direction. De plus, les renseignements probants ont été réunis conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de la vérification interne. L'audit respecte les Normes relatives à l'audit interne au sein du gouvernement du Canada, comme viennent l'appuyer les résultats du programme d'amélioration et d'assurance de la qualité.

B - Conclusions, recommandations et réponses de la direction

Le présent chapitre présente les principales conclusions de l'audit et les recommandations connexes pour chaque critère d'audit.  Un sommaire des conclusions pour tous les critères est présenté à l'Annexe B.

1. Gouvernance

1.1 Gouvernance

Critère d'audit :

L'ASPC a établi un processus de gouvernance efficace pour assurer le suivi de la mise en œuvre et de la surveillance d'un système de contrôle interne efficace en matière de rapports financiers (CIRF).

Observations :

Dans le cadre de l'audit, on s'attendait à ce que les obligations et responsabilités du  CIRF soient clairement définies, documentées et adéquatement communiquées aux intervenants clés. On s'attendait également à ce qu'il y ait un processus efficace en place pour la surveillance du système du CIRF et des activités de contrôle connexes.

Organismes de surveillance :

Les organismes de surveillance exigent des rapports réguliers afin de se tenir au courant des activités de surveillance du CIRF et de les appuyer en exerçant leurs responsabilités liées au CIRF. Respectant les exigences décrites dans la Politique sur le contrôle interne (PIC) du SCT et le cadre du CIRF, les principaux organismes de surveillance pour le CIRF sont le Comité ministériel de vérification (CMV) et les comités de haute direction.

Les deux comités de haute direction pris en compte dans le présent audit étaient : le Comité exécutif de l'ASPC (CE-ASPC), le Comité de cogestion des opérations financières du Comité exécutif du partenariat (CEP). Le CE-ASPC est présidé par le président et les membres comprennent l'administrateur en chef de la santé publique, les SMA et les chefs de direction et le DPF entre autres. Les membres du comité se rencontrent toutes les semaines pour discuter des questions horizontales d'une orientation stratégique, et les questions qui ont une incidence pour le ministre, entre autres. Le Comité de cogestion des opérations financières du CEP n'a aucun mandat officiel. Il est composé entre autres de DPF du Ministère et de l'ASPC, et les réunions ont lieu au besoin.

Il a été observé que les rapports annuels à l'intention du CMV ont eu lieu, sous la forme d'une présentation sommaire de haut niveau comprenant les résultats des évaluations; l'état des activités de mise à l'essai par rapport au plan; et les plans d'action pour corriger les lacunes.

Par le passé, en plus de l'information fournie au DPF, le CMV a pu être informé moyennant les résultats des audits annuels des contrôles financiers clés menés par le Bureau de l'audit et de l'évaluation (BAE). Le BAE ne prévoit pas poursuivre ces audits de façon régulière. Compte tenu que le CMV a récemment ajouté deux nouveaux membres, il pourrait être avantageux pour le DPF de consulter les membres du CMV et de s'assurer que la fréquence et la nature des comptes rendus de haut niveau actuellement fournis au CMV répondent aux exigences relatives à l'information en vertu du CIRF.

L'examen des procès-verbaux du CE-ASPC et des ordres du jour des réunions du Comité de cogestion des opérations financières du CEP a permis d'établir que le CIRF n'a pas fait l'objet d'un point à l'ordre du jour ou d'un sujet de discussion.

La définition et la formulation des exigences en matière de rapport et d'information liées au CIRF pour les comités de la haute direction permettraient d'améliorer le suivi au sein du cadre de gouvernance et de mieux soutenir ces organismes de surveillance lorsqu'ils doivent prendre des décisions concernant la mise en œuvre et le suivi des activités du CIRF.

Cadre de gouvernance du CIRF :

Un document cadre, le cadre de contrôle interne en matière de rapports financiers (le cadre), a été établi et approuvé par le président et le DPF en novembre 2013. Les objectifs du cadre comprennent : le maintien d'un système efficace axé sur les risques du contrôle interne, notamment le CIR, pour gérer les risques concernant la bonne gestion des ressources publiques; la communication et la bonne compréhension des rôles et responsabilités liés aux contrôles internes. Le cadre donne un aperçu du CIRF dans le contexte de la Politique sur le contrôle interne (PIC) et définit, de façon générale, les obligations et les responsabilités liées au CIRF des personnes clés, notamment le président, le DPF, le dirigeant principal de la vérification (DPV), les membres du CMV et la haute direction de l'ASPC.

L'audit a permis de cerner des domaines où il est possible d'apporter des améliorations au cadre et à sa structure de gouvernance sous-jacente :

Ainsi, il est possible de donner des précisions quant au cadre pour aider à obtenir une meilleure distinction entre le système de contrôle interne général comme il est décrit dans la PIC et le système du CIRF. Les objectifs du cadre sont généraux et comprennent le système de contrôle en général, y compris le CIRF. Définir l'objectif en termes généraux pourrait donner lieu à une conception inefficace des activités de mise à l'essai ou à l'atteinte d'une conclusion incorrecte, en raison des résultats des essais d'un plus grand ensemble des contrôles plutôt que ceux qui sont propres au CIRF.

Le cadre ne présente pas les éléments clés (comme les évaluations de risques, les stratégies et les méthodologies d'échantillonnage, les mécanismes de surveillance et de reddition de comptes, et les rôles et responsabilités du CIRF) avec suffisamment de détails, notamment les rôles et responsabilités en vertu du Partenariat de services partagés (PSP). Cependant, l'audit nous a permis de constater qu'un document distinct, la Stratégie de surveillance fondée sur les risques pour répondre aux exigences de la PIC de l'ASPC, a été rédigé. Ce document décrit les rôles et responsabilités du CIRF de façon plus détaillée et porte sur les éléments clés, notamment les évaluations des risques, les approches pour les essais continus et les processus de surveillance et de présentation de rapports. Par ailleurs, bien que le document de stratégie de surveillance fondée sur les risques de l'ASPC soit plus détaillé sur le plan de la description des rôles et des responsabilités, il ne définit pas adéquatement le niveau de participation de l'ASPC ou ses observations à l'égard du processus d'essais et de rapports en vertu du PSP qui porte sur les processus et contrôles touchant l'ASPC. Des entrevues ont révélé que le Comité de cogestion des opérations financières du CEP sert de tribune où les enjeux ayant une incidence sur le PSP et le CIRF peuvent être abordés. Cependant, les entrevues ont également permis d'établir que de telles discussions au sein du comité ont été sporadiques ou de haut niveau. Par ailleurs, il a établi que l'interaction au niveau opérationnel, entre le Bureau du dirigeant principal des finances (BDPF) et la Division du contrôle interne (DCI) de Santé Canada (SC) est également limitée et se fait essentiellement de façon informelle et habituellement au moment de la présentation du rapport au CMV.

Enfin, il n'existait aucune preuve de communication adéquate entre le cadre et le document de stratégie avec les parties appropriées auxquelles on avait attribué des responsabilités liées au CIRF.

Définir et communiquer les responsabilités et les processus connexes portant sur les activités du CIRF en vertu du PSP permettrait d'atténuer le risque selon lequel des contrôles précis de l'ASPC pourraient ne pas être surveillés et mis à l'essai de façon adéquate ou que des résultats de suivi pourraient ne pas être adéquatement communiqués à la direction et au personnel de l'ASPC, ou tenus compte par ces derniers.

Recommandation 1

Il est recommandé que le DPF s'assure que le cadre du CIRF devrait être mis à jour pour comprendre et mieux décrire les rôles et responsabilités propres au CIRF et à la DCI en vertu du PSP, notamment  la participation adéquate du BDPF dans l'élaboration des stratégies et des procédures d'essais et de surveillance, procédures et officialisation des exigences en matière de rapport.

Réponse de la direction

La direction renouvellera le cadre de contrôle interne des rapports financiers (CIRF) et les documents qui l'accompagnent pour inclure et affiner les rôles et responsabilités spécifiques du CIRF pour le BDPF et la DCI en vertu du PSP, y compris pour officialiser le partage des résultats des essais et de la surveillance.

2. Gestion des risques

2.1 Évaluation des risques

Critère d'audit :

Les risques associés à l'exécution du CIRF sont cernés, évalués et gérés.

Observations :

La mise en œuvre de la PIC exige que l'administrateur général, de concert avec le DPF, signe la Déclaration de responsabilité de la direction, qui reconnaît la responsabilité de mener une évaluation annuelle fondée sur les risques du système du CIRF en vue de déterminer son efficacité à long terme.

L'équipe chargée de l'audit s'attend à ce que conformément aux exigences de la PIC, des pratiques de gestion adéquates sont en place pour atténuer les risques dans les domaines suivants : les méthodologies servant à cerner et à classer le risque à l'égard des comptes des états financiers, les processus opérationnels sous-jacents, et les contrôles connexes; l'élaboration et l'exécution des méthodologies des essais; et la capacité d'assurer un soutien et un suivi efficaces du système du CIRF.

Pratiques en matière de gestion des risques :

Le document d'orientation clé de l'ASPC pour la mise en œuvre de la gestion des risques concernant le CIRF porte le nom de Stratégie de surveillance fondée sur les risques pour répondre aux exigences de la PIC de l'ASPC. Le document stratégique relève trois éléments clés du système du CIRF; présente une approche globale à la surveillance; attribue des rôles et responsabilités aux intervenants clés; et décrit les méthodologies basées sur les risques et employées pour déterminer les comptes des états financiers et soutenir les processus opérationnels devant être inclus dans la portée des essais.

Les résultats des exercices initiaux d'évaluation des risques ont été documentés et une stratégie et un échéancier appropriés ont été établis pour mener une surveillance continue et les essais connexes. La stratégie décrit également les exigences pour faire rapport des résultats annuels de surveillance et des essais à la direction de l'ASPC, au président et au CMV. 

Dans le cadre de l'audit, on a examiné les principaux outils de soutien et documents justificatifs de l'évaluation des risques, ce qui comprenait des matrices de contrôle des processus, des évaluations de risques, des méthodologies d'essai et des résultats consignés. L'examen a permis de confirmer que les activités de gestion des risques s'harmonisent et sont menées conformément à la Stratégie de surveillance fondée sur les risques de l'ASPC et, qu'au besoin, la direction et le CMV de l'ASPC participent au processus.

Capacité de soutenir des activités du CIRF

L'ASPC va bientôt passer à l'étape de surveillance dans le cadre de la PIC et du cycle du CIRF. Au cours de la phase de mise en œuvre, et tout particulièrement à la formulation des stratégies et des outils et au moment des évaluations, l'ASPC compte fortement sur l'expertise et les services de fournisseurs externes. Pour ce qui est des essais continus de la majorité des processus opérationnels cernés, l'ASPC se fie en partie à la DCI pour mener à bien cette activité en vertu du PSP. À l'ASPC, les fonctions de surveillance et d'essais du CIRF relèvent de deux responsables au sein de la Division de la gestion et de l'analyse des ressources (DGAR) du BDPF qui ne sont pas affectés exclusivement à ce rôle.

Bien que les difficultés en matière de ressources décrites ci-dessus posent problème pour ce qui est du maintien ultérieur et de l'utilisation continue d'un système efficace du CIRF, la haute direction a confirmé que les risques sous-jacents ont été évalués comme étant faibles et que le besoin en ressources supplémentaires ne serait vraisemblablement pas criant ou essentiel pour le moment. La direction est persuadée que si l'on avait besoin de ressources, il serait possible de faire appel à des compétences externes.

Somme toute, la Stratégie de surveillance fondée sur les risques pour répondre aux exigences de la PIC de l'ASPC donne à l'ASPC une base suffisante pour évaluer et suivre les risques quant au CIRF.

3. Contrôles internes

3.1 Portée

Critère d'audit :

L'ASPC a cerné les comptes financiers clés et documenté les processus opérationnels et les points de contrôle pertinents.

Observations :

La portée s'entend du processus par lequel on détermine les comptes d'un état financier qui feront l'objet d'une évaluation dans le cadre du CIRF. La première étape cruciale est l'approche fondée sur les risques.

L'ASPC a entrepris un exercice de portée en vue de déterminer les processus financiers permettant de cerner les contrôles clés. Dans le cadre de l'exercice, on a examiné les postes des comptes individuels des états financiers et a appliqué l'importance relative en tant que seul critère pour délimiter les comptes pour l'évaluation. Une évaluation des risques au niveau des processus a ensuite été entreprise pour établir la fréquence à laquelle les processus seraient évalués. Ce processus a tenu compte des facteurs de risques pertinents pour évaluer les risques inhérents et de contrôle, y compris l'importance relative, l'étendue du jugement, les modifications comptables, la complexité et les antécédents de défaillances en matière de contrôle.

Dans le cadre de l'audit, on a constaté des domaines où des améliorations pourraient être apportées.

Un certain nombre de facteurs ont été examinés comme il convient à l'égard du classement par ordre de priorité des processus opérationnels inclus dans la portée en vue d'évaluer la fréquence à laquelle on mettra à l'essai chacun des processus et des contrôles connexes. Cependant, l'audit a constaté que la portée des comptes des états financiers se fondait exclusivement sur l'importance relative des équilibres des comptes par rapport aux dépenses générales de l'ASPC. Tenir compte des facteurs qualitatifs en plus de l'importance relative dans le cadre de la portée des comptes réduirait le risque selon lequel les comptes étant plus susceptibles de contenir des inexactitudes de même que les contrôles des processus connexes puissent être exclus de l'évaluation. Parmi les facteurs qualitatifs, on pourrait compter la complexité et l'homogénéité des opérations financières individuelles, les antécédents en matière d'exposition aux pertes liées au compte, le risque de perte attribuable à des erreurs ou à une fraude, et la différence procentuelle dans le solde des comptes des années antérieures. Un autre facteur à tenir compte dans la portée des comptes financiers est l'importance relative aux fins de la planification (IFP). L'IFP tient compte du risque de l'effet cumulatif pour l'inexactitude potentielle dans de multiples comptes et pourrait ainsi constituer une mesure plus appropriée pour déterminer les postes des états financiers à inclure dans la portée de l'évaluation.

L'audit a également cerné des situations où certains comptes des états financiers de l'ASPC délimités et associés à un processus opérationnel sous la responsabilité du PSP n'étaient pas abordés dans la conception des activités de surveillance et d'essais entreprises par la DIC. On dénote à cet égard les comptes suivants : Montant à recevoir du Trésor, Indemnités de vacances et de congés compensatoires et Avantages sociaux futurs des employés.

Ce qui précède indique qu'il existe un risque selon lequel la surveillance et les essais des contrôles adéquats peuvent ne pas avoir été entrepris pour certains comptes de l'ASPC. L'examen et l'intégration de ce qui est indiqué ci-dessus à d'ultérieures améliorations au processus de portée des comptes profiteraient à la surveillance générale du système de CIRF. Les mesures visant à atténuer ce risque sont indiquées à la recommandation 1 qui porte sur les exigences liées à la participation adéquate du BDPF aux stratégies d'essais et de surveillance entreprises au nom de l'ASPC en vertu du PSP.

3.2 Essais de l'efficacité de la conception

Critère d'audit :

L'ASPC a élaboré et mis en œuvre un processus qui s'assure que les points de contrôle sont harmonisés avec les risques qu'ils visent à atténuer.

Observations :

Une fois les risques aux états financiers cernés, l'élaboration et l'harmonisation des contrôles clés avec les risques clés des états financiers qu'ils visent à atténuer (la conception du CIRF) constituent la prochaine étape fondamentale dans le système général. Les essais de l'efficacité de la conception permettent de déterminer que les contrôles sont en place pour les risques décelés liés aux rapports financiers et qu'ils sont conçus de façon à les atténuer, s'ils sont mis en œuvre adéquatement. 

L'élaboration de « matrices de risque et de contrôle » et la validation de leur conception sont une pratique exemplaire acceptée à titre de résultat clé des essais du processus de conception. Parmi les attributs clés d'une matrice de risque et de contrôle bien conçue, notons l'identification du risque à l'égard de l'état financier et le lien aux assertions contenues dans les états financiers; une évaluation du classement par ordre de priorité des risques cernés; l'identification des contrôles qui portent sur un risque précis et une définition claire des activités de contrôle connexes; la personne / poste ou le système exerçant le contrôle; la nature du contrôle (de prévention ou de détection); et la fréquence à laquelle le contrôle est exercé. Parmi les autres attributs, notons l'identification du type de contrôle (rapprochement, examen, autorisation, accès, répartition du travail) et où le contrôle a lieu (le cas échéant, dans la région, l'administration centrale).

Une matrice de risque et de contrôle bien conçue démontre que la direction a une vue d'ensemble des risques et a examiné les types de contrôles d'atténuation en place en cernant les contrôles « clés » ou essentiels à la gestion des risques connexes et à l'élaboration de stratégies d'essais efficaces.

L'équipe chargée de l'audit a constaté que les matrices de risque et de contrôle ont été établies pour tous les processus opérationnels délimités (voir Annexe D). Les matrices ont été documentées dans un format standard qui est conforme aux pratiques exemplaires et démontrent l'harmonisation des contrôles avec les risques sous-jacents. Les matrices permettent de cerner : les contrôles et les activités de contrôle connexes, les assertions contenues dans les états financiers, la nature et le type des contrôles, et la fréquence à laquelle ils sont effectués.

En général, les matrices sont soutenues adéquatement par une description documentée du processus opérationnel. Les essais de l'efficacité de la conception ont été menés et documentés pour tous les processus délimités.

Dans le cadre de l'audit, on a formulé les observations suivantes qui présentent des possibilités d'amélioration et de normalisation de l'approche visant à établir et à documenter les matrices de risque et de contrôle :

  • les contrôles ont été liés à des assertions contenues dans les états financiers; cependant, des risques précis à l'égard des rapports financiers, y compris des risques de fraude, n'ont pas été explicitement déterminés. L'identification et la documentation des risques particuliers définissent l'environnement de contrôle autour de CIRF et améliorent la détermination et le classement des risques clés et des contrôles connexes.

  • Aucun élément probant de l'audit ne permet de confirmer la tenue d'un examen et d'une validation en temps opportun des processus opérationnels par les responsables des procédés. La DCI a fait remarquer que les mises à jour des processus opérationnels sont synchronisées avec le calendrier de l'évaluation des contrôles connexes, de façon à ce que pour les processus à moyen ou faible risque, les mises à jour n'aient lieu que tous les deux et trois ans respectivement.

    Une approche plus officielle et opportune à l'égard de la validation des processus opérationnels par les responsables des procédés permettrait d'atténuer le risque que d'importantes modifications ne passent inaperçues et d'améliorer la responsabilisation en officialisant le processus et en obtenant la confirmation positive et documentée des responsables des procédés.

Recommandation 2

Il est recommandé que le DPF, de concert avec les responsables des procédés administratifs, s'assure que :

  1. les matrices de risque et de contrôle des processus et sous-processus opérationnels comprennent la documentation et le classement des risques particuliers à l'égard des états financiers;
  2. les processus opérationnels et les matrices de risque et de contrôle connexes sont officiellement validés chaque année par les responsables des procédés.

Réponse de la direction

La direction examinera les matrices existantes de risque et de contrôle pour s'assurer que les risques spécifiques aux états financiers sont documentés et classés et s'assurera que les responsables des processus opérationnels examinent et approuvent officiellement les processus et les contrôles clés chaque année.

3.3 Essais de l'efficacité opérationnelle

Critère d'audit :

L'ASPC a mis en œuvre un processus en vue de s'assurer que les contrôles clés sont menés comme il convient.

Observations :

Mettre à l'essai l'efficacité opérationnelle des contrôles internes constitue une exigence de la PIC de même qu'un élément essentiel du système du CIRF. Les résultats des essais jettent les bases pour déterminer le degré de confiance à l'égard du système des contrôles et pour prendre les mesures appropriées pour corriger les lacunes.

Les essais de l'efficacité opérationnelle constituent une responsabilité partagée entre la DGAR de l'ASPC et la DCI de Santé Canada en vertu du PSP (pour les domaines de responsabilité précis, voir l'Annexe D).

L'équipe chargée de l'audit s'attendait à ce qui suit :

  • la stratégie globale pour les essais d'efficacité opérationnelle est documentée et fondée sur les risques;
  • les méthodologies d'essai sont harmonisées avec les activités et objectifs en matière de contrôle;
  • les contrôles de processus opérationnels clés sont adéquatement mis à l'essai et évalués à une fréquence qui est conforme avec le niveau de risque connexe;
  • des éléments probants sont obtenus en soutien aux résultats et conclusions des essais.

Dans le cadre de l'audit, on a mené un examen de la méthodologie des essais et des résultats, et la réexécution des essais des contrôles des processus opérationnels sélectionnés. L'audit a permis de confirmer qu'en général, les processus d'essais appropriés sont en place pour évaluer l'efficacité continue des contrôles. L'équipe chargée de l'audit a pu constater tout particulièrement ce qui suit :

  • les essais entrepris reflètent l'état de la mise en œuvre de la PIC et du CIRF, et la fréquence des essais est guidée par les stratégies respectives de surveillance fondées sur les risques. SC en est à la phase de surveillance du CIRF tandis que l'ASPC a terminé les essais initiaux en matière de conception et d'efficacité de tous les contrôles des processus opérationnels cernés et commence la phase de surveillance;
  • les contrôles au niveau de l'entité ont été évalués par l'ASPC au cours de l'année financière 2016-2017 sans aucune lacune importante cernée;
  • les contrôles généraux en technologies de l'information ont été délimités par le PSP et évalués au cours de l'année financière 2015-2016 par la DCI;
  • une stratégie d'essais a été établie pour chaque matrice de risque et de contrôle des processus opérationnels. Les matrices de risque et de contrôle servent également d'outil pour saisir les résultats des essais des contrôles individuels, notamment des lacunes cernées, au besoin.

L'audit a identifié les domaines suivants où il est possible d'apporter des améliorations en vue de renforcer les essais de contrôle :

Pour certains processus opérationnels et contrôles connexes, il est possible de gagner en efficacité en affinant nos stratégies d'essai afin de tirer le maximum des résultats des contrôles connexes ou compensatoires jugés efficaces. Par exemple, un essai de la tenue des cartes de spécimen de signature et du contrôle du système associé peut, en partie, limiter l'étendue des essais réalisés en conformité avec les articles 32, 33 et 34 de la Loi sur la gestion des finances publiques, pour les éléments à échantillons multiples.

L'examen des méthodologies et de la réexécution des processus connexes a permis de déterminer qu'il existe des instances où la stratégie d'essai et les éléments probants obtenus ne s'harmonisaient pas entièrement avec l'objectif des essais. Parmi les exemples, notons :

  • les essais liés aux contrôles qui reposaient sur les activités d'AQ se limitaient seulement à confirmer que l'AQ a été effectuée. Cependant, aucune réexécution des étapes procédurales du contrôle de l'AQ ou du contrôle clé lui-même n'a eu lieu pour s'assurer que les activités de contrôle requises ont été entreprises de façon efficace;
  • les essais liés à l'activité des contrôles qui établissaient des exigences particulières, comme la préparation et l'examen des rapports et des analyses connexes. Cependant, la méthodologie des essais et les éléments probants obtenus se limitaient à un examen des signatures sur les états et les bordereaux d'autorisation connexes;
  • pour un sous-processus opérationnel examiné, l'approche d'échantillonnage aléatoire a produit un échantillon constitué principalement d'opérations à faible risque. Ces éléments d'échantillonnage n'étaient pas soumis aux procédures d'essai intégrales. Une approche d'échantillonnage ciblée pourrait être plus efficace pour guider l'effort vers les opérations à risque élevé, ce qui permettra d'accroître la portée des essais des contrôles connexes.

Par ailleurs, pour certains contrôles, les stratégies d'essai utilisées par la DCI ont été établies en tant que contrôle propre à SC. On s'attendrait qu'un contrôle semblable existe et soit mis à l'essai par l'ASPC. Par exemple, on note les essais qui concernent ce qui suit : les analyses de comparaison sur douze mois et les analyses des écarts, et l'examen des états financiers définitifs. Il n'existe aucun élément probant documenté selon lequel l'ASPC a entrepris ses propres essais de ces contrôles aux fins du CIRF.

Enfin, il n'existe aucun élément probant documenté de l'assurance qualité ou de l'examen des procédures des essais et des documents de travail par un pair ou un superviseur. 

Corriger les points ci-dessus permettrait d'améliorer l'efficacité des essais, d'atténuer les risques liés à la mauvaise interprétation des résultats des essais et d'atténuer le risque d'exclusion des essais des contrôles clés de l'ASPC.

Recommandation 3

Il est recommandé que le DPF examine les stratégies et les méthodologies d'essai du CIRF et s'assure qu'au besoin :

  1. les méthodologies d'essai sont harmonisées avec l'objectif des essais et tirent profit et document la dépendance sur les fonctionnalités du système existant et contrôles correctifs;
  2. il existe un processus documenté pour l'assurance de la qualité des activités d'essai.

Réponse de la direction

Dans le cadre de l'examen des matrices existantes de risque et de contrôle, la direction s'assurera que les méthodologies d'essai s'harmonisent avec l'objectif de l'essai et qu'il est possible de réaliser dans la mesure du possible des gains d'efficacité dans les essais. La direction s'assurera également qu'il y a un processus officiel en place pour l'examen des activités d'essais par les pairs et les superviseurs.

3.4 Surveillance

Critère d'audit :

Le compte rendu et la surveillance du cadre du CIRF ont été mis en œuvre, ce qui comprend les mesures de rendement et des renseignements opportuns qui permettent de cerner et de résoudre les questions.

Observations :

Une composante de la PIC et du système du CIRF est la surveillance et le compte rendu efficaces et en temps opportun des lacunes cernées. Dans ce contexte, lorsque des lacunes sont cernées, les responsables des processus opérationnels doivent déterminer les mesures correctives pour les corriger. La DGAR et la DCI sont responsables de la surveillance et du compte rendu au sujet de la mise en œuvre des mesures correctives corrigeant les lacunes cernées.

La Stratégie de surveillance fondée sur les risques pour répondre aux exigences de la PIC de l'ASPC établit un plan pour le suivi des contrôles par rotation fondés sur les risques. Le plan de surveillance établit un échéancier réaliste pour l'évaluation de tous les contrôles des processus opérationnels et autres au cours d'une période de trois ans.

L'équipe chargée de l'audit a constaté que les lacunes sont documentées dans les relevés récapitulatifs des résultats des essais pour les processus opérationnels individuels et sont communiquées par le DPF au CMV. Parmi les points décrits dans ces rapports de haut niveau, on note une indication sur l'avancement des mesures prises pour entreprendre les mesures correctives, et un sommaire des résultats d'évaluation des contrôles et des mesures connexes. Cependant, ils ne donnent pas une évaluation du niveau de risque posé par les lacunes cernées; n'identifient pas le responsable des procédés administratifs chargé de prendre des mesures; et n'indiquent pas la durée durant laquelle la mesure corrective a été en suspens.

En général, il existe une surveillance efficace du CIRF, conforme à la stratégie de l'ASPC. Le DPF et le CMV sont adéquatement informés de l'avancement des efforts de surveillance continus et des principales lacunes cernées. Le processus de surveillance et de compte rendu tirerait toutefois profit d'améliorations supplémentaires, notamment :

  • l'évaluation du risque associé pour chaque lacune cernée;
  • la documentation relative à la responsabilité et les échéanciers pour les mesures correctives;
  • une définition plus poussée du niveau de détail et de la fréquence des exigences en matière de rapport pour les activités du CIRF et des résultats, y compris celles entreprises par la DCI (voir la recommandation 1).

C - Conclusion

Compte tenu des constatations de l'audit, nous pouvons conclure qu'il existe un cadre de contrôle de la gestion adéquat, y compris la gouvernance, les processus de gestion des risques et des contrôles internes connexes en vue d'assurer le fonctionnement et la surveillance continus d'un système efficace de contrôle interne en matière de rapports financiers (CIRF).

La gouvernance efficace est soutenue par des rôles et responsabilités définies et documentées du CIRF pour le maintien, la surveillance et la supervision du système de contrôles. Une approche fondée sur les risques a été utilisée pour mettre en œuvre et documenter le système, et une stratégie de surveillance fondée sur les risques est en place pour fournir une base solide pour le maintien et la surveillance continus. Les stratégies et les méthodologies d'essai ont été élaborées en vue d'effectuer des évaluations des contrôles et le mécanisme de supervision est soutenu par le compte rendu des résultats au CMV.

Cependant, il existe des possibilités d'amélioration pour renforcer le système du CIRF de l'ASPC dans les domaines suivants :

  • l'élaboration et la communication des rôles et responsabilités concernant les activités et les processus du CIRF dans le cadre du Partenariat des services partagés;
  • le peaufinage et les améliorations à l'égard de la conception et la documentation des matrices de risque et de contrôle, en mettant l'accent sur ce qui suit :
    • l'identification explicite et le classement de risques particuliers à l'égard des assertions contenues dans les états financiers;
    • la validation des processus opérationnels et des matrices de risque et de contrôle par les responsables des procédés chaque année.
  • le peaufinage et les améliorations à l'égard des stratégies et des méthodologies d'essai, en mettant l'accent sur ce qui suit :
    • l'amélioration de l'harmonisation de certaines activités de contrôle et de stratégies d'essai avec les objectifs de contrôle, et l'examen et l'intégration de contrôles correctifs dans le but de réaliser des gains d'efficacité;
    • la documentation du processus de l'assurance de la qualité des activités d'essai.

Annexe A – Champs d'enquête et critères

Vérification des contrôles internes en matière de rapports financiers
Titre du critère Critère d'audit
Champ d'enquête : Gouvernance
1.1 Gouvernance L'ASPC a établi un processus de gouvernance efficace pour la mise en œuvre et la surveillance d'un système efficace de contrôle interne en matière de rapports financiers (CIRF)Note de bas de page 2.
Champ d'enquête 2 : Gestion du risque
2.1 Évaluation des risques Les risques associés à l'exécution du CIRF sont cernés, évalués et gérésNote de bas de page 3.
Champs d'enquête 3 : Contrôles internes
3.1 Portée L'ASPC a cerné les comptes financiers et documenté les processus opérationnels et les points de contrôle pertinentsNote de bas de page 4.
3.2 Essais de l'efficacité de la conception L'ASPC a élaboré et mis en œuvre un processus qui permet d'harmoniser les points de contrôle avec les risques qu'ils visent à atténuerNote de bas de page 5.
3.3 Essais de l'efficacité opérationnelle L'ASPC a mis en œuvre un processus qui assure l'exécution comme il se doit des contrôles clésNote de bas de page 6.
3.4 Surveillance Un cadre de surveillance du CIRF a été mis en œuvre et comprend des paramètres de rendement et de renseignements opportuns qui permettent la détermination et la résolution des questionsNote de bas de page 7.

Annexe B – Grille d'évaluation

Vérification des contrôles internes en matière de rapports financiers
Critère Cote Conclusion No de la rec.
Gouvernance
1.1 Gouvernance Améliorations modérées requises Il y a un cadre de gouvernance adéquat en place soutenu par un document-cadre propre au CIRF. Cependant, le cadre devrait être mis à jour pour comprendre et mieux décrire les rôles et responsabilités propres au CIRF et à la DCI en vertu du PSP. En outre, il faudrait déterminer et officialiser les renseignements liés au CIRF et les exigences de rapport pour les comités de la haute direction et la DAC. 1
Gestion des risques
2.1 Évaluation des risques Améliorations mineures requises Les risques associés à l'exécution du CIRF sont déterminés, évalués et gérés. -
Contrôle interne
3.1 Portée Améliorations mineures requises L'ASPC a cerné les comptes financiers clés et a documenté les processus opérationnels et les points de contrôle connexes. Des améliorations peuvent être apportées en tenant compte de facteurs quantitatifs et qualitatifs dans la portée des comptes des états financiers. D'autres améliorations pourraient être faites en liant de façon appropriée des comptes des états financiers à des processus  opérationnels et activités de contrôle connexes. -
3.2 Essais d'efficacité de la conception Améliorations mineures requises Un processus est en place pour harmoniser les points de contrôle aux risques qu'il vise à atténuer. Cependant, il existe des possibilités d'améliorer les matrices de risque et de contrôle et le processus en s'assurant de les examiner et de les valider en temps opportun. 2
3.3 Essais de l'efficacité opérationnelle Améliorations mineures requises Un processus d'essai approprié est en place pour évaluer l'efficacité organisationnelle continue des contrôles. Cependant, certaines situations ont été cernées où des méthodologies d'essai n'étaient pas entièrement harmonisées avec les objectifs d'essai. En outre, des possibilités existent pour mieux intégrer des activités d'essai complémentaires et des contrôles correctifs en vue d'améliorer l'efficacité des essais. 3
3.4 Surveillance Améliorations mineures requises Un plan de surveillance pour le CIRF a été instauré. Des améliorations peuvent être apportées en affectant un niveau de risque aux lacunes cernées; en documentant les échéanciers et les responsabilités liées aux mesures correctives, et en définissant les exigences en matière de rapports pour les activités du CIRF et les résultats connexes menés par la DCI. -

Annexe C – Étapes visant à assurer un système efficace de contrôles internesNote de bas de page 8

Équivalent textuel

There are four key steps to implementing an effective system of internal controls. The first step, scoping, entails identifying all business processes and key financial accounts that have a material impact on the financial statements, documenting business processes (using flow charts and narratives), and identifying entity-level controls, IT general controls (ITGCs), and critical control points for all business processes and key financial accounts.

Step two involves testing the effectiveness of the design of the system of controls by ensuring control points are aligned with the risks they aim to mitigate, and remediating any control deficiencies if necessary.

Step three involves testing the operational effectiveness of the system by testing key controls over a defined period to determine whether they are operating as intended, and remediating control deficiencies if necessary.

Step four is the on-going monitoring of the system of internal control over financial reporting (ICFR). This involves reassessing risk based on changes in the business process or environment, periodic risk-based retesting of key controls to assess their continued effectiveness (which may include testing the effectiveness of the design), and remediating any control deficiencies, if necessary.

Annexe D – Contrôle interne au sein du modèle de services partagés

Environnement de contrôle interne

(Responsabilité importante des contrôles relevant de l'ASPC, sauf indication contraire)

  1. Contrôles au niveau de l’entité
    • Environnement de contrôle
    • Évaluation des risques
    • Information et de communication
    • Surveillance des contrôles
  2. Contrôles des processus opérationnels
  3. Technologie de l'informationNote de bas de page *
    • Contrôles généraux des TI
      • Développement des systèmes
      • Gestion du changement
      • Accès logique
      • Contrôles physiques
      • Processus liés au service et au soutien
      • Sauvegarde et rétablissement
      • Sécurité
    • Applications
      • SAP
      • SGISC
      • PeopleSoft
    • Contrôles des applications
      • Autorisation
      • Intégrité
      • Disponibilité
      • Confidentialité
      • Séparation des tâches
Note de bas de page *

Responsabilité des contrôles relevant principalement de Santé Canada

Retour à la référence de la note de bas de page *

Annexe E – Organigramme de l'ASPC

Équivalent textuel

La Division de la gestion et de l'analyse des ressources (DGAR) fait rapport au Bureau du dirigeant principal des finances (BDPF) de l’Agence. En vertu du partenariat de services partagés entre Santé Canada et l’Agence de la santé publique du Canada, la Division du contrôle interne de la Direction des opérations financières  (DCI-DOF) chez Santé Canada fournit aussi des renseignements au BDPF concernant certains aspects des Contrôles des processus opérationnels et des Technologies de l’information. 

Note de bas de page 1

Politique sur le contrôle interne du Conseil du Trésor, article 5.2

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Politique sur le contrôle interne du SCT (avril 2009).

Retour à la référence de la note de bas de page 2

Note de bas de page 3

COSO (Committee of Sponsoring Organizations of the Treadway Commission) 2013 Framework on Internal Control Prepare for the Changes.

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Idem

Retour à la référence de la note de bas de page 4

Note de bas de page 5

Idem

Retour à la référence de la note de bas de page 5

Note de bas de page 6

Idem

Retour à la référence de la note de bas de page 6

Note de bas de page 7

Bureau du contrôleur général – Contrôles de base

Retour à la référence de la note de bas de page 7

Note de bas de page 8

Aperçu du BCG sur le processus du CIRF

Retour à la référence de la note de bas de page 8

Détails de la page

Date de modification :