Annexe à la déclaration de responsabilité de la direction englobant les contrôles internes en matière de rapports financiers - Rapport sur les résultats ministériels de 2016-2017 - Secrétariat du Conseil du Trésor du Canada

2.1 Gestion du contrôle interne

Le Secrétariat est doté d’une structure de gouvernance et de reddition de comptes bien établie pour appuyer les efforts d’évaluation et de surveillance de son système de contrôle interne. Cette structure est formalisée dans le Cadre de gestion financière et de contrôle interne du Secrétariat, qui est approuvé par la secrétaire, et comprend les éléments suivants :

• des structures de responsabilisation organisationnelle relativement à la gestion du contrôle interne en vue d’appuyer une saine gestion financière, y compris les rôles et les responsabilités des cadres supérieurs dans leurs secteurs de responsabilité liés à la gestion du contrôle interne;
• un Bureau des valeurs et de l’éthique, qui offre des programmes de formation et de sensibilisation et qui a produit un code de conduite ministériel;
• des activités de communication et des séances de formation continues sur les exigences législatives et les politiques visant à assurer une saine gestion financière et de contrôle;
• un groupe relevant de la dirigeante principale des finances (DPF) chargé de la surveillance du CIRF, dont l’objectif principal consiste à maintenir des documents sur le contrôle interne et à effectuer des évaluations pour appuyer la gestion et de la surveillance du système de CIRF;
• des moyens de surveillance et des mises à jour régulières sur la gestion du contrôle interne en plus de rapports sur les résultats d’évaluation et de plans d’action connexes à l’intention de la secrétaire, de la haute direction ministérielle et du Comité de vérification du gouvernement du Canada (CVGC) du Secrétariat.

Le CVGC est un comité consultatif indépendant et objectif du Secrétariat. Il a pour fonction de fournir des conseils à la secrétaire concernant le caractère adéquat et le fonctionnement du processus de gestion du risque du Secrétariat, du control et du cadre de gouvernance et des processus qui comprennent la révision des rapports financiers clés du ministère et la divulgation de renseignements financiers. De plus, il fournit des conseils au besoin, sur les plans d’évaluation axée sur les risques et les résultats connexes ayant trait à l’efficacité du système ministériel de CIRF.

Le CVGC réunit la secrétaire, le secrétaire délégué ainsi que quatre membres qui ne font pas partie de l’administration publique fédérale. L’un des membres externes préside le comité. Étant donné le caractère indépendant du comité, ce dernier joue un rôle essentiel pour garantir l’intégrité des rapports de gestion, ainsi que pour fournir une perspective objective et plus générale sur les risques et les contrôles. La DPF, le dirigeant principal de la vérification du Secrétariat, ainsi que le contrôleur général du Canada assistent à toutes les réunions du CVGC. Les membres du CVGC se réunissent au moins quatre fois par année et peuvent convoquer des réunions supplémentaires, si la situation l’exige.

2.2 Ententes de services afférentes aux états financiers

Nouveaux contrôles clés ou contrôles clés modifiés en profondeur

Pendant l’exercice en cours, aucun contrôle clé des processus existants n’a été modifié en profondeur de façon à nécessiter une réévaluation.

En février 2016, SPAC a mis en œuvre un nouveau système de paie (Phénix) qui a engendré d’importants changements aux activités de contrôle, relativement aux processus opérationnels de la paie et des avantages sociaux. En prévision du déploiement du système, le Secrétariat a entrepris plusieurs activités, pour permettre une transition efficace vers Phénix, tout en maintenant un niveau approprié de contrôle interne. Afin de mieux s’aligner avec le cadre de contrôle développé par SPAC pour le Centre des services de paie et pour le système de paie Phénix, le Secrétariat a mis à jour sa documentation des processus existants qui sont liés au cadre de contrôle ministériel et a modifié le processus de contrôle pour les signataires autorisés, en vertu de l’article 33 de la Loi sur la gestion des finances publiques, en vue de refléter le transfert des responsabilités relatives au traitement des paiements, des ressources humaines à la fonction financière. Le Secrétariat a également élaboré des outils de formation pour ses gestionnaires et ses employés, afin de s’assurer que les opérations sont traitées de façon exacte et que les employés sont rémunérés en temps opportun. Par exemple, des procédures écrites ont été circulées, des ressources spécialisées ont été assignées pour soutenir les gestionnaires, et des rapports améliorés de prévisions salariales ont été élaborés, afin de permettre aux gestionnaires de surveiller efficacement leurs dépenses et leurs budgets relatifs aux salaires, et de déterminer et de résoudre rapidement tous les problèmes ou incohérences.

Après la mise en œuvre de Phénix, des ajustements sont requis et le Secrétariat a renforcé ses activités de contrôle et surveillance, liées au processus de la paie, y compris l’établissement de rapports réguliers des paiements en trop et des paiements en moins, afin de régler rapidement les inconsistances selon l’établissement d’un seuil financier, fondé sur le risque. Par conséquent, les opérations qui excèdent les montants prévus sont automatiquement signalées, aux fins de vérification, avant que le paiement ne soit envoyé.

En 2016-2017, le Secrétariat a aussi participé au groupe de travail du Bureau du contrôleur général du Canada (BCG), qui a élaboré un nouveau cadre de contrôle de l’administration de la paie, incluant une mise à jour de la ligne directrice sur l’administration de la paie qui servira de référence lors de la mise à jour du processus de la paie et des avantages sociaux ainsi que des contrôles clés connexes dont le Secrétariat est responsable. Des tests sur l’efficacité de la conception des processus de la paie et des avantages sociaux sont prévus pour 2017-2018, une fois que ces activités auront été terminées.

Programme de surveillance continue

Dans le cadre de son plan cyclique de surveillance continue, le Secrétariat, en sa qualité de gestionnaire des fonds pangouvernementaux et des paiements en tant qu’employeur de la fonction publique, a effectué sa réévaluation des contrôles financiers liés au Régime de soins de santé de la fonction publique (RSSFP), au Régime de soins dentaires de la fonction publique (RSDFP) et au Régime de services dentaire pour les pensionnés (RDSP), avec l’aide du cabinet d’Ernst & Young. Les contrôles clés qui ont été testés ont tous fonctionnés comme prévu, avec les mesures correctives requises suivantes :

• Les « employeurs participants » sont des organismes gouvernementaux, dont les employés participent au RSSFP et au RDSP, même s’ils ne sont pas membres de la fonction publique centrale. Un écart de conception à faible risque a été identifié concernant l’information à l’appui fourni au SCT lors du paiement direct des primes des employeurs participants, en ce qui touche la participation des employés à ces régimes. Un plan de mesure de gestion a été élaboré par le responsable des procédés administratifs, en vue de régler cette constatation.
• Un autre écart de conception à faible risque a été identifié dans le processus du RDSP, concernant l’information fourni pour appuyer les factures présentées par la compagnie d’assurance. Un plan d’action de la gestion a été élaboré par le responsable du procédé administratif, en vue de régler cette situation.

D’autres activités ont été terminées au cours de 2016-2017, permettant l’amélioration continue du cadre de contrôle du Secrétariat, incluant :

• Un audit externe des contrôles généraux des TI du système financier SAP du Secrétariat a été effectué par Deloitte, en 2016-2017. Étant donné que ce système financier est administré par le BCG, pour le compte de clients d’un regroupement d’utilisateurs, incluant le Secrétariat, l’étendue de l’audit n’inclus qu’une évaluation des contrôles généraux des TI qui sont communs aux clients du regroupement d’utilisateurs. Les contrôles des TI qui relèvent de Services partagés Canada (SPC) et les contrôles utilisateurs propres à chaque membre du groupe ont été exclus. Selon les résultats de l’audit, les contrôles testés ont été conçus et mis en œuvre correctement et exécutés efficacement tout au long de la période couverte par l’audit, à l’exception d’un écart de contrôle identifié dans le processus de gestion du changement. Un plan d’action est en place pour correction.
• Le Bureau de la vérification interne et de l’évaluation (BVIE) a examiné les pratiques de gestion du risque du Secrétariat en 2016, afin d’en déterminer le niveau de maturité. En réponse aux recommandations provenant de cet examen, une mise à jour de l’approche intégrée de la gestion du risque (GR) a été développée, afin de mieux soutenir les preneurs de décisions et les employés de tous les niveaux. L’approche intégrée actualisée de la GR va promouvoir la prise de risques réfléchie en précisant les éléments de base essentiels (par exemple, la vision, les rôles et les responsabilités, les processus et les stratégies pour l’apprentissage et le perfectionnement) et en élaborant une méthode et des outils solides, en vue de soutenir l’évaluation améliorée des risques, de la communication, de la surveillance et des pratiques d’établissement de rapports (par exemple, l’outil d’évaluation du risque pour les présentations au Conseil du Trésor parrainées par le SCT, les outils d’évaluation du risque intégré dans les gabarits de planification opérationnelle et dans les de présentation aux comités, le profil de risque ministériel, les analyses environnementales et l’établissement de rapports de projets trimestriels pour le Comité de ressourcement).
• Le BVIE a effectué un audit de la passation de marchés de faible valeur (MFV), un audit des contrôles ciblés de la gestion des dispositifs de stockage des données et un audit coordonné de la sécurité des technologies de l’information :
  1. Le but de l’audit de la passation de MFV est pour donner une assurance concernant la conformité avec les politiques et les procédures connexes et de déterminer si la gestion et les pratiques sont efficaces et répondent aux besoins du Secrétariat. Selon les constatations de cet audit, des améliorations sont possibles et un plan d’action de la gestion est en place pour apporter les corrections. Plusieurs améliorations en été implémentées, à la suite de cet audit, dont la réduction du seuil des MFV, de 25 000 $ à 9 999 $, la création d’un service rapide  de passations de marchés pour des contrats de moins de 25 000 $ et la mise à jour des procédures, l’orientation et la formation liés aux passations de MFV, y compris la clarification des rôles et des responsabilités. De plus, un système de classement électronique intégral a été établi pour sauvegarder tous les renseignements complets et des indicateurs de rendement sont en cours d’élaboration, afin de s’assurer que les opérations soient optimisées et qu’elles répondre aux besoins des clients et de l’organisation;
  2. L’audit des contrôles ciblés de la gestion des dispositifs de stockage des données a permis d’évaluer les contrôles clés dans les domaines de gestion des actifs, de la sécurité matérielle, et des TI, et de la gestion des incidents. Les dispositifs visés par la portée de l’audit sont les ordinateurs portatifs, les tablettes, les téléphones intelligents, les clés USB à mémoire flash, les ordinateurs de bureau et les dispositifs multifonctionnels, tels que des imprimantes. Un plan d’action de la gestion a été élaboré afin de donner suite aux constatations dans ce domaine. À la suite de cet audit, plusieurs améliorations ont été effectuées concernant le suivi des actifs, l’élimination des dispositifs, la réaction face aux incidents de sécurité impliquant la perte ou le vol de dispositifs et le retour des dispositifs, lorsque des employés quittent l’organisme. Par exemple, le Secrétariat a amélioré les processus d’accueil et d’intégration et de départ de ses employés, la mise en application d’un système du suivi automatisé des actifs dans le système financier. Le Secrétariat a augmenté la fréquence des inventaires périodiques des stocks, en vue d’améliorer le suivi de l’actif et a mis en œuvre un processus officiel permettant de réagir rapidement à la perte ou au vol de biens;
  3. L’audit de la sécurité des technologies de l’information a permis d’évaluer le caractère adéquat et l’efficacité des contrôles internes sur la gestion des TI, y compris la conformité avec les politiques et les normes applicables, en mettant l’accent sur la gestion de l’accès des utilisateurs, la gestion des incidents, la gestion du changement et la gestion des risques liés à la sécurité de l’information. Compte tenu des responsabilités distribuées en matière de contrôles de sécurité de la TI et de la coordination nécessaire avec SPC, les groupes d’audit interne du Secrétariat et de SPC ont adopté une approche d’audit coordonnée, afin d’obtenir une assurance plus large. La portée de l’audit était centrée sur les services et les processus opérationnels qui peuvent avoir la plus grande incidence sur la sécurité de la TI au Secrétariat et pour lesquels il faut une étroite collaboration ou une coordination entre SPC et le Secrétariat. Bien que l’audit ait conclu, avec un niveau raisonnable d’assurance, que les contrôles sur la gestion de la sécurité de la TI ministérielle étaient correctement conçus et efficaces, plusieurs améliorations ont été faite pour renforcer la sécurité de la TI du ministère. Par exemple, l’approche axée sur le risque, en vue d’examiner et de surveiller les droits d’accès de l’utilisateur a été renforcée, un Comité consultatif sur les changements et des processus améliorés de suivi ont été établis, afin d’assurer la mise en œuvre efficace des changements à apporter aux systèmes informatiques et les rôles et responsabilités liés à la sécurité de la TI, ont été clarifiés et formalisés. Le Secrétariat continue à collaborer avec SPC, afin d’assurer l’efficacité continuelle de ses contrôles internes sur la gestion de la sécurité de la TI.
• Dans le cadre des activités de surveillance continue du Secrétariat, un nouveau processus en vue d’appuyer l’autorisation de la direction concernant la partie des cotisations payées l’employeur pour le RPRFP a été élaboré en 2016-2017. Ce nouveau processus a été élaboré en consultation avec plusieurs intervenants internes et externes, dans le but d’améliorer la surveillance des dépenses pour le RPRFP et sera mis en œuvre au cours du premier trimestre de 2017-2018.
• Le Secrétariat a mis à jour sa politique relative aux immobilisations, afin d’améliorer la clarté des rôles et responsabilités et de fournir des directives détaillées en matière de capitalisation des immobilisations. Mises à jour concentrées sur l’assurance de l’application conformément aux exigences législatives et de la politique.

4.1 Progrès accomplis au cours de l’exercice 2016-2017

Le Secrétariat a atteint l’étape de surveillance continue en 2015-2016 en réalisant sa première évaluation complète de tout le système ministériel de CIRF.

Dès lors, le Secrétariat a appliqué une approche cyclique des activités de surveillance continue, conformément aux plans approuvés en plus de mettre en œuvre les nouvelles mesures correctives requises en réponse aux activités de surveillance continue. En 2016-2017, toutes les activités ont été exécutées comme prévu. Le tableau 1 présente un sommaire des progrès accomplis dans ce contexte.

4.2 Plan d’action pour le prochain exercice et les exercices ultérieurs

Le Plan cyclique de surveillance continue fondé sur les risques du Secrétariat pour les trois prochaines années est présenté au tableau 2 et repose sur une validation annuelle du niveau de risque évalué lié aux processus et aux contrôles, ainsi que les ajustements connexes au plan de surveillance continue, au besoin.

Les activités du Secrétariat liées au contrôle interne sur l’établissement de rapports financiers, le système de CIRF, y compris des activités de surveillance permanente déterminées au tableau 2, sont reportées sous la direction du contrôleur ministériel (CM). De plus, le BVIE projette de mener une évaluation du risque de fraude dans tout le ministère en 2017-2018, ainsi qu’un examen des rôles et des responsabilités en rapport avec les enquêtes administratives portant sur les fraudes.