Régime de certification et de contrôle interne pour les sociétés d’État

Sur cette page

Résumé

Régime de certification et de contrôle interne pour les sociétés d’État

Le Secrétariat du Conseil du Trésor du Canada (SCT) n’a pas imposé aux sociétés d’État d’adopter un régime de certification des états financiers. Chaque société d’État peut décider elle‑même de procéder ou non à la mise en œuvre d’un régime de certification et de contrôle interne en se fondant sur une évaluation de ses exigences opérationnelles et comptables, des besoins et points de vue des parties intéressées ainsi que des risques.

Un régime approprié de certification et de contrôle interne tient compte des risques particuliers et du contexte d’exploitation de la société d’État de manière adéquate, tout en reconnaissant qu’un modèle global n’est pas réaliste, compte tenu des caractéristiques diverses des sociétés d’État.

Un régime efficace de certification et de contrôle interne a pour objectif général d’appuyer la gestion d’une entité et de garantir que les données financières et les états financiers sont fiables. Cette garantie signifie que les opérations sont assorties des autorisations adéquates, que les documents financiers sont tenus convenablement, que les actifs sont protégés contre les risques de dégradation, de perte, d’abus, de fraude ou de mauvaise gestion et que les lois, règlements et politiques applicables sont respectés.

En premier lieu, une société d’État qui procède à l’établissement d’un régime de certification et de contrôle interne doit examiner ses états financiers pour repérer les principaux éléments posant des risques et les contrôles essentiels associés qui devraient être évalués dans le cadre du régime de contrôle interne. L’évaluation des risques liés aux états financiers se fait habituellement au moyen d’un exercice d’établissement de la portée de l’évaluation, lequel se solde par une liste des domaines éventuels de contrôle, classés par ordre de degré de risques, à intégrer au régime de contrôle interne.

Compte tenu des résultats de l’exercice d’établissement de la portée et des types de risques à atténuer, la direction d’une société d’État sera normalement en mesure de proposer au conseil d’administration le nombre et la nature des domaines essentiels de contrôle à l’échelle de l’entité, les contrôles principaux des processus opérationnels, les processus de contrôles informatiques généraux et les processus de contrôles applicables à la divulgation ainsi que les risques qui y sont associés et qui pourraient être inclus dans son régime de contrôle interne. De plus, la direction pourrait vouloir élaborer et harmoniser une cote de risque éventuelle pour chacun de ces processus aux fins de discussions avec le conseil d’administration de la société d’État.

Une société d’État pourrait alors vouloir étayer la stratégie proposée de mise en place d’un régime de certification et de contrôle interne, de même que les contrôles essentiels et les principaux risques établis pour la stratégie (c.-à-d., les éléments qui seront inclus dans la portée du régime et l’approche prévue pour le contrôle interne). Selon la pratique adoptée dans les entreprises du secteur privé, les trois domaines suivants devraient être pris en compte dans le régime de contrôle interne d’une société d’État :

  • Contrôles à l’échelle de l’entité
  • Processus de clôture et de présentation des états financiers
  • Contrôles applicables à la divulgation des renseignements dans le rapport annuel (y compris les états financiers), le plan d’entreprise et les rapports financiers trimestriels

De plus, on suggère que chaque société d’État documente et évalue les principales activités de contrôle menées dans le cadre des processus à risque élevé (processus opérationnels ou processus de contrôles informatiques généraux) repérés dans le cadre de l’exercice d’établissement de la portée.

Pour les processus couverts par la portée, la société d’État pourrait documenter (généralement par une combinaison de textes explicatifs et de graphiques des processus ainsi que par une matrice détaillée des contrôles connexes) et évaluer l’efficacité des principales activités de contrôle dans chaque processus. L’approche adoptée par la société d’État pour la documentation et l’évaluation peut également figurer dans sa stratégie de mise en place d’un régime de certification et de contrôle interne.

Une société d’État qui met en œuvre un régime de certification et de contrôle interne peut décider d’intégrer à son rapport annuel une déclaration de responsabilité de la direction dans laquelle le chef de la direction (CD) et le dirigeant principal des finances (DPF) certifient les états financiers et attestent la mise en place et l’efficacité du système de contrôles internes des rapports financiers et de la divulgation des contrôles et des processus.

Selon les circonstances propres à la société d’État, un conseil d’administration peut déterminer la nature de la stratégie de certification et de contrôle interne ainsi que du régime à instituer.

1.0 Introduction

Aucune société d’État n’est tenue d’attester l’efficacité du contrôle interne en matière de rapports financiers (CIRF). Toutefois, ce document pourrait fournir des renseignements utiles aux sociétés d’État fédérales qui ont décidé d’adopter une approche axée sur la certification au moyen d’un régime de contrôle interne. Il appartient au conseil d’administration de chaque société d’État de décider de procéder ou non à la mise en œuvre d’un régime de certification et de contrôle interne ainsi que d’établir la portée de celui-ci en se fondant sur une évaluation des exigences opérationnelles et comptables de la société d’État, des besoins des parties intéressées et de leur point de vue de même que des risques. Selon les circonstances propres à l’organisation, une version sur mesure du régime de certification et de contrôle interne (qui fait en sorte que les risques sont évalués régulièrement et que les stratégies d’atténuation sont mises à jour au besoin) pourrait se révéler utile.

2.0 Contexte

Le Parlement et les Can adiens s’attendent à ce que le gouvernement soit bien géré, ce qui comprend une gestion prudente des fonds publics, une protection des biens publics et une utilisation économique, efficace et efficiente des ressources publiques. Ils souhaitent également qu’on leur rende des comptes en faisant preuve de transparence et de responsabilité en regard de la façon dont le gouvernement dépense les fonds publics en vue d’obtenir des résultats pour les Canadiens ou, dans le cas des organisations qui ne sont pas financées par crédit, de la façon dont elles gèrent leurs activités et génèrent des recettes.

L’objectif général d’un régime efficace de certification et de contrôle interne est d’appuyer la gestion d’une entité et de garantir la fiabilité des données financières et des rapports financiers. Parmi ces garanties, mentionnons la présence d’autorisations appropriées pour toutes les transactions de l’organisation, la tenue adéquate des documents financiers, la protection des biens contre les risques de dégradation, de perte, d’abus, de fraude ou de mauvaise gestion ainsi que la conformité aux lois, règlements et politiques applicables.

Par certification, on entend l’obligation des cadres supérieurs d’une société d’État (normalement le CD et le DPF) de certifier ou d’attester, au moyen d’une signature, qu’ils ont assumé certaines fonctions, notamment la confirmation de l’efficacité des contrôles internes en matière de rapports financiers. En général, ce type de certification est intégré à la déclaration de responsabilité de la direction qui est communiquée avec les états financiers d’une entité.

D’une part, pour ce qui est des ministères et organismes, le gouvernement du Canada s’assure d’une reddition de comptes fiable en appliquant la Politique sur le contrôle interneVoir la note en bas de page 1, qui décrit les rôles et responsabilités des divers intervenants à l’échelle fédérale quant à la gestion adéquate des risques inhérents à la gestion des ressources publiques.

D’autre part, pour ce qui est du secteur privé, le mécanisme de certification du CIRF a été adopté par les États-Unis (Sarbanes Oxley Act et Securities Exchange Commission regulations) et les Autorités canadiennes en valeurs mobilièresVoir la note en bas de page 2 (Instrument national 52-109, Attestation de l’information présentée dans les documents annuels et intermédiaires des émetteurs).

Le document Examen du cadre de gouvernance des sociétés d’État du Canada, publié en 2005, renferme les déclarations de principe et d’engagement suivantes.

Mesure 24

En principe, le gouvernement est favorable au recours à un régime de certification adapté à la réalité des institutions publiques. Le Secrétariat du Conseil du Trésor du Canada examinera, de concert avec les cadres de direction des sociétés d’État, un projet de régime de certification qui pourrait s’appliquer à toutes les sociétés d’État.

Des consultations menées auprès des sociétés d’État ont montré que ces dernières ont un point de vue et des besoins très différents en ce qui concerne la certification, selon l’importance et la complexité de leurs activités. Certaines grandes sociétés d’État ont déjà entrepris un processus qui pourrait se solder par la mise en place d’un régime de certification et de contrôle interne, et ils ont déterminé que les coûts dépassent les avantages qu’en retirent leurs organisations. D’autres organisations plus petites ne voient pas vraiment la nécessité à l’heure actuelle de consacrer à la mise en œuvre d’un régime de certification les ressources supplémentaires considérables que cela exigerait. Quelques sociétés d’État ont adopté des approches différentes, dont une approche cyclique et fondée sur l’examen des risques pour la gestion de leurs contrôles internes. En tenant compte de la rétroaction reçue des sociétés d’État et du Bureau du vérificateur général, le SCT a décidé de ne pas obliger les sociétés d’État à mettre en œuvre un régime de certification et de contrôle interne.

Le conseil d’administration et la direction de chaque société d’État ont la responsabilité fondamentale d’assurer l’efficience et l’efficacité des activités ainsi que la fiabilité des rapports financiers. Les sociétés d’État pourraient avoir divers motifs pour mettre en œuvre un régime de certification et de contrôle interne, y compris les suivants :

  • Répondre aux attentes des Canadiens quant à une utilisation efficace, efficiente et économique des ressources publiques
  • Accroître la responsabilité de la direction de la société d’État en ce qui concerne l’exactitude, l’intégralité et la fiabilité de ses états financiers
  • Promouvoir l’élaboration, la documentation et la tenue à jour de contrôles internes efficaces applicables aux rapports financiers
  • Encourager l’élaboration de contrôles et procédures efficaces de divulgation relativement aux autres exigences clés en matière de rapports financiers des sociétés d’État.

Le conseil d’administration (ou le comité de vérification) de la société d’État a recours à une pratique exemplaire lorsqu’il examine et remet en question le régime de certification et de contrôle interne afin de déterminer s’il est raisonnable, compte tenu des risques, du contexte et des besoins opérationnels de la société d’État.

3.0 Approche globale en matière de certification et de contrôle interne

Un régime approprié de certification et de contrôle interne tient compte des risques particuliers et du contexte d’exploitation de la société d’État tout en reconnaissant qu’un modèle global n’est pas réaliste, compte tenu des caractéristiques diverses des sociétés d’État.

Pour décider quelles mesures à prendre dans le cadre d’un éventuel régime de certification et de contrôle interne, une société d’État devrait tout d’abord déterminer la nature des évaluations requises pour permettre au chef de la direction (CD) et au dirigeant principal des finances (DPF) d’attester les états financiers dans la déclaration de responsabilité de la direction (consultez la section 6.0 ci‑dessous).

Le présent document décrit les principaux éléments d’une approche axée sur les risques pour la gestion des contrôles internes que pourrait envisager d’adopter une société d’État, une fois que celle‑ci a décidé de mettre en place un régime de contrôle interne.

3.1 Évaluation des risques liés aux états financiers – Établissement de la portée

En premier lieu, une société d’État procédant à l’établissement d’un régime de contrôle interne devrait examiner ses états financiers pour repérer et évaluer les principaux éléments posant des risques qui pourraient être inclus dans la portée du régime. L’évaluation des risques liés aux états financiers se fait habituellement au moyen d’un exercice d’établissement de la portée dont le résultat prévu est une liste, établie en ordre de priorité des risques, des éléments pouvant être inclus dans le régime de contrôle interne. Cette liste permet à la société d’État de déterminer les éléments posant les risques les plus élevés qui seraient visés par son régime de contrôle interne.

Pour l’établissement de la portée, on suggère aux sociétés d’État de prendre en compte les quatre points suivants aux fins de contrôle interne :

  1. Contrôles à l’échelle de l’entité – Les contrôles à l’échelle de l’entité sont ceux qui contribuent à l’« esprit qui règne en haut lieu » dans une organisation. Ils comprennent les contrôles qui portent sur l’environnement de contrôle, le processus d’évaluation des risques et les activités d’information, de communication et de suivi de l’organisation. En établissant la portée, une société d’État déterminera les contrôles pertinents à l’échelle de l’entité qui devront être évalués et inclus dans son régime de contrôle interne. En général, ces contrôles correspondent aux contrôles à l’échelle de l’organisation qui ont une incidence sur la fiabilité de l’information financière dans les processus opérationnels et informatiques généraux. Dans le cadre de l’établissement de la portée des contrôles à l’échelle de l’entité, une société d’État devra également envisager de déterminer le niveau des contrôles de suivi qui existent dans l’ensemble de la société d’État car cette information pourrait s’avérer utile lorsqu’il s’agit de déterminer quels types de contrôles de suivi de niveau supérieur la société peut compter dans le régime de contrôle interne.
  2. Contrôles relatifs aux processus opérationnels – L’établissement de la portée des contrôles relatifs aux processus opérationnels, y compris les contrôles relatifs aux applications, commence généralement par les états financiers et la balance de vérification connexe de l’organisation. L’établissement de la portée vise à déterminer les catégories importantes d’opérations dans les états financiers qui sont souvent regroupées en processus opérationnels. On peut envisager toute une gamme de facteurs quantitatifs et qualitatifs pour déterminer si les catégories importantes d’opérations et de processus opérationnels doivent s’inscrire dans la portée du contrôle interne :
    • Facteurs quantitatifs – On peut tenir compte de la valeur monétaire des postes des états financiers et des grandes catégories d’opérations pour déterminer l’importance ou la nature essentielle des processus opérationnels. La valeur monétaire est habituellement exprimée en pourcentage de l’importance des états financiers du point de vue de la vérification.
    • Facteurs qualitatifs – Outre la valeur quantitative des catégories d’opérations, d’autres facteurs peuvent être envisagés pour déterminer les processus opérationnels à inclure dans la portée. À titre d’exemple, mentionnons la complexité des politiques et procédures comptables connexes, la vulnérabilité d’un processus à la manipulation ou à la fraude, l’ampleur des jugements ou des estimations nécessaires dans le processus, le niveau de changement dans le processus, l’historique des erreurs et la possibilité d’attirer l’attention du public.

    Après avoir évalué les catégories d’opérations et de processus opérationnels selon des facteurs quantitatifs et qualitatifs, on suggère d’établir une cote de risque globale dans chaque cas. Cette cote peut servir à déterminer les catégories d’opérations et de processus opérationnels à évaluer dans le régime de contrôle interne.

  3. Contrôles informatiques généraux – Pour chaque application et système déterminé comme appuyant les processus opérationnels couverts dans la portée (consultez la section 1.2 ci‑dessus), la société d’État détermine quels sont les processus de contrôle informatique généraux en place pour soutenir ces applications et systèmes. Parmi les éléments que l’on retrouve généralement dans les contrôles informatiques généraux, mentionnons l’élaboration de programmes, la modification de programmes, l’accès aux programmes et aux données et les opérations informatiques.Voir la note en bas de page 3 Une fois que ces processus ont été déterminés, une cote de risque globale peut être établie pour chacun. Cette cote pourrait servir à déterminer dans quelle mesure il est prioritaire de tenir compte des processus de contrôles informatiques généraux dans le cadre du régime de contrôle interne de la société d’État.
  4. Contrôles applicables à la divulgation – La portée du régime de contrôle interne d’une société d’État devrait inclure les contrôles applicables à la divulgation de son rapport annuel (y compris les états financiers), de son plan d’entreprise et des rapports financiers trimestriels. La société d’État pourrait inclure dans la portée de ce régime les processus et contrôles internes qui sont utilisés pour assurer la divulgation appropriée et la fiabilité de l’information présentée dans ces documents.

3.2  Stratégie de mise en place d’un régime de certification et de contrôle interne

D’après les résultats de l’établissement de la portée, on aura une meilleure compréhension des domaines de contrôle à l’échelle de l’entité, des processus opérationnels, des processus de contrôles informatiques généraux et des processus de contrôles applicables à la divulgation à inclure ou à ne pas inclure dans le régime de contrôle interne. Les membres du conseil d’administration peuvent demander à la direction de la société d’élaborer des cotes de risque initiales pour chaque processus.

D’après ces données, chaque société d’État devrait être à même d’étayer la proposition de stratégie de mise en place d’un régime de contrôle interne (c.-à-d., les éléments à inclure dans la portée du régime et l’approche prévue pour l’élaboration du programme de contrôle interne de la société d’État). Compte tenu de l’expérience du secteur privé et d’autres administrations en ce qui a trait à des régimes de contrôle interne semblables, on s’attend à ce que les trois éléments suivants, à tout le moins, soient évalués dans le cadre du régime de contrôle interne d’une société d’État :

  • Contrôles à l’échelle de l’entité
  • Processus de clôture et de présentation des états financiers
  • Contrôles applicables à la divulgation du rapport annuel (y compris les états financiers), du plan d’entreprise et des rapports financiers trimestriels

De plus, à moins de circonstances atténuantes, chaque société d’État documenterait et évaluerait les activités de contrôle menées dans le cadre des autres processus à risque élevé (processus opérationnels ou processus de contrôles informatiques généraux) repérés au cours de l’exercice d’établissement de la portée. Étant donné que les processus opérationnels à risque élevé varient selon la nature de la société d’État, chaque société d’État peut consigner les raisons pour lesquelles elle a inclus ou exclus certains processus opérationnels dans sa stratégie de contrôle interne. Les processus de contrôles informatiques généraux à risque élevé comprennent généralement l’accès aux programmes et aux données ainsi que l’élaboration et la modification de programmes, mais ils peuvent varier d’une société d’État à l’autre, selon la nature de l’environnement des systèmes de la société d’État et la mesure dans laquelle on s’y fie pour produire les rapports financiers.

Pour les processus qui ne sont pas réputés présenter un risque élevé à la suite de l’exercice d’établissement de la portée, les sociétés d’État peuvent déterminer quelles mesures sont nécessaires, le cas échéant, pour appuyer le régime de contrôle interne. Contrairement à la documentation et à l’évaluation exhaustives des activités de contrôle qui sont prévues dans le cas des éléments présentant plus de risques, diverses approches peuvent être envisagées dans le cas des éléments moins à risque, notamment les suivantes :

  • Documentation des contrôles clés et adoption d’une approche d’évaluation restreinte (p. ex., des essais plus limités des contrôles internes ou des essais menés selon un plan de rotation pluriannuel)
  • Utilisation de contrôles de suivi à l’échelle ministérielle qui sont centralisés ou de niveau plus élevé auxquels peut avoir recours la direction (ceux‑ci peuvent avoir été déterminés au moment de l’établissement de la portée des contrôles à l’échelle de l’entité ou dans le cadre des processus opérationnels à risque plus élevé).

4.0 Documentation et essai des contrôles internes applicables aux rapports financiers

Pour les processus opérationnels, les processus des contrôles informatiques généraux, les processus des contrôles à l’échelle de l’entité et les processus des contrôles applicables à la divulgation qui sont dans la portée, la société d’État peut décider de documenter (généralement par une combinaison de textes explicatifs ou de graphiques des processus et d’une grille matricielle détaillée des contrôles connexes) et d’évaluer les contrôles principaux relatifs à chaque processus. L’approche adoptée par une société d’État pour la documentation et l’évaluation doit également être décrite dans sa stratégie de mise en place d’un régime de contrôle interne.

Dans le secteur privé, l’approche descendante (commençant à l’échelle de l’entité puis portant sur les contrôles informatiques généraux et finalement, sur les processus opérationnels détaillés) s’est révélée une stratégie efficace sur le plan des ressources pour l’évaluation des contrôles internes. Il faut noter qu’avant de documenter et d’évaluer tous les processus dans la portée, d’autres organisations ont jugé utile d’examiner l’efficacité de la conception des contrôles de l’entité et d’exécuter un projet pilote portant sur au moins un processus. Si l’on détermine que les contrôles à l’échelle de l’entité sont solides, les risques importants qui doivent être gérés par rapport à la fiabilité des états financiers devraient être atténués et les niveaux d’essai et d’échantillonnage des processus opérationnels devraient être réduits. La réalisation d’un projet pilote permet de mieux comprendre le processus requis et les répercussions sur l’échéancier liées à l’exécution des activités de documentation et d’évaluation nécessaires. En tirant des leçons de l’évaluation de l’efficacité des contrôles à l’échelle de l’entité, une société d’État peut être mieux placée pour déterminer dans quels cas les contrôles clés doivent être documentés et évalués.

L’approche en matière de documentation et d’évaluation qu’adopte une société d’État pour son régime de contrôle interne servirait, idéalement, à :

  • Procurer au CD et au DPF des données probantes, rigoureuses et suffisantes dans la gestion des contrôles internes en regard des rapports financiers pour qu’ils puissent signer en guise d’approbation la déclaration de responsabilité de la direction, y compris lorsque les états comprennent une certification explicite de l’efficacité de l’ICFR
  • Donner au conseil d’administration (et/ou au comité de vérification) une assurance suffisante que le régime de contrôle interne de la société d’État tient adéquatement compte des risques auxquels elle fait face
  • Favoriser l’établissement d’un programme de suivi du contrôle interne permanent et efficace

L’un des principaux objectifs du processus d’évaluation consiste à veiller à ce que la nature du risque déterminé suive la mesure de contrôle, ce qui est généralement vérifié au moyen de la documentation des principaux contrôles et processus de contrôle ainsi que l’examen de l’efficacité de la conception de l’environnement de contrôle. Cette confirmation constitue le fondement que l’on utilise pour déterminer si le régime de contrôle interne est efficace, s’il permet de maintenir le contrôle et d’atténuer les risques.

L’évaluation de l’efficacité des contrôles internes en regard des rapports financiers porte généralement autant sur la conception des contrôles que sur leur efficacité opérationnelle. Il s’agit des étapes séquentielles des évaluations courantes de l’efficacité des contrôles internes, comme on le fait dans le secteur privé et dans d’autres domaines de compétences.

Pour ce qui est des lacunes repérées dans le cours du processus de documentation, de conception et d’évaluation de l’efficacité opérationnelle, une société d’État devrait lancer un processus visant à en déterminer la gravité et l’importance ainsi que mettre en place des plans de redressement appropriés pour corriger les faiblesses importantes, qui sont définis comme suit :

On entend par « faiblesse importante » une lacune ou une série de lacunes, sur le plan des contrôles internes applicables aux rapports financiers, de sorte qu’il existe une probabilité raisonnable qu’une inexactitude importante dans les états financiers de la société d’État ne soit pas évitée ou repérée en temps opportun.

Comme il est indiqué dans la déclaration de responsabilité de la direction, les faiblesses importantes et les plans de redressement correspondants établis par la direction (y compris les échéanciers de redressement) peuvent être signalés.

Présentation de rapports

Comme il a été susmentionné, une société d’État devrait indiquer tous les éléments importants qui sont exclus de la portée de son régime de contrôle interne (filiales, établissements, entités à détenteurs de droits variables). De plus, toute faiblesse importante peut être divulguée concurremment avec les plans d’action de la direction et les échéanciers pour corriger ces lacunes, pour régler les problèmes associés aux contrôles ou pour en atténuer les risques.

On suggère également à une société d’État de fournir, avec la déclaration de responsabilité de la direction, une brève description de l’approche globale qu’elle a adoptée pour son régime de contrôle interne. Celle-ci peut être jointe à la déclaration parallèlement aux états financiers.

Rôles et responsabilités

Il incombe ultimement au conseil d’administration de déterminer s’il est nécessaire de mettre en place un régime de certification et de contrôle interne et, le cas échéant, de déterminer les exigences générales du système. Dans ce cas, on s’attend à ce que le conseil d’administration joue un rôle de supervision pour les plans et les résultats des évaluations de l’efficacité, y compris des modifications à apporter au régime. À des stades stratégiques clés du processus, le conseil d’administration (ou le comité de vérification) de la société d’État examinerait l’approche adoptée par la direction en regard des contrôles internes afin de déterminer si la portée et l’approche définies soutiennent de manière adéquate la déclaration de responsabilité de la direction, compte tenu du contexte et de la réalité opérationnelle de la société d’État et du fait que les résultats rendent bien compte de l’environnement de contrôle interne de celle-ci.

En règle générale, le DPF devrait diriger et coordonner la gestion du régime de certification et de contrôle interne d’une société d’État à titre de conseiller stratégique pour appuyer le rôle de direction du CD. Le CD et le DPF sont chargés de signer la déclaration de responsabilité de la direction établie dans le régime de certification et de contrôle interne.

D’autres cadres supérieurs investis de responsabilités de programme seraient également des joueurs clés dans la gestion du régime de contrôle interne qui s’applique à leur domaine de responsabilité. De plus, on pourrait tirer parti de l’expertise de chacun pour veiller à l’intégrité de l’évaluation de l’efficacité des contrôles internes, y compris dans les domaines de la vérification interne et des technologies de l’information.

Au bout du compte, il appartient au CD et au DPF de la société d’État de décider le moment de signer en guise d’approbation la déclaration de responsabilité de la direction (consultez la section 6.0 ci‑dessous), si le conseil d’administration décide d’établir un régime de certification et de contrôle interne. Les sociétés d’État peuvent aussi envisager d’adopter un système d’approbation par signature de niveau inférieur ou d’approbations supplémentaires quant à l’efficacité des contrôles internes, où les principaux gestionnaires de l’organisation attestent a spamussi l’efficacité des contrôles internes dans leur domaine de responsabilité. Il s’agit d’une pratique exemplaire qui devient de plus en plus courante dans le secteur privé.

Cadre de contrôle

On suggère qu’une société d’État indique, dans sa stratégie de mise en place d’un régime de contrôle interne, le cadre de contrôle global qu’elle utilisera pour son régime de contrôle interne. Le cadre de contrôle constitue une structure qui permettra à la société d’État d’entreprendre ses activités de contrôle interne de manière organisée et efficiente.

Dans d’autres secteurs et d’autres administrations, le cadre du Committee of Sponsoring Organizations (COSO)Voir la note en bas de page 4 est largement reconnu comme la norme pour des initiatives de certification semblables. Ce cadre porte normalement sur les cinq composantes ou domaines suivants associés au contrôle interne :

  1. Environnement de contrôle;
  2. Évaluation des risques;
  3. Activités de contrôle;
  4. Information et reddition de comptes;
  5. Surveillance.

De même, les Control Objectives for Information and related Technology (COBIT)Voir la note en bas de page 5 sont désormais devenus la norme de fait pour les mesures de contrôle relatives à la TI dans le cadre d’un régime de contrôle interne. Étant donné l’approche ainsi que les renseignements et outils connexes relatifs à ces cadres, il serait bon que les sociétés d’État en examinent les avantages.

5.0 Maintien de contrôles internes efficaces pour les rapports financiers

Une fois les travaux de contrôle interne de la première année terminés (c.-à-d. l’établissement de la portée, la documentation et les essais sur les contrôles et la production de rapports), il faudra s’assurer de tenir la documentation à jour et de mener périodiquement des essais pour appuyer la production des rapports de contrôle interne. Pour ce faire, une société d’État voudra peut-être organiser un programme d’activités permanentes d’entretien et de viabilité dans le cadre de sa stratégie de contrôle interne (une société d’État pourrait être mieux placée pour mettre en œuvre sa stratégie d’entretien et de viabilité après avoir terminé les activités de contrôle interne de la première année).

Les stratégies d’entretien couramment utilisées comprennent l’assignation de la responsabilité quant à l’examen et à la mise à jour périodiques (annuels ou semestriels) de la documentation sur les contrôles à un chef ou un « responsable du processus » désigné. De plus, une stratégie courante de viabilité consiste à effectuer des essais ciblés et axés sur les risques tout au long de l’année (à tous les trois mois). Des outils technologiques permettant de mettre à jour la documentation sur les contrôles, de faire le suivi des résultats des essais et de présenter des rapports sur les progrès réalisés/résultats sont utilisés par certaines organisations pour résoudre les problèmes d’entretien/de viabilité. Finalement, pour favoriser la viabilité, de nombreuses organisations cherchent à intégrer des aspects de leurs projets de contrôle interne à leurs processus de gestion des risques et de vérification interne et à tirer profit des résultats de ces processus.

6.0 Déclaration annuelle de responsabilité de la direction

Une société d’État qui met en œuvre un régime de certification et de contrôle interne peut intégrer à son rapport annuel une déclaration de responsabilité de la direction qui servira de page frontispice à ses états financiers. Cette déclaration comprendrait idéalement des déclarations du chef de la direction (CD) et du dirigeant principal des finances (DPF) attestant les points suivants :

  1. Que le CD et le DPF ont examiné les états financiers et qu’à leur connaissance et ayant fait preuve de diligence raisonnable, les états financiers présentent de manière équitable, à tous les égards importants, la position financière, les résultats des opérations et les mouvements de trésorerie de la société d’État à compter de la date précisée et pour les périodes indiquées dans les états financiers;
  2. Que le CD et le DPF ont mis en place des contrôles internes efficaces applicables aux rapports financiers portant sur la protection des actifs et la conformité aux lois et règlements applicables et qu’ils les maintiennent; que la société d’État a conçu des contrôles internes applicables aux rapports financiers ainsi que des contrôles et des procédés applicables à la divulgation (de son rapport annuel, de son plan d’entreprise et de ses rapports financiers trimestriels) qui sont appropriés, selon les circonstances de la société d’État;
  3. Que le CD et le DPF ont procédé à l’évaluation de l’efficacité des contrôles internes applicables aux rapports financiers ainsi que des contrôles et procédures applicables à la divulgation de la société d’État. Compte tenu des résultats de cette évaluation, la société d’État peut donner une assurance raisonnable que les contrôles internes applicables aux rapports financiers à compter de la date précisée sont efficaces et qu’aucune faiblesse importante n’a été repérée dans la conception ou le fonctionnement des contrôles internes relatifs aux rapports financiers, à l’exception des éléments suivants :
    1. Description des faiblesses importantes
    2. Description du plan de redressement établi pour corriger les faiblesses importantes
    3. Date d’achèvement ou date d’achèvement prévue du plan de redressement

Tous les éléments importants qui sont exclus de la portée du régime de certification et de contrôle interne d’une société d’État (p. ex., filiales, établissements, entités à détenteurs de droits variables) peuvent être indiqués.

Il faudrait noter que d’autres types de déclarations de divulgation de la direction peuvent être utilisés par les sociétés d’État, selon la forme des contrôles internes applicables aux rapports financiers qu’elles adoptent.Voir la note en bas de page 6

Toute autre information sommaire à divulguer concernant l’évaluation et la gestion du régime de contrôle interne peut être jointe à la déclaration de responsabilité de la direction.

7.0 Conclusion

À court terme, soit au moment de la conception et de la mise en œuvre du système, la mise en place d’un régime de certification et de contrôle interne nécessite une dépense supplémentaire des ressources et des efforts de l’organisation. Or, à moyen et à long terme, un tel régime permet au conseil d’administration et à la direction de s’assurer considérablement que les états financiers présentent de manière équitable les résultats opérationnels de la société d’État et que les faiblesses des rapports financiers ont été décelées. 

Jusqu’à présent, la plupart des sociétés d’État n’ont pas encore mis en place un régime de certification et de contrôle interne car elles ont évalué que les risques d’inexactitude dans les états financiers sont faibles relativement aux coûts inhérents à la mise en place d’un tel régime. Toutefois, les exigences récentes concernant la divulgation financière pourraient pousser les sociétés d’État à réduire encore davantage ces risques. La Norme sur les rapports financiers trimestriels des sociétés d’État, par exemple, qui entrera en vigueur le 1er avril 2011, obligera les CD et les DPF à signer une déclaration selon laquelle le rapport financier trimestriel présente, à tous les égards importants, la position financière, les résultats des opérations et les mouvements de trésorerie de la société d’État. La mise en œuvre de certains contrôles internes applicables aux rapports financiers et de procédures et contrôles pour la divulgation est l’un des moyens de réduire au minimum le risque d’inexactitude financière.

8.0 Références

Détails de la page

Date de modification :