Rapport d’Audit des activités de surveillance du système de contrôle interne en matière de rapports financiers
8. Constatations, recommandations et plan d’action de la gestion
Cette section contient les constatations et les recommandations qui découlent des travaux d’audit. Même si l’audit s’est déroulé en fonction des éléments d’enquête et des critères d’audit recensés à la phase de planification, le présent rapport s’articule autour des principaux thèmes suivants :
- gouvernance;
- identification des comptes clés, des processus, des sous-processus, des risques et des contrôles clés;
- planification et conduite des évaluations;
- plans d’action et correction des lacunes dans les contrôles.
Pour les conclusions par critère d’audit, veuillez vous référer à l’annexe A.
8.1 Gouvernance
Dans le cadre de l’audit, on a examiné s’il y avait un cadre de gouvernance et de surveillance efficace en place pour la surveillance de l’efficacité continue du système de CIRF.
Constatation 1 :
Des organismes de surveillance appropriés et efficaces sont en place afin d’encadrer la surveillance du système de CIRF. Toutefois, les rapports actuels doivent être davantage détaillés pour appuyer les organismes à remplir leurs fonctions relatives au CIRF.
Lien à :
Gouvernance
Cadre de gouvernance du CIRF
Un cadre ministériel du CIRF, approuvé par le sous-ministre en octobre 2013, est en place et définit les rôles et les responsabilités liés au CIRF des personnes clés (y compris les cadres de direction, les cadres supérieurs et les employés), des comités, des bureaux et des divisions au sein du Ministère. Le BCG a récemment reconnu le cadre du Ministère comme une « excellente pratique » – de nombreux autres ministères n’avaient pas encore élaboré de cadre formel – et le Ministère a accepté de présenter le cadre à d’autres ministères.
Le Comité de gestion (CG) et le Comité ministériel de vérification (CMV) sont les principaux organismes de surveillance pour le CIRF. Le CG est un organisme de surveillance approprié puisque la direction est responsable de son système de contrôles interne, notamment les contrôles en matière de rapports financiers, et toute lacune relevée nécessitera des mesures de gestion. Le CMV joue également un rôle important dans le CIRF étant donné qu’il a la responsabilité de recommander les états financiers à l’administrateur général pour approbation Note de bas de page 1 et de fournir des conseils à l’administrateur général sur les plans d’évaluation axés sur les risques et les résultats connexes liés à l’efficacité du système de CIRF Note de bas de page 2 du Ministère.
Notre examen des procès-verbaux des deux comités a permis de constater qu’ils se rencontrent de façon régulière et qu’ils ont abordé des questions liées au CIRF, suivant les besoins.
Rendre compte aux organismes de surveillance
Les organismes de surveillance exigent des rapports réguliers afin de se tenir au courant des activités de surveillance du CIRF et de les appuyer en exerçant leurs fonctions liées au CIRF. Tous les trois ans, la DPCF présente aux organismes de surveillance son plan pluriannuel du programme de surveillance permanente pour le CIRF (Plan pluriannuel) pour la prochaine période de trois ans. La DPCF fournit également un rapport annuel formel par le biais de :
- l’annexe de l’état financier – évaluation des contrôles internes en matière de rapports financiers (Annexe);
- le rapport sur les résultats du programme de surveillance permanente pour le CIRF en vertu de la Politique sur le contrôle interne (Rapport sur les résultats).
Tout au long de l’année et lorsque nécessaire, la DPCF présente également des rapports spéciaux sur les contrôles internes liés à des initiatives ministérielles permanentes (telles que les initiatives Processus d’approvisionnement au paiement et Amélioration du processus de recouvrement des coûts).
L’Annexe est un rapport sommaire de haut niveau, présenté dans un format prescrit, défini par les Lignes directrices sur la « Politique sur le contrôle interne ». La DPCF a admis que ce type de rapport n’était pas suffisant pour appuyer une surveillance efficace et a élaboré le Plan pluriannuel et le Rapport sur les résultats pour fournir davantage de précisions à la direction et aux organismes de surveillance. Ces rapports supplémentaires sont une bonne pratique, mais nous estimons qu’ils pourraient être améliorés afin d’appuyer plus solidement les organismes de surveillance dans la prise de décisions éclairées en ce qui a trait à la pertinence et à la convenance des activités de surveillance du CIRF.
Le Plan pluriannuel a été élaboré pour définir les comptes des états financiers qui doivent faire l’objet d’une surveillance de manière à assurer la conformité continue avec la PCI au cours d’une période de trois ans. Nous estimons que ce rapport permet de fournir des renseignements utiles aux organismes de surveillance, mais qu’il doit contenir des renseignements plus détaillés sur l’approche utilisée par la DPCF afin de déterminer l’efficacité continue du système de CIRF. Le Plan pluriannuel n’explique pas que la portée des tests qui seront effectués sur des comptes désignés sera établie en fonction d’une évaluation du risque effectuée au début de chaque année et que seuls certains sous-processus et contrôles clés seront testés. Sans cette information, le lecteur est susceptible de s’attendre à ce que les tests englobent tous les sous-processus et les contrôles clés dans les comptes désignés. D’ailleurs, le plus récent Plan pluriannuel aurait pu fournir de l’information plus détaillée sur les cotes de risque qui étaient attribuées aux comptes (impact, probabilité et cotes de risque globales), étant donné que les cotes de risque définissent la fréquence des tests des comptes individuels.
Le Rapport sur les résultats donne un aperçu des résultats des activités de surveillance du CIRF de l’année précédente. Cependant, le rapport ne fournit pas suffisamment de détails contextuels au sujet des comptes qui ont été testés, notamment le nombre de sous-processus et de contrôles testés par rapport au nombre total de sous-processus et de contrôles clés qui existent dans le compte. Sans ce contexte plus large, il est difficile pour les organismes de surveillance d’évaluer l’exhaustivité des tests et de déterminer si ces tests étaient suffisants.
L’élaboration d’un Plan pluriannuel et d’un Rapport annuel sur les résultats est une excellente pratique mise en œuvre par la DPCF, qui s’ajoute aux exigences de la politique. Le fait de peaufiner et d’améliorer ces documents permettra de mieux appuyer les organismes de surveillance dans la prise de décisions éclairées en ce qui a trait à la pertinence et à la convenance des activités de surveillance du CIRF.
Recommandation 1
R-1. Il est recommandé que la sous-ministre adjointe du Secteur de la gestion et dirigeante principale des Finances améliore les rapports transmis aux organismes de surveillance de manière à décrire plus en détail l’approche fondée sur les risques qui a été appliquée dans le cadre des activités de surveillance du CIRF, y compris la portée et l’étendue du test prévu et effectué sur l’efficacité opérationnelle.
Plan d’action de la gestion
Compte tenu du processus établi consistant à présenter les rapports annuels sur les résultats du contrôle interne en matière de rapports financiers (CIRF) et les documents connexes (p. ex., les plans pluriannuels de CIRF) au Comité de gestion (CG) et au Comité ministériel de vérification (CMV) au moment de la présentation des états financiers ministériels (EFM), le rapport sur les résultats du CIRF sera révisé au besoin, de manière à décrire plus en détail l’approche fondée sur les risques qui a été appliquée dans le cadre des activités de surveillance du CIRF. Le rapport annuel sur les résultats du CIRF sera présenté au CG de même qu’au CMV avec les EFM 2015-2016 au plus tard le 31 août 2016.
Le plan pluriannuel de CIRF présenté au CMV en juin 2015 sera mis à jour au besoin, de manière à décrire plus en détail l’approche fondée sur les risques qui a été appliquée dans le cadre des activités de surveillance du CIRF. La mise à jour du plan englobera la période jusqu’à 2016-2019 et sera incluse à la documentation accompagnant les EFM 2015-2016.
Selon le processus établi, une rétroaction sera demandée au CG et au CMV concernant le rapport annuel sur les résultats du CIRF et le plan pluriannuel, notamment pour ce qui est de la profondeur des renseignements à fournir, afin de raffiner davantage les plans et les rapports soumis les années subséquentes.
Bureau de première responsabilité :
Secteur de la gestion et de la DPF
Date d’échéance :
Le 31 août 2016
8.2 Identification des comptes clés, des processus, des sous-processus, des risques et des contrôles clés
La mise en œuvre de la PCI exige que les contrôles clés fassent l’objet d’une évaluation axée sur les risques. L’une des étapes cruciales de ce processus consiste à cerner et à évaluer ou réévaluer les risques et les contrôles clés connexes dans les processus et sous-processus opérationnels, ainsi qu’au niveau de l’entité et dans les systèmes de TI. Le fait de cerner et d’évaluer les risques et les contrôles clés connexes de façon adéquate permet de prendre des décisions efficaces fondées sur les risques en ce qui a trait aux contrôles qui doivent être surveillés chaque année et permet d’appuyer les tests sur l’EF.
Constatation 2 :
Les risques et les contrôles connexes n’ont pas été cernés et documentés de façon adéquate pour appuyer la surveillance efficace et continue axée sur les risques.
Lien à :
Gestion des risques et contrôle interne
Contrôles au niveau des processus (CNP)
Au Ministère, les CNP sont pris en compte et évalués tels qu’ils existent dans les comptes des états financiers. La DPCF consigne les risques au niveau des processus et les contrôles connexes (CNP) sur les « feuilles maîtresses » pour chacun des comptes des états financiers. Ces feuilles maîtresses servent à consigner les sous-processus, les risques et les contrôles connexes qui existent dans le compte. Elles permettent également de consigner les cotes de risque (probabilité, impact et global) et les caractéristiques des CNP définis (c.‑à‑d. préventifs ou de détection; automatisés ou manuels; l’attestation sur les états financiers faisant l’objet du contrôle). La consignation des risques et des contrôles clés, qu’ils soient consignés sur les feuilles maîtresses ou sur les matrices de risque et de contrôle, est une pratique courante dans l’ensemble des ministères et constitue une première étape essentielle pour appuyer la surveillance du système de CIRF.
Bien que des feuilles maîtresses aient été créées pour les trois comptes des états financiers que nous avons examinés, nous avons constaté que les risques et les contrôles clés dans les sous‑processus cernés n’étaient pas toujours identifiés et documentés de façon adéquate. Les listes de risques élaborées par la DPCF étaient incomplètes dans certains cas, et l’évaluation des risques cernés n’était pas toujours adéquate ou appropriée (c.-à-d. les risques étaient regroupés et cotés ensemble, plutôt que de façon individuelle; les cotes globales des risques – élevé, moyen et faible – ne concordaient pas toujours avec les cotes relatives à l’analyse de probabilité et d’impact). Nous avons également constaté que les contrôles documentés n’étaient pas toujours bien définis et, dans certains cas, qu’ils ne s’adressaient pas au risque cerné. Enfin, nous avons cerné des risques pour lesquels aucun contrôle n’avait été identifié.
Nous avons également constaté que des sous-processus figurant sur les trois feuilles maîtresses n’avaient pas encore été documentés. Par conséquent, aucun risque ni contrôle clé n’a été identifié. La DPCF a expliqué que ces sous-processus présentaient un faible risque et qu’ils n’étaient donc pas pris en considération dans les tests sur l’EF. Nous n’étions pas en mesure de valider ces évaluations des risques en raison du fait qu’elles n’étaient pas documentées. Même s’il est vrai qu’il n’est peut-être pas nécessaire de documenter les sous-processus à faible risque, nous avons constaté que quatre des sous‑processus désignés comme manquants avaient été pris en compte dans le plan de travail de 2015-2016 de la DPCF pour faire l’objet des tests sur l’EF. Dans un cas, la DPCF a ajouté le sous-processus à sa feuille maîtresse et l’a évalué comme un risque « moyen » – une cote plus élevée que celle attribuée à quatre autres sous-processus du compte dont les risques et les contrôles avaient été antérieurement documentés.
Ces lacunes ne signifient pas nécessairement que la DPCF n’est pas au courant des risques ou des contrôles clés qui existent dans les processus et les sous-processus, ou que les contrôles nécessaires n’existent pas. Toutefois, compte tenu de ces lacunes, nous n’étions pas en mesure de déterminer si la DPCF examine tous les renseignements pertinents lors de sa sélection axée sur les risques des contrôles qui feront l’objet d’une surveillance chaque année ou si les tests sur l’EF effectués par la Division sont suffisants pour déterminer l’efficacité continue du système de CIRF (abordé plus en détail dans la sous-section 8.3).
Contrôles au niveau de l’entité (CNE)
Les CNE ont une incidence sur l’efficacité globale du système de contrôles internes et peuvent avoir des répercussions fondamentales sur la fiabilité des contrôles au niveau des processus s’ils ne sont pas en place et ne fonctionnent pas de façon efficace. Pour déterminer les CNE, les ministères choisissent un cadre de référence Note de bas de page 3 approprié afin d’établir des objectifs pertinents en matière de contrôle et désignent ensuite les contrôles particuliers qui existent au sein du ministère et qui sont liés à chacun des objectifs. Comme point de référence, un sous-comité sur les CNE mis en place par le BCG aux fins de la PCI a proposé qu’il y ait « environ 75 à 100 objectifs de contrôle à traiter », alors que l’outil diagnostic préliminaire 2012 de la PCI créé par le BCG à l’intention des ministères et des organismes (outil de diagnostic) indiquait 138 contrôles au niveau de l’entité.
Nous avons constaté que la liste actuelle des CNE de la DPCF n’est pas suffisamment complète pour appuyer la surveillance continue du régime de CIRF. Au cours de l’exercice 2009-2010, la DPCF a identifié environ 200 CNE pour le Ministère (en utilisant le cadre des contrôles de gestion de base du BCG). Toutefois, comme l’a expliqué la DPCF, cette liste a été par la suite abrégée en fonction du risque afin de se concentrer sur les CNE liés directement aux contrôles financiers. À l’heure actuelle, seulement 16 CNE sont identifiés. Même si nous considérons qu’il est approprié que la DPCF ait utilisé les contrôles de gestion de base du BCG pour identifier les CNE, nous avons déterminé que la liste actuelle des CNE n’est pas complète. Des 16 « contrôles », nous avons seulement considéré cinq de ces contrôles comme des contrôles réels. Les « contrôles » restants représentaient soit des objectifs de contrôle (p. ex., « Comité exécutif et son mandat ») ou une combinaison de contrôles et d’objectifs de contrôle.
Bien que nous soyons d’accord avec l’approche générale de la DPCF visant à identifier les CNE clés, il est important que ces CNE soient définis de façon appropriée – et non pas seulement les objectifs de contrôle. Sans une liste complète des CNE bien définis, il n’est pas possible de tester adéquatement l’efficacité du fonctionnement des CNE ou de tirer des conclusions sur l’efficacité du fonctionnement du système de CIRF.
Contrôles généraux liés à la technologie de l’information (CGTI)
Les CGTI s’appliquent aux composantes, aux processus et aux données des systèmes de TI et englobent les contrôles relatifs à l’accès, aux opérations, ainsi qu’au développement et à la maintenance des systèmes. Les contrôles des applications (souvent considérés avec les CGTI) sont des contrôles intégrés dans les applications des processus opérationnels conçues pour appuyer les résultats tels que l’autorisation, l’exhaustivité, l’exactitude et la validité des opérations. En général, les ministères identifient les CGTI en élaborant d’abord les critères d’évaluation des risques afin de documenter et évaluer les risques liés au CIRF qui sont inhérents à leurs systèmes de TI, et identifient ensuite les contrôles spécifiques qui existent dans les systèmes afin d’atténuer ces risques.
Nous avons constaté que la DPCF ne tient pas actuellement à jour une liste de CGTI précis. La DPCF a plutôt défini un total de cinq « domaines de contrôle » de TI qui appuient les systèmes de TI du Ministère. Ces « domaines de contrôle » de TI sont les suivants : accès aux systèmes et aux données, sécurité, contrôles de changement, élaboration de programmes et opérations informatiques. Notre examen a permis de constater qu’en dépit du fait que des contrôles multiples existent dans chacun de ces « domaines de contrôle », aucun contrôle particulier n’a été défini. La DPCF a expliqué que puisqu’elle n’a pas les connaissances et les compétences pour définir les CGTI pertinents qui existent dans les systèmes TI du Ministère, elle avait l’intention de tirer profit de deux initiatives de transformation à l’échelle du gouvernement pour faciliter la documentation des CGTI du Ministère (c.-à-d. les initiatives du Processus d’approvisionnement au paiement et de Transformation de la gestion financière). Toutefois, une de ces initiatives a été annulée en décembre 2013 (Processus d’approvisionnement au paiement) et l’autre a été reportée (Transformation de la gestion financière). On a donc réalisé peu de progrès sur le plan de l’identification et de la documentation des CGTI.
L’approche actuellement utilisée par la DPCF pour identifier les CGTI n’est pas suffisante. Même si la DPCF avait réussi à tirer profit de ces initiatives à l’échelle du gouvernement pour identifier certains CGTI, il reste d’autres CGTI qui vont au-delà des systèmes de gestion financière de base qui ont été examinés dans le cadre de ces initiatives. Il convient de signaler qu’en 2007, les CGTI ministériels et les contrôles ministériels des applications de TI liés aux rapports financiers ont été documentés. Bien que la liste ne soit pas actuellement tenue à jour ni utilisée pour appuyer la surveillance du CIRF, elle peut constituer un bon point de départ pour dresser une liste des CGTI actuels. Note de bas de page 4
Recommandation 2
R-2. Il est recommandé que la sous-ministre adjointe du Secteur de la gestion et dirigeante principale des Finances mette en œuvre un processus visant à assurer que les contrôles clés sont identifiés, documentés et tenus à jour de façon adéquate afin d’appuyer efficacement la surveillance continue du système de CIRF. Il est notamment recommandé de :
- documenter les sous-processus, les risques et les contrôles clés pour tous les comptes des états financiers dans le périmètre;
- identifier et documenter pleinement les CNE et les CGTI;
- élaborer un processus pour assurer que ces renseignements sont validés et tenus à jour.
Plan d’action de la gestion
Contrôles au niveau des processus (CNP)
Le plan pluriannuel de CIRF 2016-2019 (voir la recommandation 1) proposera un calendrier de surveillance révisé pour les comptes des états financiers, qui mettra l’accent sur des tests approfondis plutôt que de prescrire la surveillance de tous les comptes chaque année, comme c’est le cas actuellement. Ce nouveau calendrier touchera un plus petit nombre de comptes chaque année, mais prévoira plus de tests en profondeur, ce qui assurera le même niveau d’assurance sur l’ensemble. Dans le contexte du processus de surveillance et de la documentation en vigueur, les sous-processus pertinents des comptes des états financiers seront pleinement documentés pendant les projets de surveillance. La documentation des sous-processus, des risques et des contrôles clés pertinents pour tous les comptes des états financiers visés sera établie d’ici la fin du cycle visé par le plan pluriannuel de CIRF 2016-2019. Selon l’échéancier, à compter de 2016-2017, chaque année s’achèvera une nouvelle étape, complétée au cours de la surveillance des comptes, le travail initial ayant déjà été commencé en 2015-2016.
Un processus sera établi et consigné dans le guide du CIRF de la Division des politiques et des contrôles financiers (DPCF) d’ici le 31 août 2016 pour veiller à ce que toute l’information soit validée et mise à jour au fur et à mesure, pour les CNP de même que pour les Contrôles au niveau de l’entité (CNE) et les Contrôles généraux liés à la technologie de l’information (CGTI), selon les besoins. Ce processus sera conçu pour que toute nouvelle méthodologie ou orientation du Bureau du contrôleur général puisse s’y intégrer ultérieurement.
Contrôles au niveau de l’entité (CNE)
Les CNE ont tous été établis en 2009-2010, puis mis à jour en 2011-2012, et aucune lacune n’a été observée. Les CNE ont par la suite été regroupés et limités aux seuls CNE pertinents aux fins du CIRF afin de faciliter l’administration de la surveillance en cours.
D’ici le 31 mars 2016, les CNE qui ont été regroupés seront réorganisés en groupes de contrôle plus précis pour mieux identifier les CNE susceptibles d’avoir une incidence sur les CNP.
Contrôles généraux liés à la technologie de l’information (CGTI)
Les avantages de la documentation sur les CGTI sont tels que des ressources importantes avaient été investies dans des projets liés au système, mais qui ont malheureusement dû être annulées sous l’ordre du Secrétariat du Conseil du Trésor (SCT). Par conséquent, les prochaines orientations à l’égard des CGTI devront faire l’objet de consultations avec le SCT concernant l’intention et l’échéancier du SCT à l’égard du nouveau système normalisé à l’échelle du gouvernement dans le cadre de l’initiative de Transformation de la gestion financière. Les activités futures liées à la documentation sur les CGTI et les échéanciers correspondants dépendront donc de ces consultations, de manière à ce que tout le travail lié aux CGTI s’harmonise aux initiatives du SCT et s’avère un bon usage des ressources disponibles. En guise de mise en contexte, le travail futur sur les CGTI mettra l’accent sur le Système intégré des finances et du matériel (SIFM), compte tenu de tous les changements importants qui se sont opérés à l’égard de la propriété et de la dépendance à d’autres systèmes depuis la documentation initiale sur les CGTI en 2007. Les CGTI pertinents au cœur d’autres systèmes de TI gérés par Justice seront également évalués pour déterminer leurs risques relatifs aux CIRF et pour déterminer comment ils seront surveillés en allant de l’avant.
Bureau de première responsabilité :
Secteur de la gestion et de la DPF
Date d’échéance :
CNE
- Le 31 mars 2016
CNP, CNE et CGTI
- Le 31 août 2016 (Développement et documentation du processus pour la validation et mise à jour de la documentation pour les sous-processus, risques et contrôles - comme approprié)
CNP
- Le 31 mars 2019 (avec des jalons annuels, basé sur le plan pluriannuel de CIRF 2016-2019)
CGTI
- Sujet à la direction du SCT
8.3 Planification et conduite des évaluations
L’étape de la surveillance continue de la mise en œuvre de la PCI exige que les ministères mènent une évaluation annuelle axée sur les risques afin de déterminer l’efficacité continue du système de CIRF. À cet égard, les ministères mènent des évaluations des risques régulières afin d’identifier et de choisir des processus spécifiques et des contrôles clés qui seront soumis à des tests de l’efficacité du fonctionnement. Les tests de l’EF visent à démontrer la fiabilité des contrôles au cours d’une période de temps donnée en ce qui a trait à la réduction des risques relatifs aux rapports financiers. Pour ce faire, il faut élaborer des méthodes de test et des stratégies d’échantillonnage, et choisir et tester des échantillons d’opérations.
Constatation 3 :
Une approche plus rigoureuse est requise sur le plan de la planification et de la conduite de l’évaluation annuelle axée sur les risques du système de CIRF.
Lien à :
Gestion des risques et contrôle interne
Contrôles au niveau des processus (Planification des tests de l’EF)
L’approche utilisée par la DPCF pour sélectionner les contrôles clés qui feront l’objet des tests de l’EF commence par l’identification des comptes des états financiers du Ministère qui seront testés. Ce processus a lieu tous les trois ans et, comme il a été noté précédemment, est documenté dans le Plan pluriannuel de la DPCF. Le plan définit également la fréquence à laquelle les comptes seront testés (c.-à-d. chaque année, tous les deux ans). Nous avons constaté que l’approche utilisée par la DPCF pour identifier les comptes des états financiers qui feront l’objet de tests et pour déterminer la fréquence des tests était généralement adéquate. En 2011, la DPCF a procédé à une évaluation approfondie des risques qui a envisagé des renseignements provenant d’un certain nombre de sources et des commentaires de la haute direction. En 2014, la DPCF a simplifié ce processus en mettant l’accent sur la question à savoir si des changements importants se sont produits et si ces changements peuvent avoir une incidence sur les résultats de l’évaluation précédente. Bien que cette approche simplifiée ait été appropriée pour 2014, il faudra possiblement adopter une approche plus rigoureuse pour mettre à jour l’évaluation de base de 2011 dans le cadre des plans pluriannuels futurs.
Chaque année, la DPCF : 1) revalide le bien-fondé des comptes des états financiers qui ont été identifiés dans le Plan pluriannuel aux fins de tests; 2) identifie les sous-processus spécifiques et les contrôles clés dans les comptes aux fins de tests (car les sous-processus ou les contrôles clés dans un compte ne font pas tous l’objet d’un test). Nous avons constaté que l’approche utilisée par la DPCF pour revalider le bien-fondé des comptes sélectionnés était appropriée, mais nous avons remarqué que la revalidation n’était pas documentée. L’exercice de revalidation met simplement l’accent sur la question à savoir si des changements importants qui auraient une incidence sur la sélection des comptes se sont produits depuis la création du Plan pluriannuel. La DPCF a signalé qu’il se produit rarement des changements suffisamment importants à la suite desquels il faudrait modifier la sélection des comptes identifiés aux fins de tests (p. ex. l’importance relative aux comptes ne fluctue pas de façon significative; les objectifs opérationnels du Ministère ont tendance à être constants). Nous avons toutefois relevé plusieurs lacunes dans l’approche adoptée par la DPCF pour identifier des sous-processus spécifiques et des contrôles clés dans les comptes qui seront soumis aux tests de l’EF.
La DPCF a indiqué que le personnel se réunit chaque année afin d’examiner et de sélectionner les sous-processus et les contrôles clés qui seront soumis aux tests de l’EF. La sélection est effectuée à la lumière des résultats des tests de l’EF précédents et de certains facteurs tels que des changements récents liés au processus, les résultats d’audits internes récents et les sujets qui préoccupent la direction. Cependant, cette sélection annuelle fondée sur les risques est effectuée de façon informelle et n’est pas documentée. De plus, le guide du CIRF de la DPCF fournit peu de directives au personnel sur la façon d’effectuer la sélection fondée sur les risques, et n’offre aucun cadre pour définir le niveau minimal de test requis pour permettre à la DPCF de tirer des conclusions sur l’efficacité continue du système de CIRF. À titre d’exemple, aucune exigence n’a été établie relativement à la fréquence ou à l’étendue des tests des contrôles liés aux risques élevés, moyens ou faibles. Dans le cadre de l’examen du dossier, nous avons notamment constaté que les contrôles liés aux risques élevés ne faisaient pas l’objet de tests plus fréquents par rapport aux contrôles liés aux risques faibles ou moyens. En raison de ces lacunes, nous n’avons pas été en mesure de vérifier si les contrôles identifiés pour les tests étaient les plus appropriés ou si les tests seraient suffisants pour aider la DPCF à déterminer l’efficacité continue du système de CIRF.
Bien que ces lacunes n’indiquent pas nécessairement que des contrôles inappropriés aient été sélectionnés pour les tests de l’EF, elles augmentent la probabilité de négliger des risques ou des contrôles clés ou de faire en sorte que les tests soient insuffisants pour atteindre les objectifs du plan de surveillance continue. Cette situation est particulièrement préoccupante étant donné qu’il n’y existe aucune exigence que tous les contrôles clés dans les comptes des états financiers identifiés fassent l’objet de tests. Le processus de planification informel de la DPCF est également particulièrement tributaire des connaissances et de l’expérience du personnel. Le processus est donc vulnérable si un membre clé de l’équipe quitte le groupe. Enfin, comme il a été mentionné précédemment dans la sous-section 8.2, les risques et les contrôles connexes dans les processus et les sous-processus n’ont pas été identifiés et documentés de façon adéquate, ce qui peut avoir une incidence sur la capacité de la DPCF de mener une évaluation complète des risques.
Contrôles au niveau des processus (Réalisation des tests sur l’EF)
Étant donné que la DPCF ne documente pas les résultats de l’évaluation des risques qu’elle effectue chaque année pour sélectionner des sous-processus spécifiques et des contrôles clés en vue de mener des tests sur l’EF, nous n’avons pas été en mesure de déterminer si les tests sur l’EF avaient été effectués comme prévu au niveau des sous-processus et des contrôles clés. Toutefois, nous avons été en mesure de déterminer si les tests sur l’EF avaient été effectués comme prévu au niveau des comptes des états financiers étant donné que ces renseignements sont consignés dans le Plan pluriannuel de la DPCF et dans l’Annexe.
Nous avons constaté qu’au cours de deux des trois années visées par le Plan pluriannuel 2012‑2015, les tests sur l’EF des comptes des états financiers n’avaient pas été effectués comme prévu ou tel qu’il était indiqué dans l’Annexe. En 2012-2013, seulement deux des cinq comptes identifiés avaient fait l’objet d’un test sur l’EF, alors que l’Annexe indiquait que le test de l’EF des cinq comptes avait été effectué comme prévu. En 2014-2015, seulement six des sept comptes identifiés avaient fait l’objet d’un test sur l’EF (la version finale de l’Annexe pour cette année n’était pas finalisée au moment de l’examen, mais la version provisoire que nous avons examinée indiquait que tous les tests avaient été effectués comme prévu). La DPCF a expliqué que le test sur l’EF prévu au niveau du compte est parfois remplacé par d’autres activités telles qu’un examen et une assistance dans le cadre de la conception de nouveaux contrôles par suite de changements apportés aux processus.
Fait à souligner, le compte des recettes tirées des services juridiques a fait l’objet d’un test sur l’EF une seule fois sur la période de trois ans. De plus, le test portait sur seulement un des cinq sous-processus identifiés dans le compte. Les recettes tirées des services juridiques dépassent 300 millions de dollars chaque année, ce qui représente environ 25 % des recettes et des dépenses annuelles du Ministère. Il s’agit de l’un des cinq comptes devant faire l’objet d’un test sur l’EF chaque année. La DPCF a expliqué qu’en dépit du fait que le test sur l’EF formel du compte avait fait l’objet de changements récurrents dans la conception du processus, le test et le niveau d’assurance s’étaient révélés suffisants en ce qui a trait à l’efficacité du fonctionnement des contrôles clés du compte, si l’on considère les changements apportés par la DPCF sur le plan de la conception. Le travail décrit par la DPCF pour fournir une assurance sur l’efficacité du fonctionnement des contrôles clés dans le compte ne nous a pas semblé suffisant, et nous avons remarqué que la DPCF ne conservait pas de dossiers sur les tests ou ne faisait pas état des résultats dans les Rapports sur les résultats annuels ou dans les Annexes (à part le fait de confirmer que le test avait été effectué comme prévu).
Bien que nous soyons conscients que les changements apportés aux processus peuvent avoir une incidence sur le test sur l’EF prévu, le test sur l’EF des contrôles clés dans le contexte des comptes des états financiers qui comportent une importance relative élevée et (ou) des risques élevés doit être effectué comme prévu afin d’assurer que la DPCF est en mesure de tirer des conclusions sur l’efficacité continue des contrôles connexes. Le test sur l’EF est rigoureux, systématique et documenté, et il ne peut pas être remplacé par une autre forme de test informel. Si le test de l’EF prévu n’est tout simplement pas possible durant les périodes de transition, l’Annexe devrait clairement indiquer que les processus et les contrôles clés n’ont pas fait l’objet d’une évaluation comme prévu.
Contrôles au niveau de l’entité
L’approche utilisée par la DPCF pour évaluer l’efficacité du fonctionnement des CNE consiste à surveiller, sur une base annuelle, les résultats des évaluations effectuées par d’autres groupes. Ces évaluations englobent des audits internes, le Cadre de responsabilisation de gestion, le Sondage auprès des fonctionnaires fédéraux et des audits pertinents du BCG et du BVG. Dans son guide, la DPCF explique qu’en faisant le suivi et en rendant compte des résultats des évaluations menées par d’autres groupes, elle est en mesure de surveiller l’environnement opérationnel du Ministère et de déterminer si cela a une incidence négative ou positive sur les processus ou les contrôles en matière de rapports financiers.
Les CNE peuvent être subjectifs et difficiles à mesurer. Nous avons déterminé que la stratégie de la DPCF visant à surveiller les résultats des évaluations menées par d’autres groupes constitue une approche appropriée pour évaluer les CNE. Toutefois, nous avons noté que les évaluations effectuées par d’autres groupes ne s’adressaient pas nécessairement à tous les CNE pertinents et, que la DPCF n’a pas établi d’approche pour corriger les écarts révélés dans les tests. Le guide de la DPCF indique que la conduite d’évaluations des CNE « dépasse le mandat » de son programme. Cependant, la documentation connexe du BCG que nous avons passée en revue fait clairement état de l’obligation des ministères de mener un test de l’EF des CNE.
Les faiblesses relatives aux CNE peuvent avoir une incidence fondamentale sur la fiabilité des contrôles au niveau des processus. Lorsque l’on se fie à des tests effectués par d’autres groupes, les lacunes liées à l’évaluation doivent être cernées et traitées. Une fois que les CNE ont été définis de façon appropriée par la DPCF (voir la sous‑section 8.2), il faudrait établir une approche pour effectuer les tests des CNE qui n’ont pas été effectués par d’autres groupes, le cas échéant.
Contrôles généraux liés à la technologie de l’information
De façon similaire aux CNE, l’approche utilisée par la DPCF pour évaluer l’efficacité du fonctionnement des CGTI consiste à surveiller sur une base annuelle les résultats des évaluations effectuées par d’autres groupes (dans ce cas-ci, il s’agit des propriétaires de système de TI). De plus, son guide indique que cette approche comprend la réalisation de « projets de surveillance » par la DPCF lorsque les évaluations effectuées par d’autres groupes comportent des lacunes importantes. Bien que la DPCF ait indiqué qu’elle avait effectué certains tests limités en 2012-2013 et en 2013-2014, son guide indique qu’elle n’a pas nécessairement l’expertise technique pour mener les évaluations des CGTI.
L’approche de surveillance utilisée par la DPCF ne nous a pas semblé suffisante pour déterminer l’efficacité continue des CGTI. Bien que le fait de s’appuyer sur les résultats d’évaluations effectuées par d’autres groupes constitue une pratique recommandée, la DPCF fait le suivi des résultats des évaluations effectuées par d’autres groupes en fonction de « domaines de contrôle », plutôt qu’en fonction de CGTI spécifiques. Tel qu’il est mentionné à la section 8.2, la DPCF n’a pas identifié de CGTI spécifiques permettant de relever des lacunes dans les évaluations effectuées par d’autres groupes. De plus, rien n’indique que les lacunes relevées aient été comblées. Dans le cadre de notre examen, nous avons constaté que seulement deux des cinq systèmes gérés par le Ministère comportaient des résultats de surveillance pour les cinq « domaines » au cours de la période de trois ans. L’un des systèmes ne disposait d’aucun résultat d’évaluation à examiner, et deux autres disposaient d’évaluations qui portaient seulement qu’en partie sur les cinq « domaines ».
Étant donné que la DPCF n’a pas identifié adéquatement les CGTI du Ministère ou mis en place une approche pour tester les CNE qui n’ont pas été évalués par d’autres groupes, il n’est pas possible de déterminer si le test sur l’EF est suffisant afin de déterminer l’efficacité continue du système de CIRF. Les lacunes relevées dans les évaluations effectuées par d’autres groupes doivent être identifiées et comblées. Cela est particulièrement pertinent pour les CGTI, du fait que les évaluations du système effectuées par d’autres groupes ne visent pas nécessairement les mêmes objectifs que les CIRF et qu’elles sont susceptibles de ne pas traiter les contrôles appropriés.
Recommandation 3
R-3. Il est recommandé que la sous‑ministre adjointe du Secteur de la gestion et dirigeante principale des Finances élabore, documente et mette en œuvre une approche pour la sélection annuelle des contrôles clés pour le test sur l’EF (CNP, CNE, et CGTI). Cette approche devrait englober ce qui suit :
- les facteurs de risque à évaluer et la façon dont ils exercent une influence sur la sélection des contrôles (c.-à-d. pondération);
- le niveau minimal de test requis pour déterminer l’efficacité continue du système de CIRF;
- un processus visant à relever et à combler les lacunes lorsque les tests effectués par d’autres groupes ne sont pas suffisants pour évaluer les contrôles clés sélectionnés.
Plan d’action de la gestion
Au sein du gouvernement du Canada, il y a d’autres politiques, directives et exigences en matière de rapport qui s’ajoutent à la PCI et qui exigent que les ministères s’assurent de l’exactitude de leurs rapports financiers. Diverses activités s’ajoutent aux tests de l’efficacité opérationnelle (EO) pour répondre à ces exigences.
Contrôles au niveau des processus (CNP)
Dans ce contexte, le Secteur de la gestion et de la DPF fournira au CMV un rapport sommaire sur le travail effectué, dont il a déjà fait rapport au CMV et à la haute direction, pour assurer l’exactitude des rapports financiers de 2009-2010 à 2014-2015 sur chaque compte des états financiers. Ce rapport sommaire attestera du travail réalisé, qui offre un niveau adéquat d’assurance concernant les CNP. Il sera déposé au plus tard le 31 décembre 2015.
De plus, les dossiers de travail de la PCI de la DPCF ont été mis à jour afin d’établir des liens clairs avec tout le travail réalisé pour offrir de l’assurance, en plus des tests de l’EO, en matière d’attestation, de conception de contrôles et de politiques. Dorénavant, la DPCF tiendra également des dossiers sur les fichiers de projets pour rendre plus accessible la documentation sur le travail d’assurance entrepris pour la conception des nouveaux processus et contrôles.
Enfin, la mise à jour de la documentation dans le guide du CIRF et les documents de travail de la DPCT pendant le déploiement du Plan pluriannuel de CIRF 2016-2019 (voir la recommandation 2 et le travail à réaliser d’ici le 31 mars 2019) comprendra le développement d’une approche basé sur le risque pour la sélection des sous-processus et contrôles à être testés et les niveaux de test à effectuer en vertu d’offrir de l’assurance.
Contrôles au niveau de l’entité (CNE)
Un document présentant les options et une recommandation sur les tests de l’efficacité opérationnelle à réaliser sur les CNE sera remis au sous-ministre au plus tard le 31 janvier 2016 pour approbation.
L’approche ci-haut notée pour supporter l’option approuvée pour les CNE sera documentée dans le cadre de la mise à jour globale du guide du CIRF, comme spécifié dans le plan d’action de la gestion pour la recommandation 1 par le 31 août 2016.
Contrôles généraux liés à la technologie de l’information (CGTI)
La documentation sur les risques associés aux CGTI sera préparée en application de la recommandation 2. Selon ce qui ressortira des consultations avec le SCT, un plan de tests de l’efficacité opérationnelle sera élaboré dès que la documentation sur les CGTI aura été mise à jour et que l’efficacité de la conception aura été réévaluée.
Bureau de première responsabilité :
Secteur de la gestion et de la DPF
Date d’échéance :
CNP
- Le 31 décembre 2015 (Rapport sommaire au CMV)
- Le 31 mars 2019 (Achèvement de la documentation)
CNE
- Le 31 janvier 2016 (options portant sur les tests de l’efficacité opérationnelle fournies au sous-ministre)
- Le 31 août 2016 (documentation de l’approche selon la décision du sous-ministre)
CGTI
- Sujet à la direction du SCT
8.4 Plans d’action et correction des lacunes dans les contrôles
Lors du test du CIRF, des erreurs ou des défaillances dans la conception du contrôle et (ou) l’efficacité du fonctionnement peuvent être détectées. La direction doit examiner les répercussions possibles de toute faiblesse du contrôle sur l’intégrité des états financiers et déterminer si des mesures correctives sont requises pour remédier aux défaillances du contrôle. Par conséquent, un processus devrait être en place afin d’informer la direction des défaillances du contrôle et de surveiller toute mesure visant à y remédier.
La DPCF a mis en œuvre un processus informel pour rendre compte à la direction des lacunes dans les contrôles et pour surveiller les plans d’action qui en résultent. Elle fait part aux responsables fonctionnels compétents des défaillances du contrôle au fur et à mesure que celles-ci sont identifiées et collabore avec ces derniers pour élaborer un plan d’action visant à atténuer la défaillance. La DPCF a indiqué que la plupart des défaillances du contrôle sont remédiées au cours de l’exercice pendant lequel elles ont été relevées. Si la défaillance n’est pas remédiée avant la fin de l’exercice, on en fera mention dans le Rapport sur les résultats et dans l’Annexe des états financiers (si nécessaire). La DPCF surveille ensuite la mise en œuvre des points en suspens jusqu’à son achèvement.
Ce processus informel est appuyé par deux facteurs qui contribuent à sa réussite. Tout d’abord, la DPCF et la majorité des propriétaires de processus responsables des CIRF proviennent de la Direction générale des finances et de la planification et relèvent de l’adjoint à la dirigeante principale des Finances. La DPCF dispose ainsi d’un mécanisme efficace pour remédier aux défaillances du contrôle qui n’ont pas été résolues. En deuxième lieu, la sous-ministre adjointe et dirigeante principale des Finances a mis en œuvre un processus selon lequel les changements aux processus et aux contrôles au sein du Secteur de la gestion et de la DPF ne seront pas approuvés tant qu’ils n’auront pas été examinés par la DPCF.
Bien que nous nous attendions à trouver un processus d’établissement de rapports et de suivi plus formel, nous avons conclu que le processus informel actuel s’avère efficace pour le moment. Nous avons constaté que les défaillances du contrôle étaient généralement remédiées au fur et à mesure qu’elles étaient identifiées, et que les lacunes non résolues étaient surveillées par la DPCF et signalées aux organismes de surveillance, au besoin.
- Date de modification :