octobre 2015
- 1. INTRODUCTION
- 2. CONSTATATIONS ET RECOMMANDATIONS
- 3. CONCLUSION
- 4. RECOMMANDATIONS ET PLAN D’ACTION DE LA GESTION
SOMMAIRE
En 2009, la Politique sur le contrôle interne ( PCI ) du Secrétariat du Conseil du Trésor a renforcé les exigences relatives aux contrôles internes, afin d’améliorer la qualité de la gestion financière et de la reddition de comptes et de renforcer les responsabilités financières et la transparenceFootnote1. Dans le cadre de la PCI , les sous-ministres (SM) doivent s’assurer de la mise en place, de l’entretien et de la surveillance du système ministériel du contrôle interne.
Afin de respecter les exigences de la PCI et en vue d’appuyer la Déclaration annuelle de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers, la direction de Transports Canada (TC) évalue les contrôles internes qui sont liés aux rapports financiers et aux états financiers du Ministère. Le Cadre de contrôle interne en matière de rapports financiers (cadre de CIRF) de Transports Canada a été élaboré; l’Unité de la surveillance financière et du contrôle de la qualité (SFCQ) au sein des Services généraux effectue des évaluations fondées sur les risques du système de contrôle interne en matière de rapports financiers (CIRF) dans le cadre de son plan de surveillance continue.
La présente vérification a pour objectif d’offrir l’assurance au sous-ministre et au Comité ministériel de vérification (CMV) que le processus de surveillance continue du CIRF est rigoureux et fiable.
TC a mis en place un processus de surveillance rigoureux pour évaluer l’efficacité de la conception et l’efficacité opérationnelle du CIRF au niveau des processus opérationnels, ce qui comprend un cadre de CIRF exhaustif pour l’évaluation et la surveillance fondées sur les risques. Toutefois, le cadre de travail ne fait pas de distinction claire entre l’objectif et la portée du CIRF et l’objectif et la portée du cadre global de gestion du contrôle interne du Ministère. Cette absence de clarté accroît le risque que les gestionnaires comprennent mal leurs responsabilités quant au système global de contrôle interne et qu’ils se fient trop à la surveillance du CIRF et aux résultats connexes d’évaluation afin de réduire les risques d’erreurs financières.
Certaines améliorations devraient être apportées pour tester les contrôles des rapports financiers externes. Les outils et les processus d’évaluation de l’efficacité doivent être normalisés davantage, les résultats des évaluations doivent être mieux étayés et des instructions claires doivent être données sur la façon de tenir compte de la fraude. Une stratégie pour mener des essais sur l’efficacité opérationnelle – qui comprend des instructions et des outils connexes adéquats – est en place. Cependant, les évaluations effectuées devraient être étayées et les essais statistiques devraient être déterminés.
Dans l’ensemble, nous pouvons conclure que la haute direction et les fournisseurs en matière de vérification peuvent se fier au processus de surveillance du Ministère afin d’évaluer l’efficacité du cadre de CIRF au niveau des processus opérationnels pour les rapports financiers externes.
Énoncé de conformité
La vérification est conforme aux normes de vérification interne du gouvernement du Canada, appuyées par les résultats d’une évaluation externe du programme d’assurance et d’amélioration de la qualité de la Vérification interne.
Signatures
Dave Leach
Dave Leach (CIA et MPA), directeur, Services de vérification et de conseils
08/10/2015
Date
Martin Rubenstein
Martin Rubenstein (CPA, CIA et CFE), dirigeant principal de la vérification et de l’évaluation
08/10/2015
Date
1. INTRODUCTION
1.1. Objectif
En 2009, la Politique sur le contrôle interne (PCI) du Conseil du Trésor a renforcé les exigences en matière de contrôle interne, en vue d’améliorer la qualité de la gestion financière et de la reddition de comptes et de renforcer les responsabilités financières et la transparence.
Transports Canada (TC) a élaboré le cadre de contrôle interne en matière de rapports financiers (cadre de CIRF) pour traiter du CIRF dans le cadre de la PCI .
La gestion du contrôle interne (GCI), comme le définit le cadre de CIRF , est l’ensemble des moyens mis en place pour atténuer les risques et fournir une assurance raisonnable dans les catégories suivantes : l’efficacité et l’efficience des programmes, des opérations et de la gestion des ressources, y compris la protection des actifs; la fiabilité des rapports financiers; la conformité aux lois, aux règlements, aux politiques et aux pouvoirs délégués. Les contrôles internes opèrent à tous les niveaux à travers l’organisation et font partie intégrante du cadre de gestion des risques de l’organisation. En pratique, le système de contrôle interne du Ministère est composé de plusieurs systèmes de contrôles internes couvrant des domaines variés de gestion, tels que la gestion financière et les rapports financiers.
Le cadre de CIRF définit le CIRF comme l’ensemble des moyens qui permettent à la haute direction et aux utilisateurs d’états financiers d’avoir l’assurance raisonnable que :
- des dossiers reflétant fidèlement toutes les opérations financières sont tenus;
- l’inscription des opérations financières permet la préparation de renseignements, de rapports et d’états financiers internes et externes conformément aux politiques, aux directives et aux normes;
- les revenus sont reçus et les dépenses sont effectuées conformément aux pouvoirs délégués, et que les opérations non autorisées qui pourraient avoir des répercussions importantes sur l’information financière et les états financiers sont empêchées ou repérées en temps opportun. Il s’agit notamment de fournir l’assurance raisonnable que les ressources financières sont protégées contre les pertes importantes découlant de gaspillage, d’abus, d’une mauvaise gestion, d’erreurs, de fraudes, d’omissions et d’autres irrégularités.Footnote2
Le CIRF est un sous-ensemble du système ministériel global de la GCI .
1.2. Contexte
TC a conçu un système global de contrôle interne qui est décrit dans le diagramme suivantFootnote3 :
Diagramme A : Système de contrôle interne de Transports Canada
Version textuelle de diagramme A : Système de contrôle interne de Transports Canada
Le présent diagramme comporte trois cercles qui s’entrecoupent et un quatrième cercle qui les englobe.
Le plus grand cercle représente le Cadre de gestion de contrôle interne. Il s’agit du grand éventail de contrôles internes de Transports Canada (TC). Le sous-ministre, à titre d’administrateur des comptes, est le responsable ultime de ces contrôles.
Le cercle de taille moyenne à l’intérieur du grand cercle représente la gestion financière. Il s’agit du système de contrôle de gestion financière, qui est un sous-ensemble des contrôles généraux. Le dirigeant principal des finances est responsable de ces contrôles.
Le petit cercle à l’intérieur du moyen cercle représente les contrôles internes en matière de rapports financiers (CIRF). Il s’agit du système de contrôle en matière de rapports financiers, qui est un sous-ensemble des contrôles de gestion financière. La Politique sur le contrôle interne du Conseil du Trésor se concentre particulièrement sur le CIRF .
Le quatrième cercle qui englobe les trois cercles qui s’entrecoupent montre que les sous-ministres adjoints ont certaines responsabilités à l’égard des contrôles généraux, des contrôles de gestion financière et du CIRF .
Dans le cadre d’une structure efficace de surveillance de la gestion du contrôle interne (GCI), le sous-ministre, le DPF et les cadres supérieurs du Ministère (membres du CGX ) doivent établir, tenir à jour, soutenir et surveiller le système ministériel de contrôle interne, y compris le contrôle interne en matière de rapports financiers, en exerçant les fonctions suivantes :
- Examiner et approuver les évaluations des risques liés aux rapports financiers, y compris les évaluations des risques à l’échelle de l’organisation qui ont des répercussions sur la saine gestion financièreFootnote4 et le contrôle.
- Promouvoir et appliquer le Code de valeur et d’éthique de TC dans le cadre des activités quotidiennes du Ministère.
- Inclure des mesures de contrôle interne dans les ententes de mesure du rendement de la haute direction pour que chacun applique ces mesures dans son organisation respective.
- Encourager et mener, au besoin, des activités de communication et de formation continue à l’égard des exigences législatives, des politiques et des procédures à l’appui de la saine gestion financière et du contrôle.
- Surveiller les comptes rendus réguliers sur la gestion du contrôle interne du CIRF , y compris l’évaluation des résultats et l’approbation des mesures correctives découlant des plans d’action de la gestion, dans leurs champs de responsabilité.
- Fournir une confirmation annuelle des résultats de la gestion du contrôle interne en approuvant la gestion des contrôles du CIRF relevant du champ de responsabilité de chacun.
- Signer la lettre annuelle de déclaration de la direction concernant les renseignements financiers déclarés dans les Comptes publics du Canada.
- Responsabilité propre au DPF : veiller à ce que des évaluations annuelles fondées sur le risque soient menées relativement à l’efficacité du CIRF et à la surveillance continue des contrôles financiers du Ministère et approuver et signer la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers qui accompagne les états financiers ministériels devant être signés par le SM .
Comme le montre le diagramme A, le CIRF est un sous-ensemble de contrôles de la gestion financière, laquelle est un sous-ensemble du cadre de gestion du contrôle interne. Même si la PCI traite des contrôles internes, elle n’a établi, jusqu’à présent, que des instructions en ce qui concerne le CIRF .
Types de contrôles
Il existe divers types de contrôles, lesquels sont regroupés en trois catégories :
Contrôles au niveau de l’entité (CNE)
Les contrôles au niveau de l’entité comprennent les mesures et les pratiques en place dans l’ensemble du Ministère qui pourraient avoir un impact, direct ou indirect, sur les rapports financiers produits par le Ministère ou une influence sur l’intégrité de ceux-ci. Les contrôles au niveau des entités définissent l’orientation et les attentes générales quant à la façon dont l’organisation poursuivra ses objectifs; par conséquent, ils ont des répercussions dans l’ensemble du Ministère. Si ces contrôles sont faibles, inadéquats ou inexistants, les lacunes qu’ils présentent pourraient avoir des conséquences fondamentales sur la fiabilité des contrôles au niveau des processus, ce qui pourrait finir par influencer la capacité du Ministère d’atteindre ses objectifs.
TC est en train de mettre en place une évaluation fondée sur les risques de son efficacité opérationnelle continue de ses CNE actualisés, qui sera effectuée tous les trois ans, tout en équilibrant les risques appropriés et les répercussions sur les ressources. Les CNE sont intégrés au Cadre intégré de contrôle interne du COSO (2013). L’année de la première évaluation de la surveillance continue sera 2015-2016.
Contrôles généraux liés à la technologie de l’information (CGTI)
Comme les CGTI appuient le lancement, l’enregistrement, le traitement et la déclaration des transactions financières, ils font partie intégrante du CIRF . Quand les CGTI à l’échelle des systèmes de la technologie de l’information sont robustes, ils forment une base qui permet de se fier davantage aux contrôles des applications automatisées qui sont intégrés dans les processus des systèmes financiers.
Un cabinet externe a évalué les CGTI et a transmis les résultats en juin 2014. La prochaine surveillance continue des CGTI est prévue pour 2016-2017.
Contrôles des processus opérationnels
Les contrôles des processus opérationnels, qui comprennent des contrôles manuels et automatisés, sont intégrés dans les transactions financières (p. ex. vérification des comptes, approbation déléguée en vertu des articles 32 et 34, etc.). Les contrôles automatisés qui ne sont pas des CGTI sont documentés dans le cadre des processus opérationnels.
TC a défini neuf processus opérationnels principaux :
- Rémunération et avantages sociaux
- Immobilisations et travaux en cours
- Subventions et contributions (Paiements de transfert)
- Clôture financière et rapports
- produits à recevoir et autres entrées générales (CAFE, indemnités à payer, responsabilité environnementale autres écritures de journal)
- Approvisionnement en matière de voyage
- Budgétisation et prévisions financières
- Revenus et comptes débiteurs
- Approvisionnement (dépenses de fonctionnement, passation de marchés et engagements)
Cadre de CIRF
Le Cadre de contrôle interne en matière de rapports financiers pour l’évaluation et la surveillance fondées sur les risques (Cadre de CIRF ) est le principal document de TC en matière de gouvernance. Ce document permet d’établir le cadre de contrôle de la gestion du Ministère pour répondre aux exigences du CIRF dans le contexte de la PCI et il offre une stratégie structurée d’évaluation et de surveillance fondée sur les risques pour soutenir un système efficace de CIRF .
Le Cadre de CIRF a d’abord été élaboré, approuvé et mis en œuvre en novembre 2012. Il jette la base des responsabilités et de l’approche normalisée pour l’élaboration, la mise en œuvre, la surveillance et la gestion du CIRF au Ministère. En novembre 2014, le Comité de gestion exécutif (CGX) de Transports Canada a approuvé un cadre de CIRF actualisé qui est harmonisé avec le cadre du COSO de 2013 et d’autres améliorations.
Méthodologie concernant les essais du CIRF
Pour surveiller le CIRF , deux types d’essais sont nécessaires : les essais sur l’efficacité de la conception et les essais sur l’efficacité opérationnelle. Les essais sur l’efficacité de la conception comprennent la détermination des risques pour la fiabilité de l’information sur les états financiers dans les principaux processus opérationnels et l’examen des contrôles existants par rapport à ces risquesFootnote5. Les essais sur l’efficacité opérationnelle permettent d’évaluer si les contrôles clés fonctionnent comme prévu au cours d’une certaine période et de déceler les faiblesses ou les lacunes dans l’utilisationFootnote6. La SFCQ a signalé que les essais sur l’efficacité de la conception et les essais sur l’efficacité opérationnelle ont été effectués pour les principaux processus opérationnels.
La SFCQ transmet les constatations de ses évaluations aux responsables des processus opérationnels qui sont chargés d’élaborer des plans d’action de la gestion (PAG) afin de répondre aux recommandations. En outre, les résultats des évaluations du CIRF et les activités de surveillance découlant du PAG sont transmis tous les six mois au CGX et au Comité ministériel de vérification (CMV).
Transports Canada a mis en place une stratégie pour définir son approche de la surveillance de l’efficacité du CIRF . Certains secteurs à risque doivent être évalués tous les trois ans, mais les processus et les contrôles à risque élevé doivent être examinés chaque année.
1.3. Objectif, portée, approche et critères de la vérification
1.3.1. Objectif de la vérification
La présente vérification visait à fournir l’assurance au sous-ministre et au CMV que le processus de surveillance continue était rigoureux et fiable.
En outre, à la réunion du CMV de juin 2015, la Vérification interne (VI) a discuté de ses plans concernant une approche intégrée en matière de vérification, qui, à plus long terme, lui permettra d’exploiter le travail de surveillance et d’évaluation relatif au CIRF et d’empêcher le dédoublement de travail.
1.3.2. Portée de la vérification et exclusions de la portée
La VI a examiné ce qui suit :
- la mise en lace d’une structure de gouvernance pour appuyer la surveillance du CIRF ;
- la clarté des responsabilités et des rôles lors de la mise en œuvre et de la surveillance du CIRF ;
- la pertinence et l’utilisation uniforme du cadre de CIRF et du plan de surveillance fondé sur les risques pour déterminer l’efficacité continue du système du CIRF ;
- l’exhaustivité de l’approche ayant servi à effectuer les essais de l’efficacité de la conception et de l’efficacité opérationnelle ainsi que les évaluations de la surveillance continue (p. ex. les méthodologies, les processus et les procédures);
- la surveillance et le signalement des faiblesses et des plans d’action de la gestion connexes;
- les évaluations des risques et la conception des contrôles internes en matière de rapports financiers pour les processus opérationnels clés du Ministère.
Les contrôles internes en matière de rapports financiers sont un sous-ensemble des contrôles internes à Transports Canada. La vérification a porté principalement sur les travaux du CIRF liés aux contrôles des processus opérationnels. Les CNE et les CGTI seront étudiés aux fins d’examen lors des prochaines vérifications, mais ils ont été exclus de la portée de la présente vérification, comme il en a été le cas pour les contrôles internes et les éléments connexes qui, malgré leur importance pour les activités du Ministère, ne répondent pas aux préoccupations en matière de rapports financiers.
La vérification ne fournit pas d’avis sur l’exactitude des équilibres signalés dans les états financiers qui ont été préparés par le Ministère.
1.3.3. Approche de la vérification
Durant la phase de planification, l’équipe de vérification a effectué des essais détaillés du processus opérationnel de l’approvisionnement, l’un des neuf processus opérationnels, afin de comprendre comment la SFCQ effectuait son travail. Ceci a permis à l’équipe de vérification de déterminer les risques liés à un cadre efficace du CIRF , de définir les critères de vérification appropriés et d’établir une approche pour mener la phase de déroulement de la vérification. Afin d’exécuter la vérification, nous avons interrogé les principaux représentants du Ministère ainsi que les responsables des processus opérationnels de la RCN et des régions, nous avons étudié des documents et nous avons analysé des données.
1.3.4. Critères de la vérification
Les critères suivants ont servi à évaluer l’efficacité du cadre de contrôle de la gestion du CIRF :
- La portée, l’application et la mise en œuvre réelles des essais du CIRF correspondent à celles qui sont définies dans le cadre de travail.
- Les évaluations du CIRF aident à s’assurer que les ressources financières sont convenablement autorisées et les opérations non autorisées qui pourraient avoir des répercussions importantes sur l’information financière et les états financiers sont empêchées ou repérées en temps opportun afin de les protéger contre les pertes matérielles en raison de gaspillage, d’abus, de mauvaise gestion, d’erreurs, de fraude, d’omissions et d’autres irrégularités.
- Les responsables des processus opérationnels comprennent leur responsabilité consistant à faire en sorte que les contrôles soient conçus et fonctionnent efficacement, y compris les contrôles internes qui influencent les rapports financiers.
- Une évaluation approfondie des risques est effectuée et permet de déceler et d’évaluer les risques pertinents pour les contrôles internes en matière de rapports financiers.
- Les contrôles clés sont conçus et mis en œuvre pour atténuer les risques pour les rapports financiers, notamment les activités de vérification des comptes du plan national d’échantillonnage du Ministère avant et après le paiement.
- On a recueilli suffisamment de renseignements pour tester les contrôles clés et fournir des résultats fiables.
- L’efficacité opérationnelle des contrôles clés est testée de façon adéquate.
- Les rôles et les responsabilités sont clairement définis et communiqués aux responsables des processus opérationnels afin qu’ils comprennent leur responsabilité consistant à signaler les changements importants apportés aux processus opérationnels qui peuvent avoir un impact sur le plan de surveillance continue du CIRF du Ministère.
- Les schémas des processus opérationnels tenus à jour par la SFCQ sont actualisés, s’il y a lieu, pour refléter les changements importants avant de tester ou de tester à nouveau les contrôles clés.
- Les processus opérationnels clés ou les contrôles sont évalués périodiquement conformément au niveau de risque qui leur est associé et en fonction de la capacité des ressources internes.
- Les résultats des essais des contrôles clés sont étayés et communiqués aux responsables des processus opérationnels ainsi qu’à la haute direction.
- Les responsables des processus opérationnels élaborent et mettent en œuvre des plans d’action se basant sur les recommandations permettant de déceler les faiblesses dans les contrôles clés.
1.4. Structure du rapport
Le rapport comporte trois sections :
- Contrôles internes en matière de rapports financiers (cadre de CIRF)
- Essais de l’efficacité de la conception
- Essais de l’efficacité opérationnelle
Pour chacune des sections susmentionnées, nous incluons des renseignements contextuels importants, ce que nous espérons trouver et nos constatations générales appuyées d’observations et de recommandations particulières.
La dernière section du rapport présente le plan d’action de la gestion en vue de répondre aux recommandations de la vérification.
2. CONSTATATIONS ET RECOMMANDATIONS
2.1 Contrôles internes en matière de rapports financiers (cadre de CIRF )
Contexte :
Conformément à la Politique sur le contrôle interne, on s’attend à ce que le gouvernement fédéral « soit géré efficacement, que les fonds publics fassent l’objet d’une gestion prudente, que les biens publics soient protégés et que les ressources publiques soient utilisées de façon efficace, efficiente et économique. On s’attend également à des rapports fiables qui montrent de façon transparente et responsable comment le gouvernement dépense les fonds publics en vue d’obtenir des résultats pour les Canadiens et les Canadiennes.Footnote7 Même si la politique inclut tous les contrôles, elle met principalement l’accent sur ce que sont l’orientation et la responsabilisation pour les contrôles internes en matière de rapports financiers. Les ministères doivent montrer qu’ils disposent d’un système efficace de contrôle interne en matière de rapports financiers au moyen la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers qui accompagne les états financiers liés aux rapports ministériels sur le rendement et qui sont publiés en même temps que ces derniers.
Nos attentes :
En tant qu’élément de base pour appuyer un système efficace et durable des contrôles internes en matière de rapports financiers, la Vérification interne s’attendait à ce que le Ministère dispose d’un document directeur qui établissait ce qui suit :
- La portée, l’application et la mise en œuvre réelles des essais du CIRF correspondent à celles qui sont définies dans le cadre de travail.
- Les évaluations du CIRF aident à s’assurer que les ressources financières sont adéquatement autorisées et les opérations non autorisées qui pourraient avoir des répercussions majeures sur l’information et les états financiers sont prévenues ou détectées en temps opportun afin de les protéger contre les pertes matérielles en raison de gaspillage, d’abus, de mauvaise gestion, d’erreurs, de fraude, d’omissions et d’autres irrégularités.
- Les rôles et les responsabilités sont clairement définis et communiqués aux responsables des processus opérationnels afin qu’ils comprennent leur responsabilité consistant à signaler les changements importants apportés aux processus opérationnels qui peuvent avoir un impact sur le plan de surveillance continue du CIRF du Ministère.
- Les responsables des processus opérationnels comprennent leur responsabilité consistant à faire en sorte que les contrôles soient conçus et fonctionnent efficacement, y compris les contrôles internes qui influencent les rapports financiers.
Nos constatations :
Un cadre de CIRF a été élaboré et il comprend tous les éléments clés attendus dans un cadre de travail. Toutefois, le cadre de travail ne fait pas de distinction claire entre l’objectif et la portée du CIRF et l’objectif et la portée du cadre global de gestion du contrôle interne du Ministère.
Forces
Transports Canada a élaboré et approuvé un cadre de CIRF intitulé Cadre de contrôle interne en matière de rapports financiers pour l’évaluation et la surveillance fondées sur les risques de TC . Ce cadre est un document ministériel évolutif. Il a d’abord été élaboré et mis en œuvre en novembre 2012; il a été actualisé en octobre 2013 et en novembre 2014 afin d’incorporer des instructions et une orientation améliorées découlant de l’expérience obtenue au cours des évaluations du CIRF .
L’objectif énoncé du document est d’établir le cadre du Ministère pour répondre aux exigences du CIRF dans le contexte de la Politique sur le contrôle interne du SCT et de fournir une stratégie d’évaluation et de surveillance afin d’offrir un système efficace de CIRF . Après avoir examiné le document, nous avons établi que des éléments clés du cadre de travail avaient été définis et documentés pour appuyer cet objectif, notamment :
- une description du document relatif au CIRF pour le système global de contrôle interne;
- les principes sous-jacents qui appuient le cadre de CIRF ;
- la structure de gouvernance et les mécanismes de surveillance par le biais de la structure établie par le comité dans « la gouvernance de TC dans le cadre de l’ AAP », en plus des rôles et des responsabilités détaillés décrits dans le cade du CIRF ;
- une description des niveaux et des types de contrôles pour le CIRF ainsi qu’une description de leur intégration pour appuyer les rapports financiers;
- les approches pour l’évaluation et la surveillance des contrôles internes en matière de rapports financiers, y compris les instructions et les méthodologies pour effectuer les évaluations du CIRF , et pour l’élaboration et la mise en œuvre fondée sur les risques d’un plan de surveillance continue incluant les essais des contrôles;
- les exigences pour les rapports des évaluations et les mesures correctives à prendre et à surveiller;
- les rôles et les responsabilités détaillés pour le
CIRF
à tous les niveaux de direction, ainsi que les rôles et responsabilités importants attribués :
- au DPF et aux intervenants délégués aux Contrôles financiers et services de comptabilité, en tant qu’autorités fonctionnelles responsables de l’entretien, de la gestion et du CIRF , y compris les essais et la surveillance du système;
- aux directeurs généraux (en tant que responsables des processus opérationnels) chargés d’aider la haute direction à mener les évaluations des risques, les contrôles de la conception et la prise de mesures correctives pour les lacunes importantes relevant de leur champ de responsabilité;
- au dirigeant principal de la vérification et au Comité ministériel de la vérification chargés d’appuyer la haute direction et le sous-ministre en promulguant des conseils indépendants et objectifs sur le système du CIRF .
Possibilités d’améliorations
L’équipe de vérification a décelé des possibilités de clarifier le cadre de CIRF pour aider à s’assurer que les rôles et les responsabilités ainsi que la portée et les limites des activités de surveillance sont bien définis et compris par l’équipe de direction.
À TC , la gestion du contrôle interne (GCI) englobe la gestion de l’ensemble des contrôles, y compris les contrôles du CIRF . Bien qu’il n’y ait pas de cadre de travail documenté pour la GCI , les propriétaires des processus opérationnels sont chargés de veiller à ce que les contrôles internes – dont ils ont la responsabilité – soient conçus adéquatement et fonctionnent comme prévu.
Le cadre de CIRF actuel permet de définir l’objectif du CIR comme suit :
« Le Ministère utilise un système efficace de CIRF fondé sur les risques afin de veiller à ce que les transactions soient correctement autorisées, les rapports financiers soient correctement tenus à jour, les biens soient protégés contre les risques liés à la perte, au gaspillage, à la fraude et à la mauvaise gestion et que les lois, les règlements, les directives et les politiques applicables soient respectés. Le système vise également à garantir que les risques liés à la gérance des ressources publiques soient gérés efficacement grâce à un contrôle interne efficace, y compris le contrôle interne en matière de rapports ( CIRF ). »
Toutefois, cet objectif surestime ce que la surveillance du CIRF évalue réellement. Les Contrôles financiers et services de comptabilité ont confirmé que les évaluations du CIRF et les rapports connexes se concentrent, en pratique, seulement sur les activités ayant un impact sur les rapports financiers et non sur le cadre global de gestion du contrôle interne du Ministère.
À la fin de chaque exercice, les cadres supérieurs apposent leur signature sur deux attestations : l’approbation de la CGI et la « Lettre de déclaration de la direction » du BVG qui accompagne les comptes publics.
L’approbation de la GCI confirme que :
- les gestionnaires de l’organisation prennent des décisions en tenant compte de l’information, de l’analyse et des conseils intégrés opportuns, pertinents et fiables sur le rendement en matière financière et non financière, conformément au cadre stratégique ministériel de l’architecture d’alignement des programmes (AAP);
- des contrôles intégrés efficients et adaptés à l’environnement de leur organisation sont en place pour assurer la protection des actifs selon le cadre de gestion des risques, de même que pour assurer la prudence, la probité et la saine gestion financière de l’actif et du passif;
- les aspects du cadre de gestion financière de TC qui s’inscrivent dans le domaine de responsabilité de l’organisation du gestionnaire font l’objet d’une surveillance, en collaboration avec le conseiller en gestion financière/chef régional, Finances et administration.Footnote8
La Lettre de déclaration de la direction qui accompagne les comptes publics comprend 28 éléments qui pourraient influencer les comptes publics, notamment les contrôles internes, les rapports financiers, la protection des biens, les litiges et la fraude. Chaque gestionnaire principal doit approuver la lettre avant que le sous-ministre la soumette au Bureau du vérificateur général.
Nous avons constaté que le degré selon lequel les gestionnaires effectuent les essais avant de signer les deux attestations varie. Par exemple, dans la région du Québec, le personnel prépare un rapport sur l’état des contrôles; certains membres du personnel informent les gestionnaires principaux et d’autres se fient totalement aux essais du CIRF .
L’absence de clarté entre le CIRF et le cadre de CIRF accroît le risque que les gestionnaires comprennent mal leurs responsabilités quant au système global de contrôle interne. En d’autres termes, les travaux effectués dans le cadre du CIRF ne sont pas adéquats pour que les gestionnaires s’acquittent de leurs responsabilités liées à la signature de la Lettre de déclaration de la direction qui accompagne les comptes publics.
Recommandation :
- 1. Le SMA , Services généraux, devrait réviser le document intitulé Cadre de contrôle interne en matière de rapports financiers pour l’évaluation et la surveillance fondées sur les risques de TC afin de définir clairement l’objectif et la portée propres aux essais du CIRF et de le différencier de la gestion du contrôle interne.
2.2. Essais de l’efficacité de la conception
Contexte :
La conception des contrôles est fondamentale pour le CIRF et elle comprend la détermination des processus opérationnels qui influencent les rapports financiers ainsi que l’élaboration de contrôles en vue de traiter les risques pour les rapports financiers liés à ces processus. Dans le cadre du CIRF , les essais de l’efficacité de la conception permettent de déterminer que les contrôles sont en place pour les risques décelés liés aux rapports financiers et qu’ils sont conçus de façon à les atténuer, s’ils sont mis en œuvre adéquatement.
Nos attentes :
La Vérification interne s’attendait à ce qui suit :
- une évaluation approfondie des risques est effectuée et permet de déceler et d’évaluer les risques pertinents pour les contrôles internes en matière de rapports financiers;
- les contrôles clés sont conçus et mis en œuvre pour atténuer les risques pour les rapports financiers, notamment les activités de vérification des comptes du plan national d’échantillonnage du Ministère avant et après le paiement.
Nos constatations :
Les essais d’efficacité de la conception comprennent les documents et les évaluations des risques nécessaires et ils ont été validés par les responsables opérationnels respectifs.
Forces
En général, les processus opérationnels sont étayés de façon détaillée; ils sont normalisés et appuyés par des schémas des processus et des sous-processus respectifs qui offrent une description visuelle de chaque étape des processus et désignent les responsables, les points de contrôles clés et les responsabilités.
Les matrices de contrôles et de risques identifient et classent les contrôles et les activités de contrôle connexes, les responsables des contrôles, la nature des contrôles et la fréquence à laquelle ils sont effectués ainsi que les attestations sur les états financiers concernés. Les responsables de processus ont validé leurs processus documentés respectifs.
Possibilités d’amélioration
Matrices de contrôles et de risques
En ce qui concerne les évaluations du CIRF , la matrice de contrôles et de risques est un outil de planification servant à déceler les risques liés aux rapports financiers qui sont associés à un processus opérationnel; à les classer et à les prioriser, en plus de traiter les contrôles internes. L’élaboration des matrices de risques et de contrôles des processus opérationnels a eu lieu sur une période de deux ans. Le modèle des matrices de contrôles et de risques a évolué au fil du temps afin d’incorporer les changements dans le cadre de CIRF .
Même si la SFCQ continue de mettre à jour le cadre de CIRF afin de corriger les incohérences dans son application, il faut normaliser davantage l’approche pour compléter les matrices de contrôles et de risques.
Nous avons constaté que les matrices de contrôles et de risques ne sont pas complètes, en ce qui concerne deux des neuf processus opérationnels. Une matrice du processus opérationnel lié au processus opérationnel des produits à recevoir et autres entrées générales n’était pas complète. Quant à la matrice du processus opérationnel des subventions et des contributions, les risques ne sont pas classés, les contrôles clés et les responsables de contrôles ne sont pas définis, et il n’existe aucune colonne connexe pour indiquer que le risque de fraude a été évalué. La direction a avisé la VI que les risques liés aux subventions et aux contributions n’étaient pas complets, étant donné les ressources et le niveau d’effort exigés pour y arriver; la portée de la vérification incluait les programmes de subventions et de contributions auxquels participent un certain nombre de groupes et de régions; en outre, le déroulement des évaluations liées au CIRF portait sur deux versions approuvées du cadre de CIRF . Les deux matrices de risques seront achevées dans le cadre de la prochaine série d’essais.
Nous avons également constaté des écarts dans les matrices complètes. En ce qui concerne l’importance relative, par exemple, aucune documentation ne montre comment elle est calculée. Par conséquent, il semble y avoir des écarts dans les seuils d’importance relative quand elle est prise en compte dans l’échelle de risque. En ce qui concerne les dépenses en matière de voyage, un impact financier de moins de 1,25 million de dollars est considéré comme faible, alors qu’un impact non financier d’un million de dollars pour les salaires et les avantages est considéré comme important. La façon d’utiliser les seuils d’importance relative dans les évaluations des risques liés à l’importance relative générale indiquée dans le cadre de travail, où l’impact d’une inexactitude s’élevant à 8 millions de dollars est considéré comme négligeable, n’est pas claire non plus.
La fréquence à laquelle il faut exercer les contrôles n’est pas documentée dans un processus opérationnel (subventions et contributions) et deux sous-processus (flux de rentrées liés aux certificats médicaux et à la sécurité aérienne).
Notre examen des matrices de contrôles et de risques a confirmé que les niveaux de risque ont été attribués pour les risques décelés; en outre, la majorité des risques ont reçu la cote moyenne à faible. Même s’il n’existe aucun lien direct entre le nombre de contrôles clés, les processus opérationnels et le classement des risques, aucun document ne permet de comprendre pourquoi certains processus opérationnels présentant des risques moindres subissaient plus de contrôles clés que les processus opérationnels présentant des risques plus élevés. Par exemple, dans le processus opérationnel des revenus et des flux de rentrées, on attribue la note « 8 » au risque de ne pas facturer les demandes de services dans le flux de rentrées de la Sécurité aérienne, mais aucun contrôle clé n’est associé, alors que le même risque dans le flux de rentrées de la Sécurité maritime, reçoit la note combinée « 4 », et un contrôle clé y est associé. Sans document affirmant le contraire, on pourrait s’attendre à ce que le processus opérationnel présentant le risque le plus élevé subisse plus de contrôles clés.
Le fait de terminer et de normaliser l’approche afin de compléter les matrices de contrôles et de risques de l’ensemble des processus opérationnels permettra de mieux comprendre les processus et d’améliorer l’efficacité de la conception, de l’application, de la surveillance et de l’évaluation des contrôles. Cela permettra également de s’assurer que les résultats sont comparables et les ressources pour les essais ciblent les domaines où le risque est le plus élevé.
Risque de fraude
Pour l’élaboration des matrices de contrôles et de risques, les processus clés – où le risque d’erreur importante et de fraude est le plus probable – sont étudiés en fonction du regroupement approprié de tâches et de l’automatisation/accès au système. Le modèle de matrice de contrôles et de risques de 2013-2014 a été mis à jour pour inclure une autre colonne « Attribut » afin de distinguer les domaines où la fraude est le plus probable. Bien que la colonne « Fraude » se trouve dans les matrices, pour six des neuf processus que nous avons examinés, on n’a pas considéré que les contrôles concernés traitent la fraude. Cependant, certains de ces contrôles peuvent, en fait, traiter la fraude soit directement soit indirectement.
Il n’existe aucune approche documentée sur la façon de prendre en compte les risques de fraude quand on effectue les matrices de contrôles et de risques. En déterminant explicitement les scénarios de fraude et les risques connexes et en faisant correspondre les contrôles avec les risques décelés, le Ministère pourra mieux montrer que la fraude est adéquatement prise en compte dans la conception et la mise en œuvre de son cadre de CIRF .
Recommandation :
- 2. Dans le cadre de l’évaluation périodique du
CIRF
, le
SMA
des Services généraux devrait veiller à ce que :
- les outils et les processus liés aux matrices de contrôles et de risques soient davantage normalisés et étayés;
- des instructions soient fournies sur la façon dont la fraude est prise en compte quand les processus opérationnels sont évalués.
2.3. Essais de l’efficacité opérationnelle
Contexte :
Les essais de l’efficacité des contrôles internes sont une exigence de la PCI et un élément essentiel du cadre de travail qui appuie l’entretien d’un système ministériel du CIRF . Dès qu’on détermine que la conception des contrôles internes est efficace, les essais de l’efficacité opérationnelle sont entrepris pour évaluer si les contrôles internes fonctionnent comme prévu; les contrôles ont été effectués de façon uniforme à la fréquence exigée par les personnes désignées et autorisées au cours d’une certaine période.
À TC , la SFCQ est chargé des essais de l’efficacité opérationnelle.
Nos attentes :
Conformément à nos critères de vérification, nous attendons ce qui suit :
- l’efficacité opérationnelle des contrôles clés est testée adéquatement;
- on recueille suffisamment de renseignements pour tester les contrôles clés et fournir des résultats fiables;
- les schémas des processus opérationnels tenus à jour par la SFCQ sont actualisés, s’il y a lieu, pour refléter les changements importants avant de tester ou de tester à nouveau les contrôles clés;
- les processus opérationnels clés ou les contrôles sont évalués périodiquement conformément au niveau de risque qui leur est associé et en fonction de la capacité des ressources internes;
- les résultats des essais des contrôles clés sont étayés et communiqués aux responsables des processus opérationnels ainsi qu’à la haute direction;
- les responsables des processus opérationnels élaborent et mettent en œuvre des plans d’action se basant sur les recommandations permettant de déceler les faiblesses dans les contrôles clés.
Nos constatations :
Un plan de surveillance est en place; il correspond à la stratégie présentée dans le cadre de CIRF . Le plan de surveillance établit un calendrier réaliste de l’évaluation des neuf processus opérationnels et contrôles connexes sur une période de trois ans (de 2014-2015 à 2016-17).
Forces
Essais de l’efficacité opérationnelle
Vers le 31 mars 2014, la SFCQ , dans le cadre de son évaluation initiale du CIRF , avait effectué les essais de l’efficacité opérationnelle pour tous les processus opérationnels (immobilisations et travaux en cours, paiements de transfert, rémunération et avantages sociaux, voyages, produits à recevoir et autres écritures du journal, revenus et comptes débiteurs, clôture financière et rapports, approvisionnement, budgétisation et prévisions). Dans le cadre de la phase de surveillance et conformément au plan de surveillance continue, la SFCQ a effectué des évaluations en 2014-2015 des contrôles liés aux immobilisations et travaux en cours, des paiements de transfert et de la rémunération et avantages sociaux.
Les évaluations des risques sont menées tous les trois ans, et les Services généraux ainsi que le personnel de la programmation y participent afin d’informer et de valider le plan de surveillance. Les analyses de la conjoncture effectuées dans les années qui suivent ces analyses permettent de déceler les changements qui peuvent influencer le plan de surveillance ou déterminer si des modifications sont nécessaires. Nous avons examiné les documents de l’atelier sur l’évaluation des risques de juin 2014 et nous n’avons pas décelé d’écarts entre les résultats de l’évaluation des risques et le plan de surveillance mis en place.
Notre examen du travail de la SFCQ a confirmé qu’une stratégie et une méthodologie globales sont en place pour mener les essais d’efficacité opérationnelle. La planification est adéquate, notamment les instructions et les outils offerts au personnel pour entreprendre le travail à la RCN et dans les régions. L’orientation fournie sur les méthodes d’échantillonnage respecte les pratiques exemplaires de l’industrie. La SFCQ vérifie l’assurance de la qualité du travail effectué, regroupe les observations et formule des constatations et des recommandations. Le travail est documenté et les constatations sont appuyées.
Les résultats des évaluations effectuées entre 2013-2014 et 2014-2015 ont été présentés au CGX et au CMV en juin 2014 et 2015, respectivement.
Notre examen des résultats d’évaluation et des rapports connexes a confirmé que les constatations découlant des essais ont été classées en fonction du niveau de risque; des recommandations ont été proposées; des plans d’action de la gestion ( PAG ) ont été élaborés pour répondre aux recommandations; et la SFCQ a surveillé la mise en œuvre des PAG et a fait le point sur l’avancement des travaux avec le CGX et le CMV . Selon le rapport sur les résultats d’évaluation du CIRF de 2014-2015 CIRF , 48 des 51 PAG (94 %) découlant de l’évaluation 2013-2014 liée aux processus opérationnels ont été achevés et les retards mineurs dans les trois PAG restants ont été surveillés sans nécessiter une attention immédiate.
Possibilités d’amélioration
La vérification permet de définir les possibilités d’améliorer les essais de l’efficacité opérationnelle.
Méthodologie d’échantillonnage
Dans le cadre de travail, il est précisé qu’une méthodologie d’échantillonnage aléatoire statistique sera adoptée dans la mesure du possible. Cependant, tous les critères requis pour l’essai statistique n’ont pas été définis dans le cadre de travail. La terminologie n’est pas non plus utilisée de façon uniforme. Par exemple, l’échantillonnage aléatoire statistique et l’échantillonnage statistique sont utilisés de façon interchangeable, ce qui crée de la confusion pour ceux qui effectuent les échantillonnages et ceux qui se fient aux résultats. Pouvoir fournir une conclusion statistique est le seul avantage d’effectuer un essai statistique. Les rapports d’évaluation que nous avons examinés n’incluaient pas ce type de conclusion.
L’absence d’uniformité – entre les méthodes d’essai utilisées et la méthodologie approuvée qui est présentée ainsi que la terminologie qui est utilisée pour le cadre de CIRF – pourrait donner lieu à des erreurs d’interprétation des résultats.
Portée des essais
Le document du cadre de CIRF précise que la portée des essais des évaluations du CIRF est déterminée en définissant les contrôles clés pour l’évaluation. Cependant, la justification de la portée concernant la non-exécution d’essais n’est pas bien documentée. Par exemple, les rapports d’évaluation pour les essais liés aux processus opérationnels de la rémunération et des avantages sociaux et aux immobilisations et travaux en cours n’incluaient pas la documentation qui expliquait pourquoi certains sous-processus n’étaient pas soumis à des essais.
Le fait d’étayer la justification de la portée et de l’ampleur des essais de certains sous-processus et contrôles aiderait à préciser quelles conclusions peuvent être tirées des essais et à améliorer l’efficacité des essais futurs.
Recommandation :
- 3. Le
SMA
, Services généraux, devrait veiller à ce que :
- la méthodologie d’échantillonnage soit révisée afin qu’elle puisse permettre de déterminer la nécessité d’un essai statistique pour les rapports des évaluations du CIRF , la normalisation de la terminologie statistique et les instructions sur les taux d’erreur acceptables ainsi que la taille des échantillons pour l’échantillonnage aléatoire;
- la justification de la portée des essais dans l’évaluation périodique soit adéquatement étayée, notamment en fournissant une explication de l’exclusion de certains sous-processus à l’intérieur d’un processus opérationnel.
3. CONCLUSION
TC a mis en place un processus de surveillance rigoureux pour évaluer la conception et l’efficacité opérationnelle du CIRF au niveau des processus opérationnels, ce qui comprend un cadre de CIRF exhaustif pour l’évaluation et la surveillance fondées sur les risques. Toutefois, le cadre de travail ne fait pas de distinction claire entre l’objectif et la portée du CIRF et ceux du cadre global de gestion du contrôle interne du Ministère. Cette absence de clarté accroît le risque que les gestionnaires comprennent mal leurs responsabilités quant au système global de contrôle interne et qu’ils se fient trop à la surveillance du CIRF et aux résultats connexes d’évaluation afin de réduire les risques d’erreurs financières.
En ce qui concerne les essais des contrôles pour les rapports financiers externes, certaines améliorations devraient être apportées. Les outils et les processus d’évaluation de l’efficacité doivent être normalisés davantage, les résultats des évaluations doivent être mieux étayés et des instructions claires doivent être données sur la façon de tenir compte de la fraude. Une stratégie pour mener des essais sur l’efficacité opérationnelle – qui comprend des instructions et des outils connexes adéquats – est en place. Cependant, les évaluations effectuées devraient être étayées et des essais statistiques devraient être déterminés.
Dans l’ensemble, nous pouvons conclure que la haute direction et les fournisseurs en matière de vérification peuvent se fier au processus de surveillance du Ministère afin d’évaluer l’efficacité du cadre de CIRF au niveau des processus opérationnels, en ce qui concerne les rapports financiers externes.
4. RECOMMANDATIONS ET PLAN D’ACTION DE LA GESTION
Recommandation | Plan d’action de la gestion | Date d’achèvement
(pour chaque mesure) |
BPR et rapport direct pour chaque mesure particulière |
---|---|---|---|
|
Le document du cadre de CIRF sera actualisé afin de préciser l’objectif et de mieux faire la distinction entre la portée de la gestion du contrôle interne et celle du CIRF . |
Mars 2016 |
Directeur, Contrôles financiers et services de comptabilité |
|
Des matrices de contrôles et de risques seront complétées pour les processus opérationnels des subventions et des contributions ainsi que pour le processus opérationnel des produits à recevoir et des autres écritures du journal. Des instructions supplémentaires seront ajoutées aux matrices de contrôles et de risques, notamment sur la façon dont la fraude est prise en compte. On bénéficiera donc d’une meilleure orientation au moment d’effectuer la surveillance continue des évaluations du CIRF . |
Mars 2016 |
Directeur, Contrôles financiers et services de comptabilité |
|
Le cadre de CIRF sera mis à jour dans les buts suivants : Déterminer une approche d’échantillonnage en se basant sur le type d’approche nécessaire. Utiliser une terminologie statistique normalisée de façon uniforme. Déterminer les instructions sur les taux d’erreur acceptables et la taille des échantillons pour l’approche d’échantillonnage choisie. Les évaluations du CIRF comprendront une explication de l’exclusion de certains sous-processus. En outre, le cadre de CIRF sera mis à jour afin de montrer que les contrôles clés ne sont pas nécessairement présents dans chaque sous-processus opérationnel. |
Mars 2016 |
Directeur, Contrôles financiers et services de comptabilité |