Audit des Contrôles Internes en matière de Gestion Financière

Présenté au Comité ministériel d’audit (CMA)

23 avril 2026

Sur cette page

Résumé

Introduction

Les parlementaires et les Canadiens s’attendent à ce que les ressources financières du gouvernement du Canada soient bien gérées et protégées grâce à un système de contrôle interne. La Politique sur la gestion financière du Conseil du Trésor (CT) définit le Système de Contrôles Internes en Matière de Gestion Financière (CIGF) comme « un ensemble de mesures et d’activités qui fournit une assurance raisonnable de l’efficacité et de l’efficience des activités de gestion financière du Ministère ». Dans ce cadre, le Contrôle Interne en Matière de Rapports Financiers (CIRF) est un sous-ensemble qui porte sur l’assurance liée à l’exactitude et l’exhaustivité des états financiers. L’objectif de la surveillance des CIGF au sein des ministères est d’assurer une utilisation saine et prudente des fonds publics de manière efficace, efficiente et économique.

Le diagramme ci-dessous illustre les relations entre le système plus large de contrôles internes, le système de CIGF, et le système plus restreint de CIRF, ainsi que les responsabilités correspondantes de l’administrateur général et du Dirigeant Principal des Finances (DPF) :

Systèmes de contrôle interne
            Administrateur général
            Système de contrôle interne au sein du Ministère
            Dirigeant principal des finances
            Système de contrôle interne en matière de gestion financière et de rapports financiers
            Cadres supérieurs du ministère
            Système de contrôle interne au sein de leurs domaines de responsabilités
Version textuelle

Systèmes de contrôle interne Administrateur général
Système de contrôle interne au sein du Ministère

Dirigeant principal des finances
Système de contrôle interne en matière de gestion financière et de rapports financiers

Cadres supérieurs du ministère
Système de contrôle interne au sein de leurs domaines de responsabilités

Conformément à la Politique sur la gestion financière, le DPF est responsable d’établir, de surveiller et de maintenir un système fondé sur les risques des CIGF et des CIRF, ainsi que d’assurer l’exactitude et le caractère raisonnable des états financiers ministériels, y compris la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers, qui est cosignée par le sous-ministre et publiés dans les états financiers annuels de RNCan. Les responsables des processus opérationnels (RPO) sont chargés de la mise en œuvre et du maintien au quotidien des contrôles internes au sein de leurs processus opérationnels respectifs, ainsi que de la mise en place rapide de mesures correctives lorsque des faiblesses sont décelées dans ces contrôles.

Au sein de RNCan, l’unité Politiques, Rapports et Contrôles Internes Financiers (PRCIF), relevant du Secteur de la Gestion et des Services Intégrés (SGSI), est responsable de la gestion du système de contrôles internes en matière de gestion financière. L’équipe de Gestion financière et de contrôles internes (GFCI), exerçant leurs activités au sein des PRCIF, est responsable de l’élaboration et de l’exécution du plan annuel de surveillance continue du Ministère, qui comprend des évaluations fondées sur les risques et des tests cycliques des contrôles clés dans l’ensemble des processus opérationnels du Ministère. Les résultats de ces travaux sont publiés annuellement dans l’annexe de la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers de Ressources naturelles Canada pour l’exercice fiscal concerné.

La Division des Opérations d’Audit au sein de la Direction de l’Audit et de l’Évaluation (DAE) est responsable de fournir une assurance raisonnable, indépendante et objective sur la pertinence et le fonctionnement efficace du processus de contrôle interne du Ministère. Afin de maintenir l’indépendance et l’objectivité, cet audit n’a pas inclus une évaluation des contributions de la DAE au système de contrôles internes en matière de gestion financière du Ministère.

Objectif de l’audit

L’objectif de cet audit était d’évaluer l’adéquation et l’efficacité du Cadre de RNCan soutenant les contrôles internes en matière de gestion financière, y compris la manière dont le Ministère planifie, met en œuvre ses responsabilités relatives à la surveillance continue et en rend compte, conformément aux exigences du Conseil du Trésor.

Plus particulièrement, l’audit a permis d’évaluer si :

  • Des mécanismes appropriés ont été établis pour définir clairement les rôles et responsabilités, assurer la conformité aux exigences du Conseil du Trésor et l’efficacité des activités;
  • Les évaluations des contrôles internes sont conçues et mises en œuvre de façon à être fondées sur les risques et à garantir des résultats fiables, exacts et axés sur des données probantes;
  • Les résultats des évaluations des contrôles internes sont communiqués efficacement aux intervenants et les constatations sont surveillées pour soutenir une supervision efficace et des mesures correctives en temps opportun.

Points forts

Le Ministère a établi un cadre de contrôle interne de la gestion financière (CIGF) qui soutient la surveillance et la prestation du système de CIGF, y compris des rôles et responsabilités clairement définis, ainsi que le processus du Ministère de concevoir et de mettre en œuvre les évaluations des contrôles internes. Les mécanismes en place pour soutenir l’efficacité des activités de surveillance continue comprennent des outils et des modèles établis. La communication des résultats de l’évaluation aux principaux intervenants se fait conformément aux directives appropriées, par le biais de lettres de recommandation et de rapports semestriels.

Domaines à améliorer

L’audit a relevé des opportunités d’accroître l’efficacité et l’efficience des processus liés aux rapports semestriels, à l’intégration et au transfert de connaissances, ainsi qu’à l’exploitation du travail des autres fournisseurs d’assurance. Bien que la plupart des éléments requis d’une méthodologie fondée sur les risques aient été intégrés dans la planification des principales évaluations des contrôles, il existe des possibilités d’élargir l’utilisation de son application lors de la planification de l’approche globale afin de soutenir une supervision efficace et une surveillance continue efficiente du CIGF. Cette approche aiderait également à garantir que les ressources limitées sont concentrées sur les principaux domaines de contrôle à haut risque.

Conclusion de l’audit interne

L’audit a révélé que le Ministère a établi un cadre de contrôle interne en matière de gestion financière ainsi que des mécanismes de production de rapports internes qui sont généralement conformes aux exigences et aux directives du Conseil du Trésor. L’équipe d’audit a relevé des opportunités d’élargir l’approche actuelle fondée sur les risques lors de la planification et de l’exécution des responsabilités globales de la fonction de CIGF afin de soutenir une supervision efficace et une surveillance continue efficiente des CIGF dans le contexte opérationnel actuel. Outre la recommandation officielle, l’équipe d’audit a également décelé des pistes qui pourraient être explorées par la direction afin de simplifier les processus, ce qui entrainerait des gains d’efficience supplémentaires.

L’équipe d’audit reconnaît les efforts déployés par le Ministère pour réaliser les activités de toutes les phases de l’approche de surveillance continue avec des ressources limitées. À la lumière des efforts continus du Ministère pour gagner en efficacité en simplifiant les processus, il est important de revoir et de mettre à jour périodiquement l’approche du Ministère en matière de surveillance continue afin d’optimiser l’utilisation des ressources limitées.

Énoncé de conformité

Selon mon jugement professionnel en tant que dirigeant principal de l’audit et de l’évaluation, l’audit est conforme aux Normes internationales d’audit interne de l’Institut des auditeurs internes (IAI) et à la Politique sur l’audit interne du gouvernement du Canada, comme appuyé par les résultats de la supervision des missions et du programme de l’assurance de la qualité et de l’amélioration.

Michel Gould, MBA, CPA, AIC

Dirigeant principal de l’audit et de l’évaluation

23 avril 2026

Remerciements

L’équipe d’audit souhaiterait remercier les personnes qui ont participé à ce projet, en particulier les employés qui ont apporté leurs points de vue et leurs commentaires dans le cadre du présent audit.

Constatations et recommandations

Gouvernance et surveillance

Constatation générale

Le Cadre de RNCan de 2019 pour les contrôles internes en matière de gestion financière (le Cadre de RNCan) explique la structure de gouvernance et de responsabilisation, les rôles et les responsabilités, les principes directeurs et l’approche générale pour soutenir la surveillance et l’exécution d’un système fondé sur les risques des CIGF. Le Cadre de RNCan a été jugé généralement conforme à la Politique sur la gestion financière de 2024 du Conseil du Trésor et a été. L’utilisation d’outils et de modèles soutient généralement une approche cohérente pour documenter les évaluations des CIGF et les rapports sur ces contrôles. Il est possible d’élargir l’approche actuelle fondée sur les risques lors de la planification et l’exécution des responsabilités générales de la fonction de CIGF afin de soutenir une supervision efficace et une surveillance continue efficace de la gestion intégrée des risques dans le contexte opérationnel actuel.

Observations pertinentes

L’équipe d’audit s’attendait à ce que des mécanismes appropriés soient en place pour définir clairement les rôles et responsabilités, assurer la conformité aux exigences du Conseil du Trésor et pour soutenir l’efficacité des activités de CIGF. L’audit a permis de déterminer : si les rôles et les responsabilités des principaux intervenants sont clairement définis et communiqués; si la conformité aux politiques et aux directives applicables du Conseil du Trésor (par exemple, la Politique sur la gestion financière, le Guide sur le CIGF) est activement surveillée et reflétée dans les cadres de planification et de contrôle; et s’il existe des mécanismes pour appuyer l’efficacité des activités de CIGF, y compris l’utilisation d’outils techniques et le transfert de connaissances.

Conformité aux politiques et directives du Conseil du Trésor

Le Cadre de RNCan de 2019 sur les contrôles internes en matière de gestion financière (le Cadre de RNCan) explique la structure de gouvernance et de responsabilisation, les rôles et les responsabilités, les principes directeurs et l’approche générale pour soutenir la surveillance et l’exécution d’un système de CIGF fondé sur les risques. L’audit a révélé que le Cadre de RNCan est généralement conforme à la Politique sur la gestion financière du Conseil du Trésor, au Guide sur le CIGF du CT et au Guide de surveillance continue du CIGF du CT. L’objectif de la surveillance continue est de soutenir la haute direction dans son évaluation du système de CIGF, qu’il soit fiable et que des mesures aient été mises en œuvre pour améliorer les contrôles. Les cinq phases de la surveillance continue des CIGF sont illustrées à la figure ci-dessous.

Approche visant la surveillance continue du CIGF
            La figure montre les 5 étapes de l’approche visant la surveillance continue du CIGF.
            Étape 1 : élaborer et mettre à jour l’évaluation des risques
            Étape 2 : élaborer et mettre à jour le plan de surveillance continue
            Étape 3 : effectuer l’évaluation
            Étape 4 : consigner les résultats et les mesures de l’évaluation
            Étape 5 : élaborer les rapports internes et externes
Version textuelle

Approche visant la surveillance continue du CIGF
La figure montre les 5 étapes de l’approche visant la surveillance continue du CIGF.

Étape 1 :
élaborer et mettre à jour l’évaluation des risques

Étape 2 :
élaborer et mettre à jour le plan de surveillance continue

Étape 3 :
effectuer l’évaluation

Étape 4 :
consigner les résultats et les mesures de l’évaluation

Étape 5 :
élaborer les rapports internes et externes

Source :
Guide de surveillance continue du contrôle interne en matière de gestion financière du CT

Le Ministère publie son Plan de surveillance continue (PSC) annuel dans l’annexe de la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers. Le PSC du Ministère suit généralement une approche structurée pour la surveillance continue et est conforme aux exigences du Conseil du Trésor selon lesquelles le plan doit être : documenté, couvrir une période pluriannuelle, inclure la schématisation des processus opérationnels, ainsi que les contrôles généraux des technologies de l’information et les contrôles au niveau de l’entité. Avant la publication, le Plan de surveillance continue est transmis à la haute direction, y compris le dirigeant principal des finances et le sous-ministre, ainsi qu’au comité ministériel d’audit.

Aucun problème de non-conformité n’a été observé lors de l’audit; toutefois, dans le cadre de l’amélioration continue, il est possible de revoir et de rafraîchir le Cadre afin d’assurer l’harmonisation avec les politiques actuelles du CT et de rehausser l’efficacité des opérations actuelles. En 2024, le Secrétariat du Conseil du Trésor du Canada a consulté plusieurs ministères, dont RNCan, afin de recueillir des commentaires sur les révisions proposées à son guide sur le CIGF. La GFCI a exprimé son intention de revoir et de mettre à jour le Cadre de CIGF de RNCan une fois que le guide révisé sera publié par le Conseil du Trésor.

Rôles et responsabilités

L’audit a révélé que le Cadre de RNCan définit les rôles et les responsabilités des principaux intervenants suivants : le sous-ministre, le dirigeant principal des finances (sous-ministre adjoint du Secteur de la gestion et des services intégrés), le dirigeant principal des finances adjoint, les cadres supérieurs du Ministère (CSM), les responsables des processus opérationnels, le directeur de la Division des politiques, des rapports et des contrôles internes financiers, le dirigeant principal de l’audit et de l’évaluation, et le Comité ministériel d’audit. Un cadre supérieur du Ministère « relève directement d’un administrateur général et qui est responsable de l’efficacité de la gestion financière dans ses secteurs de responsabilité ». Un responsable des processus opérationnels est « la personne responsable de la supervision des contrôles associés à un processus opérationnel particulier ou à un processus de contrôle général de la technologie de l’information ». À RNCan, le DPF est le gestionnaire ministériel principal responsable de tous les principaux domaines de contrôle, à l’exception des contrôles au niveau de l’entité, pour lesquels la responsabilité est partagée conjointement avec le dirigeant principal de l’audit et de l’évaluation, et le sous-ministre adjoint (SMA) du Secteur de politiques stratégique et de l’innovation. L’audit a révélé que les rôles et les responsabilités des principaux intervenants tels qu’énoncés clairement dans le Cadre de RNCan sont communiqués aux responsables des processus opérationnels lors des réunions au début de l’évaluation d’un domaine de contrôle clé, comme documenté dans les présentations. Le Cadre du RNCan est également affiché sur l’intranet du Ministère et est accessible à tous les employés.

Le Cadre de RNCan comprend également une matrice des responsables, agents comptables, consultés et informés des principaux intervenants et leurs rôles dans l’approche de surveillance continue des CIGF du Ministère, comme illustré ci-dessous (à des fins d’efficacité, la GFCI a regroupé l’évaluation des risques et le plan de surveillance continue en une seule étape générale de planification). Le DPF est responsable de chaque activité pour la surveillance continue du système ministériel de CIRF, et l’unité Gestion financière et contrôles internes est responsable de l’exécution quotidienne de ces activités.

Activité Responsable Agent comptable Consulté Informé
Planification GFCI DPF RPO, DPF, ADPF et DAE DPF, CMA, ADPF, SM, et DAE
Évaluation GFCI DPF RPO, DPF et ADPF RPO, DPF et ADPF
Établissement de rapports GFCI DPF DPF, RPO et ADPF DPF, CMA, SM ADPF, CSM et DAE
Suivi GFCI DPF RPO DPF, CMA, ADPF, DAE et SM

Mécanismes soutenant l’efficacité des activités de CIGF

Le modèle de ressourcement de la GFCI comprend actuellement un employé au niveau des gestionnaires qui planifie, rend compte des CIGF et assure le suivi pour le cycle de surveillance continue de ces contrôles. En tant que mesure temporaire pour atténuer le risque de ne pas répondre aux exigences du plan de surveillance continue, on a également recours « au besoin » à une société d’experts-conseils tierce pour effectuer les tests d’évaluation des contrôles internes. La GFCI a indiqué qu’à la fin du contrat actuel, elle réévaluera sa stratégie de ressourcement. À la lumière du contexte opérationnel actuel et de l’expansion prévue des domaines de CIGF, il est important de revoir et de mettre à jour périodiquement l’approche du Ministère à l’égard de la surveillance continue afin de s’assurer que les ressources limitées sont concentrées sur les activités prioritaires, de valeur et de risque les plus élevées pour le Ministère.

L’équipe Gestion financière et contrôles internes prend également en compte le travail d’assurance effectué par la Direction de l’audit et de l’évaluation pour soutenir la couverture du système de CIGF. Les missions d’audit ont été citées en référence dans le Plan de surveillance continue comme une source d’assurance supplémentaire sur l’efficacité des processus de gestion des risques, de contrôle et de gouvernance liés au système de CIGF. Un examen comparatif de cinq autres ministères fédéraux a démontré que l’identification explicite de l’audit interne par RNCan dans son Plan de surveillance continue n’est pas une pratique courante. Lorsqu’on leur a demandé comment et si leur unité de contrôle interne s’appuie sur le travail de l’audit interne, plusieurs ministères externes interrogés par l’équipe d’audit ont indiqué que leur unité de contrôles internes tiendra compte des constatations et des recommandations des rapports d’audit établis pour éclairer l’exercice d’évaluation des risques de CIRF. Un ministère a indiqué que sa fonction de surveillance continue pour les CIRF, y compris l’évaluation des risques, l’élaboration du plan de surveillance continue, les évaluations des contrôles internes, est externalisée à des experts-conseils tiers. Les constatations liées à la manière dont la GFCI évalue et identifie les travaux de la DAE susceptibles d’être mis à profit sont incluses dans la section « Plan d’évaluation des risques et de surveillance continue » ci-dessous.

Il existe divers autres mécanismes que la GFCI a mis en place pour soutenir l’efficacité des activités de CIGF. L’utilisation d’outils et de modèles, tels que la matrice des risques et de contrôle, le suivi des mesures correctives et les modèles pour la production de rapports, soutient une approche cohérente permettant de documenter les évaluations de CIGF et la production de rapports à cet égard. De plus, la GFCI a élaboré des instructions détaillées et des descriptions incluses dans le contrat et les autorisations de tâches afin d’intégrer et de définir clairement les attentes pour le travail à effectuer par les experts-conseils. Toutefois, ceux-ci ne remplacent pas les procédures opérationnelles existantes. Pour assurer une intégration efficace et un transfert de connaissances à l’avenir, la GFCI devrait envisager de tirer parti de ces processus existants pour documenter les principales procédures opérationnelles.

Il a été observé que la plupart des processus sont manuels et que les outils techniques n’étaient pas largement utilisés au moment de l’audit. L’équipe d’audit a noté que la GFCI surveille activement les lacunes de ses capacités techniques et explore des options d’amélioration, comme le démontre leur participation à l’exercice de la Feuille de route numérique de la Direction des finances et de l’approvisionnement en 2023-2024, qui documente les besoins fonctionnels et évalue diverses solutions du marché. Dans le cadre de l’examen comparatif, l’équipe d’audit a cherché à déterminer des possibilités d’augmenter l’efficacité avec le soutien de la technologie. Nous croyons qu’il y aura des occasions de tirer parti de la technologie, en fonction de la maturité des systèmes de gestion financière soutenant les activités du ministère. Nous savons que d’autres ministères (utilisant d’autres regroupement de systèmes de gestion financière) étendent leur utilisation de la technologie. Nous encourageons le Ministère à continuer de se tenir au courant de ces avancées.

Risques et incidences

Il existe un risque que les ressources ne soient pas allouées aux domaines à risque élevé, si l’approche actuelle fondée sur les risques n’est pas étendue à tous les éléments de la fonction de CIGF, y compris une compréhension commune de l’appétit pour le risque et de la tolérance au risque.

Recommandations

Dans le cadre de la mise en œuvre de la recommandation d’audit 1, il est prévu que les constatations indiquées dans cette section seront traitées.

Planification et exécution des évaluations du contrôle interne

Constatation générale

La GFCI réalise un exercice annuel d’évaluation des risques qui détermine les cotes de risque de tous les principaux domaines de contrôle au sein du système de CIGF. Les résultats de l’évaluation des risques sont utilisés pour soutenir l’élaboration du plan annuel de surveillance continue pour le test des principaux domaines de contrôle par rotation. Il est possible de s’assurer que d’autres facteurs pertinents pris en compte pour déterminer les cotes de risque et les classements prioritaires sont bien documentés, et que l’approche du Ministère à l’égard de la surveillance continue des CIGF soutient l’utilisation efficace des ressources limitées pour évaluer les principaux risques.

La GFCI a également établi un processus pour la conception et la mise en œuvre des évaluations des contrôles internes qui est défini dans le Cadre de CIGF du RNCan qui est conforme aux exigences du Conseil du Trésor. Il convient de veiller à ce que les décisions de s’appuyer sur les travaux d’autres fournisseurs d’assurance soient suffisamment appuyées par une évaluation de la concordance des objectifs et de l’approche afin de confirmer que les exigences en matière de CIGF et de CIRF sont pleinement satisfaites.

Observations pertinentes

L’équipe d’audit s’attendait à ce que les évaluations des contrôles internes soient conçues et mises en œuvre de manière à ce qu’elles soient fondées sur les risques et qu’elles garantissent des résultats fiables, exacts et axés sur des données probantes. L’équipe a déterminé : si un processus structuré d’évaluation des risques est conçu et mis en œuvre pour sélectionner et prioriser les principaux processus et contrôles opérationnels à tester, et si les tests de contrôle interne sont effectués selon des procédures documentées et s'appuient sur des pièces justificatives probantes, garantissant ainsi l'exactitude et la validité des conclusions sur la conception et l'efficacité opérationnelle des contrôles. L’équipe d’audit a également examiné si la dépendance aux tiers pour soutenir les activités de test est gérée de manière appropriée et intégrée dans le travail de l’équipe des contrôles internes.

Processus d’évaluation des risques et plan de surveillance continue

Le processus d’évaluation des risques de CIGF du Ministère intègre des facteurs de risque qui sont conformes aux directives du Conseil du Trésor. L’évaluation est réalisée chaque année et tient compte des événements susceptibles d’entraîner une modification de la notation de risque des domaines de contrôle clés. Bien qu’il soit toutefois trop tôt pour en rendre compte dans le cadre de cet audit, l’équipe GFCI a indiqué qu’elle tiendrait également compte des résultats du Processus de gestion des risques et de conformité du SCT lancé en 2025 pour éclairer ses futures évaluations des risques des CIGF. L’audit reconnaît qu’il peut y avoir des avantages à l’approche actuelle de la GFCI qui consiste à dépasser les attentes du CT pour qu’une évaluation complète des risques de CIGF soit réalisée seulement une fois tous les 3 à 5 ans, avec des analyses environnementales effectuées entre-temps. Toutefois, dans le cadre de son approche globale, la GFCI est encouragée à examiner si une évaluation complète des risques est nécessaire chaque année ou si elle pourrait être simplifiée en tenant compte des contraintes de ressources, de la simplification des processus et des évaluations des coûts-avantages.

L’évaluation des risques du CIRF comprend une évaluation de chaque domaine de contrôle clé en attribuant des cotes de risque pour les facteurs de risque inhérents (importance et changements significatifs) et les facteurs de risque de contrôle (importance des recommandations en suspens). L’évaluation des risques prend également en compte les facteurs prioritaires, tels que les politiques nouvelles ou modifiées, le cadre, les exigences et les plans d’atténuation. Cette méthodologie est généralement conforme aux attentes du Conseil du Trésor. Toutefois, l’audit a révélé que la documentation de la méthodologie d’évaluation des risques n’est pas suffisamment détaillée pour permettre une compréhension claire de l’utilisation de ses résultats dans la sélection des domaines clés, des sous-domaines de contrôle clés et des contrôles individuels à tester dans le cadre du plan de surveillance continue. Selon les évaluations du niveau de risque des facteurs de risque inhérent et des facteurs de risque de contrôle, un classement prioritaire est établi pour la prise en compte de la surveillance continue et est utilisé pour élaborer le calendrier des tests tel que décrit dans le Plan de surveillance continue. L’équipe d’audit reconnaît qu’il y a un degré de discernement professionnel utilisé pour déterminer quels principaux domaines de contrôle doivent être inclus dans le Plan de surveillance continue : toutefois, il n’y avait aucune documentation des autres facteurs qui ont été pris en compte pour déterminer la priorité pour les tests, tels que la probabilité de facteurs de risque se matérialisant, ou les contraintes de ressources et les évaluations de coûts-avantages. Le lien entre les cotes de priorité et la décision d’inclure un domaine de contrôle clé (y compris les zones de contrôle sous-clés et les contrôles individuels pour les tests) dans le Plan de surveillance continue n’est également pas clair.

Comme indiqué précédemment, le Plan de surveillance continue tient compte des travaux d’audit interne récents et prévus dans la planification des activités d’évaluation. La GFCI a indiqué à l’équipe d’audit que les mises à jour du PSC sont effectuées en fonction d’un examen des projets d’audit prévus conformément au Plan intégré d’audit et d’évaluation (PIAE), qui présente une liste des projets prévus avec des descriptions des domaines visés à examiner, mais n’inclut pas les objectifs et la portée préliminaires. Lorsque des mises à jour sont effectuées durant le processus annuel du PIAE, la CIGF examine les projets d’audit proposés et revoit les priorités de son plan de surveillance continue fondé sur les risques afin de tirer parti des travaux de la DAE. Il est considéré comme une bonne pratique de tenir compte des résultats des travaux de l’audit interne et des fournisseurs de services d’assurance externes lors de la réalisation de l’évaluation des risques et de l’élaboration du Plan de surveillance continue. Les directives du Conseil du Trésor indiquent que « l’équipe des contrôles internes peut utiliser les résultats obtenus par la fonction d’audit interne si les objectifs et l’approche de l’évaluation des contrôles sont suffisamment alignésNote de bas de page 1 ». L’audit a révélé que la GFCI n’avait pas documenté son évaluation de l’alignement entre les objectifs et l’approche de son propre travail et ceux de l’audit interne pour appuyer la confiance accordée à ce dernier dans le PSC. En conséquence, l’intégration des projets de la DAE dans le PSC comme source d’assurance supplémentaire, voire, dans certains cas, comme la seule source d’assurance, pour les domaines de contrôle clés très prioritaires peut donner une image inexacte de la couverture réelle des contrôles clés pour les CIGF ou les CIRF aux décideurs qui se fient à ces renseignements. Lorsqu’elle s’appuie sur le travail effectué par la DAE, la GFCI devra s’assurer que ses exigences en matière de CIGF et de ICFR sont pleinement satisfaites, complétées par des travaux supplémentaires au besoin. Cette observation a également été soulevée dans l’audit interne des ICFR de 2018 réalisé par la DAE.

Tests de contrôle interne

Les tests de contrôle interne pour les cycles d’évaluation 2024-2025 et 2025-2026 ont été réalisés par des experts-conseils tiers. L’unité de GFCI définit la portée et examine le travail des experts-conseils. L’audit a confirmé que l’approche pour les tests de contrôle interne, comme décrite dans les énoncés de travail des experts-conseils tiers, est conforme au Guide de surveillance continue du CIGF. Cela comprend une liste et une description des sous-processus, des domaines de contrôle clés et des systèmes à inclure dans la portée des travaux à réaliser. Les autorisations de tâches définissent également clairement les attentes selon lesquelles les travaux doivent être conformes aux exigences du CT et aux pratiques exemplaires reconnues telles que les objectifs de contrôle de l’information et des technologies associées (COBIT). La méthodologie sur la manière dont les contrôles clés doivent être décrits, testés et documentés est décrite dans les autorisations des tâches, y compris une liste des produits livrables.

Les résultats des évaluations des contrôles internes sont consignés dans une matrice de risques et de contrôles (MRC) pour chaque zone de contrôle clé. Les MRC fournissent un résumé complet des évaluations effectuées, couvrant des domaines tels que les objectifs clés de contrôle, les énoncés de risque, les descriptions de contrôle, ainsi que les tests et résultats de la conception et de l’efficacité opérationnelle. L’équipe d’audit a examiné un échantillon de MRC faites et a noté certaines incohérences quant à l’exhaustivité de la documentation. Par exemple, l’approche d’échantillonnage et la population totale pour les tests ne sont pas systématiquement documentées, ce qui rend difficile de déterminer si les tailles d’échantillons sélectionnées pour les tests sont suffisantes. La GFCI effectue un examen de supervision du travail des experts-conseils qui porte sur la révision des lettres de recommandation et des résultats des tests documentés dans les MRC. Toutefois, l’audit a permis de constater qu’il n’existe pas de processus officiel d’assurance de la qualité pour l’examen des tests effectués. Il existe différentes façons d’y parvenir, allant d’un niveau d’effort faible à élevé, incluant : une déclaration d’attestation, une liste de contrôle des étapes clés ou un examen détaillé complet. Le Ministère devrait envisager d’explorer des options à différents niveaux d’efforts afin d’assurer la qualité du travail effectué tout en reconnaissant les ressources limitées.

Risques et incidences

L’absence de considération documentée d’autres facteurs permettant de déterminer les priorités en matière de contrôles (notamment les contraintes en matière de ressources et l’efficacité opérationnelle), ainsi que l’absence de liens clairement documentés entre l’évaluation des risques et la sélection des domaines de contrôle clés, pourraient avoir pour conséquence que les ressources limitées ne portent pas sur les domaines de contrôle clés présentant les risques les plus élevés. Cela pourrait en outre entraîner l’exclusion d’une zone de contrôle clé à haut risque dans le plan de surveillance continue et le risque de ne pas détecter une défaillance de contrôle pouvant avoir une incidence importante sur le système de CIGF.

Sans assurer une harmonisation suffisante des objectifs et de la portée pour appuyer la décision de recourir au travail d’autres fournisseurs d’assurance, il existe un risque que l’information communiquée aux décideurs, pour les besoins de prise de décisions ne représente pas fidèlement la surveillance continue des principaux domaines de contrôle pour le système de CIGF du Ministère ou que le Ministère ne puisse pas évaluer les domaines à risque plus élevé afin d’identifier les lacunes en temps opportun.

Recommandations

Recommandation 1 : Il est recommandé que le SMA du SGSI élargisse l’utilisation de l’évaluation des risques, y compris une compréhension commune de l’appétit pour le risque et de la tolérance au risque, lors de la planification et de l’exécution de l’approche globale pour la surveillance efficace et la surveillance continue efficace de la CIGF. On s’attend à ce que cet exercice éclaire également une approche robuste pour le processus d’évaluation des risques lié au CIGF et l’élaboration du plan de surveillance continue, y compris l’évaluation de la dépendance d’autres fournisseurs de services d’assurance lorsque c’est nécessaire.

Réponse de la direction et plan d’action

La direction est d’accord avec la recommandation.

En réponse à la recommandation 1 :

1) Approche axée sur les risques pour la surveillance du CIGF et la surveillance continue :

L’unité Gestion financière et contrôles internes réalise une évaluation annuelle des risques afin d’indiquer les principaux domaines et sous-processus à l’intérieur des processus ministériels plus larges qui présentent le risque le plus élevé, permettant ainsi la priorisation des activités de surveillance et garantissant que les ressources limitées sont dirigées là où elles ont plus d’incidence. L’approche sera davantage affinée pour améliorer la différenciation des risques, renforcer l’harmonisation avec l’appétit pour le risque établi et la tolérance au risque, et améliorer la précision, l’efficacité et l’efficience de la surveillance et des activités de surveillance continue. Une attention sera également accordée aux contraintes en matière de ressources et à l’analyse coûts-avantages afin de garantir que le niveau d’assurance obtenu est proportionnel au niveau de risque, améliorant ainsi l’efficience et l’efficacité de la surveillance et de la surveillance continue de la GFCI.

Produits livrables :

  • Une évaluation annuelle des risques de la GFCI actualisée qui identifie et priorise clairement les processus à risque élevé, les sous-processus et les principaux domaines de contrôle, avec une justification documentée expliquant les conclusions de l’évaluation des risques.
  • Une formulation claire de la manière dont l’appétit pour le risque et la tolérance au risque sont appliqués dans le processus d’évaluation des risques pour guider l’intensité de la surveillance et l’affectation des ressources, en tenant compte des considérations liées aux coûts et aux avantages.

Poste responsable : Directrice générale, Direction de finances et de l’approvisionnement

Calendrier : 30 novembre 2026

2) Indépendance de la surveillance des CIRF et référence aux résultats de l’audit de la DAE :

L’unité GFCI ne se fie pas aux audits internes de la Direction de l’audit et de l’évaluation (DAE) comme substitut à ses responsabilités en matière de surveillance des CIGF et des CIRF, mais plutôt, les résultats ne sont référencés que lorsqu’ils fournissent une assurance supplémentaire liée à des domaines de contrôle clés particuliers au sein du système global de contrôles internes. Lorsque le travail d’audit est mentionné, les modalités d’audit connexes seront examinées pour confirmer que les objectifs, la portée et le calendrier de l’audit sont suffisamment conformes aux exigences d’évaluation des CIRF. Les résultats de cette analyse et leur pertinence pour la surveillance fondée sur les risques et l’approche de surveillance continue de la GFCI seront dûment documentés dans les documents de travail du Plan de surveillance continue (PSC) fondé sur les risques de la GFCI.

La GFCI reconnaît que les références aux projets d’audit de la DAE dans les sections 3 et 5 de l’annexe pourraient être interprétées comme impliquant que la DAE fournit une couverture pour la surveillance continue, ce qui n’était pas le message attendu. Afin d’éviter d’éventuelles interprétations erronées, les références aux travaux de la DAE seront supprimées des sections 3 et 5 de l’annexe à l’avenir, et la section 4 sera également clarifiée, par exemple comme suit :

« Le Plan de surveillance continue (PSC) peut faire référence aux projets prévus inclus dans le Plan intégré d’audit et d’évaluation (PIAE) de RNCan lorsque ces projets fournissent une assurance indépendante et objective pertinente pour des éléments précis de gouvernance, de gestion des risques ou de contrôle au sein du système plus large de contrôles internes. Ces références sont destinées uniquement à fournir une assurance supplémentaire. La responsabilité d’évaluer l’efficacité du système de contrôles internes en matière de gestion financière fondés sur le risque du Ministère, y compris son sous-ensemble, le système de contrôles internes en regard des rapports financiers, demeure avec l’unité Gestion financière et contrôles internes (GFCI) relevant du dirigeant principal des finances ».

Nonobstant ce qui précède, la coordination avec les cycles de planification de la DAE se poursuivra en pratique afin de réduire au minimum le dédoublement des efforts, réduire le fardeau imposé aux propriétaires de processus et éviter les chevauchements inutiles. Cette coordination sera reflétée dans le Plan de surveillance continue axé sur les risques, tout en maintenant clairement la responsabilisation indépendante relative à la supervision et à la surveillance des CIGF.

Produits livrables :

  • Examen documenté des modalités pertinentes de l’audit de la DAE pour évaluer l’harmonisation avec les objectifs et la portée de l’évaluation des CIGF et des CIRF.
  • Une annexe révisée à la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers, avec toutes les références au travail d’audit de la DAE retirées des sections 3 et 5.
  • Confirmation que la section 4 de l’annexe demeure la seule référence aux projets d’audit de la DAE et reflétera clairement leur utilisation uniquement comme assurance supplémentaire, sans dépendance pour la surveillance de base de CIGF.

Poste responsable : Directrice générale, Direction de finances et de l’approvisionnement

Calendrier : 30 septembre 2026

Surveillance et production de rapports

Constatation générale

Dans l’ensemble, la communication aux principaux intervenants se fait conformément aux directives du Conseil du Trésor par le biais de lettres de recommandation (pour les responsables des processus opérationnels) et de rapports semestriels (pour la haute direction et le Comité ministériel d’audit). Le suivi auprès des responsables des processus opérationnels est effectué deux fois par année pour surveiller la mise en œuvre des mesures correctives.

Les informations incluses dans les rapports semestriels sont généralement complètes et comprennent des annexes détaillées. Il est possible de revoir et d’affiner l’information et le niveau de détail dans les rapports à la haute direction, afin de mieux faciliter les discussions stratégiques et de soutenir la prise de décisions éclairées.

Observations pertinentes

L’équipe d’audit s’attendait à ce que les résultats des évaluations des contrôles internes soient communiqués efficacement aux intervenants et que les constatations soient suivies afin de soutenir une surveillance efficace et des mesures correctives en temps opportun. L’équipe d’audit a examiné si les constatations relevées quant aux contrôles sont appuyées par des plans de mesures correctives et qu’un suivi approprié est effectué pour assurer une mise en œuvre en temps opportun.

Rapport sur les contrôles internes en matière de gestion financière

Le Ministère a mis en place des mécanismes pour communiquer les résultats des évaluations des contrôles internes aux principaux intervenants, y compris les responsables des processus opérationnels, le dirigeant principal des finances, le sous-ministre, les cadres supérieurs du Ministère et le Comité ministériel d’audit. Les résultats de l’évaluation des contrôles internes et les recommandations sont communiqués par le biais de lettres de recommandation aux responsables des processus opérationnels, ainsi que dans les mises à jour semestrielles des rapports sur les CIGF, conformément aux attentes générales énoncées dans le Guide sur le CIGF du CT et au Guide de surveillance continue du CIGF du CT et le Cadre de RNCan. Les rapports semestriels de mise à jour sur les CIGF incluent les éléments clés décrits dans les directives, y compris les constatations, les recommandations et l’état des mesures correctives.

L’équipe d’audit a noté que les présentations préparées pour la haute direction et pour le CMA sont généralement complètes et contiennent des annexes qui fournissent des détails supplémentaires. Bien qu’il soit utile de fournir de l’information détaillée lors de la présentation de rapports à la haute direction, l’équipe d’audit a constaté que l’information clé pour les discussions stratégiques et la prise de décisions peuvent ne pas être clairement formulée au milieu d’une abondance de détails à l’appui. Le Ministère devrait envisager de réévaluer l’utilité de l’information avec des principaux intervenants afin de s’assurer que le niveau de détail fourni dans les rapports de mise à jour des CIGF est approprié et répond aux besoins des utilisateurs et que les ressources sont utilisées efficacement pour fournir des renseignements utiles à la prise de décisions.

Surveillance et suivi des mesures correctives

L’équipe d’audit a révélé que les lacunes en matière de contrôle identifiées lors des évaluations des contrôles internes sont communiquées aux responsables des processus opérationnels par le biais de lettres de recommandation qui incluent des éléments clés : les constatations, les évaluations des risques et les recommandations. L’équipe d’audit a confirmé, par la revue des documents et les entrevues, que le GFCI collabore avec les responsables des processus opérationnels pour élaborer le plan d’action de gestion, y compris la détermination des mesures correctives pour remédier auxdites lacunes ainsi que les échéanciers pour la mise en œuvre des mesures correctives. Le suivi auprès des responsables des processus opérationnels est effectué deux fois par année pour surveiller la mise en œuvre des mesures correctives.

Les activités de suivi comprennent également une communication fréquente avec les responsables des processus opérationnels pour clarifier les recommandations au besoin, la confirmation des produits livrables avant la clôture, ainsi que des mises à jour systématiques du suivi des mesures correctives. Les données probantes relatives aux mesures prises pour certains domaines de contrôle clés démontre que les mesures correctives sont mises en œuvre et surveillées de manière appropriée, avec une clôture officielle confirmée et validée par la GFCI. L’équipe d’audit a noté qu'un certain nombre de mesures correctives ont été retardées pour respecter leurs dates d’échéance initiales par les responsables des processus opérationnels. Dans la mise à jour de fin d’année 2024-2025 sur les CIRF, présentée en août 2025, les responsables des processus opérationnels ont indiqué que 19 des 27 mesures correctives en suspens nécessitaient des échéanciers révisés en raison de facteurs organisationnels et opérationnels, y compris le roulement du personnel de gestion et les priorités concurrentes. Cette observation a également été soulevée dans l’audit interne des ICFR de 2018 réalisé par la DAE. Ces retards ont été documentés dans le suivi et ont été transmis à la haute direction, avec des explications fournies par les responsables des processus opérationnels. La GFCI a indiqué que dans le cadre de la phase de suivi, elle évalue continuellement si les mesures correctives sont obsolètes ou pourraient être remplacées par la même recommandation de la DAE.

L’équipe d’audit reconnaît que la mise en œuvre des mesures correctives relève des responsables des processus opérationnels, et que la GFCI est proactive dans le suivi auprès des responsables des processus opérationnels pour soutenir la mise en œuvre de ces mesures correctives. La GFCI devrait envisager de réaliser un examen de toutes les mesures correctives en retard afin d’évaluer si les mesures correctives sont toujours pertinentes dans le contexte opérationnel actuel.

Annexe A – À propos de l’audit

Une approche fondée sur les risques a été utilisée pour établir les objectifs, la portée et l’approche de cette mission d’audit.

But et objectifs de l’audit

L’objectif de cet audit était d’évaluer l’adéquation et l’efficacité du Cadre de RNCan soutenant les contrôles internes en matière de gestion financière, y compris la manière dont le Ministère planifie, met en œuvre ses responsabilités relatives à la surveillance continue et en rend compte, conformément aux exigences du Conseil du Trésor.

Plus particulièrement, l’audit a évaluer si :

  • des mécanismes appropriés ont été établis pour assurer des rôles et des responsabilités clairement définis, la conformité aux exigences du Conseil du Trésor et l’efficacité des activités;
  • les évaluations des contrôles internes sont conçues et mises en œuvre de manière à ce qu’elles soient fondées sur les risques et garantissent des résultats fiables, exacts et axés sur des données probantes;
  • les résultats des évaluations des contrôles internes sont communiqués efficacement aux intervenants et les constatations sont surveillées pour soutenir une supervision efficace et des mesures correctives en temps opportun.

Cet audit a été inclus dans le Plan intégré d’audit et d’évaluation (PIAE) 2024-2029, qui a été approuvé par le sous-ministre le 24 juin 2024.

Portée

La portée de l’audit s’est concentrée sur les processus et procédures pertinents liés à la planification, à l’exécution et aux activités de rapport de RNCan à l’appui de son système de contrôles internes en matière de gestion financière. La portée couvrait les activités entreprises pour la période entre le 1er avril 2023 et le 31 mars 2025.

La portée de l’audit n’incluait pas les éléments suivants :

  • Une évaluation de l’efficacité des contrôles internes individuels détenus par les responsables des processus opérationnels.
  • Les essais directs ou la validation des contrôles internes effectués par des tiers ou d’autres ministères au nom de RNCan. Toutefois, l’approche du CIGF pour intégrer cette dépendance dans ses évaluations a été examinée.
  • Un examen de l’exactitude ou de l’exhaustivité des états financiers de RNCan ou une opinion d’audit officielle sur les rapports financiers.

Comme indiqué dans l’annexe de la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers dans les états financiers consolidés de RNCan, la GFCI s’appuie partiellement sur le travail effectué par la DAE pour soutenir ses activités de surveillance continues afin de fournir une assurance supplémentaire sur l’efficacité des processus de gestion des risques, de contrôle et de gouvernance liés au système de CIGF. Afin de maintenir l’indépendance et l’objectivité, cet audit n’a pas inclus une évaluation des contributions de la DAE au système de contrôles internes en matière de gestion financière du Ministère.

Les résultats d’autres audits précédents et des projets d’évaluation sur des sujets connexes ont été pris en compte afin d’éclairer l’audit et de réduire le dédoublement des efforts, y compris l’audit des contrôles internes au regard des rapports financiers effectué en 2018 par la DAE.

Approche et méthodologie

L’approche et la méthodologie adoptées respectaient les Normes mondiales d’audits internes de l’IIA et la Politique sur l’audit interne du gouvernement du Canada. Ces normes exigent que l’audit soit planifié et exécuté de manière à obtenir une assurance raisonnable que les objectifs de l’audit sont atteints. L’audit comportait divers tests jugés nécessaires pour offrir une telle assurance. Les auditeurs internes ont effectué l’audit avec objectivité, comme défini dans les Normes mondiales d’audits internes de l’IIA.

L’audit comprenait les tâches clés suivantes :

  1. Entrevues avec les principaux responsables participant à la conception, la mise en œuvre et la supervision du système de contrôle interne en matière de gestion financière du Ministère, notamment les membres de l’équipe de la GFCI, les responsables des processus opérationnels et d’autres intervenants concernés;
  2. L’examen et l’analyse des documents ministériels, y compris, mais sans s’y limiter : les politiques, les procédures, les évaluations des risques, les stratégies en matière de tests, les matrices de risques et de contrôle, les lettres de recommandation, et les rapports liés aux activités des CIRF;
  3. Un examen de l’information accessible au public et des entrevues avec une sélection de ministères et d’organismes à vocation scientifique afin d’identifier des pratiques exemplaires liées à la surveillance continue des contrôles internes en matière de gestion financière.

Les critères d’audit suivants ont guidé le travail sur le terrain et ont servi de base à la conclusion globale de l’audit. Ces critères ont été élaborés selon les principaux contrôles définis dans la Politique sur la gestion financière du Conseil du Trésor du Canada et ses documents d’orientation connexes.

Objectifs secondaires de l’audit Critères d’audit

Sous-objectif 1 :

Déterminer si des mécanismes appropriés ont été établis pour assurer des rôles et des responsabilités clairement définis, la conformité aux exigences du Conseil du Trésor et l’efficacité des activités.

1.1. Il est attendu que les rôles et les responsabilités des principaux intervenants soient clairement définis et communiqués.
1.2 Il est attendu que la conformité aux politiques et aux directives pertinentes du Conseil du Trésor (par exemple, la Politique sur la gestion financière, le Guide sur le CIGF) soit activement surveillée et reflétée dans les cadres de planification et de contrôle.
1.3 Il est attendu que des mécanismes soient en place pour soutenir l’efficacité des activités de CIGF, y compris l’utilisation d’outils techniques et le transfert de connaissances.

Sous-objectif 2 :

Déterminer si les évaluations des contrôles internes sont conçues et mises en œuvre de manière à ce qu’elles soient fondées sur les risques et garantissent des résultats fiables, exacts et axés sur des données probantes.

2.1 Il est attendu qu’un processus structuré d’évaluation des risques soit conçu et mis en œuvre afin de sélectionner et de prioriser les principaux processus opérationnels et les contrôles opérationnels pour les tests.
2.2 Il est attendu que les tests de contrôle interne soient effectués en utilisant des procédures documentées et des données probantes appropriées, soutenant l’exactitude et la validité des conclusions sur la conception et l’efficacité opérationnelle des contrôles.
2.3 Il est attendu que la dépendance aux tiers pour soutenir les activités de test est gérée de manière appropriée et intégrée dans le travail de l’équipe des contrôles internes.

Sous-objectif 3 :

Déterminer si les résultats des évaluations des contrôles internes sont efficacement communiqués aux intervenants et que les constatations sont surveillées pour soutenir une supervision efficace et des mesures correctives en temps opportun.

3.1 Il est attendu que les résultats des évaluations des contrôles internes soient transmis à la haute direction en temps opportun et qu’ils soient complets et exacts.
3.2 Il est attendu que les lacunes relevées en matière de contrôle soient appuyées par des plans de mesures correctives, et que des mesures de suivi appropriées soient effectuées pour assurer une mise en œuvre en temps opportun.