Language selection

Recherche


Audit continu des principales mesures de contrôle – Rapport annuel de 2015-2016

Direction de l’audit
Ressources naturelles Canada

Présenté au Comité ministériel de vérification (CMV)
Le 22 septembre 2016

Introduction

L’audit continu donne une assurance régulière sur des processus et des contrôles de gestion spécifiques, et permet ainsi d’obtenir des informations plus rapidement sur les problèmes éventuels liés aux risques et aux contrôles. Il permet de fournir à la direction en temps opportun les constatations concernant les principaux contrôles liés aux processus financiers et non financiers. Nos activités d’audit continu et d’audit régulier permettent d’assurer une couverture adéquate des processus et mesures de contrôle du ministère. Au cours de l’exercice annuel du Plan de vérification axé sur les risques, nous cherchons à cerner l’approche la plus efficace en matière d’assurance : l’audit continu ou l’audit régulier.

L’audit continu fournit à la direction des résultats d’audit presque en temps réel sur l’efficacité et l’efficience des principales mesures de contrôle sur les transactions connexes. Il peut ainsi améliorer considérablement les processus et les cadres de contrôle interne au sein d’une organisation. Ces audits diffèrent des audits classiques qui sont généralement plus exhaustifs en matière de portée. Chaque année, toutes les activités d’audit entreprises par la Direction de l’audit (DA) de Ressources naturelles Canada (RNCan) sont officiellement consignées dans ce rapport d’assurance annuel des principales mesures de contrôle. Ce rapport présente les résultats des activités d’audit continu entreprises par la DA sur les transactions enregistrées durant l’exercice financier 2015-2016.

Réalisations de cette année

Avec l’aide du sous-ministre, de la haute direction et du Comité ministériel de vérification (CMV), la DA a poursuivi, en 2015-2016, la mise en place d’une capacité efficace et durable d’audit continu à RNCan.

Les activités d’audit continu effectuées en 2015-2016 ont consisté à repérer les éventuels problèmes de contrôle pour les processus précis indiqués dans le Plan de vérification axé sur les risques approuvé par le sous-ministre. Ainsi, en 2015-2016, les deux domaines suivants ont été évalués au moyen d’un audit continu :

  • Gestion des renseignements personnels;
  • Passation de marchés et paiements aux fournisseurs.

Les activités d’audit continu portaient également sur la rémunération; cependant, comme les lacunes relatives aux mesures de contrôle identifiées dans l’audit continu de l’an dernier portant sur la rémunération demeurent présentes dans ce domaine, la Direction de l’audit a remplacé l’audit par un exercice de schématisation du processus pour aider la direction à établir un cadre de contrôle adéquat et plus solide concernant la rémunération.

Grâce à l’audit continu réalisé en 2015-2016, la DA a été en mesure de fournir régulièrement des conseils à la haute direction et au CMV sur l’efficacité des principales mesures de contrôle associées à ces domaines. Les constatations et recommandations issues de ces audits continus ont été transmises à la direction, afin de l’aider à améliorer les mécanismes de contrôle actuels. Ces constatations et recommandations ont aussi été présentées au CMV, accompagnées des réponses de la direction et de plans d’action.

En plus de ses activités d’audit continu, la direction de RNCan a réalisé des activités de surveillance continue conformément à la Politique sur le contrôle interne du Conseil du Trésor (CT). Les efforts conjugués de la DA et de la direction ont permis d’améliorer les processus de contrôle et de corriger toutes les erreurs détectées.

Objectif

L’objectif était de fournir une assurance raisonnable que des mesures de contrôle importantes sont en place pour la gestion des renseignements personnels et les processus de passation de marchés et de paiement aux fournisseurs, et qu’elles donnent les résultats attendus.

Portée

Voici la portée des deux activités d’audit continu :

  • Pour la gestion des renseignements personnels, la période visée par l’examen était du 1er avril 2014 au 31 août 2015.
  • Pour la passation de marchés et les paiements aux fournisseurs, la période visée par l’examen était du 1er avril 2015 au 31 décembre 2015.

Les principales mesures de contrôle évaluées pour chaque processus sont indiquées à l’annexe A – Critères de l’audit.

Facteurs pris en considération lors de l’audit

En 2015-2016, une approche axée sur les risques a été utilisée pour repérer les processus transactionnels qui auraient le plus avantage à faire l’objet d’un audit continu. À la suite de notre exercice annuel de Plan de vérification axé sur les risques, les trois processus ci-dessus ont été choisis pour un audit, compte tenu des risques inhérents suivants :

  • Risque de non-conformité possible avec les lois, politiques et directives du gouvernement, qui pourrait se traduire par la révocation de certains pouvoirs financiers ministériels délégués par le Secrétariat du Conseil du Trésor;
  • Risque de perte de fonds publics ou de la confiance du public : la gestion des fonctions liées à la passation de marchés et aux déplacements constitue souvent un indicateur de la prudence et de la probité d’un ministère dans la gestion des fonds publics;
  • Risque d’erreurs, de problèmes ou d’omissions possibles liés à ces types de transactions, qui pourrait se traduire par des renseignements financiers inexacts;
  • Risque de documentation inadéquate pour appuyer les décisions prises pendant le processus de passation de marchés, qui pourrait faire en sorte que le Ministère ne soit pas en mesure de démontrer qu’il utilise un processus équitable et transparent de passation de marchés.

Principales constatations et recommandations

Le texte qui suit résume les constatations et conclusions pour chacun des deux audits continus achevés en 2015-2016, et fournit un résumé des activités entreprises par la Direction de l’audit concernant le processus de rémunération.

Gestion des renseignements personnels

Dans l’ensemble, les principales mesures de contrôle évaluées pendant l’audit pour la gestion des renseignements personnels sont mises en place et donnent les résultats attendus. Plus précisément, le Cadre de gestion de la protection des renseignements personnels (CGPRP) en place est conçu de façon adéquate et les principales mesures de contrôle évaluées sont mises en œuvre. Une bonne pratique a été mise en place sous la forme d’un CGPRP qui décrit les activités concrètes visant à soutenir une gestion efficace des renseignements personnels.

De plus, la Direction de l’audit a consulté des organismes centraux qui ont confirmé que le CGPRP du ministère était une bonne pratique et l’ont décrit comme étant un outil solide par rapport aux besoins de gestion des renseignements personnels de RNCan, étant donné que le ministère collecte peu de renseignements personnels, principalement liés aux ressources humaines.

L’audit a révélé que de bonnes pratiques étaient en place et que les quelques problèmes de confidentialité rencontrés au cours des années précédentes ont été bien gérés et traités, en temps opportun. L’audit a cependant permis de relever certaines possibilités d’amélioration mineures. Elles concernent en particulier les thèmes suivants :

  • Réaliser des examens périodiques du CGPRP pour le renforcer en s’assurant de la cohérence de la terminologie utilisée et en clarifiant les responsabilités de chacun;
  • Adopter une approche plus rentable axée sur les risques pour la prestation d’une formation sur le CGPRP au lieu d’offrir une formation à l’ensemble du personnel de RNCan; mettre à jour la formation et les outils liés à la confidentialité sur le site Web interne du ministère;
  • Vérifier qu’un suivi systématique est réalisé pour s’assurer que tous les secteurs ont effectué leurs examens du fichier de renseignements personnels (FRP);
  • S’assurer que le processus servant à signaler les atteintes à la vie privée permet un signalement proactif et en temps opportun auprès des organismes centraux.

Passation de marchés et paiements aux fournisseurs

Le présent audit continu a révélé que, dans l’ensemble, les principales mesures de contrôle étaient en place et donnent les résultats attendus par rapport aux contrats examinés et à leurs paiements connexes. En particulier, l’audit continu a révélé des améliorations depuis l’audit continu de l’an dernier concernant la documentation relative aux dossiers de passation de marchés, ainsi qu’à la vérification systématique, par le groupe d’assurance de la qualité, après le paiement, des modalités financières des contrats par rapport aux factures réglées.

L’audit a confirmé que les factures étaient examinées et approuvées par des personnes ayant un pouvoir délégué approprié (conformément à l’article 34 de la Loi sur la gestion des finances publiques [LGFP]) et que les paiements des transactions étaient approuvés par des personnes ayant un pouvoir délégué approprié (conformément à l’article 33 de la LGFP). L’audit a permis de constater qu’un programme de surveillance continue est en place, et vise à examiner périodiquement des échantillons de paiements versés à la suite de la signature d’un contrat.

L’audit a relevé d’autres bonnes pratiques faisant partie du cadre de contrôle, notamment :

  • La Commission de révision des marchés publics (CRMP). La CRMP a un rôle clé dans l’évaluation et l’atténuation des risques liés aux activités d’approvisionnement et de passation de marchés de RNCan. La responsabilité de la CRMP d’examiner, pour recommandation ou modification, toute stratégie d’approvisionnement pour tous les besoins non concurrentiels (fournisseur unique) de biens ou de services de plus de 25 000 $ est d’intérêt pour cet audit continu.
  • Le système d’approvisionnement en ligne de RNCan. Ce système sert à lancer le processus de la plupart des demandes de marchés de RNCan. Cet outil d’approvisionnement en ligne permet d’effectuer des achats et d’en faire un suivi en ligne à partir de n’importe où. Une fois les formulaires appropriés d’approbation remplis en ligne, un spécialiste en approvisionnement donne suite à la demande après avoir examiné les documents qui y sont joints. Cet outil constitue un dépôt de documents importants, ce qui est indispensable avant toute passation de marché, et il réduit les erreurs de saisie de données.

L’audit a cerné une possibilité d’amélioration mineure afin de mieux harmoniser l’examen de certaines transactions et l’examen après le paiement, par le groupe d’assurance de la qualité, des paiements à faible risque afin d’éliminer les redondances. De plus, en raison d’un problème concernant les congés prolongés et du manque de ressources, les activités d’assurance de la qualité de la passation de marchés n’ont pas toujours été menées en temps opportun. Maintenant que le poste a été pourvu à temps plein, nous estimons que le risque sera atténué et que les activités d’assurance de la qualité reprendront comme prévu.

Rémunération

Le Projet de regroupement des services de paye du gouvernement du Canada a donné lieu à d’importants changements au cours des dernières années en ce qui concerne la gestion de la rémunération et des avantages à RNCan. Un des changements importants découlant du processus de regroupement des services de paye est que toutes les demandes d’intervention de paye sont désormais traitées par le Centre des services de paye de la fonction publique (CSPFP) de Services publics et Approvisionnement Canada (SPAC), ce qui a restreint le rôle qu’assume RNCan, limité à soumettre une demande d’intervention de paye et à vérifier qu’elle a été approuvée par une personne ayant le pouvoir délégué approprié. En février 2016, des changements supplémentaires ont été apportés quant à la rémunération avec le lancement de Phénix, le nouveau système de rémunération à l’échelle du gouvernement de SPAC.

L’audit continu de 2014-2015 portant sur la rémunération avait révélé qu’il fallait apporter des améliorations afin de disposer d’un cadre de contrôle plus rigoureux à RNCan pour les transactions de rémunération. Plusieurs domaines d’amélioration clés ont été cernés, plus particulièrement concernant les mesures de contrôle visant à assurer la rapidité du traitement ou l’exactitude des calculs de paiement qui en découlent. À ce stade, l’audit indiquait qu’étant donné que RNCan se fie au CSPFP de SPAC pour traiter les demandes d’intervention de paye, les problèmes liés à la rapidité du traitement ou à l’exactitude des calculs de paiement qui en découlent pourraient subsister, peu importe si les mesures de contrôle de RNCan propres à la soumission de telles demandes donnent les résultats attendus. 

Lors de la phase de planification de l’audit continu de 2015-2016 portant sur la rémunération, l’équipe chargée de l’audit a constaté que des lacunes en matière de mesures de contrôle existaient toujours quant à la rapidité et à l’exactitude des paiements, en particulier pour les employés dont les horaires ont changés, notamment ceux en congé non payé, en congé parental ou à temps partiel. Les descriptions du processus de contrôle interne de RNCan et les schémas de processus correspondants pour la paye n’étaient plus d’actualité, ne reflétant pas les changements récents liés au lancement du nouveau système de rémunération à l’échelle du gouvernement, Phénix. Cette information est essentielle pour établir si des mesures de contrôle appropriées sont en place et pour détecter les possibles lacunes en matière de contrôles, ce qui pourrait exposer le ministère à des problèmes quant à l’exactitude et à la rapidité des paiements. Au cours de la phase de planification, la direction a également informé l’équipe chargée de l’audit qu’ils avaient identifié un nombre important d’employés ayant potentiellement reçu un trop-perçu depuis la prise d’effet des changements du système de rémunération, en 2012. Ces difficultés ont été aggravées par le lancement de Phénix en février 2016. SPAC a récemment créé un bureau satellite à Gatineau, ouverture annoncée en juin 2016, dans l’intention de traiter ces problèmes.

Dans ce contexte, l’équipe chargée de l’audit a établi qu’il ne serait pas utile d’investir dans des ressources pour confirmer l’existence déjà connue de lacunes en matière de mesures de contrôle. Par conséquent, au lieu de réaliser un audit continu, la Direction de l’audit, avec l’appui de la direction, a réalisé un important exercice de schématisation du processus pour créer des diagrammes représentant les mesures de contrôle et mettre à jour les descriptions des processus liés à l’environnement actuel.

À la suite de cet exercice, les lacunes suivantes ont été repérées en matière de mesures de contrôle de la rémunération au sein de RNCan :  

  1. Les demandes d’intervention de paye ne sont pas suivies avec cohérence après avoir été transmises au CSPFP de SPAC;
  2. Le CSPFP de SPAC n’est peut-être pas informé en temps opportun des congés non payés (CNP) de plus de cinq jours pour les absences prévues;
  3. Aucune mesure de contrôle n’est mise en place pour vérifier l’exactitude des renseignements liés aux semaines de travail non normalisés (c.-à-d., temps partiel ou étudiants) saisis par les gestionnaires dans Phénix;
  4. La liste de vérification relative au départ des employés de RNCan ne comprend pas d’étape visant à garantir que les gestionnaires ont vérifié la possibilité d’un trop-perçu;
  5. En conséquence des difficultés continues concernant le traitement en temps opportun de la rémunération dans la fonction publique, les dépenses salariales totales de RNCan pourraient être sous-estimées à la fin de l’exercice, si la comparaison des dépenses réelles par rapport au budget salarial n’est pas réalisée par les gestionnaires du centre de responsabilité.

En conclusion

La DA peut fournir une assurance raisonnable que, dans l’ensemble, les principales mesures de contrôle sont en place et donnent les résultats attendus en se fondant sur l’examen de transactions sélectionnées des processus suivants : gestion des renseignements personnels, et passation de marchés et paiements aux fournisseurs. On a relevé des possibilités d’amélioration toujours présentes pour voir à ce qu’un processus de contrôle plus rigoureux soit en place concernant le processus lié à la rémunération.

Les constatations de l’audit continu concernant l’état des mesures de contrôle relatives à la gestion des renseignements personnels et à la passation de marchés et paiements aux fournisseurs appuient la décision indiquée dans notre Plan de vérification axé sur les risques d’examiner de nouveaux domaines au cours de l’exercice financier 2016-2017, notamment les cartes d’achats et les subventions et contributions.

Réponse de la direction

La direction a rapidement élaboré des plans d’action pour régler les problèmes cernés dans ces deux activités d’audit continu et, dans la plupart des cas, les problèmes ont été réglés immédiatement. La DA continuera de faire le suivi de la mise en œuvre de ces plans d’action de la direction. La DA réalisera également un audit continu de la rémunération en 2016-2017 pour s’assurer que les mesures de contrôle mises en œuvre pour assurer le suivi des paiements donnent les résultats attendus.

Remerciements

La DA aimerait remercier tous ceux qui ont contribué à ces audits continus et, plus particulièrement, les employés qui ont fait part de leurs observations et de leurs commentaires.

Conformité aux normes professionnelles

Selon mon jugement professionnel en tant que dirigeant principal de l’audit, les activités d’audit continu et le présent rapport annuel sont conformes aux normes d’audit interne du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité.

 

Christian Asselin, CPA, CA, CMA, CFE
Dirigeant principal de l’audit

ANNEXE A – CRITÈRES DE L’AUDIT CONTINU

GESTION DES RENSEIGNEMENTS PERSONNELS

Cet audit continu visait à fournir une assurance raisonnable que des mesures de contrôles clés sont en place relativement à la gestion des renseignements personnels et qu’elles donnent les résultats attendus. En particulier, l’audit s’est penché sur la question de savoir si le cadre de gestion de la protection des renseignements personnels mis en place par le ministère était conçu de façon adéquate, et si les mesures de contrôle étaient efficaces, notamment pour la sensibilisation des employés et du secteur sur les rôles, les responsabilités, la formation, le suivi et la production de rapports.

Contrôle

  1. RNCan a élaboré un Cadre de gestion de la protection des renseignements personnels (CGPRP) pour garantir la conformité à la Loi sur la protection des renseignements personnels.
  2. RNCan réalise un suivi et une évaluation continus des procédures et pratiques de protection des renseignements personnels.
  3. RNCan propose aux employés une formation sur la sensibilisation à la protection des renseignements personnels à l’aide d’une approche axée sur le risque.
  4. RNCan fournit un soutien et des conseils aux gestionnaires de programmes concernant les sujets liés à la protection des renseignements personnels.
  5. Les secteurs s’assurent que leurs employés comprennent clairement leurs rôles, leurs responsabilités et les attentes liées à la gestion et à la protection des renseignements personnels.
  6. RNCan a mis en place un processus pour mettre à jour les fichiers de renseignements personnels (FPR) et coordonne les résultats à l’interne et avec le SCT.
  7. La direction et les gestionnaires du secteur, grâce aux agents de liaison de l’AIPRP, informent le secrétariat de l’AIPRP de l’évaluation et la vérification annuelles des fichiers de renseignements personnels de RNCan et des résultats de l’évaluation préliminaire du risque.
  8. RNCan a mis en place un processus pour gérer et coordonner l’évaluation annuelle des risques liés à la protection des renseignements personnels.
  9. La direction et les gestionnaires des programmes du secteur tiennent à jour les fichiers de renseignements personnels en réalisant une évaluation annuelle des risques liés à la protection des renseignements personnels visant à mettre à jour les descriptions du FRP et à valider le niveau de risque lié à leur programme ou activité.
  10. La direction et les gestionnaires du secteur définissent et évaluent les modifications à apporter aux programmes existants ou la création d’un nouveau programme à l’aide d’un énoncé de sensibilité, et au besoin (conformément à l’article 6.3.1 de la Directive sur l’évaluation des facteurs relatifs à la vie privée), la réalisation et l’approbation d’une évaluation des facteurs relatifs à la vie privée (EFVP).
  11. RNCan a mis en place un processus pour examiner tous les énoncés de sensibilité et fournir des conseils sur la nécessite d’une EFVP.
  12. RNCan a mis en place des procédures documentées qui doivent être suivies lors de l’utilisation de renseignements personnels à des fins autres que des fins administratives, notamment les recherches, les statistiques, les audits et les évaluations.
  13. La direction et les gestionnaires du secteur consultent et respectent le Protocole de protection des renseignements personnels de RNCan lors d’activités qui utilisent des renseignements personnels à des fins autres que des fins administratives.
  14. RNCan a établi des plans et procédures, notamment les rôles, les responsabilités et la responsabilisation pour traiter les cas d’atteinte à la vie privée.
  15. Le secrétariat de l’AIPRP et l’agent de sécurité du ministère fournissent des conseils et un soutien aux gestionnaires dans la mise en œuvre d’un plan de gestion des cas d’atteinte à la vie privée de RNCan.
  16. La direction et les gestionnaires du secteur mettent en œuvre les plans et procédures de RNCan pour le traitement des cas d’atteinte à la vie privée.
  17. La direction et les gestionnaires du secteur signalent tous les cas d’atteinte à la vie privée au secrétariat de l’AIPRP et à l’agent de sécurité du ministère et informent leur sous-ministre adjoint (SMA) respectif en temps opportun.
  18. RNCan publie des résumés précis de l’EFVP (le cas échéant).
  19. Le secrétariat de l’AIPRP informe le SCT et le CPVP des cas d’atteinte à la vie privée.
  20. RNCan informe régulièrement le DG du comité sur les questions de l’AIPRP et le Comité exécutif (COMEX) sur la mise en œuvre du CGPRP au besoin.
  21. RNCan s’assure que les pratiques et mesures de protection appropriées sont en place et mises à jour pour tous les programmes et toutes les activités de RNCan.
  22. RNCan utilise les résultats de l’EFVP et des examens du FRP pour renforcer les efforts sur le suivi de ces programmes et activités qui représentent un risque accru pour les pratiques de protection des renseignements personnels de RNCan.

PASSATION DE MARCHÉS ET PAIEMENTS AUX FOURNISSEURS

L’objectif de cet audit continu est d’offrir une assurance raisonnable que des mesures de contrôles ont été mises en œuvre et qu’elles ont les effets escomptés en ce qui a trait au processus d’approvisionnement (du début, ou de l’attribution du contrat, au versement du paiement au fournisseur). En particulier, l’audit s’est penché sur le respect des politiques, des procédures, de la surveillance et de la production de rapports gouvernementaux et ministériels.

Contrôle

  1. Autorité compétente : le mode d’approbation par système d’approvisionnement en ligne en vertu de l'article 32 est adéquat.
  2. Conformité aux politiques : les seuils sont respectés et les pièces documentaires justificatives sont présentes.
  3. Autorité compétente : les autorités de l’unité de services d’approvisionnement (USA) respectent les différents niveaux d’approbation des achats et des fondés de pouvoir.
  4. Conformité aux politiques : la Commission de révision des marchés publics examine et approuve la stratégie d’approvisionnement de tout marché public de plus de 25 000 $ attribué à un seul fournisseur.
  5. Les pouvoirs délégués connaissent leurs nouvelles responsabilités concernant la validation des fournisseurs avec SPAC.
  6. Autorité compétente : le mode d’approbation du système de paiement électronique en vertu de l’article 34 est adéquat.
  7. Autorité compétente : le mode d’approbation en vertu de l’article 33 est adéquat.
  8. Conformité aux politiques et à la LGFP : la vérification du compte après le paiement est effectuée pour les paiements à faible risque.
  9. Des vérifications sont réalisées pour identifier les paiements en double lorsque des examens d’assurance de la qualité des paiements à faible risque sont entrepris.
  10. Un document standard régissant les fonctions de suivi et de production de rapports de l’unité de l’APAPR existe et est étudié pour évaluer sa pertinence.
  11. Conformité aux politiques et à la LGFP : la vérification après conclusion du contrat est effectuée selon la norme de l’APAPR.
  12. L’APAPR effectue des vérifications ponctuelles sur les marchés attribués pour vérifier que les données saisies sont complètes et exactes, et que les anomalies constatées sont signalées et corrigées.
  13. Le contrôle transactionnel des contrats et les rapports ministériels de contrôle des contrats en fonction du risque sont présentés à la Commission de révision des marchés publics.
  14. Conformité aux politiques : il existe une preuve écrite que les divulgations proactives des marchés supérieurs à 10 000 $ ont fait l’objet d’une vérification d’exactitude et d’intégralité avant la publication sur le site Internet de RNCan.
  15. L’APAPR dispose d’un processus adéquat encadrant la publication de la liste des contrats à divulguer sur le site Internet de RNCan.

 

Détails de la page

Date de modification :