Language selection

Recherche


Audit des contrôles internes en matière de rapports financiers - AU1801

Direction de l’audit et de l’évaluation
Ressources naturelles Canada

Présenté au Comité ministériel d’audit (CMA)
Décembre 2018

TABLE DES MATIÈRES

SOMMAIRE

INTRODUCTION

Les parlementaires et les Canadiens s’attendent à ce que les ressources financières du gouvernement du Canada soient bien gérées et protégées au moyen de mécanismes de contrôle interne. Ils s’attendent également à ce que des rapports fiables et transparents rendent compte de l’utilisation faite des fonds publics pour atteindre les résultats souhaités pour les Canadiens. La Politique sur la gestion financière (PGF) du Conseil du Trésor (CT), entrée en vigueur le 1er avril 2017, remplaçait plusieurs instruments politiques du CT, notamment la Politique sur le contrôle interne, et a été élaborée dans l’objectif de garantir que les ressources financières du gouvernement du Canada sont bien gérées dans le cadre de la prestation de programmes destinés aux Canadiens, et protégées au moyen de mécanismes de contrôle équilibrés. La PGF définit les mécanismes de contrôle interne en matière de gestion financière (CIGF) comme un « ensemble de mesures et d’activités qui fournit une assurance raisonnable de l’efficacité et de l’efficience des activités de gestion financière du ministère. » En tant que sous-ensemble du système de contrôle interne en matière de gestion financière, le contrôle interne en matière de rapports financiers (CIRF) est défini comme « un ensemble de mesures et d’activités qui permettent aux cadres supérieurs et aux utilisateurs d’états financiers d’avoir une assurance raisonnable de la précision et de l’intégralité des états financiers du ministère. » Le présent audit porte sur les mécanismes de CIRF.  

Un système efficace de CIRF contribue à l’établissement et à la mise en œuvre des principaux mécanismes de contrôle interne, qui collectivement permettent de s’assurer que les transactions financières sont correctement enregistrées. Le degré d’efficacité de la mise en œuvre des mécanismes de contrôle interne influe directement sur la fiabilité des états financiers destinés à un usage externe du ministère, car ces mécanismes protègent contre une mauvaise gestion, des erreurs et d’autres irrégularités liées aux ressources financières qui pourraient en fin de compte fausser d’importants soldes de comptes dans les états financiers. Par conséquent, l’administration de mesures et de garanties adéquates pour les principaux processus opérationnels, grâce à un système efficace de CIRF, est essentielle pour que l’utilisation des fonds publics soit fidèlement rapportée aux Canadiens. Les données détaillées des états financiers annuels de Ressources naturelles du Canada (RNCan) sont également consignées dans les Comptes publics du Canada, qui sont préparés chaque année par le Bureau du vérificateur général (BVG) et offrent une représentation consolidée des états financiers globaux du gouvernement du Canada.

L’existence de renseignements financiers fiables, lorsqu’ils sont intégrés à d’autres sources d’information non financière, permet à RNCan de gérer efficacement ses priorités et d’offrir des produits et services majeurs au public. Le processus décisionnel stratégique et opérationnel est renforcé lorsque l’on dispose d’une image globale, en temps opportun, du rendement financier d’une entité. Cela entraîne directement des dépenses plus efficaces et une plus grande valeur ajoutée pour les Canadiens.

Conformément à la PGF, le dirigeant principal des finances (DPF) est responsable de l’établissement, de la surveillance et du maintien d’un système de CIRF axé sur les risques. En septembre 2012, RNCan a élaboré le Cadre de contrôle interne en matière de rapports financiers de RNCan (le Cadre) pour définir l’approche et les obligations de rendre des comptes relatives au système de CIRF du Ministère. Le Cadre vise à définir les rôles et responsabilités de la haute direction, des responsables des processus ainsi que d’autres employés de RNCan, et à offrir une vue d’ensemble du processus d’évaluation du système de CIRF de RNCan. Dans le cadre de son rôle de surveillance, l’Unité Politiques, rapports et contrôles internes financiers (PRCIF) du Secteur de la gestion et des services intégrés (SGSI) a la responsabilité de mener des évaluations axées sur les risques du système de CIRF pour déterminer son efficacité continue. Bien que l’Unité PRCIF soit responsable de la surveillance et des tests d’efficacité des principaux mécanismes de contrôle, les responsables des processus opérationnels sont chargés d’établir et de maintenir leurs propres mesures de contrôle des processus opérationnels.

L’objectif de l’audit était d’évaluer le bon fonctionnement des principaux mécanismes de contrôle des processus opérationnels visés, tels qu’ils ont été conçus et mis en œuvre, ainsi que l’efficacité du cadre en place pour gérer, surveiller et produire des rapports sur le système de CIRF.

L’audit figurait dans le Plan d’audit axé sur les risques 2017-2020, approuvé par la sous-ministre le 30 mars 2017.

POINTS FORTS

Dans l’ensemble, les rôles, les responsabilités et les mécanismes de production de rapports sont définis et mis en place pour contribuer au fonctionnement du système de CIRF du ministère. L’annexe de la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers reflète largement les résultats des évaluations continues pour lesquelles un plan de surveillance et une méthode d’évaluation, soutenus par une évaluation des risques, ont été établis. En règle générale, l’Unité PRCIF fait part des lacunes cernées en matière de contrôle aux responsables des processus opérationnels en temps opportun, et assure la surveillance de la mise en œuvre des mesures correctives en conséquence.

DOMAINES À AMÉLIORER

Il serait possible de réviser, de mettre à jour et de diffuser le Cadre de CIRF de RNCan pour qu’il concorde mieux avec la Politique sur la gestion financière du CT, et d’améliorer la documentation et l’exhaustivité de l’évaluation des risques pour le CIRF. L’Unité PRCIF pourrait également renforcer les pratiques de surveillance continue en collaboration avec les responsables des processus opérationnels. Certains mécanismes de contrôle clés concernant le processus opérationnel relatif aux dépenses d’exploitation doivent être révisés, et les principaux mécanismes de contrôle liés aux immobilisations nécessitent d’importantes améliorations.

CONCLUSION DE L’AUDIT INTERNE ET OPINION

À mon avis, il existe un cadre en place pour gérer, surveiller et produire des rapports sur le système de CIRF de RNCan. Il serait possible de mettre à jour ce cadre et de le faire concorder avec la Politique sur la gestion financière du CT, tout en améliorant certains processus liés à la gouvernance, à l’évaluation des risques, à la surveillance continue et aux tests des mécanismes de CIRF.

Dans l’ensemble, les principaux mécanismes de contrôle testés pour les processus opérationnels liés aux dépenses d’exploitation et aux garanties d’emprunt ont été conçus et mis en œuvre efficacement, mais il existe des possibilités d’améliorer leur efficacité opérationnelle. D’importantes lacunes en matière d’efficacité de la conception, de la mise en œuvre et opérationnelle ont été repérées dans le processus opérationnel relatif aux immobilisations, ce qui est cohérent avec les constatations et recommandations présentées dans le cadre de l’audit interne des mécanismes de CIRF de 2014.

ÉNONCÉ DE CONFORMITÉ

Selon mon jugement professionnel en tant que dirigeant principal de l’audit, l’audit est conforme aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes et à la Politique sur l’audit interne du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité.

Christian Asselin, CPA, CA, CMA, CFE
Dirigeant principal de l’audit et de l’évaluation
Le 13 décembre 2018

REMERCIEMENTS

L’équipe d’audit aimerait remercier les personnes qui ont participé au projet et, plus particulièrement, les employés qui ont fait part de leurs observations et leurs commentaires dans le cadre du présent audit.

INTRODUCTION

Les parlementaires et les Canadiens s’attendent à ce que les ressources financières du gouvernement du Canada soient bien gérées et protégées au moyen de mécanismes de contrôle interne. Ils s’attendent également à ce que des rapports fiables et transparents rendent compte de l’utilisation faite des fonds publics pour atteindre les résultats souhaités pour les Canadiens. La Politique sur la gestion financière (PGF) du Conseil du Trésor (CT), entrée en vigueur le 1er avril 2017, remplaçait plusieurs instruments politiques du CT, notamment la Politique sur le contrôle interne, et a été élaborée dans l’objectif de garantir que les ressources financières du gouvernement du Canada sont bien gérées dans le cadre de la prestation de programmes destinés aux Canadiens, et protégées au moyen de mécanismes de contrôle équilibrés. La PGF définit les mécanismes de contrôle interne en matière de gestion financière (CIGF) comme un « ensemble de mesures et d’activités qui fournit une assurance raisonnable de l’efficacité et de l’efficience des activités de gestion financière du ministère. » En tant que sous-ensemble du système de contrôle interne en matière de gestion financière, le contrôle interne en matière de rapports financiers (CIRF) est défini comme « un ensemble de mesures et d’activités qui permettent aux cadres supérieurs et aux utilisateurs d’états financiers d’avoir une assurance raisonnable de la précision et de l’intégralité des états financiers du ministère. » (voir la figure 1 ci-dessous). Le présent audit porte sur les mécanismes de CIRF.

Figure 1 : Systèmes de contrôle interne
Version textuelle

Figure 1 : Systèmes de contrôle interne

Administrateur général
Système de contrôle interne au sein du Ministère

Dirigeant principal des finances
Système de contrôle interne en matière de gestion financière et de rapports financiers

Cadres supérieurs du ministère
Système de contrôle interne au sein de leurs domaines de responsabilités

 

Source : Guide de surveillance continue des contrôles internes en matière de gestion financière du CT.

Un système efficace de CIRF contribue à l’établissement et à la mise en œuvre des principaux mécanismes de contrôle interne, qui collectivement permettent de s’assurer que les transactions financières sont correctement enregistrées. Le degré d’efficacité de la mise en œuvre des mécanismes de contrôle interne influe directement sur la fiabilité des états financiers destinés à un usage externe du ministère, car ces mécanismes protègent contre une mauvaise gestion, des erreurs et d’autres irrégularités liées aux ressources financières qui pourraient en fin de compte fausser d’importants soldes de comptes dans les états financiers. Par conséquent, l’administration de mesures et de garanties adéquates pour les principaux processus opérationnels, grâce à un système efficace de CIRF, est essentielle pour que l’utilisation des fonds publics soit fidèlement rapportée aux Canadiens. Les données détaillées des états financiers annuels de Ressources naturelles du Canada (RNCan) sont également consignées dans les Comptes publics du Canada, qui sont préparés chaque année par le Bureau du vérificateur général (BVG) et offrent une représentation consolidée des états financiers globaux du gouvernement du Canada.

L’existence de renseignements financiers fiables, lorsqu’ils sont intégrés à d’autres sources d’information non financière, permet à RNCan de gérer efficacement ses priorités et d’offrir des produits et services majeurs au public. Le processus décisionnel stratégique et opérationnel est renforcé lorsque l’on dispose d’une image globale, en temps opportun, du rendement financier d’une entité. Cela entraîne directement des dépenses plus efficaces et une plus grande valeur ajoutée pour les Canadiens.

Conformément à la PGF, le dirigeant principal des finances (DPF) est responsable de l’établissement, de la surveillance et du maintien d’un système de CIRF axé sur les risques. La PGF exige également que le DPF s’assure de l’exactitude et du caractère raisonnable des états financiers, notamment la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers annuelle du Ministère, qui décrit l’obligation de rendre compte de la direction quant à la mise en œuvre d’un système efficace de contrôle interne des rapports financiers (CIRF). Les états financiers et la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers annuelle du Ministère sont approuvés par l’administrateur général. De leur côté, les hauts dirigeants sont responsables de la mise en œuvre et du maintien d’un système de CIRF axé sur les risques, ainsi que du signalement des lacunes importantes en matière de contrôle auprès du DPF et de la prise de mesures correctives rapides, au besoin.

En septembre 2012, Ressources naturelles Canada (RNCan) a élaboré le Cadre de contrôle interne en matière de rapports financiers de RNCan (le Cadre) pour définir l’approche et les obligations de rendre des comptes relatives au système de CIRF du ministère. Le Cadre vise à définir les rôles et responsabilités de la haute direction, des responsables des processus ainsi que d’autres employés de RNCan, et à offrir une vue d’ensemble du processus d’évaluation du système de CIRF de RNCan. Dans le cadre de son rôle de surveillance, l’Unité Politiques, rapports et contrôles internes financiers (PRCIF) du Secteur de la gestion et des services intégrés (SGSI) a la responsabilité de mener des évaluations axées sur les risques du système de CIRF pour déterminer son efficacité continue. Bien que l’Unité PRCIF soit responsable de la surveillance et des tests d’efficacité des principaux mécanismes de contrôle, les responsables des processus opérationnels sont chargés d’établir et de maintenir leurs propres mesures de contrôle des processus opérationnels.

L’audit figurait dans le Plan d’audit axé sur les risques 2017-2020, approuvé par la sous-ministre le 30 mars 2017.

BUT ET OBJECTIFS DE L’AUDIT

L’objectif de l’audit était d’évaluer le bon fonctionnement des principaux mécanismes de contrôle des processus opérationnels visés, tels qu’ils ont été conçus et mis en œuvre, ainsi que l’efficacité du cadre en place pour gérer, surveiller et produire des rapports sur le système de CIRF.

Plus particulièrement, l’audit évaluait si :

  • les rôles, les responsabilités et les mécanismes de production de rapports sont correctement définis et mis en place pour contribuer au fonctionnement du système de CIRF de RNCan;
  • le système de CIRF repose sur une évaluation des risques et un plan de surveillance continue axé sur les risques appropriés et inscrits à l’annexe de la Déclaration de responsabilité de la direction;
  • les activités de surveillance continue et de test du système de CIRF menées par l’Unité PRCIF sont efficaces;
  • les principaux mécanismes de contrôle interne des rapports financiers des processus opérationnels visés fonctionnent efficacement, tels qu’ils ont été conçus et mis en œuvre.

FACTEURS PRIS EN CONSIDÉRATION LORS DE L’AUDIT

Une approche axée sur le risque a été utilisée afin d’établir les objectifs, la portée et la démarche pour cette mission d’audit. Les domaines suivants ont été jugés importants pour assurer la gestion efficace des mécanismes de contrôles internes des rapports financiers, et sont donc considérés comme des domaines de risque accru :

  • Définition, documentation et communication des rôles, des responsabilités et des obligations de rendre compte des intervenants, ainsi que relations professionnelles entre ces derniers;
  • Adéquation des évaluations des risques associés au CIRF, des analyses environnementales et du plan de surveillance continue axé sur les risques;
  • Fiabilité des pratiques de surveillance continue, ainsi que la communication et le suivi des résultats;
  • Efficacité de la conception, de la mise en œuvre et efficacité opérationnelle des mécanismes de contrôle interne des rapports financiers pour les principaux processus opérationnels.

PORTÉE

Le présent audit portait sur les processus, les procédures, les mécanismes de contrôle et les outils pertinents utilisés pour surveiller et produire des rapports sur le système de CIRF. L’audit s’intéressait principalement à la période de 1eravril 2016 au 30 juin 2018. Toutefois, les périodes précédentes ont été prises en compte pour les procédures de l’audit liées au sous-objectif 2.

Les processus opérationnels suivants ont été compris dans les tests liés aux sous-objectifs 3 et 4, et ont été choisis en fonction d’une approche axée sur les risques, tenant compte de l’importance relative des comptes et de la période à laquelle ils ont été testés pour la dernière fois par l’Unité PRCIF.

  • Immobilisations
  • Dépenses d’exploitation (le test lié au sous-objectif 4 portera uniquement sur les transactions liées aux services publics, fournitures et approvisionnements)
  • Garanties d’emprunt (seulement pris en compte dans le cadre du sous-objectif 4)

Les salaires et avantages sociaux des employés représentent une partie importante des dépenses figurant dans les états financiers de RNCan, par conséquent, ce processus opérationnel a fait l’objet d’un examen par l’équipe d’audit dans le cadre du sous-objectif 2. Toutefois, l’équipe d’audit n’a pas pris en compte les salaires et avantages sociaux dans le cadre des tests liés aux sous-objectifs 3 et 4, car le processus opérationnel était en transition au moment de l’audit, alors que tous les ministères du gouvernement du Canada utilisant Phoenix travaillaient pour pallier les lacunes existantes révélées par le Bureau du vérificateur général. La Direction de l’audit et de l’évaluation a également mené récemment des audits et des projets consultatifs liés au processus de la paye, et réalisera son quatrième audit continu de la paye au cours de l’AF 2018-2019.

La Direction de l’audit et de l’évaluation a réalisé des audits continus des subventions et contributions, et des cartes d’achat en 2017-2018, et a obtenu l’assurance raisonnable que les principaux mécanismes de contrôles étaient efficaces. Par conséquent, ces deux domaines ont été exclus des tests liés aux sous-objectifs 3 et 4.

Le présent audit interne ne donne pas d’opinion sur les états financiers préparés par le Ministère.

APPROCHE ET MÉTHODE

L’approche et la méthode utilisées dans le cadre de cet audit étaient en harmonie avec les Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes (Normes de l’IIA) et la Politique sur l’audit interne du Conseil du Trésor. Ces normes exigent que l’audit soit prévu et effectué de façon à obtenir l’assurance raisonnable que les objectifs de l’audit ont été atteints. L’audit comprenait des tests jugés nécessaires pour obtenir une telle assurance. Les auditeurs internes ont réalisé l’audit indépendamment et avec objectivité, comme exigé par les Normes de l’IIA.

L’approche adoptée pour l’audit comprenait les tâches suivantes :

  • Entrevues et téléconférences avec le personnel clé;
  • Examen des principaux documents concernant le système de CIRF;
  • Réexécution d’un échantillon de test des mesures de contrôle (efficacité de la conception et efficacité opérationnelle) par l’Unité PRCIF;
  • Exécution des procédures d’audit y compris des tests visant à évaluer l’efficacité de la conception et l’efficacité opérationnelle des principaux mécanismes de contrôle visés.

La phase de réalisation de cet audit s’est achevée en grande partie en août 2018..

CRITÈRES

Veuillez consulter l’annexe A qui présente en détails les critères de l’audit. Les critères ont guidé le travail sur place et servi de fondement à la conclusion globale de l’audit.

CONSTATATIONS ET RECOMMANDATIONS

GOUVERNANCE ET PRODUCTION DE RAPPORTS

Constatation générale

Dans l’ensemble, l’équipe d’audit a constaté que la plupart des rôles, des responsabilités et des obligations de rendre compte en matière de CIRF étaient clairement définis et documentés pour les principaux intervenants. Il serait possible de mettre à jour le cadre de CIRF de RNCan pour qu’il concorde mieux avec la Politique sur la gestion financière du CT; de clarifier le rôle du groupe Politiques, rapports et contrôles internes financiers dans le Cadre de CIRF et d’améliorer la communication sur les responsabilités en matière de CIRF auprès des responsables de processus.

L’audit a également révélé que les renseignements relatifs au CIRF nécessaires pour que la haute direction exerce ses responsabilités en matière de CIRF étaient généralement disponibles et fournis en temps opportun. L’audit a également permis de constater que l’annexe de la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers (l’annexe) reflétait les activités liées au CIRF réalisées au cours de l’exercice financier visé. Toutefois, la cohérence des renseignements communiqués dans l’annexe pourrait être améliorée.

Observations pertinentes

Les mécanismes de gouvernance et de production de rapports sont des éléments essentiels à la mise en place d’un système de CIRF efficace, car ils permettent à la haute direction d’exercer son rôle de dirigeant et de superviseur dans le cadre de ces activités. L’audit cherchait à établir si les rôles, les responsabilités et les obligations de rendre compte liés au système de CIRF étaient clairement définis, documentés et communiqués pour les principaux intervenants et si les renseignements nécessaires à la haute direction pour exercer ses responsabilités en matière de CIRF étaient disponibles et fournis en temps opportun. L’audit visait également à établir si l’annexe de la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers (l’annexe) reflétait les activités liées au CIRF réalisées au cours de l’exercice financier visé.

Rôles, responsabilités et obligations de rendre compte

L’équipe d’audit a constaté que la plupart des rôles, des responsabilités et des obligations de rendre compte en matière de CIRF étaient clairement définis, documentés et communiqués par l’intermédiaire du Cadre de CIRF de RNCan (le Cadre), qui était consultable sur l’intranet du Ministère au moment de l’audit. Plus précisément, les rôles et responsabilités de plusieurs hauts dirigeants, de responsables de processus et d’employés de RNCan étaient documentés dans le Cadre. Le Cadre précise également que le sous-ministre et le dirigeant principal des finances (DPF) doivent signer la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers. Ce document est joint aux états financiers et reconnaît la responsabilité de la direction en matière de maintien d’un système de CIRF efficace, d’exécution d’une évaluation annuelle axée sur les risques du système de CIRF pour établir son efficacité continue et d’établissement d’un plan d’action visant à régler les problèmes importants.

Toutefois, l’audit a révélé que le Cadre de CIRF n’avait pas été mis à jour depuis 2012 et qu’il faisait toujours référence à la Politique sur le contrôle interne, qui a été annulée en 2017. L’audit a également permis de constater que la Politique sur la gestion financière du CT de 2017, qui remplaçait la Politique sur le contrôle interne, exige que les ministères veillent à ce qu’un système ministériel de contrôle interne de gestion financière (CIGF) axé sur les risques soit établi, surveillé et maintenu. Le Cadre actuel porte uniquement sur le CIRF, et ne prend pas en compte le CIGF, qui n’est donc peut-être pas évalué selon une approche axée sur les risques. La nécessité de faire concorder le Cadre avec la Politique sur la gestion financière du CT a été cernée par l’Unité PRCIF en 2017-2018, notamment l’élaboration d’une analyse des principaux changements stratégiques et de leur incidence sur le Cadre. La direction a informé l’équipe d’audit qu’elle travaillait actuellement sur la mise en œuvre de mesures correctives et que des processus opérationnels de CIGF ont été inclus dans l’annexe des états financiers 2017-2018.

À RNCan, l’Unité Politiques, rapports et contrôles internes financiers (PRCIF) du Secteur de la gestion et des services intégrés (SGSI) a la responsabilité de mener des évaluations axées sur les risques du système de CIRF pour déterminer son efficacité continue. L’audit a révélé que le Cadre ne définissait pas les rôles, les responsabilités et les obligations de rendre compte de l’Unité PRCIF. Étant donné la nature des travaux réalisés par l’Unité PRCIF et les équipes de la DAE, les deux groupes ont collaboré pour planifier leurs activités respectives. Lorsqu’elle devra se fier au travail réalisé par la DAE, l’Unité PRCIF devra s’assurer que ses exigences en matière de CIRF sont pleinement satisfaites, et faire du travail complémentaire, au besoin.

Les responsables de processus opérationnels jouent un rôle essentiel pour aider le ministère à maintenir un système de CIRF efficace. Plus précisément, ils ont la responsabilité d’établir et de maintenir des mesures de contrôle interne dans leurs domaines de responsabilité. Cela comprend : s’assurer du maintien des données prouvant la réalisation des activités de contrôle; intégrer des contrôles internes dans les instruments politiques et les procédures, si possible; examiner la documentation liée au contrôle interne et les résultats des tests; répondre aux recommandations et cibler et mettre en œuvre les mesures correctives appropriées. Les responsables opérationnels sont indiqués dans les matrices des principaux mécanismes de contrôle, qui sont les instruments internes utilisés par l’Unité PRCIF pour documenter les principaux mécanismes de contrôle de chaque processus opérationnel important. Toutefois, l’audit a révélé que les responsables ne connaissent pas toujours leurs rôles et responsabilités au sein du système de CIRF. Lorsque les responsables de processus opérationnels ne connaissent pas les principaux mécanismes de contrôle dont ils sont responsables, ou s’ils ne savent pas s’ils sont appliqués, il est possible que des changements apportés à l’un de ces mécanismes de contrôle ne soient pas communiqués en temps opportun à l’Unité PRCIF, ce qui pourrait avoir une incidence tangible sur les états financiers.  

Production de rapports pour la haute direction

L’audit a révélé que le processus officiel de production de rapports sur le CIRF était en train d’être mis en place. Plus précisément, certaines données prouvent que des rapports officiels sur le CIRF sont transmis à la haute direction deux fois par an, conformément aux directives du Cadre. Dans le cadre des activités de surveillance continue et de production de rapports, l’Unité PRCIF prépare une mise à jour pour la haute direction en milieu d’exercice et à la fin de l’exercice. La mise à jour en milieu d’exercice comprend notamment un résumé sur l’avancement de l’exécution du plan de surveillance continue, qui donne les grandes lignes de l’état d’avancement des évaluations des processus opérationnels qui doivent être réalisées au cours de l’exercice.

L’équipe d’audit a également consulté l’annexe de la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers jointe aux états financiers 2016-2017. Ce document offre un résumé des mesures prises par RNCan pour maintenir un système de CIRF efficace, notamment de l’information sur la gestion du contrôle interne, les résultats des évaluations et les plans d’action connexes. Dans l’ensemble, l’équipe d’audit a constaté que l’information indiquée dans l’annexe était cohérente avec le plan de surveillance continue de l’Unité PRCIF. Toutefois, l’audit a révélé que le processus opérationnel relatif aux passifs éventuels n’était pas indiqué à des fins de test dans les annexes du plan cyclique de surveillance continue, bien qu’il ait été indiqué dans le plan de surveillance continue 2015-2016 de l’Unité PRCIF. L’annexe du plan cyclique de surveillance continue 2017-2018 comprend le processus opérationnel lié aux passifs éventuels.

Risques et répercussions

Un décalage entre le Cadre de CIRF de RNCan et la Politique sur la gestion financière du CT pourrait entraîner un cas de non-conformité avec la Politique. De plus, en raison d’un manque de clarté concernant le rôle du groupe Politiques, rapports et contrôles internes financiers et des responsabilités en matière de CIRF des responsables de processus, certains travaux pourraient rester inachevés.

Recommandations

R1 : Nous recommandons que le SMA du SGSI et le DPF révisent les structures de gouvernance et de production de rapports liées au CIRF, notamment :

  1. en s’assurant que le Cadre de CIRF est mis à jour et concorde avec la Politique sur la gestion financière du CT;
  2. en s’assurant que les rôles, les responsabilités et les obligations de rendre compte de l’Unité PRCIF sont clairement documentés et communiqués et que les responsables de processus opérationnels sont informés des répercussions que les mécanismes de contrôle dont ils sont responsables ont sur le CIRF.

Réponse de la direction et plan d’action

La direction est en accord avec la Recommandation 1.

  1. L’Unité PRCIF est en train de réviser et mettre à jour son Cadre de CIRF pour :

    Responsable : Directeur général, Direction des finances et de l’approvisionnement (ADPF)
    Échéance : Le 31 juillet 2019

    • étendre sa portée afin d’intégrer les processus opérationnels de CIGF;
    • définir les rôles et responsabilités du directeur, Politiques, rapports et contrôles internes financiers (PRCIF).
  2. L’Unité PRCIF renforcera ses communications avec les responsables de processus opérationnels lors de l’étape de la planification pour s’assurer que les principaux objectifs en matière de contrôle et que les risques associés en matière de gestion financière et de production de rapports financiers sont bien compris.

Responsable : Directeur général, Direction des finances et de l’approvisionnement (ADPF)
Échéance : Le 31 mars 2019

MÉTHODE DU SYSTÈME DE CIRF, évaluation des risques et plan de surveillance continue

Constatation générale

L’équipe d’audit a découvert qu’en 2017-2018, une évaluation officielle des risques liés au CIRF avait été réalisée et qu’un plan quinquennal de surveillance continue du système de CIRF avait été documenté et mis en œuvre.

Il serait possible de renforcer la documentation et l’exhaustivité de l’évaluation des risques et d’officialiser le processus de réalisation des analyses environnementales. Il existe également la possibilité d’améliorer la clarté de la méthode du système de CIRF, et d’aligner et d’exécuter le plan de surveillance continue conformément à la méthode de surveillance continue du système de CIRF axée sur les risques.

Observations pertinentes

La mise en œuvre d’une approche axée sur les risques pour la surveillance des activités est un élément essentiel au maintien d’un système de CIRF efficace. Une telle approche permet à l’organisme d’allouer ses ressources limitées à la surveillance des priorités. L’audit cherchait à établir si une méthode efficace avait été élaborée pour tester le système de CIRF. L’équipe d’audit cherchait également à établir si une évaluation des risques détaillée relative au CIRF était réalisée périodiquement (de façon cyclique), si des analyses environnementales étaient effectuées dans l’intervalle, et si un plan de surveillance continue approprié était documenté et mis en œuvre.

Méthode du système de CIRF, évaluations des risques et analyses environnementales

L’équipe d’audit a constaté qu’une évaluation des risques officielle relative au CIRF avait été réalisée en 2017-2018. Toutefois, il n’y avait pas de données prouvant que des évaluations officielles des risques avaient été réalisées avant cette date, ni que des analyses environnementales officielles ont été effectuées pour cerner les nouveaux risques majeurs qui pourraient avoir une incidence sur le CIRF. L’Unité PRCIF a mis en évidence la nécessité de renforcer certains de ses processus d’évaluation des risques dans le cadre de l’évaluation des contrôles au niveau de l’entité 2017-2018. La direction a également indiqué que des analyses environnementales étaient effectuées de façon informelle.

L’équipe d’audit a également constaté qu’une méthode avait été élaborée et documentée pour tester le système de CIRF du Ministère. La méthode relative au système de CIRF repose sur deux principaux documents : la méthode de surveillance continue du système de CIRF axée sur les risques, élaboré par l’Unité PRCIF, ainsi qu’une ressource élaborée à l’externe, la version provisoire du Guide de surveillance continue des contrôles internes en matière de rapports financiers du Conseil du Trésor (Guide du CT). Toutefois, la méthode relative au système de CIRF employée par l’Unité PRCIF n’est pas clairement mentionnée dans le Cadre, il manque donc une image complète et cohésive du système de CIRF du Ministère dans une source unique. L’audit a révélé un manque de références ou de liens évidents entre les instruments élaborés à l’interne et la version provisoire du Guide du CT.  

Le document méthode de surveillance continue du système de CIRF axée sur les risques offre des directives sur l’évaluation des risques d’inexactitude importante (RII) dans les états financiers. L’évaluation des RII de chaque processus opérationnel prend en compte l’importance relative de ses soldes ou des informations présentées en annexe, son risque inhérent, ainsi que le risque que les mécanismes de contrôle en place au cœur de ce processus opérationnel ne suffisent pas à détecter ou prévenir une inexactitude importante. Toutefois, l’audit a permis de constater que lors de l’évaluation des risques relatifs au CIRF 2017-2018, la méthode de surveillance continue du système de CIRF axée sur les risques documentée n’avait pas été appliquée uniformément. En particulier, selon cette méthode, tout solde ou toute information présentée en annexe d’un moment égal ou supérieur à 12 M$ dans les états financiers 2016-2017 devraient avoir été jugés importants lors de l’évaluation des risques relatifs au CIRF 2017-2018. À titre d’exemple, l’audit a révélé que le compte de passif différé, d’un montant de 16 M$ figurant dans les états financiers 2016-2017, n’avait pas été pris en compte lors de l’évaluation des risques 2017-2018. L’audit a également mis en lumière le fait que les RII des immobilisations avaient été évalués comme « modérés » malgré plusieurs lacunes en matière de contrôle cernées par la Direction de l’audit pour ce processus opérationnel lors de l’audit interne des CIRF de 2014 et que les transactions liées à ce processus opérationnel peuvent être complexes. L’audit a aussi révélé des possibilités d’améliorer la documentation de l’évaluation des risques. Plus précisément, les risques jugés faibles n’étaient pas inclus dans l’évaluation, et l’incidence potentielle et la probabilité de risques inhérents n’étaient pas uniformément et clairement documentées. De plus, l’évaluation des risques 2017-2018 a pris en compte les Contrôles généraux des technologies de l’information comme un seul processus opérationnel, avec une cote de risque globale attribuée à ce processus dans son ensemble. Cependant, le plan de surveillance continue relatif au CIRF de 2017-2018 à 2021-2022, qui reflète les résultats de l’évaluation des risques, divise ce mécanisme de contrôle en fonction des applications et des systèmes qu’il comprend, ce qui permet de planifier différents tests. En l’absence d’une interprétation et d’une documentation appropriées des risques, les mesures d’atténuation mises en œuvre pourraient être insuffisantes.

Plan de surveillance continue

L’équipe d’audit a constaté que l’Unité PRCIF a documenté et mis en œuvre un plan quinquennal de surveillance continue pour le CIRF portant sur la période 2017-2018 à 2021-2022 compris, et fournit à RNCan une base pour planifier ses évaluations du système de CIRF. Toutefois, l’audit a révélé que le plan de surveillance ne concordait pas toujours avec la méthode de surveillance continue du système de CIRF axée sur les risques. Plus précisément, selon cette méthode, les processus opérationnels à haut risque devraient être évalués tous les deux ans et ceux jugés comme présentant un risque modéré devraient être évalués tous les trois ans. L’audit a mis en lumière des cas où les processus opérationnels jugés comme présentant des risques élevés et moyens n’avaient pas été mis à l’essai dans les délais prescrits.

Risques et répercussions

Le caractère non officiel du processus de réalisation des analyses environnementales et le manque de constance quant à l’évaluation des risques et au plan de surveillance continue peuvent entraîner des risques réels ayant des répercussions sur le système de CIRF s’ils ne sont pas repérés ou gérés en temps opportun.

Un manque de cohérence et d’uniformité dans l’application de la méthode du système de CIRF peut avoir des répercussions négatives sur l’évaluation du système de CIRF, augmentant ainsi le risque d’inexactitudes dans les états financiers ministériels.

Recommandations

R2 : Nous recommandons que le SMA du SGSI et le DPF révisent les processus concernant l’évaluation des risques et le plan de surveillance continue, notamment :

  1. en s’assurant que l’évaluation des risques est effectuée, documentée avec constance et mise à jour en temps opportun, et en officialisant le processus de réalisation des analyses environnementales;
  2. en s’assurant que le plan de surveillance continue est aligné et exécuté conformément à la méthode de surveillance du système de CIRF documentée.

Réponse de la direction et plan d’action

La direction est en accord avec la Recommandation 2.

  1. L’Unité PRCIF va :

    • réviser et modifier sa méthode d’évaluation des risques en fonction des pratiques exemplaires (p. ex., Guide provisoire de surveillance continue en matière de CIGF du BCG) dans le cadre de l’élaboration d’un guide à l’appui du Cadre de CIGF révisé;
    • élaborer un questionnaire d’évaluation des risques, qui sera distribué aux principaux intervenants pour cibler les évolutions et les événements qui pourraient avoir des répercussions sur le niveau de risque d’un processus opérationnel et l’établissement des évaluations prioritaires.

    Responsable : Directeur général, Direction des finances et de l’approvisionnement (ADPF)
    Échéance : Le 31 juillet 2019

  2. L’Unité PRCIF mettra à jour sa méthode de surveillance du système de CIRF axée sur les risques, et plus précisément la fréquence des évaluations en fonction du niveau de risque d’un processus opérationnel dans le cadre de l’élaboration du guide à l’appui du Cadre de CIGF révisé. Cela permettra d’assurer la conformité avec le plan de surveillance continue.

Responsable : Directeur général, Direction des finances et de l’approvisionnement (ADPF)
Échéance : Le 31 juillet 2019

Évaluation continue du SYSTÈME DE CIRF de RNCan par l’Unité PRCIF

Constatation générale

Dans l’ensemble, l’équipe d’audit a constaté que les tests de l’efficacité de la conception et opérationnelle des principaux mécanismes de contrôle étaient réalisés. Il serait possible de renforcer la documentation des tests réalisés, et d’appliquer la stratégie d’échantillonnage du Guide du CT systématiquement.  

L’équipe d’audit a également constaté que les lacunes en matière de contrôle cernées au cours des tests des mécanismes de CIRF étaient généralement communiquées aux responsables des processus en temps opportun et que l’Unité PRCIF assure la surveillance des plans d’action de la direction. Toutefois, il serait possible d’améliorer la rapidité de la mise en œuvre des plans d’action de la direction par les responsables des processus.

Observations pertinentes

La surveillance continue de l’efficacité de la conception, de la mise en œuvre et de l’efficacité opérationnelle des mécanismes de contrôle interne est un élément essentiel au maintien d’un système de CIRF efficace. L’audit cherchait à établir si la stratégie d’échantillonnage visant à tester le système de CIRF était appliquée systématiquement, et si les tests de l’efficacité de la conception et de l’efficacité opérationnelle des principaux mécanismes de contrôle étaient réalisés efficacement. L’audit cherchait aussi à établir si les lacunes décelées en matière de contrôle au cours des tests du système de CIRF sont communiquées aux responsables des processus opérationnels en temps opportun, et si les plans d’action de la direction sont surveillés par l’Unité PRCIF et mis en œuvre par les responsables des processus en temps opportun.

L’audit a révélé que la stratégie d’échantillonnage du Guide du CT utilisée par l’Unité PRCIF pour tester le système de CIRF en 2017-2018 n’était pas appliquée systématiquement. Plus précisément, pour le processus opérationnel relatif aux immobilisations, l’audit a révélé que sur les 35 principaux mécanismes de contrôle mis à l’essai par l’Unité PRCIF au moment de l’audit, dans cinq cas, la taille de l’échantillon utilisé par l’Unité était inférieure à celle suggérée pour la fréquence donnée du contrôle dans le Guide du CT. La réduction de la taille d’un échantillon statistique n’était pas correctement étayée par des documents justificatifs. Dans ce contexte, l’utilisation d’un échantillon de plus petite taille pourrait influer sur la représentation exacte des transactions en cours d’examen, réduisant ainsi la précision et la fiabilité des résultats et des conclusions connexes. Il convient de préciser que l’équipe d’audit ne pouvait pas évaluer l’adéquation de la stratégie d’échantillonnage utilisée pour tester trois des principaux mécanismes de contrôle, car l’évaluation du système de CIRF pour le processus opérationnel relatif aux immobilisations n’était pas achevée au moment de l’audit.  

Concernant les tests réalisés en 2016-2017 du processus opérationnel relatif aux dépenses d’exploitation, l’audit a révélé que sur les 36 principaux mécanismes de contrôle mis à l’essai par l’Unité PRCIF, tous respectaient la stratégie d’échantillonnage prescrite à cette période.

Tests de l’efficacité de la conception, de la mise en œuvre et de l’efficacité opérationnelle par l’Unité PRCIF

L’équipe d’audit a examiné les tests de l’efficacité de la conception et de l’efficacité opérationnelle réalisés par l’Unité PRCIF pour les processus opérationnels relatifs aux dépenses d’exploitation (2016-2017) et aux immobilisations (2017-2018). Dans l’ensemble, l’audit a révélé que les documents comprenaient une description des processus opérationnels. L’équipe d’audit a également constaté que pour les deux processus opérationnels, des matrices de contrôle étaient documentées et décrivaient la conception des principaux mécanismes de contrôle.

Toutefois, l’équipe d’audit a observé que les matrices de contrôle n’offraient pas de conclusion claire sur l’efficacité de la conception et de la mise en œuvre des principaux mécanismes de contrôle, ce qui pourrait conduire à tester l’efficacité opérationnelle d’un mécanisme de contrôle lorsque celui-ci n’a pas été conçu ou mis en œuvre de manière efficace. De plus, l’équipe d’audit a remarqué que le lien entre les principaux mécanismes de contrôle et les assertions dans les états financiers n’était pas documenté dans la matrice de contrôle des dépenses d’exploitation 2016-2017. Lorsque les assertions pertinentes des états financiers ne sont pas couvertes par un mécanisme de contrôle clé dans le cadre d’un processus opérationnel, les risques liés aux renseignements financiers peuvent ne pas être atténués.  

Concernant les tests de l’efficacité opérationnelle, l’équipe d’audit a constaté qu’il existait des possibilités d’améliorer la documentation du travail réalisé par l’Unité PRCIF. Plus précisément, les documents de travail examinés par l’équipe d’audit ne comprenaient pas toujours les procédures de tests documentées, ce qui compliquait la compréhension et la réexécution du travail réalisé.   

Les deux processus opérationnels choisis par l’équipe d’audit comprenaient des cas où des conclusions positives n’étaient appuyées par aucune donnée probante documentée. Par exemple, l’efficacité opérationnelle du principal mécanisme de contrôle du processus opérationnel relatif aux immobilisations était jugée comme bonne malgré que le test de l’Unité PRCIF révélait trois erreurs sur un échantillon de 25.  

Communication des lacunes en matière de contrôle aux responsables des processus opérationnels et suivi

L’équipe d’audit a étudié les communications entre l’Unité PRCIF et les responsables des processus opérationnels pour les processus opérationnels relatifs aux immobilisations et aux dépenses d’exploitation. Dans l’ensemble, l’équipe d’audit a constaté que l’Unité PRCIF communique les résultats de ses tests des mécanismes de contrôle aux responsables des processus en temps opportun. Ces derniers ont alors suffisamment de temps pour élaborer et mettre en œuvre des plans d’action de la direction avant l’exercice financier suivant et la divulgation des états financiers. Toutefois, l’équipe d’audit a constaté que les plans d’action de la direction répondant aux recommandations de l’Unité PRCIF n’étaient pas toujours mis en œuvre en temps opportun pour le processus opérationnel relatif aux dépenses d’exploitation. Sur les cinq recommandations découlant de l’évaluation 2016-2017 réalisée par l’Unité PRCIF pour le processus opérationnel relatif aux dépenses d’exploitation, la date d’échéance a dû être révisée pour quatre recommandations. Les mesures correctives de trois des recommandations ont été appliquées par les responsables des processus opérationnels après la date d’échéance révisée, et un retard de plus de 120 jours a été constaté pour deux d’entre elles. La direction a averti que sa capacité à veiller à ce que les mesures correctives sont mises en œuvre rapidement est parfois limitée en raison de priorités concurrentes et de ressources restreintes. Cette observation a également été faite lors de l’audit interne des CIRF réalisé par la DAE en 2014. Il convient de préciser qu’en raison de la période de l’audit, l’équipe d’audit n’a pas pu examiner le processus de suivi lié au processus opérationnel relatif aux immobilisations, qui a été mis à l’essai par l’Unité PRCIF en 2017-2018. Toutes les mesures correctives associées à ce processus opérationnel ont une date d’échéance fixée au 31 mars 2019.

Risques et répercussions

Un manque d’uniformité dans la documentation et les tests liés au système de CIRF pourrait empêcher de repérer des lacunes en matière de contrôle, ce qui pourrait entraîner des erreurs non décelées, et dans certains cas, des inexactitudes dans les états financiers. 

Lorsqu’aucune mesure corrective n’est prise en temps opportun pour combler les lacunes cernées, les principaux risques associés aux rapports financiers peuvent ne pas être atténués.

Recommandations

R3 : Nous recommandons que le SMA du SGSI et le DPF révisent certains aspects des processus en place pour tester les mécanismes de CIRF, notamment :

  1. en s’assurant que les tests liés au système de CIRF sont correctement documentés et que la stratégie d’échantillonnage est appliquée systématiquement;
  2. en s’assurant que les responsables des processus opérationnels mettent en œuvre les plans d’action de la direction en temps opportun.

Réponse de la direction et plan d’action

La direction est en accord avec la Recommandation 3.

Responsable : Directeur général, Direction des finances et de l’approvisionnement (ADPF)
Échéance : Le 31 juillet 2019

  1. L’Unité PRCIF va réviser sa méthode de test et d’échantillonnage en fonction des pratiques exemplaires (p. ex., Guide provisoire de surveillance continue en matière de CIGF du BCG) dans le cadre de l’élaboration d’un guide à l’appui du Cadre de CIGF révisé.
  2. L’Unité PRCIF va cerner et signaler à la haute direction les mesures correctives qui n’ont pas permis de faire des progrès ou pour lesquelles des progrès insignifiants ont été réalisés, notamment les éléments dont la date de mise en œuvre est dépassée et pour lesquels on ne peut justifier le retard. Cette information sera utile pour s’assurer de la mise en œuvre rapide des mesures correctives.

Responsable : Directeur général, Direction des finances et de l’approvisionnement (ADPF)
Échéance : Le 28 février 2019

Efficacité de la conception, de la mise en œuvre et efficacité opérationnelle des mécanismes de CONTRÔLE

Constatation générale

L’audit portait sur l’efficacité de la conception, de la mise en œuvre et l’efficacité opérationnelle des principaux mécanismes de contrôle des processus opérationnels relatifs aux immobilisations, aux garanties d’emprunt et aux dépenses d’exploitation (services publics, fournitures et approvisionnements), en se concentrant sur les transactions réalisées en 2017-2018. Dans l’ensemble, l’audit a révélé que la plupart des principaux mécanismes de contrôle avaient été conçus, mis en œuvre et fonctionnent efficacement pour les éléments de passif éventuel (processus opérationnels relatifs aux garanties d’emprunt et aux dépenses d’exploitation en services publics, fournitures et approvisionnements). Il serait possible d’améliorer l’efficacité opérationnelle de l’examen trimestriel des états financiers liés aux garanties d’emprunt, ainsi que l’examen de la gestion des fournisseurs inactifs et la répartition des tâches concernant le processus opérationnel lié aux dépenses d’exploitation.

Concernant le processus opérationnel relatif aux immobilisations, l’équipe d’audit a constaté des lacunes importantes liées à l’efficacité de la conception, de la mise en œuvre et opérationnelle de certains principaux mécanismes de contrôle. Il est important de préciser que le problème avait déjà été soulevé dans le cadre de l’audit interne des mécanismes de CIRF de 2014.

Observations pertinentes

L’audit cherchait à établir si les principaux mécanismes de contrôle sont conçus, mis en œuvre et fonctionnent efficacement pour les processus opérationnels relatifs aux immobilisations, aux dépenses d’exploitation (services publics, fournitures et approvisionnements) et aux garanties d’emprunt.  

Immobilisations

Les immobilisations de RNCan figurent à un montant de 360 M$ dans ses états financiers 2017-2018. Elles comprennent divers éléments, comme les biens immobiliers, les actifs en construction, la machinerie et l’équipement. Dans l’ensemble, l’audit a révélé que la majorité des principaux mécanismes de contrôle testés pour le processus opérationnel relatif aux immobilisations avaient été conçus efficacement. Toutefois, d’importantes lacunes en matière de contrôle ont été décelées quant à l’efficacité de la mise en œuvre et l’efficacité opérationnelle de ces principaux mécanismes de contrôle. L’audit a permis de constater qu’aucune prise d’inventaire n’avait été réalisée depuis 2013-2014, ce qui n’est pas conforme à la Directive de RNCan sur la gestion des biens matériels de 2017, qui stipule qu’une prise d’inventaire doit être réalisée tous les trois ans. L’audit a révélé que la certification des actifs n’avait pas été réalisée en 2016-2017, en raison d’exigences opérationnelles dues à l’exécution d’une importante initiative d’infrastructure influant sur la charge de travail de la Direction générale des biens immobiliers et services en milieu de travail. L’équipe d’audit a testé ce mécanisme de contrôle en 2017-2018, et a constaté qu’il ne fonctionnait pas efficacement.  

L’équipe d’audit a également constaté que certains des principaux mécanismes de contrôle liés à l’acquisition des immobilisations et aux actifs en construction ne fonctionnaient pas efficacement. Des problèmes potentiels liés à la séparation des tâches ont également été détectés pour ce processus opérationnel. Il convient de préciser que des lacunes ont été décelées quant au processus opérationnel relatif aux immobilisations lors de l’audit interne des CIRF réalisé en 2014 par la DAE. Dans ce contexte, la direction a reconnu que certains de ces mécanismes de contrôle pourraient nécessiter une révision afin de mieux refléter les risques réels, ainsi que les ressources disponibles pour réaliser ce travail. La direction a également informé l’équipe d’audit qu’un cadre de gestion des biens était en cours d’élaboration pour aider à promouvoir des processus opérationnels relatifs aux immobilisations efficaces au sein du Ministère. L’Unité PRCIF a décelé certaines de ces lacunes en matière de contrôle au cours de son évaluation 2017-2018 du processus opérationnel relatif aux immobilisations et a évalué le risque global comme « moyen ».

Dépenses d’exploitation

Les dépenses d’exploitation figurent à un montant de 704 M$ dans les états financiers 2017-2018 de RNCan et comprennent diverses catégories de dépenses, notamment les salaires et les avantages sociaux, les services professionnels, ainsi que les dépenses en services publics, fournitures et approvisionnements. L’équipe d’audit s’est concentrée sur les principaux mécanismes de contrôle liés aux dépenses en services publics, fournitures et approvisionnements, qui figurent à un montant de 26 M$ dans les états financiers de 2017-2018.

Dans l’ensemble, l’audit a révélé que les principaux mécanismes de contrôle des dépenses d’exploitation avaient été conçus et mis en œuvre efficacement, et que la plupart fonctionnaient efficacement. Toutefois, l’équipe d’audit a repéré quelques possibilités d’amélioration quant à la surveillance des fournisseurs inactifs et à la séparation des tâches. Plus précisément, l’équipe d’audit a constaté que RNCan ne surveille pas ses listes de fournisseurs inactifs dans SAP, car le système est géré par un autre ministère dans le cadre d’un groupement d’utilisateurs de SAP. L’équipe d’audit a obtenu la liste des fournisseurs et a constaté que plus de 2 000 fournisseurs de RNCan étaient inactifs depuis plus de deux ans. L’audit a également révélé que bien que l’accès pour créer ou modifier les profils des fournisseurs dans le système soit censé être limité au ministère dirigeant le groupement de SPA, un utilisateur de RNCan a aussi accès à cette fonction pour les fournisseurs consignataires. Cette personne peut également modifier les bons de commande; il y a donc un problème de séparation des tâches. Lorsque des fournisseurs inactifs ne font pas l’objet d’une surveillance régulière et qu’il existe un problème de séparation des tâches concernant les dossiers des fournisseurs, des dépenses inappropriées peuvent être engagées.

D’autres problèmes potentiels de séparation des tâches ont été repérés. Par exemple, à RNCan, SAP est configuré avec un système de contrôles automatiques pour empêcher qu’un seul utilisateur ait accès aux fonctions qui devraient être séparées, si possible. Cette configuration empêche qu’un seul utilisateur ait accès aux fonctions pour saisir des factures de fournisseurs et exécuter les opérations de paiement quotidiennes dans SAP. Toutefois, l’équipe d’audit a repéré des cas où les utilisateurs avaient des noms d’utilisateurs secondaires dans SAP, ce qui rend inefficaces les contrôles automatiques visant à empêcher une seule personne d’avoir accès à ces deux fonctions. L’équipe d’audit a également constaté qu’une personne ayant accès aux fonctions pour annuler les blocages au paiement dans SAP (article 33) possédait également le pouvoir délégué en vertu de l’article 34 sur plusieurs centres de coûts. La direction a indiqué que ces accès étaient nécessaires à des fins opérationnelles. L’Unité PRCIF a également repéré le problème de séparation des tâches lié aux articles 33 et 34 au cours de son évaluation 2016-2017 du processus opérationnel relatif aux dépenses d’exploitation et, en août 2018, a mis au point des procédures de surveillance visant à atténuer ce risque. On a également repéré des possibilités d’améliorer la tenue de la documentation nécessaire, notamment les données probantes des autorisations exigées au cours du processus d’achat.

Garanties d’emprunt 

Les éléments de passif éventuel surviennent dans le cours normal des activités, et leur dénouement est inconnu. L’équipe d’audit a évalué l’efficacité de la conception et l’efficacité opérationnelle des principaux mécanismes de contrôle de RNCan liés au processus relatif aux garanties d’emprunt. Les garanties d’emprunt figurent à un montant de 7,8 milliards de dollars dans la note sur les éléments de passif éventuel afférente aux états financiers 2017-2018 de RNCan. Dans l’ensemble, l’audit a révélé que les principaux mécanismes de contrôle avaient été conçus et mis en œuvre efficacement, et que la plupart fonctionnaient efficacement. Plus précisément, cinq des six principaux mécanismes de contrôle visés fonctionnaient comme prévu. Toutefois, l’équipe d’audit a remarqué que les états financiers trimestriels n’étaient pas révisés par les responsables de programme de RNCan. La direction a informé que les documents trimestriels n’étaient pas toujours révisés, car un examen détaillé des états financiers annuels audités était réalisé.  

Il convient de préciser qu’au moment de l’audit, les états financiers 2017-2018 de RNCan étaient en cours d’élaboration, et que l’équipe d’audit s’est fiée à la direction pour confirmer que les listes de transactions des processus opérationnels visés étaient complètes. De plus, alors que certains mécanismes de contrôle automatisés ont été testés dans le cadre du présent audit, l’équipe d’audit n’a pas évalué les Contrôles généraux des technologies de l’information, dont l’efficacité opérationnelle devrait être évaluée par l’Unité PRCIF en 2018-2019, conformément au plan de surveillance continue des CIRF 2017-2018 à 2021-2022.

Risques et répercussions

Des mécanismes de contrôle sont établis et mis en œuvre pour atténuer les risques potentiels. Si plusieurs principaux mécanismes de contrôle étaient considérés comme inefficaces, le ministère serait exposé à des risques qui pourraient avoir des répercussions sur l’exactitude, l’exhaustivité, la constance ou la fiabilité de ses renseignements financiers et des publications connexes.

Recommandations

R4 : Nous recommandons que le SMA du SGSI et le DPF renforcent l’efficacité de la conception, de la mise en œuvre et opérationnelle des principaux mécanismes de contrôle liés aux immobilisations.

R5 : Nous recommandons que le SMA du SGSI et le DPF, en collaboration avec les responsables des processus opérationnels, révisent et modifient, au besoin, les processus liés aux dépenses d’exploitation et aux garanties d’emprunt afin de combler les lacunes en matière de contrôle.

Réponse de la direction et plan d’action

La direction est en accord avec la Recommandation 4.
Le responsable du processus opérationnel concerné comblera les lacunes en matière de contrôle des immobilisations cernées lors de l’audit (notamment la prise d’inventaire et la certification des actifs).

Responsable : Directeur principal, Direction générale des biens immobiliers et services en milieu de travail

L’Unité PRCIF aidera le responsable du processus opérationnel et assurera la surveillance de la mise en œuvre des mesures correctives appropriées.

Responsable : Directeur général, Direction des finances et de l’approvisionnement (ADPF)
Échéance : Le 31 décembre 2019

La direction est en accord avec la Recommandation 5.
Les responsables de processus opérationnels combleront les lacunes en matière de contrôle des dépenses d’exploitation et de garanties d’emprunt révélées par l’audit (notamment l’examen trimestriel des états financiers de l’entité et l’examen annuel des codes de fournisseurs).

Responsable : Directeur principal, Services liés aux finances et à l’approvisionnement et directeur principal, Division de l’énergie renouvelable et électrique

L’Unité PRCIF assurera la surveillance de la mise en œuvre des mesures correctives appropriées.

Responsable : Directeur général, Direction des finances et de l’approvisionnement (ADPF)
Échéance : Le 31 décembre 2019

ANNEXE A – CRITÈRES D’AUDIT

Les objectifs et les critères de l’audit ont été élaborés selon la Politique sur la gestion financière du CT, et les Contrôles de gestion de base du CT. Les critères ont guidé le travail sur place et servi de fondement à la conclusion globale de l’audit.

L’objectif de l’audit était d’évaluer le bon fonctionnement des principaux mécanismes de contrôle des processus opérationnels visés, tels qu’ils ont été conçus et mis en œuvre, ainsi que l’efficacité du cadre en place pour gérer, surveiller et produire des rapports sur le système de CIRF.

L’audit s’est effectué en fonction des critères suivants :

Sous-objectifs de l’audit Critères d’audit
Sous-objectif 1 :
Établir si les rôles, les responsabilités et les mécanismes de production de rapports sont correctement définis et mis en place pour contribuer au fonctionnement du système de CIRF de RNCan.
1.1 Les rôles, les responsabilités et les obligations de rendre compte liés au système de CIRF sont clairement définis, documentés et communiqués pour les principaux intervenants.
1.2 Les renseignements nécessaires pour que la haute direction exerce ses responsabilités en matière de CIRF sont disponibles et fournis en temps opportun. 

Sous-objectif 2 :
Établir si le système de CIRF repose sur une évaluation des risques et un plan de surveillance continue axé sur les risques appropriés et inscrits à l’annexe de la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers.

2.1 Une évaluation des risques détaillée est réalisée périodiquement (de façon cyclique), et des analyses environnementales sont effectuées dans l’intervalle
2.2 Un plan de surveillance continue approprié est documenté et mis en œuvre.
2.3 L’annexe de la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers reflète les activités liées au système de .
Sous-objectif 3 :
Établir si les activités de surveillance continue et de test du système de CIRF menées par l’Unité PRCIF sont efficaces.  
3.1 Une méthode efficace a été élaborée pour mettre à l’essai le système de CIRF. Elle est appliquée systématiquement.
3.2 L’efficacité de la conception et l’efficacité opérationnelle des principaux mécanismes de contrôle sont testées de manière efficace.
3.3 Les lacunes décelées en matière de contrôle au cours des tests du système de CIRF sont communiquées aux responsables des processus opérationnels en temps opportun.
3.4 Les plans d’action de la direction sont surveillés par l’Unité PRCIF et mis en œuvre par les responsables de processus en temps opportun.
Sous-objectif 4 :
Établir si les principaux mécanismes de contrôle interne des rapports financiers des processus opérationnels visés sont conçus, mis en œuvre et fonctionnent efficacement
4.1 On s’attend à ce que les principaux mécanismes de contrôle interne pour les processus opérationnels visés soient mis en œuvre et fonctionnent efficacement.
4.2 On s’attend à ce que les principaux mécanismes de contrôle interne pour les processus opérationnels visés soient mis en œuvre et fonctionnent efficacement.

Détails de la page

Date de modification :