Audit des contrôles internes exercés sur les rapports financiers

Affaires mondiales Canada
Bureau du dirigeant principal de la vérification

Le 10 avril 2017

Acronymes

SMA

Sous ministre adjoint

DPF

Dirigeant principal des finances

NCMC

Norme canadienne de missions de certification

CMV

Comité ministériel de vérification

SM

Sous-ministre

CEE

Contrôles à l’échelle de l’entité

CIRF

Contrôles internes exercés sur les rapports financiers

IFI

Institutions financières internationales

CGTI

Contrôles généraux de la technologie de l’information

CCRI

Contrôles clés sur les risques importants

AGC

Agent de gestion et des affaires consulaires

BVG

Bureau du vérificateur général

BDPV

Bureau du dirigeant principal de la vérification

PCI

Politique sur le contrôle interne

SMD

Opérations finanières

SMO

Comptabilité ministérielle, politiques financières et contrôle

SMOC

Équipe de contrôle interne

Sommaire

Conformément au Plan d’audit axé sur les risques d’Affaires mondiales Canada pour 2016-2019, le Bureau du dirigeant principal de la vérification a effectué l’audit des contrôles internes exercés sur les rapports financiers.

Le premier objectif de cet audit consistait à évaluer l’efficacité des processus liés aux contrôles internes exercés sur les rapports financiers (CIRF). Le deuxième objectif était de déterminer si des progrès avaient été accomplis par rapport aux recommandations formulées dans l’audit de suivi 2013 sur les CIRF du Bureau du vérificateur général.

En 2009, le Conseil du Trésor a présenté la Politique sur le contrôle interne (PCI), dont l’objectif est de s’assurer que les « risques reliés à la gérance des ressources publiques sont gérés adéquatement grâce à des contrôles internes efficaces, y compris les contrôles internes en matière de rapports financiers ». La PCI précise que les sous-ministres sont responsables de veiller à la mise en place, au maintien, à la surveillance et à l’examen du système ministériel de contrôle interne qui permet d’atténuer les risques. Dans la politique, on exige que les sous-ministres et le dirigeant principal des finances (DPF) signent une déclaration de responsabilité englobant le contrôle interne en matière de rapports financiers. Dans ce document, qui est annexé aux états financiers annuels du Ministère, on fait état de la responsabilité de la direction à l’égard du maintien d’un système efficace de CIRF. Une évaluation annuelle axée sur les risques et l’établissement de plans d’action pour régler tout problème d’importance représentent les moyens de s’acquitter de cette responsabilité.

Le cadre pour la gestion du contrôle interne des rapports financiers du ministère des Affaires étrangères, du commerce et du développement désigné actuellement sous le nom d’Affaires mondiales Canada, est entré en vigueur le 1er janvier 2014. Ce cadre définit l’approche et précise les rôles et responsabilités concernant le système de CIRF d’Affaires mondiales Canada.

Pourquoi sont-ils importants?

Les contrôles internes sur les rapports financiers servent à protéger les ressources publiques contre les pertes importantes découlant de gaspillage, d’abus, de mauvaise gestion, d’erreurs, de fraudes, d’omissions et autres irrégularités. Ils permettent également de s’assurer de rapports fiables et transparents sur l’utilisation des fonds publics faite par Affaires mondiales Canada afin d’atteindre les objectifs fixés par le gouvernement pour les Canadiens. En outre, ils permettent aux gestionnaires et aux utilisateurs d’états financiers de croire, avec un certain degré de confiance, que ces documents rendent compte assez fidèlement des opérations financières.

Points examinés

L’équipe d’audit a examiné la politique, la gouvernance et les processus propres aux pratiques liées aux CIRF à Affaires mondiales Canada pour l’exercice 2015-2016 (renseignements sur l’audit à l’annexe B). L’audit a englobé la vérification de l’efficacité du fonctionnement des contrôles internes et le programme de surveillance permanent des contrôles internes.

Dans le cadre de l’audit, l’équipe a aussi évalué les progrès accomplis par le Ministère à la suite de la mise en œuvre des recommandations issues du Rapport 2013 du vérificateur général du Canada – Audit de suivi des contrôles internes sur les rapports financiers.

L’audit a eu lieu du 16 août 2016 au 6 décembre de la même année.

Qu’avons-nous constaté?

L’équipe d’audit a constaté que le système de CIRF d’Affaires mondiales Canada est conforme à la PCI. Elle a vérifié les processus de CIRF comme il se doit et des plans d’action ont été dressés pour combler les lacunes cernées. De plus, l’équipe a constaté que les recommandations issues de l’audit de 2013 du Bureau du vérificateur général avaient été mises en oeuvre.

L’équipe d’audit a constaté que l’équipe de contrôle interne devrait déployer des efforts supplémentaires pour faire participer davantage les hauts fonctionnaires du Ministère au processus et pour communiquer avec les responsables des processus concernant leurs rôles et leurs responsabilités à l’égard des CIRF.

Conclusion de l’audit

L’équipe d’audit conclut que le processus de contrôle interne sur les rapports financiers est en général efficace pour ce qui est de cerner et d’atténuer le risque d’inexactitudes importantes dans les états financiers du Ministère. Celui-ci utilise une approche axée sur les risques lorsqu’il évalue l’efficacité de son système de contrôle interne. Des améliorations ont été identifiées en ce qui a trait à la nécessité d’accroitre la sensibilisation et les connaissances de la haute direction au sujet de l’état des CIRF par le biais de rapports exhaustifs et d’une communication plus approfondie. Des améliorations s’imposent également au niveau de la communication pour que cette dernière soit efficace et qu’elle implique proactivement les responsables des processus afin que ceux-ci comprennent leurs rôles et responsabilités dans le processus des CIRF et qu’ils s’en acquittent.

La fin du dernier test de l’efficacité du fonctionnement des contrôles et le début de la surveillance continue durant l’exercice 2015-2016 marquent la fin de la mise en oeuvre des recommandations formulées par le BVG dans son rapport d’audit de 2013.

Recommandations issues de l’audit

1. Le Dirigeant principal des finances devrait donner aux organismes de surveillance de l’information suffisante et détaillée sur le fonctionnement et l’efficacité des CIRF afin qu’ils puissent s’acquitter de leurs rôles et responsabilités conformément à la Politique sur le contrôle interne.
2. Le Dirigeant principal des finances devrait mettre en place un plan de communication afin de faire participer en amont les responsables des processus tout au long du cycle des CIRF. Cette mesure permettra aux responsables des processus de clairement comprendre ce que l’on attend d’eux dès qu’ils prennent part au processus des CIRF et quels sont leurs rôles et responsabilités tels que stipulés dans la Politique sur le contrôle interne.

Énoncé de conformité

Selon mon jugement professionnel en tant que dirigeant principal de la vérification, le présent audit a été mené conformément aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes et conformément aux normes d’audit interne du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité. Les procédés d’audit appliqués et les éléments de preuve recueillis sont suffisants et appropriés pour appuyer l’exactitude des constatations et la conclusion formulée dans le présent rapport et pour fournir la certitude d’audit. Les constatations et la conclusion reposent sur une comparaison entre les conditions qui existaient au moment de l’audit et les critères d’audit préétablis convenus avec la direction. Elles s’appliquent uniquement à l’entité examinée ainsi qu’à l’étendue et à la période d’audit.

Brahim Achtoutal
Dirigeant principal de la vérification

1. Introduction

L’audit des contrôles internes exercés sur les rapports financiers fait partie du Plan d’audit axé sur les risques pour 2016-2019. Le Comité ministériel de vérification a recommandé ce plan le 27 septembre 2016. Le sous-ministre des Affaires étrangères l’a approuvé le 17 octobre 2016.

En 2009, le Conseil du Trésor a présenté la Politique sur le contrôle interne (PCI), dont l’objectif est de s’assurer que les « risques reliés à la gérance des ressources publiques sont gérés adéquatement grâce à des contrôles internes efficaces, y compris les contrôles internes en matière de rapports financiers »^{Note de bas de page 1}. La PCI précise que les sous-ministres sont responsables de veiller à la mise en place, au maintien, à la surveillance et à l’examen du système ministériel de contrôle interne afin d’atténuer les risques dans les grandes catégories suivantes :

• l’efficacité et l’efficience des programmes, des opérations et de la gestion des ressources, y compris la protection des actifs;
• la fiabilité des rapports financiers;
• la conformité aux lois, règlements, politiques et pouvoirs délégués.

Les contrôles internes exercés sur les rapports financiers (CIRF) permettent aux gestionnaires et aux utilisateurs d’états financiers de croire, avec un certain degré de confiance, que ces documents rendent compte assez fidèlement des opérations financières. Dans la politique, on exige que les sous-ministres et le dirigeant principal des finances (DPF) signent une déclaration de responsabilité englobant le contrôle interne en matière de rapports financiers. Dans ce document, qui est annexé aux états financiers annuels du Ministère, on fait état de la responsabilité de la direction à l’égard du maintien d’un système efficace de CIRF.

Les CIRF fournissent de l’information qui aide à préparer les rapports financiers et déclarations internes et externes conformément aux politiques, directives et normes. Ils aident également à donner l’assurance que les recettes perçues et les dépenses engagées sont conformes aux pouvoirs délégués et à empêcher ou à déceler à temps les opérations non autorisées ou erronées qui pourraient avoir une incidence importante sur l’information financière et sur les états financiers.

Les CIRF à Affaires mondiales Canada

Le cadre pour la gestion du contrôle interne des rapports financiers (le Cadre) du ministère des Affaires étrangères, du commerce et du développement, désigné actuellement sous le nom d’Affaires mondiales Canada, est entré en vigueur le 1er janvier 2014. Ce cadre définit l’approche et précise les rôles et responsabilités concernant le système de CIRF d’Affaires mondiales Canada. Le sous-ministre des Affaires étrangères assume la responsabilité globale des mesures prises pour maintenir un système de CIRF efficace et exerce un leadership en ce sens. Il revient au dirigeant principal des finances de fournir aux sous-ministres l’assurance raisonnable à l’effet que des mesures appropriées sont prises pour maintenir un système efficace de contrôle interne, y compris diriger l’établissement et la réalisation d’un plan d’évaluation. Les cadres supérieurs du Ministère sont chargés de s’assurer qu’un système de CIRF au sein de leur secteur est géré correctement et qu’il est efficace. Les chefs de mission doivent faire de même à l’intérieur de leur mission. Les cadres de tous les niveaux du Ministère sont responsables du fonctionnement efficace des contrôles à l’intérieur des processus opérationnels dont ils ont la charge. L’équipe de contrôle interne, Comptabilité ministérielle, politiques financières et contrôle, est chargée de l’élaboration et de la tenue à jour du Cadre, ainsi que de l’évaluation annuelle des CIRF.

Le processus des CIRF

Le processus des CIRF se compose d’une série documentée d’activités démontrant qu’un système efficace de contrôles internes est en place et qu’il fonctionne. Il vise à s’assurer que la diligence voulue a été exercée de la part des SM et du DPF à l’égard de la signature de la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers. Cette déclaration est jointe aux états financiers du Ministère (l’Annexe). Le processus des CIRF se compose de trois étapes : l’évaluation des risques, les tests sur les contrôles, les rapports. Un schéma du processus se trouve à l’annexe A.

1. Évaluation des risques

La première étape du processus des CIRF consiste à évaluer les risques. Cette évaluation aide à dresser le plan annuel et à déterminer quels processus seront examinés. L’équipe de contrôle interne a effectué une évaluation des risques liés à tous les processus à partir des états financiers du Ministère de 2013-2014. L’évaluation comprenait l’attribution des valeurs déclarées dans les états financiers entre les processus opérationnels du Ministère, ainsi que la détermination des processus les plus importants au sein du Ministère. L’évaluation de l’efficacité du système de contrôle interne du Ministère était basée sur les processus opérationnels les plus importants, soit :

1. Contrôles à l’échelle de l’entité (CEE) – contrôles qui sont présents au sein du Ministère et qui comprennent des mesures prises par la direction afin de fournir à son personnel les outils nécessaires pour gérer efficacement les risques en augmentant la sensibilisation, en fournissant les connaissances et les outils appropriés, ainsi qu’en favorisant l’acquisition de compétences.
2. Contrôles généraux de la technologie de l’information (CGTI) – contrôles se rapportant à l’infrastructure et aux systèmes généraux de TI du Ministère.
3. Contrôles des processus opérationnels – contrôles manuels et contrôles automatisés intégrés à certains processus opérationnels s’appliquant aux opérations financières. Ces contrôles peuvent changer au fil du temps en raison de la modification des processus opérationnels du Ministère.

On s’attend à ce qu’une évaluation des risques soit effectuée périodiquement afin de s’assurer que les processus opérationnels les plus importants sont évalués.

2. Tests sur les contrôles

Après l’évaluation des risques, l’équipe de contrôle interne a procédé aux tests sur les contrôles liés à chaque processus afin d’en vérifier le fonctionnement. Ces tests comprennent trois éléments : test de l’efficacité conceptuelle, test de l’efficacité opérationnelle et surveillance continue.

Test de l’efficacité conceptuelle

Le test de l’efficacité conceptuelle est la première étape des tests sur les contrôles. Il sert à déterminer si les contrôles de l’organisation sont conçus en fonction des objectifs de cette dernière en matière de contrôles et notamment, s’ils contribuent à prévenir ou à déceler les erreurs ou les fraudes pouvant donner lieu à des erreurs importantes dans les états financiers. L’équipe de contrôle interne cerne les activités qui présentent le risque le plus élevé dans les processus opérationnels, ainsi que les contrôles clés qui réduiraient ces risques.

Avant l’exercice 2015-2016, on évaluait l’efficacité conceptuelle de tous les processus importants au Ministère.

Test de l’efficacité opérationnelle

Après le test de l’efficacité conceptuelle, chaque processus est soumis au test de l’efficacité opérationnelle qui sert à déterminer si les contrôles clés cernés à l’étape précédente fonctionnent comme il se doit. Le test de l’efficacité opérationnelle sert à vérifier la fiabilité des contrôles clés sur une période déterminée et, par conséquent, à réduire les risques liés aux rapports financiers. Pour toute lacune importante cernée, la direction devra dresser un plan d’action en vue de la combler. Le test d’efficacité opérationnelle doit être terminé avant de commencer la surveillance continue des processus.

Avant l’exercice 2015-2016, on procédait à l’évaluation de l’efficacité opérationnelle de tous les processus importants à l’exception du processus relatif aux paiements de transfert pour les programmes de développement. L’évaluation de l’efficacité opérationnelle de ce processus a en effet été menée à terme durant l’exercice 2015-2016.

Surveillance continue

Après les tests susmentionnés, on passe à l’étape de la surveillance continue. Dans le Cadre, la surveillance continue consiste à  effectuer des évaluations périodiques fondées sur les risques conformément au plan de surveillance s'étalant sur plusieurs années. Le test de la surveillance continue comprend la confirmation des risques qui doivent être atténués, une révision du schéma des processus et des descriptions afin qu’ils représentent les processus utilisés, une évaluation des principales activités liées aux contrôles clés afin de s’assurer de leur utilité et de leur bon fonctionnement.

3. Rapports

Après les tests sur les contrôles, un rapport est rédigé pour conclure sur l’efficacité du système de contrôle des processus opérationnels. Si des déficiences ont été cernées durant les tests, elles sont signalées aux responsables des processus et des mesures sont recommandées pour les atténuer.

2. Observations et recommandations

L’équipe d’audit a examiné la pratique de gestion concernant les CIRF d’après les critères d’audit décrits à l’annexe B. Les résultats de l’audit découlent de l’examen des politiques et de la documentation, de l’examen des méthodes et des outils utilisés par l’équipe de contrôle interne pour sélectionner et évaluer les processus opérationnels clés et contrôles clés, et des entrevues menées auprès des principaux responsables de la mise en place des CIRF. Des observations et des recommandations sont ensuite formulées sur les sujets suivants : gouvernance du processus des CIRF, approche axée sur les risques relative à la sélection des processus opérationnels ainsi qu’à la détermination et à l’évaluation des contrôles clés, communication avec les intervenants.

2.1 Gouvernance du processus des CIRF

La gouvernance du processus des CIRF est une combinaison des processus et des structures mises en place pour orienter, gérer et surveiller les activités du Ministère afin qu’elles soient conformes à la PCI. À Affaires mondiales Canada, ces responsabilités incombent à la haute direction, y compris les SM, les SMA et le DPF; au niveau opérationnel, elles relèvent de l’équipe de contrôle interne. Pour évaluer la gouvernance du processus des CIRF au Ministère, l’équipe d’audit a examiné la documentation du Ministère et du gouvernement du Canada, les comptes rendus de décisions du comité, ainsi que les communications avec les principaux intervenants. On est venu à la conclusion que, même s’il existe des structures et des processus suffisants au Ministère pour répondre aux exigences de la PCI en matière de gouvernance, une amélioration des communications de la part du DPF serait nécessaire afin d’obtenir une plus grande participation et un plus grand appui de la haute direction et des responsables des processus concernant la mise en place du processus des CIRF.

Cadre stratégique des CIRF

L’équipe de contrôle interne a dressé lecadre pour la gestion du contrôle interne des rapports financiers (le Cadre), document général d’orientation approuvé par le sous-ministre es Affaires étrangères le 12 février 2014. Le Cadre renferme les rôles et responsabilités de chacun (y compris la direction, les cadres supérieurs et les employés) à l’égard des CIRF. Le processus à suivre pour la préparation de l’annexe aux états financiers y est également décrit, de même que les principes, la structure de contrôle, l’évaluation et le processus des mesures correctives qui devraient être respectés.

L’équipe d’audit a confirmé que les politiques et documents à l’appui des CIRF sont à la disposition de tout le personnel dans l’intranet du Ministère. Sur la page de l’intranet intitulée « Contrôle interne », l’équipe de contrôle interne offre une vue d’ensemble des PCI, explique les avantages pour le Ministère, les défis auquel le Ministère fait face, les processus de contrôle à traiter et le processus d’évaluation à suivre. Les documents utiles, y compris le Cadre, la PCI et les états financiers du Ministère se trouvent également sur la page de l’intranet.

Structure de gouvernance des CIRF

Dans le Cadre, le Comité ministériel de vérification (CMV) est désigné comme l’organe responsable de donner conseils et recommandations objectifs aux sous-ministres relativement à la pertinence et au fonctionnement de la gestion des risques du Ministère, ainsi qu’aux cadres de contrôle et de gouvernance, y compris l’évaluation du système ministériel des CIRF. Le mandat du CMV stipule que celui-ci doit donner des conseils sur les mécanismes de contrôle interne du Ministère et être informé de toute question d’importance^{Note de bas de page 2}. Un examen des comptes rendus de discussion pour l’exercice 2015-2016 et 2016-2017 révèle que les états financiers du Ministère et l’Annexe à la Déclaration de responsabilité de la direction englobant le contrôle interne exercé en matière de rapports financiers qui s’y rapporte (l’Annexe) ont été présentés au CMV en août 2015 et 2016. On n’a pas relevé d’autres discussions sur les CIRF dans les comptes rendus des décisions du CMV.

En plus des exigences en matière de rapports pour le CMV, le Cadre stipule que le DPF doit faire le point sur les CIRF devant le Comité exécutif deux fois par année. Bien que la direction ait indiqué que des présentations orales ont été faites au Comité exécutif, dans les comptes rendus de décisions prises lors des réunions du Comité exécutif de mars 2015 à septembre 2016, il n'y a aucune preuve que de telles mises au courant sur les CIRF ont eu lieu. Sans la présentation d’informations à jour sur les CIRF, il existe un risque selon lequel les membres du Comité exécutif ne puissent prendre acte de leurs rôles et responsabilités concernant les CIRF. L’équipe d’audit a aussi examiné le mandat et les comptes rendus de décisions pour l’exercice 2015-2016 de tous les autres comités exécutifs du Ministère. Elle a constaté qu’il n’y avait aucune référence directe à la PCI, aux CIRF ou aux contrôles internes en général, ni de discussion sur ces sujets.

Rapport aux organismes de surveillance sur l’efficacité des CIRF

La transmission de l’information sur l’efficacité des CIRF représente un élément clé du processus des CIRF. La haute direction du Ministère et les organismes de surveillance ont besoin de rapports pour demeurer au fait de la surveillance des CIRF et des activités de surveillance. Cependant, comme nous l’avons souligné, un examen des comptes rendus de décisions de tous les comités exécutifs du Ministère a révélé qu’un seul rapport annuel, soit l’Annexe aux états financiers, a été présenté à un seul comité exécutif (le CMV). Bien que les tests 2015-16 pour le processus des paiements de transfert aient conclu que les contrôles ne fonctionnaient pas efficacement, ces résultats n'ont pas été clairement communiqués au CMV. Il n'y a aucune preuve que les résultats des tests ont été partagés avec les comités exécutifs du Ministère, ou que les résultats des tests ont été présentés en détail dans les annexes des états financiers du Ministère. Le fait de ne pas clairement rapporter les constatations importantes aux membres du Comité exécutif peut limiter leur capacité à bien s'acquitter de leurs rôles et responsabilités relatifs aux CIFR.

En n’étant pas entièrement informés des résultats de l’évaluation axée sur les risques en ce qui a trait à l’efficacité du système ministériel des CIRF, il existe un risque selon lequel les organismes de surveillance ne puissent pas s’acquitter efficacement des responsabilités qui leur sont attribuées dans le Cadre, notamment celle d’apporter du soutien aux responsables des processus et au personnel et celle de communiquer périodiquement avec eux.

Recommandation no 1

Le Dirigeant principal des finances devrait donner de l’information suffisante et détaillée aux organismes de surveillance concernant le fonctionnement et l’efficacité des CIRF afin de s’assurer qu’ils s’acquittent de leurs rôles et responsabilités stipulés dans la Politique sur le contrôle interne.

2.2 Appproche axée sur les risques concernant la sélection des processus, la détermination des contrôles et l’évaluation des contrôles

Comme l’exige la PCI, l’évaluation de l’efficacité du système de contrôle interne doit s’effectuer au moyen d’une approche axée sur les risques. L’équipe d’audit a examiné les processus de l’équipe de contrôle interne afin de déterminer si les travaux avaient été exécutés au moyen de cette approche. Il a notamment vérifié si on avait employé cette approche pour sélectionner les processus opérationnels clés à examiner au titre du processus des CIRF et pour cerner les contrôles clés utilisés pour réduire les risques liés aux processus. La méthode d’évaluation et les résultats des tests ont aussi fait l’objet d’un examen afin de s’assurer qu’il y a des preuves à l’appui du bon fonctionnement des contrôles. À la suite de ces travaux, on a conclu qu’on avait employé une approche axée sur les risques pour sélectionner les processus, déterminer les contrôles et évaluer ces derniers.

Processus des CIRF 2015-2016 à Affaires mondiales Canada

Durant l’exercice 2015-2016, l’équipe de contrôle interne a terminé le test sur l’efficacité opérationnelle à l’égard du processus des paiements de transfert relatif aux programmes de développement. De plus, le programme de surveillance continue du Ministère a été mis en œuvre.

1. Test sur l’efficacité opérationnelle

Sélection du processus suivant une approche axée sur les risques

Durant l’exercice 2015-2016, l’équipe de contrôle interne a effectué le test complet sur l’efficacité opérationnelle à l’égard du processus des paiements de transfert pour les programmes de développement. En raison de priorités reliées à la fusion, il s’agissait du dernier processus à exiger un tel test. Le processus opérationnel était le plus important qui avait été recensé lors de l’évaluation des risques financiers. Par conséquent, l’équipe de contrôle interne l’a inclus parmi les processus opérationnels clés. L’équipe d’audit conclut que la sélection de ce processus s’est effectuée au moyen d’une approche axée sur les risques.

Détermination des contrôles clés et tests

Suivant la documentation attestée des processus, l’équipe de contrôle interne a réalisé une évaluation des risques reliés au processus de paiements de transfert et relevé 21 contrôles clés (14 manuels et 7 automatisés) qui présentaient le risque le plus élevé. L’équipe d’audit a relevé que 13 des 14 contrôles clés manuels s’appliquaient à l’échantillon sélectionné et testé. Quant aux 13 contrôles manuels testés, l’équipe d’audit a conclu que l’équipe de contrôle interne avait préparé et complété les matrices détaillées des tests de manière satisfaisante en ce qui concerne le test d’efficacité opérationnelle des paiements de transfert liés aux programmes de développement.

Des ressources contractuelles ont effectué un examen spécial des sept contrôles clés automatisés. Cet examen visait à évaluer l’efficacité conceptuelle et opérationnelle des contrôles clés automatisés pour s’assurer que le Ministère respecte la PCI. Les résultats détaillés des tests ont été présentés dans un rapport final à l’équipe de contrôle interne. L’équipe d’audit a relevé que deux des sept contrôles automatisés n’avaient pas fait l’objet de test dans cet examen puisque, dans la phase d’évaluation de l’efficacité conceptuelle, on avait estimé qu’ils fonctionnaient efficacement.

En conclusion, les travaux d’audit ont confirmé que les contrôles clés avaient été déterminés suivant une évaluation axée sur les risques. Les résultats des tests ont démontré que les contrôles ne fonctionnaient pas tous efficacement et que, par conséquent, ils n’atténuaient pas les risques cernés.

2. Programme de surveillance continue

Le programme de surveillance continue mis en place par l’équipe de contrôle interne pendant l’exercice 2015-2016 comprend la surveillance des éléments suivants : 1) processsus opérationnels clés sélectionnés; 2) processus propres aux missions; 3) contrôles clés exercés sur les risques importants.

(1) Surveillance des processus opérationnels clés

Sélection des processus suivant une approche axée sur les risques

Au titre du programme de surveillance continue de l’équipe de contrôle interne, on a dressé un plan triennal de tests par rotation s’appliquant aux processus opérationnels clés cernés dans l’évaluation des risques.  Pour l’exercice 2015-2016, le plan de surveillance continue portait sur les processus opérationnels clés suivants : recettes, placements et avances aux institutions financières internationales, prêts aux pays en développement et aux institutions financières internationales, contrôles à l’échelon de l’entité. L’équipe d’audit conclut que la sélection des processus opérationnels liés au programme de surveillance continue des CIRF s’est effectuée suivant l’évaluation des risques.

Détermination des contrôles clés et tests

L’équipe d’audit a relevé que les documents relatifs aux processus opérationnels (schéma des processus et descriptions) avaient été validés auprès des responsables des processus. Ces documents ont servi à mettre à jour les contrôles clés liés à chaque processus opérationnel cerné dans les tests de l’efficacité conceptuelle et opérationnelle. Les contrôles clés ont été déterminés d’après les points présentant le plus haut risque reliés aux processus actuels. Les matrices détaillées des tests avaient été préparées et complétées pour démontrer comment les activités de contrôle fonctionnaient et atténuaient les risques cernés.

(2) Surveillance des processus propres aux missions

Sélection des missions suivant une approche axée sur les risques

La surveillance continue des processus opérationnels propres aux missions s’effectue chaque année au titre du programme de surveillance continue étant donné que, dans l’évaluation des risques liés aux CIRF, ils ont été identifiés comme des éléments de contrôle présentant un risque élevé. L’équipe de contrôle interne se rend dans au moins une mission par exercice financier afin d’effectuer la surveillance des contrôles. Pour sélectionner la ou les missions, l’équipe de contrôle interne a réalisé une évaluation financière des missions par rapport à quatre processus opérationnels clés se retrouvant dans chacune d’elles : liste de paie du personnel recruté sur place, immobilisations, recettes et paiements. À la suite de l’évaluation des risques, on a cerné les 15 missions présentant le risque le plus élevé (du point de vue de leur importance). L’équipe de contrôle interne se sert de cette liste pour sélectionner la ou les missions dans lesquelles elle se rend chaque année.

Durant l’exercice 2015-2016, l’équipe de contrôle interne a évalué la mission du Canada à Mexico. Cette mission fait partie de celles qui présentaient le risque le plus élevé lors de l’évaluation. Les facteurs de risque supplémentaires qui ont été pris en compte dans la sélection de la mission de Mexico sont la présence d’un nouvel agent de gestion des finances et agent de la gestion et des affaires consulaires (AGC) et le fait que cette mission devenait un point de prestation des services communs qui fournira des services financiers à plusieurs missions de la région. D’après ces facteurs, y compris l’évaluation des risques financiers de la mission, l’équipe d’audit est d’accord avec l’inclusion de la mission de Mexico dans le plan de surveillance continue.

Identification des contrôles clés et tests

En raison de la complexité et de la diversité de l’environnement dans lequel fonctionnent les missions du Canada à l’étranger, l’équipe de contrôle interne a cerné 43 contrôles clés communs dans les divers processus que chaque mission devrait avoir en place. Pour sélectionner ces contrôles, on a déterminé quels processus opérationnels communs se retrouvaient dans chaque mission et quels points du processus nécessitant des contrôles d’atténuation présentaient le risque le plus élevé. Ces contrôles sont envoyés à tous les chefs de mission et AGC sous forme de liste des risques et des contrôles clés des missions.

L’examen d’audit a confirmé que les 43 contrôles clés ont été déterminés suivant une évaluation des risques. L’équipe de contrôle interne a préparé et complété les matrices détaillées des tests afin de démontrer comment les contrôles de la mission de Mexico fonctionnaient et atténuaient les risques cernés.

(3) Contrôles clés exercés sur la surveillance des risques importants

Sélection suivant une approche axée sur les risques

Au titre du programme de surveillance continue du Ministère axée sur les risques, il y aura des examens et des tests annuels des contrôles clés sur les risques importants (CCRI) dans le cas des processus considérés comme présentant des risques moyens ou élevés. Cet examen annuel est basé sur l’évaluation des risques de l’équipe de contrôle interne permettant de déterminer le degré de risque de chaque processus et des sous-processus qui s’y rattachent. Les CCRI des processus présentant un risque moyen et élevé devraient être évalués chaque année afin d’avoir l’assurance que le système de contrôle interne du Ministère fonctionne comme il se doit. Étant donné l’introduction du programme de surveillance continue, l’équipe de contrôle interne n’a besoin de vérifier que les contrôles clés des risques importants qui ne sont pas vérifiés par le mécanisme actuel de tests, à la condition que le mécanisme fonctionne comme il se doit.

Pour l’exercice 2015-2016, deux processus comprenant des sous-processus présentant un risque moyen ou élevé contenant des CCRI ont été sélectionnés en vue des tests : paiements à l’Administration centrale et procédures de fin d’exercice. Pour chacun de ces processus, deux CCRI (quatre en tout) ont été sélectionnés suivant une évaluation détaillée des risques et ont fait l’objet de tests. Cependant, l’équipe d’audit n’a pas pu obtenir d’éléments probants pour justifier la sélection de ces deux processus.

Identification des contrôles clés et tests

Les activités liées aux tests ont été préparées et réalisées pour les quatre activités de CCRI déterminées. Les tests effectués sur les principaux risques ont été effectués en suivant une méthode de tests déterminée semblable à celle qui est utilisée pour la surveillance continue.

Globalement, l’équipe d’audit conclut que le Ministère utilise une approche axée sur les risques pour cerner les processus opérationnels à évaluer au titre du processus des CIRF. Une telle approche est aussi employée pour déterminer si les processus opérationnels fonctionnent comme il se doit. Cependant, une meilleure documentation de la sélection des processus relatifs au CCRI aiderait à apporter des éclaircissements et à prendre les décisions en ce qui a trait au programme de surveillance continue.

2.3 Communications sur les CIRF aux responsables des processus opérationnels

Les communications avec les intervenants représentent un élément clé du processus des CIRF. En effet, des communications efficaces permettent de s’assurer que les responsables des processus connaissent leurs rôles et responsabilités, ce qui favorise un système des CIRF efficace et bien géré au sein de l’unité opérationnelle. Les situations dans lesquelles les communications prennent un caractère essentiel sont les suivantes : lors de l’évaluation annuelle des risques et des contrôles et lors des mises à jour sur les processus opérationnels; lors de la réalisation du plan de surveillance continue et des activités d’évaluation servant à déterminer l’efficacité du système de contrôle interne sur les rapports financiers; lors de l’élaboration du plan d’action de la direction et du suivi de la mise en place du plan. À partir de ces travaux, on a conclu qu’une amélioration s’imposait concernant la communication des rôles et responsabilités aux responsables des processus des CIRF, ainsi que de la communication des résultats des tests à la haute direction et aux organismes de surveillance.

2.3.1 Communication des rôles et responsabilités relatifs aux CIRF

La haute direction est chargée de la gestion du Ministère, y compris la conception, la mise en oeuvre et la surveillance des CIRF et, plus généralement, des contrôles internes. Les cadres de tous les niveaux du Ministère doivent veiller à ce que le fonctionnement des contrôles dans leur sphère de compétence soit efficace. Chaque processus opérationnel est soumis à des contrôles conçus pour fournir l’assurance raisonnable qu’il fonctionne efficacement et que les documents rendent compte avec justesse de chaque opération. En connaissant vraiment leurs rôles et responsabilités relativement aux contrôles internes liés aux processus, les responsables de ces derniers peuvent jouer un rôle proactif afin de garantir l’efficacité des contrôles internes.

L’examen de la documentation et les entrevues auprès des responsables des processus démontrent que l’équipe de contrôle interne communique avec les responsables des processus quand il le faut aux différentes étapes du processus des CIRF. Dans la plupart des cas, le message se rapporte directement aux évaluations de processus réalisées par l’équipe. Toutefois, les entrevues auprès de six des neuf responsables de processus ont permis de cerner le besoin de rendre plus clairs les rôles, responsabilités et obligations reliés aux CIRF, ainsi que la nécessité d’être informés suffisamment sur les CIRF. À titre d’exemple, l’équipe d’audit a constaté que les responsables des processus n’avaient pas une idée claire des contrôles internes dont ils étaient chargés et de la manière dont les activités qui s’y rapportent s’inscrivent dans les rapports annuels exigés par la PCI.

2.3.2 Communication des résultats des tests

Une fois les tests effectués sur les processus opérationnels, l’équipe de contrôle interne rédige un rapport sommaire comprenant les principales observations et recommandations sur ces processus. Le rapport est transmis au responsable des processus du niveau du directeur qui peut faire part de sa réponse face aux constatations. Les commentaires du responsable des processus sont intégrés dans le rapport final que le directeur général de la Comptabilité ministérielle (SMD) enverra ensuite au directeur général du processus, avec un plan d’action de la direction à réaliser.

L’équipe d’audit a examiné tous les rapports d’évaluation des CIRF concernant les tests relatifs au fonctionnement et à la surveillance continue, y compris les rapports sur les tests des contrôles clés automatisés. Tous les rapports, qui comprennent les plans d’action de la direction, ont été transmis aux responsables des processus. De plus, l’équipe d’audit a remarqué que les conclusions présentées dans chacun des rapports définitifs sur les tests étaient étayées par les tests effectués par l’équipe de contrôle interne ou les ressources contractuelles.

L’équipe de contrôle interne a dressé un plan de suivi pour les exercices 2015-2016 et 2016-2017 afin de s’assurer que les plans d’action de la direction visant à corriger les lacunes des contrôles ont été suivis et réalisés dans les délais appropriés. Les corrections à apporter ont été priorisées en fonction des risques les plus élevés déterminés durant le contrôle clé annuel lié à l’évaluation des risques importants.

Les rapports sont produits pour chaque processus opérationnel, mais on n’a pas pu déterminer si ou comment les résultats des tests sont communiqués à la haute direction du Ministère et aux organismes de surveillance. Les résultats détaillés de l’évaluation des processus opérationnels figurent à l’Annexe. Cependant, rien ne vient prouver que ces résultats sont transmis à la haute direction. Cette dernière n’a pas l’occasion de prendre connaissance de tous les résultats de l’évaluation et de déterminer si des mesures correctives s’imposent en fonction du degré de risque présenté par ces irrégularités.

Recommandation no 2

Le Dirigeant principal des finances devrait mettre en place un plan de communication afin de faire participer en amont les responsables des processus tout au long du cycle des CIRF. Cette mesure permettra aux responsables des processus de clairement comprendre ce que l’on attend d’eux dès qu’ils prennent part au processus des CIRF et quels sont leurs rôles et responsabilités tels que stipulés dans la Politique sur le contrôle interne.

2.4 Suivi des progrès à la suite des recommandations issues de l’audit 2013 du BVG

À l’automne 2013, le Ministère a reçu un rapport du Bureau du vérificateur général (BVG) concernant l’Audit de suivi des contrôles internes sur les rapports financiers^{Note de bas de page 3}. Le BVG a déterminé que le Ministère n’était en voie de terminer ses évaluations des contrôles internes ni de corriger les lacunes et les faiblesses suivant l’échéancier fixé. Le Ministère s’était alors engagé à ce que les dispositions de la PCI soient entièrement mises en place afin de respecter les recommandations du BVG à cet égard.

Le Ministère a terminé la mise en oeuvre des dispositions de la PCI à la fin de l’exercice 2015-2016, lorsque les tests de l’efficacité opérationnelle sur les paiements de transfert liés aux programmes de développement ont pris fin et lorsqu’un programme de surveillance continue axée sur les risques a été mis en place.

3. Conclusion générale

L’équipe d’audit conclut que le processus de contrôle interne sur les rapports financiers est en général efficace pour ce qui est de cerner et d’atténuer le risque d’inexactitudes importantes dans les états financiers du Ministère. Celui-ci utilise une approche axée sur les risques lorsqu’il évalue l’efficacité de son système de contrôle interne. Des améliorations ont été identifiées en ce qui a trait à la nécessité d’accroitre la sensibilisation et les connaissances de la haute direction au sujet de l’état des CIRF par le biais de rapports exhaustifs et d’une communication plus approfondie. Des améliorations s’imposent également au niveau de la communication pour que cette dernière soit efficace et qu’elle implique proactivement les responsables des processus afin que ceux-ci comprennent leurs rôles et responsabilités dans le processus des CIRF et qu’ils s’en acquittent.

Avec la fin des derniers tests sur l’efficacité opérationnelle et le début de la surveillance continue durant l’exercice 2015-2016, les plans d’action de la direction consécutifs aux recommandations de l’audit 2013 du BVG sont entièrement mis en œuvre.

Annexe A : Processus des CIRF à Affaires mondiales Canada

Annexe B : L’audit

Objectif

L’objectif de cet audit est d’évaluer si le processus de contrôle interne sur les rapports financiers est efficace, ce qui garantit que les lacunes des contrôles clés sont cernées et atténuées au besoin. L’autre objectif de cet audit consiste à évaluer si des progrès ont été réalisés à la suite des recommandations de l’audit du BVG de 2013.

Étendue de l’audit

L’audit a porté sur les éléments suivants :

• Évaluation de l’efficacité du fonctionnement – paiements de transfert pour les programmes de développement
• Surveillance continue :
  • des processus de contrôle à l’échelon de l’entité
  • des processus liés aux recettes
  • des prêts aux pays en développement et aux institutions financières internationales (IFI)
  • des placements et avances aux IFI
• Surveillance continue des processus propres aux missions
• Surveillance continue des contrôles clés sur les risques importants.

L’audit a aussi porté sur les progrès réalisés dans la mise en œuvre des recommandations tirées du rapport du BVG de l’automne 2013.

Critères

Les critères ont été élaborés à la suite de l’évaluation détaillée des risques et en se basant  sur les critères d’audit relatifs au cadre de responsabilisation de gestion établi par le Bureau du contrôleur général du Secrétariat du Conseil du Trésor. Les partis visés par l’audit ont discuté et se sont mis d’accord sur les critères d’audit. Le tableau ci-contre expose les critères élaborés afin d’atteindre l’objectif et la portée de l’audit.

Critères 1.0 : La responsabilisation, les rôles et les responsabilités dans le cadre du processus du CIRF sont officiellement définis, communiqués, exercés et appuyés par un niveau approprié de gouvernance

Sous-critères :

• 1.1 La haute direction, y compris le sous-ministre, est au fait des exigences relatives aux CIRF conformément à la Politique sur le contrôle interne (PCI) et les observe.
• 1.2 Une structure de gouvernance est établie, mise en place et suivie afin de se conformer aux exigences de la PCI.
• 1.3 Les communications au Ministère sont essentielles, et la direction montre la voie à suivre.
• 1.4 Les rôles et responsabilités des responsables des processus opérationnels relatifs aux CIRF sont définis, communiqués et suivis.

Critères 2.0 : Pour déterminer et évaluer les risques, des évaluations approfondies des risques sont effectuées, font l’objet de suivi et de mise à jour.

Sous-critères :

• 2.1 Une évaluation annuelle des risques du processus des CIRF est réalisée afin d’assurer la surveillance continue des points présentant le risque le plus élevé.
• 2.2 Une évaluation des risques liés aux processus visés dans le cadre de l’audit a été effectuée.

Critères 3.0 : Il existe une méthode pour effectuer les tests liés au processus des CIRF. Cette méthode est appliquée uniformément pour tous les tests.

Sous-critères :

• 3.1 Il existe bel et bien une méthode pour effectuer les tests liés au processus des CIRF.
• 3.2 La méthode pour effectuer les tests des processus visés par l’audit est suivie correctement.

Critères 4.0 : Les résultats des essais des contrôles clés sont étayés et communiqués aux responsables des processus opérationnels ainsi qu’à la haute direction pour la prise de décisions et de mesures.

Sous-critères :

• 4.1 Les activités de suivi ont été déterminées et transmises aux responsables des processus.
• 4.2 L’équipe de contrôle interne est en train de mettre en place un processus de suivi.

Approche et méthode

Pour conclure sur les critères susmentionnés, suivant les principaux risques cernés et évalués et suivant les contrôles internes associés aux processus opérationnels qui s’y rapportent, l’audit a été réalisé conformément à la Politique du Conseil du Trésor sur la vérification interne et aux normes d’audit de l’Institut des auditeurs internes.

Dans le plan d’audit 2016-2019 axé sur le risque (PAAR), l’audit est considéré comme une priorité et un domaine à haut risque pour Affaires mondiales Canada. Une évaluation des risques a été effectuée d’après un examen de la documentation et des entrevues auprès des intervenants, notamment l’équipe de contrôle interne (SMOC) et un nombre sélectionné de responsables des processus. On a aussi réalisé un examen des politiques, des travaux d’audit antérieurs, des travaux antérieurs d’évaluation du risque de fraude et autres documents reliés aux contrôles financiers. Dans l’ensemble, l’évaluation a permis de conclure que les principaux risques pour Affaires mondiales Canada sont reliés à la conformité à la PCI en terme de gouvernance des activités en général, d’évaluation adéquate des risques, d’efficacité des tests et de suivi approprié des lacunes constatées. L’audit fournit une vue d’ensemble du domaine qui revêt de l’importance pour l’organisation. Pour atteindre les objectifs fixés, on a adopté l’approche suivante :

• Étude initiale : collecte et examen de l’information de base sur les initiatives visées par la PCI, y compris, sans s’y limiter cependant, l’analyse de l’information non financière ainsi que des politiques, lignes directrices et procédures. L’information obtenue a servi à préparer les réunions préliminaires avec la haute direction.
• Réunions préliminaires : entrevues avec la haute direction du Ministère afin d’obtenir l’information reliée aux enjeux et à l’obtention des résultats attendus dans l’optique de s’assurer que l’équipe d’audit interne est au fait de l’état actuel des processus et surtout, dans le but de cerner les éléments les plus préoccupants au niveau de la gestion.
• Collecte de l’information détaillée. Le but de cette approche consistait à :
  • connaître, au moyen d’entrevues et d’examen de la documentation, les exigences en matière de responsabilisation du Ministère reliées à la PCI et à l’Annexe;
  • évaluer, au moyen d’entrevues, de cheminements témoins et d’examen de la documentation, le niveau de conformité générale à la PCI;
  • examiner, par le biais d’entrevues et d’examen de la documentation, la réponse de la direction par rapport aux lacunes constatées.
• À la conclusion de l’audit, des domaines d’intérêt seront pris en compte en vue d’être inclus dans le prochain plan d’audit axé sur le risque. Les observations aideront la direction à cerner les risques potentiels dans les contrôles internes sur les rapports financiers au Ministère.

Annexe C : Définitions

Conformément au cadre pour la gestion du contrôle interne des rapports financiers :

Le contrôle interne : est l'ensemble de moyens visant à atténuer les risques et à fournir une assurance raisonnable dans les grandes catégories suivantes :

• efficacité et efficience des programmes, opérations et gestion des ressources, y compris la protection des biens;
• fiabilité des rapports financiers;
• conformité par rapport à la loi, aux règlements, aux politiques et aux pouvoirs délégués.

Contrôle interne en matière de rapports : ensemble de moyens qui permettent à la haute direction et aux utilisateurs d’états financiers d’avoir l’assurance raisonnable que :

• les opérations sont dûment autorisées;
• les documents financiers sont bien tenus;
• les biens sont protégés;
• les lois, règlements et politiques applicables sont respectés.

Contrôle clé : contrôle qui fournit une assurance raisonnable de la prévention des erreurs graves ou de leur détection en temps opportun. La documentation des contrôles clés s’effectue sous forme de graphiques, d’énoncés de faits et de matrices de contrôle (fondés sur les risques dans le processus opérationnel).

Seuil d’importance : Seuil qui permet de déterminer l’importance relative d’une omission ou d’une anomalie dans l’information comptable qui pourrait modifier ou influencer les décisions financières que les utilisateurs des états financiers prennent en se fondant sur ceux-ci.

Responsable du processus : responsable ultime de la gestion et de la supervision des objectifs et du rendement d’un processus selon des indicateurs clés de rendement. Le responsable d’un processus a le pouvoir et la capacité d’apporter les modifications nécessaires pour réaliser les objectifs relatifs au processus.

Risque : relativement aux opérations financières, le risque est un événement ou une situation susceptible d’entraver la capacité de l’organisme à produire des rapports financiers fiables en temps opportun.

Annexe D : Plan d’action de la direction