Audit du contrôle interne en matière de gestion financière

Novembre 2023
Numéro du projet : 80590-133

Table des matières

Sommaire

En 2017, le Conseil du trésor du Canada (CT) a établi la Politique sur la gestion financière, qui énumère des responsabilités clés pour les administrateurs généraux, les dirigeants principaux des finances (DPF) et les cadres supérieurs des ministères et organismes dans l'exercice d'une gestion financière efficace. La politique cherche à faire en sorte que les ressources financières du gouvernement du Canada soient bien gérées et soient protégées grâce à des contrôles équilibrés qui permettent une certaine souplesse et une gestion des risques. Conformément à la politique, les ministères et organismes doivent établir, surveiller et maintenir un système de contrôle interne en matière de gestion financière (CIGF) fondé sur le risque, ainsi que de contrôle interne en matière de rapports financiers (CIRF), un sous-ensemble du CIGF. Le CIGF est un ensemble de mesures et d'activités qui fournissent une assurance raisonnable de l'efficacité des activités de gestion financière de l'organisme. Le CIRF est un ensemble de mesures et d'activités qui assurent la validité, l'exactitude et l'exhaustivité des rapports financiers, comme les états financiers de l'organisme. Pour soutenir les ministères et organismes lors de l'élaboration et de la mise en œuvre des cadres et mesures clés du contrôle interne, et assurer la surveillance constante des contrôles internes et du maintien d'un système efficace de CIGF, le CT a diffusé, en 2019, le Guide sur le contrôle interne en matière de gestion financière et le Guide de surveillance continue du contrôle interne en matière de gestion financière.

Le système de CIGF repose sur trois catégories de contrôle : les contrôles des processus opérationnels, les contrôles généraux des technologies de l'information (CGTI) et les contrôles au niveau de l'entité (CE). Les contrôles des processus opérationnels sont des activités menées pendant la création, la consignation, le traitement et la communication de l'information financière, ainsi que des activités de contrôle liées aux processus de gestion financière. Ils sont conçus pour fonctionner avec un niveau de précision qui leur permet de prévenir ou de détecter les erreurs liées au CIGF, et de les corriger. Les CGTI contribuent à garantir la fiabilité des données financières générées par les systèmes de TI et à étayer l'affirmation selon laquelle les systèmes fonctionnent comme prévu et les résultats sont fiables. Les contrôles au niveau de l'entité ou du « ton aux échelons supérieurs » définissent la culture d'une organisation et son engagement envers l'intégrité et l'éthique. Ils établissent des lignes directrices pour la gouvernance, l'analyse et l'intégrité financières et le respect des lois et des normes professionnelles applicables de l'organisation.

À Statistique Canada, on compte actuellement 12 processus opérationnels clés, soit 5 processus opérationnels de gestion financière, 6 processus opérationnels de rapports financiers et 1 processus opérationnel associé à la gestion et aux rapports financiers (voir l'annexe C). En ce qui concerne les CGTI, l'organisme a déterminé que 13 systèmes ont une incidence, directe ou non, sur les opérations financières ou les renseignements financiers nécessaires à la production des rapports annuels. L'organisme a établi une matrice de contrôle pour surveiller ses CE en fonction du cadre du « Committee of Sponsoring Organizations » (COSO) faisant figure de norme dans l'industrieNote de bas de page 1. La matrice de contrôle des CE comprend 79 activités de contrôle individuelles.

L'équipe chargée des contrôles internes de la Division de l'approvisionnement, des systèmes financiers et des contrôles internes du Secteur des stratégies et de la gestion intégrées est responsable de soutenir l'adjoint au DPF quand vient le temps de mettre en application la Politique sur la gestion financière. Les responsables du processus opérationnel (RPO) sont des directeurs et gestionnaires dont le programme est responsable d'un processus opérationnel clé. Ils sont tenus de surveiller les contrôles associés à un processus opérationnel particulier ou à un processus de CGTI.

Pourquoi est-ce important?

Au cours des dernières années, Statistique Canada a connu une période de croissance sans précédent, la demande pour ses données ayant augmenté à un rythme rapide pendant la pandémie de COVID-19. En 2022-2023, l'organisme a dû composer avec des pressions financières jamais vues. Des stratégies d'atténuation ont été adoptées pour réduire un déficit important prévu dans le rapport de situation financière de mi-année.

Ainsi, la gérance financière et le respect des processus établis constituent des priorités pour la haute direction. Selon les attentes, un système bien établi et efficace de CIGF devrait fournir une assurance raisonnable que les ressources publiques sont utilisées de manière prudente et économique, que les processus de gestion financière sont efficaces et que les lois, les règlements et les instruments de politique de gestion financière pertinents sont respectés.

En outre, les systèmes et pratiques pour la documentation et l'évaluation du CIRF sont en place depuis 2009Note de bas de page 2. La Politique de gestion financière du CT exige, depuis 2017, que les risques et contrôles des processus opérationnels du CIGF soient documentés, évalués et surveillés. Depuis 2019, des travaux se sont poursuivis pour atteindre le stade de la surveillance continue pour tous les processus opérationnels du CIGF. Par conséquent, il est utile de donner l'assurance raisonnable que le programme élargi du CIGF est adéquat et efficace.

Conclusion générale

Statistique Canada dispose d'un cadre et de processus adéquats et efficaces pour évaluer le système de CIGF, le surveiller et en rendre compte. On a constaté que l'organisme respecte la politique et les lignes directrices du CT au chapitre du CIGF. On a noté quelques possibilités d'amélioration mineures dans les domaines de l'évaluation des risques et de la production de rapports, ce qui renforcera le programme et le fera évoluer, afin qu'il comble les besoins de l'organisme et respecte son profil de risque à l'avenir.

Principales constatations

Gouvernance et surveillance

L'organisme dispose de la structure de gouvernance appropriée pour le système de CIGF, qui compte des rôles et des responsabilités clairement établis pour tous les intervenants.

Évaluation des risques et plan de surveillance constante

Un plan de surveillance constante adéquat a été consigné et mis en œuvre. Un processus d'évaluation des risques annuel l'appuie. Ainsi, l'organisme dispose d'une surveillance suffisante, proportionnelle aux risques des principaux processus opérationnels en matière de CIGF.

Essais de contrôle

Les méthodologies et activités d'essais pour l'évaluation du contrôle étaient efficaces et ont été suivies de manière constante pendant la période visée. Une stratégie d'essais du CIGF consignée qui va de pair avec les lignes directrices du CT et les pratiques exemplaires de l'industrie est en place. L'organisme pourrait trouver utile d'établir une correspondance entre tous les contrôles surveillés et les risques connexes. Cela permettrait de déterminer les domaines dans lesquels les contrôles sont trop présents et les risques peuvent ne pas être suffisamment pris en compte par les contrôles existants, indiquant les domaines dans lesquels il faudrait peut-être mettre en œuvre de nouveaux contrôles.

Communication des résultats

On documente et communique aux RPO les résultats des principaux essais de contrôle de manière rapide et efficace. On obtient les plans d'action de la direction rapidement. On a constaté que le système de suivi et de surveillance des plans d'action est exact et exhaustif.

Établissement de rapports internes et externes

L'annexe à la déclaration de responsabilité de la direction va de pair avec le format prescrit par le CT. On a jugé que les renseignements figurant dans l'annexe, ainsi que dans les rapports au Comité ministériel de vérification, sont exacts. Cependant, les rapports réguliers à l'intention du Comité de gestion stratégique n'ont pas été fournis comme prévu.

Conformité avec les normes professionnelles

L'audit a été réalisé conformément aux Procédures obligatoires régissant l'audit interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors.

L'application de procédures d'audit suffisantes et appropriées et la collecte des éléments de preuve contribuent à l'exactitude des constatations et des conclusions du présent rapport, et donnent une assurance de niveau audit. Les constatations et les conclusions sont fondées sur une comparaison des conditions, telles qu'elles existaient à l'époque, au regard de critères de vérification préétablis. Les constatations et les conclusions s'appliquent à l'entité examinée pour la portée et la période de référence de l'audit.

Steven McRoberts
Dirigeant principal de la vérification et de l'évaluation

Introduction

Contexte

En 2017, le Conseil du trésor du Canada (CT) a établi la Politique sur la gestion financière (la politique), qui énumère des responsabilités clés pour les administrateurs généraux, les dirigeants principaux des finances (DPF) et les cadres supérieurs des ministères et organismes dans l'exercice d'une gestion financière efficace. La politique cherche à faire en sorte que les ressources financières du gouvernement du Canada soient bien gérées et soient protégées grâce à des contrôles équilibrés qui permettent une certaine souplesse et une gestion des risques. Conformément à la politique, les ministères et organismes doivent établir, surveiller et maintenir un système de contrôle interne en matière de gestion financière (CIGF) fondé sur le risque, ainsi que de contrôle interne en matière de rapports financiers (CIRF), un sous-ensemble du CIGF. Le CIGF est un ensemble de mesures et d'activités qui fournissent une assurance raisonnable de l'efficacité des activités de gestion financière de l'organisme. Le CIRF est un ensemble de mesures et d'activités qui assurent la validité, l'exactitude et l'exhaustivité des rapports financiers, comme les états financiers de l'organisme. Pour soutenir les ministères et organismes lors de l'élaboration et de la mise en œuvre des cadres et mesures clés du contrôle interne, et assurer la surveillance constante des contrôles internes et du maintien d'un système efficace de CIGF, le CT a diffusé, en 2019, le Guide sur le contrôle interne en matière de gestion financière et le Guide de surveillance continue du contrôle interne en matière de gestion financière.

Le système de CIGF repose sur trois catégories de contrôle : les contrôles des processus opérationnels, les contrôles généraux des technologies de l'information (CGTI) et les contrôles au niveau de l'entité (CE). Les contrôles des processus opérationnels sont des activités menées pendant la création, la consignation, le traitement et la communication de l'information financière, ainsi que des activités de contrôle liées aux processus de gestion financière. Ils sont conçus pour fonctionner avec un niveau de précision qui leur permet de prévenir ou de détecter les erreurs liées au CIGF, et de les corriger. Les CGTI contribuent à garantir la fiabilité des données financières générées par les systèmes de TI et à étayer l'affirmation selon laquelle les systèmes fonctionnent comme prévu et les résultats sont fiables. Les contrôles au niveau de l'entité ou du « ton aux échelons supérieurs » définissent la culture d'une organisation et son engagement envers l'intégrité et l'éthique. Ils établissent des lignes directrices pour la gouvernance, l'analyse et l'intégrité financières et le respect des lois et des normes professionnelles applicables de l'organisation.

À Statistique Canada, on compte actuellement 12 processus opérationnels clés, soit 5 processus opérationnels de gestion financière, 6 processus opérationnels de rapports financiers et 1 processus opérationnel associé à la gestion et aux rapports financiers (voir l'annexe C). En ce qui concerne les CGTI, l'organisme a déterminé que 13 systèmes ont une incidence, directe ou non, sur les opérations financières ou les renseignements financiers nécessaires à la production des rapports annuels. L'organisme a établi une matrice de contrôle pour surveiller ses CE en fonction du cadre du « Committee of Sponsoring Organizations » (COSO) faisant figure de norme dans l'industrieNote de bas de page 3. La matrice de contrôle des CE comprend 79 activités de contrôle individuelles.

L'équipe chargée des contrôles internes de la Division de l'approvisionnement, des systèmes financiers et des contrôles internes du Secteur des stratégies et de la gestion intégrées est responsable de soutenir l'adjoint au DPF quand vient le temps de mettre en application la politique. Cela comprend ce qui suit :

  • Mettre à jour les documents sur les contrôles internes.
  • Coordonner les activités de mises à l'essai annuelles.
  • Assurer un suivi adéquat des faiblesses décelées au chapitre du contrôle.
  • Soutenir la préparation des rapports et des mises au point à l'intention de la haute direction.

Les responsables du processus opérationnel (RPO) sont des directeurs et gestionnaires dont le programme est responsable d'un processus opérationnel clé. Ils sont tenus de surveiller les contrôles associés à un processus opérationnel particulier ou à un processus de CGTI. Voici certaines de leurs responsabilités :

  • Valider les évaluations des risques et la documentation des contrôles.
  • Fournir des documents et participer aux évaluations réalisées dans leur zone d'affectation.
  • Mettre en application des plans d'action correctifs pour les faiblesses décelées au chapitre du contrôle.

L'évaluation exhaustive des risques du système de CIGF de l'organisme la plus récente a été réalisée en 2019-2020. La prochaine est prévue en 2023-2024Note de bas de page 4.

Objectif de l'audit

L'audit avait pour objectif de procurer une assurance raisonnable au chapitre du caractère adéquat et de l'efficacité du cadre et des processus en place à l'appui du respect de la politique et des lignes directrices du CT en matière de CIGF.

Portée

La portée de l'audit comprenait une évaluation des processus et activités pertinents qui ont servi à consigner, à évaluer et à surveiller le système de CIGF de l'organisme, y compris le CIRF, et à en rendre compte pour les exercices financiers de 2020-2021 à 2022-2023. Cela comprenait un examen des différentes évaluations de contrôle interne réalisées pendant cette période pour vérifier la conception et l'efficacité opérationnelle des contrôles des processus opérationnels, des CGTI et des CE. En outre, l'évaluation des risques du CIGF de 2019-2020 faisait partie de la portée de l'audit, puisqu'il s'agit de l'évaluation des risques exhaustive la plus récente. Lors de l'audit, on a également évalué le cadre de gouvernance en place pour surveiller le système de CIGF de l'organisme.

L'équipe de l'audit n'a pas évalué l'exactitude des états financiers de l'organisme ni la conception et l'efficacité opérationnelle des contrôles des processus opérationnels individuels, des CGTI ou des CE. En outre, l'audit ne comprenait pas la réalisation, à nouveau, des activités d'essais de contrôle. L'audit interne n'évalue pas l'exactitude des états financiers de l'organisme. L'assurance de processus opérationnels particuliers pourrait être évaluée lors de futurs mandats d'audit ou de consultation.

Approche et méthodologie

Cet audit a été réalisé conformément aux Procédures obligatoires régissant l'audit interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors.

Les travaux d'audit comprenaient ce qui suit :

  • Un examen et une analyse des documents internes pertinents.
  • Les tests de fichiers pour une sélection d'évaluations de contrôle interne.
  • Des entrevues et des visites de membres clés de la direction et du personnel.

Autorité

L'audit a été mené en vertu des pouvoirs prévus dans le Plan intégré d'audit et d'évaluation fondé sur les risques de 2023-2024 à 2027-2028, qui a été approuvé par Statistique Canada.

Constatations, recommandations et réponse de la direction

Gouvernance et surveillance

L'organisme dispose de la structure de gouvernance appropriée pour le système de CIGF, qui compte des rôles et des responsabilités clairement établis pour tous les intervenants.

Structure de gouvernance en place pour le système de CIGF.

Selon la Loi sur la gestion des finances publiques et la Politique sur la gestion financière, le statisticien en chef (SC), le DPF et les statisticiens en chef adjoints (SCA) ont des rôles et des responsabilités au chapitre de la mise en œuvre, de la mise à jour et de l'évaluation du système de CIGF fondé sur les risques, en plus de s'assurer qu'un tel système est en place. Il faudrait indiquer aux SCA qu'ils sont responsables du système de CIGF dans leur zone d'affectation. En outre, les ministères et organismes devraient également faire un compte rendu, à leur Comité ministériel de vérification (CMV), du système de CIGF au moins une fois par année, et comprendre les risques clés qui ont une incidence sur le système de CIGF, le plan de surveillance constante et les résultats des évaluations. Le CMV donne des conseils objectifs et formule des recommandations au SC relativement au caractère suffisant et adéquat, au fonctionnement et à la qualité des cadres et des processus de gestion, de contrôle et de gouvernance des risques de l'organisme.

L'équipe chargée de l'audit a examiné le cadre de CIGF de l'organisme. Elle a déterminé qu'il allait de pair avec la politique actuelle du CT et les guides connexes. L'audit a également permis de constater que les SCA sont informés, chaque année, de leurs rôles et responsabilités au chapitre du CIGF, y compris les responsabilités en gestion financière dans leurs ententes de gestion du rendement. En outre, on exige qu'ils signent une attestation annuelle au sujet du respect du système de contrôle interne de leur secteur.

Le CMV est l'organe de surveillance principal du système de CIGF. Trois fois par année, il reçoit des mises au point sur l'état des plans et résultats du CIGF. La charte du CMV de l'organisme indique que ce comité doit examiner les ententes sur le contrôle interne de l'organisme et formuler des conseils au SC. Un examen des procès-verbaux des réunions du CMV pendant la période visée a montré un degré de mobilisation des membres du CMV au chapitre du CIGF, y compris une analyse critique et des conseils sur les points affichant un risque supérieur. En outre, le DPF et le SC participent aux réunions du CMV.

Le Comité directeur des contrôles internes, qui était chargé d'examiner les mises au point périodiques sur les activités liées au contrôle interne, comme l'indiquait la stratégie de surveillance du CIGF de l'organisme, a été dissous en 2021. Selon le plan de travail annuel de 2021-2022 de la stratégie de surveillance du CIGF, on devait faire le point, tous les six mois, sur le contrôle interne auprès du Comité de gestion stratégique (CGS). Le DPF, le SC et les SCA sont tous membres du CGS. Grâce à cette participation inclusive, on s'assure que tous les intervenants clés sont constamment informés de l'état du système de CIGF, et on facilite la communication rapide des mesures requises. Cependant, le CGS n'a pas eu accès à ces mises à jour.

La charte du CMV décrit le rôle de ce comité quand vient le temps d'examiner le système de contrôles internes et d'informer le SC. Cependant, le mandat du CGS ne mentionne aucunement ses responsabilités au chapitre du CIGF. Au cours du cycle de mise à jour à venir, il faudrait envisager d'intégrer à la stratégie de surveillance du CIGF de l'organisme le changement relatif à la déclaration des activités de contrôle interne à la haute direction, et d'inclure les responsabilités relatives au CIGF au mandat du CGS, afin d'aller de pair avec le cadre du CIGF de l'organisme et la politique du CT.

La surveillance adéquate, y compris des rôles et responsabilités clairs pour tous les intervenants et organes de gouvernance clés, constitue une composante essentielle du système de CIGF à l'appui des responsabilités du SC à titre d'agent comptable de l'organisme, comme le décrit la Loi sur la gestion des finances publiques et la Politique sur la gestion financière. En raison des avantages que procure la participation du CGS, la direction devrait envisager de mettre à jour le mandat du CGS pour assurer sa participation constante au sein de la structure de surveillance du CIGF.

Recommandation

Voir la recommandation 2 sous « Établissement de rapports internes et externes ».

Évaluation des risques et plan de surveillance constante

Un plan de surveillance constante adéquat a été consigné et mis en œuvre. Un processus d'évaluation des risques annuel l'appuie. Ainsi, l'organisme dispose d'une surveillance suffisante, proportionnelle aux risques des principaux processus opérationnels en matière de CIGF.

Un plan de surveillance constante adéquat est en place. Un processus d'évaluation des risques annuel l'appuie. Ainsi, l'organisme dispose d'une surveillance suffisante, proportionnelle aux risques des principaux processus opérationnels en matière de CIGF.

Conformément au Guide de surveillance continue du contrôle interne en matière de gestion financière du CT, les ministères et organismes devraient utiliser une approche fondée sur le risque pour déterminer à quelle fréquence les processus et contrôles doivent être surveillés pour assurer l'efficacité du système de CIGF. Une évaluation exhaustive des risques du CIGF est requise tous les trois à cinq ans (Statistique Canada a choisi un cycle de quatre ans). Des analyses environnementales devraient être réalisées au cours des autres années, afin de déterminer si le plan de surveillance constante doit être adapté en fonction de changements considérables apportés au personnel, au processus ou aux systèmes.

Le plan de surveillance constante est le fondement des plans de travail de l'évaluation du CIGF futurs détaillés. Le DPF doit approuver le plan avant qu'il soit présenté au SC, aux SCA et au CMV. Le SC et le DPF ont approuvé, en janvier 2020, la stratégie de surveillance du CIGF de l'organisme pour la période allant de 2020-2021 à 2023-2024. Au cours du cycle de quatre ans, le plan comprenait la mise à l'essai de 12 processus opérationnels clés, de CGTI pour 13 systèmes et de CE (voir l'annexe C). Le plan de surveillance constante de 2020-2021 à 2023-2024 de l'organisme a été mis en œuvre de manière efficace pendant la période. Tous les processus opérationnels clés ont été mis à l'essai pendant le cycle (y compris les processus planifiés et en cours en 2023-2024, au moment de l'audit). On a noté uniquement des écarts mineurs et de légers retards par rapport au plan de mise à l'essai original.

L'équipe chargée de l'audit a examiné l'évaluation complète des risques du CIGF de 2019-2020, ainsi que les analyses environnementales pour chaque année, allant jusqu'à 2022-2023. Elle a déterminé que le processus est approprié et exhaustif. L'équipe chargée des contrôles internes a préparé une méthodologie générale pour réaliser les évaluations des risques du CIGF et les analyses environnementales dans son plan de surveillance. Pour assurer une amélioration continue, l'organisme pourrait documenter son approche et son processus détaillés. Tout particulièrement, on pourrait améliorer la méthodologie actuelle en précisant les principaux documents de l'organisme à examiner pour recueillir des données (comme les rapports annuels, le Cadre de responsabilisation de gestion, le profil de risque organisationnel, les changements aux politiques du CT et les rapports pertinents produits par le Bureau du vérificateur général du Canada), en plus de déterminer comment les principaux intervenants, comme les RPO et la haute direction, seront consultés dans le cadre du processus d'évaluation des risques. Ces deux éléments permettraient d'informer le processus de CIGF des changements organisationnels, des considérations stratégiques, des nouvelles priorités, des nouveaux programmes et des nouveaux risques.

En outre, l'audit a déterminé quelques possibilités d'amélioration dans les domaines du CGTI et du CE que la direction pourrait envisager à l'avenir.

  • CGTI : Dans le cadre de l'évaluation exhaustive des risques du CIGF de 2019-2020, on a réalisé une évaluation des risques propre au CGTI. Cependant, il n'y a pas eu de mise au point annuelle des cotes de risques du CGTI pendant l'analyse environnementale. Même si le fait d'interroger chaque année les RPO financiers (c.-à-d. les utilisateurs du système) constitue une méthode indirecte quand vient le temps de saisir les changements apportés au système, le fait d'assurer la participation des responsables du système de CGTI au processus d'analyse environnementale annuel peut permettre de déceler de nouveaux changements et risques associés aux principaux systèmes, en plus de renforcer les relations avec les intervenants et d'accroître la sensibilisation au programme de CIGF hors du Secteur du DPF.
  • CE : On n'a pas réalisé d'évaluation des risques des CE pendant le cycle de quatre ans visé par l'audit. Même si l'on a jugé que le CE affiche un risque faible aux fins du CIGF, l'équipe des contrôles internes devrait examiner, de manière périodique, cette composante de l'évaluation des risques avec les principaux intervenants, afin de veiller à ce que le « ton aux échelons supérieurs » de l'organisme continue de soutenir les principaux contrôles financiers.

On disposerait d'un plan de surveillance plus efficace si l'on s'assurait que le processus d'évaluation des risques est exhaustif et uniforme d'une année à l'autre. Cela permettrait de déceler et d'atténuer rapidement les risques additionnels au chapitre de la gestion financière et les nouveaux risques non financiers.

Essais de contrôle

Les méthodologies et activités d'essais pour l'évaluation du contrôle étaient efficaces et ont été suivies de manière constante pendant la période visée. Une stratégie d'essais du CIGF consignée qui va de pair avec les lignes directrices du CT et les pratiques exemplaires de l'industrie est en place.

L'organisme pourrait trouver utile d'établir une correspondance entre tous les contrôles surveillés et les risques connexes. Cela permettrait de déterminer les domaines dans lesquels les contrôles sont trop présents et les risques ne sont pas suffisamment pris en compte par les contrôles existants, indiquant les domaines dans lesquels il faudrait peut-être mettre en œuvre de nouveaux contrôles.

Les méthodologies et activités d'essais pour le système de CIGF de l'organisme sont efficaces et constamment suivies. Cependant, une mise en correspondance additionnelle des contrôles et des risques connexes renforcerait le programme de CIGF.

Parmi les aspects essentiels du maintien d'un système judicieux de CIGF, il y a la surveillance constante de la conception et de l'efficacité opérationnelle des contrôles internes. Les essais de l'efficacité de la conception ont pour objectif de déterminer si le contrôle continue d'atténuer, de manière adéquate, le risque. Ces essais devraient être réalisés avant les essais de l'efficacité opérationnelle, afin de confirmer que le contrôle fonctionne comme prévu. Les essais de l'efficacité opérationnelle comprennent l'évaluation du contrôle pendant une certaine période, habituellement d'un an. Ils évaluent si les contrôles fonctionnent conformément aux principes de conception. On s'attend à ce que les ministères et organismes créent des méthodologies efficaces et uniformes pour mettre à l'essai le système de CIGF pour des processus opérationnels, des processus de CGTI et des CE clés.

L'équipe chargée de l'audit a examiné les résultats détaillés des essais de contrôle et la documentation pour un échantillon discrétionnaire de huit évaluations de contrôle réalisées de 2020-2021 à 2022-2023. Elle a déterminé que les méthodologies et activités d'essais pour le système de CIGF de l'organisme sont efficaces et constamment suivies. La documentation requise pour chaque processus, y compris les matrices et textes sur le contrôle, est actualisée et validée avec les RPO avant la réalisation des évaluations. En outre, lorsqu'elle réalise des essais de l'efficacité opérationnelle, l'équipe des contrôles internes utilise une stratégie d'échantillonnage qui va de pair avec les pratiques exemplaires de l'industrie. Des données probantes documentées appuient les conclusions que formule l'équipe des contrôles internes au chapitre des essais.

L'efficacité de la conception vise l'évaluation des risques associés à un processus opérationnel particulier et le fait de veiller à ce que les contrôles soient conçus pour tenir compte des risques. L'équipe chargée de l'audit a jugé que les activités de contrôle des processus opérationnels du CIRF correspondent aux affirmations financières, ce qui comprend la déclaration de risques, comme la validité, l'exactitude et l'exhaustivité. Même si l'on a vérifié l'efficacité de la conception des contrôles de tous les processus figurant dans l'échantillon, aucune mise en correspondance des risques connexes n'a été documentée pour les processus opérationnels du CIGF (c.-à-d. les processus de gestion financière qui ne sont pas directement liés aux états financiers), le CGTI et le CE. L'exercice de mise en correspondance permettrait de déterminer les domaines dans lesquels les risques ne sont pas suffisamment pris en compte par les contrôles existants, indiquant les domaines dans lesquels il faudrait peut-être mettre en œuvre de nouveaux contrôles. Cela pourrait également aider à déterminer les domaines où les contrôles sont trop présents, afin de visualiser le contexte des risques et la manière dont on en tient compte.

Alors que la surveillance des processus de CIGF de l'organisme continue d'évoluer, il faudrait tenir compte de facteurs de risque additionnels, comme le fait de dépasser le montant des autorisations de dépenser, le fait de laisser des fonds inutilisés ou le fait de prendre de mauvaises décisions en matière d'affectation des ressources, afin de veiller à ce que les activités de contrôle appropriées soient en place. Lorsqu'il n'y a pas de correspondance entre les contrôles et les risques, le système de CIGF peut ne pas être en mesure de déterminer les lacunes au chapitre de la conception des contrôles internes de l'organisme. De plus, certains risques pourraient ne pas être suffisamment pris en compte par les contrôles existants.

Recommandation 1

On recommande que le SCA du Secteur des stratégies et de la gestion intégrées veille à ce qu'un processus visant à déterminer les risques au niveau du contrôle et à mettre en correspondance toutes les activités de contrôle surveillées par rapport aux risques connexes dans les matrices de contrôle soit mis en place. Il faudrait examiner, de manière périodique, les risques, pour assurer leur exhaustivité et leur pertinence continue.

Réponse de la direction

La direction accepte la recommandation formulée.

Le plan de contrôle interne annuel de Statistique Canada est adapté chaque année, afin d'y ajouter les nouveaux risques décelés lors de l'analyse environnementale annuelle (évaluation des risques). À l'avenir, on ajoutera au plan de CIGF annuel une section réservée à la mise en correspondance des risques et aux liens avec les processus de CIGF.

Produits livrables et échéancier

Le directeur de la Division de l'approvisionnement, des systèmes financiers et des contrôles internes s'assurera que le prochain plan de CIGF annuel comprendra les liens appropriés et une mise en correspondance des risques établis et le plan pour en tenir compte d'ici le 1er juin 2024.

Communication des résultats

On documente et communique aux RPO les résultats des principaux essais de contrôle de manière rapide et efficace. On obtient les plans d'action de la direction (PAD) rapidement. On a constaté que le système de suivi et de surveillance des PAD est exact et exhaustif.

Les résultats des évaluations de contrôle interne sont saisis de manière efficace et sont communiqués aux intervenants internes appropriés. Des plans d'action sont créés, surveillés et mis en œuvre de manière opportune.

À la suite des évaluations du contrôle interne de chaque processus opérationnel, on s'attend à ce que l'équipe des contrôles internes partage les résultats avec les RPO et qu'elle leur demande de préparer un PAD pour tenir compte des lacunes ou faiblesses décelées au chapitre des contrôles internes. Le plan d'action correctif devrait comprendre des jalons et les dates d'achèvement prévues pour les mesures de suivi. L'équipe chargée des contrôles internes devrait collaborer avec les RPO pour examiner, de manière périodique, les progrès faits au chapitre de la mise en œuvre et l'état des correctifs. On laisse à l'organisme la possibilité de déterminer la fréquence de l'examen. Statistique Canada réalise cet examen trois fois par année pour présenter des rapports au CMV. Il faudrait communiquer rapidement les observations faites lors des essais du CIRF et les PAD préparés, afin de veiller à ce qu'ils soient pertinents et que toute faiblesse au chapitre du contrôle soit corrigée dès que possible.

L'audit a conclu que les résultats des principaux essais de contrôle sont documentés et communiqués aux RPO de manière rapide et efficace. En outre, on obtient les PAD auprès des RPO. Ces PAD font l'objet d'une surveillance de la part de l'équipe des contrôles internes avec un délai minime. On a constaté que le système de suivi des PAD est exact et exhaustif. Le processus de suivi de la mise en œuvre des plans d'action se déroule plusieurs fois par année. Habituellement, les RPO mettent en œuvre les mesures correctives rapidement. Lors des interviews avec les RPO, on a constaté que les conclusions et recommandations étaient claires et appropriées, et que l'équipe des contrôles internes fournissait des lignes directrices et une rétroaction pour préparer le PAD s'il y a lieu. Selon l'audit, le format de déclaration actuel renferme principalement des recommandations et des domaines dans lesquels des lacunes ont été décelées. Pour favoriser la participation continue, on pourrait envisager l'adoption d'une approche de déclaration équilibrée aux RPO, y compris un résumé des contrôles jugés efficaces, afin de fournir une vue d'ensemble du domaine évalué.

Même si l'on a jugé que le processus de communication des résultats était efficace, le rapport du CMV de mars 2023 relevait certains cas de lacunes répétitives. Le rapport a mis en évidence cinq cas de lacunes au chapitre du contrôle des processus opérationnels « Paie et avantages sociaux » et « Clôture et rapports financiers » pour lesquels les évaluations de 2018-2019 et de 2019-2020, respectivement, avaient relevé des lacunes. Au cours du cycle de suivi précédent, l'audit a permis de constater que, dans quatre des cinq cas, on avait indiqué que les mesures correctives étaient « achevées ». Dans l'un des cinq cas, la recommandation initiale avait été classée parmi les recommandations pour lesquelles aucune mesure n'était requise en raison du faible risque. L'équipe des contrôles internes ne fait état que du suivi relatif aux recommandations associées à un risque élevé ou à un risque moyen. Certaines recommandations associées à un risque faible peuvent ne pas être mises en œuvre. Certains RPO ont indiqué être préoccupés par le fait que ces PAD d'une évaluation du contrôle interne réalisée dans le passé n'avaient pas été entièrement mis à exécution et qu'ils ne le savaient pas jusqu'à ce qu'ils reçoivent les résultats de l'évaluation la plus récente.

Lorsque les mesures correctives ne sont pas mises en œuvre de manière durable, afin de corriger les lacunes observées, les principaux risques relatifs aux rapports financiers et à la gestion financière peuvent ne pas être atténués pendant la période entre les évaluations de contrôle. Les RPO sont chargés de mettre en œuvre les mesures correctives, et veiller à ce que ces mesures soient durables, en cas de roulement du personnel ou de changement apporté au processus opérationnel.

Établissement de rapports internes et externes

L'annexe à la déclaration de responsabilité de la direction va de pair avec le format prescrit par le CT. On a jugé que les renseignements figurant dans l'annexe, ainsi que dans les rapports au CMV, sont exacts. Cependant, les rapports réguliers à l'intention du CGS n'ont pas été fournis comme prévu.

Les renseignements figurant dans les rapports internes et externes sur le CIGF sont exacts et exhaustifs.

Conformément à la politique du CT, les ministères et organismes doivent faire un compte rendu de leur évaluation annuelle du CIRF dans l'annexe à la déclaration de responsabilité de la direction. Cette annexe fournit aux utilisateurs des états financiers un résumé qui fait état de la gestion du système organisationnel de CIRF au moyen d'évaluations annuelles, de plans d'action connexes et de plans d'évaluation futurs. Les ministères et organismes devraient également faire un compte rendu, à leur CMV, du système de CIGF au moins une fois par année, et comprendre les risques clés qui ont une incidence sur le système de CIGF, le plan de surveillance constante et les résultats des évaluations.

L'audit a conclu que l'équipe des contrôles internes fait état des résultats du CIGF au CMV trois fois par année, ce qui est supérieur à l'exigence minimale selon laquelle il faut les fournir une fois par an. On a jugé que les rapports au CMV étaient exacts, exhaustifs et complets. Comme mentionné dans la section « Gouvernance et surveillance » ci-dessus, on prévoyait faire une mise au point, tous les six mois, sur les contrôles internes à l'intention du CGS. Le DPF et le SC participent à toutes les réunions du CMV. En compagnie des SCA, ils sont membres du CGS. Ainsi, tous les intervenants clés sont tenus au courant de l'état du système de CIGF, ainsi que des mesures requises. Cependant, les mises au point régulières à l'intention du CGS n'ont pas eu lieu comme prévu.

On a jugé que l'information contenue dans l'annexe était exacte. À l'avenir, si la direction prévoit augmenter le degré de transparence des rapports externes, l'annexe pourrait comprendre des renseignements plus exhaustifs, comme les évaluations achevées des principaux contrôles, les écarts par rapport au plan de l'année précédente et la manière dont on tient compte des nouveaux risques dans le plan. Selon une étude comparative de l'annexe de trois ministères et organismes comparables, les trois ont fourni sensiblement plus de détails sur leur programme de CIRF et de CIGF que Statistique Canada au chapitre des constatations sur les lacunes en matière de contrôle, des mesures prises et des résultats de l'évaluation des risques.

La déclaration de responsabilité de la direction est un document clé sur les responsabilités de l'organisme. Elle donne l'occasion aux ministères et aux organismes de mettre en évidence l'efficacité de leur gestion du CIRF et du CIGF. Si l'on fournissait des renseignements détaillés additionnels, on augmenterait la transparence de l'assurance qu'un système efficace de CIRF et de CIGF est en place au sein de l'organisme.

Recommandation 2

On recommande que le SCA du Secteur des stratégies et de la gestion intégrées veille à ce que la haute direction reçoive des rapports réguliers planifiés, afin d'assurer une gouvernance efficace.

Réponse de la direction

La direction accepte la recommandation formulée.

Pour améliorer la surveillance et la communication efficaces des mesures nécessaires, les rapports d'étape du CIGF seront transmis à la haute direction en temps opportun.

Produits livrables et échéancier

Le directeur de la Division de l'approvisionnement, des systèmes financiers et des contrôles internes veillera à ce que la présentation du rapport d'étape du CIGF soit transmise aux membres du CGS à des fins de commentaires, avant les réunions du CMV, d'ici le 22 novembre 2023.

Annexes

Annexe A : Critères d'audit

Critères d'audit
Objectifs de contrôle Contrôles de base/critères Instruments de politique/sources

1. Procurer une assurance raisonnable au chapitre du caractère adéquat et de l'efficacité du cadre et des processus en place à l'appui du respect de la politique et des lignes directrices du CT en matière de CIGF.

1.1 L'organisme dispose d'une structure de gouvernance appropriée pour le système de CIGF. Les rôles et responsabilités des intervenants sont clairement établis et communiqués.

1.2 Un plan d'évaluation des risques et de surveillance constante adéquat, qui a été mis en œuvre comme prévu, appuie le système de CIGF de l'organisme.

1.3 Les méthodologies et activités d'essais pour le système de CIGF de l'organisme sont efficaces et constamment suivies.

1.4 Les résultats des évaluations de contrôle interne sont saisis de manière efficace et sont communiqués aux intervenants internes appropriés. Des plans d'action sont créés, surveillés et mis en œuvre de manière opportune.

1.5 On communique efficacement aux intervenants appropriés l'état du système de CIGF de l'organisme et les mesures requises pour tenir compte des lacunes ou des faiblesses, au moyen de rapports internes et externes.
  • Politique sur la gestion financière du CT, Guide sur le contrôle interne en matière de gestion financière et Guide de surveillance continue du contrôle interne en matière de gestion financière.
  • Mandat, procès-verbaux des réunions, compte rendu des décisions et rapports pour les comités pertinents, s'il y a lieu.
  • Documents du programme de CIGF, y compris des évaluations des risques, des analyses environnementales, des plans de surveillance constante, des renseignements sur les processus opérationnels, des fiches d'essai de contrôle interne, des rapports et plans d'action et autres.
  • Autres documents internes de Statistique Canada, le cas échéant.

Annexe B : Acronymes

CE
Contrôle au niveau de l'entité
CGS
Comité de gestion stratégique
CGTI
Contrôle général des technologies de l'information
CIGF
Contrôle interne en matière de gestion financière
CIRF
Contrôle interne en matière de rapports financiers
CMV
Conseil ministériel de vérification
COSO
Committee of Sponsoring Organizations
CT
Conseil du trésor du Canada
DPF
Dirigeant principal des finances
PAD
Plan d'action de la direction
RPO
Responsable du processus opérationnel
SC
Statisticien en chef
SCA
Statisticien en chef adjoint

Annexe C : Plan de travail relatif au contrôle interne en matière de gestion financière de 2020-2021 à 2023-2024

Plan de travail relatif au contrôle interne en matière de gestion financière de 2020-2021 à 2023-2024
Processus ou système Cote de risque Dernier essai 2020-2021 2021-2022 2022-2023 2023-2024
Processus opérationnels au chapitre du contrôle interne en matière de gestion financière
Prévisions Élevé S.O. Oui Oui Oui Oui
Budgétisation Moyen S.O. Oui Oui   Oui
Planification des investissements Moyen S.O. Oui Oui    
Établissement des coûts Moyen S.O.   Oui Oui  
Attestation du dirigeant principal des finances Faible S.O.   Oui Oui  
Processus opérationnels au chapitre du contrôle interne en matière de rapports financiers (CIRF)
Clôture et rapports financiers Élevé 2019-2020 Oui   Oui  
Paie et avantages sociaux (CIGF/CIRF) Élevé 2019-2020 Oui   Oui  
Paie des intervieweurs Moyen 2019-2020     Oui  
Recettes Moyen 2019-2020   Oui    
Paie du recensement Moyen 2019-2020 Au besoin
Dépenses de fonctionnement Faible 2018-2019       Oui
Immobilisations Faible 2019-2020       Oui
Contrôles généraux des technologies de l'information
Système financier ministériel commun Élevé 2019-2020   Oui   Oui
Portail de gestion de la collecte Élevé 2019-2020 Selon les besoins et allant de pair avec la paie du recensement
Galaxie RH Élevé 2019-2020   Oui   Oui
Système de gestion du temps Élevé 2019-2020   Oui   Oui
Système de gestion du temps (Web) Élevé S.O.   Oui   Oui
Système de gestion du budget et des recettes Moyen 2018-2019     Oui  
Approbation électronique des demandes Moyen 2018-2019     Oui  
Système de paie des opérations sur le terrain Moyen 2019-2020 Selon les besoins et allant de pair avec la paie du recensement
Système de gestion des informations non salariales Moyen 2019-2020     Oui  
Système de gestion des informations salariales Moyen 2018-2019     Oui  
Délégation des pouvoirs de signature en matière de finances Faible 2018-2019       Oui
Système de rapports financiers Faible 2018-2019       Oui
Système de gestion de tables de référence Faible 2019-2020       Oui
Contrôles au niveau de l'entité
Contrôles au niveau de l'entité Faible 2017-2018 Oui      
Source : Adapté de la Stratégie de surveillance axée sur les risques du contrôle interne en matière de gestion financière de 2020-2021 à 2023-2024 de Statistique Canada.
Date de modification :