Audit des contrôles financiers clés
Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers (CIRF)

Rapport d'audit

22 avril 2013
Numéro de projet : 80590-74

Résumé

La Politique sur le contrôle interne du Secrétariat du Conseil du Trésor (SCT) a pris effet le 1er avril 2009 et est émise en vertu de l'article 7 de la Loi sur la gestion des finances publiques (LGFP). L'objectif de la Politique est de faire que les risques liés à la gérance des ressources publiques soient gérés adéquatement grâce à des contrôles internes efficaces, y compris les contrôles internes en matière de rapports financiers (CIRF). La Politique exige du statisticien en chef (SC) et du statisticien en chef adjoint (SCA) de Statistique Canada qu'ils signent tous les ans une Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers attestant que des systèmes de contrôle interne efficaces, basés sur les risques, sont en place dans l'organisme.

L'objectif du présent audit était de fournir au SC et au Comité ministériel de vérification (CMV) de Statistique Canada l'assurance du caractère adéquat des activités de soutien du cadre mis en place aux fins de l'évaluation annuelle fondée sur les risques que la Direction des finances (Finances) fait de l'efficacité du système de contrôle interne en matière de rapports financiers, et ce, à l'appui de la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers (la Déclaration).

Cet audit a été effectué suivant les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA – Institut des auditeurs internes) et en conformité avec la Politique sur la vérification interne du CT.

Principales constatations

Statistique Canada a satisfait aux exigences liées à la mise en œuvre d'un cadre appuyant la Politique sur le contrôle interne (PCI). La charte de projet et le processus global d'évaluation de l'efficacité du CIRF de Statistique Canada intègrent toutes les composantes principales de la trousse de diagnostic élaborée par le Bureau du contrôleur général.

Statistique Canada a élaboré un document de stratégie clé intitulé « Stratégie proposée pour répondre aux exigences de la Politique sur le contrôle interne (mars 2010) », qui fonde l'approche suivie par l'organisme pour mettre en œuvre la PCI. Ce document comprend l'ensemble des principaux éléments recommandés dans la trousse de diagnostic. Ces deux dernières années, Finances a ajusté certains éléments de gouvernance de son cadre pour l'évaluation du CIRF; cependant, on n'a pas revu ni actualisé, depuis sa première mouture, le plan stratégique de Statistique Canada pour la conformité à la PCI en vue d'en maintenir la pertinence opérationnelle continue.

Pour répondre aux exigences des politiques, il est nécessaire de fournir une assurance durable concernant tout le régime de CIRT. Finances a mené toutes les activités liées aux tests d'efficacité du fonctionnement (TEF) des contrôles selon le calendrier de tests établi pour sa stratégie relative à la PCI¸ sauf pour les processus et systèmes dont la modification est prévue ou en cours. Les contrôles compensatoires n'ont pas été testés par Finances pendant les périodes de transition.

Statistique Canada a établi des processus de surveillance et de production de rapports sur la conformité à la PCI. L'équipe de Finances qui s'occupe de la conformité à la PCI (l'équipe PCI) surveille le degré d'achèvement des plans d'action correctifs faisant suite à chaque cycle de tests de conception (TC) et de TEF; cependant, dans certains cas, le moment où sont menées les activités de validation ne permet pas à l'équipe PCI de fournir une assurance durable concernant le CIRF. Les tests d'audit effectués sur les mesures correctives déjà apportées pour les plans d'action de deux processus opérationnels ont confirmé que les recommandations avaient été mises en œuvre.

En conformité avec la PCI, Statistique Canada a produit sa première annexe à la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers pour l'exercice 2011-2012 et travaille actuellement à la préparation de sa deuxième déclaration pour l'exercice 2012-2013. La Déclaration suit la structure proposée dans la trousse de diagnostic du BCG; cependant, des secteurs nécessitant des mesures correctives pour atteindre l'état de préparation à l'audit et des secteurs pour lesquels l'assurance n'a pu être fournie pour une période donnée n'ont pas été explicitement déclarés.

Conclusion générale

Statistique Canada a mis en œuvre un cadre détaillé à l'appui de son évaluation annuelle fondée sur les risques de l'efficacité du système de contrôle interne en matière de rapports financiers.

Si les activités qui soutiennent le cadre existant sont adéquates, il existe encore des possibilités de s'assurer que l'organisme puisse tenir à jour le cycle de son processus d'évaluation du CIRF, tandis qu'il continue de progresser vers l'atteinte de l'état de préparation à l'audit. Une attention particulière devrait être portée à l'actualisation de la stratégie de l'organisme et à une communication claire des secteurs nécessitant des mesures correctives et des secteurs pour lesquels on n'a pas été en mesure de fournir une assurance.

Conformité aux normes professionnelles

L'audit a été effectué en conformité avec les Normes relatives à la vérification interne au sein du gouvernement du Canada, lesquelles comprennent les Normes internationales pour la pratique professionnelle de l'audit interne (NIPPAI) de l'Institute of Internal Auditors, (IIA - Institut des auditeurs internes).

Patrice Prud'homme
Dirigeant principal de la vérification

Introduction

Contexte

La Politique sur le contrôle interne du Secrétariat du Conseil du Trésor (SCT) a pris effet le 1er avril 2009 et est émise en vertu de l'article 7 de la Loi sur la gestion des finances publiques (LGFP). L'objectif de la Politique est de faire que les risques liés à la gérance des ressources publiques soient gérés adéquatement grâce à des contrôles internes efficaces, y compris les contrôles internes en matière de rapports financiers (CIRF).

En vertu de la PCI, l'administrateur général (en l'occurrence, le statisticien en chef) et le dirigeant principal des finances (DPF) de Statistique Canada doivent signer tous les ans une Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers (la Déclaration). Cette déclaration préface les états financiers de l'organisme et :

  • reconnaît la responsabilité de la direction d'assurer le maintien d'un système efficace de contrôle interne en matière de rapports financiers;
  • reconnaît l'exécution d'une évaluation annuelle du système de contrôle interne en matière de rapports financiers qui est basée sur les risques afin de déterminer l'efficacité continue du système;
  • reconnaît l'établissement d'un plan d'action;
  • comprend un résumé des résultats de l'évaluation et fait état des mesures prises pour corriger les problèmes.

Les résultats attendus aux termes de la PCI sont les suivants :

  • des systèmes de contrôle interne efficaces, basés sur les risques, sont en place dans chaque ministère et sont adéquatement maintenus, suivis et évalués, avec des mesures correctives apportées en temps opportun lorsque des problèmes sont relevés;
  • un système de contrôle interne efficace en matière de rapports financiers est en place dans chaque ministère tel que démontré par la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers du ministère.

Le Bureau du contrôleur général (BCG) a élaboré en 2010 un document préliminaire d'outil diagnostic à l'intention des ministères et organismes relativement à la Politique sur le contrôle interne (ci-après appelé la « trousse de diagnostic »), qui présente aux ministères une méthode pratique qu'ils peuvent suivre, étape par étape, pour planifier et réaliser une évaluation fondée sur les risques de l'efficacité des systèmes de CIRF, comme l'exige la PCI. Ce document indique que la mise en œuvre de la PCI n'exige pas d'évaluer l'ensemble des contrôles, mais plutôt d'évaluer les contrôles clés en fonction des risques. L'approche proposée comprend une planification pluriannuelle des évaluations qui tient compte des capacités des ministères.

La Division des services financiers et administratifs (DSFA) (l'ancienne DOSGF – Division des opérations et des systèmes de gestion financière) est responsable de l'élaboration d'un cadre pour évaluer l'efficacité des CIRF et des CGTI (contrôles généraux de la technologie de l'information)Footnote 1. Le personnel à qui sont confiées ces responsabilités (l'équipe PCI) comprend un poste ETP responsable de coordonner les tests menés par des sous-traitants et de voir aux activités de suivi, ainsi que deux niveaux de supervision (à temps partiel) qui voient aux activités d'appui à la conformité à la PCI, dont un chef et un directeur adjoint. L'équipe PCI relève du directeur par intérim de la DFSA et du directeur général de la Direction des finances (le DPF adjoint). L'équipe de Finances a commencé les premières étapes du processus de planification et d'établissement de portée en 2009. Depuis, le premier cycle complet d'évaluation du CIRF a été mené à son terme. L'organisme a produit sa première Déclaration pour l'exercice se terminant le 31 mars 2012. À partir de là, le projet de mise en œuvre de la PCI est devenu un processus permanent nécessitant des activités de surveillance et de tenue de documents en collaboration avec les propriétaires des processus, la réalisation de tests du CIRF et la production de rapports sur l'état de préparation à l'audit.

À Statistique Canada, les statisticiens en chef adjoints (SCA) sont tenus de signer une Déclaration de responsabilité de la direction pour leurs champs respectifs. Cette initiative a été instaurée comme pratique exemplaire par l'équipe de Finances. En signant cette déclaration, les SCA acceptent d'offrir leur pleine coopération et leur soutien entier à l'évaluation annuelle du CIRF de leur secteur.

L'évaluation d'un CIRF comprend quatre (4) activités fondamentales, qui sont entreprises en fonction du calendrier établi et selon une stratégie définie par l'organisme. Vous trouverez ci-dessous une brève description de chaque activité. Les processus afférents à chaque activité sont décrits plus en détail dans la section des constatations du présent rapport.

Figure 1: Évaluation du CIRF

Description pour Évaluation du CIRF

Figure 1: Évaluation du CIRF

La planification et la définition de la portée représentent la première étape de l'évaluation d'un CIRF de l'organisme. Les plans stratégiques touchant le CIRF et les CGTI ainsi que les plans de travail connexes précisent la portée du CIRF qui sera couvert et la fréquence à laquelle on le testera. Ces plans présentent les résultats d'un exercice d'évaluation des risques sur lequel reposent les décisions qui sont prises quant à la sélection des processus opérationnels inclus dans la portée.

Documenter les processus et contrôles à l'intérieur de chaque processus opérationnel inclus dans la portée constitue l'approche suivie pour définir les contrôles clés mis en place pour atténuer les risques afin de les ramener à un niveau acceptable. En fin de compte, cette étape permet de mieux cibler les tests effectués sur les secteurs présentant les plus hauts risques.

L'évaluation de la conception des contrôles implique l'identification des contrôles clés qui sont en place pour prévenir ou déceler une anomalie significative dans les états financiers et atténuer les risques importants. Le but des tests de conception est de confirmer que ces contrôles clés correspondent aux risques élevés qu'ils visent à atténuer dans les états financiers.

L'évaluation de l'efficacité du fonctionnement des contrôles implique l'évaluer la mesure dans laquelle un contrôle clé a fonctionné de la manière prévue pendant une période donnée. Les TEF visent à démontrer la fiabilité des contrôles, pendant une période donnée, pour ce qui est de réduire les risques en matière de rapports financiers.

Les contrôles clés qui nécessitent d'être améliorés sont communiqués à chaque propriétaire de processus opérationnel par des lettres de recommandation(s) (LR). Les activités permanentes de surveillance et de production de rapports de Finances, de même que de saines pratiques de gestion des risques, assurent une progression continue vers l'état de préparation à l'audit.

Objectif de l'audit

L'objectif du présent audit était de fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) de Statistique Canada l'assurance du caractère adéquat :

  • des activités de soutien au cadre mis en place aux fins de l'évaluation annuelle fondée sur les risques que la Direction des finances fait de l'efficacité du système de contrôles internes en matière de rapports financiers, à l'appui de la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers.

Portée

La portée de cet audit comprenait un examen des processus et mécanismes en place aux fins de certaines étapes clés du processus de mise en œuvre de la PCI, tel que décrit dans la trousse de diagnostic du BCG. L'audit comprenait des entrevues avec des membres de l'équipe dirigeante et du personnel de la Direction des finances et d'autres divisions influant sur la conformité à la PCI. La portée de l'audit comprenait un examen des processus et mécanismes en place pendant les exercices 2011-2012 et 2012-2013 jusqu'à décembre 2012.

Approche et méthodologie

L'audit a été effectué suivant les Normes internationales pour la pratique professionnelle de l'audit interne (NIPPAI) de l'Institute of Internal Auditors (IIA - Institut des vérificateurs internes) et en conformité avec la Politique sur la vérification interne du CT. Le travail d'audit a consisté à examiner des documents, à mener des entrevues auprès de membres clés de la direction et du personnel de Statistique Canada, à passer en revue des procédures et processus liés aux contrôles internes et à vérifier l'éxécution d'un échantillon de mesures correctives. L'approche d'audit s'inspirait de la Politique sur le contrôle interne du CT et de l'outil diagnostic préliminaire à l'intention des ministères et organismes relativement à la Politique sur le contrôle interne de 2010, que le Bureau du contrôleur général a diffusé en juillet 2010.

Autorité

L'audit a été effectué dans le cadre du plan pluriannuel de vérification fondée sur les risques de Statistique Canada pour la période de 2012-2013 à 2016-2017, plan que le CMV a approuvé en avril 2012.

Constatations, recommandations et réponses de la direction

Objectif : Caractère adéquat des activités appuyant le cadre en place aux fins de l'évaluation annuelle fondée sur les risques que la Direction des finances fait de l'efficacité du système de contrôle interne en matière de rapports financiers, à l'appui de la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers.

Cadre appuyant l'évaluation de l'efficacité du CIRF

Statistique Canada a satisfait aux exigences liées à la mise en œuvre d'un cadre appuyant la Politique sur le contrôle interne (PCI). La charte de projet et le processus global d'évaluation de l'efficacité du CIRF de Statistique Canada intègrent toutes les composantes principales de la trousse de diagnostic élaborée par le Bureau du contrôleur général.

Statistique Canada a élaboré un document de stratégie clé intitulé « Stratégie proposée pour répondre aux exigences de la Politique sur le contrôle interne (mars 2010) », qui fonde l'approche suivie par l'organisme pour mettre en œuvre la PCI. Ce document comprend l'ensemble des principaux éléments recommandés dans la trousse de diagnostic. Ces deux dernières années, Finances a ajusté certains éléments de gouvernance de son cadre pour l'évaluation du CIRF; cependant, on n'a pas revu ni actualisé le plan stratégique de Statistique Canada pour la conformité à la PCI en vue d'en maintenir la pertinence opérationnelle depuis sa première mouture.

Pour répondre aux exigences des politiques, il est nécessaire de fournir une assurance continue concernant tout le régime de CIRT. Finances a mené toutes les activités liées aux TEF selon le calendrier de tests établi pour sa stratégie relative à la PCI¸ sauf pour les processus et systèmes dont la modification est prévue ou en cours. Les contrôles compensatoires n'ont pas été testés par Finances pendant les périodes de transition.

Le processus d'évaluation de l'efficacité du CIRF commence aux premiers stades de la planification, ce qui va de la décomposition des états financiers à la détermination des risques clés et des contrôles clés en passant par les exigences en matière de documents pour appuyer des évaluations adéquates, les tests de conception et d'efficacité de fonctionnement, l'exécution des mesures correctives et les activités permanentes de surveillance au moyen de tests fondés sur les risques réalisés périodiquement. Ce processus vise à permettre aux ministères de mieux comprendre leur état de préparation à l'audit et leur niveau de conformité à la PCI.

Charte de projet

Selon la méthode décrite dans la trousse de diagnostic du BCG, les activités, échéanciers et ressources nécessaires à la réalisation des objectifs de conformité à la PCI devraient être documentés, et des ressources suffisantes devraient être affectées aux efforts de conformité à la PCI. Les responsabilités afférentes à la mise en œuvre du CIRF devraient être clairement définies et assignées. Dans le cadre de ce processus, l'organisme devrait avoir dressé un plan pour procéder à l'évaluation de l'efficacité du CIRF que requiert la PCI. Ce plan documenté devrait préciser la portée, l'échéancier, les jalons, les coûts/capacités et les étapes à franchir pour évaluer l'efficacité du CIRF. Pour le traitement des cas relatifs aux valeurs et à l'éthique, il devrait y avoir un mécanisme indépendant de surveillance permettant le signalement anonyme d'irrégularités soupçonnées.

Statistique Canada a élaboré deux documents clés de stratégie d'orientation à la PCI. Le premier s'intitule « Stratégie proposée pour répondre aux exigences de la Politique sur le contrôle interne (mars 2010) » et le second, « Stratégie proposée pour répondre aux exigences de la Politique sur le contrôle interne – CGTI (janvier 2012) », ce dernier document traitant plus particulièrement des contrôles généraux de la technologie de l'information. Ces deux documents de stratégie fondent l'approche suivie par l'organisme pour mettre en œuvre la PCI et comprennent tous les éléments principaux recommandés dans la trousse de diagnostic, à l'exception des coûts et des capacités, ces dimensions étant abordées dans le plan de travail dressé chaque année pour donner suite aux documents de stratégie sur le CIRF et les CGTI.

Les responsabilités relatives à la conformité à la PCI sont clairement définies et assignées dans le document de mars 2010 sur la Stratégie proposée pour satisfaire aux exigences de la Politique sur le contrôle interne. Ce document de stratégie identifie quatre intervenants au sein de l'organisme qui ont d'importants rôles et responsabilités, soit le SC, le DPF, le CMV et la Division des opérations et des systèmes de gestion financière (aujourd'hui la DSFA). Les rôles et responsabilités décrits correspondent à ceux de la PCI. En outre, l'annexe à la Déclaration de responsabilité de la direction englobant le CIRF décrit les rôles des trois comités qui participent à la surveillance du programme de conformité à la PCI :

  • Le CMV est un comité consultatif qui présente des points de vue objectifs sur les cadres de gestion des risques, de contrôle et de gouvernance de l'organisme.
  • Le Comité de la planification intégrée (CPI) est présidé par le SC et est le plus haut comité directeur de l'organisme, fournissant des orientations stratégiques générales. Il sert d'organe décisionnel pour toutes les décisions liées à la gestion globale de l'organisme, notamment les décisions touchant la planification stratégique globale, l'affectation de ressources, la gestion financière, la gestion des ressources humaines, les communications et la diffusion d'information,  l'évaluation de programme et la GI-TI.
  • Le Comité des pratiques administratives (CPA) supervise l'élaboration, la mise en œuvre et l'application des pratiques administratives, de gestion financière, de gestion des risques et d'évaluation.

Statistique Canada dispose aussi d'un mécanisme indépendant de surveillance qui permet le signalement anonyme d'irrégularités soupçonnées. Si des employés entendent parler ou sont témoins de ce qu'ils pourraient soupçonner être un comportement impropre ou une irrégularité, ils peuvent faire part de leurs préoccupations à cet égard au moyen du cadre de valeurs et d'éthique établi à Statistique Canada.

La charte de projet de l'organisme cadre avec la PCI et suit l'approche décrite dans la trousse de diagnostic du BCG.

Gestion des risques

La direction devrait avoir instauré des pratiques adéquates de gestion des risques afin de prendre en considération et d'atténuer les risques liés à la mise en œuvre du CIRF et parvenir à la conformité à la PCI. La mise en œuvre et le maintien d'un cadre pour la PCI comportent des risques inhérents qui peuvent faire obstacle à l'atteinte d'une conformité à la Politique.

Il est ressorti des entrevues que la conformité à la PCI repose sur quatre grands facteurs : 1) les services fournis par un consultant externe; 2) le personnel de Finances affecté aux activités liées à la PCI; 3) la collaboration des propriétaires de processus opérationnels à la documentation des processus, à la détermination des contrôles clés et à la mise en œuvre de mesures correctives lorsque des faiblesses sont repérées dans les contrôles; 4) le soutien de la haute direction à l'échelle de l'organisme.

Les risques liés à la mise en œuvre du CIRF ont été pris en compte et atténués à Finances. La DSFA a défini un certain nombre de stratégies d'atténuation à court et à long terme en vue de gérer les risques associés à ces facteurs de dépendance, notamment les suivantes :

  • retenir par contrat des services professionnels pour l'obtention de ressources qu'on affecte à la réalisation du plan de travail pour la PCI;
  • des activités de surveillance pour s'assurer de la qualité du travail effectué par les consultants;
  • l'accès à un bassin d'employés permutants de Finances pouvant se pencher sur les besoins actuels et futurs en ressources de connaissance aux fins des activités liées à la PCI;
  • des lettres officielles de confirmation de responsabilité à l'égard de la mise œuvre de la PCI signées par les SCA de chaque secteur;
  • des présentations aux membres de la haute direction à l'échelle de l'organisme pour leur expliquer les exigences de la politique ainsi que leurs responsabilités et rôles respectifs.

Depuis sa première année d'activité, la Direction des Finances surveille l'efficacité des stratégies d'atténuation en place et est en train d'élaborer d'autres stratégies pour accroître le degré de collaboration des propriétaires de processus opérationnels. Ainsi, la DSFA a repéré certaines difficultés en ce qui concerne les activités de suivi et envisage actuellement de mettre sur pied un comité directeur auquel siégeraient des intervenants clés aux niveaux du directeur et du directeur général (DG), afin d'accroître le soutien et l'engagement de la direction à l'égard de la conformité à la PCI dans l'ensemble de l'organisme. Cette nouvelle initiative devrait être mise en œuvre en 2013.

Finances suit une approche adéquate pour gérer les risques inhérents associés à la mise en œuvre d'un cadre pour l'évaluation annuelle fondée sur les risques de l'efficacité du système de CIRF.

Planification et définition de la portée

Avec l'évolution du processus d'évaluation du CIRF à Statistique Canada, lequel est passé d'un projet initial de mise en œuvre à un processus permanent, il faudrait que le DPF et le SC réexaminent périodiquement et valident la pertinence continue du plan stratégique pour la conformité à la PCI et du plan de travail. Comme l'exige la PCI, le CMV devrait être consulté au sujet des plans d'évaluation fondée sur les risques aux fins de l'évaluation annuelle de l'efficacité du système de contrôle interne de l'organisation.

Statistique Canada a en place des mécanismes de planification et de définition de la portée de sa stratégie relative à la conformité à la PCI afin de s'attaquer aux problèmes d'importance et d'assurer une amélioration continue. Les deux documents de stratégie relatifs à la PCI décrivent l'approche à suivre pour tester le CIRF, les rôles et responsabilités, les obligations redditionnelles, les étapes suivantes, un plan de travail comportant un calendrier défini ainsi que des évaluations de risques détaillées pour chaque processus opérationnel inclus dans la portée.

Dans l'élaboration des documents de stratégie et du plan de travail qui s'y rapporte, l'organisme a identifié les risques clés qui se posent à l'intégrité des états financiers, ainsi qu'aux importants comptes des états financiers, et a déterminé quels processus opérationnels sont considérés comme étant inclus dans la portée.

Les processus opérationnels que l'on considère comme inclus dans la portée sont les suivants :

  • clôture financière et rapports;
  • paie et avantages sociaux;
  • paie du recensement;
  • rémunération des intervieweurs;
  • revenus;
  • dépenses de fonctionnement;
  • immobilisations;
  • contrôles au niveau de l'entité, y compris la budgétisation et les prévisions;
  • contrôles informatiques généraux (CIG).

Pour chacun des processus opérationnels inclus dans la portée, l'organisme a précisé les unités opérationnelles d'importance, les systèmes et les contrôles au niveau de l'entité qui sont déclarés dans les états financiers. Les documents de planification précisent le secteur à tester, les risques inhérents, la justification des tests à effectuer sur les secteurs de risques inhérents, les objectifs de contrôle, l'ampleur des tests et la fréquence des tests.

En mars 2013, Statistique Canada aura terminé sa deuxième année d'évaluation du CIRF suivant la stratégie initiale de conformité à la PCI. La stratégie oriente les décisions touchant la détermination des processus, des comptes des états financiers et des risques les plus pertinents à prendre en considération pour les tests à effectuer, de même qu'aux fins de l'affectation des ressources. Ces deux dernières années, Finances a ajusté certaines composantes de gouvernance de son cadre pour l'évaluation du CIRF; cependant, le plan stratégique de Statistique Canada pour la conformité à la PCI n'a pas été revu ni actualisé depuis son élaboration initiale en vue du maintien de sa pertinence opérationnelle. En réexaminant périodiquement et en actualisant l'environnement de stratégies et de risques, on s'assurera de la pertinence durable d'une stratégie tenant compte de l'environnement opérationnel de l'organisme.

Au terme de chaque exercice, le SC et le DPF sont responsables de signer la Déclaration. Par conséquent, une fois que la stratégie de tests aura été mise à jour, en la soumettant officiellement à la validation du SC et du DPF, on s'assurerait qu'ils aient l'occasion de l'examiner et de commenter les plans proposés. La teneur de la stratégie et la Déclaration ont été présentées au DPF, à la haute direction et au CMV en mars 2012, mais le document sur la stratégie de tests n'a pas été présenté dans son intégralité, de sorte que l'on ne peut effectuer de comparaisons entre les tests qui ont déjà été effectués et les tests que l'on prévoit de faire. La signature de la Déclaration annuelle exige de confirmer la conduite d'une évaluation annuelle fondée sur les risques du CIRF, en précisant tout écart par rapport à la stratégie relative à la PCI.

Documentation des processus opérationnels inclus dans la portée

Un processus adéquat devrait être en place pour documenter les processus opérationnels inclus dans la portée et déterminer les contrôles au niveau des processus qui atténuent les risques qui se posent à l'intégrité des états financiers. Des descriptifs et graphiques de processus opérationnels sont utilisés pour définir les contrôles clés et faire des mises en correspondance entre ces contrôles et les risques qui se posent pour les états financiers. Les documents tenus pour les processus opérationnels inclus dans la portée devraient être constamment mis à jour pour tenir compte, dans les processus et/ou les systèmes, des changements significatifs ayant une incidence sur le CIRF.

Statistique Canada a achevé sa ronde initiale de tenue de documents pour chaque processus opérationnel inclus dans la portée. En prenant connaissance des documents tenus pour quatre processus opérationnels inclus dans la portée (Paie, Clôture et rapports financiers, Revenus et CIG – Gestion du changement), l'équipe d'audit a constaté que l'organisme suivait une approche normalisée en matière de documentation (descriptifs des processus) qui comprend une description du processus et de ses sous-processus, des systèmes connexes et des contrôles clés ainsi que l'identification des propriétaires de processus responsables de chaque processus opérationnel inclus dans la portée. Les principaux points de contrôle et responsabilités afférentes ont été précisés dans les descriptifs ou directement dans les matrices de tests, avec mise en correspondance avec les risques clés. Pour trois des quatre processus inclus dans la portée qui ont été examinés, les descriptifs ont été rédigés sous forme standard. Quant au processus des CIG – Gestion du changement, il a été documenté au moyen d'un graphique, ses sous-processus ayant été documentés dans les matrices de tests. C'est là une solution de rechange acceptable aux descriptifs de processus.

Les propriétaires de processus conçoivent leurs propres descriptifs, lesquels sont ensuite validés par l'équipe PCI. La documentation des processus devrait être constamment actualisée, et donc, périodiquement validée auprès des propriétaires de processus pour s'assurer que les documents restent à jour. Par cette pratique, on s'assure que Statistique Canada puisse travailler avec des processus exacts et à jour lorsqu'il détermine et surveille les contrôleurs clés et les facteurs de risques et lorsqu'il détermine les aspects du CIRF à tester. Actuellement, on compte sur les propriétaires de processus pour communiquer à l'équipe PCI les changements qu'ils apportent à leurs processus, et un important suivi est nécessaire, car les propriétaires de processus opérationnels ne communiquent pas systématiquement à l'équipe PCI leurs changements. Il est indispensable de disposer d'une information exacte et à jour pour les décisions concernant l'approche et la méthodologie des tests.

Tests de conception (TC) des contrôles clés

Évaluer la  conception des contrôles clés implique la définition des contrôles clés, avec leur correspondance aux risques clés, et de tester leur conception. On effectue des TC pour vérifier que les contrôles clés existants sont utilisés de la façon décrite dans les descriptifs de processus.

Statistique Canada a précisé les contrôles clés afférents aux processus opérationnels inclus dans la portée, les a mis en correspondance avec les risques qu'ils atténuent et a procédé à des TC. L'équipe d'audit a sélectionné, pour les examiner, trois sous-processus pour chacun des quatre processus opérationnels sélectionnés inclus dans la portée. L'audit a confirmé que chaque sous-processus avait un contrôle clé précisé et était mis en correspondance avec chaque contrôle clé. Lorsque des contrôles ont été jugés inefficaces à la suite de TC, les constatations/faiblesses ont été consignées dans une lettre de recommandation(s) (LR), et une réponse de la direction a été rédigée en vue de donner suite aux constatations particulières et de remédier aux faiblesses.

Tests d'efficacité du fonctionnement (TEF) des contrôles clés

Un processus devrait exister pour déterminer la mesure dans laquelle les contrôles clés, y compris les CGTI et les contrôles au niveau de l'entité, fonctionnent comme prévu sur une période donnée. Ce processus s'appelle un test d'efficacité du fonctionnement (TEF). La stratégie d'exécution des tests devrait être documentée et préciser les techniques d'échantillonnage, les emplacements, les dates et les contrôles d'applications de TI à tester.

Statistique Canada a élaboré et documenté sa stratégie d'exécution de TEF des contrôles clés. La stratégie de tests décrit la portée, l'approche, la méthodologie, la base de l'échantillonnage et la fréquence et énumère les contrôles d'applications à évaluer. Les deux documents de stratégie de Statistique Canada sur la PCI comportent des sections consacrées à l'approche suivie par l'organisme pour l'exécution des TEF. Dans chaque document, cette approche est décrite avec suffisamment de détails, précisant les renseignements clés, dont l'information liée aux risques, la mesure dans laquelle on se fie aux contrôles, une stratégie d'exécution des tests pour chaque processus opérationnel inclus dans la portée, un plan d'exécution des tests assorti d'un calendrier et la taille des échantillons. Les matrices de tests explicitent davantage encore les stratégies de tests et d'échantillonnage pour chaque contrôle clé attesté et, le cas échéant, précisent les divers emplacements où sont exécutés les tests.

À ce chapitre, l'organisme a satisfait aux exigences de la PCI. Les processus en place suivent l'approche recommandée dans la trousse de diagnostic.

Gestion des changements

La Politique sur le contrôle interne exige que soit fournie de façon continue une assurance quant au système de CIRF. Pour répondre à cette exigence, l'organisme doit suivre sa stratégie d'évaluation des contrôles clés pour les processus opérationnels inclus dans la portée, et ce, en respectant les échéanciers établis. La stratégie devrait inclure la prise en compte et le testage des situations dans lesquelles des changements sont prévus ou en cours dans les processus et systèmes. Les activités de tests devraient être adaptées à ces situations pour s'assurer d'une surveillance de l'efficacité des contrôles compensatoires pendant la réalisation des tests. Au cas où l'on choisirait de suspendre ou d'annuler des tests à effectuer sur un processus opérationnel inclus dans la portée, cette décision devrait être communiquée au SC et au DPF, car cela influe sur la capacité de l'organisme de surveiller continuellement l'efficacité de tout le système de CIRF, comme l'exige la PCI.

Les entrevues avec des membres de la direction et l'examen de documents ont révélé qu'il y avait un certain nombre de projets en cours qui impliquaient des changements significatifs aux processus et systèmes influant sur le CIRF. Certains projets étaient des initiatives de l'organisme, tandis que d'autres émanaient de tiers fournissant des services à l'organisme. Entre autres exemples de changements significatifs, mentionnons les suivants :

  • les processus opérationnels touchés par l'Examen et l'automatisation des processus administratifs (EAPA);
  • le transfert de technologies à Services partagés Canada (SPC);
  • les changements que Travaux publics et Services gouvernementaux Canada apporte au Système financier ministériel commun (SFMC) avec l'implantation d'un module sur les immobilisations;
  • les changements aux processus opérationnels résultant des lettres de recommandation(s) sur la correction des faiblesses dans les contrôles financiers clés (p. ex., le processus de gestion des changements dans les TI, le passage du système des RH de l'application GLOBAL au logiciel GALAXY).

Lorsque les changements apportés aux processus ou systèmes émanent de l'organisme, l'équipe PCI examine proactivement la conception des processus en développement pour s'assurer qu'ils incorporent des contrôles clés. Il est ressorti des entrevues que certains tests avaient été annulés pour 2012-2013 du fait qu'ils se rapportaient à des processus opérationnels touchés par l'EAPA.

Lorsque les changements opérés dans les processus aux systèmes sont l'initiative de tiers fournisseurs de services, l'équipe PCI surveille l'évolution de ces initiatives en participant à des réunions ou au moyen d'une communication continue avec les représentants désignés de Statistique Canada qui siègent à des comités directeurs.

Lorsque des changements d'importance à des processus ou systèmes sont planifiés ou en train d'être apportés par des tiers fournisseurs de services, la capacité de fournir une assurance durable concernant tout le système de CIRF doit être maintenue pour répondre aux exigences de la politique. En pareilles situations, la pratique courante consiste à suspendre, à reporter ou à annuler les tests. Par exemple, le processus opérationnel des immobilisations avait été testé pour la dernière fois en 2009 et était programmé pour la prochaine batterie de tests, au cours de l'exercice 2011-2012. En raison de changements qu'on prévoyait d'apporter au SFMC, les tests à effectuer sur les immobilisations ont été reportés à l'exercice 2014-2015. Lorsque des tests à effectuer sur un secteur sont annulés, l'équipe PCI ne confirme pas si le système de contrôle interne reste le même ni s'il demeure efficace. Si une assurance continue ne peut être fournie pour une période donnée, cette situation doit être clairement indiquée dans la Déclaration.

Pour le transfert de technologies à SPC, Finances et SPC entament des discussions pour déterminer la façon dont Statistique Canada obtiendra, de SPC, une assurance concernant le CIRF. Des ministères à l'échelle du gouvernement fédéral sont touchés par ce transfert de services à SPC, et l'on s'attend à ce que chaque ministère amorce des négociations avec SPC en vue d'obtenir le degré d'assurance jugé nécessaire par chaque ministère. Comme on pouvait s'y attendre, les échéanciers relatifs à l'inclusion d'une assurance concernant le CIRF touchant les processus opérationnels gérés par SPC n'avaient pas encore été établis.

À l'examen du plan d'action de suivi pour la conformité à la PCI, on a constaté que certains contrôles clés qui devaient être testés lors de la dernière batterie de tests n'avaient pas été testés. Des entrevues avec du personnel de Finances ont confirmé que les tests à effectuer sur certains contrôles clés avaient été reportés du fait que l'on prévoyait effectuer des changements dans les processus ou systèmes. Les contrôles compensatoires en place pendant les périodes de transition n'ont pas été testés. Le report ou l'annulation de tests à effectuer sur des contrôles clés peut avoir une incidence sur la capacité de l'organisme de surveiller de façon continue l'efficacité de tout le système de CIRF, comme l'exige la PCI.

Recommandations :

Il est recommandé que le statisticien en chef adjoint, Services intégrés et DPF s'assure de ce qui suit :

  • La stratégie pour la conformité à la PIC est régulièrement mise à jour et validée par le DPF et le SC.
  • Les contrôles compensatoires en place pendant une période de changements apportés à des processus ou systèmes sont pris en considération aux fins des tests, pour ce qui est de fournir une assurance continue sur le CIRF.

Réponse de la direction :

La direction souscrit aux recommandations formulées.

  • Le directeur, Division de la divulgation financière, s'assurera que la stratégie pour la conformité à la PCI soit mise à jour annuellement et validée par le DPF, le SC et le CMV.

    Livrables et échéancier : présentation annuelle de la stratégie pour la CPI au Comité des politiques et au CMV en mars-avril de chaque année.
  • Le directeur, Division de la divulgation financière, veillera à la prise en compte des contrôles compensatoires et à leur inclusion dans la stratégie de tests, au besoin, en fonction des risques.

    Livrables et échéancier : tests effectués sur les contrôles compensatoires comme le prévoit la stratégie de tests, au besoin.

Surveillance continue et rapports sur l'état du CIRF

Statistique Canada a établi des processus de surveillance et de production de rapports sur la conformité à la PCI. L'équipe PCI surveille le degré d'achèvement des plans d'action correctifs faisant suite à chaque cycle de TC et de TEF; cependant, dans certains cas, le moment où sont menées les activités de validation ne permet pas à l'équipe PCI de fournir une assurance durable concernant le CIRF. Les tests d'audit effectués sur les mesures correctives déjà apportées pour les plans d'action de deux processus opérationnels ont confirmé que les recommandations avaient été mises en œuvre.

En conformité avec la PCI, Statistique Canada a rempli sa première annexe à la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers pour l'exercice 2011-2012 et travaille actuellement à la préparation de sa deuxième déclaration pour l'exercice 2012-2013. La Déclaration suit la structure proposée dans la trousse de diagnostic du BCG; cependant, des secteurs nécessitant des mesures correctives pour atteindre l'état de préparation à l'audit et des secteurs pour lesquels l'assurance n'a pu être fournie pour une période donnée n'ont pas été explicitement déclarés.

Selon l'approche suggérée dans la trousse de diagnostic du BCG concernant la surveillance continue et les rapports sur l'état du CIRF et les progrès accomplis vers l'atteinte de l'état de préparation à l'audit, la direction a besoin de tenir compte de l'incidence potentielle que les faiblesses au niveau des contrôles peuvent avoir sur l'intégrité des états financiers et surveiller la mise en œuvre des correctifs requis pour remédier aux lacunes particulières dans les contrôles. Dans le cadre de ce processus, il faut remettre en temps opportun au DPF et à la haute direction des rapports sur la nature des résultats des évaluations, avec une attention portée aux plans d'action connexes. Aux moments opportuns, il faudrait solliciter les conseils du CMV en ce qui concerne les constatations et les réponses.

Les sections qui suivent présentent une évaluation des activités de surveillance et de production de rapports qui sont en place à Finances et qui découlent du premier cycle complet d'évaluation de l'efficacité des contrôles au moyen de tests, de mesures correctives et de communication de résultats au sein de l'organisme.

Progrès de la surveillance en vue de l'atteinte de l'état de préparation à l'audit

Une fois les TEF terminés, Finances reçoit les mesures correctives proposées des propriétaires concernés de processus opérationnels, et les correctifs que l'on n'a pas fini d'apporter sont marqués en vue d'un suivi. L'équipe PCI surveille le degré d'achèvement des plans d'action correctifs résultant de chaque cycle de TC et de TEF. Pour ce faire, le degré d'achèvement des mesures correctives est évalué par le propriétaire du processus opérationnel visé, puis communiqué à l'équipe PCI, qui l'inscrira dans le chiffrier du Plan d'action de suivi pour la conformité à la PCI.

Les plans d'action correctifs ont été examinés par l'équipe d'audit et des entrevues ont été menées auprès de propriétaires de processus opérationnels pour vérifier que les mesures correctives avaient bien été apportées et que les mises à jour du plan avaient été communiquées à l'équipe PCI de Finances. Lors de l'audit, on a constaté que les échéanciers de mise en œuvre des mesures correctives dépassaient parfois la date prévue des prochains tests, de sorte que l'on avait retardé les TEF de ces processus.

L'équipe d'audit a aussi sélectionné deux mesures correctives apportées dans les plans d'action des processus opérationnels des revenus et des CIG – Gestion des changements pour vérifier que des changements aux processus avaient bien été apportés. Un échantillon de 11 opérations de contrôle a été sélectionné pour chacun de ces deux processus opérationnels.

  • Le premier contrôle testé a été le processus d'approbation des rapprochements mensuels entre les encaissements dans le Système financier ministériel commun (SFMC) et le Système corporatif de gestion des ventes (SCGV), en utilisant le Système de gestion des informations non salariales (SGINS). Le résultat de notre test a confirmé que le contrôle recommandé avait été mis en œuvre dans le processus. L'achèvement de cette mesure corrective avait aussi été validé par l'équipe PCI lors de la dernière batterie de tests.
  • Le second contrôle testé a été le processus d'approbation des changements aux systèmes consignés dans le logiciel Team Foundation Server (TFS). Les résultats ont confirmé que le contrôle recommandé pour les demandes de modification avait été mis en œuvre dans le processus.

Une exécution rapide des mesures correctives est essentielle pour assurer le fonctionnement d'un système efficace de CIRF au sein de l'organisme. Dans les deux cas, les contrôles recommandés avaient été mis en œuvre et les mesures correctives avaient été exécutées.

L'approche actuellement suivie par l'équipe PCI pour valider l'état d'exécution des mesures correctives consiste à effectuer les tests pendant la prochaine batterie de tests prévue, laquelle figure dans le calendrier de tests de la stratégie, ce qui peut représenter un intervalle de trois ans entre deux batteries de tests. Ainsi, il peut ne pas être possible, pour l'équipe PCI, de fournir une assurance sur l'efficacité des changements opérés par le propriétaire d'un processus opérationnel, comme cela est exigé aux fins des rapports annuels.

Une validation rapide des mesures correctives exécutées permettra à l'équipe PCI de fournir une assurance continue concernant le CIRF.

Rapports sur l'état du CIRF et progression vers l'état de préparation à l'audit

Pour s'acquitter de leurs responsabilités prévues par la Politique, le SC et le DPF doivent absolument disposer d'une description claire de l'état général du contrôle interne à Statistique Canada, et les domaines nécessitant des mesures correctives doivent être portés à leur attention. Aux termes de la trousse de diagnostic,

« il faut remettre en temps opportun au DPF et à la haute direction des rapports sur la nature des résultats des évaluations, avec une attention portée aux plans d'action connexes. Aux moments opportuns, il faudrait solliciter les conseils du CMV en ce qui concerne les constatations et les réponses. »

L'équipe PCI est responsable de faire rapport à la haute direction et au CMV sur les résultats des tests effectués sur le CIRF et sur les progrès accomplis dans l'exécution des plans de tests et des mesures correctives. L'équipe PCI a fait plusieurs présentations au CMV, au CTI et au CPA pour son premier exercice de rapport sur la conformité à la PCI. L'information présentée était centrée sur les exigences de la Politique et renfermait des renseignements détaillés sur les résultats des tests.

En conformité avec la Politique, l'organisme a rempli sa première annexe à la Déclaration pour l'exercice 2011-2012 et travaille actuellement à la préparation de sa deuxième déclaration pour l'exercice 2012-2013. L'annexe, qui est jointe aux états financiers de l'organisme pour l'exercice se terminant le 31 mars 2012, reprend la structure suggérée dans la trousse de diagnostic du BCG. La section consacrée aux progrès de l'organisme renferme de l'information sur les éléments du calendrier de tests dont l'exécution est terminée.

L'intention de la Déclaration, telle que le précise la trousse de diagnostic, est

« de faire rapport au Comité ministériel de vérification, à la haute direction et aux organismes centraux sur l'état de la gestion du CIRF, de communiquer l'importance de l'amélioration continue des contrôles internes au sein de l'organisation, et de servir de source d'information pour les plans d'évaluation du CIRF des futurs exercices »

Pour atteindre cet objectif, l'information présentée dans l'annexe devrait aborder la nature du travail requis pour atteindre l'état de préparation à l'audit, relativement aux éléments de mesures correctives dont l'exécution n'est pas encore terminée. Ce processus permet aux décideurs de disposer de suffisamment d'information pour assurer une mise en œuvre rapide des mesures correctives.

À l'inverse, lorsqu'il n'a pas été possible de procéder aux tests du CIRF pendant des périodes de transition, l'annexe devrait clairement indiquer quels processus opérationnels inclus dans la portée ou périodes n'ont pas fait l'objet d'une évaluation. L'équipe d'audit a analysé l'information communiquée dans la première Déclaration de l'organisme, produite pour l'exercice 2011-2012. Cette Déclaration comprend une section traitant des prochaines étapes dans laquelle des renseignements généraux sur les processus et systèmes en transition sont fournis. Les décisions de reporter ou d'annuler des tests à effectuer sur le CIRF n'ont pas été clairement communiquées dans la Déclaration. Le DPF, le SC et le CMV se fient à l'information tirée de la Déclaration, car elle peut influer sur les décisions touchant les secteurs pour lesquels une assurance n'a pu être fournie pour une période donnée.

La Déclaration suit la structure proposée dans la trousse de diagnostic du BCG, mais des secteurs nécessitant des mesures correctives pour atteindre l'état de préparation à l'audit et des secteurs pour lesquels une assurance n'a pas été fournie pour une période donnée ne sont pas explicitement déclarés.

Recommandations :

Il est recommandé que le statisticien en chef adjoint, Services intégrés et DPF s'assure de ce qui suit :

  • Le processus de surveillance comprend une validation rapide de l'état d'exécution des mesures correctives déclarées par les propriétaires de processus opérationnels ainsi que des lignes directrices et protocoles formels pour communiquer les questions d'importance, comme un écart par rapport à la législation ou à la politique du CT concernant le CIRF.
  • L'annexe à la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers communique clairement les secteurs nécessitant des mesures correctives en vue d'atteindre l'état de préparation à l'audit, ainsi que les secteurs pour lesquels une assurance n'a pas été fournie pour une période donnée.

Réponse de la direction :

La direction souscrit aux recommandations formulées.

  • Un comité directeur de la conformité à la PCI a été mis sur pied avec pour membres les DG des Finances, des TI, des RH, de l'Approvisionnement et de la gestion des actifs et du Recensement. Le directeur, Division de la divulgation financière, veillera à ce que ce comité de gestion de base assume le leadership et la supervision de l'état d'exécution de toutes les mesures correctives déclarées et de la communication des questions d'importance.

    Livrables et échéancier: Des réunions régulières du Comité directeur de la conformité à la PCI et une validation rapide de l'état d'exécution des mesures correctives par un examen des preuves de mesures prises par les propriétaires de processus opérationnels et/ou des tests effectués pour attester que les contrôles ont été appliqués. Les réunions et les activités de validation seront trimestrielles ou se tiendront, au besoin, selon le degré d'avancement de l'exécution des mesures correctives, dans le respect des échéanciers de communication d'informations sur la conformité à la PCI. La première réunion du Comité directeur de la conformité à la PCI est prévue pour mai 2013.
  • Le directeur, Division de la divulgation financière, veillera à ce que l'état d'avancement de la stratégie relative au CIRF ainsi que tous les renseignements pertinents dans la description de l'état de préparation de l'organisation à l'audit soient clairement communiqués.

    Livrables et échéancier : Dans le cadre de l'annexe à la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers, qui est produite chaque année, dans le respect des échéanciers de communication de l'information sur la conformité à la PCI.

Annexes

Annexe A : Critères d'audit

Le tableau montre les résultats de annexe a : critères de vérification . Les données sont présentées selon secteur d'intérêt/contrôles de base/critères (titres de rangée) et sous-critères et instrument de politique, calculées selon 4.2.1 la surveillance active est manifeste. et modèle de contrôle de gestion de base (cgb) du bureau du contrôleur général unités de mesure (figurant comme en-tête de colonne).
Objectif/contrôles de base/critères Sous-critères Instrument de politique
1) Caractère adéquat des activités de soutien au cadre qui est en place aux fins de l'évaluation annuelle fondée sur les risques que la Direction des finances fait de l'efficacité du système de contrôle interne en matière de rapports financiers, à l'appui de la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers.
1.1 Surveillance de la conformité à la PCI

La direction a des processus de surveillance et des pratiques de gestion du risque adéquats pour ce qui est des progrès de l'organisation dans la mise en œuvre de sa stratégie pour la conformité à la PCI.
1.1.1 Les progrès accomplis dans la mise en œuvre de la stratégie proposée pour répondre aux exigences de la PCI sont régulièrement évalués, et il est remédié rapidement à toute difficulté relevée.

1.1.2 Les responsabilités liées à la mise en œuvre du CIRF ont été clairement définies et assignées au sein de l'organisme.

1.1.3 La gouvernance de projet a été documentée pour surveiller l'exécution du programme relatif à la PCI.

1.1.4 Les risques liés à la mise en œuvre du CIRF ont été pris en compte, documentés et atténués.

1.1.5 La direction a un processus documenté de surveillance des activités de la stratégie pour la conformité à la PCI et du plan de travail connexe, lesquelles comprennent toute difficulté relevée, les mesures requises pour résoudre ces difficultés, l'identification des personnes qui seront chargées d'exécuter ces mesures et le calendrier d'exécution des mesures correctives.

1.1.6 Le processus de détermination des risques est rigoureux, et les événements de risque sont définis aux niveaux de l'entité et des activités, tout comme le processus utilisé pour définir la portée, planifier et exécuter le régime de conformité à la PCI.
Politique sur le contrôle interne (PCI)

Outil diagnostic préliminaire à l'intention des ministères et organismes, juillet 2010

Cadre de responsabilisation de gestion (CRG)
1.2 Processus global d'évaluation de l'efficacité du fonctionnement des contrôles internes en matière de rapports financiers (CIRF)

Les activités, calendriers et ressources nécessaires à la réalisation des objectifs de conformité à la PCI ont été documentés et intégrés dans le budget de l'organisme.
1.2.1 L'organisme a un plan de projet documenté qui précise la portée, le calendrier, les jalons, les coûts et la capacité ainsi que les diverses étapes à franchir pour évaluer l'efficacité du fonctionnement du CIRF, comme le recommande la trousse de diagnostic. Politique sur le contrôle interne (PCI)

Outil diagnostic préliminaire à l'intention des ministères et organismes, juillet 2010
1.3 Planification et définition de la portée

L'organisme dispose d'un processus adéquat de planification et de définition de la portée de sa stratégie pour assurer la conformité à la PCI.
1.3.1 Un plan assorti d'échéanciers existe pour résoudre les questions d'importance et assurer l'amélioration continue.

1.3.2 L'organisme a défini les risques clés qui se posent à l'intégrité des états financiers et a précisé les comptes d'importance des états financiers.

1.3.3 L'organisme a précisé les unités opérationnelles, les systèmes, les processus opérationnels et les contrôles au niveau de l'entité principaux qui sont liés aux comptes d'importance qui sont déclarés dans les états financiers.

1.3.4 L'organisme a documenté sa planification et sa définition de portée pour le CIRF.

1.3.5 Le plan d'évaluation a été validé par la haute direction, le DPF et le SC.

1.3.6 On revoit de temps à autre le plan stratégique relatif à la conformité à la PCI et la progression du plan de travail pour en maintenir la pertinence.
Politique sur le contrôle interne (PCI)

Outil diagnostic préliminaire à l'intention des ministères et organismes, juillet 2010
1.4 Documentation

L'organisme a en place un processus adéquat de documentation des processus opérationnels et de détermination des risques au niveau des processus qui ont une incidence sur l'intégrité des états financiers.
1.4.1 L'organisme a documenté le processus opérationnel pour chaque processus inclus dans la portée.

1.4.2 L'organisme a suivi une approche normalisée pour documenter les processus opérationnels.

1.4.3 La documentation précise les points et responsabilités relatifs aux contrôles clés.

1.4.4 L'organisme a défini les risques en matière de rapports qui se posent aux états financiers pour chaque processus opérationnel inclus dans la portée, puis a documenté et classé ces risques par ordre de priorité.

1.4.5 Les processus documentés ont été validés par les propriétaires de processus pour attester de l'exactitude de la documentation et des contrôles.

1.4.6 L'identification des risques clés a été validée par la haute direction.
Politique sur le contrôle interne (PCI)

Outil diagnostic préliminaire à l'intention des ministères et organismes, juillet 2010
1.5 Test de conception (TC)

L'organisme a en place un processus adéquat de détermination des contrôles clés à tous les niveaux et les met en correspondance avec les risques clés pour l'intégrité des états financiers.
1.5.1 L'organisme a précisé les contrôles clés.

1.5.2 L'organisme a établi la correspondance entre les risques et les contrôles clés qui sont en place pour atténuer les risques.

1.5.3 L'organisme a procédé à un test de conception en suivant une approche étape par étape pour les contrôles clés.

1.5.4 Les résultats du test de conception ont été communiqués aux niveaux appropriés de la haute direction et au CMV.

1.5.5 Les éléments significatifs déterminés des plans correctifs ont été précisés et exécutés.

1.5.6 La direction intervient rapidement et de façon appropriée en cas d'écarts par rapport aux politiques approuvées ou aux procédures ou en cas d'infraction aux codes de conduite. Les mesures disciplinaires prises en cas d'infraction sont communiquées à l'échelle de l'organisation.
Politique sur le contrôle interne (PCI)

Outil diagnostic préliminaire à l'intention des ministères et organismes, juillet 2010
1.6 Test d'efficacité du fonctionnement (TEF)

L'organisme dispose d'un processus adéquat pour déterminer la mesure dans laquelle les contrôles clés, y compris les contrôles généraux de la TI (CGTI) et les contrôles au niveau de l'entité, ont fonctionné comme prévu au cours d'une période donnée.
1.6.1 L'organisme a élaboré et documenté sa stratégie de tests, précisant les techniques d'échantillonnage, les emplacements, les dates des tests et les contrôles d'applications TI, aux fins de l'exécution du TEF de ces contrôles clés.

1.6.2 L'organisme a procédé à un TEF de tous les contrôles clés, y compris les CGTI et les contrôles au niveau de l'entité, pour tous les processus opérationnels inclus dans la portée.

1.6.3 Un rapport sur les résultats de ce test et le plan d'action qui s'y rapporte a été rédigé et communiqué à la haute direction et au CMV.

1.6.4 Le ministère surveille ou a la capacité de surveiller le degré d'exécution des mesures correctives qui peuvent être requises pour remédier à toutes faiblesses relevées lors des tests

1.6.5 Les mesures correctives sont exécutées.
Politique sur le contrôle interne (PCI)

Outil diagnostic préliminaire à l'intention des ministères et organismes, juillet 2010
1.7 Rapports

L'organisme a en place un processus adéquat de communication des résultats de l'évaluation de l'efficacité du fonctionnement du CIRF et des plans d'action qui s'y rapportent, et il existe des voies officielles de communication pour le signalement d'irrégularités soupçonnées.
1.7.1 L'organisme a mis sur pied un groupe central qui se penche sur la gestion du CIRF de l'organisme au moyen de la surveillance des processus d'évaluation de l'organisme, ainsi que des résultats et plans d'action à l'appui du DPF et du SC, et qui saisi les résultats de tous les tests effectués et fait rapport à cet égard.

1.7.2 L'apport du CMV a été sollicité au sujet des plans d'évaluation fondée sur les risques et des résultats de l'évaluation annuelle de l'efficacité du fonctionnement du système de contrôle interne de l'organisme.

1.7.3 L'organisme a en place un processus de mise à jour de la documentation des processus, procède à des tests sur une base continue (TC et TEF) et communique régulièrement les résultats des tests.

1.7.4 L'organisme surveille l'exécution des mesures correctives liées aux contrôles dans le cadre de son plan d'action officiel approuvé.

1.7.5 L'organisme a produit son sommaire à annexer à sa Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers.

1.7.6 L'organisme a en place un mécanisme indépendant de surveillance pour traiter les cas concernant l'éthique et les valeurs et permettre le signalement anonyme d'irrégularités soupçonnées.
Politique sur le contrôle interne (PCI)

Outil diagnostic préliminaire à l'intention des ministères et organismes, juillet 2010
1.8 Gestion des changements

L'organisation a en place un processus de détermination des possibilités/exigences de changement à l'égard de son cadre pour la conformité à la PCI.
1.8.1 Une stratégie pour la prise en compte et les tests à effectuer est en place lorsque des changements à apporter aux processus et systèmes sont planifiés ou en cours.

1.8.2 Du travail supplémentaire est accompli pour s'assurer que les contrôles compensatoires fonctionnent pendant ce temps.

1.8.3 Lorsque la déclaration d'un contrôle interne ou les tests à effectuer sur ce contrôle interne ne sont pas possibles pendant une période de transition, la Déclaration indique clairement quels secteurs ou périodes n'ont pas été couverts.

1.8.4 Les résultats des tests sont communiqués lorsqu'un contrôle ne fonctionne pas.
Cadre de responsabilisation de gestion (CRG)

Politique sur le contrôle interne (PCI)

Outil diagnostic préliminaire à l'intention des ministères et organismes, juillet 2010

Annexe B : Acronymes

Annexe B : Acronymes
Acronyme Description
CIRF Contrôle(s) interne(s) en matière de rapports financiers
CT Conseil du Trésor
PCI Politique sur le contrôle interne
LGFP Loi sur la gestion des finances publiques
CGTI Contrôles généraux de la technologie de l'information
SC Statisticien en chef
CMV Comité ministériel de vérification
IIA Institute of Internal Auditors (Institut des auditeurs internes)
DPF Dirigeant principal des finances
CRG Cadre de responsabilisation de gestion
BCG Bureau du contrôleur général
ADPF Adjoint au dirigeant principal des finances
CPA Comité des pratiques administratives
CPI Comité de la planification intégrée
LR Lettre(s) de recommandation(s)
SFMC Système financier ministériel commun
SCA Statisticien(s) en chef adjoint(s)
DPV Dirigeant principal de la vérification
TEF Test(s) d'efficacité du fonctionnement (des contrôles)
TC Test(s) de conception (et de mise en œuvre des contrôles)
CIG Contrôles informatiques généraux
TI Technologie(s) de l'information
DG Directeur général
DOSGF Division des opérations et des systèmes de gestion financière
EAPA Examen et automatisation des processus administratifs
SCGV Système corporatif de gestion des ventes
SGINS Système de gestion des informations non salariales
TFS Team Foundation Server (logiciel)
SPC Services partagés Canada

Footnotes

Footnote 1

Les contrôles généraux de la technologie de l'information sont considérés comme faisant partie du régime du contrôle interne en matière de rapports financiers. Dans la suite du présent rapport, lorsque le ou les CIRF seront mentionnés, cela comprendra les CGTI.

Return to footnote 1 referrer