Rapport d’audit interne

Audit des contrôles internes en matière de rapports financiers

Projet 6B276
Date : le 17 juin 2016


TABLE DES MATIÈRES

1.0 SOMMAIRE

La Politique sur le contrôle interne (PCI) du Conseil du Trésor, entrée en vigueur le 1er avril 2009, exigeait que les ministères mettent en place un système efficace de contrôles internes en matière de rapports financiers (CIRF).

Afin de pouvoir satisfaire à cette exigence, le ministère des Pêches et des Océans (le Ministère) a entrepris d’atténuer les risques liés aux CIRF et de s’assurer qu’un système de contrôles internes efficace fondé sur les risques soit en place, et a notamment établi une unité des contrôles internes (unité des CI) en 2011-2012. L’unité des CI a depuis fait l’objet d'une analyse de l’efficacité de la conception et de l’efficacité opérationnelle des segments de travail de CIRF et se trouve maintenant à la phase de surveillance continue.

L’objectif de l’audit était de fournir une assurance additionnelle à l’administrateur général qu’un cadre de contrôle de la gestion, un processus de contrôles internes et des activités connexes convenables étaient en place pour assurer que le processus des CIRF fonctionne de la manière attendue et qu'il est conforme aux politiques pertinentes.

La portée de l’audit était fondée sur les risques et axée sur la conception du cadre des CIRF; par conséquent, elle n’a pas évalué l’efficacité opérationnelle des activités de contrôle. L’analyse de l’efficacité opérationnelle détermine si un système de contrôle fonctionne comme prévu, par l’essai des contrôles, alors que l’analyse de la conception examine le cadre global en place et la conception des activités de contrôle.

Compte tenu des constats de l’audit, nous pouvons conclure qu'un cadre de contrôle de la gestion, un processus de contrôles internes et des activités connexes convenables sont en place. De plus, la gouvernance, la gestion des risques et les contrôles liés aux CIRF conviennent dans l'ensemble au degré de maturité que le Ministère a atteint dans le cycle de CIRF, et le processus de CIRF est conforme aux politiques applicables. Toutefois, l’audit a également noté des améliorations possibles : réviser la façon dont les problèmes à risque moyen et faible sont traités, s’assurer que les décisions clés prises dans le cadre des processus d’évaluation des risques sont consignées, et mener des examens périodiques des outils, des politiques, des procédures et des contrôles liés aux contrôles internes en matière de rapports financiers. Les améliorations recommandées sont les suivantes :

  • S’assurer que les résultats à moyen et à faible risque des évaluations menées dans le cadre des CIRF sont signalés au Secteur du dirigeant principal des finances(DPF) pour qu’on puisse prendre des décisions concernant l’acceptation ou l’atténuation des risques connexes et pour veiller à ce que des mesures opportunes soient prises relativement aux risques qu'il convient d'atténuer.
  • S’assurer que des renseignements supplémentaires liés aux processus d’évaluation des risques et aux décisions prises dans le cadre de ces processus sont consignés pour fournir des détails contextuels supplémentaires et pour la conservation du savoir de l’organisation.
  • S’assurer qu’une exigence et un processus documentés sont en place pour examiner périodiquement les activités de contrôle clés et les autres outils, politiques et procédures liés aux CIRF à mesure que le processus de CIRF évolue pour veiller à ce qu’il soit pertinent, suffisant et adapté aux risques, et qu’il représente les pratiques exemplaires actuelles.

Réponse de la direction

La direction a approuvé les constats de l’audit, a accepté les recommandations exposées dans le présent rapport et a élaboré un plan d’action de gestion visant à leur donner suite. Le plan a été intégré au présent rapport.

Approbations

Le rapport d’audit interne « Audit des contrôles internes en matière de rapports financiers » a été présenté au comité ministériel de vérification le 17 juin 2016. La rapport a été recommandé pour approbation par le comité ministériel de vérification et approuvé par la sous-ministre

2.0 CONTEXTE

La Politique sur le contrôle interne (PCI) du Conseil du Trésor, qui est entrée en vigueur le 1er avril 2009, vise à assurer que les risques sont correctement gérés par l’entremise de contrôles internes efficaces, y compris des contrôles internes en matière de rapports financiers.

Une composante clé de la PCI du CT était la responsabilité de la direction au regard du maintien d’un système de contrôles internes efficace dans le cadre du processus relatif aux états financiers. Plus précisément, en vue d’atténuer les risques liés aux rapports financiers, les administrateurs généraux doivent s’assurer que les contrôles internes sont examinés régulièrement et sont équilibrés et proportionnels aux risques qu’ils servent à atténuer. Pour démontrer que ces activités sont effectuées, et que les ressources publiques sont gérées adéquatement, la PCI du CT exige que l’administrateur général et le dirigeant principal des finances signent une fois l'an la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers et que le Ministère ait :

  • un système de contrôles internes efficace fondé sur les risques qui est adéquatement maintenu, suivi et évalué, et des mesures correctives qui sont prises en temps opportun lorsque des problèmes sont relevés;
  • un système efficace de contrôles internes en matière de rapports financiers (CIRF).

Pêches et Océans Canada (le Ministère) a entrepris des travaux pour atténuer les risques liés aux CIRF et pour s’assurer qu’un système de contrôles internes fondé sur les risques soit en place. La politique sur les CIRF et le Cadre de gestion financière du Ministère a été élaborés et mis en œuvre en 2011-2012. En même temps, on a établi une nouvelle unité des contrôles internes (unité des CI) avec le mandat suivant :

  • concevoir, élaborer et mettre en œuvre le cadre de contrôles internes, ainsi que les politiques, les procédures, les processus et les mécanismes connexes;
  • évaluer et examiner l’efficacité des contrôles internes et la conformité aux politiques, aux procédures et aux pratiques existantes;
  • produire la Déclaration de responsabilité de la direction annuelle englobant les contrôles internes en matière de rapports financiers;
  • faire participer la haute direction et le Comité ministériel de vérification aux évaluations et aux résultats connexes.

L’unité des CI a élaboré des stratégies et des processus de contrôles internes fondés sur les normes internationales du COSO (Committee of Sponsoring Organizations of the Treadway Commission). Le modèle COSO nécessite des renseignements convaincants qui appuient les conclusions concernant l’efficacité des contrôles internes de l'ensemble des cinq éléments du COSOFootnote 1.

Le cycle du CIRF est soumis à trois étapes d’évaluation pendant son élaboration : efficacité de la conception, efficacité opérationnelle et surveillance continue. L’analyse de l’efficacité de la conception consiste à s’assurer notamment que les contrôles clés sont relevés, consignés, en place et adaptés aux risques. L’analyse de l’efficacité opérationnelle signifie notamment que les contrôles clés sont examinés afin d’assurer qu’ils fonctionnent comme prévu et que toutes les mesures correctives ont été prises en considération. La surveillance continue est effectuée une fois que les analyses de l’efficacité opérationnelle sont terminées, et comprend des essais fondés sur les risques périodiques continus pour veiller à l’amélioration continue et à la correction opportune de tout problème.

Selon le plan de travail des CIRF pour 2015-2016, l’unité des CI a terminé les analyses de conception et d’efficacité opérationnelle de tous les éléments des CIRF. De plus, en 2014, l’unité des CI a évalué l’incidence de la mise à jour de 2013 du Cadre du COSO sur les contrôles au niveau de l’entité et a effectué une évaluation détaillée de la portée et des risques de tous les processus opérationnels principaux, des systèmes financiers clés, et des contrôles généraux de la technologie de l’information. À l’heure actuelle, l’unité des CI œuvre à la phase de surveillance continue du cycle des CIRF.

3.0 OBJECTIF DE L’AUDIT

L’objectif de l’audit était de fournir une assurance additionnelle à l’administrateur général qu’un cadre de contrôle de la gestion, un processus de contrôles internes et des activités connexes convenables étaient en place pour garantir que le processus des CIRF fonctionne de la manière attendue et qu'il est conforme aux politiques pertinentes.

4.0 PORTÉE DE L’AUDIT

La portée de l’audit était fondée sur les risques et axée sur la conception du cadre des CIRF; par conséquent, elle n’a pas évalué l’efficacité opérationnelle des activités de contrôle. L’analyse de l’efficacité opérationnelle détermine si un système de contrôle fonctionne comme prévu, par l’essai des contrôles, alors que l’analyse de la conception examine le cadre global en place et la conception des activités de contrôle.

Les critères d’audit ont été établis en fonction des normes du COSO. Ces normes ont été utilisées par le Ministère comme cadre de contrôle pour les stratégies et les processus de contrôles internes du Ministère.

5.0 APPROCHE DE L’AUDIT

L’équipe d’audit a exécuté son mandat conformément à la Politique sur la vérification interne et aux Normes relatives à la vérification interne au sein du gouvernement du Canada du Conseil du Trésor. Diverses techniques ont été employées dans le cadre de cet audit, dont une évaluation des risques de l’entité vérifiée, des entrevues, ainsi que des examens et des analyses de la documentation et de l’information.

6.0 RÉSULTATS DE LA VÉRIFICATION

La présente section énonce les observations et les recommandations qui proviennent de l’audit effectué. Bien que l’audit ait été mené selon les éléments d’enquête et les critères d’audit définis pendant la phase de planification, la structure de ce rapport suit les principaux thèmes ci-dessous :

  • Gouvernance (environnement de contrôle);
  • Gestion des risques;
  • Contrôle interne.

Pour les conclusions par critère d’audit, veuillez-vous reporter à l’annexe A.

Selon l’audit effectué et notre jugement professionnel, le risque associé à chaque observation a été noté à l’aide d’une échelle à trois points. Le classement des risques (élevé, modéré, faible) est fonction du niveau d’exposition au risque potentiel qui pourrait avoir, selon nous, des répercussions sur la réalisation des objectifs de Pêches et Océans Canada, et indique la priorité que la direction devrait accorder aux recommandations qui relèvent de cette observation. Les critères suivants ont servi à déterminer le niveau d’exposition au risque :

Classement des risques
Élevé Il n’y a pas de contrôles en place ou ils sont inadéquats.
La conformité aux lois et aux règlements est insuffisante.
On a cerné des enjeux importants qui pourraient avoir des effets négatifs sur la réalisation des objectifs du programme et des activités.
Modéré Il y a des contrôles en place, mais ils ne sont pas suffisamment respectés.
Il existe un manque de conformité avec les politiques des organismes centraux et des ministères, et avec les procédures établies.
On a cerné certains enjeux qui pourraient avoir des effets négatifs sur l’efficience et l’efficacité des activités.
Faible Il y a des contrôles en place, mais le niveau de conformité varie.
La conformité aux politiques des organismes centraux et des ministères, et aux procédures établies varie.
Les enjeux relevés sont moins importants, mais il existe des possibilités qui pourraient améliorer les activités.

6.1 GOUVERNANCE (ENVIRONNEMENT DE CONTRÔLE)

La gouvernance, ou l’environnement de contrôle, est désigné dans le cadre du COSO comme l’ensemble des normes, des processus et des structures qui constituent le fondement de l’exécution des contrôles internes dans toute l’organisation. Par conséquent, un système de gouvernance efficace est essentiel pour atteindre les buts et les objectifs de l’unité des CI.

Une composante clé d’un système de gouvernance solide consiste à avoir des rôles et des responsabilités qui sont clairement définis, consignés et compris. Pour les CIRF, cela veut notamment dire qu’il faut veiller à ce que ceux qui prennent part au processus comprennent leurs rôles, et qu’ils assument leurs responsabilités par rapport à l’établissement et au maintien des contrôles, et à la correction des lacunes connexes. De plus, une stratégie efficace liée aux ressources est essentielle pour s’assurer que des employés qualifiés sont en place et disponibles pour maintenir et surveiller les composantes clés du système des CIRF.


Observations
Observations
  Faible  

6.1.1 Les obligations de rendre compte, les rôles et les responsabilités pour les processus et les contrôles clés relevés dans le cadre des CIRF sont généralement consignés et définis. Toutefois, la responsabilité et les obligations de rendre compte pour le traitement des problèmes à risque moyen et faible relevés pendant les évaluations effectuées dans le cadre des CIRF n’assurent pas en ce moment une correction opportune de ces problèmes.

L’unité des CI a des stratégies liées aux ressources adéquates en place pour aider à perfectionner, à conserver et à remplacer les employés qualifiés.

Obligation de rendre compte, rôles et responsabilités
La PCI du Conseil du Trésor exige que le DPF et les cadres supérieurs du Ministère établissent et tiennent à jour un système de contrôles internes pour leurs secteurs de responsabilité, et au sein du système ministériel dans son ensemble. L’audit a démontré qu’en ce qui concerne ces échelons supérieurs, les rôles et les responsabilités en matière de CIRF sont bien définis, consignés et reconnus dans la politique de CIRF du Ministère, ainsi que dans les lignes directrices et procédures connexes. Plus précisément, tous les cadres supérieurs du Ministère doivent signer une attestation annuelle concernant les contrôles internes dans leurs secteurs.

De même, au niveau du processus, dans la plupart des cas, les contrôles clés sont attribués à des positions précises des matrices utilisées par l’unité des CI pour relever et mettre à l’essai les contrôles clés. Cela démontre que les rôles et les responsabilités sont consignés et définis, de façon générale. Toutefois, les entrevues et les évaluations concernant le suivi des problèmes de contrôle cernés par l’unité des CI ont révélé qu’il est souvent difficile d’obtenir une reconnaissance de responsabilité pour les problèmes à risque faible et moyen. De plus, il a été déterminé que contrairement aux problèmes de contrôle à risque élevé, qui sont régulièrement surveillés et signalés au Comité ministériel de vérification, les problèmes à risque moyen et faible ne sont pas régulièrement signalés à un titulaire de poste ou à un comité de gouvernance qui a l’autorité d’accepter le problème ou d’exiger la prise de mesures.

Sans décision consignée à savoir s’il faut accepter les risques faibles ou moyens liés aux problèmes de contrôle, ou s’il faut plutôt mettre en place un plan d’atténuation, il se peut que du temps et des efforts soient consacrés à l’atténuation de problèmes posant de faibles risques que le Ministère voudrait possiblement accepter, ou que des problèmes qui devraient être atténués selon le Ministère ne le soient pas. De plus, il est possible que des problèmes individuels à faible ou à moyen risque créent un risque global plus élevé lorsqu’ils sont combinés à un processus. S’assurer que ces problèmes sont signalés à un titulaire de poste ou à un comité de gouvernance dans le secteur du DPF en vue de la prise d’une décision pourrait aider à assurer que des mesures opportunes et appropriées sont prises au besoin.

Stratégie en matière de ressourcement
Une stratégie établie en matière de ressourcement est essentielle pour assurer que l’unité des CI, qui est responsable des contrôles internes en matière de rapports financiers, a des employés qualifiés à sa disposition pour mettre en place le système de gouvernance pour ces contrôles. L’audit a démontré que l’unité des CI a mis en place différents outils pour assurer qu’elle peut avoir accès à des ressources qualifiées au besoin. Ces outils, y compris deux bassins d’agents des finances, un mécanisme de passation des marchés, des occasions de formation et de perfectionnement, et l’utilisation de l’exercice de gestion des talents du Ministère, font partie d’une stratégie de ressourcement qui permet à l’unité des CI de satisfaire aux besoins en ressources à court et à long terme. De plus, pendant l’audit, l’unité des CI a démontré sa volonté d’utiliser ces outils en choisissant un candidat à partir des bassins d’agents financiers pour combler un besoin immédiat.

Recommandation
Recommandation Plan d'action de gestion
R-1. Il est recommandé que le DPF s’assure que les résultats à moyen et à faible risque des évaluations menées dans le cadre des CIRF sont signalés au Secteur du DPF pour qu’on puisse prendre des décisions concernant l’acceptation ou l’atténuation des risques connexes et pour veiller à ce que des mesures opportunes soient prises pour les risques à atténuer. Le secteur du DPF est d'accord avec la recommandation et, lors de l'achèvement d'examens de processus d'opération, fournira les résultats de l'examen au DPF, y compris les éléments du plan d'action en suspens découlant de l'examen.
Bureau de première responsabilité : Dirigeant principal des finances
Date d'échéance : Le 31 août 2016 et par la suite

6.2 GESTION DU RISQUE

Le risque, selon la définition du COSO, est la possibilité qu’un événement se produise et nuise à l’atteinte des objectifs. Dans le cas des CIRF, l’objectif consiste à s’assurer que les états financiers ne contiennent pas d’inexactitudes importantes. Afin d’atteindre cet objectif, l’unité des CI doit déterminer et analyser l’importance potentielle d’un risque de manière cohérente en faisant appel aux gestionnaires des secteurs évalués et en s'appuyant sur des documents et une interprétation professionnelle.

Au sein de l’unité des CI, dans le cadre du processus des CIRF, la gestion du risque s'effectue dans les domaines suivants :

  • l’évaluation des risques annuels liés aux processus opérationnels clés et systèmes de TI, y compris la fréquence de la mise à l'essai de ces systèmes et processus;
  • la sélection des tailles des échantillons pour les essais;
  • l’évaluation du niveau de risque et des coûts-avantages liés aux problèmes détectés à la suite des essais.
Observations
Observations
  Faible   6.2.1 Il existe un système de gestion du risque qui détermine l’importance potentielle d’un risque, fait appel à tous les niveaux de gestion concernés et prend en considération la façon dont le risque devrait être géré. Toutefois, l'absence de documentation en ce qui a trait au raisonnement, aux choix et au jugement professionnel exercé quant au processus de gestion des risques donne l’impression d’un manque d’uniformité et pourrait faire en sorte qu’il est difficile de conserver le savoir ministériel.

Système de gestion des risques
La PCI du CT exige que le sous-ministre et le DPF signent une Déclaration de responsabilité de la direction qui comprend une exigence de mener une évaluation annuelle fondée sur les risques du système de CIRF.

L’unité des CI du Ministère a élaboré un Cadre de surveillance continue des CIRF qui comprend une approche d’évaluation des risques annuelle pour appuyer sa surveillance de l’efficacité des CIRF. Plus précisément, l’unité des CI a déterminé des processus opérationnels et des systèmes de TI dont les risques sont classés en fonction de six critères (systèmes de TI) ou de huit critères (processus opérationnels). On attribue ensuite un niveau de risque global (élevé, moyen ou faible) à chaque processus opérationnel ou système de TI, lequel sert à élaborer un plan d’essai pluriannuel fondé sur le risque pour ces processus et ces systèmes.

D’après un examen des récentes évaluations des risques et des documents à l’appui fournis par l’unité des CI, l’audit a confirmé que le Ministère effectue une évaluation des risques annuelle qui attribue un niveau de risque, et que les stratégies de mise à l'essai définies dans le Cadre de surveillance continue de l’unité des CI ont été utilisées.

De plus, on a constaté que l’unité des CI propose un classement des risques pour tous les problèmes de contrôle relevés à la suite des essais effectués dans le cadre des CIRF. Cela permet aux responsables de processus ou de système d’établir l’ordre de priorité des mesures d’atténuation selon les répercussions que le problème pourrait avoir sur les rapports financiers.

Pendant l’examen du système d’évaluation des risques, on a remarqué que l’unité des CI n'avait que tout récemment terminé ses évaluations de l’efficacité opérationnelle; par conséquent, l’objectif jusqu’à maintenant consistait à relever les principales lacunes des contrôles et à s’assurer qu’elles étaient réglées. Maintenant que le Ministère entame la phase de surveillance continue, il peut envisager des options pour de l’orientation et des documents supplémentaires qui pourraient améliorer la compréhension et la conservation du savoir de l’organisation.

Par rapport au Cadre de surveillance continue, il a été établi qu’il pourrait être renforcé si on fournissait des directives supplémentaires concernant la façon de faire la distinction entre un effet « important » et un effet « modéré » sur les rapports financiers, si on définissait les documents sources qui pourraient être utilisés pour déterminer le classement des facteurs de risque, si on expliquait davantage le degré d’échantillonnage à utiliser, et si on exigeait que soit consignée la prise en considération des coûts-avantages des recommandations formulées pour combler les lacunes dans les contrôles mis à l'essai.

On a relevé une autre occasion d’améliorer la documentation en ce qui concerne le niveau de risque global attribué aux processus opérationnels et aux systèmes de TI. Plus précisément, selon une analyse comparative du classement des risques liés aux systèmes et aux processus, le niveau de risque global semble ne pas être appliqué de manière uniforme pour trois processus opérationnels et quatre systèmes de TI d’après l’information fournie et les niveaux de risque individuels attribués. Pendant une entrevue de suivi avec l’unité des CI, les incohérences perçues ont été expliquées par d’autres facteurs qui avaient été pris en considération pour l’établissement du niveau de risque global qui n’avaient pas été consignés. En s’assurant que ces autres facteurs sont consignés, l’unité des CI peut contribuer à assurer une uniformité continue et la conservation du savoir de l’organisation.

Participation des gestionnaires concernés par l’évaluation des risques
Les responsables des processus opérationnels sont responsables des contrôles de leurs processus et sont les mieux placés pour fournir des commentaires sur les changements au niveau des risques liés à ces processus. Par conséquent, leur participation à l’évaluation des risques est essentielle pour obtenir un classement exact des risques.

L’audit a démontré la participation des responsables des processus et des contrôles dans le cadre de l’évaluation des risques et a confirmé que l’unité des CI communique avec les responsables des processus et des contrôles pour obtenir leur opinion sur tout changement qui pourrait avoir une incidence sur l’évaluation annuelle des risques.

Recommandation
Recommandation Plan d'action de gestion
R-2. Il est recommandé qu’à mesure que le cycle des CIRF au Ministère évolue, que le DPF s’assure que les renseignements supplémentaires liés aux processus d’évaluation des risques, et les décisions prises dans le cadre de ces processus, soient consignés pour donner du contexte supplémentaire et conserver le savoir de l’organisation.

Le secteur du DPF est d'accord avec la recommandation et, dans la prochaine mise à jour du document-cadre de surveillance continue, fournira de l’information supplémentaire ainsi que les exigences par rapports aux preuves à l’appui pour l'évaluation des risques.

En outre, le secteur du DPF fournira une analyse du classement de risque global des processus d'opération avec une rational en commençant par l'évaluation annuelle des risques pour l’exercice financier 16/17.

Bureau de première responsabilité : Dirigeant principal des finances
Date d'échéance : Le 31 août 2016

6.3 CONTRÔLE INTERNE

Selon la PCI du Conseil du Trésor, les contrôles internes peuvent être définis comme étant les ressources, les systèmes, les processus, la culture, la structure et les tâches d’une organisation, qui, dans leur ensemble, soutiennent les gens quant à la gestion des risques en vue d’atteindre les objectifs de l’organisation.

Pour les CIRF, le système de contrôles internes comprend les contrôles de l’entité, les contrôles généraux des TI, les processus opérationnels, les objectifs de contrôle et les activités connexes liées à ces processus, ainsi que les outils, les politiques et les procédures que l’unité des CI a mis en place pour assurer que ses objectifs sont atteints.
Plus précisément, les activités et les objectifs de contrôle devraient être axés sur l’atténuation des risques à un niveau acceptable pour tous les risques relevés qui sont considérés comme inacceptables. De plus, les processus évalués devraient couvrir tous les énoncés des responsabilités financières d'importance, tandis qu’un examen régulier des outils, des politiques et des procédures des CIRF aiderait à assurer leur exhaustivité, leur pertinence et leur efficacité continues, ainsi que leur harmonisation avec les priorités et risques ministériels.

Observations
Observations
  Faible   6.3.1 Les processus opérationnels font l’objet d’une évaluation fondée sur les risques, mais il n’y a d’exigence consignée pour la vérification de la pertinence, de la suffisance et de l’efficacité du système de contrôles internes au sein des processus, ou des politiques, des procédures et des outils qui appuient le système. Les contrôles internes clés qui pourraient avoir une grande incidence sur les états financiers sont inclus dans le cadre des CIRF; toutefois, une attention constante et une évaluation de l'inventaire sont nécessaires.

Le processus des CIRF au Ministère en est encore à une étape précoce de son évolution; en effet, les analyses de l’efficacité opérationnelle de toutes activités exécutées dans le cadre des CIRF ont seulement été terminées en 2015-2016. Par conséquent, il a été déterminé qu’il serait trop tôt pour s’attendre à ce que l’unité des CI ait effectué un examen des activités et des objectifs de contrôle, ou des politiques, des procédures et des outils qui appuient le processus des CIRF.

L’audit a toutefois permis d’observer qu’il n’y a ni exigence ni processus consigné pour l’exécution d’un examen régulier des activités, des objectifs, des politiques, des procédures et des outils. Par conséquent, afin de déterminer si un tel examen permettrait de définir des améliorations à l’adaptation aux risques, à la pertinence, ainsi qu’à l’efficacité et à l'exhaustivité, l’équipe d’audit a mis à l’essai les activités de contrôle et les objectifs pour quatre processus opérationnels, ainsi que pour les politiques, les procédures et les outils qui appuient le processus des CIRF.

Activités de contrôle et objectifs
D’après les essais sur les activités de contrôle et les objectifs, il a été déterminé que même si la plupart des activités de contrôle sont conformes aux objectifs de contrôle connexes, il y a encore place à l'amélioration dans certains cas. De plus, pour l’un des processus opérationnels examinés, il n’était pas clair comment la majorité des activités de contrôle appuyaient les objectifs, ce qui indique qu’il pourrait être utile d’effectuer un examen plus exhaustif de ce processus. Une autre possibilité d’amélioration semblable consisterait à s’assurer que suffisamment d'activités de contrôle sont en place pour couvrir les objectifs.

Lorsqu’on a évalué si les objectifs et les activités de contrôle étaient adaptés aux risques, on a trouvé que le Ministère n’assigne pas, à l'heure actuelle, de niveau de risque aux objectifs ou aux activités liés aux processus opérationnels ou aux systèmes de TI. Au fur et à mesure que le processus des CIRF du Ministère évolue, la réalisation d’une évaluation des risques liés aux objectifs et aux activités de contrôle des processus opérationnels aiderait le Ministère à s’assurer que les essais sont davantage ciblés et fondés sur les risques. De plus, comme plusieurs processus opérationnels comportent plus de 40 activités de contrôle, le fait de déterminer les niveaux de risque associés à chaque activité pourrait grandement réduire la quantité d’essais nécessaires chaque année, ce qui permettrait d’économiser du temps et des efforts en garantissant que les domaines plus risqués sont évalués plus fréquemment, et les domaines moins à risque, moins fréquemment. L’unité des CI s'y adonne déjà dans une certaine mesure en établissant le processus de budgétisation et de prévision, qu’elle a scindé en deux processus distincts selon le risque; le Ministère a la possibilité de favoriser une plus grande efficacité et de procéder à des mises à l'essai fondées sur le risque en suivant cette approche au fur et à mesure que le processus des CIRF évolue.

Politiques, procédures et outils
En vue de déterminer s’il y aurait des occasions d’améliorer les outils, les politiques et les procédures des CIRF, un examen de ceux-ci a été effectué, ainsi qu’une comparaison avec les pratiques exemplaires.

L’audit a démontré que les matrices de contrôle étaient mises à jour lorsque des modifications importantes étaient apportées à un processus. Toutefois, dans certains cas, la matrice de contrôle était mise à jour sans qu'il en soit fait de même pour le plan du processus. De façon similaire, l’audit a révélé que le cadre des CIRF ne reflète pas toujours la pratique actuelle.

Il a également confirmé que l’évaluation des risques liés aux processus opérationnels pourrait être améliorée par l’ajout de facteurs supplémentaires à évaluer, comme le risque d’atteinte à la réputation, conformément aux meilleures pratiques.

Bien qu'on ne s'attend pas à ce qu’un examen complet des outils de CIRF ait déjà été effectué, il est important d’avoir une exigence consignée à l’égard de la réalisation d’un tel examen pour assurer l’exactitude et l’efficacité continue de l’évaluation des risques annuelle et des autres outils qui font partie du système de CIRF.

Couverture des processus des comptes importants
Le processus des CIRF au Ministère couvre huit processus opérationnels, les contrôles au niveau de l’entité et les contrôles généraux des TI. Afin d'assurer que ces processus couvrent les comptes qui pourraient entraîner des inexactitudes importantes aux énoncés financiers, des essais ont été exécutés pour associer les comptes aux différents processus. Par conséquent, on a trouvé que tous les comptes importants étaient abordés dans la matrice de contrôle pertinente, soit directement ou indirectement, à l’exception de l'inventaire.

L'inventaire a été évalué comme un processus distinct par le passé, et la dernière mise à jour sur l’état des CIRF fournie au Comité ministériel de vérification concernant l'inventaire indiquait que les cinq éléments de l'inventaire étaient inefficaces selon les analyses de l’efficacité de la conception. En raison de cela, et des travaux continus pour régler les problèmes connus de l'inventaire, l’unité des CI a déterminé que des évaluations supplémentaires des stocks en ce moment n’apporteraient rien de plus. Toutefois, les stocks ont été ajoutés au processus de clôture des états financiers et de production de rapports afin de couvrir les soldes de fin d’exercice.

Le Ministère travaille actuellement à évaluer les stocks par l’entremise d’une initiative à l’échelle du MPO menée par le secteur du DPF et la Garde côtière canadienne. L’unité des CI surveille activement les nouveautés dans ce secteur et devrait continuer cette surveillance pour veiller à ce que les problèmes relevés pendant les analyses de la conception soient réglés, et pour déterminer s’il est nécessaire d'exercer une surveillance supplémentaire à l’avenir.

Recommandation
Recommandation Plan d'action de gestion
R-3. Il est recommandé que le DPF s’assure qu’une exigence et un processus consignés sont en place pour examiner périodiquement les activités de contrôle clés et les autres outils, politiques et procédures liés aux CIRF à mesure que le processus CIRF évolue pour veiller à ce que ce dernier soit pertinent, suffisant et adapté aux risques, et qu’il représente les pratiques exemplaires actuelles. : Le secteur du DPF est d'accord avec la recommandation. Le secteur du DPF précisera, dans la prochaine mise à jour du document-cadre de surveillance continue, les exigences pour la revue périodique des outils, politiques et procédures de CIRF.
Bureau de première responsabilité : Dirigeant principal des finances
Date d'échéance : Le 31 août 2016

7.0 OPINION D’AUDIT

Compte tenu des constats de l’audit, nous pouvons conclure qu'un cadre de contrôle de la gestion, un processus de contrôles internes et des activités connexes convenables sont en place. De plus, la gouvernance, la gestion des risques et les contrôles liés aux CIRF conviennent dans l'ensemble au degré de maturité que le Ministère a atteint dans le cycle de CIRF, et le processus de CIRF est conforme aux politiques applicables. Toutefois, l’audit a également noté des améliorations possibles : réviser la façon dont les problèmes à risque moyen et faible sont traités, s’assurer que les décisions clés prises dans le cadre des processus d’évaluation des risques sont consignées, et mener des examens périodiques des outils, des politiques, des procédures et des contrôles liés aux contrôles internes en matière de rapports financiers.

8.0 ÉNONCÉ DE CONFORMITÉ

D’après mon jugement professionnel à titre de dirigeante principale de la vérification, les procédures d’audit suivies et les données probantes recueillies suffisent à confirmer l’exactitude des conclusions énoncées dans le présent rapport. L’étendue de l’examen a été planifiée de manière à fournir un niveau d’assurance raisonnable à l’égard des critères d’audit. Le présent avis repose sur une comparaison des conditions telles qu’elles existaient au moment de l’audit et des critères d’audit préétablis convenus avec la direction, et s’applique uniquement à l’entité vérifiée et à la portée décrite dans les présentes. Les données probantes ont été réunies conformément à la Politique et à la Directive du Conseil du Trésor sur la vérification interne. L’audit est conforme aux normes de vérification interne du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité. Les procédures utilisées respectent les normes professionnelles de l’Institut des vérificateurs internes. Les données probantes recueillies ont été suffisantes pour convaincre la haute direction du bien-fondé de l’opinion découlant de la vérification interne.

ANNEXE A – CRITÈRES D’AUDIT

À la lumière d'une combinaison d'éléments probants recueillis au moyen d'entrevues, d'examens de la documentation et d'analyses, chaque critère d’audit présenté ci-après a été évalué et a donné lieu à une conclusion qui repose sur les définitions suivantes :

Conclusion selon les critères d’audit
  Conclusion selon les critères d’audit Définition de l'opinion
1 Critères respectés – Bien contrôlés Bonne gestion, aucune faiblesse importante notée, les mesures de contrôle sont efficaces.
2 Critères respectés à quelques exceptions près. Des améliorations sont nécessaires; il existe un certain risque.
3 Critères non respectés – Répercussions importantes – Améliorations importantes Nécessite des améliorations considérables en ce qui a trait aux redressements financiers. Il existe un degré élevé de risque.

Voici les critères d’audit employés et des exemples clés d'éléments probants ou d'observations notées en fonction desquels l'équipe d’audit a tiré ses conclusions. Lorsque des améliorations notables ont été apportées ou des problèmes modérés ont été observés, on les a signalés dans le rapport de vérification.

annexe a
Critères d’audit Conclusion selon les critères d’audit Exemples d'éléments probants ou d'observations clés
Élément d’enquête 1 – Gouvernance (environnement de contrôle)
Critère 1.1 L’obligation de rendre compte, les rôles et les responsabilités des responsables de processus à l'égard des activités de contrôle sont clairement définis, communiqués et compris. 2 6.1.1
Critère 1.2 L’unité de contrôle interne utilise des stratégies adéquates en matière de ressources humaines pour attirer, perfectionner, conserver et remplacer les employés qualifiés. 1 6.1.1
Élément d’enquête 2 – Gestion du risque
Critère 2.1 Un système de gestion du risque efficace, qui favorise la participation des paliers concernés de la direction, est en place pour déterminer, analyser, gérer et estimer constamment l’importance potentielle du risque. 2 6.2.1
Élément d’enquête 3 – Système de contrôle interne et activités
Critère 3.1 Une évaluation fondée sur les risques du système des contrôles internes en matière de rapports financiers est effectuée pour déterminer son efficacité continue. 2 6.3.1
Critère 3.2 Les contrôles internes clés (tous les processus opérationnels, contrôles au niveau de l’entité et les contrôles généraux des technologies de l’information qui pourraient avoir une grande incidence sur les états financiers) sont inclus dans le cadre des CIRF. 1 6.3.1
Critère 3.3 L’unité des contrôles internes utilise des activités de contrôle qui sont basées sur les évaluations des risques actuelles pour garantir que les principaux risques sont atténués. 2 6.3.1
Élément d’enquête 4 – Surveillance
Critère 4.1 : Un processus ou un système est en place pour faire le suivi et la surveillance des progrès par rapport aux anomalies, pour veiller à ce qu’elles soient corrigées en temps opportun. 2 6.1.1

ANNEXE B – LISTES D’ACRONYMES

CIRF
Contrôles internes en matière de rapports financiers
COSO
Committee of Sponsoring Organizations of the Treadway Commission
CT
Conseil du Trésor
DPF
Dirigeant principal des finances (secteur)
Ministère
Pêches et Océans Canada
PCI
Politique sur le contrôle interne
TI
Technologie de l’information
Unité des CI
Unité des contrôles internes