Vérification des contrôles internes en matière de rapports financiers

Juillet 2016

Table des matières

  1. Sommaire
    1. Introduction
    2. Objectif et portée de l'audit
    3. Constations et conclusion
  2. Contexte
  3. Méthode de l'audit
  4. Structure du rapport
  5. Constatation de l'audit
    1. Évaluation du fonctionnement des contrôles internes
    2. Conclusion
    3. Recommandations
    4. Évaluation du fonctionnement des contrôles internes
    5. Conclusion
    6. Recommandations
    7. Surveillance continue
    8. Conclusion
    9. Recommandations
  6. Constatations et conclusion
  7. Énoncé de conformité
  8. Plan d'action de la gestion
  9. Annexe A
  10. Annexe B
  11. Annexe C
    1. Processus opérationnel de l'approvisionnement au paiement
    2. Processus opérationnel de gestion des paiements de transfert
    3. Paiement de transfert – Processus opérationnels des PEF
    4. Processus opérationnel de clôture des états financiers

Sommaire

Introduction

En 2009, le Secrétariat du Conseil du Trésor a introduit la Politique sur le contrôle interne (la « politique ») afin de renforcer la gestion des finances publiques, les contrôles internes et les rapports financiers. Dans le cadre de cette politique, le ministre doit veiller à la mise en place, au maintien et à la surveillance du système ministériel de contrôle interne. La direction d'Infrastructure Canada est responsable de l'intégrité et de l'objectivité des données présentées dans les états financiers du Ministère ainsi que de la tenue d'un système efficace de contrôle interne en matière de rapports financiers (CIRF). Le CIRF a été conçu pour donner une assurance raisonnable que l'information financière est fiable, que les actifs sont protégés et que les opérations sont autorisées et enregistrées adéquatement, conformément à la Loi sur la gestion des finances publiques et à d'autres lois, règlements, autorisations et politiques applicables.

Dans le cadre de la politique, les ministres doivent concevoir un cadre de contrôle et effectuer une autoévaluation annuelle du CIRF. Infrastructure Canada a conçu et mis en place un cadre de contrôle et un plan pluriannuel axé sur les risques (le « cadre de travail »). En 2014-2015, l'unité chargée de la politique et du contrôle interne (PCI) de la Direction générale des services ministériels a entrepris la première autoévaluation du CIRF. Cette autoévaluation a permis de déceler des lacunes dans les contrôles et à concevoir un plan d'atténuation, lequel est en cours de mise en œuvre.

Cet audit se concentre sur la conception du système de CIRF et les nouveaux essais des contrôles internes découlant de l'autoévaluation.

Objectif et portée de l'audit

L'audit visait à s'assurer qu'Infrastructure Canada avait conçu et tenu à jour un système efficace de contrôles internes en matière de rapports financiers, en ce qui concerne quatre processus opérationnels sélectionnés : les paiements de transfert; les paiements de transfert incluant les partenaires d'exécution fédéraux (PEF); le cycle de l'approvisionnement au paiement; et la clôture des états financiers.

Les essais des contrôles couvraient la période du 1er avril 2014 au 31 mars 2015.

L'audit ne fournit pas d'avis sur l'exactitude des équilibres signalés dans les états financiers qui ont été préparés par le Ministère.

Constations et conclusion

Le Ministère a conçu un système de CIRF qui comprend un cadre pour l'évaluation et la surveillance fondées sur les risques, comme l'exige la Politique sur le contrôle interne (PCI). Ceci dit, au cours de la première année d'essais, on a constaté que le cadre n'était pas suivi dans son intégralité par l'équipe chargée de la PCI et tous les contrôles ne fonctionnaient pas comme prévu, même si des contrôles étaient en place pour les processus opérationnels sélectionnés. D'après le dirigeant principal de la vérification et de l'évaluation (DPVE), la mise en œuvre d'un CIRF efficace pour les processus opérationnels sélectionnés progresse comme prévu; ces derniers devraient continuer à s'améliorer, à mesure que la politique de l'organisation fera ses preuves.  

En se basant sur l'étude d'Infrastructure Canada (INFC) dans le cadre d'un modèle de maturité opérationnelle, on s'attend à ce que certains contrôles ne fonctionnent pas comme prévu ou ne puissent pas être reproduits de façon suffisante au début de la mise en œuvre de la PCI. C'est, en effet, ce que nous avons observé. Certains processus de contrôle devront être conçus à nouveau, alors que l'application devra être plus uniforme pour d'autres afin de réduire les taux d'erreur à des niveaux acceptables. Il faut souligner que l'utilisation de la PCI nécessite une assurance raisonnable et non absolue de la part du CIRF

L'expérience a montré que la pleine conformité à la PCI est difficile et exige un engagement organisationnel à long terme. Par exemple, la vérification effectuée en juin 2011 par le Bureau du vérificateur général du Canada (BVG) de sept grands ministères lors de la première vague de mise en œuvre du CIRF a montré qu'aucun d'entre eux n'avait évalué leur CIRF complètement.

Dans l'audit de suivi datant de 2013, le BVG a constaté que cinq des sept ministères faisant l'objet de la vérification – y compris le Secrétariat du Conseil du Trésor – n'avaient toujours pas réalisé de progrès satisfaisants à la suite des recommandations qu'il avait formulées en 2011. En outre, de nombreux ministères prévoyaient qu'il leur faudrait plusieurs années pour mettre en œuvre entièrement les exigences de la politique, notamment une à trois années supplémentaires pour effectuer l'ensemble des premières évaluations complètes de leurs contrôles internes.1

Nous avons également constaté qu'il y avait des points à améliorer pour respecter complètement les exigences particulières du cadre actuel d'Infrastructure Canada et adopter certaines pratiques exemplaires. Plus particulièrement, en ce qui a trait aux contrôles des essais liés aux rapports financiers externes, les outils et les processus d'évaluation de l'efficacité de la conception devaient être normalisés davantage, et les résultats d'évaluation devaient être mieux étayés. Nous avons aussi déterminé que la stratégie n'était pas respectée entièrement non plus, même si le cadre comprenait une stratégie pour effectuer des essais opérationnels sur l'efficacité comprenant des outils et des directives connexes adéquats. 

Le mandat d'Infrastructure Canada a changé depuis la conception du cadre de travail. Pour cette raison, le Ministère envisage de modifier son cadre de travail actuel afin qu'il reflète les changements importants apportés à son environnement opérationnel, notamment la responsabilité du nouveau pont pour le Saint-Laurent, de Partenariats public-privé Canada (PPP), de l'Initiative de revitalisation du secteur riverain de Toronto et de l'Autorité du pont Windsor-Détroit. Le Ministère pourra ainsi s'assurer que le CIRF tient compte de l'ensemble des risques à gérer, et il pourra aussi mieux concevoir et tenir à jour son système de CIRF.

Les recommandations de l'audit portaient principalement sur certaines façons de renforcer les systèmes de contrôle interne. Elles incluaient des rôles et des responsabilités plus précis, des documents améliorés, des outils normalisés et des processus nouveaux ou modifiés. La direction accepte les recommandations découlant de cette vérification. Les recommandations détaillées et les plans d'action de la gestion correspondants peuvent être consultés à la page 29 du présent rapport.

La PCI a été mise en place par le Conseil du Trésor afin de renforcer les contrôles internes du Ministère en matière de rapports financiers, de clarifier les responsabilités et d'améliorer l'uniformité dans l'ensemble du gouvernement fédéral. Il est important de reconnaître que le Ministère – avant le lancement de la PCI – disposait déjà de contrôles internes en matière de rapports financiers, notamment d'éléments clés comme la répartition des tâches, la délégation de pouvoirs et diverses politiques. Le CIRF profite de cette base, c'est pourquoi le Ministère est bien placé pour respecter entièrement la PCI.

Dans l'ensemble, comme l'unité chargée de la Politique sur le contrôle interne détecte les contrôles inefficaces et met en œuvre les plans d'action subséquents, on peut conclure que la haute direction peut se fier au système en place, en ce qui concerne le CIRF lié aux processus opérationnels sélectionnés. Il faut reconnaître, cependant, que notre conclusion se base sur le fait que le Ministère poursuivra ses efforts visant à renforcer son CIRF et à respecter la PCI intégralement au fil du temps.

En l'absence d'engagement de sa part, des lacunes persistantes dans les contrôles internes pourraient faire augmenter le risque d'erreur financière à des niveaux inacceptables.

Dans le cadre de cet engagement, l'audit interne exécutera de nouveaux essais sur l'efficacité de la conceptuelle et opérationnelle, lesquels avaient été effectués par l'unitée chargée de la PCI en guise de suivi de la vérification du CIRF.

Contexte

Objectif

La Politique sur le contrôle interne du Conseil du Trésor (la politique) a été mise en place en avril 2009 afin de renforcer la gestion des finances publiques. Elle visait à gérer les risques liés à l'administration des ressources publiques au moyen d'outils efficaces de contrôle, y compris les contrôles internes en matière de rapports financiers (CIRF).

La politique est conçue pour s'assurer de la mise en place d'un système de contrôle interne efficace fondé sur les risques et du fonctionnement d'un système efficace de CIRF, comme cela est démontré dans la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers.

Plus particulièrement, en vertu de la politique, les administrateurs généraux doivent :

  • établir, maintenir et examiner un système efficace de contrôles internes;
  • procéder à une évaluation annuelle fondée sur les risques du système de CIRF;
  • établir un plan d'action pour les problèmes importants qui ont été décelés dans le cadre de l'évaluation annuelle et prendre rapidement des mesures;
  • publier un résumé des résultats de l'évaluation et des mesures prises.

Dans le cadre de la politique, les organisations doivent concevoir, étayer et mettre en œuvre trois niveaux de contrôle, lesquels sont décrits ci-après.

  • Les contrôles au niveau de l'entité sont les contrôles qui sont omniprésents au sein d'un ministère et qui comprennent des mesures prises par la direction pour fournir à son personnel les outils nécessaires à la gestion efficace des risques, en augmentant la sensibilisation, en fournissant les connaissances et les outils appropriés, ainsi qu'en permettant l'acquisition de compétences. Parmi les exemples de ces contrôles, on compte un code d'éthique et de valeurs, des normes d'embauche, la formation du personnel, la gestion des risques, la communication et la surveillance. Les contrôles au niveau de l'entité établissent des attentes générales quant à la façon dont le Ministère atteint ses objectifs, et ils influent sur la fiabilité des contrôles des processus opérationnels et des contrôles généraux de la TI.
  • Les contrôles relatifs aux processus opérationnels sont des contrôles manuels ou automatisés intégrés aux processus opérationnels régissant les transactions financières (p. ex. les paiements de transfert, les paiements de transfert incluant les partenaires d'exécution fédéraux (PEF), le cycle de l'approvisionnement au paiement, la préparation de la clôture des états financiers et les processus de traitement de la paye).
  • Les contrôles généraux de TI (CGTI) sont les contrôles liés à l'infrastructure et aux systèmes généraux des TI de l'organisation (p. ex. l'administration des comptes d'utilisateurs, les processus de gestion du changement, la sauvegarde et la récupération). Toutefois, les contrôles automatisés des applications sont considérés comme faisant partie des contrôles relatifs aux processus opérationnels (et non des contrôles généraux concernant la TI).

L'évaluation du CIRF par Infrastructure Canada

Infrastructure Canada faisait partie du troisième groupe de ministères gouvernementaux et organismes qui mettaient en place la Politique sur le contrôle interne, comme le l'exigeait le Secrétariat du Conseil du Trésor. Le Ministère devait préparer un rapport sur la conformité à la Politique à compter du 31 mars 2012.

Dans l'évaluation du Cadre de responsabilisation de gestion (CRG) du Secrétariat du Conseil du Trésor du Canada de 2012-2013, on a décelé que le Ministère ne montrait pas de progrès suffisants pour étayer les contrôles de TI liés au CIRF or ni pour évaluer l'efficacité du système de CIRF. Par conséquent, la note ministérielle a été réduite, et elle est passée de « acceptable » à « attention requise ». En outre, Infrastructure Canada a été encouragé à présenter son évaluation des contrôles généraux de TI et des contrôles au niveau de l'entité et à poursuivre la réalisation de progrès, en ce qui concerne l'évaluation de ses processus opérationnels.

En 2013-2014, la firme Ernst & Young a été engagé pour aider le Ministère à respecter la politique, notamment en élaborant un cadre de contrôle et un plan pluriannuel axé sur les risques (le « cadre de travail ») pour 2014-2015 à 2017-2018.

Si on se base sur le Cadre de travail d'Infrastructure Canada, l'évaluation du système du CIRF est un processus basé sur les risques ayant pour but de définir les objectifs de contrôle, de déterminer, de documenter et de tester les contrôles clés ainsi que de relever les lacunes dans les contrôles. Il se fonde sur le cadre du Committee of Sponsoring Organizations of the Treadway Commission (COSO), lequel est reconnu au niveau international, et il comprend cinq étapes de base à effectuer par l'unité chargée de la Politique sur le contrôle interne (PCI) de la Direction générale des services ministériels, notamment :

  1. Documentation : mettre à jour les documents de contrôle opérationnel et définir l'impact de ces changements dans les processus, en collaboration avec les responsables des processus opérationnels.
  2. Essais d'efficacité de la conception : faire en sorte que les contrôles clés soient inclus, harmonisés et équilibrés avec les risques qu'ils visent à réduire.
  3. Essais d'efficacité opérationnelle : appliquer des contrôles clés au cours d'une période définie.
  4. Déclaration des résultats d'évaluation : les lacunes de contrôle interne (tâche effectuée par l'unité chargée de la PCI) et communiquer avec les responsables des processus opérationnels, lesquels doivent fournir des plans d'action de la gestion pour combler les lacunes en respectant les délais établis. En outre, les constatations et les mesures correctives recommandées sont transmises à la haute direction du Ministère (Comité de gestion du Ministère et du Comité ministériel de vérification).
  5. Surveillance continue : effectuer des évaluations périodiques fondées sur les risques conformément au plan de surveillance s'étalant sur plusieurs années. Ces évaluations permettent de s'assurer de l'amélioration continue du système ministériel du CIRF.

(Les définitions et des détails supplémentaires sur les étapes concernant la documentation, l'évaluation et les rapports sur le CIRF peuvent être consultés aux Annexes A et B.)

En 2014-2015, l'évaluation de l'efficacité de la conception et de l'efficacité opérationnelle des contrôles internes des processus opérationnels sélectionnés a été effectuée pour la première fois par l'unité chargée de la PCI, conformément au cadre de travail. Les essais ont permis de déceler the assessment of the design and operating effectiveness of selected business processes internal controls was completed for the first time by the PIC unit in accordance with the Framework. The testing led to thedes lacunes dans les contrôles et d'élaborer et de mettre en place un plan de mesures correctives.

Objectif et portée de l'audit

L'audit visait à assurer qu'Infrastructure Canada avait conçu et tenu à jour un système efficace de contrôles internes en matière de rapports financiers, en ce qui concerne quatre processus opérationnels sélectionnés : les paiements de transfert; les paiements de transfert incluant les partenaires d'exécution fédéraux (PEF); le cycle de l'approvisionnement au paiement; et la clôture des états financiers.

Les essais des contrôles couvraient la période du 1er avril 2014 au 31 mars 2015.

La vérification ne fournit pas d'avis sur l'exactitude des équilibres signalés dans les états financiers qui ont été préparés par le Ministère.

Méthode de l'audit

La stratégie et la méthode utilisées sont conformes aux Normes relatives à la vérification interne au sein du gouvernement du Canada, à la Politique sur la vérification interne du Conseil du Trésor et aux Normes internationales pour la pratique de la vérification interne de l'Institut des vérificateurs internes.

Les critères de l'audit sont tirés de la Politique sur le contrôle interne du Conseil du Trésor, de la Directive sur le contrôle interne et des éléments pertinents des Critères de vérification liés au Cadre de responsabilisation de gestion du Bureau du contrôleur général.

Les critères visaient à déterminer si le cadre de travail d'Infrastructure Canada contenait les éléments exigés en vertu de la politique et si le Ministère le respectait. Toutefois, l'audit ne visait pas à déterminer si les éléments du cadre de travail convenaient au contexte du Ministère.

L'équipe chargée de l'audit a examiné les preuves suffisantes, fiables et pertinentes pour offrir un niveau d'assurance raisonnable afin d'appuyer la conclusion de l'audit. Les techniques employées pour effectuer l'audit sont les suivantes :

  • entrevues et visites virtuelles auprès de personnes clés de l'ensemble du Ministère;
  • examen de la description des processus opérationnels clés, des organigrammes et des matrices de contrôle;
  • examen des documents opérationnels, des évaluations de conception, des documents d'essais opérationnels efficaces, de rapports, de plans de mesures correctives, de rapports d'étape, de cadres de contrôle interne, de méthodologies et d'autres documents pertinents;
  • réexécution des essais de l'efficacité de la conception et de l'efficacité opérationnelle par l'unité chargée de la PCI afin de valider l'approche et les constatations.

Les auditeurs ont également testé les contrôles liés aux paiements de transfert gérés par les partenaires d'exécution fédéraux (PEF). Ceci n'a pas été testé par l'unité chargée de la PCI dans le cadre de l'évaluation des contrôles liés aux processus opérationnels sélectionnés au cours de 2014-2015, étant donné que les essais ont été reportés en 2015-2016. La méthode d'échantillonnage, décrite dans le cadre de travail, a été utilisée pour entreprendre cet audit.

Structure du rapport

Le rapport comprend trois sections :

  • Évaluation de la conception des contrôles internes
  • Évaluation du fonctionnement des contrôles internes
  • Évaluation continue de la surveillance

Pour chacun des éléments susmentionnés, le rapport comprend des renseignements contextuels importants sur l'audit, les attentes et les constatations générales appuyés par des observations précises et des recommandations en matière d'audit.

La dernière section du rapport forme le plan d'action de la gestion en vue de répondre aux recommandations de l'audit.

Constatation de l'audit

Évaluation de la conception des contrôles internes


Critère d'audit no 1 : Les contrôles internes en matière de rapports financiers pour les processus opérationnels sélectionnés visaient à respecter la politique, et ils sont étayés et évalués.

Voici les attentes :

  • Le cadre de contrôle ainsi que la responsabilité de l'évaluation, des mesures correctives et de la surveillance du CIRF ont été définis et sont complets.
  • Des CIRF ont été conçus pour les processus opérationnels sélectionnés conformément à la politique; ils ont été étayés et ils tiennent compte des risques qu'ils visent à réduire.
  • Les CIRF des processus opérationnels sélectionnés ont été évalués par l'unité chargée de la PCI au cours de l'exercice 2014-2015.

Conclusion :

Les CIRF ont été conçus et étayés conformément à la politique; l'unité chargée de la PCI a évalué l'efficacité de la conception des contrôles internes pour les processus opérationnels sélectionnés quant à l'exercice 2014-2015, comme cela était prévu dans le cadre de travail. Cependant, il est possible de renforcer les contrôles, en ce qui concerne la définition des rôles et des responsabilités, la clarification des hypothèses et la normalisation des exigences liées à la documentation.

Plus particulièrement, voici les constatations de l'audit:

  • Le cadre de contrôle ainsi que la responsabilité de l'évaluation, des mesures correctives et de la surveillance du CIRF ont été définis dans la cadre de travail. Cependant, les rôles et responsabilités de l'unité chargée de la PCI n'ont pas été définis; les hypothèses quantitatives et qualitatives – servant à attribuer le niveau de risque à chaque processus opérationnel sélectionné – n'ont pas été clairement indiquées non plus.
  • Bien que les CIRF des processus opérationnels sélectionnés aient été conçus et étayés conformément à la politique, l'analyse annuelle des risques n'a pas été effectuée pour ces processus en collaboration avec les responsables opérationnels avant de tester l'efficacité de la conception des contrôles opérationnels. Dans la vérification, on constate que divers formats de matrices de contrôle ont été utilisés; les documents de contrôle n'étaient pas toujours datés; la signature des gestionnaires était absente.
  • Les contrôles automatisés clés n'étaient pas documentés dans les descriptions des processus et les organigrammes des processus opérationnels sélectionnés.
  • L'unité chargée de la PCI n'a pas inclus les documents à l'appui dans les fichiers d'essais ou n'a pas clairement indiqué où les documents sont conservés.

Résumé des constatations :

Sous-critère 1.1 : Exhaustivité du cadre de contrôle et du plan pluriannuel axé sur les risques

Le cadre de travail définit le cadre de contrôle et les responsabilités d'Infrastructure Canada en ce qui concerne l'évaluation, les mesures correctives et la surveillance continue du CIRF, y compris la responsabilité de la surveillance et de la maintenance du plan pluriannuel axé sur les risques.

La cadre de travail décrit la structure organisationnelle du Ministère et présente les rôles et les responsabilités de la haute direction. Il résume également les responsabilités des comités consultatifs et les responsabilités liées à l'évaluation et aux rapports comparativement avec les attentes liées au CIRF et à la surveillance. En outre, il comprend un plan pluriannuel axé sur les risques, lequel définit le niveau de risque et la priorité relative qui sont attribués à chacun des trois domaines principaux du contrôle interne (entité, transaction et TI); il sert aussi de base pour l'approche pluriannuelle détaillée.

L'examen du cadre du travail a révélé que les rôles et les responsabilités de l'unité chargée de la PCI n'étaient pas décrits. Étant donné que le cadre de travail est un document de planification, qui comprend les responsabilités et les rôles de l'unité chargée de la PCI, il permettra à Infrastructure Canada de mieux répondre aux exigences de la politique et à l'unité chargée de la PCI de mieux comprendre son mandat et ses responsabilités.

Innovation, Sciences et Développement économique Canada héberge le système de gestion financière du Ministère, c'est-à-dire le système intégré de gestion financière (SIGF); l'entente de service comprend également le soutien informatique. Dans le cadre de l'audit, on a constaté que les rôles et les responsabilités des fournisseurs des systèmes financiers n'étaient pas indiqués dans le cadre de travail, alors que cette information est fournie dans le protocole d'entente (PE); néanmoins, cela ne représente pas un risque pour le Ministère.  

Par ailleurs, on a constaté que la méthodologie globale d'évaluation des risques ne définissait pas clairement les hypothèses quantitatives ou qualitatives servant à attribuer le niveau de risque aux processus opérationnels sélectionnés. Ces hypothèses sont des éléments importants de la détermination du niveau de risque pour chacun de ces processus et il oriente la stratégie globale en matière d'essais.

Durant l'audit, la Direction générale des services ministériels a indiqué qu'elle envisageait de modifier le cadre de travail afin de tenir compte du milieu évolutif d'Infrastructure Canada, étant donné l'évolution constante des priorités du gouvernement. À la suite des changements qui ont été apportés après la période de l'audit, notamment l'ajout du Projet de corridor du nouveau pont pour le Saint-Laurent et l'établissement de nouveaux processus opérationnels relatifs aux immobilisations. À cause de ces changements, le cadre de travail actuel ne permet plus de traiter les risques que doit gérer le Ministère. L'audit interne convient que ces éléments seront pris en compte quand le cadre de travail sera révisé.

Risque et répercussions possibles :

Vu que ses rôles et responsabilités n'étaient pas décrits dans le cadre de travail, il se peut que l'unité chargée de la PCI ne puisse pas effectuer son mandat efficacement. De plus, le risque d'erreur d'interprétation et de mauvaise application du cadre de travail pourrait être augmenté à cause de l'imprécision de la méthodologie d'évaluation des risques; dans certains cas, les résultats souhaités ou escomptés pourraient ne pas être réalisés.

Sous-critère 1.2 : Documents de contrôles internes et atténuation des risques pour les processus opérationnels sélectionnés

Les documents des contrôles internes pour les processus sélectionnés aident à comprendre chaque processus opérationnel du début à la fin et à étayer les cycles des transactions, notamment les processus de lancement, d'autorisation, d'enregistrement, de traitement et de rapprochement des comptes et les transactions qui influencent les rapports financiers conformément à la politique.

Les documents complets relatifs aux contrôles internes sont composés de trois documents : une description des processus; un organigramme; et une matrice de risque et de contrôle. Les membres de l'unité chargée de la PCI peuvent ainsi déterminer les contrôles appuyant les déclarations de la direction portant sur les comptes et les transactions visées ainsi que les emplacements où des erreurs ou des déclarations erronées peuvent survenir à cause d'une erreur ou d'un acte frauduleux.

L'unité chargée de la PCI a suivi une approche normalisée pour étayer chacun des processus opérationnels sélectionnés. Elle a d'abord acquis une compréhension de ces processus du début à la fin et elle a tenu compte des flux impliqués dans chaque cycle de transaction financière. L'unité chargée de la PCI a étayé les processus opérationnels sélectionnés; les descriptions, les organigrammes et les matrices de contrôle ont été examinés en collaboration avec les responsables des processus opérationnels afin de déterminer si des changements importants avaient été apportés à leurs processus.

Il a été souligné que les documents de contrôle n'étaient pas toujours datés ou qu'il manquait la signature de la direction indiquant l'acception des documents en tant que représentation correcte des processus et des contrôles.

Les auditeurs ont également remarqué que les risques liés à chaque contrôle clé n'étaient pas validés ni actualisés chaque année en collaboration avec les responsables des processus opérationnels afin de s'assurer que les contrôles connexes étaient appropriés pour atténuer les risques et refléter l'évolution de l'environnement opérationnel d'Infrastructure Canada.

Plus particulièrement, notre examen des documents liés aux processus opérationnels sélectionnés, y compris les descriptions, les organigrammes et les matrices de risque et de contrôle, a révélé ce qui suit :

  • Constatations – Descriptions et organigrammes

La description de processus est une description écrite qui fournit des détails et du contexte pour les processus et les contrôles. L'organigramme est une description visuelle divisée en fonction de l'étape, de l'emplacement et du responsable du contrôle. D'autres descriptions de ces processus sont présentées en détail à l'annexe C.

Selon l'audit, les contrôles automatisés ne sont pas étayés dans les descriptions de processus ni les organigrammes des processus opérationnels sélectionnés. Ces contrôles portent sur les configurations de système, l'accès des utilisateurs et la séparation des tâches. Ils ont été définis et évalués par l'unité chargée de la PCI lors de l'évaluation de l'efficacité opérationnelle des contrôles clés, mais ils n'ont pas été étayés dans les descriptions ni les organigrammes. C'est pourquoi les documents de contrôle de la conception ne reflètent pas tous les contrôles clés actuels.

En outre, il manquait le nom et le titre de l'auteur dans l'ensemble des descriptions et des organigrammes; dans certains cas, il manquait l'approbation du responsable opérationnel ainsi que les dates de préparation, de mise à jour et d'approbation des documents.

  • Constatations – Matrices de risque et de contrôle

Les matrices de risque et de contrôle ont été conçues pour étayer les risques et les contrôles et dresser des rapports sur l'efficacité de la conception et de l'efficacité opérationnelle afin de déceler les écarts entre les contrôles réels et certains objectifs et risques en matière de contrôle. Plus particulièrement, ces matrices servaient à résumer les essais sur l'efficacité de la conception et l'efficacité opérationnelle de chaque processus opérationnel sélectionné qui ont été effectués par l'unité chargée de la PCI.

Ces matrices liaient les activités aux objectifs originaux et aux descriptions de chaque processus opérationnel en établissant des recoupements avec les risques à gérer. Elles permettaient également de déterminer l'impact et la probabilité des risques devant être réduits.

Les matrices de risque et de contrôle fournissent aussi des renseignements en ce qui concerne les déclarations sur les états financiers (exhaustivité, coupure, exactitude, autorisation, évaluation, propriété et présentation), les contrôles de prévention ou de détection, le type (lutte contre la fraude, examen de la gestion, séparation des tâches, accès au système, etc.), la nature (automatisée/manuelle) et le responsable du contrôle. Elles présentent aussi les procédures de révision de la conception, les constatations, la conclusion (efficace ou non), la conclusion et la date de suivi et de mise en œuvre du plan d'action de la gestion. Plus précisément, les matrices définissent les emplacements dans les processus où une erreur ou anomalie peut survenir en cas d'erreur ou d'acte frauduleux.

L'équipe chargée de l'audit a constaté que divers formats avaient été utilisés pour étayer les matrices de risque et de contrôle lors des mises à jour des documents en collaboration avec les responsables des processus opérationnels, au lieu d'utiliser une version uniforme des modèles, comme l'exigeait le cadre de travail. Il manquait aussi des renseignements essentiels dans ces modèles, comme les instructions pour certains champs. En outre, l'information n'était pas indiquée de façon uniforme.

Enfin, les champs des matrices portant sur l'impact et la probabilité des risques liés aux contrôles devant être réduits n'étaient pas remplis en collaboration avec les responsables opérationnels lors de la mise à jour des documents de l'exercice 2014-2015.

Risque et répercussions possibles :

Un processus opérationnel bien étayé, à jour et approuvé officiellement est un élément essentiel de la politique, parce qu'il facilite la détermination des contrôles clés par la gestion, ce qui est nécessaire pour une surveillance efficace. Il contribue aussi aux activités d'assurance internes et externes. Sans l'approbation et la signature des responsables des processus concernant les documents de processus et les résultats des essais, la reddition de comptes des responsables de processus à l'égard des contrôles des processus opérationnels pourrait être difficile.

Par ailleurs, quand les contrôles automatisés clés ne sont pas étayés dans les descriptions et les organigrammes, l'unité chargée de la PCI peut difficilement détecter les problèmes liés à la séparation des tâches, à la configuration et aux contrôles de l'accès aux systèmes.

L'unité chargée de la PCI utilise différentes versions des matrices de risque et de contrôle et elle ne met pas à jour les risques chaque année. Les répercussions potentielles sont les suivantes : les contrôles testés peuvent ne plus réduire les risques ciblés et les changements importants peuvent ne pas être évalués en temps oppurtuns.

Sous-critère 1.3 : Conception de contrôles internes pour prévenir ou détecter les erreurs matérielles des processus opérationnels sélectionnés

Les essais de l'efficacité des contrôles internes sont exécutés pour déterminer si les contrôles clés sont efficaces en vue de prévenir ou de détecter les erreurs matérielles ou les anomalies liés aux processus opérationnels. Habituellement, cela implique une révision du début à la fin en utilisant une transaction particulière. Cette révision permet à l'unité chargée de la PCI de valider l'exactitude des documents de processus, d'évaluer la conception des contrôles et de confirmer la mise en place des contrôles comme prévu.

L'efficacité de la conception a été évaluée par l'unité chargée de la PCI à l'automne 2014 en utilisant les documents de la révision de chaque processus opérationnel sélectionné inclus dans la portée aux fins d'essais.

Réexécution des résultats et évaluation de l'efficacité de la conception

Les auditeurs ont exécuté à nouveau les essais de l'efficacité de la conception des mêmes transactions et contrôles clés qui avaient été examinés et évalués par l'unité chargée de la PCI. À ce titre, pour chacun des processus opérationnels sélectionnés, l'équipe chargée de l'audit a reçu des documents pour effectuer la même révision.

Ils ont souligné qu'il manquait les documents à l'appui pour les essais des contrôles liés à la bonne application des instruments de délégation, les cartes de spécimen de signature et les pouvoirs financiers de signer qui étaient exercés. L'équipe chargée de l'audit n'a donc pas pu retracer toutes les transactions afin de tirer la même conclusion que celle de l'unité chargée de la PCI en ce qui concerne les résultats des essais.

Lors des essais, l'unité chargée de la PCI a déterminé que 9 des 38 contrôles n'étaient pas conçus correctement. L'équipe chargée de l'audit a fait le même constat, mais elle a décelé 3 autres contrôles qui doivent être améliorés. On a constaté également qu'un plan d'action de la gestion avait été conçu pour mettre en œuvre les mesures correctives particulières.

En conclusion, l'unité chargée de la PCI a évalué l'efficacité de la conception des contrôles internes pour les processus opérationnels sélectionnés, en ce qui concerne l'exercice 2014-2015, comme cela est prévu dans le cadre de travail. Toutefois, les auditeurs n'ont pas pu tirer la même conclusion que l'unité chargée de la PCI dans tous les cas ayant fait l'objet de nouveaux essais. Cela a été principalement dû à l'absence de documents pour appuyer les délégations de pouvoirs visant à montrer que les contrôles ont été testés.

Risque et répercussions possibles :

Sans des documents uniformes et complets dans les fichiers (ou des renvois pour indiquer où trouver l'information) pour étayer les procédures d'essais et retracer les transactions des essais des contrôles effectués, l'unité chargée de la PCI ne pourra peut-être pas fournir un niveau d'assurance élevé concernant l'efficacité de la conception des contrôles clés pour certains processus opérationnels.

Aucune recommandation liée à ce risque ne sera formulée, puisque ce point était inclus dans les audits des pouvoirs délégués qui ont été réalisées en 2015-2016.

Recommandations

Voici les recommandations :

  • Réviser le cadre de travail pour que les rôles et les responsabilités de l'unité chargée de la PCI soient clairement définis et la méthodologie d'évaluation des risques décrive convenablement les hypothèses importantes servant à attribuer le niveau de risque à chaque processus opérationnel sélectionné.
  • Bien étayer les contrôles automatisés afin d'assurer l'exhaustivité et l'exactitude des documents de processus.
  • Effectuer une analyse périodique des risques en collaboration avec le responsable opérationnel avant de tester l'efficacité de la conception et l'efficacité opérationnelle des contrôles internes.
  • Faire en sorte que les responsables des processus approuvent et signent officiellement les documents afin de renforcer la reddition de comptes.
  • Utiliser une matrice de risque et de contrôle uniforme pour étayer les contrôles, et définir et remplir les champs durant la mise à jour de la documentation et l'évaluation de l'efficacité de la conception et de l'efficacité opérationnelle.

Évaluation du fonctionnement des contrôles internes


Critère d'audit no 2 : Les contrôles internes en matière de rapports financiers pour les processus opérationnels sélectionnés fonctionnent efficacement comme prévu.

Voici les attentes :

  • La méthodologie en matière d'essais de l'efficacité opérationnelle est conforme au cadre de contrôle et au plan pluriannuel axé sur les risques d'Infrastructure Canada.
  • Les CIRF des processus opérationnels sélectionnés ont été évalués afin qu'ils fonctionnent comme prévu et qu'ils produisent les résultats escomptés de façon uniforme.

Conclusion

Il a été déterminé que la méthodologie d'échantillonnage et les essais de l'efficacité opérationnelle n'ont pas été effectués conformément au cadre de travail en ce qui concerne la taille des échantillons, le risque et le calendrier des essais. En outre, les auditeurs n'ont pas pu parvenir à la même conclusion que l'unité chargée de la PCI, laquelle a évalué les CIRF des processus opérationnels sélectionnés, vu que les documents à l'appui n'étaient pas fournis.

Sous-critère 2.1 : Stratégie en matière d'essais

Infrastructure Canada a conçu et étayé sa stratégie pour effectuer les essais de l'efficacité des contrôles clés dans le cadre de travail. La stratégie en matière d'essais décrit la portée, l'approche, la méthodologie, la base pour la taille des échantillons, la fréquence (plan des essais avec échéanciers), et elle répertorie les processus opérationnels qui seront évalués. Dans ce contexte, les essais sont menés en sélectionnant et en testant un échantillon de transactions, dont la taille dépend de l'évaluation des risques inhérents attribués au domaine de contrôle et de la fréquence à laquelle le contrôle en question est effectué, en se basant sur un calendrier établi.

Il a été souligné dans l'audit que la stratégie d'échantillonnage n'était pas appliquée de façon uniforme par l'unité chargée de la PCI et elle ne respectait pas la taille et les risques décelés qui sont décrits dans le cadre de travail. Par exemple, les contrôles des processus opérationnels de la « clôture des états financiers » ont été testés en se basant sur une taille plus grande ou plus petite que prévu des échantillons.

En outre, les essais de l'efficacité opérationnelle des contrôles clés des processus opérationnels sélectionnés ont été effectués en même temps que les essais de l'efficacité de la conception, au lieu de respecter le calendrier des essais qui était fixé dans le cadre de travail.

Risque et répercussions possibles :

Quand les essais de l'efficacité opérationnelle des contrôles sont effectués en même temps que les essais de l'efficacité de la conception des contrôles, les lacunes de conception décelées ne peuvent pas être comblées et la révision de la taille des échantillons ne peut pas refléter le risque actualisé lié aux contrôles.

L'approche de l'unité chargée de la PCI pour les essais, y compris le plan, les échéanciers et la taille des échantillons pour chaque processus opérationnel sélectionné ne respectait pas le cadre de travail. Il y a donc un risque que la stratégie en matière d'essais ne soit pas pertinente ni opportune pour surveiller l'efficacité opérationnelle des contrôles internes.

Sous-critère 2.2 : Évaluation de l'efficacité opérationnelle

L'efficacité opérationnelle du CIRF pour les processus opérationnels sélectionnés a été évaluée au cours de l'exercice 2014-2015 par l'unité chargée de la PCI. Les essais ont permis de déceler des lacunes dans les contrôles, et un plan d'atténuation a été conçu; les responsables opérationnels sont en train de mettre en œuvre ce plan.

Résultats de la réexécution des essais

L'équipe chargée de l'audit a exécuté de nouveaux essais des contrôles de l'efficacité opérationnelle qui avaient été menés par l'unité chargée de la PCI afin de s'assurer que les contrôles internes produisaient les résultats prévus de façon uniforme, en ce qui concerne les processus opérationnels, notamment les paiements de transfert, le processus de l'approvisionnement au paiement et la clôture des états financiers.

L'équipe chargée de l'audit a constaté que les contrôles testés fonctionnaient généralement bien, comme ils étaient conçus et mis en place.

Lors de la réexécution des essais, l'équipe a souligné qu'il manquait les documents à l'appui pour les essais des contrôles. Par conséquent, 23 des 42 contrôles (55 %) testés n'ont pas pu faire l'objet d'une conclusion, puisqu'il manquait les documents liés à la bonne application des instruments de délégation, les cartes de spécimen de signature et les pouvoirs de signature en matière de finances.

Sur les contrôles que les auditeurs n'ont pas pu évaluer, 11 des 23 contrôles, soit 47 % d'entre eux, ont été définis par l'unité chargée de la PCI comme étant inefficaces ou nécessitant une amélioration. Un plan d'action de la gestion a été conçu pour mettre en place des mesures correctives particulières.

En conclusion, l'unité chargée de la PCI a évalué l'efficacité opérationnelle des contrôles internes pour les processus opérationnels concernant l'exercice 2014-2015, comme cela était prévu dans le cadre de travail. Toutefois, les auditeurs n'ont pas pu parvenir à la même conclusion que l'unité chargée de la PCI dans tous les cas, principalement parce qu'aucun document à l'appui ne montrait que des essais de contrôles avaient été menés.

Risque et répercussions possibles :

Sans des renseignements adéquats et suffisamment de documents à l'appui pour souternir la nature et l'étendue des essais de contrôle effectués, l'unité chargée de la PCI pourrait ne pas être en mesure de valider les résultats des essais de l'efficacité opérationnelle.

Recommandations

Voici les recommandations :

  • Les protocoles d'essais de contrôle et les stratégies d'échantillonnage doivent être conformes à la taille et aux risques décelés, les délais établis dans le cadre de travail doivent être respectés. Si le cadre de travail ne reflète plus le contexte d'Infrastructure Canada, les opérations et les risques seront modifiés.
  • Les essais doivent être suffisamment étayés, et les renseignements doivent être conservés afin d'appuyer et d'étayer la nature et l'étendue des essais menés par l'Unité de la PCI.

Surveillance continue


Critère d'audit no 3 : Les contrôles internes en matière de rapports financiers pour les processus opérationnels sélectionnés ont été surveillés efficacement.

Voici les attentes :

  • Les lacunes dans les contrôles internes ont été décelées, et des plans d'action de la gestion ont été élaborés afin de résoudre les problèmes importants.
  • Les résultats des essais de l'efficacité de la conception et de l'efficacité opérationnelle ont été rapidement transmis à la haute direction et aux responsables des processus opérationnels.
  • Des plans d'action de la gestion pour l'évaluation de l'efficacité de la conception et l'efficacité opérationnelle ont été mis en œuvre rapidement.

Conclusion

Les CIRF des processus opérationnels sélectionnés ont été surveillés efficacement : 

  • Les lacunes dans les contrôles internes ont été décelées et des plans d'action de la gestion ont été élaborés afin de résoudre les problèmes importants.
  • Dès que les essais de l'efficacité de la conception et de l'efficacité opérationnelle ont été effectués, les résultats ont été rapidement transmis à la haute direction et aux responsables des processus opérationnels.
  • Les plans d'action de la gestion peuvent être améliorés en ajoutant des dates d'achèvement; les lacunes devant être comblées peuvent être présentées en se basant sur le classement des niveaux de risque.

Sous-critère 3.1 : Les lacunes dans les contrôles internes ont été décelées et des plans d'action de la gestion ont été élaborés.

Le cadre de travail fournit un contexte pour la surveillance du CIRF. La direction doit tenir compte de l'impact que les lacunes dans les contrôles peuvent avoir sur l'intégrité des états financiers; elle doit également surveiller la mise en œuvre des mesures correctives requises pour combler ces lacunes. Dans le cadre de ce processus, des rapports devraient être transmis rapidement au dirigeant principal des finances (DPF) et à la haute direction sur la nature des résultats des évaluations et les plans d'action connexes.

L'audit a confirmé que les essais de l'efficacité opérationnelle ont été effectués par l'unité chargée de la PCI, les lacunes dans les contrôles internes ont été décelées et les recommandations connexes ont été transmises à chaque responsable de processus opérationnel.

L'audit a également montré que les responsables des processus opérationnels reconnaissent les recommandations qui ont été transmises et ils fournissent des plans d'action en vue d'atténuer les risques. Les responsables des processus opérationnels devaient surtout traiter les mesures correctives en fournissant des plans d'action de la gestion et un calendrier des objectifs à réaliser.

Sous-critère 3.2 : Transmettre les résultats à la haute direction et aux responsables des processus opérationnels.

Les auditeurs on constatés que l'unité chargée de la PCI, laquelle effectuait un suivi régulier auprès des responsables des processus opérationnels, en ce qui concerne les recommandations en suspens visant à combler les lacunes relevant de leur responsabilité.

De plus, il a été confirmé que les constatations sur l'efficacité de la conception et de l'efficacité opérationnelle ainsi que les mesures correctives recommandées ont été transmises à l'interne et à l'externe. 

À l'interne, les constatations sur l'efficacité de la conception et les plans d'action de la gestion ont été transmises au Comité de gestion du Ministère (CGM), au Comité ministériel de vérification (CMV) et à la sous-ministre adjointe. Les résultats des essais de l'efficacité de la conception ont également été transmis au directeur général, Finances et services des contrats, et à l'adjoint au dirigeant principal des finances (ADPF) par le biais de rencontres et de discussions bilatérales.

À l'externe, l'Annexe à la Déclaration de responsabilité de la direction, qui a été présentée au CMV et signée par le sous-ministre et le DPF, a été affichée sur le site Web du Ministère en tant qu'élément des états financiers du Ministère.

Sous-critère 3.3 : Les plans d'action de la gestion ont été mis en œuvre rapidement.

L'unité chargée de la PCI a établi un processus officiel pour surveiller et dresser des rapports sur la mise en œuvre des recommandations et l'état des progrès des plans d'action qui ont été déterminés lors des essais de contrôles.

Un modèle de rapport d'étape des plans d'action de la gestion a été rempli pour les essais qui ont été réalisés en 2014-2015; des mesures correctives sont définies comme étant « terminées », « en cours » ou « pas lancées »; des dates cibles ont été fixées; et le responsable des processus opérationnels pour la mise en œuvre a été désigné.

Depuis le 4 février 2016, 39 plans d'action de la gestion ont été terminés et 4 sont en cours.

Les auditeurs ont aussi constaté que le modèle de rapport d'étape sur les plans d'action de la gestion n'indiquait pas la date réelle d'achèvement et ne précisait pas si des modifications avaient été apportées aux dates initiales de la mesure afin de déterminer depuis combien de temps qu'une recommandation était en suspens. Les auditeurs ne pourront donc pas évaluer si les plans d'action de la gestion ont été mis en place rapidement.

Par ailleurs, les constatations du modèle de rapport d'étape sur les plans d'action de la gestion n'ont pas été présentées en se basant sur le classement des risques (élevé à faible). Ceci est important pour s'assurer que la mise en œuvre des mesures correctives par la direction se concentre sur les risques élevés et l'importance pour le Ministère.

Risque et répercussions possibles :

La détermination d'un échéancier de mise en œuvre permettrait à la haute direction de brosser un tableau plus complet des progrès qui ont été réalisés afin de répondre aux recommandations et de mieux étayer la prise de décisions éclairées.

Recommandations

Voici les recommandations :

  • Présenter des rapports d'étape sur les plans d'action de la gestion découlant des activités de surveillance, en se basant sur le classement des risques, et définir clairement si les mesures correctives ont été mises en œuvre avant les dates d'achèvement approuvées initialement.

Constatations et conclusion

Le Ministère a conçu un système de CIRF qui comprend un cadre pour l'évaluation et la surveillance fondées sur les risques, comme l'exige la Politique sur le contrôle interne (PCI). Ceci dit, au cours de la première année d'essais, on a constaté que le cadre n'était pas suivi dans son intégralité par l'équipe chargée de la PCI et tous les contrôles ne fonctionnaient pas comme prévu, même si des contrôles étaient en place pour les processus opérationnels sélectionnés. D'après le dirigeant principal de la vérification et de l'évaluation (DPVE), la mise en œuvre d'un CIRF efficace pour les processus opérationnels sélectionnés progresse comme prévu; ces derniers devraient continuer à s'améliorer, à mesure que la politique de l'organisation fera ses preuves.

En se basant sur l'étude d'Infrastructure Canada (INFC) dans le cadre d'un modèle de maturité opérationnelle, on s'attend à ce que certains contrôles ne fonctionnent pas comme prévu ou ne puissent pas être reproduits de façon suffisante au début de la mise en œuvre de la PCI. C'est, en effet, ce que nous avons observé. Certains processus de contrôle devront être conçus à nouveau, alors que l'application devra être plus uniforme pour d'autres afin de réduire les taux d'erreur à des niveaux acceptables. Il faut souligner que l'utilisation de la PCI nécessite une assurance raisonnable et non absolue de la part du CIRF.

L'expérience a montré que la pleine conformité à la PCI est difficile et exige un engagement organisationnel à long terme. Par exemple, la vérification effectuée en juin 2011 par le Bureau du vérificateur général du Canada (BVG) de sept grands ministères lors de la première vague de mise en œuvre du CIRF a montré qu'aucun d'entre eux n'avait évalué leur CIRF complètement.

Dans l'audit de suivi datant de 2013, le BVG a constaté que cinq des sept ministères faisant l'objet de la vérification – y compris le Secrétariat du Conseil du Trésor – n'avaient toujours pas réalisé de progrès satisfaisants à la suite des recommandations qu'il avait formulées en 2011. En outre, de nombreux ministères prévoyaient qu'il leur faudrait plusieurs années pour mettre en œuvre entièrement les exigences de la politique, notamment une à trois années supplémentaires pour effectuer l'ensemble des premières évaluations complètes de leurs contrôles internes.2

Nous avons également constaté qu'il y avait des points à améliorer pour respecter complètement les exigences particulières du cadre actuel d'Infrastructure Canada et adopter certaines pratiques exemplaires. Plus particulièrement, en ce qui a trait aux contrôles des essais liés aux rapports financiers externes, les outils et les processus d'évaluation de l'efficacité de la conception devaient être normalisés davantage, et les résultats d'évaluation devaient être mieux étayés. Nous avons aussi déterminé que la stratégie n'était pas respectée entièrement non plus, même si le cadre comprenait une stratégie pour effectuer des essais opérationnels sur l'efficacité comprenant des outils et des directives connexes adéquats.

Le mandat d'Infrastructure Canada a changé depuis la conception du cadre de travail. Pour cette raison, le Ministère envisage de modifier son cadre de travail actuel afin qu'il reflète les changements importants apportés à son environnement opérationnel, notamment la responsabilité du nouveau pont pour le Saint-Laurent, de Partenariats public-privé Canada (PPP), de l'Initiative de revitalisation du secteur riverain de Toronto et de l'Autorité du pont Windsor-Détroit. Le Ministère pourra ainsi s'assurer que le CIRF tient compte de l'ensemble des risques à gérer, et il pourra aussi mieux concevoir et tenir à jour son système de CIRF.

Les recommandations de l'audit portaient principalement sur certaines façons de renforcer les systèmes de contrôle interne. Elles incluaient des rôles et des responsabilités plus précis, des documents améliorés, des outils normalisés et des processus nouveaux ou modifiés. La direction accepte les recommandations découlant de cette audit. Les recommandations détaillées et les plans d'action de la gestion correspondants peuvent être consultés à la page 29 du présent rapport.

La PCI a été mise en place par le Conseil du Trésor afin de renforcer les contrôles internes du Ministère en matière de rapports financiers, de clarifier les responsabilités et d'améliorer l'uniformité dans l'ensemble du gouvernement fédéral. Il est important de reconnaître que le Ministère – avant le lancement de la PCI – disposait déjà de contrôles internes en matière de rapports financiers, notamment d'éléments clés comme la répartition des tâches, la délégation de pouvoirs et diverses politiques. Le CIRF profite de cette base, c'est pourquoi le Ministère est bien placé pour respecter entièrement la PCI.

Dans l'ensemble, comme l'unité chargée de la Politique sur le contrôle interne détecte les contrôles inefficaces et met en œuvre les plans d'action subséquents, on peut conclure que la haute direction peut se fier au système en place, en ce qui concerne le CIRF lié aux processus opérationnels sélectionnés. Il faut reconnaître, cependant, que notre conclusion se base sur le fait que le Ministère poursuivra ses efforts visant à renforcer son CIRF et à respecter la PCI intégralement au fil du temps.

En l'absence d'engagement de sa part, des lacunes persistantes dans les contrôles internes pourraient faire augmenter le risque d'erreur financière à des niveaux inacceptables.

Dans le cadre de cet engagement, l'audit interne exécutera de nouveaux essais sur l'efficacité de la conceptuelle et opérationnelle, lesquels avaient été effectués par l'unitée chargée de la PCI en guise de suivi de l'audit du CIRF.

Énoncé de conformité

L'audit respecte les Normes internationales pour la pratique professionnelle de l'audit interne et les Normes relatives à la vérification interne au sein du gouvernement du Canada, et elle est appuyée par les résultats du programme d'assurance et d'amélioration de la qualité.

Plan d'action de la gestion

La sous-ministre adjointe, Direction générale des services ministériels, souhaite souligner ce qui suit :

Comme cela est mentionné dans le rapport d'audit, Infrastructure Canada a d'abord officialisé ses processus liés au CIRF en recourant à un consultant en 2013-2014. Comme le Ministère continue de développer ses capacités liées au CIRF, il faudra améliorer le cadre de travail actuel et les processus connexes.

Les essais liés au CIRF sont gérés en respectant le cycle annuel d'essais. Il faut près d'un an pour que l'impact des changements au cadre de travail ou aux processus connexes soit visible. Les versions du cadre de travail seront mises à jour à plusieurs reprises; elles seront évolutives et améliorées au fil des années.

En ce qui concerne les recommandations, des progrès seront réalisés en 2016-2017, mais les documents officiels, normalisés et approuvés ne seront pas complets avant le cycle de contrôle interne de 2017-2018.

La sous-ministre adjointe, Direction générale des services ministériels, est chargée de la mise en ?uvre des recommandations suivantes
No Recommandation Plan d'action de la gestion Date d'échéance

1

Voici la recommandation :

Réviser le cadre de contrôle et un plan pluriannuel axé sur les risques afin de s'assurer que les rôles et les responsabilités de l'unité chargée de la Politique sur le contrôle interne sont clairement définis; bien décrire les hypothèses quantitatives et qualitatives servant à attribuer le niveau de risque à chaque processus opérationnel sélectionné.

La direction accepte cette recommandation.

Le cadre de travail sera mis à jour pour clarifier les rôles et les responsabilités ainsi que les attentes quant aux hypothèses servant à déterminer l'importance relative à attribuer à un niveau de risque.

La mise à jour officielle s'effectuera en coordination avec la recommandation no 6.

Lors des évaluations des contrôles internes de 2016-2017, les hypothèses servant à affecter le niveau de risque seront étayées.

Août 2017

2

Voici la recommandation :

Bien étayer les contrôles automatisés dans les descriptions, les organigrammes et les matrices de risque et de contrôle afin d'assurer l'exhaustivité et la pertinence des documents liés aux processus.

La direction accepte cette recommandation.

Les trois parties des documents de contrôle (la description, l'organigramme, et les matrices de risque et de contrôle) seront mises à jour pour s'assurer que les éléments sont uniformes et comprennent toutes les informations, à mesure que les essais des processus sont réalisés.

Les mises à jour s'effectueront dans le cadre des essais des contrôles internes de 2016-2017, qui devraient prendre fin en août 2017.

3

Voici la recommandation :

Mener une analyse périodique en collaboration avec le responsable opérationnel afin de tester l'efficacité de la conception et l'efficacité opérationnelle.

La direction accepte la nécessité de mener une analyse des risques.

Dans le cadre des essais des contrôles internes de 2016-2017, une analyse des risques sera effectuée en collaboration avec les responsables opérationnels.
La façon d'étayer et de mener cette analyse sera reflétée dans la mise à jour du cadre de travail (recommandation no 6).

Une évaluation des risques des processus opérationnels sera effectuée dans le cadre des essais des contrôles internes de 2016-2017, qui devraient prendre fin en août 2017.

4

Voici la recommandation :

Indiquer l'approbation officielle du superviseur et sa signature sur les documents de contrôle afin de renforcer la reddition de comptes (tâche à effectuer par les responsables opérationnels).

La direction accepte cette recommandation.

Dans le cadre des essais des contrôles internes de 2016-2017, on sollicitera l'examen par les superviseurs; la signature des responsables opérationnels clés sera sollicitée dans le cadre des essais de la conception des contrôles.

Les mises à jour seront réalisées dans le cadre des essais des contrôles internes de 2016-2017, qui devraient prendre fin en août 2017

5

Voici la recommandation :

Utiliser un format et un modèle uniformes de la matrice de risque et de contrôle pour étayer et évaluer les contrôles. Définir et bien remplir les champs lors de la mise à jour de la documentation et de l'évaluation de l'efficacité de la conception et de l'efficacité opérationnelle.

La direction accepte cette recommandation.

Vu que le cadre de travail et certains processus opérationnels clés changeront en 2016-2017, il n'est pas encore possible de normaliser complètement les modèles. Dans le cadre des essais des contrôles internes de 2016-2017, INFC commencera à normaliser divers modèles couramment utilisés (p. ex. les renseignements de base et la normalisation).

La normalisation complète s'effectuera dès que le nouveau cadre de travail sera en place.

Août 2017

6

Voici la recommandation :

Faire en sorte que les protocoles des essais de contrôle respectent les stratégies d'échantillonnage et soient appliqués conformément au cadre de travail.
Si le cadre de travail ne reflète plus le contexte, les opérations et les risques d'Infrastructure Canada, il sera modifié.

La direction accepte cette recommandation.

Les activités et les risques du Ministère ont considérablement changé depuis la création du cadre de travail initial. Les protocoles d'essai et les stratégies d'échantillonnage seront mis à jour dans le cadre de la mise à jour globale du cadre de travail.

Depuis janvier 2016 et en attendant la mise à jour du cadre de travail, quand les protocoles d'essais et les stratégies d'échantillonnage diffèrent du cadre de travail, une explication de la méthodologie utilisée est incluse avec les essais de contrôles connexes.

Août  2017

7

Voici la recommandation :

Étayer suffisamment les essais de l'efficacité de la conception et de l'efficacité opérationnelle, en conservant les informations afin d'appuyer et d'étayer la nature et l'étendue des essais effectués par l'unité chargée de la Politique de contrôle interne.

La direction accepte cette recommandation.

Depuis janvier 2016, les documents liés aux essais de contrôles sont conservés pour appuyer les travaux effectués.

Janvier 2016

8

Voici la recommandation :

Bien définir, dans les rapports d'étape sur les plans d'action de la gestion en matière de contrôles internes découlant des activités de surveillance, si des mesures correctives ont été mises en ?uvre en respectant les dates d'achèvement initialement approuvées, et bien les montrer en se basant sur le classement des risques.

La direction accepte cette recommandation.

Depuis janvier 2016, les changements ou les prolongements des plans d'action de contrôles internes sont officiellement suivis et surveillés.

Janvier 2016

Annexe A

Contrôles au niveau de l'entité : contrôles qui influencent l'organisation au niveau le plus élevé et qui ont des répercussions sur l'efficacité globale du système de contrôles internes. C'est par leur biais que la direction donne le ton.

Contrôles au niveau des opérations (contrôles des processus opérationnels) : contrôles intégrés à la consignation au jour le jour de l'information financière (c.-à-d. créditeurs, créances, recettes et dépenses). Le rendement et l'efficacité de ces contrôles contribuent à l'efficacité des contrôles au niveau de l'entité.

Les contrôles généraux liés à la technologie de l'information (CGTI) consistent en deux types de contrôles : les contrôles généraux et les contrôles des applications. Tout comme dans le cas des contrôles au niveau de l'entité, ils donnent le ton en ce qui concerne l'environnement de la TI dans son ensemble. Ils s'attachent principalement à l'accès logique et à la de gestion des modifications dans les systèmes essentiels pour les rapports financiers. Les contrôles d'applications sont intégrés à diverses applications servant à traiter les transactions et ils sont évalués dans le cadre de l'examen du contrôle au niveau des opérations.

Efficacité de la conception : la conception d'un contrôle interne comprend l'étude des informations servant à effectuer le contrôle, l'expérience et les connaissances des individus désignés pour réaliser efficacement le contrôle, les délais, la nature du contrôle ainsi que les résultats prévus ou les éléments probants du contrôle.

Efficacité opérationnelle : l'efficacité avec laquelle un contrôle fonctionne est une fonction de l'uniformité de son opération. Les contrôles clés devraient fonctionner comme prévu de façon uniforme sans exception.

Contrôles automatisés : les contrôles sont effectués par des systèmes informatiques ou renforcés par des paramètres de sécurité des systèmes.

Clôture des états financiers : le processus d'accumulation et les rajustements de fin de période d'inversion dans les états financiers. Ce processus vise à assurer l'exhaustivité et l'exactitude des éléments d'actif et de passif qui répondent à la définition des éléments d'actif et de passif qui seront accumulés conformément à la méthode de comptabilité pertinente (Normes internationales d'information financière et Principes comptables généralement reconnus au Canada).

Cycle de l'approvisionnement au paiement : début du processus d'achat depuis la demande initiale d'un bien ou service à la facture et à l'approbation subséquente du paiement [art. 34 de la Loi sur la gestion des finances publiques (LGFP)] et le déblocage de fonds (art. 33 de la LGFP) pour un bien ou service acheté au moyen du processus de passation de marchés. L'objectif est de s'assurer que les achats ont été amorcés, approuvés, reçus et les paiements sont exacts, rapides et autorisés conformément aux politiques d'approvisionnement d'Infrastructure Canada et du Conseil du Trésor, et qu'ils sont consignés avec exactitude dans le système financier.

Liste de paie : la création, la modification et la fin des services d'emploi avec Infrastructure Canada et ses employés. L'objectif consiste à s'assurer de la consignation exacte et rapide de la paie, des avantages sociaux et des changements du statut d'emploi des individus au sein d'Infrastructure Canada et de l'impact de ces changements sur les états financiers connexes.

Paiement de transfert (géré par Infrastructure Canada) : le processus d'approbation et de surveillance des ententes de contribution, de traitement et de paiement des demandes de remboursement et des avances. L'objectif consiste à s'assurer que les ententes de contribution sont autorisées, l'information financière est exactement consignée dans le système financier et les demandes de remboursement ainsi que les avances sont traitées, admissibles, payées et enregistrées rapidement et avec exactitude dans le système financier.

Paiement de transfert [géré par les partenaires d'exécution fédéraux (PEF)] : le processus d'approbation et de surveillance des ententes de contribution et du transfert de paiement aux PEF. L'objectif consiste à s'assurer que ces ententes et les dépenses connexes sont autorisées et l'information financière est consignée exactement et rapidement dans le système financier. Les paiements de transfert qui sont gérés par les PEF comprennent les protocoles d'entente (PE) et les ententes sur les niveaux de service qui permettent de déléguer le traitement des demandes de remboursement et les paiements versés aux PEF.

Annexe B

Étapes concernant la documentation, l'évaluation et les rapports sur le contrôle interne en matière de rapports financiers3

Mise à jour de la documentation

  • Mettre à jour, chaque année, les documents de contrôle concernant les changements en collaboration avec les responsables des opérations financières pour tous les processus opérationnels désignés.
  • Mener l'évaluation des risques afin de s'assurer que les changements apportés aux processus et aux systèmes sont pris en compte. Actualiser l'évaluation des risques pour chaque domaine utilisant une matrice des risques.

Essais de l'efficacité de la conception

  • Évaluer l'efficacité de la conception du contrôle interne en matière de rapports financiers, en ce qui concerne les processus opérationnels sélectionnés et étayer les résultats de l'évaluation.

Essais de l'efficacité opérationnelle

  • Évaluer l'efficacité opérationnelle du contrôle interne en matière de rapports financiers en ce qui concerne les processus opérationnels sélectionnés et étayer les résultats de l'évaluation.

Déceler et combler les lacunes

  • Déceler, accumuler et évaluer les lacunes conceptuelles et opérationnelles dans les contrôles, communiquer les constatations et combler les lacunes.

Faire un rapport sur le contrôle interne

  • Préparer l'assurance écrite de la direction en ce qui concerne l'efficacité du contrôle interne en matière de rapports financiers.

Annexe C

Processus opérationnel de l'approvisionnement au paiement

1- GÉRER LES ENGAGEMENTS

P2P-1

  • Obtention des pouvoirs d'engagement et de conlusion des marchés pour la demande de contrat de service auprès des personnes compétentes.

2- GÉRER LES CONTRATS

P2P-2

  • Approbation des contrats par le Comité d'examen des acquisitions (CEA).

P2P-3

  • Examen des contrats et signature de la liste de contrôle pour les contrats et l'approvisionnement dûment remplie par l'agent de négociation des contrats.

P2P-4

  • Signature des contrats par l'autorité chargée des contrats et l'autorité chargée d'engager des dépenses (article 32) et le fournisseur.

3- GÉRER LES PAIEMENTS

P2P-5

  • Examen et approbation des factures et des documents à l'appui par le gestionnaire de centre financier (GCF) ayant les pouvoirs délégués de signer des documents financiers en vertu de l'article 34 de la Loi sur la gestion des finances publiques (LGFP).

P2P-6

  • Examen des renseignements sur les paiements par le commis aux finances dans le SIFM et mise en attente de la transaction.

P2P-7

  • Examen des documents par l'agent financier, approbation du paiement attestant l'article 33 et enregistrement de la transaction.

Processus opérationnel de gestion des paiements de transfert

1- GÉRER LES ENGAGEMENTS

TPV1-1

  • Le ministre d'Infrastructure Canada signe l'entente (art. 32).

TPV1-2

  • L'agent financier entre l'engagement total pour le projet dans le Système de gestion de l'information sur les programmes (SGIP) conformément à l'entente.

TPV1-3

  • L'analyste financier chargé des paiements de transfert vérifie et crée un engagement dans le SGIP conformément à l'entente et au calendrier de flux de trésorerie.

2- GÉRER LES PAIEMENTS

TPV1-4

  • L'unité chargée des remboursements vérifie et approuve la demande de remboursement. L'analyste des programmes vérifie et approuve la demande d'avance de fonds.

TPV1-5

  • Le formulaire de paiement de contribution est certifié en vue de l'art. 34 de la LGFP par la SMA de la DGOP.

TPV1-6

  • L'agent financier effectue l'assurance de la qualité concernant le paiement.

TPV1-7

  • Le gestionnaire du SCGF approuve l'assurance de la qualité.

TPV1-8

  • Certification en vertu de l'art. 33 de la LGFP conformément aux pouvoirs délégués.

TPV1-9

  • Le commis aux finances préenregistre la demande de paiement de transfert.

TPV1-10

  • L'agent financier vérifie et enregistre le paiement dans le SIFM.

TPV1-11

  • Chaque mois, l'agent financier rapproche et surveille les paiements de transfert aux bénéficiaires.

Paiement de transfert – Processus opérationnels des PEF

1- GÉRER LES ENGAGEMENTS

TPV2-1

  • Le ministre conclut une entente de contribution (EC) avec le bénéficiaire.

TPV2-2

  • L'agent financier entre l'engagement total pour le projet dans le SGIP. Le statut de l'EC dans le SGIP est "signé".

2- PAIEMENT AUX PARTENAIRES D'EXÉCUTION FÉDÉRAUX (PEF)

TPV2-3

  • Avance de fonds : l'agent financier crée un engagement en vue d'une avance au PEF dans le SGIP.
  • Dépenses : l'agent financier crée un engagement aux fins de dépenses et réduit l'engagement en vue d'une avance au PEF dans le SGIP.

TPV1-4

  • Approbation de l'adjoint au dirigeant principal des finances (ADPF).

TPV2-5

  • Avance de fonds : le commis aux finances préenregistre le paiement au PEF dans le SIFM.
  • Dépenses : le commis aux finances préenregistre les pièces de journal (PJ) pour reconnaître les dépenses dans le SFIM.

TPV2-6

  • Avance de fonds : l'agent financier vérifie et enregistre le paiement au PEF.
  • Dépenses : l'agent financier vérifie et enregistre la PJ pour reconnaître les dépenses dans le SFIM.

TPV2-7

  • Chaque mois, l'agent financier rapproche et surveille les paiements de transfert aux PEF.

Processus opérationnel de clôture des états financiers

1- CRÉATION DES CAFES

1.1 Paiement de transfert

FS-1

  • Le directeur de la DGOP effectue une vérification et une certification provisoires en vertu de l'art. 34.

FS-2

  • L'agent financier vérifie la demande de CAFE et les documents à l'appui.

1.2 Exploitation

FS-3

  • Le gestionnaire de la Direction ou l'ADPF effectue une vérification et une certification provisoires en vertu de l'art. 34.

1.3 Pour tous les CAFE

FS-4

  • L'ADPF ou l'agent financier effectue une vérification et une certification provisoires en vertu de l'art. 33 concernant les CAFE.

FS-5

  • L'agent financier vérifie l'information et traite le CAFE dans le SFIM.

2- RÈGLEMENT DES CAFE

2.1 CAFE DES AM

FS-6

  • Le gestionnaire de la Direction ou l'ADPF examine et approuve la facture pour les CAFE (art. 34).

FS-7

  • L'agent financier reçoit les factures pour les dépenses de fonctionnement et les salaires et effectue la certification en vertu de l'art. 33.

FS-8

  • Le gestionnaire des Services consultatifs financiers en paiements de transfert (SCFPT) approuve les rapports en suspens de CAFE liés aux paiements de transfert.

3- CRÉATION ET RÈGLEMENT DES DAFE

FS-9

  • L'ADPF examine et approuve les DAFE concernant le paiement de transfert géré par les PEF.

FS-10

  • Le commis aux finances vérifie les débiteurs à la fin de l'exercice (DAFE), crée et préenregistre les factures ainsi que les PJ dans le SFIM.

FS-11

  • L'agent financier examine et approuve les DAFE dans le SIFM.

4- RÉGULARISATIONS SPÉCIALES

FS-12

  • Les pièces de journal de comptes courus (PJCC) sont examinées et approuvées par le dirigeant principal de la comptabilité (DPC).

FS-13

  • Le commis aux finances entre les PJ et les préenregistre dans le SIFM.

FS-14

  • L'agent financier effectue la vérification et l'enregistrement dans le SIFM.

5- FIN D'EXERCICE

FS-15

  • L'agent financier prépare les rapports de rapprochement et les PJ, et le dirigeant principal des finances effectue la vérification et l'approbation.

FS-16

  • Le commis aux finances entre les pièces ce journal (PJ) et le dirigeant principal des finances effectue la vérification et l'enregistrement dans le SIFM.

FS-17

  • Le dirigeant principal des finances approuve la liste de contrôle de balance de vérification.

FS-18

  • L'ADPF signe le certificat d'attestation pour la balance de vérification.

FS-19

  • Le DPF et le SM signent la lettre de déclaration.

FS-20

  • L'agent financier clôt la période comptable de fin d'exercice.

FS-21

  • L'ébauche définitive des états financiers est signée par le DPF et le SM.

Notes de bas de page

Note de bas de page 1

http://www.oag-bvg.gc.ca/internet/Francais/parl_oag_201311_01_f_38795.html#hd5a

Retour à la référence de la note de bas de page 1

Note de bas de page 2

http://www.oag-bvg.gc.ca/internet/Francais/parl_oag_201311_01_f_38795.html#hd5a

Retour à la référence de la note de bas de page 2

Note de bas de page 3

Adaptation du document de KPMG s'intitulant « Assessing Internal Control over Financial Reporting : A Guide for Implementing »

Retour à la référence de la note de bas de page 3

Date de modification :