Sécurité publique Canada Vérification du contrôle interne en matière de rapports financiers
Mars 2017
Table des matières
- Sommaire
- 1 Introduction
- 2 Conclusion, recommandations et réponses de la direction
- 2.1 Le cadre et les processus ministériels ont été élaborés pour soutenir les contrôles internes en matière de rapports financiers
- 2.2 Les contrôles d'application automatisés pertinents soutenus par la GRC n'ont jamais été documentés ni confirmés
- 2.3 Les contrôles au niveau de l'entité visant à soutenir les rapports financiers ont besoin d'être mis à l'essai et surveillés en fonction d'un cycle approprié
- 2.4 Conclusion générale
- 2.5 Réponse et plan d'action de la direction
- Annexe A : Critères de vérification
- Annexe B : Échelle d’opinion de la direction générale de la vérification interne et de l’évaluation
Sommaire
Contexte
En 2009, le Conseil du Trésor (CT) a instauré la Politique sur le contrôle interneNote de bas de page1 (PCI ou la Politique) exigeant que tous les risques liés aux finances publiques soient gérés adéquatement par le truchement de ce qui suit :
- un système de contrôle interne efficace axé sur les risques;
- un système efficace de contrôle interne en matière de rapports financiers (CIRF), comme souligné dans la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers du Ministère.
Le système de CIRF, qui est un sous-ensemble de la Politique sur le contrôle interne, fournit des évaluations supplémentaires de sorte que :
- les dossiers reflétant les opérations financières sont maintenus;
- l'inscription des opérations financières permet la production de rapports sur les renseignements et les états financiers internes et externes conformément aux politiques, directives et normes;
- les revenus sont reçus et les dépenses sont faites conformément aux pouvoirs délégués, et les opérations non autorisées qui pourraient avoir des répercussions importantes sur l'information financière et les états financiers sont empêchées ou repérées en temps opportun. Cela inclut que les ressources financières sont protégées contre les pertes importantes découlant d'un gaspillage, d'abus, d'une mauvaise gestion, d'erreurs, de fraudes, d'omissions et d'autres irrégularités.
Sécurité publique Canada (SP ou le Ministère) a terminé son processus initial de détermination, de documentation, de mise à l'essai et de prise de mesures correctives à l'égard des principaux CIRF et a établi un plan de surveillance cyclique qui est en cours depuis le 1er avril 2014.
Comme il est indiqué dans la Politique et le Cadre de contrôle interne fondé sur les risques de SP, le dirigeant principal des finances (DPF) et les autres cadres supérieurs du Ministère sont responsables de satisfaire à l'exigence concernant un système efficace de CIRF.
Grâce à la refonte de sa politique, le CT a publié une version provisoire de la nouvelle Politique sur la gouvernance en matière de gestion financière. La politique devrait entrer en vigueur le 1er avril 2017, et remplacera toutes les politiques sur la gestion financière, y compris la Politique sur le contrôle interne. Nonobstant la mise en œuvre de cette nouvelle politique, l'élaboration, la surveillance et l'entretien d'un système de contrôle interne ministériel en matière de gestion financière axé sur les risques seront quand même nécessairesNote de bas de page2.
Le sous-ministre a approuvé la présente vérification dans le cadre du Plan de vérification axé sur les risques pour 2015-2016.
Objectif et portée de la vérification
La vérification avait pour objectif de donner une assurance raisonnable que le processus de contrôle des processus financiers clés est approprié et efficace afin de soutenir la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers annuelle du Ministère.
La portée de la vérification a été concentrée spécifiquement sur le CIRF puisqu'il a été identifié comme le risque le plus élevé pendant la phase de planification. Les contrôles internes ministériels restants seront évalués / examinés par le biais de futurs vérifications et projets consultatifs.
Dans le cadre de la vérification, on a examiné le cadre de gouvernance ministériel visant à établir un système de CIRF efficace. La vérification n'a pas évalué si l'efficacité opérationnelle des contrôles avait été atteinte, les processus et les contrôles hors du champ des responsabilités du DPF, ni les processus en place au sein des organismes centraux pour évaluer le système de CIRF pour les contrôles qui ont une incidence sur les relevés financiers du Ministère.
La vérification couvrait la période de 18 mois allant du 1er avril 2014 au 31 décembre 2015, laquelle comprenait la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers du 31 mars 2015. La période visée par la vérification incluait aussi les récentes activités de surveillance continue et de suivi qui ont eu lieu au cours des trois premiers trimestres de l'exercice 2015-2016 et les documents à l'appui en date du 31 mars 2016. De plus, d'autres documents de politiques et des renseignements supplémentaires concernant les contrôles généraux liés à la technologie de l'information (CGTI) ont été pris en compte le 20 janvier 2017.
Résumé des constatations
Il a été indiqué que le Ministère avait respecté les attentes établies dans les domaines suivants :
- Une structure de gouvernance efficace est en place pour surveiller les CIRF;
- Un cadre de documentation et de mise à jour périodique des CIRF est en place;
- Un programme de surveillance faisant l'objet d'une application et de rapports constants est établi; et
- Un processus est en place afin que l'on puisse en arriver à une entente sur les mesures correctives qui découlent des activités de surveillance continue, les surveiller et en rendre compte périodiquement.
En fonction des procédures, comme l'examen des documents, les entrevues avec des employés clés et les mises à l'essai par échantillonnage, la vérification a permis de relever deux domaines où des améliorations pourraient être envisagées afin de soutenir les CIRF du Ministère :
- SP n'a pas documenté les principaux contrôles d'application, qui font partie de l'ensemble du processus de CGTI qu'il compte faire surveiller par la Gendarmerie royale du Canada (GRC), qui héberge le système financier de SP. Sans la détermination des contrôles automatisés des applications pour atténuer les risques financiers existants et confirmer la couverture de la surveillance, SP n'a pas l'assurance que les contrôles attendus font l'objet d'une mise à l'essai et d'une surveillance pour soutenir son système de CIRF.
- Même si le programme de surveillance des CIRF de SP inclut les principaux domaines de contrôle pertinents, les activités de surveillance des contrôles au niveau de l'entité (CNE) qui soutiennent le système de CIRF n'ont pas été mises à l'essai depuis la mise à l'essai de l'efficacité opérationnelle initiale réalisée en 2013.
Opinion du vérificateur
Deux améliorations mineuresNote de bas de page3 relatives au processus de surveillance des principaux processus financiers sont nécessaires pour renforcer le système de CIRF de manière à soutenir la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers annuelle du Ministère.
Énoncé de conformité et d'assurance
Des procédures de vérification suffisantes et appropriées ont été effectuées, et les éléments probants ont été rassemblés pour étayer l'exactitude de l'opinion formulée dans le présent rapport. L'opinion repose sur une comparaison des conditions, telles qu'elles se présentaient au moment de la vérification, avec des critères de vérification préalablement établis et approuvés par la direction. L'opinion s'applique seulement à l'entité qui a fait l'objet de l'examen et dans les limites de la portée décrite dans le présent document. Les éléments probants ont été recueillis conformément à la Politique sur la vérification interne et à la Directive sur la vérification interne du Conseil du Trésor. La présente vérification respecte les Normes relatives à la vérification interne au sein du gouvernement du Canada, comme le confirment les résultats du programme d'assurance et d'amélioration de la qualité. Les procédures utilisées respectent les normes professionnelles de l'Institute of Internal Auditors (IIA). Les éléments probants recueillis sont suffisants pour convaincre la haute direction du bien-fondé de l'opinion découlant de la vérification interne.
Recommandations
- Le sous-ministre adjoint, Secteur de la gestion ministérielle (SGM), devrait faire ce qui suit :
- Identifier et documenter les contrôles d'application du SAP sur lesquels s'appuie SP.
- Faire ressortir les contrôles du SAP pris en charge par la GRC.
- Communiquer avec la GRC afin d'identifier les contrôles spécifiques d'application automatisés du SAP qu'elle surveille.
- Évaluer si les contrôles clés établis suffisent pour aborder les risques cernés par le Ministère.
- Établir des contrôles compensatoires là où la couverture de la GRC est jugée insuffisante.
- Le sous-ministre adjoint, SGM, devrait prendre les mesures suivantes :
- Examiner et harmoniser les CNE qui s'appliquent au système de CIRF.
- Mettre en œuvre une approche et un cycle de surveillance continue à l'égard des CNE identifiés, qui seront intégrés au programme général de surveillance des CIRF de SP.
Réponse de la direction
La direction accepte les recommandations de l'équipe de la Vérification interne.
La section intitulée Réponse et plan d'action de la direction du rapport énonce les mesures que la direction prendra pour aborder les conclusions et les recommandations de la vérification.
Signature du DPVE
____________________________
Membres de l'équipe de vérification
Denis Gorman, dirigeant principal de la vérification et de l'évaluation
Gabrielle Duschner, directrice, Division de la vérification interne et l'évaluation
Sonja Mitrovic, chef de projet de la vérification interne
Sophie Carrier, vérificatrice principale
Cathy Kwan, vérificatrice
PricewaterhouseCoopers, société d'experts-conseils
Remerciements
L'équipe de la Vérification interne tient à remercier toutes les personnes ayant fourni des conseils et de l'aide au cours de la vérification.
1 Introduction
1.1 Contexte
En vertu de la Politique sur le contrôle interne (PCI ou la Politique) de 2009 du Conseil du Trésor, les rapports doivent montrer de façon transparente et responsable de quelle manière le gouvernement dépense les fonds publics en vue d'obtenir des résultats pour les Canadiens et les Canadiennes. La politique prévoit ce qui suit :
- des systèmes de contrôle interne efficaces, basés sur les risques, sont en place dans chaque ministère et sont adéquatement maintenus, suivis et évalués, avec des mesures correctives apportées en temps opportun lorsque des problèmes sont identifiés (section 5.2.1);
- un système de contrôle interne efficace en matière de rapports financiers (CIRF) est en place telle que le démontre la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers du Ministère (section 5.2.2).
Le sous-ministre est responsable de l'établissement, du maintien et de la surveillance du système de contrôle interne ministériel en matière de gestion financière. De plus, en signant annuellement la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers du Ministère, en vertu de la politique, le sous-ministre :
- reconnaît la responsabilité de la direction d'assurer le maintien d'un système ministériel efficace de CIRF;
- reconnaît l'exécution d'une évaluation annuelle du système de CIRF qui est basée sur les risques afin de déterminer l'efficacité continue du système;
- reconnaît l'établissement d'un plan d'action adressant tout problème important identifié dans le cadre de l'évaluation annuelle de l'efficacité du système de CIRF;
- comprend un résumé des résultats de l'évaluation du système de CIRF et des mesures prises pour corriger tout problème important (section 6.1.2).
Comme il est indiqué à la section 3.6 de la politique : « le DPF soutient l'administrateur général en établissant et en tenant à jour des systèmes de contrôle interne pour la gestion financière, y compris les rapports financiers et les comptes du ministère. D'autres cadres supérieurs du ministère établissent et tiennent à jour un système de contrôle interne pour leurs secteurs de responsabilité, tout en se conformant au cadre de contrôle interne du ministèreNote de bas de page4 ».
Conformément à la Politique, Sécurité publique (SP) a établi un Cadre de contrôle interne basé sur les risques qui énoncent ces responsabilités, comme décrit dans le graphique suivantNote de bas de page5 :
Graphique 1
Description de l'image
Le sous-ministre (SM), qu'administrateur des comptes, est responsable du vaste système de contrôle interne. Le dirigeant principal des finances (DPF) soutient l'administrateur général en établissant et en tenant à jour le système de contrôle interne pour la gestion financière, y compris les rapports financiers et les comptes du ministère. Les sous-ministres adjoints (SMA) établissent et tiennent à jour un système de contrôle interne pour leurs secteurs de responsabilité, tout en se conformant au cadre de contrôle interne du ministère, du système de contrôles internes en matière de gestion financière (CIGF) et du système de contrôles internes en matière de rapports financiers (CIRF). Les nouvelles exigences de politique sont axées sur les CIRF.
Le Cadre de contrôle interne axé sur les risques de SP porte sur les contrôles internes en matière de rapports financiers (CIRF), qui « donnent l'assurance à la direction et au lecteur que les affirmations formulées dans le rapport sont viables et qu'elles facilitent les comparaisons avec des organismes semblablesNote de bas de page6 ». Pour assurer l'intégrité des renseignements financiers, les CIRF fournissent une évaluation plus poussée selon laquelle :
- Les dossiers reflétant les opérations financières sont maintenus.
- L'inscription des opérations financières permet la production de rapports sur les renseignements et les états financiers internes et externes conformément aux politiques, directives et normes.
- Les revenus sont reçus et les dépenses sont faites conformément aux pouvoirs délégués, et les opérations non autorisées qui pourraient avoir des répercussions importantes sur l'information financière et les états financiers sont empêchées ou repérées en temps opportun. Cela inclut que les ressources financières sont protégées contre les pertes importantes découlant d'un gaspillage, d'abus, d'une mauvaise gestion, d'erreurs, de fraudes, d'omissions et d'autres irrégularités.
Comme il est indiqué dans le graphique ci-dessous sur le système de contrôle interne de SP, les CIRF sont composés des principaux contrôles suivants : les contrôles généraux liés à la technologie de l'information (plus particulièrement le SAP), les subventions et contributions, les dépenses de fonctionnement, les dépenses en immobilisation, la clôture financière, la rémunération et la gestion des recettes/débiteurs.
Graphique 2
Description de l'image
Cadre de contrôle interne
Le présent document reconnaît la responsabilité de Sécurité publique Canada de maintenir un système efficace de contrôle interne et oriente le Ministère lorsqu'il réalise des évaluations nécessaires de l'efficacité de son système de contrôle interne en matière de rapports financiers. Il détaille le cadre de l'approche axée sur les risques du Ministère à l'égard des contrôles internes en matière de rapports financiers (CIRF) et ses processus continus conçus pour déterminer, prioriser et établir les contrôles afin d'atténuer ces risques.
Contrôles internes en matière de rapports financiers
Les contrôles visent-ils à améliorer la fiabilité des états financiers en réduisant le risque d'erreurs importantes ou d'inexactitudes afin de produire des rapports qui sont présentés en conformité avec les politiques du Conseil du Trésor (CT) et la Loi sur la gestion des finances publiques (LGFP).
Environnement de contrôle : contrôles au niveau de l'entité
Contrôles généraux liés à la technologie de l'information
SAP
Le SAP est hébergé par la GRC et bon nombre des responsabilités liées aux CGTI incombent à la GRC puisqu'elle héberge le système, et cela est conforme avec l'initiative de regroupement des systèmes à l'échelle du gouvernement. Seuls les contrôles dont SP est responsable sont mis à l'essai en vue d'évaluer l'efficacité opérationnelle.
Activité de contrôle : Subventions et contributions
Activité de contrôle : Dépenses de fonctionnement (approvisionnement au paiement)
Dépenses en immobilisations
Évaluations de la surveillance des contrôles internes
Sécurité publique Canada (SP) a mis en œuvre un processus visant à surveiller les contrôles internes en matière de rapports financiers dans le cadre de sa réponse à la PCI. Cela fournit au sous-ministre de SP l'assurance que le système de contrôle interne en matière de rapports financiers est efficace.
Certifications de la haute direction relativement aux CIRF
Déclaration de responsabilité de la direction englobant le CIRF
Fournit aux utilisateurs des états financiers des renseignements sommaires qui démontrent la façon dont le système de CIRF du Ministère est géré par le truchement de la surveillance d'évaluations et de plans de mesures correctives connexes. La déclaration est signée par le sous-ministre et le dirigeant principal des finances, introduit les états financiers du Ministère et reconnaît ce qui suit :
- Reconnaît la responsabilité de la direction d'assurer le maintien d'un système ministériel efficace de CIRF;
- Reconnaît l'exécution d'une évaluation annuelle du système de CIRF qui est fondée sur les risques afin de déterminer l'efficacité continue du système;
- Reconnaît l'établissement d'un plan d'action abordant tout problème important cerné dans le cadre de l'évaluation annuelle de l'efficacité du système de CIRF; et
- Inclut un résumé des résultats de l'évaluation du système du CIRF et des mesures prises pour corriger tout problème important (section6.1.2).
États financiers annuels
Clôture financière
Rémunération
Gestion des recette/débiteurs
En plus d'établir une structure de gouvernance et des cadres de contrôle de la gestion appropriés, SP a terminé son processus initial de détermination, de documentation, de mise à l'essai et de prise de mesures correctives à l'égard des principaux CIRF et a mis sur pied un plan de surveillance cyclique qui est en cours depuis le 1er avril 2014. L'Unité du contrôle interne (UCI), au sein de la Direction générale des services financiers, des systèmes et de la gestion des ressources, du Secteur de la gestion ministérielle, est responsable de la surveillance continue. L'UCI présente les résultats liés à la surveillance continue à la direction afin d'établir des plans d'action. Le Comité ministériel de vérification (CMV) assure une surveillance des résultats et des plans d'action connexes et fournit des conseils à cet égard. Un sommaire des activités de surveillance continue et des résultats est inclus dans l'Annexe à la Déclaration de responsabilité de la direction des états financiers ministériels.
Grâce à la refonte de sa politique, le CT a publié une version provisoire de la nouvelle Politique sur la gouvernance en matière de gestion financière. La politique devrait entrer en vigueur le 1er avril 2017, et remplacera toutes les politiques sur la gestion financière, y compris la Politique sur le contrôle interne. Nonobstant la mise en œuvre de cette nouvelle politique, l'élaboration, la surveillance et l'entretien d'un système de contrôle interne ministériel en matière de gestion financière axé sur les risques seront quand même nécessairesNote de bas de page7.
1.2 Objectif de la vérification
L'objectif de la vérification était d'évaluer que le processus de contrôle des principaux processus financiers est approprié et efficace afin de soutenir la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers annuelle du Ministère.
1.3 Portée et méthode
La portée de la vérification a été concentrée spécifiquement sur le CIRF puisqu'il a été identifié comme le risque le plus élevé pendant la phase de planification. Les contrôles internes ministériels restants seront évalués / examinés par le biais de futurs vérifications et projets consultatifs.
Dans le cadre de la vérification, on a examiné le cadre de gouvernance ministériel visant à établir un système de CIRF efficace. Elle couvrait la période de 18 mois allant du 1er avril 2014 au 31 décembre 2015, laquelle comprenait la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers du 31 mars 2015. La période visée par la vérification incluait aussi les récentes activités de surveillance continue et de suivi qui ont eu lieu au cours des trois premiers trimestres de l'exercice 2015-2016 et les documents à l'appui en date du 31 mars 2016. De plus, d'autres documents de politiques et des renseignements supplémentaires concernant les contrôles généraux liés à la technologie de l'information (CGTI) ont été pris en compte le 20 janvier 2017.
Exceptions :
La portée de la vérification n'inclut pas ce qui suit :
- la mise à l'essai des opérations afin d'évaluer si l'efficacité opérationnelle des contrôles a été atteinte;
- les processus et contrôles qui ne relèvent pas du DPF;
- les processus en place au sein des organismes centraux pour évaluer le système de CIRF afin de déterminer si les contrôles ont une incidence sur les états financiers du Ministère.
Le sous-ministre a approuvé la présente vérification dans le cadre du Plan de vérification axé sur les risques pour 2015-2016.
1.4 Opinion du vérificateur
Deux améliorations mineuresNote de bas de page8 relatives au processus de surveillance des principaux processus financiers sont nécessaires pour renforcer le système de CIRF de manière à soutenir la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers annuelle du Ministère.
1.5 Énoncé de conformité et d'assurance
Des procédures de vérification suffisantes et appropriées ont été effectuées, et les éléments probants ont été rassemblés pour étayer l'exactitude de l'opinion formulée dans le présent rapport. L'opinion repose sur une comparaison des conditions, telles qu'elles se présentaient au moment de la vérification, avec des critères de vérification préalablement établis et approuvés par la direction. L'opinion s'applique seulement à l'entité qui a fait l'objet de l'examen et dans les limites de la portée décrite dans le présent document. Les éléments probants ont été recueillis conformément à la Politique sur la vérification interne et à la Directive sur la vérification interne du Conseil du Trésor. La présente vérification respecte les Normes relatives à la vérification interne au sein du gouvernement du Canada, comme le confirment les résultats du programme d'assurance et d'amélioration de la qualité. Les procédures utilisées respectent les normes professionnelles de l'Institute of Internal Auditors. Les éléments probants recueillis sont suffisants pour convaincre la haute direction du bien-fondé de l'opinion découlant de la vérification interne.
2 Conclusion, recommandations et réponses de la direction
2.1 Le cadre et les processus ministériels ont été élaborés pour soutenir les contrôles internes en matière de rapports financiers
Un cadre établi, la documentation des processus financiers, la détermination de tous les contrôles clés et l'évaluation continue de leur efficacité et de leur pertinence pour soutenir les contrôles internes en matière de rapports financiers sont nécessaires pour atteindre les résultats attendus relatifs à la politique. Cela inclut des processus établis permettant aux organismes de surveillance d'examiner les résultats des activités de surveillance et d'assurer un suivi des recommandations.
SP a établi une structure de gouvernance officielle pour assurer une saine gestion financière, incluant les CIRF. Les principaux organismes de surveillance comprennent le Comité de gestion ministériel (CGM), lequel est présidé par le sous-ministre (SM), et le Comité ministériel de vérification (CMV), présidé par un membre externe. Le mandat du CGM décrit ses responsabilités en matière de surveillance des contrôles internes du Ministère relatifs au cycle financier annuel. La charte du CMV inclut la responsabilité d'examiner la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers annuelle et de fournir des conseils au sous-ministre quant à l'efficacité des CIRF.
Le CGM a pris connaissance des exposés concernant tous les résultats liés à la surveillance des CIRF, dont les mesures prises en conséquence ont été documentées dans des comptes rendus de décision. En outre, le CMV a reçu des mises à jour périodiques de toute mesure corrective émanant de la mise à l'essai/des résultats de la surveillance continue. Le CMV examine l'Annexe à la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers, qui présente en détail les progrès réalisés au cours de l'année, les résultats et les activités prévues pour l'année à venir.
SP a établi un Cadre de contrôle interne basé sur les risques qui comprend les contrôles internes en matière de gestion financière (CIGF) et les contrôles internes en matière de rapports financiers (CIRF). Le Cadre souligne les principaux principes permettant de déterminer les risques et les critères pour effectuer une évaluation des risques. Il fournit également des lignes directrices sur la surveillance fondée sur des seuils de financement.
L'UCI a établi une approche basée sur les risques pour la surveillance continue des CIRF. Les processus financiers à « risque élevé » sont surveillés, au plus une fois par année, tandis que d'autres processus sont mis à l'essai tous les trois ans.
SP a élaboré des organigrammes et des descriptions connexes pour décrire et mettre en relief les principaux contrôles afin de soutenir l'exactitude des états financiers. Les secteurs valident et mettent à jour, au besoin, les organigrammes et les descriptions. L'UCI établit ensuite un plan de mise à l'essai et examine un échantillon d'opérations. En cas de lacunes en matière de contrôle, on formule des recommandations aux responsables du processus qui élaborent des plans d'action dotés de dates cibles. L'UCI suit la mise en œuvre et fait le suivi pour s'assurer que les plans d'action sont parachevés. Pour tous les processus mis à l'épreuve en 2014-2015 et en 2015-2016, l'UCI a communiqué les résultats pour lesquels des plans d'action avaient été établis.
SP a une structure de gouvernance établie, un cadre de contrôle interne et un programme de surveillance officiel permettant de déterminer les CIRF et d'en faire la surveillance.
2.2 Les contrôles d'application automatisés pertinents soutenus par la GRC n'ont jamais été documentés ni confirmés
Le SAP est le système financier d'entreprise du Ministère. Il s'agit du système source pour les principaux processus financiers, y compris l'approvisionnement au paiement et la paye (en fonction des renseignements fournis aux organismes centraux), et il s'avère financièrement pertinent pour les CIRF. Dans le cadre de la vérification, on s'attendait à trouver un programme de surveillance qui comprend un processus établi permettant de mettre à l'essai et de faire état des contrôles d'application automatisés liés au SAP. Comme la GRC héberge le SAP du Ministère, nous nous attendions à ce qu'une approche s'appuyant sur les contrôles d'application automatisés maintenus par l'hôte soit en place.
Comme il a été noté dans l'Annexe relative aux états financiers ministériels, un protocole d'entente (PE) existe entre SP et la GRC, exposant les rôles et les responsabilités qui soutiennent l'utilisation du SAP par le Ministère. Plus précisément, la GRC est obligée de fournir des services de dépannage et des séances de formation des formateurs pour toutes les mises à niveau ou les versions du SAP. À la lumière des entrevues réalisées, SP a un accès direct et rapide à l'équipe de soutien de la GRC. De plus, SP a le plein contrôle de l'accès des utilisateurs au SAP et de la gestion des fournisseurs (voir le graphique 2). Pour offrir un accès au SAP et un soutien à cet égard aux utilisateurs de SP, le groupe responsable des systèmes financiers du Ministère a élaboré une formation et des normes de service, qui sont actuellement en cours de révision.
En examinant les processus échantillonnés et les activités de surveillance connexes, on a souligné qu'aucun document n'existe pour les contrôles d'application du SAP. Notre analyse a confirmé que SP s'appuie sur la GRC pour mettre à l'essai les contrôles du SAP dans le cadre de son programme de surveillance.
Selon le PE couvrant l'exercice 2016-2017, la GRC doit soumettre à SP une lettre d'attestation annuelle, qui donne l'assurance raisonnable de l'existence et du fonctionnement efficace des contrôles de son système. Le PE ne précise pas quels contrôles la GRC abordera. À ce jour, SP n'a pas reçu de lettre d'attestation ni de document équivalent donnant l'état des contrôles relatifs au SAP puisque la GRC n'a toujours pas terminé la mise à l'essai des contrôles pertinents. Toutefois, nous avons été informés du fait que la GRC entamera la rédaction de la lettre d'attestation à la fin de l'exercice 2016-2017.
Sans la détermination des contrôles d'application pour atténuer les risques existants et la confirmation de la couverture de la surveillance, SP n'a pas l'assurance que les contrôles attendus font l'objet d'une mise à l'essai et d'une surveillance pour soutenir les CIRF. Cependant, SP a été informé du fait que la GRC évalue actuellement la conception et l'efficacité opérationnelle des contrôles généraux liés à la technologie de l'information. De plus, la GRC a fourni son plan de mise à l'essai selon lequel elle commencera à surveiller les principaux contrôles automatisés. La lettre d'attestation pour 2016-2017 portera principalement sur les résultats.
Recommandation
- Le sous-ministre adjoint, Secteur de la gestion ministérielle (SGM), devrait faire ce qui suit :
- Identifier et documenter les contrôles d'application du SAP sur lesquels s'appuie SP.
- Faire ressortir les contrôles du SAP soutenus par la GRC.
- Communiquer avec la GRC afin d'identifier les contrôles spécifiques d'application automatisés du SAP qu'elle surveille.
- Évaluer si les contrôles clés établis suffisent pour aborder les risques cernés par le Ministère.
- Établir des contrôles compensatoires là où la couverture de la GRC est jugée insuffisante.
2.3 Les contrôles au niveau de l'entité visant à soutenir les rapports financiers ont besoin d'être mis à l'essai et surveillés en fonction d'un cycle approprié
Les contrôles au niveau de l'entité (CNE) sont des contrôles ministériels qui englobent le ton donné par la direction, l'éthique, la gestion des risques, les communications et les ressources humaines. Le cadre du COSO est utilisé pour soutenir les organisations en établissant et en maintenant des systèmes de contrôle interne qui peuvent accroître la probabilité d'atteindre les objectifs de l'entité et de s'adapter aux changements qui surviennent dans les environnements opérationnelsNote de bas de page9. Comme il est indiqué dans le Cadre de contrôle interne axé sur les risques, la détermination et la surveillance des contrôles internes en matière de gestion financière, qui comprennent les CNE, sont communiquées au dirigeant principal des finances et aux sous-ministres adjoints (SMA) des secteurs.
SP a établi une approche de surveillance continue qui comprend des consultations avec les responsables du processus afin d'examiner et de mettre à jour la documentation et de s'assurer de la conception et de l'efficacité opérationnelle des principaux contrôles. Cela est parachevé au cours d'un cycle de trois ans fondé sur le risque. L'UCI met à l'essai plus fréquemment les processus ou les contrôles financiers jugés à risque élevé. Les résultats de ces mises à l'essai sont officiellement signalés à la direction, et comprennent des recommandations, le cas échéant.
La vérification a confirmé que les processus financiers choisis pour faire l'objet d'une surveillance continue en 2014-2015 et en 2015-2016, comme il est énoncé dans l'Annexe à la Déclaration de responsabilité de la direction, ont été terminés et ont fait l'objet d'un rapport durant les exercices financiers auxquels ils étaient destinés.
Les résultats figurant à l'Annexe à la Déclaration de responsabilité de la direction du 31 mars 2015 reflètent avec exactitude les activités de surveillance. SP a déclaré que les CNE appuyant la gestion financière avaient été évalués de nouveau et que des activités de surveillance avaient été réalisées sans que la prise de mesures correctives soit nécessaire.
Des documents fournis durant la vérification ont permis de confirmer que l'UCI a déterminé, documenté et mis à l'essai les CNE relatifs à la gestion financière dans le cadre de la mise en œuvre initiale de la PCI au Ministère en 2013. Le calendrier de la surveillance cyclique montre que les CNE sont examinés de façon continue. Même si certains CNE sont assujettis à la nouvelle certification signée par chaque cadre supérieur du Ministère, selon l'UCI, les activités de surveillance pour les CNE déterminés ont été limitées à des mises à jour de la documentation. L'UCI n'a pas officiellement évalué les CNE depuis 2013. De plus, le calendrier de surveillance ne fournit pas la portée de la mise à l'essai qui sera effectuée conformément à la structure de reddition de comptes organisationnelle présentée dans le Cadre de contrôle interne axé sur les risques.
Nous avons aussi observé que les documents existants liés aux CNE sont harmonisés avec une version plus ancienne du cadre du COSO. En 2013, le COSO a publié une version plus à jour de son cadre en présentant 17 principes comme étant des concepts fondamentaux associés aux composantes du contrôle interne (par opposition aux « concepts clés » énoncés dans le cadre précédent). Même si une transition vers le cadre de 2013 n'aurait pas une grande incidence sur la conception des CNE, leur mise en correspondance avec le cadre de 2013 pourrait réduire le nombre de contrôles clés à évaluer afin d'assurer une approche de surveillance plus efficiente.
Recommandation
- Le sous-ministre adjoint, SGM, devrait prendre les mesures suivantes :
- Examiner et harmoniser les CNE qui s'appliquent au système de CIRF.
- Mettre en œuvre une approche et un cycle de surveillance continue à l'égard des CNE identifiés, qui seront intégrés au programme général de surveillance des CIRF de SP.
2.4 Conclusion générale
Une structure de gouvernance efficace est en place pour surveiller l'état des CIRF. De plus, SP a établi un cadre pour documenter et mettre à jour périodiquement les principaux CIRF. Le Ministère a également mis en œuvre un programme de surveillance fondé sur les risques, lequel est appliqué de manière uniforme et fait l'objet de rapports, y compris un processus qui permet d'arriver à une entente au sujet des mesures correctives qui découlent des activités de surveillance continue, de les surveiller et d'en rendre compte périodiquement. On a relevé deux améliorations mineures concernant la surveillance des CNE clés et des contrôles automatisés qui pourraient renforcer le système de CIRF du Ministère.
2.5 Réponse et plan d'action de la direction
La direction accepte les recommandations de l'équipe de la Vérification interne. Les recommandations reconnaissent que tous les gestionnaires du Ministère partagent la responsabilité des CIRF et de la mise en œuvre de la PCI.
No |
Plan d'action de la direction |
Date d'achèvement cible |
|
---|---|---|---|
1 |
Recommandation Le sous-ministre adjoint, Secteur de la gestion ministérielle (SGM), devrait faire ce qui suit :
|
||
Le SGM déterminera et documentera les contrôles d'application de SAP pris en charge par la GRC et sur lesquels on s'appui. |
31 juillet 2017 |
||
Le SGM communiquera avec la GRC afin d'identifier les contrôles d'application automatisés de SAP qu'elle surveille. |
31 juillet 2017 |
||
Le SGM évaluera les documents d'attestation et de mise à l'essai reçus de la GRC pour déterminer si les contrôles clés surveillés sont efficaces et atténuent les risques ministériels relevés. |
30 août 2017 |
||
Au besoin, des contrôles compensatoires seront mis en place si la couverture de la GRC est jugée insuffisante. |
30 août 2017 |
||
2 |
Recommandation Le sous-ministre adjoint, SGM, devrait faire ce qui suit :
|
||
Le SGM examinera et identifiera les CNE qui s'appliquent aux CIRF. |
30 septembre 2017 |
||
Le SGM mettra en œuvre une approche et un cycle de surveillance continue officiels à l'égard des principaux CNE, qui seront intégrés au programme général de surveillance des CIRF de SP. |
30 juin 2017 |
Annexe A : Critères de vérification
Critères de vérification |
|
---|---|
Critère 1 |
Des organismes de surveillance appropriés et efficaces et des rôles, responsabilités et obligations redditionnelles clairs pour le personnel/les organismes de surveillance clés ont été établis pour assurer une conformité continue avec les exigences de CIRF contenues dans la Politique sur le contrôle interne du CT. |
Critère 2 |
Un cadre et un processus officiel ont été établis pour la documentation de tous les processus financiers clés, la détermination de tous les contrôles clés et l'évaluation continue de leur efficacité et de leur pertinence. |
Critère 3 |
Des processus et des ressources destinés à la surveillance de l'état du système de contrôle interne en matière de rapports financiers ont été établis. |
Critère 4 |
La Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers est appuyée par une Annexe qui reflète précisément les activités et les résultats de l'évaluation du système de CIRF du Ministère. |
Annexe B : Échelle d’opinion de la direction générale de la vérification interne et de l’évaluation
Voici l'échelle d'opinion des vérificateurs de la Direction générale de la vérification interne et de l'évaluation, qui sert à évaluer l'importance de l'ensemble des constatations et des conclusions des vérificateurs.
Classement de l'opinion du vérificateur |
Définition |
---|---|
Bien contrôlé |
|
Amélioration mineure |
|
Améliorations requises |
Des améliorations doivent être apportées (au moins un des critères suivants est présent) :
|
Améliorations importantes requises |
Des améliorations importantes doivent être apportées (au moins un des critères suivants est présent) :
|
Notes
- 1
- 2
Ébauche de la Politique sur la gouvernance en matière de gestion financière, Conseil du Trésor, 2017.
- 3
L'échelle d'évaluation de l'opinion du vérificateur se trouve à l'Annexe B.
- 4
Politique sur le contrôle interne, Secrétariat du Conseil du Trésor, 1er avril 2009.
- 5
Cadre de contrôle interne axé sur les risques, Sécurité publique, juillet 2015.
- 6
Cadre de contrôle interne axé sur les risques : Sécurité publique Canada, août 2014.
- 7
Ébauche de la Politique sur la gestion financière, Conseil du Trésor, 2017.
- 8
L'échelle d'évaluation de l'opinion du vérificateur se trouve à l'Annexe B.
- 9
Contrôle interne — cadre intégré : Committee of Sponsoring Organizations of the Treadway Commission; mai 2013.
- Date de modification :