Guide de surveillance continue du contrôle interne en matière de gestion financière

1. Date de publication

Le présent guide a été partagé avec les ministères le 22 novembre 2019.

Il remplace les Lignes directrices sur la « Politique sur le contrôle interne » du Conseil du Trésor du 1er avril 2009.

2. Application, objet et portée

Le présent guide s’applique aux organisations qui figurent à la section 6 de la Politique sur la gestion financière.

Il a pour objet de soutenir les ministères et organismes dans la surveillance continue des contrôles internes et le maintien d’un système efficace de contrôle interne en matière de gestion financière (CIGF).

La Politique sur la gestion financière définit la « gestion financière » comme étant :

le continuum des activités à caractère financier entreprises pour assurer une utilisation avisée, prudente, efficace, efficiente et économique des fonds publics.

Le présent guide apporte des précisions sur la Politique sur la gestion financière. Il ne contient pas de nouvelles exigences obligatoires. Il présente des exemples et des conseils aux fins de consultation qui pourraient ne pas s’appliquer à tous les ministères ou à toutes les situations.

Les lecteurs du présent guide sont invités à consulter le Guide sur le contrôle interne en matière de gestion financière afin de mieux comprendre :

  • le fondement du contrôle interne;
  • les principales responsabilités et exigences des politiques;
  • la portée du contrôle interne en matière de rapports financiers (CIRF) et du CIGF.

Les suggestions pour améliorer le présent guide doivent être transmises à la Division de la politique de gestion financière du Bureau du contrôleur général à fin-www@tbs-sct.gc.ca.

3. Aperçu de la surveillance continue du contrôle interne en matière de gestion financière

  • 3.1Définition de la surveillance continue du contrôle interne en matière de gestion financière

    Depuis l’adoption de la Politique sur le contrôle interne du Conseil du Trésor en 2009, les ministères :

    • évaluent leur CIGF;
    • se concentrent spécifiquement sur le CIRF.

    Ensuite, les ministères ont :

    • déterminé les comptes et les processus et systèmes connexes les plus à risque de causer des inexactitudes financières;
    • établi des plans pour documenter, évaluer et améliorer les contrôles clés.

    Comme l’indique la Politique sur la gestion financière, l’obligation s’appliquant au maintien d’un système fiable de CIGF demeure en vigueur.

    Les contrôles internes sont touchés par les changements apportés aux rôles, aux processus, aux systèmes et aux structures. Il pourrait être nécessaire de mettre en place de nouveaux contrôles ou de modifier les contrôles existants. Les ministères doivent donc effectuer une surveillance continue de leurs contrôles internes pour s’assurer qu’ils sont toujours efficaces.

    La surveillance continue des contrôles internes au moyen d’une approche axée sur les risques prévoit :

    • l’évaluation périodique de l’efficacité de la conception et de l’efficacité opérationnelle des contrôles conformément au plan de surveillance;
    • la détermination des mesures à prendre pour corriger les faiblesses, s’il y a lieu.

    La surveillance continue des contrôles internes commence une fois qu’un ministère a terminé sa première évaluation des contrôles. Voici les étapes de l’évaluation des contrôles :

    • documenter les contrôles;
    • vérifier l’efficacité de la conception et l’efficacité opérationnelle;
    • élaborer un plan d’action de la direction pour corriger les lacunes ou les faiblesses.

    La surveillance continue permet à l’administrateur général (AG), au dirigeant principal des finances (DPF) et aux cadres supérieurs du ministère (CSM) de confirmer :

    • qu’il existe un système de CIGF;
    • que le système est fiable;
    • que des mesures ont été prises pour améliorer les contrôles.
  • 3.2Contrôle interne en matière de gestion financière et contrôle interne en matière de rapports financiers

    L’AG, le DPF et les CSM sont responsables du système de CIGF, y compris la surveillance continue et la tenue à jour des mécanismes du CIGF au sein de leur ministère. En particulier, l’AG et le DPF sont tenus de rendre compte de l’état du système de CIRF dans l’annexe de la Déclaration de responsabilité de la direction englobant le CIRF.

    Lorsqu’il effectue une surveillance continue, le ministère doit :

    • définir les fonctions et les processus pertinents pour son organisation;
    • déterminer les contrôles clés liés à la gestion financière en fonction des risques.

    Un CIGF efficace :

    • donne l’assurance raisonnable de l’utilisation judicieuse et prudente des fonds publics;
    • améliore l’efficacité des processus de gestion financière;
    • respecte les exigences des lois, des règlements et des politiques.
  • 3.3Quels sont les avantages de la surveillance continue?

    Le principal avantage de la surveillance continue des processus et des contrôles de gestion financière est qu’elle permet de détecter les principaux risques et changements dans l’environnement de contrôle. La surveillance continue :

    • permet à la direction de rajuster les contrôles existants ou d’en instaurer des nouveaux pour s’assurer que les risques sont atténués en conséquence;
    • oriente la planification des activités de gestion financière et la hiérarchisation des priorités connexes en fournissant des informations sur l’efficacité des processus et contrôles en place.

    Plus particulièrement, la surveillance continue aide les ministères à :

    • mettre en lumière les lacunes du contrôle qui pourraient nuire à l’atteinte des objectifs opérationnels;
    • appliquer des pratiques exemplaires pour combler les lacunes relevées et atténuer les risques;
    • sensibiliser davantage le personnel aux objectifs de l’unité opérationnelle et à l’importance de respecter les processus et les contrôles établis;
    • renforcer la compréhension de l’information fournie à la direction à l’appui de la prise de décisions ainsi que la confiance à l’égard de celle-ci;
    • améliorer l’élaboration des documents de formation destinés aux employés grâce à l’utilisation de processus opérationnels bien documentés;
    • s’assurer que les employés s’acquittent de leurs responsabilités et comprennent comment leurs rôles et leurs responsabilités s’harmonisent avec ceux d’autres personnes dans l’organisation;
    • réduire le nombre de cas de non-conformité aux lois et aux politiques.

    En fin de compte, un système solide de CIGF :

    • améliore la capacité du ministère à atteindre ses objectifs de gestion financière;
    • aide à orienter d’autres activités de surveillance, notamment :
    • les audits internes et externes (Bureau du vérificateur général),
    • les évaluations.
  • 3.4Quelles sont les responsabilités des employés et des ministères à l’égard de la surveillance continue?

    Les employés responsables de la surveillance continue doivent :

    • avoir en place des descriptions exactes et à jour des contrôles des processus opérationnels, des contrôles généraux des technologies de l’information (TI) et des contrôles au niveau de l’entité;
    • déterminer si les contrôles internes sont conçus efficacement lorsque des changements surviennent dans l’organisation ou dans l’environnement externe;
    • vérifier si les contrôles fonctionnent toujours efficacement.

    Les ministères doivent :

    • adopter une approche uniforme pour la surveillance continue;
    • utiliser d’autres formes de surveillance pour leurs contrôles, notamment :
      • l’audit interne (AI);
      • l’évaluation;
      • les évaluations des risques organisationnels et opérationnels.

4. Structure de gouvernance de la surveillance continue

Selon le paragraphe 16.4(1) de la Loi sur la gestion des finances publiques et les sous-sections 4.1.6, 4.2.8, 4.2.9, 4.2.10, 4.3.6 et 4.3.7 de la Politique sur la gestion financière, l’AG, le DPF et les CSM ont tous des rôles et des responsabilités à exercer pour la mise en œuvre, le maintien, l’évaluation et la mise en place d’un système de CIGF axé sur les risques. Ces rôles et responsabilités comprennent les activités relatives à la surveillance continue.

Les ministères doivent consigner par écrit les rôles et les responsabilités des intervenants pour qu’ils connaissent les attentes à leur égard en ce qui concerne :

  • la conception et la mise en œuvre d’évaluations périodiques;
  • l’élaboration et la mise en œuvre de mesures correctives;
  • les rapports sur l’état des contrôles internes;
  • l’examen des évaluations périodiques;
  • la participation aux comités de gouvernance.

Les CSM doivent être informés de leurs responsabilités en ce qui a trait au système de CIGF dans leur secteur de responsabilité (consulter la section 4.1 du Guide sur le CIGF pour obtenir de l’information sur les responsabilités et les exigences en matière de politiques). Il est possible de renforcer le respect de cette responsabilité en ajoutant des attentes en matière de CIGF dans les ententes de rendement des CSM. De plus, les ministères peuvent confirmer l’efficacité des contrôles internes chaque année aux CSM appropriés.

Les ministères doivent examiner le programme d’évaluation du CIGF avec les CSM régulièrement (par exemple, une fois par année). Cet examen peut comprendre :

  • le plan proposé pour la surveillance continue du CIGF;
  • la façon dont les secteurs opérationnels du ministère sont censés participer au programme d’évaluation du CIGF;
  • les résultats du programme d’évaluation du CIGF;
  • la mise en œuvre des plans d’action pour atténuer les faiblesses du contrôle.

Le DPF détermine les activités de surveillance à réaliser de façon continue. Ces activités peuvent comprendre les suivantes :

  • fournir des rapports d’étape aux cadres supérieurs du ministère;
  • informer l’AG de l’état d’avancement du CIGF;
  • produire un rapport sur l’état d’avancement du CIRF dans l’annexe annuelle de la Déclaration de responsabilité de la direction englobant le CIRF.

Au moins une fois par année, les ministères doivent également faire rapport au Comité ministériel d’audit (CMA) sur le système de CIGF, notamment sur les éléments suivants :

  • les principaux risques qui ont une incidence sur le système de CIGF;
  • le plan de surveillance continue;
  • les résultats des évaluations.

Ces rapports aideraient le CMA en lui fournissant un aperçu complet de l’état du système de CIGF. Le CMA serait alors en mesure d’examiner les résultats ainsi que d’autres conclusions d’audit et d’évaluation.

5. Approche visant la surveillance continue

L’approche conseillée pour la surveillance continue du CIGF comporte 5 étapes. Ces étapes :

  • sont coordonnées par l’équipe de contrôle interne (ECI) du ministère;
  • mobilisent divers intervenants du ministère.

Cette approche est conçue pour :

  • assurer à l’AG et au DPF que le système de CIGF du ministère est efficace;
  • appuyer l’élaboration de la Déclaration de responsabilité de la direction englobant le CIRF.

L’approche visant la surveillance continue tient compte des mises à jour de la portée en fonction des changements apportés à l’organisation ou aux exigences relatives aux politiques ou aux lois. La figure ci-dessous décrit les 5 étapes.

Figure 1. Approche visant la surveillance continue du CIGF

Figure 1. Version textuelle ci-dessous:
Figure 1 - Version textuelle

Figure 1. Approche visant la surveillance continue du CIGF

La figure 1 montre les 5 étapes de l’approche visant la surveillance continue du CIGF.

Étape 1 : élaborer et mettre à jour l’évaluation des risques

Étape 2 : élaborer et mettre à jour le plan de surveillance continue

Étape 3 : effectuer l’évaluation

Étape 4 : consigner les résultats et les mesures de l’évaluation

Étape 5 : élaborer les rapports internes et externes

Le Guide sur le contrôle interne en matière de gestion financière du Conseil du Trésor donne plus de détails sur les exigences relatives au CIRF.

Les 5 étapes sont indiquées ci-dessous.

Étape 1 : élaborer et mettre à jour l’évaluation des risques afin de déterminer les contrôles des processus opérationnels, les contrôles des systèmes de TI et les contrôles au niveau de l’entité faisant partie de la portée, ce qui permet d’orienter la détermination de la nature et de l’étendue des essais.

Étape 2 : élaborer et mettre à jour le plan de surveillance continue, qui indique le moment opportun et la fréquence de l’évaluation des éléments suivants :

  • contrôles des processus opérationnels;
  • contrôles généraux des TI;
  • contrôles au niveau de l’entité.

Pour plus de détails sur les diverses catégories de contrôles, voir l’annexe A.

Étape 3 : effectuer l’évaluation des contrôles internes conformément au plan de surveillance continue.

Étape 4 : consigner les résultats et les mesures correctives de l’évaluation.

Étape 5 : élaborer les rapports internes et externes comportant les résultats de l’évaluation et les recommandations de mesures correctives. Des rapports internes devraient être rédigés pour le CIGF qui englobe le CIRF. Toutefois, les rapports externes ne sont exigés que pour le CIRF.

Les détails de chaque étape sont indiqués dans les paragraphes suivants.

  • 5.1Étape 1 : élaborer et mettre à jour l’évaluation des risques

    Les ministères doivent utiliser une approche axée sur les risques pour déterminer à quelle fréquence il faut vérifier les processus et les contrôles afin de s’assurer de l’efficacité du système de CIGF. Le recours à une approche axée sur les risques favorise une utilisation plus efficace des ressources limitées.

    Les secteurs à risque plus élevé nécessitent :

    • des documents plus détaillés;
    • plus de contrôles;
    • l’utilisation de contrôles de prévention ou une combinaison de contrôles de prévention et de détection (les contrôles de détection peuvent être suffisants pour les secteurs à risque moins élevé);
    • des mises à l’essai plus fréquentes.

    La réalisation d’une évaluation complète des risques afférents au CIGF du ministère est avantageuse pour :

    • comprendre où se trouvent les principaux risques;
    • déterminer l’orientation de l’évaluation.

    Une évaluation complète des risques afférents au CIGF est requise seulement une fois tous les 3 à 5 ans. Des analyses de l’environnement peuvent être effectuées au cours des années intermédiaires pour déterminer s’il faut rajuster le plan de surveillance continue. La figure 2 présente un exemple d’un calendrier d’évaluation des risques portant sur une période de 5 ans.

    Figure 2. Exemple de calendrier quinquennal d’évaluation des risques

    Figure 2. Version textuelle ci-dessous:
    Figure 2 - Version textuelle

    Figure 2. Exemple de calendrier quinquennal d’évaluation des risques

    La figure 2 montre un exemple d’un calendrier d’évaluation des risques de 5 ans.

    Début de l’année 1 : évaluation complète des risques

    Début de l’année 2 : analyse de l’environnement

    Début de l’année 3 : analyse de l’environnement

    Début de l’année 4 : analyse de l’environnement

    Fin de l’année 5 : évaluation complète des risques

    Chaque ministère détermine le moment opportun pour vérifier chacun des éléments de son plan de surveillance continue et effectuer ses évaluations des risques. Les éléments suivants peuvent avoir une incidence sur le calendrier :

    • la mesure dans laquelle des changements ont été apportés au personnel, aux processus ou aux systèmes de TI sous-jacents;
    • la mesure dans laquelle les activités et les environnements opérationnels du ministère ont changé ou devraient changer;
    • une analyse des coûts-avantages pour déterminer s’il y a lieu d’effectuer ou non une évaluation des risques.

    Les ministères peuvent également consulter le Cadre stratégique de gestion du risque pour :

    • des renseignements supplémentaires sur les principes de gestion du risque;
    • des conseils sur la gestion efficace des organisations.

    Réalisation d’une évaluation complète des risques

    Une évaluation complète des risques comporte 2 activités clés :

    1. la collecte de données;
    2. l’évaluation des risques.

    1. Collecte de données

    La collecte de données consiste à :

    • examiner la documentation;
    • poser des questions aux responsables des processus opérationnels (RPO).

    Pour que la collecte de données soit efficace, l’ECI doit :

    • s’informer sur les processus opérationnels et l’environnement opérationnel;
    • rencontrer des personnes de l’extérieur de l’organisation du DPF, notamment :
      • des gestionnaires de programme;
      • du personnel des ressources humaines;
      • du personnel de la TI.

    Au minimum, l’ECI devrait rencontrer les RPO pour confirmer si l’un ou l’autre des éléments suivants a changé de façon considérable :

    • les processus opérationnels;
    • le personnel qui exécute les contrôles;
    • les systèmes qui soutiennent les processus opérationnels.

    Il est recommandé de rencontrer divers CSM afin de mieux comprendre les éléments suivants du ministère :

    • l’orientation stratégique;
    • les changements organisationnels possibles;
    • les préoccupations concernant le CIGF.

    En plus de consulter les RPO, l’ECI devrait examiner les documents d’information pertinents, comme les rapports internes et externes. Les rapports peuvent contenir des renseignements utiles pour orienter l’évaluation des risques. Voici des exemples de documents qui peuvent orienter une évaluation des risques :

    • rapports sur le CIRF et le CIGF (mises à jour sur l’état d’avancement, plans d’action, résultats d’évaluation);
    • rapports d’audit de la fonction d’AI, du Bureau du vérificateur général et du Bureau du contrôleur général;
    • documents sur les changements apportés aux politiques du ministère ou du Conseil du Trésor, aux normes comptables du gouvernement ou à la structure opérationnelle du ministère;
    • rapports de vérification des comptes avant et après paiement;
    • résultats du Cadre de responsabilisation de gestion;
    • états financiers du ministère;
    • annexe de la Déclaration de responsabilité de la direction englobant le CIRF;
    • profils de risque organisationnels ou d’entreprise.

    L’exercice de collecte de données peut révéler de nouveaux processus opérationnels qui découlent d’un changement de programme ou de politique. Le cas échéant, l’ECI devra :

    • évaluer le risque associé à ces nouveaux processus opérationnels;
    • intégrer les processus dans son plan de surveillance continue.

    Ensemble, l’ECI et la fonction d’AI peuvent optimiser l’utilisation des ressources et réduire au minimum l’incidence sur les intervenants. Plus précisément, l’ECI et la fonction d’AI peuvent :

    • échanger des renseignements concernant les évaluations qu’ils doivent effectuer;
    • déterminer les secteurs qui pourraient faire l’objet d’évaluations conjointes;
    • échanger les résultats des essais de contrôle au moment de déterminer la portée de leurs missions d’audit.

    De plus, l’ECI peut utiliser les résultats obtenus par la fonction d’AI si les objectifs et l’approche de l’évaluation des contrôles sont suffisamment alignés (par exemple, la fonction d’AI peut vérifier l’efficacité opérationnelle des mêmes points de contrôle que ceux envisagés par l’ECI).

    Les organisations de l’industrie, comme les suivantes, offrent également de bonnes pratiques en matière de documentation et de mise à l’essai des contrôles :

    • le « Committee of Sponsoring Organizations de la Commission Treadway »;
    • l’Institut des auditeurs internes.

    2. Évaluation des risques

    Une fois la collecte des données terminée, le ministère effectue une évaluation des risques liés aux principaux processus opérationnels et systèmes pour évaluer les éléments suivants :

    • la probabilité que le risque se concrétise;
    • l’incidence du risque sur la production de rapports financiers et la gestion financière.

    Si le ministère a déjà effectué des évaluations des risques pour le processus visé, il peut se servir des mêmes outils et modèles que ceux utilisés par le passé. Si un nouveau processus est mis en place (par exemple, l’attestation du DPF pour une présentation au Cabinet), il faudra un nouveau modèle d’évaluation des risques.

    L’ECI doit tenir compte de l’importance relative dans l’évaluation de l’incidence d’un risque. La sous-section A.2.2.2 de la Directive sur les normes comptables : GC 1010 Fondements conceptuels des états financiers (importance relative) contient diverses approches pour calculer l’importance relative. L’ECI doit également tenir compte des répercussions non financières qui peuvent se produire si une transaction ou un processus fait l’objet d’un examen public (par exemple, les frais de déplacement et d’accueil).

    La probabilité qu’un risque se concrétise dépend des éléments suivants :

    • les facteurs de risque inhérents au processus;
    • les problèmes déjà cernés dans le processus.

    Pour atténuer les risques, il faut évaluer un processus en fonction des facteurs de risque qualitatifs indiqués ci-après.

    Facteurs de risque inhérents

    • Importance relative : une valeur globale plus élevée peut augmenter le risque d’erreur importante dans les états financiers.
    • Quantité : un plus grand nombre de transactions peut augmenter la probabilité d’erreur.
    • Complexité : une transaction complexe peut augmenter le risque d’erreur.
    • Homogénéité : une population plus homogène peut réduire le risque d’erreur.
    • Vulnérabilité aux pertes en raison d’erreurs ou de fraudes dans le processus : un degré de vulnérabilité aux pertes plus élevé augmente le risque d’erreur.
    • Jugement : une plus grande dépendance à l’égard du jugement augmente le risque d’erreur.
    • Autres facteurs de risque : certaines transactions sont de montants peu élevés, mais elles peuvent :
      • être de nature délicate;
      • avoir une incidence sur la prise de décisions de la direction.

    Risque de défaillance du contrôle

    • Degré d’automatisation : en général, les contrôles manuels sont plus sujets aux erreurs que les contrôles automatisés.
    • Historique des erreurs : un processus qui a un historique d’erreurs présente un risque plus élevé de défaillance du contrôle et serait considéré comme présentant un risque plus élevé.

    Voici des sources d’information sur l’historique des erreurs :

      • résultats d’évaluations et d’audits de contrôle interne passés;
      • résultats d’autres activités de surveillance (par exemple, la vérification des comptes, le suivi mensuel, le suivi de fin d’exercice, les examens comptables du ministère).

    À mesure que le ministère passe du CIRF au CIGF, il doit tenir compte d’autres facteurs de risque, notamment :

    • le risque de dépasser le montant des autorisations de dépenser;
    • le risque de laisser des fonds inutilisés;
    • le risque de prendre de mauvaises décisions en matière d’affectation des ressources.

    La prise en compte de ces facteurs peut donner lieu à de nouvelles activités de contrôle pour le CIGF. Voici des exemples du résultat final de ces activités :

    • les prévisions salariales sont fiables et peuvent être utilisées pour prendre des décisions sur l’affectation des ressources;
    • l’information sur les engagements est consignée avec exactitude dans le système de gestion financière du ministère dans le cadre du processus des dépenses de fonctionnement.

    Ces facteurs peuvent également avoir une incidence sur l’évaluation annuelle. Par exemple :

    • des montants importants de fonds inutilisés dans le budget d’un ministère d’une année à l’autre pourrait indiquer qu’il y a lieu de revoir le processus des prévisions;
    • des demandes fréquentes de modification des autorisations de dépenser (présentations au Conseil du Trésor) peuvent indiquer que le ministère doit revoir ses processus d’établissement des coûts et ses contrôles.

    Les résultats de l’évaluation des risques devraient être documentés et validés par le DPF. L’évaluation servira à prioriser les éléments du plan de surveillance continue.

    Le tableau 1 donne un aperçu des rôles et des responsabilités à l’étape 1, répartis selon l’approche « RACINote de bas de page 1 », qui signifie :

    • responsable;
    • agent comptable;
    • consulté;
    • informé.

    Tableau 1. Responsabilités des principaux intervenants dans la réalisation d’une évaluation complète des risques

    ActivitéResponsableAgent comptableConsultéInformé

    Collecte de données

    ECI

    DPF

    RPO, AI et EGRMNote de bas de page 2

    DPF, CMA, AG, AI et CSM

    Évaluation des risques

    ECI

    DPF

    RPO, AI, DPF et EGRM

    DPF, CMA, AG, AI et CSM

    Réalisation d’une analyse de l’environnement annuelle

    En ce qui concerne les années pour lesquelles aucune évaluation complète des risques n’est effectuée pour produire le plan de surveillance continue, l’ECI devrait réaliser des analyses de l’environnement pour déterminer s’il est nécessaire de mettre à jour le plan de surveillance continue.

    Une analyse de l’environnement comprend la détermination des changements importants ont été apportés au personnel, aux processus ou aux systèmes qui justifieraient une modification du plan de surveillance continue. Une analyse de l’environnement comporte les mêmes activités qu’une évaluation complète (collecte de données et évaluation des risques), mais le niveau d’activité peut être moins intense et moins complet. Une analyse de l’environnement devrait comprendre les activités suivantes :

    • un examen des documents qui touchent la gestion financière du ministère;
    • une enquête auprès des RPO;
    • un suivi du plan d’action de la direction pour les faiblesses liées au contrôle signalées auparavant.

    Le tableau 2 montre les différences entre une évaluation complète des risques et une analyse de l’environnement.

    Tableau 2. Différences entre l’évaluation complète des risques et l’analyse de l’environnement

    Évaluation complète des risquesAnalyse de l’environnement

    Organiser un entretien avec les RPO.

    Obtenir des données auprès des RPO.

    Obtenir des mises à jour sur le plan d’action de la direction.

    Obtenir des mises à jour sur le plan d’action de la direction.

    Examiner les documents pertinents.

    Examiner les rapports du CIGF et les rapports d’audit récents liés aux processus faisant partie de la portée.

    Consulter la fonction d’AI.

    Obtenir des rapports d’audit récents.

    Tenir une séance de travail avec les RPO pour évaluer les risques.

    Consulter les RPO au besoin.

    Le résultat d’une évaluation complète des risques est un classement des risques à jour :

    • des principaux processus opérationnels et de TI;
    • des contrôles au niveau de l’entité.

    Le résultat de l’analyse de l’environnement et les changements apportés au plan de surveillance continue devraient être documentés. Le plan modifié devrait être soumis à l’examen du DPF. Les CSM et le CMA devraient également être tenus au courant des changements apportés au plan de surveillance continue. La fonction d’AI devrait participer aux discussions visant à mettre à jour le plan afin de coordonner les essais.

  • 5.2Étape 2 : élaborer et mettre à jour le plan de surveillance continue

    Au moment d’élaborer le plan de surveillance continue, le ministère doit :

    1. déterminer la durée et le moment opportun des évaluations;
    2. déterminer le modèle de ressources;
    3. élaborer un plan.

    Cette étape vise à mettre à jour le plan et à s’assurer qu’il :

    • demeure valide;
    • reflète les changements apportés à l’organisation, y compris les nouveaux processus ou systèmes mentionnés précédemment.

    1. Déterminer la durée et le moment opportun des évaluations

    Le plan de surveillance continue est à la base des plans détaillés de travail des évaluations du CIGF à venir. Le ministère détermine la durée du plan de surveillance continue, qui peut être de 3 à 5 ans. Le moment opportun et la fréquence des évaluations tiennent compte de facteurs comme les suivants :

    • les événements nouveaux de grande importance, y compris les plans stratégiques proposés;
    • les contraintes en matière de ressources;
    • les coûts et les avantages de l’évaluation comparés au risque associé au processus;
    • l’état ou les résultats des plans d’action des mesures correctives (si les mesures correctives n’ont pas encore été prises, il n’est peut-être pas très utile d’effectuer l’évaluation);
    • les constatations d’audits qui peuvent avoir une incidence ou dégager d’autres éléments de preuve quant à l’efficacité des contrôles;
    • d’autres examens financiers ou initiatives parallèles.

    Le plan doit être approuvé par le DPF et présenté à l’AG et aux CSM, ainsi qu’au CMA, afin de les informer des éléments suivants :

    • activités prévues;
    • attribution des rôles et des responsabilités;
    • calendrier prévu pour la communication des résultats.

    Le plan devrait être présenté chaque année au DPF et aux autres organes de gouvernance.

    2. Déterminer le modèle de ressources

    Selon la situation, l’une des évaluations suivantes des contrôles internes peut être effectuée :

    • une auto-évaluation des RPO;
    • une évaluation interne par un groupe indépendant du processus;
    • une évaluation par un tiers indépendant.

    Le ministère devrait déterminer l’approche la plus appropriée en fonction des critères suivants :

    • la capacité disponible;
    • l’objectivité requise;
    • la maturité du programme;
    • les risques associés au processus.

    La figure 3 montre les différentes façons d’évaluer les contrôles internes et le degré d’objectivité et de maturité lié à chacune d’entre elles

    Figure 3. Modèles de ressources possibles

    Figure 3. Version textuelle ci-dessous:
    Figure 3 - Version textuelle

    Figure 3. Modèles de ressources possibles

    La figure 3 présente des modèles de ressources possibles et le degré d’objectivité et de maturité liés à chacun d’entre eux.

    Modèle de ressources possibleDegré d’objectivitéDegré de maturité
    Évaluation par une tierce partie indépendanteÉlevéFaible
    Évaluation interneMoyenMoyen
    Auto-évaluationFaibleÉlevé

    Auto-évaluation des RPO

    L’auto-évaluation des RPO a lieu lorsque les RPO :

    • évaluent leurs propres contrôles;
    • rendent compte des résultats.

    Les RPO :

    • réalisent un examen officiel de l’efficacité de la conception et de l’efficacité opérationnelle des principaux contrôles;
    • déterminent les lacunes ou les faiblesses potentielles dans les contrôles qui pourraient nécessiter un examen plus approfondi.

    Une auto-évaluation est habituellement réalisée lorsque :

    • le processus est mature et relativement stable;
    • le processus ou le contrôle est considéré comme présentant un faible risque et lorsqu’une faiblesse importante est peu probable;
    • le processus a vérifié de façon indépendante récemment et aucune lacune ou faiblesse importante des contrôles n’a été décelée.

    L’auto-évaluation peut prendre les formes suivantes :

    • une enquête auprès des RPO confirme l’existence du contrôle et permet d’obtenir une évaluation de celui-ci;
    • un RPO effectue l’évaluation et communique les résultats.

    Évaluation interne indépendante

    L’ECI du ministère effectue l’évaluation interne. Une évaluation interne est plus près de l’évaluation indépendante que l’auto-évaluation des RPO. Une évaluation interne est habituellement effectuée lorsque :

    • le processus et les contrôles sont considérés comme présentant un risque plus élevé pour la gestion financière du ministère;
    • des lacunes ont déjà été cernées pour lesquelles il faut faire un suivi.

    L’analyse des données peut être utilisée dans les évaluations internes pour déterminer s’il y a des lacunes ou des faiblesses potentielles dans les contrôles internes. L’analyse des données comprend l’examen des données sur les transactions pour :

    • savoir si les contrôles fonctionnent comme prévu;
    • déceler les lacunes ou les faiblesses potentielles.

    L’analyse des données effectuée par les secteurs des opérations comptables, des marchés et de l’approvisionnement ou d’autres secteurs du ministère peut aider à justifier la nécessité d’une évaluation interne. Par exemple, un examen des données analysées sur les marchés de moins de 25 000 $ pourrait indiquer un fractionnement éventuel des marchés si de nombreux marchés ont été attribués en même temps au même fournisseur pour la même activité.

    Évaluation par une tierce partie

    Les évaluations par une tierce partie indépendante peuvent être effectuées par l’une des entités suivantes :

    • la fonction d’AI du ministère;
    • un organisme externe indépendant.

    Une évaluation par une tierce partie est menée par une entité professionnelle objective qui vérifie l’efficacité de la conception ou l’efficacité opérationnelle.

    L’évaluation par une tierce partie indépendante a habituellement lieu dans les situations suivantes :

    • un risque plus élevé est associé au processus ou aux contrôles;
    • le ministère n’a pas l’expertise technique ou les ressources internes nécessaires pour entreprendre l’évaluation;
    • un degré accru d’objectivité et d’indépendance s’impose;
    • le domaine à mettre à l’essai est sensible, et la partie externe est mieux outillée pour bien faire les essais.

    3. Élaborer un plan

    Le ministère détermine la durée et le contenu du plan. L’annexe B présente un exemple de plan d’action pour la surveillance continue des années à venir. D’autres éléments liés au CIGF devraient être ajoutés au plan de CIRF existant. Le plan devrait donner un aperçu des 3 à 5 prochaines années, notamment :

    • la schématisation des processus à évaluer au cours de la période de 3 à 5 ans, y compris les contrôles des processus opérationnels, les contrôles généraux des TI et les contrôles au niveau de l’entité;
    • le niveau d’essai;
    • la prochaine évaluation complète des risques.

    À ce stade-ci, les nouveaux processus qui ont été identifiés à l’étape de la collecte des données seront intégrés au plan de surveillance continue.

    Le plan de surveillance continue devrait également comprendre des informations contextuelles sur :

    • la façon dont le plan sera mis en œuvre;
    • le modèle de ressources et l’approche et la méthodologie de mise à l’essai du plan;
    • les rôles et responsabilités clés du plan.

    De plus amples renseignements sur ces éléments figurent à l’annexe C.

    Le tableau 3 donne un aperçu des rôles et des responsabilités à l’étape 2, répartis selon l’approche RACI.

    Tableau 3. Responsabilités des principaux intervenants pour l’élaboration du plan de surveillance continue

    ActivitéResponsableAgent comptableConsultéInformé

    Déterminer la durée et le moment opportun des évaluations

    ECI

    DPF

    RPO, DPF et AI

    DPF

    Déterminer le modèle de ressources

    ECI

    DPF

    DPF

    DPF

    Élaborer un plan

    ECI

    DPF

    DPF

    DPF, CMA, AG, AI et CSM

  • 5.3Étape 3 : effectuer l’évaluation

    Un système efficace de CIGF nécessite des contrôles conçus et utilisés de façon appropriée. L’évaluation des CIGF comporte les étapes suivantes :

    1. préparer ou mettre à jour la documentation du processus;
    2. vérifier l’efficacité de la conception;
    3. vérifier l’efficacité opérationnelle;
    4. formuler des conclusions à partir des résultats et les accompagner des documents à l’appui.

    1. Préparer ou mettre à jour la documentation du processus

    La documentation comprend habituellement une description, un diagramme du processus et un cadre de contrôle. Se reporter à l’annexe A pour obtenir plus de détails sur chacun des documents en question.

    Un ministère peut avoir documenté ses processus et contrôles importants lors d’évaluations précédentes, mais ces processus et contrôles peuvent avoir changé en raison des éléments suivants :

    • l’adoption de nouvelles lois ou politiques ou de nouveaux règlements;
    • une réorganisation des services et des fonctions du ministère;
    • une transition vers un environnement de services partagés;
    • des changements apportés aux processus opérationnels;
    • des changements apportés aux systèmes de TI.

    Lorsqu’un processus de gestion financière est visé par une évaluation dans le cadre du plan de surveillance continue, la première étape consiste à examiner la documentation existante avec le RPO pour déterminer s’il y a eu des changements et s’il faut faire des mises à jour. L’examen de la documentation peut être accompagné des éléments suivants :

    • d’entretiens avec les RPO et le personnel organisés par l’équipe de l’évaluation;
    • d’un atelier pour les RPO et le personnel, animé par l’équipe de l’évaluation.

    Bien que l’ECI puisse tenir l’inventaire de la documentation des processus et de la documentation des contrôles, en définitive, il appartient au RPO de s’assurer de l’exactitude de la documentation du processus. Par conséquent, avant l’évaluation, le RPO devrait confirmer auprès de l’ECI que la documentation du processus et celle des contrôles sont à jour et qu’elles peuvent servir pour les besoins de l’évaluation.

    2. Vérifier l’efficacité de la conception

    La vérification de l’efficacité de la conception consiste à mettre à l’essai un échantillon de contrôles pour déterminer s’ils permettent d’atténuer efficacement le risque pour la gestion financière. Ces essais combinent habituellement une revue étape par étape et un examen des éléments de preuve.

    Dans le cadre d’une revue étape par étape, l’ECI examine chaque étape d’une transaction, du début à la fin (par exemple, l’enregistrement dans le système financier par les RPO). Elle comprend habituellement les activités suivantes :

    • communiquer avec le RPO pour connaître les mesures prises pour exécuter le contrôle;
    • observer l’exécution du contrôle;
    • examiner et conserver les données prouvant que le contrôle a été exécuté.

    Dans le cadre d’un examen des éléments de preuve, l’ECI confirme que le contrôle a donné les résultats escomptés.

    L’objectif des essais pour vérifier l’efficacité de la conception est de déterminer si le contrôle permet toujours d’atténuer les risques adéquatement. Afin de confirmer que le contrôle fonctionne comme prévu, les essais pour vérifier l’efficacité de la conception devraient être effectués avant les essais pour vérifier l’efficacité opérationnelle. En outre, les étapes et les résultats devraient être suffisamment documentés de manière à ce qu’une autre personne effectuant les mêmes étapes arrive à la même conclusion.

    3. Vérifier l’efficacité opérationnelle

    Les essais pour vérifier l’efficacité opérationnelle consistent à évaluer le contrôle pendant une certaine période, habituellement un an. Ces essais ont pour but de déterminer si les contrôles fonctionnent comme prévu lors de la conception. Lorsque les contrôles n’ont pas tous été conçus efficacement, il est possible de vérifier l’efficacité opérationnelle d’un sous-ensemble de contrôles. Pour établir l’efficacité opérationnelle d’un contrôle, l’évaluation peut comporter le recours aux éléments suivants :

    • des demandes de renseignements;
    • une réexécution;
    • des observations;
    • un examen des documents.

    Demandes de renseignements

    L’évaluateur discute du fonctionnement du contrôle avec le RPO pour s’assurer de comprendre :

    • la façon dont le contrôle a été exécuté;
    • les renseignements qui ont été utilisés;
    • le cas échéant, les contraintes qui ont entravé le fonctionnement.

    Toutefois, les demandes de renseignements à elles seules ne permettent pas de tirer des conclusions sur l’efficacité opérationnelle du contrôle.

    Réexécution

    La réexécution est généralement effectuée pour les secteurs à risque plus élevé. Dans de tels cas, l’évaluateur exécute de nouveau le contrôle pour un échantillon de transactions ou d’activités afin de voir si les résultats corroborent les résultats obtenus au départ.

    Observations

    L’évaluateur examine tous les éléments physiques observables, y compris les données obtenues en observant la personne qui exécute le contrôle.

    Examen des documents

    L’évaluateur examine les éléments prouvant que le contrôle a été exécuté. Par exemple, le rapprochement est sauvegardé sur le réseau et il existe un élément qui prouve que le superviseur a effectué l’examen (signature ou courriel).

    Les principaux attributs de chaque contrôle devant faire l’objet des essais sont notamment :

    • la preuve que le contrôle a été exécuté (par exemple, feuille de calcul, documents de travail);
    • la preuve que l’examen a été réalisé (par exemple, crochets, analyse);
    • la preuve que le contrôle a été approuvé (par exemple, courriel, signature);
    • la preuve que les problèmes font l’objet d’un suivi (par exemple, courriels);
    • la vérification de la délégation des pouvoirs financiers, s’il y a lieu.

    Lorsque des lacunes sont décelées à l’égard d’un contrôle, des essais additionnels peuvent être menés pour :

    • connaître l’étendue d’une erreur potentielle;
    • mesurer l’incidence de la faiblesse du contrôle.

    L’ECI devrait également rechercher des contrôles compensatoires.

    Le type d’essais dépend de la nature du contrôle, et la quantité aura une incidence sur la taille de l’échantillon. Une description de l’échantillonnage figure à l’annexe D.

    Le tableau 4 donne un aperçu des rôles et des responsabilités à l’étape 3, répartis selon l’approche RACI.

    Tableau 4. Responsabilités des principaux intervenants dans la réalisation des évaluations

    ActivitéResponsableAgent comptable ConsultéInformé

    Préparer ou mettre à jour la documentation du processus

    RPO et ECI

    DPF

    RPO et ECI

    RPO

    Vérifier l’efficacité de la conception

    RPO et ECI

    DPF

    RPO et ECI

    RPO

    Vérifier l’efficacité opérationnelle

    RPO et ECI

    DPF

    RPO et ECI

    RPO

    Formuler des conclusions à partir des résultats et les accompagner des documents à l’appui

    RPO et ECI

    DPF

    RPO et ECI

    RPO, AG et CSM

  • 5.4Étape 4 : consigner les résultats et les mesures de l’évaluation

    Une fois l’évaluation terminée, l’ECI devrait :

    1. faire rapport des résultats au RPO;
    2. obtenir le plan des mesures correctives auprès du RPO;
    3. examiner les progrès d’après le plan d’action;
    4. faire état des progrès réalisés dans le cadre du plan d’action, lorsque les contrôles sont liés aux rapports financiers, y compris l’état d’avancement des mesures correctives, dans l’annexe de la Déclaration de responsabilité de la direction englobant le CIRF.

    1. Faire rapport des résultats au RPO

    Après l’évaluation, l’ECI communique les résultats aux RPO. Pour ce faire, elle peut se servir d’un tableau comprenant les éléments suivants :

    • des observations, soit un résumé des résultats de l’évaluation;
    • un énoncé des répercussions, qui indique la probabilité accrue d’une inexactitude importante dans les états financiers du ministère et l’incidence sur la gestion des ressources, l’atteinte des objectifs du ministère et la prise de décisions;
    • des recommandations, qui :
    • sont destinées à la direction;
    • permettront de corriger les faiblesses des contrôles et les problèmes décrits dans l’énoncé des répercussions.

    Il est bon de classer les risques dans les conclusions de l’évaluation afin de faciliter le travail du RPO lorsqu’il doit établir l’ordre de priorité des mesures correctives.

    Un exemple de tableau de recommandations figure à l’annexe E.

    2. Obtenir le plan de mesures correctives auprès du RPO

    Après l’évaluation, les RPO devraient dresser un plan d’action de la direction pour corriger les lacunes et les faiblesses dans les principaux contrôles. Le plan de mesures correctives devrait comprendre des jalons et des dates prévues d’achèvement pour les mesures à prendre. Il est bon de demander à l’ECI d’examiner le plan d’action de la direction afin de s’assurer que les mesures correctives permettront de corriger les lacunes et les faiblesses relevées.

    L’ECI obtient le plan d’action de la direction auprès du RPO et l’ajoute au rapport sur le CIGF.

    3. Examiner les progrès d’après le plan d’action

    L’ECI collabore avec le RPO pour examiner périodiquement les progrès et l’état d’avancement des mesures correctives. L’ECI devrait :

    • examiner les progrès réalisés dans le cadre du plan d’action de mesures correctives;
    • rendre compte des progrès dans les rapports d’étape et le rapport de fin d’exercice sur le CIGF du ministère.

    Il appartient au ministère de choisir à quelle fréquence il effectuera l’examen. Cela dit, il est suggéré de le réaliser deux fois par année. L’ECI peut utiliser les processus existants de la fonction d’AI pour rendre compte des progrès réalisés relativement aux plans d’action de la direction.

    4. Faire état des progrès réalisés dans le cadre du plan d’action, y compris l’état d’avancement des mesures correctives, dans l’annexe de la Déclaration de responsabilité de la direction englobant le CIRF

    Il est recommandé de faire état des plans d’action de mesures correctives, y compris l’état d’avancement, dans le rapport sur le CIGF destiné au DPF et au CMA. L’état d’avancement des mesures correctives des plans d’action pour le CIRF est signalé dans l’annexe de la Déclaration de responsabilité de la direction englobant le CIRF.

    Le tableau 5 donne un aperçu des rôles et des responsabilités à l’étape 4, répartis selon l’approche RACI.

    Tableau 5 : responsabilités des principaux intervenants pour la consignation des résultats et des mesures correctives de l’évaluation

    ActivitéResponsableAgent comptableConsultéInformé

    Faire rapport des résultats au RPO

    ECI

    DPF

    RPO et CSM

    RPO et CSM

    Obtenir le plan de mesures correctives auprès du RPO

    ECI

    DPF

    RPO et CSM

    RPO et CSM

    Examiner les progrès d’après le plan d’action

    ECI

    DPF

    RPO et CSM

    RPO et CSM

    Faire état des progrès réalisés dans le cadre du plan d’action, dans l’annexe de la Déclaration de responsabilité de la direction englobant le CIRF

    ECI

    DPF

    RPO et CSM

    RPO, CMA, AG, AI et CSM

  • 5.5Étape 5 : élaborer les rapports internes et externes

    Comme il a été mentionné précédemment, aux termes de la Loi sur la gestion des finances publiques, l’AG est responsable de l’efficacité du système du CIGF du ministère, et de rendre des comptes à cet égard. Selon la Politique sur la gestion financière, le DPF et les CSM ont aussi des responsabilités touchant l’efficacité du CIGF. Pour qu’ils puissent s’acquitter de leurs responsabilités, l’AG, le DPF et les CSM doivent connaître :

    • l’état du système du CIGF;
    • toute mesure nécessaire pour corriger les lacunes ou les faiblesses.

    Cette information est comprise dans les rapports suivants :

    1. les rapports d’étape internes (prévus pour le CIGF et le CIRF);
    2. les rapports externes (prévus pour le CIRF), y compris l’annexe de la Déclaration de responsabilité de la direction englobant le CIRF.

    Selon la Directive sur l’audit interne, l’AG est tenu de faire rapport au CMA.

    1. Rapports d’étape internes (prévus pour le CIGF et le CIRF)

    Une fois que les RPO concernés ont effectué, examiné et validé les évaluations de la surveillance continue de l’année, l’ECI regroupe et documente les résultats dans un rapport. Le rapport sur les résultats peut comprendre :

    • les principaux résultats obtenus dans le cadre des évaluations de la surveillance continue et les plans d’action des mesures correctives connexes;
    • l’état d’avancement des mesures qui n’ont pas encore été mises en œuvre.

    Les résultats des évaluations devraient être communiqués à l’AG, au DPF, aux CSM et au CMA. Les rapports varieront selon le cadre de gouvernance du ministère.

    La fréquence des rapports est laissée à la discrétion du ministère. Toutefois, le ministère doit rédiger au moins un rapport d’étape au cours de l’année ainsi qu’un rapport de fin d’année à présenter en même temps que les états financiers. Tout problème grave qui peut avoir une incidence importante doit être signalé le plus tôt possible à l’AG, au DPF et aux CSM.

    2. Rapports externes (prévus pour le CIRF)

    Selon la Politique sur la gestion financière, l’AG et le DPF sont tenus d’approuver la Déclaration de responsabilité de la direction englobant le CIRF. La déclaration sert de préface aux états financiers et décrit la responsabilité de la direction en ce qui a trait au maintien d’un système de CIRF efficace. La Déclaration de responsabilité de la direction englobant le CIRF est accompagnée d’une annexe. Cette annexe contient un résumé des mesures du ministère pour assurer le maintien d’un système de CIRF efficace. L’annexe présente également un résumé des évaluations du CIRF du ministère pour l’exercice, y compris les progrès, les résultats et les plans d’action connexes, qui sont pertinents pour comprendre l’environnement de contrôle du ministère.

    Le Guide sur le contrôle interne en matière de gestion financière fournit des détails sur les attentes en matière d’évaluation du CIRF, y compris les exigences pour les fournisseurs de services communs.

    L’ECI travaille en étroite collaboration avec la fonction chargée de l’établissement des rapports financiers du ministère pour s’assurer que l’annexe de la Déclaration de responsabilité de la direction englobant le CIRF fait partie du cycle d’examen du dossier des états financiers qui est préparé annuellement.

    Le tableau 6 donne un aperçu des rôles et des responsabilités à l’étape 5, répartis selon l’approche RACI.

    Tableau 6 : responsabilités des principaux intervenants pour l’élaboration des rapports internes et externes

    ActivitéResponsableAgent comptableConsultéInformé

    Élaborer les rapports internes et externes

    ECI

    DPF

    DPF, AG et CSM

    DPF, CMA, AG, AI et CSM

6. Références

Loi

Instruments de politique et documents d’orientation connexes

7. Demandes de renseignements

Les membres du public peuvent communiquer avec le personnel chargé des demandes de renseignements du Secrétariat du Conseil du Trésor du Canada s’ils ont des questions au sujet du présent guide.

Les employés des ministères devraient communiquer avec le groupe responsable des politiques financières de leur ministère s’ils ont des questions au sujet du présent guide.

Les employés du groupe responsable des politiques financières au sein des ministères peuvent communiquer avec le personnel chargé des Demandes de renseignements concernant la gestion financière en ce qui concerne l’interprétation du présent guide.

Annexe A - Concepts du contrôle interne

Documentation

La documentation comprend généralement :

  • une partie descriptive;
  • un diagramme du processus;
  • un cadre de contrôle (qui comprend les principaux risques et les contrôles qui atténuent ces risques).

La documentation doit être facile à gérer et à utiliser parce qu’elle fera partie du programme de surveillance continue du ministère. C’est une bonne idée de valider la partie descriptive, le diagramme du processus et le cadre de contrôle auprès des responsables des processus opérationnels (RPO).

Partie descriptive

La partie descriptive fournit :

  • un aperçu du processus;
  • le contexte des principaux contrôles.

Dans la partie descriptive, il faut indiquer :

  • les principaux intervenants du ministère qui participent au processus;
  • les systèmes utilisés par le ministère;
  • les activités du processus propres au ministère.

Diagrammes des processus

Pour compléter la partie descriptive, le ministère peut choisir de préparer un diagramme afin d’illustrer le déroulement des transactions.

Cadre de contrôle

Le cadre de contrôle définit les principaux contrôles du ministère en fonction des objectifs de contrôle et des risques connexes. Conformément au cadre du « Committee of Sponsoring Organizations de la Commission Treadway », les risques liés aux rapports sont la validité, l’exactitude et l’exhaustivité. D’autres risques s’ajoutent à ceux-ci, notamment celui du respect des échéanciers.

L’équipe de contrôle interne devrait déterminer les activités de contrôle qui répondent aux objectifs de contrôle. Pour ce faire, elle devrait tenir compte des aspects suivants :

  • il pourrait être nécessaire de mettre en place plus d’un contrôle pour être en mesure d’atténuer le risque ou d’atteindre l’objectif de contrôle visé;
  • une activité de contrôle rigoureuse peut permettre d’atténuer plus d’un risque ou d’atteindre plus d’un objectif de contrôle;
  • il devrait y avoir une combinaison de contrôles de prévention et de détection;
  • les contrôles automatisés sont généralement considérés comme étant plus fiables que les contrôles manuels.

Un bon contrôle :

  • atténue le risque global inhérent au processus dans son ensemble et pas seulement le risque inhérent à une activité ou à une étape du processus;
  • est officialisé et normalisé par souci d’uniformité;
  • est effectué fréquemment et avec suffisamment de précision pour atténuer le risque;
  • est mené par du personnel compétent qui comprend le but du contrôle.

Les contrôles de la matrice devraient comprendre des renseignements sur le qui, quoi, quand, où, pourquoi et comment. Diverses catégories de contrôles sont indiquées dans le cadre de contrôle et décrites ci-dessous.

Catégories de contrôles

Il y a 3 catégories de contrôles :

  1. les contrôles au niveau de l’entité;
  2. les contrôles généraux des technologies de l’information (TI);
  3. les contrôles des processus opérationnels.

a) Contrôles au niveau de l’entité

Les contrôles au niveau de l’entité ou du « ton aux échelons supérieurs » définissent la culture d’une organisation et son engagement envers l’intégrité et l’éthique. Ils établissent des lignes directrices pour les éléments organisationnels suivants :

  • la gouvernance;
  • l’analyse et l’intégrité financière;
  • le respect des lois et des normes professionnelles applicables.

Les contrôles au niveau de l’entité définissent les valeurs d’une organisation et, au moyen de politiques et de procédures, apportent des précisions quant au comportement que doivent adopter :

  • les employés;
  • l’équipe de la direction;
  • les organes de gouvernance.

Les contrôles au niveau de l’entité comportent 5 domaines distincts :

  1. l’environnement de contrôle;
  2. l’évaluation du risque;
  3. les activités de contrôle;
  4. l’information et la communication;
  5. les activités de surveillance.

L’inefficacité ou l’absence de ces contrôles nuira fondamentalement à la fiabilité des contrôles au niveau des processus et, ainsi, à la capacité du ministère à atteindre ses objectifs.

Exemples de contrôles au niveau de l’entité
  • Le ministère a élaboré un code d’éthique qu’il communique aux employés par l’entremise de son intranet (les employés doivent accepter le code d’éthique au moment de leur embauche et par la suite, une fois par année).
  • Le ministère réalise une évaluation annuelle des risques de fraude et en communique les résultats à l’administrateur général.

b) Contrôles généraux des TI

Les contrôles généraux des TI contribuent à :

  • garantir la fiabilité des données financières générées par les systèmes de TI;
  • étayer l’affirmation selon laquelle les systèmes fonctionnent comme prévu et les résultats sont fiables.

Voici les domaines de TI de base qui sont pertinents pour le contrôle interne :

  • la gestion du changement;
  • la sécurité logique;
  • les opérations.

L’efficacité des contrôles liés aux applications ou aux programmes de TI dépend de l’efficacité des contrôles généraux des TI.

Exemples de contrôles généraux des TI
  • Les paramètres de mot de passe de l’organisation respectent ou dépassent la norme de l’industrie.
  • L’accès administratif est limité aux personnes qui en ont besoin.

c) Contrôles des processus opérationnels

Les contrôles des processus opérationnels sont des activités menées pendant la création, la consignation, le traitement et la communication de l’information financière, ainsi que des activités de contrôle liées aux processus de gestion financière. Ils sont conçus pour fonctionner avec un niveau de précision qui leur permet de prévenir ou de détecter les erreurs liées au contrôle interne en matière la gestion financière (CIGF), et de les corriger. Ces contrôles peuvent être :

  • des mesures de détection ou de prévention;
  • automatisés ou manuels.
Exemples de contrôle de processus opérationnels
  • Seules les modifications budgétaires approuvées par le fondé de pouvoir approprié sont consignées dans le système de gestion financière du ministère.
  • Les factures sont approuvées par le fondé de pouvoir approprié avant d’être payées.

Annexe B - Exemple de plan d’action de surveillance continue pour les années à venir

Le tableau B1 est un exemple de plan quinquennal de surveillance continue qui montre une surveillance et des mises à jour régulières d’un système de contrôle interne en matière de rapports financiers (CIRF). Le ministère établit le plan et peut habituellement utiliser ce tableau pour remplir la partie de l’annexe concernant les plans d’action des années à venir.

Tableau B1. Exemple de plan de surveillance quinquennal

Type de contrôleRisque2019
à
2020		2020
à
2021		2021
à
2022		2022
à
2023		2023
à
2024

Contrôle au niveau de l’entité

Faible

Contrôles généraux des TI

Sécurité logique

Élevé

Contrôles des processus opérationnels

Comptes créditeurs : factures et paiements

Modéré

Comptes débiteurs : encaissements

Faible

Marchés (approvisionnement)

Élevé

Revenus : pénalités pour production tardive et erronée

Modéré

Régularisations de fin de mois et de fin d’exercice

Élevé

Communication de fin de trimestre ou d’exercice

Modéré

Paie

Élevé

Budgétisation et

prévisions

Modéré

Revenus : évaluations

de base

Élevé

Revenus : évaluations du régime de retraite

Élevé

Revenus : services à frais recouvrables fondés sur des protocoles d’entente

Modéré

Revenus (autres) : paiement d’utilisateur, frais supplémentaires ou liés à des représentants de bureau à l’étranger

Faible

Annexe C - Éléments d’un plan de surveillance continue documenté

Voici quelques éléments clés que les organisations devraient inclure dans leur plan de surveillance continue documenté. Il ne s’agit pas d’une liste exhaustive. Il revient aux ministères de choisir les éléments à inclure dans leur plan.

Contexte

Cette partie peut contenir une brève description de l’environnement opérationnel de l’organisation.

Approche en matière d’évaluation des risques

Cette partie peut comprendre une description de la façon dont l’organisation mène ses évaluations des risques, y compris les seuils d’importance relative utilisés.

Plan d’essai pluriannuel

Ce plan peut comprendre un résumé des domaines de contrôle à mettre à l’essai à la suite d’une évaluation des risques menée sur plusieurs années.

Documentation et stratégies d’essai

Cette partie peut comprendre un résumé des méthodes de documentation pour les domaines de contrôle clés et une analyse des stratégies de mise à l’essai. Les stratégies peuvent comprendre une discussion sur les éléments suivants :

  • toute mise à l’essai prévue de nouveaux processus afin de vérifier l’efficacité de la conception;
  • tout processus remanié;
  • l’approche prévue pour vérifier l’efficacité opérationnelle des contrôles clés.

Plans de mesures correctives et plans d’action de la direction

Après les essais, il faut corriger les lacunes relevées dans les contrôles. Les organisations jugeront peut-être utile d’expliquer la façon dont ils feront état des progrès réalisés dans le cadre des plans de mesures correctives et des plans d’action de la direction et les mesures de suivi qui seront prévues dans le plan d’action de la direction.

Rôles et responsabilités

Cette partie peut clarifier les responsabilités de chacun dans le programme de surveillance continue de l’organisation, par exemple les rôles et les responsabilités pour les fonctions suivantes :

  • les mises à l’essai pour vérifier l’efficacité de la conception et l’efficacité opérationnelle;
  • la correction des lacunes liées à l’efficacité de la conception ou à l’efficacité opérationnelle;
  • l’approbation des mesures correctives;
  • l’engagement de la fonction d’audit interne et du Comité ministériel d’audit.

Établissement de rapports

Cette partie peut fournir l’information suivante :

  • la façon dont l’organisation rend compte de la surveillance continue du CIRF et du CIGF à l’interne et à l’extérieur;
  • la fréquence de ces rapports.

Annexe D - Échantillonnage des transactions pour les essais visant à vérifier l’efficacité opérationnelle

Définition de la population de l’échantillon

La sélection d’un échantillon de transactions à évaluer est une étape essentielle de la vérification de l’efficacité opérationnelle. L’échantillon devrait tenir compte de toutes les transactions ou activités qui font partie du processus d’application du contrôle.

Période d’évaluation

Il est important de :

  • connaître la période d’évaluation;
  • vérifier si des changements importants ont été apportés au contrôle, ce qui aurait une incidence sur la sélection de l’échantillon;
  • détecter efficacement les risques associés à un contrôle.

Si une mesure corrective a été mise en œuvre, il faut procéder à un nouvel essai du contrôle pour confirmer qu’elle a été mise en œuvre correctement. Deux périodes séparées d’évaluation peuvent être requises.

Taille de l’échantillon

L’échantillon devrait être composé de transactions ou d’activités à évaluer pour pouvoir tirer des conclusions sur l’efficacité opérationnelle du contrôle. Dans la conception du plan d’échantillonnage, il faut tenir compte des caractéristiques des éléments à évaluer et de leur stratification. Voici certains des aspects dont il faut tenir compte :

  • si le contrôle est le même d’une région à l’autre;
  • si le type de transaction nécessite une méthode différente d’exécution du contrôle;
  • toute préoccupation soulevée pendant les activités antérieures d’évaluation.

Les pratiques et techniques d’échantillonnage retenues devraient être suffisamment exactes et fiables pour démontrer l’efficacité globale du contrôle. Voir le tableau D1 pour obtenir une liste des pratiques exemplaires de l’industrie relatives à la taille de l’échantillon.

Fréquence de l’exécution du contrôle

L’ampleur des mises à l’essai est déterminée par la fréquence à laquelle un contrôle est exécuté.

Le tableau D1 présente les pratiques exemplaires de l’industrie à adopter par les vérificateurs et les spécialistes du risque au moment de choisir un échantillon à partir duquel ils pourront tirer des conclusions sur l’efficacité d’un contrôle interne.

Tableau D1. Pratiques exemplaires de l’industrie relatives à la taille de l’échantillon
Nature du contrôleFréquence d’exécutionTaille de l’échantillon

Manuel

Chaque jour

25 transactions

Manuel

Chaque semaine

10 transactions

Manuel

Chaque mois

5 transactions

Manuel

Chaque trimestre

2 transactions

Manuel

Deux fois par année

2 transactions

Manuel

Chaque année

1 transaction

Manuel

Au besoin

10 % de la population ou 25 (selon la valeur la moins élevée)

Activités programmées ou automatisées

Essai de comparaison : vérifier 1 application de chaque activité programmée (réexécution)

Essai de comparaison : vérifier 1 application de chaque activité programmée (réexécution)

Contrôles généraux des TI

Suivre les consignes ci-dessus pour les aspects manuels et programmés des contrôles généraux des TI

Suivre les consignes ci-dessus pour les aspects manuels et programmés des contrôles généraux des TI

Annexe E - Exemple de tableau des recommandations

Tableau E1. Exemple de tableau des recommandations
Résultats
Renvoi de la matrice de contrôleObservationRépercussionsRecommandationResponsable opérationnel
Administration de la paie

PRE-3A

Au cours de l’examen, on a noté que le formulaire d’intervention de paye n’avait pas été approuvé par le fondé de pouvoir compétent pour X des 25 transactions de l’échantillon.

L’absence d’approbation documentée des interventions de paye accroît le risque d’interventions inappropriées liées à la paye.

Nous recommandons que la direction fasse respecter l’exigence de faire approuver tous les formulaires d’intervention de paye par le fondé de pouvoir compétent avant de les traiter dans le système.

De plus, nous recommandons la mise en place d’un contrôle de surveillance. Ce contrôle donnerait lieu à un examen périodique des formulaires d’intervention de paye permettant de garantir que chaque formulaire a reçu l’approbation du fondé de pouvoir compétent. L’examen pourrait être axé sur les risques, auquel cas il porterait sur un seul échantillon de transactions liées à la paye à risque plus élevé.

Ressources humaines

De l’approvisionnement au paiement

P2P-3

D’après notre examen du processus d’approvisionnement au paiement, nous avons constaté qu’un utilisateur du système est autorisé à tenir à jour les fichiers principaux des fournisseurs et à autoriser les paiements.

Le fait de ne pas séparer les autorisations pour tenir à jour les fichiers des fournisseurs et autoriser des paiements augmente le risque d’erreur ou de fraude.

Nous recommandons que le ministère améliore la séparation des autorisations pour s’assurer que les personnes n’ont pas de rôles incompatibles au sein du système.

Nous recommandons également que l’accès des utilisateurs soit surveillé périodiquement pour s’assurer qu’il demeure approprié, ce qui comprend une séparation appropriée des autorisations.

Gestionnaire de l’approvisionnement

Contrôles généraux des TI

CGTI-1

Au cours de l’examen de la gestion du changement, on a noté que sur les 25 transactions de l’échantillon analysé, 2 n’avaient pas obtenu l’approbation du Conseil de gestion du changement avant d’apporter le changement.

L’absence d’approbation des changements augmente le risque d’apporter des changements inappropriés au système et, ainsi, causer des erreurs ou des problèmes d’intégrité des données.

Nous recommandons au ministère de suivre le processus de gestion du changement consigné par écrit et d’obtenir l’approbation requise. La direction devrait également surveiller les changements apportés au système pour s’assurer que le processus consigné par écrit est suivi.

Sans objet

Annexe F - Définitions

administrateur général (AG)
Aux fins du présent guide :
agent comptable
Dans le contexte des tableaux RACI (responsable, agent comptable, consulté et informé), personne dont le rôle consiste à attester la véracité d’une information ou d’une décision et qui est responsable de la réalisation de l’activité. Il doit y avoir un rôle d’agent comptable pour chaque activité.
audit interne (AI)
Activité d’une organisation, d’une division, d’une équipe d’experts-conseils ou d’un autre groupe qui a pour but de fournir une assurance indépendante et objective ainsi que des services d’experts-conseils destinés à améliorer le fonctionnement de l’organisation. L’audit interne aide l’organisation à réaliser ses objectifs en instituant une démarche systématique et disciplinée d’évaluation et d’amélioration de l’efficacité des processus de gouvernance, de contrôle et de gestion des risques.
cadre supérieur du ministère (CSM)
Gestionnaire ministériel qui relève directement d’un administrateur général et qui est responsable de l’efficacité de la gestion financière dans ses secteurs de responsabilité.
comité ministériel d’audit (CMA)
Ressource stratégique à qui il appartient de fournir des recommandations et des conseils objectifs à l’administrateur général quant à la suffisance, la pertinence, le fonctionnement et la qualité de la gestion, du contrôle et de la gouvernance des cadres et processus de gestion des risques du ministère.
consulté
Dans le contexte des tableaux RACI (responsable, agent comptable, consulté et informé), personne dont le rôle consiste à fournir des renseignements exacts aux fins de prise de décisions ou d’exécution d’une activité. Il n’y a pas nécessairement de rôle de personne « consultée », et la consultation n’est pas toujours obligatoire. Lorsqu’il y a consultation, cependant, il y a généralement une communication bidirectionnelle entre la personne « consultée » et la personne « responsable ».
dirigeant principal des finances (DPF)
Cadre supérieur du ministère chargé d’aider l’administrateur général à s’acquitter de ses responsabilités de rendre compte en matière de gestion financière. La sous-section 4.2 de la Politique sur la gestion financière donne plus de précisions sur les responsabilités du DPF.
équipe de contrôle interne (ECI)
Unité du secteur du DPF qui soutient la mise en place, la surveillance et l’entretien du système de contrôle interne en matière de gestion financière axé sur les risques.
Équipe de gestion des risques du ministère (EGRM)
Groupe au sein du ministère qui appuie l’administrateur général dans la mise en œuvre de pratiques efficaces de gestion des risques à tous les niveaux de l’organisation.
Informé
Dans le contexte des tableaux RACI (responsable, agent comptable, consulté et informé), personne qui est avisée :
  • de l’information;
  • d’une décision une fois qu’elle a été prise;
  • d’une activité après qu’elle ait été menée à terme.

Il peut y avoir ou non un rôle d’informé. Il y a habituellement une communication à sens unique, soit du responsable ou de l’agent comptable à la personne informée.

responsable
Dans le contexte des tableaux RACI (responsable, agent comptable, consulté et informé), personne qui est chargée de consigner l’information ou la décision ou de s’acquitter des tâches pour mener à bien une activité en se fondant sur l’information obtenue de la personne consultée ou de l’agent comptable.
responsable des processus opérationnels (RPO)
Aux fins du présent guide, personne chargée de surveiller les contrôles associés à un processus opérationnel particulier ou à un processus de contrôle général des TI.