Système de contrôle interne en matière de rapports financiers

Glossaire et abréviations

ADPF

Adjoint du dirigeant principal des finances

AICPA

American Institute of Certified Public Accountants

BSIF

Bureau du surintendant des institutions financières

Cadre

Plan quinquennal fondé sur le risque pour l'évaluation, la correction et la surveillance soutenue du contrôle interne en matière de rapports financiers

CEE

Contrôles à l'échelle de l'entité

CGTI

Contrôles généraux de la technologie de l'information

CIRF

Système de contrôle interne en matière de rapports financiers

CT

Conseil du Trésor

DPF

Dirigeant principal des finances

PGF

Politique sur la gestion financière

Contexte

La Politique sur la gestion financière (PGF) du Conseil du Trésor (CT) est entrée en vigueur le 1er avril 2017. Elle énonce l'exigence pour les administrateurs généraux et le surintendant d'établir, de surveiller et de maintenir un système de contrôle interne en matière de rapports financiers (CIRF). Selon la définition qu'en donne la PGF, le système de CIRF constitue « un ensemble de mesures et d'activités qui permettent aux cadres supérieurs et aux utilisateurs d'états financiers d'avoir une assurance raisonnable de la précision et de l'intégralité des états financiers du ministère ».

Plus précisément, le système de CIRF s'entend des procédures et des mécanismes mis en place pour fournir une assurance raisonnable que :

1. les documents qui soutiennent et représentent toutes les transactions financières de façon équitable sont conservés;
2. l'inscription des opérations financières permet la préparation de renseignements, de rapports et d'états financiers internes et externes en conformité avec les instruments de la politique sur la gestion financière;
3. les dépenses réalisées sont conformes aux pouvoirs délégués, et les transactions non autorisées qui pourraient avoir une incidence importante sur les états financiers sont évitées ou détectées en temps opportun;
4. les ressources financières sont protégées contre les pertes matérielles attribuables au gaspillage, à l'abus, à la mauvaise gestion, aux erreurs, à la fraude, aux omissions et aux autres irrégularités^{Note de bas de page1}.

Une évaluation annuelle axée sur les risques du système de CIRF est effectuée pour en déterminer l'efficacité continue, et les résultats de l'évaluation sont présentés dans une annexe distincte des états financiers. Il est essentiel de surveiller l'efficacité continue du système de CIRF pour s'assurer que les lacunes éventuelles en matière de contrôle ou les risques importants sont cernés rapidement et que des mesures correctives sont prises rapidement pour garantir la fiabilité de l'information financière.

La responsabilité de l'établissement et du maintien du système de CIRF au Bureau du surintendant des institutions financières (BSIF) incombe au dirigeant principal des finances (DPF) et à l'adjoint du dirigeant principal des finances (ADPF) de la Division des finances du Secteur des services intégrés. L'équipe de base du système de CIRF répond de la planification et de la réalisation des évaluations annuelles des risques, ainsi que de la mise à l'essai et de l'évaluation de la conception et de l'efficacité opérationnelle des contrôles clés. L'équipe se compose du gestionnaire, Politiques et projets financiers, et de l'agent, Politiques et projets financiers; on a également recours à des experts-conseils externes, au besoin.

Le Cadre de CIRF du BSIF comporte un plan quinquennal fondé sur le risque pour l'évaluation, la correction et la surveillance continue du contrôle interne en matière de rapports financiers (le « Cadre »), de même qu'un plan et un rapport annuels sur les résultats, y compris des plans d'action pour les exceptions notées.

Le Cadre pluriannuel est un document évolutif qui énonce les responsabilités du BSIF en matière de surveillance et de tenue à jour du système de CIRF. Le Cadre définit le système de CIRF de manière à tenir compte des contrôles aux niveaux suivants :

• Contrôles à l'échelle de l'entité (CEE) – s'entendent des mécanismes de contrôle qui portent sur l'organisation au niveau le plus élevé et qui influencent l'efficacité globale du système de contrôles internes. Il est souvent dit de ces contrôles qu'ils constituent le ton donné par la direction.
• Contrôles des transactions – s'entendent des mécanismes de contrôle intrinsèques de la consignation au jour le jour de l'information financière (créditeurs, débiteurs, produits, charges, etc.). La performance et l'efficacité de ces contrôles influent sur l'efficacité des contrôles à l'échelle de l'entité.
• Contrôle général de la technologie de l'information (CGTI) – ressemble aux mécanismes de contrôle à l'échelle de l'entité et donne le ton à l'ensemble de l'environnement de TI. L'accent est mis principalement sur les contrôles d'accès logique et de gestion du changement dans les systèmes essentiels à la gestion financière et à la production de rapports^{Note de bas de page2}.

Les trois niveaux de contrôle servent à réduire collectivement le risque lié à l'atteinte des objectifs du système de CIRF.

Le Cadre pour la période de cinq ans allant de 2014-2015 à 2018-2019 définit 11 processus transactionnels clés fondés sur l'évaluation du risque lié aux états financiers, lesquels servent de fondement à l'établissement d'une méthode de rotation pour l'évaluation des contrôles principaux au cours d'un exercice donné à l'échelle de l'entité, des transactions et du CGTI. Le Cadre indique que les principaux processus cotés à risque élevé font l'objet de tests opérationnels chaque année, et que les processus à risque moyen ou faible sont testés par rotation sur une période de deux ans.

Conformément au Cadre, la surveillance s'entend de l'évaluation continue du système de CIRF, qui peut comprendre la mise à l'essai des contrôles et la déclaration des lacunes. Elle vise à s'assurer que les contrôles internes continuent de fonctionner de manière efficace et comme prévue, sans exception. La surveillance englobe donc l'évaluation continue de la conception et du fonctionnement des contrôles internes, ainsi que la prise des mesures nécessaires pour combler toute lacune décelée.

L'audit visait à fournir l'assurance de l'adéquation et de l'efficacité de la surveillance continue du système de CIRF au BSIF. Il s'agissait d'examiner le Cadre et la méthodologie d'évaluation des principaux processus, notamment les résultats de la documentation d'essai des contrôles à l'échelle de l'entité et les huit processus opérationnels à l'étude pour la période du 1er avril 2018 au 31 mars 2019 (dont 40 contrôles clés et les CGTI).

Un audit des CIRF a été recommandé par le Comité d'audit du BSIF et approuvé par le surintendant aux fins d'inclusion dans le Plan d'audit interne 2019-2020 du BSIF.

Objectif

L'audit visait à évaluer l'harmonisation du Cadre de CIRF du BSIF avec la politique et les lignes directrices du gouvernement du Canada, la pertinence et l'efficacité des éléments de base du programme de CIRF — notammentles procédures et pratiques opérationnelles applicables - ainsi que les mécanismes de gouvernance et de surveillance.

Portée

L'audit visait notamment à évaluer les principaux éléments du programme de CIRF, y compris la surveillance et la mise à l'essai continues de ce dernier, au moyen d'entrevues et d'examens de la documentation pour assurer l'harmonisation avec le cadre établi pour l'exercice 2018-2019. La conception et l'efficacité opérationnelle de chaque contrôle clé n'ont pas été auditées.

Les documents de mise à l'essai des huit processus opérationnels suivants inclus dans le plan de surveillance de 2018-2019 ont été examinés, ainsi que le nombre correspondant de contrôles clés indiqué entre parenthèses ci-dessous :

• Débiteurs – Rentrées de fonds (4)
• Passation de marchés (Approvisionnement) (6)
• Charges à payer en fin de mois/d'exercice (5)
• Produits au titre des cotisations de base (4)
• Produits au titre des cotisations des régimes de retraite (4)
• Paie (10)
• Créditeurs – Factures et paiements (4)
• Divulgation de fin de trimestre/d'exercice (3)

Déclaration de conformité

L'audit a été effectué conformément aux Normes internationales pour la pratique professionnelle de l'audit interne de l'Institut des vérificateurs internes (IVI), à la Politique sur l'audit interne du CT et aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui sont appuyées par les résultats du programme d'amélioration et d'assurance de la qualité.

Résultats de la mission

Dans l'ensemble, l'équipe des finances du BSIF a établi un cadre exhaustif de surveillance continue du système de CIRF, lequel décrit les éléments constitutifs à l'appui de l'exécution des principales activités sur une base cyclique conformément aux exigences de la Politique sur la gestion financière du CT et fournit une assurance raisonnable de l'intégrité de l'information financière.

Il est ressorti de l'audit que l'approche à l'égard des contrôles à l'échelle de l'entité (CEE) pourrait être davantage axée sur les risques dans les tests de conception et d'efficacité opérationnelle des contrôles clés qui ont une incidence importante sur l'environnement du BSIF. En outre, l'équipe des finances aurait avantage à examiner et à mettre à jour ses activités de mise à l'essai des contrôles afin d'assurer une harmonisation adéquate avec le Cadre et de veiller à ce que la documentation et les normes de qualité applicables soient conservées dans les dossiers de mise à l'essai. Enfin, le Cadre de CIRF doit également être examiné et mis à jour afin d'inclure des paramètres garantissant l'instauration rapide des mesures correctives pour corriger d'éventuelles lacunes de contrôle et des lignes directrices pour s'assurer que l'échantillonnage élargi des exceptions est fondé sur les risques, et que les rôles et responsabilités des organes directeurs du système de CIRF sont clairement définis.

Réponse de la direction

La direction tient à remercier le service d'audit interne pour sa collaboration et sa rétroaction constructive au cours de cet audit. Les recommandations présentent des occasions utiles de prendre appui sur une solide base de CIRF. Le rapport offre des axes d'amélioration susceptibles d'aider à raffermir le Cadre de CIRF et à assurer la conformité continue du BSIF à la Politique sur la gestion financière du CT.

Les plans d'action de la direction pour chaque observation d'audit sont décrits dans les sections pertinentes. L'évaluation de composantes particulières du Cadre de CIRF fera intervenir le Comité des opérations, l'organe de gouvernance interne qui supervise les travaux du BSIF à l'égard du système de CIRF; autrement dit, le Comité examinera et approuvera les modifications nécessaires.

Conformément aux plans d'action sous-jacents, un Cadre actualisé prendra effet l'année de mise à l'essai 2021-2022. La direction a élaboré des plans d'urgence pour atténuer le risque lié aux personnes clés et, par conséquent, le risque de retards de mise en œuvre.

Observation et recommandation 1 : Contrôles à l'échelle de l'entité

Les CEE ont une incidence généralisée sur une organisation, un ministère ou un centre de coûts; ils peuvent donc influer de manière directe ou indirecte sur l'efficacité globale du système de contrôles internes, notamment sur la fiabilité des contrôles des processus transactionnels (s'ils sont absents ou s'ils ne fonctionnent pas efficacement).

Pour la période à l'étude, le Cadre a classé les CEE dans la catégorie risque faible compte tenu des résultats de l'évaluation de la conception; ils ont donc fait l'objet d'essais par rotation sur deux ans. Le Cadre des exercices futurs a depuis été mis à jour pour exiger l'évaluation triannuelle des processus à faible risque, y compris les CEE. Le Cadre stipule toutefois que « La constatation d'une exception au contrôle ou d'une variation du risque connexe au cours de l'évaluation de la conception ou du fonctionnement des contrôles est susceptible de porter le risque au niveau modéré ou élevé. ».

Évaluations des CEE

L'équipe du système de CIRF évalue la conception des CEE par rapport à 204 pratiques exemplaires, conformément aux principes du cadre du COSO sous cinq éléments : environnement de contrôle, évaluation du risque, activités de contrôle, information et communication et surveillance. Les évaluations de l'équipe du système de CIRF par rapport aux pratiques exemplaires ont été réalisées au moyen d'entrevues avec la haute direction et d'examens de la documentation du BSIF.

À l'heure actuelle, les évaluations des CEE n'appuient pas suffisamment une conclusion d'efficacité globale en raison de lacunes observées dans la méthodologie et dans la communication des résultats. Par exemple, parmi les 204 pratiques exemplaires applicables au BSIF, 74 ne décrivent pas comment il les a adoptées, et 120 pratiques exemplaires ne comportent aucune évaluation de l'efficacité opérationnelle.

De surcroît, le bien-fondé de la pertinence des rapports sur la gouvernance n'est pas clair. L'évaluation des CEE a relevé 17 cas où les processus n'étaient pas comparés aux pratiques exemplaires ou étaient mal conçus. Cependant, seule une lacune a été signalée au comité de gouvernance : la suspension de la mise en œuvre de l'évaluation du risque à l'échelle de l'organisation. D'autres lacunes comme le manque de communication concernant les violations du comportement attendu, les lacunes de formation et d'établissement des attentes en matière de responsabilités de contrôle interne n'ont pas été signalées aux échelons supérieurs pour l'inclusion dans les rapports sur la gouvernance. En outre, le niveau global de déclaration, coté « bon » pour 187 des 204 pratiques exemplaires, indique une pondération égale de toutes les pratiques exemplaires, alors que certaines pratiques sont probablement plus applicables à l'environnement de contrôle du BSIF. À la lumière du nombre de dérogations aux pratiques exemplaires qui n'ont pas été signalées à l'organe de gouvernance, les pratiques exemplaires doivent être évaluées pour en déterminer le champ d'application et la nécessité des évaluations sur l'environnement du BSIF.

Les CEE peuvent avoir un effet indirect et généralisé sur l'environnement de contrôle de l'organisation, comme le ton donné par la direction (c.-à-d. la communication des attentes au moyen de politiques et procédures normalisées) et les pratiques d'embauche (l'établissement de normes éthiques élevées visant les pratiques d'embauche et les procédures de cessation). Cependant, les CEE mis en œuvre avec plus de précision pour surveiller des risques particuliers peuvent avoir une incidence plus importante et directe sur la détection et la prévention des anomalies financières comme l'analyse mensuelle des écarts. Faute d'une approche axée sur le risque pour déterminer les contrôles clés et mettre en œuvre les procédures d'essai correspondantes afin d'évaluer l'efficacité opérationnelle des CEE, les lacunes des contrôles ayant un impact direct non négligeable pourraient passer inaperçues.

Recommandation

Le BSIF doit établir une approche axée sur le risque à l'égard de ses CEE en déterminant, parmi les 204 pratiques exemplaires, celles qui s'appliquent le mieux à l'environnement du BSIF, en définissant les principaux contrôles connexes et en établissant des procédures de test correspondantes pour évaluer l'efficacité opérationnelle de ses activités courantes. Il convient de mettre en place un processus structuré, reproductible et documenté. La surveillance et la production en permanence de rapports, elles, doivent traduire le niveau de risque que présentent les contrôles à partir des résultats de leur conception et de leur efficacité opérationnelle.

Plan d'action de la direction

L'équipe des finances procédera à un examen complet de l'approche, de la méthodologie et des processus d'évaluation des CEE du BSIF. L'examen tiendra expressément compte des observations ci-dessus et permettra de mettre en place une approche axée sur le risque pour déterminer les contrôles clés pertinents et établir un processus structuré et reproductible assorti d'exigences appropriées à l'égard de la surveillance et de la production de rapports. L'équipe terminera cet examen d'ici décembre 2020. Les résultats de l'examen et les modifications à l'approche et à la méthodologie des CEE du BSIF seront présentés à l'examen et à l'approbation du Comité des opérations au quatrième trimestre (d'ici le 31 mars 2021).

La méthodologie et les processus révisés des CEE seront mis en chantier après le 1^er avril 2021.

Observations et recommandation 2 : Contrôles des transactions et CGTI

Le Plan quinquennal fondé sur le risque pour l'évaluation, la correction et la surveillance soutenue du contrôle interne (Cadre) du BSIF décrit l'exécution des activités liées au système de CIRF doivent être exécutées. Le Cadre porte sur l'évaluation des principaux contrôles, la surveillance du système de CIRF, les responsabilités du système de CIRF au BSIF, ainsi que le plan de mise à l'essai des contrôles à l'échelle de l'entité et des transactions et du contrôle général de la TI (CGTI).

Les processus opérationnels du système de CIRF sont censés être mis à l'essai pour en vérifier l'efficacité conceptuelle et opérationnelle, afin que les activités soient exécutées conformément au Cadre. Des modèles normalisés ont été établis pour décrire les principaux contrôles et les procédures d'essai, et pour documenter les résultats des essais des processus opérationnels.

Lors de la validation des activités d'essai de l'équipe du système de CIRF en 2018‑2019, les exceptions suivantes ont été relevées :

• Dans le cadre des activités annuelles liées au système de CIRF, afin d'assurer la validité continue des contrôles clés, l'équipe du système de CIRF doit valider les schémas des processus et les matrices de risque et de contrôle correspondantes auprès des responsables des processus, et les mettre à jour en conséquence. Or, les matrices de risque et de contrôle n'ont pas été validées auprès des responsables des processus pour l'exercice 2018-2019, et la confirmation finale pour valider l'exactitude des schémas révisés des processus n'a pas été documentée auprès de tous les responsables des processus opérationnels.
• L'examen des activités de mise à l'essai a révélé l'absence de preuves documentées montrant l'exécution de cinq étapes précises de mise à l'essai applicables à onze contrôles clés répartis en trois processus opérationnels. L'équipe de base du système de CIRF a indiqué que d'autres procédures d'essai n'ont pas été exécutées pour les quatre autres processus opérationnels parce que les étapes d'essai n'étaient pas bien conçues. Des détails sur les observations de contrôle individuelles ont été présentés à la direction pour qu'elle y donne suite.
• En ce qui concerne les tests de contrôle de l'accès des utilisateurs et les tests de certains contrôles clés des applications, il manquait des procédures d'essai documentées et normalisées ainsi qu'un mécanisme de démonstration du rendement.

Faute de mise à jour des matrices de risque et de contrôle et de preuve de l'exécution des procédures d'essai, les évaluations du système de CIRF pourraient ne pas permettre de détecter les lacunes des contrôles et de s'assurer de la pertinence et de l'actualisation des contrôles en fonction des nouveaux risques qui pèsent sur les processus opérationnels. Ces lacunes ne signifient pas nécessairement que l'équipe du système de CIRF n'est pas au courant des risques qui pèsent sur les processus ou que des tests suffisants n'ont pas été effectués. Étant donné que les mécanismes en place n'ont pas été utilisés pour faciliter ces validations, il n'était pas possible de déterminer si toute l'information pertinente a été prise en compte dans l'élaboration de l'approche axée sur le risque pour tester les contrôles clés et si les tests de l'efficacité opérationnelle sont suffisants pour établir l'efficacité continue de certains contrôles des transactions et du CGTI.

Recommandation

Les activités de validation et de mise à l'essai du système de CIRF s'imposent pour fournir une assurance raisonnable que les descriptions des processus demeurent à jour, que les risques sont repérés et que les contrôles clés sont évalués en fonction de leur conception et de leur efficacité opérationnelle. Autrement dit, l'équipe du système de CIRF doit :

• valider chaque année les matrices de contrôle des risques auprès des responsables opérationnels pour s'assurer qu'elles sont complètes et exactes, et obtenir des confirmations des changements apportés aux schémas des processus;
• examiner et mettre à jour les procédures d'essai afin de s'assurer qu'elles sont bien conçues pour tester les objectifs de contrôle clés, et que les résultats des essais sont suffisamment documentés pour attester le rendement et appuyer les conclusions à l'égard des contrôles clés des processus opérationnels et du CGTI.

Plan d'action de la direction

L'équipe des finances a déjà modifié les étapes et les activités de validation pour l'exercice se terminant le 31 mars 2020. Les responsables des processus opérationnels ont été appelés à valider les matrices de contrôle des risques et les schémas des processus pour s'assurer qu'ils sont complets et exacts. Afin de veiller à ce que la pratique soit maintenue, une liste de contrôle a été créée et dûment mise en œuvre pour assurer l'examen et la validation systématiques de la matrice de contrôle et des schémas des processus par les responsables des processus opérationnels pendant chaque cycle d'essai.

En outre, l'équipe des finances a examiné les processus opérationnels qui ont été mis à l'essai au cours de l'exercice se terminant le 31 mars 2020 pour s'assurer que les procédures d'essai concordent avec les contrôles; les autres processus (c.-à-d. ceux qui ne devraient pas être mis à l'essai au cours de cet exercice) seront examinés d'ici le 31 mars 2021.

Le Cadre de CIRF sera mis à jour afin d'intégrer les changements découlant des démarches susmentionnées. L'actualisation aura lieu selon l'échéancier prévu du Plan d'action de la direction en lien avec la recommandation d'audit no 3 (d'ici le 30 juin 2021).

Observation et recommandation 3 : Rôles en matière de gouvernance et rapports

La Politique sur la gestion financière (PGF)du CT exige que des mesures correctives soient prises rapidement lorsque des lacunes en matière de contrôle et des risques névralgiques sont décelées dans le système de CIRF. Le Cadre de CIRF traite de la production de rapports sur les exceptions et les observations en matière de contrôle relevées au cours des tests du système de CIRF qui seront présentés aux organes de gouvernance concernés, le cas échéant.

Rapports sur les exceptions de contrôle

Les évaluations annuelles des risques liés aux états financiers font état des critères servant à mesurer l'incidence des exceptions de contrôle relevées précédemment sur les cotes de risque des comptes financiers et des processus opérationnels connexes conçus pour déterminer l'étendue des tests requis (p. ex., les processus à risque élevé doivent être testés annuellement). Elles facilitent l'établissement des critères permettant de déterminer si l'importance de la faiblesse des contrôles est faible, modérée ou élevée, y compris des délais correspondants pour la prise de mesures correctives (p. ex., les lacunes considérées à risque élevé à régler au cours d'une année). Toutefois, le Cadre ne précise pas les critères établis pour le classement de l'ordre de priorité des risques d'exception des contrôles dans la feuille d'évaluation des risques liés aux états financiers.

Notre examen des lacunes de contrôle signalées a révélé ce qui suit :

• Cinq exceptions ou observations de contrôle ont été notées pour l'exercice 2018-2019. Bien que les exceptions ou observations et les plans d'action de la direction, aient été déclarées dans le Rapport final sur les CIRF 2018-2019 et dans la présentation à l'organe de surveillance approprié, le Comité des opérations (CO), le rapport n'attribuait pas de cotes de risque aux exceptions de contrôle individuelles ni n'indiquait l'échéance connexe des mesures correctives.
• Le Cadre stipule que plus d'une exception de contrôle entraîne la défaillance opérationnelle du contrôle; cette situation doit alors être signalée au CO. L'examen des résultats des essais et du Rapport final sur les CIRF 2018-2019 a révélé que, même si une exception a été constatée relativement aux essais des contrôles, l'ampleur réelle de la défaillance des contrôles n'a pas été signalée ni soulignée dans la présentation à l'organe de surveillance, le CO.

En l'absence de rapports complets sur l'ampleur des exceptions notées et l'importance des lacunes de contrôle repérées au moyen des cotes de risque établies et des échéanciers raisonnables et correspondants pour la correction, le programme risque de ne pas présenter de l'information suffisante et pertinente aux organes de gouvernance pour remplir efficacement leur fonction de supervision.

Rôles de gouvernance et production de rapports

Si le Cadre de CIRF pour l'année à l'étude décrit l'exigence selon laquelle les exceptions relevées doivent être examinées par le CO, il n'énonce pas d'exigences claires visant la production de rapports et l'approbation d'autres documents de gouvernance clés comme le plan de surveillance quinquennal, le rapport final sur les CIRF et l'annexe aux états financiers. Ce manque de clarté pourrait faire en sorte que les principaux documents sur le système de CIRF ne soient pas examinés et approuvés par l'échelon approprié de la haute direction et que les organes directeurs du BSIF ne connaissent pas les risques liés au programme de CIRF, ce qui les empêche d'exercer pleinement leur fonction de supervision.

Recommandation

Il est recommandé que les rapports présentés aux organes de gouvernance précisent davantage l'étendue des exceptions relevées, notamment la détermination du niveau de risque associé à l'exception et les échéanciers correspondants pour assurer une supervision efficace par la prise de mesures correctives et de décisions. De plus, le cadre doit faire l'objet d'un examen et d'une révision afin qu'il énonce clairement les rôles des organes de gouvernance et les exigences en matière de rapports, y compris l'approbation du plan de surveillance quinquennal, du rapport final sur les résultats et de l'annexe des états financiers.

Plan d'action de la direction

La direction convient que le niveau de détail des rapports sur les exceptions pourrait être élargi et qu'elle fera désormais un effort concerté pour y apporter des améliorations.

L'équipe des finances s'entretiendra avec le CO à propos du rôle des organes de gouvernance et des exigences en matière de rapports pour lui permettre d'exercer ses fonctions de supervision. Les échanges éclaireront les rapports sur les exceptions, notamment la détermination du niveau de risque et des échéanciers pour les mesures correctives. Ces travaux prendront fin d'ici le quatrième trimestre de l'exercice se terminant le 31 mars 2021.

À la suite de cette étape, le Cadre de CIRF sera examiné et mis à jour afin que les rôles des organes de gouvernance et les exigences respectives en matière de rapports -notamment l'approbation du plan de surveillance quinquennal, du rapport final sur les résultats et de l'annexe aux états financiers — y soient clairement énoncés. Les révisions bonifieront les renseignements sur les documents à approuver par le DPF ou le CO. Les mises à jour du Cadre se feront d'ici la fin du deuxième trimestre de 2021-2022 et seront présentées au CO au trimestre suivant.

Compte tenu du risque lié aux personnes clés présent dans la fonction de contrôle interne (c.-à-d. les ressources limitées et les difficultés de dotation), le BSIF fera appel

Observation et recommandation 4 : Échantillonnage fondé sur le risque

La mise à l'essai des contrôles clés représente l'une des principales activités du programme de CIRF et nécessite une méthode d'échantillonnage conçue de façon adéquate. Le Cadre de CIRF décrit clairement une méthode d'échantillonnage pour les essais initiaux, les exceptions aux essais et l'échantillonnage élargi conçu selon les directives de l'American Institute of Certified Public Accountants (AICPA). L'audit a révélé que, lorsqu'une exception devait être mise à l'essai, la méthode pour constituer l'échantillon élargi de la population ne ciblait pas des secteurs de risque particuliers afin de fournir une meilleure assurance de l'efficacité opérationnelle, et ce, malgré l'application de l'échantillonnage conformément au cadre dans la plupart des cas. Par exemple, au moment d'élargir la sélection de l'échantillon aux fins du processus d'approvisionnement (passation de marchés), 60 % de l'échantillon élargi ne se rapportait pas au secteur où l'exception a été repérée. Si l'échantillon étendu ne cible pas le secteur où l'exception a été détectée, les résultats des tests ne donnent pas une idée du fonctionnement réel des contrôles clés, d'où l'ignorance des erreurs ou des conclusions sur l'efficacité du fonctionnement.

La nouvelle version du Cadre pour les prochains exercices tient compte du recours à des outils numériques pour faciliter la mise à l'essai ciblée des transactions et l'examen des avantages de l'échantillonnage statistique des opérations des comptes créditeurs. Dans le même ordre d'idées, le BSIF s'apprête à adopter un nouvel outil d'analyse financière. Comme cette initiative en est à ses débuts, d'importants progrès n'ont pas encore été réalisés.

Recommandation

Il est recommandé que l'équipe du système de CIRF examine et révise la méthodologie d'échantillonnage pour s'assurer que la mise à l'essai de l'échantillon étendu est axée sur le secteur où des exceptions sont notées et qu'elle privilégie l'exploration de la technologie assistée par ordinateur pour faciliter la mise à l'essai des contrôles. L'adoption de la technologie permettra à l'équipe du système de CIRF de se concentrer sur les secteurs à risque élevé pour mettre à l'essai les contrôles clés de l'efficacité opérationnelle.

Plan d'action de la direction

L'équipe des finances procédera à un examen de la pertinence de la méthode d'échantillonnage d'ici le quatrième trimestre de l'exercice se terminant le 31 mars 2021. L'évaluation sera orientée par la recommandation d'audit; elle tiendra compte des principes de base suivants :

• La mise à l'essai du système de CIRF exige des preuves d'application des contrôles sans exception tout au long de la période d'essai.
• Un test des contrôles est effectué sans égard au montant de la transaction commerciale sous-jacente.
• Si une erreur est décelée lors d'un test des contrôles, la taille de l'échantillon sera élargie, et d'autres tests seront effectués.
• Si d'autres erreurs sont décelées, on déterminera s'il existe un problème systématique qui rend les contrôles inefficaces ou si les erreurs semblent être des cas isolés qui ne reflètent pas l'efficacité globale du contrôle en question.

L'équipe des finances examinera indépendamment la possibilité de tirer parti de la technologie assistée par ordinateur pour les besoins d'échantillonnage. Cet examen prendra également fin d'ici le quatrième trimestre de l'exercice se terminant le 31 mars 2021.

Les résultats de ces évaluations seront soumis à l'examen et à l'approbation du CO d'ici le 30 juin 2021.

Observation et recommandation 5 : Tenue à jour des documents

L'équipe du système de CIRF a élaboré un vaste ensemble de modèles pour documenter les résultats des activités annuelles. La documentation sert à consigner les résultats des mises à l'essai, les lacunes et observations relevées et la conclusion générale sur l'efficacité opérationnelle de chaque contrôle.

Pour tous les processus opérationnels, des modèles d'essai ont été utilisés de façon uniforme; cependant, des problèmes liés à la qualité des données ont été relevés dans les feuilles de travail, dont le manque d'uniformité de l'information enregistrée à deux endroits, des exemples ou échantillons périmés, des dates d'essai incorrectes et des procédures d'essai mal alignées sur les objectifs de contrôle (voir l'observation 2 ci-dessus). Des détails sur les observations individuelles ont été présentés à la direction pour qu'elle y donne suite.

Les problèmes de tenue à jour de la documentation n'ont pas eu d'incidence sur les résultats et les conclusions des mises à l'essai du système de CIRF; toutefois, le manque de rigueur de la tenue à jour de la documentation peut nuire à la qualité et à l'utilité des résultats des activités liées aux CIRF.

Recommandation

Il est recommandé que l'équipe du système de CIRF et la direction veillent à ce que des niveaux suffisants d'examen soient effectués pour que la documentation soit toujours de grande qualité. Il s'agit d'assurer l'exactitude de l'information consignée, y compris des preuves pertinentes et actuelles, des procédures d'essai applicables et un niveau suffisant d'instructions destinées à la reprise du rendement.

Plan d'action de la direction

L'équipe des finances a déjà examiné la documentation d'essai destinée aux processus opérationnels transactionnels en vigueur durant l'exercice se terminant le 31 mars 2020. Autrement dit, la documentation a été révisée afin d'assurer l'exactitude de l'information consignée, des preuves pertinentes et actuelles, des procédures d'essai applicables et un niveau suffisant d'instructions destinées à la reprise du rendement. Les autres documents d'essai (c.-à-d. ceux qui s'appliquent aux processus non visés en 2019-2020) seront examinés et mis à jour avant décembre 2020. Afin d'éviter des problèmes de qualité des données à l'avenir, ces modèles et documents feront l'objet d'un examen au cours de chaque cycle de test et d'utilisation.

Annexe 1

Notation des observations

Les observations sont notées afin d'aider la direction à affecter les ressources nécessaires pour combler les lacunes relevées et/ou améliorer les contrôles internes et/ou l'efficience opérationnelle. Ces notes ne sont fournies qu'à titre informatif. La direction doit les évaluer selon sa propre expérience et sa propension à prendre des risques.

Les observations sont notées conformément à ce qui suit :

Observation à priorité élevée – Observation liée à une situation requérant une attention immédiate compte tenu d'une lacune importante sur le plan d'un contrôle (c.-à-d. qu'il n'y a pas de contrôle ou le contrôle est mal conçu ou ne fonctionne pas efficacement) ou d'une possibilité d'améliorer sensiblement les opérations.

Observation à priorité moyenne – Observation liée à une lacune à combler sur le plan d'un contrôle ou d'une amélioration à apporter à court terme.

Observation à faible priorité – Observation non essentielle à laquelle on peut donner suite pour renforcer un contrôle interne ou en améliorer l'efficience, normalement à peu de frais et d'efforts.

Les notes individuelles ne doivent pas être considérées seules; il faut tenir compte aussi de leur effet sur d'autres objectifs.

​​