Cadre des contrôles internes
Table des matières
1. Contexte
Le contrôle interne est conçu pour aider les ministères et les organismes à atteindre leurs objectifs. La surveillance des contrôles est un processus permanent qui vise à évaluer périodiquement et à maintenir la gestion des contrôles internes au fil du temps afin de favoriser une amélioration continue.
En 2017, le Conseil du Trésor a approuvé une nouvelle Politique sur la gestion financière, laquelle remplace la Politique sur le contrôle interne (PCI). Par suite de l'établissement de cette nouvelle politique, le contrôle interne est axé sur la gestion financière.
1.1 Contexte de la CPPM
La Commission d'examen des plaintes concernant la police militaire du Canada (CPPM) est un organisme de surveillance civile quasi judiciaire qui fonctionne sans lien de dépendance avec le gouvernement du Canada. La Commission révise et fait enquête sur les plaintes concernant la conduite d'un policier militaire et fait enquête sur les allégations d'ingérence dans des enquêtes menées par des policiers militaires. Elle formule des recommandations et présente ses conclusions directement aux hauts dirigeants de la police militaire et de la Défense. En tant qu'institution fédérale, elle fait partie du portefeuille de la défense pour les fins de rapport.
La CPPM exerce ses activités en vertu de la Loi sur la défense nationale, laquelle fournit une orientation à la Commission quant à la réalisation des enquêtes sur les plaintes, aux types de plaintes pouvant faire l'objet d'une enquête et au délai d'exécution du processus d'enquête et d'établissement de rapport. En outre, la Loi encadre les audiences publiques.
Bien que la Commission d'examen des plaintes concernant la police militaire du Canada n'ait pas mis en œuvre la PCI, l'équipe des finances s'est employée à assurer le caractère adéquat de ses contrôles internes à l'égard de quantité de ses grands processus financiers. En 2019, le dirigeant principal des finances (DPF) a proposé que la CPPM adopte un cadre plus officiel en ce qui a trait à ses contrôles internes. Le cadre proposé régit les contrôles internes sur les rapports financiers et la gestion financière, ainsi que d'autres contrôles clés touchant à des domaines non financiers.
À l'automne 2019, la CPPM a entrepris une analyse et un examen de son environnement de contrôles en vue d'incorporer les éléments nécessaires.
Le présent document vise à fournir un cadre de contrôle interne que la CPPM pourra appliquer au cours de sa surveillance continue des contrôles internes, lequel cadre tiendra compte de l'analyse de l'environnement et des considérations découlant de la récente Politique sur la gestion financière. Les principaux thèmes du cadre sont les suivants :
- Rôles et responsabilités;
- Environnement de contrôle interne en matière de gestion financière (CIGF) au sein de la CPPM;
- Éléments de l'évaluation du risque;
- Plan de surveillance quinquennal.
2. Rôles et responsabilités
Le rôle que joue la direction de la CPPM dans la mise en œuvre de la Politique sur la gestion financière et la surveillance de son système de contrôle interne est essentiel à son efficacité. Comme il est illustré ci-dessous, l'administrateur général, le dirigeant principal des finances et les cadres supérieurs ministériels (les cadres qui relèvent directement de l'administrateur général) sont tous investis de responsabilités au chapitre du système de contrôle interne du Ministère.
Format de rechange
Le graphique représente les rôles et responsabilités partagés au sein de l’organisation.
- Le président assume la responsabilité des mesures prises dans l’objectif d’assurer l’efficacité des systèmes de contrôle interne et signe la Déclaration de responsabilité de la direction.
- Le dirigeant principal des finance dirige et coordonne l’établissement et l’exécution du plan d’évaluation annuel.
- La direction générale des services ministériels est responsable de la coordination de l’évaluation et de la surveillance continue du Système de contrôle interne en matière de gestion financière.
- La Direction générale des services ministériels est responsable de la coordination de l’évaluation et de la surveillance continue du Système de contrôle interne en matière de gestion financière.
- Le Bureau du contrôleur général agit comme responsable de la vérification interne.
- Les gestionnaires/responsables des processus opérationnels assument la responsabilité du maintien de systèmes de contrôle interne, valident les documents sur les évaluations des risques, informent la Direction générale du contrôle des changements importants, fournissent les documents justificatifs, et contribuent à l’évaluation des risques et contrôles clés.
- Le spécialiste de la technologie de l’information exerce un rôle de leader en ce qui concerne l’infrastructure, et contribue aux évaluations des systèmes de TI et des contrôles.
- Le Comité de vérification peut superviser la mise en œuvre de la Politique sur la gestion financière et donne son point de vue sur les plans d’évaluation et les résultats.
- La Commission a recours à d’autres organisations, spécifiquement Services publics et Approvisionnement Canada, Services partagés Canada, Secrétariat du Conseil du Trésor du Canada, les services fonctionnels liés au système financier, et le Centre canadien pour la cybersécurité pour le traitement de certaines opérations, qui en retour, doivent rendre compte des résultats de leur évaluation annuelle à l’égard des services qu’ils fournissent.
Les rôles et responsabilités partagés au sein de l'organisation au chapitre de la surveillance du CIGF sont présentés ci-dessous :
- Président
- À titre d'administrateur de compte et de premier dirigeant, le président assume la responsabilité des mesures prises dans l'objectif d'assurer l'efficacité des systèmes de contrôle interne;
- Il signe la Déclaration de responsabilité de la direction, qui comprend l'annexe.
- Dirigeant principal des finances (DPF)
- Il dirige et coordonne l'établissement et l'exécution du plan d'évaluation annuel ainsi que le maintien et la surveillance continus d'un système ministériel de contrôle interne efficace et intégré en matière de gestion financière et de production de rapports;
- Il dirige et coordonne chaque année la production efficace et en temps opportun de la Déclaration de responsabilité de la direction englobant les contrôles internes relatifs aux rapports financiers annuels.
- Direction générale des services ministériels
- Au sein de la CPPM, elle est responsable de la coordination de l'évaluation et de la surveillance continue du CIGF;
- Elle oriente les résultats de l'évaluation des contrôles internes et les modifications nécessaires aux processus et contrôles.
Nota : Les activités liées aux opérations financières (modifications) sont susceptibles d'influer sur le cadre de CIGF et les contrôles clés désignés.
- Bureau du contrôleur général
- Au sein de la CPPM, il agit comme responsable de la vérification interne (et comme source d'expertise essentielle).
Nota : Les résultats de l'évaluation des contrôles internes sont susceptibles d'éclairer les futurs plans de vérification interne puisque les résultats des vérifications internes peuvent servir à appuyer l'évaluation des contrôles internes.
- Gestionnaires/responsables des processus opérationnels
- Ils assurent la responsabilité du maintien de systèmes de CI efficaces au sein des programmes dont ils sont responsables;
- Ils valident les documents sur les évaluations des risques et les contrôles de leur secteur de responsabilité;
- Ils informent la Direction générale du contrôle des changements importants aux contrôles et aux processus et fournissent une documentation à jour sur les processus;
- Ils fournissent les documents justificatifs et les autres renseignements demandés pour aider l'équipe chargée des essais;
- Ils contribuent à l'évaluation des risques et contrôles clés de leur secteur de responsabilité.
- Spécialiste de la technologie de l'information (TI)
- Au sein de la CPPM, il exerce un rôle de leader en ce qui concerne l'infrastructure de TI et les applications du système (y compris une source d'expertise essentielle);
- Il contribue aux évaluations des systèmes de TI et des contrôles visant les applications.
- Comité de vérification des petits ministères
- Dans le cadre de son rôle de surveillance et de consultation, le Comité de vérification peut vouloir superviser la mise en œuvre de la Politique sur la gestion financière et, de fait, donnera son point de vue sur les plans d'évaluation et les résultats.
- Fournisseurs de services d'autres ministères et organismes
La CPPM a recours à d'autres organisations (fournisseur de services communs – FSC) pour le traitement de certaines opérations. Ces FSC doivent rendre compte des résultats de leur évaluation annuelle, fondée sur le risque, du système de contrôles internes à l'égard des services qu'ils fournissent :
- Services publics et Approvisionnement Canada administre le versement des salaires et l'acquisition de biens et de services et fournit des services de gestion des locaux.
- Services partagés Canada (SPC) fournit des services d'infrastructure de technologie de l'information (TI) axés sur les centres de données et les réseaux.
- Le Secrétariat du Conseil du Trésor du Canada fournit des renseignements sur les assurances des fonctionnaires fédéraux et il assure la gestion centralisée du paiement de la part des cotisations de l'employeur aux régimes d'avantages sociaux des employés.
- Les services fonctionnels liés au système financier de la CPPM sont partagés avec le groupe pluricellulaire du Système financier ministériel commun (SFMC). Les services sont administrés aux termes d'un protocole d'entente (PE) selon lequel la CPPM partage à parts égales les dépenses (y compris l'entretien, la formation, le soutien aux utilisateurs, etc.) ainsi que les responsabilités et les risques liés au système financier.
- Le Centre canadien pour la cybersécurité (CCC) fournit des cyberalertes à tous les ministères, y compris la CPPM, dont l'administrateur de la TI examine, évalue et met en œuvre les alertes lorsqu'elles s'appliquent à l'organisation. Cette tâche comprend, entre autres, les mises à jour des applications, les mises à jour de sécurité de Windows et le blocage de sites par le pare-feu.
3. Principes généraux
L'environnement des contrôles internes comporte un ensemble d'éléments de contrôle interne, comme le montre le diagramme suivant :
Format de rechange
Le graphique représente un breakdwon of des éléments de contrôle interne. Il contient quatre contrôles, soit les contrôles manuels, les contrôles d'application, les contrôles généraux de TI.
Les contrôles manuels s'appliquent aux processus oérationnels, soit :
- les achats et paiements aux fournisseurs
- l'administration de la paie
- la planification des intervenants de la technologie de l'information
- la gestion des déplacements
- la budgétisation et prévisions
- les rapports financiers
- le rapport annuel
- les enquêtes
- la sécurité de l'information non financière
Les contrôles d'application concernent quatre applications sous-tendant les processus opérationnels, soit :
- le Module de rapports de gestion (Système financier ministériel commun)
- les Services de voyage partagés
- MesRHGC; et
- Phenix
Les contrôles généraux de TI englobent l'infrastructure (securité de l'information non financière) et les contrôles de l'accès (seul secteur financier pertinent pour la Commission). Ces contrôles s'appliquent à trois services d'infrastructure de TI, soit :
- la base de données, système d'exploitation
- les serveurs; et
- le réseau
Les contrôles au niveau de l'entité, qui incluent la culture, les valeurs et éthique, la gouvernance, la transparence et la responsabilisation s'appliquent aux trois contrôles précédents.
4. Approche de surveillance continue
Le cadre proposé fournira à la CPPM son premier plan de surveillance continue par la mise à jour de l'évaluation du risque, tout en intégrant des processus supplémentaires relatifs à la gestion financière et aux programmes. 
L'approche adoptée par la CPPM au chapitre de la surveillance continue s'articule autour des orientations émises par le Secrétariat du Conseil du Trésor (SCT) en octobre 2017 (Guide concernant les contrôles internes de la gestion financière; Guide concernant la surveillance en continu sur les contrôles internes de la gestion financière) et prévoit les cinq étapes suivantes :
Format de rechange
Le graphique représente les cinq étapes de l'approche de surveillance continue adoptée par la Commission.
- Étape 1 - entreprendre une évaluation du risque
- Étape 2 - Élaborer le plan de surveillance continue
- Étape 3 - Effectuer les évaluations
- Étape 4 - Consigner les résultats des évaluations et les mesures
- Étape 5 - Créer des rapports internes et externes
- Étape 1:
- Une évaluation du risque détaillée détermine les secteurs de risque élevé dans le système de CIGF du Ministère qui doivent être examinés dans le cadre de l'approche de CIGF fondée sur le risque (mise en œuvre aux cinq ans). Une évaluation du risque plus limitée, appelée une analyse de l'environnement, aura lieu au cours des années intermédiaires afin de voir à ce que le plan soit mis à jour de manière à tenir compte des changements au sein du Ministère.
- Étape 2:
- Le plan de surveillance continue, qui repose sur l'évaluation du risque et une analyse des processus et des contrôles au sein du Ministère, décrit ce qui suit :
- La fréquence des évaluations;
- Les types d'évaluation;
- La personne qui effectuera les évaluations.
- Étape 3:
- Le Ministère effectue les évaluations selon le plan de surveillance continue.
- Étape 4:
- Les résultats de l'évaluation sont consignés, et les mesures correctives sont élaborées.
- Étape 5:
- L'évaluation est ensuite détaillée dans des rapports internes et externes qui orientent et communiquent les résultats et les recommandations quant aux mesures correctives à prendre.
Cette approche permettra à la direction de la CPPM de déterminer si le CIGF au sein de l'organisation fonctionne comme prévu (sur une base continue), de relever les lacunes dans les contrôles internes, de prendre des mesures correctives pour remédier à ces lacunes et de communiquer les résultats à la haute direction, s'il y a lieu.
Le cadre comprend un plan de surveillance pluriannuel qui devra être revu et mis à jour sur une base régulière. Le plan de surveillance est un document évolutif, et la direction doit garder à l'esprit les questions fondamentales suivantes au moment de le revoir et de le mettre à jour sur une base régulière :
- Est-ce que la CPPM a relevé les risques substantiels pour ses objectifs?
- Quels contrôles consistent en des « contrôles clés » qui étaieront le mieux l'établissement d'une conclusion au sujet de l'efficacité du contrôle interne dans les secteurs de risque en question?
- Quels renseignements seront persuasifs lorsque viendra le temps de dire à la direction de la CPPM si les contrôles continuent d'agir de manière efficace?
- Ces contrôles ont-ils changé en raison d'événements survenus récemment?
- Est-ce que la CPPM surveille les bonnes activités de contrôle et à la fréquence appropriée (p. ex. annuellement, aux trois ans)?
- Y a-t-il parmi les contrôles faisant l'objet d'une surveillance des contrôles qui ne sont pas « clés » et, dans l'affirmative, doivent-ils être retirés de la portée de la surveillance?
- Est-ce que les lacunes sont cernées et signalées aux parties responsables en temps opportun?
- Est-ce que le plan de surveillance continue est durable?
5. Plan de travail
La première étape du plan de surveillance pluriannuel de la CPPM consiste à effectuer une évaluation annuelle du risque des contrôles au niveau de l'entité, des processus opérationnels et des secteurs des contrôles généraux liés aux technologies de l'information (CGTI) afin de veiller à ce que les essais continus soient axés sur les secteurs présentant les risques les plus élevés. La CPPM a adopté un modèle en vertu duquel l'évaluation du risque est revue dans son intégralité aux cinq ans et une analyse de l'environnement plus simple est réalisée dans les années intermédiaires. Cette pratique permettra de tenir compte des changements relevés au chapitre des risques ainsi que d'apporter toute modification nécessaire au plan de surveillance pluriannuel. La décision relative à la détermination du moment où les processus opérationnels ou les CGTI seront évalués est prise selon la cote de risque, et ce, afin de s'assurer que la priorité est accordée aux processus à risque élevé.
5.1 Contrôles au niveau de l’entité et du processus opérationnel
5.1.1 Approche d'évaluation du risque
Les contrôles au niveau de l'entité sont des contrôles qui ont un effet marqué sur une organisation, car ils traduisent le « ton de la direction » et peuvent avoir des conséquences majeures sur l'évaluation globale de l'efficacité des CIRF. Selon le cadre du Committee of Sponsoring Organizations of the Treadway Commission (COSO), les éléments suivants doivent être compris :
- Environnement de contrôle;
- Valeurs, éthique et intégrité;
- Évaluation du risque;
- Activités de contrôle;
- Information et communication;
- Surveillance.
Processus opérationnels : Les processus opérationnels suivants relatifs au CIGF, désignés par la CPPM comme des processus clés, ont été pris en compte lors de l'évaluation du risque.
| Contrôles clés de processus opérationnel | Système de la TI connexe | CIGF | Autre |
|---|---|---|---|
| 1. Achat aux paiements (dépenses) | SFMC, SVP | s/o | |
| 2. Dépenses de déplacement | HRG / SVP | s/o | |
| 3. Administration de la paie | MesRHGC | s/o | |
| 4. Budgétisation et prévisions | SFMC | s/o | |
| 5. Rapports financiers et clôture (clôture d’état financier, balance des comptes, présentation au Conseil du Trésor et rapport sur les états financiers) |
s/o | s/o | |
| 6. Planification des biens de TI | s/o | s/o | |
| Secteurs de processus non financiers | |||
| 7. Sécurité de l’information non financière | s/o | s/o | |
| 8. Enquête | s/o | s/o | |
| 9. Rapport annuel | s/o | s/o | |
5.1.2 Résultats de l'évaluation du risque
Notre tableau d'évaluation du risque comprend à la fois le risque inhérent et le risque lié aux contrôles, analysés ensemble afin de déterminer la cote de risque global. D'autres éléments de risque détaillés sous-tendant les évaluations du risque de la CPPM sont présentés à l'annexe A.
| Processus | Cote de risque inhérent | Cote de risque lié aux contrôles | Cote de risque global du processus |
|---|---|---|---|
| Contrôles au niveau de l’entité | FAIBLE | MOYEN | MOYEN |
| Processus opérationnels de gestion financière | |||
| Achat aux paiements (dépenses) | MOYEN | MOYEN | MOYEN |
| Dépenses de déplacement | MOYEN | MOYEN | MOYEN |
| Administration de la paie | ÉLEVÉ | FAIBLE | MOYEN |
| Budgétisation et prévisions | MOYEN | FAIBLE | MOYEN |
| Planification des biens de TI | MOYEN | MOYEN | MOYEN |
| Rapports financiers | MOYEN | FAIBLE | FAIBLE |
| Processus non financiers | |||
| Sécurité de l’information non financière | MOYEN | MOYEN | MOYEN |
| Enquêtes | ÉLEVÉ | FAIBLE | MOYEN |
| Rapport annuel | MOYEN | FAIBLE | FAIBLE |
5.2 Contrôles généraux liés aux TI
Une évaluation du risque a également été effectuée à l'égard des secteurs des CGTI afin de déterminer la cote de risque global du processus pour chaque système clé utilisé. La CPPM a recours à des fournisseurs de services d'autres ministères et organismes gouvernementaux en vue d'obtenir divers services, notamment des services d'hébergement pour ses grands systèmes de TI. Par conséquent, la CPPM n'est pas le responsable du processus opérationnel pour ces systèmes et elle recourt à des tiers pour les contrôles généraux liés aux TI. Cela dit, c'est la CPPM qui est chargée de voir à ce que l'accès des utilisateurs à ces systèmes demeure approprié et soit testé dans le cadre des contrôles des processus opérationnels énumérés à la section 4.1.
On a tenu compte des facteurs de risque suivants pour déterminer la cote de risque global de chaque secteur des CGTI :
- Importance par rapport aux états financiers et proximité avec ceux-ci;
- Complexité du secteur des CGTI;
- Ampleur des changements dans les processus sous-jacents;
- Antécédents de défaillances et de lacunes dans les contrôles.
| Systèmes (élément d’accès de l’utilisateur des CGTI seulement) |
Secteur des CGTI | Importance pour la gestion financière | Ampleur du changement | Complexité / défaillances | Cote de risque global du CGTI |
|---|---|---|---|---|---|
| SFMC (MRG) | Accès de l’utilisateur seulement | Élevé | Faible | Modéré | MODÉRÉ |
| Système normalisé des paiements (SNP) | Accès de l’utilisateur seulement | Élevé | Faible | Faible | MODÉRÉ |
| MesRHGC | Accès de l’utilisateur seulement | Modéré | Faible | Faible | FAIBLE |
| Phénix | Accès de l’utilisateur seulement | Élevé | Élevé | Élevé | ÉLEVÉ |
| Services de voyage partagés (SVP) | Accès de l’utilisateur seulement | Modéré | Faible | Faible | FAIBLE |
Plan de surveillance pluriannuel
En fonction de l'approche de surveillance présentée à l'annexe C, le plan de surveillance continue suivant est proposé pour les cinq prochaines années (sous réserve de modifications liées aux priorités ou aux niveaux de ressources de la CPPM) :
| Secteurs de contrôle clés | Risque | Exercices financiers | ||||
|---|---|---|---|---|---|---|
| 2021‑2022 | 2022‑2023 | 2023‑2024 | 2024‑2025 | 2025‑2026 | ||
| Contrôles au niveau de l’entité | Moyen | s/o | s/o | s/o | s/o | |
| Contrôles des processus opérationnels | ||||||
| Achat aux paiements (dépensesNote 1) | MOYEN | s/o | s/o | |||
| Planification des biens de TI | MOYEN | s/o | s/o | s/o | ||
| Dépenses de déplacement | MOYEN | s/o | s/o | |||
| Administration de la paie | MOYEN | s/o | s/o | s/o | ||
| Budgétisation et prévisions | MOYEN | s/o | s/o | s/o | ||
| Rapports financiers | FAIBLE | s/o | s/o | s/o | s/o | |
| Secteurs de processus non financiers (Suggéré) | ||||||
| Sécurité de l’information non financière | MOYEN | s/o | s/o | s/o | s/o | |
| Enquêtes | MOYEN | s/o | s/o | s/o | s/o | |
| Rapport annuel | FAIBLE | s/o | s/o | s/o | s/o | |
| Secteurs de CGTI | ||||||
| Accès des utilisateurs (secteurs financiers) | s/o | s/o | s/o | |||
| Infrastructure (information non financière) | s/o | s/o | s/o | s/o | ||
Annexe A. Analyse du risque
L'analyse du risque a été effectuée par l'évaluation du risque inhérent et du risque lié au contrôle :
- Le risque inhérent (RI) est la possibilité qu'une assertion comporte une anomalie significative, en supposant l'absence de contrôles connexes. Autrement dit, le RI consiste en la probabilité que les états financiers renferment une anomalie significative compte non tenu d'un contrôle interne. Les facteurs suivants ont été pris en compte au moment d'assigner une cote au risque inhérent :
- Valeur en dollars des opérations qui ont eu lieu pendant le processus;
- Niveau de complexité des normes comptables pertinentes;
- Étendue du jugement qu'il faut exercer pour produire des rapports financiers sur les processus (p. ex. estimations, évaluations et subjectivité demandée);
- Caractéristiques de chaque opération (p. ex. homogénéité des opérations, ampleur de l'automatisation, volume d'activités);
- Possibilité que les rapports contiennent des anomalies (p. ex. nature du compte, capacité de dissimuler les manquements, antécédents de fraude).
- Le risque lié au contrôle (RC) est le risque qu'une anomalie significative se présente et que les contrôles internes ne puissent pas la prévenir ou la détecter. Ce risque est fonction de l'efficacité de la conception et de l'utilisation du contrôle interne en vue de l'atteinte des objectifs de l'entité ayant trait à la préparation de ses états financiers. En raison des limites inhérentes du contrôle interne, il subsistera toujours un certain risque lié au contrôle. Les facteurs suivants ont été pris en compte au moment d'assigner une cote au risque lié au contrôle :
- Ampleur du changement dans le processus de contrôle sous-jacent;
- Antécédents de défaillances et de lacunes dans les contrôles;
- Complexité du contrôle sous-jacent.
Les tableaux ci-après montrent notre analyse des contrôles au niveau de l'entité et des contrôles des processus opérationnels. La cote combinée ou la cote globale du risque déterminera la portée et la fréquence des essais.
A.1 Contrôles au niveau de l’entité
| Processus | Importance | Changements aux politiques | Jugement à exercer | Caractéristiques des opérations | Possibilité de présenter une anomalie | Cote de risque inhérent |
|---|---|---|---|---|---|---|
| Entité – Niveaux | FAIBLE | FAIBLE | FAIBLE | FAIBLE | FAIBLE | FAIBLE |
| Processus | Ampleur du changement | Antécédents de défaillances | Environnement décentralisé | Complexité du contrôle | Cote du risque lié au contrôle | Cote de risque global du processus |
|---|---|---|---|---|---|---|
| Entité – Niveaux | FAIBLE | MOYEN | ÉLEVÉ | MOYEN | MOYEN | MOYEN |
A.2 Contrôles clés du processus opérationnel
| Processus | Importance | Changements | Jugement à exercer | Caractéristiques des opérations | Possibilité de présenter une erreur | Cote de risque inhérent |
|---|---|---|---|---|---|---|
| Secteurs du processus de gestion financière | ||||||
| 1. Achat aux paiements (dépenses) | ÉLEVÉ | FAIBLE | MOYEN | ÉLEVÉ | MOYEN | MOYEN |
| 2. Dépenses de déplacement | MOYEN | FAIBLE | MOYEN | MOYEN | MOYEN | MOYEN |
| 3. Administration de la paie | ÉLEVÉ | ÉLEVÉ | MOYEN | ÉLEVÉ | ÉLEVÉ | ÉLEVÉ |
| 4. Planification des biens de TI | ÉLEVÉ | MOYEN | MOYEN | MOYEN | MOYEN | MOYEN |
| 5. Budgétisation et prévisions | ÉLEVÉ | MOYEN | ÉLEVÉ | FAIBLE | FAIBLE | MOYEN |
| 6. Rapports financiers et clôture | ÉLEVÉ | FAIBLE | MOYEN | FAIBLE | FAIBLE | MOYEN |
| Secteurs de processus non financiers | ||||||
| 7. Sécurité informatique de l’information non financière | ÉLEVÉ | ÉLEVÉ | MOYEN | FAIBLE | MOYEN | MOYEN |
| 8. Enquêtes | ÉLEVÉ | MOYEN | ÉLEVÉ | ÉLEVÉ | MOYEN | ÉLEVÉ |
| 9. Rapport annuel | MOYEN | FAIBLE | MOYEN | MOYEN | FAIBLE | MOYEN |
| Processus | Ampleur du changement | État des contrôles | Environnement décentralisé | Complexité du contrôle | Cote du risque lié au contrôle | Cote de risque global du processus |
|---|---|---|---|---|---|---|
| Secteurs du processus de gestion financière | ||||||
| 1. Achat aux paiements (dépenses) | FAIBLE | MOYEN | FAIBLE | MOYEN | MOYEN | MOYEN |
| 2. Dépenses de déplacement | FAIBLE | MOYEN | FAIBLE | MOYEN | MOYEN | MOYEN |
| 3. Administration de la paie | FAIBLE | MOYEN | FAIBLE | FAIBLE | FAIBLE | MOYEN |
| 4. Planification des biens de TI | MOYEN | MOYEN | FAIBLE | MOYEN | MOYEN | MOYEN |
| 5. Budgétisation et prévisions | FAIBLE | ÉLEVÉ | FAIBLE | FAIBLE | FAIBLE | MOYEN |
| 6. Rapports financiers et clôture | FAIBLE | FAIBLE | FAIBLE | FAIBLE | FAIBLE | FAIBLE |
| Secteurs de processus non financiers | ||||||
| 7. Sécurité informatique de l’information non financière | MOYEN | MOYEN | FAIBLE | ÉLEVÉ | MOYEN | MOYEN |
| 8. Enquêtes | FAIBLE | FAIBLE | FAIBLE | ÉLEVÉ | FAIBLE | MOYEN |
| 9. Rapport annuel | FAIBLE | FAIBLE | FAIBLE | MOYEN | FAIBLE | FAIBLE |
Annexe B. Approche de surveillance continue
La surveillance des activités comporte trois grandes étapes :
- Effectuer les évaluations (mise à l'essai);
- Consigner les résultats des évaluations et les mesures;
- Rendre compte des résultats des évaluations
Nota: Il est recommandé de procéder à une révision structurée de chaque processus clé annuellement afin de confirmer le déroulement et les contrôles du processus. Il se peut que cela ne soit pas toujours possible selon les ressources affectées.
5.1 Effectuer l’évaluation
Le plan de surveillance pluriannuel peut faire fond sur la documentation, les méthodes d'essai, les stratégies d'échantillonnage, etc. élaborées au cours des étapes sur l'efficacité conceptuelle et l'efficacité opérationnelle de la précédente feuille de route de CIRF. Ainsi, l'évaluation des processus opérationnels désignés (et évalués) antérieurement comprendra ce qui suit :
- Une mise à jour de la documentation sur le processus, des contrôles clés et de la matrice des contrôles;
- L'exécution de l'analyse de l'efficacité conceptuelle (révision structurée);
- L'exécution de l'analyse de l'efficacité opérationnelle (essai réel des contrôles).
Quant aux nouveaux processus opérationnels, la CPPM devra :
- documenter le processus, établir les contrôles clés et préparer une matrice des contrôles;
- effectuer l'analyse de l'efficacité conceptuelle (révision structurée);
- effectuer l'analyse de l'efficacité opérationnelle (essai réel des contrôles).
La nature, l'étendue et la fréquence de l'analyse des contrôles sont liées au niveau de risque associé aux processus ou aux systèmes en place. Les sections qui suivent fourniront des orientations sur le niveau d'analyse requis.
5.1.1 Nature de l'analyse
| TYPE D’ACTIVITÉS | DOCUMENTATION SUR LES PROCESSUS | EFFICACITÉ CONCEPTUELLE | EFFICACITÉ OPÉRATIONNELLE |
|---|---|---|---|
| Définition | Appuyer l’évaluation de l’efficacité conceptuelle et opérationnelle à tous les niveaux; les contrôles clés doivent être dûment documentés. | Se rapporte à la question de savoir si les contrôles sont dûment conçus pour atteindre les objectifs s’ils fonctionnent comme prévu. | Se rapporte à la question de savoir si les contrôles fonctionnent continuellement selon leur conception. |
| Méthode | Élaboration ou mise à jour des descriptions de processus, des organigrammes de processus et des matrices des risques et contrôles. | Révision structurée visant à confirmer le flux d’information en vue de comprendre le fonctionnement des contrôles. | Analyser un échantillon d’opérations afin de déterminer si les contrôles internes fonctionnent de manière efficace pendant une période donnée. |
| Fréquence | Annuellement | Au besoin (à la suite d’une mesure corrective, d’un changement de processus ou d’un nouveau processus, ou de l’établissement de contrôles ou d’un nouveau risque). | Une évaluation de l’efficacité opérationnelle est menée si l’évaluation de l’efficacité conceptuelle a été couronnée de succès.
Rotation pluriannuelle fondée sur le risque :
|
| Taille de l’échantillon | Tous les processus | Une opération | Voir le tableau d’échantillonnage |
L'échantillonnage pour l'analyse de l'efficacité opérationnelle
Le tableau suivant est fondé sur des théories et principes statistiques largement reconnus.
| Nature du contrôle | Fréquence de fonctionnement | Plage de tailles d’échantillon | |
|---|---|---|---|
| Faible risque de défaillance du contrôle clé | Risque élevé de défaillance du contrôle clé | ||
| Manuel | Plusieurs fois par jour | 25 | 40 |
| Manuel | Quotidiennement | 15 | 25 |
| Manuel | Hebdomadairement | 5 | 8 |
| Manuel | Mensuellement | 2 | 3 |
| Manuel | Trimestriellement | 1 | 1 |
| Manuel | Annuellement | 1 | 1 |
| Automatisé | Mise à l’essai d’un contrôle pour chaque activité de contrôle automatisée | ||
À la suite de l'essai, il est essentiel de consigner les résultats de l'essai et de les analyser, de même que la nécessité de prendre des mesures correctives, s'il y a lieu. Il est également important d'informer les responsables des processus et les partenaires opérationnels sur les résultats globaux de l'essai et les plans d'action ainsi que de valider ces éléments auprès de ces parties.
Le tableau suivant présente une vue d'ensemble des intervenants clés et de leurs responsabilités au cours de cette étape importante :
Format de rechange
Le tableau représente un aperçu des intervenants clés et leur principaux rôles durant l'année.
- L'équipe de contrôle interne est responsable et examine
- Le responsable de processus opérationnel est responsable, participate et examine
- La vérification interne n'a aucun rôle principal
- L'équipe externe (au besoin) est responsalbe
- L'équipe des risques de l'organisation n'a aucun rôle principal
- Le directeur du contrôle interne n'a aucun rôle principal
- Le dirigeant principal des finances approuve
- Les cadres supérieurs ministériels participent et approuvent
- L'administrateur général informe
- Le comité ministériel de vérification n'a aucun rôle principal
5.2 Consigner les résultats de l’évaluation
À la suite de l’étape de l’évaluation, l’équipe de contrôle interne doit documenter le plan de mesures correctives convenu, examiner et suivre les progrès réalisés à cet égard puis en rendre compte annuellement.
5.3 Rapports sur les résultats
5.3.1 Rapports internes
Une fois que les responsables des processus opérationnels concernés ont effectué, examiné et validé les évaluations de la surveillance continue du CIGF pour l'année, les résultats sont consolidés et documentés dans un rapport de constatations par l'équipe de contrôle interne. Le rapport comprendra ce qui suit :
- Les principales constatations des évaluations de la surveillance continue et des plans de mesures correctives connexes;
- L'état de la mise en œuvre des plans de mesures correctives, plus précisément, des mesures qui n'ont pas encore été appliquées.
Les résultats des évaluations seront communiqués aux intervenants clés annuellement, notamment le président, le DPF, les cadres supérieurs ministériels et le CMV.
5.3.2 Rapports externes
Déclaration de responsabilité de la direction – Contrôle interne en matière de rapports financiers
La Politique exige que le premier dirigeant signe chaque année la « Déclaration de responsabilité de la direction englobant les contrôles internes en matière de rapports financiers ». Cette déclaration comprend la reconnaissance de la responsabilité de la direction lorsqu'il est question de conserver un système efficace de contrôle interne et la confirmation qu'une évaluation de fin d'exercice a été réalisée et qu'un plan d'action a été préparé.
Annexe de la Déclaration de responsabilité de la direction
Il faut fournir en annexe de la Déclaration un aperçu des résultats et des plans d'action faisant suite à l'évaluation annuelle de l'efficacité du système de CIRF de la CPPM. Un exemple d'annexe et de Déclaration de responsabilité de la direction figure dans le Guide concernant les contrôles internes de la gestion financière préliminaire publié par le SCT en octobre 2017.
La liste des processus relatifs au CIGF est quelque peu différente de la liste de CIRF présentée dans la Déclaration de responsabilité de la direction sur le CIRF et l'annexe qui y est rattachée. L'exigence en matière de rapports internes axée sur le CIRF comporte une terminologie associée aux postes d'un état financier, alors que le CIGF est centré sur les processus de gestion. Nous avons proposé un rapprochement entre les processus clés de CIGF et les processus de CIRF déclarés par l'organisation. L'annexe B présente ce rapprochement.
Annexe B. Harmonisation avec le cadre du COSO
Au cours de l'évaluation des CIGF, il se peut que la CPPM décide de sélectionner un cadre tel que le cadre du COSO de 2013 pour ses contrôles internes, lequel concorde avec le choix des autres ministères et organismes fédéraux.
En 1992, le Committee of Sponsoring Organizations of the Treadway Commission (COSO) a mis au point un cadre intitulé « Enterprise Risk Management – Integrated Framework », souvent appelé « cadre du COSO ».
Format de rechange
Le graphique représente le cadre du COSO
Il y a trois catégories, soit :
- l'efficacité et efficience des opérations;
- la fiabilité des rapports financiers; et
- la conformité avec les lois et les règlements en vigueur.
Il existe cinq composantes interdépendantes du contrôle interne avec ces trois catégories :
- l'environnement du contrôle;
- l'évaluation du risque;
- les activités de contrôle;
- l'information et la communication; et
- les activités de surveillance.
Le cadre du COSO établit que le « contrôle interne » est un processus, constitué par les administrateurs, la direction et d'autres membres du personnel d'une entité, dans le but de fournir une assurance raisonnable en ce qui a trait à l'atteinte des objectifs dans les catégories suivantes :
- Efficacité et efficience des opérations;
- Fiabilité des rapports financiers;
- Conformité avec les lois et les règlements en vigueur.
Lorsqu'elle effectue une évaluation du risque, la CPPM doit veiller à ce que ces objectifs soient abordés. Par exemple, les contrôles de processus opérationnels clés relevés au cours de l'évaluation du risque sont en phase avec les objectifs suivants :
| Contrôles des processus opérationnels | Opérations | Rapports | Conformité |
|---|---|---|---|
| Paiements (dépenses) | s/o | ||
| Planification des biens de TI | s/o | ||
| Dépenses de déplacement | s/o | ||
| Administration de la paie | s/o | ||
| Budgétisation et prévisions | s/o | ||
| Rapports financiers | s/o | ||
| Sécurité de l’information non financière | s/o | ||
| Enquêtes | s/o |
Comme on peut le voir ci-dessus, il existe un chevauchement considérable entre les trois grandes catégories d'objectifs, ce qui témoigne de l'importance des contrôles des processus opérationnels relevés. Il faut notamment veiller à ce que l'information financière et non financière soit protégée, à ce que la perte de biens de la CPPM en raison d'un gaspillage, d'une inefficience ou de mauvaises décisions opérationnelles soit évitée et à ce que les activités soient effectuées conformément aux lois et règlements en vigueur.
Il existe cinq éléments de contrôle interne interdépendants. Quatre éléments se rapportent à la conception et au fonctionnement du système de contrôle interne :
- Environnement de contrôle;
- Évaluation du risque;
- Activités de contrôle;
- Information et communication;
- Activités de surveillance.
Ces éléments constituent la base et le fondement de la mise à l'essai des contrôles au niveau de l'entité.
- Date de modification :