Cadre des contrôles internes

Table des matières

  1. Contexte
    1. 1.1 Contexte de la CPPM
  2. Rôles et responsabilités
  3. Principes généraux
  4. Approche de surveillance continue
  5. Plan de travail
    1. 5.1 Contrôles au niveau de l’entité et du processus opérationnel
    2. 5.2 Contrôles généraux liés aux TI
  1. Annexe A. Analyse du risque
    1. A.1 Contrôles au niveau de l’entité
    2. A.2 Contrôles clés du processus opérationnel
  2. Annexe B. Approche de surveillance continue


1. Contexte

Le contrôle interne est conçu pour aider les ministères et les organismes à atteindre leurs objectifs. La surveillance des contrôles est un processus permanent qui vise à évaluer périodiquement et à maintenir la gestion des contrôles internes au fil du temps afin de favoriser une amélioration continue.

En 2017, le Conseil du Trésor a approuvé une nouvelle Politique sur la gestion financière, laquelle remplace la Politique sur le contrôle interne (PCI). Par suite de l'établissement de cette nouvelle politique, le contrôle interne est axé sur la gestion financière.

1.1 Contexte de la CPPM

La Commission d'examen des plaintes concernant la police militaire du Canada (CPPM) est un organisme de surveillance civile quasi judiciaire qui fonctionne sans lien de dépendance avec le gouvernement du Canada. La Commission révise et fait enquête sur les plaintes concernant la conduite d'un policier militaire et fait enquête sur les allégations d'ingérence dans des enquêtes menées par des policiers militaires. Elle formule des recommandations et présente ses conclusions directement aux hauts dirigeants de la police militaire et de la Défense. En tant qu'institution fédérale, elle fait partie du portefeuille de la défense pour les fins de rapport.

La CPPM exerce ses activités en vertu de la Loi sur la défense nationale, laquelle fournit une orientation à la Commission quant à la réalisation des enquêtes sur les plaintes, aux types de plaintes pouvant faire l'objet d'une enquête et au délai d'exécution du processus d'enquête et d'établissement de rapport. En outre, la Loi encadre les audiences publiques.

Bien que la Commission d'examen des plaintes concernant la police militaire du Canada n'ait pas mis en œuvre la PCI, l'équipe des finances s'est employée à assurer le caractère adéquat de ses contrôles internes à l'égard de quantité de ses grands processus financiers. En 2019, le dirigeant principal des finances (DPF) a proposé que la CPPM adopte un cadre plus officiel en ce qui a trait à ses contrôles internes. Le cadre proposé régit les contrôles internes sur les rapports financiers et la gestion financière, ainsi que d'autres contrôles clés touchant à des domaines non financiers.

À l'automne 2019, la CPPM a entrepris une analyse et un examen de son environnement de contrôles en vue d'incorporer les éléments nécessaires.

Le présent document vise à fournir un cadre de contrôle interne que la CPPM pourra appliquer au cours de sa surveillance continue des contrôles internes, lequel cadre tiendra compte de l'analyse de l'environnement et des considérations découlant de la récente Politique sur la gestion financière. Les principaux thèmes du cadre sont les suivants :

  • Rôles et responsabilités;
  • Environnement de contrôle interne en matière de gestion financière (CIGF) au sein de la CPPM;
  • Éléments de l'évaluation du risque;
  • Plan de surveillance quinquennal.

2. Rôles et responsabilités

Le rôle que joue la direction de la CPPM dans la mise en œuvre de la Politique sur la gestion financière et la surveillance de son système de contrôle interne est essentiel à son efficacité. Comme il est illustré ci-dessous, l'administrateur général, le dirigeant principal des finances et les cadres supérieurs ministériels (les cadres qui relèvent directement de l'administrateur général) sont tous investis de responsabilités au chapitre du système de contrôle interne du Ministère.

Graphique - Rôles selon la Politique sur la gestion financière
Format de rechange

Le graphique représente les rôles et responsabilités partagés au sein de l’organisation.

  • Le président assume la responsabilité des mesures prises dans l’objectif d’assurer l’efficacité des systèmes de contrôle interne et signe la Déclaration de responsabilité de la direction.
  • Le dirigeant principal des finance dirige et coordonne l’établissement et l’exécution du plan d’évaluation annuel.
  • La direction générale des services ministériels est responsable de la coordination de l’évaluation et de la surveillance continue du Système de contrôle interne en matière de gestion financière.
  • La Direction générale des services ministériels est responsable de la coordination de l’évaluation et de la surveillance continue du Système de contrôle interne en matière de gestion financière.
  • Le Bureau du contrôleur général agit comme responsable de la vérification interne.
  • Les gestionnaires/responsables des processus opérationnels assument la responsabilité du maintien de systèmes de contrôle interne, valident les documents sur les évaluations des risques, informent la Direction générale du contrôle des changements importants, fournissent les documents justificatifs, et contribuent à l’évaluation des risques et contrôles clés.
  • Le spécialiste de la technologie de l’information exerce un rôle de leader en ce qui concerne l’infrastructure, et contribue aux évaluations des systèmes de TI et des contrôles.
  • Le Comité de vérification peut superviser la mise en œuvre de la Politique sur la gestion financière et donne son point de vue sur les plans d’évaluation et les résultats.
  • La Commission a recours à d’autres organisations, spécifiquement Services publics et Approvisionnement Canada, Services partagés Canada, Secrétariat du Conseil du Trésor du Canada, les services fonctionnels liés au système financier, et le Centre canadien pour la cybersécurité pour le traitement de certaines opérations, qui en retour, doivent rendre compte des résultats de leur évaluation annuelle à l’égard des services qu’ils fournissent.

Les rôles et responsabilités partagés au sein de l'organisation au chapitre de la surveillance du CIGF sont présentés ci-dessous :

La CPPM a recours à d'autres organisations (fournisseur de services communs – FSC) pour le traitement de certaines opérations. Ces FSC doivent rendre compte des résultats de leur évaluation annuelle, fondée sur le risque, du système de contrôles internes à l'égard des services qu'ils fournissent :

3. Principes généraux

L'environnement des contrôles internes comporte un ensemble d'éléments de contrôle interne, comme le montre le diagramme suivant :

Format de rechange

Le graphique représente un breakdwon of des éléments de contrôle interne. Il contient quatre contrôles, soit les contrôles manuels, les contrôles d'application, les contrôles généraux de TI.

Les contrôles manuels s'appliquent aux processus oérationnels, soit :

  • les achats et paiements aux fournisseurs
  • l'administration de la paie
  • la planification des intervenants de la technologie de l'information
  • la gestion des déplacements
  • la budgétisation et prévisions
  • les rapports financiers
  • le rapport annuel
  • les enquêtes
  • la sécurité de l'information non financière

Les contrôles d'application concernent quatre applications sous-tendant les processus opérationnels, soit :

  • le Module de rapports de gestion (Système financier ministériel commun)
  • les Services de voyage partagés
  • MesRHGC; et
  • Phenix

Les contrôles généraux de TI englobent l'infrastructure (securité de l'information non financière) et les contrôles de l'accès (seul secteur financier pertinent pour la Commission). Ces contrôles s'appliquent à trois services d'infrastructure de TI, soit :

  • la base de données, système d'exploitation
  • les serveurs; et
  • le réseau

Les contrôles au niveau de l'entité, qui incluent la culture, les valeurs et éthique, la gouvernance, la transparence et la responsabilisation s'appliquent aux trois contrôles précédents.

4. Approche de surveillance continue

Le cadre proposé fournira à la CPPM son premier plan de surveillance continue par la mise à jour de l'évaluation du risque, tout en intégrant des processus supplémentaires relatifs à la gestion financière et aux programmes. Tableau - Processus opérationnels

L'approche adoptée par la CPPM au chapitre de la surveillance continue s'articule autour des orientations émises par le Secrétariat du Conseil du Trésor (SCT) en octobre 2017 (Guide concernant les contrôles internes de la gestion financière; Guide concernant la surveillance en continu sur les contrôles internes de la gestion financière) et prévoit les cinq étapes suivantes :

Tableau - Principaux rôles
Format de rechange

Le graphique représente les cinq étapes de l'approche de surveillance continue adoptée par la Commission.

  1. Étape 1 - entreprendre une évaluation du risque
  2. Étape 2 - Élaborer le plan de surveillance continue
  3. Étape 3 - Effectuer les évaluations
  4. Étape 4 - Consigner les résultats des évaluations et les mesures
  5. Étape 5 - Créer des rapports internes et externes
Étape 1:
Une évaluation du risque détaillée détermine les secteurs de risque élevé dans le système de CIGF du Ministère qui doivent être examinés dans le cadre de l'approche de CIGF fondée sur le risque (mise en œuvre aux cinq ans). Une évaluation du risque plus limitée, appelée une analyse de l'environnement, aura lieu au cours des années intermédiaires afin de voir à ce que le plan soit mis à jour de manière à tenir compte des changements au sein du Ministère.
Étape 2:
Le plan de surveillance continue, qui repose sur l'évaluation du risque et une analyse des processus et des contrôles au sein du Ministère, décrit ce qui suit :

  • La fréquence des évaluations;
  • Les types d'évaluation;
  • La personne qui effectuera les évaluations.
Étape 3:
Le Ministère effectue les évaluations selon le plan de surveillance continue.
Étape 4:
Les résultats de l'évaluation sont consignés, et les mesures correctives sont élaborées.
Étape 5:
L'évaluation est ensuite détaillée dans des rapports internes et externes qui orientent et communiquent les résultats et les recommandations quant aux mesures correctives à prendre.

Cette approche permettra à la direction de la CPPM de déterminer si le CIGF au sein de l'organisation fonctionne comme prévu (sur une base continue), de relever les lacunes dans les contrôles internes, de prendre des mesures correctives pour remédier à ces lacunes et de communiquer les résultats à la haute direction, s'il y a lieu.

Le cadre comprend un plan de surveillance pluriannuel qui devra être revu et mis à jour sur une base régulière. Le plan de surveillance est un document évolutif, et la direction doit garder à l'esprit les questions fondamentales suivantes au moment de le revoir et de le mettre à jour sur une base régulière :

5. Plan de travail

La première étape du plan de surveillance pluriannuel de la CPPM consiste à effectuer une évaluation annuelle du risque des contrôles au niveau de l'entité, des processus opérationnels et des secteurs des contrôles généraux liés aux technologies de l'information (CGTI) afin de veiller à ce que les essais continus soient axés sur les secteurs présentant les risques les plus élevés. La CPPM a adopté un modèle en vertu duquel l'évaluation du risque est revue dans son intégralité aux cinq ans et une analyse de l'environnement plus simple est réalisée dans les années intermédiaires. Cette pratique permettra de tenir compte des changements relevés au chapitre des risques ainsi que d'apporter toute modification nécessaire au plan de surveillance pluriannuel. La décision relative à la détermination du moment où les processus opérationnels ou les CGTI seront évalués est prise selon la cote de risque, et ce, afin de s'assurer que la priorité est accordée aux processus à risque élevé.

5.1 Contrôles au niveau de l’entité et du processus opérationnel

5.1.1 Approche d'évaluation du risque

Les contrôles au niveau de l'entité sont des contrôles qui ont un effet marqué sur une organisation, car ils traduisent le « ton de la direction » et peuvent avoir des conséquences majeures sur l'évaluation globale de l'efficacité des CIRF. Selon le cadre du Committee of Sponsoring Organizations of the Treadway Commission (COSO), les éléments suivants doivent être compris :

  • Environnement de contrôle;
  • Valeurs, éthique et intégrité;
  • Évaluation du risque;
  • Activités de contrôle;
  • Information et communication;
  • Surveillance.

Processus opérationnels : Les processus opérationnels suivants relatifs au CIGF, désignés par la CPPM comme des processus clés, ont été pris en compte lors de l'évaluation du risque.

Processus opérationnels suivants relatifs au Système de contrôle interne en matière de gestion financière
Contrôles clés de processus opérationnel Système de la TI connexe CIGF Autre
1. Achat aux paiements (dépenses) SFMC, SVP s/o
2. Dépenses de déplacement HRG / SVP s/o
3. Administration de la paie MesRHGC s/o
4. Budgétisation et prévisions SFMC s/o
5. Rapports financiers et clôture
(clôture d’état financier, balance des comptes, présentation au Conseil du Trésor et rapport sur les états financiers)
s/o s/o
6. Planification des biens de TI s/o s/o
Secteurs de processus non financiers
7. Sécurité de l’information non financière s/o s/o
8. Enquête s/o s/o
9. Rapport annuel s/o s/o

5.1.2 Résultats de l'évaluation du risque

Notre tableau d'évaluation du risque comprend à la fois le risque inhérent et le risque lié aux contrôles, analysés ensemble afin de déterminer la cote de risque global. D'autres éléments de risque détaillés sous-tendant les évaluations du risque de la CPPM sont présentés à l'annexe A.

Cote de risque global
Processus Cote de risque inhérent Cote de risque lié aux contrôles Cote de risque global du processus
Contrôles au niveau de l’entité FAIBLE MOYEN MOYEN
Processus opérationnels de gestion financière
Achat aux paiements (dépenses) MOYEN MOYEN MOYEN
Dépenses de déplacement MOYEN MOYEN MOYEN
Administration de la paie ÉLEVÉ FAIBLE MOYEN
Budgétisation et prévisions MOYEN FAIBLE MOYEN
Planification des biens de TI MOYEN MOYEN MOYEN
Rapports financiers MOYEN FAIBLE FAIBLE
Processus non financiers
Sécurité de l’information non financière MOYEN MOYEN MOYEN
Enquêtes ÉLEVÉ FAIBLE MOYEN
Rapport annuel MOYEN FAIBLE FAIBLE

5.2 Contrôles généraux liés aux TI

Une évaluation du risque a également été effectuée à l'égard des secteurs des CGTI afin de déterminer la cote de risque global du processus pour chaque système clé utilisé. La CPPM a recours à des fournisseurs de services d'autres ministères et organismes gouvernementaux en vue d'obtenir divers services, notamment des services d'hébergement pour ses grands systèmes de TI. Par conséquent, la CPPM n'est pas le responsable du processus opérationnel pour ces systèmes et elle recourt à des tiers pour les contrôles généraux liés aux TI. Cela dit, c'est la CPPM qui est chargée de voir à ce que l'accès des utilisateurs à ces systèmes demeure approprié et soit testé dans le cadre des contrôles des processus opérationnels énumérés à la section 4.1.

On a tenu compte des facteurs de risque suivants pour déterminer la cote de risque global de chaque secteur des CGTI :

  • Importance par rapport aux états financiers et proximité avec ceux-ci;
  • Complexité du secteur des CGTI;
  • Ampleur des changements dans les processus sous-jacents;
  • Antécédents de défaillances et de lacunes dans les contrôles.
Risque global de chaque secteur des contrôles généraux liés aux technologies de l’information
Systèmes
(élément d’accès de l’utilisateur des CGTI seulement)
Secteur des CGTI Importance pour la gestion financière Ampleur du changement Complexité / défaillances Cote de risque global du CGTI
SFMC (MRG) Accès de l’utilisateur seulement Élevé Faible Modéré MODÉRÉ
Système normalisé des paiements (SNP) Accès de l’utilisateur seulement Élevé Faible Faible MODÉRÉ
MesRHGC Accès de l’utilisateur seulement Modéré Faible Faible FAIBLE
Phénix Accès de l’utilisateur seulement Élevé Élevé Élevé ÉLEVÉ
Services de voyage partagés (SVP) Accès de l’utilisateur seulement Modéré Faible Faible FAIBLE

Plan de surveillance pluriannuel

En fonction de l'approche de surveillance présentée à l'annexe C, le plan de surveillance continue suivant est proposé pour les cinq prochaines années (sous réserve de modifications liées aux priorités ou aux niveaux de ressources de la CPPM) :

Plan de surveillance pluriannuel
Secteurs de contrôle clés Risque Exercices financiers
2020‑2021 2021‑2022 2022‑2023 2023‑2024 2024‑2025
Contrôles au niveau de l’entité Moyen s/o s/o s/o s/o
Contrôles des processus opérationnels
Achat aux paiements (dépensesNote 1) MOYEN s/o s/o
Planification des biens de TI MOYEN s/o s/o s/o
Dépenses de déplacement MOYEN s/o s/o
Administration de la paie MOYEN s/o s/o s/o
Budgétisation et prévisions MOYEN s/o s/o s/o
Rapports financiers FAIBLE s/o s/o s/o s/o
Secteurs de processus non financiers (Suggéré)
Sécurité de l’information non financière MOYEN s/o s/o s/o s/o
Enquêtes MOYEN s/o s/o s/o s/o
Rapport annuel FAIBLE s/o s/o s/o s/o
Secteurs de CGTI
Accès des utilisateurs (secteurs financiers) s/o s/o s/o
Infrastructure (information non financière) s/o s/o s/o s/o

Annexe A. Analyse du risque

L'analyse du risque a été effectuée par l'évaluation du risque inhérent et du risque lié au contrôle :

Les tableaux ci-après montrent notre analyse des contrôles au niveau de l'entité et des contrôles des processus opérationnels. La cote combinée ou la cote globale du risque déterminera la portée et la fréquence des essais.

A.1 Contrôles au niveau de l’entité

Analyses des contrôles au niveau de l’entité
Processus Importance Changements aux politiques Jugement à exercer Caractéristiques des opérations Possibilité de présenter une anomalie Cote de risque inhérent
Entité – Niveaux FAIBLE FAIBLE FAIBLE FAIBLE FAIBLE FAIBLE
Analyses des contrôles au niveau de l’entité
Processus Ampleur du changement Antécédents de défaillances Environnement décentralisé Complexité du contrôle Cote du risque lié au contrôle Cote de risque global du processus
Entité – Niveaux FAIBLE MOYEN ÉLEVÉ MOYEN MOYEN MOYEN

A.2 Contrôles clés du processus opérationnel

Analyse des contrôles des processus opérationnels
Processus Importance Changements Jugement à exercer Caractéristiques des opérations Possibilité de présenter une erreur Cote de risque inhérent
Secteurs du processus de gestion financière
1. Achat aux paiements (dépenses) ÉLEVÉ FAIBLE MOYEN ÉLEVÉ MOYEN MOYEN
2. Dépenses de déplacement MOYEN FAIBLE MOYEN MOYEN MOYEN MOYEN
3. Administration de la paie ÉLEVÉ ÉLEVÉ MOYEN ÉLEVÉ ÉLEVÉ ÉLEVÉ
4. Planification des biens de TI ÉLEVÉ MOYEN MOYEN MOYEN MOYEN MOYEN
5. Budgétisation et prévisions ÉLEVÉ MOYEN ÉLEVÉ FAIBLE FAIBLE MOYEN
6. Rapports financiers et clôture ÉLEVÉ FAIBLE MOYEN FAIBLE FAIBLE MOYEN
Secteurs de processus non financiers
7. Sécurité informatique de l’information non financière ÉLEVÉ ÉLEVÉ MOYEN FAIBLE MOYEN MOYEN
8. Enquêtes ÉLEVÉ MOYEN ÉLEVÉ ÉLEVÉ MOYEN ÉLEVÉ
9. Rapport annuel MOYEN FAIBLE MOYEN MOYEN FAIBLE MOYEN
Analyse des contrôles des processus opérationnels
Processus Ampleur du changement État des contrôles Environnement décentralisé Complexité du contrôle Cote du risque lié au contrôle Cote de risque global du processus
Secteurs du processus de gestion financière
1. Achat aux paiements (dépenses) FAIBLE MOYEN FAIBLE MOYEN MOYEN MOYEN
2. Dépenses de déplacement FAIBLE MOYEN FAIBLE MOYEN MOYEN MOYEN
3. Administration de la paie FAIBLE MOYEN FAIBLE FAIBLE FAIBLE MOYEN
4. Planification des biens de TI MOYEN MOYEN FAIBLE MOYEN MOYEN MOYEN
5. Budgétisation et prévisions FAIBLE ÉLEVÉ FAIBLE FAIBLE FAIBLE MOYEN
6. Rapports financiers et clôture FAIBLE FAIBLE FAIBLE FAIBLE FAIBLE FAIBLE
Secteurs de processus non financiers
7. Sécurité informatique de l’information non financière MOYEN MOYEN FAIBLE ÉLEVÉ MOYEN MOYEN
8. Enquêtes FAIBLE FAIBLE FAIBLE ÉLEVÉ FAIBLE MOYEN
9. Rapport annuel FAIBLE FAIBLE FAIBLE MOYEN FAIBLE FAIBLE

Annexe B. Approche de surveillance continue

La surveillance des activités comporte trois grandes étapes :

Nota: Il est recommandé de procéder à une révision structurée de chaque processus clé annuellement afin de confirmer le déroulement et les contrôles du processus. Il se peut que cela ne soit pas toujours possible selon les ressources affectées.

5.1 Effectuer l’évaluation

Le plan de surveillance pluriannuel peut faire fond sur la documentation, les méthodes d'essai, les stratégies d'échantillonnage, etc. élaborées au cours des étapes sur l'efficacité conceptuelle et l'efficacité opérationnelle de la précédente feuille de route de CIRF. Ainsi, l'évaluation des processus opérationnels désignés (et évalués) antérieurement comprendra ce qui suit :

  • Une mise à jour de la documentation sur le processus, des contrôles clés et de la matrice des contrôles;
  • L'exécution de l'analyse de l'efficacité conceptuelle (révision structurée);
  • L'exécution de l'analyse de l'efficacité opérationnelle (essai réel des contrôles).

Quant aux nouveaux processus opérationnels, la CPPM devra :

  • documenter le processus, établir les contrôles clés et préparer une matrice des contrôles;
  • effectuer l'analyse de l'efficacité conceptuelle (révision structurée);
  • effectuer l'analyse de l'efficacité opérationnelle (essai réel des contrôles).

La nature, l'étendue et la fréquence de l'analyse des contrôles sont liées au niveau de risque associé aux processus ou aux systèmes en place. Les sections qui suivent fourniront des orientations sur le niveau d'analyse requis.

5.1.1 Nature de l'analyse

Niveau d'analyse
TYPE D’ACTIVITÉS DOCUMENTATION SUR LES PROCESSUS EFFICACITÉ CONCEPTUELLE EFFICACITÉ OPÉRATIONNELLE
Définition Appuyer l’évaluation de l’efficacité conceptuelle et opérationnelle à tous les niveaux; les contrôles clés doivent être dûment documentés. Se rapporte à la question de savoir si les contrôles sont dûment conçus pour atteindre les objectifs s’ils fonctionnent comme prévu. Se rapporte à la question de savoir si les contrôles fonctionnent continuellement selon leur conception.
Méthode Élaboration ou mise à jour des descriptions de processus, des organigrammes de processus et des matrices des risques et contrôles. Révision structurée visant à confirmer le flux d’information en vue de comprendre le fonctionnement des contrôles. Analyser un échantillon d’opérations afin de déterminer si les contrôles internes fonctionnent de manière efficace pendant une période donnée.
Fréquence Annuellement Au besoin (à la suite d’une mesure corrective, d’un changement de processus ou d’un nouveau processus, ou de l’établissement de contrôles ou d’un nouveau risque). Une évaluation de l’efficacité opérationnelle est menée si l’évaluation de l’efficacité conceptuelle a été couronnée de succès.

Rotation pluriannuelle fondée sur le risque :

  • ÉLEVÉ : Annuellement
  • MOYEN : Aux 2 ans
  • FAIBLE : Aux 3 ans
Taille de l’échantillon Tous les processus Une opération Voir le tableau d’échantillonnage

L'échantillonnage pour l'analyse de l'efficacité opérationnelle

Le tableau suivant est fondé sur des théories et principes statistiques largement reconnus.

Théories et principes statistiques reconnus
Nature du contrôle Fréquence de fonctionnement Plage de tailles d’échantillon
Faible risque de défaillance du contrôle clé Risque élevé de défaillance du contrôle clé
Manuel Plusieurs fois par jour 25 40
Manuel Quotidiennement 15 25
Manuel Hebdomadairement 5 8
Manuel Mensuellement 2 3
Manuel Trimestriellement 1 1
Manuel Annuellement 1 1
Automatisé Mise à l’essai d’un contrôle pour chaque activité de contrôle automatisée

À la suite de l'essai, il est essentiel de consigner les résultats de l'essai et de les analyser, de même que la nécessité de prendre des mesures correctives, s'il y a lieu. Il est également important d'informer les responsables des processus et les partenaires opérationnels sur les résultats globaux de l'essai et les plans d'action ainsi que de valider ces éléments auprès de ces parties.

Le tableau suivant présente une vue d'ensemble des intervenants clés et de leurs responsabilités au cours de cette étape importante :

Tableau - Principaux rôles
Format de rechange

Le tableau représente un aperçu des intervenants clés et leur principaux rôles durant l'année.

  • L'équipe de contrôle interne est responsable et examine
  • Le responsable de processus opérationnel est responsable, participate et examine
  • La vérification interne n'a aucun rôle principal
  • L'équipe externe (au besoin) est responsalbe
  • L'équipe des risques de l'organisation n'a aucun rôle principal
  • Le directeur du contrôle interne n'a aucun rôle principal
  • Le dirigeant principal des finances approuve
  • Les cadres supérieurs ministériels participent et approuvent
  • L'administrateur général informe
  • Le comité ministériel de vérification n'a aucun rôle principal

5.2 Consigner les résultats de l’évaluation

À la suite de l’étape de l’évaluation, l’équipe de contrôle interne doit documenter le plan de mesures correctives convenu, examiner et suivre les progrès réalisés à cet égard puis en rendre compte annuellement.

5.3 Rapports sur les résultats

5.3.1 Rapports internes

Une fois que les responsables des processus opérationnels concernés ont effectué, examiné et validé les évaluations de la surveillance continue du CIGF pour l'année, les résultats sont consolidés et documentés dans un rapport de constatations par l'équipe de contrôle interne. Le rapport comprendra ce qui suit :

  • Les principales constatations des évaluations de la surveillance continue et des plans de mesures correctives connexes;
  • L'état de la mise en œuvre des plans de mesures correctives, plus précisément, des mesures qui n'ont pas encore été appliquées.

Les résultats des évaluations seront communiqués aux intervenants clés annuellement, notamment le président, le DPF, les cadres supérieurs ministériels et le CMV.

5.3.2 Rapports externes

Déclaration de responsabilité de la direction – Contrôle interne en matière de rapports financiers

La Politique exige que le premier dirigeant signe chaque année la « Déclaration de responsabilité de la direction englobant les contrôles internes en matière de rapports financiers ». Cette déclaration comprend la reconnaissance de la responsabilité de la direction lorsqu'il est question de conserver un système efficace de contrôle interne et la confirmation qu'une évaluation de fin d'exercice a été réalisée et qu'un plan d'action a été préparé.

Annexe de la Déclaration de responsabilité de la direction

Il faut fournir en annexe de la Déclaration un aperçu des résultats et des plans d'action faisant suite à l'évaluation annuelle de l'efficacité du système de CIRF de la CPPM. Un exemple d'annexe et de Déclaration de responsabilité de la direction figure dans le Guide concernant les contrôles internes de la gestion financière préliminaire publié par le SCT en octobre 2017.

La liste des processus relatifs au CIGF est quelque peu différente de la liste de CIRF présentée dans la Déclaration de responsabilité de la direction sur le CIRF et l'annexe qui y est rattachée. L'exigence en matière de rapports internes axée sur le CIRF comporte une terminologie associée aux postes d'un état financier, alors que le CIGF est centré sur les processus de gestion. Nous avons proposé un rapprochement entre les processus clés de CIGF et les processus de CIRF déclarés par l'organisation. L'annexe B présente ce rapprochement.

Annexe B. Harmonisation avec le cadre du COSO

Au cours de l'évaluation des CIGF, il se peut que la CPPM décide de sélectionner un cadre tel que le cadre du COSO de 2013 pour ses contrôles internes, lequel concorde avec le choix des autres ministères et organismes fédéraux.

En 1992, le Committee of Sponsoring Organizations of the Treadway Commission (COSO) a mis au point un cadre intitulé « Enterprise Risk Management – Integrated Framework », souvent appelé « cadre du COSO ».

Tableau -
Format de rechange

Le graphique représente le cadre du COSO

Il y a trois catégories, soit :

  • l'efficacité et efficience des opérations;
  • la fiabilité des rapports financiers; et
  • la conformité avec les lois et les règlements en vigueur.

Il existe cinq composantes interdépendantes du contrôle interne avec ces trois catégories :

  • l'environnement du contrôle;
  • l'évaluation du risque;
  • les activités de contrôle;
  • l'information et la communication; et
  • les activités de surveillance.

Le cadre du COSO établit que le « contrôle interne » est un processus, constitué par les administrateurs, la direction et d'autres membres du personnel d'une entité, dans le but de fournir une assurance raisonnable en ce qui a trait à l'atteinte des objectifs dans les catégories suivantes :

  • Efficacité et efficience des opérations;
  • Fiabilité des rapports financiers;
  • Conformité avec les lois et les règlements en vigueur.

Lorsqu'elle effectue une évaluation du risque, la CPPM doit veiller à ce que ces objectifs soient abordés. Par exemple, les contrôles de processus opérationnels clés relevés au cours de l'évaluation du risque sont en phase avec les objectifs suivants :

Évaluation du risque
Contrôles des processus opérationnels Opérations Rapports Conformité
Paiements (dépenses) s/o
Planification des biens de TI s/o
Dépenses de déplacement s/o
Administration de la paie s/o
Budgétisation et prévisions s/o
Rapports financiers s/o
Sécurité de l’information non financière s/o
Enquêtes s/o

Comme on peut le voir ci-dessus, il existe un chevauchement considérable entre les trois grandes catégories d'objectifs, ce qui témoigne de l'importance des contrôles des processus opérationnels relevés. Il faut notamment veiller à ce que l'information financière et non financière soit protégée, à ce que la perte de biens de la CPPM en raison d'un gaspillage, d'une inefficience ou de mauvaises décisions opérationnelles soit évitée et à ce que les activités soient effectuées conformément aux lois et règlements en vigueur.

Il existe cinq éléments de contrôle interne interdépendants. Quatre éléments se rapportent à la conception et au fonctionnement du système de contrôle interne :

  • Environnement de contrôle;
  • Évaluation du risque;
  • Activités de contrôle;
  • Information et communication;
  • Activités de surveillance.

Ces éléments constituent la base et le fondement de la mise à l'essai des contrôles au niveau de l'entité.

Date de modification :