Vérification interne des contrôles sur les opérations financiers et sur le système d’information financière GX
Introduction
À propos de la vérification
Objectif de la vérification
Étendue de la vérification
Critères
Méthodes et stratégie de vérification
Observations et recommandation
A. Opérations financières et intégrité des données
B. Mise à niveau du système financier GX
Conclusion
Introduction
KPMG s.r.l./S.E.N.C.R.L. a été chargée d’effectuer une vérification interne des processus administratifs, d’identifier les contrôles clés et d’évaluer la conception et l'application des mécanismes de contrôle interne du système financier GX (SFGX) au sein de la Direction du contrôleur. Cette mission faisait partie du plan de la revue des pratiques et de la vérification interne de 2008-2009 du Bureau du Vérificateur général, qui avait été recommandée par le Comité de vérification et approuvée par la vérificatrice générale.
À propos de la vérification
Objectif de la vérification
L’objectif de la vérification interne était de déterminer si le Bureau du vérificateur général (BVG) disposait de contrôles clés lui permettant de surveiller les opérations financières et le système d’information financière GX (SFGX) au sein de la Direction du contrôleur afin de prévenir et de détecter les erreurs dans les opérations financières.
Étendue de la vérification
Les processus administratifs ci-dessous ont été examinés dans le cadre de la vérification interne :
- les frais de voyage et d’accueil;
- les achats de biens et service (les achats);
- les opérations de recouvrement des coûts; et
- les autres dépenses.
Les aspects ci-dessous ont aussi été examiné :
- la mise à niveau du SFGX en janvier 2009;
- les interfaces SFGX-divers systèmes, y compris les interfaces de rapport;
- les gains d’efficience possibles, le cas échéant.
Critères
Les critères ci-dessous ont été utilisés pour mener la vérification interne :
- Le Bureau a mis en place des contrôles qui fonctionnent comme prévu et qui sont appliqués par des personnes possédant le pouvoir et la compétence nécessaires pour les exécuter de manière efficace. Ces contrôles répondent aux objectifs de contrôle et parviennent bel et bien à prévenir et à détecter des erreurs ou de la fraude qui pourraient entraîner des inexactitudes importantes dans les états financiers.
- Le Bureau exerce un contrôle approprié des mises à niveau du SFGX et des interfaces SFGX-divers systèmes de manière à garantir l’exhaustivité et l’intégrité des données.
Méthodes et stratégie de vérification
Les méthodes de KPMG reposent sur la participation active de la direction et des professionnels du Bureau du vérificateur général (BVG) tout au long du processus d’évaluation ainsi que sur les connaissances acquises par la comparaison des pratiques exemplaires au moyen des modèles administratifs, des catalogues de contrôles et des systèmes de gestion des connaissances de KPMG.
Les méthodes adoptées par KPMG pour évaluer les contrôles à l’égard des processus administratifs comprenaient un plan de vérification assorti des principaux critères de vérification. L’examen a été réalisé suivant des critères conformes aux éléments de base du modèle COSO. Nous avons examiné la documentation existante qui était visée par l’étendue de notre mission et avons interviewé les principaux membres de la Direction du contrôleur. Nous avons évalué la conception de chaque contrôle clé et effectué des tests de cheminement pour chaque série d’achats pertinente afin de vérifier si tous les contrôles clés recensés étaient conçus et appliqués conformément à nos attentes. Nous n’avons pas effectué de tests pour mesurer l’efficacité du fonctionnement de ces contrôles.
Observations et recommandation
Les principales constatations faites au cours de la vérification interne des processus administratifs, du recensement des contrôles clés et de l’évaluation de la conception et de l’application des contrôles clés portant sur les opérations financières et le SFGX sont présentées ci-dessous.
A. Opérations financières et intégrité des données
Évaluation de la conception et de l’application des contrôles internes
Dans l’ensemble, les contrôles clés étaient conçus de manière efficace et étaient appliqués comme il se doit pour prévenir ou détecter les inexactitudes importantes dans les états financiers du BVG.
Les processus entourant les achats et les frais de voyage et d’accueil étaient contrôlés par les mécanismes suivants :
- l’établissement d’un engagement après avoir vérifié que les fonds le permettent;
- le lancement de l’opération d’achat;
- l’approbation des biens reçus ou des services rendus;
- l’autorisation du paiement de l’opération.
Nous avons aussi recensé les contrôles de surveillance du suivi des engagements non réglés en fonction des achats ainsi que le processus de surveillance manuelle des dépenses par rapport au budget qui était utilisé par les responsables des budgets. Puis, nous avons relevé les contrôles conçus pour vérifier l’autorisation des opérations au regard des pouvoirs délégués du BVG, pour chaque processus.
Enfin, nous avons aussi relevé les contrôles portant sur les opérations de recouvrement des coûts. Ces opérations sont des opérations de facturation menées pour obtenir, de la part d’autres organisations, le remboursement de coûts remboursables engagés par le personnel du BVG pour fournir des services à ces organisations (tels que les frais de voyage, des services professionnels et d’autres coûts). Les contrôles exercés sur ces opérations sont essentiellement manuels et sont effectués à l’extérieur du SFGX. Les opérations de recouvrement des coûts ne sont pas jugées importantes pour les états financiers. Pour l’exercice terminé le 31 mars 2008, elles représentaient 0,4 million de dollars sur des revenus qui totalisaient 82,7 millions de dollars (dont 82,3 millions de crédits parlementaires). Sans prendre en compte l’importance relative de ces opérations pour les états financiers, nous avons relevé des lacunes dans le contrôle de l'exhaustivité et de l’exactitude des opérations de recouvrement des coûts. Les gestionnaires sont tenus de fournir au service des Finances de l’information sur les divers mécanismes de recouvrement des coûts qu’ils emploient. Ce processus doit être consigné en dossier. Cependant, nous avons remarqué que les opérations de recouvrement des coûts peuvent être incomplètes si des personnes négligent de transmettre en temps opportun à la Direction du contrôleur l’information pertinente sur les mécanismes prévus. Bien que ces opérations ne soient pas importantes pour le moment, on pourrait mieux sensibiliser le personnel à l’importance de communiquer à la Direction du contrôleur les mécanismes de recouvrement des coûts afin de garantir que les opérations sont comptabilisées comme il se doit dans le SFGX.
Documentation des processus administratifs et des contrôles clés
Il est important de consigner les procédures de contrôle axées sur les risques en matière d’information financière afin de respecter les exigences de surveillance de la Politique sur le contrôle interne du Secrétariat du Conseil du Trésor du Canada et les bonnes pratiques en vigueur dans l’administration fédérale. Les entités sont tenues de mettre en place des contrôles internes qui sont pondérés et proportionnels aux risquent qu’ils visent à atténuer. Il importe donc de consigner ces contrôles en dossier et de les surveiller pour garantir qu’ils sont bien appliqués. Nous nous attendions à trouver de la documentation sur les contrôles clés exercés sur l’information financière du BVG.
Pour chaque processus administratif jugé important au chapitre des états financiers du BVG, KPMG a examiné la documentation disponible sur les activités et les procédures de contrôle pertinentes en matière d’états financiers. Une illustration générale d’une page décrivait les processus d’achat, de voyage et d’accueil, mais cette illustration ne recensait pas les contrôles internes pertinents pour les états financiers du BVG. Les procédures appliquées pour chaque processus étaient consignées, mais la documentation décrivait ces procédures plutôt que les contrôles clés axés sur les risques pour les états financiers. De plus, il n’y avait pas de documentation additionnelle sur les opérations de recouvrement des coûts.
À notre avis, il est essentiel de documenter les contrôles clés axés sur les risques en matière d’information financière afin de permettre à la direction de surveiller l’efficacité des contrôles clés. La documentation contribue aussi à l’application uniforme de la procédure de contrôle.
Recommandation
KPMG recommande que le Bureau du vérificateur général documente l’évaluation des risques en matière d’information financière, ainsi que les activités, les procédures, les objectifs de contrôle et les contrôles qui sont pertinents pour les états financiers, et qu’il recense les contrôles clés à l’égard de chaque processus administratif important.
La réponse écrite fournie par la direction suite à nos commentaires est reproduite ci-dessous. Elle n’a pas été soumise aux procédures de vérification interne utilisées au cours de cette mission et, de ce fait, KPMG ne formule aucune opinion à son sujet.
Réponse de la direction
Il est essentiel de documenter adéquatement les contrôles clés afin de surveiller l’efficacité du contrôle interne de l’information financière. D’ici le 31 mars 2010, nous comptons améliorer nos pratiques de documentation des contrôles financiers qui sont exercés sur l’information financière.
Interfaces et établissement des rapports
Le SFGX est relié aux systèmes du receveur général du Canada (TPSGC) grâce à des interfaces. De plus, il alimente le système d’établissement des coûts du Système d’information de gestion et l’outil de production de rapports Crystal, lequel fait partie de l’ensemble des systèmes du Bureau. Des contrôles adéquats ont été conçus et sont appliqués par le BVG pour surveiller l'exhaustivité et l’exactitude des données transférées entre le SFGX et le receveur général du Canada.
Plusieurs rapports (qui sont produits par l’outil de production de rapports Crystal) sont intégrés directement dans le SFGX. Le BVG peut aussi élaborer, au moyen de Crystal, des rapports personnalisés qui sont exportés dans Excel. Seuls des membres de la Direction du contrôleur et des Technologies de l’information ont accès à cette fonction. Les autres utilisateurs peuvent uniquement produire à partir de Crystal des rapports qui sont intégrés au SFGX puis exporter l’information. Dans l’ensemble, nous concluons que le BVG a conçu et appliqué des contrôles adéquats pour vérifier l’exactitude des rapports financiers du SFGX.
B. Mise à niveau du système financier GX
Nous avons constaté que le BVG a mis en place des contrôles pour tester, consigner en dossier et accepter les mises à niveau du SFGX et les nouvelles fonctionnalités offertes par le fournisseur avant leur mise en œuvre.
Le BVG n’a pas accès au code de programme du SFGX. Tous les problèmes sont réglés par le fournisseur, qui crée des mises à niveau. Chaque mise à niveau est testée par le fournisseur avant d’être remise aux clients. Les résultats ou les scénarios des tests détaillés ne sont pas publiés ni diffusés par le fournisseur. Par conséquent, le BVG doit tester de nouveau chaque mise à niveau avant de l’implanter. Nos travaux nous permettent de conclure qu’il existe des contrôles en place au BVG pour tester les mises à niveau du SFGX.
Conclusion
Les contrôles généraux sont conçus de manière efficace et permettent de prévenir ou de détecter les inexactitudes importantes dans les états financiers du BVG.
De plus, le BVG a mis en place des contrôles appropriés pour évaluer les mises à niveau et les interfaces SFGX-systèmes du receveur général du Canada et ainsi garantir l’intégrité et l'exhaustivité des données. Comme nous l’avons indiqué ci-dessus, nous n’avons pas effectué de tests pour mesurer l’efficacité de ces contrôles, mais nous avons observé le processus suivi par le BVG pour gérer les mises à niveau du SFGX et de ses interfaces.