Revue des pratiques et audit interne — Plan fondé sur les risques pour les exercices 2018-2019 à 2020-2021
Revue des pratiques et audit interne — Plan fondé sur les risques pour les exercices 2018-2019 à 2020-2021
Table des matières
- Avant-propos
- Introduction
- Bureau du vérificateur général du Canada
- Revue des pratiques et audit interne
- État d’avancement du Plan fondé sur les risques de la RPAI de 2017-2018
- Plan d’audit interne pour les exercices 2018-2019 à 2020-2021
- Contexte de la réalisation d’audits internes
- Processus de planification des audits internes et d’établissement des priorités
- Nouvelle mission d’audit interne
- Mise à jour du Plan fondé sur les risques de 2017-2018 — Modifications au calendrier
- Survol du plan d’audit interne pour les exercices 2018-2019 à 2020-2021
- Plan de la revue des pratiques pour l’exercice 2018-2019
- Ressources
- Annexe A — Description des projets d’audit interne
Ce document présente le plan fondé sur les risques de la Revue des pratiques et de l’audit interne pour les exercices 2018-2019 à 2020-2021. Ce plan a été examiné par le Comité d’audit du Bureau et approuvé par le vérificateur général le 13 avril 2018.
Avant-propos
La fonction de Revue des pratiques et d’audit interne (RPAI) du Bureau du vérificateur général du Canada a élaboré le Plan fondé sur les risques pour les exercices 2018-2019 à 2020-2021. Ce plan vise à garantir que les activités et missions de la fonction d’audit interne et les revues des pratiques prévues de la RPAI répondent aux besoins du Bureau en matière d’assurance.
Le Plan fournit :
- des précisions sur le rôle de l’équipe de la RPAI;
- un aperçu des missions d’audit interne et des revues des pratiques prévues au cours des trois prochains exercices;
- de l’information au sujet des ressources et des moyens utilisés par l’équipe de la RPAI pour l’exercice 2018-2019, première année de mise en œuvre des activités décrites dans le Plan.
Pour définir les priorités de la fonction de revue des pratiques et d’audit interne, l’équipe de la RPAI mène des analyses de l’environnement, des évaluations des risques et des consultations. Pour la présente mise à jour du Plan fondé sur les risques, l’équipe de la RPAI a consulté la haute direction et le personnel du Bureau. Elle a aussi examiné les plans et les priorités du Bureau, ainsi que les résultats de son récent processus de gestion intégrée du risque. Chaque année, l’équipe met à jour le Plan en fonction des priorités du Bureau, de la disponibilité des ressources et des besoins changeants en matière d’évaluation des risques.
Je tiens à remercier la haute direction, le personnel et les membres du Comité d’audit du Bureau de la coopération et de l’aide qu’ils nous ont fournies pendant l’élaboration de ce plan. Les commentaires recueillis permettront à l’équipe de la RPAI d’évaluer le caractère adéquat et l’efficacité des processus de gouvernance, de gestion des risques et de contrôle interne au Bureau.
Louise Bertrand
Directrice principale de l’audit interne
Bureau du vérificateur général du Canada
Avril 2018
Introduction
À titre de mandataire du Parlement, le Bureau du vérificateur général du Canada est indépendant du gouvernement et relève directement du Parlement du Canada. Vu la nature du mandat qui lui est confié, le Bureau n’est pas assujetti à la surveillance directe du Secrétariat du Conseil du Trésor du Canada. C’est donc dire que les mécanismes internes de surveillance du Bureau revêtent une importance toute particulière pour garantir la mise en œuvre de pratiques de gestion adéquates. La fonction de Revue des pratiques et d’audit interne (RPAI) est l’un de ces mécanismes. Grâce à ses audits internes et revues des pratiques, elle fournit à la direction une assurance dans ce domaine.
Ce document présente le Plan fondé sur les risques de la RPAI pour les exercices 2018-2019 à 2020-2021. L’équipe de la RPAI a mis à jour le Plan en fonction des résultats les plus récents du processus de gestion intégrée du risque du Bureau, ainsi qu’en fonction des travaux et analyses approfondis qu’elle a réalisés en 2017-2018. Le Plan réunit les missions d’audit interne et les revues des pratiques proposées pour les trois prochains exercices. Pour planifier ses activités, l’équipe de la RPAI s’est efforcée d’allouer ses ressources aux secteurs du Bureau qui posent des risques importants.
Bureau du vérificateur général du Canada
Mandat
À titre de mandataire du Parlement du Canada, le vérificateur général relève directement de celui-ci. De ce fait, il est habilité à s’acquitter de ses fonctions et de ses responsabilités en toute indépendance du gouvernement. Le mandat du Bureau du vérificateur général du Canada et les responsabilités du vérificateur général sont définis dans la Loi sur le vérificateur général, la Loi sur la gestion des finances publiques, d’autres lois et des décrets.
La commissaire à l’environnement et au développement durable est responsable des questions relatives à l’environnement et au développement durable qui relèvent du mandat du vérificateur général.
Le Bureau est l’auditeur législatif du gouvernement fédéral et des trois territoires : le Nunavut, le Yukon et les Territoires du Nord-Ouest.
Le Bureau effectue des audits et des études indépendants qui fournissent objectivement de l’information, des avis et une assurance au Parlement, aux assemblées législatives des territoires, aux gouvernements et à la population canadienne. Ses audits sont réalisés selon les normes d’audit de la profession et les politiques du Bureau.
Le résultat stratégique du Bureau pour l’exercice 2018-2019 continue d’être de contribuer, par ses audits législatifs, à améliorer la gestion des programmes publics et la reddition de comptes au Parlement.
Priorités stratégiques
Le Bureau a défini les trois objectifs stratégiques ci-après pour l’exercice 2018-2019 :
- Voir à ce que la gestion et la gouvernance du Bureau soient efficaces, efficientes et responsables.
- Être une organisation bien gérée sur le plan financier et responsable de l’utilisation des ressources qui lui sont confiées.
- Former et conserver une main-d’œuvre qualifiée, engagée et bilingue.
Revue des pratiques et audit interne
Mission
La mission de l’équipe de la Revue des pratiques et de l’audit interne (RPAI) du Bureau du vérificateur général du Canada est d’améliorer et de protéger la valeur de l’organisation en fournissant une assurance, des avis et de l’information objectifs et fondés sur les risques.
Étendue des activités
L’équipe de la RPAI vise à la fois deux objectifs distincts et connexes :
- Audit interne — L’équipe d’audit interne de la RPAI a adopté la définition d’audit interne de l’Institut des auditeurs internes afin d’aider le Bureau à réaliser sa vision organisationnelle, sa mission et ses objectifs stratégiques. Elle fournit une assurance et des conseils indépendants et objectifs pour apporter une valeur ajoutée et améliorer les opérations du Bureau. Elle utilise une approche systématique et méthodique pour évaluer et améliorer l’efficacité des processus de gestion des risques, de contrôle et de gouvernance.
- Revue des pratiques — L’équipe de revue des pratiques de la RPAI aide le Bureau à s’acquitter des obligations imposées par la Norme canadienne de contrôle qualité 1 (NCCQ 1) de Comptables professionnels agréés du Canada. Pour ce faire, elle réalise des inspections qui lui permettent de déterminer si les responsables de mission se conforment aux normes professionnelles, aux politiques du Bureau et aux exigences des textes légaux et réglementaires dans le cadre de leurs missions. Ces inspections permettent aussi de confirmer que les rapports d’audit sont appropriés et bien étayés.
Cadre opérationnel
La directrice principale de l’audit interne du Bureau relève du Comité d’audit sur le plan opérationnel et du vérificateur général sur le plan administratif.
Il incombe à la directrice principale de l’audit interne d’établir et de mettre à jour annuellement le Plan fondé sur les risques de la RPAI. L’équipe de la RPAI soumet ensuite le Plan à l’examen du Comité d’audit. Ce dernier recommande le Plan à l’approbation du vérificateur général. Le vérificateur général détient le pouvoir d’approbation définitif du Plan.
L’équipe de la RPAI exécute ses travaux conformément à des normes professionnelles reconnues :
- Les audits internes sont réalisés selon les Normes internationales pour la pratique professionnelle de l’audit interne de l’Institute of Internal Auditors. L’équipe de la RPAI réalise aussi des audits internes selon la Politique sur l’audit interne du Conseil du Trésor et les directives connexes qui s’appliquent au Bureau.
- Les revues des pratiques sont réalisées selon la NCCQ 1, Contrôle qualité des cabinets réalisant des missions d’audit ou d’examen d’états financiers et d’autres missions de certification de Comptables professionnels agréés du Canada.
Objectifs du Plan fondé sur les risques de la RPAI
Le Plan sert les deux grands objectifs suivants :
- déterminer des audits internes qu’il serait possible de réaliser en se fondant sur l’évaluation des risques et les procédures de gestion des risques du Bureau, ainsi que sur la compréhension des plans et des priorités du Bureau;
- établir un calendrier de revue des pratiques qui respecte les exigences des normes professionnelles et qui démontre que le Bureau cherche constamment à améliorer la réalisation de ses audits.
Le processus de planification de la RPAI permet de s’assurer que toutes les activités d’audit interne et de revue des pratiques sont pertinentes, menées en temps opportun et stratégiquement coordonnées pour favoriser l’atteinte des objectifs stratégiques du Bureau.
État d’avancement du Plan fondé sur les risques de la RPAI de 2017-2018
À la fin de l’exercice, l’équipe de la Revue des pratiques et de l’audit interne (RPAI) avait achevé six des huit activités prévues pour 2017-2018, qui sont décrites dans le Plan fondé sur les risques pour les exercices 2017-2018 à 2019-2020. Une activité a été reportée et une autre est en cours (voir la pièce 1).
Pièce 1 — État d’avancement du Plan fondé sur les risques de la RPAI pour l’exercice 2017-2018
| Mission | Titre de l’audit ou tâche | Description | État d’avancement |
|---|---|---|---|
|
Audit interne |
Cadre du Bureau pour l’apprentissage, la formation et le perfectionnement des employés |
L’audit vise à examiner si le Bureau dispose d’un cadre de gestion adéquat et efficace pour l’apprentissage et le perfectionnement professionnel afin de s’assurer que les employés reçoivent en temps voulu la formation et le perfectionnement requis pour remplir leurs fonctions. L’équipe est actuellement à l’étape de l’examen de l’audit. Le rapport d’audit interne sera présenté à l’automne 2018. |
En cours |
|
Examen des processus opérationnels |
Examen externe des activités d’audit interne de la RPAI |
Un expert-conseil a été choisi pour réaliser une validation externe de la conformité de la RPAI aux Normes internationales pour la pratique professionnelle de l’audit interne et au Code de déontologie de l’Institute of Internal Auditors. Le responsable de la validation externe a produit son rapport en mars 2018. |
Terminé |
|
Évaluation des contrôles internes |
Stratégie pour l’examen des contrôles internes |
En mars 2018, l’équipe de la RPAI a achevé sa stratégie pour l’évaluation des contrôles internes essentiels. |
Terminé |
|
Examen des processus opérationnels |
Évaluation des contrôles internes liés à la gestion des risques de fraude |
En 2017, le Bureau a approuvé une nouvelle politique de prévention de la fraude et un cadre de gestion des risques de fraude. Par conséquent, l’équipe a déterminé qu’il était trop tôt pour effectuer cet examen, car la mise en œuvre de la nouvelle politique est en cours. Une fois que la politique du Bureau sera complètement mise en œuvre, l’équipe de la RPAI réexaminera la nécessité d’effectuer une évaluation des contrôles internes liés à la gestion des risques de fraude. Entre-temps, pour atténuer le risque de fraude, l’équipe de la RPAI met en œuvre les exigences de la Norme 2210.A2 de l’Institute of Internal Auditors pendant la planification des missions d’audit interne et des évaluations des contrôles internes. |
Reporté |
|
Examen |
Éthique |
L’équipe de la RPAI a examiné les politiques, les programmes et les activités du Bureau liées à l’éthique pour déterminer s’il fallait réaliser un audit interne dans ce domaine. Elle a tenu des réunions avec les parties prenantes internes pour présenter les observations découlant de l’analyse de niveau général. Elle a envisagé d’examiner l’éthique dans le cadre d’un audit interne lors de son exercice actuel de planification fondée sur le risque. |
Terminé |
|
Soutien à la gestion de projets |
Examen par une équipe internationale de pairs |
L’équipe de la RPAI a coordonné la justification des mesures prises par la direction en réponse aux recommandations et aux observations découlant de l’examen par les pairs de 2010. |
Terminé |
|
Revue des pratiques |
Rapport sommaire pour les audits d’états financiers complétés au cours de l’exercice 2016-2017 |
À sa réunion de janvier 2018, le Comité d’audit a recommandé l’approbation du rapport par le vérificateur général. Le rapport a ensuite été approuvé par le vérificateur général. |
Terminé |
|
Revue des pratiques |
Rapport sommaire pour les missions d’appréciation directe réalisées au cours de l’exercice 2016-2017 |
En mars 2018, l’ébauche du rapport sommaire a été examinée par les vérificateurs généraux adjoints et les directeurs principaux responsables des pratiques d’audit. La RPAI présentera le rapport au Comité d’audit à sa réunion d’avril 2018. |
Terminé |
Autres travaux réalisés par la RPAI en 2017-2018
En 2017-2018, l’équipe de la RPAI a effectué les travaux de revue des pratiques et d’audit interne ci-après :
- Achèvement d’examens par les pairs du Conseil canadien des vérificateurs législatifs visant les dossiers suivants :
- un dossier d’audit de performance du Bureau du vérificateur général de Terre-Neuve-et-Labrador;
- un dossier d’audit d’attestation du Bureau du vérificateur général du Manitoba.
- Coordination d’examens du Conseil canadien des vérificateurs législatifs visant les dossiers suivants :
- un dossier d’audit de performance par le Bureau du vérificateur général du Québec;
- un dossier d’audit d’attestation par le Bureau du vérificateur général du Manitoba.
- Achèvement d’un examen objectif de deux éléments du Suivi du Système de contrôle qualité du Bureau de 2017.
- Coordination des revues des pratiques provinciales exigées par Comptables professionnels agréés (CPA); les revues ont été réalisées par les ordres des CPA de la Colombie-Britannique, de l’Alberta et de l’Ontario.
- Réalisation d’une évaluation des contrôles internes clés liés à la gestion des frais de déplacement et d’accueil par le Service du contrôleur du Bureau.
- Surveillance de la suite donnée aux recommandations de la RPAI par la direction du Bureau.
- Réalisation de la planification annuelle et pluriannuelle des missions de la RPAI.
- Participation à des conférences et à des activités de perfectionnement professionnel liées aux travaux de la RPAI.
Le rapport d’audit interne sur la gestion de la sécurité des technologies de l’information, qui devait initialement être terminé en 2016-2017, a pris plus longtemps que prévu. Le rapport a été achevé au cours de l’exercice 2017-2018.
Participation de l’équipe de la RPAI aux comités du Bureau
En 2017-2018, l’équipe de la RPAI a participé à plusieurs comités du Bureau. Elle a pu ainsi accroître ses connaissances des activités du Bureau et recenser les risques. En 2017-2018, l’équipe a participé à titre d’observatrice aux comités suivants :
- Conseil de direction
- Comité des Directeur principalPX d’audit annuel
- Forum de discussion Directeur principal/DirecteurPX/DX sur les audits annuels
- Comité du Réseau des champions de l’audit annuel
- Réunion des directeurs financiers (toutes les deux semaines)
- Comité directeur de la pratique d’audit de performance
- Comité des opérations de la pratique d’audit de performance
- Forum des directeurs principaux
Plan d’audit interne pour les exercices 2018-2019 à 2020-2021
Contexte de la réalisation d’audits internes
Le Bureau du vérificateur général du Canada se conforme, comme il est tenu de le faire, à la Politique sur l’audit interne du Conseil du Trésor et à la directive afférente. La fonction de Revue des pratiques et d’audit interne (RPAI) respecte les Normes de l’Institute of Internal Auditors lorsqu’elle exécute ses travaux d’audit interne.
En 2015, le Bureau a commencé à utiliser le modèle du Committee of Sponsoring Organizations of the Treadway Commission (COSO) comme cadre de référence pour l’évaluation de son cadre de contrôle interne. Le cadre de contrôle interne du COSO (environnement de contrôle, évaluation des risques, activités de contrôle, information et communication, activités de suivi) permet d’atténuer les risques pouvant nuire à l’atteinte des objectifs stratégiques et opérationnels de l’organisation et ceux liés à l’établissement de rapports et à la conformité.
Pour élaborer son Plan fondé sur les risques, l’équipe de la RPAI tient compte des exigences des Normes de l’Institute of Internal Auditors. Elle planifie ses audits internes et l’évaluation de ses contrôles internes en vue de vérifier l’efficacité de la mise en œuvre par le Bureau de son cadre de contrôle interne.
Processus de planification des audits internes et d’établissement des priorités
L’équipe de la RPAI a élaboré une stratégie exhaustive pour établir son plan d’audit interne fondé sur les risques, laquelle comprend une analyse de l’environnement, une évaluation des risques et de nombreuses consultations.
Analyse de l’environnement
L’équipe de la RPAI effectue des analyses de l’environnement interne et externe.
L’analyse de l’environnement externe vise à recenser les changements dans l’environnement pouvant avoir une incidence sur les objectifs stratégiques du Bureau ou sur le mandat d’audit interne de la RPAI. Cette dernière surveille l’environnement externe pour s’assurer que ses politiques et procédures internes en matière d’audit interne respectent les exigences. La RPAI prend aussi en considération les travaux du Bureau du contrôleur général du Canada et d’autres ministères et organismes publics qui peuvent être pertinents pour le Bureau.
L’analyse de l’environnement interne vise également à recenser les changements dans l’environnement interne du Bureau, comme l’adoption de nouvelles politiques et procédures ainsi que de nouveaux programmes. Elle est également fondée sur l’examen des plans précédents de la RPAI et sur les constatations des revues des pratiques et des audits internes antérieurs.
Évaluation des risques
Le Plan fondé sur les risques de la RPAI repose sur une évaluation des risques pesant sur les services à l’audit et les pratiques d’audit. Le Bureau utilise son Cadre de gestion intégrée du risque pour évaluer les risques et les classer selon les catégories suivantes : risques stratégiques, de conformité et opérationnels. Les principaux risques recensés par les chefs des services et des pratiques d’audit doivent être surveillés et gérés pour s’assurer que le Bureau s’acquitte de ses engagements et réalise ses objectifs. L’équipe de la RPAI examine les risques auxquels s’expose le Bureau en fonction des résultats des activités de gestion intégrée des risques du Bureau, y compris les registres des risques des pratiques d’audit et des services à l’audit. Les activités et processus principaux des registres des risques de l’organisation, des pratiques et des services du Bureau sont le fondement de l’univers d’audit de la RPAI.
À des fins de planification, l’équipe de la RPAI classe les risques comme étant faibles ou élevés en tenant compte des activités d’atténuation des risques présentées par les chefs des services et des pratiques d’audit. Elle s’emploie également à recenser les risques ayant une incidence sur plus d’un secteur de service, qui sont considérés par l’équipe comme étant plus élevés.
Consultations
L’équipe de la RPAI demande des précisions à la haute direction, au besoin, pour mieux comprendre l’évaluation des risques de la direction et discuter des activités menées par celle-ci afin de mieux documenter les contrôles ou d’atténuer les risques.
L’équipe de la RPAI utilise l’information ainsi recueillie pour établir une liste des activités auditables.
Établissement des priorités
Pour établir l’ordre de priorité des activités auditables et d’autres types de travaux, l’équipe de la RPAI prépare un modèle et tient compte du lien entre les questions d’intérêt d’une part, et les facteurs de risque et stratégies du Bureau d’autre part.
La RPAI recense les facteurs de risque suivants :
- vulnérabilité à la fraude;
- répercussions sur la réputation ou l’image de l’organisation;
- complexité des activités;
- résultats du dernier audit ou autres déficiences connues;
- changements aux systèmes, politiques ou procédures;
- répercussions sur le niveau de réglementation ou de conformité.
La RPAI classe l’incidence de l’activité auditable assortie des facteurs de risque sur les 11 objectifs stratégiques du Bureau selon une échelle de 1 à 5, 1 indiquant une incidence faible et 5, une incidence élevée.
L’établissement de l’ordre de priorité des activités d’audit permet de déterminer de nouvelles missions d’audit. Cela peut aussi avoir une incidence sur le calendrier des missions déjà prévues.
Nouvelle mission d’audit interne
À la lumière de l’évaluation des risques de 2017 de la RPAI et des activités de gestion intégrée des risques du Bureau de 2017, la RPAI prévoit réaliser la nouvelle mission d’audit interne ci-après (voir la pièce 2).
Pièce 2 — Nouvelle mission d’audit interne prévue par la RPAI
| Mission | Titre | Objectif | Exercice prévu |
|---|---|---|---|
| Audit interne | Plan de sécurité ministériel | Déterminer si le Bureau dispose d’un plan de sécurité adéquat et si celui-ci a été mis en œuvre de manière efficace. | 2020-2021 |
Mise à jour du Plan fondé sur les risques de 2017-2018 — Modifications au calendrier
Deux audits internes indiqués dans le Plan fondé sur les risques de la RPAI de 2017-2018 ont été reportés, compte tenu du récent exercice d’évaluation des risques de la RPAI (voir la pièce 3).
Pièce 3 — Modifications au calendrier des audits internes
| Mission | Titre | Exercice prévu | Nouvelle échéance |
|---|---|---|---|
| Examen des processus opérationnels | Projet de refonte du produit et de production des rapports en audit de performance — Examen externe | 2018-2019 | À déterminer |
| Audit interne | Projet de conformité | 2019-2020 | 2020-2021 |
Projet de refonte du produit et de production des rapports en audit de performance — La RPAI a décidé de retirer cette mission de la liste des missions possibles. Au début de 2018, la RPAI a consulté les co-dirigeants du projet pour obtenir un compte rendu d’étape. Elle a été informée que le projet avait favorisé de nombreux changements dans les processus d’audit de performance. Toutefois, un certain nombre de recommandations demeurent en suspens. Le récent projet sur l’efficience de l’Équipe des méthodes pour les missions d’appréciation directe a aussi donné lieu à des recommandations qui atteignent le même objectif que le Projet de refonte du produit et de production des rapports en audit de performance. La pratique d’audit de performance devra choisir, parmi ces recommandations, celles qui seront mises en œuvre. C’est pourquoi la RPAI a décidé de retirer le Projet de refonte du produit et de production des rapports en audit de performance de la liste des examens des processus opérationnels prévus, étant donné que cet examen a essentiellement été fusionné avec le projet sur l’efficience de l’Équipe des méthodes pour les missions d’appréciation directe. La RPAI réévaluera la nécessité de mener un examen des processus opérationnels de l’audit de performance lors de la mise à jour de son Plan fondé sur les risques qui aura lieu l’an prochain.
Projet de conformité — La RPAI a reporté à l’exercice 2020-2021 cette mission d’audit interne prévue en 2019-2020. Cet audit interne aura comme objectif de déterminer si le Bureau a mis en place un cadre de contrôle de gestion approprié pour assurer sa conformité aux exigences législatives applicables ainsi qu’aux politiques et directives pertinentes du Conseil du Trésor.
Survol du plan d’audit interne pour les exercices 2018-2019 à 2020-2021
Les audits internes et les projets que l’équipe de la RPAI prévoit exécuter pour les exercices 2018-2019 à 2020-2021 sont les suivants (voir la pièce 4).
Pièce 4 — Activités prévues au cours des trois prochains exercices
| Exercice | Activité | Titre | Gouvernance | Gestion du risque | Contrôles internes |
|---|---|---|---|---|---|
| 2018-2019 | Évaluation des contrôles internes | Évaluation des contrôles internes liés à la gestion des contrats | sans objetS.O. | Oui | Oui |
| 2018-2019Note 1 | Audit interne | L’efficacité du cadre de contrôle de gestion du Bureau pour l’apprentissage et le perfectionnement professionnel | Oui | Oui | Oui |
| 2018-2019 | Évaluation des contrôles internes | Information financière — Examen et réexécution des opérations de la paye | S.O. | Oui | Oui |
| 2019-2020 | Audit interne | Répartition des ressources entre les pratiques d’audit | Oui | Oui | Oui |
| 2019-2020 | Évaluation des contrôles internes | Accès à l’information — Lois et règlements | Oui | Oui | Oui |
| 2019-2020 | Évaluation des contrôles internes | Information financière — Examen et réexécution des opérations relatives aux frais de voyage et d’accueil des cadres supérieurs | S.O. | Oui | Oui |
| 2020-2021 | Audit interne | Projet de conformité | Oui | Oui | Oui |
| 2020-2021 | Évaluation des contrôles internes | Information financière — Examen et réexécution des opérations relatives aux dépenses de fonctionnement et à la rémunération des dirigeants | Oui | Oui | Oui |
| 2020-2021 | Audit interne | Plan de sécurité ministériel | Oui | Oui | Oui |
| 2020-2021 | Évaluation des contrôles internes | Gestion du matériel — Exigences précises de la politique du Conseil du Trésor | Oui | Oui | Oui |
En plus des travaux indiqués dans le tableau ci-dessus, l’équipe de la RPAI effectuera en 2018-2019 un suivi minutieux du plan d’action de la direction découlant de l’audit interne de la gestion de la sécurité des technologies de l’information, y compris la sélection aléatoire de scripts et la réalisation de tests, pour déterminer si elle arrive à des conclusions comparables à celles de la direction. En 2018-2019, l’équipe de la RPAI participera aussi, à titre d’observatrice indépendante, au processus d’examen par une équipe internationale de pairs qui devrait commencer au cours de l’exercice financier.
De l’information détaillée sur les missions d’audit interne est fournie à l’annexe A.
Plan de la revue des pratiques pour l’exercice 2018-2019
Contexte de la réalisation des revues des pratiques
Selon la Norme canadienne de contrôle qualité 1 (NCCQ 1), Contrôle qualité des cabinets réalisant des missions d’audit ou d’examen d’états financiers et d’autres missions de certification de Comptables professionnels agréés du Canada, le Bureau du vérificateur général du Canada doit établir un processus de suivi lui fournissant l’assurance raisonnable que les politiques et les procédures liées au système de contrôle qualité sont pertinentes et adéquates, et qu’elles fonctionnent efficacement. Ce processus doit comprendre une inspection cyclique couvrant au moins une mission achevée pour chaque responsable de mission (directeur principal).
L’équipe de la RPAI est chargée de mener les inspections au niveau des missions. À ce titre, elle doit évaluer la conception et la mise en œuvre du Système de contrôle qualité du Bureau, conformément à la NCCQ 1, pour toutes les gammes de produits afin de vérifier l’efficacité de son fonctionnement. Pour ce faire, l’équipe de la RPAI procède à des évaluations périodiques de la conception du Système de contrôle qualité, de même qu’à des revues des pratiques annuelles systématiques et rigoureuses visant tous les professionnels en exercice de niveau supérieur, selon un cycle pluriannuel.
Approche de la RPAI pour l’échantillonnage des missions
Il y a 34 responsables de mission au Bureau qui exécutent des audits : 19 dirigent surtout des missions d’audit d’états financiers (dont 3 qui réalisent aussi des examens spéciaux), et 15 dirigent surtout des audits de performance. Pour les revues des pratiques, l’équipe de la RPAI a sélectionné les responsables de mission par échantillonnage aléatoire. À cette fin, l’équipe a dressé deux listes de responsables de mission : l’une pour les missions d’attestation d’états financiers et l’autre pour les missions d’appréciation directe (audits de performance et examens spéciaux). Chacune de ces listes a permis à l’équipe de la RPAI de formuler des observations et des recommandations pertinentes visant chaque responsable de mission relativement à sa pratique d’audit, s’il y a lieu.
Revue du responsable de la mission
L’équipe de la RPAI examine les travaux d’audit des responsables de mission de chacune de ces listes au moins une fois tous les quatre ans. Si un responsable de mission a plus d’un audit apparaissant dans une liste, l’équipe choisit l’audit par échantillonnage aléatoire. L’équipe de la RPAI a établi un cycle de revue de quatre ans pour chaque type de mission de certification, ce qui permet d’examiner les pratiques de chaque responsable de mission dans un délai raisonnable.
Revues des pratiques prévues pour l’exercice 2018-2019
Au cours de l’exercice 2018-2019, l’équipe de la RPAI prévoit effectuer jusqu’à six revues des pratiques des responsables de missions d’attestation d’états financiers et jusqu’à sept revues des pratiques des responsables de missions d’appréciation directe. En plus de la revue des pratiques des responsables de mission choisis au hasard, l’équipe de la RPAI peut effectuer d’autres travaux pour revoir les pratiques d’un responsable de mission en particulier, en raison des résultats des revues antérieures ou en fonction de préoccupations ou de risques particuliers liés aux pratiques d’audit.
Ressources
Pour mettre en œuvre le Plan fondé sur les risques de la Revue des pratiques et de l’audit interne (RPAI), une équipe de cinq personnes se chargera de l’ensemble des revues des pratiques et des audits internes :
- Louise Bertrand, directrice principale de l’audit interne;
- Lori-Lee Flanagan, directrice;
- Marc Gauthier, directeur;
- Kari Swarbrick, directrice;
- Sylvie Joly, adjointe administrative.
Budget
L’équipe de la RPAI dispose d’un budget d’environ 7 400 heures pour l’exécution de tous ses travaux au cours de l’exercice 2018-2019. L’équipe a réparti le budget comme suit :
- 2 470 heures pour les revues des pratiques (y compris la préparation des rapports sommaires);
- 1 780 heures pour les travaux d’audit interne (y compris l’achèvement des missions et le suivi des recommandations);
- 780 heures pour l’administration générale et les petits projets (y compris le soutien à l’équipe de la RPAI, le projet d’élaboration d’indicateurs de rendement pour la RPAI, les activités au Bureau dans le cadre du mois de sensibilisation de l’Institute of Internal Auditors, et le respect des exigences relatives aux rapports externes; c’est-à-dire la contribution de la RPAI aux rapports sur les résultats ministériels du Bureau);
- 710 heures pour la planification pluriannuelle et l’évaluation continue des risques;
- 510 heures pour les revues des pratiques externes (notamment les travaux du Conseil canadien des vérificateurs législatifs et les inspections provinciales et internationales);
- 500 heures pour le programme d’assurance et d’amélioration de la qualité (y compris la revue d’assurance qualité des audits internes, la mise à jour du manuel d’audit interne et le plan d’action découlant de la validation externe de la revue d’assurance qualité);
- 400 heures pour le Comité d’audit;
- 250 heures pour les réunions d’équipe.
La RPAI pourrait recourir à des ressources temporaires, au besoin.
Annexe A — Description des projets d’audit interne
Titre proposé : Répartition des ressources entre les pratiques d’audit
- Période : Exercice 2019-2020
- Budget : 1 200 heures
- Secteurs : Pratiques d’audit, Services corporatifs
- Type de produit : Mission de certification (audit interne)
Couverture de l’audit
| Gouvernance | Risques | Contrôles internes |
|---|---|---|
| Oui | Oui | Oui |
Cette mission a-t-elle été incluse dans le Plan fondé sur les risques de l’équipe de la RPAI pour 2017-2020?
Oui. Cet audit interne devait être mené au cours de l’exercice 2018-2019. D’importants changements ont été apportés récemment à la façon dont les ressources sont réparties au Bureau. L’équipe de la RPAI estime qu’il faut donner à ce nouveau processus de répartition des ressources le temps de se normaliser avant de mener un audit interne. Par exemple, le Bureau a pris des mesures pour atténuer les niveaux importants de stress des employés en déterminant le nombre minimum de missions d’appréciation directe à réaliser au cours d’une année civile. En outre, le Bureau s’emploie à peaufiner les rôles et les responsabilités qui servent aux décisions concernant les ressources. L’étendue de cette mission comprendra les pratiques d’audit, puisque le Bureau affecte la plus grande proportion de ses ressources aux pratiques d’audit annuel et de missions d’appréciation directe.
Que souhaite accomplir l’équipe de la RPAI avec cet audit interne?
Cet audit interne a pour objectif de déterminer si le Bureau a mis en place un cadre de contrôle de gestion efficace afin de s’assurer qu’il a les ressources suffisantes pour exécuter les travaux d’audit prévus au sein des pratiques d’audit. L’équipe de la RPAI examinera comment les pratiques d’audit établissent l’ordre de priorité dans la répartition des ressources au niveau des pratiques et des missions. Elle examinera également la mesure dans laquelle les pratiques se servent d’une information pertinente, opportune, exacte et complète pour prendre des décisions éclairées sur la répartition des ressources.
L’audit interne comportera aussi une revue de la façon dont le Bureau prévoit sa répartition des ressources d’audit. La revue portera sur l’exhaustivité du processus d’établissement des prévisions et déterminera s’il est suffisamment souple pour s’adapter aux imprévus ou à l’évolution des priorités. L’équipe de la RPAI examinera également l’information recueillie par les pratiques d’audit pour appuyer les stratégies du Bureau en matière de ressources humaines.
Sur quoi portera l’audit interne et qu’est-ce qui en sera exclu?
L’audit interne portera sur l’environnement de contrôle, le recensement et l’évaluation des risques et les stratégies d’atténuation, ainsi que sur les activités de contrôle à l’appui de la planification et de la répartition des ressources au sein des pratiques d’audit.
L’audit interne ne visera pas la planification et la répartition des ressources au sein des Services corporatifs.
Y a-t-il des risques importants pour le Bureau lié à cet audit?
Si les constatations de l’audit interne révèlent que le cadre de contrôle de gestion est inefficace pour assurer une répartition suffisante des ressources entre les divers audits prévus au sein des pratiques d’audit, il pourrait y avoir un risque pour la réputation du Bureau. Il y a aussi le risque que le Bureau ne réussisse pas à produire les résultats prévus ou qu’il ne puisse pas s’adapter aux imprévus ou à l’évolution des priorités.
Titre proposé : Projet de conformité
- Période : Exercice 2020-2021
- Budget : 750 heures
- Secteurs : Services juridiques et l’ensemble du Bureau
- Type de produit : Mission de certification (audit interne)
Couverture de l’audit
| Gouvernance | Risques | Contrôles internes |
|---|---|---|
| Oui | Oui | Oui |
Cette mission a-t-elle été incluse dans le Plan fondé sur les risques de l’équipe de la RPAI pour 2017-2020?
Oui. Cette mission a été incluse dans le Plan d’audit interne fondé sur les risques de l’équipe de la RPAI pour 2017-2020. Cette mission d’audit interne, proposée dans le Plan fondé sur les risques de 2017-2018, devait avoir lieu en 2019-2020. Compte tenu du récent exercice de planification fondée sur les risques, cette mission sera maintenant reportée à 2020-2021.
Que souhaite accomplir l’équipe de la RPAI avec cet audit interne?
Cet audit interne vise à déterminer si le Bureau a mis en place un cadre de contrôle de gestion approprié pour assurer sa conformité aux exigences législatives applicables ainsi qu’aux politiques et directives pertinentes du Conseil du Trésor. Le Bureau a récemment révisé ses politiques et pratiques pour avoir l’assurance de respecter les exigences législatives applicables et les politiques pertinentes du Conseil du Trésor. Cet examen, appelé Projet de conformité, comportait trois activités principales : dresser un inventaire; déterminer les responsabilités pour chaque instrument; et évaluer la conformité du Bureau à chaque instrument.
L’équipe de la RPAI souhaite examiner si le Bureau a atteint les objectifs du Projet de conformité et si la direction dispose des contrôles appropriés pour s’assurer que le Bureau continue de respecter les exigences législatives applicables et les politiques pertinentes.
Sur quoi portera l’audit interne et qu’est-ce qui en sera exclu?
L’équipe de la RPAI examinera les plans, les activités et les résultats liés au Projet de conformité du Bureau pour évaluer s’ils fournissent un contrôle suffisant permettant de garantir que le Bureau continue de respecter les exigences applicables en matière de conformité.
Y a-t-il des risques importants pour le Bureau lié à cet audit?
Il s’agit d’un sujet de nature délicate, puisque l’audit pourrait relever des secteurs de non-conformité ou de vulnérabilité en raison de faiblesses dans les contrôles. Une conclusion défavorable pourrait nuire à la réputation du Bureau auprès du public et des entités qu’il audite.
Titre proposé : Mise en œuvre du plan de sécurité ministérielle du Bureau
- Période : Exercice 2020-2021
- Budget : 1 200 heures
- Secteurs : Tout le Bureau, en particulier l’équipe de la sécurité du Bureau
- Type de produit : Mission de certification (audit interne)
Couverture de l’audit
| Gouvernance | Risques | Contrôles internes |
|---|---|---|
| Oui | Oui | Oui |
Cette mission a-t-elle été incluse dans le Plan fondé sur les risques de l’équipe de la RPAI pour 2017-2020?
Non. Dans son Plan fondé sur les risques de 2017, l’équipe de la RPAI a reporté cette mission. Elle a demandé que l’audit soit de nouveau pris en considération dans le présent plan.
Que souhaite accomplir l’équipe de la RPAI avec cet audit interne?
Cet audit interne vise à déterminer si le Bureau dispose d’un plan de sécurité adéquat et si ce plan a été mis en œuvre de manière efficace.
Sur quoi portera l’audit interne et qu’est-ce qui en sera exclu?
L’audit examinera si le plan de sécurité du Bureau respecte les politiques et les lignes directrices du Conseil du Trésor et les exigences législatives applicables.
L’équipe de la RPAI évaluera l’efficacité des contrôles et des procédures de gestion du Bureau liés à la mise en œuvre du plan de sécurité. En particulier, l’équipe évaluera si le plan comporte les éléments suivants :
- enquête de sécurité individuelle;
- sécurité en matière de passation de contrats;
- sensibilisation et formation en matière de sécurité;
- plan de continuité des activités;
- gestion des incidents;
- sécurité matérielle;
- sécurité des technologies de l’information (TI);
- gestion de l’information.
L’équipe évaluera également l’efficience et l’efficacité des structures de gouvernance et de communication, des mécanismes et des ressources en place pour assurer la gestion efficace de la sécurité.
L’audit interne ne visera pas la sécurité des TI, étant donné que ce sujet a été examiné en profondeur dans l’audit récent de la gestion de la sécurité des TI.
Y a-t-il des risques importants pour le Bureau liés à cet audit?
Il s’agit d’un sujet de nature délicate, puisque l’audit pourrait mener à la conclusion que le Bureau ne dispose pas d’un plan de sécurité adéquat et que le plan pourrait comporter des faiblesses. Une conclusion défavorable pourrait nuire à la réputation du Bureau auprès du public et des entités qu’il audite.