Revue des pratiques et audit interne — Plan pluriannuel pour les exercices 2015-2016 à 2017-2018
Revue des pratiques et audit interne — Plan pluriannuel pour les exercices 2015-2016 à 2017-2018
Ce document présente le plan de la revue des pratiques et de l’audit interne pour les exercices 2015-2016 à 2017-2018. Le plan a été examiné par le Comité d’audit du Bureau et approuvé par le vérificateur général le 9 juillet 2015.
Introduction
La fonction de revue des pratiques et d’audit interne fournit au vérificateur général de l’information, une assurance et des avis indépendants et objectifs quant à la mesure dans laquelle :
- les processus de gestion du risque, de contrôle et de gouvernance du Bureau du vérificateur général du Canada (le BVG ou le Bureau) sont conçus de façon adéquate et mis en œuvre efficacement;
- les responsables de mission conduisent leurs audits en conformité avec les normes professionnelles, les politiques du Bureau et les exigences législatives et réglementaires applicables;
- les rapports d’audit sont bien étayés et appropriés.
Les travaux à cet égard sont réalisés conformément à deux ensembles de normes professionnelles. Les audits internes sont effectués selon les Normes internationales pour la pratique professionnelle de l’audit interne établies par l’Institut des auditeurs internes. La Politique sur la vérification interne du Secrétariat du Conseil du Trésor du Canada respecte l’esprit des normes de l’Institut des auditeurs internes, qui sont mises en œuvre de manière à respecter l’indépendance du vérificateur général en tant que mandataire du Parlement.
Les revues des pratiques sont réalisées selon la Norme canadienne de contrôle qualité (NCCQ) 1, Contrôle qualité des cabinets réalisant des missions d’audit ou d’examen d’états financiers et d’autres missions de certification, de Comptables professionnels agréés du Canada.
Le Plan pluriannuel de revue des pratiques et d’audit interne a été établi en tenant compte du processus d’examen des risques du Bureau et contient les éléments ci-dessous :
- le registre des risques du Bureau, qui a été approuvé par le Conseil de direction le 25 février 2015;
- la liste des risques jugés critiques par le Conseil de direction après une analyse du risque résiduel (voir annexe);
- les priorités stratégiques du Bureau.
Enfin, le Plan est basé sur un examen des plans et des constatations de revues des pratiques et d’audits internes antérieurs.
Le Plan de revue des pratiques et d’audit interne pour les exercices 2015-2016 à 2017-2018 établit deux objectifs :
- déterminer quels audits internes il serait souhaitable de réaliser en se fondant sur l’évaluation des risques auxquels le Bureau est exposé, les procédures de gestion des risques et la compréhension des plans et des priorités du Bureau;
- établir un calendrier de revue des pratiques qui respecte les exigences des normes professionnelles et qui permet au Bureau d’améliorer continuellement la façon de réaliser ses audits.
Contexte
La gestion du risque fait partie des rouages essentiels d’une saine gestion. Le Bureau surveille les conditions favorables et les menaces susceptibles d’avoir un impact sur sa capacité d’exécuter son mandat et d’atteindre ses objectifs stratégiques, opérationnels et de conformité.
Registre des risques du Bureau — Le registre des risques du Bureau comporte une liste des risques clés qui doivent être surveillés et contrôlés pour que le Bureau puisse s’acquitter de ses engagements et réaliser ses objectifs. Son contenu est organisé suivant le cadre de référence de la gestion des risques du Committee of Sponsoring Organizations of the Treadway Commission. Ce cadre de référence classe les risques en risques stratégiques, de non-conformité et opérationnels.
Revue des pratiques — Un des risques recensés par le Conseil de direction lors de l’examen des risques en 2014 était la non-conformité aux normes professionnelles, aux politiques et aux exigences législatives. La revue des pratiques devrait donc être axée sur l’évaluation de ces critères tout en soutenant les responsables de mission dans l’exercice de leur jugement professionnel.
Audit interne — Dans l’ensemble, le Bureau dispose de systèmes et de processus qui assurent un soutien administratif solide et un contrôle efficace des risques opérationnels auxquels il est exposé. Au cours des dix dernières années, huit audits internes ont été effectués, lesquels ont permis de confirmer que les systèmes du Bureau fonctionnent efficacement et de formuler un certain nombre de recommandations pour les améliorer. Nous croyons qu’il est important d’effectuer au moins un audit interne par année au cours des trois prochaines années pour évaluer les systèmes et les processus du Bureau.
Examen externe — En plus d’être soumis à la fonction de revue des pratiques et d’audit interne, les systèmes et les pratiques du Bureau sont examinés par des auditeurs d’états financiers externes et des pairs, par des organismes comptables professionnels provinciaux et par divers organismes de surveillance du gouvernement fédéral, tels que la Commission de la fonction publique du Canada, le Commissariat aux langues officielles, le Commissariat à la protection de la vie privée du Canada et la Commission canadienne des droits de la personne.
Plan de la revue des pratiques
La NCCQ 1 exige que le Bureau établisse un processus de suivi destiné à lui fournir l’assurance raisonnable que les politiques et les procédures relatives au système de contrôle qualité sont pertinentes et adéquates, et qu’elles fonctionnent efficacement. Ce processus doit comprendre une inspection cyclique couvrant au moins une mission achevée pour chaque responsable de mission (directeur principal). La longueur du cycle n’est toutefois pas précisée.
On compte présentement 31 responsables de mission au Bureau qui sont chargés d’audits : 16 responsables effectuant principalement des missions d’attestation et 15 responsables effectuant principalement des missions d’appréciation directe (audits de performance et examens spéciaux). Nous avons remarqué que des directeurs ont assumé sur une base exceptionnelle les responsabilités d’un responsable de mission; nous n’en avons pas tenu compte dans le nombre mentionné. Même si la revue des pratiques est principalement axée sur le responsable de mission, nous estimons qu’il est utile de pouvoir tirer des conclusions non seulement sur la mesure dans laquelle les professionnels respectent les normes, mais aussi sur la conformité du Bureau dans son ensemble, pour satisfaire à l’objectif d’amélioration continue.
Nous avons mis au point une approche d’échantillonnage pour la sélection des responsables de mission :
- Nous créerons deux bassins de responsables de mission, soit un pour les missions annuelles d’attestation et un pour les missions d’appréciation directe, ce qui facilitera la formulation d’observations, le cas échéant, pour chacun des deux types de missions de certification et ce, annuellement.
- Nous effectuerons une revue de chacun des responsables de mission des deux bassins au moins une fois tous les quatre ans. Nous avons établi un cycle de revue de quatre ans pour chaque mission de certification, ce qui devrait permettre de passer en revue tous les responsables de mission à l’intérieur d’une période raisonnable et d’éviter toute prévisibilité dans le processus de sélection.
- Nous sélectionnerons des responsables de mission chaque année au moyen d’un échantillonnage aléatoire. Si un responsable de mission sélectionné a plus d’un audit dans la liste, l’audit à revoir sera aussi sélectionné au hasard. Les avantages que procure l’inclusion de tous les professionnels des deux bassins surpassent les inconvénients causés par le fait d’avoir à passer en revue le même professionnel plus d’une fois au cours d’un cycle.
Plan de l’audit interne
Dans le cadre du plan d’audit interne, nous avons deux responsabilités :
- formuler, dans les rapports d’audit interne destinés aux gestionnaires, des commentaires constructifs sur leur démarche de recensement et d’évaluation des risques, ainsi que sur l’efficacité, l’efficience et l’économie des mesures de gestion du risque en place;
- fournir au vérificateur général une assurance quant à la conception et à l’efficacité des processus de gestion du risque, de contrôle et de gouvernance du Bureau.
Au cours des dix dernières années, huit audits internes ont été réalisés. Comme nous l’avons indiqué précédemment, nous avons noté en annexe les risques critiques auxquels le Bureau est exposé qui ont été recensés par le Conseil de direction. Nous surveillons les mesures prises par la direction pour contrer ces risques et en avons tenu compte en élaborant nos plans actuels et futurs. Dans le Plan pluriannuel de 2015-2016 à 2017-2018, nous proposons les audits internes suivants :
- 2015-2016 — Achèvement de l’audit interne de la planification intégrée des ressources humaines;
- 2015-2016 — Modèle d’établissement des coûts des audits du Bureau;
- 2016-2017 — Composantes clés de la mise en œuvre du Plan de sécurité ministériel du Bureau
- 2017-2018 — Évaluation externe de la fonction de revue des pratiques et d’audit interne.
Au cours de l’exercice 2015-2016, nous prévoyons aussi élaborer un processus de suivi de toutes les observations d’audit interne et des recommandations correspondantes afin de fournir une assurance quant aux progrès accomplis par la direction dans la mise en œuvre des recommandations en suspens.
Une des responsabilités du dirigeant principal de la vérification est de mettre en œuvre des processus conçus pour procurer un degré raisonnable d’assurance aux diverses parties intéressées que les activités de revue des pratiques et d’audit interne sont efficaces et efficientes. Ces processus comprennent la supervision adéquate, des évaluations internes périodiques, la surveillance continue du contrôle qualité et des évaluations externes périodiques. En guise de préparation pour notre première évaluation externe de la fonction de revue des pratiques et d’audit interne, prévue à l’exercice 2017-2018, nous rédigeons notre manuel de la revue des pratiques et de l’audit interne. Nous effectuerons par la suite une auto-évaluation de la fonction de la revue des pratiques et d’audit interne avant de demander une évaluation externe.
Depuis 1999, le Bureau a fait l’objet d’un examen d’une équipe internationale de pairs dont l’objectif était double : évaluer si le système de gestion de la qualité du Bureau était conçu de manière appropriée et s’il fonctionnait de façon efficace. On peut s’attendre à ce qu’il y ait au moins un examen du genre pendant un mandat de vérificateur général. Cela signifie qu’un examen par les pairs devrait avoir lieu avant 2021, soit la dernière année du mandat du vérificateur général actuel. L’Équipe de la revue des pratiques et de l’audit interne veut prendre les devants et s’assurer que le Bureau est prêt. Comme point de départ, l’équipe aimerait participer, en tant que membre d’une équipe d’examen, à un examen international par les pairs d’un autre pays afin d’acquérir une meilleure compréhension du processus d’examen par les pairs. Ces connaissances acquises aideront l’équipe à effectuer l’auto-évaluation du Bureau, qui amènera la direction à élaborer un plan de redressement.
Ressources
La réalisation du Plan de la revue des pratiques et de l’audit interne est confiée à une équipe de trois personnes, qui effectueront toutes les revues des pratiques :
- Louise Bertrand, dirigeante principale de la vérification;
- Heather Miller, directrice;
- Marc Gauthier, directeur.
Selon les besoins, nous pourrions faire appel à des ressources temporaires pour nous aider à réaliser nos travaux.
L’équipe dispose d’un budget de 3 750 heures pour la revue des pratiques et de 1 250 heures pour l’audit interne.
On peut s’attendre au même niveau d’activités et d’efforts pour les exercices 2016-2017 et 2017-2018.
Annexe – Risques critiques auxquels est exposé le Bureau du vérificateur général du Canada
Le tableau ci-dessous résume les 11 risques critiques recensés pour le Bureau en 2015, les activités entreprises pour gérer ces risques et les audits internes proposés pour les atténuer.
| Mise à jour de 2015 sur la gestion des risques – risques critiques | Activités de gestion du risque | Audits internes possibles |
|---|---|---|
|
Ne pas innover |
Nous préparons à l’intention du Conseil de direction une proposition sur les moyens pour le Bureau d’explorer les possibilités d’innovation. |
Aucun audit proposé |
|
Ne pas sélectionner et faire le suivi de produits d’audit susceptibles d’avoir une grande valeur et une incidence significative |
Les responsables des pratiques revoient l’approche de sélection des audits du Bureau. |
Aucun audit proposé |
|
Ne pas accéder à de l’information qui pourrait limiter indûment nos travaux |
Les responsables des pratiques travaillent avec les Services juridiques pour corriger ce genre de situations lorsqu’elles se présentent. Le Bureau collabore avec le Bureau du Conseil privé à la recherche d’une solution durable. |
Aucun audit proposé |
|
Ne pas diriger le Bureau de manière efficace |
Nous réaliserons un examen du cadre de gouvernance du Bureau afin de mieux l’adapter aux nouveaux rôles et responsabilités et aux besoins opérationnels. |
Aucun audit proposé |
|
Ne pas s’assurer que les rapports et les recommandations d’audit sont basés sur le risque, qu’ils sont faciles à comprendre, justes, présentés en temps opportun et qu’ils dictent la prise de mesures correctives à l’égard des déficiences les plus graves qui ont été signalées |
Les responsables de produits collaborent avec la Planification stratégique à concevoir des indicateurs de la mesure de la valeur des audits. Nous définissons les étapes visant à améliorer la valeur des audits de performance. L’équipe des pratiques des missions d’attestation élabore un rapport dérivé annuel qui mettra en lumière la valeur ajoutée des audits d’états financiers. |
Aucun audit proposé |
|
Ne pas gérer efficacement une fuite potentielle d’information |
Le Bureau a grandement investi dans son infrastructure de sécurité au cours de la dernière année pour renforcer sa capacité de résilience. De plus, il surveille de manière continue son environnement pour atténuer ou réduire son exposition aux cyberattaques. Une solution électronique permettra de gérer l’accès aux divers documents contrôlés du BVG. Cette solution utilise le chiffrement pour limiter les opérations que les utilisateurs autorisés peuvent exécuter sur les documents (p. ex. transfert à des utilisateurs non autorisés, impression, copie). |
Audit possible de la sécurité en 2016-2017 |
|
Ne pas planifier efficacement la relève et ne pas gérer le talent |
Le vérificateur général adjoint des Services corporatifs, épaulé par l’équipe des Ressources humaines, dirige les activités de planification de la relève et de gestion du talent. Un questionnaire a été envoyé aux auditeurs afin que soient entrées dans l’outil de planification des ressources d’audit Retain les compétences spécialisées, les études et l’expérience de travail de chaque auditeur. Cette information sera à la disposition des gestionnaires d’audit et des gestionnaires des ressources. |
Aucun audit proposé |
|
Ne pas se doter des employés possédant les compétences requises pour s’acquitter des exigences de leur poste |
On donnera suite aux résultats de l’Enquête sur l’indice de rendement de l’apprentissage et on mettra à jour le plan de perfectionnement professionnel du Bureau. |
Aucun audit proposé |
|
Ne pas gérer efficacement l’engagement des employés |
Le Conseil de direction a approuvé le remplacement du terme « motivé » par « engagé » pour mieux traduire la nature et l’étendue véritables des objectifs du Bureau. La motivation est un processus qui encourage, oriente et favorise le maintien de comportements axés sur les buts. L’engagement est une approche en milieu de travail qui vise à créer les conditions qui amèneront les employés à déployer librement et volontairement des efforts personnels, non parce qu’ils sont motivés par une récompense particulière, mais parce que cela fait partie intégrante de leur travail de tous les jours. |
Aucun audit proposé |
|
Ne pas maintenir un milieu de travail où les employés peuvent travailler et être supervisés dans la langue officielle de leur choix |
Le Conseil de direction a approuvé la Stratégie sur le bilinguisme en milieu de travail de 2015-2018, qui sera mise en œuvre au cours de l’exercice 2015-2016. Un plan d’action par direction et par pratique suivra. |
Aucun audit proposé |
|
Ne pas gérer efficacement le passage aux nouveaux rôles et responsabilités |
Le bureau de gestion de projet a été mis sur pied dans le but de surveiller la transition vers les nouveaux rôles et responsabilités des auditeurs des échelons supérieurs. Ce bureau permettra de simplifier la prise de décisions et de prendre les décisions au niveau approprié de l’organisation. |
Aucun audit proposé |