Validation externe de l’auto-évaluation
Validation externe de l’auto-évaluation — 24 mars 2018
Préparé par JB Lamothe Consulting incorporatedInc.
Rapport de validation externe
1. Objet du rapport
Le présent rapport contient les résultats de la validation externe de l’auto-évaluation que le Bureau du vérificateur général du Canada (le Bureau) a réalisée de la fonction d’audit interne. JB Lamothe Consulting Inc. a effectué la validation externe au nom de la Revue des pratiques et de l’audit interne (RPAI) du Bureau. Nous avons évalué si la fonction d’audit interne était conforme aux Normes internationales pour la pratique professionnelle de l’audit interne (les Normes) de l’Institut des auditeurs internes (IAI).
2. Historique et contexte
Le Cadre de référence international des pratiques professionnelles (CRIPP) de l’IAI exige que des évaluations externes de la fonction d’audit interne d’une organisation doivent être réalisées tous les cinq ans par un évaluateur ou une équipe qualifiés, indépendants et extérieurs à l’organisation. Une évaluation externe peut être effectuée par une évaluation entièrement externalisée ou par une auto-évaluation suivie d’une validation externe.
La dirigeante principale de l’audit interne du Bureau, chef de l’équipe de la RPAI, a décidé de réaliser une auto-évaluation suivie d’une validation externe comme première évaluation externe du Bureau. Elle a fait appel aux services de JB Lamothe Consulting Inc. pour mener une validation indépendante de l’auto-évaluation de la fonction d’audit interne qu’elle a préparée. L’équipe de la RPAI a réalisé l’auto-évaluation en 2016, et l’a mise à jour au début de 2017.
3. Objectif et étendue
L’objectif de cette mission était d’effectuer une validation indépendante externe de l’auto-évaluation faite par l’équipe de la RPAI de la fonction d’audit interne, conformément aux Normes internationales pour la pratique professionnelle de l’audit interne, établies par l’IAI. Nous devions exprimer une opinion sur la mesure dans laquelle la fonction d’audit interne du Bureau se conformait aux Normes et au Code de déontologie de l’IAI.
Nous avons réalisé la validation externe de janvier à mars 2018. L’étendue concernait les missions d’audit réalisées depuis 2014, jusqu’à l’exercice 2017-2018 inclusivement, ainsi que les processus afférents en place durant cette période.
4. Méthodes
L’équipe de la RPAI a effectué l’auto-évaluation en appliquant les méthodes décrites dans le manuel d’évaluation de la qualité de l’IAI intitulé Quality Assessment Manual for the Internal Audit Activity (2013). La conformité au Cadre de référence international des pratiques professionnelles de l’IAI a été évaluée selon l’échelle suivante :
- Se conforme généralement (CG) : signifie qu’il n’y a aucune déficience significative, mais qu’il peut y avoir des déficiences mineures.
- Se conforme partiellement (CP) : signifie qu’il y a une déficience significative et qu’il peut y avoir des déficiences mineures.
- Ne se conforme pas (NC) : signifie qu’il y a plus d’une déficience majeure dans la pratique, et que ces déficiences sont jugées si importantes qu’elles porteront une grave atteinte à la fonction d’audit interne ou l’empêcheront d’assumer adéquatement l’ensemble de ses responsabilités ou des volets importants de celles-ci.
Dans le cadre de la validation externe, nous avons fait ce qui suit :
- rencontré le Comité d’audit et le vérificateur général du Canada avant le début de l’exercice de validation;
- examiné les documents d’auto-évaluation préparés par la dirigeante principale de l’audit interne;
- examiné la documentation fournie par l’équipe de la RPAI, par exemple la Charte de la RPAI, la Charte du Comité d’audit, les plans d’audit fondés sur le risque et les registres des décisions du Comité d’audit, etceteraetc.;
- examiné le manuel d’audit interne de l’équipe de la RPAI et les processus d’audit afférents;
- examiné le dossier d’audit et les feuilles de travail de trois (3) missions d’audit effectuées pendant la période considérée :
- l’audit de la planification des ressources humaines;
- l’audit de la gestion de la sécurité des technologies de l’information;
- l’audit du perfectionnement professionnel (étape de la planification seulement);
- mené des entretiens avec la dirigeante principale de l’audit interne et les directeurs, ainsi qu’avec deux clients/entités auditées;
- résumé les observations et les constatations, et préparé les recommandations à l’égard des occasions d’amélioration relevées;
- préparé le rapport;
- présenté les constatations à la dirigeante principale de l’audit interne, au Comité d’audit et au vérificateur général.
5. Sommaire des constatations
Le tableau suivant contient un résumé de l’évaluation, par domaine examiné.
| Normes de l’IAI | Description | Cote d’auto-évaluation du BVG | Cote de validationNote * |
|---|---|---|---|
| Normes de qualification | |||
| 1000 | Mission, pouvoirs et responsabilités | Se conforme généralementCG | CG |
| 1100 | Indépendance et objectivité | CG | CG |
| 1200 | Compétence et conscience professionnelle | CG | CG |
| 1300 | Programme d’assurance et d’amélioration de la qualité | Se conforme partiellementCP | CG |
| Normes de fonctionnement | |||
| 2000 | Gestion de l’audit interne | CG | CG |
| 2100 | Nature du travail | CG | CG |
| 2200 | Planification de la mission | CG | CG |
| 2300 | Réalisation de la mission | CG | CG |
| 2400 | Communication des résultats | CG | CG |
| 2500 | Surveillance des actions de progrès | CG | CG |
| 2600 | Communication relative à l’acceptation des risques | CG | CG |
| Code de déontologie | CG | CG | |
6. Conclusion
Notre opinion globale est que la RPAI se conforme généralement aux exigences du Cadre de référence international des pratiques professionnelles de l’Institut des auditeurs internes. La cote « se conforme généralement » est la plus élevée que peut recevoir une fonction d’audit interne lors d’une évaluation externe. Nous avons relevé quelques occasions d’amélioration mineures au cours de la validation externe. Nous formulons les observations et les recommandations à cet égard dans la section suivante.
7. Observations et recommandations
La dirigeante principale de l’audit interne et sa petite équipe d’audit ont fait du bon travail afin de créer une fondation solide pour la présentation de produits de qualité au Comité d’audit et au vérificateur général. L’équipe a élaboré des politiques, des méthodes et des processus qui ont été bien documentés dans un manuel d’audit interne. L’équipe a mis en œuvre le logiciel de gestion de l’audit TeamMate pour soutenir les étapes de planification, d’examen et de rapport des missions d’audit interne. Les missions ont été bien supervisées par la dirigeante principale de l’audit interne, qui a passé en revue et approuvé toutes les feuilles de travail dans TeamMate.
Nous avons formulé quelques observations et recommandations au cours de la validation externe que nous portons à l’attention de l’équipe de la RPAI.
Observation 1 : Programme d’assurance et d’amélioration et de la qualité (Norme 1300)
Selon la Norme 1300 de l’IAI, le programme d’assurance et d’amélioration de la qualité doit comporter des évaluations tant internes qu’externes. Les évaluations internes doivent comporter une surveillance continue de la performance de l’audit interne ainsi que des auto-évaluations périodiques pour apprécier la conformité au Code de déontologie et aux Normes.
Selon le programme d’assurance et d’amélioration de la qualité de la RPAI, des évaluations périodiques de toutes les activités d’audit interne ou des activités d’audit interne précises sont réalisées pour assurer la conformité au Code de déontologie et aux Normes. De plus, ce programme indique que des évaluations périodiques sont réalisées grâce aux activités suivantes :
- des sondages périodiques auprès des clients;
- l’auto-évaluation périodique d’activités d’audit interne précises pour assurer la conformité aux Normes;
- l’examen par les pairs des missions d’audit interne réalisées pour en évaluer le rendement conformément aux politiques d’audit interne et aux Normes;
- l’auto-évaluation, au besoin, des activités d’audit interne pour assurer la conformité aux Normes;
- l’examen des indicateurs de rendement pour l’audit interne et des études comparatives des pratiques exemplaires;
- des rapports périodiques sur les activités et le rendement présentés au vérificateur général et au Comité d’audit.
À l’heure actuelle, la RPAI soumet à un examen par les pairs les feuilles de travail de ses missions d’audit interne lors de l’achèvement de la mission et après l’examen par la dirigeante principale de l’audit interne. Nous suggérons à la RPAI d’envisager de mener ces examens après chaque étape de la mission, mais avant l’examen par la dirigeante principale de l’audit interne, et avant que l’équipe d’audit passe à la prochaine étape de la mission. Cela permettrait à l’équipe de traiter plus rapidement tout changement ou tout problème subséquent, ce qui, par conséquent, ajouterait de la valeur à la fonction de contrôle qualité.
Nous avons noté qu’un grand nombre d’éléments du programme d’assurance et d’amélioration de la qualité de l’équipe de la RPAI avaient été élaborés et étaient en place. Toutefois, certains éléments restaient à élaborer.
Outre l’auto-évaluation menée dans le cadre de cette validation externe et les examens périodiques des normes relatives aux missions d’audit interne, rien n’indiquait que l’équipe avait effectué d’autres auto-évaluations périodiques de normes non liées aux missions au cours de la période considérée. Comme l’indique le programme d’assurance et d’amélioration de la qualité de la RPAI, des auto-évaluations périodiques de toutes les activités d’audit interne sont réalisées pour apprécier la conformité aux Normes. Ces auto-évaluations devraient être effectuées à l’aide des programmes d’examen décrits dans le manuel d’évaluation de la qualité de l’IAI de 2017.
De plus, l’équipe n’avait pas complètement mis en œuvre des sondages périodiques auprès des clients ou des indicateurs de rendement de l’audit interne n’avaient pas été complètement mis en œuvre à la date de la validation externe.
Recommandation :
L’équipe de la RPAI devrait poursuivre ses efforts de mise en œuvre et l’établissement de rapports en ce qui concerne :
- l’auto-évaluation périodique d’activités autres que les missions, notamment l’évaluation pour déterminer si ces activités sont conformes à la Charte de la RPAI ainsi qu’au Code de déontologie et aux Normes de l’IAI;
- les indicateurs de rendement et le sondage sur la satisfaction des clients élaboré récemment.
Observation 2 : Planification de la mission (Norme 2200)
Selon la Norme 2210.A1 : « Les auditeurs internes doivent procéder à une évaluation préliminaire des risques liés à l’activité soumise à l’audit. Les objectifs de la mission doivent être déterminés en fonction des résultats de cette évaluation ».
L’examen des feuilles de travail de trois missions a indiqué que les évaluations des risques avaient été effectuées et consignées en dossier à divers degrés. Les missions d’audit les plus récentes démontraient une amélioration progressive de la documentation de l’évaluation des risques menée. Pour les dossiers examinés, les auditeurs ont utilisé divers modèles ou méthodes pour élaborer et documenter les évaluations des risques.
Dans d’autres ministères et organismes gouvernementaux, nous avons relevé des pratiques exemplaires qui consistent à élaborer des méthodes et un modèle standard pour la réalisation et la documentation de l’évaluation des risques. Le modèle peut comprendre une description des risques clés, une partie du contexte et des connaissances acquises à l’étape de la phase de planification, une cote de probabilité et d’incidence, les contrôles attendus ou perçus, les considérations relatives à la fraude, les niveaux de risque résiduel et la décision d’inclure ou non une évaluation des risques dans le programme d’audit, ainsi que la justification de la décision.
Recommandation :
Afin de mieux axer les ressources limitées d’audit interne sur les secteurs de l’entité auditée exposés à un risque élevé, l’équipe de la RPAI devrait élaborer des méthodes et un modèle standard pour les évaluations des risques liés à la mission, et qu’elle veille à leur application et à leur documentation de manière uniforme dans toutes les missions d’audit interne.
Énoncé de validation indépendante
Le Bureau du vérificateur général du Canada (le Bureau) a engagé JB Lamothe Consulting Inc. pour effectuer une validation indépendante de l’auto-évaluation que le Bureau a réalisée de la fonction d’audit interne. L’objectif principal de la mission consistait à réaliser une validation indépendante externe de l’auto-évaluation de la fonction d’audit interne et à évaluer la conformité au Cadre de référence international des pratiques professionnelles (CRIPP) de l’Institut des auditeurs internes (IAI), qui comprend les Normes et le Code de déontologie de l’IAI.
Dans l’exercice de nos fonctions de responsable de la validation, nous sommes entièrement autonomes par rapport au Bureau et possédons les connaissances et les compétences nécessaires pour mener à bien cette mission. La validation, effectuée au cours des mois de janvier à mars 2018, a consisté principalement à examiner et à valider les documents d’auto-évaluation fournis par l’équipe de la RPAI, à examiner la documentation additionnelle fournie par l’équipe, ainsi qu’à examiner le dossier d’audit et les feuilles de travail de trois missions d’audit réalisées pendant la période considérée. De plus, nous avons mené des entretiens avec la directrice principale de l’audit interne et les directeurs du Bureau, ainsi qu’avec deux clients (entités auditées).
Nous sommes d’accord avec l’évaluation générale de la directrice principale de l’audit interne. D’après les résultats de notre examen, l’équipe de la RPAI se conforme généralement aux exigences des dispositions obligatoires du Cadre de référence international des pratiques professionnelles de l’IAI. Nous avons suggéré quelques occasions d’amélioration mineures. Elles sont présentées dans le rapport définitif.
Responsable de la validation indépendant
JB Lamothe Consulting Inc.