Vérification de la mise en œuvre de la Politique sur le contrôle interne (étape 1)

Rapport final : juin 2016

1850-3-014(SMA(Svcs Ex))

Revu par le SMA(Svcs Ex) conformément à la Loi sur l'accès à l'information. Renseignements NON CLASSIFIÉS.

Diapo 2

Acronymes et abréviations

AF

Année financière

BGP

Bureau de gestion de projet

BPR

Bureau de première responsabilité

CGD

Comité de gestion de la Défense

CMV

Comité ministériel de vérification

CNP

Contrôle du niveau des processus

SMA(Fin)/DPF

Sous-ministre adjoint (finances) / Dirigeant principal des finances

CRG

Cadre de responsabilisation de gestion

DG

Directeur général

MDN

Ministère de la Défense nationale

N1

Niveau 1

PCI

Politique sur le contrôle interne

SM

Sous-ministre adjoint

SMA(Svcs Ex)

Sous-ministre adjoint (Services d’examen)

Retour à la Table des matières


Diapo 3

Énoncé de conformité

Les constatations et les conclusions de la vérification figurant dans le présent rapport reposent sur des preuves de vérification suffisantes et appropriées recueillies par l’application de procédures conformes aux Normes internationales pour la pratique professionnelle de la vérification interne de l’Institut des vérificateurs internes. La vérification est donc conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité. Les opinions exprimées dans le présent rapport reposent sur les conditions existant au moment de la vérification et elles ne s’appliquent qu’à l’entité examinée.

Retour à la Table des matières


Diapo 4

Contexte 1

  • La Politique sur le contrôle interne (PCI) est entrée en vigueur le 1er avril 2009 pour tous les ministères et organismes du gouvernement du Canada.
  • La Politique met l’accent sur la responsabilité que prévoit la Loi fédérale sur la responsabilité et constitue l’un des éléments du Cadre des politiques de gestion financière du Secrétariat du Conseil du Trésor.
  • Le principal objectif de la PCI est le suivant : « Les risques reliés à la gérance des ressources publiques sont gérés adéquatement grâce à des contrôles internes efficaces, y compris les contrôles internes en matière de rapports financiers. »
  • Les résultats attendus sont les suivants :
    • Des systèmes de contrôle interne efficaces, basés sur les risques sont en place dans chaque ministère et sont adéquatement maintenus, suivis et évalués, avec des mesures correctives apportés en temps opportun lorsque des problèmes sont identifiés.
    • Un système efficace de contrôle interne en matière de rapports financiers est en place dans les ministères tel que démontré par la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers du ministère.

Retour à la Table des matières


Diapo 5

Contexte 2

Figure 1. Aperçu du processus — Évaluation de l’efficacité des contrôles internes .1 Le tableau montre l’aperçu du processus de mise en œuvre de la PCI

Description de la figure 1
  1. Evaluation des risques et etablissement de la portee
  2. Documentation des activites de controle
  3. Evaluation de l'efficacite de la conception des controles
  4. Correction des lacunes de la conception des controles (groupe de travail)
  5. Evaluation de l'efficacite operationnelle des controles
  6. Correction des lacunes de l'efficacite operationnelle (groupe de travail)
  7. Surveillance continue des controles, repise d'essais axes sur les risques et correction

Note de bas de page 1 Politique sur le contrôle interne — Outil diagnostique pour les ministères et organismes (ébauche).

 

Retour à la Table des matières


Diapo 6

Contexte 3

  • Le Ministère de la défense nationale (MDN) a présenté un plan au Bureau du vérificateur général et au Comité permanent des comptes publics afin de mettre en place un système efficace de contrôle interne axé sur les risques pour l’année financière (AF) 2016-2017. Le Ministère reconnaît qu’il ne réussira pas à réaliser la mise en œuvre complète d’ici la date prévue.
  • La gestion du contrôle interne fait partie de l’évaluation du Cadre de responsabilisation de gestion (CRG) du Ministère. Le MDN a reçu la note suivante du rapport ministériel 2014-2015 du CRG de la Défense nationale : « Même si la PCI est en place depuis plus de cinq ans, le MDN n’en a toujours pas terminé l’évaluation initiale de l’efficacité de la conception ni l’opération des contrôles internes et n’a pas mis en œuvre les corrections nécessaires dans les trois secteurs de contrôle. Par conséquent, le Ministère n’a pas encore mis en place un programme de surveillance continue de l’efficacité de ses contrôles internes. »
  • En réponse à cette observation, le Ministère a mis sur pied un bureau de gestion de projet (BGP) et a élaboré un plan triennal intégré afin d’assurer la conformité à la PCI d’ici l’AF 2018-2019.

 

Retour à la Table des matières


Diapo 7

Contexte 4

Selon l’évaluation préliminaire du CRG de 2015-2016, 70 pour cent 100 des ministères et des organismes se sont conformés à la PCI.

Alors que d’autres ministères et organismes semblent avoir fait des progrès dans la mise en œuvre de la PCI, le MDN ne peut être comparé directement en raison de différences inhérentes avec ces autres entités. Entre autres, le Secrétariat du Conseil du Trésor reconnaît que la taille du ministère, la complexité, les risques, la capacité, la décentralisation et d’autres facteurs pertinents pour les ministères comme le MDN peuvent avoir une incidence sur la durée de la mise en œuvre de la PCI.

Par comparaison, au titre de la National Defense Authorization Act de 2010 des États-Unis, le ministère de la défense doit avoir des états financiers prêts pour la vérification au plus tard le 30 septembre 2017. Selon le rapport financier de cet organisme pour l’exercice financier 2014, « [le] Ministère de la défense a eu de la difficulté à réaliser l’élaboration et une mise en œuvre efficace et en temps opportun comme le prescrivait la loi, et il poursuivra ses efforts jusqu’à ce qu’il soit en mesure de mener les activités suivantes 

  • Corriger les lacunes en matière de contrôle interne des documents afin de s’assurer que les contrôles internes sont conçus et mis en œuvre efficacement et qu’ils fonctionnent adéquatement
  • Assurer l’amélioration des systèmes et des contrôles internes afin d’offrir des données financières uniformes et reproductibles qui seront utilisées à des fins de prise de décision et de production de rapports. »

 

Retour à la Table des matières


Diapo 8

Objectif et critères

Objectif

Déterminer si la structure de gouvernance, la gestion des risques et les processus nécessaires sont en place pour appuyer la réussite de la mise en place de la PCI.

Critères

  1. Le Ministère a établi des rôles, des responsabilités ainsi que des structures appropriées de surveillance et de gouvernance clairs pour appuyer la mise en œuvre de la PCI.
  2. Le Ministère a effectué des évaluations des risques afin de déterminer les risques qui touchent les objectifs ministériels et d’en établir la priorité pour assurer la mise en œuvre d’un système efficace de contrôle interne axé sur les risques.
  3. Le Ministère a relevé les principaux contrôles internes visant les risques importants, en a testé l’efficacité, et a élaboré des activités de correction permettant de renforcer les lacunes et d’assurer la mise en œuvre d’un système efficace de contrôle interne.

 

Retour à la Table des matières


Diapo 9

Portée et production de rapports

Portée

Inclusion : Activités de mise en œuvre terminées à ce jour et activités de mise en œuvre prévues dans l’« État et plan d’action » de la Déclaration de responsabilité de la direction qui comprend le contrôle interne.

Exclusion : Activités liées aux contrôles généraux de technologie de l’information parce que le sous-ministre adjoint (services d’examen) a d’autres outils de vérification dans son Plan de vérification axée sur les risques qui couvriront ces activités.

Production de rapports

Étape : Conclusions et recommandations liées aux critères 1 et 2.

Étape 2 : Couverture complète liée à tous les critères de vérification.

 

Retour à la Table des matières


Diapo 10

Gouvernance 1

Progrès réalisés

Le Ministère a fait d’importants progrès quant à la mise en œuvre de la PCI en 2015, dont les suivants :

  • Mise sur pied d’un Bureau de gestion de projet officiel (PricewaterhouseCoopers).
  • Création d’un plan triennal intégré.
  • Réorganisation/établissement de l’ordre de priorité des ressources. Par exemple : réorganisation des ressources du directeur de la politique financière, proposition de l’établissement de l’ordre de priorité des changements apportés au système d’information de la gestion des ressources de la défense, financement continu des initiatives du sous-ministre adjoint (matériel) dans le cadre de la PCI.
  • Ajout d’activités liées à la PCI dans les ententes de rendement du personnel civil (niveau SMA) et militaire (rang de colonel ou supérieur).
  • Activités et exigences liées à la PCI intégrées à différentes initiatives de transformation.

 

Retour à la Table des matières

 


 

Diapo 11

Gouvernance 2

Mise sur pied d’un Bureau de gestion de projet (BGP) officiel

Avant 2015 :

  • Aucune charte de projet ni objectif de travail officiel n’a été établi par la Politique sur la gérance des systèmes de gestion financière, la Politique sur la gouvernance en matière de gestion financière ou la PCI.
  • Absence d’une gestion de projet solide.

Since 2015:

  • Le BGP possède les ressources nécessaires pour assurer la gestion, le suivi et le contrôle de nombreuses activités de mise en œuvre de la PCI. Élaboration d’un manuel sur le BGP qui définit des éléments comme la portée et le rôle du BGP, la gestion des risques et des enjeux, ainsi que la surveillance du rendement du projet et la production de rapports connexes.
  • Le BGP utilise les outils suivants pour appuyer la gestion de la mise en œuvre de la PCI:
    • Dépôt de contrôle2 — banque de données contenant des dossiers source de tous les processus et contrôles financiers à l’appui de la PCI.
    • Plan intégré — aperçu général et délais d’exécution prévus de toutes les tâches nécessaires pour terminer le cycle complet des essais et des corrections du contrôle.
    • Registres des risques et des enjeux — outils utilisés pour assurer le suivi et la gestion des risques et des enjeux.
    • Registre du contrôle du changement3 — pour assurer le suivi et la gestion des demandes de changement qui touchent la portée et le calendrier du plan intégré

Note de bas de page 2 Existait avant 2015.

Note de bas de page 3 Conçu, mais pas encore utilisé.

Retour à la Table des matières


 Diapo 12

Gouvernance 3

Plan triennal intégré

  • Offre un aperçu séquentiel des activités nécessaires à la mise en œuvre de la PCI.
  • Élaboré par le BGP, en consultation avec le personnel opérationnel du Bureau de première responsabilité (BPR) et les responsable du Contrôle du niveau des processus (CNP), en tenant compte des contraintes liées aux ressources et au calendrier.
  • Mis à jour par le BGP (responsable du plan) à partir des commentaires du BPR.
  • Ajout des contrôles de l’entité, des contrôles généraux de la technologie de l’information et de 11 contrôles du niveau des processus dans le plan de mise en œuvre.
    • 4 des 114 activités du contrôle du niveau des processus et des contrôles généraux de la technologie de l’information sont prévus afin de terminer la correction des lacunes de l’efficacité opérationnelle deux mois seulement avant l’échéance du 31 mars 2019. Tout retard dans la réalisation de ces tâches pourrait empêcher le Ministère de respecter son engagement de mise en œuvre.
    • Des transformations non prévues du processus opérationnel pourrait entraîner une surcharge de travail qui n’avait pas été prévue dans le plan intégré et qui pourrait nécessiter l’obligation de reprendre des activités qui étaient déjà terminées. Cela pourrait entraîner un retard dans la mise en œuvre de la PCI au MDN.

Note de bas de page 4 Résultat fondé sur l’analyse du plan triennal intégré mis à jour le 12 janvier 2016.

 

Retour à la Table des matières


Diapo 13

Gouvernance 4

Réorganisation et établissement des priorités des ressources

  • Le processus de planification opérationnelle du SMA(finances) a précisément intégré les exigences en matière de ressources pour la PCI dans son plan intégré des ressources pour les années financières 2015-2016 à 2018-2019. En 2015, le SMA(finances) a entrepris les activités suivantes pour optimiser l’allocation des ressources en vue de la mise en œuvre de la PCI :
    • L’appui de la mise en œuvre de la PCI est l’une des principales priorités du directeur des politiques financières, comme l’a montré la création d’une nouvelle section qui sera responsable du bilan des chapitres du Manuel de la gestion financière, particulièrement ceux qui touchent la mise en œuvre de la PCI.
    • Le directeur des opérations et de l’intégration des systèmes financiers a incité le sous-ministre adjoint (gestion de l’information) et d’autres employés de niveau 1 à faire des exigences du changement liées à la PCI une priorité, comparativement à d’autres exigences de changement pour le Système d’information de la gestion des ressources de la Défense.
    • Le SMA(finances) continue d’offrir un soutien financier afin de financer des postes équivalent temps plein au sein de l’équipe des PCI du SMA(matériel) dans le but de mettre en œuvre la PCI.

 

Retour à la Table des matières


 Diapo 14

Gouvernance 5

Les activités liées à la PCI forment une partie des ententes de rendement

  • Six employés de N1 (cinq membres du personnel civil et un membre du personnel militaire) ont été désignés comme des employés clés dans la mise en œuvre de la PCI. Les ententes de rendement pour ces postes ont été examinées. Pour l’AF 2015-2016, seuls cinq employés étaient disponibles pour un examen.
    • Quatre des cinq responsables civils du contrôle du niveau des processus à l’échelle du SMA avaient intégré des activités liées à la PCI dans leur entente de rendement.
    • Nous n’avons pas examiné l’évaluation du membre du personnel militaire de N1. Toutefois, tous les membres du personnel militaire du rang de colonel ou supérieur comptaient la catégorie « éléments d’un système solide de contrôle interne » dans leur profil de compétences pour la gestion du personnel et des ressources, dans le nouveau Système d’évaluation du personnel et de gestion du talent.

Intégration des activités liées à la PCI aux initiatives de transformation

  • Les activités de transformation comme le Renouvellement de la Défense et la Modernisation des activités d’infrastructure et d’environnement ont entraîné des changements dans les processus et les activités de contrôle, ce qui a nécessité de reprendre certaines activités de contrôle du niveau des processus dont les essais relatifs à l’efficacité de la conception avaient déjà été consignés.
  • Pour atténuer l’incidence de retards futurs possibles, le directeur des contrôles financiers participe activement à ces initiatives de transformation, en s’assurant que les activités liées à la PCI sont prises en compte.

Retour à la Table des matières


Diapo 15

Gouvernance 6

Progrès à venir

  • Fournir les mises à jour sur le progrès de la PCI au Comité de gestion de la Défense (CGD) et au Comité ministériel de vérification (CMV).
  • Augmenter la fréquence des réunions du Comité directeur des SMA et du Comité directeur des directeurs généraux.

Retour à la Table des matières


Diapo 16

Gouvernance 7

Mises à jour des progrès de la PCI auprès du CGD et du CMV

  • Le directeur des contrôles financiers a fourni des mises à jour périodiques sur la PCI au CMV, et PricewaterhouseCoopers a été embauché pour fournir des évaluations annuelles depuis 2012. Ces évaluations annuelles fournissent un résumé général du progrès des activités planifiées pour l’année financière, ainsi que des risques et des enjeux qui touchent la conformité de la PCI au Ministère.
    • Ce rapport ne présente pas au lecteur un aperçu pluriannuel détaillé des exigences liées à la complexité, à la portée et au calendrier nécessaires à la mise en œuvre de la PCI.
  • Le BGP a depuis élaboré un tableau de bord pour fournir un rapport d’étape complet qui a été présenté à la haute direction. Cet outil comprend le nombre de lacunes en matière de contrôle, un calendrier de mise en œuvre et un résumé des risques et des enjeux.
  • Un examen des comptes rendus des rencontres du CGD montre que l’évaluation annuelle n’a pas été présentée aux membres du CGD, et que la PCI n’a pas été ajoutée à l’ordre du jour du Comité. Les progrès de la PCI n’ont donc pas été très visibles.

Retour à la Table des matières


Diapo 17

Gouvernance 8

Recommandation 1

Afin de mieux informer les membres du CGD et du CMV sur les progrès réalisés dans le cadre de la mise à jour de la PCI, il est recommandé que, en plus de l’évaluation annuelle indépendante de la PCI, le Ministère rende accessible une carte de pointage générale qui comprend de l’information sur la priorité des activités de contrôle exceptionnelles, comme le tableau de bord sur la mise en œuvre de la PCI, aux membres du CGD et du CMV, lors de leurs réunions respectives, afin de souligner les problèmes possibles liés au calendrier et les incidences sur le plan intégré.

Retour à la Table des matières


Diapo 18

Gouvernance 9

Comité directeur des SMA et Comité directeur des directeurs généraux

  • Des mandats décrivent les rôles et responsabilités du Comité directeur des SMA et du Comité directeur des directeurs généraux.
  • Le mandat du Comité directeur des directeurs généraux est de résoudre les enjeux liés à l’approbation des projets ou des programmes qui auront une incidence sur les initiatives continues et sur le projet.
  • Les membres du Comité directeur des SMA se sont rencontrés pour la première fois le 25 avril 2016. Avant cette rencontre, aucun mécanisme officiel ne permettait de régler les problèmes inter-opérationnels qui ne pouvaient pas être réglés par le Comité directeur des directeurs généraux.

Recommendation 2

Il est recommandé que les comités directeurs des SMA et des directeurs généraux se rencontrent périodiquement à des dates convenues afin d’appuyer la mise en œuvre de la PCI.

Retour à la Table des matières


Diapo 19

Gestion des risques

Établissement d’un registre officiel des risques et des enjeux

  • Avant 2015, mis à part l’évaluation annuelle indépendante de la PCI présentée au CMV, aucun registre officiel des risques ne permettait de faire le suivi des risques et des enjeux au fur et à mesure qu’ils sont déterminés.
  • Depuis 2015, le SMA(finances) a élaboré une stratégie qui nécessite que tous les responsables opérationnels et les responsables des mesures correctives déterminent tous les risques des programmes et des projets, afin que le BGP puisse les consigner et les gérer.
    • Le BGP suit un processus en six étapes : 1) déterminer le risque; 2) consigner et attribuer le risque; 3) examiner le risque; 4) régler le risque; 5) surveiller le risque et produire les rapports connexes; 6) clore le risque.

Retour à la Table des matières


Diapo 20

Conclusion

Reorganized/Prioritized Resources

À partir des preuves examinées, durant l’AF 2015-2016, le Ministère a fait d’importants progrès dans la gestion de la mise en œuvre de la PCI. Le SMA(finances) est le responsable de la mise en œuvre de la PCI; toutefois, la correction et la mise en œuvre des contrôles relèvent de différentes organisations de N1 dans l’ensemble du Ministère. Les activités de transformation pourraient retarder la mise en œuvre complète au-delà de l’AF 2018-2019. Les améliorations apportées aux activités suivantes pourraient promouvoir la réussite de la mise en œuvre de cette initiative :

  • Fournir des détails supplémentaires au CGD et au CMV sur le progrès réalisé dans la mise en œuvre de la PCI.
  • Veiller à ce que les organismes généraux de gouvernance qui gèrent les problèmes inter-organisationnels de mise en œuvre de la PCI au sein du Ministère se rencontrent périodiquement à des dates convenues.

 

Retour à la Table des matières


Diapo 21

Prochaines étapes

Mener les activités de vérification prévues à l’étape 2. Cela comprend l’examen des processus entrepris par le Ministère pour les activités suivantes :

  • Évaluation de l’efficacité de la conception des contrôles
  • Correction des lacunes de la conception des contrôles (groupe de travail)
  • Évaluation de l’efficacité opérationnelle des contrôles
  • Correction des lacunes de l’efficacité opérationnelle (groupe de travail)
  • Surveillance constante des contrôles, reprise d’essais axés sur les risques et correction

Retour à la Table des matières


Diapo 22

Plan d’action de la direction

Le SMA (services d’examen) utilise les critères d’importance suivants pour ses recommandations :

Très élevée Il n’y a pas de contrôle en place. On a relevé des problèmes importants qui auront de graves incidences négatives sur les activités.

Élevée — Les contrôles sont inadéquats. On a relevé des problèmes importants qui pourraient avoir des incidences négatives sur l’atteinte des objectifs opérationnels et les programmes.

Modérée — Des contrôles sont en place, mais ils ne sont pas suffisamment respectés. On a relevé des problèmes qui pourraient avoir des incidences négatives sur l’efficacité et l’efficience des activités.

Faible — Des contrôles sont en place, mais le niveau de conformité varie.

Très faible — Des contrôles sont en place et il n’y a aucun écart de conformité.

Retour à la Table des matières


 Diapo 23

Plan d’action de la direction 1

Gouvernance

Recommandation du SMA (Svcs Ex) (importance modérée)

1. Afin de mieux informer les membres du CGD et du CMV sur les progrès réalisés dans le cadre de la mise à jour de la PCI, il est recommandé que, en plus de l’évaluation annuelle indépendante de la PCI, le Ministère rende accessible une carte de pointage générale qui comprend de l’information sur la priorité des activités de contrôle exceptionnelles, comme le tableau de bord sur la mise en œuvre de la PCI, aux membres du CGD et du CMV, lors de leurs réunions respectives, afin de souligner les problèmes possibles liés au calendrier et les incidences sur le plan intégré.

Mesure de la direction

En plus de l’évaluation annuelle indépendante, le CGD et le CMV seront informés de la progression de la PCI au moins une fois par année grâce au tableau de bord résumé.

BPR : SMA(Fin)/DPF

Date visée : décembre 2016

Retour à la Table des matières


Diapo 24

Plan d’action de la direction 2

Gouvernance

Recommandation du SMA (services d’examen) [importance modérée]

2. Il est recommandé que les comités directeurs du SMA et des directeurs généraux se rencontrent périodiquement à des dates convenues pour appuyer la mise en œuvre de la PCI.

Mesure de la direction

Le mandat du Comité directeur des directeurs généraux a été examiné par le comité, et il a été convenu de tenir les rencontres chaque trimestre. Le mandat du Comité directeur des SMA a été examiné par le comité, et il a été convenu de tenir les rencontres deux fois par année, à l’automne et au printemps. Le SMA (services d’examen) doit se présenter aux deux comités à titre d’observateur.

BPR : SMA (Fin)/DPF

Date visée : juin 2016

Retour à la Table des matières

Date de modification :