Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Vérification du contrôle interne en matière de rapports financiers

Direction de la Vérification interne et évaluation des programmes

Remarque : [caviardé] indique que des renseignements de nature délicate ont été supprimés en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels.

Introduction

1. Les contrôles internes sont des mesures intégrées aux structures, aux processus et aux systèmes financiers de l'organisation afin d'atténuer les risques associés aux résultats souhaités.

2. Le contrôle interne en matière de rapports financiers (CIRF) est le système de contrôles qui vise à s'assurer que :

  • l'inscription des opérations financières est exact et complet;
  • les dépenses engagées sont autorisées et conformes aux pouvoirs délégués;
  • les ressources financières sont protégéesNote de bas de page 1.

3. La documentation et l'évaluation de ces contrôles permettent de faire en sorte que les contrôles nécessaires sont en place et fonctionnent comme prévu.

4. Le système de CIRF et de contrôle interne en matière de gestion financière de l'Agence des services frontaliers du Canada englobe 13 principaux domaines de contrôle :

  • Contrôles à l'échelle de l'entité : les contrôles à l'échelle de l'entité représentent le « ton aux échelons supérieurs » et définissent la culture de l'Agence des services frontaliers du Canada (ASFC) et son engagement quant à l'intégrité et à l'éthique.
  • Contrôles généraux de la technologie de l'information (CGTI) : les contrôles relatifs à l'intégrité et à la fiabilité des systèmes informatiques qui appuient les opérations et les dossiers financiers.
  • Contrôles relatifs aux processus opérationnels (11) : les contrôles intégrés aux processus opérationnels et le cycle de vie des opérations financières. Tous les processus opérationnels ayant des répercussions financières sont assujettis à ces contrôles.

5. L'Unité de l'assurance de la qualité et du contrôle interne (l'Unité du CI), qui fait partie de la Direction générale des finances et de la gestion organisationnelle, dirige la mise en œuvre du système de CIRF à l'ASFC. L'Unité du CI collabore avec les responsables des processus opérationnels des principaux domaines de contrôle afin de documenter, d'évaluer et de renforcer les contrôles internes.

6. La responsabilité de l'intégrité et de l'objectivité de l'ensemble des renseignements contenus dans les états financiers de l'Agence, ainsi que de l'efficacité du système de contrôle interne, incombe à la haute direction de l'ASFC et, en fin de compte, au dirigeant principal des finances (DPF) et au président de l'Agence.

7. Voici d'autres principaux intervenants qui participent au système de CIRF :

  • Responsables des processus opérationnels des principaux domaines de contrôle
  • Cadres supérieurs de l'Agence
  • Comités de gouvernance de l'Agence
  • Comité de vérification

Importance de la vérification

8. Les parlementaires et les Canadiens s'attendent à ce que les ressources financières du gouvernement du Canada soient bien gérées. Ils s'attendent également à une transparence et à une responsabilité du gouvernement dans sa façon de dépenser les fonds publics.

9. L'ASFC rend compte publiquement des ressources utilisées pour s'acquitter de son mandat et des fonds qu'elle perçoit au nom du gouvernement du Canada et de ses partenaires dans ses états financiers annuels. En 2021 à 2022, l'Agence a fait rapport de ce qui suit :

  • 2,6 milliards de dollars en recettes et en dépenses d'exploitation utilisées par l'ASFC pour s'acquitter de son mandat;
  • 34 milliards de dollars en recettes fiscales et non fiscales, en actifs et en passifs administrés au nom des gouvernements fédéral, provinciaux et territoriauxNote de bas de page 2.

10. Selon la Politique sur la gestion financière du Conseil du Trésor (CT) de 2017, les ministères et organismes fédéraux doivent maintenir un système de CIRF efficace afin de garantir l'exactitude et l'exhaustivité des rapports financiers, des autorisations de dépenses et de la protection des ressources financièresNote de bas de page 3.

11. D'après les vérifications antérieures, le système de CIRF de l'ASFC et des domaines de contrôle particuliers nécessitaient des améliorations (voir l'annexe A pour la vérifications antérieures).

La vérification sur le contrôle interne en matière de rapports financiers de 2018 a révélé des lacunes dans le cadre de gestion du CIRF, l'évaluation des risques et le plan de surveillance continue, l'évaluation des processus importants et la capacité en matière de CIRF.

Des lacunes ont aussi été décelées lors de la vérification des recettes perçues par l'ASFC de 2019 dans l'examen de l'accès des utilisateurs aux systèmes informatiques utilisés pour percevoir les recettes.

La vérification des contrôles et des processus de rémunération de 2021 a fait ressortir que les contrôles clés des RH à la paye n'étaient pas conçus et documentés efficacement et ne fonctionnaient pas correctement.

12. La vérification interne du CIRF de 2018 a révélé que l'Unité du CI a éprouvé des difficultés à l'égard de la capacité et du taux de roulement du personnel, ce qui a contribué aux lacunes soulevées dans le cadre de cette vérification. Dans le cadre de la présente vérification, le personnel et la direction de l'Unité du CI ont signalé que l'Unité du CI avait continué à éprouver ces difficultés, d'où certaines lacunes relevées dans le présent rapport. Au cours de la dernière année, les cadres ont indiqué que l'équipe s'est stabilisée et que la capacité s'est accrue. En , l'Unité du CI était constituée de trois employés équivalent temps plein.

13. À l'étape de la planification de la vérification, la Division de la vérification interne a cerné des lacunes dans le cadre de gestion du CIRF et le plan de surveillance axé sur les risques. La Division de la vérification interne a été informée que l'Unité du CI était en train d'élaborer un cadre de gestion du CIRF mis à jour et un plan de surveillance du CIRF axé sur les risques. Ces travaux devaient être achevés entre janvier et . Compte tenu des travaux prévus par l'Unité du CI, aucune évaluation approfondie de ces domaines n'a été réalisée dans le cadre de la vérification afin de limiter les chevauchements et le dédoublement des efforts. Le présent rapport de vérification comprend les observations qui ont été soulevées et communiquées à l'Unité du CI à l'étape d'examen au début du mois de .

14. La vérification a été approuvée dans le cadre du Plan de vérification et d'évaluation axé sur les risques de 2021 à 2022.

15. La vérification vise à déterminer si les processus de CIRF sont efficaces pour fournir une assurance raisonnable que les rapports financiers de l'Agence sont exacts et complets.

16. La période visée par la vérification s'étend du au .

17. Éléments inclus dans la portée :

  • le cadre de gestion du CIRF et le plan de surveillance continue axé sur les risques;
  • la documentation, la conception et la mise à l'essai de l'efficacité opérationnelle des activités de contrôle;
  • les contrôles visant à obtenir l'assurance de l'Agence du revenu du Canada (ARC) pour les services reçus dans le cadre de l'entente particulière pour le SAENote de bas de page 4 – le système financier;
  • les mécanismes de surveillance, de production de rapports et de supervision pour le CIRF.

18. Éléments exclus de la portée :

  • l'évaluation des activités de contrôle interne réalisée par l'ARC ou d'autres fournisseurs de services;
  • la réexécution des essais à l'essai des contrôles (conception et efficacité opérationnelle) par l'Unité du CI;
  • l'évaluation de l'exactitude et de l'exhaustivité des états financiers de l'Agence.

19. Méthode :

  • des entrevues avec les principaux intervenants;
  • l'examen du cadre de gestion et des principaux produits du CIRF;
  • un échantillon de quatre principaux domaines de contrôle; (voir la section Évaluation des contrôles internes, Examen de l'échantillon de quatre domaines de contrôle principaux)
  • l'examen des rapports internes et externes sur le CIRF.

Consulter l'annexe C pour les critères de vérification détaillés.

Énoncé de conformité

20. Cette mission de vérification est conforme à la Politique sur la vérification interne et à la Directive sur la vérification interne du Conseil du Trésor ainsi qu'au Cadre de référence international des pratiques professionnelles de l'Institut des auditeurs internes. Des preuves suffisantes et appropriées ont été recueillies au moyen de différentes procédures pour fournir le même degré d'assurance qu'une vérification. La fonction de vérification interne de l'Agence est indépendante et les vérificateurs internes ont effectué leur travail avec objectivité, conformément aux Normes internationales pour la pratique professionnelle de la vérification interne de l'Institut des auditeurs internes.

Opinion de la vérification

21. Un système efficace de CIRF est essentiel pour assurer que les rapports financiers sont exhaustifs et exacts, que les dépenses sont engagées conformément aux pouvoirs et que les ressources financières sont protégées. Même si un système de CIRF est en place à l'Agence, il faut lui prêter attention étant donné qu'il comporte d'importantes lacunes, dont certaines ont été cernées en 2018. Des améliorations doivent être apportées au cadre de gestion du CIRF et à ses méthodes, aux évaluations des contrôles internes ainsi qu'à la surveillance et à la production de rapports pour veiller à ce que l'Agence soit mieux placée pour gérer ses activités de contrôle interne et atténuer ses risques en matière de rapports financiers.

Principales constatations

22. Le cadre de gestion du CIRF de l'Agence a été établi, mais celui-ci était désuet et il n'a pas été communiqué aux principaux intervenants et aux employés.

23. Le plan de surveillance du CIRF n'était pas appuyé par une évaluation des risques et une correspondance des comptes des états financiers avec les processus opérationnels et les principaux domaines de contrôle pour assurer la prise en compte de tous les contrôles clés ayant une incidence sur les rapports financiers.

24. L'Unité du CI a procédé à des évaluations des contrôles internes, mais ces dernières présentaient d'importantes lacunes. La documentation des contrôles ne tenait pas toujours compte de l'ensemble des processus opérationnels ou éléments essentiels, et les principaux domaines de contrôle n'avaient été évalués qu'en partie. Néanmoins, la vérification a permis de constater une amélioration dans l'évaluation des principaux domaines de contrôle ayant fait l'objet d'une évaluation à compter de 2021.

25. Bien que l'Unité du CI ait amélioré son approche pour assurer la surveillance des mesures correctives au cours de la dernière année, l'échantillon de quatre principaux domaines de contrôle a révélé que les lacunes liées aux contrôles internes n'ont pas été surveillées adéquatement pour un des quatre domaines examinés, car il n'existait aucune preuve de surveillance.

26. Alors que les mandats de trois comités incluaient la surveillance des contrôles internes, des rapports n'étaient pas produits régulièrement et ceux-ci ne comprenaient pas tous les renseignements pertinents nécessaires à la surveillance et à la prise de décisions. Suivant les directives prescrites, l'Agence a rendu compte à l'externe des mesures prises par l'Unité du CI à l'égard du CIRF (dans l'annexe aux états financiers) et a fourni des renseignements sur l'état des évaluations des contrôles internes et des mesures correctives. Toutefois, l'information contenue dans les états financiers n'est pas aussi complète et transparente qu'elle pourrait l'être compte tenu des constatations de la présente vérification.

Résumé des recommandations

27. La vérification fait cinq recommandations :

  1. mettre à jour le cadre de gestion du CIRF;
  2. entreprendre une évaluation des risques pour appuyer la préparation d'un plan de surveillance du CIRF axé sur les risques;
  3. effectuer la documentation et l'évaluation des contrôles des principaux domaines de contrôle et conserver les renseignements;
  4. mettre en œuvre un processus permettant d'obtenir l'assurance à l'égard des contrôles internes appliqués par les tiers;
  5. fournir des rapports exhaustifs régulièrement sur le CIRF à la haute direction et à l'externe afin d'appuyer la surveillance et la prise de décisions.

Constatations de la vérification

La vérification a donné lieux aux résultats suivantes.

Cadre de gestion du contrôle interne en matière de rapports financiers

28. Un cadre de gestion du CIRF vise à définir les mesures prises par une organisation en vue de respecter ses objectifs à l'égard du CIRF et les exigences de la Politique. Cela comprend les structures de gouvernance et de responsabilisation et les méthodes appuyant les processus de CIRF. Le cadre devrait être communiqué pour permettre aux intervenants de comprendre leurs rôles et responsabilitésNote de bas de page 5.

29. Attente : Un cadre de gestion du CIRF a été élaboré, approuvé et communiqué conformément aux exigences de la Politique.

30. Un cadre de gestion du CIRF approuvé était en place, mais il n'a pas été actualisé depuis 2015 et n'a pas été communiqué aux principaux intervenants.

Aucune mise à jour n'a été faite pour tenir compte des changements importants qui sont survenus depuis 2015, notamment :

  • la réorganisation de l'Agence;
  • les changements au sein des comités de la haute direction;
  • la mise à jour en 2017 de la Politique sur la gestion financière du CT.

Le cadre ne précisait pas les comités de gouvernance actuellement responsables de surveiller le CIRF, leurs responsabilités et leurs pouvoirs, ni la séquence de communication du CIRF à ces comités.

L'Unité du CI a développé des méthodes provisoires en 2020 pour définir ses lignes directrices et processus en matière de CIRF, mais elles n'ont pas été finalisées et approuvées.

Aucune preuve n'a été fournie pour démontrer que le cadre de gestion était communiqué d'une manière périodique aux comités de gouvernance, aux principaux intervenants et aux employés.

31. L'Unité du CI a indiqué que le manque de capacité et le roulement de personnel ont limité son aptitude à mettre à jour le cadre de gestion du CIRF et les méthodes connexes.

32. La définition des éléments clés du processus de contrôle interne au moyen d'un cadre de gestion est une étape fondamentale indispensable à un processus cohérent. Sans cadre de gestion actualisé et communiqué adéquatement, il est possible que les intervenants ne connaissent pas leurs responsabilités et que les processus ne soient pas suivis de façon uniforme. Cette situation pourrait faire en sorte que le système de contrôle interne ne pourrais peut-être pas prévenir et détecter de manière adéquate les erreurs dans les rapports financiers.

Recommandation no 1 : Conformément à la politique et aux directives du CT, le vice-président (VP) de la Direction générale des finances et de la gestion organisationnelle (DGFGO) devrait :

  • actualiser et approuver le cadre de gestion du CIRF, y compris les processus et les méthodes;
  • communiquer le cadre à la haute direction et aux comités de gouvernance.

Réponse de la direction : Acceptée. Le VP de la DGFGO veillera à ce que le cadre de CIRF de l'Agence soit actualisé en collaboration avec les principaux responsables des processus opérationnels. Le cadre actualisé sera présenté aux comités de gouvernance et à la présidente de l'ASFC pour approbation. Bien que certaines pratiques mentionnées dans le rapport aient été adoptées pendant la période de mobilisation de la Direction de la vérification interne et de l'évaluation des programmes, les recommandations et les plans d'action qui en découlent seront officialisés et mis de l'avant au moyen d'une approche plus cohérente.

Avant la vérification du CIRF, la Division du contrôle interne de la DGFGO avait entamé l'actualisation de son cadre de gestion du CIRF, comme le prévoyait son plan de travail pour 2022 à 2023.

Date d'achèvement :

Surveillance des contrôles internes

33. Les directives du CT exigent que les organismes surveillent les contrôles internes pour veiller à ce que ceux-ci continuent de fonctionner efficacement et comme prévu. Dans ces directives, on recommande aux organismes d'évaluer les contrôles clés à l'aide d'une approche axée sur les risques en réalisant les cinq étapes suivantesNote de bas de page 6.

  1. Évaluation des risques
  2. Plan de surveillance
  3. Évaluation des contrôles internes
  4. Résultats et mesures correctives
  5. Rapports sur les résultats

Évaluation des risques

34. Le processus de surveillance commence par une évaluation des risques associés aux contrôles internes. L'évaluation des risques permet de cerner les processus clés, les éléments des états financiers et les risques en matière de rapports financiers. L'évaluation examine l'importance des contrôles, et oriente l'approche et la fréquence selon lesquelles il faut évaluer chaque domaine de contrôle. Une évaluation complète des risques devrait être réalisée aux trois à cinq ans. L'évaluation devrait ensuite être actualisée chaque année, à l'aide d'une analyse de l'environnementNote de bas de page 7, afin que les modifications apportées aux processus ou à l'environnement soient prises en compte.

35. Attente : Une évaluation des risques associés aux contrôles internes est menée pour appuyer l'élaboration d'un plan de surveillance.

36. L'Unité du CI n'a pas effectué de mises à jour annuelles de l'évaluation des risques et ne disposait pas de renseignements complets et à jour sur les risques pour orienter la planification des activités de surveillance.

La dernière évaluation des risques associés aux contrôles internes réalisée par l'Unité du CI remonte à 2019. Sans mise à jour annuelle, les renseignements relatifs à l'évaluation des risques deviennent désuets et pourraient ne pas orienter de façon fiable la planification des activités de surveillance du CIRF.

La mise en correspondance des comptes des états financiers avec les processus opérationnels et les principaux domaines de contrôles donne l'assurance que la totalité des activités financières importantes est prise en compte dans l'évaluation des risquesNote de bas de page 8. L'évaluation des risques effectuée en 2019 n'était pas étayée par une telle mise en correspondance. En réponse à la vérification, l'Unité du CI a entrepris un exercice de mise en correspondance et l'a communiqué à l'équipe de vérification, mais ne l'a pas encore utilisée pour appuyer l'évaluation des risques (voir l'annexe E pour un exemple de mise en correspondance).

Aucune preuve n'a été fournie pour démontrer que l'évaluation des risques de 2019 avait été confirmée auprès des responsables des processus opérationnels, et communiquée à la haute direction ou aux comités de gouvernance pertinents aux fins d'approbation. Les renseignements relatifs aux risques pourraient ne pas être fiables si ceux-ci n'ont pas été confirmés auprès des intervenants de l'Agence.

37. L'Unité du CI a établi que des améliorations devaient être apportées à l'évaluation des risques et, au moment de la vérification, elle prenait des mesures pour l'actualiser avant .

38. Une évaluation des risques à jour permet de cerner les domaines nécessitant le plus d'attention et sur lesquels la surveillance des contrôles internes devrait se concentrer. Sans cette évaluation, l'Agence pourrait ne pas cerner et remédier les lacunes liées aux contrôles en temps opportun.

39. Voir la recommandation 2, qui suit la section Évaluation des contrôles internes.

Plan de surveillance

40. En se servant des résultats de l'évaluation des risques, les organismes développent un plan de surveillance et le mettent à jour annuellement. Le plan fait correspondre tous les contrôles clés aux domaines communs – principaux domaines de contrôle – et précise le moment où ceux-ci seront évalués. Après avoir obtenu l'approbation, l'Agence publie le plan de surveillance à jour dans le cadre de ses états financiersNote de bas de page 9.

41. Attente : Un plan de surveillance axé sur les risques est établi conformément aux exigences de la Politique.

42. Pour la période visée, l'Unité du CI a développé un plan de surveillance et l'a actualisé chaque année. Cependant, vu qu'aucune mise à jour de l'évaluation des risques n'avait été réalisée depuis 2019, les plans de surveillance des années financières 2020 à 2021 jusqu'à 2022 à 2023 n'étaient pas axés sur les risques.

Le plan de surveillance décrit les évaluations à venir au cours des cinq prochaines années, cernant généralement quatre ou cinq principaux domaines de contrôle ayant été sélectionnés pour l'évaluation chaque année (voir l'annexe D pour un exemple de plan). Cependant, le plan ne spécifiait pas clairement le type d'évaluations qui serait réalisé (voir les types d'évaluations à la section Évaluation des contrôles internes).

L'Unité du CI a confirmé avoir sélectionné des évaluations prévues des principaux domaines de contrôle surtout en fonction du principe de rotation ou de nouvelles priorités, plutôt que de l'approche axée sur les risques prévue dans les directives du CTNote de bas de page 10.

Étant donné qu'aucune mise en correspondance des états financiers avec les processus et contrôles clés n'avait été achevée, la vérification n'a pas permis de confirmer que le plan de surveillance prenait en compte tous les principaux domaines de contrôle et processus opérationnels ayant une incidence importante sur les rapports financiers (voir un exemple concernant les autres recettes et comptes débiteurs).

43. L'Unité du CI a reconnu que des améliorations devaient être apportées au plan de surveillance et, au moment de la vérification, elle prenait des mesures pour actualiser son approche avant .

44. Afin de mettre l'accent sur les plus importants contrôles, les évaluations des contrôles internes devraient être sélectionnées en fonction d'une évaluation des risques à jour et d'une correspondance des comptes financiers avec les contrôles. Cela permet de renforcer l'efficacité globale des activités de surveillance et d'atténuer les risques en matière de rapports financiers.

45. Voir la recommandation 2, qui suit la section Évaluation des contrôles internes.

Évaluation des contrôles internes

46. Chaque domaine de contrôle principal devrait être évalué en suivant les étapesNote de bas de page 11 énoncées ci-après selon le moment précisé dans le plan. La surveillance continue des contrôles internes commence une fois que l'organisme a complété son évaluation initiale des contrôles.

a) Documentation des contrôles : les processus opérationnels et contrôles internes sont cernés et documentés. La documentation permet de définir les intervenants, les systèmes, les activités ainsi que les contrôles et risques connexes liés aux processus opérationnels, proposant ainsi des données de référence pour l'évaluation de l'efficacité des contrôles internes.

b) Évaluation de l'efficacité :

L'évaluation de l'efficacité de la conception permet de déterminer si une variété adéquate de contrôles est en place pour atténuer les risques associés à certains processus opérationnels. Cette évaluation confirme si les contrôles en place sont appropriés ou s'ils doivent être adaptés pour en assurer l'efficacité, en procédant à des ajouts ou en modifiant la conception des contrôles existants. Par exemple, l'évaluation de l'efficacité de la conception pourrait révéler qu'un contrôle visant à examiner de façon périodique l'accès des utilisateurs à un système informatique essentiel est manquant, et que celui-ci doit être établi pour atténuer le risque que les données soient exposées à un accès non autorisé.

L'évaluation de l'efficacité opérationnelle détermine si les contrôles fonctionnent comme prévu. Elle confirme si les contrôles sont uniformément appliqués pour atténuer les risques et produire les résultats escomptés. Par exemple, l'évaluation de l'efficacité opérationnelle peut conclure que l'examen périodique de l'accès à un important système informatique faisait partie des procédures documentées, mais n'était pas effectué.

c) Mesures correctives : Lorsque l'évaluation des contrôles révèle des lacunes dans le processus, l'Unité du CI formule des recommandations pour les corriger. Les responsables des processus opérationnels y répondent en dressant des plans d'action pour corriger les faiblesses observées, et l'Unité surveille leur mise en œuvre et possiblement réévalue les contrôles. L'application des mesures correctives permet de veiller à ce que les contrôles demeurent efficaces et à ce que les risques cernés soient atténués.

47. Attente : Les contrôles principaux sont documentés et l'efficacité de leur conception ainsi que leur efficacité opérationnelle sont évaluées conformément au plan de surveillance continue approuvé.

48. Notre examen de la documentation des contrôles et les résultats des évaluations réalisées par l'Unité du CI ont a révélé des lacunes dans les évaluations des contrôles. Trois des 13 principaux domaines de contrôle du plan de surveillance ont été entièrement documentés et évalués pour en évaluer l'efficacité conceptuelle et l'efficacité opérationnelle (voir le Tableau 1 : Évaluation des contrôles internes).

La documentation des contrôles de quatre principaux domaines de contrôle était désuète et la correspondance avec les processus opérationnels compris dans ces domainesNote de bas de page 12 était manquante. Par conséquent, la vérification n'a pas permis de déterminer si tous les processus opérationnels avaient été documentés et évalués.

Par exemple, les modifications apportées aux processus opérationnels et aux contrôles du domaine de contrôle principal que sont les autres recettes et comptes débiteurs n'ont pas été clairement documentées (voir plus de détails à la section Évaluation des contrôles internes, Échantillon : autres recettes et comptes débiteurs).

Certains des principaux domaines de contrôle ont été documentés et évalués pour déterminer l'efficacité opérationnelle, mais aucune information n'a été fournie pour démontrer que des évaluations de l'efficacité de la conception avaient été réaliséesNote de bas de page 13. Les contrôles dont seule l'efficacité opérationnelle a été évaluée peuvent avoir été mal conçus, ce qui les rend potentiellement inefficaces même s'ils sont appliqués comme prévu.

Pour quelques domaines de contrôle, des évaluations ont été effectuées sur certains sous-processus plutôt que sur l'ensemble du domaine de contrôle : l'assurance à l'égard de ces domaines est donc partielleNote de bas de page 14.

L'Unité du CI a réalisé jusqu'à trois des cinq évaluations prévues. De nombreuses évaluations des contrôles internes ont été reportées ou se sont étendues sur plusieurs années (voir « Retard des évaluations » dans le tableau 1). Cette situation n'est pas optimale pour garantir que les contrôles et le système de CIRF fonctionnent efficacement.

49. Sans une évaluation approfondie et opportune des contrôles principaux, il est possible que la surveillance des contrôles internes ne soit pas efficace. Cela pourrait empêcher l'Agence de cerner et de corriger les lacunes en matière de contrôle pouvant nuire à l'exhaustivité et à l'exactitude des rapports financiers ainsi qu'à la conformité aux pouvoirs financiers, ou potentiellement entraîner des pertes financières.

Recommandation no 2 : Conformément à la politique et aux directives du CT, en vue de renforcer le plan de surveillance de l'Agence actuellement en place, le VP de la DGFGO devrait :

  • mettre en correspondance les comptes des états financiers avec les processus opérationnels et les principaux domaines de contrôle;
  • effectuer une évaluation complète des risques, y compris les risques de fraude, et l'actualiser chaque année suivant une analyse de l'environnement pour appuyer la préparation d'un plan de surveillance du CIRF fondé sur les risques;
  • accorder la priorité aux domaines de contrôle principaux qu'il reste à évaluer.

Réponse de la direction : Acceptée. Le VP de la DGFGO veillera à ce que l'on mène à bien l'évaluation de tous les principaux contrôles, en accordant la priorité à ceux qu'il reste à évaluer, et à ce que l'on conserve l'information pertinente en conséquence. On réalisera une évaluation des risques associés aux principaux processus de CIRF qui sera consignée dans le cadre, en plus de mettre en correspondance les principaux comptes des états financiers avec les domaines de contrôle principaux. Après examen des conclusions du rapport de vérification et de l'évaluation actualisée des risques associés aux principaux processus, la Division du contrôle interne prendra des mesures appropriées pour veiller à corriger les lacunes relevées et à les documenter dans le cadre de son plan de surveillance continue. Ces mesures concrètes fourniront à la présidente l'assurance raisonnable qu'il y a des mesures appropriées en place visant à tenir à jour un système efficace de CIRF muni de contrôles bien documentés, qui fonctionnent efficacement et comme prévu.

Date d'achèvement :

Recommandation no 3 : Conformément à son plan de surveillance des CIRF, le VP de la DGFGO devrait procéder à l'évaluation des contrôles de tous les domaines de contrôle principaux en œuvre et conserver les renseignements de l'évaluation pour mieux soutenir la fonction de contrôle interne.

Réponse de la direction : Acceptée. Le VP de la DGFGO veillera à ce qu'on surveille les contrôles internes de tous les principaux domaines de contrôle en œuvre et qu'on conserve et consigne les preuves concernant l'évaluation.

Date d'achèvement :

50. Le tableau ci-dessous montre l'état de la documentation et de l'évaluation pour chaque domaine de contrôle principal dans le plan de surveillance de l'Agence pour la période visée.

Tableau 1 : Évaluation des contrôles internes, de 2018 à 2019 à 2022 à 2023, en date de
Domaine de contrôle principal Évaluation initialement prévue État et échéancierNote de tableau 1 Retard des évaluations (en années) Prochaine évaluation prévue
Documentation des contrôles Évaluation de l'efficacité de la conception Évaluation de l'efficacité opérationnelle
Contrôles à l'échelle de l'entité (Terminée) 2018 à 2019 Terminée 2019 Terminée 2019 Terminée 2019 S.O. 2023 à 2024 (reportée de 2020 à 2021)
CGTI gérés par l'ASFC 2020 à 2021 Terminée partiellement 2022 Terminée partiellement 2022 Terminée partiellement 2022 1 2025 à 2026
Contrôles de processus opérationnels
Gestion des cotisations et des recettes de l'ASFC (GCRA) Pas encore due En cours Pas encore due Pas encore due S.O. 2023 à 2024
Autres recettes et comptes débiteurs 2020 à 2021 Terminée partiellement plusieurs années Terminée partiellement 2019 Pas terminée 1 2023 à 2024
Paie et avantages sociaux (Terminée) 2018 à 2019 Terminée 2019 et 2022 Terminée 2021 Terminée 2023 2 2023 à 2024
Comptes créditeurs et paiements 2020 à 2021 Terminée partiellement 2022 Terminée partiellement
2022 à 2023		 Terminée partiellement 2023 2 2025 à 2026
Immobilisations 2020 à 2021 Terminée partiellement 2022 Pas terminée Terminée 2021 S.O. 2024 à 2025
Gestion de projets 2018 à 2019 Terminée 2020 Pas terminée Terminée 2021 2 2024 à 2025 (reportée de 2023 à 2024)
Budgétisation et prévisions (Terminée) 2018 à 2019 Terminée 2019 Terminée 2019 Terminée 2019 S.O. 2024 à 2025
Clôture financière et rapports 2018 à 2019 Terminée partiellement 2017 Terminée partiellement 2016 Terminée partiellement 2018 S.O. 2023 à 2024 (reportée de 2022 à 2023)
Établissement des coûts 2022 à 2023 Terminée 2022 Terminée 2022 Pas encore due S.O. 2025 à 2026
Attestation du DPF 2022 à 2023 Terminée 2022 Terminée 2022 Pas encore due S.O. 2025 à 2026
Planification des investissements 2024 à 2025 Terminée 2020 Pas encore due Pas encore due S.O. 2024 à 2025
Examen de l'échantillon de quatre domaines de contrôle principaux

51. Afin de mieux comprendre l'efficacité des évaluations effectuées par l'Unité du CI, un échantillon de quatre domaines de contrôle principaux a été examiné lors de la vérification. Les domaines de contrôle principaux sélectionnés sont les suivants :

  • CGTI gérés par l'ASFC;
  • immobilisations;
  • clôture financière et rapports;
  • autres recettes et comptes débiteurs.

52. Pas le biais de cet échantillon, la vérification a examiné la documentation des contrôles et les résultats de l'évaluation de l'efficacité de la conception et de l'efficacité opérationnelle. Plus précisément, ont été examinés la documentation des rôles et responsabilités associés aux domaines de contrôle principaux, la prise en compte des risques de fraude et les contrôles prévus pour les atténuer, ainsi que la qualité et l'exhaustivité des évaluations des contrôles internes effectuées par l'Unité du CI.

Les résultats de l'examen ont fait ressortir le fait que la documentation des contrôles ne tenait pas toujours compte de l'ensemble des processus opérationnels ou éléments essentiels, et que l'efficacité de la conception des principaux domaines de contrôle n'avait pas été évaluée ou ne l'avait été qu'en partie.

Quoi qu'il en soit, la vérification a révélé que les domaines de contrôle principaux qui ont été évalués plus récemment (depuis 2021) étaient plus complets que ceux qui ont été évalués en 2019, ce qui dénote une amélioration.

Échantillon : Contrôles généraux des TI gérés par l'ASFC

53. Les CGTI sont les contrôles qui régissent le développement, l'entretien et l'exploitation des systèmes de technologie de l'information (TI), dans le but d'en assurer la fiabilité et le bon fonctionnement. L'efficacité des contrôles des applications informatiques et des contrôles des processus opérationnels dépend de l'efficacité des CGTI. La restriction de l'accès administratif des utilisateurs est un exemple de CGTI. Dans le cas des systèmes informatiques qui sont exploités en interne, les CGTI doivent être appliqués et évalués en interne par l'ASFC. Quant aux systèmes informatiques qui sont impartis ou partagés avec des fournisseurs tiers, l'Agence devrait obtenir l'assurance de l'efficacité des CGTI qui s'y appliquentNote de bas de page 15.

54. Dans l'échantillon, la vérification a permis de voir que l'Unité du CI a procédé à une documentation et à une évaluation partielles des CGTI gérés par l'ASFC (c'est-à-dire les CGTI associés aux systèmes exploités en interne), puisqu'elles n'ont été effectuées que pour un seul système : le Système administratif d'entreprise (SAE).

55. Pour le principal système financier de l'Agence, le SAE :

  • les CGTI associés aux systèmes exploités en interne ont été documentés;
  • la documentation incluait des contrôles contre la fraude et les rôles et responsabilités étaient assignés pour chaque contrôle;
  • l'évaluation de l'efficacité de la conception et opérationnelle ont été faites.

56. Les CGTI applicables aux autres systèmes informatiques exploités par l'ASFC, tels que le Grand livre des comptes clients (GLCC)Note de bas de page 16 et le Système de traitement des déclarations des voyageurs (STDV), n'ont pas été documentés ni testés dans ce domaine de contrôle principal, étant donné que l'Unité du CI a déterminé que la portée des CGTI était limitée au SAE.

57. Le défaut d'évaluer les CGTI des autres systèmes financiers pourrait compromettre leur intégrité et leur fiabilité, et par conséquent fournir une assurance partielle à l'égard du contrôle interne des rapports financiers présentés à la haute direction.

58. Les CGTI assurent l'intégrité et la fiabilité des systèmes informatiques. Sans une application et une évaluation adéquates des CGTI pour tous les systèmes financiers principaux, l'Agence peut perdre sa capacité à se fier à ces systèmes pour produire des rapports financiers exhaustifs et exacts.

Assurance concernant les CGTI de l'Agence du revenu du Canada

59. Le système financier SAE de l'ASFC compte sur les services informatiques fournis par l'Agence du revenu du Canada (ARC) en vertu d'une entente de service préciseNote de bas de page 17. Afin d'assurer la fiabilité de ce système, l'ARC doit effectuer et évaluer les CGTI qui s'appliquent aux composantes informatiques qu'elle exploite. Étant donné le rôle crucial que joue le SAE dans la production des rapports financiers de l'ASFC, celle-ci devrait obtenir la confirmation de l'ARC qu'elle évalue ces CGTI pour en assurer l'efficacité.

60. Attente : Des contrôles sont en place pour obtenir une assurance de l'ARC quant aux services fournis en vertu de l'entente de service.

61. Avant 2020, l'Unité du CI surveillait les résultats des évaluations des CGTI effectuées par l'ARC. Cependant, aucune documentation à l'appui d'une telle surveillance n'a été fournie. Depuis 2020 à 2021, l'Unité du CI a cessé cette pratique.

Depuis 2020 à 2021, les activités de surveillance des CGTI ont porté sur les contrôles qui sont gérés par l'ASFC. L'obtention de l'assurance de l'ARC en tant qu'activité de surveillance à compter de 2020 à 2021 ne figurait pas dans le plan de surveillance.

L'Unité du CI et le responsable des processus opérationnels du SAE n'avaient pas de rôles et de responsabilités officiellement convenus avec l'ARC afin d'obtenir une assurance pour les contrôles gérés par l'ARC.

62. L'obtention de l'assurance de l'ARC au sujet de l'évaluation de ces contrôles fournirait à l'ASFC la confirmation de la fiabilité du système.

63. L'assurance des fournisseurs de services concernant l'efficacité des CGTI contribue à garantir que les services informatiques reçus répondent aux besoins de l'ASFC et peuvent être utilisés de manière fiable pour produire des rapports financiers.

Recommandation no 4 : Le VP de la DGFGO devrait mettre en place un processus de surveillance périodique des évaluations des contrôles internes menées par les fournisseurs de services tiers qui ont une incidence sur les rapports financiers de l'ASFC.

Réponse de la direction : Acceptée. Le VP de la DGFGO veillera à ce qu'on communique périodiquement à la Direction du contrôleur de l'Agence les preuves concernant les évaluations des contrôles internes menées par les fournisseurs de services tiers, de façon à appuyer la déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers.

Date d'achèvement :

Échantillon : immobilisations

64. Les immobilisations sont des biens qui peuvent être acquis, construits ou développés et qui sont destinés à un usage continu, et non à la vente dans le cadre des activités courantesNote de bas de page 18. Le domaine de contrôle principal des immobilisations couvre les processus et les contrôles opérationnels servant à gérer la construction, l'exploitation, l'entretien et l'aliénation des immobilisations de l'Agence et à rendre des comptes à leur sujet. La vérification annuelle des immobilisations détenues est un exemple de contrôle des immobilisations.

65. L'échantillon ayant servi à la vérification a démontré que l'Unité du CI a partiellement documenté et évalué les contrôles principaux applicables aux immobilisations.

La documentation des contrôles n'a pas explicitement assigné des responsabilités pour tous les contrôles. Pour quelques contrôles, elle indique que l'ASFC est l'entité responsable, au lieu d'indiquer un bureau de première responsabilité. Lorsque la responsabilité n'est pas assignée à un bureau ou à une personne, il se peut que le contrôle soit omis.

La documentation comprend des contrôles contre les fraudes, qui aident à détecter et à prévenir les fraudes relatives à la gestion des immobilisations et à la reddition de comptes à leur sujet.

Bien que l'efficacité opérationnelle des contrôles ait été évaluée pour s'assurer que ceux-ci fonctionnent comme prévu, rien ne montre que l'efficacité de la conception a elle aussi été évaluée dans ce domaine de contrôle principal. Sans évaluation de la conception, même si les contrôles sont appliqués comme prévu, ils peuvent être mal conçus et donc inefficaces.

66. Une documentation incomplète et une évaluation partielle des contrôles peuvent entraîner des lacunes dans les contrôles sur les plans de la reddition de comptes et de la gestion des immobilisations, ce qui fait croître le risque d'inexactitudes dans les rapports financiers de l'Agence.

Échantillon : clôture financière et rapports

67. Le domaine « clôture financière et rapports » correspond aux processus financiers et comptables suivis à la fin de l'exercice financier et lors de la préparation des rapports financiers. L'examen du codage et des rapprochements du grand livre visant à assurer l'exactitude et la cohérence des rapports est un exemple de contrôle de la clôture financière et des rapports.

68. Cet échantillon a révélé que l'Unité du CI a documenté et évalué partiellement les contrôles principaux dans ce domaine.

La documentation des contrôles et l'évaluation de l'efficacité opérationnelle ont été réalisées pour deux des quatre sous-processus dans le domaine de contrôle « clôture de fin d'exercice et rapports des comptes publics ». Aucune preuve d'évaluation n'a été fournie pour les deux autres sous-processus, à savoir « état des résultats prospectifs » et « rapports financiers trimestriels ». L'absence de documentation des contrôles augmente la probabilité que les contrôles ne soient pas appliqués.

Pour chaque contrôle des deux sous-processus documentés, les rôles et les responsabilités étaient clairement assignés et comprenaient des contrôles contre les fraudes, ce qui contribue à garantir que les contrôles sont appliqués et que leur efficacité peut être évaluée.

L'efficacité opérationnelle des deux contrôles principaux des deux sous-processus documentés a été évaluée afin de s'assurer que ces contrôles fonctionnent comme prévu. Cependant, les preuves des tests d'efficacité de la conception n'étaient disponibles que pour l'un des deux sous-processus documentés (états financiers). Il peut y avoir des lacunes dans la façon dont les contrôles sont conçus pour l'autre sous-processus (rapports sur les comptes publics).

69. La documentation incomplète et l'évaluation partielle des contrôles peuvent se traduire par une incapacité de prévenir ou de détecter les erreurs dans les rapports financiers.

Échantillon : autres recettes et comptes débiteurs

70. L'ASFC perçoit des droits et des taxes à la frontière au nom du gouvernement du Canada et d'autres partenairesNote de bas de page 19, pour un total de plus de 30 milliards de dollars de recettes administrées annuellementNote de bas de page 20. Depuis 2010, l'Agence modernise les systèmes utilisés pour gérer les recettes à la frontière grâce à la mise en œuvre du projet de Gestion des cotisations et des recettes de l'ASFC (GCRA)Note de bas de page 21 qui devait être achevé d'ici 2023. Le GLCC a été introduit comme phase 1 du projet de GCRA en 2016. Deux domaines de contrôle principaux sont associés à ces activités : autres recettes et comptes débiteurs, et GCRA.

71. L'échantillon a révélé que l'Unité du CI n'avait pas une documentation complète dans les domaines de contrôle principaux des autres recettes et comptes débiteurs et de la GCRA. De plus, elle a réalisé une évaluation limitée des contrôles pendant la période visée.

L'Unité du CI avait une documentation partielle ou périmée pour les deux domaines de contrôle principaux et n'avait pas d'information indiquant quels processus opérationnels étaient inclus dans chacun des deux domaines. Sans documentation complète des contrôles, il se peut que les contrôles ne soient pas uniformément appliqués, ce qui complique l'évaluation de leur efficacité.

Seule une évaluation partielle a été effectuée pour les deux domaines, lorsque l'efficacité de la conception pour le GLCC a été évaluée en 2019 comme produit livrable du projet de GCRA. La portée de l'évaluation ne couvrait pas tous les processus opérationnels potentiels pour les autres recettes et comptes débiteurs et la GCRA, tels que le processus de remboursement. L'évaluation a révélé des lacunes majeures dans la conception des contrôles, mais aucune information n'a été fournie pour démontrer que l'Unité du CI a surveillé la mise en œuvre de mesures correctives. Les évaluations partielles fournissent une assurance limitée quant aux domaines de contrôle.

L'évaluation de l'efficacité opérationnelle des contrôles n'a pas été réalisée pendant la période visée. Cela ne fournit pas l'assurance que les contrôles fonctionnent efficacement et empêchent les erreurs, les fraudes et les pertes financières en ce qui concerne la perception de recettes et les comptes débiteurs.

Étant donné la mise en œuvre prévue du projet de GCRA et les changements attendus dans les processus, l'Unité du CI a reporté l'évaluation de ces deux domaines de contrôle, car elle estimait que l'évaluation des processus, à ce moment-là, présentait peu de valeur. Cependant, rien ne montre que le manque de surveillance sur les contrôles dans ce domaine a été communiqué avec transparence, ce qui peut avoir procuré aux intervenants une assurance injustifiée.

72. Étant donné l'importance des recettes administrées par l'Agence, il est essentiel que des contrôles soient en place et fonctionnent comme prévu. Les évaluations incomplètes des contrôles fournissent une assurance limitée quant à l'efficacité de ces contrôles, ce qui peut entraîner une perte de fonds amassés au nom du gouvernement du Canada et d'autres partenaires ainsi que des inexactitudes dans les rapports financiers.

Résultats et mesures correctives

73. À la suite de l'évaluation des contrôles internes, les résultats de l'évaluation devraient être communiqués aux responsables des processus opérationnels. Si des lacunes sont observées dans les contrôles, la gestion devrait rapidement prendre des mesures correctives. L'Unité du CI travaille avec les responsables des processus opérationnels pour élaborer un plan d'action afin de corriger les lacunes et surveille l'achèvement du planNote de bas de page 22.

74. Attente : Les résultats des évaluations des contrôles internes sont communiqués aux responsables des processus opérationnels, et une surveillance assure la correction des lacunes.

75. L'examen de l'échantillon a montré que l'Unité du CI a communiqué les résultats des évaluations aux responsables des processus opérationnels et surveillé la mise en œuvre des plans d'action de la direction pour corriger les lacunes sur le plan des contrôles, mais pas pour les quatre domaines de contrôle principaux examinés (voir le tableau 2 : Résultats de l'échantillon – évaluation des contrôles internes pour en savoir plus).

Pour deux des quatre domaines de contrôle principaux examinés, CGTI gérés par l'ASFC et immobilisations :

  • l'Unité du CI a transmis les résultats des évaluations aux responsables des processus opérationnels;
  • les responsables des processus opérationnels ont préparé des plans d'action de la direction visant à corriger les lacunes observées;
  • l'Unité du CI a surveillé la mise en œuvre des mesures correctives.

En ce qui concerne la clôture financière et les rapports, aucun plan d'action de la direction n'a été exigé par l'Unité du CI, parce que les lacunes étaient jugées à faible risque.

Pour le domaine de contrôle des autres recettes et comptes débiteurs, aucune information sur un plan d'action de la direction n'a été fournie et aucune information ne démontrait que l'Unité du CI avait surveillé la mise en œuvre des mesures correctives. La surveillance garantit que les mesures correctives sont prises comme prévu.

76. En , l'Unité du CI a renforcé son approche de la surveillance et du suivi des plans d'action restants en mettant en place un nouveau processus de suivi. Ce processus consiste à faire un suivi auprès des responsables des processus opérationnels au sujet des plans d'action qui arrivent à échéance et à obtenir de l'information démontrant que les mesures ont été prises.

77. L'établissement de plans d'action de la direction et la surveillance de leur mise en œuvre garantissent que les lacunes sont corrigées. Si les lacunes dans les contrôles ne sont pas corrigées, cela peut entraîner des transactions erronées ou non autorisées susceptibles de causer des pertes financières et des dommages à la réputation.

Échantillon : résultats

78. Le tableau ci-dessous présente les résultats de l'échantillon de la vérification.

Tableau 2 : Résultats de l'échantillon – évaluation des contrôles internes
Domaine de contrôle principal Année de l'évaluation Documentation sur les contrôles Évaluation Résultats et mesures correctives
Contrôles documentés Rôles et responsabilités Contrôles des risques de fraude Efficacité de la conception Efficacité opérationnelle Communication des résultats aux responsables des processus opérationnels Surveillance des plans d'action de la direction
CGTI gérés par l'ASFC 2022 Terminée partiellement Terminée Terminée Terminée partiellement Terminée partiellement Terminée Terminée
Immobilisations 2021 Terminée partiellement Terminée partiellement Terminée Pas terminée Terminée Terminée Terminée
Clôture financière et rapports 2016 à 2019 Terminée partiellement Terminée Terminée Terminée partiellement Terminée partiellement Terminée Pas encore due
Autres recettes et comptes débiteurs 2019 Terminée partiellement Pas terminée Pas terminée Terminée partiellement Pas terminée Pas terminée Pas terminée

Rapports sur les résultats

79. Lorsque les évaluations des contrôles internes sont effectuées et que les mesures correctives sont prises, l'Unité du CI devrait faire état de la situation générale des activités du CIRF à la haute direction. Les rapports permettent à la haute direction de surveiller les contrôles internes et de prendre des décisions les concernant, et ultimement d'attester de leur efficacitéNote de bas de page 23.

80. Attente : Les activités du CIRF sont communiquées en interne (dans des forums de gouvernance et par l'intermédiaire des intervenants) afin de soutenir une bonne surveillance et la prise de décisions éclairées.

81. Pour la période visée, trois comités de gouvernance établis ont fourni une surveillance du CIRF au sein de l'Agence :

  • le comité Un service financier au niveau des directeurs généraux, présidé par le DPF;
  • le Comité de gestion des finances et des investissements au niveau des vice-présidents, présidé par le président;
  • le Comité de vérification composé de membres externes et du DPF qui fournissent des conseils au président.

82. L'examen des comptes rendus de décisions de ces comités de gouvernance a montré que l'Unité du CI n'a pas fourni de rapports réguliers et exhaustifs aux comités.

Le Comité de vérification a reçu des rapports réguliers sur le CIRF, mais pas les deux autres comités, à savoir le Comité de gestion des finances et des investissements et Un service financier.

Aucun des trois comités n'a reçu de l'information complète pour fournir une surveillance et appuyer le processus décisionnel concernant l'efficacité du CIRF. L'information fournie n'abordait pas de manière cohérente :

  • les principaux risques pouvant avoir des répercussions sur le système de CIRF;
  • l'état complet de la documentation, de l'évaluation ou des correctifs dans tous les domaines de contrôle principaux;
  • l'état de tous les plans d'action de la gestion qui n'ont pas encore été mis en œuvre;
  • les retards dans la réalisation des évaluations des contrôles et les progrès généraux par rapport au plan de surveillance.

83. Sans rapports réguliers et transparents, la haute direction ne peut pas assurer une surveillance adéquate et prendre des décisions éclairées au sujet des contrôles internes, ce qui peut nuire à la réalisation des objectifs et à l'efficacité du système de CIRF.

84. En plus des rapports à la haute direction, la politique du CT exige que les ministères et organismes fassent publiquement état de l'efficacité du système de CIRF dans leurs états financiers annuels, inclus dans l'annexe à la Déclaration de responsabilité de la direction. L'annexe doit contenir un résumé des mesures prises pour maintenir un système de CIRF efficace, les résultats des évaluations réalisées et l'état des mesures correctivesNote de bas de page 24.

85. Attente : Les activités de CIRF sont communiquées à l'externe (avec la publication des états financiers) conformément aux exigences de la Politique.

86. L'ASFC publie chaque année les résultats de l'efficacité de son système de CIRF dans l'annexe à la Déclaration de responsabilité de la direction.

87. La vérification a permis de constater que pour la période visée, l'annexe donnait de l'information sur l'état des évaluations des contrôles internes et des mesures correctives selon les directives prescrites.

88. D'après les renseignements contenus dans l'annexeNote de bas de page 25, l'Agence aurait établi une gouvernance et un cadre pour le CIRF, notamment une communication et une formation continue, un plan de surveillance fondé sur les processus à risque élevé ainsi qu'une surveillance régulière et des mises à jour à la haute direction et au Comité de vérification.

89. Toutefois, selon les résultats de cette vérification, l'information déclarée dans les énoncés n'est pas aussi complète et transparente qu'on pourrait le croire étant donné que le cadre de gestion du CIRF est désuet et non communiqué, le manque de mises à jour annuelles des évaluations des risques pour appuyer le plan de surveillance et les rapports irréguliers et incomplets soumis à la haute direction.

90. Les Canadiens s'attendent à une transparence et à une reddition de comptes à l'égard de la façon de dépenser les fonds publics et à ce que les ressources financières soient bien gérées. Étant donné que les états financiers et l'annexe à la Déclaration de responsabilité de la direction sont publics, il est important qu'ils représentent avec exactitude l'état du système de contrôle interne de l'Agence.

Recommandation no 5 : Le VP de la DGFGO devrait présenter des rapports complets et réguliers aux comités concernés de la haute direction, au Comité de vérification et à l'externe sur l'état du système de CIRF et les évaluations des contrôles internes, y compris les risques, le plan de surveillance et les écarts par rapport à celui-ci.

Réponse de la direction : Acceptée. Le VP de la DGFGO supervisera un processus par lequel seront présentés périodiquement, aux comités de gouvernance internes requis et à l'externe, des rapports complets et réguliers sur les évaluations du CIRF et des contrôles internes. Les comités de gouvernance concernés consigneront et approuveront également le plan de surveillance et les principales modifications et mises à jour apportées à celui-ci.

Date d'achèvement :

Conclusion

91. Afin d'assurer l'exhaustivité et l'exactitude des rapports financiers, l'autorisation des dépenses et la protection des ressources financières, il est crucial d'avoir un système efficace de contrôle interne en matière de rapports financiers. Cette vérification a montré qu'il existe des lacunes majeures dans le système de contrôle interne en matière de rapports financiers de l'Agence et que celles observées dans la vérification de 2018 n'ont toujours pas été corrigées.

92. L'attention de la direction est requise pour renforcer le système de contrôle interne en matière de rapports financiers de l'Agence dans ces domaines :

  • le cadre de gestion du contrôle interne en matière de rapports financiers et les méthodes qui l'appuient;
  • les mises à jour annuelles des évaluations des risques pour soutenir le plan de surveillance;
  • l'évaluation des domaines de contrôle principaux qui n'ont pas été documentés, qui ont été partiellement évalués ou pour lesquels des preuves étaient manquantes;
  • la surveillance des contrôles appliqués par les fournisseurs de services tiers;
  • la présentation de rapports réguliers, complets et transparents aux comités de gouvernance et à l'externe.

93. Au cours de la dernière année, l'Unité du CI a pris des mesures pour stabiliser et améliorer la fonction de contrôle interne. La poursuite de la correction des lacunes observées haussera l'efficacité du système de CIRF de l'Agence.

Annexe A : Vérifications antérieures

Vérification interne du contrôle interne en matière de rapports financiers (2018)Note de bas de page 26

A examiné l'efficacité des processus de CIRF (gouvernance, évaluation des risques, conception et évaluation des contrôles, surveillance).

A pris fin à la phase de planification parce que le domaine n'a pas été jugé assez mature pour une vérification. Les observations recueillies pendant la phase de planification ont été transmises à la direction pour contribuer à faire évoluer le cadre de CIRF.

Les domaines qui exigeaient une amélioration étaient liés à l'actualisation des rôles et des responsabilités des principaux intervenants dans le CIRF, à la communication du plan de contrôle interne fondé sur les risques aux intervenants de l'Agence pour s'aligner sur les priorités, à l'évaluation du CIRF annuel des processus importants et à l'élaboration de plans pour appuyer la capacité de CIRF.

Aucune recommandation n'a été formulée.

Vérification interne des recettes perçues par l'ASFC (2019)Note de bas de page 27

A examiné la collecte, le stockage et le dépôt des recettes perçues par l'Agence.

A mis en relief les directives et les normes désuètes pour les processus relatifs aux recettes, les lacunes dans l'examen de l'accès des utilisateurs aux systèmes informatiques utilisés dans la collecte des recettes, et un système désuet utilisé pour la collecte des recettes du côté des voyageurs (le Système de traitement des déclarations des voyageurs [STDV]).

A recommandé l'actualisation des politiques et des directives, y compris la détermination des contrôles principaux et des exigences de documentation, et un examen périodique de l'accès des utilisateurs du STDV et au GLCC.

La Direction générale des finances et de la gestion organisationnelle a achevé son plan d'action de la direction au deuxième trimestre de 2021 à 2022.

Vérification interne des processus et des contrôles de la rémunération (2021)Note de bas de page 28

A évalué l'adéquation et l'efficacité de la gouvernance et des contrôles du processus des RH à la paye.

A fait ressortir des lacunes dans le cadre de contrôle interne des RH à la paye : plus de la moitié des contrôles n'étaient pas conçus, documentés ou exploités efficacement.

A recommandé de corriger les lacunes dans la documentation et la conception des contrôles du cadre de contrôle interne des RH à la paye et d'évaluer régulièrement l'efficacité opérationnelle des contrôles.

La Direction générale des finances et de la gestion organisationnelle a achevé son plan d'action de la gestion pour cette recommandation au quatrième trimestre de 2021 à 2022.

Annexe B : Évaluation des risques

Une évaluation préliminaire des risques a été effectuée afin de déterminer, d'analyser et d'évaluer les secteurs présentant les risques les plus élevés et d'établir l'ordre de priorité des secteurs d'intérêt pour cette vérification. Par conséquent, les principaux domaines de risque suivants ont été cernés.

Résumé des risques
Résumé des risques
Risque 1 Le cadre de gestion du CIRF et le plan de surveillance continue axé sur les risques pourraient ne pas être établis et respectés.
Risque 2 La documentation des contrôles, la conception et la mise à l'essai de l'efficacité opérationnelle des principaux domaines de contrôle pourraient ne pas être effectuées ou ne pas atteindre les normes requises.
Risque 3 La surveillance des plans d'action de la direction et la correction des lacunes du contrôle interne pourraient être insuffisantes.
Risque 4 Les rapports et la surveillance des activités du CIRF pourraient ne pas être adéquats.
Risque 5 L'assurance relative aux services fournis par l'Agence du revenu du Canada pourrait être insuffisante.

Annexe C : Critères de vérification détaillés

Compte tenu des risques préliminaires identifiés lors de la phase de planification, les critères suivants ont été retenus.

Critères de vérification
Secteurs d'examen Critères de vérification

1. Un cadre de gestion du CIRF est établi.

1.1 Un cadre de gestion du CIRF est élaboré, approuvé et communiqué conformément aux exigences de la Politique.

2. Les activités du CIRF sont menées conformément au plan de surveillance continue du CIRF.

2.1. Un plan de surveillance continue du CIRF axé sur les risques est établi conformément aux exigences de la Politique.

2.2. Les contrôles clés sont documentés et leur conception et leur efficacité opérationnelle sont mises à l'essai conformément au plan de surveillance continue approuvé.

2.3. Une surveillance est effectuée afin de s'assurer que les lacunes sont corrigées.

2.4. Des contrôles sont en place pour obtenir une assurance de l'Agence du revenu du Canada (ARC) à l'égard des services fournis en vertu de l'entente de service.

3. Les activités de rapport et de surveillance liées au CIRF sont exécutées.

3.1 Les activités du CIRF sont communiquées à l'interne (par l'entremise des mécanismes de gouvernances et des intervenants) et à l'externe (grâce à la publication des états financiers) afin d'appuyer la prise de décisions et la surveillance judicieuses.

Annexe D : Plan de surveillance continue du contrôle interne en matière de rapports financiers de l'Agence des services frontaliers du Canada, 2022 à 2023

Plan de surveillance continue du contrôle interne en matière de rapports financiers de l'Agence des services frontaliers du Canada, 2022 à 2023
Principaux domaines de contrôle 2022 à 2023 2023 à 2024 2024 à 2025 2025 à 2026 2026 à 2027
Contrôles au niveau de l'entité applicable applicable
Contrôles généraux de la TI gérés par l'ASFC applicable applicable
Gestion des cotisations et des recettes de l'ASFC (GCRA) (Voir note 1) applicable applicable
Autres recettes et débiteurs   applicable applicable
Paye et avantages sociaux applicable applicable applicable
Comptes créditeurs et paiements applicable applicable
Immobilisations (Voir note 2) applicable
Gestion de projets   applicable
Budgétisation et prévision   applicable
Clôture des comptes et rapports   applicable applicable
Attestation du DPF applicable applicable
Planification des investissements   applicable
Établissements des coûts applicable applicable

Source: États financiers de l'Agence des services frontaliers du Canada pour l'exercice s'étant terminé le

Annexe E : Mise en correspondance des comptes financiers avec les processus opérationnels et domaines de contrôle principaux

Figure 1 : Mise en correspondance des comptes financiers avec les processus opérationnels et domaines de contrôle principaux
référez-vous à la version textuelle qui suit l'image
Figure 1 - Version textuelle

Cette figure montre la mise en correspondance des Comptes d'états financiers en 2022 (en milliers $) et comment ils sont liés aux processus opérationnels suivants et donc au domaine de contrôle principal dans le plan de surveillance.

Comptes d'états financiers en 2022 (en milliers $)

État de la situation financière
Immobilisations corporelles : 1 075 645

État des résultats d'exploitation
Immobilisations corporelles :

  • Acquisition : 146 370
  • Amortissement : 106 173
  • Recettes de l'aliénation : 728
  • Perte nette sur l'aliénation : 1 864
  • Rajustements : 1 549

Processus opérationnels

  1. Immobilisations en cours
  2. Acquisition
  3. Exploitation, utilisation et entretien
  4. Radiation, retrait, vente ou aliénation
  5. Répartitions des fonctions

Domaine de contrôle principal dans le plan de surveillance

Immobilisations

Annexe F : Sigles

ARC
Agence du revenu du Canada
ASFC
Agence des services frontaliers du Canada
CGTI
Contrôles généraux de la technologie de l'information
CIRF
Contrôle interne en matière de rapports financiers
DGFGO
Direction générale des finances et de la gestion organisationnelle
DPF
Dirigeant principal des finances
GCRA
Gestion des cotisations et des recettes de l'ASFC
GLCC
Grand livre des comptes créditeurs
Unité du CI
Unité de l'assurance de la qualité et du contrôle interne
RPO
Responsable de processus opérationnel
SAE
Système administratif d'entreprise
STDV
Système de traitement des déclarations des voyageurs
TI
Technologie de l'information
VP
Vice-président

Détails de la page

Date de modification :