3. Évaluation du système de CIRF de TPSGC

3.1 Méthode d'évaluation

À l'appui de la Politique sur le contrôle interne, un système de CIRF efficace vise à fournir une assurance raisonnable que :

• les opérations sont dûment autorisées;
• les dossiers financiers sont adéquatement tenus;
• les actifs sont protégés;
• les lois, les règlements et les politiques applicables sont respectés.

À la lumière d'une évaluation de l'état de préparation à la vérification menée par un tiers indépendant en juin 2007, TPSGC travaille à officialiser son système de CIRF. Il s'agit notamment d'évaluer l'efficacité de la conception et de l'efficacité opérationnelle du système de CIRF du Ministère, et de s'assurer qu'un plan de surveillance continue est mis en place et mène à l'amélioration continue du système de CIRF.

L'efficacité de la conception signifie de s'assurer que les principaux points de contrôle sont définis, consignés, mis en place et adaptés aux risques qu'ils visent à atténuer et que tous les correctifs nécessaires ont été apportés. Il faut pour cela mettre en correspondance les principaux processus et systèmes de TI avec les principaux comptes, en fonction de l'emplacement, s'il y a lieu.

L'efficacité opérationnelle signifie que l'application des principaux contrôles fait l'objet d'essais au cours d'une période déterminée et que tous les correctifs y sont apportés.

L'évaluation portera sur tous les niveaux de contrôle ministériel, y compris les contrôles au niveau de l'entité, les contrôles généraux liés à la TI et les contrôles liés aux processus opérationnels.

Un plan de surveillance continue permet de déterminer les contrôles clés qui doivent être observés de façon continue ou périodique, les mises-à-jour et les mises-à-l'essai par rotation, en fonction du niveau de risque associé aux contrôles au niveau de l'entité, aux processus opérationnels ou aux systèmes de TI et comprent des mesures correctives en temps opportun.

TPSGC continue de simplifier sa documentation et ses essais de l'efficacité de la conception en élaborant des activités relatives aux contrôles clés normalisés pour les processus opérationnels communs (approche du modèle normalisé). Ces contrôles clés normalisés doivent être appliqués de manière uniforme à l'échelle du Ministère et harmonisés avec d'autres initiatives et politiques en cours, comme l'Initiative de processus opérationnels communs en gestion financière du Conseil du Trésor et le Cadre de gestion financière du Ministère. Cette approche de modèle normalisé est en cours d'élaboration et elle sera mise à l'essai sur des processus opérationnels décentralisés importants au moyen de l'approche suivante :

• les activités relatives aux contrôles clés normalisés touchant un processus opérationnel sont cernées et consignées;
• les activités de contrôle au sein des directions générales et des régions sont mesurées par rapport aux contrôles clés normalisés;
• les aspects qui nécessitent des mesures correctives sont cernés, et l'on transmet des recommandations à la direction générale ou à la région.

Dans le cadre de cette approche, la mise en œuvre du CIRF devrait progresser de manière plus efficace en éliminant le besoin de consigner les activités de contrôle actuelles pour les différents processus opérationnels et les emplacements et en concentrant les efforts sur l'harmonisation avec les contrôles clés normalisés. L'approche pourrait être modifiée ou élargie, au fur et à mesure que TPSGC élabore les premiers modèles normalisés et entreprend des évaluations initiales des directions générales et des régions par rapport aux modèles normalisés.

3.2 Portée de l'évaluation de TPSGC

Le Ministère utilise un cadre de maturité du CIRF menant à une vue commune et objective de la solidité des contrôles à TPSGC. Comme le montre la figure ci-dessous, le cadre de maturité du CIRF sert à illustrer la situation actuelle du Ministère ainsi que la situation qu'il doit atteindre pour avoir un système efficace de CIRF.

Pour atteindre ses objectifs, le Ministère a l'intention d'atteindre le niveau « Surveillé » du cadre de maturité du CIRF. D'après l'évaluation de l'état de la préparation à la vérification de 2007, le Ministère se trouve au niveau « Informel ». Le Ministère continue de progresser vers l'atteinte du niveau « Surveillé », ayant atteint le niveau « Normalisé » pour ses contrôles généraux liés à la technologie de l'information et certains processus opérationnels.

Dans le but de maintenir un système efficace de CIRF, en plus des contrôles au niveau de l'entité et des contrôles généraux liés à la TI, TPSGC a ciblé les six principaux processus opérationnels qui seront évalués, prenant en considération les comptes importants relatifs aux états financiers, l'importance relative et le risque :

• la paye;
• l'approvisionnement, les comptes créditeurs et les paiements;
• le processus de la vente au règlement;
• les immobilisations corporelles et les contrats de location-acquisition;
• d'autres postes importants des états financiers (p. ex. biens saisis et obligations contractuelles);
• les rapports financiers.

Depuis 2009-2010, le Ministère a achevé la documentation et l'évaluation de l'efficacité de la conception de ses contrôles au niveau de l'entité et du processus de paye dans le Secteur de la capitale nationale (SCN) et au Bureau de la traduction. Étant donné qu'il avait récemment terminé un exercice global d'établissement de la portée, TPSGC a continué de mettre l'accent en 2010-2011 sur la documentation et l'évaluation de l'efficacité de la conception de ses processus opérationnels en suivant les étapes suivantes :

• recueillir des données relatives aux processus et aux emplacements ainsi qu'aux risques et aux contrôles associés au CIRF, y compris des données relatives aux politiques et aux procédures appropriées;
• mettre en correspondance les processus principaux avec l'établissement et la documentation des principaux risques et points de contrôle selon l'incidence sur les états financiers, le volume d'activité, la complexité des processus, la centralisation des activités et les constatations découlant des vérifications externes;
• évaluer l'efficacité de la conception des contrôles clés et déterminer les mesures correctives requises.

En 2010-2011, TPSGC a poursuivi la documentation et l'évaluation de l'efficacité de la conception, tel que décrit au point 5.1.