PLAN DE VÉRIFICATION AXÉ SUR LES RISQUES 2015-2018

Table des matières

Sommaire

Le Plan de vérification axé sur les risques (PVAR), également nommé « le Plan », est préparé par la Direction de l’audit de Ressources naturelles Canada (RNCan). Il comporte des détails sur le rôle de l’audit interne, la méthode de planification et les audits prévus au cours du cycle triennal 2015-2018. Il présente également des renseignements plus détaillés sur le ressourcement et la capacité de la Direction de l’audit de RNCan pour 2015‑2016 concernant la réalisation de la première année du Plan.

Le PVAR est élaboré conformément aux exigences de la Politique sur la vérification interne du Conseil du Trésor (CT) du Canada, ainsi qu’aux directives et aux lignes directrices connexes, et aux normes internationales de la pratique professionnelle de l’Institut des vérificateurs internes (IVI).

Processus relatif au PVAR

Chaque année, le dirigeant principal de la vérification (DPV) de RNCan doit préparer un plan d’évaluation axé sur les risques où sont énoncées les priorités d’audit interne qui sont conformes aux buts et aux priorités de l’organisme. Le processus de planification des audits garantit que toutes les activités d’audit interne sont pertinentes, opportunes et stratégiquement harmonisées pour favoriser l’atteinte des objectifs stratégiques du Ministère. Les commentaires du Comité ministériel de vérification (CMV) de RNCan, ainsi que ceux de la haute direction de RNCan, sont sollicités et pris en compte dans l’établissement des priorités en matière d’activités d’audit interne.

Le point de départ du processus de planification axée sur les risques est l’identification de l’univers d’audit, qui est composé des entités vérifiables de RNCan. L’univers d’audit de RNCan est composé de 213 entités vérifiables. Ces entités englobent des programmes, des activités, des processus, des politiques et des initiatives qui, ensemble, contribuent à l’atteinte des objectifs stratégiques du Ministère. La Direction de l’audit utilise l’Architecture des activités de programme (AAP) de RNCan, ainsi qu’un inventaire des services prévus par la loi pour garantir que l’univers d’audit déterminé est complet.

L’ensemble des programmes, des projets, des activités, des processus, des politiques et des initiatives du Ministère est assujetti à un exercice d’évaluation et de priorisation des risques afin de déterminer les activités de la Direction de l’audit en ordre de priorité. Les critères utilisés pour choisir les projets d’audit du PVAR triennal incluent l’étendue et les résultats des audits antérieurs, l’importance relative, l’importance pour la direction, les analyses et les évaluations des risques selon une méthodologie normalisée, la vérifiabilité, les projets d’audit prévus dans le plan de l’exercice précédent qui n’ont pas été exécutés, les priorités organisationnelles, les possibilités d’amélioration ainsi que les obligations législatives ou autres.

La priorisation de l’univers d’audit se fait en deux étapes. La première étape comporte des consultations auprès de la direction, un examen de l’information ministérielle disponible sur les risques, y compris le profil de risque de l’organisation (PRO) de RNCan, la dernière évaluation du Cadre de responsabilisation de gestion (CRG), les examens et évaluations stratégiques, la documentation sur la planification des activités, le Rapport sur les plans et priorités (RPP) de RNCan, les priorités du gouvernement et les résultats d’audits antérieurs (internes et externes), ainsi que les plus récents états financiers déposés.

D’autres facteurs sont également pris en compte, comme la collaboration avec la fonction d’évaluation de RNCan pour cerner les projets d’audit et d’évaluation conjoints. Afin d’améliorer l’efficacité, de minimiser le dédoublement des efforts et de réduire l’épuisement des Secteurs de RNCan, la mise à jour du PVAR de cette année a vu une augmentation des efforts de collaboration entre les fonctions d’audit et d’évaluation de RNCan avec l’ajout de huit projets d’audit et d’évaluation conjoints/collaboratifs prévus au cours des cinq prochaines années. Ces projets englobent ce qui suit : gestion des accords internationaux (tous les Secteurs) en 2015-2016 (projet consultatif); processus de prévention et de règlement du harcèlement en 2015-2016; gestion du programme lié aux explosifs et délivrance de permis (SMM) en 2016-2017; géosciences à l’appui des nouvelles technologies énergétiques (SST) en 2017-2018; biocarburants (SE) en 2017-2018; Plateforme géospatiale fédérale (SST) en 2018-2019; frontières juridiques du Canada (SST) en 2018-2019. Il importe de souligner que les efforts collaboratifs comporteront un échange de renseignements et de méthodes, ainsi que le respect d’engagements quant à la réalisation d’audits/évaluations hybrides.

La deuxième étape de la priorisation de l’univers d’audit englobe l’examen des facteurs horizontaux, comme les demandes de la haute direction, les conseils et les recommandations du CMV, les audits effectués par le Bureau du contrôleur général, et les audits prévus par d’autres fournisseurs d’assurance externes.

Compte tenu des résultats de ce processus, toutes les entités vérifiables pouvant présenter des risques modérés et élevés ont fait l’objet de discussions avec la haute direction de RNCan et le CMV; l’accent a surtout été mis sur les projets prévus pour 2015-2016 (première année du plan triennal) étant donné que les projets futurs sont réévalués tous les ans. De même, les priorités du gouvernement et du Ministère ont été validées auprès de la haute direction et du CMV pour assurer une plus grande correspondance des audits prévus aux principales priorités du Ministère. Chaque audit sélectionné est assorti d’objectifs appropriés.

Enfin, le plan d’audit est examiné par le CMV et approuvé par le sous-ministre.

Le diagramme ci-après met en évidence les quatre étapes clés utilisées dans le processus de sélection pour élaborer un plan solide de vérification axé sur les risques.

Version textuelle

Les quatre principales étapes du processus de sélection menant à l'établissement d'un solide plan de vérification axé sur les risques

La figure met en évidence les quatre étapes clés utilisées dans le processus de sélection pour élaborer un solide plan de vérification axé sur les risques. Partant du point de départ du processus de sélection qui détermine les entités vérifiables de RNCan, il couvre une période de trois ans jusqu'à la recommandation finale. Le premier gros bloc représente l’éventail potentiel d’éléments vérifiables, dont les programmes, activités, processus des politiques et des initiatives qui, ensemble, contribuent à l’atteinte des objectifs stratégiques du Ministère. On l'appelle l'univers d’audit. La Direction de la vérification utilise l’Architecture d’activités de programmes (AAP) du ministère ainsi que l'inventaire des services externes de RNCan qui sont prévus par la loi pour garantir que l’univers d’audit identifié est complet. Il y a environ 213 entités vérifiables fondées sur l'AAP et les secteurs.

L’étape suivante consiste à établir les priorités de l’univers d’audit en fonction d’une évaluation axée sur les risques. Il s’agit d’un processus en deux phases comprenant l’établissement des priorités préliminaires et finales, processus qui est fondé sur plusieurs facteurs comme la probabilité de risque et l’incidence. Les deux dernières étapes sont le classement des priorités d’audit proposées et leur recommandation aux fins d’approbation dans le plan de vérification de trois ans (comme dans les deux derniers gros blocs).

Résultats de la planification

Au total, 30 projets d’audit interne et consultatifs « hautement prioritaires » sont prévus au cours des trois prochaines années. Pour chaque projet proposé, le Plan indique clairement l’objectif et la portée préliminaires. En outre, il indique les ressources requises pour mener les audits en précisant les dates de début et de fin de chaque projet.

Le tableau ci-dessous résume le nombre de nouveaux projets d’audit interne choisis pour chaque année, ainsi que le nombre de projets consultatifs spéciaux, les audits reportés de 2014‑2015 et les audits horizontaux du Bureau du contrôleur général (BCG) auxquels RNCan participe.

Tableau 1 – Nombre de nouveaux projets d’audit interne et d’audits horizontaux dirigés par le BCG par exercice
Type d’audit et de projet consultatif 2015-2016 2016-2017 2017-2018
Nouveaux projets d’audit interne et consultatifs 9 9 9
Audits horizontaux menés par le BCG 1 1 1
TOTAL 10 10 10

En 2014-2015, 13 projets d’audit ont été réalisés et présentés aux réunions du Comité ministériel de vérification de RNCan. Le même nombre de rapports terminés devrait être présenté en 2015-2016.

Les tableaux 2 et 3 fournissent une liste des projets reportés de 2014-2015 et des nouveaux projets (hautement prioritaires) pour les exercices 2015-2016, 2016-2017 et 2017-2018.

Tableau 2 – Audits reportés de l’exercice 2014-2015
2015-2016
1. Fonction des ressources humaines – Planification de la relève pour la communauté de S-T de RNCan (SGSI et Secteurs à vocation scientifique) (septembre 2015)
2. Processus d’attestation du DPF (SGSI) (juin 2015)
3. Programme de recherche et de développement énergétiques (PRDE) (SITE et Secteurs bénéficiaires) (mars 2016)
4. Prestation des programmes d’efficacité énergétique (SE) (juin 2015)
5. Initiative de la région de Port Hope (SE) (septembre 2015)
Tableau 3 – Projets d’audit interne pour les exercices 2015-2016, 2016-2017 et 2017‑2018
2015-2016 2016-2017 2017-2018
  1. Gouvernance des TI (SGSI et tous les Secteurs)
  1. Cadre de contrôle de gestion juridique de RNCan (Services juridiques et tous les Secteurs)
  1. Initiative des mines vertes (SMM)
  1. Santé et sécurité au travail (tous les Secteurs)
  1. Développement des marchés du secteur forestier (SCF)
  1. Opérations régionales (tous les Secteurs ayant des bureaux régionaux)
  1. Processus de prévention et de règlement du harcèlement (SGSI et tous les Secteurs)

  1. Planification et déclaration des investissements (SGSI et tous les Secteurs)
  1. Gestion des activités de sciences et de technologies (Secteurs à vocation scientifique)
  1. Audit horizontal de la gestion de l’information (BCG) (tous les Secteurs)
  1. Audit horizontal de la sécurité des TI (BCG) (tous les Secteurs)
  1. Audit horizontal (BCG) (à déterminer)
  1. Contrôles au niveau de l’entité SAP (SGSI) (audit conjoint avec Agriculture Canada)
  1. Cadre de contrôle de gestion de la propriété intellectuelle (tous les Secteurs)
  1. Étape 2 des contrôles internes sur les rapports financiers (CIRF) (SGSI)
  1. Cadre de gestion des subventions et des contributions (SGSI et tous les Secteurs)
  1. Cadre de contrôle de gestion de la cybersécurité (tous les Secteurs) –  en collaboration avec la CCSN
  1. Gestion du rendement des employés (tous les Secteurs)
  1. Sécurité physique – gestion des incidents à RNCan (SGSI et tous les Secteurs)
  1. Gouvernement ouvert (tous les Secteurs)
  1. Activités de participation et de consultation du public (BGGP, BGGP‑Ouest, SMM, SE, SGAPP)
  1. Audit des activités de réglementation (SMM, SCF, SE et ISP)
  1. Géomatique – télédétection et cartographie, y compris les stations-satellites (SST)
  1. Géosciences à l’appui de nouvelles technologies énergétiques (SST)

  1. Gestion des accords internationaux (ISP et tous les Secteurs)

    (Il s’agit d’un projet consultatif d’audit et d’évaluation conjoint/collaboratif)

  1. Gestion du programme d’explosifs et délivrance de permis (SMM)

  1. Biocarburants (SE)

  1. Nouveau cadre de contrôle de gestion des projets d’infrastructure (SGSI et tous les Secteurs)

  1. Leçons tirées – questions systémiques (report de fonds, stratégies de mesure du rendement et diffusion des données scientifiques) (tous les Secteurs)

    (Il s’agit d’un projet consultatif d’audit et d’évaluation conjoint/collaboratif)

  1. Projet consultatif – sujet à déterminer

table legend blueProjet consultatif
table legend redProjet d’évaluation et d’audit conjoint/collaboratif

Risques liés aux TI

Dans le cadre du processus d’élaboration du PVAR 2015-2018 de RNCan de cette année, la Direction de l’audit a également eu recours à des spécialistes du domaine des évaluations des risques liés aux technologies de l’information qui se sont particulièrement concentrés sur la cybersécurité. Certaines séances de consultation et de mobilisation ont été menées auprès des secteurs de RNCan en novembre et en décembre 2014. Un atelier final visant à présenter les observations et les recommandations globales découlant de l’évaluation a été tenu avec des participants de la Direction de l’audit et de la Direction du dirigeant principal de l’information. Ces travaux ont servi à cerner les principaux projets d’audit dans le domaine de la sécurité des TI pour l’élaboration du PVAR 2015-2018 de RNCan. Plus précisément, cette évaluation a permis de dresser une liste de 17 projets différents d’audit ou de consultation qui pourraient être amorcés par la Direction de l’audit de RNCan. Trois de ces 17 projets ont été identifiés comme les audits ayant le plus de valeur ajoutée pour le Ministère pour l’instant et sont proposés dans l’ébauche du Plan de vérification.

Audit continu des contrôles essentiels

La Direction de l’audit continuera d’entreprendre des audits continus axés sur l’assurance pour déterminer de façon proactive les problèmes possibles de contrôle à RNCan et présenter des rapports annuels sur divers processus. En plus de l’assurance fournie par cette activité, les résultats des audits visent à aider la direction de RNCan à améliorer les mécanismes de contrôle et la gestion des risques. Le travail sera réalisé conformément aux normes de l’IVI (fournir une assurance raisonnable). L’audit continu se fera selon une approche structurée liée au PVAR et misera sur les projets d’audit existants.

Chaque audit continu fournira une assurance raisonnable constante que les processus vérifiés sont assortis de contrôles clés. Plus précisément, ces audits continus porteront sur ce qui suit :

  • la conformité avec les politiques gouvernementales et ministérielles;
  • l’efficacité des contrôles clés pendant la période à l’étude;
  • l’atténuation des risques connexes.

Les trois domaines choisis pour l’audit continu en 2015-2016 sont les suivants :

  • Processus et pratiques d’approvisionnement et de passation de marchés;
  • Cadre de contrôle de gestion – protection des renseignements personnels et commerciaux confidentiels (employés de RNCan, intervenants);
  • Processus liés à la rémunération et au départ des employés.

Le rapport annuel sur les activités d’audit continu de RNCan sera terminé pour la réunion du CMV de l’automne 2015.

Projets consultatifs/d’examen pour 2015-2016

La Politique sur la vérification interne du CT stipule qu’en plus de mener à bien des missions d’assurance, « les vérificateurs internes doivent fournir des services-conseils à leur organisation ». Même si la Direction de l’audit de RNCan a toujours entrepris des services consultatifs à la demande de la haute direction, la mise à jour du PVAR de cette année comportait un exercice d’identification des principaux services consultatifs qui pourraient être offerts par la Direction de l’audit.

Cet ajout de projets consultatifs au PVAR de RNCan (c.-à-d. environ deux projets par année) aide à assurer la fourniture d’une plus grande valeur à la haute direction en plus de nos activités d’audit régulières. Des exemples englobent la gestion des accords internationaux (ISP et tous les Secteurs), le nouveau cadre de contrôle de gestion des projets d’infrastructure (SGSI et tous les Secteurs), ainsi qu’une interprétation des rapports d’audit des bénéficiaires, des examens de programmes et la consultation sur les nouveaux processus.

Projets d’audit et d’évaluation conjoints/collaboratifs prévus

Tel qu’il a été mentionné précédemment, afin d’améliorer l’efficacité, de minimiser le dédoublement des efforts et de réduire la fatigue des Secteurs de RNCan, la mise à jour du PVAR de cette année a vu une augmentation des efforts de collaboration entre les fonctions d’audit et d’évaluation de RNCan avec l’ajout de huit projets d’audit et d’évaluation conjoints/collaboratifs prévus au cours des cinq prochaines années. Le tableau 4 présente une liste des projets d’audit et d’évaluation conjoints/collaboratifs pour les exercices 2015 à 2018, qui relèvent du cycle du PVAR actuel, et il comporte également deux autres projets conjoints en 2018-2019, conformément aux discussions et aux engagements des fonctions d’audit et d’évaluation de RNCan. Il importe de souligner que les efforts collaboratifs comporteront un échange de renseignements et de méthodes, ainsi que le respect d’engagements quant à la réalisation d’audits/évaluations hybrides.

Plan conjoint d’audit et d’évaluation

Tableau 4 – Projets d’audit et d’évaluation conjoints/collaboratifs prévus
2015-2016 2016-2017 2017-2018 2018-2019
Gestion des accords internationaux (tous les Secteurs) (projet consultatif) Gestion du programme d’explosifs et délivrance de permis (SMM) Géosciences à l’appui des nouvelles technologies énergétiques (SST) Plateforme géospatiale fédérale (SST)
Processus de prévention et de règlement du harcèlement (SGSI et tous les Secteurs) Leçons tirées – questions systémiques (report de fonds, stratégies de mesure du rendement et diffusion des données scientifiques) (tous les Secteurs) Biocarburants (SE) Frontières juridiques du Canada (SST)

Projets d’audit des organismes centraux pour 2015-2016

Le Ministère fait l’objet d’audits de divers organismes centraux externes (p. ex., le Bureau du contrôleur général, le Bureau du vérificateur général, le Commissaire à l’environnement et au développement durable, la Commission de la fonction publique). Le tableau 5 fournit une liste des projets d’audit externe prévu pour les exercices 2015 à 2018.

Tableau 5 – Projets d’audit externe prévus pour les exercices 2015 à 2018
Bureau du contrôleur général Audit horizontal de la gestion de l’information
Audit horizontal de la sécurité des TI
Bureau du vérificateur général Vérification annuelle des comptes publics 2015‑2016
Vérification de suivi de l’analyse comparative entre les sexes
Commissaire à l’environnement et au développement durable Audit de la surveillance des pipelines
Audit du soutien fédéral pour les collectivités durables
Audit de Préparation à des conditions météorologiques défavorables
Bureau de l’ombudsman de l’approvisionnement Examen des pratiques d’approvisionnement de RNCan
Commissariat aux langues officielles Fiche de rendement de RNCan

À la suite de l’audit effectué par la Commission de la fonction publique (CFP) en 2011, le Ministère produit des rapports sur les mesures prises et les progrès réalisés dans la mise en œuvre des recommandations découlant de cet audit. RNCan a récemment été informé que la CFP est satisfaite des réalisations de RNCan. C’est pourquoi RNCan n’a pas d’audit interne ou externe sur la dotation prévu pour l’instant.

Vérification des comptes publics de 2014-2015

Tout comme l’an dernier, la Direction de l’audit a été priée d’aider le Bureau du vérificateur général dans sa vérification annuelle des Comptes publics en fournissant des ressources d’audit ayant des connaissances en revenus tirés des activités extracôtières. Dans ce contexte, les procédures d’audit du BVG concernant les revenus tirés des activités extracôtières seront menées par la Direction de l’audit de RNCan.

Suivi des recommandations découlant d’audits antérieurs

Conformément à la Politique sur la vérification interne du Conseil du Trésor et aux Normes internationales pour la pratique professionnelle de l’audit interne, le dirigeant principal de la vérification « doit mettre en place un processus de suivi permettant de surveiller et de garantir que des mesures ont été effectivement mises en œuvre par la direction ou que la haute direction a accepté de prendre le risque de ne rien faire ».

Le processus de suivi de RNCan est une approche en deux étapes qui commence par l’autoévaluation par la direction de chaque Plan d’action de la direction (PAD). À l’automne, la Direction de l’audit produit un rapport sur l’état de la mise en œuvre des recommandations selon l’autoévaluation de la direction, au moyen d’une échelle de notation de 1 à 5, où 5 correspond à une mise en œuvre complète. Chaque printemps, dans le cadre de la deuxième étape, la Direction de l’audit effectue une validation des recommandations de niveau 5 (mise en œuvre complète selon l’autoévaluation de la direction). L’approche de la validation comporte les procédures suivantes : effectuer des entrevues, examiner les éléments de preuve à l’appui, effectuer une analyse et un essai axés sur les risques. Une fois que le Rapport de suivi est approuvé par le SM, il est envoyé au BCG.

Il importe de souligner que la Direction de l’audit, en plus de ses activités de suivi régulières, effectuera également une évaluation de suivi de l’audit de la reprise après sinistre au cours de l’exercice 2016-2017.

Capacité de la Direction de l’audit

Le budget de base de la Direction de l’audit, y compris les coûts d’administration et de gestion, est de 3,256 millions de dollars pour 2015-2016 (une baisse comparativement à 3,266 millions de dollars en 2014-2015). Une estimation du total de la capacité de ressources disponibles a été déterminée et affectée à toutes les activités de la Direction de l’audit au moyen de mesures fondées sur l’expérience antérieure. Une capacité d’environ 3 423 jours‑personnes pour 20 postes professionnels sera disponible pour 2015-2016 (c.‑à‑d. des services directs d’audit et consultatifs, excluant les dispositions relatives aux congés et le temps consacré à l’administration, au perfectionnement professionnel et à la formation linguistique). La Direction de l’audit a la capacité d’exécuter le Plan de vérification axée sur les risques proposé avec les ressources qui lui sont affectées.