PLAN DE VÉRIFICATION AXÉ SUR LES RISQUES 2016-2019

Table des matières

Sommaire

Le Plan de vérification axé sur les risques (PVAR), également appelé le « Plan », est préparé par la Direction de l’audit de Ressources naturelles Canada (RNCan). Il contient des détails sur le rôle de l’audit interne, la méthode de planification et les audits prévus sur un cycle de trois ans, de 2016 à 2019.

Le PVAR est élaboré conformément aux exigences de la Politique sur la vérification interne du Conseil du Trésor (CT), aux directives et lignes directrices connexes ainsi qu’aux normes internationales de la pratique professionnelle de l’Institut des auditeurs internes (IAI).

Processus relatif au PVAR

Chaque année, le dirigeant principal de l‘audit (DPA) de RNCan doit préparer un plan d’évaluation axé sur les risques où sont énoncées les priorités d’audit interne qui respectent les buts et priorités de l’organisme. Le processus de planification permet d’assurer la pertinence, l’opportunité et l’harmonisation stratégique des audits internes, à l’appui de l’atteinte des objectifs stratégiques du Ministère. Au moment d’établir les priorités en matière d’audit interne, le Comité ministériel de vérification (CMV) et la haute direction de RNCan sont sollicités en tenant compte de leur apport.

Le point de départ du processus de planification axée sur les risques est l’identification de l’univers d’audit. L’univers d’audit représente tous les audits possibles et est composé d’entités vérifiables que l’on a déterminées pertinentes à RNCan et à son contexte opérationnel. Ces entités englobent habituellement des programmes, des processus, des activités de gestion et des systèmes de contrôle, de même que des initiatives ministérielles et gouvernementales qui, ensemble, contribuent à l’atteinte des objectifs stratégiques de RNCan. L’univers d’audit de RNCan est composé de 24 groupes d’entités vérifiables.

L’ensemble des programmes, des activités de gestion, des processus, des politiques et des fonctions de contrôle, de même que des initiatives ministérielles et gouvernementales est assujetti à un exercice d’évaluation et de priorisation des risques afin de déterminer les activités de la Direction de l’audit en ordre de priorité. Les critères utilisés pour choisir les projets d’audit du PVAR triennal incluent l’étendue et les résultats des audits antérieurs, l’importance relative, l’importance pour la direction, le niveau du risque, la vérifiabilité, les projets d’audit prévus dans le plan de l’exercice précédent qui n’ont pas été exécutés, les priorités organisationnelles, les possibilités d’amélioration ainsi que les obligations législatives ou autres.

La priorisation de l’univers d’audit se fait en deux étapes. La première étape comporte des consultations auprès de la direction, un examen de l’information ministérielle disponible sur les risques, y compris le profil de risque de l’organisation (PRO) de RNCan, la dernière évaluation du Cadre de responsabilisation de gestion (CRG), la documentation sur la planification des activités, le Rapport sur les plans et priorités (RPP) de RNCan, les priorités du gouvernement et les résultats d’audits antérieurs (internes et externes), ainsi que les plus récents renseignements et états financiers déposés.

D’autres facteurs sont également pris en compte, comme la collaboration avec la fonction d’évaluation de RNCan pour cerner des possibilités de collaboration sur des projets d’audit et d’évaluation conjoints, afin d’améliorer l’efficacité et de minimiser le dédoublement des efforts. La mise à jour du PVAR de cette année comprend sept projets d’audit et d’évaluation prévus. Ces projets comprennent ce qui suit : géomatique pour la télédétection (SST, SCF) en 2016-2017; biocarburants (SE) en 2016-2017; gouvernance pour l’obtention de résultats (projet de consultation - tous les secteurs) en 2016-2017; géosciences à l’appui des nouvelles technologies énergétiques (SST) en 2017-2018; gestion des programmes sur les explosifs et délivrance de permis (SMM) en 2017-2018; plateforme géospatiale fédérale (SST) en 2018-2019; limites juridiques du Canada (SST) en 2018-2019. Il importe de souligner que les efforts collaboratifs engloberont notamment la tenue d’entrevues conjointes, la collecte et l’échange de renseignements ainsi que la méthode de réalisation des engagements hybrides d’audit et d’évaluation.

La deuxième étape de la priorisation de l’univers d’audit englobe l’examen des facteurs horizontaux, comme les demandes de la haute direction, les conseils et les recommandations du CMV, les audits effectués par le Bureau du contrôleur général, et les audits prévus par d’autres fournisseurs d’assurance externes.

Compte tenu des résultats de ce processus, toutes les entités vérifiables pouvant présenter des risques modérés et élevés ont fait l’objet de discussions avec la haute direction de RNCan et le CMV; l’accent a surtout été mis sur les projets prévus pour 2016-2017 (première année du plan triennal) étant donné que les projets futurs sont réévalués tous les ans. De même, les priorités du gouvernement et du Ministère ont été validées auprès de la haute direction et du CMV pour assurer une plus grande correspondance des audits prévus aux principales priorités du Ministère. Chaque audit sélectionné est assorti d’objectifs préliminaires appropriés.

Enfin, le plan d’audit est revu par le CMV et approuvé par le sous-ministre. Le diagramme ci-après met en évidence les quatre étapes clés du processus de sélection menant à l’élaboration d’un plan de vérification axé sur les risques bien structuré.

 
Version textuelle

Les quatre principales étapes du processus de sélection menant à l'établissement d'un solide plan de vérification axé sur les risques

La figure met en évidence les quatre étapes clés utilisées dans le processus de sélection pour élaborer un solide plan de vérification axé sur les risques. Partant du point de départ du processus de sélection qui détermine les entités vérifiables de RNCan, il couvre une période de trois ans jusqu'à la recommandation finale. Le premier gros bloc représente l’éventail potentiel d’éléments vérifiables, dont les programmes, activités, processus des politiques et des initiatives qui, ensemble, contribuent à l’atteinte des objectifs stratégiques du Ministère. On l'appelle l'univers d’audit. La Direction de l’audit utilise l’Architecture d’activités de programmes (AAP) du ministère ainsi que l'inventaire des services externes de RNCan qui sont prévus par la loi pour garantir que l’univers d’audit identifié est complet. Il y a environ 24 groupes d’entités vérifiables fondées sur l'AAP et les secteurs.

L’étape suivante consiste à établir les priorités de l’univers d’audit en fonction d’une évaluation axée sur les risques. Il s’agit d’un processus en deux phases comprenant l’établissement des priorités préliminaires et finales, processus qui est fondé sur plusieurs facteurs comme la probabilité de risque et l’incidence. Les deux dernières étapes sont le classement des priorités d’audit proposées et leur recommandation aux fins d’approbation dans le plan de vérification de trois ans (comme dans les deux derniers gros blocs).

Résultats de la planification

Au total, 36 projets d’audit interne et consultatifs « hautement prioritaires » sont prévus au cours des trois prochaines années. Pour chaque projet proposé, le Plan indique clairement l’objectif et la portée préliminaires.

Le tableau qui suit résume le nombre de nouveaux projets d’audit interne choisis pour chaque année, ainsi que le nombre de projets consultatifs spéciaux, les audits reportés de 2015-2016 et les audits horizontaux du Bureau du contrôleur général (BCG) auxquels RNCan participe.

Tableau 1 – Nombre de nouveaux projets d’audit interne et d’audits horizontaux dirigés par le BCG par exercice
Audit et projet consultatif 2016-2017 2017-2018 2018-2019
Nouveaux projets d’audit interne et consultatifs 11 11 11
BCG – audits horizontaux dirigés 1 1 1
TOTAL 12 12 12

Les tableaux 2 et 3 fournissent une liste des projets reportés de 2015-2016 et des nouveaux projets « hautement prioritaires » respectivement pour les exercices 2016-2017, 2017-2018 et 2018-2019.

Tableau 2 – Audits reportés de l’exercice 2015-2016
2015-2016
1. Santé et sécurité au travail (tous les secteurs)
2. Processus de prévention et de règlement du harcèlement (SGSI et tous les secteurs)
3. Sécurité physique – gestion des incidents à RNCan (SGSI et tous les secteurs)
4. Audit des activités de réglementation (SMM, SCF, SE et ISP)
5. Processus d’audit continu lié à la rémunération et au départ des employés (SGSI et tous les secteurs)

 

Tableau 3 – Projets de vérification interne pour 2016-2017, 2017-2018 et 2018-2019
2016-2017 2017-2018 2018-2019
1. Gestion des risques juridiques (Services juridiques et tous les secteurs) 13. Initiatives Mines vertes (SMM) 25. Plateforme géospatiale fédérale (SST, SCF)

 

2. Développement des marchés du secteur forestier (SCF) 14. Opérations régionales (tous les secteurs ayant des bureaux régionaux) 26. Limites juridiques du Canada (SST)
3. Planification et déclaration des investissements (SGSI et tous les secteurs) 15. Audit horizontal de la sécurité des TI (BCG) 27. Audit horizontal (BCG) (à déterminer)
4. Audit horizontal de l’établissement des coûts à des fins décisionnelles (BCG) (tous les secteurs) 16. Contrôles internes des rapports financiers (CIRF) phase 2 (SGSI) 28. Dotation (SGSI et tous les secteurs)
5. Cadre de contrôle de gestion de la propriété intellectuelle (tous les secteurs) 17. Gestion du rendement des employés (tous les secteurs) 29. Communication de la science (BCG – tous les secteurs des sciences)
6. Cybersécurité de la TI (tous les secteurs) – en collaboration avec la CCSN 18. Géosciences à l’appui de nouvelles technologies énergétiques (SST) 30. Gestion de projet (SGSI et tous les secteurs)
7. Biocarburants (SE, SST, SITE) 19. Consultations des Autochtones (BGGP, SST, ISP, SE, SMM, SITE, SGAPP, SCF, ISP) 31. Gestion des immobilisations (SGSI et tous les secteurs)
8. Géomatique – télédétection et cartographie, y compris les stations-satellites (SST, SCF) 20. Gestion des programmes sur les explosifs et délivrance de permis (SMM) 32. Lower Churchill Falls – garanties d’emprunt (SE)
9. Gouvernance pour l’obtention de résultats (Projet de consultation en collaboration avec Évaluation - tous les secteurs) 21. Gestion des activités internationales (SST, SE, SMM, SITE, SGAPP, SCF, ISP) 33. Continuité des activités (SGSI et tous les secteurs)
10. Gestion des activités de publication (tous les secteurs) 22. Gestion du bien-être au travail et de la déficience (SGSI et tous les secteurs) 34. Programme national de certification des inspecteurs des métaux et des matériaux (SMM)
11. Projet consultatif sur de nouvelles initiatives ministérielles 23. Géorisques – données non gouvernementales – projet consultatif (BCG) 35. Informatisation de la science (BSP – tous les secteurs des sciences et SGSI)
12. Cadre scientifique – projet consultatif (Bureau du scientifique principal) 24. Migration finale des TI – projet consultatif (SGSI) 36. Projet consultatif (à déterminer)
table legend blueProjet consultatif
table legend pinkProjet d’évaluation et d’audit conjoint/collaboratif
 

Risques liés aux TI

Les résultats d’une évaluation approfondie des risques de RNCan liés aux technologies de l’information, menée au cours de la dernière année financière, ont encore servi à cerner les principaux projets d’audit dans le domaine de la sécurité des TI pour l’élaboration du PVAR 2016-2019 de RNCan.

Audit continu des contrôles de base

La Direction de l’audit continuera d’entreprendre des audits continus axés sur l’assurance pour déterminer de façon proactive les problèmes possibles de contrôle systémique à RNCan et présenter des rapports annuels sur divers processus. En plus de l’assurance fournie par cette activité, les résultats des audits visent à aider la direction de RNCan à améliorer les mécanismes de contrôle et la gestion des risques en temps réel. Le travail sera réalisé conformément aux normes de l’IAI (c.-à-d. fournir une assurance raisonnable). L’audit continu se fera selon une approche structurée liée au PVAR et misera sur les informations recueillies au cours d’autres projets d’audit. En outre, l’audit continu sera effectué pour réduire les risques importants associés aux dépenses ministérielles importantes.

Chaque audit continu fournira une assurance raisonnable constante que les processus vérifiés sont assortis de contrôles clés. Plus précisément, ces audits continus porteront sur ce qui suit :

  • la conformité avec les politiques gouvernementales et ministérielles;
  • l’efficience et l’efficacité des contrôles clés pendant la période à l’étude;
  • l’atténuation des risques connexes.

Les trois domaines choisis pour l’audit continu en 2016-2017 sont les suivants :

  • Subventions et contributions
  • Processus liés à la rémunération et aux avantages
  • Cartes d’achat

Le rapport annuel sur les activités d’audit continu de RNCan sera terminé pour la réunion du CMV de l’automne 2016.

Projets de services-conseils/examen en 2016-2019

La Politique sur la vérification interne du CT stipule qu’en plus de mener à bien des missions d’assurance, « les vérificateurs internes doivent fournir des services-conseils à leur organisation ». Même si la Direction de l’audit de RNCan a toujours entrepris des services consultatifs à la demande de la haute direction, les récentes mises à jour du PVAR de RNCan ont comporté des exercices précis d’identification des principaux services consultatifs qui pourraient être offerts par la Direction de l’audit.

Cet ajout de projets consultatifs au PVAR de RNCan (c.-à-d. environ deux projets par année) aide à assurer la fourniture une valeur additionnel à la haute direction pour compléter nos activités d’audit régulières. Parmi les exemples, on compte le projet consultatif pour le cadre scientifique (Bureau du scientifique principal), gouvernance pour l’obtention des résultats (tous les secteurs), le projet consultatif pour la migration finale des TI (SGSI), ainsi que la consultation sur les nouveaux processus.

Projets d’audit et d’évaluation conjoints/collaboratifs prévus

Le chef de l’évaluation et le dirigeant principal de l’audit se sont engagés à tenir des consultations conjointes avec la haute direction et le personnel afin de rendre le processus de planification le plus efficace, efficient et coordonné possible. La mise à jour du PVAR de cette année comprend sept projets d’audit et d’évaluation où la collaboration est possible. Le tableau 4 fournit une liste des projets d’audit et d’évaluation conjoints/collaboratifs pour les exercices 2016 à 2019. Il importe de souligner que les efforts collaboratifs engloberont notamment la tenue d’entrevues conjointes, la collecte et l’échange de renseignements ainsi que des engagements hybrides d’audit et d’évaluation.

Plan conjoint d’audit et d’évaluation

Tableau 4 – Projets d’audit et d’évaluation conjoints/collaboratifs prévus
2016-2017 2017-2018 2018-2019
Biocarburants (SE, SST, SITE) Gestion du programme d’explosifs et délivrance de permis (SMM) Plateforme géospatiale fédérale (SST)
Géomatique – télédétection et cartographie, y compris les stations-satellites (SST, SCF) Géosciences à l’appui de nouvelles technologies énergétiques (SST) Limites juridiques du Canada (SST)
Gouvernance pour l’obtention de résultats    

Projets d’audit des organismes centraux pour l’exercice 2016-2017

Le Ministère est assujetti à des audits menés par divers organismes centraux externes (p. ex. le Bureau du contrôleur général, le Bureau du vérificateur général, le Commissaire à l’environnement et au développement durable et la Commission de la fonction publique). Le tableau 5 présente une liste des projets d’audit externe prévu pour les exercices 2016 à 2017.

Tableau 5 – Projets d’audit externe prévus pour les exercices 2016 à 2017
Bureau du contrôleur général Audit horizontal de l’établissement des coûts à des fins décisionnelles (BCG) (tous les secteurs)
Audit horizontal de la sécurité des TI
Bureau du vérificateur général (BVG) Audit annuel des comptes publics 2016-2017
Commissaire à l’environnement et au développement durable Audit du soutien fédéral pour des collectivités durables
Audit des préparatifs aux intempéries
Audit des impacts liés aux changements climatiques
Audit de la réduction des émissions de gaz à effet de serre – progrès réalisés en vue du respect des engagements
Audit des technologies énergétiques non polluantes
Commissariat aux langues officielles Bulletin de rendement de RNCan

Audit des comptes publics de 2015-2016

La Direction de l’audit a été demandée une fois de plus d’aider le Bureau du vérificateur général dans sa vérification annuelle des Comptes publics en fournissant une assistance directe pour les tests des opérations de paie et des revenus tirés des activités extracôtières.

Suivi des recommandations découlant d’audits antérieurs

Conformément à la Politique sur la vérification interne du Conseil du Trésor et aux Normes internationales pour la pratique professionnelle de l’audit interne, le dirigeant principal de l’audit « doit mettre en place un processus de suivi permettant de surveiller et de garantir que des mesures ont été effectivement mises en œuvre par la direction ou que la haute direction a accepté de prendre le risque de ne rien faire ».

Le processus de suivi de RNCan est une approche en deux étapes qui commence par l’autoévaluation par la direction de chaque Plan d’action de la direction (PAD). À l’automne, la Direction de l’audit produit un rapport sur l’état de la mise en œuvre des recommandations selon l’autoévaluation de la direction, au moyen d’une échelle de notation de 1 à 5, où 5 correspond à une mise en œuvre complète. Chaque printemps, dans le cadre de la deuxième étape, la Direction de l’audit effectue une validation d’implantation des recommandations de niveau 5 (mise en œuvre complète selon l’autoévaluation de la direction). L’approche de la validation comporte les procédures suivantes : effectuer des entrevues, examiner les éléments de preuve à l’appui, effectuer une analyse et un essai axés sur les risques. Une fois que le Rapport de suivi est approuvé par le SM, il est envoyé au BCG.

Capacité de la Direction de l’audit

Le budget prévisionnel de la Direction de l’audit, s’élève à 3,2 M$ pour 2016-2017. La capacité totale en ressources disponible a été estimée, puis allouées aux activités de la Direction de l’audit en fonction de l’expérience passée. Les projets d’audit de 2016-2017 exigeront environ 3 000 jours-personnes de capacité d’audit directs et de services consultatifs répartis entre 24 postes professionnels. Ce chiffre comprend le temps requis par les examens d’assurance de la qualité de tous les projets d’audit, mais n’inclut pas le temps lié à l’administration de la Direction et au soutien administratif, non plus que les congés, le perfectionnement professionnel ou la formation linguistique des employés. La Direction de l’audit a la capacité d’exécuter le Plan de vérification axée sur les risques proposé avec les ressources qui lui sont affectées, ainsi que la capacité d’exécuter d’autres activités telles que la préparation du PVAR lui-même, le suivi de la mise en œuvre des recommandations, la préparation des rapports sur le rendement, les pratiques professionnelles et la liaison externe.