ARCHIVÉ - Vérification interne horizontale des mécanismes de contrôle des dépenses à risque élevé dans les petits ministères et organismes

Cette page a été archivée.

Constatations détaillées et recommandations

Constatation 1 : Détermination des risques

Notre vérification avait pour but d’examiner les pratiques de gestion des risques des PMO liées à la vérification des comptes. Nous désirions nous assurer que les opérations à risque élevé avaient été identifiées et que les contrôles appropriés s’harmonisaient avec l’attestation des paiements connexes. Nous avons déterminé si un niveau de gestion adéquat représentant la fonction de gouvernance de la vérification des comptes, de la gestion du risque et des contrôles prenait part à l’identification des risques. Outre les autorités représentant la fonction de gouvernance de la gestion du risque, nous avons vérifié si d’autres autorités fonctionnelles pertinentes prenaient part à l’identification des risques. Enfin, nous avons cherché des documents à l’appui de l’identification des dépenses à risque élevé et des politiques ou procédures justificatives pour établir les différences requises au niveau de l’attestation des paiements à risque élevé par rapport aux paiements à faible risque.

Nous nous attendions à ce que les opérations à risque élevé aient été identifiées et exposées par écrit dans chacun des PMO visé par notre échantillonnage. Nous nous attendions à ce que les risques identifiés et l’impact sur les contrôles qui en résultait fassent l’objet de politiques et de procédures ou de documents d’orientation utilisés pour informer les personnes responsables du processus de vérification des comptes. Compte tenu de l’environnement des PMO, nous ne nous attendions pas à ce que les documents qui en résulteraient soient longs ou constituent un exercice ponctuel de création d’emplois. Nous prévoyions plutôt que les risques identifiés seraient mis en relief dans le compte-rendu d’une réunion de cadres supérieurs ou présentés dans un court document d’une demi-page. Nous nous attendions également à ce que des membres du personnel compétents aient pris part à l’identification des risques, tant ceux qui représentent la fonction de gouvernance des PMO que ceux des secteurs fonctionnels qui pourraient apporter une contribution valable à ce processus.

Une gestion du risque efficace repose sur l’officialisation de l’identification des risques et sur les modifications apportées aux contrôles qui en résultent, qui revêtent de l’importance pour s’assurer que les divers niveaux de gestion voient le risque du même œil et que des contrôles puissent par conséquent être élaborés pour combler les besoins et les attentes de la direction.

La plupart des PMO n’ont pas identifié formellement les paiements à risque élevé. Nous avons découvert que certains des PMO inclus dans notre échantillonnage avaient identifié formellement et documenté leurs dépenses à risque élevé à l’appui des types d’opération requérant davantage d’intégrité dans le cadre du processus d’attestation. En outre, ces PMO révisaient le processus une fois l’an et les questions de risque étaient discutées par des comités de cadres supérieurs établis.

Toutefois, la majeure partie des PMO n’avaient pas documenté les types d’opérations qu’ils estimaient être à risque élevé. Lorsque les responsables des contrôles de dépense ont été interviewés, ils ont pu indiquer quels types d’opération ils estimaient être à risque élevé; cependant, il n’existait pas de façon formelle de s’assurer que tous les gestionnaires de l’organisation convenaient de cette identification des risques ou que toutes les contributions valables avaient été prises en compte.

En outre, la plupart des PMO ont déclaré que la totalité des opérations étaient à risque élevé, compte tenu du petit nombre d’opérations quotidiennes et du risque du PMO pour sa réputation si un paiement n’est pas effectué avec exactitude. Dans la plupart de ces cas, cette déclaration ne s’appuyait pas sur des documents.

La plupart des PMO n’ont pas inclus les commentaires de tous les niveaux de direction pertinents sur les risques. Peu de PMO pouvaient faire la preuve qu’ils avaient fait participer des membres de la direction à leur processus d’identification des risques. Si tous les membres du personnel concernés ne participent pas au processus de gestion du risque—à savoir ceux qui représentent la fonction de gouvernance et ceux qui possèdent des compétences particulières des risques—il se peut que l’identification des risques et la réaction à ces risques soient inappropriées.

Pour la plupart, les PMO n’ont pas élaboré de documents d’orientation à l’appui de leur processus d’identification des risques et des procédures de vérification connexes. On a constaté l’existence de bonnes pratiques dans les PMO. Par exemple, des employés étaient formellement avisés des risques identifiés au moyen de procédures à suivre en réaction aux faibles risques et aux risques élevés. Cependant, de telles pratiques n’étaient pas chose courante. Il faut fournir aux responsables de la vérification des comptes des documents d’orientation adéquats sur les procédures de vérification qui doivent être appliquées selon les divers niveaux de risque. Ainsi, les pratiques peuvent s’harmoniser aux décisions en matière de gestion du risque. Il pourrait résulter de l’insuffisance de documents sur l’identification des risques et de l’incapacité de les soutenir à l’aide d’une fonction de gouvernance applicable à la vérification des comptes une application de contrôles inadéquats ou inefficaces.

Recommandations

1.  Les PMO devraient officialiser leur processus d’identification des opérations à risque élevé, lequel pourrait être présenté dans un bref document d’orientation. Les responsables de la fonction de gouvernance pour la gestion des dépenses et les spécialistes de l’aspect fonctionnel devraient participer au processus.

2.  Les PMO devraient s’assurer que les risques sont définis clairement et consignés, en prévision du processus de vérification des comptes.  

Constatation 2 : Attestation à l’égard des paiements

Les responsables de projets (article 34) doivent s’assurer de l’existence d’une preuve que le marché a été exécuté avant de donner leur attestation pour un paiement. Ils attestent que les travaux ont été exécutés, les fournitures livrées ou les services rendus conformément aux modalités du marché, et que le prix demandé est lui aussi conforme au marché ou, à défaut de marché, qu’il est raisonnable.

Nous avons examiné l’information, la formation et les lignes directrices dont les responsables de projets disposaient pour s’assurer que les conditions du marché avaient été respectées avant d’en attester pour justifier chaque paiement.

Nous nous attendions non seulement à trouver des lignes directrices ou des listes de contrôle, mais aussi à constater que l’on avait donné une formation suffisante aux responsables chargés de fournir l’attestation afin de leur permettre de bien savoir comment effectuer un examen suffisamment rigoureux pour déterminer si les conditions d’exécution ont été respectées avant de donner une attestation autorisant les paiements. Des lignes directrices spécifiques seraient particulièrement justifiées quand la preuve que les conditions du marché ont été respectées est unique, dans des situations que l’on ne trouve pas tous les jours, par exemple dans des marchés de services professionnels comprenant divers critères d’exécution et des rapports exigibles avant que l’on approuve un paiement.

L’absence de lignes directrices sur la vérification des comptes qui sont adaptées aux programmes risque d’amener les responsables des projets à mal comprendre et à appliquer de manière inégale les pratiques de vérification des comptes et à ne pas accorder une attention suffisante aux risques ou aux caractéristiques propres à leur ministère ou organisme ou à un programme en particulier.

L’attestation des paiements est produite par les personnes autorisées à le faire. Bon nombre de responsables de projet investis de responsabilités qui leur sont déléguées en vertu de l’article 34 ont des subalternes chargés par délégation de revoir les modalités contractuelles pour s’assurer que la base de paiement est conforme à la facture reçue du fournisseur. Toutefois, nous n’avons découvert aucun cas de signature en vertu de l’article 34 par une personne qui n’était pas autorisée à le faire.

Dans certains PMO, des personnes investies d’un pouvoir délégué n’avaient pas suivi la formation nécessaire. Dans environ le tiers des PMO de notre échantillon, les personnes possédant une délégation du pouvoir de signature n’ont ni suivi la formation requise, ni passé et réussi les examens en ligne conçus pour s’assurer qu’ils comprennent les rôles et les responsabilités qui leurs sont conférés en vertu de l’article 34 avant la promulgation des pouvoirs délégués. Nous avons également découvert que certains des PMO ne connaissaient pas l’existence de la formation et des examens requis.

Les personnes investies d’un pouvoir délégué aux termes de l’article 34 devraient bien saisir la responsabilité qui leur est attribuée; dans le cas contraire, il se peut que l’approbation du paiement des fournitures et des services ne soit pas faite comme il se doit.

Recommandation

3.  Les PMO devraient s’assurer que les personnes investies d’un pouvoir délégué d’attestation en vertu de l’article 34 suivent la formation requise et passent les examens appropriés du gouvernement du Canada pour prouver qu’elles comprennent leurs responsabilités avant d’obtenir cette délégation.

Constatation 3 : Assurance de la qualité

Nous avons examiné la question de savoir si les personnes responsables de l’assurance de la qualité (attestation en vertu de l’article 33) s’acquittaient de leurs fonctions de manière efficace et efficiente. Nous avons également vérifié si ces personnes respectaient les décisions en matière de gestion du risque qui touchent la vérification des comptes établies dans leur PMO. Dans le cas des PMO qui avaient identifié formellement les opérations à risque élevé, nous voulions nous assurer qu’un processus de contrôle plus efficace et rationalisé était suivi en regard des opérations à faible risque et qu’une stratégie d’assurance de la qualité (y compris un plan d’échantillonnage) avait été élaborée pour le traitement des opérations à faible risque de manière appropriée. Dans le cas des opérations à risque élevé, notamment dans les PMO dans lesquelles l’ensemble des opérations étaient réputées à risque élevé, nous désirions nous assurer que les personnes responsables de l’assurance de la qualité respectaient le niveau de risque de leurs procédures de vérification. Enfin, nous voulions vérifier si les personnes responsables de l’assurance de la qualité, et notamment de l’attestation en vertu de l’article 33, assuraient la surveillance du processus. Par conséquent, nous désirions nous assurer qu’elles faisaient rapport à la fonction de gouvernance dans des domaines comme les bonnes pratiques, les erreurs relevées, les questions systémiques ou les changements à l’identification des risques ou à la tolérance qui devait être discutée.

Nous nous attendions à ce que tous les PMO respectent les procédures de contrôle pertinentes en matière d’assurance de la qualité pour chaque opération selon que le paiement était considéré à risque élevé ou à faible risque. Nous nous attendions à ce que ces procédures de contrôle soient claires et à ce qu’il existe des preuves de l’application de ces contrôles à chaque opération. Dans le cas des PMO qui avaient reconnu avoir conclu des opérations à faible risque et qui appliquaient par conséquent moins de contrôles à l’égard de ces opérations dans le cadre de leur processus de vérification des comptes, nous nous attendions à ce qu’il y ait un plan d’échantillonnage qui aurait été mené à bien afin que les opérations à faible risque aient été sujettes à un niveau d’intégrité adéquat. Enfin, nous nous attendions à ce que les résultats et les erreurs soient analysés par les personnes responsables de l’assurance de la qualité et communiqués en temps opportun aux responsables de la gouvernance dans ce domaine.

Il importe que les contrôles des dépenses aux fins de la vérification des comptes soient conçus de manière efficace et efficiente. L’employé qui consacre une période temps démesurée à la vérification d’une opération à faible risque ne fait pas un usage efficace de son temps. Les contrôles devraient être conçus et appliqués d’une manière qui correspond à la tolérance au risque de la fonction de gouvernance des PMO afin que la diligence raisonnable soit respectée.

Les opérations à risque élevé qui sont identifiées sont souvent vérifiées à la lumière de considérations à faible risque. Dans la plupart des PMO de notre échantillon qui estimaient que tous les types de paiement étaient à risque élevé, nous avons découvert que la majorité effectuait moins de contrôles dans les secteurs qui étaient jugés intuitivement à faible risque. En d’autres termes, les procédures qui étaient suivies ne respectaient pas le processus d’identification des risques qui déterminait que toutes les opérations étaient à risque élevé. Néanmoins, dans les PMO qui avaient une approche des opérations à faible risque qui s’appliquait proportionnellement à la tolérance au risque des PMO, les PMO faisaient preuve d’efficacité dans leur processus de vérification des comptes. Toutefois, cette identification des risques devrait être officialisée pour soutenir les processus suivis.

En outre, lorsque l’on suit un processus de vérification des opérations à faible risque, il est impératif que des plans d’échantillonnage soient élaborés afin que la vérification des comptes applicable aux opérations à faible risque soit bien faite. Comme ces PMO disposent de procédures de contrôle rationalisées, il est nécessaire de pouvoir compter sur une méthodologie d’échantillonnage pour les opérations à faible risque afin de fournir une assurance de la qualité adéquate.

Il est utile de disposer de listes de contrôle dans le cadre de l’application du processus de vérification. Parmi les quelques PMO inclus dans notre échantillon qui avaient identifié des opérations à risque élevé, nous avons découvert que la moitié d’entre elles avaient également dressé des listes de contrôle pour aider les personnes qui satisfont aux exigences de l’assurance de la qualité. Ces listes de contrôle établissaient les procédures requises pour les opérations à faible risque et les contrôles plus rigoureux qui sont nécessaires pour les opérations à risque élevé. Les listes de contrôle constituaient des documents adéquats pour établir que les contrôles adéquats avaient été appliqués.

La plupart des PMO inclus dans notre échantillon ne fournissaient pas de preuve adéquate des procédures de contrôle appliquées pour satisfaire à leurs exigences en matière de vérification des comptes. À la lumière du taux de roulement élevé chez les employés de la plupart des PMO, il faut documenter les preuves des travaux effectués pour étayer adéquatement les décisions antérieures qui ont été prises.

Les PMO analysent les résultats du processus de vérification des comptes. Nous avons découvert que la moitié des PMO ayant fait l’objet de notre vérification analysaient les résultats du processus de vérification des comptes pour faire rapport des secteurs dans lesquels des erreurs ont été commises ou dans lesquels le risque devrait être redéfini à la lumière de nouvelles circonstances. Ces rapports sont présentés à ceux qui exercent des fonctions de gouvernance de la gestion des dépenses. Quoique cette tâche ait souvent été exercée de manière non officielle, il a été jugé que cela suffisait pour combler les besoins de la haute direction.

On a observé une bonne pratique dans quelques-uns des PMO inclus dans notre échantillon : ils avaient recours aux services de leur ministère ou organisme d’attache pour s’acquitter de leurs responsabilités en matière d’assurance de la qualité. Le PMO est ainsi en mesure de tirer profit de plus de ressources dans son ministère ou organisme d’attache pour s’assurer que des mécanismes adéquats de gouvernance et de gestion du risque sont en place.

Cependant, la majorité des ministères ou organismes d’attache fournissant ce service n'ont pas ajusté leurs niveaux de tolérance de risque pour les transactions de PMO pour s’assurer qu’une gestion de risque appropriée soit établie.

Recommandations

4.  Les PMO devraient officialiser leur processus d’identification des opérations à risque élevé afin que les mécanismes de contrôle soient proportionnels à la tolérance au risque, ce qui assurerait à la fois l’efficacité et l’efficience du processus de vérification des comptes. Le processus pourrait être énoncé dans un court document d’information, une fois que tous les membres de la direction concernés se seraient entendus à son sujet.

5.  Les PMO qui ont rationalisé les contrôles des opérations à faible risque devraient établir un plan d’échantillonnage conçu pour fournir périodiquement l’assurance que la classification des opérations assujetties à la vérification des comptes à faible risque continue d’être justifiée.

6.  Les PMO devraient fournir des documents d’orientation, tels que des listes de contrôle, sur l’assurance de la qualité applicable aux opérations à faible risque par rapport aux opérations à risque élevé.

Conclusion

Dans l’ensemble, les PMO ne tirent pas profit des pratiques de vérification plus efficaces qui découlent de l’identification adéquate des opérations à risque élevé. La majorité des PMO qui font partie de notre échantillon prétendent que, compte tenu du faible nombre d’opérations et de l’examen accru du public, ils considèrent que toutes les opérations sont à risque élevé. Toutefois, ce degré de tolérance au risque n’est pas proportionnel aux procédures d’assurance de la qualité appliquées. Néanmoins, les PMO analysent les résultats de l’assurance de qualité et communiquent cette rétroaction de manière informelle au niveau de gestion compétent.

Plans d’action de la direction

Les constatations et les recommandations de notre vérification ont été présentées à tous les ministères et organismes visés par la mission de vérification, lesquels les ont examinées, ont présenté leurs réponses et ont mis au point un plan d’action de la direction, tel que demandé. Un résumé des réponses fournies de la part des PMO visés par la présente vérification est présenté dans l’Appendice 3. Le Comité de vérification des petits ministères et organismes (CVPMO) a été informé des constatations ainsi que des réponses des PMO. Le CVPMO recevra périodiquement des rapports sur les mesures prises, dans les organisations ayant mis en place un plan d’action de la direction.

Les administrateurs généraux des autres PMO tiendront aussi compte des résultats de la vérification interne horizontale et élaboreront des plans d’action de la direction, s’il y a lieu.