Cadre de gestion du risque de fraude Rapport d audit Rapport n o 5/14 2 septembre 2014

Transcription

1 Diffusion : Cadre de gestion du risque de fraude Rapport d audit Rapport n o 5/14 2 septembre 2014 Destinataires : Président et chef de la direction Premier vice-président et chef de la direction financière Premier vice-président et chef de la gestion des risques Vice-président et contrôleur général c. c. : Premier vice-président, Affaires générales et secrétaire Premier vice-président, Ressources humaines et Communications Premier vice-président, Développement des affaires Premier vice-président, Assurances Premier vice-président, Groupe des produits de financement Premier vice-président, Solutions d affaires et Innovation Vice-président, Gestion des risques d entreprise Vice-président et chef des services juridiques Vice-président, Bureau de gestion des portefeuilles de l entreprise Vice-président et chef des services informatiques Agent de sécurité de la Société, Services de sécurité et de courrier Agent de sécurité des technologies de l information, Solutions technologiques d affaires Avocat-conseil principal et secrétaire adjoint, Groupe de la conformité juridique et de la gouvernance Directeur de groupe, Planification stratégique et Relations gouvernementales Directeur principal, Bureau du vérificateur général Directeur, Bureau du vérificateur général Équipe d audit Mona Ayoub Allison Coons Vice-présidente, Vérification interne Monica Ryan

2 Table des matières Introduction... 3 Objectifs et étendue de l audit... 3 Opinion de la Vérification interne... 3 Constatations de l audit et plans d action... 4 Conclusion... 5 Cadre de gestion du risque de fraude 2 septembre

3 Introduction EDC a adopté le cadre de contrôle interne préconisé par le Committee of Sponsoring Organizations of the Treadway Commission (COSO). En 2013, le COSO a mis à jour ce référentiel et publié un cadre intégré de contrôle interne, qui insiste désormais davantage sur la gestion du risque de fraude. EDC envisage de passer au cadre actualisé en 2015, car le risque de fraude est justement apparu comme un sujet de préoccupations dans le Sondage sur la gestion des risques d entreprise réalisé en Par conséquent, le plan d audit d EDC pour 2014 comprenait une évaluation de son cadre de gestion du risque de fraude. Objectifs et étendue de l audit Avant le début de cet audit, nous avons établi qu EDC ne possède pas de cadre officiel de gestion du risque de fraude. Dans cette optique, les objectifs de l audit étaient les suivants : Nommer et définir les capacités devant faire partie d un cadre solide de gestion du risque de fraude dans une institution financière semblable à EDC. Déterminer lesquelles de ces capacités sont actuellement en place à EDC et à quel niveau de maturité. Collaborer avec la direction à établir l ordre de priorité des écarts à combler. Quant à son étendue, l audit s est limité aux risques de fraude internes. Opinion de la Vérification interne À notre avis, il existe des possibilités d amélioration des contrôles 1 entourant la gestion des risques de fraude à EDC. Aucun cadre officiel de gestion du risque de fraude n est en place; c est pourquoi nous avons sollicité l aide de consultants externes pour déterminer les capacités nécessaires à l établissement d un cadre de gestion solide. Ceux-ci ont déterminé treize capacités de gestion du risque de fraude. Nous avons ensuite procédé à une évaluation détaillée des capacités actuelles à l échelle d EDC par rapport à ces treize capacités. Se fondant sur les résultats de l évaluation, la direction a dégagé les capacités prioritaires à mettre en place pour soutenir la mise en œuvre d un premier cadre de gestion du risque de fraude. Celles-ci comprennent : définir les rôles et responsabilités de gestion du risque de fraude; établir un seuil de tolérance au risque de fraude; élaborer une politique de gestion du risque de fraude; et faire une évaluation des risques à l échelle de la Société pour repérer les domaines les plus vulnérables à la fraude. Généralement, la gouvernance d un programme de gestion du risque de fraude relève du chef de la gestion des risques (CRO). Conformément à cette pratique, le Groupe de la gestion des risques 1 Nos opinions d audit standards sont les suivantes : - Contrôle rigoureux : Les contrôles clés ont bien été conçus et fonctionnent comme prévu. Des contrôles internes exemplaires sont en place. Les objectifs du processus audité seront très probablement atteints. - Bien contrôlé : Les contrôles clés ont bien été conçus et fonctionnent comme prévu. Les objectifs du processus audité seront probablement atteints. - Possibilités d amélioration des contrôles : Un ou plusieurs contrôles clés sont absents, ne sont pas bien conçus ou ne fonctionnent pas comme prévu. Il se peut que les objectifs du processus ne soient pas atteints. Du point de vue des finances et/ou de la réputation, l incidence sur le processus audité n est pas négligeable. De promptes mesures s imposent. - Non contrôlé : De nombreux contrôles clés sont absents, ne sont pas bien conçus ou ne fonctionnent pas comme prévu. Les objectifs du processus ne seront probablement pas atteints. Du point de vue des finances et/ou de la réputation, l incidence sur le processus audité est importante. Des mesures doivent être prises immédiatement. Cadre de gestion du risque de fraude 2 septembre

4 d entreprise (ERMG) d EDC s est engagé à élaborer un plan d action pour le déploiement des capacités hautement prioritaires convenues dans le cadre de l audit. Comme l indique le mémoire du CRO au Comité de gestion des risques, le plan d action fera partie de la mise à jour de planification qu effectuera l ERMG d ici la fin de l année. Constatations de l audit et plans d action Cadre de gestion du risque de fraude EDC a adopté un modèle de gestion des risques à trois lignes de défense. Nous avons sollicité l aide de consultants externes pour établir les capacités qu on devrait retrouver dans les trois lignes de défense d un cadre solide de gestion du risque de fraude pour une organisation semblable à EDC. Au total, ils nous ont signalé treize capacités de gestion du risque de fraude, dont quatre en deuxième ligne. Nous avons d ailleurs limité notre évaluation à ces quatre capacités, puisque l amélioration de la première ligne de défense serait limitée sans la coordination et la surveillance de la deuxième ligne. Nous avons divisé les quatre capacités de la deuxième ligne de défense en quinze sous-capacités, puis avons comparé les pratiques de gestion du risque de fraude actuelles d EDC à ces sous-capacités. Selon notre analyse, les écarts suivants méritent d être signalés à la direction : Surveillance de la gestion du risque de fraude Dans un cadre solide de gestion du risque de fraude, les rôles et responsabilités de surveillance en la matière seraient clairement définies (p. ex. politiques et lignes directrices) et des évaluations correspondantes seraient prévues à l échelle de la Société. À ce jour, il n y a aucune définition officielle des rôles et responsabilités de surveillance visant la gestion du risque de fraude, par exemple des conseils et une orientation concernant l exécution d activités de gestion du risque de fraude dans l ensemble d EDC. Politique de gestion du risque de fraude Dans un cadre solide de gestion du risque de fraude, la Société rédigerait une politique contenant une définition de la fraude et établissant clairement des rôles et responsabilités de prévention, de détection et de surveillance des risques de fraude. À l heure actuelle, aucune politique autonome de gestion du risque de fraude n est en place à EDC. Tolérance au risque de fraude Il s agirait notamment d établir un seuil officiel de tolérance au risque de fraude, à l égard de notre exposition aux risques financiers, de réputation et de tutelle, qui cadre avec l énoncé d EDC sur l appétence pour le risque. Aucun seuil de tolérance n a été défini à ce jour, ni qualitativement, ni quantitativement. Une fois le seuil défini, nous pourrons déterminer l étendue des contrôles antifraude nécessaires. Évaluation des risques de fraude et planification par scénarios Il s agirait notamment de mener des évaluations des risques d entreprise pour repérer, au sein d EDC, les domaines les plus vulnérables au risque de fraude et ainsi définir les écarts de contrôle généraux, les tendances et le profil global de risque de fraude. Cette capacité n existe pas actuellement. Cadre de gestion du risque de fraude 2 septembre

5 Communication interne et formation Il s agirait notamment de créer un programme de formation pour apprendre au personnel comment réagir en cas d activité frauduleuse. Certains éléments de formation sur la fraude sont traités dans la formation sur le Code de conduite et les séances de sensibilisation offertes durant la Semaine de l éthique. Rapidité d intervention en cas de fraude Il s agirait notamment d intégrer au programme de maintien des activités un plan d intervention rapide en cas de fraude. À l heure actuelle, le Plan de maintien des activités d EDC ne tient pas compte du risque de fraude. Gestion du changement Il s agirait de créer un rôle pour superviser la gestion du changement dans le cadre des projets d entreprise, afin que les risques de fraude, entre autres risques d entreprise, soient pris en considération lors de la planification, de la mise en œuvre et de l exécution des projets de transformation, et qu ils soient ramenés aux seuils de tolérance établis. Actuellement, l évaluation des risques de fraude n est pas faite systématiquement dans le cadre du processus de gestion du changement d EDC. Nous avons examiné ces capacités avec la direction, qui s est engagée à élaborer un plan d action pour le déploiement d un cadre de gestion du risque de fraude. Constatation de l audit Problème majeur 2 Responsable de l intervention P. v.-p. et chef de la gestion des risques, Gestion des risques d entreprise Date d échéance Quatrième trimestre de 2014 Conclusion Les constatations de l audit ont été communiquées à la direction, qui les a acceptées. Le plan d action s y rapportant sera mis en œuvre au plus tard au quatrième trimestre de Nous tenons à remercier la direction de son appui tout au long de l audit. 2 Les constatations de l audit sont établies comme suit : Problème majeur : Un contrôle clé est absent, est mal conçu ou ne fonctionne pas comme prévu, et le risque financier et/ou de réputation n est pas négligeable. L objectif du processus sur lequel porte le contrôle ne sera probablement pas atteint. Des mesures correctives s imposent pour que les contrôles soient rentables et/ou que les objectifs du processus soient atteints. Problème modéré : Un contrôle clé est absent, est mal conçu ou ne fonctionne pas comme prévu, et le risque financier et/ou de réputation pour le processus n est pas négligeable. Cependant, un contrôle compensatoire existe. Des mesures correctives s imposent pour éviter de compter uniquement sur les contrôles compensatoires et/ou pour s assurer que les contrôles sont rentables. Problème mineur : Faiblesse dans la conception et/ou le fonctionnement d un contrôle qui n est pas un contrôle clé. Il est peu probable que l atteinte des objectifs soit compromise. Il est recommandé de mettre en place des mesures correctives pour rentabiliser les contrôles. Cadre de gestion du risque de fraude 2 septembre