Cadre de gestion du risque de fraude Rapport d audit Rapport n o 5/14 2 septembre 2014



Documents pareils
Introduction Objectif et portée de la vérification Opinion de la Vérification interne... 3

Gestion du capital Rapport de vérification final Rapport n o 13/13 17 février 2014

Éléments hors bilan Rapport de vérification final Rapport N o 20/12 18 février 2013

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

COMMANDITÉ DE BROOKFIELD RENEWABLE ENERGY PARTNERS L.P. CHARTE DU COMITÉ D AUDIT

Note de mise en œuvre

i) Types de questions Voici les lignes directrices pour chaque type de question ainsi que la pondération approximative pour chaque type :

Guide de travail pour l auto-évaluation:

EXPORTATION ET DÉVELOPPEMENT CANADA MANDAT DU COMITÉ DE LA VÉRIFICATION DU CONSEIL D ADMINISTRATION

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

Ligne directrice sur les simulations de crise à l intention des régimes de retraite assortis de dispositions à prestations déterminées

APERÇU DES OBLIGATIONS

Le management des risques de l entreprise Cadre de Référence. Synthèse

Plan de cours Programme de leadership en entreprise pour les conseillers juridiques d entreprise

Rapport de vérification interne du cadre de contrôle de l accès aux réseaux informatiques. Janvier 2010

L Audit Interne vs. La Gestion des Risques. Roland De Meulder, IEMSR-2011

Evaluation du Conseil d administration, de ses Comités et de ses administrateurs individuels Autres rémunérations

Conseil de recherches en sciences humaines du Canada

RAPPORT DU CONSEIL D ADMINISTRATION A L ASSEMBLEE GENERALE

COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA. Vérification de la gestion des ressources humaines

COMMENTAIRES. du Regroupement des cabinets de courtage d assurance du Québec. présentés à l Autorité des marchés financiers

Organe consultatif indépendant de surveillance de l OMPI

Banque européenne d investissement. Charte de l Audit interne

Politique de gestion des risques

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS

Vérification des procédures en fin d exercice

F Distribution: GÉNÉRALE RESSOURCES, QUESTIONS FINANCIÈRES ET BUDGÉTAIRES. Point 6 de l'ordre du jour

Note d orientation : La simulation de crise Établissements de catégorie 2. Novembre This document is also available in English.

Sondage sur la volonté d améliorer la gouvernance

Stratégie nationale en matière de cyber sécurité

Obligations des courtiers membres qui vendent des fonds négociés en bourse à effet de levier et à rendement inverse

PROFIL DE RISQUE INTÉGRÉ DE RENTES DU MOUVEMENT DESJARDINS (RRMD)

Politique et Standards Santé, Sécurité et Environnement

Plan de travail du Bureau de l audit et de la surveillance du FIDA pour 2011

La référence pour maîtriser votre risque. Guide de référence. de la cotation

Bonnes pratiques de l'ocde pour la gestion des sinistres d assurance

Norme ISA 200, Objectifs généraux de l auditeur indépendant et réalisation d un audit conforme aux Normes internationales d audit

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

CADRE D AGRÉMENT APPROCHE STANDARD DU RISQUE OPÉRATIONNEL

Gestion des risques, contrôle interne et audit interne

Norme ISA 330, Réponses de l auditeur à l évaluation des risques

STATUTS BUT ET COMPOSITION DE L ASSOCIATION

Les dispositifs de gestion des risques et de contrôle interne. Cadre de référence

Activité des programmes de médicaments

Préambule. Claude Sicard Vice-président au partenariat et à l expertise-conseil 2 LE CADRE D INTERVENTION EN PRÉVENTION-INSPECTION

Banque Zag. Troisième pilier de Bâle II et III Exigences de divulgation. 31 décembre 2013

3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L DU CODE DE COMMERCE)

Les dispositifs de gestion des risques et de contrôle interne. Cadre de référence

Management de la sécurité des technologies de l information

asah alpha consulting Prog o ram a m m e e de d e fo f r o mat a i t on o n

Politique de sécurité de l information

Rapport du vérificateur général du Canada à la Chambre des communes

LIGNE DIRECTRICE SUR LA GESTION DU RISQUE DE TAUX D INTÉRÊT

MANDAT DU COMITÉ DE PLACEMENT DU FONDS DE PENSION BANQUE DU CANADA

LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE

Excellence. Technicité. Sagesse

RAPPORT ANNUEL DU COMITE D AUDIT ET DES RISQUES AU CONSEIL D ADMINISTRATION EXERCICE 2012

CADRE DE COMPÉTENCES EN COMMERCE D INTÉGRATION

Yphise accompagne les décideurs et managers dans leurs réflexions, décisions et actions

Le management des risques de l entreprise

DOCUMENT DE TRAVAIL DES SERVICES DE LA COMMISSION RÉSUMÉ DE L'ANALYSE D'IMPACT. Accompagnant le document

Vers l amélioration continue

Outsourcing : la sauvegarde en ligne des données de l entreprise.

PROFESSION COMPTABLE ET FINANCEMENT EXPORT

CADRE DE TRAVAIL. Mai Autorité des marchés financiers - Mai 2008 Page 1

Norme ISA 260, Communication avec les responsables de la gouvernance

LE PLAN D'AMÉLIORATION DE LA FONCTION MARKETING

1. COMPOSITION ET CONDITIONS DE PREPARATION ET D ORGANISATION DES TRAVAUX DU CONSEIL D ADMINISTRATION

LE CONTRÔLE INTERNE GUIDE DE PROCÉDURES

Gestion des risques de fraude

JOURNÉE THÉMATIQUE SUR LES RISQUES

Sigma Consulting est un cabinet conseil spécialisé en management des organisations. Le Management en mode projet..2

CNAC. Appel à commentaires. Missions d examen. préparé par le Conseil des normes d audit et de certification

politique de la France en matière de cybersécurité

États financiers consolidés du GROUPE CGI INC.

Charte d audit du groupe Dexia

Orientations pour la gestion documentaire des courriels au gouvernement du Québec

Poste : AGENT AUX ACHATS. Conditions d accès à la profession : Tâches : ACHATS

Banque le Choix du Président

Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

NORME IAS 32/39 INSTRUMENTS FINANCIERS

Annexe IV : rapport du Président du Conseil d Administration

Conférence des États parties à la Convention des Nations Unies contre la corruption

Protocole institutionnel d assurance de la qualité. Université d Ottawa

Norme ISA 510, Audit initial Soldes d ouverture

BUREAU DU CONSEIL PRIVÉ. Vérification de la gouvernance ministérielle. Rapport final

ÉNONCÉ DE PRINCIPES LE COMMERCE ÉLECTRONIQUE DES PRODUITS D ASSURANCE

Lignes directrices à l intention des praticiens

protection consommateurs commerce électronique Principes régissant la dans le Le cadre canadien des

LIGNE DIRECTRICE SUR LA CONFORMITÉ

ESGIS AUDIT COMPTABLE ET FINANCIER. SUPPORT DE COURS MASTER Mr WHANNOU SERGE

Mise en place d un Système de Management Environnemental sur la base de la Norme ISO SARRAMAGNAN Viviane

États financiers consolidés

Baccalauréat professionnel vente (prospection - négociation - suivi de clientèle) RÉFÉRENTIEL DE CERTIFICATION

Lignes. directrices. droits. d enfants. d accès. Pour l expertise en matière de garde. et des. février 2oo6

Evaluation de l organisation interne

Certification de Systèmes de Management Recertification

Transcription:

Diffusion : Cadre de gestion du risque de fraude Rapport d audit Rapport n o 5/14 2 septembre 2014 Destinataires : Président et chef de la direction Premier vice-président et chef de la direction financière Premier vice-président et chef de la gestion des risques Vice-président et contrôleur général c. c. : Premier vice-président, Affaires générales et secrétaire Premier vice-président, Ressources humaines et Communications Premier vice-président, Développement des affaires Premier vice-président, Assurances Premier vice-président, Groupe des produits de financement Premier vice-président, Solutions d affaires et Innovation Vice-président, Gestion des risques d entreprise Vice-président et chef des services juridiques Vice-président, Bureau de gestion des portefeuilles de l entreprise Vice-président et chef des services informatiques Agent de sécurité de la Société, Services de sécurité et de courrier Agent de sécurité des technologies de l information, Solutions technologiques d affaires Avocat-conseil principal et secrétaire adjoint, Groupe de la conformité juridique et de la gouvernance Directeur de groupe, Planification stratégique et Relations gouvernementales Directeur principal, Bureau du vérificateur général Directeur, Bureau du vérificateur général Équipe d audit Mona Ayoub Allison Coons Vice-présidente, Vérification interne Monica Ryan

Table des matières Introduction... 3 Objectifs et étendue de l audit... 3 Opinion de la Vérification interne... 3 Constatations de l audit et plans d action... 4 Conclusion... 5 Cadre de gestion du risque de fraude 2 septembre 2014 2

Introduction EDC a adopté le cadre de contrôle interne préconisé par le Committee of Sponsoring Organizations of the Treadway Commission (COSO). En 2013, le COSO a mis à jour ce référentiel et publié un cadre intégré de contrôle interne, qui insiste désormais davantage sur la gestion du risque de fraude. EDC envisage de passer au cadre actualisé en 2015, car le risque de fraude est justement apparu comme un sujet de préoccupations dans le Sondage sur la gestion des risques d entreprise réalisé en 2013. Par conséquent, le plan d audit d EDC pour 2014 comprenait une évaluation de son cadre de gestion du risque de fraude. Objectifs et étendue de l audit Avant le début de cet audit, nous avons établi qu EDC ne possède pas de cadre officiel de gestion du risque de fraude. Dans cette optique, les objectifs de l audit étaient les suivants : Nommer et définir les capacités devant faire partie d un cadre solide de gestion du risque de fraude dans une institution financière semblable à EDC. Déterminer lesquelles de ces capacités sont actuellement en place à EDC et à quel niveau de maturité. Collaborer avec la direction à établir l ordre de priorité des écarts à combler. Quant à son étendue, l audit s est limité aux risques de fraude internes. Opinion de la Vérification interne À notre avis, il existe des possibilités d amélioration des contrôles 1 entourant la gestion des risques de fraude à EDC. Aucun cadre officiel de gestion du risque de fraude n est en place; c est pourquoi nous avons sollicité l aide de consultants externes pour déterminer les capacités nécessaires à l établissement d un cadre de gestion solide. Ceux-ci ont déterminé treize capacités de gestion du risque de fraude. Nous avons ensuite procédé à une évaluation détaillée des capacités actuelles à l échelle d EDC par rapport à ces treize capacités. Se fondant sur les résultats de l évaluation, la direction a dégagé les capacités prioritaires à mettre en place pour soutenir la mise en œuvre d un premier cadre de gestion du risque de fraude. Celles-ci comprennent : définir les rôles et responsabilités de gestion du risque de fraude; établir un seuil de tolérance au risque de fraude; élaborer une politique de gestion du risque de fraude; et faire une évaluation des risques à l échelle de la Société pour repérer les domaines les plus vulnérables à la fraude. Généralement, la gouvernance d un programme de gestion du risque de fraude relève du chef de la gestion des risques (CRO). Conformément à cette pratique, le Groupe de la gestion des risques 1 Nos opinions d audit standards sont les suivantes : - Contrôle rigoureux : Les contrôles clés ont bien été conçus et fonctionnent comme prévu. Des contrôles internes exemplaires sont en place. Les objectifs du processus audité seront très probablement atteints. - Bien contrôlé : Les contrôles clés ont bien été conçus et fonctionnent comme prévu. Les objectifs du processus audité seront probablement atteints. - Possibilités d amélioration des contrôles : Un ou plusieurs contrôles clés sont absents, ne sont pas bien conçus ou ne fonctionnent pas comme prévu. Il se peut que les objectifs du processus ne soient pas atteints. Du point de vue des finances et/ou de la réputation, l incidence sur le processus audité n est pas négligeable. De promptes mesures s imposent. - Non contrôlé : De nombreux contrôles clés sont absents, ne sont pas bien conçus ou ne fonctionnent pas comme prévu. Les objectifs du processus ne seront probablement pas atteints. Du point de vue des finances et/ou de la réputation, l incidence sur le processus audité est importante. Des mesures doivent être prises immédiatement. Cadre de gestion du risque de fraude 2 septembre 2014 3

d entreprise (ERMG) d EDC s est engagé à élaborer un plan d action pour le déploiement des capacités hautement prioritaires convenues dans le cadre de l audit. Comme l indique le mémoire du CRO au Comité de gestion des risques, le plan d action fera partie de la mise à jour de planification qu effectuera l ERMG d ici la fin de l année. Constatations de l audit et plans d action Cadre de gestion du risque de fraude EDC a adopté un modèle de gestion des risques à trois lignes de défense. Nous avons sollicité l aide de consultants externes pour établir les capacités qu on devrait retrouver dans les trois lignes de défense d un cadre solide de gestion du risque de fraude pour une organisation semblable à EDC. Au total, ils nous ont signalé treize capacités de gestion du risque de fraude, dont quatre en deuxième ligne. Nous avons d ailleurs limité notre évaluation à ces quatre capacités, puisque l amélioration de la première ligne de défense serait limitée sans la coordination et la surveillance de la deuxième ligne. Nous avons divisé les quatre capacités de la deuxième ligne de défense en quinze sous-capacités, puis avons comparé les pratiques de gestion du risque de fraude actuelles d EDC à ces sous-capacités. Selon notre analyse, les écarts suivants méritent d être signalés à la direction : Surveillance de la gestion du risque de fraude Dans un cadre solide de gestion du risque de fraude, les rôles et responsabilités de surveillance en la matière seraient clairement définies (p. ex. politiques et lignes directrices) et des évaluations correspondantes seraient prévues à l échelle de la Société. À ce jour, il n y a aucune définition officielle des rôles et responsabilités de surveillance visant la gestion du risque de fraude, par exemple des conseils et une orientation concernant l exécution d activités de gestion du risque de fraude dans l ensemble d EDC. Politique de gestion du risque de fraude Dans un cadre solide de gestion du risque de fraude, la Société rédigerait une politique contenant une définition de la fraude et établissant clairement des rôles et responsabilités de prévention, de détection et de surveillance des risques de fraude. À l heure actuelle, aucune politique autonome de gestion du risque de fraude n est en place à EDC. Tolérance au risque de fraude Il s agirait notamment d établir un seuil officiel de tolérance au risque de fraude, à l égard de notre exposition aux risques financiers, de réputation et de tutelle, qui cadre avec l énoncé d EDC sur l appétence pour le risque. Aucun seuil de tolérance n a été défini à ce jour, ni qualitativement, ni quantitativement. Une fois le seuil défini, nous pourrons déterminer l étendue des contrôles antifraude nécessaires. Évaluation des risques de fraude et planification par scénarios Il s agirait notamment de mener des évaluations des risques d entreprise pour repérer, au sein d EDC, les domaines les plus vulnérables au risque de fraude et ainsi définir les écarts de contrôle généraux, les tendances et le profil global de risque de fraude. Cette capacité n existe pas actuellement. Cadre de gestion du risque de fraude 2 septembre 2014 4

Communication interne et formation Il s agirait notamment de créer un programme de formation pour apprendre au personnel comment réagir en cas d activité frauduleuse. Certains éléments de formation sur la fraude sont traités dans la formation sur le Code de conduite et les séances de sensibilisation offertes durant la Semaine de l éthique. Rapidité d intervention en cas de fraude Il s agirait notamment d intégrer au programme de maintien des activités un plan d intervention rapide en cas de fraude. À l heure actuelle, le Plan de maintien des activités d EDC ne tient pas compte du risque de fraude. Gestion du changement Il s agirait de créer un rôle pour superviser la gestion du changement dans le cadre des projets d entreprise, afin que les risques de fraude, entre autres risques d entreprise, soient pris en considération lors de la planification, de la mise en œuvre et de l exécution des projets de transformation, et qu ils soient ramenés aux seuils de tolérance établis. Actuellement, l évaluation des risques de fraude n est pas faite systématiquement dans le cadre du processus de gestion du changement d EDC. Nous avons examiné ces capacités avec la direction, qui s est engagée à élaborer un plan d action pour le déploiement d un cadre de gestion du risque de fraude. Constatation de l audit Problème majeur 2 Responsable de l intervention P. v.-p. et chef de la gestion des risques, Gestion des risques d entreprise Date d échéance Quatrième trimestre de 2014 Conclusion Les constatations de l audit ont été communiquées à la direction, qui les a acceptées. Le plan d action s y rapportant sera mis en œuvre au plus tard au quatrième trimestre de 2014. Nous tenons à remercier la direction de son appui tout au long de l audit. 2 Les constatations de l audit sont établies comme suit : Problème majeur : Un contrôle clé est absent, est mal conçu ou ne fonctionne pas comme prévu, et le risque financier et/ou de réputation n est pas négligeable. L objectif du processus sur lequel porte le contrôle ne sera probablement pas atteint. Des mesures correctives s imposent pour que les contrôles soient rentables et/ou que les objectifs du processus soient atteints. Problème modéré : Un contrôle clé est absent, est mal conçu ou ne fonctionne pas comme prévu, et le risque financier et/ou de réputation pour le processus n est pas négligeable. Cependant, un contrôle compensatoire existe. Des mesures correctives s imposent pour éviter de compter uniquement sur les contrôles compensatoires et/ou pour s assurer que les contrôles sont rentables. Problème mineur : Faiblesse dans la conception et/ou le fonctionnement d un contrôle qui n est pas un contrôle clé. Il est peu probable que l atteinte des objectifs soit compromise. Il est recommandé de mettre en place des mesures correctives pour rentabiliser les contrôles. Cadre de gestion du risque de fraude 2 septembre 2014 5

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back