Contrôles internes sur l information financière Novembre 2010
Ernst & Young Présentation des orateurs Stephen McIntyre, Services consultatifs en risque Hassan Qureshi, Risque et certification en TI Marco Perron, Services consultatifs en risque
Ordre du jour Séance 1 (9 h à 10 h 15) Contrôles internes sur l information financière (CIIF) Séance 2 (13 h 30 à 14 h 30) Discussion Séance 3 (15 h à 16 h) Contrôles internes au sein d un environnement informatique et communications avec le comité d audit
Séance 1 : Ordre du jour Comment en sommes-nous arrivés à cela? Politique sur le contrôle interne Contrôle interne sur l information financière (CIIF) Stratégie descendante axée sur les risques Contrôles au niveau de l entité Contrôles généraux informatiques Contrôles au niveau des opérations Quelles leçons pouvons-nous tirer d autres projets sur le contrôle interne?
Comment en sommes-nous arrivés à cela?
Attestation du contrôle interne Comment en sommes-nous arrivés à cela? Aperçu L exigence pour la direction d attester l efficacité des contrôles internes ne date pas d hier. Il existe plusieurs formes d attestation, et chaque norme comporte ses exigences. Les contrôles internes prévalent dans plusieurs secteurs de l organisation (c.-à-d. TI, exploitation, finances, RH). Accent soutenu sur la responsabilité et l assurance aux parties intéressées.
Attestation du contrôle interne Comment en sommes-nous arrivés à cela? Modèles dans l industrie États-Unis La loi Sarbanes-Oxley de 2002 (article 404) est la première à s être penchée considérablement sur l attestation du contrôle interne sur l information financière. La loi Sarbanes-Oxley représentait la réponse du gouvernement américain à un marché en crise et a été mise en place pour fournir aux investisseurs une assurance supplémentaire quant à la santé des entités. La loi Sarbanes-Oxley a exigé que la direction et l auditeur d une société attestent l efficacité du contrôle interne.
Attestation du contrôle interne Comment en sommes-nous arrivés à cela? Modèles dans l industrie Canada Suivant l exemple des marchés américains, les entreprises ayant une obligation publique de rendre des comptes cotées sur une Bourse canadienne ont peu après été tenues de se conformer à une norme équivalent à la loi Sarbanes-Oxley. Le Règlement 52-109, tout comme l article 404 de la loi Sarbanes- Oxley, a exigé que la direction (chef de la direction/chef des finances) atteste l efficacité des contrôles internes sur l information financière. Contrairement à la loi Sarbanes-Oxley, la norme canadienne n exigeait pas à l auditeur de fournir une opinion sur l efficacité du contrôle. Cette approche a permis une évaluation plus pragmatique de l efficacité du contrôle interne et offert davantage de flexibilité à la direction à l égard de sa conclusion sur l efficacité du contrôle.
Attestation du contrôle interne Comment en sommes-nous arrivés à cela? Autres modèles Royaume-Uni Les sociétés ouvertes britanniques sont tenues de se conformer à la ligne directrice intitulée «Turnbull Guidance on Internal Control», qui établit les meilleures pratiques en matière de contrôles internes. Les administrateurs de la société sont tenus de procéder à une évaluation annuelle du système de contrôles internes du groupe et de présenter les résultats aux actionnaires. La revue doit porter sur les contrôles liés aux finances, à l exploitation et à la conformité / aux risques.
Attestation du contrôle interne Comment en sommes-nous arrivés à cela? Modèles gouvernementaux Royaume-Uni L industrie n est pas le seul secteur à qui incombent des responsabilités de présentation d informations sur le contrôle interne. En juillet 2005, le Trésor de Sa Majesté au R.-U. a publié un ouvrage intitulé «Corporate governance in central government departments: Code of good practice» (Gouvernance d entreprise au sein des ministères : code de bonne pratique). «Le conseil doit s assurer de la mise en place de moyens efficaces pour fournir une assurance sur la gestion des risques, la gouvernance et les contrôles internes. À cet égard, le conseil doit recevoir les conseils indépendants : 1) d un comité d audit présidé par un administrateur indépendant; et 2) d un service d audit interne conforme aux normes d audit interne gouvernementales.»
Attestation du contrôle interne Comment en sommes-nous arrivés à cela? Modèles gouvernementaux Royaume-Uni Le Financial Reporting Manual (manuel sur l information financière) présente des exigences additionnelles aux ministères à l égard des informations à fournir en annexe aux états financiers. Étendue de la responsabilité de l administrateur des comptes Objet du système de contrôles internes Capacité de gestion des risques Cadre de risque et de contrôle Revue de l efficacité
Politique sur le contrôle interne Qui, quoi, quand, pourquoi et comment Novembre 2010
Politique sur le contrôle interne Qui est responsable? La responsabilité première en matière de présentation de rapports sur la conformité en vertu de la Politique sur le contrôle interne incombe à l administrateur général du ministère. Veiller à la mise en place, au maintien, à la surveillance et à l examen du système ministériel de contrôle interne qui permet d atténuer les risques dans les grandes catégories suivantes : l'efficacité et l efficience des programmes, des opérations et de la gestion des ressources, y compris la protection des actifs; la fiabilité des rapports financiers; et la conformité aux lois, règlements, politiques et pouvoirs délégués.
Politique sur le contrôle interne De quoi s agit-il? La Politique sur le contrôle interne définit les objectifs et les résultats attendus comme suit : Des systèmes de contrôle interne efficaces, basés sur les risques, sont en place dans chaque ministère et sont adéquatement maintenus, suivis et évalués, avec des mesures correctives apportées en temps opportun lorsque des problèmes sont identifiés. Les risques reliés à la gérance des ressources publiques sont gérés adéquatement grâce à des contrôles internes efficaces, y compris les contrôles internes en matière de rapports financiers.
Politique sur le contrôle interne De quoi s agit-il? La Politique sur le contrôle interne n est pas un projet visant à générer du travail. Hypothèse sous-tendant que des contrôles clés visant à atténuer les principaux risques existent déjà au sein de l organisation. L évaluation annuelle corrobore l efficacité du fonctionnement des contrôles clés et représente une occasion de partager des connaissances afin de modifier la stratégie à l égard de ces processus/contrôles qui ne fonctionnent pas comme prévu.
Politique sur le contrôle interne Quand? La Politique sur le contrôle interne est entrée en vigueur le 1 er avril 2009 et le respect des exigences en matière de présentation de l information se fait progressivement sur trois ans. La politique s applique à tous les ministères visés par la définition indiquée à l article 2 de la Loi sur la gestion des finances publiques.
Politique sur le contrôle interne Pourquoi? Le Parlement et la population canadienne s'attendent à ce que le gouvernement fédéral soit géré efficacement, que les fonds publics fassent l'objet d'une gestion prudente, que les biens publics soient protégés et que les ressources publiques soient utilisées de façon efficace, efficiente et économique. Ils s'attendent également à des rapports fiables qui montrent de façon transparente et responsable comment le gouvernement dépense les fonds publics en vue d'obtenir des résultats pour les Canadiens et les Canadiennes. En 2004, le BCG a déclaré que tous les ministères et les organismes seraient audités d ici 5 ans. Cette exigence n a pas été légiférée. Cette information a par la suite été révisée en 2010 avec la publication de la Politique sur la gestion financière des ressources, l'information et les rapports financiers, qui exige que des mesures soient prises de manière à ce que le ministère puisse faire l objet d un audit fondé sur des contrôles.
Politique sur le contrôle interne Comment? La conformité avec la politique sera présentée dans un rapport public de l organisation. L administrateur général et le DPF signeront une Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers annuelle du ministère, qui précèdera ses états financiers. Les résultats de l évaluation et du plan d action annuels d un ministère seront résumés en annexe à la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers.
Contrôles internes sur l information financière
Contrôles internes sur l information financière (CIIF) La définition de contrôle interne est très large. Le contrôle interne sur l information financière est un sous-ensemble des contrôles internes plus vastes présents au sein d une organisation, axés sur les activités de prévention et/ou de détection des erreurs dans l information financière. Les erreurs découlent des risques, lesquels peuvent être identifiés et atténués par les contrôles. Un contrôle interne efficace est crucial pour atténuer et réduire les risques de façon appropriée, soit l exigence sous-tendant la Politique sur la gestion financière des ressources, l'information et les rapports financiers.
Contrôles internes sur l information financière (CIIF) Le CIIF donne au lecteur des états financiers : l assurance que les états financiers présentent une image fidèle de l ensemble des opérations financières; l assurance que l ensemble des opérations sont comptabilisées conformément aux politiques, directives et normes applicables; l assurance que les opérations sont effectuées conformément aux pouvoirs délégués; l assurance que les ressources financières sont protégées contre les pertes importantes découlant de gaspillage, d'abus, d'une mauvaise gestion, d'erreurs, de fraudes, d'omissions et d'autres irrégularités.
Contrôles internes sur l information financière (CIIF) Un cadre est requis pour être en mesure d évaluer les contrôles internes sur l information financière. Le cadre en matière de contrôle interne du Committee of Sponsoring Organizations (COSO) est celui qui a été appliqué le plus uniformément dans le monde. Il compte cinq composantes interreliées : Environnement de contrôle Évaluation des risques Activités de contrôle Information et communication Suivi
Contrôles internes sur l information financière (CIIF) Deux éléments clés se rapportent à l efficacité d un contrôle : sa conception et son fonctionnement. Efficacité de la conception : la conception efficace d un contrôle consiste en ce que la bonne personne utilise la bonne information pour prendre la bonne décision, afin d atténuer les risques identifiés. Efficacité du fonctionnement : le fonctionnement efficace représente l application uniforme d un contrôle conçu efficacement, sans exception.
Stratégie descendante axée sur les risques
Stratégie descendante axée sur les risques L objectif global d un système efficace de contrôles internes sur l information financière consiste à fournir un moyen efficace et efficient d auditer les états financiers. L efficience et l efficacité du contrôle interne et de la stratégie d identification des risques sont tout aussi importantes. Un des pièges les plus fréquents réside dans l identification à outrance de risques liés à l information financière de l organisation. Le recours à une stratégie descendante axée sur les risques répondra aux exigences du CIIF tout en maintenant l efficience dans toutes les sphères de l organisation.
Stratégie descendante axée sur les risques Contrôles au niveau de l entité En s appuyant sur le modèle COSO, l environnement de contrôle joue un rôle important dans le système de contrôle interne global. Les contrôles au niveau de l entité fournissent le «ton donné par la direction» de l organisation et, par conséquent, ils se répercutent directement ou indirectement sur l ensemble des contrôles sousjacents. Un contrôle efficace au niveau de l entité fournit un bon moyen de réduire les tests au niveaux inférieurs. Un contrôle inefficace au niveau de l entité peut se révéler désastreux pour l ensemble des contrôles sous-jacents. Il existe deux types de contrôles au niveau de l entité : les contrôles directs et les contrôles indirects.
Stratégie descendante axée sur les risques Contrôles au niveau de l entité Les contrôles directs au niveau de l entité visent des risques d entreprise et des risques financiers précis, et comportent le degré de précision nécessaire pour détecter les failles dans l application des politiques et procédures d une organisation. Exemple : Le chef des finances et le directeur des finances passent en revue les états financiers trimestriels et annuels et les notes connexes. Les contrôles indirects au niveau de l entité aident à définir la sensibilisation à l importance aux contrôles d une organisation sans directement atténuer un risque financier ou opérationnel précis. Exemple : Un code de bonne conduite de l organisation distribué par l intranet.
Stratégie descendante axée sur les risques Contrôles au niveau de l entité L évaluation des risques identifie les aspects comportant un risque élevé, modéré et faible. Résultats de l évaluation des risques descendante Il est possible que les contrôles au niveau de l entité atténuent directement les risques, diminuant la nécessité des tests détaillés au niveau des opérations. Il ne reste plus que les aspects comportant un risque plus élevé nécessitant une attention particulière.
Stratégie descendante axée sur les risques Contrôles au niveau de l entité Avantages tirés de l utilisation des contrôles efficaces au niveau de l entité : Diminution de la mesure dans laquelle on s appuie sur les contrôles au niveau des opérations Augmentation de l efficacité des contrôles internes en tirant parti du personnel senior et chevronné Meilleure définition et communication des attentes de la direction au sein de l organisation (c.-à-d., ton donné par la direction) Diminution de la redondance des contrôles mis en œuvre au sein de l organisation à différents niveaux
Contrôles au niveau de l entité Stratégie descendante axée sur les risques Contrôles au niveau de l entité Efficace Inefficace Atténuation des risques Augmentation Diminution Contrôles additionnels requis
Stratégie descendante axée sur les risques Conception des contrôles au niveau des opérations Le point de départ de l évaluation de l efficacité des contrôles au niveau des opérations consiste à définir les processus opérationnels faisant partie de l étendue. Pour évaluer le CIIF, vous devez travailler de façon rétrospective à partir de l objectif ultime, soit, dans ce cas, les états financiers. Première étape identifier les comptes importants Deuxième étape associer les processus opérationnels importants Troisième étape exécuter une évaluation des risques détaillée
Stratégie descendante axée sur les risques Conception des contrôles au niveau des opérations Comptes importants La détermination des comptes jugés «importants» est une question de jugement. Le BCG a publié des lignes directrices pour aider les organisations à déterminer quels sont les comptes importants et ces lignes directrices correspondent aux pratiques courantes des secteurs privé et public. Évaluer le caractère significatif des résultats du compte sous-jacent et évaluer les risques inhérents propres à chaque compte. Une stratégie axée sur les risques mixte utilise les résultats de ces deux stratégies pour établir l importance de chacun des comptes présentés dans les états financiers.
Stratégie descendante axée sur les risques Conception des contrôles au niveau des opérations Comptes importants Chacun des comptes des états financiers comporte des assertions contenues dans les états financiers : Existence / Réalité des opérations Exhaustivité Évaluation Présentation et informations fournies Droits et obligations Du point de vue des risques, chacune des assertions liées à un compte important doit être prise en compte pour établir un ordre de priorité dans l étendue des risques identifiés. Exemple : De façon générale, le risque lié à l exhaustivité est plus important pour les comptes du passif que pour les comptes de l actif.
Stratégie descendante axée sur les risques Conception des contrôles au niveau des opérations Processus importants La valeur associée à chaque compte important est dérivée d un ensemble précis de processus opérationnels. N oubliez pas les informations à fournir! Un processus important peut être associé à un compte spécifique ou à plusieurs comptes des états financiers. Pour réaliser une évaluation des risques efficace et efficiente, vous devez tenir compte de tous les processus opérationnels et du traitement des opérations connexe, du déclenchement à l enregistrement. Exemple : L approvisionnement d un bien ou d un service est généralement déclenché par une demande de réquisition remplie par l utilisateur final. Au cours d un exercice de délimitation, si une organisation se concentrait uniquement sur les fonctions «comptables» traditionnelles, les principaux risques pourraient être négligés.
Stratégie descendante axée sur les risques Conception des contrôles au niveau des opérations Risques L objectif principal de l identification des risques consiste à mettre l accent sur les risques clés liés à l information financière (et aux informations fournies). Si les comptes importants, les assertions et les processus connexes n ont pas été identifiés de façon appropriée, le processus d identification des risques peut facilement dépasser l étendue du CIIF. Demandez vous quelles sont les «erreurs possibles» propres au compte / à l assertion / au processus. Astuce : Un risque clé, s il n est pas atténué par un contrôle (ou une série de contrôles), pourrait entraîner une erreur importante dans les états financiers.
Stratégie descendante axée sur les risques Conception des contrôles au niveau des opérations Contrôles Accent sur l identification des contrôles clés liés aux risques clés identifiés. Au moins un contrôle clé doit être associé à chaque risque clé. Lorsqu un contrôle clé est associé à plusieurs risques clés, et qu il s agit du seul contrôle clé associé à ces risques, plus le risque qu une défaillance du contrôle soit susceptible d entraîner une erreur importante est élevé. Les contrôles peuvent viser la prévention ou la détection. Idéalement, une combinaison des deux est souhaitable.
Stratégie descendante axée sur les risques Évaluation du fonctionnement des contrôles Une fois que les contrôles ont été identifiés, une stratégie de test axée sur la nature, l étendue et le calendrier doit être élaborée. La compréhension de l objectif de chaque contrôle est cruciale à l exécution efficiente des tests sur le fonctionnement. Il est possible d établir un ordre de priorité pour l évaluation des contrôles clés d après les évaluations des risques individuelles. Ces évaluations tiendraient compte du moment de la mise en place de ce contrôle, des personnes responsables de la mise en œuvre du contrôle, de l historique des erreurs dans le contrôle et de l ampleur des répercussions qu une erreur aurait sur les risques connexes.
Stratégie descendante axée sur les risques Évaluation du fonctionnement des contrôles Il existe déjà des méthodes de test de l efficacité du fonctionnement des contrôles. Plus la fréquence de mise en œuvre d un contrôle est élevée, plus la population à tester est importante. Règle générale : 10 % de la population, maximum de 25 éléments L établissement des attentes liées aux éléments probants est cruciale à l ensemble de l évaluation. L uniformité du fonctionnement d un contrôle bien conçu est l objectif visé.
Leçons tirées
Leçons tirées Ton donné par la direction En plus d entraîner l échec de la Politique sur le contrôle interne, un appui insuffisant de la direction aura des répercussions considérables sur l ensemble du processus d évaluation du contrôle interne étant donné que le fonctionnement efficace des contrôles au niveau de l entité est crucial à l évaluation des contrôles au niveau des opérations et des contrôles informatiques. Utiliser les contrôles nécessaires Bien que le fait de s appuyer sur les contrôles au niveau de l entité puisse diminuer l étendue globale des travaux s appuyant sur les contrôles de niveau inférieur, il est possible que la sensibilité de ces contrôles de «niveau supérieur» ne soit pas adaptée aux risques identifiés au niveau des opérations. Éléments probants du fonctionnement des contrôles au niveau de l entité Les contrôles au niveau de l entité, de par leur nature, existent au niveau supérieur de l organisation. Par conséquent, la forme et la fréquence de la documentation ou des éléments probants concernant leur fonctionnement manque souvent d uniformité. Les ministères et les organismes devraient s assurer que les contrôles identifiés comme étant clés pour l information financière soient mis en œuvre et documentés de façon uniforme pour permettre une évaluation corroborative, au besoin.
Leçons tirées Identifier les risques et les contrôles clés Aucun prix n est décerné pour le plus grand nombre de risques ou de contrôles. Plus vous êtres précis et stratégiques, plus vous identifierez, évaluerez et maintiendrez le système de contrôle de façon efficiente et efficace. S y mettre rapidement Le secteur privé a mis en œuvre l article 404 de la loi Sarbanes-Oxley en 2004 après plusieurs délais accordés par les organismes de réglementation. Sans égard aux échéances prolongées, il fut difficile de terminer dans les délais impartis pour la plupart des sociétés. Ne pas se lancer sans avoir de plan Pour éviter que la Politique sur le contrôle interne ne devienne un projet pour imputer des heures, les organisations doivent élaborer un plan identifiant les travaux à réaliser, le délai pour y arriver et les ressources accordées. Plus qu un projet lié à l information financière Bien que le CIIF porte sur l information financière, les mesures prises par l organisation se répercutent directement et indirectement sur les risques et les contrôles connexes. La responsabilité des processus, et la capacité d identifier si des changements ont eu lieu seront à la base de la durabilité future du processus.
Leçons tirées Projet en évolution La Politique sur le contrôle interne n est pas un projet ponctuel. L évaluation et le suivi continu des contrôles internes (à la fois leur conception et leur fonctionnement) sont permanents et doivent continuer à aller de soi.