D.1 Politique de fonctionnement de la revue des pratiques et d’audit interne

Organisation

  1. Le directeur principal de l’audit interne (DPAI) relève sur le plan fonctionnel du Comité d’audit et sur le plan administratif du vérificateur général. Cette organisation garantit le degré d’indépendance assurant l’efficacité de l’Équipe de la revue des pratiques et de l’audit interne (RPAI). Les directeurs de la RPAI relèvent du DPAI et les membres du personnel, de leur directeur respectif, sauf indication contraire. Le personnel doit normalement se trouver au bureau central du Bureau du vérificateur général du Canada (le Bureau); des auditeurs ou des groupes d’auditeurs peuvent toutefois se trouver dans des bureaux régionaux.

Les membres de l’Équipe de la RPAI

  1. L’Équipe de la RPAI sera formée principalement d’employés en audit du Bureau nommés selon les besoins et par un système de rotation. Les membres de l’Équipe doivent être remplacés de manière décalée dans le temps afin d’assurer une continuité au sein de l’équipe. Des personnes de l’extérieur peuvent aussi être recrutées, si nécessaire. Les membres de l’Équipe de la RPAI doivent posséder les connaissances, le savoir‑faire et les compétences de base nécessaires pour pouvoir effectuer le travail qui leur est assigné. Des personnes attachées à d’autres fonctions de l’organisation et qui possèdent une expertise particulière peuvent à l’occasion être mobilisées pour contribuer à des projets.

  2. Pour écarter tout problème lié à l’indépendance, le personnel de l’Équipe de la RPAI pourrait dans certains cas être assisté d’auditeurs chevronnés (normalement des niveaux PX et DX) ou d’agents de l’extérieur qui possèdent une expérience suffisante et pertinente, qui peuvent exercer une influence et qui sont indépendants par rapport à la mission examinée ou au secteur audité. Les membres de l’Équipe de la RPAI, y compris le DPAI, doivent remplir et signer une déclaration concernant leur indépendance pour chaque mission de revue ou d’audit à laquelle ils travaillent.

Objectifs et responsabilités de l’Équipe de la RPAI

  1. L’Équipe de la RPAI est chargée d’examiner les processus et les contrôles instaurés par la direction pour assurer la conformité au Code de valeurs et d’éthique du secteur public, au Code de valeurs, d’éthique et de conduite professionnelle du BVG, au Système de contrôle qualité (SCQ) du Bureau, aux politiques du Conseil du Trésor et aux Normes de l’IIA pour s’assurer qu’ils sont bien conçus et que leur fonctionnement est efficace. L’équipe s’acquittera de ce rôle en exécutant une série d’audits de conformité planifiés conçus spécialement pour examiner et tester les processus relatifs à des lois et des règlements particuliers, et en intégrant dans la portée des audits opérationnels, financiers, des missions de conseils et autres audits l’examen et la vérification de la conformité aux lois et règlements applicables. La conformité aux normes, politiques, lois et règlements applicables devrait être prise en compte dans toutes les missions de revue des pratiques et d’audit interne.

  2. L’Équipe de la RPAI s’intéressera à toutes les étapes des activités du Bureau où elle peut être utile à la direction, au Comité d’audit et au vérificateur général. Par conséquent, elle doit :

    1. examiner et apprécier le caractère adéquat, la solidité et l’application des contrôles de comptabilité, de gestion financière, de production de rapports de gestion et d’autres contrôles opérationnels, et faire des recommandations pour améliorer les pratiques et les techniques, s’il y a lieu;

    2. déterminer si les politiques et les procédures sont interprétées correctement et mises en œuvre comme il se doit et si elles sont adéquates et efficaces, et recommander que des modifications y soient apportées lorsque des changements aux conditions de fonctionnement les ont rendues lourdes, redondantes, obsolètes ou inadéquates;

    3. déterminer la fiabilité, l’efficacité et l’efficience des procédures conçues pour que le Bureau se conforme aux normes, lois et règlements applicables;

    4. déterminer si des procédures appropriées d’auto-évaluation et d’amélioration continue existent dans les activités;

    5. déterminer si les audits, les rapports et les autres produits du Bureau se conforment aux critères de la revue des pratiques;

    6. élaborer, maintenir et surveiller un programme d’assurance qualité et d’amélioration couvrant tous les aspects de la revue des pratiques et de l’audit interne;

    7. élaborer des guides et des outils utiles à l’exécution des revues et des audits.

  3. Dans la poursuite de ces objectifs, l’Équipe de la RPAI doit exécuter ses travaux avec compétence (Norme 1210) et conscience professionnelle (Norme 1220).

  4. Compétence – Les auditeurs internes doivent posséder les connaissances, les savoir-faire et les autres compétences nécessaires à l’exercice de leurs responsabilités individuelles. L’équipe d’audit interne doit collectivement posséder ou acquérir les connaissances, les savoir-faire et les autres compétences nécessaires à l’exercice de ses responsabilités. (Norme 1210)

    1. Le responsable de l’audit interne doit obtenir l’avis et l’assistance de personnes qualifiées si les auditeurs internes ne possèdent pas les connaissances, les savoir-faire et les autres compétences nécessaires pour s’acquitter de tout ou partie de leur mission. (Norme 1210.A1)

    2. Les auditeurs internes doivent posséder des connaissances suffisantes pour évaluer le risque de fraude et la façon dont ce risque est géré par l’organisation. Toutefois, ils ne sont pas censés posséder l’expertise d’une personne dont la responsabilité première est la détection et l’investigation des fraudes. (Norme 1210.A2)

    3. Les auditeurs internes doivent posséder des connaissances suffisantes des principaux risques et contrôles relatifs aux systèmes d’information, et des techniques d’audit informatisées susceptibles d’être mises en œuvre dans le cadre des travaux qui leur sont confiés. Toutefois, tous les auditeurs internes, ne sont pas censés posséder l’expertise d’un auditeur dont la responsabilité première est l’audit informatique. (Norme 1210.A3)

    4. Le responsable de l’audit interne doit refuser une mission de conseil ou obtenir l’avis et l’assistance de personnes qualifiées si les auditeurs internes ne possèdent pas les connaissances, les savoir-faire et les autres compétences nécessaires pour s’acquitter de tout ou partie de la mission. (Norme 1210.AC1)

  5. Conscience professionnelle – Les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire que l’on peut attendre d’un auditeur interne raisonnablement averti et compétent. La conscience professionnelle n’implique pas l’infaillibilité. (Norme 1220)

    1. Les auditeurs internes doivent faire preuve de conscience professionnelle en prenant en considération les éléments suivants :

      1. l’étendue du travail nécessaire pour atteindre les objectifs de la mission;

      2. la complexité relative, la matérialité ou le caractère significatif des domaines auxquels sont appliquées les procédures relatives aux missions d’assurance;

      3. l’adéquation et l’efficacité des processus de gouvernance, de management des risques et de contrôle;

      4. la probabilité d’erreurs significatives, de fraudes ou de non-conformités;

      5. le coût de l’assurance fournie par rapport aux avantages escomptés. (Norme 1220.A1)

    2. Les auditeurs doivent faire preuve de conscience professionnelle en envisageant l’utilisation de techniques d’audit informatisées et d’analyse des données. (Norme 1220.A2)

    3. Les auditeurs internes doivent exercer une vigilance particulière à l’égard des risques significatifs susceptibles d’avoir un impact sur les objectifs, les opérations ou les ressources de l’organisation. Toutefois, les procédures d’audit seules, même lorsqu’elles sont appliquées avec la conscience professionnelle requise, ne garantissent pas que tous les risques significatifs seront détectés. (Norme 1220.A3)

    4. Les auditeurs internes doivent apporter à une mission de conseil toute leur conscience professionnelle, en prenant en considération les éléments suivants :

      1. les besoins et attentes des clients, y compris à propos de la nature de la mission, du calendrier et de la communication des résultats;

      2. la complexité de la mission et l’étendue des travaux nécessaires pour atteindre les objectifs fixés;

      3. son coût par rapport aux avantages escomptés.

  6. Formation professionnelle continue – Les auditeurs internes doivent améliorer leurs connaissances, leurs savoir-faire et autres compétences par une formation professionnelle continue. (Norme 1230)

  7. En consultation avec le vérificateur général, le DPAI doit planifier avec soin toutes les activités de la fonction de RPAI pour en assurer la conformité avec la Charte et les procédures de la revue des pratiques et de l’audit interne et avec les objectifs du Bureau.

Critères

  1. Revue des pratiques

    1. Les critères d’une revue des pratiques sont basés sur des aspects choisis du système de contrôle qualité et sur les normes professionnelles.

    2. Les critères ne font pas, ou pratiquement pas, l’objet de discussions avec la direction.

    3. Les programmes de revue des pratiques sont préparés pour chaque type de mission et mis à jour chaque année, si nécessaire, en fonction des nouvelles normes et des nouvelles politiques et procédures du Bureau. Le dirigeant principal de l’audit interne (DPAI), après consultation du groupe des services d’audit, examinera les programmes, qu’il mettra ensuite à la disposition du personnel.

  2. Audits internes et revues des pratiques touchant l’ensemble des pratiques.

    1. Les audits internes doivent comporter des critères appropriés par rapport auxquels l’Équipe de la RPAI évaluera les éléments probants en vue d’élaborer des observations et de tirer des conclusions au sujet des objectifs. Les auditeurs internes doivent communiquer les sources des critères dans les rapports d’audit.

    2. Les critères sont communiqués au vérificateur général adjoint (VGA) responsable et au gestionnaire au début de l’audit interne afin de faire l’objet de discussions et d’être acceptés.

    3. Dans le cas de la revue des pratiques touchant l’ensemble d’une pratique, les critères sont tirés des normes professionnelles, d’éléments choisis du SCQ ou des pratiques exemplaires. Les critères feront l’objet de discussions avec les VGA de la pratique examinée, le VGA des Services d’audit et avec d’autres personnes, si le directeur général de l’audit interne le juge nécessaire.

  3. Déroulement des revues des pratiques et des audits internes

    1. Gestion de dossiers

      1. Les missions de revue des pratiques et d’audit interne seront documentées dans TeamMate.

      2. La consultation des dossiers sera consignée dans Proxi.

    2. Revue des pratiques d’une personne
      L’équipe de la RPAI avisera au début du cycle les responsables de mission qui ont été sélectionnés. Tous les dossiers d’audits doivent être fermés avant que les responsables soient avisés par l’équipe de la RPAI. Normalement, une revue des pratiques s’étendra sur six semaines, de la réunion initiale à l’achèvement de l’ébauche du rapport destiné au responsable de la mission. Le processus de revue est le suivant :

      1. Un échantillon de noms responsables de mission et de leurs dossiers d’audit est prélevé chaque année pour sélectionner les revues des pratiques qui seront effectuées. Le nombre des revues est basé sur les méthodes du Bureau, chaque responsable de mission devant être assujetti à une revue au moins une fois tous les quatre ans. De plus, le nombre de revues respecte le plan pluriannuel de la revue des pratiques et de l’audit interne. Pour plus d’information sur la sélection des responsables de mission, voir le document PROxI #757748 — Revised approach to Practitioner Selection for Practice Reviews.

      2. À la réception d’un avis de revue des pratiques, les équipes d’audit sont tenues de donner rapidement accès aux dossiers d’audit (en version électronique et en format papier). Elles ont normalement une semaine à compter du moment où elles ont reçu l’avis pour le faire.

      3. La revue des dossiers est habituellement menée à l’intérieur d’une période raisonnable (habituellement deux semaines) par le directeur de la RPAI.

      4. Des discussions continues devraient avoir lieu pendant tout le processus de revue entre les examinateurs et l’équipe faisant l’objet de la revue, de manière à ce que le responsable de la mission en cause soit au courant des questions qui seront abordées à la dernière séance d’information. Le DPAI devrait connaître et accepter la manière dont les observations des examinateurs ont été réglées.

      5. À la fin de la revue, les examinateurs et le DPAI informeront verbalement le responsable de mission et le VGA responsable, si nécessaire, des constatations de la revue.

      6. L’ébauche du rapport destiné au responsable de mission est normalement publiée dans les deux semaines suivant la séance d’information verbale.

      7. Le responsable de mission qui fait l’objet de la revue est censé commenter l’exactitude factuelle des constatations (le cas échéant) et préparer une réponse aux recommandations (le cas échéant) dans les cinq jours ouvrables suivant la réception de l’ébauche du rapport.

      8. L’examinateur cherche à obtenir l’accord du responsable de mission au sujet des constatations. Lorsque ce n’est pas possible, tout désaccord est consigné dans le rapport.

      9. Exceptionnellement, si les résultats de la revue indiquent qu’il serait inapproprié de produire un rapport de mission ou que d’importantes procédures n’ont pas été mises en œuvre au cours de la mission, le dirigeant principal de l’audit interne (DPAI) doit déterminer les mesures à prendre pour que les normes professionnelles ainsi que les exigences réglementaires et juridiques soient respectées. Les Services d’audit et les VGA responsables de la pratique en cause pourront être consultés sur la meilleure conduite à adopter. Le responsable de mission doit s’assurer que ces mesures sont prises. Le vérificateur général sera informé et consulté, au besoin.

      10. Le responsable de mission recevra la version définitive du rapport, de même que le vérificateur général adjoint. Ce rapport sera signé par le responsable de mission, le DPAI et l’examinateur qui a effectué la revue.

      11. Une fois toutes les revues des pratiques terminées, l’Équipe de la RPAI rédigera un rapport sommaire par gamme de produits. À ce point, la suite du processus correspond à ce qui est indiqué pour l’audit interne à partir du point v) ci-dessous, sous la rubrique Audit interne et revue des pratiques touchant l’ensemble des pratiques.

    3. Audit interne et revues des pratiques touchant l’ensemble d’une pratique

      1. La période de réalisation des travaux peut varier en fonction de l’étendue de l’audit interne et des revues des pratiques touchant l’ensemble d’une pratique, et de la disponibilité des examinateurs. La période envisagée sera communiquée à la direction et pourrait être modifiée par l’Équipe de la RPAI au début de la mission d’audit interne ou de revue.

      2. Dès qu’elle reçoit un avis d’audit ou de revue, la direction est tenue de donner accès rapidement à tous les documents (version électronique ou papier). Elle a normalement une semaine à compter du moment où elle a reçu l’avis pour le faire.

      3. Le personnel est affecté à la mission au cas par cas.

      4. À la fin des travaux sur place, le DPAI informe verbalement le VGA responsable et le gestionnaire des constatations.

      5. Une ébauche de rapport est rédigée après une discussion sur les blocs-constats de l’audit interne. L’Équipe de la RPAI a pour politique d’arriver à un accord avec la direction faisant l’objet d’une revue ou d’un audit concernant la justesse des faits qui sous‑tendent les constatations avant que la version définitive du rapport soit distribuée. S’il y a lieu, les recommandations et les réponses de la direction seront incluses dans le rapport. Dans la mesure du possible, le personnel de l’audit interne devrait collaborer avec la direction afin de trouver la meilleure solution possible.

      6. Une ébauche des réponses et des commentaires de la direction est communiquée par le gestionnaire et le VGA responsables ou par les représentants du Bureau chargés de produire des commentaires au nom de la direction (par exemple, les VGA de la pratique, le VGA du groupe des services d’audit, ou toute autre personne nommée par les parties assujetties à l’audit interne ou à la revue des pratiques). Normalement, les réponses et les commentaires sont fournis à l’Équipe de la RPAI dans les deux semaines suivant la publication de l’ébauche du rapport.

      7. Si des recommandations sont formulées, la direction préparera un plan d’action détaillé pour leur mise en œuvre. Ce plan d’action sera remis au Comité d’audit avec la version définitive du rapport, et mis à jour régulièrement.

      8. L’examinateur cherche à obtenir l’accord du responsable de mission au sujet des constatations. Si ce n’est pas possible, tout désaccord devra être consigné dans le rapport.

      9. La version définitive du rapport est remise à la direction dans les deux semaines suivant la réception des réponses et des commentaires de la direction. Elle est ensuite présentée à la prochaine réunion du Comité d’audit, qui en prendra connaissance et recommandera au vérificateur général de l’approuver. La direction participera à cette réunion du Comité d’audit pour discuter du rapport. Enfin, le Conseil de direction recevra le rapport approuvé à des fins d’information seulement, avant que le rapport soit publié sur l’Internet et l’INTRAnet dans les deux langues officielles.

  4. L’Équipe de la RPAI a pour politique d’effectuer des audits internes sous une perspective constructive. Lorsque cela sera possible, elle demandera l’aide du personnel de la section auditée aux étapes de la planification et de l’exécution de la mission et lors de l’élaboration des mesures d’amélioration. Un esprit d’équipe propice à la collaboration entre l’auditeur et les personnes auditées devra s’instaurer. Cette attitude ne devra rien changer au fait que le personnel d’audit interne a plein accès aux documents, au personnel, aux biens et aux sources d’information nécessaires pour exécuter sa mission. Si nécessaire, des dispositions spéciales seront prises pour l’examen de renseignements confidentiels ou classifiés.

  5. Avant le début de chaque audit, la direction sera avisée du calendrier envisagé et de l’étendue générale de l’audit sous forme du plan sommaire de l’audit interne. Une note de confirmation sera préparée par le DPAI et envoyée à la gestion pour leur signature. Une note de confirmation signée par le DPAI sera envoyée aux gestionnaires, qui seront chargés par la suite de communiquer le calendrier de l’audit aux personnes concernées.

  6. Le Comité d’audit supervise le travail des auditeurs internes et de l’auditeur externe. Comme le Bureau et l’Équipe de la RPAI sont de petite taille, l’auditeur externe n’a pas l’habitude de se fier aux travaux d’audit interne. Cependant, le DPAI sera présent aux réunions du Comité d’audit au cours desquelles l’auditeur externe présente son plan d’audit, fait le point et communique les résultats de son audit. Par conséquent, l’auditeur externe informera le DPAI de tous les problèmes relatifs au contrôle qu’il relèvera, notamment les faiblesses importantes, les erreurs, les irrégularités, les actes illégaux, les problèmes relatifs aux jugements, aux estimations comptables de la direction et aux mécanismes de contrôle externes importants, les désaccords avec la direction ou les problèmes rencontrés pendant l’exécution d’audits.

  7. Lorsqu’elle s’avère nécessaire, la coordination des activités d’audit interne avec l’auditeur externe consistera à échanger de l’information pour s’assurer que : 1) la couverture d’audit est optimale; 2) l’information circule; 3) le dédoublement des travaux et des dépenses est réduit au minimum; et 4) les travaux des auditeurs internes sont utilisés de manière rentable.

  8. Le partage des travaux d’audit interne doit être approuvé par le DPAI. Le partage des travaux d’audit interne ou d’audit externe doit se faire avec prudence afin que ces travaux soient protégés et gardés confidentiels, et que les résultats d’audit soient bien interprétés. Des discussions supplémentaires pourront être nécessaires. Le DPAI reçoit des copies des lettres de recommandations de l’auditeur externe, qui lui seront utiles pour son analyse des risques du plan d’audit annuel et lui serviront de points de référence pour son étude préparatoire.

  9. À l’occasion, le personnel d’audit interne peut, sur demande, être affecté directement à d’autres sections du Bureau pour travailler à des projets spéciaux qui n’ont pas trait à l’audit interne. Il se peut par exemple qu’une autre section ait besoin d’une certaine expertise, ou qu’un auditeur interne ait besoin d’acquérir de l’expérience. Pendant de telles affectations, l’auditeur relèvera de la direction où il est affecté; cependant, il recevra ses directives de nature administrative du DPAI.

  10. À la fin de l’affectation spéciale, l’auditeur interne n’aura pas le droit, pendant deux ans, de participer à un audit visant la section où il a été affecté afin de contrer toute menace réelle ou apparente à son objectivité.

  11. Périodiquement, l’Équipe de la RPAI interroge la direction quant aux mesures qu’elle a prises à la suite des recommandations qu’elle a formulées.

    1. Suivi en matière d’audit interne — Avant une réunion du Comité d’audit, le gestionnaire responsable est censé mettre à jour le plan d’action de la direction. Les personnes qui répondent au nom de la direction sont censées procéder à des consultations sur l’élaboration et l’acceptation des réponses de la direction, selon les besoins. L’Équipe de la RPAI peut évaluer les progrès accomplis par la direction quant aux recommandations et à l’état d’avancement du plan d’action. Le DPAI remettra au Comité d’audit un compte rendu des mesures prises par la direction pour mettre en œuvre les recommandations, pour information.

    2. Suivi en matière d’audit externe — En ce qui concerne les questions communiquées par l’auditeur externe, les gestionnaires opérationnels prépareront un plan d’action, lequel sera présenté au Comité d’audit. Le DPAI évaluera les progrès accomplis par le Bureau dans la suite donnée à ces questions.

    3. Suivi en matière de revue des pratiques — Avant une réunion du Comité d’audit, le VGA du groupe des services d’audit ou les VGA responsables de la pratique visée doivent fournir un rapport d’étape sur les recommandations et les mesures prises. L’Équipe de la RPAI peut évaluer les progrès accomplis dans la mise en œuvre des recommandations. Le rapport d’étape sera ensuite soumis au Comité d’audit pour examen, au vérificateur général pour approbation et au Conseil de direction pour information. Le DPAI remettra au Comité d’audit un compte rendu des mesures prises par la direction pour mettre en œuvre les recommandations.

  12. Une fois que les gestionnaires opérationnels ont affirmé que le plan d’action a été entièrement réalisé, l’Équipe de la RPAI validera la conception et l’efficacité du fonctionnement des mesures prises. Si les mesures sont efficaces, elle recommandera au Comité d’audit de fermer le dossier. Le vérificateur général approuvera la fermeture du dossier.

Mise à jour :
2018-03-01