E.3 Évaluation des risques de l’Audit interne — Planification annuelle de l’audit interne

A. Cadre de gestion intégrée du risque du Bureau

  1. Le Bureau du vérificateur général du Canada (le Bureau) audite les ministères et les organismes du gouvernement fédéral, la plupart des sociétés d’État et de nombreuses autres organisations fédérales, et présente des rapports au Parlement. Le Bureau audite également les gouvernements du Nunavut, du Yukon et des Territoires du Nord-Ouest, et il présente ses rapports directement à leurs assemblées législatives. L’Équipe de la revue des pratiques et de l’audit interne (RPAI) du Bureau est formée d’auditeurs qui réalisent des audits internes dans l’ensemble de l’organisation et des revues des pratiques des responsables de mission. Selon les risques évalués par l’Équipe de la RPAI, les activités d’audit peuvent être déléguées au moyen de l’impartition ou de sous traitance.

  2. Le Cadre de gestion intégrée du risque du Bureau comprend la Politique sur la gestion du risque et le Registre des risques. L’Équipe de la RPAI en tient compte au moment d’évaluer les risques dans le cadre de sa planification annuelle de l’audit interne. La revue des pratiques répond à un risque fondamental du Bureau, soit celui que ses audits ne soient pas réalisés en conformité avec les normes d’audit, les politiques du Bureau et les lois et règlements applicables, ou que les rapports d’audit ne soient pas bien étayés. Les revues des pratiques sont menées chaque année et font partie des activités de l’Équipe de la RPAI.

  3. L’évaluation des risques du Bureau se fait par un examen des risques importants susceptibles d’avoir des effets néfastes sur la réalisation des objectifs du Bureau, y compris sa vision, ses buts et ses stratégies. S’appuyant sur leur bonne compréhension des risques évalués, les auditeurs internes rencontrent les principaux membres de la haute direction pour discuter plus en détail de certains risques, contrôles et responsabilités rattachées à la surveillance de chaque risque clé et de chaque objectif du Bureau.

B. L’évaluation des risques par l’Équipe de la RPAI

  1. L’Équipe de la RPAI évalue et analyse ensuite cette information, qui servira de base à la planification annuelle de l’audit interne, ce qui comprend des réunions avec la direction, le classement des éléments auditables par ordre de priorité et la détermination des risques de nature similaire qui peuvent peser sur divers secteurs de services. L’Équipe de la RPAI se sert d’un modèle de l’Institute of Internal Auditors (IIA) pour établir l’ordre de priorité de tous les risques déterminants évalués et tient compte des facteurs suivants :

    Facteurs de risque (généraux)

    • vulnérabilité à la fraude;

    • répercussions sur la réputation ou l’image de l’organisation;

    • complexité des activités;

    • résultats du dernier audit ou autres déficiences connues;

    • changements apportés aux systèmes, politiques et procédures;

    • ampleur des répercussions en matière de réglementation et de conformité.

  2. L’Équipe de la RPAI évalue aussi l’efficacité des processus pour gérer les risques en déterminant si :

    1. Les objectifs du Bureau sont cohérents avec le mandat et la mission du Bureau, et y contribuent.

      Objectifs stratégiques du bureau (période de cinq ans)

      • être indépendant, objectif et impartial;

      • reconnaître ce qui va et ce qui peut être amélioré, et formuler des recommandations claires, pertinentes et justes qui apportent une valeur ajoutée;

      • contribuer à l’élaboration et à l’adoption de normes professionnelles et de pratiques exemplaires;

      • nouer et entretenir des liens avec les parlementaires et les principales parties prenantes;

      • être une organisation bien gérée sur le plan financier et responsable de l’utilisation des ressources qui lui sont confiées;

      • choisir et réaliser des produits d’audit qui auront vraisemblablement une portée et une valeur importantes;

      • réaliser des produits d’audit conformes aux normes professionnelles et aux politiques du Bureau, dans le souci de l’économie;

      • voir à la prestation de services de soutien efficaces et efficients;

      • voir à ce que la gestion et la gouvernance au Bureau soient efficaces, efficientes et responsables;

      • entretenir une culture favorisant l’habilitation;

      • former et conserver une main-d’œuvre qualifiée, engagée et bilingue.

  3. Une fois l’évaluation terminée, l’Équipe de la RPAI fournit un classement des risques puis identifie les domaines potentiels à auditer au cours des prochaines années. Le principal objectif de la hiérarchisation des audits est l’amélioration des processus de gouvernance, de gestion des risques et de contrôle. La gouvernance pourrait impliquer la promotion de l’éthique, la garantie d’une performance organisationnelle efficace et la communication des informations sur les risques. La gouvernance n’existe pas en tant que processus distinct, mais plutôt en relation avec la gestion des risques et les contrôles internes.

  4. De plus, les résultats de l’analyse des risques font l’objet de discussions avec les responsables de la planification stratégique, les responsables des activités et le Comité d’audit.

  5. Il est à noter qu’une partie importante du processus d’évaluation des risques de l’Équipe de la RPAI repose sur les réunions tenues tout au long de l’année par des gestionnaires de tous les niveaux, le Comité d’audit et le vérificateur général. Comme la fonction d’audit interne est représentée à un bon nombre de ces réunions, les discussions concernant les risques qui ont eu lieu sont prises en considération comme il se doit au moment de dresser et de mettre à jour le plan d’audit interne annuel.

Mise à jour :
2018-03-28