AVIS CONCERNANT LE DROIT D’AUTEUR ─ Ce manuel est destiné à un usage interne. Il ne peut être reproduit par ou distribué à des tierces parties par courriel, par télécopieur, par courrier, en main propre ou par tout autre moyen de distribution ou de reproduction sans le consentement écrit du Coordonnateur des droits d’auteur du Bureau du vérificateur général du Canada. Les paragraphes du Manuel de CPA Canada sont reproduits ici pour votre utilisation non-commerciale avec l’autorisation des Comptables professionnels agréés du Canada (CPA Canada). Ils ne peuvent pas être modifiés, copiés ou distribués, sous une forme quelconque, car cela transgresserait le droit d’auteur de CPA Canada. Reproduit à partir du Manuel de CPA Canada avec l’autorisation des Comptables professionnels agréés du Canada, Toronto, Canada.
1505 Acquisition et maintien d’une connaissance des activités de l’entité, dans le cas des audits de performance
août-2021
Aperçu
La connaissance des activités désigne la compréhension de la façon dont fonctionne une entité publique fédérale ou une entité importante dans un secteur donné, de la culture organisationnelle de cette entité, des difficultés qu’elle doit surmonter et de son environnement externe. La connaissance des activités d’une entité est un élément important de la planification d’un audit de performance fondé sur les risques, pertinent et opportun.
Politiques du BVG
L’équipe d’audit doit acquérir, maintenir, transmettre et documenter sa connaissance des entités appartenant à son portefeuille, y compris les risques auxquels elles sont exposées. [nov.-2014]
Directives du BVG
Le responsable de mission chargé de l’audit d’une entité ou d’un secteur donné doit acquérir et mettre à jour en permanence sa connaissance des activités de l’entité ou du secteur en ayant des entretiens avec les responsables de l’entité, en examinant la documentation et en lisant les articles publiés dans les médias. L’élaboration du plan stratégique d’audit (PSA) favorise également l’acquisition d’une connaissance des activités de l’entité (voir BVG Audit 1510 — Sélection des sujets d’audit de performance). Puisque le PSA est un plan à long terme des audits d’un secteur ou d’une entité en particulier, il doit être réévalué chaque année pour s’assurer de planifier les bons audits. Les travaux liés à la connaissance des activités de l’entité sont indispensables à la validation du PSA ou à l’identification de nouveaux risques ou secteurs d’audit. S’il n’y a pas de PSA pour un secteur ou une entité en particulier, la connaissance des activités de l’entité est l’unique source d’information.
Le responsable de mission est chargé de l’audit de plusieurs entités. Par conséquent, il lui revient d’acquérir des connaissances actuelles au sujet des entités – y compris les grands risques auxquels elles font face – et de les tenir à jour, de les communiquer et de les documenter. Le responsable de mission doit acquérir des connaissances relatives à des aspects précis des entités auditées, les tenir à jour, les transmettre et les documenter.
La connaissance des activités de l’entité remplit des fonctions importantes à différentes étapes d’un audit :
- elle permet de prendre des décisions objectives et éclairées sur les sujets d’audit, notamment de mettre à jour les risques recensés dans le Plan stratégique d’audit, et de justifier les changements apportés aux enveloppes budgétaires allouées (voir BVG Audit 1510 — Sélection des sujets d’audit de performance);
- elle rend la planification de l’audit plus ciblée et efficiente;
- elle permet de déterminer les cas où l’aide d’un spécialiste interne est requise;
- elle permet de mettre les constatations de l’audit en contexte au moment de produire le rapport;
- elle facilite la formulation des recommandations découlant de l’audit;
- elle aide les équipes d’audit à se préparer en vue des réunions avec les comités ministériels d’audit;
- elle aide les équipes d’audit à se préparer en vue des audiences des comités parlementaires.
Planification et budgétisation des travaux liés à la connaissance des activités de l’entité
Le BVG a prévu un certain nombre d’heures au budget pour les travaux liés à l’acquisition d’une connaissance des activités de chaque secteur et de certaines entités (consulter les gestionnaires de ressources à ce sujet). Il faut en tenir compte dans la planification et l’exécution de ces travaux, qui peuvent d’ailleurs être traités de la même manière que les projets, soit affectation du personnel, consultations de spécialistes internes, au besoin, et détermination des échéanciers, des objectifs et des produits à livrer.
Réalisation des travaux liés à la connaissance des activités de l’entité
Les travaux liés à la connaissance des activités de l’entité devraient commencer par un examen du Plan stratégique d’audit, une discussion avec l’équipe d’audit annuel compétente et un examen du dossier d’audit annuel. De plus, l’un des meilleurs moyens d’acquérir et de maintenir une bonne connaissance des activités de l’entité consiste à se constituer un réseau de contacts, et à l’entretenir. Un réseau de contacts externes (à l’échelle nationale et régionale) permet d’obtenir différents points de vue sur diverses questions et priorités. Il est également essentiel de consulter des experts du domaine et d’autres spécialistes en plus de la direction de l’entité. Ces échanges peuvent fournir une foule de renseignements sur l’entité, le domaine d’activités ou le sujet à auditer, et même faciliter le choix des conseillers externes.
Les travaux liés à la connaissance des activités de l’entité peuvent également comprendre ce qui suit, au besoin :
- examen de la législation;
- examen des plans stratégiques et des plans d’affaires de l’entité, évaluations des risques, procès‑verbaux de réunions;
- lecture d’articles publiés dans les médias;
- entretiens avec des spécialistes internes;
- examen des rapports d’audit interne;
- réunions avec les dirigeants principaux de la fonction d’audit interne de l’entité;
- entretiens avec des membres des comités ministériels d’audit;
- examen des systèmes de suivi de l’entité pour évaluer dans quelle mesure les recommandations courantes et en attente ont été mises en œuvre et les engagements pris par l’entité, ont été respectés;
- examen des hansards (débats) et des rapports des comités parlementaires;
- examen d’autres missions de certification;
- examen des rapports de la direction, des publications sectorielles, des études;
- examen des rapports d’audit pertinents d’autres administrations publiques (au pays et à l’étranger);
- participation à des congrès pertinents;
- visites sur place.
Une fois par année, l’équipe d’audit doit informer le vérificateur général adjoint et le vérificateur général de tout changement significatif concernant les risques.
Les principaux documents à examiner peuvent comprendre les suivants :
Documents internes de l’entité | Information disponible sur Internet |
Plans stratégiques et plans d’entreprise, plans d’investissement (GI/TI y compris), budgets de fonctionnement, états financiers trimestriels ou intermédiaires |
Plan ministériel, rapport sur les résultats ministériels, plans d’entreprise et plans stratégiques (GI/TI y compris), plans d’investissement (GI/TI y compris) |
Évaluations du rendement et stratégies ou cadres de communication de l’information |
Cadre de responsabilisation de gestion (CRG), rapports du Secrétariat du Conseil du Trésor du Canada |
Procès-verbaux des comités de haute direction |
Articles de presse récents, revues spécialisées |
Notes d’information destinées au ministre ou au sous‑ministre |
Bilans des activités parlementaires |
Cadre de gestion intégrée du risque |
Comptes publics (informations à fournir détaillées, comme les trop-payés) |
Cahiers d’information et procès-verbaux des comités ministériels d’audit |
Lois, autorisations et règlements propres à l’entité ou au secteur |
Évaluations des risques ou profils de risques d’entreprise |
Divulgations proactives |
Rapports mensuels au conseil de direction |
Rapports des comités du Sénat ou de la Chambre des communes |
Diagramme de mise en correspondance des processus opérationnels |
Poursuites relatives aux programmes pertinents ou au sujet audité |
Études ou autres examens internes |
Recherches ou études et rapports universitaires |
Mémoires au Cabinet |
Autres missions de certification Rapports d’audit interne |
Présentations au Conseil du Trésor |
|
Documents de surveillance de la fonction d’audit interne et progrès accomplis dans la mise en œuvre des plans d’action préparés en réponse aux recommandations formulées dans les rapports d’audit externe (y compris du BVG) et les rapports d'audit interne |
Les questions à se poser en réalisant ces travaux sont les suivantes :
Pour une entité (ou une entité considérée comme faisant partie d’un secteur) :
- Quels sont la mission et le mandat de l’entité, les autorisations applicables, ses principaux programmes et ses priorités?
- Quels sont les principaux objectifs de l’entité, ses processus opérationnels, ses mesures de rendement et ses intrants, extrants et résultats?
- Qui sont les principaux clients et parties prenantes?
- Qu’en est-il de la gouvernance, de l’organisation et des ressources des programmes?
- Quels sont les systèmes de GI/TI et les systèmes de contrôle interne essentiels?
- Quels sont les sources d’information, les centres d’expertise et les sources de données quantitatives et qualitatives essentiels?
- À quels difficultés, risques et contraintes majeurs l’entité fait-elle face?
Pour un secteur :
- Qu’est-ce qui définit ou caractérise les « activités » de l’entité? Pourquoi est-ce important pour l’intérêt public?
- Qui sont les principaux acteurs et parties prenantes? Dans quelle mesure sont-ils interdépendants?
- Quels sont les mécanismes de coordination?
L’équipe doit prendre garde de demander trop d’information aux entités afin de ne pas alourdir inutilement la charge de travail liée. Une grande quantité d’information de ce genre peut être obtenue de l’équipe affectée à l’audit des états financiers.
L’auditeur doit porter attention aux signaux d’alarme qui pourraient indiquer un risque, par exemple :
- ton autocratique de la direction;
- absence de rapports de gestion interne ou de mesure du rendement;
- insatisfaction des principaux utilisateurs/parties prenantes à l’égard des informations clés essentielles à la prise de décisions, ce qui donne lieu à l’utilisation de systèmes maison officieux;
- récentes défaillances majeures de systèmes clés ou atteintes à la sécurité;
- changements dans l’organisation, les politiques, les autorisations ou les programmes, par exemple :
- taux de roulement élevé des membres de la direction/postes vacants pendant de longues périodes
- augmentation substantielle des dépenses conjuguée à une diminution du rendement,
- important écart dans les produits ou les séries de paiements,
- programmes ou activités lancés ou annulés au cours d’une brève période de temps;
- des systèmes et des méthodes qui n’ont pas changé depuis longtemps en dépit de l’évolution du contexte;
- nombre de griefs élevé de la part des employés;
- retards dans la prestation de certains services ou taux d’erreur élevés;
- poursuites, passifs éventuels, règlements de réclamations contre l’État;
- non-réceptivité ou résistance à l’audit;
- dépassements ou sous-utilisations importantes des budgets;
- contournement des autorisations ou des approbations;
- refus de la direction de reconnaître les risques.
Des facteurs supplémentaires dont les auditeurs peuvent tenir compte lorsqu’ils effectuent des travaux d’évaluation des risques liés aux activités d’une entité sont décrits dans la section BVG Audit 4020 Évaluation des risques.
L’équipe d’audit doit saisir les occasions d’utiliser des méthodes et des techniques analytiques. Les méthodes analytiques comprennent notamment les suivantes :
Source d’information | À analyser |
États financiers – Rapports de gestion internes | Écarts budgétaires, tendances en matière de revenus et de dépenses |
États financiers intermédiaires et trimestriels ou rapports au conseil de direction |
Tendances en ce qui concerne les charges anormales Changements substantiels dans l’information financière |
Comptes publics – Plaques I-11 et I-12 (Passifs éventuels) ou Plaque III-10 (Paiements de réclamations contre l’État) préparées trimestriellement | Nouvelles réclamations contre l’entité |
Volume III des Comptes publics – détails | Données sur les paiements en trop ou en moins |
Renseignements sur les processus opérationnels | Diagramme de mise en correspondance des processus opérationnels |
Rapports au conseil de direction | Changements substantiels dans les indicateurs de rendement |
Présentations au Secrétariat du Conseil du Trésor du Canada et mémoires au Cabinet | Changement de responsable de programme (nouveaux programmes, changements dans la prestation des programmes existants) |
Procès-verbaux des réunions des comités parlementaires | Raisons de l’intérêt soudain des comités parlementaires |
Poursuites | Raisons systémiques des poursuites |
Produits à livrer et documentation
L’information relative à la connaissance des activités de l’entité doit être documentée de manière à ne pas être perdue lorsque le personnel d’audit prend sa retraite ou cesse de travailler au BVG. Cette information doit être sauvegardée dans le même dossier que les travaux sur le plan stratégique d’audit, et il faut que les personnes qui en ont besoin y aient accès. Les documents importants obtenus de l’entité (ou des entités) doivent également être conservés dans ce dossier et mis à la disposition du personnel du BVG, pour éviter d’avoir à demander à l’entité de les fournir à nouveau.
La documentation relative aux connaissances des activités de l’entité devrait contenir ce qui suit :
- Liste des documents examinés et des consultations/entretiens menés
- Résultats des recherches et des analyses effectuées, notamment :
- Tout changement important dans les autorisations, les contrôles, l’organisation ou la direction, les ressources, les programmes et les systèmes
- Analyse des risques – changements significatifs depuis le PSA :
- Augmentation des risques
- Diminution des risques
- Nouveaux risques
- Changements proposés au PSA ou aux audits en cours
- Nouvel audit recommandé
- Audit prévu annulé ou reporté ou modification substantielle de l’étendue ou des objectifs d’un tel audit
- Modifications des secteurs d’examen d’un audit déjà en cours
Sécurité de l’information sur les activités de l’entité et accès à cette information par des tiers
Il est possible qu’une cote de sécurité ait déjà été attribuée aux documents obtenus par le BVG des entités auditées. Cette cote doit être respectée. L’information sur les activités de l’entité doit être marquée Protégé A, B ou C selon le tort que sa communication éventuelle pourrait causer au BVG ou aux personnes concernées. L’information sur les activités de l’entité doit être considérée comme de l’information « créée ou obtenue » au cours d’un audit. Par conséquent, elle pourrait être visée par l’exemption prévue à l’alinéa 16.1(1)a) de la Loi sur l’accès à l’information. Il faut toutefois savoir que la Loi sur la protection des renseignements personnels ne contient pas d’exemption semblable. Si des renseignements personnels sont recueillis dans le cadre de l’acquisition d’une connaissance des activités de l’entité, ces renseignements pourront être transmis à la personne concernée si elle en fait la demande. Pour obtenir des renseignements complémentaires ou des conseils à ce sujet, prière de communiquer avec le responsable de la coordination de l’accès à l’information et de la protection des renseignements personnels (AIPRP) au BVG.
Pour consulter des documents qui pourraient être protégés par le secret professionnel de l’avocat ou tout autre privilège, l’équipe de mission peut utiliser le modèle de lettre prévu à cette fin.