Version PDF (562 ko) - Secrétariat du Conseil du Trésor du Canada

Surveillance de
la gestion interne :
RÉGIME DE CERTIFICATION
ET DE CONTRÔLE INTERNE
POUR LES SOCIÉTÉS D’ÉTAT
Document d’orientation des sociétés d’État
Le présent document vise à fournir des conseils et des lignes directrices. Il se veut un
élément à prendre en considération et une ressource documentaire au sujet des
processus de contrôle interne. Le présent document ne constitue pas une obligation sur
le plan juridique ou sur celui des politiques, et ne vise aucunement à établir des
obligations de surveillance de la part du Secrétariat du Conseil du Trésor du Canada.
Pour plus d’information sur les directives contenues dans ce document ou sur d’autres
lignes directives touchant les sociétés d’État, veuillez consulter le site Internet de la
direction de la gouvernance du Secrétariat du Conseil du Trésor http://www.tbssct.
gc.ca/gov-gouv/index-fra.asp ou nous contacter directement à [email protected].
© Sa Majesté la Reine du chef du Canada,
représentée par le président du Conseil du Trésor, 2010
No de catalogue BT33-4/3-2010F-PDF
ISBN 978-1-100-96115-6
Ce document est disponible sur le site Web du
Secrétariat du Conseil du Trésor du Canada à http://www.tbs-sct.gc.ca
Ce document est disponible en médias substituts sur demande.
Nota : Pour ne pas alourdir le texte français, le masculin est utilisé
pour désigner tant les hommes que les femmes.
Table des matières
1.0
Introduction ................................................................................ 3
2.0
Contexte .................................................................................... 3
3.0
Approche globale en matière de certification et de contrôle interne ..... 5
3.1 Évaluation des risques liés aux états financiers – Établissement
de la portée ......................................................................... 6
3.2 Stratégie de mise en place d’un régime de certification et de
contrôle interne.................................................................... 8
4.0
Documentation et essai des contrôles internes applicables aux
rapports financiers ....................................................................... 9
5.0
Maintien de contrôles internes efficaces pour les rapports financiers.. 12
6.0
Déclaration annuelle de responsabilité de la direction...................... 13
7.0
Conclusion ................................................................................ 14
8.0
Références................................................................................ 15
Résumé : Régime de certification et de contrôle interne
pour les sociétés d’État
Le Secrétariat du Conseil du Trésor du Canada (SCT) n’a pas imposé aux sociétés d’État
d’adopter un régime de certification des états financiers. Chaque société d’État peut décider
elle-même de procéder ou non à la mise en œuvre d’un régime de certification et de contrôle
interne en se fondant sur une évaluation de ses exigences opérationnelles et comptables, des
besoins et points de vue des parties intéressées ainsi que des risques.
Un régime approprié de certification et de contrôle interne tient compte des risques particuliers et
du contexte d’exploitation de la société d’État de manière adéquate, tout en reconnaissant qu’un
modèle global n’est pas réaliste, compte tenu des caractéristiques diverses des sociétés d’État.
Un régime efficace de certification et de contrôle interne a pour objectif général d’appuyer la
gestion d’une entité et de garantir que les données financières et les états financiers sont fiables.
Cette garantie signifie que les opérations sont assorties des autorisations adéquates, que les
documents financiers sont tenus convenablement, que les actifs sont protégés contre les risques
de dégradation, de perte, d’abus, de fraude ou de mauvaise gestion et que les lois, règlements et
politiques applicables sont respectés.
En premier lieu, une société d’État qui procède à l’établissement d’un régime de certification et
de contrôle interne doit examiner ses états financiers pour repérer les principaux éléments posant
des risques et les contrôles essentiels associés qui devraient être évalués dans le cadre du régime
de contrôle interne. L’évaluation des risques liés aux états financiers se fait habituellement au
moyen d’un exercice d’établissement de la portée de l’évaluation, lequel se solde par une liste
des domaines éventuels de contrôle, classés par ordre de degré de risques, à intégrer au régime de
contrôle interne.
Compte tenu des résultats de l’exercice d’établissement de la portée et des types de risques à
atténuer, la direction d’une société d’État sera normalement en mesure de proposer au conseil
d’administration le nombre et la nature des domaines essentiels de contrôle à l’échelle de l’entité,
les contrôles principaux des processus opérationnels, les processus de contrôles informatiques
généraux et les processus de contrôles applicables à la divulgation ainsi que les risques qui y sont
associés et qui pourraient être inclus dans son régime de contrôle interne. De plus, la direction
pourrait vouloir élaborer et harmoniser une cote de risque éventuelle pour chacun de ces
processus aux fins de discussions avec le conseil d’administration de la société d’État.
Une société d’État pourrait alors vouloir étayer la stratégie proposée de mise en place d’un
régime de certification et de contrôle interne, de même que les contrôles essentiels et les
principaux risques établis pour la stratégie (c.-à-d., les éléments qui seront inclus dans la portée
1
du régime et l’approche prévue pour le contrôle interne). Selon la pratique adoptée dans les
entreprises du secteur privé, les trois domaines suivants devraient être pris en compte dans le
régime de contrôle interne d’une société d’État :
 Contrôles à l’échelle de l’entité
 Processus de clôture et de présentation des états financiers
 Contrôles applicables à la divulgation des renseignements dans le rapport annuel (y compris
les états financiers), le plan d’entreprise et les rapports financiers trimestriels
De plus, on suggère que chaque société d’État documente et évalue les principales activités de
contrôle menées dans le cadre des processus à risque élevé (processus opérationnels ou processus
de contrôles informatiques généraux) repérés dans le cadre de l’exercice d’établissement de
la portée.
Pour les processus couverts par la portée, la société d’État pourrait documenter (généralement
par une combinaison de textes explicatifs et de graphiques des processus ainsi que par une
matrice détaillée des contrôles connexes) et évaluer l’efficacité des principales activités de
contrôle dans chaque processus. L’approche adoptée par la société d’État pour la documentation
et l’évaluation peut également figurer dans sa stratégie de mise en place d’un régime de
certification et de contrôle interne.
Une société d’État qui met en œuvre un régime de certification et de contrôle interne peut
décider d’intégrer à son rapport annuel une déclaration de responsabilité de la direction dans
laquelle le chef de la direction (CD) et le dirigeant principal des finances (DPF) certifient les
états financiers et attestent la mise en place et l’efficacité du système de contrôles internes des
rapports financiers et de la divulgation des contrôles et des processus.
Selon les circonstances propres à la société d’État, un conseil d’administration peut déterminer la
nature de la stratégie de certification et de contrôle interne ainsi que du régime à instituer.
2
1.0 Introduction
Aucune société d’État n’est tenue d’attester l’efficacité du contrôle interne en matière de rapports
financiers (CIRF). Toutefois, ce document pourrait fournir des renseignements utiles aux
sociétés d’État fédérales qui ont décidé d’adopter une approche axée sur la certification au
moyen d’un régime de contrôle interne. Il appartient au conseil d’administration de chaque
société d’État de décider de procéder ou non à la mise en œuvre d’un régime de certification et
de contrôle interne ainsi que d’établir la portée de celui-ci en se fondant sur une évaluation des
exigences opérationnelles et comptables de la société d’État, des besoins des parties intéressées
et de leur point de vue de même que des risques. Selon les circonstances propres à l’organisation,
une version sur mesure du régime de certification et de contrôle interne (qui fait en sorte que les
risques sont évalués régulièrement et que les stratégies d’atténuation sont mises à jour au besoin)
pourrait se révéler utile.
2.0 Contexte
Le Parlement et les Canadiens s’attendent à ce que le gouvernement soit bien géré, ce qui
comprend une gestion prudente des fonds publics, une protection des biens publics et une
utilisation économique, efficace et efficiente des ressources publiques. Ils souhaitent également
qu’on leur rende des comptes en faisant preuve de transparence et de responsabilité en regard de
la façon dont le gouvernement dépense les fonds publics en vue d’obtenir des résultats pour les
Canadiens ou, dans le cas des organisations qui ne sont pas financées par crédit, de la façon dont
elles gèrent leurs activités et génèrent des recettes.
L’objectif général d’un régime efficace de certification et de contrôle interne est d’appuyer la
gestion d’une entité et de garantir la fiabilité des données financières et des rapports financiers.
Parmi ces garanties, mentionnons la présence d’autorisations appropriées pour toutes les
transactions de l’organisation, la tenue adéquate des documents financiers, la protection des
biens contre les risques de dégradation, de perte, d’abus, de fraude ou de mauvaise gestion ainsi
que la conformité aux lois, règlements et politiques applicables.
Par certification, on entend l’obligation des cadres supérieurs d’une société d’État (normalement
le CD et le DPF) de certifier ou d’attester, au moyen d’une signature, qu’ils ont assumé certaines
fonctions, notamment la confirmation de l’efficacité des contrôles internes en matière de rapports
financiers. En général, ce type de certification est intégré à la déclaration de responsabilité de la
direction qui est communiquée avec les états financiers d’une entité.
3
D’une part, pour ce qui est des ministères et organismes, le gouvernement du Canada s’assure
d’une reddition de comptes fiable en appliquant la Politique sur le contrôle interne 1 , qui décrit
les rôles et responsabilités des divers intervenants à l’échelle fédérale quant à la gestion adéquate
des risques inhérents à la gestion des ressources publiques.
D’autre part, pour ce qui est du secteur privé, le mécanisme de certification du CIRF a été adopté
par les États-Unis (Sarbanes Oxley Act et Securities Exchange Commission regulations) et les
Autorités canadiennes en valeurs mobilières 2 (Instrument national 52-109, Attestation de
l’information présentée dans les documents annuels et intermédiaires des émetteurs).
Le document Examen du cadre de gouvernance des sociétés d’État du Canada, publié en 2005,
renferme les déclarations de principe et d’engagement suivantes.
Mesure 24
En principe, le gouvernement est favorable au recours à un régime de certification
adapté à la réalité des institutions publiques. Le Secrétariat du Conseil du Trésor
du Canada examinera, de concert avec les cadres de direction des sociétés d’État,
un projet de régime de certification qui pourrait s’appliquer à toutes les
sociétés d’État.
Des consultations menées auprès des sociétés d’État ont montré que ces dernières ont un point de
vue et des besoins très différents en ce qui concerne la certification, selon l’importance et la
complexité de leurs activités. Certaines grandes sociétés d’État ont déjà entrepris un processus
qui pourrait se solder par la mise en place d’un régime de certification et de contrôle interne, et
ils ont déterminé que les coûts dépassent les avantages qu’en retirent leurs organisations.
D’autres organisations plus petites ne voient pas vraiment la nécessité à l’heure actuelle de
consacrer à la mise en œuvre d’un régime de certification les ressources supplémentaires
considérables que cela exigerait. Quelques sociétés d’État ont adopté des approches différentes,
dont une approche cyclique et fondée sur l’examen des risques pour la gestion de leurs contrôles
internes. En tenant compte de la rétroaction reçue des sociétés d’État et du Bureau du vérificateur
général, le SCT a décidé de ne pas obliger les sociétés d’État à mettre en œuvre un régime de
certification et de contrôle interne.
4
1.
Politique sur le contrôle interne, Conseil du Trésor. La Politique s’applique à tous les ministères en vertu de
l’article 2 de la Loi sur la gestion des finances publiques. Par conséquent, elle ne s’applique pas aux
sociétés d’État.
2.
Les Autorités canadiennes en valeurs mobilières (ACVM), une organisation qui chapeaute les autorités de
réglementation des valeurs mobilières de chaque province et territoire du Canada, ont pour objectif d’améliorer,
de coordonner et d’harmoniser la réglementation des marchés financiers au Canada.
Le conseil d’administration et la direction de chaque société d’État ont la responsabilité
fondamentale d’assurer l’efficience et l’efficacité des activités ainsi que la fiabilité des rapports
financiers. Les sociétés d’État pourraient avoir divers motifs pour mettre en œuvre un régime de
certification et de contrôle interne, y compris les suivants :
 Répondre aux attentes des Canadiens quant à une utilisation efficace, efficiente et économique
des ressources publiques
 Accroître la responsabilité de la direction de la société d’État en ce qui concerne l’exactitude,
l’intégralité et la fiabilité de ses états financiers
 Promouvoir l’élaboration, la documentation et la tenue à jour de contrôles internes efficaces
applicables aux rapports financiers
 Encourager l’élaboration de contrôles et procédures efficaces de divulgation relativement aux
autres exigences clés en matière de rapports financiers des sociétés d’État.
Le conseil d’administration (ou le comité de vérification) de la société d’État a recours à une
pratique exemplaire lorsqu’il examine et remet en question le régime de certification et de
contrôle interne afin de déterminer s’il est raisonnable, compte tenu des risques, du contexte et
des besoins opérationnels de la société d’État.
3.0 Approche globale en matière de certification et de
contrôle interne
Un régime approprié de certification et de contrôle interne tient compte des risques particuliers et
du contexte d’exploitation de la société d’État tout en reconnaissant qu’un modèle global n’est
pas réaliste, compte tenu des caractéristiques diverses des sociétés d’État.
Pour décider quelles mesures à prendre dans le cadre d’un éventuel régime de certification et de
contrôle interne, une société d’État devrait tout d’abord déterminer la nature des évaluations
requises pour permettre au CD et au DPF d’attester les états financiers dans la déclaration de
responsabilité de la direction (consultez la section 6.0 ci-dessous).
Le présent document décrit les principaux éléments d’une approche axée sur les risques pour la
gestion des contrôles internes que pourrait envisager d’adopter une société d’État, une fois que
celle-ci a décidé de mettre en place un régime de contrôle interne.
5
3.1 Évaluation des risques liés aux états financiers –
Établissement de la portée
En premier lieu, une société d’État procédant à l’établissement d’un régime de contrôle interne
devrait examiner ses états financiers pour repérer et évaluer les principaux éléments posant des
risques qui pourraient être inclus dans la portée du régime. L’évaluation des risques liés aux états
financiers se fait habituellement au moyen d’un exercice d’établissement de la portée dont le
résultat prévu est une liste, établie en ordre de priorité des risques, des éléments pouvant être
inclus dans le régime de contrôle interne. Cette liste permet à la société d’État de déterminer les
éléments posant les risques les plus élevés qui seraient visés par son régime de contrôle interne.
Pour l’établissement de la portée, on suggère aux sociétés d’État de prendre en compte les quatre
points suivants aux fins de contrôle interne :
1.
Contrôles à l’échelle de l’entité
Les contrôles à l’échelle de l’entité sont ceux qui contribuent à l’« esprit qui règne en haut lieu »
dans une organisation. Ils comprennent les contrôles qui portent sur l’environnement de contrôle,
le processus d’évaluation des risques et les activités d’information, de communication et de suivi
de l’organisation. En établissant la portée, une société d’État déterminera les contrôles pertinents
à l’échelle de l’entité qui devront être évalués et inclus dans son régime de contrôle interne. En
général, ces contrôles correspondent aux contrôles à l’échelle de l’organisation qui ont une
incidence sur la fiabilité de l’information financière dans les processus opérationnels et
informatiques généraux. Dans le cadre de l’établissement de la portée des contrôles à l’échelle de
l’entité, une société d’État devra également envisager de déterminer le niveau des contrôles de
suivi qui existent dans l’ensemble de la société d’État car cette information pourrait s’avérer utile
lorsqu’il s’agit de déterminer quels types de contrôles de suivi de niveau supérieur la société peut
compter dans le régime de contrôle interne.
2.
Contrôles relatifs aux processus opérationnels
L’établissement de la portée des contrôles relatifs aux processus opérationnels, y compris les
contrôles relatifs aux applications, commence généralement par les états financiers et la balance
de vérification connexe de l’organisation. L’établissement de la portée vise à déterminer les
catégories importantes d’opérations dans les états financiers qui sont souvent regroupées en
processus opérationnels. On peut envisager toute une gamme de facteurs quantitatifs et
qualitatifs pour déterminer si les catégories importantes d’opérations et de processus
opérationnels doivent s’inscrire dans la portée du contrôle interne :
 Facteurs quantitatifs – On peut tenir compte de la valeur monétaire des postes des états
financiers et des grandes catégories d’opérations pour déterminer l’importance ou la nature
6
essentielle des processus opérationnels. La valeur monétaire est habituellement exprimée en
pourcentage de l’importance des états financiers du point de vue de la vérification.
 Facteurs qualitatifs – Outre la valeur quantitative des catégories d’opérations, d’autres
facteurs peuvent être envisagés pour déterminer les processus opérationnels à inclure dans la
portée. À titre d’exemple, mentionnons la complexité des politiques et procédures comptables
connexes, la vulnérabilité d’un processus à la manipulation ou à la fraude, l’ampleur des
jugements ou des estimations nécessaires dans le processus, le niveau de changement dans le
processus, l’historique des erreurs et la possibilité d’attirer l’attention du public.
Après avoir évalué les catégories d’opérations et de processus opérationnels selon des facteurs
quantitatifs et qualitatifs, on suggère d’établir une cote de risque globale dans chaque cas. Cette
cote peut servir à déterminer les catégories d’opérations et de processus opérationnels à évaluer
dans le régime de contrôle interne.
3.
Contrôles informatiques généraux
Pour chaque application et système déterminé comme appuyant les processus opérationnels
couverts dans la portée (consultez la section 1.2 ci-dessus), la société d’État détermine quels sont
les processus de contrôle informatique généraux en place pour soutenir ces applications et
systèmes. Parmi les éléments que l’on retrouve généralement dans les contrôles informatiques
généraux, mentionnons l’élaboration de programmes, la modification de programmes, l’accès
aux programmes et aux données et les opérations informatiques. 3 Une fois que ces processus ont
été déterminés, une cote de risque globale peut être établie pour chacun. Cette cote pourrait
servir à déterminer dans quelle mesure il est prioritaire de tenir compte des processus de
contrôles informatiques généraux dans le cadre du régime de contrôle interne de la
société d’État.
4.
Contrôles applicables à la divulgation
La portée du régime de contrôle interne d’une société d’État devrait inclure les contrôles
applicables à la divulgation de son rapport annuel (y compris les états financiers), de son plan
d’entreprise et des rapports financiers trimestriels. La société d’État pourrait inclure dans la
portée de ce régime les processus et contrôles internes qui sont utilisés pour assurer la
divulgation appropriée et la fiabilité de l’information présentée dans ces documents.
3.
L’élaboration de programmes, la modification de programmes, l’accès aux programmes et aux données et les
opérations informatiques sont les quatre éléments des contrôles informatiques généraux mentionnés dans
Control Objectives for Information and related Technology (COBIT) pour la loi Sarbanes-Oxley (SOX).
7
3.2 Stratégie de mise en place d’un régime de certification et de
contrôle interne
D’après les résultats de l’établissement de la portée, on aura une meilleure compréhension des
domaines de contrôle à l’échelle de l’entité, des processus opérationnels, des processus de
contrôles informatiques généraux et des processus de contrôles applicables à la divulgation à
inclure ou à ne pas inclure dans le régime de contrôle interne. Les membres du conseil
d’administration peuvent demander à la direction de la société d’élaborer des cotes de risque
initiales pour chaque processus.
D’après ces données, chaque société d’État devrait être à même d’étayer la proposition de
stratégie de mise en place d’un régime de contrôle interne (c.-à-d., les éléments à inclure dans la
portée du régime et l’approche prévue pour l’élaboration du programme de contrôle interne de la
société d’État). Compte tenu de l’expérience du secteur privé et d’autres administrations en ce
qui a trait à des régimes de contrôle interne semblables, on s’attend à ce que les trois éléments
suivants, à tout le moins, soient évalués dans le cadre du régime de contrôle interne d’une
société d’État :
 Contrôles à l’échelle de l’entité
 Processus de clôture et de présentation des états financiers
 Contrôles applicables à la divulgation du rapport annuel (y compris les états financiers), du
plan d’entreprise et des rapports financiers trimestriels
De plus, à moins de circonstances atténuantes, chaque société d’État documenterait et évaluerait
les activités de contrôle menées dans le cadre des autres processus à risque élevé (processus
opérationnels ou processus de contrôles informatiques généraux) repérés au cours de l’exercice
d’établissement de la portée. Étant donné que les processus opérationnels à risque élevé varient
selon la nature de la société d’État, chaque société d’État peut consigner les raisons pour
lesquelles elle a inclus ou exclus certains processus opérationnels dans sa stratégie de contrôle
interne. Les processus de contrôles informatiques généraux à risque élevé comprennent
généralement l’accès aux programmes et aux données ainsi que l’élaboration et la modification
de programmes, mais ils peuvent varier d’une société d’État à l’autre, selon la nature de
l’environnement des systèmes de la société d’État et la mesure dans laquelle on s’y fie pour
produire les rapports financiers.
Pour les processus qui ne sont pas réputés présenter un risque élevé à la suite de l’exercice
d’établissement de la portée, les sociétés d’État peuvent déterminer quelles mesures sont
nécessaires, le cas échéant, pour appuyer le régime de contrôle interne. Contrairement à la
documentation et à l’évaluation exhaustives des activités de contrôle qui sont prévues dans le cas
8
des éléments présentant plus de risques, diverses approches peuvent être envisagées dans le cas
des éléments moins à risque, notamment les suivantes :
 Documentation des contrôles clés et adoption d’une approche d’évaluation restreinte (p. ex.,
des essais plus limités des contrôles internes ou des essais menés selon un plan de rotation
pluriannuel)
 Utilisation de contrôles de suivi à l’échelle ministérielle qui sont centralisés ou de niveau plus
élevé auxquels peut avoir recours la direction (ceux-ci peuvent avoir été déterminés au
moment de l’établissement de la portée des contrôles à l’échelle de l’entité ou dans le cadre
des processus opérationnels à risque plus élevé).
4.0 Documentation et essai des contrôles internes
applicables aux rapports financiers
Pour les processus opérationnels, les processus des contrôles informatiques généraux, les
processus des contrôles à l’échelle de l’entité et les processus des contrôles applicables à la
divulgation qui sont dans la portée, la société d’État peut décider de documenter (généralement
par une combinaison de textes explicatifs ou de graphiques des processus et d’une grille
matricielle détaillée des contrôles connexes) et d’évaluer les contrôles principaux relatifs à
chaque processus. L’approche adoptée par une société d’État pour la documentation et
l’évaluation doit également être décrite dans sa stratégie de mise en place d’un régime de
contrôle interne.
Dans le secteur privé, l’approche descendante (commençant à l’échelle de l’entité puis portant
sur les contrôles informatiques généraux et finalement, sur les processus opérationnels détaillés)
s’est révélée une stratégie efficace sur le plan des ressources pour l’évaluation des contrôles
internes. Il faut noter qu’avant de documenter et d’évaluer tous les processus dans la portée,
d’autres organisations ont jugé utile d’examiner l’efficacité de la conception des contrôles de
l’entité et d’exécuter un projet pilote portant sur au moins un processus. Si l’on détermine que les
contrôles à l’échelle de l’entité sont solides, les risques importants qui doivent être gérés par
rapport à la fiabilité des états financiers devraient être atténués et les niveaux d’essai et
d’échantillonnage des processus opérationnels devraient être réduits. La réalisation d’un projet
pilote permet de mieux comprendre le processus requis et les répercussions sur l’échéancier liées
à l’exécution des activités de documentation et d’évaluation nécessaires. En tirant des leçons de
l’évaluation de l’efficacité des contrôles à l’échelle de l’entité, une société d’État peut être mieux
placée pour déterminer dans quels cas les contrôles clés doivent être documentés et évalués.
9
L’approche en matière de documentation et d’évaluation qu’adopte une société d’État pour son
régime de contrôle interne servirait, idéalement, à :
 Procurer au CD et au DPF des données probantes, rigoureuses et suffisantes dans la gestion
des contrôles internes en regard des rapports financiers pour qu’ils puissent signer en guise
d’approbation la déclaration de responsabilité de la direction, y compris lorsque les états
comprennent une certification explicite de l’efficacité de l’ICFR
 Donner au conseil d’administration (et/ou au comité de vérification) une assurance suffisante
que le régime de contrôle interne de la société d’État tient adéquatement compte des risques
auxquels elle fait face
 Favoriser l’établissement d’un programme de suivi du contrôle interne permanent et efficace
L’un des principaux objectifs du processus d’évaluation consiste à veiller à ce que la nature du
risque déterminé suive la mesure de contrôle, ce qui est généralement vérifié au moyen de la
documentation des principaux contrôles et processus de contrôle ainsi que l’examen de
l’efficacité de la conception de l’environnement de contrôle. Cette confirmation constitue le
fondement que l’on utilise pour déterminer si le régime de contrôle interne est efficace, s’il
permet de maintenir le contrôle et d’atténuer les risques.
L’évaluation de l’efficacité des contrôles internes en regard des rapports financiers porte
généralement autant sur la conception des contrôles que sur leur efficacité opérationnelle. Il
s’agit des étapes séquentielles des évaluations courantes de l’efficacité des contrôles internes,
comme on le fait dans le secteur privé et dans d’autres domaines de compétences.
Pour ce qui est des lacunes repérées dans le cours du processus de documentation, de conception
et d’évaluation de l’efficacité opérationnelle, une société d’État devrait lancer un processus
visant à en déterminer la gravité et l’importance ainsi que mettre en place des plans de
redressement appropriés pour corriger les faiblesses importantes, qui sont définis comme suit :
On entend par « faiblesse importante » une lacune ou une série de lacunes, sur le plan des
contrôles internes applicables aux rapports financiers, de sorte qu’il existe une probabilité
raisonnable qu’une inexactitude importante dans les états financiers de la société d’État ne
soit pas évitée ou repérée en temps opportun.
Comme il est indiqué dans la déclaration de responsabilité de la direction, les faiblesses
importantes et les plans de redressement correspondants établis par la direction (y compris les
échéanciers de redressement) peuvent être signalés.
10
Présentation de rapports
Comme il a été susmentionné, une société d’État devrait indiquer tous les éléments importants
qui sont exclus de la portée de son régime de contrôle interne (filiales, établissements, entités à
détenteurs de droits variables). De plus, toute faiblesse importante peut être divulguée
concurremment avec les plans d’action de la direction et les échéanciers pour corriger ces
lacunes, pour régler les problèmes associés aux contrôles ou pour en atténuer les risques.
On suggère également à une société d’État de fournir, avec la déclaration de responsabilité de la
direction, une brève description de l’approche globale qu’elle a adoptée pour son régime de
contrôle interne. Celle-ci peut être jointe à la déclaration parallèlement aux états financiers.
Rôles et responsabilités
Il incombe ultimement au conseil d’administration de déterminer s’il est nécessaire de mettre en
place un régime de certification et de contrôle interne et, le cas échéant, de déterminer les
exigences générales du système. Dans ce cas, on s’attend à ce que le conseil d’administration
joue un rôle de supervision pour les plans et les résultats des évaluations de l’efficacité,
y compris des modifications à apporter au régime. À des stades stratégiques clés du processus, le
conseil d’administration (ou le comité de vérification) de la société d’État examinerait l’approche
adoptée par la direction en regard des contrôles internes afin de déterminer si la portée et
l’approche définies soutiennent de manière adéquate la déclaration de responsabilité de la
direction, compte tenu du contexte et de la réalité opérationnelle de la société d’État et du fait
que les résultats rendent bien compte de l’environnement de contrôle interne de celle-ci.
En règle générale, le DPF devrait diriger et coordonner la gestion du régime de certification et de
contrôle interne d’une société d’État à titre de conseiller stratégique pour appuyer le rôle de
direction du CD. Le CD et le DPF sont chargés de signer la déclaration de responsabilité de la
direction établie dans le régime de certification et de contrôle interne.
D’autres cadres supérieurs investis de responsabilités de programme seraient également des
joueurs clés dans la gestion du régime de contrôle interne qui s’applique à leur domaine de
responsabilité. De plus, on pourrait tirer parti de l’expertise de chacun pour veiller à l’intégrité de
l’évaluation de l’efficacité des contrôles internes, y compris dans les domaines de la vérification
interne et des technologies de l’information.
Au bout du compte, il appartient au CD et au DPF de la société d’État de décider le moment de
signer en guise d’approbation la déclaration de responsabilité de la direction (consultez la
section 6.0 ci-dessous), si le conseil d’administration décide d’établir un régime de certification
et de contrôle interne. Les sociétés d’État peuvent aussi envisager d’adopter un système
d’approbation par signature de niveau inférieur ou d’approbations supplémentaires quant à
11
l’efficacité des contrôles internes, où les principaux gestionnaires de l’organisation attestent aussi
l’efficacité des contrôles internes dans leur domaine de responsabilité. Il s’agit d’une pratique
exemplaire qui devient de plus en plus courante dans le secteur privé.
Cadre de contrôle
On suggère qu’une société d’État indique, dans sa stratégie de mise en place d’un régime de
contrôle interne, le cadre de contrôle global qu’elle utilisera pour son régime de contrôle interne.
Le cadre de contrôle constitue une structure qui permettra à la société d’État d’entreprendre ses
activités de contrôle interne de manière organisée et efficiente.
Dans d’autres secteurs et d’autres administrations, le cadre du Committee of Sponsoring
Organizations (COSO) 4 est largement reconnu comme la norme pour des initiatives de
certification semblables. Ce cadre porte normalement sur les cinq composantes ou domaines
suivants associés au contrôle interne : 1) Environnement de contrôle; 2) Évaluation des risques;
3) Activités de contrôle; 4) Information et reddition de comptes; 5) Surveillance. De même, les
Control Objectives for Information and related Technology (COBIT) 5 sont désormais devenus la
norme de fait pour les mesures de contrôle relatives à la TI dans le cadre d’un régime de contrôle
interne. Étant donné l’approche ainsi que les renseignements et outils connexes relatifs à ces
cadres, il serait bon que les sociétés d’État en examinent les avantages.
5.0 Maintien de contrôles internes efficaces pour les
rapports financiers
Une fois les travaux de contrôle interne de la première année terminés (c.-à-d. l’établissement de
la portée, la documentation et les essais sur les contrôles et la production de rapports), il faudra
s’assurer de tenir la documentation à jour et de mener périodiquement des essais pour appuyer la
production des rapports de contrôle interne. Pour ce faire, une société d’État voudra peut-être
12
4.
Le Committee of Sponsoring Organizations (COSO) de la Treadway Commission est une organisation bénévole
du secteur privé située aux États-Unis qui offre des lignes directrices aux cadres supérieurs et aux entités de
gouvernance sur des aspects essentiels de la gouvernance organisationnelle, de l’éthique des affaires, du
contrôle interne, de la gestion des risques organisationnels, de la fraude et des rapports financiers. Le COSO a
créé un modèle commun de contrôle interne en fonction duquel les sociétés et les organisations peuvent évaluer
leurs systèmes de contrôle. Les sommaires des lignes directrices du COSO sont disponibles.
5.
Les Control Objectives for Information and related Technology (COBIT) sont un ensemble de pratiques
exemplaires (un cadre) en matière de gestion des technologies de l’information (TI) créé par l’Information
Systems Audit and Control Association (ISACA), une association de professionnels de gouvernance de la TI et
l’IT Governance Institute (ITGI), un groupe de réflexion sur la TI. Les COBIT fournissent aux gestionnaires, aux
vérificateurs et aux utilisateurs de la TI un ensemble de mesures, d’indicateurs, de processus et de pratiques
exemplaires généralement acceptés afin de les aider à maximiser les avantages découlant du recours à la
technologie de l’information et à mettre au point des mécanismes appropriés de gouvernance et contrôle de la TI
au sein d’une entreprise. Vous pouvez obtenir de plus amples renseignements au sujet des COBIT sur le site
Web de l’ISACA.
organiser un programme d’activités permanentes d’entretien et de viabilité dans le cadre de sa
stratégie de contrôle interne (une société d’État pourrait être mieux placée pour mettre en œuvre
sa stratégie d’entretien et de viabilité après avoir terminé les activités de contrôle interne de la
première année).
Les stratégies d’entretien couramment utilisées comprennent l’assignation de la responsabilité
quant à l’examen et à la mise à jour périodiques (annuels ou semestriels) de la documentation sur
les contrôles à un chef ou un « responsable du processus » désigné. De plus, une stratégie
courante de viabilité consiste à effectuer des essais ciblés et axés sur les risques tout au long de
l’année (à tous les trois mois). Des outils technologiques permettant de mettre à jour la
documentation sur les contrôles, de faire le suivi des résultats des essais et de présenter des
rapports sur les progrès réalisés/résultats sont utilisés par certaines organisations pour résoudre
les problèmes d’entretien/de viabilité. Finalement, pour favoriser la viabilité, de nombreuses
organisations cherchent à intégrer des aspects de leurs projets de contrôle interne à leurs
processus de gestion des risques et de vérification interne et à tirer profit des résultats de
ces processus.
6.0 Déclaration annuelle de responsabilité de la direction
Une société d’État qui met en œuvre un régime de certification et de contrôle interne peut
intégrer à son rapport annuel une déclaration de responsabilité de la direction qui servira de page
frontispice à ses états financiers. Cette déclaration comprendrait idéalement des déclarations du
CD et DPF attestant les points suivants :
 Que le CD et le DPF ont examiné les états financiers et qu’à leur connaissance et ayant fait
preuve de diligence raisonnable, les états financiers présentent de manière équitable, à tous les
égards importants, la position financière, les résultats des opérations et les mouvements de
trésorerie de la société d’État à compter de la date précisée et pour les périodes indiquées dans
les états financiers;
 Que le CD et le DPF ont mis en place des contrôles internes efficaces applicables aux rapports
financiers portant sur la protection des actifs et la conformité aux lois et règlements
applicables et qu’ils les maintiennent; que la société d’État a conçu des contrôles internes
applicables aux rapports financiers ainsi que des contrôles et des procédés applicables à la
divulgation (de son rapport annuel, de son plan d’entreprise et de ses rapports financiers
trimestriels) qui sont appropriés, selon les circonstances de la société d’État;
 Que le CD et le DPF ont procédé à l’évaluation de l’efficacité des contrôles internes
applicables aux rapports financiers ainsi que des contrôles et procédures applicables à la
divulgation de la société d’État. Compte tenu des résultats de cette évaluation, la société
d’État peut donner une assurance raisonnable que les contrôles internes applicables aux
13
rapports financiers à compter de la date précisée sont efficaces et qu’aucune faiblesse
importante n’a été repérée dans la conception ou le fonctionnement des contrôles internes
relatifs aux rapports financiers, à l’exception des éléments suivants :
 Description des faiblesses importantes
 Description du plan de redressement établi pour corriger les faiblesses importantes
 Date d’achèvement ou date d’achèvement prévue du plan de redressement
Tous les éléments importants qui sont exclus de la portée du régime de certification et de
contrôle interne d’une société d’État (p. ex., filiales, établissements, entités à détenteurs de droits
variables) peuvent être indiqués.
Il faudrait noter que d’autres types de déclarations de divulgation de la direction peuvent être
utilisés par les sociétés d’État, selon la forme des contrôles internes applicables aux rapports
financiers qu’elles adoptent. 6
Toute autre information sommaire à divulguer concernant l’évaluation et la gestion du régime de
contrôle interne peut être jointe à la déclaration de responsabilité de la direction.
7.0 Conclusion
À court terme, soit au moment de la conception et de la mise en œuvre du système, la mise en
place d’un régime de certification et de contrôle interne nécessite une dépense supplémentaire
des ressources et des efforts de l’organisation. Or, à moyen et à long terme, un tel régime permet
au conseil d’administration et à la direction de s’assurer considérablement que les états financiers
présentent de manière équitable les résultats opérationnels de la société d’État et que les
faiblesses des rapports financiers ont été décelées.
Jusqu’à présent, la plupart des sociétés d’État n’ont pas encore mis en place un régime de
certification et de contrôle interne car elles ont évalué que les risques d’inexactitude dans les
états financiers sont faibles relativement aux coûts inhérents à la mise en place d’un tel régime.
Toutefois, les exigences récentes concernant la divulgation financière pourraient pousser les
sociétés d’État à réduire encore davantage ces risques. La Norme sur les rapports financiers
trimestriels des sociétés d’État, par exemple, qui entrera en vigueur le 1er avril 2011, obligera les
CD et les DPF à signer une déclaration selon laquelle le rapport financier trimestriel présente,
à tous les égards importants, la position financière, les résultats des opérations et les mouvements
de trésorerie de la société d’État. La mise en œuvre de certains contrôles internes applicables aux
6.
14
Le Rapport annuel 2009 de la Société d’assurance-dépôts du Canada est un exemple d’autre type de
déclaration de divulgation.
rapports financiers et de procédures et contrôles pour la divulgation est l’un des moyens de
réduire au minimum le risque d’inexactitude financière.
8.0 Références
Norme canadienne 52-109 : Certification of Disclosure in Issuers’ Annual and Interim Filings,
Commission des valeurs mobilières de l’Ontario, octobre 2008
Sarbanes-Oxley Act of 2002, H.R. 3763-2
Politique sur le contrôle interne (pour les ministères et organismes fédéraux), Secrétariat du
Conseil du Trésor du Canada
15