LE COMITÉ PERMANENT DE L’AUDIT ET DE LA SURVEILLANCE
TÉMOIGNAGES
OTTAWA, le mardi 8 mars 2022
Le Comité permanent de l’audit et de la surveillance se réunit aujourd'hui, à 13 (HE), avec vidéoconférence, pour superviser et faire rapport sur les audits internes et externes du Sénat et les questions connexes; et à huis clos, pour superviser et faire rapport sur les audits internes et externes du Sénat et les questions connexes.
Le sénateur Marty Klyne(président) occupe le fauteuil.
[Traduction]
Le président : Honorables sénateurs, nous commençons notre réunion en public, et je souhaite la bienvenue à nos téléspectateurs qui nous regardent sur le réseau parlementaire.
Je suis Marty Klyne, sénateur de la Saskatchewan et président du Comité sénatorial permanent de l’audit et de la surveillance. Je vous parle de Regina, située sur le territoire du Traité no 4, patrie des Métis.
Je suis accompagné aujourd’hui des autres membres du comité : la sénatrice Renée Dupuis, vice-présidente, du Québec; le sénateur Percy Downe, de l’Île‑du‑Prince‑Édouard; Mme Hélène Fortin, membre externe du Québec; et M. Robert Plamondon, membre externe de l’Ontario. Le sénateur David Wells, vice-président, de Terre-Neuve-et-Labrador, regrette de ne pouvoir se joindre à nous aujourd’hui.
Pour la première partie de la réunion, nous allons entendre les témoins suivants : tout d’abord, de Comptables professionnels agréés du Canada, nous recevons Charles-Antoine St-Jean, président et chef de la direction. Du Secrétariat du Conseil du Trésor du Canada, nous accueillons Mike Milito, contrôleur général adjoint, Vérification interne; Jennifer Robinson, directrice exécutive, Politiques et collectivités de l’audit interne; et Raffaella Bertorelli, directrice exécutive, Opérations de vérification. Merci d’avoir accepté l’invitation du comité et d’être avec nous aujourd’hui.
Nous vous avons invité à partager vos expériences et votre expertise afin d’aider les membres du comité à choisir un modèle d’audit interne et d’entendre votre point de vue sur les responsabilités, les compétences et les attributs d’un poste de responsable de l’audit interne.
Nous commencerons par les remarques liminaires, puis nous passerons aux questions des membres du comité. Monsieur St‑Jean, vous avez la parole.
[Français]
Charles-Antoine St-Jean, président et chef de la direction, CPA Canada : Monsieur le président, mesdames et messieurs les membres du comité, bonjour.
Je vous remercie de m’avoir invité à me joindre à vous aujourd’hui. Je suis honoré de participer à cette réunion en tant que président et chef de la direction de Comptables professionnels agréés du Canada, une organisation aussi connue sous le nom de CPA Canada.
[Traduction]
Notre organisation représente la profession comptable canadienne sur les scènes nationale et internationale. Elle soutient les organisations provinciales et territoriales qui réglementent plus de 220 000 membres de la profession en vertu du pouvoir que leur confère la loi. Parmi ses nombreuses activités, CPA Canada a pour mission d’agir dans l’intérêt public et de contribuer au développement économique et social.
Avant de me joindre à CPA Canada, j’ai consacré de nombreuses années à la promotion de la saine gestion financière dans le secteur public. J’ai notamment été contrôleur général du Canada et président du Conseil sur la comptabilité dans le secteur public.
Lorsque je présidais le Comité de vérification interne de l’Ontario, je soutenais la fonction publique dans sa mission : renforcer la confiance et la reddition de comptes à l’égard de la performance financière de la province.
J’ai aussi participé aux discussions sur le rôle de l’audit au Sénat lorsque cette question a été examinée pour la première fois. J’étais alors partenaire de gestion national pour le secteur public chez EY.
[Français]
J’aimerais profiter de l’occasion pour féliciter le Comité permanent de l’audit et de la surveillance du Sénat pour l’adoption de nouvelles pratiques. On ne saurait trop insister sur la valeur du travail du comité, qui vise à dégager un portrait clair des dépenses du Sénat.
Je suis particulièrement heureux de la nomination de deux membres externes au comité, qui sont des FCPA et des confrères estimés. C’est une première sur la Colline du Parlement, comme vous le savez.
Comme j’ai bien connu M. Plamondon et Mme Fortin au cours de ma carrière, je sais que leur grande expertise et leur indépendance accroîtront la confiance des Canadiennes et des Canadiens envers le Sénat.
[Traduction]
CPA Canada a toujours soutenu qu’il était essentiel d’améliorer la transparence et la surveillance financières pour renforcer la confiance à l’égard des institutions publiques et de la gestion des fonds publics.
Au fil des ans, notre organisation a élaboré des guides pour les CPA et les conseils d’administration canadiens sur la meilleure façon de promouvoir l’efficacité et l’efficience générales des activités et la transparence de la prise de décisions. Plus précisément, ces guides traitent de l’évolution du rôle de l’audit interne et de sa valeur, sujet pour lequel nous sommes réunis aujourd’hui.
Même si les indications de CPA Canada visent généralement les sociétés, bien des renseignements s’appliquent aussi à l’audit interne dans le secteur public. Permettez-moi donc de vous parler de certaines pratiques exemplaires récentes que nous avons citées dans ces documents.
Dans tous les secteurs, les comités d’audit ont dû accroître leur vigilance et s’adapter pour aider leur organisation à composer avec des risques qui ne cessent de changer et des perturbations constantes.
La fonction d’audit interne se distingue par sa grande capacité à gérer l’incertitude. Elle joue un rôle crucial, car elle permet au comité d’audit et au conseil de s’acquitter de leurs responsabilités de surveillance en leur fournissant une assurance objective et indépendante sur la qualité du système de contrôle interne d’une organisation pour gérer les risques.
Dans le cadre d’un audit interne, un comité d’audit doit notamment approuver la charte de la fonction d’audit interne. Ce document précise ce qu’on attend de la fonction, son mandat, son budget, l’étendue de ses travaux et la nature des critères de présentation de l’information.
Le comité d’audit doit aussi définir le processus à adopter pour l’examen annuel de l’efficacité des contrôles internes et des systèmes de gestion des risques. Cet examen tient normalement compte des difficultés rencontrées au cours de l’exercice.
Le comité d’audit joue également un rôle important dans la nomination du chef de l’audit interne. Cette personne est chargée de façonner la stratégie et la culture de la fonction d’audit interne, qui doivent être axées sur l’agilité, l’information, la collaboration et une gestion des risques fondée sur l’intégrité et l’éthique.
[Français]
Une très bonne relation entre le président du Comité de l’audit et le chef de l’audit interne favorisera des discussions honnêtes, qui maximiseront la valeur de l’audit interne pour le Comité de l’audit.
[Traduction]
Un candidat au poste de chef de l’audit interne doit nécessairement posséder certaines qualités : une grande intégrité, une solide compréhension de l’environnement opérationnel et la capacité de gérer les attentes.
Ces qualités sont essentielles, car cette personne indépendante et objective sera chargée de guider le comité et de le soutenir dans les enquêtes sur des fraudes ou d’autres inconduites. Dans de tels cas, le comité doit impérativement établir un protocole qui protège le chef de l’audit interne et l’équipe d’audit interne lorsque des problèmes de nature délicate ou des constatations importantes leur sont signalés.
[Français]
Les risques émergents doivent dicter les capacités dans lesquelles un groupe d’audit interne doit investir pour pouvoir adapter ses processus à l’évolution de l’environnement opérationnel. Ainsi, aujourd’hui, il faudra peut-être renforcer les compétences dans des domaines comme les données, la durabilité sociale, la gestion des perturbations de la chaîne d’approvisionnement ou encore la cybersécurité.
Comme l’audit interne doit concilier les besoins et les attentes de nombreuses parties prenantes et des communautés, de solides compétences en gestion des relations et en communication sont tout aussi importantes que les compétences techniques en audit.
[Traduction]
Des études menées par CPA Canada ont permis d’établir les conditions optimales pour garantir l’indépendance et l’objectivité de l’audit interne : la fonction doit relever, sur le plan administratif, du chef de la direction ou de cet échelon, et sur le plan fonctionnel, du Comité de l'audit. Le président du Comité de l'audit et le chef de l’audit interne doivent se réunir plusieurs fois au cours d’un exercice.
Il est également essentiel que le chef de l’audit interne puisse communiquer librement avec le président du Comité de l'audit. Les constatations d’audit importantes, comme l’exposition aux risques associés aux contrôles, doivent être communiquées au Comité de l'audit. La fonction de l’audit interne établit ensuite des programmes de surveillance et de communication touchant l’avancement des plans d’action découlant des constatations importantes.
[Français]
Les contrôles internes doivent viser à maintenir les risques auxquels l’organisation est exposée dans les limites de tolérance établies par le Comité de l’audit. Le Comité de l’audit doit s’assurer que des contrôles, des processus et d’autres moyens appropriés sont en place et qu’ils sont efficaces.
Comme vous pouvez le constater, il y a beaucoup à dire sur l’audit interne. Je salue le travail important qu’entreprend votre comité pour réaliser son mandat.
Je répondrai à vos questions avec plaisir. Merci, monsieur le président.
[Traduction]
Le président : Merci, monsieur St‑Jean. La parole est maintenant à M. Milito.
Mike Milito, contrôleur général adjoint, Vérification interne, Secrétariat du Conseil du Trésor du Canada : Monsieur le président, mesdames et messieurs les membres du comité, bonjour. Merci de me donner l’occasion de m’adresser à vous tous aujourd’hui au sujet de l’audit interne dans la fonction publique fédérale centrale, plus précisément de la façon dont il est organisé et conduit.
Je m’appelle Mike Milito, contrôleur général adjoint, Secteur de l’audit interne, auprès du Bureau du contrôleur général. Je suis ici avec mes deux collègues, Jennifer Robinson et Raffaella Bertorelli. Je suis également ravi d’être ici aujourd’hui aux côtés de Charles‑Antoine St‑Jean qui a établi les bases d’un audit interne robuste, indépendant et professionnel dans le secteur fédéral, alors qu’il était contrôleur général il y a quelques années.
Je pourrais aborder tant de choses au sujet de l’audit interne, mais je pense que ce serait utile de commencer par dresser le contexte de cette fonction, un tant soit peu, puis mettre en lumière quelques aspects clés, qui pourraient vous intéresser, avant de passer à la période de questions et réponses.
Premièrement, je dirais que l’audit interne est une discipline mûre, exercée dans le monde entier et régie par des normes professionnelles internationales. En même temps, elle évolue sans cesse, surtout depuis les dernières années, afin de s’adapter à la complexité des risques et des défis auxquels les organisations sont confrontées.
La mission de l’audit interne consiste à prodiguer aux dirigeants, à la direction, une assurance et des conseils indépendants et objectifs dans les domaines de la gestion des risques, de la gouvernance et du contrôle, l’accent étant mis sur la création de valeur ajoutée et l’amélioration des opérations d’une organisation. Dans la pratique, cela veut dire que l’audit interne est très au fait du contexte opérationnel de l’organisation, de ses activités et des risques auxquels elle est exposée; et qu’elle élabore des plans de travail souples qui sont mis à jour fréquemment pour traiter les domaines les plus importants. Ensuite, bien sûr, comme la pierre angulaire de l’audit est son indépendance et son objectivité, les vérificateurs internes font rapport de leurs constatations directement au Comité de l'audit. Dans le cas des ministères fédéraux, le chef de l’audit interne en fait rapport directement à l’administrateur général.
Compte tenu du mandat que je viens de décrire pour l’audit interne, on peut s’attendre à ce qu’un certain nombre de domaines soient régulièrement couverts, et c’est le cas. Aucun d’entre eux ne devrait vous surprendre, mais les processus et les contrôles concernant la gouvernance d’entreprise ou institutionnelle; la gestion financière et l’établissement de rapports; l’approvisionnement; la protection des renseignements personnels; les voyages et l’accueil; la gestion des ressources humaines; la gestion de l’information; et, bien sûr, les risques croissants concernant la technologie de l’information, dont la cybersécurité, sont de plus en plus couverts par les auditeurs, et les auditeurs internes en particulier.
Parallèlement, il se fait de plus en plus pressant, à l’échelle mondiale, que l’audit interne élargisse son champ d’action et sa panoplie de services afin de couvrir un plus large éventail de risques auxquels les organisations sont confrontées, et ce, en adoptant des approches plus agiles et plus inventives. Par exemple, les auditeurs sont de plus en plus appelés à siéger aux tables de gouvernance importantes afin de mieux comprendre le contexte et les besoins de l’organisation ainsi que de formuler des commentaires et des conseils, et de les remettre en question, le cas échéant.
Ils élargissent également de plus en plus leur champ d’intervention pour englober des sujets plus récents comme l’évaluation de la culture organisationnelle, ou en aidant les services ou les organisations à gérer des initiatives de transformation très complexes.
Les auditeurs internes ont également de plus en plus recours à l’analyse des données, comme l’a mentionné M. St‑Jean, ainsi qu’à d’autres offres de services, afin de fournir dans une logique de prospective des éclairages et des prestations mieux adaptés à la prise de décisions. Autrement dit, les dirigeants principaux de l’audit et leur équipe ont vu leur rôle évoluer, étant devenus des facteurs clés de la réussite des organisations, offrant à la fois conseils et assurance dans tous les domaines importants.
Avec ce panorama de l’audit interne en tête, je pense qu’il est également utile de prendre un moment pour décrire le rôle que joue notre propre secteur au Bureau du contrôleur général, et le mien en particulier, soit la Direction de la vérification interne.
Tout d’abord, nous établissons les règles de l’audit interne mené dans les ministères fédéraux, en nous fondant, bien sûr, sur les normes internationales. Nous le faisons en publiant des politiques et des directives.
Deuxièmement, nous offrons un leadership et un soutien à la vaste communauté fonctionnelle des auditeurs internes dans les grands ministères et dans tous les ministères qui ont leurs propres fonctions, y compris des efforts pour recruter et perfectionner les talents et soutenir la professionnalisation de la fonction. Nous recrutons des personnes externes et appuyons leur nomination aux comités d’audit ministériels, et nous effectuons certains travaux d’audit pour compléter ce que font certains des grands ministères. Nous effectuons un travail d’audit horizontal qui touche divers ministères, et nous effectuons également des audits pour des organisations plus petites qui n’ont pas leurs propres fonctions.
La direction centrale et le soutien que nous offrons au Bureau du contrôleur général sont particulièrement importants, car l’audit interne dans l’administration fédérale centrale est largement décentralisé. Par exemple, chaque grand ministère dont le budget est supérieur à 300 millions de dollars doit se doter de sa propre fonction d’audit interne, adaptée aux besoins de l’organisation. Nous passons donc pas mal de temps à aider les organisations à évaluer leurs besoins en développement afin de pouvoir leur prodiguer des conseils sur la meilleure façon de structurer, et de doter en ressources et en personnel leurs fonctions.
À cet égard, je dirais qu’il ne s’agit certainement pas d’une approche unique. Il est certain que le type de fonction d’audit interne qui répondrait le mieux aux besoins d’une organisation par rapport à une autre dépendrait de quelques facteurs, notamment du profil de risque de cette organisation. Par exemple, en termes de taille, de budget, de nombre d’employés, de complexité de leurs secteurs d’activité, de volatilité de leur environnement opérationnel, de leur profil public, et cetera.
Il est également important de savoir quelle vision l’organisation a de l’utilisation de l’audit interne. Comme je l’ai mentionné, il évolue. Il devient plus agile et proactif. Une fonction d’audit interne qui serait plus traditionnelle et peut-être fondée sur un champ d’application de type conformité serait un peu différente d’une fonction qui pourrait examiner un ensemble plus large de risques et utiliser d’autres outils.
Lorsque nous conseillons des ministères individuels qui examinent leurs besoins, nous commençons généralement par décrire la vision renouvelée qu’on a mise en œuvre dans les ministères fédéraux en collaboration avec nous sur la façon dont l’audit interne pourrait être plus agile, plus innovant, plus axé sur les données et plus multidisciplinaire dans son approche. Nous mettons en œuvre cette vision en collaboration avec nos différents ministères depuis un certain nombre d’années, et nous surveillons les progrès réalisés par rapport à cette vision ainsi que les normes de conformité par l’intermédiaire de nos activités continues avec ces ministères.
Avant de terminer mes propos liminaires, je crois que ce serait utile d’effleurer quelques-uns des facteurs qui, selon nous, sont déterminants si l’on veut que l’audit interne apporte une valeur maximale à l’organisation.
Premièrement, il faut que la haute direction soit sensibilisée et souscrive au rôle de l’audit interne et à sa proposition de valeur totale. En d’autres mots, elle doit le voir non pas comme une activité policière, mais comme une activité facilitant le travail de l’organisation.
Deuxièmement, le dirigeant principal de l’audit doit non seulement comprendre les mécanismes de l’audit interne, mais aussi, et cela est tout aussi important — comme M. St‑Jean l’a mentionné —, être un leader aguerri doté de solides compétences en termes de stratégie, de gestion du personnel, de relations interpersonnelles et de communication.
Enfin, je dirais qu’il est essentiel que l’indépendance et le soutien de la fonction se trouvent garantis par la mise en place de mécanismes formels et bien compris tels que, naturellement, un comité de l’audit robuste doté d’un mandat clairement défini; il faut que comme mission, l’audit interne donne accès, directement et sans entrave, au Comité de l'audit et au chef de l’organisation; et les fonctions d’audit doivent pouvoir accéder pleinement et en temps voulu aux informations, aux personnes et aux ressources financières dont elles ont besoin pour mener à bien leur travail.
Monsieur le président, j’espère que cet exposé, bien que sommaire, a permis de dresser un contexte éclairant. Mon équipe et moi serons très heureux d’en dire davantage en nous attardant sur les pratiques et les outils exemplaires en la matière. Je vous remercie infiniment.
Le président : Je vous remercie, messieurs, de vos déclarations liminaires. Elles nous ont fourni une foule de renseignements pour servir de tremplin à la discussion.
Nous allons maintenant passer aux questions des membres du comité.
Hélène F. Fortin, membre externe du comité : Nous sommes heureux de vous avoir avec nous aujourd’hui. Je connais personnellement la plupart des témoins, ayant travaillé pendant des années dans des sociétés d’État fédérales et étant moi-même comptable professionnelle agréée. Je connais M. St‑Jean, ayant aussi été membre des comités ministériels de vérification pendant près de 15 ans. Je salue également Mme Robinson, qui prend bien soin de nous.
Tout cela pour dire que tout ce que viennent de dire M. St‑Jean et M. Milito est tout à fait exact. Il s’agit d’une excellente description du rôle, des exigences, des attentes et du mandat qui devraient être accordés à cette fonction.
Il ne faut pas oublier qu’il s’agit de l’une des lignes de défense les plus importantes au sein d’une organisation. Il faut donc y accorder l’attention que cela mérite, comme l’ont fait CPA Canada, en reconnaissant l’importance de cette fonction, et assurément le Conseil du Trésor.
Je remercie donc chacun d’entre vous. Je tenais simplement à insister sur ce qui vient d’être dit.
Le président : Je vous remercie, madame Fortin. Sénateur Downe, allez-y.
Le sénateur Downe : Je vous remercie de vos exposés. Ils sont très intéressants et donnent matière à réflexion sur les questions dont nous discutons.
Ma question ne s’adresse à personne en particulier, alors vous pouvez tous y répondre.
Je m’inquiète du coût — en fait, du rapport coûts-avantages. Comme vous le savez, les médias ont parlé de tous les problèmes au Sénat au cours des dernières années, et nous avons eu un audit du vérificateur général. Beaucoup d’entre nous ont été estomaqués par le montant de la facture par rapport à ce qui, au bout du compte, a été réclamé. La facture du vérificateur général pour l’audit a dépassé largement les 20 millions de dollars, et cela n’inclut pas les coûts assumés par le Sénat pour le temps du personnel, par les bureaux des sénateurs, par l’Administration du Sénat et pour la collecte des renseignements demandés.
Au bout du compte, on a trouvé un montant de 600 000 $, ce qui n’est pas négligeable, et tous ceux qui avaient des torts ont dû, naturellement, rembourser les sommes dues. Toutefois, je me demande comment expliquer cela aux bons citoyens de l’Île‑du‑Prince‑Édouard, soit un coût de 20 millions de dollars pour récupérer 600 000 $.
Je me demande donc comment nous pouvons contrôler les coûts en respectant les normes requises.
M. Milito : Je peux certainement commencer à répondre à votre question.
Je ne peux pas parler du travail effectué dans le cadre de l’audit que vous avez mentionné, mais dans le cas d’un audit interne, les coûts sont très transparents. Dans le contexte fédéral à tout le moins, lorsqu’un risque est détecté et doit être examiné par la fonction d’audit interne, le risque donne lieu alors à une mission précise.
À titre d’exemple, si le problème est lié à un contrat, la fonction d’audit préparera un plan pour dire : « Le coût sera de tant pour tel nombre de ressources et d’heures d’audit au cours des deux ou trois prochains mois afin d’examiner les contrôles en place et leur efficacité dans ce domaine. »
Le rapport coûts-avantages devrait ainsi être très transparent et manifeste pour chacune des missions. Les vérificateurs font un suivi de leur temps, et c’est une norme au sein du gouvernement et une pratique bien établie dans d’autres administrations. Les vérificateurs compilent leurs heures, et même si l’audit se passe dans un domaine relativement nouveau, ils peuvent assurément faire une estimation raisonnable du coût d’une mission et du temps que cela leur prendra pour la mener à terme.
On peut alors évaluer les coûts par rapport aux risques. Ce ne sont pas tous les risques qui peuvent être mesurés. On ne peut pas mesurer le fait d’éviter des risques à venir dans un contrat, mais on peut en avoir une idée. À titre d’exemple, si on arrive à la conclusion que la surveillance n’est pas suffisante ou que le comité en place ne fonctionne pas comme prévu pour examiner les contrats d’une grande valeur, les échantillons présentés peuvent nous donner un aperçu des risques qui pourraient être mieux gérés à l’avenir, et on peut alors avoir une idée du rapport coûts-avantages.
En général, il y a suffisamment de points de référence pour permettre aux dirigeants d’une organisation de mettre en place une fonction qui répondra à leurs besoins à un coût raisonnable. Les avantages peuvent également être évalués et revus au fil du temps.
Je ne sais pas si cela répond pleinement à votre question, mais j’ai pensé vous donner un début de réponse.
Le sénateur Downe : Oui, c’est en fait très utile.
Si j’ai bien compris ce que vous avez dit, car ce n’est pas mon domaine, il y aurait un sommaire des coûts avant le début de l’audit qui serait assujetti, bien sûr, aux imprévus qui peuvent survenir — ce qui entraînerait alors des coûts additionnels pour aller au fond des choses —, mais nous aurions une idée du coût avant de nous engager dans l’exercice. Ai-je bien compris?
M. Milito : Dans le cadre d’un audit interne au sein du gouvernement fédéral, c’est une pratique courante dans les organisations que je connais. Il s’agirait d’un nombre d’heures prévues et cela peut comprendre du temps à l’interne — des vérificateurs internes, par exemple, qui travaillent pour le ministère — puis des conseillers externes qui peuvent être nécessaires ou des consultants. C’est parfois prévu, mais bien sûr, la situation évolue. En plus de l’exemple que vous avez donné, il est possible que des éléments viennent s’ajouter et qu’il faille procéder à plus de tests.
Il peut aussi y avoir des éléments d’incertitude. Par exemple, s’il s’agit d’un nouveau domaine d’examen et qu’il est plus complexe que ce qu’avaient pensé les vérificateurs, il se peut alors que cela prenne plus de temps et il peut y avoir un écart, bien entendu. Toutefois, je pense qu’il serait rare de voir — mais pas impossible — des écarts très grands.
Comme je l’ai mentionné plus tôt au sujet du rôle des comités ministériels de vérification, ces comités assurent une surveillance à cet égard, alors ils verraient normalement les plans avant le début d’une mission. Ils vont aussi obtenir des mises à jour pendant l’année, ce qui peut ouvrir la porte à des discussions à propos de ce qui va trop loin, ou permettre de mieux expliquer divers éléments.
Il y a beaucoup de surveillance et de transparence.
M. St-Jean : Monsieur le président, puis-je compléter la réponse?
Me permettez-vous de compléter sa réponse?
Le sénateur Downe : Je pense que le micro du président est en sourdine.
M. St-Jean : Très bien. Si le président m’autorise à le faire, je serai heureux de vous aider.
Le sénateur Downe : Je pense que le président s’est absenté; on ne le voit plus à l’écran. Comme j’ai posé la question, allez-y.
M. St-Jean : D’accord, je vous remercie.
Pour ajouter à ce que vient de dire mon ancien collègue, Mike Milito, l’évaluation des coûts des audits internes est un exercice qui devrait être fait annuellement. Il devrait y avoir un plan pluriannuel basé sur l’absence de surprise. Vous disposez de données de référence qui seraient utiles pour vous guider selon le type d’activité, sa complexité, les risques, et cetera. Les quantités de ressources consacrées à l’audit interne ne devraient pas être déraisonnables.
Le Conseil du Trésor possède toutes ces données. Cela vous donne une idée de ce à quoi vous attendre.
Je me souviens aussi que lorsque j’ai joué ce rôle et présidé des comités d’audit au cours des années, je demandais aussi aux vérificateurs internes de s’assurer de faire un travail à coût neutre à la fin de l’année, c’est-à-dire des’assurer de trouver suffisamment d’éléments à améliorer ou d’économies pour couvrir le coût de leurs services. En règle générale, un bon vérificateur interne en trouvera beaucoup, et la culture de la vérification interne, la culture de la gestion du risque, et cetera, apporteront d’autres avantages. Toutefois, je leur disais toujours de s’assurer d’être à coût neutre dans l’établissement du budget.
De plus, la taille de l’organisation a de l’importance dans un audit interne. Plus grande est l’organisation, plus les économies d’échelle peuvent être importantes. Si l’organisation est petite, le coût est alors un peu plus élevé. Toutefois, vous avez un bon point de référence pour vous donner une idée de ce à quoi vous devriez normalement vous attendre d’année en année.
Le sénateur Downe : J’aurais simplement un commentaire final, et je sais que d’autres ont aussi des questions à poser.
Je vous remercie tous les deux de ces réponses, qui sont très importantes.
Une chose qui m’a frappé, premièrement, est le fait que nous ne savions pas ce qu’allait coûter l’audit du vérificateur général, et deuxièmement, nous ne voulions pas donner l’impression de cacher quelque chose. Nous voulions que l’audit se déroule comme prévu, afin que tout soit examiné. Pour la grande majorité des sénateurs, il n’y avait aucun problème, mais j’étais surpris de voir que l’audit se poursuivait.
À titre d’exemple, la sénatrice Marshall, une de nos collègues de Terre-Neuve-et-Labrador, est non seulement une comptable agréée, mais aussi une ancienne vérificatrice générale, alors il n’y avait aucun problème dans ses opérations. Il n’y avait aucun problème du côté de la sénatrice Callbeck non plus, comme pour beaucoup d’entre nous. Toutefois, dans le cadre de l’audit, on n’a pas semblé procéder à une analyse en surface pour ensuite creuser plus à fond pour certaines personnes. On l’a fait pour tout le monde, d’où le coût qui en a résulté.
Je ne veux pas que le Sénat gaspille l’argent des contribuables. Il ne s’agit pas de cacher quoi que ce soit ou d’empêcher les problèmes d’être découverts et réglés, mais il faut être beaucoup plus conscients des coûts, et les réponses aujourd’hui ont été rassurantes à ce sujet.
Robert Plamondon, membre externe du comité : Je vous remercie, monsieur le président.
Tout comme Mme Fortin, je connais les témoins professionnellement, tant directement qu’indirectement, pour avoir travaillé pendant de nombreuses années avec le Conseil du Trésor, en particulier pour le développement du leadership au sein du Bureau du contrôleur général dans le cadre de mon rôle à l’Université d’Ottawa. J’ai aussi travaillé avec CPA Canada, alors je connais la valeur et l’expérience que les témoins apportent aujourd’hui. Je leur suis très reconnaissant d’être venus témoigner.
Dans vos déclarations liminaires, vous avez parlé du cadre de l’audit interne, de la portée des travaux, des qualités des responsables d’audit et de l’importance de l’indépendance. Dans ce contexte, j’aurais une question au sujet de la gouvernance que nous aurions, ou à tout le moins du modèle que nous utiliserions, pour remplir la fonction d’audit interne, en particulier pour ce qui est de savoir si le responsable de l’audit serait un employé à temps plein ou partiel du Sénat par opposition à un contractant externe. Je note en particulier que M. Antoine a parlé de l’importance de comprendre l’environnement, alors je vois des avantages clairs à avoir quelqu’un qui travaille, en fait, au Sénat. M. Melito a parlé de l’importance de ne pas se contenter de travaux de conformité, mais aussi d’améliorer les organisations et les aider à accomplir leur mandat et à atteindre leurs objectifs.
Cela étant, la question porte donc sur le fait que le responsable de l'audit fasse partie du personnel du Sénat et, si c’est le cas, vous pourriez parler de la relation hiérarchique avec le comité par opposition à l’équipe de la haute direction du Sénat. Cette question s’adresse aux deux témoins.
M. St-Jean : À cet égard, il existe différents modèles. Vous pouvez confier l’audit à un tiers, ou vous pouvez le réaliser à l’interne. Vous devez tenir compte des particularités de l’organisation, et je connais un peu le Sénat pour y avoir travaillé dans le passé et aussi pour avoir travaillé au sein de multiples environnements dans le secteur public au fil des ans.
Compte tenu de la complexité du rôle, de la complexité de l’organisation et du caractère sensible de l’organisation, le recours à un membre du personnel qui comprend l’activité, les intervenants, la dynamique et les risques serait à mon avis l’approche à privilégier pour guider le comité. Je pense que je l’ai mentionné dans mes observations préliminaires, mais cette personne doit être chevronnée, crédible, capable de tenir des discussions difficiles et de ne pas les esquiver. Cette personne tiendra ces discussions avec diplomatie, respect, et cetera, mais elle les tiendra.
Pour ce qui est de la production de rapports, j’estime que le dirigeant principal de l’audit relève directement du président du comité, sur le plan fonctionnel. Nous parlions de libre accès. Il est important que le dirigeant principal de l’audit en bénéficie. Cela signifie, cependant, que cette personne doit être efficace. Je me souviens avoir eu cette discussion avec M. Milito pour lui dire qu’on vous met en contact direct avec les hauts dirigeants de l’organisation, mais que l’on ne peut pas se cacher et qu’il faut être efficace. Il faut être doué dans ce que l’on fait.
Je préconise vivement l’établissement de ce type de relation avec le président du Comité de l'audit et, sur le plan administratif, avec le leader au Sénat et l’Administration du Sénat. Mais pour ce qui est de la fonction proprement dite, je recommanderais d’abord le président du Comité de l'audit.
M. Milito : Pour revenir sur ce que M. St‑Jean a mentionné, il existe des modèles. Il y a trois modèles principaux : l’impartition totale, le recours uniquement à des auditeurs internes et à des membres du personnel, et un modèle hybride, qui est très courant au sein des ministères. Vous disposez d’un dirigeant principal de l’audit permanent et d’un bon complément d’effectif. Les organisations de plus petite taille, pouvant ne compter que trois ou quatre personnes, peuvent conclure des contrats avec différents fournisseurs de services d’audit. Des experts du domaine, par exemple, de la sécurité de la TI ou autre, en fonction des risques. Il s’agit d’un modèle très courant dans lequel des professionnels appuient une fonction d’audit du personnel.
Je suis également d’accord sur le fait que le modèle dépend en grande partie du contexte et des besoins de l’organisation en question. Si l’organisation a une forte visibilité dans tout ce qu’elle fait et que les attentes du public sont élevées, cela dépend également de l’appétit du risque de ses dirigeants. Si l’appétit du risque n’est pas très élevé, je recommanderais peut-être un modèle dans lequel les membres de l’équipe d’audit, ou du moins certains d’entre eux, pourraient provenir de l’organisation. Ce modèle présente assurément des avantages.
Comme je l’ai mentionné précédemment, l’un des principaux avantages serait, par exemple, que le dirigeant principal de l’audit puisse siéger aux tables de gouvernance clés, non seulement pour donner des conseils lorsqu’il entend ou voit certaines choses ou pour poser de bonnes questions, mais aussi pour en apprendre davantage sur la stratégie, les priorités, le contexte et les besoins de l’organisation. Et plus ils en savent — nous disons souvent aux sous-ministres de nos ministères que vous obtenez ce pour quoi vous payez. Si vous investissez dans la fonction et qu’elle adopte une perspective stratégique, elle sera mieux à même de vous aider à faire face aux risques une fois qu’elle les aura compris. C’est tout ce que je voulais ajouter à ce stade. Je vous remercie.
[Français]
La sénatrice Dupuis : Merci à vous deux d’être présents aujourd’hui et merci aux personnes qui accompagnent M. Milito. J’essaie de voir de quelle manière on peut, comme comité, instaurer une mentalité chez nos collègues. Dans ce cas-ci, on parle de collègues qui sont nos égaux, les sénateurs. Chacun de nous est un sénateur ou une sénatrice parmi un ensemble de sénateurs. Comment est-ce qu’on peut dépasser le traumatisme de l’opération du vérificateur général dans une situation de crise non seulement financière, mais politique? Comment provoquer une réflexion chez nos collègues et les amener à comprendre ce que l’audit interne vise à faire précisément?
J’aimerais savoir quelles recommandations vous pouvez nous faire. Le sénateur Downe l’a dit — et il n’est pas le seul à l’avoir fait —, et je comprends aussi très bien qu’on a affaire à des gens qui ont été traumatisés. Ce n’est pas cela qu’on veut faire dans la fonction d’audit interne et à titre de Comité permanent de l’audit et de la surveillance. Il y a un certain nombre de choses dont on doit s’occuper, et je pense que le Sénat l’a affirmé clairement en créant notre comité. Il y a sûrement des choses qu’on devrait savoir ou des choses qu’on devrait faire.
J’aimerais savoir ce que vous suggérez l’un et l’autre. Ma deuxième question porte sur l’affirmation de M. Milito à propos du risk appetite. Pouvez-vous être plus précis à propos ce que vous vouliez dire par « appétit du risque »? Merci.
[Traduction]
M. St-Jean : J’allais céder la parole à M. Milito, mais je peux commencer.
Pour ce qui est de la culture, je suis conscient de ce qui est survenu il y a de nombreuses années et du fait que cet événement a été traumatisant pour le Sénat. Cette époque était difficile, mais l’audit interne n’a rien à voir avec cela. Il s’agit d’un outil de gestion qui permet de s’assurer que la politique mise en place pour assurer une bonne gouvernance et une bonne gestion des ressources est appliquée. Il s’agit d’une police d’assurance pour vous, honorables sénateurs, qui vous permet de continuer à faire votre important travail au Sénat sans être distraits par quelque chose d’aussi traumatisant que ce qui vous est arrivé il y a quelques années.
Les audits internes sont donc des outils qui vous permettent de faire votre travail — d’avoir l’esprit tranquille en vous garantissant que vous pouvez faire votre travail. Il est très utile. Bien sûr, ils vous poseront parfois des questions, mais ils doivent le faire pour vous garantir que la politique d’assurance de bonne gouvernance ou de bonne gestion des ressources est en place.
Il s’agit d’un outil qui vous permettra de faire votre travail; il vous sera très utile.
Le dirigeant principal de l’audit doit également être très sensible à son environnement. Lorsque nous parlons de quelqu’un qui comprend la dynamique, la culture, les problèmes et l’histoire, cette personne doit faire preuve d’une certaine diplomatie et de réelles compétences humaines. Mais si le dirigeant principal de l’audit fait son travail, il peut aussi vous donner l’occasion de faire les choses différemment, et les personnes se rendront compte qu’elles n’y avaient pas pensé de cette façon. Vous pouvez libérer plus de ressources ou de temps pour effectuer le travail important que vous accomplissez.
Au sujet de l’appétit du risque, je sais que vous avez posé la question à M. Milito, mais nous posons toujours cette question. Nous ne vivons pas dans un environnement sans risque. En matière de cybersécurité, par exemple, si vous êtes une entreprise qui exploite un réacteur nucléaire ou un hôpital qui traite des données personnelles très sensibles, votre tolérance par rapport au risque en termes de confidentialité et autres sera probablement extrêmement faible.
Selon la nature de votre activité, vous accepterez une certaine prise de risque, mais vous devez en parler sérieusement. Ce n’est pas parce qu’il y a une déviation ou quelques déviations du système que ce dernier ne fonctionnera pas comme prévu. Nous ne disposons pas de suffisamment de ressources pour parvenir à un environnement sans risque.
Voilà les discussions sérieuses que vous devez tenir dès le début de la réalisation de l’audit interne et de la conception du processus de contrôle.
Je vais me tourner vers mon collègue, M. Milito, qui aura peut-être quelque chose à ajouter.
M. Milito : Certainement. Merci. Je suis tout à fait d’accord avec ce que vous venez de dire.
J’ajouterai simplement que la proposition de valeur de l’audit interne a déjà été abordée. Il est facile de le dire, mais il est plus difficile pour les membres de l’organisation de le comprendre et d’y croire, car ils peuvent avoir eu d’autres expériences qui peuvent avoir été négatives, que ce soit dans le cadre d’audits internes ou externes. Le terme « audit » peut être très large. Ainsi, l’audit interne peut faire l’objet d’idées préconçues, avant même qu’il ait été effectué.
Sur la base du contexte partagé aujourd’hui, mon conseil serait que si une fonction d’audit est mise en place et si la proposition de valeur peut être expliquée, pas seulement dans une présentation ou de manière statique — je pense, étant donné que le mot « traumatisme » a été utilisé, qu’une discussion doit avoir lieu, un engagement et pas nécessairement une campagne promotionnelle, mais de véritables discussions sur le rôle de la fonction d’audit et ses avantages pour l’organisation. La tenue d’une ou de plusieurs discussions de ce type dès le départ permettrait au moins de donner à la fonction une chance de prouver sa valeur.
Dans un tel scénario, il peut y avoir des sceptiques, mais je pense que si les personnes comprennent la valeur attendue et qu’ensuite, grâce à un bon plan de gestion du changement, elles communiquent en permanence cette valeur ainsi que les résultats à mesure qu’ils sont obtenus, j’estime que les chances de réussite augmentent.
Du point de vue de l’appétit du risque ou de la tolérance par rapport au risque — et ce que M. St‑Jean a expliqué en est un parfait exemple — dans certains organismes, la tolérance à l’égard d’une situation donnée sera très faible. Nous avons parlé des problèmes liés au nucléaire, mais la protection des renseignements personnels est un très bon exemple de situation dans laquelle une seule atteinte à la vie privée, selon la nature de l’organisation en question, pourrait être dévastatrice pour sa réputation et avoir des conséquences juridiques.
Je peux également donner l’exemple de la sécurité de la TI, car on en parle beaucoup. Même les personnes qui gèrent la sécurité de la TI et les programmes de prévention étudient constamment l’appétit du risque. De plus en plus, la documentation indique qu’il n’est pas nécessairement possible d’empêcher une atteinte à la vie privée; vous pouvez investir et investir, mais en fin de compte, l’appétit du risque peut faire que l’on autorise certains types d’atteintes, tout en consacrant des ressources à la détection et à la résolution rapides de celles-ci.
Voilà un exemple de domaine dans lequel l’appétit du risque est un peu plus élevé, ce qui permet de réorienter les ressources.
J’espère que ce que je viens de dire vous sera utile.
Les auditeurs internes tiennent compte de l’appétit du risque lorsqu’ils définissent leur mission, car s’il y a un décalage et que les auditeurs ont une tolérance nulle par rapport au risque, alors que l’appétit du risque de la direction est plus élevé, l’audit ne répondra pas aux besoins de l’organisation. Merci.
[Français]
La sénatrice Dupuis : Je vous remercie; cela clarifie les questions que j’ai posées un peu plus tôt. J’ai une question complémentaire au sujet de cette notion d’« appétit du risque ».
La question que vous avez abordée tous les deux est très importante, soit le travail qu’on aura à faire comme comité pour bien expliquer la fonction de l’audit interne. Vous avez expliqué qu’avec une gestion pluriannuelle, les gens auront une meilleure idée de ce qui s’en vient. Ce n’est pas le même contexte que le Sénat a déjà connu, alors que, pendant des années, on a laissé des problèmes traîner, jusqu’à ce qu’on envoie tout à coup une espèce d’équipe de pompiers faire toutes sortes de choses.
J’imagine qu’il y a la question de l’« appétit du risque » et celle des priorités. Je donne un exemple précis : on fait actuellement un examen conjoint du système de cybersécurité de la Chambre des communes et du Sénat. Toutefois, on nous a bien dit que cet examen est strictement technique, pour déterminer si les bons fils sont connectés au bon endroit. La cybersécurité, on s’entend, est plus large que cela. Pour ce qui est d’établir des priorités, j’imagine qu’un comité comme le nôtre devra s’intéresser, par exemple, à... Quand on sait que certains États étrangers ont comme politique déclarée d’identifier des personnalités parlementaires publiques pour les influencer, cela suppose qu’on mène des opérations. Au-delà des questions strictement techniques, il y a aussi des questions de contenu qui vont nous amener à prendre des décisions et à prioriser certains dossiers autrement que dans leur aspect strictement... Mes propos ne sont pas très clairs. J’essaie de comprendre ce que vous nous avez expliqué.
J’essaie également de voir comment une discussion au sein de notre comité sur les conduites, les attitudes et les outils qu’on doit mettre en place au Sénat permettrait de prévenir l’interférence des États étrangers dans le travail des sénateurs.
M. St-Jean : Je peux répondre à la question. La cybersécurité, ce n’est pas juste une question de fils. C’est une question de cadre de gestion en général; on parle également d’ingénierie sociale.
Nous avons mis en place des programmes de cybersécurité. Ce sont des programmes pluriannuels où il y a des volets d’ingénierie sociale qui testent nos gens avec de l’hameçonnage afin de développer leurs réflexes. Vont-ils y répondre?
Les stratégies de pénétration sont maintenant fort bien développées par ceux qui veulent faire de mauvais coups. Il faut vraiment augmenter notre seuil de résilience. Cela concerne l’entraînement de nos gens et de la bonne technologie. Lorsqu’on parle de bonne technologie, pendant plusieurs années, les gens aimaient beaucoup acheter de nouvelles applications et ainsi de suite. Cela ouvre le flanc à toutes sortes de choses. Il faut vraiment qu’il y ait une bonne stratégie sur le plan de la technologie en général grâce à des politiques, de la formation, etc.
En règle générale, les comités d’audit — on le voit maintenant — passent de 20 à 25 % de leur temps environ sur la cybersécurité. C’est le premier sujet étudié dans tous les comités d’audit pour ce qui est des organisations financières et des grandes institutions. Elles passent tout ce temps sur la cybersécurité parce que c’est un sujet d’actualité important. On ne parle pas seulement de technologie, mais de la façon de s’organiser. Donc, ce comité devra se pencher sérieusement sur cet aspect.
La sénatrice Dupuis : Merci.
[Traduction]
M. Milito : Si vous me le permettez, j’aimerais ajouter qu’il y a de multiples niveaux de défense dans toute organisation qui doit se protéger du point de vue de la cybersécurité, et oui, une grande partie de cette protection est de nature technique. Mais comme l’a mentionné M. St‑Jean, le cadre de gestion serait également examiné : une gestion des risques plus large est-elle assurée? Ces risques sont-ils surveillés? Les problèmes sont-ils également surveillés? Les risques et les problèmes sont-ils consignés dans des registres, par exemple, et sont-ils résolus? Quels sont les comités de gouvernance auxquels ils sont soumis, et cetera? Quel montant est consacré à la défense ou à ce type de défense?
En outre, pour revenir sur l’exemple de l’hameçonnage et de l’ingénierie sociale, il existe des éléments non techniques. Une grande partie des faiblesses sont liées au comportement humain, de sorte que l’on en vient à auditer la sensibilisation des gens. Le fait d’interroger les gens pour savoir ce qu’ils feraient s’ils recevaient certains types de courriels ou d’introduire des courriels dans le système pour voir s’ils cliquent sur certaines choses est une méthode qui n’a rien de technique.
Il existe également les contrôles de détection de la surveillance, qui relèvent davantage de la technique, et en cas de présence d’un intrus, la réponse sera-t-elle rapide, les données sont-elles cryptées, et cetera?
Je pense que toute bonne défense doit associer des aspects techniques et non techniques. L’appétit du risque joue un rôle dans tout cela, et il dépend de la valeur de ce qui est protégé par rapport au coût, car je pense, comme M. St‑Jean l’a mentionné plus tôt, qu’il est presque impossible de ramener le risque à zéro. Il est généralement plus coûteux de faire baisser le niveau de risque. Il faut donc faire un compromis à un moment donné et je pense que c’est ce que nous essayons de vous faire comprendre grâce à cet exemple.
M. St-Jean : Si vous me le permettez, j’aimerais faire un commentaire sur le rôle du Comité de l'audit dans la mise en place de dispositifs de contrôle — nous parlons d’ingénierie sociale — et sur les pratiques opérationnelles qui devront être mises en place, par exemple, les authentifications doubles et autres, et les gens pensent que ce sont encore les techniciens qui leur imposent tous ces contrôles. Ils ne le font pas par plaisir, et c’est là que le leadership du Comité de l'audit sera très important, car il devra dire : « Nous avons évalué le risque, et cetera, et voici les niveaux de contrôle que nous devons mettre en place. »
Votre soutien relativement à certaines de ces recommandations et de ces pratiques sera donc très important. Le leadership du Comité de l'audit ne doit pas être sous-estimé.
Le président : Très bons commentaires, merci.
[Français]
Mme F. Fortin : Étant donné que le travail portera largement sur les contrôles identifiés comme étant importants pour mitiger les risques qu’on aura identifiés — c’est ce que l’on veut dire par « plan d’audit axé sur les risques » —, il ne faut pas négliger non plus le fait que si l’auditeur interne arrive avec un rapport très positif et qu’il n’y a pas beaucoup d’observations ou d’éléments à corriger, cela nous donnera l’assurance que nos contrôles fonctionnent bien et qu’ils ont une utilité, ce qui est assez important.
Il y a donc beaucoup d’éducation qui se fait grâce à tout ce processus; cela permet de mieux comprendre l’écosystème, qui se veut essentiellement l’identification des risques et les contrôles internes, suivis de l’audit, pour s’assurer que tout cela est bien colmaté. C’est donc un aspect favorable, qu'on espère à coût neutre, comme M. St‑Jean le disait.
Il y a également beaucoup d'économies à réaliser, même si on ne trouve pas nécessairement ou forcément des critiques ou des observations. Évidemment, l’avantage principal de tout cela est d’apporter des correctifs.
J’ai une question pour nos témoins. On sait que le succès de cette fonction dépend largement du pouvoir — en anglais, on dit empowerment — qui est accordé à l’auditeur interne et à son équipe. Il y a énormément de défis pour ce qui est de reconnaître ces pouvoirs, comme la communication, par exemple. Quelles sont les façons les plus efficaces d’y arriver dès le début? N’oublions pas qu’on fait affaire avec une institution qui n’a jamais évolué avec une fonction d’audit interne. Il y aura donc beaucoup de défis non sur le plan de l’acceptation, mais sur celui de la reconnaissance de tous les bienfaits et bénéfices qui en découlent. Comment pourrait-on plus facilement améliorer cette passation de pouvoirs?
[Traduction]
M. Milito : Évidemment, d’expérience, je vous dirais que, si vous pouvez trouver un dirigeant principal de l’audit qui possède les qualités citées, il est tout aussi important que cette personne soit très expérimentée, fasse preuve d’un bon leadership et d’une grande intégrité, ait d’excellentes qualités de communicateur et puisse donner l’heure juste aux dirigeants. Ce que vous voulez, c’est quelqu’un qui incarne tous ces éléments, ce qui est probablement plus important encore dans une organisation où il n’y a pas nécessairement d’antécédents, quelqu’un qui peut parler le langage de la haute direction et qui peut s’avérer convaincant de sorte que la valeur qu’il souhaite apporter soit limpide. Cette personne est stratégique. Elle est extrêmement convaincante.
Je ne peux pas insister assez là-dessus. Comme l’a déjà mentionné M. St‑Jean, il me semble, avoir une telle personne à ce poste permettrait au comité de l’audit de jouer un grand rôle, tout comme les cadres supérieurs et les plus hauts responsables d’une organisation, en signalant ce qu’est vraiment la proposition de valeur.
Quelle est la pleine étendue de la fonction d’audit interne? Pourquoi instaure-t-on cette fonction? Quels sont les avantages prévus concrètement visibles pour tous?
Ces signaux peuvent ensuite devenir très tangibles et ne pas se limiter à une charte d’audit. Une charte d’audit est importante et il devrait y en avoir une. C’est la reconnaissance écrite et officielle des pouvoirs, mais le type de questions posées par le comité de l’audit lui donne ensuite forme, tout comme le type d’accès accordé à la fonction d’audit et son profil, la transparence et le travail fait par les vérificateurs, puis la communication concrète de celui-ci et la consultation de diverses personnes dans l’élaboration d’un plan d’audit fondé sur les risques avant sa soumission pour approbation.
Il ne s’agit là que de quelques exemples de ce qui est important, à mon avis. Si, en regardant le tout de loin, les gens estiment qu’on leur impose quelque chose et qu’ils n’en voient pas l’intérêt pour l’organisation, il pourrait y avoir des problèmes. C’est pour cette raison que j’ai fait référence plus tôt à ce qui s’apparente plus à un plan de gestion du changement qui va au-delà de la simple sensibilisation, et qui serait multidimensionnel. C’est quelque chose que je serais on ne peut plus heureux de discuter également avec vous après la réunion si vous souhaitez en apprendre davantage sur ce que nous pourrions faire. Merci.
[Français]
M. St-Jean : Pour ajouter quelque chose aux commentaires de M. Milito, il y a tout un élément d’éducation dans le rôle du chef de la vérification. C’est très bien d’expliquer le rôle, d’avoir un bon jugement et de faire la part des choses. On ne cherche pas la perfection, mais on cherche quelque chose de raisonnable qui va protéger l’institution et protéger les sénateurs, parce que le travail qui est fait par le Sénat est essentiel, et on ne veut pas qu’il soit distrait par des choses de moindre importance. Il faut avoir quelqu’un qui peut faire la part des choses et guider l’organisation dans l’acceptation de l’outil de l’audit interne.
En ce qui concerne ce qui a été mentionné un peu plus tôt, s’il n’y a pas de déviation, s’il y a de bonnes notes à recevoir, la vérification interne est vraiment très importante, et parfois, lorsqu’on crée des programmes pour trois, quatre ou cinq ans, on va cibler quelques processus où l’on pense que tout fonctionne bien pour rassurer la haute direction. Cela permet aussi de créer une certaine fierté chez les employés, qui voient leur travail reconnu.
Il faut donc faire la part des choses et équilibrer le travail afin d’encourager les gens à accueillir favorablement la vérification interne. J’ai eu cette même discussion avec mes collègues à l’interne. La vérification interne est là pour vous aider. S’il y a des choses à faire ressortir, il faut se servir de la vérification interne pour le faire. Il ne faut pas se le cacher : les gestionnaires ont tous de très bonnes idées qu’ils aimeraient voir adopter, mais, pour différentes raisons, ils n’y réussissent pas. Si la vérification interne confirme que certaines choses peuvent être améliorées, elle peut être un excellent levier pour faire avancer les choses dans la bonne direction. C’est une question de diplomatie et d’équilibre des choses. La vérification interne, c’est des gens qui travaillent avec des gens. Il faut avoir de la finesse pour bien le faire.
[Traduction]
Le président : Merci. Monsieur Plamondon, avez-vous une question?
M. Plamondon : Vu que le temps file et que nous avons des témoins d’une incroyable expertise avec nous aujourd’hui, si nous pouvions rapidement traiter de quelques questions pratiques, puisque, au bout du compte, nous allons nous pencher, en tant que comité, sur ce qui nous occupe, soit un plan d’audit pluriannuel fondé sur les risques et approuvé par le comité. Donc, nous devons établir ce qui fera l’objet d’un audit et l’ampleur des investissements relatifs à un audit et à l’embauche des bonnes personnes, des points que vous jugez tous les deux essentiels.
Dans le premier cas, à savoir ce qui fera l’objet d’un audit, M. St‑Jean vient de parler d’une composante à valeur ajoutée, ce qui va au-delà des travaux de conformité de l’audit interne et s’aventure dans les secteurs des services stratégiques ou consultatifs.
Quel équilibre peut-on établir entre la conformité et les services consultatifs stratégiques tout en assurant le maintien de l’indépendance de la fonction d’audit interne de sorte à ne pas vérifier en fin de compte des secteurs sur lesquels nous avons formulé des recommandations? Il y a cette question de l’équilibre.
Dans le cas des investissements, M. Milito a déjà fait référence à un dirigeant principal de l’audit bénéficiant d’un certain soutien. Puisque vous connaissez la taille du Sénat et notre profil, pourriez-vous nous donner quelque jalon ou suggestion pour nous guider dans l’établissement de l’ampleur des investissements?
Du point de vue du recrutement, comme pour tout conseil d’administration, il n’y a pas de décision plus importante que l’embauche d’un PDG. Vous avez parlé des qualités de la personne dont nous aurions besoin en tant que dirigeant principal de l’audit, mais sur toute la question du recrutement et de l’endroit où dénicher cette personne — Jennifer Robinson, qui est responsable de cet aspect au Bureau du contrôleur général, est d’ailleurs présente —, pourriez-vous nous donner des conseils et nous aider sur ces trois points? Merci.
M. Milito : Merci pour votre question. Du point de vue de l’équilibre entre la conformité et d’autres travaux, je vous dirais que cela dépend de l’organisation et de ses activités. Je vous demanderais aussi ce qui se passe d’autre. À quel point les autres mesures de contrôle ou garde-fous de l’organisation sont-ils efficaces? Y en a-t-il? À quel point sont-ils aboutis?
Pour donner un exemple d’audit interne dans le contexte fédéral, oui, il y a beaucoup d’évaluations qui sont faites, mais il y a aussi des services de contrôle interne, par exemple, dans beaucoup de directions générales du contrôleur ministériel. Dans certains cas, ils sont fort aboutis. Ils portent en grande partie sur les travaux de conformité. Ils mettent à l’essai les mesures de contrôle applicables au rapport de la gestion financière, mais ils abordent aussi d’autres aspects, y compris certaines mesures de contrôle relatives aux TI.
Dans une organisation où il pourrait déjà y avoir certains de ces garde-fous et travaux de conformité fondés sur les risques, on aborderait l’audit ainsi : « Nous savons que cela est fait. Nous avons une idée générale du fonctionnement. Nous allons donc mettre l’accent sur d’autres choses. » Peut-être s’agit-il de s’intéresser à d’autres secteurs de conformité, voire de consacrer une partie de ces ressources à d’autres types d’évaluations.
Par exemple, peut-être qu’il y a un nouveau dirigeant au sein de l’organisation et qu’il souhaite jeter un coup d’œil au processus décisionnel et à la vigueur de la structure de gouvernance au sein de l’organisation. On pourrait donc opter pour cette avenue plutôt que pour un audit des travaux de conformité, si les ressources le permettent.
Au bout du compte, c’est un facteur majeur. Il n’y a pas de réponse préétablie. Vous allez là où se trouvent les risques, mais vous allez aussi là où il pourrait déjà y avoir d’autres fournisseurs qui procurent une certaine assurance.
Du point de vue des jalons, je ne suis pas tout à fait familier avec tout ce qui se passe dans votre organisation, mais je vous dirais que, en se fondant sur un budget, qui n’est d’ailleurs pas négligeable, de 100 à 115 millions de dollars, si je ne m’abuse... Il me semble que vous avez certaines ententes. Si vous avez une entente de services partagés ou de services partiels avec d’autres organisations pour obtenir du soutien administratif, ce pourrait être plus simple, mais ce pourrait aussi être plus compliqué du point de vue de l’évaluation des risques.
Il y a des choses là-dedans qui auraient une incidence sur la taille d’une fonction, mais je vous dirais que, pour le budget et les équivalents temps plein que vous avez, une fonction de moins de cinq employés pourrait suffire si vous avez du personnel. Elle pourrait se limiter au dirigeant de l’audit interne, peut-être à un directeur de projet ou d’audit, peut-être à un analyste sous sa responsabilité et à un budget qui, un peu comme un accordéon, augmente ou baisse pour les ressources externes selon le plan d’audit fondé sur les risques pour une année donnée.
Par exemple, si un risque tel que la sécurité des TI vous préoccupe — ce qui tend à nécessiter des ressources plus dispendieuses parce qu’elles sont en grande demande —, le budget des services professionnels peut être un peu plus élevé que d’habitude pour l’année où on met davantage l’accent sur quelque chose du genre. Bien sûr, tout ce que le personnel à l’interne peut faire vient compléter ces services. Donc, il n’y a pas de montant fixe. Tout dépend des ententes que vous avez avec vos partenaires, s’ils vous fournissent des services, et aussi de la taille et de la complexité de votre service et de votre appétit du risque, comme on l’a dit.
Vous avez parlé du recrutement. Je vous dirais qu’il y a pénurie de main-d’œuvre qualifiée. Il n’est vraiment pas évident de trouver quelqu’un qui comprend l’audit, mais qui, au-delà du vérificateur de carrière, est vraiment doué dans une salle du conseil et comprend la stratégie et la communication. D’expérience, la clé réside dans la capacité de la personne responsable de l’embauche à vendre le type... Dans ce domaine, j’estime que les gens veulent vraiment avoir un impact. Ils sont formés pour examiner rigoureusement un cadre complexe afin de fournir des recommandations à valeur ajoutée. Donc, si quelqu’un sait qu’il arrive dans une organisation, même une organisation qui est loin d’être arrivée à maturité du point de vue de l’audit, où on lui fournit ces outils et le soutien dont il a besoin, que la proposition de valeur est claire et qu’il a l’impression d’être soutenu, selon moi, c’est le plus gros atout. Certes, une organisation avec le type de risques que le Sénat gère serait intéressante parce qu’elle constituerait un défi. Elle serait intéressante. Mais c’est quelque chose que les gens rechercheraient; ils rechercheraient des signes de soutien. Merci.
M. St-Jean : Peut-être pourrais-je ajouter mon grain de sel. Il y a environ 15 ans, quand on a remis au goût du jour l’audit interne, tant dans le secteur privé que public, je crois que l’on mettait l’accent, du moins au cours des quatre ou cinq premières années, sur une conformité totale. Rappelez-vous qu’il était question des effets de la loi américaine Sarbanes-Oxley, et rappelez-vous également qu’il était aussi question du programme des commandites. Cela a fait resurgir de mauvais souvenirs sur des mesures de contrôle déficientes. La conformité était la grande visée des secteurs public et privé.
Aujourd’hui, nous parlons d’une approche plus équilibrée entre les fonctions de conformité et de conseil. S’agit-il d’un rapport entre conformité et conseil de 70-30, voire de 60-40? C’est dans la fourchette de ce qu’on entend aujourd’hui par une bonne fonction d’audit interne. Il serait aussi pertinent d’ajouter qu’il sera de nature consultative. Donc, il ne s’agit plus d’une conformité totale, mais plutôt d’un rapport de 70-30 ou de 60-40, ce qui ne serait pas mal du tout.
J’aimerais également vous prévenir que vous entrez dans l’arène à un moment où les gens de talent se font rares. J’en discute avec beaucoup de clients qui embauchent des comptables professionnels agréés, mais dans toutes les sociétés, la pénurie de gens de talent... Il est question d’une augmentation de la rémunération de 10 à 15 % strictement pour attirer les candidats et les maintenir en poste au cours de la prochaine année. Ce n’est que pour le recrutement. J’ai parlé à beaucoup des sociétés et, en plus de 20 ans, elles n’ont jamais autant refusé de travail. Vous entrez vraiment dans un milieu où l’on manque de gens de talent. Donc, peu importe qui vous trouvez, assurez-vous que ses compétences sont utilisées de sorte à en tirer la plus grande valeur possible.
Pour vous donner une idée, CPA Canada est une organisation de 125 millions de dollars. Nous consacrons environ 300 000 $ annuellement aux audits internes. Parfois, c’est un peu moins, parfois un peu plus, s’il y a un projet spécial. Voilà l’ampleur dont nous parlons pour cette fonction. Mais je dois dire que vous êtes dans un milieu hautement médiatisé. Le Sénat est suivi de près, donc c’est un facteur. N’en faites pas fi. Les coûts pourraient par conséquent être un peu plus élevés. Si quelque chose tourne mal et que les médias vous ont à l’œil, sachez que les gens ont peu de pitié pour les institutions publiques, ce qui peut vouloir dire des dépenses légèrement plus élevées.
Le président : Merci pour ces remarques.
[Français]
La sénatrice Dupuis : Je me demandais si vous aviez remarqué quelque chose en ce qui a trait à l’influence de la pandémie que nous traversons depuis deux ans. Croyez-vous que la pandémie a eu une influence quelconque sur le type de fonction dont on parle ici, soit l’audit interne, dans vos milieux respectifs?
[Traduction]
M. Milito : Je dirais que cette question est intéressante. J’ai mentionné que nous mettions en œuvre une vision moderne de l’audit interne depuis 2018. Lorsque la pandémie a frappé, nous avons simplement réuni virtuellement nos cadres de l’audit interne. Nous avions déjà un élément sur lequel nous pouvions nous appuyer. Nous parlions déjà d’appliquer un ensemble de services, et d’équilibrer ce processus, comme l’a mentionné M. St‑Jean, non seulement du point de vue de la conformité, mais aussi en examinant de manière plus préventive ce qui pourrait être fait. Ce qui s’est passé est intéressant. Les cadres étaient très bien placés pour répondre aux besoins immédiats des sous-ministres. Au début, la question était de savoir comment établir des relations et des plans de continuité des activités. Ces plans étaient-ils solides? Comment devaient-ils être adaptés? Puis, nous nous sommes intéressés très rapidement à la question, vous savez, des employés. Comment géraient-ils la situation? Étaient-ils soutenus? En cas de problèmes de santé mentale, des services de soutien étaient-ils en place? En outre, un certain travail d’audit était réalisé, mais pas un travail d’audit traditionnel. Parfois, il s’agissait de conseils. Parfois, il s’agissait d’un examen plus superficiel, d’un examen qui n’était pas aussi approfondi qu’un audit mais qui donnait suffisamment d’assurance pour aller de l’avant.
Il y avait beaucoup de travail à réaliser, par exemple, en amont. Si un nouveau programme, conçu pour aider des Canadiens qui avaient besoin de fonds pour payer leurs factures, était lancé, des vérificateurs pouvaient être consultés — et ils l’étaient — au cours des étapes préliminaires, dans certains cas. Pendant l’élaboration du processus de gestion du programme, les vérificateurs du programme étaient là pour poser les questions suivantes : « Avez-vous pensé à ceci? Avez-vous pensé à cela? » Au lieu de passer des mois ou même davantage à élaborer des programmes, ils étaient parfois élaborés en quelques semaines. Ainsi, l’audit ne fournissait peut-être pas de solides garanties, mais les vérificateurs faisaient ce qu’ils pouvaient dès le départ.
Je dirais que cela a presque intensifié nos efforts. Nous parlions déjà de la réalisation d’une vision de l’audit interne, et lorsque cette crise a éclaté, de nombreux sous-ministres nous ont demandé de venir les aider. Cela a eu pour effet de rehausser le profil de l’audit, mais ce n’était qu’un effet secondaire. L’important, c’est que l’audit est intervenu et a apporté un soutien à l’évaluation des risques et à l’analyse des données. Quels étaient quelques-uns des problèmes ou des risques liés aux nouveaux programmes mis en œuvre ou aux personnes travaillant à distance? Cela a vraiment permis à un grand nombre de fonctions de briller, et cela a donné un élan à certaines fonctions qui n’en avaient peut-être pas parce qu’elles étaient immédiatement mises en œuvre.
Je semble très positif parce que je pense que, du point de vue de l’audit, ce processus a apporté de la valeur. Mais je dois dire que cela a aussi posé des défis, comme le fait d’interagir avec des personnes travaillant à distance ou le stress que mon propre personnel a subi. Cependant, tout le monde a rencontré ces problèmes pendant la pandémie.
M. St-Jean : Si je peux me permettre de formuler quelques observations supplémentaires à ce sujet, je dirais que la pandémie nous a donné une occasion unique d’accélérer le développement de notre capacité d’effectuer des audits à distance. Auparavant, personne ne parlait de la manière dont nous pourrions réaliser un audit interne ou un audit traditionnel à distance. Il y a deux ans et demi, vous n’auriez pas affirmé que vous pouviez effectuer un audit interne à distance pour la Banque Royale, la Banque TD ou l’Office d’investissement du RPC. Tout ce travail a été réalisé à distance, du jour au lendemain. Cela a donc vraiment accéléré le développement de la capacité d’offrir immédiatement des services d’audit interne à distance.
Cette capacité a également permis... nous parlons maintenant du Sénat, et le Sénat, c’est le Canada. Cette capacité nous permet donc aussi d’avoir accès à des travailleurs talentueux établis partout au pays — de les faire participer au processus. Auparavant, une équipe à Toronto ou à Montréal s’occupait de bon nombre de contrôles d’audit ou d’audits externes. Maintenant, nous pourrons déterminer où se trouvent ces travailleurs talentueux, et nous pourrons faire participer ces gens. Vous avez accès à des travailleurs talentueux dont nous ne pouvions pas tirer parti auparavant parce qu’ils n’étaient pas dans la bonne ville ou au bon endroit. Maintenant, ils peuvent participer aux audits internes.
Cette capacité est donc vraiment utile à bien des égards. Il ne fait aucun doute que la situation a causé beaucoup de stress à notre personnel, mais elle a eu aussi de bons côtés.
Le président : D’accord. Je vous suis reconnaissant de votre présence parmi nous aujourd’hui. Je remercie nos témoins des conseils à valeur ajoutée qu’ils nous ont donnés. Il y avait un grand nombre de renseignements clés à prendre en considération, et je suis sûr que le comité bénéficiera des témoignages apportés pendant la réunion. Merci beaucoup.
Chers collègues, nous allons maintenant suspendre la séance pendant que nous passons à la séance à huis clos. Je remercie infiniment nos témoins.
M. Milito : Merci.
M. St-Jean : Merci.
(La séance se poursuit à huis clos.)