Vérification de la gestion des risques de fraude

Direction de la vérification interne et de l’évaluation des programmes

Avril 2025

Remarque : [caviardé] indique que des renseignements de nature délicate ont été supprimés en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels.

Introduction

L’Agence des services frontaliers du Canada (« l’ASFC » ou « l’Agence ») traite des millions de voyageurs, d’expéditions, de droits et de taxes chaque année, dans le cadre de son mandat visant à faciliter la libre circulation des marchandises et des voyageurs en règle ^{Note de bas de page 1}. Par conséquent, l’Agence joue un rôle essentiel dans l’appui de l’économie, la sécurité nationale et la sûreté publique du Canada.

Qu’est-ce que la fraude

Acte intentionnel commis par une ou plusieurs personnes parmi les employés, les membre de la direction et les responsable de la gouvernance (interne), ou des tiers (externe), impliquant le recours à des manœuvres trompeuses dans le but d’obtenir un avantage indu ou illégal»^{Note de bas de page 2}.

La fraude interne (également appelée fraude professionnelle) désigne les actes frauduleux commis par les employés. L’ASFC la considère comme un type d’inconduite. Selon l’Association of Certified Fraud Examiners (ACFE), les trois principales catégories de fraude interne sont :

la corruption, comme la réception de pots-de-vin;
le détournement d’actifs, comme le vol ou l’utilisation abusive de biens du gouvernement (y compris l’information);
la fraude liée aux états financiers, comme la dissimulation des passifs et des dépenses^{Note de bas de page 3}.

D’après les experts, la présence de trois éléments augmente le risque qu’une personne commette une fraude : la pression, une occasion et la capacité de justifier l’acte frauduleux. Ces trois éléments sont communément appelés le triangle de la fraude ^{Note de bas de page 4}.

La fraude, qu’elle soit alléguée ou prouvée, peut miner la confiance du public ou poser un risque important pour l’intégrité des programmes et des services. Ainsi, il est important que les organisations mettent en place des processus et des pratiques qui aident à :

déterminer les cas où des risques de fraude sont présents;
déterminer les meilleures méthodes de prévention de la fraude;
mettre en œuvre les activités visant à détecter la fraude le plus tôt possible;
enquêter sur les allégations de fraude;
prendre des mesures correctives lorsque des activités frauduleuses sont découvertes.

Un programme de gestion des risques de fraude

Selon le référentiel Committee of Sponsoring Organisations of the Treadway Commission (COSO), un programme de gestion des risques de fraude (GRF) est l’ensemble de processus et de procédures adoptés par une organisation pour gérer ses risques de fraude ^{Note de bas de page 5}. Les éléments essentiels d’un programme de GRF sont les suivants :

La gouvernance et la surveillance entourant la GRF ainsi que les politiques qui établissent l’approche de GRF, déterminent les rôles et les responsabilités et donnent le ton;
Une évaluation des risques de fraude (ERF) qui cerne les risques et les stratagèmes frauduleux d’une organisation, son degré d’exposition à ces risques et son approche pour y faire face;
Les contrôles préventifs et de détection, y compris les processus, les procédures et les activités conçus et mis en œuvre pour réduire les risques de fraude;
Mener des enquêtes et communiquer les résultats des allégations de fraude;
Surveiller le rendement de la GRF et utiliser les résultats pour améliorer continuellement l’ensemble du programme ^{Note de bas de page 6}

Un cadre ou une politique de GRF documente les éléments ci-dessus et appuie l’affectation de ressources pour aider à mettre en œuvre l’approche définie par l’organisation ^{Note de bas de page 7}.

Gestion des risques de fraude à l’ASFC

À l’ASFC, des activités de GRF sont réalisées dans divers secteurs d’activité; toutefois, certains des principaux secteurs de responsabilité sont les suivants : l’administrateur général, qui établit le Code de conduite et favorise une culture des valeurs et de l’éthique; le dirigeant principal de la sécurité, qui tient à jour et supervise le programme d’intégrité de l’Agence et mène des enquêtes sur les inconduites; et le contrôleur financier de l’Agence, qui dirige l’ERF.

Voici certains des principaux secteurs de responsabilité en matière de GRF (cette liste n’est pas exhaustive) :

Tous les employés, qui doivent adhérer aux valeurs et à l’éthique et signaler toute inconduite détectée ou soupçonnée (y compris une fraude) mettant en cause des employés;
La direction, qui doit établir et superviser des contrôles internes pour prévenir et détecter les actes de fraude possibles et s’assurer que ces contrôles fonctionnent comme prévu;
Le Bureau des valeurs et de l’éthique de la Direction générale des ressources humaines, qui gère et tient à jour le Code de conduite de l’ASFC et formule des recommandations à l’intention des titulaires de pouvoirs délégués concernant les divulgations de conflits d’intérêts;
L’agent supérieur de la divulgation interne, qui reçoit des divulgations d’actes répréhensibles et enquête sur ces divulgations, s’il y a lieu.

À propos de la vérification

L’objectif de la vérification était d’évaluer la mise en œuvre du programme de GRF ^{Note de bas de page 8} de l’ASFC.

Inclus dans la portée de la vérification

La vérification de la gestion des risques de fraude interne a visé la période d’avril 2021 à septembre 2024. Cette période a été choisie pour permettre l’examen des deux plus récentes ERF de l’Agence. Dans le cadre de la vérification, on a examiné les éléments suivants (se référer à l’annexe A, Critères de vérification) :

Les structures de gouvernance et les mécanismes de surveillance pour la gestion des risques de fraude;
L’ERF;
La gestion des contrôles de prévention et de détection des fraudes;
La surveillance des activités de GRF et la production de rapports à cet égard afin d’appuyer l’amélioration continue.

Aux fins de la présente vérification, lorsque possible, on a aussi pris en compte, dans le cadre des éléments de la portée susmentionnés, la fraude qui peut être commise par des employés ayant des liens avec des parties externes à l’organisation.

Exclu de la portée de la vérification

La vérification ne comprenait pas ce qui suit :

Une évaluation des processus et des pratiques de GRF externes de l’Agence.
Un examen des enquêtes sur des allégations de fraude. Cet élément a récemment fait l’objet d’une vérification dans le cadre de Audit de suivi des normes professionnelles 2020.
La mise à l’essai de contrôles individuels de prévention et de détection des risques relevés dans le Profil de risques liés à la fraude (PRF) de l’Agence. Compte tenu du temps et des ressources limités pour cette mission, l’équipe de vérification a plutôt examiné un échantillon non aléatoire de quatre risques afin de déterminer si l’Agence a établi des processus pour vérifier l’efficacité des contrôles relevés et la façon dont cette information est utilisée dans le PRF.
Un examen du processus interne de planification de la vérification axée sur les risques de l’ASFC et des enquêtes menées par l’agent supérieur de la divulgation interne. Ces deux activités relèvent de la Direction de la vérification interne et de l’évaluation des programmes et, par conséquent, un examen de celles-ci présentait un conflit d’intérêts. Même si ces activités n’ont pas fait l’objet de la vérification, on a fait part des occasions pertinentes aux responsables des deux secteurs d’activité afin que des mesures soient prises.

Méthodologie de la vérification

Pour conclure sur l’objectif, les méthodes retenues pour la collecte de données sont les suivantes :

Examen et analyse de plus de 450 documents clés comme des comptes rendus de décisions, le mandat des comités exécutifs de gouvernance, des politiques et des procédures, des outils et des modèles de gestion des risques de fraude, des ERF, des profils opérationnels intégrés, des dossiers de formation, des rapports annuels et des tableaux de bord.
Entretiens avec plus de 20 intervenants ayant des rôles et responsabilités liés à la GRF.

Importance de la vérification

Au cours de l’exercice 2022 à 2023, l’ASFC a facilité le mouvement transfrontalier de 70,5 millions de voyageurs, a perçu 39,7 milliards de dollars en droits et taxes, a traité 132,5 millions d’expéditions par messagerie et a saisi plus de 16 millions de dollars de devises et d'instruments monétaires ^{Note de bas de page 9}. Compte tenu de l’ampleur des opérations de l’ASFC, la fraude, qu’elle soit alléguée ou prouvée, peut nuire à la capacité de l’Agence de remplir son mandat et d’offrir des services aux Canadiens. Par exemple, les actes frauduleux et leurs conséquences peuvent :

nuire à la réputation de l’Agence et entraîner une perte de confiance du public canadien et des divers partenaires;
entraîner des pertes financières importantes, soit en raison de l’acte lui-même, soit en raison des efforts déployés pour enquêter sur la perte, la corriger et reprendre les activités après celle-ci;
empêcher l’Agence de se conformer aux exigences législatives et réglementaires si les systèmes et les processus sont compromis;
d’un point de vue humain, entraîner une baisse du moral des employés et avoir une incidence négative sur la culture organisationnelle ^{Note de bas de page 10}.

Toutes ces répercussions peuvent détourner le temps et les ressources limités de l’Agence dont elle a besoin pour faire son travail.

Un certain nombre de vérifications effectuées au cours des cinq dernières années ont mis en lumière des lacunes dans les contrôles des principaux processus de l’Agence, comme la passation de marchés et l’approvisionnement, la paie et les contrôles internes en matière de rapports financiers et de gestion frontalière (personnes et marchandises), qui pourraient être pertinents pour la GRF (se référer à l’annexe B, Vérifications antérieures). Des recommandations visant à pallier certaines de ces lacunes sont en cours d’élaboration. Dans le cadre de cette vérification, l’Agence a évalué son programme global de GRF afin d’avoir une vue d’ensemble de son approche.

Cette vérification a été approuvée dans le Plan de vérification et d’évaluation axé sur les risques de 2023 de l’Agence.

Énoncé de conformité

Cette mission de vérification est conforme à la Politique sur l’audit interne et à la Directive sur l’audit interne du Conseil du Trésor et au Cadre de référence international des pratiques professionnelles de l'Institut des auditeurs internes (IAI). Des éléments de preuve suffisants et appropriés ont été recueillis grâce à diverses procédures pour fournir une assurance à un niveau de vérification. La fonction de vérification interne de l’Agence est indépendante et les vérificateurs internes ont rempli leurs fonctions avec objectivité, comme cela est défini dans les Normes internationales pour la pratique professionnelle de l’audit interne de l’IAI.

Conclusion de la vérification

Un programme efficace de GRF est essentiel à la réussite d’une organisation, puisqu’il peut aider à prévenir et à atténuer les répercussions négatives qui peuvent découler de la fraude.

L’Agence mène des activités de GRF; toutefois, il y a des lacunes dans l’approche globale qu’elle doit corriger afin de pouvoir continuer à améliorer ses efforts de gestion des risques de fraude.

L’Agence a mis en place un nouveau cadre d’intégrité afin de favoriser et de soutenir une culture d’intégrité. Toutefois il existe des possibilités de s’assurer que le cadre définit et communique mieux ce qui suit :

la politique de tolérance zéro de la direction à l’égard de la fraude, qui vise à ce que le ton de la direction soit ferme;
les rôles et responsabilités de tous les intervenants clés en matière de GRF;
la façon dont l’Agence définit et surveille son rendement en matière de GRF;
l’importance du rôle des employés dans la GRF.

L’ERF de l’Agence est un élément essentiel de ses activités de GRF; toutefois, il y a des lacunes dans le processus qui doivent être corrigées afin de s’assurer que les responsabilités et la reddition de comptes en ce qui concerne les risques sont claires et que les risques de fraude sont définis, évalués et gérés de façon proactive et approfondie.

Tous ces éléments, s’ils sont renforcés, contribueront à faire en sorte que l’Agence dispose d’une approche de GRF cohérente, intégrée dans tous les secteurs d’activité et, surtout, efficace.

Principales constatations

Une politique ou un cadre de GRF documente l’approche de lutte contre la fraude d’une organisation. En 2024, l’Agence a remplacé son cadre de gestion de la fraude interne par un nouveau cadre d’intégrité. Cela est important, car l’intégrité est essentielle au soutien d’une forte culture axée sur les valeurs et l’éthique qui aide à prévenir la fraude et donne le ton à l’organisation. Toutefois, d’autres possibilités de mieux définir l’approche de GRF de l’ASFC au niveau du cadre, y compris les rôles, les responsabilités, la gouvernance, le contrôle, la surveillance et la production de rapports, ainsi que des mesures visant à améliorer continuellement les activités de GRF.

L’ERF est un élément essentiel du programme de gestion des risques de fraude, puisqu’elle permet de déterminer le degré d’exposition d’une organisation à divers risques et stratagèmes de fraude et les mesures à prendre pour atténuer ces risques. Bien que l’Agence réalise des activités de GRF, on a relevé les lacunes suivantes dans l’approche :

l’absence d’une évaluation exhaustive des risques de fraude au fil du temps;
le manque d’uniformité dans la prise en compte des examens de la conformité et d’autres documents ministériels pour éclairer les évaluations des risques et des contrôles;
l’insuffisance des directives transmises aux responsables des risques qui fournissent des renseignements sur les contrôles;
l’absence d’une définition claire des rôles et responsabilités des responsables des risques;
le manque de validation et de remise en question des renseignements sur les contrôles

Résumé des recommandations

La vérification a donné lieu à deux recommandations à l’appui de l’amélioration des activités de GRF de l’Agence :

Mettre à jour le cadre d’intégrité pour :
- mieux définir les rôles, les responsabilités des intervenants de l’ASFC, ainsi que la reddition de comptes, en ce qui a trait à la gestion et à la surveillance des risques de fraude;
- définir et documenter les étapes à suivre pour surveiller les activités de GRF et en rendre compte, y compris en ce qui touche les conflits d’intérêts, toutes les formations en matière de prévention de la fraude et de valeurs et d’éthique, et utiliser l’information aux fins d’amélioration continue.
Mettre à jour le processus d’évaluation des risques pour :
- préciser le moment et la façon dont l’ERF doit être effectuée;
- mettre à jour l’orientation fournie aux intervenants afin d’appuyer la détermination des contrôles de la fraude;
- clarifier les rôles et les responsabilités des responsables des risques;
- valider systématiquement les contrôles inclus pour chaque risque.

Réponse de la direction

L'Agence des services frontaliers du Canada (ASFC) accueille favorablement les résultats de la vérification sur la gestion du risque de fraude et accepte toutes les recommandations formulées.

Le programme de GRF de l'ASFC continue de s'appuyer sur une base solide de contrôles financiers, de surveillance de la conformité, d'activités de sensibilisation, de vérifications et d'enquêtes. En tenant compte seulement de la dernière année, l'Agence a mis en œuvre des mesures pour améliorer la GRF et les contrôles afin de mieux atténuer les risques de fraude, incluant :

La création d’une nouvelle direction générale des recours, des normes et de l'intégrité des programmes, qui soutiendra l'ensemble de ses activités et secteurs d'activités sous l'angle du respect des règles.
La mise en place d’un outil d'auto-évaluation obligatoire qui exige que tous les employés atteste annuellement leur obligations en vertu du Code de conduite de l'ASFC et de la Directive sur les conflits d'intérêts.
Exigence pour les employés afin de divulguer leurs interactions avec les fournisseurs.
La création du Comité exécutif d’examen des approvisionnements afin d'assurer une surveillance de haut niveau des activités d'approvisionnements de l'Agence.

Contribuant à une gestion plus large des risques de fraude à l'échelle du gouvernement, Services publics et Approvisionnement Canada a mis en œuvre l’amélioration proposée par l’ASFC pour le système de paye Phénix, permettant aux ministères de surveiller et d'examiner les transactions de paye à risque élevé saisies dans Phénix par les utilisateurs ayant le rôle de conseiller en rémunération.

Grace à cette vérification, l’ASFC prend des mesures pour améliorer son cadre d’intégrité, l’évaluation des risques de fraude et l’identification des contrôles de la fraude.

L'ASFC est convaincue que le présent plan d'action en réponse aux recommandations de la vérification relatives au cadre et au processus renforcera encore le programme de GRF de l'Agence.

Constatations de la vérification

La vérification a donné lieux aux résultats suivantes.

Gouvernance de la gestion des risques de fraude

Sommaire : Nous nous attendions à ce que l’Agence ait élaboré un cadre et une structure de gouvernance comportant des rôles et des responsabilités définis à l’appui de son programme de GRF. Nous avons constaté que l’Agence a remplacé son cadre de GRF par un cadre d’intégrité. Bien qu’il s’agisse d’une mesure essentielle, il y a des occasions de définir davantage l’approche de l’Agence en matière de GRF en incluant tous les rôles, les responsabilités, la reddition de comptes et la surveillance afin d’appuyer une intégration et une coordination améliorées des activités de GRF.

Le cadre de gestion des risques de fraude de l’ASFC

La consignation des éléments d’un programme de GRF est une étape importante à l’appui de sa gouvernance, de sa mise en œuvre et de sa coordination qui établit les attentes de la haute direction et des employés ^{Note de bas de page 11}. Elle établit également les objectifs et les exigences généraux du programme.

Le cadre de gestion des risques de fraude de l’Agence a été examiné dans le cadre de la vérification afin de déterminer s’il comprenait les principaux éléments de la gestion des risques de fraude, y compris la gouvernance définie, les processus à l’appui de la réalisation d’une évaluation des risques, la gestion des contrôles de la fraude, la surveillance et l’amélioration continue. Pour évaluer le cadre, la vérification s’est appuyée sur les pratiques exemplaires de l’industrie du Committee of Sponsoring Organisations of the Treadway Commission (COSO) ^{Note de bas de page 12} ainsi que sur le Guide de gestion des risques de fraude au Bureau du vérificateur général du Canada ^{Note de bas de page 13}.

En septembre 2024, l’Agence a mis la dernière main à son cadre d’intégrité (ci-après « le cadre »), qui a remplacé le cadre de gestion de la fraude interne de 2022. Le nouveau cadre adopte une vision plus large de l’intégrité et vise à intégrer et à équilibrer les éléments humains avec les processus et les contrôles des risques. L’intégrité est importante puisqu’elle favorise une solide culture des valeurs et de l’éthique ^{Note de bas de page 14} qui aide à prévenir de commettre la fraude en premier lieu et qui encourage ceux qui ont été témoins de fraude de le signaler. Toutefois, il serait possible de mieux définir l’approche de GRF propre à l’Agence dans le cadre. Le fait d’adopter une approche claire en matière de lutte contre la fraude permet de s’assurer que tous les intervenants clés comprennent leurs rôles et leurs responsabilités, renforce la reddition de comptes et appuie les discussions et les décisions sur l’affectation des ressources de lutte contre la fraude.

Établir le ton de la direction

Comme nous l’avons mentionné précédemment, la fraude peut être perpétrée par des parties internes ou externes à une organisation. Le cadre de l’Agence comprend une définition de la fraude qui est axée sur des actes qui peuvent être perpétrés par des employés ^{Note de bas de page 15} et qui ne fait pas explicitement référence à des parties externes dans son champ d’application. Définir la portée précise ou dresser la liste des éléments exclus de la portée peut clarifier davantage l’objectif des efforts de GRF au sein de l’Agence et peut aider à sensibiliser les employés à ce qui devrait être signalé. En outre, une pratique exemplaire consisterait à inclure dans le cadre une déclaration concernant la tolérance zéro de l’Agence en matière de fraude, ce qui établirait un ton fort de la part de la direction, ainsi qu’une déclaration selon laquelle les gens qui effectuent des signalements ne feront pas l’objet de représailles ^{Note de bas de page 16}.

Rôles et responsabilités

Le cadre énumère les rôles et les responsabilités de nombreux intervenants clés, mais ne comprend pas tous les intervenants importants de la GRF. Par exemple, le cadre indique que le dirigeant principal de la sécurité est responsable de la supervision du programme d’intégrité, mais il pourrait mieux refléter la surveillance de la GRF en définissant les responsabilités du Comité exécutif à savoir l’approbation et l’appui du cadre, en veillant à ce que les ressources pour la GRF soient suffisantes et en surveillant le rendement de la GRF. En outre, le Comité ministériel de vérification, qui fournit des conseils objectifs à l’administrateur général sur les processus de gestion des risques, pourrait être ajouté au cadre, puisqu’il offre une perspective indépendante et importante en matière de gestion des risques de fraude. Consigner toutes les responsabilités clés, y compris la surveillance de la GRF, permet de s’assurer que chacun connaît son rôle et peut le remplir efficacement.

Communiquer l’approche de gestion des risques de fraude

Le nouveau cadre d’intégrité a été distribué aux fins de consultation dans divers secteurs d’activité de l’Agence, y compris le Comité exécutif (CE), toutes les régions, les directions générales et les parties responsables désignées dans le cadre.

Toutefois, au moment de la vérification, le cadre définitif, qui a été approuvé en septembre 2024, n’avait pas encore été partagé avec tous les employés, et un plan de communication à cet effet n’avait pas encore été élaboré. La communication limitée du cadre est une occasion manquée de renforcer constamment la position de la direction à l’égard de la tolérance zéro à la fraude et d’ accroître la sensibilisation des employés sur leurs rôles et responsabilités en matière de GRF.

Surveillance de la gestion des risques de fraude

La gestion efficace des risques de fraude commence par une structure de gouvernance qui tient compte des risques de fraude dans le cadre des responsabilités respectives en matière de gouvernance et de surveillance. Dans le cadre de la vérification, on a examiné les cadres liés à la fraude de 2022 et de 2024, le mandat des comités de l’Agence ainsi que les comptes rendus des décisions et d’autres documents de gouvernance afin de déterminer si une structure de gouvernance comportant des rôles et des responsabilités définis a été établie pour superviser la GRF et les activités de contrôle connexes.

Comité exécutif (CE) – niveau du président – examine et approuve le PRF
Comité directeur des directeurs généraux – niveau du directeur général – examine le PRF
Groupe de travail sur la gestion de l’intégrité (GTGI) – niveau du directeur – appuie de façon générale le programme de GRF et n’est pas un organisme décisionnel
Comité ministériel de vérification reçoit le PRF à titre d’information

Le mandat d’aucun des quatre organes n’énonçait explicitement la GRF; toutefois, les mandats du CE, du Comité directeur des directeurs généraux et du Comité ministériel de vérification comprenaient tous une certaine responsabilité en matière de gestion générale des risques, comme la détermination des principaux risques. Au cours de la période visée par la vérification, les comptes rendus des décisions de tous les comités susmentionnés, y compris le GTGI, montrent que la fraude a été examinée dans le contexte du PRF; toutefois, le GTGI ne s’était pas réuni depuis plus d’un an (depuis mai 2023).

Le mandat du GTGI est d’appuyer la mise en œuvre d’activités de gestion de l’intégrité, et son mandat indique que les activités de contrôle sont l’une de ses responsabilités; toutefois, son mandat n’indique pas quelles sont, spécifiquement, ces activités de contrôle. Par exemple, en dépit de la forte attention des médias et des préoccupations soulevées au début du processus d’approvisionnement en janvier 2023, les comptes rendus des décisions ne reflètent pas les discussions relatives aux contrôles de l’approvisionnement qui auraient bénéficié d’une surveillance supplémentaire ou d’être acheminées à la haute direction. Ce point est important, car ce groupe est le seul organe spécialisé au sein de l’Agence dont le rôle consiste à appuyer la GRF. L’absence de rôles et de responsabilités clairs peut limiter la gestion proactive des risques de fraude.

De plus, aucun représentant des régions ou du Bureau des valeurs et de l’éthique ne faisait partie de ce groupe. Il est essentiel de prendre ceci en considération, puisque les régions et Bureau des valeurs et de l’éthique sont considérés comme des intervenants clés dans le domaine de la GRF : les régions sont la première ligne de défense dans la mise en œuvre des contrôles de la fraude, et le Bureau des valeurs et de l’éthique gère le Code de conduite de l’Agence (par exemple, s’assure qu’il est à jour et qu’il est conforme aux directives stratégiques) et le processus de divulgation des conflits d’intérêts. L’absence d’intervenants clés comme les régions et le Bureau des valeurs et de l’éthique peut empêcher que les problèmes liés à la GRF soient cernés et réglés rapidement.

Contrôle de la gestion des risques de fraude

Selon le Guide de gestion intégrée des risques du Secrétariat du Conseil du Trésor du Canada (SCT), la surveillance et les vérifications périodiques de l’approche et du processus de gestion des risques sont essentiels pour garantir l’efficacité, l’efficience et la pertinence dans l’appui de la performance globale de l’organisation ^{Note de bas de page 17}.

De même, il faudrait surveiller les activités de GRF afin de déterminer si elles fonctionnent comme prévu et si elles gèrent suffisamment les risques de l’Agence. On s’attend à ce que l’approche de contrôle soit documentée dans une politique ou un cadre de GRF et à ce qu’elle comprenne des détails comme les critères de rendement précis à mesurer, la fréquence des contrôles, les intervenants responsables de fournir des données de performance et ceux qui devraient recevoir les résultats ainsi que la façon dont l’information sera utilisée.

La vérification a porté sur le cadre de gestion de la fraude interne de 2022 ainsi que sur le nouveau cadre d’intégrité afin de déterminer si les attentes relatives à la surveillance et à la production de rapports sur le programme de GRF avaient été définies. Le cadre de gestion de la fraude interne de 2022 et le cadre d’intégrité de 2024 comprenaient tous deux une exigence d’examen périodique selon laquelle la Division de l’intégrité professionnelle devait examiner périodiquement le cadre.

Le nouveau cadre d’intégrité comprend un objectif visant à mesurer le rendement du cadre en examinant les rapports et les statistiques qui pourraient permettre de relever les enjeux et les tendances ayant une incidence sur l’intégrité, les tendances notamment les allégations d’inconduite, les divulgations d’actes répréhensibles et les réponses aux questions liées aux valeurs et à l’éthique du Sondage auprès des fonctionnaires fédéraux. Il s’agit d’activités importantes au sujet desquelles il faut réfléchir, qui pourraient être renforcés par la mise en place et l’analyse de critères de rendement et d’indicateurs de la GRF ^{Note de bas de page 18}, par exemple :

établissement de normes de service et de conformité avec des indicateurs identifiés, notamment le temps que ça prend pour répondre aux divulgations de conflits d’intérêts ^{Note de bas de page 19};
La Conformité de l’Agence avec l’obligation de divulguer les conflits d’intérêts et si la conformité a été atteint dans les délais prévus;
temps nécessaire pour la détection des activités frauduleuses et pour l’évaluation de l’ampleur de la perte ^{Note de bas de page 20};
communication et activités promotionnelles ayant trait à la lutte contre la fraude dans l’ensemble de l’Agence ^{Note de bas de page 21} – par exemple, le nombre et la fréquence de messages à l’appui de comportements éthiques transmis aux employés par les cadres supérieurs ^{Note de bas de page 22};
taux d’achèvement de toutes les formations obligatoires sur la fraude ou les valeurs et l’éthique ^{Note de bas de page 23}

Recommandation 1

La vice-présidente de la Direction générale des recours, des normes et de l’intégrité des programmes devrait mettre à jour le cadre d’intégrité afin de mieux définir l’approche de GRF de l’Agence, les rôles et responsabilités clés ainsi que le contrôle de la gestion du risque de fraude. Afin de favoriser la sensibilisation à la GRF, le cadre mis à jour devrait être communiqué à tous les employés de l’Agence, et les résultats du rendement de la GRF devraient être communiqués périodiquement à la haute direction.

Réponse de la direction : D’accord. La vice-présidente de la Direction générale des recours, normes et l’intégrité des programmes mettra à jour le cadre d'intégrité afin d'y inclure l'approche de l'Agence en matière d'identification, d'évaluation, d'atténuation, de suivi et de réponse aux risques de fraude. La définition des rôles et des responsabilités en matière de GRF renforcera la responsabilité et la collaboration. La communication du cadre actualisé aux employés renforcera la sensibilisation et soutiendra une culture de l'intégrité. En outre, l'établissement de rapports périodiques sur les performances à l'intention de la direction générale permettra de mieux comprendre les risques émergents, l'efficacité des contrôles et les domaines susceptibles d'être améliorés.

Date d’achèvement : Mars 2026

Évaluation des risques de fraude

Sommaire : Nous nous attendions à ce que l’Agence ait mis en place un processus adéquat pour évaluer et atténuer ses risques de fraude interne et pour déterminer et mettre en œuvre des contrôles efficaces en matière de fraude. La vérification a révélé que l’Agence avait mis en place un processus pour évaluer ses risques de fraude, mais qu’il comportait des lacunes qui, si elles n’étaient pas corrigées, pourraient mener à une mauvaise identification et évaluation des risques et des contrôles.

Évaluation des risques de fraude

L’ERF est l’un des éléments importants dans un programme ^{Note de bas de page 24} efficace de gestion de fraude. Cela s’explique par le fait que l’ERF cerne les risques et les événements liés à la fraude qui pourraient avoir une incidence sur les objectifs et la réputation d’une organisation. Selon le Cadre de gestion intégrée du risque du SCT, cet élément est fondé sur une combinaison d’analyses quantitatives et qualitatives ^{Note de bas de page 25} utilisées pour aider à déterminer la mesure dans laquelle l’organisation est exposée au risque ainsi que la mesure dans laquelle elle est disposée à le tolérer. Essentiellement, une ERF appuie la planification opérationnelle et la prise de décisions pour déterminer les risques qui doivent être prioritaires et l’affectation de ressources pour atténuer les risques de fraude ayant le plus d’incidence.

À l’ASFC, la Division de la planification, des risques et des résultats organisationnels a la responsabilité de réaliser l’ERF et de consigner les résultats dans un PRF. Le PRF est un aperçu des renseignements sur les risques clés et découle de l’ERF ^{Note de bas de page 26}. Il sert à communiquer des renseignements sur les risques à la direction et à appuyer sa prise de décisions.

Un risque est un événement susceptible d’avoir une incidence sur l’atteinte des objectifs d’une organisation qui est exprimé selon la probabilité qu’il se produise et les répercussions qu’il pourrait avoir ^{Note de bas de page 27}.

Fréquence de l’évaluation des risques de fraude

Il n'existe pas de fréquence établie pour mener une ERF. Cependant, les meilleures pratiques incluent l'évaluation et la réévaluation des risques de fraude lorsque des changements surviennent dans les activités opérationnelles, l'environnement externe, la direction ou lorsque de nouveaux risques et stratagèmes de fraude apparaissent ^{Note de bas de page 28}. L’agence met à jour le profil de risque de fraude chaque deux ans. Cependant, la dernière évaluation formelle ou exhaustive des risques de l’Agence remonte à 2018. Dans le cadre de cette évaluation, on a interrogé plus de 40 participants de l’ensemble de l’Agence au moyen d’entrevues structurées et d’un sondage, afin de connaître leur point de vue sur les risques de fraude interne dans leurs secteurs fonctionnels respectifs. Cela a mené à un exercice de vote dans le cadre duquel dix risques clés ont été relevés et leurs côtes d’exposition (probabilité et incidence) ont été calculées.

Le PRF a été mis à jour en 2021 et en 2023; toutefois, le processus était moins formel. Comme on a déterminé que les risques auxquels fait face l’Agence étaient stables, aucune entrevue portant sur le risque n’a été menée. En 2021, on a réalisé un exercice d’évaluation des contrôles pour connaître l’importance des contrôles; toutefois, cet exercice était axé sur quatre des risques de fraude précédemment relevés. Cet exercice n’a pas été répété en 2023, et on n’a consigné aucune justification du changement de processus.

Depuis 2018, l’Agence a connu des changements importants dans son environnement opérationnel, notamment :

une pandémie qui a eu des répercussions sur les opérations;
- la pandémie a également entraîné une augmentation mondiale des pertes découlant de la fraude ^{Note de bas de page 29};
la réalisation simultanée de deux initiatives de transformation d’une valeur de plusieurs millions de dollars ^{Note de bas de page 30};
la nationalisation de services internes (comme les ressources humaines);
des changements dans des postes de direction clés.

Il n’y avait aucun critère précis pour déterminer à quel moment une évaluation plus formelle des risques de fraude (comme le recalcul des cotes de probabilité et d’incidence et de l’engagement de l’Agence au biais des entrevues/enquêtes portant sur le risque) devrait être effectuée malgré certains de ces changements. L’absence de facteurs définis permettant de déclencher une évaluation approfondie des risques peut faire en sorte que l’on rate des occasions de mobiliser des secteurs clés de l’Agence, de cerner de nouveaux risques de fraude et de réagir aux changements dans l’exposition aux risques et aux stratagèmes de fraude existants.

Déterminer les risques de fraude

Le processus de détermination des nouveaux risques et stratagèmes peut comprendre : la consultation de personnes de différents échelons de la direction dans l’ensemble de l’organisation, la détermination et l’examen des informations sur les contrôles et de leur efficacité, mener des analyses de l’environnement en examinant des documents ministériels qui décrivent les plans et les objectifs stratégiques et opérationnels, et, dans la mesure du possible, l’évaluation de l’analyse des données, des vérifications et d’autres exercices de conformité ^{Note de bas de page 31}.

Dans le cadre de la vérification, on a examiné la méthode qu’applique l’Agence pour déterminer les nouveaux risques et stratagèmes de fraude et relevé que depuis 2018, la principale approche pour cerner les risques de fraude était l’analyse des cas d’inconduite fondés, avec une certaine analyse de données. Les deux sont de bonnes sources d’information pour cerner les nouveaux risques ou les changements à l’exposition aux risques actuels; toutefois, on a omis d’intégrer d’autres renseignements disponibles, comme les évaluations des risques réalisées à l’échelle régionale, de la direction générale et de l’organisation.

Par exemple, la Direction générale de l’information, des sciences et de la technologie et le Profil des risques organisationnels de l’Agence ont établi que le risque que « des biens de TI soient compromis par des facteurs externes ou internes » était élevé; alors que le PRF a inclus, soit le risque « que des membres du personnel accèdent à des renseignements électroniques, les modifient, les suppriment, les volent ou les partagent délibérément à des fins non légitimes ^{Note de bas de page 32} », était un risque moyen. Les deux risques ont des éléments similaires en commun tels que les facteurs de risque (notamment les systèmes internes non soumis à des contrôles de sécurité ^{Note de bas de page 33}) et les impacts (informations compromises, intégrité des frontières et prestation de services ^{Note de bas de page 34}). Les PRF de 2021 et de 2023 n’ont pas défini l’échelle des cotes ou la probabilité que le risque puisse survenir et l'impact qu'il pourrait avoir. Définir ceci permettrait de mieux comprendre pourquoi ce risque était considéré comme à exposition moyenne, alors que les deux autres évaluations l’ont considéré comme élevé.

De plus, le processus du PRF de 2023 ne comportait pas d’étape à laquelle on demandait explicitement aux intervenants s’ils avaient relevé de nouveaux risques de fraude dans leurs secteurs fonctionnels. L’omission d’examiner les autres évaluations des risques de l’Agence, de définir clairement une échelle d’évaluation pour chaque risque et de poser des questions explicites sur les nouveaux risques de fraude pourrait limiter la capacité de brosser un portrait cohérent, uniforme et intégré des risques de fraude existants et émergents à l’Agence.

Risque de contournement des contrôles

Selon le document intitulé A Report to the Nations 2024 de Association of Certified Fraud Examiners (ACFE), 19 % des cas de fraude sont attribuables à un contournement des contrôles. La capacité des membres de la direction à contourner ou à outrepasser un contrôle de la fraude en place peut rendre ce dernier inefficace. Ce problème n’est actuellement pas reflété dans le PRF. Ceci est particulièrement pertinent en ce qui concerne la séparation des tâches, qui fait référence au principe général selon lequel aucun individu n’a le contrôle total d’un processus commercial afin d’éviter la fraude ou l’utilisation abusive des informations.

Selon l’ACFE, les principales faiblesses des contrôles ayant contribué à la fraude à l’échelle mondiale en 2024 ^{Note de bas de page 35} étaient les suivantes.

32 % Manque de contrôles internes
19 % Contournement des contrôles existants
18 % Absence d’examen par la direction
9 % Manque de personnel compétent dans les rôles de surveillance
8 % Mauvaise attitude au sommet de la hiérarchie
5 % Absence de vérifications indépendantes
3 % Manque d'éducation sur la fraude dans l'entreprise
1 % Absence de hiérarchies claires
1 % Absence de mécanismes de signalement

Les vérifications internes menées en 2021 ^{Note de bas de page 36} et en 2023 ^{Note de bas de page 37} ont relevé des lacunes dans les contrôles des systèmes, notamment en ce qui concerne la séparation des tâches ^{Note de bas de page 38} (bien que dans les deux vérifications, la fraude n’était pas apparente). De plus, les cas de fraude perpétrés par des personnes occupant des postes de direction, bien que moins fréquents que ceux commis par des employés, sont plus longs à détecter et peuvent entraîner des pertes plus importantes ^{Note de bas de page 39}. Le fait de ne pas tenir compte de ce problème ainsi que des résultats des exercices de conformité qui évaluent ces contrôles peut limiter la capacité à détecter les secteurs où ce risque peut être présent ou s’est accru.

Risques et stratagèmes de fraude

Un stratagème de fraude peut être un type plus spécifique d’activité frauduleuse s’inscrivant dans un risque. Par exemple, le truquage des appels d’offres et la facturation fictive peuvent être considérés comme des types de stratagèmes associés aux risques plus larges de corruption et d’appropriation illicite de biens. Les ERF visent à recenser les risques de fraude, les stratagèmes et les contrôles en place pour atténuer chacun d’entre eux. Le PRF de l’Agence recense les principaux risques, mais pas les stratagèmes de fraude auxquels l’Agence pourrait être exposée.

Par exemple, le risque de fraude lié à la passation de marchés et à l’approvisionnement comprend le risque que le personnel puisse contourner les politiques ou procédures ou bien la législation et attribuer, modifier ou prolonger un contrat de manière inappropriée. Cependant, les renseignements sur les risques ne tiennent pas compte des nombreux stratagèmes courants qui peuvent être déployés dans le domaine de la passation de marchés et de l’approvisionnement, tels que le traitement intentionnel de paiements en double, la facturation inappropriée, les factures fictives et les fournisseurs fantômes. Le manque de sensibilisation à ces stratagèmes peut avoir une incidence sur la compréhension des risques auxquels l’Agence est exposée, empêcher les employés de les détecter et de les signaler lorsqu’ils se produisent et, surtout, empêcher la direction de concevoir des contrôles spécifiques pour y remédier.

Évaluer et classer par ordre de priorité les risques de fraude de l’Agence

Une pratique courante utilisée pour évaluer les risques consiste à déterminer la probabilité que le risque se matérialise et, s’il se matérialise, l’effet qu’il pourrait avoir sur les objectifs d’une organisation ^{Note de bas de page 40}. Cette analyse, associée à des discussions avec la direction sur sa tolérance au risque (le niveau de risque qu’elle est prête à accepter), permet de déterminer comment les risques doivent être priorisés / classés. L’équipe de vérification a examiné la méthode d’évaluation et de hiérarchisation des risques de fraude et a constaté que l’Agence avait calculé pour la dernière fois officiellement la probabilité et l’incidence de chaque risque en 2018.

Depuis lors, l’équipe responsable du PRF détermine la direction de la tendance (si un risque a augmenté ou diminué) en fonction de l’augmentation ou de la diminution des cas de fraude avérés et de l’ajout ou non de contrôles depuis le dernier PRF. Le fait de ne pas déterminer la probabilité et l’incidence d’un risque limite la capacité de la direction à savoir quel élément du risque peut avoir changé depuis la dernière évaluation. Par exemple, si la probabilité d’un risque demeure la même, mais que l’incidence potentielle augmente (p. ex. risque accru pour la réputation en raison d’une attention médiatique élevée et d’un examen minutieux de la part d’organismes de surveillance externes), la direction peut décider que le risque doit être atténué.

L’évaluation des risques du PRF tient compte de l’ajout ou non de contrôles; cependant, avant 2024, elle ne reflétait pas les renseignements disponibles sur l’efficacité des contrôles ou les lacunes relevées lors des vérifications et d’autres examens de conformité, tels que les contrôles internes en matière de rapports financiers. Par exemple, à la suite de l’évaluation des risques, le PRF de 2023 (présenté au comité directeur des directeurs généraux en novembre 2023) a déterminé que l’exposition de l’Agence au risque de passation de marchés et d’approvisionnement était faible, malgré une vérification interne de mars 2023 qui a mis en évidence des lacunes dans les contrôles et les processus, avec une conservation de documents suffisante pour démontrer la conformité aux exigences de la politique de passation de marchés ^{Note de bas de page 41}. Cette constatation de vérification, la forte attention des médias (dès janvier 2023) et l’incidence accrue potentielle sur le risque de réputation auraient été des considérations importantes pour la mise à jour de ce risque. À partir de 2024, les résultats des vérifications ont été reflétés dans le PRF.

L’absence d’examen cohérent des vérifications et des exercices de conformité peut conduire à une mauvaise détermination du risque résiduel de fraude. Par ailleurs, la documentation de l’analyse quantitative du risque accroît également la transparence et la capacité à répéter et à valider l’évaluation initiale de chaque risque ^{Note de bas de page 42}.

Contrôles de la fraude

L’efficacité des contrôles de la fraude nécessite d’évaluer si un contrôle est en place et fonctionne et s’il est efficace pour prévenir et détecter la fraude ^{Note de bas de page 43}. L’équipe de vérification a sélectionné d’une façon non aléatoire quatre des risques de fraude les plus élevés dans le PRF afin de recueillir des renseignements sur les contrôles énumérés dans les fiches de risques de fraude, notamment pour savoir s’ils étaient opérationnels et s’ils étaient évalués. Ces quatre risques étaient les suivants :

Risque no 1 : Utilisation abusive ou vol d’information
Risque no 2 : Vol de biens matériels
Risque no 7 : Déclaration frauduleuse de congés et d’heures supplémentaires
Risque no 8 : Passages frontaliers illégalement facilités (personnes et marchandises)

Le risque lié à la passation de marchés et à l’approvisionnement figurait parmi les quatre principaux risques, mais l’équipe de vérification l’a exclu de cette liste, car il a récemment été examiné dans le cadre de la Vérification de la passation de marchés et de l'approvisionnement 2024.

Validation des contrôles de la fraude

Pour mettre à jour le PRF, le niveau des directeurs est chargé de fournir des renseignements actualisés sur le risque, tels que des mises à jour des contrôles et des changements aux facteurs de risque. Les renseignements fournis sont saisis directement dans le PRF et ne sont ni validés ni approuvés par le responsable individuel des risques au niveau des vice-présidents ni contestés par l’équipe responsable du PRF.

Par exemple, deux des quatre risques du PRF incluaient des contrôles d’atténuation qui n’étaient pas encore en place ou pas entièrement mis en œuvre. [caviardé]. Ceci est important, car le fait de s’appuyer sur des activités de contrôle qui ne sont pas encore opérationnelles peut conduire l’Agence à évaluer son exposition au risque à un niveau inférieur à ce qu’il devrait être.

Rôles et responsabilités

Selon le Guide de gestion du risque de l’ASFC, les responsables des risques sont définis comme ayant, sur le plan individuel ou organisationnel, la responsabilité et le pouvoir de gérer un risque déterminé. Dans certains cas, il peut y avoir plusieurs responsables pour un risque donné.

Tous les risques figurant dans le PRF avaient des responsables des risques identifiés, mais pour deux des quatre risques, les responsables des risques n’étaient pas au courant de leurs rôles et responsabilités pour l’étendue des activités de contrôle énumérées, de qui elles relevaient ou quel était leur statut. [caviardé], mais les responsables des risques ne savaient pas de qui relevait cette activité ni quel était son statut.

La raison en est que les renseignements recueillis pour mettre à jour le PRF ne relient pas l’activité de contrôle au responsable du processus opérationnel. Un manque de responsabilité globale en matière de risques et de leurs contrôles relevés pourrait entraîner une mauvaise gestion des contrôles, ce qui pourrait à son tour accroître les risques de fraude.

Orientation aux principaux intervenants

Des instructions sont données aux responsables des risques afin de les guider sur les types de renseignements à inclure pour mettre à jour le PRF. Ces instructions sont également complétées par des réunions visant à guider verbalement les responsables des risques. Cependant, la vérification a révélé qu’il était possible d’améliorer l’orientation fournie aux responsables des risques. Par exemple, les instructions n’incluent pas de définition de la fraude ni ne précisent que l’accent est mis sur la fraude interne. De plus, les responsables des risques ne sont pas tenus de fournir des précisions sur l’objectif des contrôles qu’ils répertorient qu’ils soient préventifs ou de détection, ni sur l’élément de fraude spécifique que les contrôles sont censés atténuer.

[caviardé] ^{Note de bas de page 44}. Cependant, aucun des deux responsables des risques ne connaissait les détails de ce contrôle, tels que le type de technologie de détection qui était introduit, qui étaient les équivalents temps plein, qui était responsable de ce contrôle et quel problème spécifique ce contrôle était censé atténuer. L’absence de directives claires peut conduire à l’établissement de contrôles qui ne répondent pas au risque ou nuire à la compréhension des domaines dans lesquels des contrôles doivent être mis en œuvre et améliorés.

Formation aux valeurs et à l’éthique et à la prévention de la fraude

La formation (en plus de la communication continue et les outils de soutien) est un important moyen de prévention de la fraude. Elle peut être utilisée pour sensibiliser les employés à la fraude ainsi qu’à leurs obligations éthiques, notamment en ce qui concerne la divulgation des conflits d’intérêts et la sensibilisation aux menaces internes, ou pour leur rappeler ces obligations. La formation obligatoire permet également de donner le ton depuis le sommet de l’organisation ^{Note de bas de page 45}. La vérification a porté sur six formations obligatoires liées aux valeurs, à l’éthique et à la prévention de la fraude (se référer à l’annexe C, Formation sur la fraude). Cette information afin de déterminer le taux de participation au cours de la période de vérification allant du 1er avril 2024 à septembre 2024 et si ces les résultats d’achèvement des formations faisaient l’objet d’un suivi et de rapports.

Trois des six formations de cours pour les employés, à savoir Sensibilisation à la sécurité, Valeurs, éthique et divulgation d’actes répréhensibles et Menace interne, ont enregistré des taux d’achèvement élevés, respectivement de 90 %, 89 % et 83 %. Ces trois formations faisaient l’objet d’un suivi mensuel par la Direction générale des ressources humaines, mais seules deux d’entre elles, Sensibilisation à la sécurité et Menace interne, faisaient l’objet du rapport annuel des programmes de sécurité et de gestion des urgences.

Les trois autres formations ont enregistré des taux d’achèvement bien inférieurs et n’ont pas fait l’objet d’un suivi et de rapports réguliers. Par exemple, 57 % ont suivi le cours Fondements des valeurs et de l’éthique pour les employés. Ce cours est obligatoire pour les nouveaux employés de la fonction publique. Le taux d’achèvement est faible, mais il se peut qu’il ne reflète pas le taux réel d’achèvement de la formation. En effet, il est possible que des employés aient suivi cette formation dans leur ancien service et que les données de l’Agence n’en aient pas tenu compte. Afin de voir l’historique complet de la formation d’un employé, les nouveaux employés doivent mettre à jour leur profil de formation sur la plateforme de formation du gouvernement du Canada et indiquer l’ASFC comme nouvel employeur. La Direction générale des ressources humaines a confirmé que cela ne se produit pas toujours. C’est important, car l’Agence pourrait ne pas disposer de renseignements exacts sur un contrôle de la fraude important.

Pour les deux cours de formation obligatoires destinés aux gestionnaires, soit le cours Fondements des valeurs et de l’éthique pour les gestionnaires (obligatoire pour les gestionnaires pour la première fois) et le cours sur la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles (exigé pour les gestionnaires et les cadres), il n’a pas été possible de déterminer les taux d’achèvement avec une fiabilité de niveau vérification, car l’Agence n’assure pas le suivi des dates auxquelles les employés accèdent à un nouveau poste de gestionnaire.

Il est donc impossible de déterminer avec précision si tous les gestionnaires qui auraient dû suivre les cours, durant la période donnée, l’ont effectivement fait. Pour la période de la portée de cette vérification, 53 gestionnaires ont complété le cours Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles et 74 ont complété celui sur les valeurs et l’éthique pour les gestionnaires. D’après des données approximatives, en septembre 2024, l’ASFC comptait environ 2 000 gestionnaires et superviseurs, cela représente à peu près ce qui suit :

2,7 % avaient suivi le cours sur Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles et
3,7 % avaient suivi le cours Fondements des valeurs et de l’éthique pour les gestionnaires

Aucune de ces formations ne faisait l’objet d’un suivi et de rapports. Cependant, au cours de la vérification, l’agent supérieur de la divulgation interne a confirmé que la formation sur la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles ferait l’objet d’un suivi trimestriel. Par ailleurs, bien que le nouveau cadre d’intégrité inclut le cours Fondements des valeurs et de l’éthique pour les employés en tant qu’outil de référence et de sensibilisation, il n’inclut pas le cours Fondements des valeurs et de l’éthique pour les gestionnaires. Cela est important, car, selon l’ACFE, les gestionnaires ou les superviseurs directs sont le moyen le plus courant pour les lanceurs d’alerte de signaler une fraude lorsqu’un mécanisme de ligne d’assistance n’est pas utilisé ^{Note de bas de page 46}. Ils contribuent également à donner le ton au sommet de la hiérarchie en donnant l’exemple en promouvant des valeurs et un comportement éthique. Le manque de sensibilisation et l’absence de suivi de ces formations peuvent limiter leur capacité à remplir leur rôle.

Répondre aux risques de fraude de l’Agence et les surveiller

Une fois les risques recensés et évalués, le PRF propose une réponse pour chacun d’entre eux, par exemple, en indiquant si un contrôle doit être maintenu ou renforcé, une justification pour chaque réponse et, dans certains cas, une recommandation lorsque cela est justifié. Ces réponses sont présentées au CE pour discussion et approbation. À la lumière d’un examen des PRF 2021 et 2023, tous les risques ont fait l’objet d’une réponse et d’une justification.

Une fois que le CE a approuvé les réponses et les recommandations, les responsables des risques élaborent des plans d’action pour répondre aux risques qui nécessitent un renforcement supplémentaire ou à toute recommandation qui a été formulée. Les plans d’action sont ensuite élaborés par les responsables des risques et également approuvés par le CE.

Une fois les recommandations approuvées par le CE, les responsables des risques sont chargés d’élaborer des plans d’action; cependant, ils ne participent pas systématiquement à l’élaboration des recommandations. Il serait utile que les responsables des risques participent dès le début, car ils peuvent déterminer à l’avance les contraintes en matière de ressources ou d’autres limites susceptibles d’avoir une incidence sur la manière dont l’Agence peut réagir à un risque ^{Note de bas de page 47}. Cette détermination précoce des contraintes peut favoriser la prise de décisions éclairées, la transparence et la responsabilisation ^{Note de bas de page 48}.

Le suivi continu des risques est essentiel pour garantir que les renseignements sur les risques demeurent pertinents ^{Note de bas de page 49}. Les recommandations du PRF ont fait l’objet d’un suivi, avec des mises à jour de l’état d’avancement initialement fournies au CE chaque année, puis tous les trimestres à partir de 2024. Bien qu’il y ait eu un suivi régulier, les modifications apportées aux recommandations n’ont pas été systématiquement documentées.

Cinq recommandations approuvées étaient incluses dans le PRF de 2021. Dans le cadre d’un suivi, le PRF de 2023 comprenait une mise à jour de l’état d’avancement qui montrait que deux des cinq recommandations étaient considérées comme achevées, tandis que trois étaient partiellement achevées. Dans la mise à jour trimestrielle suivante du PRF de mai 2024, l’une des recommandations partiellement achevées concernant la prise de mesures pour gérer les congés et les heures supplémentaires n’a pas été reportée (et n’était plus suivie), sans justification documentée, sans approbation du changement ou sans autre approche pour traiter le risqué.

Les recommandations qui ne sont pas mises en œuvre et qui ne sont pas accompagnées d’une justification documentée peuvent indiquer que les lacunes relevées dans les activités de contrôle n’ont pas été corrigées et que les risques de fraude ne sont pas atténués.

Le PRF 2023 comprenait deux nouvelles recommandations. Les mesures pour y remédier étaient en cours de mises en œuvre au moment de la vérification.

Attestation du Profil de risques liés à la fraude

L’ERF n’est pas soutenue par un spécialiste de la fraude tel qu’un examinateur agréé en matière de fraude ni attestée par un cadre supérieur pour confirmer son caractère adéquat ^{Note de bas de page 50}. Bien que ni l’un ni l’autre ne soient obligatoires, un principe important veut que la direction tienne compte des compétences et de l’expérience nécessaires pour mener à bien des activités de gestion des risques ^{Note de bas de page 51}.

À l’ASFC, certaines personnes chargées de l’ERF ont reçu une formation sur la fraude. Toutefois, une formation spécialisée et une attestation apporteraient un soutien et une expertise supplémentaires dans la gestion des risques de fraude, par exemple en fournissant des conseils aux secteurs d’activité pour l’établissement des contrôles de la fraude et leur évaluation. Cela peut contribuer à développer la maturité des processus de GRF de l’Agence.

Recommandation 2

Pour soutenir l’amélioration continue de l’ERF et de l’établissement de contrôles de la fraude, le vice-président de la Direction générale des finances et de la gestion organisationnelle devrait examiner et mettre à jour son processus d’ERF pour :

définir plus précisément quand et comment l’évaluation du risque de fraude sera réalisée
mettre à jour l’orientation relative au PRF fournie aux responsables des risques et aux intervenants;
examiner et mettre à jour la liste des contrôles pour tous les risques du PRF dans le but de s’assurer qu’ils sont tous pertinents pour atténuer la fraude et qu’ils fonctionnent comme prévu.

Réponse de la direction : D’accord. Le vice-président de la Direction générale des finances et de la gestion organisationnelle procédera à une mise à jour et à un examen complets PRF en 2025 à 2026. Ce processus permettra d'identifier et de réévaluer les risques actuels et les contrôles établis, ainsi que le processus et la fréquence de suivi et d'établissement de rapports, et de fournir des orientations actualisées aux responsables des risques et aux parties prenantes pour l'examen des risques de fraude et des contrôles associés.

Date d’achèvement : Avril 2026

Annexe A : Critères de vérification

Secteurs d’intérêt	Critères de vérification
1. Gouvernance des risques de fraude : L’Agence établit, communique et supervise un programme de gestion des risques de fraude.	1.1 L’Agence a élaboré un cadre de gestion des risques de fraude qui comprend les principaux éléments d’une gestion efficace des risques de fraude et l’a communiqué aux principaux intervenants. 1.2 L’Agence a établi et mis en œuvre une structure de gouvernance comportant des mandats, des rôles et des responsabilités définis pour superviser la gestion des risques de fraude et les activités de contrôle connexes.
2. Évaluation des risques de fraude : L’Agence dispose d’un processus adéquat pour évaluer et atténuer les risques de fraude interne.	2.1 L’Agence a mis en place un processus permettant de déterminer régulièrement les risques de fraude, de les évaluer, d’y réagir, de les contrôler et d’en rendre compte.
3. Contrôles de la fraude (prévention et détection) : L’Agence dispose d’un processus lui permettant de s’assurer de la détermination et de la mise en œuvre des contrôles efficaces en vue de prévenir et de détecter la fraude.	3.1 L’Agence a mis en place un processus visant à déterminer et à évaluer l’efficacité des contrôles préventifs et détectifs des risques de fraude.
4. Contrôle des risques de fraude et production de rapports : L’Agence surveille et améliore en permanence son programme de gestion des risques de fraude.	4.1 L’Agence a mis en place un processus visant à surveiller en permanence les activités de gestion des risques de fraude, y compris les valeurs et l’éthique, et à en rendre compte. 4.2 L’Agence utilise les renseignements tirés de ses activités de gestion des risques de fraude pour améliorer en permanence son programme de gestion des risques de fraude.

Annexe B : Vérifications antérieures

Dans les cinq dernière années, un nombre de vérifications ont mis en évidence des lacunes existantes les contrôles des processus majeurs de l’agence tels que la passation de marchés et l’approvisionnement, la paie, les contrôles internes pour les rapports financiers et la gestion des frontières (personnes et biens) qui sont pertinents pour la gestion des risques de fraude.

Vérification	Constatations et recommandations
Vérification d'ArriveCAN 2024 (vérification externe)	La mauvaise qualité de la documentation, des dossiers financiers et des contrôles relatifs à la gestion des contrats a nui à la transparence et a limité les possibilités de concurrence. Trois recommandations ont été formulées pour remédier à ces problèmes graves.
Vérification de la passation de marchés et de l'approvisionnement 2024 (vérification interne)	Il existait des lacunes dans les contrôles internes, telles que des vulnérabilités dans l’accès aux systèmes administratifs d’entreprise de l’Agence, la séparation des tâches et l’absence de surveillance proactive de la fraude. Deux recommandations ont été formulées pour y remédier, notamment la surveillance proactive des risques de fraude, la révision de l’accès aux systèmes et la séparation des tâches.
Vérification du contrôle interne en matière de rapports financiers 2023 (vérification interne)	Une évaluation des risques liés aux contrôles internes a été réalisée pour la dernière fois en 2019. La vérification a mené à la recommandation de procéder à une évaluation exhaustive des risques et d’y intégrer le risque de fraude.
Vérification des processus et des contrôles de la rémunération 2021 (vérification interne)	Des problèmes importants ont été constatés concernant les contrôles internes du processus des RH à la paye, notamment le fait que plus de la moitié des contrôles n’étaient pas conçus et documentés ou ne fonctionnaient pas efficacement, et qu’il y avait des rôles incompatibles (liés à la séparation des tâches) non surveillés. Deux des recommandations de la vérification portent sur ces problèmes, notamment la garantie que le cadre de contrôle interne tient compte de la vérification de l’efficacité opérationnelle et la surveillance des utilisateurs ayant des rôles incompatibles.
Audit des recettes perçues par l’ASFC 2019 (vérification interne)	Il était nécessaire de procéder à des examens périodiques de l’accès des utilisateurs aux systèmes de perception des recettes afin de garantir un accès approprié et une séparation adéquate des tâches. L’audit comprend une recommandation qui porte sur les examens périodiques de l’accès des utilisateurs.
Prévenir la corruption dans les services d’immigration et de contrôle aux frontières 2017 (vérification externe)	L’Agence n’avait pas mis en place de contrôles pour faire face au risque de corruption à la frontière. La vérification a mené à une recommandation selon laquelle l’Agence devait évaluer ses contrôles d’atténuation de la corruption.

Annexe C : Formation sur la fraude

Tableau 1 : Résultats en matière d’achèvement de formations par les employés portant sur les valeurs et l’éthique ainsi que la fraude entre le 1er avril 2021 et septembre 2024

Formation sur la fraude	Exigence en matière d’achèvement	Résultats en matière d’achèvement	Secteur responsable	Suivi et rapport
Sensibilisation à la sécurité	Tous les employés, dès que possible	90 % des nouveaux employés	Direction de la sécurité et des normes professionnelles	Oui
Valeurs, éthique et divulgation d’actes répréhensibles à l’ASFC	Tous les employés, dans un délai de trois mois	89 % des nouveaux employés	Bureau des valeurs et de l’éthique	l'achèvement de la formation est surveillé mais non signalé
Fondements des valeurs et de l’éthique pour les employés	Tous les nouveaux employés qui intègrent la fonction publique, dans un délai de six mois	57 % des nouveaux employés	Bureau des valeurs et de l’éthique	Non
Fondements des valeurs et de l’éthique pour les gestionnaires	Tous les nouveaux gestionnaires dans les six mois suivant leur nomination	Impossible d’évaluer le taux d’achèvement n = 74 employés	Bureau des valeurs et de l’éthique	Non
Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles	Tous les superviseurs, gestionnaires et cadres supérieurs dans les six mois suivant leur nomination	Impossible d’évaluer le taux d’achèvement n = 53 employés	Agent supérieur de la divulgation interne	Non À partir de novembre 2024, l’achèvement de la formation sera examiné tous les trimestres
Menace interne	Tous les employés dans un délai de 12 mois	83 % des nouveaux employés	Direction de la sécurité et des normes professionnelles	Oui

Annexe D : Glossaire

Contrôles	Ensemble de mesures ou d’actions prises pour gérer les risques et augmenter la probabilité d’atteindre les objectifs fixés
Exposition au risque	Mesure d’une perte future éventuelle pouvant découler d’une activité ou d’un événement
Fondés (cas)	Créer quelque chose; dans le contexte du rapport, identifier les cas de fraude qui se sont concrétisés
Fraud	Tout acte intentionnel d’une ou plusieurs personnes parmi les employés, la direction, les personnes chargées de la gouvernance (internes) ou les tiers (externes) impliquant l’utilisation de la tromperie pour obtenir un avantage injuste ou illégal
Incidence	Mesure dans laquelle un événement à risque pourrait affecter l’entreprise
Pot-de-vin	Argent ou faveur donnée ou promise dans le but d’influencer le jugement ou la conduite d’une personne en position de confiance
Probabilité	Possibilité qu’un risque se concrétise, interprétée à l’aide de valeurs qualitatives telles que faible, moyen ou élevé
Risque	Il s’agit de l’expression de la probabilité et de l’incidence d’un événement susceptible d’affecter la réalisation des objectifs d’une organisation
Risque inhérent	Le niveau de risque pour atteindre les objectifs d’une entité et avant que des mesures ne soient prises pour modifier l’incidence ou la probabilité du risque
Risque résiduel	Risque qui subsiste une fois que des contrôles ont été effectués pour repérer et éliminer certains ou tous les types de risques
Stratagème de fraude	Plan ou dispositif systématique créé pour exécuter un scénario criminel ou frauduleux, et ce, afin d’en tirer des avantages personnels
Tendance relative au risqué	La direction vers laquelle un risque inhérent ou un risque résiduel évolue
Tolérance au risque	La volonté d’une organisation d’accepter ou de rejeter un niveau donné de risque résiduel (exposition)

Annexe E : Acronymes

ACFE: Association of Certified Fraud Examiners
ASFC: Agence des services frontaliers du Canada
CE: Comité exécutif
COSO: Committee of Sponsoring Organisations of the Treadway Commission
ERF: Évaluation des risques de fraude
GRF: Gestion des risques de fraude
GTGI: Groupe de travail sur la gestion de l’intégrité
PRF: Profil de risques liés à la fraude
SCT: Secrétariat du Conseil du Trésor du Canada

Notes de bas de page

Note de bas de page 1

Rapport sur les résultats ministériels 2022 à 2023 : Agence des services frontaliers du Canada

Retour à la première référence de la note de bas de page 1

Note de bas de page 2

Guide de gestion des risques de fraude au Bureau du vérificateur général du Canada

Retour à la référence de la note de bas de page 2

Note de bas de page 3

2024 ACFE Report to the Nations, (en anglais seulement)

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Institute of Internal Auditors The Shapes of Fraud (PDF, 623 Ko) (en anglais seulement)

Retour à la première référence de la note de bas de page 4

Note de bas de page 5

COSO Fraud Risk Management Guide (en anglais seulement)

Retour à la première référence de la note de bas de page 5

Note de bas de page 6

COSO Fraud Risk Management Guide (en anglais seulement)

Retour à la première référence de la note de bas de page 6

Note de bas de page 7

COSO Fraud Risk Management Guide (en anglais seulement)

Retour à la référence de la note de bas de page 7

Note de bas de page 8

Le terme « gestion du risque de fraude » est utilisé à la place de « gestion de la fraude », comme il était couramment fait référence dans le Cadre de gestion de la fraude interne 2022. En effet, la gestion du risque de fraude reflète de manière plus globale la gestion des activités visant à la fois à prévenir (atténuer le risque de fraude) et à détecter la fraude.

Retour à la référence de la note de bas de page 8

Note de bas de page 9

Rapport sur les résultats ministériels 2022 à 2023 : Agence des services frontaliers du Canada

Retour à la première référence de la note de bas de page 9

Note de bas de page 10

International Public Sector Fraud Forum guidance, Guide to understanding the total impact of fraud (en anglais seulement)

Retour à la première référence de la note de bas de page 10

Note de bas de page 11

COSO Fraud Risk Management Guide (en anglais seulement)

Retour à la première référence de la note de bas de page 11

Note de bas de page 12

La mission du Committee of Sponsoring Organizations (COSO) est d’aider les organisations à améliorer leur rendement en développant un leadership éclairé qui renforce le contrôle interne, la gestion des risques, la gouvernance et la dissuasion de la fraude. About Us | COSO (en anglais seulement)

Retour à la référence de la note de bas de page 12

Note de bas de page 13

Guide de gestion des risques de fraude au Bureau du vérificateur général du Canada

Retour à la référence de la note de bas de page 13

Note de bas de page 14

Fraud Risk Management Guide du COSO, « L’organisation fait preuve d’un engagement envers l’intégrité et les valeurs éthiques » (en anglais seulement)

Retour à la première référence de la note de bas de page 14

Note de bas de page 15

Cadre d’intégrité de l’ASFC, « Acte intentionnel commis pour réaliser un gain inéquitable ou illégal ainsi que violation délibérée de lois, de règlements et de politiques par des employés de l’Agence (même si le gain est de nature non financière) »

Retour à la première référence de la note de bas de page 15

Note de bas de page 16

Managing the Business Risk of Fraud, 2012, Institute of Internal Auditors, Reporting Procedures and Whistleblower Protection (procédures de signalement et protection des divulgateurs d’actes répréhensibles) (en anglais seulement)

Retour à la première référence de la note de bas de page 16

Note de bas de page 17

Guide de gestion intégrée du risque du SCT, Section 7, Surveiller et examiner l’approche et le processus

Retour à la référence de la note de bas de page 17

Note de bas de page 18

Guide de gestion intégrée du risque du SCT, Section 7, Surveiller et examiner l’approche et le processus

Retour à la référence de la note de bas de page 18

Note de bas de page 19

Guide de gestion des risques de fraude au Bureau du vérificateur général du Canada, Annexe B, Plan de travail de surveillance pour le spécialiste interne en matière de fraude

Retour à la première référence de la note de bas de page 19

Note de bas de page 20

Le Fraud Risk Management Guide du COSO établit des critères de mesure appropriés (en anglais seulement)

Retour à la première référence de la note de bas de page 20

Note de bas de page 21

Guide de gestion des risques de fraude au Bureau du vérificateur général du Canada, Annexe C2 : Tableau de bord de la prévention et de la détection de la fraude, D28

Retour à la première référence de la note de bas de page 21

Note de bas de page 22

Ibid.

Retour à la référence de la note de bas de page 22

Note de bas de page 23

Ibid.

Retour à la référence de la note de bas de page 23

Note de bas de page 24

Fraud Risk Management Guide du COSO, « L’organisation procède à une évaluation exhaustive des risques de fraude afin de relever des stratagèmes et des risques de fraude spécifiques et d’évaluer leur probabilité et leur importance, d’évaluer les activités existantes de contrôle de la fraude et de mettre en œuvre des mesures visant à atténuer le risque résiduel » (en anglais seulement)

Retour à la première référence de la note de bas de page 24

Note de bas de page 25

Cadre stratégique de gestion du risque du SCT

Retour à la première référence de la note de bas de page 25

Note de bas de page 26

Guide d'élaboration d'un profil de risque organisationnel du SCT, Le profil de risque

Retour à la première référence de la note de bas de page 26

Note de bas de page 27

Guide de gestion intégrée du risque du SCT

Retour à la référence de la note de bas de page 27

Note de bas de page 28

Fraud Risk Management Guide du COSO, « procède à des réévaluations et évalue l’évolution du risque de fraude » (en anglais seulement)

Retour à la référence de la note de bas de page 28

Note de bas de page 29

2024 ACFE Report to the Nations (en anglais seulement)

Retour à la première référence de la note de bas de page 29

Note de bas de page 30

Le système de Gestion des cotisations et des recettes de l’ASFC (GCRA) est le nouveau système officiel d’enregistrement pour la perception des droits et taxes sur les marchandises commerciales entrant au Canada et l’initiative de modernisation des services aux voyageurs, qui introduira de nouveaux outils numériques pour faciliter le traitement des voyageurs.

Retour à la première référence de la note de bas de page 30

Note de bas de page 31

Fraud Risk Management Guide du COSO, « Fait intervenir les niveaux de direction appropriés » (en anglais seulement) et Guide de gestion intégrée du risque - Canada.ca

Retour à la première référence de la note de bas de page 31

Note de bas de page 32

La déclaration complète sur les risques fondée sur le PRF 2023, « Des membres du personnel pourraient intentionnellement consulter, modifier, supprimer, voler ou échanger des renseignements électroniques à des fins illégitimes, ce qui pourrait entraîner la perte de confidentialité, d’intégrité ou de disponibilité des renseignements »

Retour à la référence de la note de bas de page 32

Note de bas de page 33

Le facteur de risque du PRF de 2023 pour le risque 1 est l’utilisation abusive/ vol d’information ‘ l’existence de plus de 130 systèmes internes entraînant des problèmes d’intégrité des données parfois développés par des initiatives locales et n’ayant jamais fait l’objet de contrôles de sécurité adéquats”, et le Profile des risques 2023-2034 de la Direction générale de l’information, sciences et technologies, risque 3 le facteur de risque de Sécurité informatique et cyber menaces ‘’ Les applications locales ont souvent été développées et mises en œuvre sans contrôles de sécurité informatique ni méthodologie de développement standard ‘’.

Retour à la référence de la note de bas de page 33

Note de bas de page 34

Le facteur de risque du PRF de 2023 pour le risque 1 est l’utilisation abusive/ vol d’information’’ atteinte à l'intégrité des frontières et perte de confiance du public et de l'industrie dans la capacité de l'Agence à gérer efficacement le contrôle aux frontières’’ et le Profile des risques 2023-2034 de la Direction générale de l’information, sciences et technologies, risque 3 le facteur de risque de Sécurité informatique et cyber menaces ‘’La perte des information de l’ASFC, des individus et actifs, ainsi que la prestation fiable de programmes et de services’’

Retour à la première référence de la note de bas de page 34

Note de bas de page 35

2024 ACFE Report to the Nations (en anglais seulement)

Retour à la première référence de la note de bas de page 35

Note de bas de page 36

Vérification des processus et des contrôles de la rémunération : Constatations, 2021, paragraphes

Retour à la première référence de la note de bas de page 36

Note de bas de page 37

Vérification de la passation de marchés et de l'approvisionnement 2024, 4. Séparation des tâches (SDT)

Retour à la référence de la note de bas de page 37

Note de bas de page 38

2012, IIA, Managing the Business Risk of Fraud, « Les évaluations des risques de fraude doivent prendre en compte le risque de contournement des contrôles par la direction ainsi que d’autres domaines où les contrôles sont faibles ou où il y a un manque de séparation des tâches » (en anglais seulement)

Retour à la référence de la note de bas de page 38

Note de bas de page 39

2024 ACFE Report to the Nations (en anglais seulement)

Retour à la première référence de la note de bas de page 39

Note de bas de page 40

Guide de gestion intégrée du risque du SCT, 4,2 Comprendre l’organisation et son contexte

Retour à la première référence de la note de bas de page 40

Note de bas de page 41

Audit interne des marchés de services de consultation attribués à McKinsey & Company par le gouvernement fédéral, 2023, « a fait état d’une documentation insuffisante pour étayer les évaluations des offres et l’approbation en vertu de la section 34 », paragraphes

Retour à la première référence de la note de bas de page 41

Note de bas de page 42

Guide de gestion intégrée du risque du SCT, Mécanismes de gestion du risque, « le processus de gestion du risque se définit comme une série d’étapes interreliées et interdépendantes qui peuvent être réitérées et vérifiées »

Retour à la référence de la note de bas de page 42

Note de bas de page 43

Fraud Risk Management Guide du COSO, Activités existantes de lutte contre la fraude répertoriées et évaluation de leur efficacité (en anglais seulement)

Retour à la référence de la note de bas de page 43

Note de bas de page 44