Introduction
Vous est-il déjà arrivé, en plein audit de performance, de commencer à vous dire que « cet organisme devrait en faire plus pour préparer l’avenir », sans parvenir à mettre le doigt sur des obligations légales ou d’autres exigences claires montrant pourquoi l’organisation auditée devrait aller plus loin? Si oui, vous deviez probablement travailler sur un audit prospectif – c’est-à-dire axé sur l’avenir. Voici pourquoi même les auditeurs chevronnés gagneraient à connaître les pratiques de planification et de rédaction de rapports prospectifs convaincants :
- Les rapports prospectifs présentent certaines difficultés. Ils impliquent souvent que l’organisation auditée traite un problème nouveau ou dynamique, par exemple des changements industriels ou technologiques, ou bien qu’elle prenne en compte de nouvelles lois. En outre, il se peut que les critères utilisés pour évaluer l’organisation auditée ne soient pas immédiatement apparents, dans la mesure où les stratégies possibles pour répondre aux changements sont nombreuses. Il arrive qu’il n’y ait pas de « bonne » réponse évidente.
- La plupart des audits de performance s’intéressent au passé. Ainsi, les équipes travaillant sur des rapports prospectifs peuvent éprouver des difficultés à convaincre leurs propres collègues que l’organisation auditée doit dès à présent prendre des mesures supplémentaires si l’avenir est incertain. Et même en supposant qu’elles y parviennent, il leur reste encore à convaincre l’organisation auditée de prendre des mesures, même si les effets de l’action – ou de l’inaction – sont incertains.
Les auditeurs de performance rédigent des rapports d’audit prospectif depuis des décennies, mais la demande en la matière est susceptible d’augmenter. En 1990, le Government Accountability Office des États-Unis (GAO) a publié des directives concernant l’étude de questions prospectives. À l’époque, le GAO se voyait de plus en plus souvent demander de répondre à ce type de questions, par exemple sur les effets potentiels des projets de loi. Voici une liste non exhaustive des facteurs susceptibles d’accroître la demande de rapports prospectifs aux États-Unis :
- Persistance des pressions budgétaires étatiques, locales et fédérales. Depuis la récession de 2008, dans un grand nombre d’agences d’État et d’organismes d’administration locale partout aux États-Unis, un écart s’est creusé entre les revenus et les dépenses – une difficulté qui continuera probablement de se poser à court terme. Le gouvernement fédéral américain fait également face à des pressions budgétaires, qui persisteront en l’absence de changements de politique importants. En réponse à ces pressions budgétaires, les entités gouvernementales – et les organismes qui les supervisent – continueront de chercher des moyens d’en faire plus avec moins. Les auditeurs seront notamment mis à contribution pour expliquer comment fournir plus efficacement des services équivalents ou améliorés.
- Technologies émergentes et en rapide évolution. Les évolutions technologiques actuelles entraînent des transformations dans plusieurs secteurs de la société. Ces avancées rapides et complexes posent des difficultés aux décideurs politiques et pourraient également transformer les rôles des organisations auditées. À titre d’exemple, selon un rapport du GAO de 2019, le département des Transports (DOT) et le département du Travail des États-Unis devraient prendre des mesures supplémentaires pour se préparer aux effets éventuels des technologies automatisées de transport par camion sur la main-d’œuvre. Le rapport fait valoir que cette technologie peut transformer le rôle du DOT, puisqu’il fait appliquer les règlements concernant par exemple la durée maximale de travail autorisée pour les chauffeurs de camion.
Avantages des rapports d’audit prospectif
Voici quelques-uns des avantages clés offerts par les rapports d’audit prospectif :
- Aider les organisations auditées à mieux se préparer à un avenir incertain qui peut les amener à devoir s’adapter à l’évolution de leur rôle avec des ressources limitées.
- Aider les organismes d’audit à tenir leur personnel informé des enjeux émergents, ainsi qu’à identifier de nouveaux secteurs à auditer.
- Aider les décideurs politiques à mieux s’informer sur les nouveaux enjeux auxquels font face les organisations dont ils supervisent le budget. Les rapports prospectifs peuvent par exemple aider le Congrès à prendre des décisions budgétaires saines, en particulier celles qui peuvent être prises plusieurs années avant que les fonds soient dépensés par les organisations bénéficiaires.
Sélection de pratiques de planification et de rédaction de rapports prospectifs
Cet article a pour objet de fournir des conseils pour planifier et rédiger des rapports prospectifs convaincants, sur la base de mon expérience au sein du GAO durant la dernière décennie. Il s’agit d’une sélection, et non d’une liste exhaustive, de pratiques de gestion des audits qui peuvent avoir leur utilité pour les rapports prospectifs.
Deux rapports récents du GAO portant sur l’évolution du secteur du transport seront utilisés pour illustrer l’application des pratiques choisies :
- Public Transit Partnerships: Additional Information Needed to Clarify Data Reporting and Share Best Practices, GAO-18-539 (Washington D.C. : juillet 2018). (Partenariats pour le transport en commun: des renseignements supplémentaires sont requis pour clarifier l’échange de données et le partage des pratiques exemplaires; en anglais seulement)
- Vehicle Cybersecurity: DOT and Industry Have Efforts Under Way, but DOT Needs to Define Its Role in Responding to a Real-world Attack, GAO-16-350 (Washington D.C. : mars 2016). (Cybersécurité des véhicules: le ministère des Transports et l’industrie ont initié des mesures, mais le ministère doit définir ses responsabilités en cas de cyberattaque; en anglais seulement)
Pratique 1 : Pensez à inclure une question de recherche prospective
Si les incertitudes de l’avenir ont une incidence importante sur votre audit, pensez à inclure une question de recherche prospective. L’idée est de pouvoir réserver une section du rapport aux discussions sur les principales incertitudes. À titre d’exemple, les auteurs du rapport Public Transit Partnerships ont commencé leur audit par une question de recherche sur les principales difficultés qu’éprouvent les organismes de transport en commun pour promouvoir l’établissement de partenariats avec des entreprises privées du secteur de la mobilité. Durant nos entrevues avec les parties prenantes, plusieurs des organismes locaux de transport en commun sélectionnés et leurs partenaires nous ont toutefois indiqué que la plupart de ces difficultés sont liées aux incertitudes de l’avenir. L’inclusion d’une question de recherche prospective nous a permis de consacrer une section du rapport aux discussions sur les tendances susceptibles d’influencer l’avenir de tels partenariats, par exemple les prévisions de déploiement des véhicules autonomes partagés.
Pratique 2 : Si les autres critères sont problématiques, utilisez des normes de contrôle interne reconnues
Dans les rapports prospectifs, il est parfois plus difficile de cerner les critères appropriés pour évaluer les efforts de l’organisation auditée, car celle-ci peut adopter différentes stratégies pour répondre à l’enjeu en constante évolution qui la concerne. Il s’agit souvent de formuler une recommandation pour aider l’organisation à mieux se préparer à un avenir incertain, ce qui peut nécessiter d’associer plusieurs critères pertinents. Lorsque les critères posent problème, les Standards for Internal Control in the Federal Government (en anglais seulement) du GAO peuvent s’avérer utiles (ces normes sont en grande partie dérivées du cadre de contrôle interne du COSO, que les auditeurs canadiens utilisent parfois aux mêmes fins). Ces normes ou principes, qui sont des exigences pour les organismes fédéraux aux États-Unis, ont également été adoptés en tant que pratiques exemplaires par des agences d’État, des organismes locaux et d’autres entités. Voici les quatre principes qui s’appliquent tout particulièrement aux rapports prospectifs et que les dirigeants des entités devraient respecter :
- Identifier les risques liés aux objectifs de l’organisation, les analyser et y répondre (principe 7).
- Identifier les changements susceptibles d’affecter le système de contrôle interne de l’organisation, les analyser et y répondre (principe 9).
- Utiliser des informations de qualité pour atteindre les objectifs de l’organisation (principe 13).
- Communiquer (efficacement) en externe, notamment en choisissant des moyens de communication appropriés et en prenant en compte des facteurs comme l’auditoire (principe 15).
Pratique 3 : Associez les contrôles internes choisis aux objectifs de l’organisation auditée afin de renforcer les critères d’audit
Les objectifs des organisations auditées sont souvent liés à la préparation de l’avenir, par exemple dans les plans stratégiques. Le fait d’associer ces objectifs aux contrôles internes choisis peut renforcer les critères d’audit. Pour illustrer cette pratique, les tableaux 1 et 2 contiennent une description des critères, ainsi que des extraits pertinents des constatations et des recommandations connexes formulées dans les rapports Public Transit Partnerships et Vehicle Cybersecurity. Dans ces deux rapports, les objectifs de l’organisation sont associés aux contrôles internes pour constituer une série de critères d’audit plus solide.
Tableau 1 – Sélection de critères utilisés pour le rapport Public Transit Partnerships
Description des critères |
Extraits des constatations formulées dans le rapport |
Recommandation connexe |
Contrôle interne Les organismes fédéraux devraient utiliser des informations de qualité. Objectifs propres de l’organisation Les objectifs de la Federal Transit Administration (FTA) sont les suivants :
|
Bien que les manuels disponibles de la National Transit Database (NTD) détaillent la définition législative du transport public, des responsables de la plupart des organismes locaux de transport en commun sélectionnés ont fait part de leur confusion quant aux exigences de consignation dans la NTD pour les projets de services à la demande, par exemple vis-à-vis des types de trajets à la demande qui relèvent du « transport public » (...) et concernant la manière dont les trajets admissibles doivent être saisis dans la NTD. Des responsables nous ont fait savoir que la FTA doit apporter des précisions supplémentaires sur ce point. [Traduction] Ces exemples de confusion des organismes locaux de transport en commun à l’égard des exigences de consignation dans la NTD conduisent à se demander si les données de la NTD brossent un tableau exact de l’état du réseau de transport public aux États-Unis, un objectif clé de la NTD. [Traduction] Si les données de la NTD ne sont pas exactes, (1) la Federal Transit Administration (FTA) ne sera pas en mesure d’assurer un suivi efficace de ses propres progrès relativement aux objectifs – par exemple en termes d’amélioration de l’efficacité des réseaux de transport en commun, et (2) la répartition de certains fonds de la subvention aux organismes locaux de transport en commun pourrait s’en trouver affectée. [Traduction] |
La Federal Transit Administration (FTA) devrait déterminer quels services à la demande relèvent du « transport public » sur la base de la définition législative, et diffuser des renseignements pour clarifier si et comment les données sur ces services doivent être consignées dans la National Transit Database. [Traduction] |
Tableau 2 – Sélection de critères utilisés pour le rapport Vehicle Cybersecurity
Description des critères |
Extraits des constatations formulées dans le rapport |
Recommandation connexe |
Objectifs propres de l’organisation L’un des objectifs de la National Highway Traffic Safety Administration (NHTSA) est d’anticiper les difficultés potentielles en matière de cybersécurité des véhicules et de trouver des moyens de les éviter. Contrôle interne Les organismes fédéraux devraient concevoir des activités de contrôle pour atteindre les objectifs et répondre aux risques. |
Bien qu’elle ait réalisé des progrès dans de nombreux domaines (...), la NHTSA n’a pas encore officiellement défini et documenté son rôle et ses responsabilités en cas de cyberattaque contre un véhicule dans le monde réel, ni la manière dont ses mesures d’intervention seraient coordonnées avec celles des autres organismes fédéraux. Dans la mesure où la NHTSA et (...) les parties prenantes du secteur (...) ont tous convenu que la menace d’une cyberattaque contre un véhicule augmentera (...) dans les prochaines années, il semble particulièrement important que la NHTSA élabore proactivement un tel plan d’intervention, avant toute évolution substantielle de l’environnement de la menace. En attendant l’élaboration d’un tel plan, les efforts d’intervention de la NHTSA (...) pourraient être ralentis, car son personnel et les autres parties prenantes risquent de ne pas être capables de cerner rapidement les mesures appropriées que la NHTSA devrait prendre. [Traduction] De plus, l’absence d’un tel plan d’intervention n’est pas conforme aux normes fédérales de contrôle interne, qui visent – entre autres choses – à aider les organismes à gérer les changements liés à l’évolution des environnements, des demandes et des priorités. [Traduction] |
La National Highway Traffic Safety Administration (NHTSA) devrait agir avec célérité pour terminer de définir et documenter ses rôles et ses responsabilités en réponse à une cyberattaque contre les systèmes essentiels à la sécurité d’un véhicule, en indiquant notamment comment elle coordonnerait son intervention avec les autres intervenants et organismes fédéraux engagés. [Traduction] |
Page 1 de 2
À propos de l’auteure :Jessica Bryant-Bertail est Analyste principale au Governement Accountability Office (GAO) des États-Unis et fait partie de l’équipe des Infrastructures physiques au bureau régional de Seattle. Elle s’est jointe au GAO en 2008 et elle y a depuis travaillé sur plusieurs audits de performance, la plupart portant sur des questions concernant l’aviation et les transports terrestres. Elle a mené plusieurs audits du GAO en tant qu’Analyste en chef, dont un sur la cybersécurité des véhicules motorisés et un sur les partenariats entre les agences locales de transport en commun et les compagnies privées du secteur du transport de passagers. Elle mène présentement un audit sur la Federal Aviation Administration des États-Unis portant sur les sites d’essai désignés pour tester les aéronefs sans pilote. Elle a étudié à l’Université de Washington, à Seattle, où elle a obtenu un baccalauréat en études internationales (2000), ainsi que des diplômes de maîtrise en administration publique (2008) et en études des mondes russe, est-européen et centrasiatique (aussi en 2008). Contactez l’auteure : |
- 1
- 2