Contrôle de l'information financière

Février 2009

Table des matières

Résumé

Introduction
Risques examinés pendant la vérification
Objectif
Portée
Opinion générale des vérificateurs
Énoncé d'assurance
Résumé des points forts des contrôles internes
Résumé des points faibles des contrôles internes

Rapport circonstancié

Méthode et critères de vérification
Observations, recommandations et plan d'action de gestion

Annexes

A : Critères de vérification et conclusions
B : Survol des interfaces de FreeBalance

Résumé

Introduction

La vérification interne du contrôle de l'information financière fait partie du Plan de vérification interne axée sur les risques pour 2008‑2009 approuvé par le conseil d'administration des Instituts de recherche en santé du Canada (IRSC). Pour traiter leur information financière, les IRSC utilisent le logiciel de comptabilité FreeBalance, un système standard de gestion financière intégré utilisé couramment au sein du gouvernement fédéral.

Risques examinés pendant la vérification

En vertu de la Politique sur la vérification interne du Conseil du Trésor du Canada (CT), la présente vérification couvre les risques, le contrôle et les processus de gouvernance liés aux activités évaluées. Voici une liste des risques :

Divulgation de renseignements inappropriée – Une sécurité insuffisante peut entraîner la divulgation non autorisée de renseignements de nature délicate ou confidentiels.
Renseignements non autorisés, inexacts et incomplets – Des erreurs commises lors de l'entrée, du traitement et de la présentation de rapports peuvent produire des résultats erronés et mener à des décisions de gestion inadéquates fondées sur ces résultats.
Fraude – Un système mal contrôlé est vulnérable aux activités illégales ou contraires à l'éthique.
Non-disponibilité du système – Dans l'éventualité où le système ne serait pas disponible, il pourrait y avoir une interruption des opérations financières des IRSC.

Ces risques sont liés aux éléments de gérance du Cadre de responsabilisation de gestion (CRG) du CT selon lesquels le système de contrôle ministériel (ressources matérielles, financières et humaines, services, etc.) doit être intégré et efficace et les principes qui le sous‑tendent doivent être clairs pour l'ensemble du personnel. Ils se rapportent également aux Résultats et rendement, où de l'information pertinente sur les résultats (interne, service et programme) est recueillie et sert à prendre des décisions; le rapport au public est équilibré, transparent et facile à comprendre.

Objectif

La vérification vise à vérifier la justesse et l'efficacité du contrôle interne de la confidentialité, de l'intégrité et de la disponibilité des renseignements dans FreeBalance.

Portée

La vérification porte sur les contrôles manuels et informatisés de la saisie, du traitement et de la sortie de l'information dans les modules suivants de FreeBalance : Finances (compte de crédits, contrôle du budget, grand livre général, comptes débiteurs et comptes créditeurs, dépenses et production de rapports), Revenus (facturation, gestion de la facturation et rentrées de fonds), et Achats (demandes et bons de commandes, factures des fournisseurs, et réception des marchandises). La vérification porte également sur le transfert d'information à l'aide d'interfaces utilisant le Système d'information électronique (SIE), GX Salaries, Crystal Reports, le système de rémunération du receveur général (GL-SP), le Système normalisé des paiements (SNP) et le Système central de gestion des rapports financiers (SCGRF).¹ La vérification ne vise pas la planification de la continuité des opérations à l'échelle de l'organisation ni la mise à l'essai, ni l'approbation des modifications apportées à l'infrastructure du réseau et au logiciel de communication, qui ont été évaluées dans le cadre de la vérification interne du Système d'information électronique (SIE) d'octobre 2007. De plus, elle ne vise pas le contrôle de la préparation des états financiers et des rapports, qui sont évalués dans le cadre de la vérification des états financiers annuels des IRSC par le Bureau du vérificateur général du Canada (BVG).

Opinion générale des vérificateurs

Les conclusions de la vérification indiquent que le cadre de contrôle interne de l'information financière nécessite d'importantes améliorations.

Énoncé d'assurance

J'estime, en tant que dirigeant de la vérification, que le nombre et la pertinence des procédures de vérification suivies et des éléments probants recueillis attestent l'exactitude de l'opinion exprimée dans le présent rapport. La vérification du contrôle de l'information financière a été effectuée conformément à la Politique sur la vérification interne du gouvernement fédéral et aux normes professionnelles connexes. L'opinion émise s'appuie sur une comparaison des conditions qui existaient au moment de la vérification avec les critères de vérification convenus avec la direction. Les données factuelles recueillies sont suffisantes pour justifier cette opinion à la haute direction.

Résumé des points forts des contrôles internes

L'équipe de vérificateurs a observé plusieurs contrôles internes conçus adéquatement et qui fonctionnaient efficacement :

L'accès physique à l'équipement informatique est limité aux personnes qui doivent y avoir accès pour remplir les responsabilités inhérentes à leur poste. Cet accès est autorisé par le personnel-cadre et est surveillé.
Toutes les modifications apportées au système (p. ex. pour répondre aux demandes des utilisateurs, aux fins de mises à jour et d'installation de nouvelles versions développées par le fournisseur) sont autorisées par le personnel-cadre et sont implantées si elles sont conformes aux plans de la technologie de l'information des IRSC ou aux exigences fonctionnelles.
Les nouveaux systèmes et les modifications apportées aux systèmes sont vérifiés par rapport au plan d'évaluation, qui comprend, selon le cas, l'essai du système et de l'unité, l'essai d'interface, l'essai en parallèle, l'essai de capacité, l'essai d'intégration et l'essai d'acceptation par l'utilisateur.
Le traitement est supervisé par le personnel-cadre, qui procède à un examen et règle les exceptions, afin d'assurer la réalisation dans les délais prévus.
La sauvegarde et la rétention des données, ainsi que l'effacement et la cession des supports lorsque la rétention n'est plus nécessaire sont planifiés et exécutés comme prévu.
Les relevés de rétention de données et la cession des supports sont examinés périodiquement par le personnel-cadre.

Résumé des points faibles des contrôles internes

Le personnel-cadre doit porter une attention particulière aux points suivants du contrôle de l'information financière :

Amélioration du contrôle de l'accès à l'information financière.
Amélioration de la séparation des tâches liées au traitement de l'information financière.
Renforcement du contrôle de la précision et de l'intégralité de la consignation des transactions.
Mise en oeuvre uniforme des activités de contrôle de la révision et de l'approbation des documents et des transactions consignés dans FreeBalance.
Établissement d'une piste de vérification des activités de contrôle pour démontrer la diligence raisonnable.
Amélioration du contrôle de gestion des modifications apportées aux fichiers maîtres.

D'autres constatations relatives à des risques moindres ont été transmises par lettre à la direction.

Les vérificateurs remercient les employés et le personnel-cadre pour leur coopération sans réserve dans la réalisation de cette vérification.

Dev Loyola-Nazareth

Dirigeant principal de la vérification
Instituts de recherche en santé du Canada

Rapport circonstancié

Méthode et critères de vérification

L'évaluation du caractère adéquat et de l'efficacité du contrôle de l'information financière a été effectuée conformément à la Politique sur la vérification interne du CT. Voici quelques-unes des techniques de vérification utilisées :

entrevues avec les employés et le personnel-cadre du groupe Planification et gestion des ressources (Finances) et les Services de gestion de l'information, de la technologie et de l'administration (SGITA);
révision de la documentation du système;
revue des procédures de contrôle;
analyse du système de contrôles manuels et informatisés dans FreeBalance;
analyse du système de contrôle interne à l'intérieur de l'infrastructure de la TI qui supporte FreeBalance.

Les contrôles ont été jugés adéquats si leur conception et leur mise en application suffisaient pour réduire les risques qui pouvaient menacer l'atteinte des objectifs. Les contrôles étaient jugés efficaces s'ils fonctionnaient comme prévu pendant une certaine période de temps.

Les critères utilisés pour évaluer les objectifs de la vérification découlent des objectifs de contrôle pour la technologie de l'information et la technologie connexe (CobiT®) de l'Association des professionnels en vérification et contrôle des systèmes d'information (APVCSI) et du IT Governance Institute (ITGI). Les critères détaillés et les conclusions sont présentés à l'annexe A du présent rapport.

La vérification s'est déroulée entre les mois de septembre et décembre 2008.

Observations, recommandations et plan d'action de gestion

Les points suivants reflètent les observations, les recommandations et les plans d'action de gestion formulés dans le cadre de la vérification pour traiter les faiblesses du contrôle de l'information financière.

Observation	Recommandation	Plan d'action de gestion
1. Amélioration du contrôle de l'accès à l'information financière.
a. Il n'y a pas de processus en place pour s'assurer que l'accès à FreeBalance est officiellement autorisé par le personnel-cadre avant d'être accordé à l'utilisateur. Il n'est pas prévu non plus de revoir l'accès périodiquement pour s'assurer qu'il reste valable. De plus, on a été remarqué pendant l'essai que plusieurs utilisateurs avaient accès à des fonctionnalités de FreeBalance qui n'étaient pas nécessaires à la réalisation de leurs tâches. L'absence de politique et de procédure d'autorisation clairement établies pour déterminer la pertinence ainsi que l'étendue de l'accès à FreeBalance augmente le risque d'accès non autorisés pouvant compromettre la confidentialité et l'intégrité des données. Comme il n'y a pas d'examen de la gestion de l'accès des utilisateurs, il existe un risque accru que des droits d'accès d'utilisateurs inappropriés restent non détectés et que la sécurité logicielle soit inefficace.	Il est recommandé que le Chef de la direction financière (CDF) élabore et mette en place des politiques et des procédures pour s'assurer que l'accès à FreeBalance est approuvé par le personnel-cadre avant de l'accorder à l'utilisateur, et que cet accès est révisé régulièrement afin de veiller à ce qu'il reste approprié. Les procédures doivent comprendre une analyse des rôles incompatibles pour s'assurer que si les utilisateurs ont plus d'un rôle, ils ne présentent pas de risques de conflits de tâches, et la rétention de la documentation sur les activités de contrôle comme piste de vérification. Les politiques et les procédures doivent s'appliquer à tous les utilisateurs de FreeBalance, pas seulement au personnel de la Planification financière et générale. Le CDF, en tant que propriétaire ultime du système et des données contenues dans ce dernier, est aussi le « propriétaire » des politiques et des procédures.	Responsabilité : Le directeur, Planification financière et générale et Rapports et le directeur, Opérations et surveillance financières Action : Le directeur, Opérations et surveillance financières travaillera avec le personnel à l'élaboration de politiques et de procédures visant à s'assurer que l'accès des utilisateurs à FreeBalance est autorisé par le personnel-cadre avant d'être accordé et que les droits d'accès appropriés sont révisés régulièrement. Le directeur, Planification financière et générale et Rapports, qui est responsable de la gestion quotidienne de FreeBalance, travaillera à la mise en application de ces politiques et de ces procédures et à l'exécution de l'analyse de l'incompatibilité des tâches des utilisateurs et de la rétention de la documentation sur les activités de contrôle aux fins de vérification. Échéance : Juin 2009
b. Il y a un trop grand accès aux fonctions suivantes relatives au revenu : Sur trois utilisateurs pouvant créer et modifier des pièces justificatives des ventes, un n'a pas besoin d'accès pour accomplir son travail. Sur quatre utilisateurs ayant accès à la publication des pièces justificatives des ventes, deux n'ont pas besoin de cet accès pour accomplir leur travail. Sur trois utilisateurs ayant accès à la création et à la modification de rentrées de fonds, un n'a pas besoin de cet accès pour accomplir son travail. Sur 22 utilisateurs ayant accès à l'affichage des transactions sur des périodes antérieures, 20 n'ont pas besoin de cet accès pour accomplir leur travail. Sur quatre utilisateurs ayant accès à la création et à la modification des dossiers principaux des clients, deux n'ont pas besoin de cet accès pour accomplir leur travail. Un accès trop libre aux fonctions administratives liées au revenu peut mener à la consignation de transactions inexactes, invalides ou incomplètes ainsi qu'à des soldes de comptes erronés relativement au revenu, ce qui peut avoir une incidence sur l'intégrité des données de FreeBalance.
c. Il y a un trop grand accès aux fonctions suivantes relatives aux dépenses : Sur 28 utilisateurs ayant accès à l'entrée d'engagements, 11 n'ont pas besoin de cet accès pour accomplir leur travail. Sur treize utilisateurs ayant accès à la création et à la modification de bons de commande, 9 n'ont pas besoin de cet accès pour accomplir leur travail. Sur seize utilisateurs ayant accès à la création et à la modification des pièces justificatives des dépenses, 2 n'ont pas besoin de cet accès pour accomplir leur travail. Sur 22 utilisateurs ayant accès à l'affichage des transactions sur des périodes antérieures, 20 n'ont pas besoin de cet accès pour accomplir leur travail. Sur 30 utilisateurs ayant accès à la création et à la modification des fiches fournisseurs, 9 n'ont pas besoin de cet accès pour accomplir leur travail. Sur onze utilisateurs ayant accès à l'autorisation des paiements, huit n'ont pas besoin de cet accès pour accomplir leur travail. Un accès trop libre aux fonctions administratives liées aux dépenses peut mener à la consignation de transactions de dépenses inexactes, invalides ou incomplètes ainsi qu'à des soldes de comptes erronés relativement aux dépenses, ce qui peut avoir une incidence sur l'intégrité des données de FreeBalance.
d. Il y a un trop grand accès relativement aux fonctions suivantes liées à l'établissement du budget : Sur huit utilisateurs ayant accès à la création, à la modification et à la suppression de budgets, trois n'ont pas besoin de cet accès pour accomplir leur travail. Un trop grand accès aux fonctions d'établissement de budget peut mener à la consignation de budgets inexacts, invalides ou incomplets dans FreeBalance et avoir une incidence sur l'intégrité des données de FreeBalance.
e. Il y a un trop grand accès aux fonctions suivantes du grand livre général : Sur 27 utilisateurs ayant accès à la création et à la modification des pièces justificatives, 9 n'ont pas besoin de cet accès pour accomplir leur travail. Un trop grand accès aux fonctions du grand livre général pourrait permettre aux utilisateurs de contourner les contrôles administratifs configurés dans FreeBalance et mener à la consignation de transactions inexactes, invalides ou incomplètes, ce qui peut avoir une incidence sur l'intégrité des données de FreeBalance.
2. La séparation des tâches doit être améliorée.
a. Il existe une lacune en ce qui concerne la séparation des tâches entre les accès du personnel de soutien et des utilisateurs finaux dans FreeBalance. L'agent des systèmes financiers, qui est responsable de la configuration de FreeBalance, a également accès aux fonctions administratives dont se servent les utilisateurs finaux. En ne séparant pas les tâches entre les accès du personnel de soutien et des utilisateurs finaux dans FreeBalance, on augmente les risques associés à la confidentialité et à l'intégrité des dossiers financiers.	Il est recommandé que le CDF élabore et mette en place des politiques qui permettront d'assurer une séparation des tâches appropriée pour les fonctions de FreeBalance.	Responsabilité : Directeur, Planification financière et générale et Rapports et directeur, Opérations et surveillance financières. Action : Le directeur, Opérations et surveillance financières travaillera avec le personnel à l'élaboration de politiques et de procédures qui permettront d'assurer une séparation des tâches appropriée pour les fonctions de FreeBalance. Le directeur, Planification financière et générale et Rapports, qui est responsable de la gestion quotidienne de FreeBalance, s'assurera que ces politiques et procédures sont mises en place et que les comptes d'utilisateur sont révisés régulièrement pour veiller au maintien de la séparation des tâches dans Free Balance. Échéance : Juin 2009
b. Pendant l'examen des contrôles du cycle administratif, on a constaté que trois utilisateurs avaient accès tant aux fonctions liées à la création/modification et qu'à celles liées à la publication des pièces justificatives des ventes dans FreeBalance. L'accès aux fonctions liées à la création/modification et à la publication des pièces justificatives augmente le risque qu'un examen indépendant des pièces justificatives ne soit pas réalisé et que des erreurs ne soient pas détectées, ce qui pourrait avoir une incidence sur l'intégrité des données de FreeBalance.
c. Un utilisateur a accès tant aux fonctions liées à la création/modification des pièces justificatives des ventes et aux fonctions liées au traitement de la réception des paiements. L'accès aux fonctions liées à la création/modification des pièces justificatives des ventes et à celles liées au traitement de la réception des paiements augmente le risque que le montant d'une pièce justificative de vente valide soit modifié et que des paiements reçus soient détournés.
d. Huit utilisateurs ont accès aux fonctions liées à la consignation et à celles associées à l'autorisation des achats aux fins de paiement dans FreeBalance. L'accès aux fonctions liées à la consignation et à celles liées à l'autorisation des achats augmente le risque de création de paiement d'achats fictifs.
e. Six utilisateurs ont accès aux fonctions liées à l'autorisation des achats et à celles liées à l'autorisation du paiement des achats. L'accès aux fonctions liées à l'autorisation des achats et à celles associées au paiement des biens et services augmente le risque que l'attestation en vertu de l'article 34 soit contournée et que l'examen indépendant des transactions ne soit pas réalisé.
f. Deux utilisateurs ont accès aux fonctions liées à la fois à la vérification de la réception des biens et services et à celles associées à l'autorisation des paiements pour les achats effectués. L'accès aux fonctions liées à la vérification de la réception et à celles associées au paiement des biens et services augmente le risque que l'attestation en vertu de l'article 32 soit contournée et que l'examen indépendant des transactions ne soit pas réalisé.
g. Tous les utilisateurs peuvent approuver les pièces justificatives manuelles pour le compte de quelqu'un d'autre. L'absence d'obligation de rendre des comptes dans le cadre de l'examen des pièces justificatives manuelles augmente le risque de transactions non autorisées.
3. Renforcement du contrôle de la précision et de l'intégralité de la consignation des transactions.
Il y a un manque de contrôle pour garantir que les recouvrements des salaires relativement aux conventions de détachement sont reçus et traités par l'Unité des opérations comptables aux fins de consignation dans FreeBalance et de facturation subséquente. De plus, il n'existe aucun contrôle pour s'assurer que les trop-payés ou d'autres formes de crédits relativement aux recouvrements de salaires sont détectés et corrigés. Ce manque de contrôle augmente le risque que les remboursements ne soient pas reçus et que les résultats et le bilan connexe soient erronés.	Il est recommandé que le CDF élabore et mette en place des politiques et des procédures pour s'assurer que toutes les conventions de détachement sont traitées aux fins de facturation et que tous les trop-payés ou autres formes de crédits sont détectés et corrigés en temps opportun.	Responsabilité : Directeur, Opérations et surveillance financières. Action : Le directeur, Opérations et surveillance financières travaillera avec le gestionnaire, Relations de travail et rémunération et le gestionnaire, Opérations financières à l'élaboration et à la mise en place des politiques et des procédures et s'assurera que toutes les conventions de détachement seront traitées aux fins de facturation et que tous les crédits, c.-à-d. les trop-payés et les autres formes de recouvrement de salaire seront détectés et corrigés en temps opportun. Échéance : Juin 2009
4. Mise en oeuvre uniforme des activités de contrôle de la révision et de l'approbation des documents et des transactions consignés dans FreeBalance.
Pendant l'examen des contrôles du cycle administratif, on a constaté que la mise en oeuvre des activités de contrôle suivantes n'était pas uniforme : Des bons de commande ont été traités sans la signature appropriée en vertu de l'article 32. Des bons de commande ont été traités sans la signature qui prouve que la transaction a été examinée par un fonctionnaire indépendant chargé des achats. Des pièces justificatives manuelles ont été consignées dans FreeBalance sans la signature qui prouve qu'elles ont été vérifiées de façon indépendante par le superviseur, opérations comptables ou le gestionnaire. Il n'existe pas de processus pour s'assurer que le superviseur, opérations comptables ou que le gestionnaire reçoit toutes les pièces justificatives manuelles aux fins de révision et d'approbation. Le nombre insuffisant d'activités de contrôle relativement à la révision et à l'autorisation de documents et de transactions consignées dans FreeBalance augmente le risque que des données de FreeBalance soient inexactes ou invalides.	Il est recommandé que le CDF élabore et mette en place des politiques et des procédures qui permettront de s'assurer que la révision et l'approbation des documents et des transactions consignés dans FreeBalance sont exécutées de façon uniforme.	Responsabilité : Directeur, Opérations et surveillance financières. Action : Le directeur, Opérations et surveillance financières travaillera avec le gestionnaire, Opérations financières et le gestionnaire, Approvisionnement à l'élaboration et à la mise en place de politiques et de procédures qui permettront de s'assurer que les documents sources et les transactions consignés dans FreeBalance sont révisés et autorisés de façon uniforme. Échéance : Juin 2009
5. Une piste de vérification des activités de contrôle est nécessaire pour faire preuve de diligence raisonnable.
Pendant l'examen des contrôles du cycle administratif, on a souligné n'avoir pu trouver de preuves de l'exécution d'examens ou de l'approbation écrite d'un certain nombre d'activités de contrôle manuelles. En voici des exemples : L'examen du budget de fonctionnement mensuel, des engagements et des rapports de dépenses des gestionnaires de centre de responsabilité L'autorisation des ajustements au budget, y compris des crédits budgétaires par des gestionnaires de centre de responsabilité. L'absence de preuve de la réalisation de l'examen des activités de contrôle augmente le risque que la diligence raisonnable ne soit pas maintenue de façon uniforme, voire pas du tout. Si les activités de contrôle ne sont pas réalisées, il y a plus de risques que des erreurs ne soient pas détectées, ce qui peut avoir une incidence sur l'intégrité des données de FreeBalance.	Il est recommandé que le CDF élabore et mette en place des politiques et des procédures qui permettront d'assurer le maintien d'une piste de vérification des activités de contrôle.	Responsabilité : Directeur, Planification financière et générale et Rapports. Action : Le directeur, Planification financière et générale et Rapports travaillera avec le gestionnaire, Finances et planification à la mise en place des contrôles de l'examen des rapports liés au budget de fonctionnement mensuel et des ajustements au budget. Échéance : 15 mai 2009
6. Amélioration du contrôle de gestion des modifications apportées aux fichiers maîtres
Il n'y a pas de contrôle en place pour s'assurer que les ajouts, les modifications ou les suppressions dans les fichiers maîtres des clients et des fournisseurs sont révisés et approuvés par le personnel-cadre. De plus, il n'y a pas d'examen régulier des fichiers maîtres des clients et des fournisseurs pour veiller à leur pertinence. L'absence de contrôle de gestion des modifications dans les fichiers maîtres des clients et des fournisseurs augmente le risque que ces fichiers deviennent inexacts ou invalides. De plus, il y a plus de risques que des actifs soient détournés et que ces fraudes soient cachées.	Il est recommandé que le CDF élabore des politiques et des procédures qui permettront de s'assurer que tous les ajouts, toutes les modifications et toutes les suppressions dans les fichiers maîtres des clients et des fournisseurs soient autorisés par le personnel-cadre et que ces fichiers soient examinés régulièrement pour s'assurer qu'ils restent exacts.	Responsabilité : Directeur, Planification financière et générale et Rapports et le directeur, Opérations et surveillance financières. Action : Les directeurs de la Planification financière générale et Rapports et des Opérations et surveillance financières travailleront ensemble pour s'assurer que tous les ajouts, toutes les modifications ou toutes les suppressions des fiches des clients et des fournisseurs feront l'objet d'une approbation et que les fichiers maîtres des clients et des fournisseurs seront examinés régulièrement de façon à garantir leur pertinence. Échéance : Juin 2009

Observation

Recommandation

Plan d'action de gestion

1. Amélioration du contrôle de l'accès à l'information financière.

a. Il n'y a pas de processus en place pour s'assurer que l'accès à FreeBalance est officiellement autorisé par le personnel-cadre avant d'être accordé à l'utilisateur. Il n'est pas prévu non plus de revoir l'accès périodiquement pour s'assurer qu'il reste valable.

De plus, on a été remarqué pendant l'essai que plusieurs utilisateurs avaient accès à des fonctionnalités de FreeBalance qui n'étaient pas nécessaires à la réalisation de leurs tâches.

L'absence de politique et de procédure d'autorisation clairement établies pour déterminer la pertinence ainsi que l'étendue de l'accès à FreeBalance augmente le risque d'accès non autorisés pouvant compromettre la confidentialité et l'intégrité des données.

Comme il n'y a pas d'examen de la gestion de l'accès des utilisateurs, il existe un risque accru que des droits d'accès d'utilisateurs inappropriés restent non détectés et que la sécurité logicielle soit inefficace.

Il est recommandé que le Chef de la direction financière (CDF) élabore et mette en place des politiques et des procédures pour s'assurer que l'accès à FreeBalance est approuvé par le personnel-cadre avant de l'accorder à l'utilisateur, et que cet accès est révisé régulièrement afin de veiller à ce qu'il reste approprié.

Les procédures doivent comprendre une analyse des rôles incompatibles pour s'assurer que si les utilisateurs ont plus d'un rôle, ils ne présentent pas de risques de conflits de tâches, et la rétention de la documentation sur les activités de contrôle comme piste de vérification.

Les politiques et les procédures doivent s'appliquer à tous les utilisateurs de FreeBalance, pas seulement au personnel de la Planification financière et générale. Le CDF, en tant que propriétaire ultime du système et des données contenues dans ce dernier, est aussi le « propriétaire » des politiques et des procédures.

Responsabilité :
Le directeur, Planification financière et générale et Rapports et le directeur, Opérations et surveillance financières

Action :
Le directeur, Opérations et surveillance financières travaillera avec le personnel à l'élaboration de politiques et de procédures visant à s'assurer que l'accès des utilisateurs à FreeBalance est autorisé par le personnel-cadre avant d'être accordé et que les droits d'accès appropriés sont révisés régulièrement. Le directeur, Planification financière et générale et Rapports, qui est responsable de la gestion quotidienne de FreeBalance, travaillera à la mise en application de ces politiques et de ces procédures et à l'exécution de l'analyse de l'incompatibilité des tâches des utilisateurs et de la rétention de la documentation sur les activités de contrôle aux fins de vérification.

Échéance :
Juin 2009

b. Il y a un trop grand accès aux fonctions suivantes relatives au revenu :

Sur trois utilisateurs pouvant créer et modifier des pièces justificatives des ventes, un n'a pas besoin d'accès pour accomplir son travail.
Sur quatre utilisateurs ayant accès à la publication des pièces justificatives des ventes, deux n'ont pas besoin de cet accès pour accomplir leur travail.
Sur trois utilisateurs ayant accès à la création et à la modification de rentrées de fonds, un n'a pas besoin de cet accès pour accomplir son travail.
Sur 22 utilisateurs ayant accès à l'affichage des transactions sur des périodes antérieures, 20 n'ont pas besoin de cet accès pour accomplir leur travail.
Sur quatre utilisateurs ayant accès à la création et à la modification des dossiers principaux des clients, deux n'ont pas besoin de cet accès pour accomplir leur travail.

Un accès trop libre aux fonctions administratives liées au revenu peut mener à la consignation de transactions inexactes, invalides ou incomplètes ainsi qu'à des soldes de comptes erronés relativement au revenu, ce qui peut avoir une incidence sur l'intégrité des données de FreeBalance.

c. Il y a un trop grand accès aux fonctions suivantes relatives aux dépenses :

Sur 28 utilisateurs ayant accès à l'entrée d'engagements, 11 n'ont pas besoin de cet accès pour accomplir leur travail.
Sur treize utilisateurs ayant accès à la création et à la modification de bons de commande, 9 n'ont pas besoin de cet accès pour accomplir leur travail.
Sur seize utilisateurs ayant accès à la création et à la modification des pièces justificatives des dépenses, 2 n'ont pas besoin de cet accès pour accomplir leur travail.
Sur 22 utilisateurs ayant accès à l'affichage des transactions sur des périodes antérieures, 20 n'ont pas besoin de cet accès pour accomplir leur travail.
Sur 30 utilisateurs ayant accès à la création et à la modification des fiches fournisseurs, 9 n'ont pas besoin de cet accès pour accomplir leur travail.
Sur onze utilisateurs ayant accès à l'autorisation des paiements, huit n'ont pas besoin de cet accès pour accomplir leur travail.

Un accès trop libre aux fonctions administratives liées aux dépenses peut mener à la consignation de transactions de dépenses inexactes, invalides ou incomplètes ainsi qu'à des soldes de comptes erronés relativement aux dépenses, ce qui peut avoir une incidence sur l'intégrité des données de FreeBalance.

d. Il y a un trop grand accès relativement aux fonctions suivantes liées à l'établissement du budget :

Sur huit utilisateurs ayant accès à la création, à la modification et à la suppression de budgets, trois n'ont pas besoin de cet accès pour accomplir leur travail.

Un trop grand accès aux fonctions d'établissement de budget peut mener à la consignation de budgets inexacts, invalides ou incomplets dans FreeBalance et avoir une incidence sur l'intégrité des données de FreeBalance.

e. Il y a un trop grand accès aux fonctions suivantes du grand livre général :

Sur 27 utilisateurs ayant accès à la création et à la modification des pièces justificatives, 9 n'ont pas besoin de cet accès pour accomplir leur travail.

Un trop grand accès aux fonctions du grand livre général pourrait permettre aux utilisateurs de contourner les contrôles administratifs configurés dans FreeBalance et mener à la consignation de transactions inexactes, invalides ou incomplètes, ce qui peut avoir une incidence sur l'intégrité des données de FreeBalance.

2. La séparation des tâches doit être améliorée.

a. Il existe une lacune en ce qui concerne la séparation des tâches entre les accès du personnel de soutien et des utilisateurs finaux dans FreeBalance. L'agent des systèmes financiers, qui est responsable de la configuration de FreeBalance, a également accès aux fonctions administratives dont se servent les utilisateurs finaux.

En ne séparant pas les tâches entre les accès du personnel de soutien et des utilisateurs finaux dans FreeBalance, on augmente les risques associés à la confidentialité et à l'intégrité des dossiers financiers.

Il est recommandé que le CDF élabore et mette en place des politiques qui permettront d'assurer une séparation des tâches appropriée pour les fonctions de FreeBalance.

Responsabilité :
Directeur, Planification financière et générale et Rapports et directeur, Opérations et surveillance financières.

Action :
Le directeur, Opérations et surveillance financières travaillera avec le personnel à l'élaboration de politiques et de procédures qui permettront d'assurer une séparation des tâches appropriée pour les fonctions de FreeBalance. Le directeur, Planification financière et générale et Rapports, qui est responsable de la gestion quotidienne de FreeBalance, s'assurera que ces politiques et procédures sont mises en place et que les comptes d'utilisateur sont révisés régulièrement pour veiller au maintien de la séparation des tâches dans Free Balance.

Échéance :
Juin 2009

b. Pendant l'examen des contrôles du cycle administratif, on a constaté que trois utilisateurs avaient accès tant aux fonctions liées à la création/modification et qu'à celles liées à la publication des pièces justificatives des ventes dans FreeBalance.

L'accès aux fonctions liées à la création/modification et à la publication des pièces justificatives augmente le risque qu'un examen indépendant des pièces justificatives ne soit pas réalisé et que des erreurs ne soient pas détectées, ce qui pourrait avoir une incidence sur l'intégrité des données de FreeBalance.

c. Un utilisateur a accès tant aux fonctions liées à la création/modification des pièces justificatives des ventes et aux fonctions liées au traitement de la réception des paiements.

L'accès aux fonctions liées à la création/modification des pièces justificatives des ventes et à celles liées au traitement de la réception des paiements augmente le risque que le montant d'une pièce justificative de vente valide soit modifié et que des paiements reçus soient détournés.

d. Huit utilisateurs ont accès aux fonctions liées à la consignation et à celles associées à l'autorisation des achats aux fins de paiement dans FreeBalance.

L'accès aux fonctions liées à la consignation et à celles liées à l'autorisation des achats augmente le risque de création de paiement d'achats fictifs.

e. Six utilisateurs ont accès aux fonctions liées à l'autorisation des achats et à celles liées à l'autorisation du paiement des achats.

L'accès aux fonctions liées à l'autorisation des achats et à celles associées au paiement des biens et services augmente le risque que l'attestation en vertu de l'article 34 soit contournée et que l'examen indépendant des transactions ne soit pas réalisé.

f. Deux utilisateurs ont accès aux fonctions liées à la fois à la vérification de la réception des biens et services et à celles associées à l'autorisation des paiements pour les achats effectués.

L'accès aux fonctions liées à la vérification de la réception et à celles associées au paiement des biens et services augmente le risque que l'attestation en vertu de l'article 32 soit contournée et que l'examen indépendant des transactions ne soit pas réalisé.

g. Tous les utilisateurs peuvent approuver les pièces justificatives manuelles pour le compte de quelqu'un d'autre.

L'absence d'obligation de rendre des comptes dans le cadre de l'examen des pièces justificatives manuelles augmente le risque de transactions non autorisées.

3. Renforcement du contrôle de la précision et de l'intégralité de la consignation des transactions.

Il y a un manque de contrôle pour garantir que les recouvrements des salaires relativement aux conventions de détachement sont reçus et traités par l'Unité des opérations comptables aux fins de consignation dans FreeBalance et de facturation subséquente. De plus, il n'existe aucun contrôle pour s'assurer que les trop-payés ou d'autres formes de crédits relativement aux recouvrements de salaires sont détectés et corrigés.

Ce manque de contrôle augmente le risque que les remboursements ne soient pas reçus et que les résultats et le bilan connexe soient erronés.

Il est recommandé que le CDF élabore et mette en place des politiques et des procédures pour s'assurer que toutes les conventions de détachement sont traitées aux fins de facturation et que tous les trop-payés ou autres formes de crédits sont détectés et corrigés en temps opportun.

Responsabilité :
Directeur, Opérations et surveillance financières.

Action :
Le directeur, Opérations et surveillance financières travaillera avec le gestionnaire, Relations de travail et rémunération et le gestionnaire, Opérations financières à l'élaboration et à la mise en place des politiques et des procédures et s'assurera que toutes les conventions de détachement seront traitées aux fins de facturation et que tous les crédits, c.-à-d. les trop-payés et les autres formes de recouvrement de salaire seront détectés et corrigés en temps opportun.

Échéance :
Juin 2009

4. Mise en oeuvre uniforme des activités de contrôle de la révision et de l'approbation des documents et des transactions consignés dans FreeBalance.

Pendant l'examen des contrôles du cycle administratif, on a constaté que la mise en oeuvre des activités de contrôle suivantes n'était pas uniforme :

Des bons de commande ont été traités sans la signature appropriée en vertu de l'article 32.
Des bons de commande ont été traités sans la signature qui prouve que la transaction a été examinée par un fonctionnaire indépendant chargé des achats.
Des pièces justificatives manuelles ont été consignées dans FreeBalance sans la signature qui prouve qu'elles ont été vérifiées de façon indépendante par le superviseur, opérations comptables ou le gestionnaire.
Il n'existe pas de processus pour s'assurer que le superviseur, opérations comptables ou que le gestionnaire reçoit toutes les pièces justificatives manuelles aux fins de révision et d'approbation.

Le nombre insuffisant d'activités de contrôle relativement à la révision et à l'autorisation de documents et de transactions consignées dans FreeBalance augmente le risque que des données de FreeBalance soient inexactes ou invalides.

Il est recommandé que le CDF élabore et mette en place des politiques et des procédures qui permettront de s'assurer que la révision et l'approbation des documents et des transactions consignés dans FreeBalance sont exécutées de façon uniforme.

Responsabilité :
Directeur, Opérations et surveillance financières.

Action :
Le directeur, Opérations et surveillance financières travaillera avec le gestionnaire, Opérations financières et le gestionnaire, Approvisionnement à l'élaboration et à la mise en place de politiques et de procédures qui permettront de s'assurer que les documents sources et les transactions consignés dans FreeBalance sont révisés et autorisés de façon uniforme.

Échéance :
Juin 2009

5. Une piste de vérification des activités de contrôle est nécessaire pour faire preuve de diligence raisonnable.

Pendant l'examen des contrôles du cycle administratif, on a souligné n'avoir pu trouver de preuves de l'exécution d'examens ou de l'approbation écrite d'un certain nombre d'activités de contrôle manuelles. En voici des exemples :

L'examen du budget de fonctionnement mensuel, des engagements et des rapports de dépenses des gestionnaires de centre de responsabilité
L'autorisation des ajustements au budget, y compris des crédits budgétaires par des gestionnaires de centre de responsabilité.

L'absence de preuve de la réalisation de l'examen des activités de contrôle augmente le risque que la diligence raisonnable ne soit pas maintenue de façon uniforme, voire pas du tout. Si les activités de contrôle ne sont pas réalisées, il y a plus de risques que des erreurs ne soient pas détectées, ce qui peut avoir une incidence sur l'intégrité des données de FreeBalance.

Il est recommandé que le CDF élabore et mette en place des politiques et des procédures qui permettront d'assurer le maintien d'une piste de vérification des activités de contrôle.

Responsabilité :
Directeur, Planification financière et générale et Rapports.

Action :
Le directeur, Planification financière et générale et Rapports travaillera avec le gestionnaire, Finances et planification à la mise en place des contrôles de l'examen des rapports liés au budget de fonctionnement mensuel et des ajustements au budget.

Échéance :
15 mai 2009

6. Amélioration du contrôle de gestion des modifications apportées aux fichiers maîtres

Il n'y a pas de contrôle en place pour s'assurer que les ajouts, les modifications ou les suppressions dans les fichiers maîtres des clients et des fournisseurs sont révisés et approuvés par le personnel-cadre. De plus, il n'y a pas d'examen régulier des fichiers maîtres des clients et des fournisseurs pour veiller à leur pertinence.

L'absence de contrôle de gestion des modifications dans les fichiers maîtres des clients et des fournisseurs augmente le risque que ces fichiers deviennent inexacts ou invalides. De plus, il y a plus de risques que des actifs soient détournés et que ces fraudes soient cachées.

Il est recommandé que le CDF élabore des politiques et des procédures qui permettront de s'assurer que tous les ajouts, toutes les modifications et toutes les suppressions dans les fichiers maîtres des clients et des fournisseurs soient autorisés par le personnel-cadre et que ces fichiers soient examinés régulièrement pour s'assurer qu'ils restent exacts.

Responsabilité :
Directeur, Planification financière et générale et Rapports et le directeur, Opérations et surveillance financières.

Action :
Les directeurs de la Planification financière générale et Rapports et des Opérations et surveillance financières travailleront ensemble pour s'assurer que tous les ajouts, toutes les modifications ou toutes les suppressions des fiches des clients et des fournisseurs feront l'objet d'une approbation et que les fichiers maîtres des clients et des fournisseurs seront examinés régulièrement de façon à garantir leur pertinence.

Échéance :
Juin 2009

Annexes

A : Critères de vérification et conclusions

Dans le cadre de la vérification, les définitions suivantes ont été utilisées pour évaluer le cadre de contrôle interne.

Conclusion par rapport aux critères de vérification	Définition des opinions
Bon contrôle	Bonne gestion, aucune faiblesse matérielle relevée, ou besoin de quelques améliorations mineures.
Problèmes modestes	Le contrôle comporte des lacunes, mais le danger couru est limité, car la probabilité ou la conséquence du risque est faible.
Importantes améliorations nécessaires	Nécessite d'importantes améliorations en ce qui a trait aux redressements financiers, ou la faiblesse des contrôles fait courir un important risque.

Conclusion générale
Les conclusions de la vérification indiquent que le cadre de contrôle interne de l'information financière nécessite d'importantes améliorations.

Critères	Renvois à des observations	Conclusion
1. Confidentialité de l'information Des contrôles internes adéquats et efficaces ont été mis en place pour s'assurer que les données de FreeBalance sont traitées confidentiellement en vertu des lois, des politiques et des directives du gouvernement du Canada.
1.1 Les exigences du gouvernement du Canada en matière de gestion du risque particulier au système ont été respectées, y compris la réalisation d'une évaluation du danger et du risque, d'une évaluation des facteurs relatifs à la vie privée et d'un rapport de certification et d'accréditation.	Observation no 2 de la lettre à la direction	Problèmes modestes
1.2 L'accès physique à l'équipement informatique est limité aux personnes qui en ont besoin pour remplir les responsabilités inhérentes à leur poste, est autorisé par le personnel-cadre et est surveillé.	S. O.	Bon contrôle
1.3 L'accès à des sources d'information (fichiers de données, logiciels utilitaires, transactions, programmes) est limité aux personnes désignées et est autorisé par le personnel-cadre.	Observation no 1 du rapport de vérification interne Observation no 1 de 1a de la lettre à la direction	Importantes améliorations nécessaires
L'accès des utilisateurs : 1.4.1 La nature et la portée des droits d'accès de l'utilisateur sont autorisées par le propriétaire du système. 1.4.2 Les privilèges sont révisés de façon périodique par le propriétaire du système pour en vérifier la pertinence. 1.4.3 L'accès de l'utilisateur est contrôlé par mot de passe ou d'autres procédés. 1.4.4 Les mots de passe sont modifiés de façon périodique.	Observation no 1a du rapport de vérification interne Observation no 1 de la lettre à la direction	Importantes améliorations nécessaires
2. Intégrité de l'information Des contrôles internes adéquats et efficaces ont été mis en place pour veiller à ce que l'information de FreeBalance soit autorisée, exacte et complète.
2.1 Toutes les modifications apportées au système (p. ex. pour répondre aux demandes des utilisateurs, aux fins de mises à jour et d'installation de nouvelles versions développées par le fournisseur) sont autorisées par le personnel-cadre et sont implantées si elles sont conformes aux plans de la technologie de l'information des IRSC ou aux exigences fonctionnelles.	S. O.	Bon contrôle
2.2 Les nouveaux systèmes et les modifications apportées aux systèmes sont vérifiés par rapport au plan d'évaluation, qui comprend, selon le cas, l'essai du système et de l'unité, l'essai d'interface, l'essai en parallèle, l'essai de capacité, l'essai d'intégration et l'essai d'acceptation par l'utilisateur	S. O.	Bon contrôle
2.3 L'accès à l'environnement d'essai et de production est limité de façon appropriée.	Observation no 2a du rapport de vérification interne Observation no 1 de1a de la lettre à la direction	Importantes améliorations nécessaires
2.4 La séparation des tâches entre les utilisateurs et les développeurs du système est appropriée et l'accès au système est limité au personnel autorisé.	Observation no 2a du rapport de vérification interne Observation no 1 de la lettre à la direction	Importantes améliorations nécessaires
2.5 L'accès au langage de commande du traitement de la production et aux programmes exécutables a été conçu pour limiter la capacité d'exécuter, de modifier, de supprimer ou de créer aux personnes autorisées par le personnel-cadre.	Observations nos 1a, 1c, 1d de la lettre à la direction	Problèmes modestes
2.6 Toutes et seulement les transactions autorisées sont consignées avec exactitude, au complet et dans les délais prévus.	Observations nos 1b, 1c, 1d, 1e, 2e, 3, 4, 5 du rapport de vérification interne Observation no 3 de la lettre à la direction	Importantes améliorations nécessaires
2.7 Toutes et seulement les transactions autorisées sont traitées avec exactitude, au complet et dans les délais prévus.	Observations nos 1b, 1c, 1d, 1e, 2e, 3, 4, 5 du rapport de vérification interne	Importantes améliorations nécessaires
2.8 Toutes et seulement les transactions autorisées sont consignées avec exactitude et au complet dans les comptes des IRSC et pour la période appropriée.	Observations nos 1b, 1c, 1d, 1e, 2e, 3, 4, 5 du rapport de vérification interne	Importantes améliorations nécessaires
2.9 Les rapports utilisés pour prendre des décisions sont exacts, complets et présentés selon les délais.	Observations nos 1, 2, 3, 4, 5, 6 du rapport de vérification interne	Importantes améliorations nécessaires
2.10 Tous et seulement les ajouts ou changements autorisés apportés aux fichiers maîtres sont entrés au complet, avec exactitude et dans les délais prévus.	Observations nos 1b, 1c, 6 du rapport de vérification interne Observation no 4 de la lettre à la direction	Importantes améliorations nécessaires
2.11 La séparation des tâches est appropriée. Dans un système idéal, différents employés réalisent chacune de ces quatre fonctions importantes : autorisation, garde, tenue des dossiers et rapprochement.	Observations nos 2, 5 du rapport de vérification interne	Importantes améliorations nécessaires
2.12 Le traitement est supervisé par le personnel-cadre, qui effectue une révision et règle les exceptions, afin d'assurer un achèvement efficace et en temps opportun.	S. O.	Bon contrôle
3. Disponibilité de l'information Des contrôles internes adéquats et efficaces ont été mis en place pour veiller à ce que les utilisateurs ont accès à l'information de FreeBalance lorsqu'elle est nécessaire aux opérations administratives.
3.1 La sauvegarde et la rétention des données ainsi que l'effacement et la cession des supports lorsque la rétention n'est plus nécessaire sont planifiés et exécutés comme prévu.	S. O.	Bon contrôle
3.2 Les relevés de rétention de données et la cession des supports sont examinés périodiquement par le personnel-cadre.	S. O.	Bon contrôle

B : Survol des interfaces de FreeBalance

Survol des interfaces de FreeBalance

Interface	Description
Interface des subventions et des bourses (de SIE à FreeBalance)	Le versement des subventions et des bourses est administré à l'aide du Système d'information électronique (SIE). Les engagements immédiats et les opérations de paiement approuvées en ce qui concerne les subventions et les bourses sont transférés dans le système FreeBalance par traitement en lot demandé manuellement dans le SIE par les responsables des subventions et des bourses.
Interface de prévision des salaires (de GX Salaries à FreeBalance)	Les paies du personnel des IRSC sont consignées et calculées dans le Grand livre général du système de paye (GLG-SP) du Receveur général à TPSGC. Les opérations de paye (pièces de journal) sont transférées du GLG-SP au GX Salaries par un analyste de la planification. Les pièces de journal de la paie sont ensuite transférées vers FreeBalance par l'analyste de planification financière, au moyen d'une autre demande manuelle de traitement par lot, ion financière qui demande manuellement un traitement par lot, un processus qui interface le GX Salaries à FreeBalance.
Interface des paiements (de SNP à FreeBalance)	Le contrôle du Trésor demeure la responsabilité de TPSGC. Les pièces justificatives des dépenses sont reçues aux IRSC, entrées dans FreeBalance et traitées aux fins de paiement. L'information sur les paiements est ensuite transférée électroniquement (sous forme de fichiers textes) par le personnel d'Opérations comptables à TPSGC par l'entremise du Système normalisé des paiements (SNP). TPSGC est responsable d'émettre les chèques.
Interface de la balance de vérification (de SCGRF à FreeBalance)	Le Système central de gestion des rapports financiers (SCGRF) crée un grand livre général pour le gouvernement du Canada à partir des balances de vérification validées consignées mensuellement dans le système par chaque ministère et organisme du gouvernement. Ces balances de vérification mensuelles contiennent les soldes d'ouverture et de clôture des comptes ministériels, y compris les soldes des comptes de contrôle. Ce processus de validation et de règlement permet de s'assurer que tous les paiements effectués et les argents reçus par les ministères sont consignés dans les livres du gouvernement du Canada. Chaque mois, le personnel d'Opérations comptables produit une balance de vérification à partir de FreeBalance, qui est ensuite chargée dans le SCGRF grâce à un simple utilitaire d'ouverture de session fourni par TPSGC.
Interface de Crystal Reports (de FreeBalance à Crystal Reports)	Les rapports mensuels à l'intention des gestionnaires de centres de responsabilité (CR) sont traités par les conseillers financiers au moyen du système Crystal Reports. Crystal Reports obtient un instantané de la base de données FreeBalance. Chaque mois, un processus de traitement par lot permet le rafraîchissement de l'instantané de la base de données après le processus de clôture de la période de FreeBalance.

Veuillez consulter l’annexe B : Survol des interfaces de FreeBalance

Recherche

Financement

Instituts

Stratégies

Initiatives

Initiatives phares

Initiatives stratégiques

Collaboration

Survol de la recherche

Contrôle de l'information financière

Table des matières

Résumé

Introduction

Risques examinés pendant la vérification

Objectif

Portée

Opinion générale des vérificateurs

Énoncé d'assurance

Résumé des points forts des contrôles internes

Résumé des points faibles des contrôles internes

Rapport circonstancié

Méthode et critères de vérification

Observations, recommandations et plan d'action de gestion

Annexes

A : Critères de vérification et conclusions

B : Survol des interfaces de FreeBalance

Supplemental content (right column)