Bibliothèque et Archives Canada
Symbole du gouvernement du Canada

Liens de la barre de menu commune

Liens institutionnels

ARCHIVÉE - À notre sujet

Contenu archivé

Cette page Web archivée demeure en ligne à des fins de consultation, de recherche ou de tenue de documents. Elle ne sera pas modifiée ni mise à jour. Les pages Web qui sont archivées sur Internet ne sont pas assujetties aux normes applicables au Web du gouvernement du Canada. Conformément à la Politique de communication du gouvernement du Canada, vous pouvez demander de recevoir cette page sous d'autres formats à la page Contactez-nous.

Évaluations et vérifications

Vérification de l'état de préparation en vue de la mise en œuvre de la Politique sur le contrôle interne

Précédent | Table des matières | Suivant

3. Constatations, recommandations et réponse de la direction

3.3 Gérance

L'expérience des organisations (des secteurs public et privé) canadiennes et étrangères démontre que l'adoption d'une approche descendante et fondée sur les risques est un des facteurs déterminants de la réussite d'une évaluation efficace et rentable du CIRF.

Constatation no 3.3.1 : BAC n'a pas sélectionné un cadre de contrôle qui lui permettra d'évaluer et de démontrer l'efficacité des contrôles à l'échelle de l'entité par rapport aux principaux risques auxquels BAC doit faire face en matière de rapports financiers.

Les contrôles à l'échelle de l'entité donnent le ton et créent de grandes attentes sur le moyen qu'adopte un ministère ou un organisme pour réaliser ses objectifs et, à ce titre, ont une très grande influence dans l'ensemble du ministère.

Même s'il semble que BAC exerce plusieurs contrôles officiels ou non à l'échelle de l'entité, le DPF a mentionné que l'organisme n'a pas encore sélectionné un cadre de contrôle pour le processus d'évaluation du CIRF. La firme de consultants a fourni à la direction une orientation supplémentaire sur les cadres de contrôle.

Tout contrôle à l'échelle de l'entité qui est faible, inadéquat ou même inexistant peut créer des faiblesses dans les contrôles des processus et, en fin de compte, influencer la capacité du ministère de réaliser ses buts et ses objectifs. Les contrôles à l'échelle de l'entité qui fonctionnent efficacement appuient directement la capacité du ministère de gérer les risques stratégiques et opérationnels et donc de réaliser ses divers objectifs, en plus d'atténuer la nature, le moment opportun et l'étendue de la mise à l'essai complète du contrôle nécessaires à l'intérieur des processus financiers et des systèmes de TI.

En outre, l'utilisation d'un cadre d'évaluation complet et bien structuré confirmera la couverture et l'intégralité de l'évaluation du CIRF et elle appuiera la défense des conclusions du CIRF.

Recommandation 3.3.1 :

Le DPF, en collaboration avec la dirigeante principale de la vérification interne, doit sélectionner un cadre pour structurer l'évaluation des contrôles à l'échelle de l'entité du CIRF7.

Réponse de la direction :

La direction est d'accord avec cette recommandation. Le DPF choisira, en collaboration avec la dirigeante principale de la vérification interne, un cadre de travail pour l'évaluation des contrôles à l'échelle institutionnelle.

Une fois que l'environnement de contrôle de l'ensemble de l'organisation ou de l'entité est compris et évalué, les contrôles sont ensuite déterminés et mis à l'essai à deux premiers niveaux : celui de la TI et celui des opérations financières.

Constatation no 3.3.2 : BAC a déterminé les principaux systèmes financiers et documenté certains contrôles généraux de la TI liés à ces systèmes (mais pas tous); cependant, ces contrôles n'ont pas été évalués en ce qui a trait à la qualité de la conception ou à l'efficacité du contrôle à l'appui des rapports financiers.

Les contrôles généraux de la technologie de l'information (CGTI) sont des contrôles qui influencent l'environnement de la TI, notamment l'accès aux programmes et aux données, les modifications de programme, le développement des programmes et les opérations informatiques.

BAC utilise les principaux systèmes financiers suivants : les systèmes financiers FreeBalance, le système FreeBalance Performance Budgeting for Human Capital et le Système automatisé d'information sur la gestion du matériel (SAIGM). Le Groupe des systèmes financiers veille à l'entretien des systèmes FreeBalance (gestion de la sécurité des applications et copie de secours quotidienne) avec un certain soutien supplémentaire de la Direction des technologies de l'information (DTI). Par exemple, le personnel de la DTI exécute le programme de sécurité pour l'ensemble de l'organisation.

Le rapport intitulé Internal Audit Review of Privacy (2008) (examen et vérification interne de la protection des renseignements personnels) conclut que l'infrastructure de sécurité de BAC montre des forces et des faiblesses. L'examen mentionne plusieurs forces en ce qui a trait aux mesures de sécurité qui protègent convenablement les renseignements personnels, notamment l'emplacement sécurisé du serveur, le système de prévention des intrusions, les règles d'accès au pare-feu, la surveillance ponctuelle de l'utilisation des ordinateurs par les employés, l'évaluation des menaces et des risques pour la sécurité qui est effectuée lorsque le système sauvegarde des données Protégé A ou des renseignements plus confidentiels8 et un programme de formation des employés sur la sécurité.

De plus, l'évaluation du CGR et du plan d'action de BAC, ronde VI (2009 2010) pour l'indicateur de gestion 19 – Gestion efficace de la sécurité et de la continuité des activités – comprend la poursuite des activités en cours pour continuer d'améliorer le programme ministériel de sécurité, y compris les communications et la mise en œuvre de la nouvelle politique de sécurité pour l'harmoniser avec la Politique du gouvernement sur la sécurité9.

Les personnes interrogées ont confirmé que les contrôles généraux de la TI relativement aux systèmes financiers FreeBalance, notamment les utilisateurs autorisés, le développement des progiciels et les contrôles des changements, les contrôles des logiciels du système (catégories d'utilisateur, contrôles d'accès aux mots de passe), la ségrégation des fonctions et les plans de continuité des activités, sont en place. Certains de ces contrôles ont été documentés, mais ils n'ont pas été mis à l'essai.

Quant au processus d'évaluation du CIRF, les contrôles généraux de la TI (CGTI) liés à ces principaux systèmes financiers devraient être documentés et évalués en ce concerne la pertinence de la conception ou l'efficacité du contrôle. Les CGTI propres aux systèmes connexes sous-jacents devront être conçus et exploités de façon efficace, faute de quoi BAC ne pourra pas se fier à des contrôles automatisés pour soutenir la réalisation de ses objectifs en matière de rapports financiers.

Recommandation 3.3.2 :

Le DPF doit élaborer un plan pour évaluer les risques que comportent les contrôles généraux de la TI qui cadrent dans le champ d'action afin de déterminer, au moyen d'une approche fondée sur les risques, la nature et l'étendue de la mise à l'essai nécessaire10.

Réponse de la direction :

La direction est d'accord avec cette recommandation. Lorsque les contrôles informatiques seront disponibles pour soutenir le cadre de contrôles de l'institution, ils seront utilisés pour rendre plus efficients les systèmes de contrôle. La nature et l'étendue des mises à l'essai des contrôles informatiques seront alors établies en se fondant sur l'évaluation du niveau de risque.

Les cycles clés du processus d'états financiers et les comptes importants dans chaque processus doivent comporter des contrôles internes.

Les contrôles des processus atténuent les risques qui menacent l'exécution des opérations individuelles, en plus de fournir l'assurance que les objectifs des opérations sont atteints.

Constatation no 3.3.3 : BAC n'a pas documenté les principaux contrôles des opérations pour les processus financiers qui cadrent dans le champ d'action ni mis à l'essai l'efficacité de la conception ou de l'opération des contrôles.

Les cycles clés du processus d'états financiers et les comptes importants dans chaque processus doivent comprendre des contrôles internes (contrôles automatisés des applications de la TI et contrôles manuels) pour garantir que les opérations sont autorisées, complètes, exactes, valides et traitées en temps opportun.

Le DPF et le gestionnaire, Politiques financières, Pratiques de gestion et Assurance de la qualité ont indiqué les comptes importants sur les états financiers externes de BAC (immobilisations, achats et comptes créditeurs, comptes débiteurs et recettes ainsi que feuille de paye); cependant, ils n'ont pas effectué l'étape suivante consistant à déterminer, à documenter et à mettre à l'essai les principaux contrôles pour les procédés financiers qui cadrent dans le champ d'action.

BAC a conçu des procédures, des pratiques et des processus qui assurent que les données financières, les livres comptables et les rapports financiers sont complets, exacts et préparés en temps opportun. Par exemple :

  • BAC a créé, documenté et communiqué clairement ses politiques sur la comptabilité générale.
  • BAC a précisé ses exigences en matière de livres comptables et a mis en application les systèmes financiers FreeBalance à titre de système de comptabilité générale pour consigner ses opérations et satisfaire à ses exigences en matière de comptabilité. Ce système incorpore des activités de contrôle qui garantissent que les données financières de BAC sont complètes, exactes et autorisées.
  • BAC a établi des procédures et a conféré les responsabilités pour le traitement des opérations comptables, notamment les comptes créditeurs, la feuille de paye, les comptes débiteurs et les recettes.
  • BAC effectue régulièrement les activités de comptabilité générale (p. ex., la consignation des opérations, l'émission de paiements, la tenue des documents comptables, la préparation des rapports financiers).
  • Le traitement et le contrôle de l'autorisation des paiements sont centralisés dans la section Opérations comptables11.
  • Les agents financiers de la Direction des finances et du logement fournissent aux gestionnaires une orientation et des conseils fonctionnels pour leur permettre d'effectuer leurs activités financières.
  • En fin d'exercice, BAC communique aux administrateurs de la rémunération, au personnel affecté à la vérification des comptes et aux conseillers financiers les procédures normales de fin de période liées aux comptes créditeurs.

BAC n'a pas documenté ces contrôles ni mis en place de procédures de mise à l'essai et de surveillance de la conception et de l'efficacité opérationnelle de ces contrôles de processus financiers.

Les contrôles des processus atténuent les risques qui menacent l'exécution des opérations individuelles, en plus de fournir l'assurance que les objectifs des opérations sont atteints. En raison de l'absence de ces contrôles (ou de l'absence de mise à l'essai et de surveillance de ces contrôles, en fonction du risque), l'objectif de s'assurer que les données financières, les livres comptables et les rapports financiers sont complets, exacts et préparés en temps opportun pourrait ne pas se réaliser.

Recommandation 3.3.3 :

Le DPF doit élaborer un plan pour déterminer les principaux contrôles des processus et évaluer les risques liés aux processus financiers qui cadrent dans le champ d'action et aux principaux systèmes financiers, ainsi que déterminer la nature et l'étendue de la documentation et la mise à l'essai nécessaire.

Réponse de la direction :

La direction est d'accord avec cette recommandation. La mise en œuvre de la politique sur le contrôle interne sera effectuée de façon progressive en adoptant une approche fondée sur les risques en matière de rapports financiers, comme le demande le Conseil du Trésor. Dans les mois à venir, l'on procédera à l'évaluation des risques liés aux rapports financiers et élaborera ensuite le plan d'implantation en accord avec cette évaluation des risques. Le plan établira l'étendue des systèmes de contrôle clés qui devront être documentés, revus et évalués, ainsi que les échéances prévues.


7 Politique sur le contrôle interne, paragraphe 3.2 : De nombreux cadres de contrôle interne ont été élaborés par divers organismes et associations professionnels. L'un des cadres les plus reconnus en matière de contrôle interne est celui du Committee of Sponsoring Organizations of the Treadway Commission (COSO).

8 Les entrevues réalisées avec le personnel de la Direction des finances et du logement ont révélé que BAC n'avait effectué aucune évaluation des menaces et des risques pour la sécurité des principaux systèmes financiers.

9 L'évaluation du CGR, ronde VII, pourrait engendrer des modifications aux initiatives et au plan d'action pour l'indicateur de gestion 19 – Gestion efficace de la sécurité et de la continuité des activités.

10 Dans le cadre de son évaluation des CGTI, BAC devrait consulter le cadre de COBIT pour déterminer les objectifs en matière de contrôle de la TI qui sont considérés comme importants pour les systèmes de la TI qui cadrent dans le champ d'action. Le cadre COBIT est une structure complète de gestion de la gouvernance du risque et du contrôle de la TI qui est généralement utilisée dans les secteurs privé et public à titre de cadre ou de source de référence pour évaluer les CGTI. Le cadre décrit les objectifs et les critères en matière de contrôle à l'intérieur d'un certain nombre de catégories, notamment le développement des systèmes, l'accès aux programmes et données, la gestion du changement, la sécurité et les opérations informatiques.

11 Le traitement et le contrôle des opérations comptables pour l'autorisation des paiements comportent la vérification complète (100 %) de l'initiation des dépenses (article 32) et des approbations aux termes de l'article 34, en plus de la concordance entre la facture et les documents originaux à l'appui. Après avoir achevé l'examen de la conformité aux règlements et aux politiques, ainsi que l'application des contrôles financiers appropriés, l'agent financier des opérations comptables exerce son approbation aux termes de l'article 33.

Précédent | Table des matières | Suivant