Vérification des transactions relatives aux comptes créditeurs traités à l’aide du système de paiement électronique de RNCan Projet AU1211

SOMMAIRE

CONTEXTE

Le paiement électronique est une « solution au traitement des comptes créditeurs » instaurée en 2009 à Ressources naturelles Canada (RNCan), afin d’en faire l’essai dans la région de la capitale nationale. En mai 2010, après la période d’essai, cette solution a été appliquée à tout le Ministère. Depuis l’adoption du paiement électronique, deux autres grandes initiatives ont vu le jour : mise en œuvre d’un service de signature électronique sécurisée, « maCLÉ », et adoption d’un nouveau système financier SAP. Les trois initiatives ont apporté des changements majeurs à RNCan et, ensemble, elles améliorent le traitement des comptes créditeurs à l’échelle du Ministère.

Cette solution de paiement simplifie le traitement des comptes créditeurs à RNCan, et comprend la numérisation des factures des fournisseurs et leur traitement automatisé à l’aide d’une application de paiement axé sur le déroulement du travail. Le paiement électronique repose sur deux grands principes : 1) toutes les factures des fournisseurs sont reçues par un seul Centre de réception des factures (CRF) pour l’ensemble du Ministère; 2) ces factures sont toutes traitées par un seul Centre de paiement de factures (CPF).

Le système de paiement électronique a évolué au fil du temps, et il est constamment mis à jour à l’aide de fonctionnalités améliorées qui renforcent les contrôles et facilitent l’utilisation. Parmi les exemples récents, notons un logiciel plus efficace de reconnaissance optique de caractères qui rend plus fiables la numérisation des factures et l’utilisation obligatoire de la signature électronique « maCLÉ ».

Le paiement électronique vise à accroître l’efficacité et la rapidité du traitement des factures, à réduire les erreurs de saisie de données, à éliminer la perte de factures, à réduire les frais d’intérêts, à automatiser la plupart des activités de vérification (c.-à-d., produire des données avec plus de rapidité et d’exactitude, à des fins d’approbation), à générer des économies au chapitre de la vérification des paiements, à diminuer les coûts de main-d’œuvre et à faciliter le suivi et la gestion à l’aide du processus des comptes créditeurs.

Le Bureau des services partagés (BSP), Finances et Approvisionnement, reçoit et acquitte chaque année plus de 90 000 factures de fournisseursNote de bas de page 1, qui découlent de diverses activités d’approvisionnement à RNCan. En 2011-2012, quelque 29 540 factures d’une valeur totale de 161 millions de dollars ont été acquittées de façon électronique. Cela représente plus ou moins 30 % de toutes les factures de fournisseurs que RNCan reçoit en une année. Au moment de la vérification, 70 568 paiements électroniques avaient été effectués depuis l’adoption du système, en 2009.

OBJECTIF DE LA VÉRIFICATION

La présente vérification vise à fournir une assurance raisonnable que le processus de paiement électronique est assorti de contrôles de gestion appropriés, qu’il est efficace et économique, et qu’il respecte les politiques et les directives du Conseil du Trésor et de RNCan.

PORTÉE

La vérification porte sur tous les paiements électroniques effectués depuis l’adoption du système, du 1er avril 2009 jusqu’au 31 mars 2012.

POINTS FORTS

Le processus de paiement électronique a établi des contrôles de gestion clés. Plus précisément, la direction a clairement défini et communiqué les rôles et les responsabilités, et elle a élaboré et transmis les modalités de paiement aux fournisseurs. En outre, la direction a intégré dans le système de paiement électronique un service de signature électronique sécurisée, « maCLÉ », dans le but d’authentifier les signataires des transactions financières, et elle a exigé l’entrée d’un reçu électronique des biens. La création d’un seul CRF et d’un CPF unique centralise la réception, la numérisation et le paiement des factures des fournisseurs; et l’utilisation de ces centres, de concert avec la fonction « maCLÉ », automatise le traitement des factures des fournisseurs depuis la réception jusqu’au paiement.

Même si elles ne sont pas entièrement tirées de la mise en œuvre du système de paiement électronique, les conclusions de la vérification confirment que les mesures de contrôle prévues aux articles 33 et 34 de la Loi sur la gestion des finances publiques (LGFP) se sont améliorées depuis la vérification interne de la gestion des comptes créditeurs et des cartes d’achat, en 2008.

On souligne aussi que le Ministère utilise de plus en plus le paiement électroniqueNote de bas de page 2. Toutes les factures reçues avaient été entrées dans le système d’information sur les paiements électroniques, et tous les paiements examinés étaient appuyés d’une facture.

DOMAINES À AMÉLIORER

Les éléments suivants nécessitent un examen :

  • Documents justificatifs (c.-à-d., les preuves tangibles facilitent le suivi de la conformité aux politiques et aux directives en vigueur);
  • Échantillonnage des paiements à faible ou moyen risque;
  • Intégrité des données;
  • Traitement en temps opportun des factures et réduction des frais d’intérêt.

La surveillance du rendement du système de paiement électronique en fonction de mesures établies serait aussi matière à amélioration.

CONCLUSION DE LA VÉRIFICATION ET OPINION

La mise en œuvre du système de paiement électronique a amélioré le traitement des comptes créditeurs à RNCan. Les résultats de la vérification procurent une assurance raisonnable que le processus de paiement électronique est assorti de contrôles clés qui garantissent la conformité aux politiques, aux directives et aux orientations pertinentes du Conseil du Trésor et de RNCan. Ces contrôles et outils de gestion clés englobent des listes de vérification des transactions à risque élevé, un plan d’échantillonnage statistique des transactions à risque faible ou moyen, la création d’un seul Centre de réception des factures et d’un Centre de paiement de factures unique, et l’utilisation de la signature électronique par les responsables désignés par la Loi sur la gestion des finances publiques.La vérification n’a pas pu fournir une assurance raisonnable que certainsNote de bas de page 3 contrôles clés donnent les résultats escomptés. La vérification a trouvé que trois des principaux résultats escomptés (efficience accrue, efficacité améliorée et réduction du taux d’erreur) depuis l’instauration du processus de paiement électronique ne sont pas encore entièrement atteints.

À mon avis, il existe des expositions modérées au risque en rapport avec l’efficacité des contrôles clés du système de paiement électronique pour assurer la conformité des transactions aux politiques, aux directives et aux orientations du Conseil du Trésor et de RNCan. Une surveillance améliorée du respect des contrôles existants réduirait grandement le nombre de cas de non-conformité.

Depuis la fin de la vérification, la direction a adopté une nouvelle fonctionnalité, afin de resserrer les contrôles. La Direction de la vérification croit que le plan d’action de la direction présenté en lien avec la présente vérification traite adéquatement des questions soulevées.

Cet avis se fonde sur une comparaison des conditions présentes à l’époque et des critères de vérification préétablis conjointement avec la direction. L’avis ne s’applique qu’à l’entité examinée.

ÉNONCÉ DE CONFORMITÉ

Selon mon jugement professionnel, en tant que dirigeant principal de la vérification, la vérification est conforme aux normes de vérification interne du gouvernement du Canada, comme en témoignent les résultats à l’interne du programme d’assurance et d’amélioration de la qualité (PAAQ).

Christian Asselin, CA, CMA, CFE
Dirigeant principal de la vérification

TABLE DES MATIÈRES

INTRODUCTION

Le paiement électronique est une « solution au traitement des comptes créditeurs » instauré en 2009, afin d’en faire l’essai dans la région de la capitale nationale et par la suite appliqué à tout le Ministère en mai 2010.

Le système de paiement électronique a évolué au fil du temps, et il est constamment mis à jour à l’aide de fonctionnalités améliorées qui renforcent les contrôles et facilitent l’utilisation. Parmi les exemples récents, notons un logiciel plus efficace de reconnaissance optique de caractères qui rend plus fiables la numérisation des factures et l’utilisation obligatoire de la signature électronique « maCLÉ ».

Au moment de la vérification, le système d’information du processus de paiements électronique en était à la troisième étape de mise en œuvre.

Le déploiement de l’outil de paiement électronique s’est déroulé en trois étapes :

  1. La mise en œuvre initiale du processus de paiement électronique prévoyait la création d’un Centre de réception des factures (CRF), et la conception, l’élaboration et l’instauration d’un système électronique qui produit une image numérique des factures des fournisseurs et les achemine électroniquement au centre de responsabilité concerné, pour vérification avant paiement. Au cours de cette étape, le service de signature électronique sécurisée « maCLÉ » a été ajouté au processus. Ce service particulier remplaçait les signatures manuelles (à l’encre) et ajoutait un niveau de contrôle de l’identité des personnes autorisant les transactions financières.
  2. À la deuxième étape de la mise en œuvre, un Centre de paiement de factures (CPF) unique, qui réduisait de 13 à 1 le nombre de centres de paiement, a été créé pour le système de paiement électronique. De plus, le système a été mis à jour à la suite de l’instauration, au Ministère, du nouveau système financier Produits et applications des systèmes (SAP) dans le système financier de traitement des données – conçu pour permettre la gestion financière, matérielle et de projets. Cette mise à jour a engendré la création d’une base de données entièrement nouvelle sur le système de paiement électronique.
  3. À la troisième étape, l’exigence de l’entrée d’un reçu électronique des biens a été introduit afin de bien contrôler le matériel et de restreindre l’entrée indésirable ou non autorisée de biens.
Figure 1: Phases de mise en oeuvre de paiement électronique

Cliquez pour agrandir

version textuelle - figure 1

Figure 1: Phases de mise en oeuvre de paiement électronique

La figure 1 est un graphique illustrant les trois phases de mise en œuvre du processus de paiement électronique. La première phase, lancée en mars 2009 et terminée en mai 2010, comprenait la création d’un centre consolidé de réception des factures en mars 2009 et la mise en œuvre d’un service de signature électronique sécurisée connue sous le nom de « maCLÉ » en décembre 2010. La deuxième phase, lancée en juin 2010 et terminée en octobre 2011, comprenait la mise en œuvre d’un centre unique de paiement des factures en juin 2010 et la mise à jour du système de paiement électronique en réponse à la mise en œuvre par le Ministère d’un nouveau système financier connu comme Systèmes, applications et produits de traitement de données. La troisième phase, lancée en novembre 2011 et se poursuivant actuellement, comprend la mise en œuvre d’une fonction électronique de réception des biens en novembre 2011.

 

L’instauration du processus de paiement électronique, du service maCLÉ, du système financier SAP et du reçu électronique des biens a entraîné de profonds changements pour RNCan.

Le paiement électronique simplifie le traitement des comptes créditeurs de RNCan, et comprend la numérisation des factures des fournisseurs et leur traitement automatisé de ces factures par le biais d’un système de flux de travail basé sur le logiciel d’application de paiement. Le paiement électronique s’appuie sur deux grands principes : 1) toutes les factures des fournisseurs sont reçues par un CRF (c.-à-d., un centre de réception) unique pour l’ensemble du Ministère; 2) ces factures sont traitées en un seul endroit par un CPF.

Le processus de paiement électronique commence par la réception des factures des fournisseurs par le CRF, en version électronique (ex. par courriel) ou impriméeNote de bas de page 4. La date de réception est alors apposée sur les factures, puis les factures sont saisies dans le système d’information sur les paiements électroniques fondés sur le flux de travail. Lorsque les factures sont téléchargées, des vérifications automatisées et manuelles déterminent s’il s’agit de doubles de facture. S’il ne s’agit pas d’un double de facture, la concordance de la facture est vérifiée à l’aide de l’instrument correspondant qui permet d’en autoriser le paiement (c.-à-d., contrat ou fonds engagés), et auprès du gestionnaire responsable. Après vérification de la facture, le système l’achemine au gestionnaire responsable afin qu’il atteste la réception des biens ou des services, ainsi que les prix convenus par contrat, conformément à l’article 34 de la LGFP. L’attestation d’une facture requiert la signature électronique du gestionnaire responsable, ou sa signature à l’encre pour toutes les factures de plus de 50 000 $.

Aux fins de la vérification, quatre des principaux résultats attendus de la mise en œuvre du processus de paiement électronique ont été choisis comme critères pour évaluer le rendement de ce processus. Il s’agissait de l’efficience accrue (traitement en temps opportun), d’une efficacité améliorée (réduction des coûts de main-d’œuvre et des frais d’intérêts), de la diminution du nombre de factures égarées et de la baisse du taux d’erreur.

BUT ET OBJECTIFS DE LA VÉRIFICATION

La présente vérification devait fournir une assurance raisonnable que le processus de paiement électronique comporte des contrôles de gestion utiles en conformité avec les politiques et directives du CT et de RNCan et que son fonctionnement est efficace et économique.

Plus précisément, la vérification devait déterminer si :

  • le paiement électronique est administré avec la diligence voulue et conformément aux exigences des politiques, des directives et des procédures;
  • la direction a établi les procédures et les pratiques nécessaires pour assurer l’intégralité, l’exactitude et la validité des transactions financières;
  • la direction a conçu et instauré le processus de paiement électronique en respectant les politiques et directives en matière de TI;
  • la direction a correctement établi des mesures pour veiller à ce que le processus de paiement électronique soit efficace et économique.

RISQUE POUR LE MINISTÈRE

En mai 2010, le paiement électronique a été adopté à l’échelle du Ministère. Cette mesure modifie considérablement le traitement général des comptes créditeurs de RNCan. Par conséquent, il y a un risque que les contrôles de gestion ne fonctionnent pas comme prévu et qu’ils ne détectent pas les anomalies qui nécessitent des mesures correctives.

Le sous-ministre a approuvé la vérification du processus de paiement électronique (Vérification des transactions relatives aux comptes créditeurs traités à l’aide du système de paiement électronique de RNCan), dans le cadre du Plan de vérification axé sur les risques de 2011-2014.

PORTÉE ET MÉTHODE

La vérification porte sur l’ensemble des transactions effectuées dans le système de paiement électronique depuis son lancement, du 1er avril 2009 jusqu’au 31 mars 2012.

La méthode de vérification était fondée sur les lignes directrices du Conseil du Trésor sur la vérification interne et les normes définies par l’Institut des vérificateurs internes. Elle comprenait les tâches suivantes :

  • examen des documents clés et des documents de base pertinents, y compris les politiques, directives et normes;
  • entrevues avec les principaux employés du Ministère et du programme, ainsi qu’avec les utilisateurs du processus de paiement électronique (au sein des secteurs);
  • visite du Centre de paiement de factures afin de passer en revue les transactions reliées au paiement électronique;
  • examen des dossiers ministériels, des dossiers du programme et des documents connexes (pour déterminer si des mesures de contrôle ont été élaborées et mises en place pour les finances et le programme).

La vérification ne tient pas compte de la façon dont la mise en place des options du paiement électronique a été déterminée et évaluée, ni du coût total de la mise en œuvre.

CRITÈRES

Le choix des critères de vérification utilisés pour évaluer les contrôles de gestion appliqués au processus de paiement électronique relevait d’un jugement professionnel fondé sur les résultats de la planification de la vérification en consultation avec la direction. La direction a accepté les critères de vérification définitifs avant le début de la vérification. Veuillez consulter les critères de vérification à l’Annexe B.

CONSTATATIONS ET RECOMMANDATIONS

CONFORMITÉ

Résumé des constatations

Le processus de paiement électronique a établi des contrôles clés de gestion. Ceux-ci ne fonctionnent toutefois pas comme on s’y attendait, si bien que les transactions ne sont pas toujours traitées conformément aux processus établis par RNCan, qui respectent la Directive sur la vérification des comptes du Secrétariat du Conseil du Trésor (SCT) ou le Plan d’assurance de la qualité et d’échantillonnage statistique de RNCan. Aucun paiement n’était pas appuyé par une facture.

Observations à l’appui

Assurance de la qualité des transactions à risque élevé

L’article 34Note de bas de page 5 de la Loi sur la gestion des finances publiques (article 34 de la LGFP) exige qu’un gestionnaire responsable doté d’un pouvoir financier délégué atteste la réception des biens ou des services, la justesse des prix et leur concordance avec ceux fixés dans le contrat. L’article 33 de la Loi sur la gestion des finances publiques (article 33 de la LGFP) exige qu’un agent financier à qui l’on a délégué un pouvoir de paiement vérifie l’attestation en bonne et due forme fournie en regard de l’article 34 de la LGFP avant de procéder à un paiement.

La Directive sur la vérification des comptes du SCT précise que des agents financiers doivent veiller à ce que toutes les transactions à risque élevé soient soumises à un examen complet avant d’autoriser un paiement, comme le précise l’article 33 de la LGFP. Au cours du dernier exercice, 3 % des transactions (c.-à-d. 943 transactions) étaient classées à risque élevé. Ces transactions représentaient 51 % des sommes affectées aux paiements électroniques.

Dans le but d’aider les agents financiers à vérifier que les transactions à risque élevé font l’objet d’un examen complet avant d’exercer leur pouvoir relatif au paiement, conformément à l’article 33 de la LGFP, RNCan a dressé une liste de vérification de l’assurance de la qualité (AQ) des transactions à risque élevé. Cette liste fournit un niveau de contrôle supplémentaire afin de repérer et de résoudre plus rapidement les erreurs, et de démontrer concrètement la réalisation d’un examen complet de la transaction conformément aux exigences.

Dans le cadre de la vérification, un échantillonnage statistique aléatoire de 447 paiements électroniques a été soumis à un examen. De ces 447 transactions, 17 étaient classées à risque élevé. Un échantillonnage discrétionnaire additionnel de 95 transactions à risque élevé a été soumis à un examen. L’équipe de vérification a repéré 134 erreurs ou lacunes dans ces transactions à risque élevé. Les exemples de lacunes incluaient des paiements approuvés par une personne ne détenant aucun pouvoir délégué, et des agents financiers responsables ne vérifiant pas le caractère approprié de l’approbation initiale de la dépense (article 32 de la LGFP).

Il a été déterminé que même si les employés connaissaient bien les procédures entourant le traitement des transactions à risque élevé, ils n’en ont pas tous la même interprétation et ne les appliquaient donc pas toujours correctement. Il est à signaler que la direction a été informée de ces situations et que les problèmes ont été réglés immédiatement, notamment la formation sur place et la délégation des pouvoirs en vertu de l’article 33. En plus, l’équipe de vérification a remarqué que toutes les listes de vérification de l’AQ des transactions à risque élevé portant sur des transactions effectuées au cours de l’exercice 2011-2012 étaient en place, coïncidant avec l’année de la mise en œuvre du SAP, de la mise à jour du système de paiement électronique et de l’adoption du reçu des biens électroniques.

L’équipe de vérification a aussi détecté quatre erreurs associées à l’article 34 de la LGFP dans l’échantillonnage discrétionnaire des 95 transactions à risque élevé. Parmi les erreurs ou lacunes, notons :

  • des transactions à risque élevé traitées sans l’attestation exigée par l’article 34 de la LGFP;
  • des transactions à risque élevé attestées en vertu de l’article 34 de la LGFP par des personnes n’étant pas officiellement investies de tels pouvoirs, comme l’exige la Directive sur la délégation des pouvoirs financiers pour les dépensesNote de bas de page 6 du SCT.

Il a été déterminé que même si les procédures de traitement de ces transactions étaient familières aux employés, ceux-ci ne possédaient pas les pouvoirs délégués prévus à l’article 34 de la LGFP au moment de l’attestation des transactions.

Assurance de la qualité des transactions à risque faible ou moyen associées au paiement électronique

Les transactions à faible risque englobent les transactions non délicates; celles à risque moyen correspondent à celles qui ne sont pas considérées à risque élevé ou faible. La Directive sur la vérification des comptes exige des agents financiers qu’ils s’assurent que le Ministère applique un plan d’échantillonnage et une méthode de sélection valables à l’échantillonnage des transactions à risque faible ou moyen, et qu’ils voient à ce que les aspects les plus importants de chaque transaction retenue fassent l’objet d’un examen. La Directive exige aussi que le choix des pratiques d’échantillonnage et des techniques connexes soit suffisamment précis et qu’il permette de rendre compte des résultats afin de démontrer la pertinence globale et la fiabilité du processus de vérification des comptes.

Il convient de signaler que même si le CPF a le pouvoir d’effectuer des paiements à risque élevé, comme le précise l’article 33 de la LGFP, il ne peut appliquer ce pouvoir aux paiements à risque faible ou moyen. Les employés du CPF ne sont chargés de l’exécution que d’un certain nombre de vérifications, afin de déterminer si l’attestation prévue à l’article 34 de la LGFP est faite correctement. L’approbation de paiement pour ces types de transaction relève d’un agent financier indépendant du CPF qui crée un lot de paiements pour toutes les factures dont le paiement a été autorisé par les employés du CPF, y compris les paiements à risque élevé approuvés par l’agent financier du CPF, et dont le paiement est autorisé. Une fois le lot de paiements créé, l’agent financier génère une autorisation électronique et une attestation confirmant que les paiements ont été vérifiés conformément à la Directive sur la vérification des paiements, incluant l’exercice d’un échantillonnage des transactions à risque moyen ou faible.

Au cours de l’exercice 2011-2012, 97 % des factures traitées étaient considérées des transactions à faible ou moyen risque, et représentaient 49 % de la valeur totale des transactions. L’équipe de vérification a déterminé que la Direction des finances et de l’approvisionnement faisait un échantillonnage des transactions à risque moyen ou faible. Toutefois, cet échantillonnage ne concordait pas avec le calendrier établi dans le Plan d’assurance de la qualité et d’échantillonnage statistique de RNCan. La direction a avisé l’équipe de vérification que cette situation était en partie attribuable aux limites du SAP, qui ont été corrigées en décembre 2011.

Des 447 transactions comprises dans l’échantillonnage statistique aléatoire, 430 représentaient un risque faible ou moyen. L’examen de ces transactions a permis de déterminer si l’attestation exigée par l’article 34 de la LGFP avait été correctement effectuée. L’équipe de vérification a découvert 10 erreurs se rapportant à l’application de l’article 34 de la LGFP dans ces 430 transactions à risque faible ou moyen. Les erreurs ou les lacunes relevées sont notamment les suivantes :

  • transactions non assorties de l’attestation exigée au titre de l’article 34 de la LGFP;
  • signatures ne correspondant pas à celles indiquées au dossier;
  • transactions attestées conformément à l’article 34 de la LGFP par des personnes n’étant pas officiellement investies d’un tel pouvoir, comme l’exige la Directive sur la délégation des pouvoirs financiers pour les dépensesNote de bas de page 7 du SCT.

Une fois de plus, on a conclu que même si les employés connaissaient bien les procédures qui s’appliquent au traitement de ces transactions, ils ne possédaient pas le pouvoir prévu à l’article 34 de la LGFP au moment d’attester les transactions.

Le 29 septembre 2012, une fois la vérification terminée, le BSP a avisé tous les employés du Ministère qu’ils ne devaient plus appliquer des signatures à l’encre, et que les signatures électroniques à l’aide de « maCLÉ » étaient obligatoires.

Documents justificatifs

D’après la Directive sur la vérification des comptes, les personnes investies de pouvoirs délégués en vertu de l’article 34 de la LGFP doivent s’assurer que la vérification repose sur des preuves tangibles et que tous les documents justificatifs sont fournis (c.-à-d., il faut tenir à jour les documents qui indiquent les prix convenus et d’autres précisions, la réception des biens ou des services et l’autorisation fondée sur le pouvoir de signer des documents financiers). De plus, la documentation complète des transactions d’affaires électroniques, y compris l’autorisation et l’authentification électroniques, doit être constamment à jour.

Le regroupement de tous les documents clés requis pour les diverses tâches reliées à la LGFP était un résultat attendu du paiement électroniqueNote de bas de page 8. Toutefois, le système d’information sur les paiements électroniques ne procure pas encore aux gestionnaires responsables la capacité de télécharger des documents justificatifs, comme un reçu, un connaissement ou un bordereau d’expédition, pour vérifier et attester la réception des biens ou l’exécution des services conformément au contrat. Au moment de la vérification, les procédures de paiement électronique ont plutôt procuré des directives sur l’envoi de documents justificatifs au CPF, afin de télécharger dans le système de paiement électronique un nombre limité de types de dépenses, comme la formation, l’hébergement, les conférences, l’adhésion et les contrats passés par les secteurs. Les procédures ont depuis été améliorées pour permettre aux gestionnaires de verser d’autres documents justificatifs au dossier de paiement.

Formation et sensibilisation

Le Bureau des services partagés de RNCan, Services des finances et de l’approvisionnement, a documenté une série de procédures afin d’aider ceux qui traitent les transactions en vue d’un paiement (ex., CRF et CPF). Ces procédures sont accessibles dans le site Web de l’innovation en matière de services du Bureau des services partagés, et procurent des directives étape par étape sur le traitement des transactions en vue d’un paiement. L’équipe de vérification a étudié ces procédures, dans le but de déterminer si les directives qu’elles renferment se conforment à la Directive sur la vérification des comptes. Même si les directives concordaient avec la Directive sur la vérification des comptes, elles manquaient de clarté pour les employés qui se servaient du manuel des procédures pour vérifier l’exactitude et l’intégrité des factures avant de valider la transaction correspondante ou de procéder aux attestations prévues à l’article 33 de la LGFP.

Les employés responsables du traitement des transactions à des fins de paiement électronique ont été interrogés au cours de la vérification. Il a été déterminé que même si les employés connaissent bien les procédures, ils n’en font pas tous la même interprétation et ne les appliquent donc pas toujours correctement.

De plus, l’équipe de vérification a interrogé 25 gestionnaires responsables des attestations prévues à l’article 34 de la LGFP pour les transactions de paiement électronique. Ils ont été retenus à la suite d’un échantillonnage statistique aléatoire de 447 transactions. Dix-sept ont reconnu n’avoir reçu aucune formation sur le processus de paiement électronique, et neuf ont affirmé n’avoir eu droit qu’à une formation minimale.

Bien que la direction ait élaboré et transmis les procédures de paiement aux fournisseurs, qu’elle ait établi un processus de paiement électronique décrivant les principales étapes et responsabilités et un bureau de service qui aide les gestionnaires et leur personnel, et qu’elle offre de la formation sur demande (moyennant les ressources nécessaires), les employés et les gestionnaires responsables du traitement des transactions à des fins de paiement électronique demeurent mal informés des principales étapes, responsabilités et procédures.

RISQUE ET RETOMBÉES

Il existe un risque modéré de non-conformité que les transactions ne sont pas toujours effectuées conformément aux procédures établies de RNCan, lesquelles sont conformes à la Directive sur la vérification des comptes du Secrétariat du Conseil du Trésor. Il peut en résulter des paiements incorrectement autorisés, imprécis ou ne respectant pas des obligations légitimes.

RECOMMANDATIONS

1. Le directeur, Services des finances et de l’approvisionnement, devrait voir à ce que toutes les transactions à risque élevé fassent l’objet d’un examen complet lorsqu’il exerce ses pouvoirs prévus à l’article 33 de la LGFP en matière de paiement, dans le but de respecter les politiques, les directives connexes et les procédures du CT et de RNCan.

2. Le directeur, Services des finances et de l’approvisionnement, devrait aussi s’assurer que l’échantillonnage des paiements à risque faible ou moyen, dont le paiement électronique, est réalisé et rapporté de manière opportune.

RÉPONSE, PLAN D’ACTION DE LA DIRECTION ET ÉCHÉANCIER

1. La direction est d’accord avec la conclusion de la vérification, et le directeur des Services des finances et de l’approvisionnement reverra les procédures actuelles entourant toutes les transactions à risque élevé, afin qu’elles respectent les politiques, directives connexes et procédures du CT et de RNCan.

Échéancier : Décembre 2012

2. La direction est d’accord avec la conclusion de la vérification, et elle a appliqué la recommandation concernant les vérifications, pour veiller à ce que l’échantillonnage statistique des paiements électroniques à risque faible ou moyen soit réalisé et fasse l’objet de rapports en temps opportun, de façon à fournir le niveau exigé d’assurance associé aux pouvoirs d’autorisation des paiements prévus à l’article 33 de la LGFP. La direction a produit l’échantillonnage statistique manquant requis pour le paiement électronique, et elle entend soumettre des rapports comme l’exige le Plan d’assurance de la qualité et d’échantillonnage statistique de RNCan.

Échéancier : Le prochain rapport doit être déposé au plus tard le 31 août 2012.

INTÉGRITÉ DES DONNÉES Note de bas de page 9

Résumé des constatations

Les contrôles portant sur le téléchargement des factures dans le système de paiement électronique, par le CPF, donnent les résultats escomptés. Les transactions traitées dans le système de paiement électronique sont enregistrées au cours de la bonne période financière. Le cadre de contrôle du paiement électronique n’aborde pas adéquatement l’intégrité des données, pour ce qui est de la correction des erreurs de saisie, y compris l’exactitude des dates des factures et du statut définitif des dossiers de paiement électronique inscrits dans le système.

Observations à l’appui

Intégralité des données inscrites sur les factures reçues

Afin de déterminer si le système d’information sur les paiements électroniques renferme des renseignements complets au sujet des factures que reçoit le Centre de réception des factures (CRF), un échantillonnage aléatoire de 100 factures électroniques et papier a été examiné. L’équipe de vérification a trouvé que toutes les factures avaient été entrées dans le système de paiement électronique, et que le système d’information sur les paiements électroniques renfermait des données complètes sur les factures.

Le graphique suivant illustre le volume total des factures téléchargées dans le système d’information sur les paiements électroniques depuis le début, en avril 2009, jusqu’en avril 2012. Cela représente un total de 70 568 transactions effectuées depuis 2009. Même si le paiement électronique est plus répandu, on remarque que les périodes de pointe du CRF coïncident avec les fins d’exercice.

Figure 2 : Volume total de factures téléchargées dans le système de paiement électronique

Cliquez pour agrandir

version textuelle - figure 2

Figure 2 : Volume total de factures téléchargées dans le système de paiement électronique

La figure 2 est un graphique linéaire illustrant le volume total de factures téléchargées dans le système d’information de paiement électronique de sa création en avril 2009 jusqu’en avril 2012. Le graphique représente un nombre total de 70 568 opérations depuis 2009. Trois sommets importants du nombre de factures téléchargées dans le système de paiement électronique ont été observés au mois de mars 2010, durant lequel 1 862 factures ont été téléchargées, au mois de mars 2011, durant lequel 4 443 factures ont été téléchargées et au mois de mars 2012, durant lequel 6 591 factures ont été téléchargées. L’observation en détail de la figure révèle qu’un total de 294 factures ont été téléchargées dans le système d’information de paiement électronique en avril 2009. Le nombre de factures téléchargées dans le système d’information de paiement électronique par mois a augmenté régulièrement, passant à 1 166 en février 2010, atteignant un sommet pour la première fois à 1 862 en mars 2010 puis chutant à 923 factures en avril 2010. Le nombre de factures téléchargées dans le système d’information de paiement électronique a ensuite augmenté, passant de 1 511 en mai 2010 à 2 670 en février 2011 et atteignant un sommet pour la deuxième fois à 4 443 factures en mars 2011. Une chute immédiate du nombre de factures téléchargées a été observée pour la deuxième fois en avril 2011, alors que 762 factures étaient téléchargées. Le nombre de factures téléchargées a augmenté, passant à 1 895 en mai 2011, a fluctué entre 2 359 factures et 2 988 factures de juin 2011 à février 2012 et a atteint un sommet pour la troisième fois à 6 591 en mars 2012. Une chute immédiate du nombre de factures a été observée pour la troisième fois en avril 2012, alors que 1 811 factures étaient téléchargées durant le mois.

 
Exactitude et intégrité des données

Comme nous l’avons déjà indiqué, le regroupement de tous les documents clés nécessaires à l’exécution de diverses tâches relevant de la LGFP comptait parmi les résultats recherchés du paiement électroniqueNote de bas de page 10. Des erreurs de données ont été relevées dans le système d’information sur les paiements électroniques, par exemple, entrée en double de factures, inscription erronée du montant des factures approuvées par le gestionnaire responsable ou paiements effectués en n’utilisant pas la bonne monnaie. Le personnel administratif a cerné la majorité de ces erreurs, et inscrit les montants corrigés. Même si ces erreurs ont été décelées et que le Ministère n’a subi aucune répercussion financière, les données n’ont pas été modifiées dans le système d’information sur les paiements électroniques. Cette pratique se traduit par des données inexactes dans le système de paiement électronique. Au moment de la vérification, aucun mécanisme officiel ne corrigeait ce problème.

En moyenne, 278 transactions par mois sont annulées dans le système et n’aboutissent jamais à un paiement. Ces transactions qualifiées de « questions réglées » peuvent inclure des factures déjà reçues pour en faire le paiement et des entrées en double dans le système. Cependant, en examinant le nombre de « questions réglées » au cours du dernier exercice (2011-2012) seulement, les 413 transactions annulées chaque mois ont engendré une utilisation inefficace et inefficiente des ressources. L’équipe de vérification a observé que le volume des questions semblait atteindre un point culminant en même temps que le CRF traverse ses périodes les plus occupées.

On a aussi signalé, au moment de la vérification, que la date de réception de la facture inscrite dans le système d’information sur les paiements électroniques ne correspondait pas toujours à la date réelle de réception. Dans certains cas, la date à laquelle la facture était numérisée dans le système servait de date de réception. Cette situation a une incidence sur le paiement dans les 30 jours depuis la date de réception, et sur les frais d’intérêts ajoutés.

Relevé de factures en double

Afin de vérifier si des demandes de paiement auraient été soumises deux fois, le système de paiement électronique compte des mesures et des vérifications automatiques. On signale que ce genre de contrôle n’est pas toujours efficace si le numéro de la facture est entré incorrectement ou si le nom du fournisseur est tapé différemment. De plus, ce contrôle n’est pas efficace à tous les coups si le numéro de facture ou de TPS du fournisseur est erroné. Ce contrôle déficient gêne le fonctionnement du système, et il devient difficile de vérifier si une facture est en fait un double. Malgré cette lacune, l’équipe de vérification n’a relevé que deux cas de paiement effectué en double dont la valeur monétaire était faible. Ces paiements ont été faits à la première étape de la mise en œuvre du système de paiement électronique.

RISQUE ET RETOMBÉES

L’exactitude et l’intégrité des données contenues dans le système d’information sur les paiements électroniques, à titre d’outil, entraînent une exposition mineure au risque lié aux rapports. Les erreurs portant sur l’exactitude et l’intégrité des données peuvent produire des données et des rapports inexacts sur le rendement du système de paiement électronique.

RECOMMANDATION

3. Le directeur, Services des finances et de l’approvisionnement, devrait voir à ce que le cadre de contrôle de l’application du paiement électronique aborde correctement les lacunes liées à l’intégrité des données.

RÉPONSE, PLAN D’ACTION DE LA DIRECTION ET ÉCHÉANCIER

3. La direction est d’accord avec la conclusion de la vérification, et le directeur des Services des finances et de l’approvisionnement devrait lancer une mise à jour du système de paiement électronique le 30 septembre 2012.

Cette mise à jour :

  • inscrira automatiquement la date de la facture dans le système de paiement électronique et la rendra modifiable. La date de la facture correspondra à la date à laquelle l’unité d’imagerie l’a reçue;
  • améliorera le SAP automatisé de la routine de conciliation des paiements électroniques, de sorte que le statut définitif des demandes de paiement soit exact.

Il importe de souligner que le SAP est le système de tenue des dossiers financiers du Ministère.

Échéancier : Septembre 2012

MESURE DU RENDEMENT

Résumé des constatations

Quatre des principaux résultats attendus de la mise en œuvre du système de paiement électronique tels que : efficience accrue (traitement en temps opportun), efficacité améliorée (réduction des coûts de main-d’œuvre et des frais d’intérêt), diminution du nombre de factures égarées et baisse du taux d’erreur, ont été choisis comme critères pour évaluer le rendement du processus de paiement électronique. On a constaté que le téléchargement des factures dans le système de paiement électronique par le Centre de réception des factures fonctionnait comme c’était prévu, réduisant ainsi le nombre de factures pouvant être perdues; les trois autres résultats attendus ne sont pas encore entièrement atteints.

Observations à l’appui

Traitement en temps opportun

La Directive sur les demandes de paiement et le contrôle des chèques du SCT exige l’acheminement des paiements aux fournisseurs dans les 30 jours qui suivent la réception de la facture ou des biens ou services (selon la date la plus tardive), afin d’éviter les frais d’intérêts. Au moment de la vérification, on a déterminé que les paiements n’étaient pas tous effectués dans un délai de 30 jours.

Dans l’échantillonnage statistique aléatoire des 447 transactions de paiement électronique, il s’est écoulé en moyenne 14 jours entre la date de réception de la facture par le CPF et celle à laquelle le gestionnaire responsable a signé l’attestation exigée par l’article 34 de la LGFP; 11 jours avant que le paiement soit approuvé; en moyenne 10 jours avant le paiement (date estimative du chèque). Si on se fie à l’échantillonnage aléatoire, la durée moyenne de traitement était de 35 jours.

Figure 3 : Chronologie observée de l’échantillonnage statistique aléatoire de 447 opérations de paiement électronique

Cliquez pour agrandir

version textuelle - figure 3

Figure 3 : Chronologie observée de l’échantillonnage statistique aléatoire de 447 opérations de paiement électronique

La figure 3 est un graphique chronologique illustrant le temps total moyen de traitement basé sur l’échantillonnage statistique aléatoire de 447 opérations de paiement électronique. Le graphique indique qu’il a fallu en moyenne 14 jours entre la date de base et la date de signature requise en vertu de l’article 34 de la Loi sur la gestion des finances publiques (LGFP); 11 jours entre la date de signature en vertu l’article 34 de la LGFP et la date de signature au deuxième niveau requise en vertu de l’article 33 de la LGFP; 10 jours entre la date de signature en vertu de l’article 33 et la date de paiement. La date de base est définie comme la date la plus tardive de réception de la facture ou d’acceptation des produits ou services au ministère. [Source de la définition de la date de base : Formalités administratives liées aux paiements aux fournisseurs avec signature électronique du Bureau des services partagés (BSP)]. Le nombre total moyen de jours de traitement, basé sur un échantillon aléatoire, était de 35 jours.

 

La durée de traitement de toutes les transactions effectuées au cours du dernier exercice (2011-2012) a également fait l’objet d’un examen. Il a fallu en moyenne 39 jours pour effectuer ces transactions. Soixante-deux pour cent de tous les paiements ont été effectués à temps.

Diminution des frais d’intérêt

Le BSP avait espéré que le système de paiement électronique réduirait de 45 000 $ par an les frais d’intérêts. L’équipe de vérification s’est penchée sur les frais d’intérêts versés par le Ministère, depuis l’exercice 2008-2009 jusqu’à 2011-2012. Elle a déterminé que la diminution escomptée ne s’est pas produite. Le graphique suivant expose les intérêts versés par RNCan pendant les exercices 2008-2009 à 2011-2012.

Figure 4 : Intérêt total payé selon la balance de vérification

Cliquez pour agrandir

version textuelle - figure 4

Figure 4 : Intérêt total payé selon la balance de vérification

La figure 4 est un graphique en colonnes présentant les paiements d’intérêts réglés par RNCan entre l’exercice financier 2008-2009 et l’exercice financier 2011-2012. Les quatre colonnes montrent que les paiements annuels d’intérêts réglés par RNCan s’élevaient à 145 000 $ dans l’exercice financier 2008-2009; à 116 000 $ dans l’exercice financier 2009-2010; à 221 000 $ dans l’exercice financier 2010-2011; à 134 000 $ dans l’exercice financier 2011-2012. Une ligne d’intersection en rose est tracée à travers les quatre colonnes à 100 000 $ pour représenter les paiements annuels d’intérêts prévus du BSP et devant être réglés par RNCan après la mise en œuvre du système de paiement électronique.

 

Pour l’exercice 2010-2011, lorsque tout le Ministère a adopté le paiement électronique, les frais d’intérêts avaient augmenté de 105 000 $ depuis l’exercice précédent. En 2011-2012, période pendant laquelle le Ministère apportait d’importants changements à son système financier, y compris au paiement électronique, les frais d’intérêts ont diminué de 87 000 $. Ce montant ne tient pas compte des frais d’intérêts de moins de 10 $, qui ne sont payés que sur demande. Au cours de l’exercice 2010-2011, les frais d’intérêts de moins de 10 $ totalisaient environ 19 000 $.

Optimisation des ressources

La vérification a déterminé que 83 % des factures avaient une faible valeur monétaire (c.-à-d., moins de 5 000 $) et représentaient 21 % de la valeur en dollars des transactions effectuées. Les transactions à risque élevé équivalaient à seulement 3 % du nombre total des factures traitées au moyen du système de paiement électronique. Ces 3 % correspondaient en fait à 51 % de la valeur totale en dollars des transactions effectuées dans le système de paiement électronique.

La direction a avisé l’équipe de vérification que le coût différentiel additionnel assumé par le Ministère pour le traitement des factures en vue d’un paiement électronique, par comparaison au paiement des factures à l’aide d’une carte d’achat, était d’environ 20 $. Cela ne tient pas compte de ce qu’il en coûte de plus à Travaux publics et Services gouvernementaux Canada pour produire le chèque correspondant. Si les factures de faible valeur monétaire étaient acquittées à l’aide de cartes d’achat, le Ministère pourrait générer jusqu’à 80 % d’économie par transaction. Cependant, il faudrait procéder à une analyse plus poussée de la portée exacte des économies potentielles, compte tenu de certaines restrictions contractuelles et des exigences en matière de rapport qu’imposent les organismes centraux, ainsi de la fonctionnalité et de la conception du SAP, qui applique certaines limites à l’utilisation des cartes d’achat.

En plus des économies potentielles, le traitement des factures à faible valeur monétaire autrement qu’à l’aide du système de paiement électronique allégerait la charge de travail des employés du CRF et du CPF, et réduirait le nombre de transactions dans le système de paiement électronique, surtout en fin d’exercice.

Des inefficacités attribuables au traitement des factures des fournisseurs à l’aide du processus de paiement électronique ont aussi été relevées. Plus particulièrement, un centre de coûts a reçu en un mois 94 factures d’un même fournisseur de services d’aide temporaire; la valeur moyenne de ces factures s’élevait à 333 $. Le grand nombre de factures soumises chaque mois par le même fournisseur crée plus de travail au personnel qui en assure le traitement. Le Ministère pourrait peut-être travailler avec les fournisseurs pour réduire le nombre de factures qu’il reçoit chaque mois. Cette mesure serait susceptible de réduire le fardeau administratif associé aux transactions.

La vérification n’a pas porté sur le mode de sélection, l’évaluation et le coût total des options relatives à la mise en œuvre du paiement électronique. L’équipe de vérification a toutefois signalé que la mise en œuvre du processus de paiement électronique, jumelée aux réductions résultant de l’examen stratégique, avait permis une réaffectation annuelle des dépenses de 12 équivalents temps plein (ETP), ou d’environ 750 000 $, afin de procéder à des améliorations, vers d’autres engagements de base du BSP au titre de la prestation de services financiers.

Réduction du taux d’erreur

En adoptant le système de paiement électronique, on s’attendait à réduire de 5 % à 2 % le taux d’erreurs critiques.

Il a été déterminé que les transactions ne respectaient pas toujours les procédures établies par RNCan, qui sont conformes à la Directive sur la vérification des comptes du Secrétariat du Conseil du Trésor. À partir de l’échantillonnage statistique aléatoire qui regroupait des transactions effectuées entre avril 2009 et décembre 2011, l’équipe de vérification a relevé un taux global d’erreur de 5,4 %.

L’équipe de vérification a défini les erreurs critiques comme étant des transactions traitées en vue d’un paiement :

  • malgré les restrictions communiquées;
  • malgré des frais inadmissibles;
  • sans preuve du pouvoir approprié de vérification des paiements;
  • malgré l’absence des pouvoirs délégués prévus à l’article 34;
  • malgré l’expiration des pouvoirs délégués prévus à l’article 34.

L’équipe de vérification a aussi défini les erreurs critiques comme des transactions dont le paiement a été effectué :

  • sans une autorisation valide de paiement en vertu de l’article 33;
  • sans preuve que la vérification du paiement prévue à l’article 33 avait été effectuée;
  • malgré les preuves d’une vérification incomplète du paiement en vertu de l’article 33;
  • sans preuve d’une documentation justificative complète.

La direction du BSP a avisé l’équipe de vérification que certains résultats escomptés avaient été reportés par suite de la mise en œuvre du SAP.

RISQUE ET RETOMBÉES

Le suivi des résultats escomptés représente un risque opérationnel modéré qui pourrait se traduire par une utilisation inefficace et inefficiente des ressources affectées au processus global des comptes créditeurs de RNCan.

RECOMMANDATION

4. Le directeur des Services des finances et de l’approvisionnement devrait surveiller le processus de paiement électronique en fonction des principaux objectifs, dont la rapidité de traitement des factures, les frais d’intérêts sur les paiements en retard, et la réduction du nombre d’erreurs, de façon à maintenir une amélioration continue.

RÉPONSE, PLAN D’ACTION DE LA DIRECTION ET ÉCHÉANCIER

4. Le directeur des Services des finances et de l’approvisionnement surveillera continuellement les progrès, et il soumettra à la haute direction des rapports tous les trois mois sur les progrès réalisés au titre de l’atteinte des résultats attendus, puis une fois l’an par la suite.

Échéancier : Décembre 2012

ENVIRONNEMENT DE CONTRÔLE DES TECHNOLOGIES DE L’INFORMATION

Résumé des constatations

Les signatures électroniques utilisées dans le cadre du système de paiement électronique, pour la réalisation des tâches visées par les articles 33 et 34 de la LGFP, sont le produit d’une série de codes d’utilisateur, de mots de passe, d’autorisations personnelles et de clés particulières contenues dans des dispositifs d’accès personnel. Cependant, le système d’information sur les paiements électroniques ne dispose que d’une autorisation d’exploitation provisoire (attestation et accréditation du Ministère). Aucun outil de sauvegarde et de restauration approprié et officiel, qui se conforme aux politiques et directives en vigueur en matière de TI, ne se dégageait clairement au moment de la vérification; et, il faut instaurer des contrôles d’accès sûrs afin de gérer et de surveiller la sécurité des données saisies dans le système de paiement électronique.

Observations à l’appui

Instauration du paiement électronique

La Politique sur la sécurité du gouvernement incite les ministères à attester et à accréditer tous les systèmes de TI avant de les activer. Le système de paiement électronique n’est pas encore attesté ou accrédité, et le programme de sécurité de la TI de RNCan a produit une autorisation d’exploitation provisoire en avril 2012. Cette autorisation expire en avril 2013, moment où le processus d’attestation et d’accréditation devra être mené à terme par le directeur, SGSI/BSP/SFA, et le programme de sécurité de la TI de RNCan.

La cible de RNCan quant à la sauvegarde et à la restauration du système de paiement électronique n’a pas été atteinte. Aucune procédure de sauvegarde officiellement documentée n’a été relevée à l’échelle de l’application, et les sauvegardes du système ne semblent pas avoir été officiellement testées, que ce soit à l’échelle de l’application ou de l’infrastructure. L’équipe de vérification a été informée que le nouveau Bureau de Services partagés Canada et les employés de RNCan, qui s’affairaient à documenter les exigences, se partagent maintenant ces tâches.

La Directive en matière de consignation et de surveillance de RNCan exige la documentation du processus de consignation et de surveillance des activités. Le système d’information sur les paiements électroniques n’est assorti d’aucun processus officiellement documenté.

Signatures électroniques

Les signatures électroniques utilisées par le système de paiement électronique, pour l’attestation exigée à l’article 34 de la LGFP, sont le résultat d’une combinaison de codes d’utilisateur, de mots de passe, d’autorisations personnelles et de clés particulières contenues dans des dispositifs d’accès personnel. L’utilisation des signatures électroniques plutôt que des signatures à l’encre rehausse le degré de contrôle et de confiance à l’égard de l’autorité et de l’authenticité des personnes procédant à l’attestation, conformément à l’article 34 de la LGFP. Les signatures électroniques font en sorte que l’article 34 de la LGFP est mis en application par le bon gestionnaire et pour la bonne facture, tandis que les signatures à l’encre sont parfois illisibles, ce qui rend plus laborieuse la confirmation de l’autorité concernée. Il convient de signaler que, pour les factures de 50 000 $ ou plus, l’attestation prévue à l’article 34 de la LGFP doit être signée et datée à la main par le gestionnaire responsable, puis transmise par courrier interne avec la documentation justificative, de sorte que le CPF procède au paiement.

Contrôles d’accès

Le compte d’administrateur procure un accès au système qui permet à un utilisateur d’en modifier la structure et les données qui y sont versées. Le partage de ce compte et de son mot de passe est contraire aux pratiques exemplaires et à la politique de RNCan. Ce niveau d’accès est accordé à trois concepteurs de logiciel de RNCan, qui utilisent le mot de passe de l’administrateur. Par conséquent, lorsque des changements sont effectués après l’entrée de ce mot de passe, aucun suivi de vérification ne permet de déterminer qui a modifié le système ou les données. De plus, un certain nombre d’utilisateurs sont chargés d’accorder un accès privilégié. Ce rôle revient généralement au superviseur du système et à d’autres utilisateurs fonctionnels qui ont pour tâche de saisir des données réelles dans le système d’applications. Cependant, le rôle est aussi accordé à des membres de l’équipe d’élaboration de l’application et de l’équipe d’entretien de RNCan, créant ainsi une délimitation floue des tâches reliées au système. Ce problème, combiné au manque de contrôles d’accès sûrs, pourrait entraîner une incapacité de surveiller et de contrôler la sécurité des données et l’accès à celles-ci à l’échelle de l’application et, en définitive, de l’organisation.

RISQUE ET RETOMBÉES

La consignation et la surveillance des activités et des contrôles d’accès, qui pourraient entraîner une modification non autorisée des données et compromettre l’intégrité des données, posent un risque mineur de conformité.

RECOMMANDATION

5. Le directeur, Services de soutien de la TI, devrait voir à ce que le système de paiement électronique :

  • soit assorti de contrôles adéquats afin de surveiller et de séparer les activités entre l’équipe d’élaboration de l’application et l’équipe d’entretien;
  • soit doté d’un processus officiellement documenté afin de consigner et de surveiller les activités.

RÉPONSE, PLAN D’ACTION DE LA DIRECTION ET ÉCHÉANCIER

5. Le directeur des Services de soutien de la TI :

  • travaillera avec Approvisionnements et Services Canada (ASC) à l’adoption d’un processus officiel et documenté de sauvegarde. Ce processus sera aussi assorti d’un calendrier d’essais réguliers;

Échéancier : 30 septembre 2012

  • veillera à ce qu’un processus et des procédures officiels et documentés soient mis au point afin de bien répartir les activités entre l’équipe d’élaboration et l’équipe d’entretien et de soutien;

Échéancier : 31 octobre 2012

  • fera en sorte qu’un processus officiel et documenté consigne et surveille les activités, et que chaque membre de l’équipe utilise un compte individuel.

Échéancier : 29 mars 2013

ANNEXE A – TYPES DE RISQUE STANDARD ET NOTATION STANDARD DE RISQUE DE VÉRIFICATION

Types de risque standard

Nos types de risque standard sont classés comme suit selon le Cadre de contrôle interne intégré du COSONote de bas de page 11 :

Stratégie – Objectifs de haut niveau, harmonisés à la mission du Ministère et l'appuyant;

Opérations – Utilisation efficace et efficiente des ressources;

Surveillance – Évaluation précise des activités;

Rapports – Fiabilité des rapports opérationnels et financiers;

Conformité – Conformité aux lois, aux règlements, aux politiques et aux procédures applicables.

Notation standard de risque de vérification

Les conclusions de la vérification sont notées comme suit :

Majeur : Un contrôle clé est inexistant, est mal conçu ou ne fonctionne pas comme prévu, et le risque associé est potentiellement important. Il est peu probable que l'objectif lié au contrôle soit atteint. Des mesures correctives sont requises pour assurer que les contrôles aient un bon rapport coût-efficacité et/ou que les objectifs soient atteints.

Modéré : Un contrôle clé est inexistant, est mal conçu ou ne fonctionne pas comme prévu, et le risque associé est plus qu’insignifiant. Cependant, un contrôle compensatoire existe. Des mesures correctives sont requises pour éviter de dépendre uniquement aux contrôles compensatoires et/ou assurer que les contrôles aient un bon rapport coût-efficacité.

Mineur : La conception et/ou le fonctionnement d'un processus de contrôle non essentiel comporte une faiblesse. La capacité d’atteindre les objectifs du processus ne sera probablement pas affectée. Des mesures correctives sont suggérées pour assurer que les contrôles aient un bon rapport coût-efficacité.


ANNEXE B – OBJECTIFS DE LA VÉRIFICATION ET CRITÈRES

Les critères de vérification sont dérivés de modèles de contrôle reconnus (p. ex., Critères de contrôle du CCC – ICCA), ainsi que des politiques et directives du SCT. Le rendement réel a été évalué par rapport aux critères de la vérification menant à des conclusions positives ou à l’observation d’un domaine d’amélioration.

La présente vérification vise à fournir une assurance raisonnable que le processus de paiement électronique est assorti de contrôles de gestion utiles, qu’il est efficace et économique, et qu’il se conforme aux politiques et directives du Conseil du Trésor et de RNCan.

La vérification s’est inspirée des critères suivants :

SOUS-OBJECTIFS DE LA VÉRIFICATION CRITÈRES DE VÉRIFICATION
Sous-objectif 1 :
Déterminer si le paiement électronique est administré avec la diligence voulue et conformément aux politiques et aux procédures du CT et de RNCan.
1.1 Nous nous attendons à ce que la direction ait conçu et appliqué des contrôles appropriés pour que les transactions de paiement électronique soient conformes à toutes les exigences pertinentes.

1.2 Nous nous attendons à ce que la direction ait clairement défini et communiqué les rôles et les responsabilités.
Sous-objectif 2 :
Déterminer si la direction a instauré les procédures et les pratiques nécessaires pour veiller à l’exhaustivité, à l’exactitude et à la validité des transactions.
2.1 Nous nous attendons à ce que les transactions de paiement électronique soient complètes, exactes et valides.

2.2 Nous nous attendons à ce que les transactions de paiement électronique figurent dans le rapport couvrant la période concernée (date de clôture) (présentation).

2.3 Nous nous attendons à ce que l’intégrité des transactions de paiement électronique soit préservée et à ce qu’aucun paiement ne soit effectué en double.
Sous-objectif 3 :
Déterminer si la direction a conçu et instauré le processus de paiement électronique, conformément aux politiques et directives en matière de TI.
3.1 Nous nous attendons à ce que le processus de paiement électronique soit conçu et instauré conformément aux politiques et directives pertinentes en matière de TI.

3.2 Nous nous attendons à ce que la signature électronique soit le résultat d’une combinaison de codes d’utilisateur, de mots de passe, d’autorisations personnelles et de clés particulières contenues dans des dispositifs d’accès personnel, pour l’exécution des tâches visées par les articles 34 et 33 de la LGFP.

3.3 Nous nous attendons à ce que les contrôles d’accès soient en place, à ce que l’accès soit limité aux utilisateurs du réseau, et à ce que le logiciel Entrust et l’ICP-GC identifient les utilisateurs et vérifient leur accès à titre d’examinateur du GCR, de GCR, de responsable visé par l’article 33 et autres.
Sous-objectif 4 :
Déterminer si la direction a bien cerné les mesures nécessaires à l’efficacité et à l’économie du processus de paiement électronique.
4.1 Nous nous attendons à ce que le processus de paiement électronique démontre que les transactions sont effectuées en temps opportun.

4.2 Nous nous attendons à ce que le paiement électronique démontre que le processus est géré avec économie en réduisant les frais d’intérêts et les coûts de main-d’œuvre.

4.3 Nous nous attendons à une réduction du nombre d’erreurs de saisie de données dans les paiements électroniques.

4.4 Nous nous attendons à ce que le processus de paiement électronique ait éliminé la perte de factures.