VÉRIFICATION DE L INTÉGRITÉ DE L INFORMATION DU SYSTÈME HERMÈS FINANCES RAPPORT. Juin 2011

Documents pareils
Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

POLITIQUE 4.4 OPTIONS D ACHAT D ACTIONS INCITATIVES

Vérification de la sécurité des données fiscales. Rapport final Approuvé par le Comité de vérification interne le 29 juin 2005

Éléments hors bilan Rapport de vérification final Rapport N o 20/12 18 février 2013

Audit du cadre de gestion du programme de développement de technologies d exploration avancée ( )

Audit des contrôles ministériels en matière de système d information et de technologie de l information Phase 1 Contrôles des applications

Introduction Objectif et portée de la vérification Opinion de la Vérification interne... 3

Contenu Acomba 9.57 ATELIER 1 VUE D ENSEMBLE DU PROGRAMME ATELIER 3 RAPPORTS ATELIER 2 MODULE COMPTABILITÉ TRANSACTIONS ATELIER 4 MODULE CLIENTS.

Vérification des procédures en fin d exercice

DIRECTIVES ET NORMES EN MATIÈRE DE PRINCIPE

L expérience à votre service. Guide du Crédit lié à la gestion de risques d ENCON

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec

SERVICES EN LIGNE DES SUBVENTIONS ET DES CONTRIBUTIONS

IMPLANTATION D UN SYSTÈME DE GESTION ÉLECTRONIQUE :

Volume 2 Guide d ouverture et de gestion de compte

ÉNONCÉ DE PRINCIPES LE COMMERCE ÉLECTRONIQUE DES PRODUITS D ASSURANCE

Approuvées et en vigueur le 14 septembre 1998 Révisées le 29 septembre 2012 Prochaine révision en Page 1 de 6

Concours $ de prix en argent offerts par le Programme d assurance automobile et habitation CIBC (le «Concours»)

Programme financier Gestion de patrimoine. Accédez à un univers exclusif

Règlement d INTERPOL sur le traitement des données

VÉRIFICATION DES PRÊTS À L AFFECTATION. 31 janvier Direction de la vérification (SIV)

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

6.1 L UNIVERSITÉ RECHERCHE

ENTENTE DE RECONNAISSANCE MUTUELLE VISANT À FACILITER LA MOBILITÉ DES INGÉNIEURS ENTRE L IRLANDE ET LE CANADA

SERVICES DE CERTIFICATION VÉRIFICATION DU TRANSFERT DU BUDGET SALARIAL. Février 2006

États financiers de INSTITUT CANADIEN POUR LA SÉCURITÉ DES PATIENTS

Politique de gestion. 5. Déboursés Il doit y avoir deux signataires sur les chèques, dont au moins un membre du conseil d administration.

Pour les Canadiens atteints d un handicap

Gestion du capital Rapport de vérification final Rapport n o 13/13 17 février 2014

i) Types de questions Voici les lignes directrices pour chaque type de question ainsi que la pondération approximative pour chaque type :

PRÉAMBULE. La version administrative reproduit l intégralité des Règles et Principes directeurs de l ACFM.

Situation présente et devis technique

Base de données sur les inf rmières et inf rmiers évaluation des incidences sur la vie privée

Obtenir le titre de prêteur. agréé. La clé qui ouvre de nouvelles portes AU CŒUR DE L HABITATION

Liste de vérification de la mise en œuvre d une équipe de santé familiale

Mise en contexte PAR CONSÉQUENT, IL EST CONVENU CE QUI SUIT : 1. Objet

RÉGIME D OPTIONS D ACHAT D ACTIONS DE RESSOURCES MÉTANOR INC.

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

Ligne directrice. Critères de prêts commerciaux. N o : E-2 Date : Juin 1992

1. À PROPOS DE COURTIKA

Lignes directrices à l intention des praticiens

Conditions régissant les demandes en ligne de RBC Banque Royale

GESTION DU DOSSIER SCOLAIRE DE L ÉLÈVE. Adoption le Amendement le Mise en vigueur le 6 mai 2004 Résolution #

FORMULAIRE 9. AVIS D ÉMISSION PROPOSÉE DE TITRES INSCRITS (ou titres convertibles ou échangeables en titres inscrits) 1

Lignes directrices de 2004 pour des sondages sur la satisfaction des demandeurs dans le cadre de l assurance-automobile

LES ORGANISMES DE BIENFAISANCE, LES CITOYENS ET LE GOUVERNEMENT FÉDÉRAL :

Vérification des processus administratifs du Bureau régional du Centre (Toronto)

Annule : Politique relative à l utilisation des technologies de l information de la Commission scolaire. 1. TITRE CONTEXTE...

Conseil de recherches en sciences humaines du Canada

Orientations pour la gestion documentaire des courriels au gouvernement du Québec

Guide de l utilisateur de la «Passerelle de la SIF»

CARTE D ACHAT Numéro : 2 Date : Page : 1 de 6. Décrire les normes et processus d acquisition et d utilisation d une carte d achat.

Table des matières...2 Introduction...4 Terminologie...4

Plateforme de vente aux enchères et de vente de gré à gré du ministre. Guide de l utilisateur

L application doit être validée et l infrastructure informatique doit être qualifiée.

Vérification du Système informatisé de gestion des subventions et bourses du CRSNG

Circuit du médicament informatisé

Vérification du Cadre de contrôle de la gestion financière Achats de TI

Formulaire A Évaluation des diplômes et des compétences Demande d inscription

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

Politique de gestion financière et d approvisionnement

RÉGIME d assurance collective CSQ. À la disposition des membres des syndicats affiliés à la Centrale des syndicats du Québec

Pré-requis Diplôme Foundation Certificate in IT Service Management.

SOCIÉTÉ D ASSURANCE VIE MD Siège social : Ottawa, Canada. Le présent certificat est émis en vertu de la

Compléter une demande de crédit Desjardins. Solutions de paiement et de financement. Services de cartes Desjardins

DPI AGENCE DESIGN ET PROJECTION DE VOTRE IMAGE CAHIER DES CHARGES POUR SITE INTERNET MANON THERRIEN JENNIFER LEMARIER

Demande de propositions relative au Portail des étudiants de l AFMC / AFMC Student Portal Services d hébergement

Recommandations avant inscription à AC JumpStart

À utiliser conjointement avec la demande électronique Financière Sun Life uniquement

MicroAge. Votre partenaire d affaires en matière de technologie

Exposé-sondage. Conseil des normes actuarielles. Avril Document

Politique de gestion documentaire

Guide pour les chercheurs. Version 1.0

Vérification des véhicules de transport pour les usagers

Contrat de courtier. Entre : (ci-après nommée «Empire Vie») (ci-après nommé «courtier») Adresse civique : Ville ou municipalité :

AGRÉMENT DES PROGRAMMES DE FORMATION D INFIRMIÈRE PRATICIENNE SPÉCIALISÉE (IPS) DOCUMENT DE PRÉSENTATION

Affaires autochtones et Développement du Nord Canada. Rapport de vérification interne

SMART SAVINGS : PROTECTION DES CLIENTS DANS LA PROCEDURE D EPARGNE

VILLE DE CHÂTEAUGUAY FOURNITURE ET INSTALLATION D UN BÂTIMENT PRÉFABRIQUÉ ET TRAVAUX CONNEXES POUR LA VILLE DE CHÂTEAUGUAY

Conditions d utilisation de la carte VISA* SCÈNE MD

BUREAU DU CONSEIL PRIVÉ. Vérification de la gouvernance ministérielle. Rapport final

Guide des solutions bancaires personnelles. En vigueur à compter du 12 janvier 2015

CIRCULAIRE AUX BANQUES COMMERCIALES ET AUX BANQUES D ÉPARGNE ET DE LOGEMENT

Norme comptable internationale 20 Comptabilisation des subventions publiques et informations à fournir sur l aide publique 1

F150. Gestion du risque pour professionnels des finances MANUEL DU PARTICIPANT. Ébauche 18 février 2013 Version 6

Politique de sécurité de l actif informationnel

COLLECTE DE FONDS Les écoles élémentaires et secondaires peuvent entreprendre des activités de collecte de fonds si :

NORME INTERNATIONALE D AUDIT 330 REPONSES DE L AUDITEUR AUX RISQUES EVALUES

Cartes de crédit à vous de choisir. Les cartes de crédit : comprendre vos droits et responsabilités

DESCRIPTION DE POSTE. Directeur, Intégrité des programmes (IP)

Résumé du projet de loi n 43 visant à modifier la Loi sur les mines

Conditions régissant les demandes en ligne de RBC Banque Royale

Catalogue d offre de services de télésanté

CODE DE CONDUITE ET D ÉTHIQUE DES ADMINISRATEURS

Synthèse accompagnée d une évaluation critique Processus

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Transcription:

VÉRIFICATION DE L INTÉGRITÉ DE L INFORMATION DU SYSTÈME HERMÈS FINANCES RAPPORT Juin 2011 PRÉPARÉ PAR LA DIRECTION GÉNÉRALE DE LA VÉRIFICATION INTERNE (DGVI) Projet no : 2011-08 AGENCE DE DÉVELOPPEMENT ÉCONOMIQUE DU CANADA POUR LES RÉGIONS DU QUÉBEC

TABLE DES MATIÈRES 1. SOMMAIRE EXÉCUTIF... 3 1.1 CONTEXTE... 3 1.2 OBJECTIF PRINCIPAL DE LA VÉRIFICATION... 3 1.3 PORTÉE ET ÉTENDUE DE LA VÉRIFICATION... 3 1.4 MÉTHODOLOGIE... 3 1.5 DÉCLARATION D ASSURANCE... 4 1.6 OPINION DE VÉRIFICATION... 4 1.7 SOMMAIRE DES RECOMMANDATIONS... 5 2. INTRODUCTION... 6 2.1 CONTEXTE... 6 2.2 OBJECTIF ET CRITÈRES DE LA VÉRIFICATION... 7 2.3 PORTÉE ET ÉTENDUE DE LA VÉRIFICATION... 7 2.4 MÉTHODOLOGIE... 8 2.5 REMERCIEMENTS... 8 3. RÉSULTATS DE LA VÉRIFICATION... 9 4. CONCLUSION... 15 PLAN D ACTION... 16

1. SOMMAIRE EXÉCUTIF 1.1 Contexte Hermès Finances est le système informatique financier de l Agence de développement économique du Canada pour les régions du Québec. Toutes les dépenses de l Agence sont comptabilisées dans ce système. Les dépenses non salariales de fonctionnement y sont autorisées sous les articles 32 (engagement des fonds) et 34 (confirmation et certification des achats) de la Loi sur la gestion des finances publiques (LGFP), tandis que les dépenses liées aux programmes de subventions et contributions font l objet d un import lorsque l article 32 (engagement des fonds) ou 34 (confirmation et certification des achats) est autorisé dans le système de gestion Hermès Programmes. L information concernant les dépenses salariales réelles est importée dans Hermès Finances à partir du Système normalisé de paiements (SNP) de Travaux publics et Services gouvernementaux Canada (TPSGC). En résumé, Hermès Finances est la base de l information financière de l Agence et c est ce système qui permet la gestion financière incluant la production de rapports et la prise de décision. Le projet de vérification de l intégrité de l information du système Hermès Finances a été inclus dans le Plan de vérification interne fondé sur les risques pour 2010-2011 à 2012-2013. La dernière vérification du système Hermès a eu lieu en 2005, à la suite de l implantation du système en 2002. Hermès Finances est la base de la gestion financière de l Agence. C est donc un sujet d importance pour cette dernière dans son univers de vérification. Au sein de l univers de vérification de l Agence, ce projet est lié aux sujets suivants : ressources informationnelles et intégrité de l information financière au système Hermès. 1.2 Objectif principal de la vérification L objectif principal est de vérifier l efficacité du contrôle interne pour assurer l intégrité des données sauvegardées dans le système Hermès Finances. 1.3 Portée et étendue de la vérification La portée de la vérification inclut les transactions faites dans le système Hermès Finances, soit comment l Agence s assure que l information est conservée de façon intègre à la suite de la sauvegarde de cette information dans le système jusqu aux rapports extraits de Hermès Finances. Les états financiers sont exclus car ils ne sont pas extraits directement du système Hermès Finances. De plus, les dépenses salariales n ont pas été incluses dans l échantillon de transactions sélectionnées car ces transactions sont faites dans le SNP. La vérification s est déroulée d octobre 2010 à avril 2011. 1.4 Méthodologie L approche utilisée pour cette vérification est basée sur la méthodologie COBIT (Control Objectives for Information and Related Technology). Des entrevues et des tests sur un échantillon de données financières et un échantillon d utilisateurs ont été faits pour confirmer le fonctionnement des contrôles en place. Toutes les transactions autres que salariales inscrites dans Hermès Finances en août 2009 et en novembre 2010 ainsi que tous les engagements en subventions et contributions inscrits au système d avril à décembre 2010 ont servi de population - 3 -

pour les tests effectués lors de cette vérification. De plus, nous avons fait des tests sur l accès des utilisateurs au système Hermès Finances. L approche retenue comprenait les étapes suivantes : 1. planification de la vérification selon les risques; 2. élaboration d un programme et de critères de vérification; 3. définition des tests à effectuer afin de vérifier les contrôles en place; 4. exécution du programme de vérification; 5. entrevues et discussions avec des représentants clés; 6. validation des constats avec les intervenants concernés; 7. rédaction du rapport de vérification; 8. obtention du plan d action de la haute direction; 9. présentation du rapport de vérification au Comité de gestion ministérielle; 10. présentation du rapport au Comité ministériel de vérification. 1.5 Déclaration d assurance La vérification a été effectuée conformément à la Politique sur la vérification interne, aux directives et aux normes de vérification interne du Conseil du Trésor. Elle a également été planifiée selon les Normes relatives à la vérification interne de l Institut des vérificateurs internes (IIA). Ces normes exigent que la vérification soit planifiée et exécutée de manière à fournir un degré raisonnable de certitude. La preuve a été recueillie de manière à fournir à la haute direction des éléments probants suffisants à l appui de l opinion découlant de la vérification interne. La vérification visait à vérifier l efficacité du contrôle interne pour s assurer de l intégrité des données sauvegardées dans le système Hermès Finances. La vérification s est déroulée d octobre 2010 à avril 2011 et des tests ont été effectués sur des données d août 2009 et d avril à décembre 2010. Selon mon jugement professionnel à titre de dirigeant principal de la vérification, des procédures de vérification suffisantes et appropriées ont été appliquées et une preuve a été recueillie à l appui de l exactitude de l opinion fournie et contenue dans ce rapport. L opinion repose sur une comparaison entre la situation au moment de la vérification et les critères de vérification préétablis qui avaient été convenus avec la direction. L opinion s applique seulement à la situation examinée durant le période de vérification. 1.6 Opinion de vérification À mon avis, les contrôles internes en place sont efficaces pour permettre d assurer l intégrité des données du système financier Hermès Finances. Cependant, une amélioration mineure dans le contrôle de l information divulguée concernant l octroi de contributions et subventions est nécessaire. - 4 -

1.7 Sommaire des recommandations Nous recommandons que la Direction générale des finances ministérielles prenne les dispositions pour assurer la totalité de l information sur l octroi des contributions et des subventions divulguée sur le site Internet de l Agence. André Bolduc, CA Dirigeant principal de la vérification - 5 -

2. INTRODUCTION 2.1 Contexte Hermès Finances est le système informatique financier de l Agence. Toutes les dépenses de l Agence sont comptabilisées dans ce système. Les dépenses non salariales de fonctionnement y sont autorisées sous les articles 32 (engagement des fonds) et 34 (confirmation et certification des achats) de la Loi sur la gestion des finances publiques (LGFP), tandis que les dépenses liées aux programmes de subventions et contributions font l objet d un import lorsque l article 32 (engagement des fonds) ou 34 (confirmation et certification des achats) est autorisé dans le système de gestion Hermès Programmes. L information concernant les dépenses salariales réelles est importée dans Hermès Finances à partir du Système normalisé de paiements (SNP). En résumé, Hermès Finances est la base de l information financière de l Agence et c est ce système qui permet la gestion financière. Le projet de vérification de l intégrité de l information du système Hermès Finances a été inclus dans le Plan de vérification interne fondé sur les risques pour 2010-2011 à 2012-2013. La dernière vérification du système Hermès a eu lieu en 2005, à la suite de l implantation du système en 2002. Hermès Finances est la base de la gestion financière de l Agence de développement économique Canada pour les régions du Québec (l Agence). C est donc un sujet d importance pour cette dernière dans son univers de vérification. Au sein de l univers de vérification de l Agence, ce projet est lié aux domaines suivants : ressources informationnelles et intégrité de l information financière au système Hermès. Illustration des liens entre Hermès Finances, Hermès Programmes et le service de la paye du Gouvernement du Canada Entrée manuelle des données Transfert des données a.32 et 34 Dépenses de fonctionnement (exclu paye) Hermès Programmes Transfert des données a.32 et a.34 subventions et contributions Info financière Hermès Finances (Freebalance Financial Accountability) Transfert des données de paye par passage de la paye Trésor Système normalisé de paiements (SNP) Rapports Légende: ce qui est en vert est inclus dans cette vérification - 6 -

2.2 Objectif et critères de la vérification L objectif principal poursuivi lors de cette vérification visait à fournir l assurance que l Agence a mis en place des mécanismes de contrôles efficaces pour assurer l intégrité des données sauvegardées dans le système Hermès Finances. Lors de la planification de la vérification, nous avons identifié différents risques liés à l intégrité d un système informatique financier tel Hermès Finances. Ces risques ont été définis avec l aide des documents de travail et des rapports de vérification suivants : Vérification du système Hermès et sujets d intérêts connexes (2004-2005) et Vérification interne de l intégrité de l information de l application Hermès Programmes (2009). En plus des documents reliés à ces vérifications, la Politique sur la gérance des systèmes de gestion financière (SCT), la Politique sur la gestion des technologies de l information (SCT) et la Politique sur les contrôles internes (SCT) ont aidé à documenter les risques possibles. Tout au long de la vérification, les risques et leurs impacts ont été analysés en fonction du critère utilisé et de la situation de l Agence. Nous nous sommes assurés que tous les contrôles en place permettaient de réduire la probabilité que les risques se concrétisent. L objectif et les critères de cette vérification tiennent compte des risques pertinents identifiés dans le plan triennal de vérification interne. Objectif Critères L objectif est de vérifier l efficacité du contrôle interne pour assurer l intégrité des données sauvegardées dans le système Hermès Finances. 1. Il existe un partage des tâches en fonction des compétences requises, des rôles et responsabilités et de l imputabilité du personnel. 2. Il existe des procédures en place pour assurer l intégrité des données financières conformément aux politiques de l Agence et celles du gouvernement du Canada. 3. L application Hermès Finances est configurée de façon à automatiser des contrôles d accès à l information afin d assurer l intégrité et la sécurité des données. 4. Il existe une infrastructure technologique de l information adéquate, matérielle et logicielle, pour assurer la sécurité et la sauvegarde des données financières de l Agence à court et long terme. 5. Un processus de surveillance est en place pour assurer la qualité de l information à sa source lors de son entrée et à sa sortie. 2.3 Portée et étendue de la vérification La portée de la vérification inclut les transactions faites dans le système Hermès Finances, soit comment l Agence s assure que l information est conservée de façon intègre à la suite de la sauvegarde de cette information dans le système jusqu aux rapports extraits de Hermès Finances. - 7 -

Les états financiers sont exclus car ils ne sont pas extraits directement du système Hermès Finances. De plus, les dépenses salariales n ont pas été incluses dans l échantillon de transactions sélectionnées car ces transactions ne sont pas faites dans Hermès Finances. La vérification s est déroulée d octobre 2010 à avril 2011. 2.4 Méthodologie L approche utilisée pour cette vérification est basée sur la méthodologie COBIT (Control Objectives for Information and Related Technology). Des entrevues et des tests sur un échantillon de données financières et un échantillon d utilisateurs ont été faits pour confirmer le fonctionnement des contrôles en place. Toutes les transactions autres que salariales inscrites dans Hermès Finances en août 2009 et en novembre 2010 ainsi que tous les engagements en subventions et contributions inscrits au système d avril à décembre 2010 ont servi de population pour les tests effectués lors de cette vérification. De plus, nous avons fait des tests sur l accès de deux utilisateurs du système Hermès Finances. L approche retenue comprenait les étapes suivantes : 1. planification de la vérification selon les risques; 2. élaboration d un programme et de critères de vérification; 3. définition des tests à effectuer afin de vérifier les contrôles en place; 4. exécution du programme de vérification; 5. entrevues et discussions avec des représentants clés; 6. validation des constats avec les intervenants concernés; 7. rédaction du rapport de vérification; 8. obtention du plan d action de la haute direction; 9. présentation du rapport de vérification au Comité de gestion ministérielle; 10. présentation du rapport au Comité ministériel de vérification. 2.5 Remerciements Nous tenons à remercier nos collègues de l Agence pour leur collaboration et l intérêt manifesté durant le déroulement de la vérification. - 8 -

3. RÉSULTATS DE LA VÉRIFICATION Opinion du dirigeant principal de la vérification À mon avis, les contrôles internes en place sont efficaces pour permettre d assurer l intégrité des données du système financier Hermès Finances. Une amélioration mineure dans le processus de divulgation proactive de l octroi de contributions et subventions est nécessaire. Constatations de vérification et recommandations 3.1 Il existe un partage des tâches en fonction des compétences requises, des rôles et responsabilités et de l imputabilité du personnel. La vérification a permis de confirmer l existence de contrôles en place qui permettent de s assurer que des fonctions incompatibles ne sont pas combinées. Les systèmes informatiques Hermès Finances et Hermès Programmes permettent la configuration de différentes classes d utilisateurs et la restriction d accès au système selon les rôles et responsabilités afin d assurer la ségrégation des tâches selon la charte de délégation de l Agence. De plus, il est possible de configurer des fonctions de contrôle pour restreindre l accès d un usager à son centre de responsabilité et aux opérations en lien avec sa position dans l Agence. Constat L application des articles 32 (engagement des fonds) et 34 (confirmation et certification des achats) de la LGFP pour tous les paiements de subventions et contributions est effectuée à l aide du système Hermès Programmes et l information est transférée dans Hermès Finances. Toutes les dépenses autres que celles liées aux subventions, aux contributions et aux salaires sont approuvées sous les articles 32 (engagement des fonds) et 34 (confirmation et certification des achats) directement dans Hermès Finances. L approbation de l article 33 (paiement) de la LGFP est faite dans le système Hermès Finances pour toutes les dépenses à l exception des salaires. Trois agents financiers sont habilités par le Receveur général du Canada pour procéder à l approbation des émissions de paiements et des émissions de chèques. Des tests ont été effectués sur un échantillon de données provenant des deux systèmes. Ces tests ont démontré que : Toutes les transactions portaient le code d utilisateur d une personne autorisée par la charte de délégation; - 9 -

3.1 Il existe un partage des tâches en fonction des compétences requises, des rôles et responsabilités et de l imputabilité du personnel. Les codes d utilisateurs ayant signés les articles 33 et 34 étaient ceux de personnes ayant des responsabilités distinctes; Les noms des fournisseurs apparaissant aux fichiers étaient des entités légales liées par contrats ou ententes; Les dates de paiements correspondaient aux dates incluses dans les contrats. La signature électronique n existe pas dans Hermès et lors des tests, nous n avons pas confirmé que le nom y apparaissant était le nom apparaissant sur le document signé. Cette étape avait été réalisée dans la vérification d Hermès Programmes et aucune irrégularité n avait été soulevée. Les tests exécutés nous ont permis de constater que le système Hermès Finances est configuré adéquatement. Risques/Impacts Les contrôles en place sont adéquats et permettent de réduire les risques. La configuration du système permet de gérer les risques associés au partage des responsabilités octroyé dans le système. Recommandation Nous n avons aucune recommandation à formuler concernant ce critère. 3.2 Il existe des procédures pour assurer l intégrité des données financières conformément aux politiques de l Agence et celles du gouvernement du Canada. Des procédures sont en place pour assurer un accès sécurisé au système financier Hermès Finances et pour former les agents sur les opérations financières. Constat Un cadre de politiques et procédures existe à l égard de la sécurité. La création, la modification et le retrait d un compte utilisateur sont encadrés. Un formulaire d accueil et de départ fait office de demande de création de compte. Les agents responsables de la création ou de la suppression d un utilisateur ont une procédure en place qui assure une gestion appropriée et efficace des accès selon la volonté des gestionnaires responsables et des agents supérieurs des finances. Depuis novembre 2010, les mots de passe sécuritaires sont obligatoires sur - 10 -

3.2 Il existe des procédures pour assurer l intégrité des données financières conformément aux politiques de l Agence et celles du gouvernement du Canada. tous les postes de travail de l Agence. (rapport de la Vérification interne de l intégrité de l information de l application Hermès-Programmes, juin 2009) Cette nouvelle obligation a permis de réduire le risque d intrusion d un utilisateur non autorisé aux systèmes de l Agence. Il existe toutefois un risque d accès par un utilisateur non autorisé à travers l accès d un utilisateur autorisé d Hermès Finances car une fois qu une session est ouverte dans le système Hermès Finances, elle ne se verrouillera pas automatiquement après un certain laps de temps. De plus, les mots de passe utilisés dans Hermès Finances ne sont pas des plus sécuritaires. Une mise à jour d Hermès Finances est prévue pour l été 2011 et la mise en place de mots de passe sécuritaires est un élément de la mise à jour. Pour contrôler ses opérations financières, l Agence suit les politiques du Conseil du Trésor et des procédures internes pour l entrée de données et les opérations de surveillance. Les politiques du Conseil du Trésor sont devenues plus conceptuelles et l Agence a décidé de créer des politiques ou directives internes pour un meilleur suivi des politiques émises par le Conseil du Trésor. Une liste de priorités des processus d affaires a été créée et le groupe des finances rédige actuellement des documents qui éclairciront la méthode à suivre pour assurer un suivi adéquat des règles du gouvernement. La formation du personnel assigné à de nouvelles tâches se fait avec les procédures internes et l aide des personnes ayant déjà réalisé ces tâches. De façon générale, nous avons trouvé que des efforts appréciables sont déployés pour encadrer le personnel et que des procédures sont en place pour assurer l intégrité des données financières conformément aux politiques de l Agence et du Conseil du Trésor. L équipe de travail en place progresse de façon satisfaisante pour doter l Agence d un cadre de politiques et de procédures internes qui permettront d améliorer la documentation des procédures pour assurer l intégrité et la sécurité des opérations financières. Risques/Impacts Recommandation Les progrès pour doter l Agence d un cadre de politiques et de procédures permettent d encadrer davantage les processus d affaires assurant l intégrité des données financières en particulier lors d un changement des titulaires responsables. Nous n avons aucune recommandation à formuler concernant ce critère. - 11 -

3.3 L application Hermès est configurée de façon à automatiser des contrôles d accès à l information. L application Hermès Finances est configurée de façon à maximiser l automatisation des contrôles, tels que les contrôles d accès et d utilisateurs. Constat L information inscrite à un dossier est en vigueur et disponible dans le système depuis la date de l entrée des données et le système conserve l image des données de la transaction. La date, l heure et le nom de l usager qui a effectué une transaction sont sauvegardés dans le système. Il est obligatoire d engager les fonds avant d effectuer le paiement d une facture. Le système refusera ainsi toute transaction qui serait plus élevée que le montant engagé. Il existe une interface entre Hermès Finances et Hermès Programmes qui permet le transfert de certaines transactions financières. Pour toutes transactions approuvées sous l article 32 (engagement des fonds) ou l article 34 (confirmation et certification des achats) de la LGFP dans Hermès Programmes, un fichier texte contenant la transaction est créé et permet l écriture de cette transaction dans le système Hermès Finances. Un rapport d erreur journalier est créé pour tous les transferts qui auraient échoué et les erreurs sont révisées. De plus, une fois qu une approbation est transférée, il est impossible de la modifier en utilisant le système Hermès Programmes. Risques/Impacts Les risques liés à l accès non autorisé de renseignements de nature délicate ou confidentielle suite à une sécurité déficiente sont réduits à un niveau acceptable. Recommandation Nous n avons aucune recommandation à formuler concernant ce critère. 3.4 Il existe une infrastructure technologique de l information adéquate, matérielle et logicielle, pour assurer la sécurité et la sauvegarde des données financières de l Agence à court et long terme. Constat La base de données d Hermès renferme les transactions financières de l Agence. Les données sont encryptées et résident sur un serveur unique et distinct. L environnement matériel et logiciel ainsi que les mesures de sécurité mises en place à l Agence respectent les critères de référence dans le domaine (COBIT). L équipe de vérification a visité la salle des serveurs et a pu constater que la - 12 -

3.4 Il existe une infrastructure technologique de l information adéquate, matérielle et logicielle, pour assurer la sécurité et la sauvegarde des données financières de l Agence à court et long terme. sécurité physique des lieux est adéquate. En effet, une procédure automatique d archivage existe et assure la sauvegarde journalière des données. Les medias physiques utilisés pour l archivage des données sont conservés à deux endroits distincts afin de réduire le risque de perte en cas d un désastre. Un plan de recouvrement est en place advenant le cas où un incident forcerait l évacuation des lieux pour une période prolongée. Ce plan permettrait à l Agence de poursuivre ses opérations critiques à partir d un autre site en moins de 24 heures. Des mesures adéquates sont en place pour empêcher les tentatives d infiltration des serveurs et des postes de travail de l Agence. Un agent de sécurité informatique est responsable de vérifier tous les jours les journaux des logiciels de surveillance. Depuis novembre 2010, tous les postes de travail de l Agence qui sont inactifs pour plus de vingt minutes sont verrouillés automatiquement par le système. Cette procédure réduit le risque qu une personne utilise sans autorisation Hermès Finances sur un poste de travail ouvert. Une mise à jour du système Hermès prévue à l été 2011 forcera la sortie du système après un certain temps d inactivité dans le but de réduire davantage le risque qu une personne utilise sans autorisation l accès d un collègue. Le mot de passe des usagers d Hermès doit être modifié à tous les 90 jours et le système assure cette mesure. Les mots de passe sécuritaires correspondant aux normes de l industrie ne sont pas encore en vigueur à l Agence pour le système Hermès Finances. Lors de la mise à jour à l été 2011, des mots de passe sécuritaires devraient être instaurés. Les mots de passe sécuritaires sont obligatoires pour tous les postes de travail à l Agence. Risques/Impacts Recommandation Les mesures en place assurent la confidentialité et la sécurité de l information financière de l Agence. Nous n avons aucune recommandation à formuler concernant ce critère. 3.5 Un processus de surveillance est en place pour assurer la qualité de l information à sa source lors de son entrée et à sa sortie. Constat Il existe dans le groupe des Finances ministérielles des personnes responsables de surveiller les opérations financières et d établir différents points de validation. - 13 -

3.5 Un processus de surveillance est en place pour assurer la qualité de l information à sa source lors de son entrée et à sa sortie. Les entrevues et le processus de documentation ont permis de constater que les activités stratégiques telles que la soumission de la balance de vérification et la fermeture de l année financière étaient encadrées par un processus défini et faisaient l objet de surveillance périodique. Des rapports d erreurs créés automatiquement par le système Hermès existent et sont révisés régulièrement. Ces révisions permettent d assurer la détection rapide des transactions erronées ou des intrusions pour apporter les corrections nécessaires et ainsi préserver la sécurité des données. Il existe des procédures pour effectuer la révision des comptes afin de s assurer que ceux de l Agence s harmonisent avec ceux du Receveur général du Canada. Il existe aussi des procédures pour fermer l année financière. Depuis octobre 2005, à la suite de l engagement du gouvernement à divulguer de façon proactive l octroi de subventions et de contributions supérieures à 25 000$, l Agence communique cette information sur son site internet à chaque trimestre. Nous avons effectué un test pour s assurer que l information financière de cette divulgation était identique à l information contenue dans Hermès Finances. Nous avons trouvé deux exceptions sur vingt divulgations. Ces exceptions concernaient des modifications aux ententes approuvées. Le processus qui conduit à divulguer une subvention ou une contribution est initié à partir d Hermès Programmes. Hermès Programmes envoie une liste à la Direction de la qualité et de la cohérence opérationnelle qui fait suivre l information à la Direction générale des communications pour qu elle soit publiée. Dans les deux cas d exception, le contrôle automatisé dans le système n a pas détecté la modification. À la suite de l analyse de la cause de ces anomalies, nous jugeons que l intégrité du système n est pas altérée. Cependant, il manque un contrôle pour confirmer la totalité de l information à divulguer en rapport avec l octroi des subventions et des contributions. Risques/Impacts Recommandation (Niveau de risque Cette absence de contrôle augmente le risque de donner l impression de paraître moins transparent que nous le prétendons en matière d octroi de contributions et de subventions et d entraîner une perte de confiance du public envers l Agence. Bien que l impact n affecte pas l intégrité du système financier, il est important de le prendre en considération car il affecte l imputabilité de l Agence. Nous recommandons que la Direction générale des finances ministérielles prenne les dispositions pour assurer la totalité de l information sur l octroi - 14 -

3.5 Un processus de surveillance est en place pour assurer la qualité de l information à sa source lors de son entrée et à sa sortie. du constat: moyen) des contributions et des subventions divulguée sur le site internet de l Agence. 4. CONCLUSION La vérification a permis de déterminer que les contrôles pour assurer l intégrité de l information financière dans le système Hermès Finances, de l enregistrement d une transaction jusqu à la production de rapport, sont en place et fonctionnent de façon efficace. Il s avère que seule une modification au processus de divulgation proactive de l octroi de contributions et de subventions est nécessaire pour confirmer que l Agence communique la totalité de l information assujettie à la divulgation. - 15 -

PLAN D ACTION Recommandation Réponse de la gestion Responsable et date prévue d achèvement Nous recommandons que la Direction générale des finances ministérielles prenne les dispositions pour assurer la totalité de l information sur l octroi des contributions et des subventions divulguée sur le site Internet de l Agence. (Niveau de risque du constat: moyen) Le processus en place pour la divulgation de l octroi des subventions et des contributions nous semble adéquat et reflète les aides autorisées. Toutefois, certaines modifications n ont pas été diffusées lorsqu elles sont survenues. En collaboration avec la Direction de la qualité et de la cohérence opérationnelle et la Direction des technologies, la Direction générale des finances ministérielles révisera le processus qui mène à divulguer une modification à l aide autorisée d une subvention ou d une contribution afin de s assurer qu elle est diffusée tel que requis. DG Finances ministérielles 31 août 2011-16 -

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back