Gestion de l information sur les entreprises (CIM) Rapport d audit Rapport n o 2/15 11 mars 2015

Documents pareils
Cadre de gestion du risque de fraude Rapport d audit Rapport n o 5/14 2 septembre 2014

Introduction Objectif et portée de la vérification Opinion de la Vérification interne... 3

Gestion du capital Rapport de vérification final Rapport n o 13/13 17 février 2014

Éléments hors bilan Rapport de vérification final Rapport N o 20/12 18 février 2013

Guide de travail pour l auto-évaluation:

Banque européenne d investissement. Charte de l Audit interne

COMMANDITÉ DE BROOKFIELD RENEWABLE ENERGY PARTNERS L.P. CHARTE DU COMITÉ D AUDIT

EXPORTATION ET DÉVELOPPEMENT CANADA MANDAT DU COMITÉ DE LA VÉRIFICATION DU CONSEIL D ADMINISTRATION

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

ITIL Examen Fondation

Plan de cours Programme de leadership en entreprise pour les conseillers juridiques d entreprise

Organe consultatif indépendant de surveillance de l OMPI

Annexe - document CA 118/9. Termes de référence. Audit fonctionnel et organisationnel de l OTIF

Conseil de recherches en sciences humaines du Canada

La tendance au regroupement : comment réussir à naviguer dans un tel contexte

Examen d'aptitude professionnelle des candidats réviseur d'entreprises. Session ordinaire septembre Épreuve écrite

Cadre de surveillance

Vérification de la sécurité des données fiscales. Rapport final Approuvé par le Comité de vérification interne le 29 juin 2005

i) Types de questions Voici les lignes directrices pour chaque type de question ainsi que la pondération approximative pour chaque type :

Politique et Standards Santé, Sécurité et Environnement

Appareils technologiques en milieu de travail : 4 e séance. Réunion du Comité consultatif sur le cadre d architecture (CCCA) Le 16 avril 2014

Norme ISA 550, Parties liées

Vos données sont-elles adaptées à l informatique en nuage?

Désignation de candidats pour l élection au sein de l Organe de contrôle de gestion commun

Consommateurs et cartes de débit

Forum Pan-Africain des Secrétaires Généraux de Gouvernements

ECAP : Le niveau Accréditation du programme d études des comptables généraux accrédités

Table des matières. Comment utiliser efficacement cet ouvrage pour en obtenir les meilleurs résultats?... 5

ITIL V3. Transition des services : Principes et politiques

L Office national de l énergie a produit la version finale du rapport d audit du programme de gestion de l intégrité d Enbridge.

LA DÉMARCHE DE VEILLE S.A. MARCHAND PREMIERE PARTIE : AUDIT SUR LA COMMUNICATION INTERNE

RAPPORT EXÉCUTIF DE LA FIRME DE CONSULTANTS GARTNER

Activité des programmes de médicaments

CADRE DE COMPÉTENCES EN COMMERCE D INTÉGRATION

Stratégie nationale d innovation et de recherche sur la pomme de terre. Conseil canadien de la pomme de terre Le 7 novembre 2012

NORME INTERNATIONALE D AUDIT 330 REPONSES DE L AUDITEUR AUX RISQUES EVALUES

Analyse structurée de solutions pour BMC Remedy IT Service Management v 7

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Agenda. Engagement de Microsoft envers la protection des renseignements personnels et la sécurité Questions

DOSSIER D ENTREPRISE ENTREPRENEURIAT TRANSFORMATION CROISSANCE

Fonds d investissement Tangerine

COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA. Vérification de la gestion des ressources humaines

Solutions d assurance pour les propriétaires de petite entreprise

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

Banque le Choix du Président

Groupe Banque européenne d investissement. Politique de vidéosurveillance

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec

CHARTE D HEBERGEMENT DES SITES INTERNET SUR LA PLATE-FORME DE L ACADEMIE DE STRASBOURG

Améliorer la performance environnementale et la conformité à la législation sur l environement

Evaluation de l organisation interne

ITIL v3. La clé d une gestion réussie des services informatiques

Concours interne d ingénieur des systèmes d information et de communication. «Session 2010» Meilleure copie "étude de cas architecture et systèmes"

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS

Banque Zag. Troisième pilier de Bâle II et III Exigences de divulgation. 31 décembre 2013

CNAC. Appel à commentaires. Missions d examen. préparé par le Conseil des normes d audit et de certification

BUREAU DU CONSEIL PRIVÉ. Vérification de la gouvernance ministérielle. Rapport final

SOLVENCY II - PILLAR 2 Vue générale. Jean-Francois DECROOCQ Présentation interne

Norme ISA 200, Objectifs généraux de l auditeur indépendant et réalisation d un audit conforme aux Normes internationales d audit

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

Orientations pour la gestion documentaire des courriels au gouvernement du Québec

Genworth MI Canada Inc.

Approuvées et en vigueur le 14 septembre 1998 Révisées le 29 septembre 2012 Prochaine révision en Page 1 de 6

SGPNB au Nouveau-Brunswick. Le développement de l industrie des services financiers et des marchés boursiers dans la province

Abréviations Préambule Art. 1 Nom, siège Art. 2 Buts Art. 3 Tâches

LOI ECKERT : Des dispositions nouvelles sur les comptes bancaires inactifs et les contrats d assurance vie en déshérence

RAPPORT ANNUEL DU COMITE D AUDIT ET DES RISQUES AU CONSEIL D ADMINISTRATION EXERCICE 2012

Interprétation de la norme ISO 9001 au regard de la philosophie de Deming

Un module de Maintenance d Ascenseurs. + Une application Mobile

Lignes. directrices. droits. d enfants. d accès. Pour l expertise en matière de garde. et des. février 2oo6

CONVENTION D UTILISATION INTERNET

COMPTE-RENDU REUNION DE SERVICE 19 septembre 2005

FiNANCE - BANQUE - ASSURANCE

Politique de gestion des risques

REGLEMENT INTERIEUR DU CONSEIL D ADMINISTRATION

LMD. Expertise comptable COLLECTION. Le meilleur. du DCG 3. Droit social. 2 e ÉDITION. Marie-Paule Schneider Maryse Ravat.

A vaya Global Services

Services partagés Canada. Communications convergentes Séance III

Établir la valeur commerciale de la performance environnementale

DOSSIER MODÈLE D'AUDIT NAGR OSBL DU SECTEUR PRIVÉ TABLE DES MATIÈRES GÉNÉRALE PARTIE 1 NOTIONS THÉORIQUES PARTICULARITÉS POUR LES OSBL.

Performance Eléments clés de l étude

PROFESSION COMPTABLE ET FINANCEMENT EXPORT

Particuliers, la Banque de France vous informe LE SURENDETTEMENT. Vos droits, vos obligations Les solutions possibles La vie de votre dossier

ACCORD DU 24 JUIN 2010

Projet de loi n o 58. Loi regroupant la Commission administrative des régimes de retraite et d assurances et la Régie des rentes du Québec

Statuts de «pr suisse»

RÉSUMÉ POINT SUR LA SITUATION ÉCONOMIQUE ET FINANCIÈRE DU QUÉBEC. Par : Service de fiscalité

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

Rapport financier du premier trimestre de

Phase 2 : Mettre en œuvre. Gestion des projets. Gestion documentaire. Gestion du changement. R Collomp - D Qualité D 2 Ges4on documentaire

RAPPORT DU CONSEIL D ADMINISTRATION A L ASSEMBLEE GENERALE

Modernisation et gestion de portefeuilles d applications bancaires

Audit des contrôles ministériels en matière de système d information et de technologie de l information Phase 1 Contrôles des applications

Immobilier : le point sur la stratégie de rénovation des bâtiments à Genève

Partie 1 : Évaluer le marché

NOVEMBRE Rapport annuel du CPAC

Info Finance. et Prévoyance. En 2013 aussi, les clients profitent d une rémunération globale attractive!

Dans une année, il y a 12 mois. Dans une année, il y a 52 semaines. Dans une année, il y a 4 trimestres. Dans une année, il y a 365 jours.

GESTION DU NIVEAU DE SERVICE

Rapport standard analyse des risques/stratégie d audit. Sommaire

Vers l amélioration continue

Transcription:

Gestion de l information sur les entreprises (CIM) Rapport d audit Rapport n o 2/15 11 mars 2015 Diffusion Destinataires : Président et chef de la direction Premier vice-président et chef de la direction financière Premier vice-président, Solutions d affaires et Innovation Vice-président, Veille stratégique et Innovation Vice-président et contrôleur général Directeur de groupe, Gestion de l information Responsable, Changements organisationnels, Bureau de la gouvernance des données C.c. : Premier vice-président, Développement des affaires Premier vice-président, Affaires générales, et secrétaire Premier vice-président et chef de la gestion des risques Premier vice-président, Financement et Investissements Premier vice-président, Ressources humaines et Communications Premier vice-président, Assurances Premier vice-président intérimaire, Assurances Vice-président et chef des services informatiques Vice-président, Bureau de gestion des portefeuilles de l entreprise Directeur de groupe, Planification stratégique et Relations gouvernementales Directeur principal, Bureau du vérificateur général Directeur, Bureau du vérificateur général Équipe d audit Steve Hu Lawrence Di Stefano Vice-présidente, Vérification interne Monica Ryan

Table des matières Introduction... 3 Objectif et étendue de l audit... 3 Opinion de la Vérification interne... 3 Constatations de l audit et plans d action... 4 Conclusion... 5 2

Introduction Conformément à son plan pour 2014, la Vérification interne d EDC a effectué un audit du projet de gestion de l information sur les entreprises (CIM). Les premières versions de la CIM ont jeté les bases du projet, misant sur l institution d un cadre de gouvernance des données sur les entreprises et d une infrastructure informatique connexe, notamment la création d un Bureau de la gouvernance des données; d une équipe centralisée chargée d établir des normes, des processus et des outils de contrôle pour le maintien et la surveillance de l intégrité des données; et d un réseau d intendants opérationnels à l échelle d EDC responsable de l intégrité continue des données. Une application nommée Universal Company Master (UCM) a été lancée pour faciliter la gouvernance des données et permettre l abandon de l Index des compagnies. Actuellement, seuls le nom et l adresse du siège social des entreprises sont stockés. L objectif est de conserver plus de renseignements dans les versions futures d UCM et les projets qui y seront liés. Objectif et étendue de l audit Cet audit avait pour objectif d évaluer les contrôles visant à maintenir l intégrité du nom et de l adresse des entreprises. Plus précisément, il consistait en une évaluation des contrôles de prévention, qui limitent le nombre d utilisateurs autorisés à ajouter, à modifier ou à supprimer des données et séparent les autorisations permettant d entreprendre, d approuver et de traiter l ajout, la modification ou la suppression de données. Nous avons également examiné les contrôles de surveillance ou de détection qui permettent de repérer les exceptions touchant la qualité des données, par exemple les entrées en double, et d en faire le suivi. Opinion de la Vérification interne À notre avis, il existe des possibilités d amélioration des contrôles 1 entourant les données sur les entreprises. La suppression des données fait maintenant l objet de normes de contrôle rigoureuses, mais tant que l Index des compagnies n aura pas été abandonné, il sera impossible de mettre en place des contrôles de prévention pour l ajout et la modification de données. Pendant la période de transition, les intendants opérationnels devront eux-mêmes repérer les exceptions et en faire le suivi en temps opportun. Les intendants opérationnels ont été nommés, leurs responsabilités ont été fixées, et les outils nécessaires à leur travail ont été conçus. Toutefois, aucune politique de gouvernance des données qui permettrait d officialiser les responsabilités et les normes de contrôles et d en faire une priorité de la Société n a encore été élaborée. Sans cette politique, le maintien de l intégrité des données repose principalement sur l équipe de la CIM. Celle-ci fait tout ce qu elle peut, mais ne pourrait assumer cette responsabilité à 1 Nos opinions d audit standards sont les suivantes : - Contrôle rigoureux : Les contrôles clés ont bien été conçus et fonctionnent comme prévu. Des contrôles internes exemplaires sont en place. Les objectifs du processus vérifié seront très probablement atteints. - Bien contrôlé : Les contrôles clés ont bien été conçus et fonctionnent comme prévu. Les objectifs du processus vérifié seront probablement atteints. - Possibilités d amélioration des contrôles : Un ou plusieurs contrôles clés sont absents, ne sont pas bien conçus ou ne fonctionnent pas comme prévu. Il se peut que les objectifs du processus ne soient pas atteints. Du point de vue des finances et/ou de la réputation, l incidence sur le processus vérifié n est pas négligeable. De promptes mesures s imposent. - Non contrôlé : De nombreux contrôles clés sont absents, ne sont pas bien conçus ou ne fonctionnent pas comme prévu. Les objectifs du processus ne seront probablement pas atteints. Du point de vue des finances et/ou de la réputation, l incidence sur le processus vérifié est importante. Des mesures doivent être prises immédiatement. 3

grande échelle. En outre, même si les entrées en double peuvent être repérées efficacement dans UCM, il est impossible de conserver la trace des opérations effectuées pour corriger les erreurs. Résultat : nous sommes incapables de savoir si les entrées en double sont effectivement traitées. Les plans d action élaborés par la direction pour résoudre ces problèmes sont à l Annexe A. Constatations de l audit et plans d action 1. Cadre stratégique de gouvernance des données Dans le cas des données de référence, il existe des contrôles à la fois de prévention et de détection, notamment pour limiter le nombre d utilisateurs autorisés à ajouter, à modifier ou à supprimer les données (prévention); séparer les autorisations permettant d entreprendre, d approuver et de traiter l ajout, la modification ou la suppression de données (prévention); et repérer et corriger les exceptions en temps opportun (détection). Nous avons constaté que la suppression des données faisait maintenant l objet de normes de contrôle rigoureuses, mais tant que l Index des compagnies n aura pas été abandonné, il sera impossible de mettre en place des contrôles de prévention pour l ajout et la modification de données. Pendant la période de transition, les intendants opérationnels devront eux-mêmes repérer les exceptions et en faire le suivi en temps opportun. Les intendants opérationnels ont été nommés, leurs responsabilités ont été fixées, et les outils nécessaires à leur travail ont été conçus. Toutefois, aucune politique de gouvernance des données qui permettrait d officialiser les responsabilités et les normes de contrôles et d en faire une priorité de la Société n a encore été élaborée. Sans cette politique, le maintien de l intégrité des données repose principalement sur l équipe de la CIM. Celle-ci fait tout ce qu elle peut, mais ne pourrait assumer cette responsabilité à grande échelle. La direction a convenu d élaborer une politique de gouvernance des données sur les entreprises et de revoir en détail les responsabilités des intendants opérationnels afin d évaluer leur charge de travail et d y affecter suffisamment de ressources. Constatation de l audit Problème majeur 2 Responsable de l intervention Vice-président, Veille stratégique et Innovation Date d échéance Quatrième trimestre de 2015 2 Les constatations de l audit sont établies comme suit : - Problème majeur : Un contrôle clé est absent, est mal conçu ou ne fonctionne pas comme prévu, et le risque financier et/ou de réputation n est pas négligeable. L objectif du processus sur lequel porte le contrôle ne sera probablement pas atteint. Des mesures correctives s imposent pour que les contrôles soient rentables et/ou que les objectifs du processus soient atteints. - Problème modéré : Un contrôle clé est absent, est mal conçu ou ne fonctionne pas comme prévu, et le risque financier et/ou de réputation pour le processus n est pas négligeable. Cependant, un contrôle compensatoire existe. Des mesures correctives s imposent pour éviter de compter uniquement sur les contrôles compensatoires et/ou pour s assurer que les contrôles sont rentables. - Problème mineur : Faiblesse dans la conception et/ou le fonctionnement d un contrôle qui n est pas un contrôle clé. Il est peu probable que l atteinte des objectifs soit compromise. Il est recommandé de mettre en place des mesures correctives pour rentabiliser les contrôles. 4

2. Traçabilité des opérations dans UCM Il est possible de repérer les entrées en double en faisant une recherche d assortiment dans UCM, mais impossible de retrouver les opérations effectuées pour corriger les erreurs. Résultat : nous sommes incapables de savoir si les entrées en double sont effectivement traitées. La direction s est engagée à conserver, à même UCM ou autrement, une trace des opérations effectuées pour corriger les entrées en double mises de côté au moyen de la recherche d assortiment. Constatation de l audit Problème modéré Responsable de l intervention Vice-président, Veille stratégique et Innovation Date d échéance Premier trimestre de 2016 Conclusion Les constatations et les recommandations de l audit ont été communiquées à la direction, qui les a acceptées et a élaboré des plans d action dont la mise en œuvre devrait se faire au plus tard au premier trimestre de 2016. Nous tenons à remercier la direction de son appui tout au long de l audit. 5

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back