Sommaire exécutif– Examen des contrôles de la délégation des pouvoirs et de la vérification des comptes dans SAP, Juin 2015

Formats substituts

Sommaire exécutif– Examen des contrôles de la délégation des pouvoirs et de la vérification des comptes dans SAP [PDF - 180 Ko]

Les formats en gros caractères, braille, MP3 (audio), texte électronique, et DAISY sont disponibles sur demande en commandant en ligne ou en composant le 1 800 O-Canada (1-800-622-6232). Si vous utilisez un téléscripteur (ATS), composez le 1-800-926-9105.

Sommaire exécutif

Le 1er avril 2014, Emploi et Développement social Canada (le Ministère) a commencé à utiliser le système de gestion d’entreprise SAP comme système de consignation des opérations financières. Le Ministère a saisi l’occasion d’harmoniser les processus automatisés d’opérations de paiement avec les attentes en matière de contrôle formulées dans la Loi sur la gestion des finances publiques (LGFP) et la Directive sur la vérification des comptes du Conseil du Trésor. Ceci a eu pour effet de positionner le Ministère comme chef de file en matière d’automatisation du processus des comptes créditeurs.

Ce sommaire présente les résultats de la mise à l’essai des contrôles automatisés du SAP. Il s’ajoute et devrait être lu parallèlement aux rapports sur l’audit de la mise en œuvre de la délégation des pouvoirs dans le SAP et l’audit des processus d’assurance de la qualité de la vérification des comptes, présentés séparément.

Nos attentes

Le premier objectif de ces essais était d’évaluer si les contrôles automatisés liés aux pouvoirs financiers délégués dans le SAP étaient conçus de façon adéquate et s’ils fonctionnaient comme prévu en appui aux autorisations appropriées des opérations financières. Des contrôles efficaces qui appuient les pouvoirs financiers délégués doivent veiller à ce que des pouvoirs incompatibles ne soient pas exercés à l’égard des opérations individuelles et qu’il soit impossible d’outrepasser les pouvoirs délégués.

Le deuxième objectif consistait à évaluer si les contrôles automatisés liés à l’assurance de la qualité de la vérification des comptes étaient bien conçus et s’ils fonctionnaient comme prévu, en appui à la stratégie de gestion des risques de la Direction générale de l’agent principal des finances (DGAPF). Cette stratégie consiste à regrouper les paiements par catégorie susceptible de poser différents risques et à évaluer ces paiements en les classant selon qu’ils représentent un risque élevé ou un risque faible. Les contrôles automatisés doivent permettre l’application des procédures adéquates de vérification des comptes avant paiement ou après paiement à toutes les opérations de paiements, en se fondant sur les catégories de risque. Ils doivent également veiller à ce que l’accès aux fonctions clés de vérification des comptes soit réservé aux personnes appropriées, en fonction des exigences de leur poste et de leurs compétences.

Nos observations

L’équipe d’audit a remarqué que les opérations de paiement étaient bien acheminées aux fins d’approbation par les différents processus automatisés selon les renseignements sur les pouvoirs de signer des documents financiers consignés dans les tableaux du SAP connexes. Les contrôles automatisés qui appuient la vérification des comptes fonctionnaient comme prévu pour la plupart des opérations traitées durant la période d’audit.

Par contre, l’audit a révélé qu’il était possible de contourner les contrôles automatisés en place par l’utilisation de fonctions du SAP précises. Celles-ci permettent aux utilisateurs de la DGAPF, qui ont un accès à ces fonctions, d’exercer un pouvoir financier sans que celui-ci leur ait été délégué. L’audit a conclu que l’accès à ces fonctions n’était pas suffisamment restreint et n’atténuait pas suffisamment les risques liés à ces rôles de nature délicate. De plus, les opérations comptant des attributs codés qui sont atypiques, ou qui ne suivent pas un processus typique, ne sont pas prises en charge par le processus automatisé de vérification des comptes. Par ailleurs, l’exercice des pouvoirs financiers pour plusieurs types d’opérations n’a pas été automatisé.

L’audit a aussi révélé que les utilisateurs du SAP participant au processus des comptes créditeurs se sont vu octroyer un accès incompatible à des fonctions clés et que certains pouvoirs financiers pouvaient être exercés par un utilisateur à l’égard de ses propres dépenses. L’audit a également révélé que les critères établis pour accorder un accès à ces fonctions n’ont pas été officialisés et qu’aucune surveillance des droits d’accès aux fonctions de nature délicate n’est exercée.

Importance de la démarche

Conformément à l’article 33 de la LGFP, le personnel responsable de l‘approbation des paiements s’appuie principalement sur les contrôles des comptes créditeurs qui sont appliqués avant que les paiements leur soient donnés aux fins d’émission. Il est présumé que ces contrôles permettent d’assurer que les paiements ont été approuvés en conformité aux instruments de délégation de pouvoir et qu’ils font l’objet d’examens pertinents axés sur le risque. Par conséquent, les contrôles mal conçus ou qui ne fonctionnent pas comme prévu réduisent la fiabilité des contrôles automatisés et l’assurance nécessaire pour exercer le pouvoir de paiement. D’un point de vue plus large, les risques liés à l’intendance des opérations de paiement en appui à la responsabilité de l’agent principal des finances à l’égard de la Politique sur le contrôle interne du Conseil du Trésor peuvent ne pas être gérés adéquatement malgré l’efficacité des contrôles internes.

Conclusion

De l’avis de l’équipe d’audit, les contrôles automatisés ont été bien conçus et fonctionnent comme prévu pour la plupart des opérations de paiement. Cependant, des lacunes ont été relevées qui ne cadrent pas avec les instruments de délégation de pouvoirs et la stratégie de gestion des risques de la DGAPF en matière de vérification des comptes. L’accès aux fonctions clés de nature délicate n’est pas suffisamment restreint et n’est pas suffisamment examiné et surveillé pour veiller à ce que ce type d’accès soit accordé et utilisé de façon adéquate. Des exceptions à l’efficacité opérationnelle de certains contrôles ont été notées, ce qui affaiblit le système de contrôles internes des opérations de paiement.

Recommandations

L’agent principal des finances doit :

  1. Veiller à ce que les contrôles automatisés conçus pour appuyer le processus des comptes créditeurs, notamment la gestion de l’accès des utilisateurs, soient adéquats et qu’ils soient appuyés par des contrôles manuels correctifs lorsque des lacunes ont été décelées.
  2. Veiller à ce que les principaux contrôles automatisés et manuels, y compris les contrôles d’accès, en appui au processus des comptes créditeurs soient revus et testés périodiquement pour s’assurer qu’ils fonctionnent comme prévu, et ce, de façon constante.

Détails de la page

Date de modification :