Audit de la gestion des fournisseurs (phase I)

Titre officiel : Audit de la gestion des fournisseurs (phase I), Mars 2016

Formats substituts

Audit de la gestion des fournisseurs (phase I) [PDF - 307,5 Ko]

Les formats en gros caractères, braille, MP3 (audio), texte électronique, et DAISY sont disponibles sur demande en commandant en ligne ou en composant le 1 800 O-Canada (1-800-622-6232). Si vous utilisez un téléscripteur (ATS), composez le 1-800-926-9105.

Sommaire exécutif

Un fichier central des fournisseurs contient tous les renseignements nécessaires sur les personnes et les organisations pour faire un paiement. Ces renseignements comprennent les noms, les adresses et les informations sur les comptes bancaires. L’intégrité et l’exactitude des données contenues dans le fichier central des fournisseurs sont le fondement d’un traitement de paiement efficient et efficace. Emploi et Développement social Canada (EDSC) a deux types de fichiers centraux des fournisseurs (bénéficiaires).

Le premier type concerne les fournisseurs externes de biens et de services. Ce fichier est géré par le centre d’affaires de la Direction générale du dirigeant principal des finances (DGDPF). Le fichier central des fournisseurs contient aussi les renseignements sur les employés d’EDSC pour le remboursement de dépenses non salariales, comme les frais de déplacement, les cotisations, les formations, etc. Les renseignements sur les employés sont d’abord consignés dans un fichier PeopleSoft, qui relève de la Direction générale des services de ressources humaines (DGSRH), puis sont transférés automatiquement au SAP. La DGSRH est responsable de l’exhaustivité et de l’exactitude des renseignements sur les employés.

Le deuxième type de fichier central des fournisseurs concerne les bénéficiaires de subventions et de contributions (S&C). Les bénéficiaires de S&C sont initialement crées dans le Système commun pour les subventions et les contributions (SCSC). Ce fichier central des fournisseurs est géré par la Direction générale des opérations de programmes (DGOP), et certains aspects sont gérés par des programmes individuels. Le SAP est seulement utilisé pour le paiement.

Puisque ces deux types de comptes fournisseurs sont gérés par des directions générales différentes et au moyen de processus et de contrôles distincts, le présent rapport porte uniquement sur le fichier central des fournisseurs qui concerne les fournisseurs externes de biens et de services ainsi que les employés d’EDSC gérés par la DGDPF. Le fichier central des fournisseurs concernant les bénéficiaires de S&C fera l’objet d’un audit qui débutera en janvier 2016.

Objectif de l’audit

L’objectif du présent audit était d’évaluer la conception et le fonctionnement des contrôles clés du fichier central des fournisseurs applicables aux biens et aux fournisseurs externes de biens et de services ainsi qu’aux employés d’EDSC pour s’assurer que les paiements sont versés uniquement aux fournisseurs appropriés.

Résumé des principales constatations

  • Les rôles et responsabilités sont intégrés dans la documentation des processus et les graphiques d’acheminement et, de façon générale, les employés comprennent clairement leurs tâches et leurs fonctions
  • La séparation des tâches est appropriée, et aucun pouvoir en vertu des articles 34 ou 33 n’a été conféré aux employés du centre d’affaires
  • Aucun processus de validation des fournisseurs n’est en place
  • Des pistes d’audit sont tenues à la suite de modifications apportées au fichier central des fournisseurs
  • Au moment de l’audit, il n’y avait aucun mécanisme de surveillance ou d’établissement de rapport

Conclusion de l’audit

L’audit a permis de conclure que des contrôles clés du fichier central des fournisseurs applicables aux fournisseurs externes de biens et de services ainsi qu’aux employés d’EDSC sont en place; cependant, des améliorations s’imposent à leur conception et à leur efficacité opérationnelle.

Recommandations

  1. La DGDPF devrait améliorer les contrôles pour l’établissement des comptes fournisseurs, pour inclure sans toutefois s’y limiter au suivant :
    • établissement d’un processus de validation et une convention d’appellation
    • refus d’accorder à une même personne de rehausser et approuver la demande de création ou de mise à jour d’un fournisseur
    • élimination de l’utilisation des numéros d’entreprise génériques et des cases postales comme adresses principales sans une adresse civique
  2. La DGDPF devrait mettre en œuvre des activités officielles de surveillance et d’établissement de rapports pour assurer l’exactitude et la validité du fichier central des fournisseurs.

1.0 Renseignements généraux

1.1 Contexte

Un fichier central des fournisseurs contient tous les renseignements nécessaires sur les personnes et les organisations pour faire un paiement. Ces renseignements comprennent les noms, les adresses et les informations sur les comptes bancaires. L’intégrité et l’exactitude des données contenues dans le fichier central des fournisseurs sont le fondement d’un traitement de paiement efficient et efficace. EDSC a deux types de fichiers centraux des fournisseurs (bénéficiaires).

Le premier type concerne les fournisseurs externes de biens et de services (29 026 en date du 30 septembre 2015). Ce fichier est géré par le centre d’affaires de (DGDPF). Le fichier central des fournisseurs contient aussi les renseignements sur les remboursements de dépenses non salariales des employés d’EDSC, comme les frais de déplacement, les cotisations, les formations, etc. Les renseignements sur les employés sont d’abord consignés dans un fichier PeopleSoft, qui relève de la DGSRH, puis sont transférés automatiquement au SAP. La DGSRH est responsable de l’exhaustivité et de l’exactitude des renseignements sur les employés.

Le deuxième type de fichier central des fournisseurs concerne les bénéficiaires de S&C. Les bénéficiaires de S&C sont initialement inscrits dans le SCSC. Ce fichier central des fournisseurs est géré par la DGOP, et certains aspects sont gérés par des programmes individuels. Le SAP est seulement utilisé pour le paiement.

Puisque ces deux types de comptes fournisseurs sont gérés par des directions générales différentes et au moyen de processus et de contrôles distincts, le présent rapport porte uniquement sur le fichier central des fournisseurs qui concerne les fournisseurs externes de biens et de services ainsi que les employés d’EDSC gérés par la DGDPF. Le fichier central des fournisseurs concernant les bénéficiaires de S&C fera l’objet d’un audit qui débutera en janvier 2016.

1.2 Objectif de l’audit

L’objectif du présent audit était d’évaluer la conception et le fonctionnement des contrôles clés du fichier central des fournisseurs applicables aux fournisseurs externes de biens et de services externes ainsi qu’aux employés d’EDSC pour s’assurer que les paiements sont versés uniquement aux fournisseurs appropriés.

1.3 Portée

La portée de cet audit comprenait les principaux contrôles liés à la gestion du fichier central des fournisseurs qui concerne les fournisseurs externes ainsi que les employés d’EDSC. Tous les travaux d’audit ont été réalisés dans la région de la capitale nationale.

Nous avons porté une attention particulière aux comptes fournisseurs externes créés ou modifiés durant la période comprise entre le 1er avril 2014 et le 30 septembre 2015. Pour les employés d’EDSC, nous avons comparé la liste des employés se trouvant dans PeopleSoft à celle présentée dans le SAP en date du 30 septembre 2015.

1.4 Méthodologie

L’audit a été réalisé au moyen de plusieurs méthodes qui incluaient, notamment :

  • l’observation et l’analyse des processus
  • l’examen et l’analyse de la documentation
  • des entrevues avec des gestionnaires et des employés de la DGDPF
  • une analyse des données pour cerner les doublons, les informations erronées et les autres irrégularités, comme des renseignements bancaires, des adresses identiques ou l’utilisation d’une adresse de case postale (CP)
  • les résultats de l’examen de dossiers suite à l’examen d’un échantillon statistiquement valide de comptes fournisseurs créés ou mis à jour durant l’exercice 2015‑2016 (73 fournisseurs externes et 73 fournisseurs employés) pour vérifier l’efficacité opérationnelle des contrôles clés

2.0 Constatations de l’audit

2.1 Possibilités d’améliorer la conception et l’efficacité opérationnelle des contrôles clés du fichier central des fournisseurs

Environnement de contrôle à l’appui de l’établissement et de la mise à jour de comptes fournisseurs

Pour établir un nouveau compte fournisseur, le demandeur accède au portail de tenue à jour des données de base au moyen de maSGE (SAP) et effectue une recherche initiale pour s’assurer que le fournisseur n’existe pas déjà dans la base de données. Lorsque cela est confirmé, il saisit dans la base de données diverses données sur le fournisseur comme son nom, son adresse, son numéro de téléphone et son numéro d’assurance sociale (NAS) ou d’entreprise. La demande est alors acheminée automatiquement au centre d’affaires. Les employés du centre d’affaires reçoivent toutes les demandes par courriel. Celui-ci comprend un lien intégré vers toutes les demandes en suspens.

Un agent du centre d’affaires ouvre ensuite le fichier de demande et examine les saisies effectuées par le demandeur. La première étape consiste à effectuer une recherche par numéro d’entreprise, nom de société et code postal pour s’assurer que le fournisseur n’existe pas déjà dans le système. Si aucun fournisseur existant n’est trouvé, l’agent crée alors le compte fournisseur en saisissant des données d’enrichissement comme le code de société, l’organisation d’achat, le groupe de comptes, le numéro de taxe, les conditions de paiement, etc. Lorsque tous les renseignements sont entrés, le système vérifie automatiquement si des renseignements requis ont été omis. L’agent enregistre ensuite les changements et la demande est prête à être approuvée par un deuxième agent. L’approbateur ouvre alors le fichier de la demande dûment remplie et effectue une vérification ponctuelle afin de déceler des erreurs potentielles, puis approuve la demande. Enfin, le système envoie un avis automatique au demandeur pour l’informer que sa demande a été approuvée.

Lorsque les rôles et les responsabilités sont bien définis, communiqués et bien compris, cela permet d’éviter la confusion et les malentendus. Durant nos entrevues et nos examens de processus, nous avons constaté que les rôles et les responsabilités sont intégrés à la documentation du processus et aux graphiques d’acheminement. Les employés du centre d’affaires ont une bonne compréhension de leurs rôles et responsabilités en ce qui concerne la création et la modification d’un compte fournisseur. Cependant, ces rôles et responsabilités ne sont pas documentés.

Le Ministère a centralisé la création et les mises à jour des comptes fournisseurs au centre d’affaires, qui relève de la DGDPF. Nous avons constaté qu’une séparation appropriée des tâches est appliquée pour favoriser la gestion adéquate du fichier central des fournisseurs. Aucun employé du centre d’affaires ne dispose d’un pouvoir de certification en vertu de l’article 34, d’un pouvoir d’autorisation de passation de marché ou d’un pouvoir d’autorisation de paiements en vertu de l’article 33.

La validation des fournisseurs est un contrôle clé qui vise à réduire le risque que le Ministère verse des paiements à des organisations inappropriées ou frauduleuses et à améliorer l’intégrité du fichier central des fournisseurs. Cependant, à l’heure actuelle, le processus est fondé sur la validation de l’authenticité du fournisseur par le demandeur et il n’existe pas de processus officiel de validation au sein de la DGDPF pour s’assurer que le fournisseur est une personne ou une entité véritable. Le processus actuel permet uniquement de s’assurer que les renseignements requis concernant la création d’un nouveau compte fournisseur ont été fournis et sont complets. Nous estimons qu’un processus de validation qui tire parti des outils disponibles comme la base de données de Corporations Canada offerte par Industrie Canada et d’autres bases de données semblables de sociétés créées en vertu des lois provinciales ou territoriales ainsi que d’autres outils pourraient permettre d’atténuer les risques liés à l’authenticité des fournisseurs.

En ce qui concerne la création, la modification et la désactivation d’un compte fournisseur, le processus actuel exige qu’un approbateur soit chargé de l’examen de l’étape d’enrichissement et que celui-ci donne son approbation finale. Or, le système ne prévoit aucune règle ou logique pour empêcher le même utilisateur de compléter à la fois les étapes d’enrichissement et d’approbation. Selon les examens d’un échantillon statistiquement valide réalisés par l’équipe d’audit, les changements apportés aux dossiers des fournisseurs ont été enregistrés par le système pour assurer le suivi de la date, de la demande de changement, de l’enrichisseur et de l’approbateur. Parmi les 73 dossiers de fournisseurs examinés par l’équipe d’audit, 3 avaient été approuvés par le même enrichisseur et examinateur. L’équipe d’audit encourage la DGDPF à améliorer les contrôles du système afin d’éviter qu’une personne agisse à la fois comme enrichisseur et approbateur d’une demande de création ou de mise à jour d’un compte fournisseur.

Grâce à une analyse des données, l’équipe d’audit a identifié 1 254 entreprises dont l’adresse principale inscrite dans le dossier du fournisseur comportait une CP, sans adresse civique. Bien que des motifs professionnels puissent justifier l’utilisation d’une CP, la validité de ces cases postales pourrait faire l’objet d’enquêtes plus approfondies afin d’atténuer le risque qu’EDSC effectue des paiements à des fournisseurs douteux.

Le centre d’affaires utilise le numéro d’entreprise pour les fournisseurs société et le NAS pour les fournisseurs individuels comme identifiant unique. Durant l’audit, nous avons constaté que 2 676 fournisseurs sociétés étaient associés à des numéros d’entreprise génériques, ce qui révèle une faiblesse dans la conception du système puisque ce dernier accepte des fournisseurs associés à des numéros d’entreprise génériques. Nous proposons que la DGDPF améliore la conception du système SAP afin d’interdire l’utilisation de numéros d’entreprise génériques.

Par ailleurs, l’équipe d’audit a identifié 74 dossiers de fournisseurs en double crées durant la période comprise entre le 1er avril et le 30 septembre 2015. Bien que le nombre de dossiers en double ait diminué considérablement comparativement aux 642 dossiers en double créés durant la période comprise entre le 1er avril 2014 et le 30 septembre 2015 (parmi les 29 026 fournisseurs et prestataires de services externes), l’élimination de l’ensemble des entrées en double de fournisseurs est une étape essentielle pour assurer l’intégrité du fichier central des fournisseurs.

L’équipe d’audit a été informée que les adresses des fournisseurs font l’objet d’un examen annuel pour en déterminer la conformité aux normes de Postes Canada. Une convention d’appellation des fournisseurs permet d’uniformiser les données sur les fournisseurs, cependant, selon les entrevues et les examens de processus réalisés auprès des employés du centre d’affaires, il n’existe aucune convention d’appellation pour la création de comptes fournisseurs.

L’équipe d’audit a aussi effectué un examen d’un échantillon statistiquement valide des dossiers de fournisseurs employés et aucun problème n’a été relevé. Dans le cadre de l’examen, une analyse a été effectuée sur les données des employés dans PeopleSoft et SAP en date du 30 septembre 2015, et les différences observées ont toutes été adéquatement expliquées. L’équipe d’audit a conclu que le transfert de données de l’employé à partir de PeopleSoft vers SAP était adéquat.

Recommandation

La DGDPF devrait améliorer les contrôles pour l’établissement des comptes fournisseurs, pour inclure sans toutefois s’y limiter au suivant :

  • établissement d’un processus de validation et une convention d’appellation
  • refus d’accorder à une même personne de rehausser et approuver la demande de création ou de mise à jour d’un fournisseur
  • élimination de l’utilisation des numéros d’entreprise génériques et des cases postales comme adresses principales sans une adresse civique
Réponse de la direction

La DGDPF accepte la recommandation et travaillera avec l’organisation de supports des services internes pour améliorer les contrôles relatifs au processus de gestion des fournisseurs (y compris les recommandations de l’audit interne). On prévoit que ces mesures seront mises en œuvre d'ici la fin de décembre 2016.

2.2 Aucune activité de surveillance et d’établissement de rapports en place

Il n’y a aucune activité d’archivage des comptes fournisseurs inactifs ou en double ni de surveillance de l’information à communiquer aux niveaux appropriés de gestion. Les examens de processus révèlent que les comptes fournisseurs ne sont désactivés que lorsqu’une demande en ce sens est reçue; aucun processus n’est en place en vue de cibler les comptes inactifs ou en double de fournisseurs. À la lumière de l’analyse de données effectuée par l’équipe d’audit, 1 775 fournisseurs (entreprises) sur un total de 6 319 n’ont fait l’objet d’aucune activité depuis décembre 2011. Nous avons également constaté que 1 293 médecins sur un total de 20 462 n’ont fait l’objet d’aucune activité depuis mars 2014. Un examen régulier du fichier central des fournisseurs réduit le risque de paiements en double et facilite l’extraction de renseignements sur les fournisseurs à partir du système. Par ailleurs, un fichier central de fournisseurs approuvé améliore la qualité de l’information disponible pour l’analyse et réduit le temps de traitement nécessaire pour une recherche d’information dans le système.

Une gestion appropriée de l’accès des utilisateurs est essentielle pour s’assurer que les renseignements obtenus auprès des fournisseurs sont protégés et que seules les personnes appropriées sont autorisées à accéder au système pour établir et modifier le fichier central des fournisseurs. L’audit a révélé que la liste d’accès des utilisateurs fait l’objet d’un examen annuel. Nous avons constaté un cas seulement où un employé faisait toujours partie de la liste (sur un total de huit employés du centre d’affaires) après avoir quitté EDSC.

Recommandation

La DGDPF devrait mettre en œuvre des activités officielles de surveillance et d’établissement de rapports pour assurer l’exactitude et la validité du fichier central des fournisseurs.

Réponse de la direction

La DGDPF accepte la recommandation et élaborera et documentera un cadre de surveillance et d’établissement de rapports. On prévoit que ces mesures seront mises en œuvre d'ici la fin de juin 2016.

3.0 Conclusion

L’audit a permis de conclure que des contrôles clés du fichier central des fournisseurs applicables aux fournisseurs externes de biens et de services ainsi qu’aux employés d’EDSC sont en place; cependant, des améliorations s’imposent à leur conception et à leur efficacité opérationnelle.

4.0 Énoncé d’assurance

Selon notre jugement professionnel, les procédures d’audit appliquées et les éléments probants recueillis sont suffisants et appropriés pour confirmer l’exactitude des constatations présentées dans ce rapport. Les conclusions sont fondées sur une observation et une analyse des situations qui existaient au moment de la vérification par rapport aux critères de l’audit. Elles s’appliquent uniquement au fichier central des fournisseurs externes de biens et de services ainsi qu’aux employés d’EDSC. Les éléments probants ont été recueillis conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de l’audit interne.

Annexe A : Évaluation des critères de l’audit

Critères de l’audit

Il est attendu que le Ministère a :

  1. élaboré des rôles et des responsabilités liés à la gestion du fichier central des fournisseurs qui sont bien définis, communiqués et compris

    Cote : les contrôles sont suffisants, exposition faible au risque
  2. conçu et mis en œuvre des contrôles pour s’assurer que seules les personnes autorisées peuvent établir, mettre à jour ou supprimer des comptes fournisseurs

    Cote : les contrôles sont suffisants, exposition faible au risque
  3. conçu et mis en œuvre des contrôles pour s’assurer que les pistes d’audit sont conservées à la suite des modifications apportées au dossier central des fournisseurs

    Cote : les contrôles sont suffisants, exposition faible au risque
  4. conçu et mis en œuvre des contrôles pour s’assurer que le fichier central des fournisseurs ne contient aucun dossier de fournisseur en double

    Cote : les contrôles ont été effectués, mais ils pourraient être renforcés; exposition modérée au risque
  5. conçu et appliqué une séparation appropriée des tâches relativement au fichier central des fournisseurs

    Cote : les contrôles sont suffisants, exposition faible au risque
  6. conçu et mis en œuvre des contrôles pour détecter les changements inappropriés apportés au fichier central des fournisseurs

    Cote : les contrôles ont été effectués, mais ils pourraient être renforcés; exposition modérée au risque
  7. établi un mécanisme officiel qui favorise la tenue à jour du fichier central des fournisseurs

    Cote : les contrôles ont été effectués, mais ils pourraient être renforcés; exposition modérée au risque
  8. établi un mécanisme pour s’assurer que les résultats des activités de surveillance sont communiqués aux niveaux de gestion appropriés et que des mesures correctives sont prises en temps opportun

    Cote : absence de contrôles clés, exposition élevée au risque

Annexe B : Glossaire

CP
Case postale
DGDPF
Direction générale du dirigeant principal des finances
SCSC
Système commun pour les subventions et les contributions
DGOP
Direction générale des opérations de programmes
NAS
Numéro d’assurance sociale
DGSRH
Direction générale des services de ressources humaines
EDSC
Emploi et Développement social Canada
S&C
Subventions et contributions

Détails de la page

Date de modification :