Audit du départ des employés
Sur cette page
- 1. Renseignements généraux
- 2. Constatation de l'audit
- 2.1 La communication et les instructions destinées aux gestionnaires, aux fonctions habilitantes et de soutien devraient être améliorées afin d'être claires, concises, opportunes et adaptées au rôle de chacun
- 2.2 Le module des Départs permet de révoquer l'accès au système et de restituer les biens de technologie de l'information (TI). Cependant, des retards ont été relevés tant dans la révocation de l'accès que dans la restitution des biens
- 2.3 Il faut améliorer l'accès aux logiciels et aux renseignements lors du départ des employés ou lorsque ceux-ci changent de poste au sein d'EDSC
- 2.4 Les processus de révocation de l'accès physique sont décentralisés dans toutes les régions et le processus d'information sur la sécurité doit être renforcé
- 2.5 La surveillance et le suivi du processus de départ des employés doivent être renforcés pour pouvoir établir des rapports sur les résultats en temps opportun
- 3. Conclusion
- 4. Énoncé d'assurance
- Annexe A: Évaluation des critères d'audit
Formats substituts
Audit du départ des employés [PDF - 572 Ko]
Les formats en gros caractères, braille, MP3 (audio), texte électronique, et DAISY sont disponibles sur demande en commandant en ligne ou en composant le 1 800 O-Canada (1-800-622-6232). Si vous utilisez un téléscripteur (ATS), composez le 1-800-926-9105.
Liste des abréviations
- DGDPF
- Direction générale du dirigeant principal des finances
- DGIIT
- Direction générale de l'innovation, de l'information et de la technologie
- DGSI
- Direction générale des services d'intégrité
- DGSRH
- Direction générale des services de ressources humaines
- DPI
- Dirigeant principal de l'information
- EDSC
- Emploi et Développement social Canada
- IRC
- Indicateurs de rendement clés
- PAD
- Plan d'action de la direction
- PGA
- Portail de gestion de l'accès
- SGDG
- Services de gestion de la Direction générale
- SMA
- Sous-ministre adjoint
- SRG
- Services régionaux de gestion
- TI
- Technologie de l'information
1. Renseignements généraux
1.1 Contexte
Selon la Politique sur la gestion financière du Secrétariat du Conseil au Trésor et la Directive sur la gestion de la sécurité (juin 2024), le Ministère doit retirer tous les droits d'accès aux employés qui quittent leurs fonctions, y compris l'accès physique aux installations et l'accès numérique aux systèmes et aux réseaux, et récupérer auprès de ces employés tous les biens du Ministère. La Politique de gestion des biens d'Emploi et Développement social Canada (EDSC) stipule que tous les gestionnaires et employés sont responsables de la protection et de l'utilisation appropriée des biens appartenant au Ministère.
Le processus de départ des employés d'EDSC a été considérablement simplifié en juillet 2023, après la mise en œuvre du module des Départs dans maSGE (PeopleSoft). Ce module fournit un point d'entrée unique et intégré pour les tâches de tous les acteurs concernés. Il génère une liste de vérification des tâches pour les gestionnaires et les employés, et intègre des notifications destinées aux principales fonctions habilitantes, notamment la Direction générale des services de ressources humaines (DGSRH), la Direction générale de l'innovation, de l'information et de la technologie (DGIIT), la Direction générale des services d'intégrité (DGSI) et la Direction générale du dirigeant principal des finances (DGDPF) sur les responsabilités qui leur incombent. Les Services de gestion de la Direction générale (SGDG) et les Services régionaux de gestion (SRG) sont chargés de soutenir les gestionnaires au sein des diverses directions générales ou régions dans l'ensemble du Ministère.
Cet audit a permis d'évaluer le fonctionnement et l'efficacité du processus de départ des employés après la mise en œuvre du module des Départs et de relever les domaines à améliorer.
1.2 Objectif de l'audit
L'audit a pour objectif d'évaluer le caractère adéquat et l'efficacité du processus de départ des employés d'EDSC, notamment si les contrôles d'accès aux systèmes et aux installations sont en place, si les biens de TI et les biens appartenant à l'État sont gérés de manière appropriée, et si les processus de supervision, de surveillance et d'établissement de rapports sont mis en place et fonctionnent comme prévu.
1.3 Portée
L'audit portera sur toutes les fonctions habilitantes (DGSRH, DGIIT, DGSI et DGDPF) et les autres intervenants (gestionnaires et SGDG/SRG) participant au processus de départ. Il comprendra les éléments clés du module des Départs depuis sa mise en œuvre en juillet 2023 jusqu'en novembre 2024.
L'étendue de cet audit excluait le processus de rémunération. Après examen des contrôles connexes, le risque résiduel pour cet élément a été jugé faible. De plus, plusieurs audits ont été réalisés dans ce domaine au cours des dernières années. L'étendue excluait également les cartes d'achat étant donné que plusieurs contrôles sont en place pour limiter l'utilisation abusive de la carte d'achat.
1.4 Méthodologie
L'audit a été réalisé à l'aide de plusieurs méthodologies, notamment :
- Examen et analyse de documents.
- Entrevues avec la direction et le personnel de la DGSRH, de la DGSI, de la DGIIT et de la DGDPF, ainsi qu'avec les gestionnaires du Ministère et les intervenants en matière de soutien (SGDG/SRG).
- Questionnaire envoyé de façon aléatoire à 200 gestionnaires parmi ceux qui ont rempli une demande liée à un départ au cours de la période de référence; 48 réponses ont été obtenues (taux de réponse de 24 %).
- Questionnaire envoyé à 43 membres du personnel de soutien des Services de gestion de la Direction générale et des Services régionaux de gestion; 25 réponses ont été obtenues (taux de réponse de 58 %).
- Exploration et analyses de données - Il y a eu 6 900 départs (5 422 traités dans le module des Départs et 1 478 dans le Portail de gestion de l'accès (PGA)). Il y a eu 1 099 changements de poste à l'interne vers d'autres directions générales au cours de la période visée par l'audit.
2. Constatation de l'audit
Lorsqu'il est utilisé comme prévu, le module des Départs rationalise le processus de départ des employés, améliore la communication entre les fonctions habilitantes et facilite la révocation rapide de l'accès aux systèmes, logiciels et informations, ainsi que la récupération des équipements informatiques des employés partants.
2.1 La communication et les instructions destinées aux gestionnaires, aux fonctions habilitantes et de soutien devraient être améliorées afin d'être claires, concises, opportunes et adaptées au rôle de chacun
Bien que des directives, des lignes directrices et des conseils pour le départ des employés existent, ils sont répartis sur diverses sources (iService, sites régionaux et dans le module des Départs), ce qui cause de la confusion parmi les intervenants.
La plupart des gestionnaires interrogés estiment que le module des Départs a rationalisé le processus de départ, cependant certains ont indiqué qu'ils n'avaient pas suffisamment de directives, d'instructions et de formation pour leur permettre de s'acquitter pleinement de leurs responsabilités.
Les représentants des SGDG et des SRG interrogés estiment que le rôle de leur fonction de soutien n'est pas clair, la moitié des répondants n'effectuant aucune tâche liée au départ des employés. Les commentaires fournis par les répondants ont suggéré qu'il serait utile de revoir les rôles et responsabilités afin de mieux répartir les tâches entre les gestionnaires et les SGDG et SRG.
Recommandation
1. Le sous-ministre adjoint (SMA) de la DGSRH devrait :
- Collaborer avec les intervenants de la gestion régionale et des secteurs d'activité pour définir et communiquer clairement les rôles et les responsabilités des SGDG et SRG en ce qui concerne le processus relatif aux départs.
- Mettre en place des directives, des instructions et des pratiques exemplaires claires, concises et complètes, en ce qui a trait à toutes les procédures de départ à l'intention des gestionnaires et des employés.
Réponse de la direction
La DGSRH accepte la recommandation visant à superviser l'élaboration et la communication de rôles et responsabilités clairs pour des SGDG et SRG dans le cadre du processus de départ des employés. Il s'agit entre autres de développer les ressources d'orientation nécessaires pour soutenir les gestionnaires et les employés tout au long du processus de départ. La DGSRH collaborera avec les intervenants concernés pour veiller à ce que les documents mentionnés ci-dessus soient diffusés adéquatement.
2.2 Le module des Départs permet de révoquer l'accès au système et de restituer les biens de technologie de l'information (TI). Cependant, des retards ont été relevés tant dans la révocation de l'accès que dans la restitution des biens
Un ticket est automatiquement généré pour que la DGIIT puisse demander l'équipement de TI et révoquer l'accès aux systèmes le lendemain de la date de départ de l'employé. Cependant, le retour des biens de TI et la résiliation de l'accès aux systèmes n'ont pas été exécutés systématiquement par la DGIIT. Certains tickets sont restés non résolus même après 60 jours.
Le portail de gestion des accès en TI fournit des informations au niveau des employés sur les biens de TI assignés qui est utilisées par les techniciens informatiques lors de la résolution des tickets. Cependant, cet outil n'est peu connu par les gestionnaires, qui pourraient l'utiliser pour suivre les biens en TI lors du départ des employés.
Avant la mise en œuvre du module des Départs, les départs des employés ne disposant pas d'un compte maSGE (PeopleSoft) était effectué dans le Portail de gestion de l'accès (PGA). Une nouvelle procédure a été mise en place pour intégrer les employés occasionnels à maSGE (PeopleSoft). En novembre 2023, un contrôle a été mis en place pour empêcher les gestionnaires d'utiliser le PGA pour compléter les départs des employés ayant un compte PeopleSoft. Malgré ceci, 79 employés indéterminés ayant un compte PeopleSoft ont eu leurs départs complétés via le PGA de décembre 2023 à juillet 2024.
Recommandation
2. Le Dirigeant principal de l'information (DPI) (SMA de la DGIIT) devrait:
- Collaborer avec la DGSRH pour modifier le module des départs pour inclure un lien vers le de gestion des accès en TI ainsi que des instructions pour que les gestionnaires vérifient que les biens de TI assignés à l'employé lors du départ sont retournés.
- Corriger le contrôle de restriction du Portail de gestion de l'accès qui n'est pas efficace ou surveiller périodiquement le portail pour vérifier que les gestionnaires n'utilisent pas le portail pour compléter le départ des employés ayant un compte PeopleSoft.
Réponse de la direction
En accord. Le système de gestion des biens de TI est un outil mis au point à l'usage des techniciens de la TI dans le but de suivre tous les appareils des utilisateurs finaux qui sont connectés au réseau. Bien que les renseignements qu'il contient soient déjà accessibles aux gestionnaires, cette information n'est pas mise de l'avant parce que des modifications seraient nécessaires pour donner suite aux recommandations, dont celles de le rendre accessible et bilingue.
Le contrôle en place a été conçu pour empêcher effectivement les gestionnaires d'utiliser le Portail de gestion de l'accès dans le cas de personnes inscrites dans PeopleSoft. Toutefois, puisque l'audit a révélé des incohérences, la DGIIT devrait examiner de manière approfondie les constatations de l'audit afin de comprendre pourquoi le contrôle n'était pas pleinement en vigueur et de mettre en œuvre tout ajustement nécessaire.
Dans le cadre des recommandations n° 1 et 2b, la DGSRH communiquera à nouveau la procédure actuelle de soumission des demandes de départ (autorisation de départ) à l'aide d'un guichet numérique unique (PeopleSoft) afin de favoriser la compréhension du processus de départ du ministère. La communication destinée au SGA et les gestionnaires se fera par l'intermédiaire du Comité exécutif gestion des affaires (CEGA) et des bulletins RH et de la rémunération.
2.3 Il faut améliorer l'accès aux logiciels et aux renseignements lors du départ des employés ou lorsque ceux-ci changent de poste au sein d'EDSC
Le catalogue d'applications gère les licences de logiciels et leur utilisation par ordinateur ou par appareil plutôt que par employé. L'équipe d'audit, en consultation avec les analystes de la DGIIT, n'a donc pas été en mesure de vérifier si les licences de logiciels avaient été correctement gérées lors du départ d'employés ou de changements de poste au sein d'EDSC. Selon notre analyse, les modifications des droits d'accès aux logiciels et aux renseignements ont été identifiées pour seulement un petit nombre d'employés qui ont changé de direction générale au sein d'EDSC.
Restreindre l'accès aux renseignements nécessaires à l'exercice des responsabilités professionnelles permet de garantir la sécurité et la confidentialité des données sensibles en ne permettant qu'à ceux qui en ont besoin d'y accéder dans le cadre de leur rôle spécifique.
Recommandation
3. Le DPI (SMA de la DGIIT) devrait officialiser, communiquer et surveiller le processus pour retirer or modifier rapidement les droits d'accès lors du départ d'un employé ou d'un changement de poste au sein d'EDSC.
Réponse de la direction
En accord. La DGIIT continuera à collaborer étroitement avec la DGSRH afin d'assurer le retrait sécurisé et rapide des accès au système pour les employés quittant l'organisation, conformément aux exigences des politiques de l'EDSC et du SCT. Ces efforts sont soutenus par la mise en œuvre du module des Départs dans PeopleSoft et renforcés par des outils et des processus établis.
Remarque : La DGIIT se conforme à la directive du SCT qui exige le retrait des accès après 90 jours d'inactivité sur le compte d'un employé.
La DGIIT appuiera la DGSRH dans l'amélioration de ses processus opérationnels, notamment toute transition des communications par courriel vers des solutions appuyées par les systèmes pour notifier les changements de fonction et les départs des employés.
À cette fin, la DGIIT collaborera étroitement avec la DGSRH afin de mener une évaluation complète des risques et d'identifier des solutions viables.
2.4 Les processus de révocation de l'accès physique sont décentralisés dans toutes les régions et le processus d'information sur la sécurité doit être renforcé
Bien que les gestionnaires soient responsables de retourner les cartes d'identité ou d'accès avec photo à la DGSI, il n'existe pas de procédures nationales, de directives ou de protocoles pour leur récupération. Les processus visant à révoquer rapidement l'accès physique des anciens employés sont décentralisés dans l'ensemble de l'Administration centrale et dans toutes les régions. Le module des Départs ne génère pas de tickets à l'intention de la DGSI demandant la prise des mesures.
De plus, les gestionnaires ont noté que le retour des cartes d'identité ou d'accès avec photo est difficile lorsque les employés se trouvent dans des régions différentes, car les employés ne peuvent pas les remettre directement à leur gestionnaire.
La DGSI a initié une mesure d'atténuation potentielle pour mettre en œuvre un nouveau Système de sécurité intégré, dont la date d'achèvement est prévue pour juillet 2028. Ce système devrait fournir un système de contrôle d'accès sécurisé et standardisé dans toutes les régions.
Bien que le module des Départs exige que les gestionnaires fournissent une séance de breffage de sécurité obligatoire lors du départ d'employés, les gestionnaires ont exprimé des incertitudes quant à la façon de mener la séance d'information et de remplir les formulaires du Certificat d'enquête de sécurité et profil de sécurité.
Recommandation
4. De manière provisoire et d'ici la mise en œuvre du nouveau Système de sécurité intégré, le SMA de la DGSI devrait élaborer et communiquer des directives nationales pour la récupération des cartes d'identité et d'accès avec photo. Celles-ci devraient comprendre:
- Une procédure pour informer les gestionnaires de la désactivation ainsi que des directives claires à suivre lorsque les gestionnaires et les employés se trouvent dans des régions différentes.
- Des instructions dans le module des Départs sur la manière de remplir le formulaire Certificat d'enquête de sécurité et profil de sécurité à l'intention des gestionnaires.
Réponse de la direction
En accord. La DGSI élaborera une orientation nationale claire relative à la récupération des cartes d'identité ou d'accès avec photo pour les gestionnaires et les employés, ainsi qu'une orientation nationale sur le processus pour mener la séance de breffage accompagné d'instructions pour remplir le Certificat d'enquête de sécurité et profil de sécurité.
2.5 La surveillance et le suivi du processus de départ des employés doivent être renforcés pour pouvoir établir des rapports sur les résultats en temps opportun
Un « rapport standardisé de données de départ » a été créé par la DGSRH pour aider les SGDG et SRG à assurer le suivi des départs des employés et a été communiqué aux intervenants des SGE et SRG le 30 mai 2024. Bien que le rapport standardisé de données de départ permette de suivre les départs par type, par direction générale et par gestionnaire, il ne permet pas d'assurer le suivi du respect des délais d'exécution des tâches. De plus, les résultats de notre questionnaire avec les SGDG et SRG ont montré que de nombreux employés des SGDG et SRG n'étaient au courant de ce rapport.
Le rapport sur la réalisation des avantages du Programme de modernisation de la DGSRH, publié en mai 2024, présentait les résultats du module des Départs de juillet 2023 à mars 2024. Il a évalué les avantages, l'évitement des coûts et a déterminé des indicateurs de rendement clés (IRC), notamment la récupération des biens de TI dans un délai de 10 jours. Les indicateurs de rendement clés sont définis, mais les résultats ne font pas l'objet d'un suivi ou d'un rapport. Les analyses de données effectuées par l'équipe d'audit ont montré qu'un nombre important de tickets restaient non résolus pour la récupération des biens de TI après l'objectif d'IRC de 10 jours.
Recommandation
5. Le SMA de la DGSRH, en collaboration avec les SMA de la DGIIT, de la DGSI et de la DGDPF, devrait améliorer la surveillance du processus de départ des employés afin d'en accroître l'efficacité et la rapidité. Ceci devrait comprendre:
- Revoir le rapport standardisé de données de départ afin d'y inclure le respect des délais d'exécution des tâches afin d'aider les SGDG et SRG à assurer le suivi des départs et envoyer régulièrement des rapports aux SMA et aux directeurs des SGDG.
- Soumettre des rapports de façon régulière à l'intention de la direction sur les résultats des indicateurs de rendement clés (IRC), y compris le retrait des droits d'accès et la récupération des biens.
- Solliciter de façon régulière les commentaires des intervenants sur les améliorations possibles à apporter.
Réponse de la direction
En accord. La DGSRH accepte de déterminer les renseignements qui peuvent être extraits dans le but d'améliorer le rapport standardisé et de fournir ensuite le rapport achevé aux intervenants afin qu'ils puissent l'utiliser et surveiller l'usage qu'en font leurs secteurs d'activité respectifs. De plus, la DGSRH sollicitera périodiquement la rétroaction des intervenants sur les possibilités d'amélioration du module des Départs.
En plus des engagements actuels, la DGSRH évaluera la possibilité d'ajouter le statut de la résiliation de l'accès au système, de la résiliation de l'accès physique et du retour de l'équipement pour les employés ayant quitté l'organisation dans un rapport ou tableau de bord consolidé qui serait diffusé aux SMA et du Comité exécutif gestion des affaires (CEGA).
3. Conclusion
L'audit interne reconnaît les efforts considérables déployés par le Ministère pour mettre en œuvre le module des Départs, établir des contrôles clés et mettre en place des mesures importantes afin de numériser le processus de départ des employés, ce qui a amélioré la capacité du Ministère à gérer le départ des employés.
L'audit a permis de constater que la communication et les instructions destinées aux gestionnaires, aux fonctions habilitantes et des fonctions de soutien devraient être améliorées afin d'être claires, concises, opportunes et adaptées au rôle de chacun. Bien que le module des Départ permet de révoquer l'accès au système et le retour des biens de TI, des retards ont été relevés tant dans la révocation de l'accès que dans le retour des biens.
L'accès aux logiciels et aux informations pour les employés quittant l'organisation ou changeant de rôle au sein d'EDSC nécessite des améliorations. De plus, le processus de révocation de l'accès physique et le processus de briefing de sécurité doivent être renforcés. Enfin, la surveillance et le suivi du processus de départ des employés nécessitent des améliorations pour soutenir un rapport opportun sur les résultats.
4. Énoncé d'assurance
Selon notre jugement professionnel, les procédures d'audit appliquées et les éléments probants recueillis sont suffisants et appropriés pour confirmer l'exactitude des constatations présentées dans ce rapport. Ces dernières sont fondées sur les observations et les analyses faites lors de l'audit. Elles s'appliquent uniquement à l'Audit de départ des employés. Les éléments probants ont été recueillis conformément à la Politique sur l'audit interne du Conseil du Trésor et aux Normes internationales pour la pratique professionnelle de l'audit interne.
Annexe A: Évaluation des critères d'audit
| Critères d'audit | Évaluation |
|---|---|
| L'accès aux systèmes, aux logiciels et aux renseignements est rapidement révoqué afin d'éviter tout accès non autorisé à des données délicates, toute atteinte à la sécurité des données ou toute autre forme d'inconduite. | Contrôlé, mais devrait être renforcé; exposition modérée au risque |
| Le blocage ou la modification de l'accès aux systèmes, aux logiciels et aux renseignements sont faits rapidement lorsqu'un employé change de rôle au sein d'EDSC, afin d'empêcher tout accès non autorisé à des données délicates et personnelles, lorsque l'accès ou la modification doit être retiré. | Contrôlé, mais devrait être renforcé; exposition modérée au risque |
| L'accès physique aux installations est rapidement révoqué pour les anciens employés afin d'empêcher tout accès non autorisé aux installations et au personnel d'EDSC. | Contrôles clés manquants; exposition élevé au risque |
| Des procédures de départ sont en place dans les cas où les employés travaillent dans une région différente de celle de leur gestionnaire, y compris la restitution des cartes d'accès et des pièces d'identité avec photo. | Contrôlé, mais devrait être renforcé; exposition modérée au risque |
| Les systèmes (c'est-à-dire maSGE de PeopleSoft, plateforme MS Dynamics, le Système d'information de gestion des demandes d'intervention [SIGDI]) utilisés pour le départ des employés en ce qui concerne la gestion de l'accès sont harmonisés et soutiennent les opérations permanentes dans le module des Départs. | Contrôlé, mais devrait être renforcé; exposition modérée au risque |
| Critères d'audit | Évaluation |
|---|---|
| Une politique, une directive ou des lignes directrices sur la récupération des biens ministériels sont en place et les attentes sont communiquées aux principaux intervenants. | Contrôles suffisants; exposition faible au risque |
| Les biens de TI et les biens appartenant à l'État sont remis lorsque des employés quittent le Ministère. | Contrôlé, mais devrait être renforcé; exposition modérée au risque |
| Des registres précis et complets des biens de TI et des biens appartenant à l'État sont tenus à l'appui du processus de départ. | Contrôlé, mais devrait être renforcé; exposition modérée au risque |
| Les systèmes (c'est-à-dire le SIGDI) utilisés pour le départ des employés en ce qui concerne la gestion des biens sont harmonisés et soutiennent les opérations permanentes dans le module des Départs. | Contrôles suffisants; exposition faible au risque |
| Critères d'audit | Évaluation |
|---|---|
| Le processus de départ définit, documente et communique, de manière claire, les rôles et responsabilités des employés, des gestionnaires et des fonctions de soutien et habilitantes. | Contrôlé, mais devrait être renforcé; exposition modérée au risque |
| Une supervision globale du processus de départ des employés est en place afin de surveiller s'il fonctionne comme prévu et d'apporter les améliorations nécessaires. | Contrôles clés manquants; exposition élevé au risque |
| Les intervenants (c'est-à-dire l'employé, le gestionnaire et les fonctions habilitantes et de soutien) prenant part au processus de départ ont accès aux données relatives au départ des employés afin de permettre la surveillance et la déclaration rapides des résultats. | Contrôlé, mais devrait être renforcé; exposition modérée au risque |
| La communication et les directives relatives au départ des employés sont fournies aux employés, aux gestionnaires et aux fonctions habilitantes de manière claire, concise, rapide et en fonction de leurs responsabilités. | Contrôlé, mais devrait être renforcé; exposition modérée au risque |