Audit de suivi de la conformité à l’article 34 dans Systems Applications and Products (SAP)

Sur cette page

Cette publication est disponible dans d'autres formats en ligne, par téléphone au 1 800 O-Canada (1-800-622-6232), ou par téléimprimeur (TTY), au 1-800-926-9105. Aussi offerte en médias substituts sur demande : gros caractères, braille, audiocassette, CD avec fichier audio, disquette avec fichier texte, CD avec fichier texte, ou système DAISY.

1.0 Renseignements généraux

1.1 Contexte

À la suite des résultats de l’audit de la Mise en œuvre de la délégation des pouvoirs de signature dans Systems Applications and Products (SAP) en mars 2015 et du suivi des recommandations effectué par la Direction générale des services de vérification interne en avril 2017, un audit de suivi de la Conformité à l’article 34 dans le système SAP a été inclus dans le Plan d’audit axé sur les risques de 2018-2020.

Le rapport d’audit de mars 2015 énonçait les principales constatations suivantes :

  • les politiques, procédures et lignes directrices liées aux pouvoirs de signature des documents financiers (PSDF) existent, et elles cadrent avec les exigences législatives et celles des politiques du Conseil du Trésor;
  • le processus d’octroi des PSDF est bien conçu;
  • l’efficacité du fonctionnement des contrôles relatifs à l’attribution des PSDF est à améliorer;
  • les transactions financières sont autorisées de manière appropriée par les bonnes personnes, et des preuves tangibles sont saisies dans SAP;
  • il n’y a pas de mécanisme de contrôle permettant de repérer les transactions pour lesquelles des pouvoirs incompatibles de signature des documents financiers sont exercés dans SAP (pouvoirs délégués en vertu des articles 34 et 33 exercés par la même personne);
  • il n’existe pas de processus officiel pour contrôler et mettre à jour les instruments de délégation des PSDP.

Le rapport d’audit incluait les recommandations suivantes :

Le Dirigeant principal des finances (DPF) devrait :

  • concevoir et mettre en place un processus officiel permettant de contrôler et de mettre à jour les instruments de délégation, les matrices d’autorisation électronique, les cartes de spécimen de signature (CSS), et les processus de validation et d’authentification
  • concevoir et mettre en place des contrôles permettant de repérer, à des fins d’examen ultérieur, les transactions pour lesquelles des pouvoirs incompatibles de signature des documents financiers sont exercés dans SAP

1.2 Objectif de l’audit

L’objectif de l’audit était de vérifier si les mesures prévues dans le Plan d’action de la direction (PAD) découlant de l’audit réalisé en 2015 portant sur la Mise en œuvre de la délégation des pouvoirs de signature dans SAP ont été entièrement exécutées.

1.3 Portée

La portée du présent audit englobe les contrôles clés liés à la délégation des pouvoirs financiers mis en place dans SAP, c’est-à-dire le pouvoir d’initier une dépense, une transaction et un engagement (article 32), le pouvoir de passation de marchés et d’attestation (article 34) et le pouvoir de payer (article 33) de la Loi sur la gestion des finances publiques.

1.4 Méthodologie

L’audit a été effectué en utilisant un certain nombre de méthodes, notamment les suivantes :

  • observation et analyse des processus;
  • examen et analyse de documentation;
  • entrevues avec la direction et le personnel de la Direction générale du dirigeant principal des finances (DGDPF);
  • examen et analyse de dossiers durant la période visée, soit du 1er avril 2017 au 30 juin 2018 :
    • examen d’un échantillon des réponses fournies par les directions générales lors de l’examen annuel des PSDF effectué par la DGDPF;
    • examen d’un échantillon de mesures prises par l’Unité de délégation financière (UDF) de la DGDPF, en réponse aux demandes de modification des PSDF dans SAP;
    • examen d’un échantillon de CSS.

2.0 Constatations de l’audit

2.1 Les processus d’examen et de surveillance du pouvoir délégué de signature des documents financiers sont officialisés

Recommandation no. 1 de l’audit de la Mise en œuvre de la délégation des pouvoirs de signature dans SAP de 2015

Le DPF devrait concevoir et mettre en place un processus officiel permettant de contrôler et de mettre à jour les instruments de délégation, les matrices d’autorisation électronique, les CSS et les processus de validation et d’authentification.

Réponse de la direction

La DGDPF s’active à créer des outils pour produire des rapports électroniques et elle les mettra en œuvre pour faciliter la surveillance et la mise à jour des instruments liés à la délégation (septembre 2015).

La fonctionnalité permettant de produire des rapports dans myEMS (SAP) sera éventuellement accessible en ligne et la DGDPF adaptera et documentera les processus de surveillance compensatoires qui sont utilisés afin d’officialiser le processus de surveillance lui-même (mars 2016).

Dans le cadre de la mise en œuvre de la délégation de pouvoirs dans SAP, la DGDPF a dressé et tient à jour un registre des CSS, dans lequel figure le nom et la signature relatifs au pouvoir délégué; les CSS sont renouvelées à intervalle de cinq ans.

Cartes de spécimen de signature

Lors de l’audit, on a constaté qu’il existe un processus de réception, d’examen, de validation, de mise à jour et d’activation des CSS. Les directives suivantes ont été officiellement consignées en septembre et en octobre 2018 :

  • « Procédures pour analyser et vérifier une demande de délégation de pouvoirs de signature en matière de finances »
  • « Procédures pour entrer et vérifier une demande d’autorisation de délégation intérimaire »
  • « Procédures pour activer une demande d’autorisation de délégation intérimaire »

L’audit a démontré que les contrôles relatifs à l’octroi de CSS fonctionnent tel qu’attendu, sur le plan opérationnel. On a pourtant constaté que l’octroi pouvait avoir lieu avant la réception de la copie papier de la CSS. Après vérification auprès de l’UDF, l’équipe d’audit a observé que, dans la plupart des cas, l’écart temporel est dû au fait que la délégation de pouvoirs a d’abord été accordée par voie électronique (lorsque la délégation est approuvée dans SAP) et que la CSS est signée par le gestionnaire peu de temps après.

Les entrevues avec les représentants de l’UDF et l’examen des documents ont permis de confirmer qu’il existe un processus officiel de révocation du PSDF quand le statut ou les responsabilités d’un employé changent, par exemple à la suite d’un départ, d’une mutation ou d’un congé prolongé.

Les procédures d’audit effectuées par l’équipe d’audit avaient pour but de déterminer si les PSDF avaient été révoqués conformément aux directives établies pour un échantillon d’employés ayant quitté le Ministère, ayant été mutés à une autre direction générale ou ayant pris un congé prolongé pendant la période visée par l’audit. Les mesures de contrôle ciblées étaient la réception de courriels dans une boîte aux lettres générique, la validation des renseignements et les mesures prises en temps opportun lors de la révocation.

L’équipe a pu confirmer que les mesures de contrôle liées au processus de révocation du PSDF quand le statut ou les responsabilités d’un employé changent, par exemple à la suite d’un départ, d’une mutation ou d’un congé prolongé, fonctionnent de la manière attendue.

Surveillance et mise à jour des instruments liés à la délégation

La DGDPF a conçu et mis en place différents outils et méthodes pour surveiller et mettre à jour les instruments liés à la délégation, comme il est indiqué ci-dessous.

Pour s’assurer que les PSDF figurant dans SAP sont à jour, la DGDPF effectue un examen annuel. Dans le cadre de cet examen, l’UDF dresse une liste des personnes à qui le PSDF a été délégué, par direction générale. Cette liste est soumise aux sous-ministres adjoints (SMA) par l’intermédiaire du site SharePoint, aux fins d’examen et de validation au sein de leur direction générale. Les directions générales demandent à ce que des modifications aux PSDF soient effectuées, s’ils ne sont plus nécessaires ou s’il faut changer leur date d’échéance. L’UDF analyse les listes transmises par les SMA avant de saisir les changements demandés dans SAP. L’UDF est responsable d’annuler ou de révoquer un PSDF. Les nouvelles demandes d’octroi de PSDF doivent cependant être soumises dans le portail myEMS, conformément au processus en place.

Le plus récent examen annuel des PSDF a eu lieu en mars 2018. L’audit a confirmé que l’examen a été réalisé selon les règles dans toutes les directions générales. Par ailleurs, on a officiellement consigné les activités relatives à cet examen en octobre 2018.

L’équipe d’audit a examiné un échantillon représentatif des réponses fournies par les directions générales lors de l’examen annuel des PSDF pour la période visée, afin de déterminer si la surveillance a été exécutée conformément aux procédures consignées. Les mesures de contrôle liées à l’examen et à l’approbation de la liste des personnes à qui ce pouvoir a été délégué, les réponses transmises par les directions générales à l’UDF et les mesures prises par l’UDF afin d’apporter les modifications demandées ont été vérifiées par l’équipe d’audit.

L’audit a permis de confirmer que les contrôles relatifs à l’examen annuel des PSDF fonctionnent comme on s’y attendait. Aucune erreur n’a été décelée dans 97,5 % des dossiers étudiés (39 sur 40). Une seule erreur, pour une proportion de 2,5 % (1 sur 40), a été découverte, il s’agissait d’une erreur humaine puisqu’on avait entré dans SAP une date d’échéance erronée pour la délégation.

En fonction de ces résultats, l’équipe d’audit a déterminé que les actions liées à cette recommandation ont été entièrement mises en œuvre.

2.2 Les pouvoirs incompatibles de signer des documents financiers sont surveillés

Recommandation no. 2 de l’audit de la Mise en œuvre de la délégation des pouvoirs de signature dans SAP de 2015

Le DPF devrait concevoir et mettre en place des contrôles permettant de repérer, à des fins d’examen ultérieur, les transactions pour lesquelles des pouvoirs incompatibles de signature des documents financiers sont exercés dans SAP.

Réponse de la direction

La DGDPF créera des outils pour produire des rapports électroniques et elle les mettra en œuvre afin de repérer les transactions pour lesquelles des pouvoirs incompatibles de signature des documents financiers sont exercés. Par la suite, on fera une analyse périodique de ces transactions dans SAP (mars 2018).

L’autorité conflictuelle d’exercer les « articles 33 et 34 » a été abordée lorsque le DPF a approuvé la grille révisée de délégation des pouvoirs le 22 mars 2016. La grille limite désormais l’exercice de ces pouvoirs et ne les accorde qu’aux spécialistes fonctionnels de la DGDPF.

De plus, en réponse à cette recommandation, la DGDPF s’est engagée à créer et à mettre en œuvre des outils pour produire des rapports qui identifiaient les transactions pour lesquelles des pouvoirs de signature incompatibles avaient été exercés. Le Centre d’expertise SAP a néanmoins été incapable de générer un rapport identifiant ces transactions pour la période couverte par l’audit. Il aurait fallu préparer trois rapports personnalisés, chacun représentant l’équivalent d’environ un mois de travail pour deux ressources, excluant les coûts futurs engendrés pour garder tout cela à jour.

D’après la note d’information présentée et approuvée par le DPF le 8 mars 2018, cela exigeait des efforts considérables alors que le nombre de transactions, dans une année, demeurait faible. La direction a donc décidé d’accepter le risque de ne pas mettre en œuvre cette recommandation.

Compte tenu des mesures déjà prises par la direction dans ce domaine, l’équipe d’audit a déterminé que les actions reliées à cette recommandation ont été entièrement mises en œuvre.

3.0 Conclusion

Les mesures incluses dans le PAD découlant de l’audit de la Mise en œuvre de la délégation des pouvoirs de signature dans SAP de 2015 ont été entièrement exécutées.

4.0 Énoncé d’assurance

Selon notre jugement professionnel, les procédures d’audit appliquées et les éléments probants recueillis sont suffisants et appropriés pour étayer l’exactitude des constatations présentées dans ce rapport. Ces dernières sont fondées sur des observations et des analyses des situations qui existaient au moment de l’audit. Les conclusions ne s’appliquent qu’à l’Audit de suivi de la conformité à l’article 34 dans SAP. Les éléments probants ont été recueillis conformément à la Politique sur l’audit interne du Conseil du Trésor et aux Normes internationales pour la pratique professionnelle de l’audit interne.

Annexe A : glossaire

CSS
Carte de spécimen de signature
DGDPF
Direction générale du dirigeant principal des finances
DPF
Dirigeant principal des finances
PAD
Plan d’action de la direction
PSDF
Pouvoirs de signature des documents financiers
SMA
Sous-ministres adjoints
UDF
Unité de délégation financière
Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :