Bureau de la vérification interne et de l’évaluation - Audit des contrôles de la paye au SCT

Table des matières

Résumé

Dans cette section

Pourquoi cet audit est important

En mai 2017, les employés du SCT avaient 3 458 demandes d’intervention de paye en attente de traitement. Les problèmes de paye se sont aggravés à un point tel que, en mai 2018, le nombre de demandes d’intervention de paye en attente de traitement a atteint 9 135. En juillet 2019, le nombre de demandes d’intervention de paye en attente était de 5 255.

En septembre 2019, 186 employés du SCT avaient reçu des avances de salaire en cas d’urgence, lesquelles totalisaient 516 000 $.

Dans le Sondage auprès des fonctionnaires fédéraux de 2019, la majorité des employés du SCT ont indiqué qu’ils avaient eu un problème lié à Phénix dans une faible ou une très grande mesure.

Le Bureau de la vérification interne et de l’évaluation du SCT a procédé à cet audit afin d’évaluer les contrôles internes administrés par le SCT. Son objectif était de s’assurer que le SCT veille à ce que les employés reçoivent à temps la paye qui leur est due.

Objectif de l’audit

L’objectif de cet audit était de déterminer si les contrôles internes de la paye administrés par le Secrétariat du Conseil du Trésor du Canada (SCT) permettent de garantir que les employés du SCT reçoivent à temps la paye qui leur est due.

L’audit a été effectué conformément aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes (IAI).

Principales observations

L’équipe d’audit conclut, avec un niveau d’assurance raisonnable, que le SCT a mis en place des contrôles adéquats pour garantir que ses employés reçoivent à temps la paye qui leur est due :

  • toutes les données saisies qui ont été examinées étaient exactes;
  • le respect du délai de saisie des données s’est considérablement amélioré après la mise en œuvre des normes énoncées dans un protocole d’entente entre le SCT et Services publics et Approvisionnement Canada (SPAC);
  • 92 % des personnes qui ont exercé le pouvoir d’attestation (article 34 de la Loi sur la gestion des finances publiques [LGFP]) avaient un pouvoir financier délégué;
  • bien que la moitié des paiements aient été autorisés (article 33 de la LGFP) sans pouvoir financier délégué officiel, ces autorisations s’inscrivaient dans le cadre du rôle de la personne autorisant les paiements;
  • les contrôles de surveillance qui sont en place pour relever les erreurs de paye sont principalement axés sur les risques financiers;
  • l’accès au système Phénix est généralement approprié et contrôlé, et la séparation des tâches est assurée;
  • l’équipe d’audit a relevé un cas où l’accès au système PeopleSoft n’avait pas été dûment autorisé.

Recommandations

  1. Vérifier que les personnes qui signent les lettres d’offre possèdent un pouvoir financier délégué (article 34 de la LGFP) et que les personnes qui exercent le pouvoir de payer (article 33 de la LGFP) possèdent un pouvoir financier délégué.
  2. Élaborer, approuver et mettre en œuvre un processus d’assurance de la qualité pour contrôler les opérations de paye.
  3. Continuer de surveiller les opérations de ressources humaines en fonction des risques et communiquer les informations pertinentes à Services publics et Approvisionnement Canada et au Bureau du dirigeant principal des ressources humaines.
  4. Renforcer les contrôles de gestion de l’accès à PeopleSoft.

Énoncé de conformité

Le Bureau de la vérification interne et de l’évaluation a réalisé l’audit des contrôles de la paye au SCT. Cet audit est conforme aux Normes internationales pour la pratique professionnelle de l’audit interne de l’IAI, comme le confirment les résultats du programme d’assurance et d’amélioration de la qualité du SCT.

1. Introduction

En 2009, le gouvernement du Canada a approuvé l’Initiative de transformation de l’administration de la paye afin de régler les problèmes liés au logiciel de paye existant. L’initiative comportait deux projets principaux : la modernisation des services et des systèmes de paye et le regroupement des services de paye. Le projet de modernisation des services et des systèmes de paye comprenait la mise en œuvre du système de paye Phénix. Le projet de regroupement des services de paye comprenait la création du Centre des services de paye de la fonction publique et la centralisation des opérations de paye à Miramichi, au Nouveau‑Brunswick. Le Centre des services de paye, qui fait partie de Services publics et Approvisionnement Canada (SPAC), est responsable de la gestion des services de paye pour 50 ministères et organismes fédéraux, dont le Secrétariat du Conseil du Trésor du Canada (SCT).

Le système de paye Phénix a été mis en œuvre au SCT en février 2016. Le but était de remplacer une technologie désuète par un système de rémunération moderne harmonisé avec les pratiques exemplaires de l’industrie, ce qui devait se traduire par des paiements plus rapides, moins de formalités administratives et des processus simplifiés. SPAC a piloté la mise en œuvre de Phénix, laquelle s’est effectuée en deux vagues. Ainsi, en février et en avril 2016, 101 organisations fédérales ont été intégrées au nouveau système de paye.

Le SCT compte sur SPAC pour assurer l’efficacité de Phénix et sur le Centre des services de paye pour traiter la paye des employés correctement et à temps. Les responsabilités du SCT en matière d’administration de la paye se limitent à veiller à ce que les renseignements qu’il fournit à Phénix et au Centre des services de paye soient valides, à jour, complets et exacts. La figure 1 illustre la manière dont la paye est administrée au SCT.

   
Figure 1. Administration du processus de paye au SCT
               
    Figure 1 - Version textuelle        

La figure 1 illustre la façon dont le processus de paye est administré au Secrétariat du Conseil du Trésor du Canada (SCT).

Le processus débute par un employé demandant qu’une modification soit apportée à sa paye.

Le processus suivant varie selon que la modification demandée est liée au temps et au travail ou au statut de l’employé (par exemple, un nouvel employé). Les processus sont comme suit.

Processus lié au temps et au travail

Les deux premières étapes sont effectuées par le SCT :

  1. l’employé verse la demande dans Phénix (par exemple, heures supplémentaires ou congé non payé de moins de six jours);
  2. le gestionnaire approuve la demande dans Phénix.

L’étape suivante est effectuée par Services publics et Approvisionnement Canada (SPAC) :

  1. Phénix calcule la rémunération et produit un rapport de paye (IO50).

L’étape suivante est effectuée par le SCT :

  1. la Division de la gestion financière du SCT examine le rapport et autorise SPAC à émettre le paiement.

L’employé reçoit alors le paiement.

Processus de changement de statut d’employé

Les deux premières étapes sont effectuées par le SCT :

  1. la documentation signée (lettre d’offre, formulaire de nomination intérimaire) est envoyée à la Division des ressources humaines;
  2. la Division des ressources humaines verse les données dans PeopleSoft.

Les deux étapes suivantes sont effectuées par SPAC :

  1. un conseiller salarial verse des données supplémentaires (par exemple, le montant de la rémunération, la progression d’échelon) dans Phénix;
  2. Phénix calcule la rémunération de l’employé et produit un rapport de paye (IO50).

La Division de la gestion financière du SCT examine le rapport de paye (OI50) et autorise SPAC à émettre le paiement.

L’employé reçoit alors le paiement.

           

En mai 2018, SPAC a annoncé une nouvelle stratégie visant à régler les problèmes de paye, à savoir la mise sur pied d’« équipes mixtes de paye », lesquelles sont des groupes de conseillers en rémunération responsables des mesures liées à la paye et affectés à un ministère ou à un organisme en particulier. Les équipes mixtes de paye devaient adopter progressivement une approche de gestion de cas selon laquelle les conseillers en rémunération de SPAC régleraient toutes les opérations en souffrance dans le dossier d’un employé. L’approche précédente consistait à régler les problèmes de paye par type d’opération. La nouvelle approche visait à garantir un traitement plus efficace de la paye et un meilleur service à la clientèle.

En juillet 2018, le SCT et SPAC ont signé un protocole d’entente (PE) faisant état de leur interdépendance en matière d’administration de la paye. Le PE énonce les conditions régissant la mise en œuvre et les activités d’une équipe mixte de paye affectée à quatre ministères, dont le SCT. À titre de ministère, le SCT est chargé de garantir que les opérations de ressources humaines (RH) soient traitées correctement et à temps, afin que l’équipe mixte de paye puisse effectuer les opérations de paye le plus efficacement possible et que le nombre de rajustements nécessaires après le versement de la paye soit réduit au minimum.

En avril 2019, le Bureau du dirigeant principal des ressources humaines (BDPRH) a élaboré un plan de mise en œuvre visant à améliorer la ponctualité et l’exactitude de la paye. Ce plan visait à donner suite au rapport de l’automne 2017 du Bureau du vérificateur général du Canada (BVG) intitulé Les problèmes liés au système de paye Phénix, lequel révélait qu’il arrivait souvent aux ministères de ne pas être en mesure de respecter les délais de traitement imposés par Phénix, ce qui entraînait des erreurs de paye. Le plan prévoyait pour les ministères des délais normalisés pour la saisie de données relatives à 11 types d’opérations de RH. Ces délais visaient à réduire la fréquence de saisie de données postérieure à la date d’entrée en vigueur de l’opération et ainsi à prévenir les erreurs de paye. Les délais normalisés sont entrés en vigueur le 1er avril 2019.

2. Détails de l’audit

Dans cette section

2.1 Pouvoirs

Le présent audit des contrôles de la paye au SCT s’inscrit dans le Plan d’audit et d’évaluation intégré 2019-2020 approuvé du SCT.

2.2 Objectif et portée

L’objectif de cet audit était de déterminer si les contrôles internes de la paye effectués par le SCT permettent de garantir que les employés du SCT reçoivent à temps la paye qui leur est due.

Compte tenu des risques évalués lors l’exercice de la planification des audits et des évaluations de 2019‑2020, l’audit a été désigné comme étant prioritaire. En effet, depuis la transition du SCT vers Phénix en 2016, les employés ont connu divers problèmes : trop‑payés, moins‑payés et, dans certains cas, non‑paiement du salaire. Le présent audit a donc pour but de garantir que la Division des ressources humaines (DRH) et la Division de la gestion financière (DGF) du SCT veillent à ce que les employés du SCT reçoivent à temps la paye qui leur est due.

L’audit visait la période de février 2016 à novembre 2019.

L’audit ne comprenait aucune évaluation du versement d’avances de salaire en cas d’urgence et de paiements prioritaires aux employés du SCT.

2.3 Approche et méthodologie

L’approche et la méthodologie de l’audit étaient fondées sur les risques et conformes aux Normes internationales pour la pratique professionnelle de l’audit interne de l’IAI, selon lesquelles l’audit doit être planifié et mené de façon à fournir l’assurance raisonnable que les objectifs ont été atteints.

Les méthodes utilisées dans le cadre de l’audit ont été les suivantes :

  • réalisation d’entrevues auprès de membres de la direction et du personnel ainsi que d’intervenants clés;
  • examen et analyse de documents;
  • évaluation des procédures, des tests et de l’analyse des données de la DRH et de la DGF.

3. Résultats de l’audit

Dans cette section

3.1 État actuel

En mai 2017, soit un an après la mise en œuvre de Phénix au SCT, on recensait 3 458 demandes d’intervention de paye en attente de traitement, faites par 1 580 employés. Les problèmes de paye se sont aggravés à un point tel que, en mai 2018, le nombre de demandes d’intervention de paye en attente de traitement a atteint 9 135 et concernaient un total de 2 788 employés.

Depuis trois ans, dans le Sondage auprès des fonctionnaires fédéraux (SAFF), on demande aux employés du SCT d’indiquer la mesure dans laquelle leur paye a été touchée par des problèmes liés à Phénix. La figure 2 montre que la majorité des employés du SCT ont déclaré avoir éprouvé des problèmes liés à Phénix dans une faible ou une très grande mesure depuis 2017.

   
Figure 2. Employés du SCT touchés par des problèmes liés au système de paye Phénix
               
    Figure 2 - Version textuelle        

La figure 2 est un graphique linéaire qui montre, pour l’ensemble de la fonction publique et le Secrétariat du Conseil du Trésor du Canada, les résultats du Sondage auprès des fonctionnaires fédéraux de 2019, de 2018 et de 2017 pour la question « Dans quelle mesure votre paye ou autre rémunération a-t-elle été touchée par les problèmes du système de paye Phénix? ».

Le tableau suivant présente les données pour l’ensemble de la fonction publique.

Réponse 2019 2018 2017
Pas du tout

25 %

29 %

30 %

Dans une faible mesure

32 %

26 %

24 %

Dans une certaine mesure

20 %

20 %

19 %

Dans une large mesure

10 %

11 %

11 %

Dans une très large mesure

10 %

11 %

12 %

Ne sais pas

2 %

2 %

4 %

Sans objet

1 %

1 %

1 %

Le total des répondants pour chaque année était le suivant :

  • 2019 : 181 161
  • 2018 : 161 576
  • 2017 : 174 272

Le tableau suivant présente les données pour le Secrétariat du Conseil du Trésor du Canada.

Réponse 2019 2018 2017
Pas du tout

27 %

25 %

28 %

Dans une faible mesure

31 %

30 %

24 %

Dans une certaine mesure

20 %

19 %

23 %

Dans une large mesure

11 %

14 %

12 %

Dans une très large mesure

9 %

10 %

10 %

Ne sais pas

2 %

1 %

3 %

Sans objet

1 %

1 %

1 %

Le total des répondants pour chaque année était le suivant :

  • 2019 : 1 795
  • 2018 : 1 381
  • 2017 : 1 510
           

En juin 2018, un nouveau moyen de stabiliser le système de paye a été introduit qui s’est traduit par la mise en place d’une équipe mixte de paye affectée au SCT. L’approche consistait à gérer les opérations de RH de telle sorte que « les nouveaux problèmes ne deviennent pas de vieux problèmes » : les nouvelles opérations allaient dorénavant être traitées en premier, ce qui allait réduire au minimum le risque que de nouvelles opérations « vieillissent ». La figure 3 illustre l’incidence de cette approche sur les employés du SCT qui avaient des demandes d’intervention de paye en attente de traitementFootnote 1.

   
Figure 3. Nombre d’employés du SCT ayant des demandes d’intervention de paye en attente de traitement
               
    Figure 3 - Version textuelle        

La figure 3 est un graphique linéaire complexe qui indique les éléments suivants pour certains mois depuis 2017 :

  • le nombre de demandes non traitées de 30 jours ou moins, de plus de 30 jours, mais d’un an ou moins, et de plus d’un an;
  • le nombre de codes d’identification de dossier personnel (CIDP) ayant des demandes non traitées de 30 jours ou moins, de plus de 30 jours, mais d’un an ou moins, et de plus d’un an;

Une ligne verticale, en juin 2018, indique la date de la mise sur pied des équipes mixtes de paye du SCT.

Le tableau suivant indique l’ancienneté des cas actifs pendant certains mois.

Mois Nombre de cas selon l’ancienneté
30 jours ou moins Plus de 30 jours, mais un an ou moins Plus de 1 an
Juin 2017

612

3 073

412

Décembre 2017

757

3 850

1 549

Juin 2018

755

4 091

2 214

Décembre 2018

580

3 025

2 669

June 2019

390

1,542

2 773

Le tableau suivant indique, pour certains mois depuis 2017, le nombre de CIDP présentant des cas actifs, selon l’ancienneté des cas.

Date Nombre de CIDP ayant des cas actifs, selon l’ancienneté des cas
30 jours ou moins Plus de 30 jours, mais un an ou moins Plus de 1 an
Juin 2017

457

1 472

337

Décembre 2017

525

1 743

913

Juin 2018

543

1 928

1 193

Décembre 2018

439

1 851

1 419

Juin 2019

315

1 068

1 542

Lorsque les équipes mixtes de paye du SCT ont été mises sur pied en juin 2018, le nombre total de cas non traités de 30 jours à 1 an a diminué, et le nombre total de cas de plus d’un an a augmenté.

           

Depuis juillet 2018, le nombre d’employés dont les demandes d’intervention de paye dataient de moins d’un an a diminué, probablement en raison de l’approche adoptée, qui consiste à traiter immédiatement les nouvelles opérations. Toutefois, le nombre de demandes datant de plus d’un an a augmenté à un point tel que, en juillet 2019, la plupart des demandes émanant d’employés du SCT dataient de plus d’un an. Ainsi, l’approche de l’équipe mixte de paye a été efficace pour les employés dont les demandes d’intervention de paye sont récentes, mais elle n’a pas eu d’incidence significative sur le traitement des demandes datant de plus d’un an.

En juillet 2019, 5 255 demandes d’intervention de paye émanant d’employés du SCT étaient toujours en attente de traitement. Ce nombre, de même que les résultats du Sondage auprès des fonctionnaires fédéraux, confirment l’importance de la présente mission d’audit. Le SCT doit s’assurer qu’il met en place des contrôles adéquats pour :

  • prévenir les erreurs de saisie de données;
  • surveiller les opérations de RH et de paye;
  • vérifier que l’accès au système est approprié.

3.2 Contrôles destinés à prévenir les erreurs de paye : saisie de données

Au SCT, PeopleSoft et Phénix sont deux composantes essentielles de l’administration de la paye. La saisie des données relatives aux opérations de RH est effectuée dans PeopleSoft par l’équipe de saisie de données de la DRH, et les données sont téléversées dans Phénix en temps réel. Ces opérations de RH concernent entre autres les nouveaux employés, les départs et les employés mutés entre les ministères. Un retard dans l’entrée de données dans PeopleSoft ou des données inexactes peuvent causer des problèmes de paye aux employés.

L’équipe d’audit a examiné 90 opérations de RH pour déterminer si la saisie de données dans PeopleSoft avait été effectuée correctement. Elle a constaté que toutes les données saisies étaient exactes, mais a relevé un cas où les données saisies dans PeopleSoft n’avaient pas été téléversées dans Phénix, ce qui avait conduit à une erreur de paye pour un employé.

L’équipe d’audit a examiné 67 des 90 opérations de RH de l’échantillon afin de déterminer si la saisie de données dans PeopleSoft avait été effectuée à temps. Elle a observé, à cet égard, une nette amélioration qui coincide avec la mise en place des délais normalisés le 1er avril 2019. L’examen a porté sur 31 opérations de paye effectuées avant l’établissement des délais normalisés et 36 opérations de paye effectuées après l’établissement de ces délais. Si l’on se réfère à la norme, qui est généralement de 10 jours ouvrables avant la date d’entrée en vigueur de l’opération, on constate que le respect du délai de saisie des données est passé de 3 % à 61 %. Cette amélioration devrait se traduire par une diminution de la probabilité de problèmes de paye pour les employés.

Lors de son examen des 67 opérations de RH en question, l’équipe d’audit a constaté que les données avaient été saisies en retard à une occasion dans PeopleSoft, ce qui avait conduit à une erreur de paye pour un employé.

Les employés saisissent les heures supplémentaires et les congés non payés (de moins de six jours) directement dans Phénix, et les gestionnaires des centres financiers sont chargés d’approuver ces opérations. L’équipe d’audit a examiné 25 opérations de RH afin de déterminer la ponctualité de la saisie de données par les employés du SCT et des approbations accordées dans Phénix par les gestionnaires de centres financiers. Elle a constaté que 5 opérations avaient été saisies et approuvées à temps et que ces opérations avaient été correctement prises en compte dans la période de paye au cours de laquelle elles avaient eu lieu. Les 20 autres opérations avaient été saisies ou approuvées trop tard par les employés ou les gestionnaires pour être prises en compte dans la période de paye au cours de laquelle elles avaient eu lieu. Malgré ces retards dans la saisie de données, il n’est survenu aucun problème de paye ayant une incidence financière sur les employés concernés.

En somme, la majeure partie des données saisies par la DRH dans PeopleSoft étaient exactes, et l’on constate une amélioration perceptible du respect du délai de saisie des données.

3.3 Pouvoir d’attestation et de paiement

La Loi sur la gestion des finances publiques (LGFP) établit le cadre juridique régissant l’utilisation des deniers publics. L’article 34 de la LGFP confère à la personne exerçant le pouvoir d’attestation le pouvoir d’attester que l’employé est admissible à un paiement. En ce qui a trait à l’administration de la paye, l’article 34 s’applique lorsqu’un gestionnaire de centre financier signe une lettre d’offre pour approuver les paiements provenant de son centre financier désignéFootnote 2. Une lettre d’offre, signée par le gestionnaire du centre financier concerné, confirme que l’employé est admissible au paiement d’un salaire par le SCT.

Une fois que la lettre d’offre a été signée par le gestionnaire du centre financier et par l’employé, une source fiableFootnote 3 au sein de la DRH envoie la documentation, accompagnée d’un formulaire de demande d’intervention de paye (DIP), au Centre des services de paye. La source fiable veille à ce que toute la documentation nécessaire à l’appui ait été obtenue et que la DIP soit complète et exacte avant d’envoyer l’information au Centre des services de paye. Afin que les erreurs de paye soient évitées dans la mesure du possible et que toutes les demandes de paye soient autorisées, seules les personnes figurant sur la liste des sources fiables peuvent envoyer une DIP au Centre des services de paye. La DRH est chargée de vérifier que les signatures figurant dans la lettre d’offre sont authentifiées par un gestionnaire de centre financier qui dispose du pouvoir financier délégué.

L’article 33 de la LGFP confère à la personne exerçant le pouvoir de payer le pouvoir de demander des paiements. En vertu de cet article, la DGF vérifie les paiements selon une approche axée sur les risques avant et après leur versement aux employés. L’article 33 vise à garantir que les paiements versés aux employés sont raisonnables.

Pour posséder un pouvoir délégué officiel, les personnes exerçant les pouvoirs d’attestation et de paiement doivent avoir rempli et signé des formulaires qui énoncent leurs responsabilités. La figure 4 présente des renseignements sur les pouvoirs exercés en vertu des articles 33 et 34 dans le cadre du processus d’embauche.

   
Figure 4. Processus lié au pouvoir d’attestation (article 34) et au pouvoir de payer (article 33)
               
    Figure 4 - Version textuelle        

La figure 4 illustre les étapes pour l’approbation de la paye en vertu de la Loi sur la gestion des finances publiques.

Il y a 6 étapes en tout.

Les quatre premières étapes sont réalisées en vertu de l’article 34 de la Loi :

  1. Le gestionnaire du centre financier exerce son pouvoir en vertu de l’article 34 en signant une lettre d’offre
  2. La lettre d’offre et les autres documents pertinents sont envoyés à la Division des ressources humaines (DRH)
  3. La DRH s’assure que la demande de dotation a été autorisée par un gestionnaire (article 34) pour le centre financier et effectue la saisie de données dans PeopleSoft
  4. La source de confiance envoie la demande d’intervention de paye et d’autres documents signés pertinents au Centre de paye

Les deux dernières étapes sont accomplies en vertu de l’article 33 de la Loi :

  1. Le système de paye Phénix calcule la paye des employés en fonction des données saisies, et le Centre des services de paye envoie un rapport à la Division de la gestion financière (DGF) du SCT
  2. La DGF exerce le pouvoir qui lui est conféré en vertu de l’article 33 en vérifiant et en approuvant les paiements
           

L’équipe d’audit a examiné 25 DIP et les lettres d’offre qui les accompagnent afin de tester les deux principaux contrôles et ainsi déterminer :

  • si la personne qui a signé la lettre disposait du pouvoir d’attestation (article 34);
  • si la personne qui a envoyé la DIP au Centre des services de paye figurait sur la liste des sources fiables.

L’équipe d’audit a constaté que toutes les DIP avaient été envoyées par des personnes figurant sur la liste des sources fiables. Toutefois, deux des lettres d’offre avaient été signées par des personnes qui ne disposaient pas du pouvoir d’attestation (article 34). Ces personnes possédaient un pouvoir financier, lequel ne s’étendait toutefois pas aux centres financiers pour lesquels elles avaient apposé leur signature. Néanmoins, l’équipe d’audit a indiqué que, dans les deux cas, les mesures de dotation avaient été approuvées par la haute direction du SCT.

L’équipe d’audit a examiné 25 paiements afin de déterminer si la personne qui a exercé le pouvoir de payer (article 33) avait le pouvoir délégué officiel d’approuver le paiement à l’employé. Elle a constaté que 3 personnes ayant approuvé 13 paiements dans Phénix ne possédaient pas le pouvoir financier délégué officiel requis. En l’occurrence, les formulaires de délégation de pouvoirs n’avaient pas été remplis et approuvés par un superviseur. Malgré le fait que ces personnes ne possédaient pas de pouvoir délégué officiel, l’approbation des paiements aux employés s’inscrivait dans le cadre de leur rôle organisationnel au sein de la DGF.

Il est nécessaire de connaître les principaux contrôles requis dans le cadre du pouvoir d’attestation (article 34) et du pouvoir de payer (article 33) pour assurer la bonne gestion des fonds publics. En effet, si l’on vérifie que les personnes qui possèdent le pouvoir de payer ont signé le formulaire de délégation de pouvoir, il est possible de confirmer que les personnes autorisées vérifient les paiements pour s’assurer qu’ils sont raisonnables. De plus, si l’on veille à ce que les lettres d’offre soient signées par les gestionnaires des centres financiers qui possèdent les pouvoirs délégués financiers appropriés, il est possible de confirmer que le ministère verse un salaire à un employé admissible.

Recommandation : Le secrétaire adjoint du Secteur des services ministériels devrait veiller à ce que les pouvoirs financiers délégués (article 33) soient officialisés.

Recommandation : Le directeur général de la Division des ressources humaines devrait informer le personnel de la nécessité de vérifier que les gestionnaires des centres financiers qui détiennent le pouvoir d’attestation (article 34) sont habilités à exercer un pouvoir financier délégué sur le poste à doter.

3.4 Surveiller les opérations de paye pour repérer les erreurs de paye

3.4.1 Cadre de vérification des comptes

La Ligne directrice sur la gestion financière de l’administration de la paye, publiée par le SCT et applicable à l’ensemble du gouvernement du Canada, décrit un processus d’assurance de la qualité permettant aux ministères de déterminer si la paye est raisonnable et si des erreurs importantes se produisent pendant le processus d’administration de la paye.

Le processus d’assurance de la qualité comprend un examen des opérations de paye qui est réalisé avant et après le versement du paiement aux employés. Ce processus comporte les deux volets suivants :

  1. l’examen effectué par la personne détenant le pouvoir de payer (en vertu de l’article 33) avant et après le versement des paiements aux employés;
  2. un deuxième examen périodique d’un échantillon d’opérations de paye.

La portée et la fréquence du deuxième examen devraient être fondées sur les risques et tenir compte de l’examen effectué par la personne détenant le pouvoir de payer en vertu de l’article 33. De plus, l’approche relative à l’assurance de la qualité doit être consignée et être approuvée par le dirigeant principal des finances (DPF).

L’équipe d’audit a examiné la documentation pertinente à l’appui du processus d’assurance de la qualité et a mené des entrevues auprès du personnel de la DGF afin de déterminer si le processus en place était conforme à la ligne directrice.

Un cadre provisoire de vérification des comptes a été mis en place, permettant l’établissement d’un processus d’assurance de la qualité pour le SCT. Le cadre décrit les rôles et les responsabilités de la DGF, de la DRH et des gestionnaires des centres financiers en matière d’administration de la paye. Il décrit également la manière dont le risque doit être évalué pour divers types d’opérations de paye. Les départs et les indemnités sont considérés comme des opérations de RH à risque élevé en raison du risque de non-recouvrement des trop‑payés dans le premier cas et des interventions manuelles que le Centre des services de paye devrait effectuer pour déterminer le montant de l’indemnité dans le second. Le cadre préconise un examen trimestriel des opérations de paye.

Selon la Ligne directrice sur la gestion financière de l’administration de la paye, le niveau d’examen effectué par la personne détenant le pouvoir de payer en vertu de l’article 33 avant le versement des paiements aura une incidence directe sur le niveau d’examen effectué après le versement des paiements. Le processus actuel consiste à examiner toutes les opérations de paye de plus de 10 000 $ avant le versement des paiements. Une fois les paiements versés, la personne détenant le pouvoir de payer procède à l’examen de toutes les opérations dont l’écart entre les deux dernières périodes de paye est supérieur à 500 $. Or, ce processus n’est pas inclus dans le cadre provisoire de vérification des comptes. Pourtant, le travail d’assurance de la qualité effectué par la personne détenant le pouvoir de payer en vertu de l’article 33 est important en ce qu’il permet de connaître la portée et la fréquence du deuxième examen trimestriel. Le cadre devrait donc en faire mention.

Un processus d’assurance de la qualité au point, lorsqu’il aura été approuvé par le DPF puis mis en œuvre, permettra d’augmenter la probabilité que les erreurs de paye soient décelées et améliorera les pratiques de contrôle de l’administration de la paye.

Recommandation : Le secrétaire adjoint du Secteur des services ministériels devrait élaborer, approuver et mettre en œuvre le processus d’assurance de la qualité applicable à l’administration de la paye.

3.4.2 Processus de surveillance

Il est nécessaire de surveiller les opérations de paye pour s’assurer que les employés du SCT reçoivent à temps la paye qui leur est due. Un cadre de surveillance permettrait d’augmenter la probabilité que les erreurs de paye soient relevées sans qu’il faille se fier aux employés pour déterminer s’ils reçoivent ou non le montant exact qui leur est dû.

L’équipe d’audit a examiné les pratiques de surveillance en place et a constaté que la DRH et la DGF ont recours aux méthodes décrites ci-dessous pour surveiller les opérations de paye.

  • Toutes les deux semaines, la DGF reçoit un rapport de SPAC contenant la liste des employés qui ont reçu des paiements supérieurs à 10 000 $ et la liste des employés dont la paye n’a pas été versée. La personne détenant le pouvoir de payer en vertu de l’article 33 vérifie, avec l’aide de la DRH, les paiements en question avant leur approbation.
  • Une fois les paiements approuvés, la personne détenant le pouvoir de payer en vertu de l’article 33 vérifie tout écart de plus de 500 $ entre les deux périodes de paye précédentes.
  • Chaque trimestre, le SCT (à titre de ministère) est tenu de produire un rapport à l’intention du Bureau du contrôleur général sur le montant des moins‑payés et des trop‑payés afin d’assurer une compréhension collective des répercussions financières découlant des problèmes de paye de Phénix. Pour réaliser ce travail, la DGF analyse les écarts de paiement supérieurs à 5 000 $ et envoie aux différents secteurs du SCT la liste des employés concernés aux fins d’examen et de validation.
  • La DRH peut envoyer quatre demandes prioritaires par semaine au Centre des services de paye. Les demandes prioritaires sont celles concernant des employés du SCT qui éprouvent des problèmes de paye dont les répercussions financières sont importantes, notamment :
  • la réception, pendant plusieurs années, d’une paye correspondant au mauvais échelon de rémunération;
  • des questions non réglées concernant un congé de maternité;
  • les problèmes de paye accumulés en raison d’une mutation entre ministères qui n’ont pas été encore effectué dans le système.

Le Centre des services de paye rend compte des progrès des travaux à la DRH afin de permettre le suivi du dossier de l’employé.

Si une erreur de paye n’est pas décelée par ces pratiques de contrôle, il est fort probable que ce soit l’employé lui-même qui ait communiqué avec la DRH ou avec le Centre des services de paye mentionnant un éventuel problème relatif à sa paye.

Les pratiques de contrôle actuelles sont principalement axées sur le risque financier associé aux opérations de paye. Or, pour que la découverte des problèmes de paye dépende le moins possible de la vigilance des employés, la surveillance devrait aussi permettre de déterminer les opérations de paye à risque élevé plus tôt pendant le processus de paye, par exemple au moment de la saisie de données ou lorsqu’une DIP est envoyée au Centre des services de paye, et de suivre les paiements versés aux employés afin de vérifier que ces derniers reçoivent à temps la paye qui leur est due.

Par exemple, la surveillance pourrait être axée sur la vérification des paiements qui se rapportent à des opérations nécessitant des rajustements manuels ou ayant par le passé donné lieu à des erreurs. La surveillance pourrait aussi permettre de suivre le dossier des employés qui éprouvent des problèmes de paye afin de déterminer si ces problèmes ont été résolus. Le plan de mise en œuvre du PE conclu entre SPAC et le SCT exige que ce dernier examine le rapport quotidien  IO49 de Phénix, qui permet de cerner les problèmes d’intégrité des données entre PeopleSoft et Phénix. L’examen de ce rapport aurait peut-être mené à une détermination plus rapide de la deuxième erreur de paye soulevée au paragraphe 3.2 du présent rapport, vu que les données communiquées entre PeopleSoft et Phénix n’avaient pas été correctement intégrées. Ces méthodes de surveillance pourraient contribuer à déceler les erreurs de paye plus tôt et viendraient s’ajouter aux contrôles de surveillance existants.

À l’été 2019, la DRH a commencé à suivre les progrès réalisés par rapport à ses engagements consistant à mettre en œuvre des délais normalisés pour la saisie de données relatives à 11 opérations de RH. En particulier, la DRH surveillait la ponctualité de la saisie de données dans PeopleSoft et examinait la première paye versée aux étudiants pour déterminer si elle était exacte. Les résultats ont démontré que les étudiants étaient payés à temps, mais que le montant de certains paiements était incorrect.

La poursuite de cette surveillance, conjointement avec les pratiques de surveillance actuelles, permettrait d’augmenter la probabilité que des erreurs de paye soient relevées et que les employés du SCT reçoivent à temps leur paye exacte.

Recommandation : Le directeur général de la Division des ressources humaines devrait continuer de surveiller les opérations de RH en fonction des risques qu’elles représentent pour les employés du SCT et en communiquer les résultats à SPAC et au BDPRH.

3.5 Accès au système

La gestion des identités et de l’accès (GIA) est le processus consistant à déterminer les personnes qui peuvent accéder à telle ou telle information au fil du temps. L’IAM est un concept général qui englobe les politiques, les processus, les méthodologies et les outils permettant de maintenir les privilèges d’accès dans un environnement de TI et notamment d’accorder l’accès aux utilisateurs autorisés et de refuser l’accès aux utilisateurs non autorisés. Au SCT, le privilège d’accès implique l’identification des utilisateurs autorisés ou désignés ainsi que le suivi, le contrôle et la gestion de leur accès au système de paye Phénix et à PeopleSoft.

De plus, la GIA sert à garantir que des politiques appropriées de contrôle d’accès sont en place pour protéger les renseignements confidentiels et de nature délicate, dont les salaires des employés, les adresses domiciliaires et les codes d’identification de dossier personnel (CIDP). Les contrôles d’accès du SCT pour les systèmes de paye permettent :

  • l’identification et l’authentification des utilisateurs;
  • la restriction de l’accès;
  • la création de pistes d’audit visant à prévenir toute utilisation ou manipulation inappropriée des dossiers et des données de paye.

Ces contrôles garantissent que seules les personnes dûment autorisées et ayant un but légitime ont accès à l’information et aux données sur la paye du SCT. En bref, la GIA est un élément essentiel des protocoles de sécurité et de conformité du SCT en ce qui concerne l’administration de la paye.

L’équipe d’audit a donc examiné les contrôles de la GIA pour Phénix et PeopleSoft, puisque ces systèmes constituent un élément essentiel du processus d’administration de la paye.

3.5.1 Phénix

Phénix compte 10 rôles d’utilisateurs fonctionnels principaux. Trois rôles d’utilisateurs secondaires peuvent être attribués en complément de certains des rôles d’utilisateurs fonctionnels. Les rôles d’utilisateurs fonctionnels de Phénix permettent l’accès à une quantité importante de données sur les employés, y compris des renseignements personnels qui se rapportent à la paye et d’autres données liées aux RH.

C’est pourquoi l’une des principales exigences en matière de protection de la vie privée en ce qui a trait au système de paye Phénix concerne la protection des renseignements personnels et le contrôle de l’accès. En clair, l’accès aux rôles d’utilisateurs fonctionnels de Phénix ne devrait être accordé qu’aux employés qui en ont besoin pour effectuer des tâches précises liées à leur emploi.

L’équipe de gestion de la sécurité de Phénix (EGSP) de SPAC assure la gestion de l’accès au système de paye Phénix, avec l’aide d’un vaste réseau d’agents de contrôle de l’accès pour la sécurité (ACAS) au sein des ministères clients. Les ACAS sont des employés des ministères clients (dont le SCT) et sont le principal point de contact entre leur ministère et l’EGSP pour les questions liées aux autorisations d’accès au système de paye Phénix.

Au SCT, les ACAS sont désignés par le gestionnaire chargé de la liaison en ce qui concerne la rémunération et les systèmes de RH. Lorsque de nouveaux ACAS sont sélectionnés, cette personne doit remplir et signer le formulaire d’inscription de l’agent de contrôle de l’accès pour la sécurité au système de paye du gouvernement du Canada (Phénix), le faire signer par la personne désignée comme le nouvel ACAS, puis l’envoyer à l’EGSP. Ce formulaire sert également à mettre à jour ou à révoquer les privilèges de l’ACAS.

Tout accès à Phénix qui va au‑delà de l’accès libre-service standard doit être demandé à l’aide du formulaire Système de paye du Gouvernement du Canada (Phénix) – Formulaire de demande d’accès à l’environnement de production (interne). La demande d’accès est faite par le gestionnaire de l’utilisateur, qui indique sur le formulaire le ou les rôles précis demandés. L’utilisateur et son gestionnaire doivent remplir le formulaire et le signer pour confirmer qu’ils comprennent les exigences en matière de protection des renseignements personnels et de sécurité.

Les demandes d’accès doivent être examinées, validées et signées par un ACAS avant d’être envoyées à l’EGSP aux fins de traitement. De plus, l’ACAS est responsable de veiller à ce que les formulaires de demande d’accès soient remplis correctement et signés par l’utilisateur et son gestionnaire. L’ACAS doit également vérifier que l’accès demandé :

  • est approprié compte tenu des fonctions et des responsabilités de l’utilisateur;
  • n’entre pas en conflit avec le ou les rôles existants de l’utilisateur, le cas échéant.
Gestion de l’accès

La pratique exemplaire de l’industrie fait appel au principe de droit d’accès minimal, selon lequel l’utilisation des systèmes de technologie de l’information se limite aux composantes dont l’employé a besoin pour s’acquitter de ses fonctions professionnelles immédiates.

L’équipe d’audit a donc vérifié si l’accès à Phénix était limité au personnel approprié. Pour étayer son évaluation, elle a pris note des éléments suivants :

  • les rôles et les définitions des utilisateurs de Phénix, ainsi que le processus de gestion de l’accès, sont disponibles et officiellement consignés;
  • les sept utilisateurs dont l’accès a été examiné avaient tous obtenu un accès valide et dûment autorisé à Phénix qui correspondait à leurs rôles et profils organisationnels.

L’équipe a conclu qu’un processus permettant d’accorder l’accès aux utilisateurs de Phénix est en place et que ce processus fonctionne comme prévu.

Séparation des tâches

L’équipe d’audit a vérifié si la séparation des tâches était maintenue. Pour étayer son évaluation, elle a pris note des éléments suivants :

  • les demandes d’accès sont autorisées par le gestionnaire de l’utilisateur et sont ensuite examinées et validées par un ACAS;
  • pour les sept utilisateurs dont l’accès a été examiné, la documentation à l’appui de cet accès était disponible, c’est-à-dire que l’utilisateur, son gestionnaire et l’ACAS avaient tous signé les formulaires de demande d’accès;
  • comme il a été mentionné plus haut, les sept utilisateurs dont l’accès a été examiné disposaient d’un accès valide et dûment autorisé à Phénix qui correspondait à leurs rôles et profils organisationnels;
  • une matrice indiquant les lignes directrices en matière de séparation des tâches et permettant de déterminer les rôles exécutés dans Phénix qui ne devraient pas être combinés est disponible et officiellement consignée, ce qui contribue à la gestion de l’accès au système de paye Phénix :
    • selon les exigences dont fait état la matrice sur la séparation des tâches, aucun des sept utilisateurs dont l’accès a été examiné ne s’est trouvé en conflit de rôles.

L’équipe a conclu que, au moment de l’examen, la séparation des tâches liées au système de paye de Phénix était maintenue au SCT.

Surveillance

L’équipe d’audit a vérifié si l’accès au système Phénix faisait l’objet d’un contrôle périodique de la pertinence et du bien-fondé de l’accès des utilisateurs. Pour étayer son évaluation, elle a pris note des éléments suivants :

  • l’EGSP a demandé la réalisation, par un ACAS, d’un exercice annuel visant à vérifier la pertinence et le bien-fondé de l’accès des utilisateurs à Phénix à un moment précis;
  • dans le cadre de cet exercice, l’ACAS devra s’assurer qu’il n’y a pas de rôles contradictoires au sens indiqué dans la matrice sur la séparation des tâches. S’il y en a, il conviendra de demander au DPF de signer le rapport et, par ce fait même, de fournir une attestation ainsi que son approbation.

L’équipe a passé en revue les évaluations annuelles de l’accès des utilisateurs effectuées par les ACAS du SCT pour 2018 et 2019, et elle a observé que quelques utilisateurs avaient des rôles contradictoires, comme l’indique la matrice sur la séparation des tâches. Il a été noté que l’accès de ces utilisateurs avait été validé par l’attestation du DPF, comme en témoigne la signature de ce dernier dans les résultats de l’évaluation.

De plus, un exercice semestriel visant à vérifier la pertinence et le bien-fondé de l’accès des utilisateurs à un moment précis est effectué en interne par l’ACAS. L’équipe d’audit a passé en revue un exercice semestriel réalisé en 2019 et a noté que l’ACAS et le gestionnaire chargé de la liaison en ce qui concerne la rémunération et les systèmes de RH avaient signé le rapport faisant état de leur examen.

L’équipe d’audit a donc conclu qu’un processus permettant d’assurer la surveillance continue et périodique de l’accès des utilisateurs au système de paye Phénix est en place et que ce processus fonctionne comme prévu.

Dans l’ensemble, nous avons l’assurance raisonnable requise pour conclure qu’il existe un cadre approprié permettant d’accorder et de surveiller l’accès des utilisateurs au système de paye Phénix. Nous avons également l’assurance raisonnable requise pour conclure que la séparation des tâches est maintenue et que les contrôles de l’octroi et de la surveillance de l’accès à Phénix fonctionnent comme prévu.

3.5.2 PeopleSoft

PeopleSoft est le logiciel utilisé par l’unité de gestion de l’information des ressources humaines (GIRH) du SCT. L’unité de GIRH assure la gestion du Regroupement des organismes centraux (ROC), lequel administre PeopleSoft pour certains ministères et organismes gouvernementaux, dont le SCT.

PeopleSoft contient l’information ministérielle du SCT concernant les RH, et ses données servent à alimenter des applications tels l’annuaire téléphonique du Ministère et le système de paye Phénix. Vu la nature délicate des données de PeopleSoft et la nécessité de maintenir l’intégrité de l’information relative aux RH qui transite de PeopleSoft à d’autres systèmes, l’accès à des rôles utilisateur supérieurs dans PeopleSoft devrait être limité aux employés qui en ont besoin pour s’acquitter de leurs fonctions.

Dans le cadre de son mandat, lequel consiste à fournir un soutien administratif aux ministères et organismes du ROC, dont fait partie le SCT, l’unité de GIRH gère l’accès à PeopleSoft pour ces ministères et organismes, avec l’aide de représentants de ces ministères et organismes. Ces représentants sont des employés qui servent de point de contact principal entre un ministère ou un organisme du ROC et l’unité de GIRH du SCT pour les questions liées à l’accès à PeopleSoft. Au SCT, les représentants du ROC sont des employés du bureau du directeur général de la DRH.L’accès à des rôles utilisateur supérieurs dans PeopleSoft est demandé au moyen du formulaire de demande d’accès utilisateur de PeopleSoft. La demande d’accès doit être effectuée par le gestionnaire de l’utilisateur, qui indiquera sur le formulaire le ou les rôles précis demandés. L’utilisateur et son gestionnaire doivent remplir le formulaire et le signer pour confirmer qu’ils comprennent les exigences en matière de protection des renseignements personnels et de sécurité.

Les demandes d’accès doivent être examinées, validées et signées par un représentant du ROC avant d’être envoyées à l’unité de GIRH pour être traitées. Les représentants du ROC sont également responsables de veiller à ce que les formulaires de demande d’accès soient remplis correctement et dûment signés par l’utilisateur et son gestionnaire. De plus, ils doivent vérifier que l’accès demandé répond aux critères suivants :

  • il est approprié compte tenu des fonctions et des responsabilités de l’utilisateur;
  • il n’entre pas en conflit avec le ou les rôles existants de l’utilisateur, le cas échéant.

Au moment de donner accès à PeopleSoft, l’unité de GIRH vérifie si les formulaires de demande d’accès ont été remplis et signés par les parties concernées, c’est-à-dire l’utilisateur, le gestionnaire de l’utilisateur et un représentant du ROC. Ce faisant, elle effectue une vérification secondaire pour s’assurer que l’accès demandé est approprié et n’entre pas en conflit avec un ou plusieurs rôles existants.

Gestion de l’accès

En se fondant sur la pratique exemplaire faisant appel au principe de droit d’accès minimal, décrite précédemment, l’équipe d’audit a vérifié si l’accès à PeopleSoft était limité au personnel approprié. Au cours de son examen, elle a constaté qu’un processus permettant d’accorder l’accès aux utilisateurs de PeopleSoft est en place, et elle a pris note des éléments suivants :

  • des documents provisoires portant sur les rôles et les définitions des utilisateurs de PeopleSoft, ainsi que le processus de gestion de l’accès des utilisateurs, sont disponibles;
  • des cinq utilisateurs dont l’accès a été examiné, un s’était vu accorder un accès à PeopleSoft sans l’autorisation valide de son gestionnaire, le formulaire de demande d’accès ayant été signé par l’utilisateur lui-même et non par son gestionnaire; ainsi, aucune preuve d’autorisation n’était disponible à l’appui de l’accès de cette personne à PeopleSoft.

L’équipe a donc noté deux défaillances en matière de contrôle. En effet, l’autorisation indiquée sur le formulaire de demande d’accès n’avait pas fait l’objet d’un examen ou d’une enquête adéquats par le représentant du ROC ni par l’unité de GIRH. Dans le cadre du suivi qu’elle a effectué pour comprendre les causes profondes de ces défaillances, l’équipe a constaté ce qui suit :

  • les représentants du ROC estiment qu’ils ne comprennent pas suffisamment le rôle qu’ils jouent ni les rôles des utilisateurs de PeopleSoft, surtout en ce qui concerne la prise de décisions portant sur des rôles conflictuels ou incompatibles;
  • bien que le processus exige de l’utilisateur, de son gestionnaire et des représentants du ROC qu’ils comprennent et assument leurs responsabilités en ce qui concerne le processus (ce dont ces personnes attestent en signant le formulaire de demande d’accès), l’unité de GIRH, qui est responsable du processus, n’est pas tenue de rendre des comptes à cet égard;
  • par conséquent, il y a un risque que l’accès à PeopleSoft soit accordé sans que soit réalisé un examen adéquat visant à évaluer la pertinence et le bien-fondé des rôles attribués, ce qui augmente le risque d’accès non autorisé aux données de PeopleSoft et des RH.

Recommandation : Le directeur général de la Division des ressources humaines devrait examiner le processus d’octroi de l’accès à PeopleSoft et veiller à ce que les contrôles soient adéquatement communiqués et surveillés.

Séparation des tâches

L’équipe d’audit a vérifié si la séparation des tâches était maintenue. Pour étayer son évaluation, elle a pris note des éléments suivants :

  • les demandes d’accès sont autorisées par le gestionnaire de l’utilisateur et sont ensuite examinées et validées par un représentant du ROC et par l’unité de GIRH;
  • malgré les défaillances de contrôle mentionnées ci-dessus, quatre des cinq utilisateurs examinés disposaient d’un accès valide et de la documentation à l’appui de cet accès, c’est-à-dire que l’utilisateur, son gestionnaire et l’ACAS avaient tous signé le formulaire de demande d’accès;
  • dans le cas de l’écart en matière de contrôle mentionné ci-dessus, le processus en lui-même permet de maintenir la séparation des tâches, étant donné que, d’une part, la demande d’accès avait été examinée par un représentant du ROC et, d’autre part, l’unité de GIRH avait accordé l’accès.
    • En outre, l’autorisation d’accès à PeopleSoft pour l’utilisateur en question avait été obtenue et rendue disponible après coup;
  • les cinq utilisateurs dont l’accès a été examiné disposaient d’un accès correspondant à leurs rôles et profils organisationnels.

L’équipe a conclu que, au moment de l’examen, la séparation des tâches liées à PeopleSoft était maintenue au SCT.

Surveillance

L’équipe d’audit a vérifié si l’accès à PeopleSoft faisait l’objet d’un contrôle périodique de la pertinence et du bien-fondé de l’accès des utilisateurs. Elle a observé qu’un exercice trimestriel visant à vérifier la pertinence et le bien-fondé de l’accès des utilisateurs à PeopleSoft à un moment précis est effectué par l’unité de GIRH, en collaboration avec des représentants du ROC.

Dans le cadre de son examen, l’équipe d’audit a consulté les évaluations trimestrielles de juin 2019 et de septembre 2019 et a observé que les preuves de la réalisation des examens étaient disponibles sous forme de correspondance électronique entre l’unité de GIRH et les représentants du ROC.

L’équipe d’audit a conclu qu’un processus permettant d’assurer la surveillance continue et périodique de l’accès des utilisateurs à PeopleSoft est en place et que ce processus fonctionne comme prévu.

Dans l’ensemble, nous avons l’assurance raisonnable requise pour conclure qu’il existe un cadre approprié permettant d’accorder et de surveiller l’accès des utilisateurs à PeopleSoft. Cependant, nous sommes d’avis que les contrôles d’accès des utilisateurs ne sont que partiellement efficaces; nous avons donc repéré des possibilités d’amélioration (voir l’observation et la recommandation ci-dessus). De plus, nous concluons que les contrôles de surveillance de l’accès des utilisateurs fonctionnent efficacement et que la séparation des tâches liées à PeopleSoft est maintenue.

3.6 Conclusion générale

Nous concluons avec un niveau d’assurance raisonnable que le SCT a mis en place des contrôles adéquats pour garantir que ses employés reçoivent à temps la paye qui leur est due. En effet, les contrôles en place permettent de :

  • prévenir les erreurs de paye;
  • contrôler les opérations de paye afin de déterminer si des erreurs de paye se sont produites;
  • garantir un accès approprié à Phénix et à PeopleSoft.

Nous avons noté certains aspects pouvant faire l’objet d’améliorations qui permettraient de renforcer les contrôles administrés par le SCT et ainsi de faciliter la stabilisation du système de paye.

4. Réponse de la direction

Recommandation 1

Le secrétaire adjoint du Secteur des services ministériels devrait veiller à ce que les pouvoirs financiers délégués (article 33) soient officialisés.

Réponse et plan d’action de la direction Date d’achèvement Bureau de première responsabilité

La direction est d’accord avec la recommandation.

  1. Un examen des cartes de spécimen de signature a été effectué en janvier 2020. Le personnel des Services de comptabilité veillera à ce que cet examen soit réalisé chaque année pour les délégations visées aux articles 34 et 33.
  1. Troisième trimestre 2020‑2021
Direction des services de comptabilité, Division de la gestion financière, Secteur des services ministériels

Recommandation 2

Le directeur général de la Division des ressources humaines devrait informer le personnel de la nécessité de vérifier que les gestionnaires des centres financiers qui détiennent le pouvoir d’attestation (article 34) sont habilités à exercer un pouvoir financier délégué sur le poste à doter.

Réponse et plan d’action de la direction Date d’achèvement Bureau de première responsabilité

La direction est d’accord avec la recommandation.

  1. Un processus plus robuste sera mis en œuvre, ce qui permettra de garantir que les agents de la DRH vérifient que le gestionnaire délégué approprié a le pouvoir d’approuver des mesures relatives à la dotation et à la paye pour des centres financiers particuliers.
  2. La DRH effectuera des vérifications internes régulières (deux fois par année) portant sur un échantillon d’opérations afin de s’assurer que le processus en place donne les résultats escomptés.
  1. Le processus sera mis en œuvre d’ici le 31 mars 2020
  2. La première vérification aura lieu en septembre 2020
Directeur principal des opérations, Division des ressources humaines

Recommandation 3

Le secrétaire adjoint du Secteur des services ministériels devrait élaborer, approuver et mettre en œuvre le processus d’assurance de la qualité applicable à l’administration de la paye.

Réponse et plan d’action de la direction Date d’achèvement Bureau de première responsabilité

La direction est d’accord avec la recommandation.

  1. La version préliminaire d’un cadre de vérification des comptes (CVC) concernant la paye a été produite en janvier 2020.
  2. Lorsque le cadre sera approuvé par le DPF des Services de comptabilité, le personnel des Services de comptabilité le mettra en œuvre en collaboration avec la DRH.
  1. Premier trimestre 2020‑2021
Direction des services de comptabilité, Division de la gestion financière, Secteur des services ministériels

Recommandation 4

Le directeur général de la Division des ressources humaines devrait continuer de surveiller les opérations de RH en fonction des risques qu’elles représentent pour les employés du SCT et en communiquer les résultats à SPAC et au BDPRH.

Réponse et plan d’action de la direction Date d’achèvement Bureau de première responsabilité

La direction est d’accord avec la recommandation.

  1. La DRH continuera d’évaluer si des mesures de dotation prises dans des délais raisonnables permettent aux groupes vulnérables de recevoir leur paye à temps, en examinant chaque mois les dossiers individuels de membres de certains groupes cibles (étudiants, nouveaux employés, etc.)
  2. La DRH continuera d’envoyer toutes les deux semaines des rappels aux gestionnaires pour que ces derniers saisissent les horaires des employés à temps partiel dans Phénix.
  3. La DRH continuera d’envoyer toutes les deux semaines des rappels aux gestionnaires qui ont des feuilles de temps en attente d’approbation dans Phénix.
  4. La DRH continuera de chercher, en collaboration avec SPAC et le BDPRH, de meilleures méthodes de production de rapports pour évaluer le respect des délais de paiement de la paye.
  1. Mars 2021
  2. Mars 2021
  3. Mars 2021
  4. D’ici le 31 
    décembre 2020
Directeur principal des opérations, Division des ressources humaines

Recommandation 5

Le directeur général de la Division des ressources humaines devrait examiner le processus d’octroi de l’accès à PeopleSoft et veiller à ce que les contrôles soient adéquatement communiqués et surveillés.

Réponse et plan d’action de la direction Date d’achèvement Bureau de première responsabilité

La direction est d’accord avec la recommandation.

  1. La DRH suit actuellement cette recommandation : un groupe de travail du regroupement d’organismes centraux et de Services partagés a été mis sur pied et sera notamment chargé de surveiller l’accès au système PeopleSoft.
  2. Le groupe de travail déterminera tout changement qui pourrait devoir être apporté aux processus, aux formulaires ou aux rôles selon les besoins des disciplines de RH des différents ministères et les communiquera de façon appropriée.
  1. Le processus a été démarré et sera achevé d’ici le 31 mars 2021
  2. Le processus a été démarré et sera achevé d’ici le 31 mars 2021
Directeur principal des opérations, Division des ressources humaines

Annexe. Critères d’audit

Champ d’enquête 1. Déterminer si le SCT a mis en place des contrôles adéquats pour prévenir les erreurs de paye.

Critère d’audit 1.1. Une formation et des conseils suffisants liés à la paye sont disponibles et suivis par les utilisateurs de Phénix, ce qui les aide dans leur rôle en matière d’administration de la paye.

Critère d’audit 1.2. Les employés et les gestionnaires des centres financiers transmettent et approuvent en temps voulu les données entrées dans Phénix.

Critère d’audit 1.3. La saisie des données dans PeopleSoft est effectuée correctement et à temps.

Critère d’audit 1.4. Le pouvoir d’attestation (article 34) est confirmé avant que la DIP soit envoyée au Centre des services de paye, et la DIP n’est envoyée que par une personne figurant sur la liste des sources fiables.

Critère d’audit 1.5. Le pouvoir de payer (article 33) est exercé en temps voulu.

Champ d’enquête 2. Déterminer si le SCT a mis en place des contrôles adéquats pour surveiller les opérations de paye et déterminer si des erreurs de paye se sont produites.

Critère d’audit 2.1. Le SCT a mis en place des processus pour surveiller les opérations de paye.

Critère d’audit 2.2. Le SCT a mis en place des processus pour déceler les erreurs de paye.

Champ d’enquête 3. Déterminer si le SCT a mis en place des contrôles pour assurer un accès approprié au système.

Critère d’audit 3.1. L’accès au système est limité au personnel approprié, et la séparation des tâches est maintenue.

Critère d’audit 3.2. L’accès au système fait l’objet d’un contrôle périodique visant à en assurer le caractère approprié.

Détails de la page

Date de modification :