Affaires étrangères, Commerce et Développement Canada
Symbole du gouvernement du Canada

Affaires étrangères, Commerce et Développement Canada

international.gc.ca

Document archivé

L'information archivée sur le Web est disponible à des fins de consultation, de recherche ou de tenue de dossiers seulement. Elle n’a été ni modifiée ni mise à jour depuis sa date d’archivage. Les pages archivées sur le Web ne sont pas assujetties aux normes Web du gouvernement du Canada. Conformément à la Politique de communication du gouvernement du Canada, vous pouvez obtenir cette information dans un format de rechange en communiquant avec nous.

Vérification des clés d'autorisation et d'authentification électroniques (AAE) et des profils d'utilisateurs du Système de gestion intégrée (SGI)

Version PDF (47 ko) *

(Septembre 2007)

Table des matières

1.0 Contexte

1.1 Au nom du Bureau du contrôleur général (BCG), Services de vérification Canada (SVC) a récemment achevé le travail de vérification sur place relatif à la phase II de la vérification horizontale, laquelle portait sur la délégation des pouvoirs de signature. Dans le cadre du travail sur place, les représentants de la Direction de la vérification du ministère des Affaires étrangères et du Commerce international (MAECI) et de SVC ont eu plusieurs discussions touchant la méthodologie de la phase II. La Direction de la vérification a constaté que la phase II ne comportait pas d'examen de la répartition des tâches en ce qui concerne les employés de l'Administration centrale (AC) qui possèdent une clé d'autorisation et d'authentification électroniques (AAE). Les responsables jugeaient que cet aspect devait être examiné, car il s'agit d'un contrôle important permettant de respecter les exigences de la Politique sur la délégation du pouvoir décisionnel du Secrétariat du Conseil du Trésor (SCT). De plus, il s'agit d'un contrôle essentiel de gestion financière qui sera pris en compte de façon répétée au cours des prochaines années, car le MAECI procédera désormais à une vérification annuelle des états financiers.

2.0 Objectif, portée, critères, approche et calendrier de la vérification

2.1 Objectif de la vérification

2.1.1 La vérification avait pour but de déterminer si les employés de l'AC dotés d'une clé d'AAE respectent les critères de contrôle de la répartition des tâches énoncés dans la Politique sur la délégation du pouvoir décisionnel du SCT.

2.2 Portée de la vérification et critères

2.2.1 La vérification comportait un examen des éléments suivants :

  1. Liste des employés de l'AC qui possèdent une clé d'AAE;
  2. Profils d'utilisateurs du Système de gestion intégrée (SGI) des employés de la liste mentionnée au point a).

2.2.2 En ce qui concerne le tableau de délégation des pouvoirs de signature du Ministère tenu par la Direction de la gestion financière et de la politique de responsabilisation (SMO), il a été utilisé uniquement pour déterminer si les employés dotés d'une clé d'AAE avaient reçu des pouvoirs de signature de documents financiers en vertu de l'article 33. (Pour obtenir l'énoncé des articles pertinents de la Loi sur la gestion des finances publiques, consultez l'annexe A.)

2.2.3 ZIV a utilisé les critères de vérification suivants pour évaluer les pratiques ministérielles touchant les clés d'AAE :

Le Ministère devrait être en mesure de démontrer que les tâches liées aux clés d'AAE sont réparties de façon adéquate, conformément à la Politique sur la délégation du pouvoir décisionnel du SCT, appendice A, ligne directrice 6.1(a), qui stipule que « les personnes auxquelles on délègue le pouvoir décisionnel peuvent se voir attribuer soit le pouvoir de dépenser soit le pouvoir de payer, mais habituellement, pas les deux. Toutefois, dans les petits établissements, cette distinction n'est pas toujours possible, surtout lorsqu'un agent se voit assigner des responsabilités à titre de substitut d'un autre agent ou lorsqu'un agent financier administre un budget. Il peut être alors nécessaire de déléguer à un seul agent les deux types de pouvoirs en question, mais, dans ce cas, l'agent ne devra jamais exercer les deux pouvoirs à l'égard d'un même paiement ».

2.3 Approche et calendrier de la vérification

2.3.1 La vérification a été effectuée selon les normes canadiennes de vérification généralement reconnues. Elle a eu lieu de mai à juin 2007.

2.3.2 Voici les principales tâches réalisées par les vérificateurs : Interroger les employés concernés qui connaissent bien le cycle de paiement; obtenir un rapport contenant la liste des employés dotés d'une clé d'AAE, ainsi que leur profil d'utilisateur du SGI et effectuer un examen analytique afin de déterminer l'absence de répartition des tâches, le cas échéant (c.-à-d. vérifier si les employés dotés d'une clé d'AAE pouvaient entrer et traiter un paiement dans le SGI).

2.3.3 Dans le cadre du travail sur place, il a été déterminé que la certification des paiements conformément à l'article 33 de la Loi sur la gestion des finances publiques (LGFP) constituait le principal contrôle financier. C'est pourquoi la vérification a porté davantage sur la certification des paiements que sur l'AAE de ces derniers.

Observations et recommandations

3.0 Répartition des tâches

3.1 L'équipe de vérification a constaté une absence de répartition des tâches dans de nombreux secteurs. Selon chacun des scénarios suivants (de 3.2 à 3.4), l'absence de répartition des tâches permet à l'utilisateur du SGI de contourner le contrôle lié à l'article 33.

3.2 Accès incompatible dans le SGI. Quinze utilisateurs disposent de droits de paiement et de modification dans le module financier du SGI. Quatre d'entre eux n'ont pas reçu de pouvoirs délégués au titre de l'article 33 conformément au tableau de délégation des pouvoirs de signature du Ministère. Neuf d'entre eux disposent également de droits de saisie.

3.3 Attribution de tâches incompatibles à un poste. L'équipe de vérification a constaté que *** avait accès aux formules de chèques produits manuellement, de même qu'au bloc-signature de chèques. En outre, le profil d'utilisateur *** comporte des droits de saisie et de modification dans le module financier du SGI. Cela crée un problème lié à la répartition des tâches, puisque *** peut traiter une facture, en approuver le paiement et imprimer, signer et émettre un chèque produit manuellement.

Recommandations

Directeur général, Direction des services internationaux et nationaux de gestion financière (SMF)

3.4 En ce qui concerne les 15 personnes pour lesquelles l'accès est incompatible dans le SGI, examiner les responsabilités liées aux postes actuels de ces employés et révoquer immédiatement les droits non essentiels en lien avec le SGI. En ce qui a trait aux quatre personnes à qui on n'a pas délégué de pouvoirs en vertu de l'article 33, révoquer immédiatement leurs droits de paiement dans le SGI.

3.5 Examiner, de concert avec le Système de gestion intégrée (SMSF), le profil d'utilisateur du SGI attribué à chaque poste des Services financiers de l'Administration centrale (SMFH) en vue d'assurer la répartition appropriée des tâches et de maintenir l'efficacité opérationnelle.

Directeur général, Direction des rapports, de l'analyse et des systèmes financiers (SME)

3.6 Élaborer et mettre en oeuvre une procédure visant à assurer, avant l'attribution de droits de paiement dans le SGI, l'examen du tableau de délégation des pouvoirs de signature du Ministère et de la carte de spécimen de signature afin de vérifier si des pouvoirs ont été délégués à l'utilisateur en vertu de l'article 33.

Mesures prises par la direction et échéanciers

3.4 Cette recommandation a été mise en oeuvre. On a révoqué les droits de paiement des quatre personnes qui n'occupent pas un poste assorti de pouvoirs délégués en vertu de l'article 33 de la LGFP.

On examine actuellement les responsabilités des personnes qui peuvent créer et modifier des documents dans le SGI et effectuer un cycle de paiement. Lorsque la nécessité opérationnelle exige ces deux fonctions, des contrôles d'atténuation seront mis en oeuvre, notamment l'examen des documents créés par la personne en cause. L'examen sera achevé d'ici la fin de l'exercice 2007-2008. Lorsque cela sera possible, les codes de transaction utilisés pour créer des factures de fournisseurs seront retirés à ces utilisateurs.

3.5 On examine actuellement le profil d'utilisateur du SGI attribué à chaque poste. à l'heure actuelle, seuls *** ont accès au stock de formules de chèques et au timbre de signature de chèques. étant donné que les titulaires de ces deux postes peuvent également créer des documents et effectuer des cycles de paiement, on élaborera une procédure afin d'examiner les chèques produits manuellement. Les codes de transaction utilisés pour créer des factures de fournisseurs seront retirés à ces utilisateurs. De plus, on vérifiera s'il convient toujours d'imprimer les chèques dans ce lieu. L'examen de ces aspects sera achevé d'ici la fin de l'exercice 2007-2008.

Concurremment avec l'examen des responsabilités des employés qui peuvent créer et modifier des documents dans le SGI et effectuer un cycle de paiement, des rapports trimestriels relatifs à la répartition des tâches seront élaborés par le Système de gestion intégrée et présentés à la Direction des services internationaux et nationaux de gestion financière (SMF), afin de confirmer le maintien des contrôles d'atténuation à l'égard des employés en situation de conflit du point de vue de la répartition des tâches; les rapports seront approuvés par le directeur de SMF.

3.6 Cette recommandation a été mise en oeuvre.

Le formulaire 1764 doit être approuvé par le directeur adjoint ou par un agent-gestionnaire consulaire et les titulaires de postes supérieurs. Ces gestionnaires attribuent les rôles tels qu'ils sont définis sur le site Web des « systèmes de gestion », selon les fonctions des postes. Les fonctions énoncées aux articles 32, 33 et 34 de la LGFP ne sont pas intégrées à la définition des rôles essentiels; cependant, elles peuvent être attribuées selon les exigences liées aux postes et les exigences opérationnelles. Les gestionnaires qui autorisent l'accès à cet égard doivent veiller à ce que le titulaire occupe un poste approprié, selon le tableau de délégation des pouvoirs de signature, et à ce qu'il remplisse une carte de spécimen de signature.

En octobre 2007, on a mis en oeuvre une nouvelle procédure qui exige l'autorisation écrite de SMF au niveau des missions, et l'autorisation du cycle de paiement F110 à l'AC, avant que l'accès soit accordé (par SMS).

De plus, des rapports trimestriels sur la répartition des tâches et des rapports trimestriels liés à l'article 33 de la LGFP seront élaborés par le Système de gestion intégrée (SMSF) et présentés à SMF, afin de confirmer la mise en place de contrôles d'atténuation à l'égard des employés susceptibles d'exercer des rôles conflictuels en lien avec le SGI. En outre, SMF devra valider l'exigence continue de pouvoirs délégués dans le système en vertu de l'article 33 de la LGFP.

4.0 Cycle de paiement

4.1 L'équipe de vérification a présenté un certain nombre d'observations sur le cycle de paiement qui n'étaient pas expressément liées à la répartition des tâches. Voici une description de ces observations :

4.2 Documentation des procédés administratifs. L'équipe de vérification a constaté qu'il n'existait aucun document décrivant les procédés administratifs relatifs à la certification des paiements en vertu de l'article 33 de la LGFP et à l'exécution du processus d'approbation de l'AAE. Il y a donc un risque d'incohérence dans l'application des deux procédés.

4.3 Attribution et révocation de droits d'utilisateurs du SGI. Aucune ligne directrice ni procédure officielle n'a été établie en ce qui concerne l'attribution et la révocation des droits d'utilisateurs du SGI. Cela entraîne un risque d'incohérence et d'inefficacité opérationnelle. L'équipe de vérification a également constaté qu'il n'existait pas de formulaire ministériel pour modifier les droits d'utilisateur du SGI, le cas échéant (c.-à-d. lorsqu'un utilisateur est muté à un autre poste). Les utilisateurs du SGI pourraient donc exercer des pouvoirs financiers qui ne sont pas attribués à leur nouveau poste.

4.4 Nominations et affectations intérimaires. L'équipe de vérification a relevé un manque de cohérence dans l'application des procédures, en ce qui a trait aux nominations et affectations intérimaires. Le processus actuel de régulation des droits des utilisateurs du SGI entre leur poste d'attache et un poste intérimaire est fondé sur une fonction automatisée à délai limité dans le temps. Cette fonction assure la suppression des droits liés au SGI à la fin d'une nomination ou d'une affectation intérimaire et le rétablissement simultané des droits liés au poste d'attache de l'utilisateur. Cependant, cette fonction automatisée n'est pas appliquée à l'ensemble des nominations et affectations intérimaires.

4.5 Cartes de spécimen de signature (SSR). L'équipe de vérification a constaté qu'il manquait des cartes sur le lecteur « I » et que certaines étaient périmées ou répétées. Les employés de SMFH n'ont donc pas accès à des cartes SSR complètes et exactes dans l'exercice de leurs pouvoirs au titre de l'article 33.

Recommandations

Directeur général, Direction des services internationaux et nationaux de gestion financière (SMF)

4.6 Rédiger un document décrivant la certification en vertu de l'article 33 et les processus administratifs en matière d'AAE.

4.7 Veiller à la bonne gestion et à la mise à jour des cartes SSR numérisées sur le lecteur « I ».

Directeur général, Direction des rapports, de l'analyse et des systèmes financiers (SME)

4.8 Élaborer un document qui :

  1. décrit le procédé administratif relatif à l'attribution et à la suppression des droits d'utilisateurs du SGI, y compris dans le contexte de nominations et d'affectations intérimaires;
  2. précise le niveau d'approbation exigé lorsqu'une exception relative au profil d'utilisateur du SGI est demandée, selon le paragraphe 3.5, de même que le contrôle d'atténuation correspondant.

4.9 Révoquer les droits actuels d'un utilisateur avant que de nouveaux droits liés au SGI ne lui soient accordés au moment de l'approbation du formulaire EXT 1764.

4.10 Élaborer un formulaire ministériel destiné à aviser SME de la nécessité de révoquer les droits liés au SGI d'un utilisateur dans des situations prédéfinies.

Mesures prises par la direction et échéanciers

4.6 Un document décrivant la certification en vertu de l'article 33 de la LGFP et le processus administratif en matière d'AAE sera rédigé d'ici la fin de l'exercice 2007-2008.

4.7 On élaborera une procédure relative aux cartes de spécimen de signature, y compris leur création, leur tenue, leur vérification et leur protection à l'AC et dans les missions. Selon cette procédure, on proposera que la validité des cartes de spécimen soit vérifiée tous les six mois et que les documents papier et sur support électronique soient mis à jour en conséquence. Cette vérification sera effectuée dans le cadre de la mise en oeuvre du nouvel instrument de délégation en janvier 2008 qui, incidemment, suivra la rotation estivale des employés affectés à l'étranger. (Il s'agit de la réponse fournie dans le cadre de la phase I et de la phase II de la vérification de la délégation des pouvoirs financiers.)

4.8 Cette recommandation a été mise en oeuvre :

a) Un document existe en ce qui concerne l'attribution des droits d'utilisateurs du SGI, et se trouve sur le site Web de la Direction générale des finances, de la planification et des systèmes ministériels (SMD) (rôles liés au SGI) et dans le document de procédures de contrôle de sécurité du SGI du MAECI.

b) Consultez le paragraphe 3.6. SMSF, de concert avec SMF, la Direction de la gestion financière et de la politique de responsabilisation (SMO) et la Direction des contrats, politique d'attribution des marchés, de la surveillance et des opérations (SPP), examinera les pouvoirs essentiels à un accès accru, en ce qui concerne les rôles liés à la gestion financière et à la gestion du matériel. En outre, SMO assure un appui continu à SMF pour qu'elle respecte les exigences des politiques financières sur le plan de la répartition des tâches.

4.9 Cette recommandation a été mise en oeuvre. Lorsqu'un employé est muté, SME révoque le droit d'accès antérieur et accorde un nouveau droit d'accès fondé sur le nouveau formulaire 1764 approuvé par le gestionnaire.

4.10 Cette recommandation a été mise en oeuvre. Un formulaire ministériel est utilisé. La section 11(a) du formulaire 1764 précise (supprimer le compte).

Annexe A - Articles pertinents de la Loi sur la gestion des finances publiques (LGFP)

Ministère de la Justice

Article 32

Il ne peut être passé de marché ou autre entente prévoyant un paiement, dans le cadre d'un programme auquel est affecté un crédit ou un poste figurant dans les prévisions de dépenses alors déposées devant la Chambre des communes et sur lequel le paiement sera imputé, que si le solde disponible non grevé du crédit ou du poste est suffisant pour l'acquittement de toutes les dettes contractées à cette occasion pendant l'exercice au cours duquel a lieu la passation.

Article 33

Il ne peut être effectué de paiement imputable sur un crédit affecté à un ministère qu'à la demande du ministre compétent ou de la personne à qui il a donné délégation écrite.

Article 34

Tout paiement d'un secteur de l'administration publique fédérale est subordonné à la remise des pièces justificatives et à une attestation de l'adjoint ou du délégué du ministre compétent selon laquelle :

  1. en cas de fournitures, de services ou de travaux :
    1. d'une part, les fournitures ont été livrées, les services rendus ou les travaux exécutés, d'autre part, le prix demandé est conforme au marché ou, à défaut, est raisonnable,
    2. tout paiement anticipé est conforme au marché;
    3. si le paiement est à effectuer antérieurement à la détermination de l'admissibilité selon les règles et méthodes prévues au paragraphe (2), la demande de paiement est raisonnable;
  2. en tout autre cas, le bénéficiaire est admissible au paiement.

Bureau de l'inspecteur général


* Si vous avez besoin d'un plugiciel ou d'un logiciel tiers pur accéder a ce ficher, veuillez consultez la section formats de rechange de notre page aide.

Pied de page

Date de modification :
2012-11-01