Étendue 5.1 Les normes de vérification exigent que nous documentions et mettions à l’essai les contrôles internes de tous les systèmes importants du gouvernement. Nous classons dans la catégorie des systèmes importants tout système qui traite des transactions dont la valeur dépasse 100 millions de dollars. Pour la plupart de ces systèmes, nous effectuons également un contrôle par sondages des transactions. Le contrôle par sondages des transactions implique la sélection d’un échantillon de transactions individuelles qui font l’objet d’un sondage détaillé suivant un ensemble prédéfini de critères. 5.2 Le tableau suivant donne une liste des systèmes d’information que nous documentons et testons, des ministères qui exploitent les systèmes et du type de constatations pour chaque système. 5.3 Dans ce chapitre, nous faisons rapport sur les résultats de nos tests des contrôles des systèmes. Dans le chapitre 4, nous faisons rapport sur les contrôles par sondage des transactions. Système de paiement provincial (Oracle) Contexte Importance du système 5.4 L’application Oracle constitue le système le plus important de la province. Cette application comporte un certain nombre de modules Oracle, dont les comptes créditeurs, le grand livre, les comptes débiteurs, la gestion des liquidités et la trésorerie. Ensemble, ces modules traitent des milliards de dollars au nom de la province, et les données qu’ils contiennent servent à la production des états financiers de la province. Contrat avec des vendeurs externes 5.5 Chaque année, nous examinons les contrôles relatifs à ce système complexe et adressons au Bureau du contrôleur des recommandations visant à améliorer ces contrôles. Cette année, pour plusieurs raisons, nous avons retenu les services d’un cabinet d’experts-comptables qui se spécialise dans les examens des contrôles d’Oracle pour réaliser un examen des contrôles de différents modules de l’application Oracle. Le contrat prévoyait notamment que notre personnel allait travailler avec les vérificateurs afin d’acquérir de l’expérience et une formation. Pourquoi accorder un tel contrat 5.6 Nous avons imparti l’examen des contrôles du système pour les raisons suivantes : • La province a mis en œuvre deux nouveaux modules du système Oracle, soit Trésorerie et Gestion des liquidités, en juin 2008. L’expérience de nos vérificateurs en regard de ces applications est limitée, et nous n’avons pas les ressources nécessaires pour doter un projet de vérification d’une telle ampleur. • Passer un contrat avec un cabinet d’experts-comptables expérimenté dans la vérification des modules du système Oracle offre une possibilité de formation valable à notre personnel. • Le travail du cabinet s’ajoute aux travaux que nous avons effectués dans le passé sur les contrôles. Nous n’avons pas les ressources ni le savoir-faire nécessaires pour documenter et évaluer les contrôles complexes des applications. Si les contrôles fonctionnent de manière efficace, cela devrait nous permettre de nous fier davantage aux contrôles et de réduire le temps à consacrer au contrôle par sondages des transactions lors de futures vérifications. Étendue 5.7 Notre vérification a porté sur la conception, la mise en œuvre et l’efficacité des contrôles informatiques généraux de l’application Oracle et des contrôles de l’application visant les modules grand livre, comptes créditeurs, trésorerie et gestion des liquidités. 5.8 Au cours de notre vérification, nous avons évalué les contrôles automatiques et les contrôles manuels reliés aux modules en question. Résumé des résultats 5.9 Au cours de notre vérification, les vérificateurs externes ont relevé 12 questions et formulé 12 recommandations dans des domaines où le Bureau du contrôle devrait améliorer ses contrôles. Certaines des constatations clés sont décrites ci-dessous. • Les vérificateurs externes ont observé qu’ils ont relevé beaucoup moins de problèmes au cours de cette vérification que ce qu’ils trouvent généralement lors d’une première vérification des contrôles. • Les vérificateurs externes ont constaté que les contrôles de gestion des modifications fonctionnaient correctement durant la période à l’étude. Le fait d’avoir un processus de gestion des modifications qui fonctionne de manière efficace réduit considérablement la quantité de contrôles par sondages que nous devons effectuer pour former notre opinion du vérificateur. • Nous avons remarqué que quatre des recommandations ont trait à l’accès des utilisateurs. Nous avons formulé des recommandations visant à améliorer le processus pour accorder, transférer, discontinuer et surveiller l’accès au système. • Deux des recommandations ont trait à la séparation des tâches au niveau des responsabilités des utilisateurs. • Nous avons remarqué que 5 des 12 recommandations ont trait à la séparation des tâches au niveau du soutien TI, qui découle du nombre restreint de membres au sein du groupe en technologie de l’information du Bureau du contrôleur qui soutient l’application Oracle. Modifications à l’accès des utilisateurs 5.10 Quatre des 12 recommandations avaient trait à la modification de l’accès des utilisateurs. Nous avons observé les points suivants : • Le Bureau du contrôleur ne mène pas d’examen périodique pour déterminer qui a accès à l’application Oracle et à la base de données. En l’absence d’un examen périodique de l’accès, le risque d’accès non autorisé à la base de données Oracle et aux divers modules peut passer inaperçu. • Le Bureau du contrôleur n’a pas de processus officiel en vigueur pour s’assurer que l’accès à l’application pour les utilisateurs mutés (mutations entre ministères) demeure pertinent. En l’absence d’un processus pour vérifier que l’accès des utilisateurs mutés à d’autres ministères est approprié, le risque d’accès non autorisé à la base de données et à l’application Oracle s’accroît. • Le Bureau du contrôleur a un processus officiel pour accorder l’accès à l’application Oracle. Dans notre contrôle par sondages, nous avons observé trois cas dans lesquels le Bureau du contrôleur n’a pas suivi le processus. Deux des utilisateurs étaient des membres de l’équipe de soutien TI. Le risque d’accès non autorisé à l’application et à la base de données s’accroît si les demandes d’accès des utilisateurs et l’approbation de ces demandes ne sont pas traitées de manière appropriée. • Au cours de notre contrôle par sondages de l’accès des utilisateurs ayant quitté leur emploi, nous avons trouvé trois utilisateurs pour lesquels on n’avait pas mis fin à leur accès à Oracle alors que ces personnes n’étaient plus employées par la province. Ces trois employés n’ayant plus accès au réseau, il est peu probable qu’ils aient accès à l’application. Recommandations et réponses 5.11 Nous avons fait quatre recommandations au Bureau du contrôleur pour donner suite aux observations formulées ci-dessus. Voici deux de nos recommandations clés ainsi que la réponse du Bureau du contrôleur : • Nous avons recommandé que la direction prévoie et réalise un examen officiel périodique des utilisateurs, à effectuer au moins une fois par année, comme moyen de vérifier si l’accès de tous les utilisateurs à la base de données et à l’application est toujours valide. • Nous avons recommandé que la province mette en œuvre un processus officiel visant à assurer une mise à jour en temps opportun de l’accès des utilisateurs lors de mutations au sein des ministères et entre les ministères. 5.12 Le Bureau du contrôleur a répondu ainsi : [Traduction.] Une liste complète des utilisateurs et des responsabilités sera présentée annuellement aux ministères aux fins d’examen et d’approbation. Séparations des fonctions au niveau des utilisateurs 5.13 Deux des 12 recommandations ont trait à la séparation des fonctions au niveau des utilisateurs. Un problème découle du fait que certains utilisateurs ont des « super comptes d’utilisateur » dans l’environnement de production. Ce super accès donnent à ces utilisateurs la possibilité d’apporter des modifications de configuration aux modules Oracle directement dans l’environnement de production. Cela augmente le risque de modifications non autorisées à l’application Oracle. 5.14 Le deuxième problème est que le Bureau du contrôleur a affecté par inadvertance des responsabilités conflictuelles à trois utilisateurs. Le fait d’avoir accès à ces fonctions et responsabilités conflictuelles accroît le risque de transactions et de paiements non autorisés dans l’application Oracle à des vendeurs fictifs ou non autorisés. Recommandations et réponses 5.15 Nous avons recommandé que les utilisateurs reçoivent uniquement l’accès aux responsabilités dont ils ont besoin pour faire leur travail quotidien. Nous avons recommandé que les utilisateurs se voient attribuer un accès leur permettant d’apporter des modifications à la configuration dans l’environnement de production uniquement sur une base temporaire en vertu du processus officiel de gestion des modifications. Cet accès doit être approuvé, consigné et officiellement surveillé en vertu du processus de gestion des modifications. 5.16 Nous avons recommandé que le Bureau du contrôleur examine les responsabilités conflictuelles afin de s’assurer que les fonctions qui sont en conflit sont retirées ou que des mesures de surveillance adéquates sont déterminées et mises en œuvre pour atténuer le risque. 5.17 Le Bureau du contrôleur a donné les réponses suivantes : [Traduction.] Ces responsabilités sont attribuées en vue de fournir du soutien aux utilisateurs pour les différents modules. Nous allons créer un rapport à exécuter toutes les semaines qui sera envoyé à l’agent de la sécurité de l’information du ministère et à la directrice des Services de comptabilité. Ce rapport comprendra tous les utilisateurs ayant accès à une responsabilité qui comprend les termes « super utilisateur ». Nous avons attribué une date de fin aux responsabilités non compatibles dans les situations particulières qui ont été relevées. De plus, la vérification sera activée au niveau des tables afin de suivre toutes les modifications apportées aux noms des fournisseurs et des comptes bancaires. Des rapports seront produits à l’intention de la direction pour l’examen des données vérifiées. Séparation des fonctions du groupe de soutien TI 5.18 Cinq des 12 recommandations découlent du nombre restreint de membres au sein du groupe en technologie de l’information du Bureau du contrôleur qui gère l’application Oracle. Assurer une séparation appropriée des fonctions incompatibles est difficile lorsque les ressources sont limitées. Voici des exemples de situations relevées par les vérificateurs : • Les membres du groupe TI partageaient des comptes génériques dans l’environnement de production, et ils avaient un accès d’utilisateur fonctionnel à différents modules dans l’environnement de production Oracle à des fins de dépannage. Le partage de comptes génériques diminue la reddition de comptes, car le Bureau du contrôleur ne peut pas déterminer qui effectue les transactions. Le fait d’accorder aux utilisateurs du soutien TI un accès fonctionnel donne lieu à des problèmes de séparation des fonctions, ce qui accroît le risque d’erreurs de données dans l’application et dans la base de données. • Deux administrateurs de la base de données utilisaient des comptes de système puissants sans aucune surveillance. L’utilisation de ces comptes sans surveillance peut donner lieu à des modifications non autorisées aux objets de la base de données. • L’exécution de certaines fonctions clés de la base de données n’était pas consignée. Si l’exécution de fonctions clés n’est pas consignée, le risque s’accroît que des utilisateurs du soutien TI apportent des modifications dans l’environnement de production sans laisser de trace pour la vérification. • Deux administrateurs de la base de données avaient accès au compte racine du système d’exploitation sans qu’une surveillance de cette activité ait lieu. En l’absence d’une surveillance du compte racine, des modifications non autorisées peuvent être apportées sans qu’elles soient repérées. 5.19 Sept utilisateurs avaient à la fois des privilèges d’administrateur de système et un accès aux fonctions d’administration dans le contexte de sécurité de l’application Oracle. Accorder aux utilisateurs à la fois des privilèges d’administrateur de système et un accès aux fonctions d’administration dans le contexte de sécurité accroît le risque que des modifications soient faites en dehors du processus établi de gestion des modifications dans le contexte de sécurité, et accroît le risque de création non autorisée de comptes, de l’accès non autorisé et de transactions non autorisées dans l’application et la base de données. 5.20 Même s’il n’est pas rare que les problèmes soulignés ci- dessus surviennent dans les petits groupes TI, nous avons formulé cinq recommandations visant à améliorer les contrôles et à diminuer les risques dont nous faisons état. Le Bureau du contrôle a réagi de manière favorable aux recommandations. Dans sa réponse détaillée, le Bureau du contrôleur a expliqué les nouveaux mécanismes de contrôle qu’il a l’intention de mettre en œuvre pour diminuer ces risques. Système de paiement de l’aide sociale (système NB Cas) 5.21 Cette section contient nos constatations et nos recommandations qui découlent de notre vérification des contrôles du système NB Cas au ministère du Développement social pour l’exercice terminé le 31 mars 2009. Nous avons fait des recommandations dans les domaines suivants : • Désactivation de l’accès des utilisateurs du système NB Cas • Erreur du système NB Cas • Réalisation de l’examen des cas Désactivation de l’accès des utilisateurs du système NB Cas 5.22 Lors de notre contrôle par sondages, nous avons relevé pour le système NB Cas 31 comptes d’utilisateur qui n’avaient pas été désactivés au bout de 90 jours d’inactivité, contrairement aux normes du gouvernement en matière de mots de passe pour les comptes d’utilisateur. Les analystes régionaux du soutien aux utilisateurs (ARSU), qui sont chargés de demander la désactivation de l’accès, n’ont pas remis les formulaires de fin d’accès requis. Le fait de ne pas désactiver les comptes d’utilisateur en temps opportun accroît le risque d’accès non autorisé à l’information. Résultats du contrôle par sondages 5.23 Le tableau suivant montre la durée de l’inactivité des comptes et le nombre d’utilisateurs qui n’avaient pas ouvert de session dans le système durant cette période. 5.24 Le ministère a indiqué que les comptes d’utilisateur non désactivés ne présentaient pas un risque important, parce que les utilisateurs ont besoin d’un compte d’accès au réseau pour ouvrir une session dans le système NB Cas. Contrôle par sondages de l’accès au réseau 5.25 Nous avons examiné les 31 comptes d’utilisateur du système NB Cas qui n’avaient pas été désactivés pour voir si leur compte d’accès au réseau avait été désactivé, ce qui les empêcherait donc d’avoir accès au système NB Cas. Nous avons constaté que 17 des 31 utilisateurs avaient toujours un compte d’accès actif au réseau, et donc encore accès au système NB Cas. 5.26 La désactivation du compte d’accès au réseau comme moyen de contrôler l’accès à une application ne constitue pas un contrôle efficace, car des employés dont les fonctions professionnelles changent, mais qui demeurent toujours au ministère, pourraient continuer à avoir accès à l’application. Le ministère devrait élaborer et mettre en œuvre un processus par lequel l’accès aux applications est désactivé lorsqu’un utilisateur n’a plus besoin d’avoir accès à l’application. Recommandation 5.27 Nous avons recommandé que le ministère élabore et mette en œuvre un processus par lequel l’accès aux applications est désactivé lorsqu’un utilisateur n’a plus besoin d’avoir accès à une application. Réponse du ministère 5.28 [Traduction.] Le ministère évaluera le processus actuel suivi pour désactiver l’accès au réseau et au système NB Cas, et il prendra des mesures pour corriger les faiblesses de façon à s’assurer que les comptes d’employé sont désactivés en temps opportun. Une couche supplémentaire d’accès pour les utilisateurs d’applications telles que le système NB Cas et Familles NB sera ajoutée à la structure actuelle. Un rapport mensuel sera produit pour signaler les utilisateurs qui n’ont pas eu accès au système NB Cas depuis 90 jours, et ce rapport sera examiné par l’équipe du soutien des activités du système NB Cas. De plus, le ministère a préparé une liste de contrôles à remplir lorsqu’un employé quitte le ministère ou est muté ailleurs au ministère. La liste comprend notamment la suppression des identificateurs de l’employé. Erreur du système NB Cas 5.29 Lors de notre contrôle par sondages, nous avons observé un cas dans lequel le système NB Cas avait produit un paiement inadmissible pour un client. Cette erreur est survenue lorsqu’un gestionnaire de cas a approuvé un document vieux de cinq ans dans le système, ce qui a déclenché la production du paiement inadmissible. Comme le paiement inadmissible découle d’une erreur du système, il est possible que le système ait produit des paiements semblables pour d’autres clients. 5.30 Nous avons discuté de la question avec le personnel du ministère, qui a confirmé qu’il s’agit d’une erreur du système NB Cas. Le personnel a établi un paiement en trop de 1 326 $, le montant du paiement inadmissible. Il devait aussi demander une modification au système pour empêcher à l’avenir que des paiements inadmissibles soient produits. Recommandation 5.31 Nous avons recommandé que le ministère examine les paiements antérieurs pour déterminer les cas où des paiements inadmissibles ont été versés à des clients. Le ministère devrait établir des paiements en trop pour tout paiement inadmissible qu’il trouve. 5.32 Nous avons recommandé que le ministère modifie le système de façon à empêcher à l’avenir que de tels paiements inadmissibles soient produits. Réponse du ministère 5.33 [Traduction.] Le ministère mène actuellement un examen des cas fermés et actifs dans lesquels des paiements rétroactifs ont eu lieu. Dans cet ensemble inhabituel de circonstances résultant de l’action de l’utilisateur, un paiement en trop est établi, lorsqu’il y a lieu. Le système NB Cas sera modifié de façon à rediriger le paiement rétroactif vers le bureau local aux fins de validation avant de le remettre au client. Réalisation de l’examen des cas 5.34 Au cours de notre vérification, nous avons déterminé que les examens de cas de l’exercice 2008 n’avaient pas été réalisés parce que le ministère avait décidé de ne pas embaucher d’étudiants pour l’été. D’habitude, le ministère embauche des étudiants pour faire l’examen des cas. Les examens de cas sont exigés en vertu d’une directive du ministère, et ils se traduisent souvent par des économies de coûts pour le ministère. Le fait de ne pas réaliser les examens de cas accroît le risque que des paiements d’aide sociale inadmissibles soient produits. 5.35 En 2007, les étudiants embauchés pour l’été avaient recommandé que des changements financiers soient apportés dans 89 des examens effectués. Ils ont aussi renvoyé 100 cas aux enquêteurs régionaux pour une enquête plus poussée, ce qui a pu mener à d’autres économies de coûts pour le ministère. Examens de cas en retard 5.36 Le tableau suivant montre le nombre d’examens de cas en retard. 5.37 Le ministère s’est amélioré par rapport aux années précédentes pour ce qui est de réaliser les examens de cas en retard. 5.38 Pour l’exercice 2008, 21,3 % des examens de cas étaient en retard. Cette situation découle directement de la décision de ne pas embaucher d’étudiants à l’été 2008 et pourrait être la source de paiements en trop non détectés versés aux clients. Recommandation 5.39 Nous avons recommandé que le ministère effectue les examens de cas des clients de l’aide sociale en temps opportun, comme l’exige sa directive. Réponse du ministère 5.40 [Traduction.] Le ministère a pris en considération les effets de sa décision de ne pas embaucher d’étudiants à l’été 2008 pour effectuer les examens de cas. Il a été décidé que 23 étudiants seront embauchés à l’été 2009 pour réaliser les examens de cas en retard, puis faire une bonne partie des examens dus cette année. On s’attend à ce que le traitement de l’arriéré prenne une année complète. Système de paie du gouvernement (SIRH) Étendue 5.41 Comme pour notre vérification des dépenses de la province, nous faisons un contrôle par sondages du système de paie du gouvernement (SIRH). Notre sondage comportait deux volets : • Nous documentons et contrôlons par sondages les contrôles à la Direction du service d’information sur les ressources humaines au Bureau des ressources humaines. Cette direction est chargée de l’exploitation du système SIRH et établit les mécanismes de contrôle centraux pour la feuille de paie des fonctionnaires et des employés occasionnels. • Nous documentons et contrôlons par sondages les contrôles de deux ou trois ministères. De plus, nous choisissons et contrôlons par sondages un échantillon de transactions de paie relativement à ces ministères. Chaque année, nous choisissons des ministères différents pour nous assurer de visiter tous les ministères en rotation. Cette année, nous avons retenu le ministère de l’Environnement, le ministère des Gouvernements locaux et le ministère de la Sécurité publique. 5.42 La feuille de paie du personnel enseignant de la province est exclue de notre contrôle par sondages. Les enseignants sont payés à partir d’un autre système exploité par le ministère de l’Éducation. Nous nous appuyons sur le travail du Bureau du contrôleur pour ces paiements. Le Bureau du contrôleur effectue des contrôles par sondages détaillés sur la masse salariale des districts scolaires, et nous examinons ce contrôle par sondages pour nous en servir dans la préparation de notre opinion du vérificateur. Constatations 5.43 Au cours de notre travail, nous avons trouvé des problèmes relativement à la connaissance qu’a le personnel du service de la paie des ministères du système SIRH et de ses rapports. Nous avons fait part de nos constatations au ministère concerné ainsi qu’au Bureau des ressources humaines. Nous présentons nos constatations détaillées ci-dessous. Formation sur le SIRH 5.44 D’après le travail que nous avons effectué dans les ministères, nous sommes d’avis que les agents de la paie des ministères n’ont pas reçu une formation adéquate sur l’utilisation du SIRH. Une formation insuffisante des utilisateurs des ministères accroît le risque que des agents de la paie utilisent le SIRH et ses rapports incorrectement, ce qui peut donner lieu à des erreurs dans les feuilles de paie. 5.45 Nous avons relevé trois erreurs qui, à notre avis, découlent d’une formation insuffisante de certains membres du personnel du service de la paie. Lorsque nous avons discuté des erreurs avec les membres du personnel et de la direction, ils nous ont dit qu’ils avaient besoin de plus de conseils sur l’examen des rapports réguliers du SIRH. 5.46 Nous avons aussi observé dans un ministère, à la suite d’un roulement de personnel élevé, qu’une agente de la paie avait été affectée à de nouvelles fonctions pour lesquelles elle n’était pas formée. Le ministère lui a donné une formation limitée, mais ce n’était pas suffisant pour permettre à l’agente de la paie d’exécuter ses nouvelles fonctions avec compétence. 5.47 Dans nos travaux passés, nous avons remarqué qu’un roulement de personnel élevé est un problème qui se retrouve dans de nombreux ministères. Cette situation a entraîné une pénurie de personnel expérimenté et bien formé au service de la paie. 5.48 À l’heure actuelle, aucun programme de formation centralisé n’existe pour les utilisateurs du SIRH; les ministères sont chargés de former leur propre personnel du service de la paie. Nous croyons que les ministères ne savent pas trop comment assurer une formation efficace de leur personnel affecté à la paie, car le SIRH est un système unique et complexe, et les ministères n’ont pas de personnel expérimenté au service de la paie qui peut donner cette formation. 5.49 Nous avons discuté de différentes solutions en matière de formation avec les cadres de la direction au BRH. On nous a dit que la direction offre plusieurs services pour aider les agents de la paie à utiliser le système et qu’elle encourage les ministères à participer aux réunions du groupe des utilisateurs des services de la paie et des avantages sociaux et à inscrire leurs agents de la paie aux cours offerts par l’Association canadienne de la paie (ACP). Nous avons constaté lors de nos discussions avec plusieurs ministères qu’ils n’étaient pas au courant de certains des services ni des cours de l’ACP. 5.50 À notre avis, comme le BRH est le propriétaire du SIRH, il lui incombe de s’assurer que les utilisateurs du système reçoivent une formation adéquate. La direction devrait informer périodiquement les ministères des services de soutien qu’elle offre et fournir ces services sur demande. Si la direction n’a pas les ressources nécessaires pour fournir ces services de soutien, alors elle devrait explorer d’autres méthodes de formation qui pourraient être plus économiques, comme des webinaires ou des possibilités de formation en ligne. Recommandation 5.51 Nous avons recommandé que le Bureau des ressources humaines offre un soutien et une formation efficaces aux utilisateurs du SIRH. Les genres de soutien et de formation offerts devraient être communiqués à tous les ministères. Ces services devraient être accessibles par les ministères au besoin. Réponse du BRH 5.52 [Traduction.] Nous sommes d’accord avec vos constatations. L’absence d’un programme de formation gouvernemental complet sur le SIRH est une question que nous reconnaissons et avec laquelle nous nous débattons depuis un certain temps. L’effondrement de la formation à l’échelle du gouvernement s’explique par des années de restrictions budgétaires qui ont mené à une réduction de plus de 30 % du personnel du service d’information sur les ressources humaines, et par le fait même, à une perte de savoir-faire dans de nombreux domaines, dont la gestion des programmes et bureaux, les programmes techniques spécialisés, l’analyse des activités et, en particulier, les compétences en formation des utilisateurs. Depuis 2002, l’unité qui avait mis au point le SIRH et qui assurait la formation sur le système a été réduite de 75 %. 5.53 Nous avons appliqué des solutions créatives avec divers degrés de succès, dont une tentative en 2007 de faire équipe avec les ministères pour rétablir un programme de formation gouvernemental et, plus récemment, un arrangement avec le ministère des Finances voulant qu’un membre de son personnel administre les demandes de relevé d’emploi au fédéral en notre nom, afin de soutenir ce nouveau moyen plus efficace pour les ministères de gérer le programme. 5.54 Comme vous l’avez reconnu, le SIRH est unique, ce qui signifie que toute solution en matière de formation nécessite des ressources internes pour l’élaboration, la maintenance et, dans la plupart des cas, l’exécution. Étant donné nos limites, nous ne sommes pas en mesure d’élaborer un nouveau programme de formation centralisé, mais nous continuons à approfondir diverses solutions de rechange, dont les suivantes : • Une mise à jour du guide d’autoformation est comprise dans le plan de travail du service IRH pour 2009-2010. Nous avons utilisé ce guide récemment comme outil pour former notre propre personnel et constaté qu’il pourrait être utilisé plus largement. • Étant donné que certaines erreurs relevées durant la vérification semblent avoir trait à des questions sur les connaissances de base en matière de paie, les programmes offerts par l’Association canadienne de la paie semblent pertinents. Pour mieux faire connaître et communiquer de tels types de formation, nous allons ajouter ces programmes au calendrier de formation gouvernemental du BRH. • Nous avons presque terminé un projet d’uniformisation de la paie. Ce projet portait sur des politiques et des dispositions de conventions collectives pour lesquelles les règles de mise en œuvre de la paie n’étaient pas claires. Du travail a été fait de concert avec le groupe des utilisateurs des services de la paie et des avantages sociaux et les directeurs de RH pour recueillir de l’information sur les pratiques actuelles, les incohérences et les recommandations. Un document de communication sera préparé pour décrire les procédures et favoriser l’uniformité. • La fonction de la paie sera transférée à un nouvel organisme de services partagés le 1er avril 2010. Nous avons consenti à détacher le directeur du SIRH à l’initiative AIS pour diriger le projet de transition du service de la paie et des avantages sociaux au modèle de prestation de services partagés. Une récente séance en groupe de discussion a permis de relever l’amélioration des processus, l’uniformisation et l’investissement dans la formation des employés comme des facteurs de réussite essentiels de ce transfert, et la direction du SIRH veillera à ce que ces exigences soient prises en compte dans le plan du projet d’AIS pour le service de la paie. • Nous demeurons déterminés à travailler avec les directeurs des RH et le groupe des utilisateurs des services de la paie et des avantages sociaux et nous renouvellerons nos efforts pour promouvoir l’échange d’information, déterminer les points faibles et travailler efficacement avec le groupe pour faciliter l’apprentissage et la diffusion des pratiques exemplaires. • Tel qu’il est recommandé, nous communiquerons également les constatations de votre vérification aux ministères et leur rappellerons l’existence de notre bureau d’aide, la documentation en ligne sur le SIRH et les services de soutien individuel qui sont offerts. Nouveaux relevés des exceptions 5.55 Les relevés des exceptions de la direction devraient identifier les employés pour lesquels des retenues de pension à la source n’ont pas été établies alors qu’il le faudrait. 5.56 Nous avons trouvé dans un ministère un cas où une nouvelle employée avait été incorrectement enregistrée dans le SIRH. L’agente de la paie du ministère avait inscrit le mauvais code de début, ce qui a fait que les retenues de pension n’étaient pas faites pour l’employée, qui doit maintenant payer les cotisations de retraite qui auraient dû être retenues par le système. Si l’erreur n’avait pas été détectée, cette employée aurait pu connaître des difficultés lorsque serait arrivé le temps de recevoir ses prestations de retraite. 5.57 Le personnel de la direction du SIRH estime que le ministère aurait dû détecter cette erreur si l’agente de la paie avait vérifié l’exactitude des données entrées. De plus, le personnel de la direction a indiqué que le système aurait émis un message d’avertissement pour indiquer à l’agente de la paie qu’il y avait un conflit dans le code de début. L’agente de la paie n’aurait pas tenu compte de ce message. 5.58 Notre travail à la direction du SIRH nous a appris que le personnel de la direction génère et examine un certain nombre de relevés d’exceptions pour déterminer les erreurs possibles dans les données; cependant, les cas dans lesquels les retenues de pension ne sont pas faites ne sont pas compris dans ces rapports. À notre avis, la direction du SIRH devrait élaborer un nouveau relevé des exceptions pour repérer les cas dans lesquels les retenues de pension ne sont pas établies pour des employés alors que les circonstances indiquent qu’elles devraient l’être. Nous avons discuté de la question avec la direction du SIRH, qui a convenu que cela était possible. Recommandation 5.59 Nous avons recommandé que la direction génère et surveille un relevé des exceptions visant à identifier les employés pour lesquels des retenues de pension ne sont pas établies alors qu’elles devraient l’être. Réponse du BRH 5.60 [Traduction.] Nous croyons comprendre que des processus sont en place dans le système pour établir automatiquement les retenues de pension en fonction de critères d’admissibilité précis, ainsi que des messages d’avertissement en cas de conflit et une fonction de navigation automatique qui amène les utilisateurs du système à un résumé des retenues à la source pour permettre un examen d’assurance de la qualité. Si l’on considère les mesures de protection en place, la situation semble être un cas isolé, et le risque qu’elle se reproduise est faible. En revanche, nous sommes d’accord avec l’importance du résultat et reconnaissons que le rapport des écarts actuel ne couvre pas ce cas. La Division du service d’information des ressources humaines explorera la possibilité de créer un nouveau relevé des exceptions. Système de l’impôt foncier 5.61 Nous avons relevé deux aspects dans notre vérification du système de l’impôt foncier (le système PATS) : améliorer l’efficacité de la vérification et préparer une liste des comptes débiteurs. Nous avons communiqué ces questions au ministère des Finances et en faisons état dans les paragraphes qui suivent. Améliorer l’efficacité de la vérification 5.62 Au cours de notre vérification, nous avons relevé trois moyens d’améliorer l’efficacité de la vérification. Avec de telles améliorations, aussi bien les vérificateurs que le personnel du ministère gagneraient du temps. L’information devrait être fournie en temps opportun 5.63 Au cours de notre vérification, nous n’avons pas toujours reçu l’information demandée en temps opportun. Par exemple, nous avons demandé un certain rapport le 27 février, que nous avons reçu en juin seulement. Des retards de cette nature sont inutiles et augmentent considérablement le temps nécessaire pour réaliser les missions de vérification. Le personnel du ministère devrait être disponible durant la vérification 5.64 Durant notre vérification de fin d’exercice, deux membres clés du personnel étaient souvent absents pour diverses raisons, que ce soit pour des réunions, des vacances ou des congés de maladie. Bien que nous ayons essayé de diminuer le risque que le personnel soit en vacances en établissant la date de la vérification à l’avance et en nous assurant que les membres du personnel seraient disponibles, nous avons quand même connu des retards à cause des vacances du personnel. La durée de la vérification serait moindre si un membre clé du personnel était disponible pour une courte période chaque jour pour répondre aux questions. Le personnel du ministère devrait effectuer les rapprochements avant notre vérification 5.65 Une étape de notre processus de vérification consiste à effectuer des rapprochements précis tant pour les comptes de recettes que pour les comptes débiteurs. Faire ces rapprochements durant la vérification exige beaucoup de temps tant de la part du personnel du ministère que de nos vérificateurs. Nous gagnerions tous du temps si le personnel du ministère effectuait ces rapprochements avant le début de la vérification de fin d’exercice. 5.66 Alors que la complexité de notre travail de vérification s’accroît en raison des modifications des normes comptables et des normes de vérification et que nos ressources humaines diminuent à la suite des restrictions budgétaires, il est essentiel que nos vérificateurs et le personnel ministériel travaillent ensemble pour trouver des moyens de réduire le temps nécessaire pour réaliser la vérification. Recommandation 5.67 Nous avons recommandé que le ministère fournisse toute l’information demandée en temps opportun. Réponse du ministère 5.68 [Traduction.] Le ministère convient que les rapports existants devraient être fournis en temps opportun durant la vérification. Bien que l’exemple cité soit exact, nous estimons que le rapport en retard dont il est question est l’exception plutôt que la norme. Comme il ne s’agissait pas d’un rapport du ministère des Finances, il a fallu le demander. Cependant, nous sommes d’accord pour dire que le rapport qui n’arrivait pas aurait dû faire l’objet d’efforts plus soutenus plus tôt pour l’obtenir. Dans la mesure du possible, à l’avenir, si vos vérificateurs déterminent à l’avance les rapports nécessaires à la vérification, cela contribuera aussi à minimiser les retards. Recommandation 5.69 Nous avons recommandé que le ministère s’assure de la disponibilité du personnel clé au cours de la vérification pour contribuer à sa réalisation en temps opportun. Réponse du ministère 5.70 [Traduction.] Le ministère convient que la disponibilité du personnel clé est nécessaire pour assurer la réalisation en temps opportun des vérifications. L’unité de gestion des comptes faisait face à une charge de travail très lourde; quoi qu’il en soit, tous les efforts seront faits à l’avenir pour que le personnel requis soit davantage disponible. Tant le Bureau du vérificateur général que le ministère des Finances devraient s’efforcer de s’assurer que la vérification annuelle est terminée avant le début de la saison traditionnelle des vacances. Recommandation 5.71 Nous avons recommandé que le ministère réalise les rapprochements des comptes de recettes et des comptes débiteurs avant le début de la vérification de fin d’exercice. Réponse du ministère 5.72 [Traduction.] Le ministère prépare ses états financiers annuels dans les délais établis par le Bureau du contrôleur. La préparation des états financiers exige que les rapprochements des comptes de recettes et des comptes débiteurs soient achevés. Nous croyons que cette recommandation a trait à la réalisation des feuilles de calcul des rapprochements que les vérificateurs ont spécialement conçues comme outil de vérification pour assurer l’exactitude des états financiers. Ces feuilles de calcul ont été utilisées au cours de la vérification la plus récente et peuvent être préparées, sur demande, en plus des rapprochements que fera le ministère avant le début de la vérification de l’année prochaine. Liste des comptes débiteurs 5.73 Le ministère des Finances n’a pas de liste détaillée de ses comptes débiteurs au 31 mars. Le personnel du ministère a expliqué que le système de l’impôt foncier est préprogrammé pour télécharger les listes de comptes débiteurs à des dates précises, c’est-à-dire le premier vendredi du mois suivant une pleine semaine. Cette année, le téléchargement a été exécuté le 10 avril pour le solde du 31 mars. 5.74 De nombreux redressements ont lieu chaque jour dans le système de l’impôt foncier, y compris la réception de paiements et des modifications aux évaluations. En conséquence, afin de nous assurer que le solde inscrit dans les états financiers du 31 mars est complet et exact, nous devons rapprocher le téléchargement du 10 avril et le chiffre inscrit dans les états financiers. La réalisation de ce rapprochement exige beaucoup de temps, car de nombreux changements ont lieu durant cet intervalle de 10 jours. 5.75 À notre avis, le ministère des Finances devrait nous fournir une liste des comptes débiteurs au 31 mars. Si cela n’est pas possible, alors le ministère devrait rapprocher la liste des comptes débiteurs téléchargée et le solde des comptes débiteurs inscrit dans les états financiers. Le ministère devrait nous fournir ce rapprochement dans le cadre des documents de la vérification de fin d’exercice. Recommandation 5.76 Nous avons recommandé que le ministère fournisse à notre bureau une liste des comptes débiteurs au 31 mars. Si cela n’est pas possible, alors le ministère devrait rapprocher le solde des comptes débiteurs inscrit dans les états financiers et le plus récent téléchargement des comptes débiteurs du système de l’impôt foncier avant le début de notre vérification de fin d’exercice. Réponse du ministère 5.77 [Traduction.] Bien qu’il reçoive des rapports sommaires des comptes débiteurs au 31 mars et des rapports détaillés des débiteurs peu après, le ministère est en mesure de produire un rapport détaillé des débiteurs au 31 mars, et ce rapport sera remis au Bureau du vérificateur général dès le 31 mars 2010. Système de l’impôt foncier – suivi Contexte 5.78 Dans cette section, nous traitons de l’état des recommandations que nous avons formulées dans notre rapport de 2007, volume 1, chapitre 4. Dans le chapitre de 2007, nous avions présenté des constatations et fait 17 recommandations concernant le système de l’impôt foncier (le système PATS) et la Section de la gestion des comptes au ministère des Finances. Résumé des résultats 5.79 Le tableau suivant montre l’état de nos recommandations de 2007. Résultats détaillés Recommandations mises en œuvre 5.80 Nous sommes heureux de constater que le ministère a mis en œuvre les cinq recommandations suivantes. • Deux personnes (qui sont indépendantes de la personne qui fait la saisie des taux d’imposition) vérifient l’exactitude des taux d’imposition. • Le ministre rapproche les comptes d’attente tous les mois, et une personne examine les rapprochements pour vérifier s’ils sont effectués correctement et en temps opportun. • La province présente le solde des comptes débiteurs municipaux d’impôt foncier dans le solde débiteur de fin d’exercice. • Le ministère retire les comptes débiteurs dus par d’autres ministères de son solde débiteur de fin d’exercice. Recommandations partiellement mises en œuvre 5.81 Le ministère a partiellement mis en œuvre neuf de nos recommandations de 2007. La pièce 5.1 dresse la liste des recommandations et les progrès du ministère dans leur mise en œuvre. Pièce 5.1 Recommandations partiellement mises en œuvre Recommandations non mises en œuvre 5.82 Le ministère n’a pas mis en œuvre les trois recommandations suivantes. 5.83 Nous avions recommandé que le ministère des Finances élabore et mette en œuvre un plan d’action pour traiter les risques découlant de l’âge du système PATS. Réponse du ministère 5.84 [Traduction.] [Le ministère est d’avis que le système actuel] est extrêmement stable et fiable et qu’il répond toujours aux besoins du ministère. Le ministère continuera à évaluer les possibilités commerciales de remplacement du système PATS, mais il ne prévoit pas le remplacer dans un avenir immédiat. 5.85 Nous avions recommandé que le personnel du ministère autorise la mise en œuvre des modifications de programmation dans l’environnement de production en donnant pour instructions au personnel du centre de données d’apporter uniquement les modifications approuvées par le ministère. Réponse du ministère 5.86 [Traduction.] Le ministère estime que le fait de remettre au centre de données une copie de l’approbation signée n’accroît en rien le contrôle sur le processus d’approbation. Dans une telle situation, on doit pouvoir se fier aux programmeurs pour qu’ils apportent les mêmes modifications à l’environnement de production que celles précédemment confirmées et acceptées par le ministère en mode « essai ». 5.87 Nous avions recommandé que le ministère s’assure de l’intégralité des avis d’évaluation et d’impôt en déterminant au préalable le nombre d’avis qui devraient être produits et en comparant ce nombre au nombre réel d’avis produits. Réponse du ministère 5.88 [Traduction.] Le ministère compare le nombre d’avis qui devraient être produits selon le système PATS avec le nombre réellement produit. Comme ce rapport est produit par le système PATS au moment de la préparation des avis, le ministère estime qu’il s’agit d’un moyen de vérification adéquat.