Sauter l'index du livret et aller au contenu de la page

Vérification de suivi des contrôles des technologies de l’information des systèmes financiers de la Direction générale des finances et des services ministériels

Résumé

Cette vérification a été inscrite au plan de vérification axé sur les risques pour 2010–2013 qui a été approuvé par le sous-ministre, d'après la recommandation du Comité consultatif de la vérification externe.

Lorsque la Loi fédérale sur la responsabilité a été mise en œuvre en 2006, elle exigeait que les ministères puissent produire des « états financiers vérifiés » pouvant faciliter une vérification fondée sur les contrôles. Cette exigence a ensuite été changée et il faut maintenant que les ministères puissent produire des états financiers vérifiables.

Chaque ministère devait effectuer une évaluation de base de sa capacité à respecter cette exigence et présenter chaque année un compte rendu de ses progrès relativement à la conformité au Bureau du contrôleur général (BCG).

Cette évaluation de l’état de la préparation à la vérification d'Environnement Canada a été confiée à une entreprise externe, et effectuée en deux phases, à compter de 2007. Le rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification (mars 2009) soulignait plusieurs problèmes, dont 25 dans le domaine des contrôles financiers des technologies de l'information (TI). Le Ministère a mis en œuvre un plan d'action pour corriger les problèmes relevés avant la fin de mars 2011.

L'objectif de cette vérification était de faire un suivi du plan d'action préparé en réponse aux 25 problèmes de contrôles financiers des technologies de l'information présentés dans le rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification de mars 2009 : c'est-à-dire, examiner l'exécution des mesures correctives et s'assurer que les lacunes liées aux mesures de contrôle répertoriées dans le rapport aient été corrigées.

Énoncé d’assurance

Cette vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de la vérification interne et à la Politique sur la vérification interne du Conseil du Trésor du Canada.

Selon notre jugement professionnel, des procédures de vérification suffisantes et appropriées ont été menées et des preuves recueillies pour soutenir l’exactitude des conclusions tirées et contenues dans le présent rapport. Les conclusions étaient basées sur une comparaison des situations qui existaient au moment de la vérification en fonction des critères de vérification.

Résumé des constatations

Depuis que le rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification a été publié en mars 2009, des efforts importants ont été faits pour appliquer les recommandations et tenir compte des constatations sous-jacentes concernant les 25 problèmes liés aux contrôles financiers des TI. Des mises à niveau importantes ont été apportées à la plate-forme et à la fonctionnalité du système financier. Plus précisément, au cours des huit derniers mois, le Ministère a remplacé la plate-forme UNIX du système par une plate-forme LINUX, a ajouté la fonction de gestion du cycle de vie des biens et a corrigé plusieurs menaces à la sécurité.

En ce qui concerne le plan de travail découlant de la phase 2 de l'évaluation de l'état de la préparation à la vérification de mars 2009, qui devait être terminée en mars 2011, nous avons conclu que des progrès importants avaient été réalisés pour appliquer les 25 recommandations liées aux contrôles financiers des technologies de l'information. Toutes les lacunes de mesures de contrôle des secteurs à risque élevé ont été atténuées, mais d’autres travaux sont nécessaires pour les corriger complètement. Onze des mesures de contrôle sont considérées comme étant bien réglées grâce au travail effectué jusqu'à maintenant. Douze des autres mesures de contrôle se sont avérées efficaces en grande partie et il ne reste plus que quelques problèmes mineurs à régler, chacun ne présentant qu'un faible risque pour le Ministère. [Texte enlevé pour protéger la sécurité du système.]

Lorsque le travail de vérification sur place a commencé en décembre 2010, l'équipe d'examen a découvert que très peu des travaux sur les politiques et les procédures étaient terminés. Toutefois, lorsque l'équipe de vérification a pu commencer les tests, cette situation avait été en grande partie inversée, et presque tous ces travaux étaient terminés. Ces travaux ont été accomplis dans un milieu où les ressources de la Direction générale des finances et des services ministériels participaient à la mise en œuvre du changement majeur aux plates–formes en novembre 2010, ainsi qu'aux travaux requis à la fin de l'exercice.

Observations et recommandations

Ce qui suit est un résumé des observations et des recommandations qui se trouvent dans le corps du rapport :

Améliorer la durabilité des contrôles de surveillance

L'équipe de vérification a observé que des activités de correction avaient été mises en œuvre pour combler les lacunes de surveillance en utilisant les ressources existantes. Les mesures de contrôle mises en œuvre remédieront aux lacunes; toutefois, pour que la surveillance soit durable à long terme, il faut envisager l'automatisation de certaines activités.

Recommendation

Le chef de la direction financière devrait élaborer un plan pour la refonte des contrôles de surveillance des systèmes financiers avec une stratégie d'amélioration continue afin de les intégrer aux processus opérationnels existants, de réduire les coûts et d'améliorer la durabilité.

Plan de travail requis pour les mesures en suspens

L'équipe de vérification a observé qu'il reste du travail à effectuer pour les douze mesures de contrôle à risque faible et pour les deux mesures de contrôle à risque moyen.

Recommendation

Le chef de la direction financière devrait élaborer un plan de travail pour veiller à l'achèvement des activités non terminées du plan de travail découlant du rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification.

Un programme de surveillance continue devrait être mis en œuvre

Les recommandations découlant de la phase 2 de l'évaluation de l'état de la préparation à la vérification nécessitent que bon nombre des mesures de contrôle soient assujetties à des examens périodiques (surveillance). L'équipe de vérification a constaté que les processus entourant cette surveillance sont consignés et gérés comme des activités individuelles, et que les mesures de contrôle de surveillance sont conçues et appliquées de façon indépendante.

Recommandation

Le chef de la direction financière devrait mettre au point une stratégie pour la surveillance continue des contrôles financiers des technologies de l'information qui devrait faire partie d'une stratégie globale de surveillance des mesures de contrôle internes.

Les contrôles de gestion de l'identité et des droits d'accès devraient mettre à profit l'information disponible dans les systèmes de ressources humaines.

L'équipe de vérification a trouvé qu'un grand nombre des mesures de contrôle liées à la gestion de l'identité et des droits d'accès, surtout celles de nature détective, seraient plus efficaces si elles pouvaient tirer profit de l'information déjà disponible dans les systèmes de ressources humaines.

Recommendation

Le chef de la direction financière et le sous–ministre adjoint des ressources humaines devraient établir un plan stratégique pour mettre à profit l'identification de l'utilisateur existant aux fins d'utilisation dans les systèmes financiers.

Réponse de la direction

D’accord. La direction a élaboré un plan d'action de gestion.

Date de modification :