Sauter l'index du livret et aller au contenu de la page

Vérification de suivi des contrôles des technologies de l’information des systèmes financiers de la Direction générale des finances et des services ministériels

1.0 Introduction

Cette vérification a été inscrite au plan de vérification axé sur les risques pour 2010-2013 qui a été approuvé par le sous-ministre, d'après la recommandation du Comité consultatif de la vérification externe.

Au sein d'Environnement Canada, les contrôles des technologies de l'information (TI) qui appuient la production d'états financiers annuels vérifiables sont la responsabilité de la Direction générale des finances et des services ministériels et du chef de la direction financière.

1.1 Contexte

Lorsque la Loi fédérale sur la responsabilité a été mise en œuvre en 2006, elle exigeait que les ministères puissent produire des « états financiers vérifiés » capables de faciliter une vérification fondée sur les contrôles. Cette exigence a ensuite été changée et il faut maintenant que les ministères puissent produire des états financiers vérifiables.

Chaque ministère devait effectuer une évaluation de référence de sa capacité à respecter cette exigence et présenter chaque année un compte rendu de ses progrès relativement à la conformité au Bureau du contrôleur général (BCG).

L’évaluation de l’état de la préparation à la vérification d'Environnement Canada a été confiée à une entreprise externe (Ernst & Young), et effectuée en deux phases, à compter de 2007. Le rapport de la phase 2 sur l'évaluation de l'état de la préparation (mars 2009) soulignait plusieurs problèmes, dont 25 dans le domaine des contrôles financiers des TI. Le Ministère a mis en œuvre un plan d'action pour corriger les problèmes relevés avant la fin de mars 2011.

Les 25 problèmes qui doivent être corrigés afin de permettre des vérifications basées sur les contrôles efficaces sont dans les secteurs de la gestion de l'accès des utilisateurs (p. ex. identification et contrôle de l'accès des utilisateurs), de la gestion des comptes de la base de données (p. ex. identification et contrôle des privilèges liés à la base de données) et de la gestion des changements (p. ex. documentation et surveillance).

Généralement appelé la gestion de l'identité et des droits d'accès, ces trois domaines constituent le processus de gestion par lequel les utilisateurs accèdent à tel type de renseignements, ainsi que la façon et le moment d’y accéder. La gestion efficace de l'identité et des droits d'accès améliore, entre autres, l'efficacité et la transparence opérationnelle, ainsi que l'efficacité des initiatives d'affaires clés. Il serait très difficile pour un ministère d'avoir une vérification basée sur les contrôles de ses états financiers vérifiables sans une telle gestion.

1.2 Évaluation du risque

Afin de définir la portée de la vérification prévue sur la capacité du Ministère d'avoir une vérification basée sur les contrôles, un examen préliminaire des renseignements de base et une évaluation des risques soulignaient les différents objectifs possibles pour cet engagement. La documentation, y compris la législation, les politiques et les directives, a été examinée et des entrevues ont été menées auprès de la Direction générale des finances et des services ministériels et de la Direction générale du dirigeant principal de l'information afin bien comprendre le milieu des contrôles financiers et les exigences prioritaires, ainsi que leurs incidences sur Environnement Canada.

Des risques précis liés au milieu des contrôles financiers des TI ont été relevés par la suite et évalués dans le cadre de la planification de la vérification. Des activités en cours, par exemple le projet de responsabilisation ministérielle et de renouvellement administratif, et la migration prévue vers une plus récente version du système de gestion des bases de données qui appuient nos systèmes financiers ont également été prises en considération.

Le projet de responsabilisation ministérielle et de renouvellement administratif comprend bon nombre d'activités qui devraient corriger des lacunes relevées pendant l'évaluation de l'état de la préparation à la vérification. [Texte enlevé pour protéger la sécurité du système.]

La vérification a été axée sur les problèmes de gestion de l’identification et des droits d’accès de Merlin, l’application de TI du système financier utilisé à Environnement Canada. Cette approche a été choisie pour éviter le dédoublement des efforts et ajouter le plus de valeur possible au profit du Ministère. L’approche a tenu compte, dans plusieurs de ses constatations concernant les TI, des résultats de la phase 2 de l'évaluation de l’état de préparation, déjà axée sur les problèmes de gestion de l'identité et des droits d'accès. Ensuite, la façon la plus efficace d'évaluer la gestion de l'identité et des droits d'accès dans les systèmes financiers d'Environnement Canada fut de faire un suivi du plan d'action tenant compte des 25 problèmes recensés dans le rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification.

1.3 Objectifs et portée

Cette vérification a donc effectué un suivi du rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification de mars 2009 en examinant l’achèvement du plan d'action préparé pour résoudre les 25 problèmes de contrôles financiers des technologies de l'information présentés dans le rapport et pour s’assurer que ces problèmes ont été corrigés.

Le travail a été effectué dans la région de la capitale nationale. La participation régionale était limitée à déterminer si les mesures de contrôle étaient mises en œuvre de façon uniforme dans toutes les régions. De plus, comme un changement majeur a été apporté à la plate–forme du système en novembre 2010, la mise à l'essai des mesures de contrôle des technologies de l'information était restreinte aux mesures qui étaient en place entre la mise en œuvre du nouveau système et le 31 mars 2011, la fin de l'exercice 2010–2011.

1.4 Méthodologie

Le travail de vérification sur place a été effectué entre décembre 2010 et avril 2011 au moyen des renseignements provenant de deux équipes. La première équipe, des Services de vérification Canada, a examiné par le biais d'entrevues les processus qui étaient proposés en tant que points prioritaires en raison de recommandations découlant du rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification. La deuxième équipe, de Ernst & Young, a donné l'assurance que les recommandations avaient réellement été mises en œuvre et que les mesures de contrôle qui en découlaient fonctionnaient comme prévu, en effectuant des tests des données et des processus, en exécutant un examen approfondi de la documentation et en menant des entrevues. Les tests comprenaient l'exécution de scripts pour extraire de l'information de différents tableaux sur la gestion de l'identité et des droits d'accès dans l'application, la base de données et le système d'exploitation, la sélection d'échantillons subjectifs de ces extraits et la révision des fichiers et d'autres preuves connexes pour déterminer si les mesures de contrôle fonctionnaient de manière efficace.

Le moment choisi pour les travaux de vérification devait être optimisé pour correspondre à la disponibilité des ressources du système, mais il est devenu évident que les ressources de la Direction générale des finances et des services ministériels participaient à la mise en œuvre d'un changement majeur des plates–formes en novembre 2010 et à une mise à niveau principale pour faire l'essai des mesures de contrôle requises en février 2011 (pour qu'elles puissent être mises en œuvre le 1er avril 2011). La Direction générale des finances et des services ministériels était également occupée à effectuer le travail de la fin de l'exercice financier, ce qui a encore ajouté des complications au moment de la vérification. Cela représentait un défi concernant la planification de la vérification et l'évaluation des preuves. Afin de réduire au minimum les perturbations des activités à une période importante, l'équipe de vérification a effectué les entrevues, les observations et les essais en même temps que le personnel responsable des opérations effectuait l'essai de la mise en œuvre.

Même si toutes les mesures de contrôle étaient en place pendant la période de vérification, lorsque les essais ont commencé en avril 2011, il n'y avait pas eu suffisamment d'activité pour faire l'essai de onze des mesures de contrôle. Pour palier ce manque de données d'essai, l'équipe de vérification a effectué des procédures d'examen supplémentaires pour appuyer les conclusions de ce rapport.

1.5 Énoncé d’assurance

Cette vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de la vérification interne et à la Politique sur la vérification interne du Conseil du Trésor du Canada.

Selon notre jugement professionnel, tout comme les preuves recueillies, des procédures de vérification suffisantes et appropriées ont été appliquées à l’appui de l’exactitude des conclusions tirées et contenues dans le présent rapport. Les conclusions étaient basées sur une comparaison des situations qui existaient au moment de la vérification en fonction des critères de vérification.

Date de modification :