ARCHIVÉE - Vérification de système en voie d'élaboration pour le système de Paiements de transfert aux Premières nations et aux Inuits (PTPNI)

Renseignements archivés

Cette page a été archivée dans le Web. Les renseignements archivés sont fournis aux fins de référence, de recherche ou de tenue de documents. Ils ne sont pas assujettis aux normes Web du gouvernement du Canada et n'ont pas été modifiés ou mis à jour depuis leur archivage. Pour obtenir ces renseignements sous une autre forme, veuillez communiquer avec nous.

auteur : (Secteur de la vérification et de l'évaluation)
date : (juin 2007)

Format PDF (201 Ko, 47 pages)

 

 

Table des matières


Résumé

Contexte

Le système de Paiements de transfert aux Premières nations et aux Inuits (PTPNI) a été conçu pour remplacer le Système de gestion des paiements de transfert (SGPT). Le but du projet de PTPNI est de mettre en place sur le Web un système de gestion des paiements de transfert qui offrira aux collectivités des Premières nations et des Inuits une prestation intégrée de services ainsi que des outils de gestion améliorés. Le système a pour objectif d'améliorer la reddition de comptes en rehaussant les capacités de présentation de l'information financière et non financière des bénéficiaires des paiements de transfert.

Le système de PTPNI aidera Affaires indiennes et du Nord Canada (AINC) à gérer l'information sur les ententes de financement et à adopter des pratiques prudentes de gestion de la trésorerie qui sont conformes aux exigences du Conseil du Trésor. Le système de PTPNI permet entre autres :

Le projet de PTPNI a vu le jour en 2004 et il devrait être complété en mars 2008 à un coût total de 13,3 millions de dollars (incluant les coûts de maintenane de la première année.)

La première version du système est présentement en production et, dès qu'elle aura été approuvée par le Comité d'orientation du projet de PTPNI, elle sera utilisée pour créer des ententes de financement pour l'exercice 2007-2008. L'objectif visé pour la première version était d'intégrer toutes les fonctionnalités nécessaires pour le début du cycle des paiements de transfert. Les autres fonctionnalités seront implantées corrélativement à l'évolution des premières ententes de financement de 2007-2008.

L'importance financière des paiements de transfert traités par le Ministère et le rôle clé que jouera le système de PTPNI dans la surveillance et le contrôle des transactions connexes ont poussé la Secteur de la vérification et de l'évaluation (SVE) à inclure la vérification de ce système en voie d'élaboration dans son plan de vérification interne.

Calendrier, objectifs et approche

Une activité préliminaire qui consistait à établir la portée de cette vérification a été réalisée entre les mois d'avril et juin 2006 afin de faciliter l'élaboration d'un plan de travail de projet détaillé. À la suite de l'activité d'établissement de la portée, il a été décidé que le travail de vérification sur le terrain serait réalisé en cinq volets qui se chevaucheraient du mois d'août au mois de décembre 2006. Au fur et à mesure que les tâches étaient complétées pour chaque volet, les résultats étaient présentés au Comité d'orientation du projet de PTPNI.

Les objectifs de la vérification, ainsi que les volets mis en oeuvre pour la réalisation des travaux nécessaires sur le terrain, sont identifiés dans le tableau suivant. Pour chacun des volets, le rapport détaillé contient une section distincte décrivant la méthodologie, le calendrier et la portée de la vérification, ainsi qu'une présentation des constatations correspondantes.

Objectifs de la vérification du système en voie d'élaboration pour le projet de PTPNI Volets pertinents de la vérification du système en voie d'élaboration
Donner l'assurance que les mécanismes fonctionnels et de contrôle sont conformes aux dispositions de la Loi sur la gestion des finances publiques (LGFP) à tous égards importants (à savoir, les articles 32, 33, et 34). Contrôles de l'application du système de PTPNI
Donner l'assurance que les mécanismes fonctionnels et de contrôle du système sont compatibles avec le Cadre du contrôle de la gestion des paiements de transfert. Contrôles de l'application du système de PTPNI
Évaluer la portée et la pertinence des systèmes internes et des contrôles de l'environnement informatique pour s'assurer de l'exhaustivité, de la précision et de l'authenticité des données qui sont traitées et sauvegardées. Contrôles associés à l'entrée et au traitement des données Contrôles informatiques généraux
Vérifier si une architecture de système et de sécurité adéquate a été élaborée afin de s'assurer qu'une application Web bénéficiera d'un niveau de protection suffisant. Analyse de la vulnérabilité technique
Évaluer les risques associés au projet. Contrôles de la gestion du projet
Évaluer l'appui de la part des différentes parties intéressées à l'égard du projet et formuler des recommandations à ce sujet. Contrôles de la gestion du projet
Examiner le niveau de conformité par rapport aux pratiques relatives au contrôle de l'élaboration et de la gestion de projet. Contrôles informatiques généraux
Contrôles de la gestion du projet
 

Portée

Étant donné que la majeure partie des procédés de vérification et d'examen ont été mis en oeuvre avant la mise en service de la première version de l'application le 11 décembre 2006, et que tous les tests de l'application PTPNI ont été effectués dans l'environnement d'essai, la portée de cette vérification inclut uniquement la conception des contrôles. Aucune opinion n'est offerte quant à la mise en oeuvre ou à l'absence de mise en oeuvre des contrôles dans l'environnement de production, ou à leur efficacité pour une période donnée. Ces éléments devraient être vérifiés dans le cadre d'un suivi du système.

Le travail de vérification réalisé pour deux des volets (contrôles de l'application PTPNI et contrôles informatiques généraux) avait un objectif de certification alors que le travail de vérification réalisé dans le cadre des trois autres volets a été davantage axé sur la consultation. La prudence est de mise lorsqu'on analyse les conclusions formulées pour ces trois volets étant donné que certaines des constatations peuvent être fondées uniquement sur des renseignements obtenus durant des entrevues.

Conclusions et énoncé d'assurance

Énoncé d'assurance

Les procédures de vérification suivies et les éléments de preuve recueillis sont appropriés et suffisants pour appuyer les opinions suivantes au sujet des contrôles informatiques généraux et des contrôles de l'application PTPNI :

Contrôles informatiques généraux

Selon notre opinion, bien qu'un certain nombre de points forts en matière de contrôle ont été identifiés durant la vérification, la conception des contrôles informatiques généraux nécessite d'importantes améliorations dans les domaines suivants : la sécurité logicielle, les essais, la conversion des données, la reprise après sinistre et la continuité des opérations.

Contrôle des applications PTPNI

Selon notre opinion, la conception des contrôles de l'application associés :

Conclusions pour les volets non axés sur la certification

Contrôles de la gestion du projet : Selon notre opinion, les contrôles de la gestion du projet sont efficaces, mis à part l'absence, au moment où nous avons réalisé l'évaluation, d'un cadre décisionnel.

Contrôles associés à l'entrée et au traitement des données : Selon notre opinion, la conception des contrôles associés à l'entrée et au traitement des données avec le système de PTPNI présente des aspects qui nécessitent un degré moyen d'attention de la part de la direction. La plupart de ces problèmes seront résolus lorsque les recommandations formulées pour les volets concernant les contrôles informatiques généraux et les contrôles de l'application PTPNI seront mises en application.

Contrôles associés à la vulnérabilité technique : Selon notre opinion, la conception des contrôles permettant d'atténuer la vulnérabilité technique est efficace, mis à part quelques risques de niveau moyen qui peuvent facilement être corrigés.

Les gestionnaires ont établis un plan d'action détaillé pour faire le point aux problèmes soulevés dans le rapport. À notre avis, la mise en place du plan d'action va aborder tous les points à améliorer ainsi que d'atténuer les risques identifiés.

Recommandations

Au total, la vérification inclut 18 recommandations formulées en fonction des constatations décrites en détail dans le rapport de vérification. Étant donné que cinq grands domaines de contrôle ont été examinés et que l'on dispose d'un temps limité pour mettre en place les mesures correctives spécifiques avant l'entrée en service du système, il n'y a pas eu de tentative, dans le cadre de la vérification, de regrouper les recommandations à un niveau plus général.

Contrôles informatiques généraux

Sécurité des systèmes d'information

Mise en oeuvre et maintenance des systèmes d'applications

Soutien du réseau et du logiciel d'exploitation

Planification de la continuité des opérateurs et procédures de sauvegarde

Contrôles de l'application du système de PTPNI

Contrôles de la gestion du projet

Contrôles associés à l'entrée et au traitement des données

Contrôles associés à la vulnérabilité technique

Retournez à la table des matières


Section 1 - Introduction

Contexte

Affaires indiennes et du Nord Canada (AINC) est le principal organisme, mais non le seul, qui est chargé de veiller à ce que le gouvernement respecte ses engagements constitutionnels, politiques et juridiques, ainsi que ses responsabilités en matière de traités, à l'endroit des Premières nations, des Inuits, des Métis et des résidents du Nord. AINC est présentement responsable des décaissements et de la surveillance de subventions et contributions annuelles totalisant environ 5,6 milliards de dollars. Des paiements de transfert (sous forme de subventions et contributions) sont remis aux Premières nations, aux Inuits, aux Métis et aux résidents du Nord, ainsi qu'à leurs organisations, pour permettre la prestation de services aux membres de leurs collectivités respectives, conformément à la Politique sur les paiements de transfert du Conseil du Trésor, et font l'objet d'un contrôle en vertu des exigences internes d'AINC en ce qui a trait à la responsabilité, la présentation de l'information sur le rendement et l'évaluation. Le Système de gestion des paiements de transfert (SGPT) est le système financier présentement utilisé pour gérer les 5,6 milliards $ confiés à AINC et destinés aux subventions, contributions et autres paiements de transfert. La plupart de ces paiements sont transférés directement à environ 2 000 bénéficiaires qui sont en majorité des collectivités et des organisations des Premières nations.

Le système de Paiements de transfert aux Premières nations et aux Inuits (PTPNI) a été conçu pour remplacer le SGPT. Le but du projet de PTPNI est de mettre en place sur le Web un système de gestion des paiements de transfert qui offrira aux collectivités des Premières nations et des Inuits une prestation intégrée de services ainsi que des outils de gestion améliorés. Le système améliorera également la reddition de comptes en rehaussant les capacités de présentation de l'information financière et non financière des bénéficiaires des paiements de transfert. Le nouveau système de PTPNI aidera AINC à gérer l'information sur les ententes de financement et à adopter des pratiques prudentes de gestion de la trésorerie, conformément aux exigences du Conseil du Trésor.

Le système de PTPNI permet entre autres de faciliter le travail de préparation des ententes de financement (par ex. , les activités liées à l'affectation budgétaire), de créer et de tenir à jour des ententes de financement et de gérer les rapports des bénéficiaires qui servent à justifier les dépenses, à enregistrer les résultats des activités et à identifier les besoins potentiels en ce qui a trait aux mesures correctives.

Le projet de PTPNI a vu le jour en 2004 et il devrait être complété en mars 2008 à un coût total de 13,3 millions de dollars (incluant les coûts de maintenance de la première année). La première version du système est présentement en production et, dès qu'elle aura été approuvée par le Comité d'orientation du projet de PTPNI, elle sera utilisée pour créer des ententes de financement pour l'exercice 2007-2008. L'objectif visé pour la première version était d'intégrer toutes les fonctionnalités nécessaires pour le début du cycle des paiements de transfert. Les autres fonctionnalités seront implantées au besoin d'ici la fin du premier cycle des ententes de financement créées dans le système de PTPNI pour l'exercice 2007-2008. La signification financière des paiements de transfert traités par le Ministère et le rôle clé que jouera le système de PTPNI dans la surveillance et le cntrôle des transactions connexes ont poussé le Secteur de la vérification et de l'évaluation (SVE) à inclure la vérification de ce système en voie d'élaboration dans son plan de vérification interne.

Calendrier, objectifs et approche

Une activité préliminaire d'établissement de la portée pour le projet de système de PTPNI en voie d'élaboration a été réalisée entre les mois d'avril et juin 2006 afin de faciliter l'élaboration d'un plan de travail de projet détaillé pour cette vérification.

Les objectifs de la vérification, ainsi que les volets mis en oeuvre pour la réalisation des travaux nécessaires sur le terrain, sont identifiés dans le tableau suivant. Pour chacun des volets, le rapport détaillé contient une section distincte décrivant la méthodologie, le calendrier et la portée de la vérification, ainsi qu'une présentation des constatations correspondantes.

Objectifs de la vérification du système en voie d'élaboration pour le projet de PTPNI Volets pertinents de la vérification du système en voie d'élaboration
Donner l'assurance que les mécanismes fonctionnels et de contrôle sont conformes aux dispositions de la Loi sur la gestion des finances publiques (LGFP) à tous égards importants (à savoir, les articles 32, 33, et 34). Contrôles de l'application PTPNI
Donner l'assurance que les mécanismes fonctionnels et de contrôle du système sont compatibles avec le Cadre du contrôle de la gestion des paiements de transfert. Contrôles de l'application PTPNI
Évaluer la portée et la pertinence des systèmes internes et des contrôles de l'environnement informatique pour s'assurer de l'exhaustivité, de la précision et de l'authenticité des données qui sont traitées et sauvegardées. Contrôles associés à l'entrée et au traitement des données

Contrôles informatiques généraux
Vérifier si une architecture de système et de sécurité adéquate a été élaborée afin de s'assurer qu'une application Web bénéficiera d'un niveau de protection suffisant. Analyse de la vulnérabilité technique
Évaluer les risques associés au projet. Contrôles de la gestion du projet
Évaluer l'appui de la part des différentes parties intéressées à l'égard du projet et formuler des recommandations à ce sujet. Contrôles de la gestion du projet
Examiner le niveau de conformité par rapport aux pratiques relatives au contrôle de l'élaboration et de la gestion de projet. Contrôles informatiques généraux

Contrôles de la gestion du projet
 

Chaque volet de travail réalisé dans le cadre de la vérification avait un but spécifique :

Portée

Étant donné que la majeure partie des procédés de vérification et d'examen ont été mis en oeuvre avant la mise en service de la première version de l'application le 11 décembre 2006, et que tous les tests de l'application PTPNI ont été effectués dans l'environnement d'essai, la portée de cette vérification inclut uniquement la conception des contrôles. Aucune opinion n'est offerte quant à la mise en oeuvre ou à l'absence de mise en oeuvre des contrôles dans l'environnement de production, ou à leur efficacité pour une période donnée. Ces éléments devraient être vérifiés dans le cadre d'un suivi du système.

Pour les volets de travail ayant un objectif de certification, l'information recueillie durant les entrevues a été corroborée par l'examen des documents pertinents et/ou par des observations. Dans le cas des volets de travail axés sur la consultation, bien que certains éléments aient fait l'objet d'une corroboration de l'information, quelques-unes des constatations peuvent être fondées uniquement sur de l'information obtenue durant les entrevues.

Retournez à la table des matières


Section 2 - Évaluation des contrôles informatiques généraux

Méthodologie

Cette évaluation a été réalisée au moyen d'une démarche axée sur le risque harmonisée avec le cadre COBIT de contrôle TI élaboré par l'IT Governance Institute. La méthode consistait à réaliser les activités de vérification suivantes pour chaque domaine de contrôle inclus dans l'examen :

Portée et calendrier

Portée


Les domaines de contrôle inclus dans le cadre de cet examen sont résumés dans le tableau suivant.

Domaine de contrôle Description
Opérations des systèmes d'information Supervision et maintenance des opérations des systèmes informatiques. Ordonnancement, surveillance et sécurisation des opérations informatiques.
Sécurité de l'information Conception, mise en oeuvre et maintien de la sécurité de l'information, incluant la sécurité matérielle et logicielle de tous les chemins d'accès aux programmes et aux données.
Mise en oeuvre et maintenance des systèmes d'applications Élaboration, mise en oeuvre (incluant les activités de conversion des données) et maintenance des systèmes d'application.
Mise en oeuvre et soutien de la base de données Gestion de l'architecture des données et maintenance du système de gestion de la base de données.
Soutien du réseau Conception, installation et exploitation des réseaux et des logiciels de communication.
Logiciel d'exploitation Mise en oeuvre et maintenance des logiciels d'exploitation nécessaires, incluant les paramètres qui permettent de configurer et de contrôler ces logiciels.
Planification de la continuité des opérations et procédures de sauvegarde Élaboration d'un plan à l'échelle du Ministère permettant de poursuivre et/ou de reprendre les opérations, advenant un sinistre informatique, à un niveau et dans un délai acceptables pour la direction.
 

Calendrier

L'évaluation des Contrôles informatiques généraux (CIG) a été réalisée entre les mois de juin et décembre 2006.

Conclusion

Bien qu'un certain nombre de points forts en matière de contrôle aient été identifiés durant la vérification, la conception des contrôles informatiques généraux nécessite, selon notre opinion, d'importantes améliorations.

Points forts

Parmi les points forts identifiés dans ce domaine, notons :


Constatations et recommandations

No Constatation Risque Recommandation
Sécurité des systèmes d'information
1 Lorsque les essais ont été réalisés (durant la semaine du 11 au 15 décembre 2006), plusieurs membres de l'équipe du projet de PTPNI avaient un compte actif dans l'environnement de production du système de PTPNI avec des privilèges de mise à jour des accès à certaines des fonctionnalités du système. Il y a un risque accru que des erreurs se produisent dans l'application en raison de modifications, qu'elles soient intentionnelles ou non, ce qui pourrait en bout de ligne avoir une incidence sur la précision du tr aitement des données. Les privilèges de mise à jour des accès dans l'environnement de production devraient être retirés de tous les comptes des membres de l'équipe de projet de PTPNI.
2 Nous avons constaté que certains formulaires de demande d'accès correspondant à des comptes actifs du système de PTPNI n'ont pas été approuvés et que certains utilisateurs ont accès à un plus grand nombre de profils dans le système que ce qui est indiqué dans les formulaires de demande d'accès. De plus, aucun processus n'a encore été mis en place pour réviser de façon régulière les privilèges d'accès dans le système de PTPNI. Les écarts entre les privilèges d'accès autorisés et les privilèges d'accès mis en place accroissent le risque d'un accès inapproprié de la part des utilisateurs ce qui, par conséquent, menace l'intégrité de l'information gouvernementale. Il faudrait procéder à un examen afin de s'assurer que tous les formulaires de demande d'accès sont remplis et que les privilèges d'accès au système correspondent aux autorisations qui sont accordées en fonction des formulaires de demande d'accès. La direction devrait envisager de mettre en place un processus pour réviser de façon régulière les accès accordés aux utilisateurs afin de s'assurer en permanence du caractère adéquat de ces privilèges d'accès.
3 Aucun processus officiel n'a été mis en place afin de s'assurer que les privilèges d'accès au système de PTPNI des employés qui ont cessé d'exercer leur emploi, ou dont les responsabilités ont été modifiées, sont révoqués ou modifiés en temps opportun. Il existe un risque que d'anciens employés accèdent aux systèmes de manière inappropriée en utilisant des privilèges d'accès qui auraient dû être révoqués. Un processus officiel impliquant les ressources humaines devrait être mis en oeuvre afin de s'assurer que les comptes (au niveau du réseau, du serveur, de la base de données et de l'application PTPNI) des employés qui ont cessé d'exercer leur emploi, ou dont le rôle et les responsabilités ont été modifiés, sont révoqués ou modifiés en temps opportun.
Mise en oeuvre et maintenance des systèmes d'applications
4 La portée des jeux d'essais (à savoir, leur exhaustivité, leur caractère adéquat, etc.) n'a pas été approuvée par les utilisateurs. De plus, les résultats et les approbations des essais (par l'équipe du projet de PTPNI et par les utilisateurs) n'ont pas été officiellement documentés. Il s'agit d'un élément particulièrement important puisque plusieurs bogues ont été identifiés dans le système durant les essais qui ont été réalisés pour les besoins de la présente vérification. Si la portée des essais n'est pas approuvée par les utilisateurs et que les plans et résultats d'essais ne sont pas officiellement documentés, il y a un risque accru que la fonctionnalité du système ne permette pas de répondre aux besoins. Il faudrait obtenir des approbations officielles de la part des utilisateurs (ou de leurs représentants) confirmant qu'ils sont d'accord avec la portée des essais (par ex., leur exhaustivité, leur caractère adéquat). De plus, pour chaque jeu d'essais (jeux d'essais de l'équipe interne du projet de PTPNI et jeux d'essais pour l'acceptation des fonctionnalités par les utilisateurs), il faudrait obtenir des approbations confirmant que les jeux d'essais ont été utilisés et que les résultats correspondaient aux attentes.
5 Il n'y a aucune participation officielle de la part des utilisateurs ou du responsable du projet (le directeur, la Direction des paiements de transfert) dans les activités de nettoyage des données. Il y a un risque accru que des modifications inappropriées soient apportées aux données de référence durant les activités de nettoyage des données. Toutes les activités de nettoyage des données devraient être approuvées par les gestionnaires responsables des utilisateurs ou le responsable du projet. Les gestionnaires responsables des utilisateurs ou le responsable du projet devraient également approuver les résultats des essais réalisés afin de confirmer le degré de précision des activités de nettoyage des données.
6 Le responsable du projet n'a pas officiellement approuvé les résultats de la conversion des données (par ex., les activités de mise en concordance et de rapprochement). Il y a un risque accru que le responsable du projet ne soit pas au courant des erreurs ou des autres problèmes rencontrés durant le processus de conversion des données. La portée et les résultats des activités de rapprochement des données devraient être documentés au moyen d'une liste de vérification des conditions de la mise en place que le Comité d'orientation du projet de PTPNI devrait approuver.
Soutien du réseau et du logiciel d'exploitation
7 Notre examen d'une modification apportée au système d'exploitation et au réseau a révélé que les plans et résultats d'essais n'ont pas été officiellement documentés. Il y a un risque accru que la fonctionnalité du système ne réponde pas aux besoins en raison des changements récemment apportés à l'infrastructure du système de PTPNI. Le Comité consultatif sur les changements (CCC) devrait s'assurer que les exigences du Guide sur la gestion du changement sont pleinement respectées, en particulier en ce qui a trait à l'exigence qui stipule qu'il faut fournir des plans et résultats d'essais documentés.
Planification de la continuité des opérations et procédures de sauvegarde
8 Le système de PTPNI n'est pas inclus dans le plan de continuité des opérations d'AINC et dans son plan connexe de reprise après sinistre. Les deux plans sont obsolètes et n'ont pas récemment été mis à l'essai. Il y a un risque accru que le système de PTPNI ne réponde pas aux exigences de disponibilité identifiées dans l'Évaluation du risque et de la menace (ÉRM) du système de PTPNI. The INAC Les plans de continuité des opérations et de reprise après sinistre d'AINC devraient être mis à jour pour inclure le système de PTPNI. Des processus devraient être mis en place afin de s'assurer que ces deux plans sont régulièrement testés et mis à jour.
 
Retournez à la table des matières


Section 3 - Évaluation des contrôles de l'application PTPNI

Méthodologie

L'objectif de ce volet de travail consistait à déterminer si la conception des contrôles de l'application PTPNI permettait de répondre adéquatement aux exigences du Cadre de contrôle de gestion (CCG) de la Direction des paiements de transfert (DPT) et des articles 32, 33 et 34 de la Loi sur la gestion des finances publiques (LGFP). Les activités de vérification suivantes ont été réalisées afin d'atteindre cet objectif :

Portée et calendrier

Portée

La conception des contrôles de l'application PTPNI répondant aux exigences du Cadre de contrôle de gestion de la DPT et des articles 32, 33 et 34 de la Loi sur la gestion des finances publiques a permis de définir la portée de ce volet de travail. Les contrôles ont été évalués dans les domaines suivants :

Calendrier

L'évaluation des contrôles de l'application PTPNI a été réalisée entre les mois de juin et décembre 2006.

Conclusion

Selon notre opinion, la conception des contrôles de l'application PTPNI relatifs aux exigences de la LGFP stipulées aux articles 32, 33 et 34 présente des problèmes de niveau moyen nécessitant l'attention de la direction.

Bien qu'un certain nombre de points forts en matière de contrôle aient été identifiés durant la vérification, selon notre opinion, la conception des contrôles de l'application PTPNI relatifs au CCG de la DPT nécessite d'importantes améliorations. Un bon nombre de contrôles manuels doivent toujours être utilisés pour compléter les contrôles du système de PTPNI et pour s'assurer que les objectifs liés au contrôle sont atteints.

Points forts

Parmi les points forts identifiés dans ce domaine, notons :

Constatations et recommandations

No Constatation Risque Recommandation
Le système de PTPNI ne mettra pas pleinement à profit la technologie qui lui permettrait d'automatiser les contrôles.
1 Bien que les formules des ententes de financement seront intégrées dans le système de PTPNI afin de s'assurer que les allocations de fonds sont correctement calculées, les utilisateurs seront en mesure de contourner ce contrôle en important les allocations à partir d'une feuille de calcul. Il y a un risque accru que les allocations associées aux ententes de financement ne respectent pas les politiques et procédures applicables. La fonctionnalité qu'offre le système de PTPNI devrait être mise à profit afin d'automatiser des contrôles qui, dans toute la mesure du possible, sont conformes aux exigences du Cadre de contrôle de gestion (CCG) de la DPT et de la Loi sur la gestion des finances publiques (LGFP) (articles 32, 33 et 34). Les options qui permettent de remplacer ou de contourner les formules des ententes de financement, de déléguer des pouvoirs, de créer plus d'une entente de financement par bénéficiaire pour un même exercice et de créer des ententes de financement sans utiliser des modèles qui ont été approuvés par la DPT devraient être supprimées.
2 Une fonction d'association d'utilisateurs permet aux usagers de déléguer leurs pouvoirs dans le système, ce qui signifie que le contrôle principal devient maintenant un contrôle manuel extérieur au système (par ex., la façon dont un agent de budget communique une approbation à l'adjoint administratif). Il y a un risque accru que les transactions et les approbations ne soient pas effectuées par les utilisateurs qui sont autorisés à réaliser ces activités, ce qui fait que l'on se fie entièrement au contrôle manuel effectué à l'extérieur du système.
3 Le système de PTPNI permet à l'utilisateur de créer plus d'une entente de financement par bénéficiaire pour un même exercice. Il y a un risque d'erreur accru et, de façon générale, le suivi devient plus difficile pour le bénéficiaire. De plus, les modèles d'ententes de financement devraient déjà comporter des blocs-signature qui sont conformes aux exigences des autorisations et politiques pertinentes.

Comme alternative, des contrôles de surveillance manuels devraient être élaborés et mis en place afin de s'assurer que les exigences du Cadre de contrôle de gestion de la DPT ainsi que celles de la LGFP (articles 32, 33 et 34) sont respectées.
4 Pour les modèles d'ententes de financement :

  • un utilisateur peut créer une entente de financement sans se servir d'un modèle qui a été approuvé par la Direction des paiements de transfert (DPT);

  • les utilisateurs des bureaux régionaux sont en mesure de publier des amendements, des ajustements budgétaires et des modèles de flux de trésorerie sans l'approbation de la DPT.

  • Les modèles d'ententes des PTPNI ne permettent pas de contrôler les blocssignature afin de s'assurer que les personnes appropriées sont obligées d'approuver une version électronique ou sur support papier des ententes de financement.

Il y a un risque accru que les ententes de financement et d'autres documents clés (par ex., les avis d'ajustement budgétaire, les amendements aux ententes de financement) ne respectent pas les politiques et procédures applicables.
Contrôles manuels mis en oeuvre en complément des contrôles automatiques du système de PTPNI
5 Bon nombre des énoncés de contrôle provenant du Cadre de contrôle de gestion (CCG) de la Direction des paiements de transfert (DPT) constituent des exigences auxquelles ne répondent pas entièrement les contrôles de l'application PTPNI. En l'absence de contrôles manuels adéquats utilisés en complément des contrôles de l'application intégrés au système de PTPNI, il y a un risque accru que les exigences en matière de contrôle du CCG de la DPT et des articles 32, 33 et 34 de la LGFP ne soient pas respectées. Des contrôles manuels devraient être élaborés et mis en place pour toutes les exigences du Cadre de contrôle de gestion de la DPT auxquelles ne répondent pas entièrement les contrôles automatisés du système de PTPNI.
Séparation des tâches
6 L'approche en matière de sécurité appliquée au système de PTPNI n'est pas fondée sur la description des postes (à savoir, il n'y a pas de mise en correspondance directe entre les profils de sécurité du système de PTPNI et les titres de poste) et aucun outil d'analyse pour la séparation des tâches n'a été élaboré de manière à s'assurer que les utilisateurs ne se voient pas confier des responsabilités concurrentes. Il y a un risque accru de voir apparaître des incompatibilités dans la séparation des tâches. Compte tenu des difficultés que présente la création, dans le système de PTPNI, de profils d'accès d'usager qui correspondent aux titres de poste, nous recommandons la création d'une matrice de séparation des tâches afin de documenter clairement les activités qui doivent être distinguées. Si des responsabilités concurrentes doivent être attribuées à des utilisateurs spécifiques, des contrôles de surveillance devraient être mis en place.
Lacunes identifiées dans les contrôles de l'application PTPNI
7 Les utilisateurs peuvent modifier la valeur des données clés qui seront incluses dans les copies papier des ententes de financement, ce qui peut entraîner des écarts entre les copies papier des ententes de financement et les copies de ces ententes qui sont stockées dans le système de PTPNI. Cela vaut également pour les avis d'ajustement budgétaire et les amendements apportés aux ententes de financement existantes. De plus, les utilisateurs peuvent imprimer une entente de financement dans sa version finale alors que cette entente peut toujours être modifiée dans le système de PTPNI. Il y a un risque accru que les copies papier des ententes de financement qui portent une signature officielle pour les besoins des dispositions contractuelles soient différentes des ententes de financement enregistrées dans le système de PTPNI et qui servent à initier les paiements. Les utilisateurs ne devraient pas avoir la possibilité de modifier des variables du système de PTPNI qui peuvent entraîner des différences entre les données du système de PTPNI et celles qui apparaissent dans les ententes de financement sur support papier. De plus, tant que l'état des ententes de financement dans le système de PTPNI en permet la modification, les versions imprimées des ententes produites par le système devraient clairement porter la mention « ébauche ».
8 Aucun rapport sur les exceptions n'a été élaboré pour la surveillance des dérogations aux contrôles. De plus, les utilisateurs peuvent déroger à une exigence redditionnelle obligatoire sans fournir d'explication. Il y a un risque accru que les exigences redditionnelles ne respectent pas les attentes de la direction. Des rapports sur les exceptions devraient être élaborés et utilisés pour la surveillance des dérogations aux contrôles. De plus, le système de PTPNI devrait forcer les utilisateurs à enregistrer des commentaires lorsqu'ils dérogent aux exigences redditionnelles obligatoires.
Fonctionnalités non incluses dans la version du 11 décembre 2006 du système de PTPNI
9 Certaines fonctionnalités du système de PTPNI ainsi que des contrôles connexes de l'application n'ont pas été inclus dans la première version du système de PTPNI mise en oeuvre le 11 décembre 2006. Cela inclut :

  • le flux des travaux associés à la gestion des rapports des bénéficiaires pour les états financiers vérifiés des Premières nations;

  • le module d'intervention;

  • les opérations de paiement effectuées après la clôture de l'exercice;

  • le module de rapprochement des systèmes PTPNI – OASIS;

  • la fonctionnalité de production de rapports permettant de surveiller le respect des normes de rendement par AINC (à savoir, l'examen des rapports mensuels dans les 30 jours suivant leur présentation, l'examen des rapports trimestriels dans les 45 jours suivant leur présentation, etc.)

Cela a une incidence sur la portée de la vérification en cours (par ex. , les contrôles qui seront intégrés aux modules qui n'ont pas encore été élaborés n'ont pas été évalués). La conception des contrôles de l'application PTPNI pour les modules ou les fonctions qui n'ont pas encore été élaborés devrait être évaluée dès que les fonctionnalités et contrôles restants seront implantés et ce, avant leur mise en service.
 
Retournez à la table des matières


Section 4 - Évaluation des contrôles de la gestion du projet

Méthodologie

Notre évaluation a été fondée principalement sur des examens des documents et des entrevues avec des intervenants clés du projet à AINC. Nous avons eu de nombreuses rencontres avec le gestionnaire de projet du système de Paiements de transfert aux Premières nations et aux Inuits (PTPNI), des intervenants du projet à l'administration centrale d'AINC (à savoir, le directeur des Services administratifs, un représentant du Bureau de gestion de projets de la Direction générale de la gestion de l'information, le responsable du projet de PTPNI), et trois coordonnateurs régionaux du pojet de PTPNI (à savoir, pour les régions du Québec, de la Saskatchewan et du Nunavut). Nous avons fondé notre évaluation sur une comparaison des pratiques présentement utilisées par rapport aux meilleures pratiques appliquées aux projets de mise en oeuvre de systèmes de TI de grande envergure.

Portée et calendrier

Portée

L'évaluation des contrôles de la gestion de projet a été axée sur les sept domaines clés suivants :


L'évaluation des contrôles de la gestion de projet
a été axée sur les sept domaines clés


Domaine de contrôle Description
Organisation La structure organisationnelle, les rôles et les responsabilités dans le cadre du projet de PTPNI sont appropriés et adéquatement définis.
Planification et ordonnancement du travail La documentation concernant la planification du projet est disponible et communiquée de manière appropriée, et elle décrit en détail la façon dont le projet sera mis en oeuvre et surveillé.
Processus de gestion par problèmes Le processus de gestion par problèmes permet de s'assurer que les problèmes associés aux activités du projet sont documentés, communiqués et rapidement résolus.
Gestion du risque Le processus de gestion du risque permet de s'assurer que les risques associés au projet sont gérés de manière proactive et conformément à un processus établi à l'avance.
Gestion de la portée du projet Un processus de gestion de la portée du projet a été mis en place afin de s'assurer que le projet comporte toutes les étapes nécessaires et que les changements apportés au contenu au cours du projet sont pris en charge.
Communications et présentation de l'information Les communications et l'information présentées relativement aux attentes, à l'avancement et à l'état du projet dans son ensemble sont cohérentes, efficaces et fournies en temps opportun.
Gestion de la qualité Le processus de gestion de la qualité permet de s'assurer que le projet répond aux attentes sur lesquelles il a été fondé.
 

L'évaluation des contrôles de la gestion du projet était axée sur la consultation et, à ce titre, certaines constatations peuvent être fondées uniquement sur l'information recueillie durant les entrevues.

Calendrier

L'évaluation a été réalisée entre les mois de juillet et octobre 2006. Le rapport sur l'évaluation des contrôles de la gestion du projet a été déposé, à l'origine, le 31 octobre 2006.

Conclusion

Selon notre opinion, les contrôles de la gestion du projet sont bien établis, exception faite de l'absence, au moment où l'évaluation a été réalisée, d'un cadre décisionnel.

Points forts

Parmi les points forts relevés dans ce domaine, notons :

Étant donné que la vérification a été réalisée peu de temps avant la date de mise en service initiale, il est entendu que la possibilité de voir les risques identifiés se concrétisent est en partie réduite. Toutefois, considérant que le mandat de l'équipe du projet de PTPNI se poursuit jusqu'en mars 2008, nos observations pourraient être utilisées comme des leçons apprises pour la planification des développements à venir dans le cadre du projet de PTPNI.


Constatations et recommandations

No Constatation Risque Recommandation
1 Certains des principaux livrables de projet, incluant de nombreux jeux d'essais, n'avaient pas encore été complétés à moins de deux mois et demi de la date de mise en service prévue pour le projet. Il y a un risque que l'application ne présente pas les degrés de précision et d'exhaustivité souhaités à la date de mise en service prévue. Un cadre décisionnel devrait être élaboré et approuvé par le Comité d'orientation du projet de PTPNI. Le cadre décisionnel devrait être utilisé pour évaluer l'état de préparation du projet en vue de la date de mise en service planifiée.
2 Les responsabilités du gestionnaire de projet sont nombreuses et d'une grande importance pour la réalisation du projet. Si le gestionnaire du projet de PTPNI n'était plus disponible, il y aurait un risque accru que la réalisation du projet en temps opportun soit compromise. Des activités de transfert des connaissances devraient être mises en oeuvre pour le bénéfice de l'équipe du projet afin de réduire la dépendance à l'égard du gestionnaire de projet. Une plus grande délégation des responsabilités devrait constituer une priorité.
 
Retournez à la table des matières


Section 5 - Évaluation des contrôles associés à l'entrée et au traitement des données

Méthodologie

L'objectif de ce volet de travail était de déterminer si les contrôles associés à l'entrée et au traitement des données intégrés dans le système de PTPNI sont conformes aux meilleures pratiques relatives au contrôle. Pour cet examen, on a utilisé un sous-ensemble des objectifs recommandés par le cadre CobiT 4. 0 relativement au contrôle de l'application. CobiT est un cadre de gouvernance en matière de TI ainsi qu'un ensemble d'outils de soutien publié par l'IT Governance Institute. Les activités de vérification suivante ont été réalisées :

Portée et calendrier

Portée

Nous avons évalué les domaines et objectifs de contrôle suivants qui ont été tirés du cadre CobiT 4. 0 :


Les domaines et objectifs de contrôle suivants qui ont été tirés du cadre CobiT 4. 0

Domaine de contrôle Description (noms des objectifs provenant du cadre CobiT 4. 0)
Contrôles associés à l'entrée des données AC6 Procédures d'autorisation concernant l'entrée de données
AC7 Vérifications de la précision, de l'exhaustivité et de l'autorisation
AC8 Gestion des erreurs d'entrée de données
Contrôles associés au traitement des données AC9 Intégrité du traitement des données
AC10 Validation et préparation du traitement des données
AC11 Gestion des erreurs de traitement des données
Contrôles périphériques AC17 Authenticité et intégrité
AC18 Protection de l'information sensible durant la transmission et le transport
 

L'évaluation des contrôles associés à l'entrée et au traitement des données était axée sur la consultation et, à ce titre, certaines constatations peuvent être fondées uniquement sur l'information recueillie durant les entrevues.

Calendrier

L'évaluation des contrôles associés à l'entrée et au traitement des données a été réalisée entre les mois de juin et décembre 2006.

Conclusion

Selon notre opinion, la conception des contrôles associés à l'entrée et au traitement des données dans le système de PTPNI présente des problèmes de niveau moyen nécessitant l'attention de la direction.

Points forts

Parmi les points forts que nous avons relevés dans ce domaine, notons :


Constatations et recommandations

No Constatation Risque Recommandation
Contrôles associés à l'entrée des données
1 Le module de rapprochement qui comparera les fonds engagés en vertu du système financier avec les fonds engagés en vertu du système de PTPNI n'a pas encore été développé et sa mise en oeuvre n'est pas prévue avant le mois de mars 2008. Il y a un risque accru que des divergences entre les données du système de PTPNI et celles du système financier ne soient pas identifiées en temps opportun. Jusqu'à ce que le module de rapprochement soit élaboré et mis en oeuvre, les rapports produits par le système de PTPNI devraient régulièrement être comparés à ceux du système financier afin de s'assurer qu'il n'y a pas de divergences. Les rapports devraient être conservés pour les besoins de l'historique d'expertise.
 
Retournez à la table des matières


Section 6 - Analyse de la vulnérabilité technique

Méthodologie

L'analyse a inclus des évaluations de la vulnérabilité, tant à l'échelle du réseau qu'au niveau de l'application. La méthodologie utilisée pour l'évaluation de la vulnérabilité du réseau a été conçue de manière à identifier les lacunes des services du réseau et à minimiser le risque durant les essais portant sur le déni des services ou la corruption des données. Cette méthodologie incluait le profilage du système hôte, le profilage des services et l'identification des vulnérabilités. L'évaluation de la vulnérabilité au niveau de l'application a été effectuée en utilisant deux scénarios : 1) une attaque contre l'application par un pirate informatique anonyme ne possédant pas de compte et 2) une attaque contre l'application par un utilisateur possédant un compte valide.

Portée et calendrier

Portée

Les éléments suivants faisaient partie de la vérification : une évaluation de la vulnérabilité du réseau, une évaluation de la vulnérabilité de l'application et une mise à jour de l'état d'avancement du plan d'action concernant les recommandations présentées dans le rapport d'Évaluation du risque et de la menace (ÉRM) associés au système de PTPNI.

Les éléments suivants ne faisaient pas partie de la vérification : un examen complet de l'infrastructure de réseau sous-jacente et du module CASC (Corporate Application Security Controller) utilisés pour l'ouverture de session dans le système de PTPNI.

L'évaluation de la vulnérabilité technique était axée sur la consultation et, à ce titre, certaines constatations peuvent être fondées uniquement sur l'information recueillie durant les entrevues.

Calendrier

L'évaluation de vulnérabilité technique a été réalisée du 8 au 14 novembre 2006.

Conclusion

Selon notre opinion, la conception des contrôles permettant d'atténuer la vulnérabilité technique est efficace, mis à part les risques de niveau moyen décrits ci-dessous. Ces risques peuvent facilement être atténués en mettant en oeuvre les recommandations.

Points forts

Parmi les points forts que nous avons relevés dans ce domaine, notons :


Constatations et recommandations

No Constatation Risque Recommandation
État d'avancement du plan d'action concernant les recommandations formulées dans le cadre de l'évaluation du risque et de la menace
1 D'après le plan d'action, plusieurs risques identifiés dans l'évaluation du risque et de la menace (ÉRM) associés au système de PTPNI ont été acceptés. Toutefois, le Ministère n'a pas officiellement signifié qu'il reconnaît ces risques ou créé un plan d'action qui tient compte de ces risques. Il y a un risque accru que la haute direction ne soit pas au courant des risques résiduels découlant d'une omission de mettre en oeuvre toutes les recommandations de l'ÉRM avant la mise en service du système. Le Ministère devrait officiellement signifier qu'il reconnaît les risques associés à l'omission de mettre en oeuvre ces recommandations formulées dans l'ÉRM avant la mise en service du système de PTPNI.
2 Aucune décision n'a encore été prise en ce qui a trait à la mise en oeuvre de deux des recommandations de l'ÉRM et on ne prévoit pas prendre de décision à cet égard avant le 31 mars 2007, alors que l'application des PTPNI sera déjà en service.
3 Bien qu'un plan d'action concernant deux des recommandations de l'ÉRM ait été approuvé, il ne sera pas mis en oeuvre avant le prochain exercice, alors que le système sera déjà en service.
 
Retournez à la table des matières


Plan d'action

Titre du projet : Vérification de système en voie d'élaboration pour le système de Paiements de transfert aux Premières nations et aux Inuits
Projet: 05/09
Région / secteur : Secteur du Dirigeant principal des finances
 
Recommandations Actions Gestionnaire Responsable (Titre) Date prévue de la mise en oeuvre
Contrôles informatiques généraux

1. Les privilèges de mise à jour des accès dans l'environnement de production devraient être retirés de tous les comptes des membres de l'équipe du projet de PTPNI.


Comme les membres de l'équipe du projet de PTPNI ne sont pas jumelés à des GCR, ils ne peuvent effectuer aucune opération financière ou apporter des changements aux données financières existantes.

Dans le cadre de leurs rôles et responsabilités, les membres du Centre de dépannage du système de PTPNI ont le privilège de créer de nouveaux comptes d'utilisateur ou de modifier des tables du système. Le Centre de dépannage passera sous la responsabilité de la Direction des paiements de transfert en octobre 2007.

Dans l'intervalle, l'accès sera surveillé de façon périodique (mensuellement) et tous les droits d'accès (droits de lecture) des membres de l'équipe de projet seront révoqués au terme du projet.

Enfin, la Direction des systèmes d'information propose un contrôle centralisé de tous les comptes liés aux applications d'AINC d'ici mars 2008.


Directeur, Projet PTPNI


31 octobre 2007
























31 mars 2008
2. Il faudrait procéder à un examen afin de s'assurer que tous les formulaires de demande d'accès sont remplis et que les privilèges d'accès au système correspondent aux autorisations qui sont accordées en fonction des formulaires. La direction devrait envisager de mettre en place un processus pour réviser de façon régulière les accès accordés aux utilisateurs afin de s'assurer en permanence du caractère adéquat de ces privilèges d'accès. Le caractère adéquat et exhaustif des formulaires de demande d'accès ainsi que les privilèges d'accès accordés seront vérifiés dans le cadre d'activités de vérification de la conformité, qui seront menées par la Section de la conformité de la Direction des paiements de transfert à compter de l'exercice 2007-2008 assujetti à une évaluation annuelle du risque. Directeur, Paiements de transfert 31 mars 2008
3. Un processus officiel impliquant les ressources humaines devrait être mis en oeuvre afin de s'assurer que les comptes (au niveau du réseau, du serveur, de la base de données et de l'application PTPNI) des employés qui ont cessé d'exercer leur emploi, ou dont le rôle et les responsabilités ont été modifiés, sont révoqués ou modifiés en temps. La Direction de la gestion de l'information a mis au point une procédure comprenant une liste de vérification, qui vise à s'assurer que les privilèges d'accès des employés au système de PTPNI sont révoqués après leur départ du Ministère.

À compter de l'exercice 2007-2008, on évaluera l'efficacité de ce contrô le dans le cadre d'activités de vérification de la conformité, qui seront menées par la Section de la conformité de la Direction des paiements de transfert.
Directeur, Paiements de transfert 31 mars 2007
(Mis en oeuvre)






31 mars 2008
4. Il faudrait obtenir des approbations officielles de la part des utilisateurs (ou de leurs représentants) confirmant qu'ils sont d'accord avec la portée des essais (p. ex. leur exhaustivité, leur caractère adéquat). De plus, pour chaque jeu d'essai, (jeux d'essais de l'équipe interne du Projet de PTPNI et jeux d'essais pour l'acceptation des fonctionnalités par les utilisateurs), il faudrait obtenir des approbations confirmant que les jeux d'essais ont été utilisés et que les résultats correspondaient aux attentes. Suivant cette recommandation, le PTPNI a mis au point une procédure d'essais très stricte pour obtenir des approbations officielles pour chaque scénario exécuté. Ces scénarios constituent l'aspect le plus critique du PTPNI (c.-à-d. les articles 32, 34, 33 et leur interface respective avec OASIS). De plus, les utilisateurs utilisent maintenant le système en production, ce qui leur permet d'exprimer leurs commentaires sur les secteurs à améliorer. Directeur, Projet de PTPNI 28 février 2007
(Mis en oeuvre)
5. Toutes les activités de nettoyage des données devraient être approuvées par les gestionnaires responsables des utilisateurs ou le responsable du projet. Ces personnes devraient également approuver les résultats des essais réalisés afin de confirmer le degré de précision des activités de nettoyage des données. Le responsable du projet a examiné et approuvé le document de conversion des données, y compris les activités de nettoyage des données et les résultats des essais. Directeur, Paiements de transfert 31 janvier 2007
(Mis en oeuvre)
6. La portée et les résultats des activités de rapprochement des données devraient être documentés au moyen d'une liste de vérification des conditions de la mise en place que le Comité d'orientation du projet de PTPNI devrait approuver. Le Comité d'orientation du projet a approuvé les activités de rapprochement des données au moyen d'une liste de vérification des conditions de mise en place. Directeur, Projet de PTPNI 31 janvier 2007
(Mis en oeuvre)
7. Le Comité consultatif sur les changements (CCC) devrait s'assurer que les exigences du Guide sur la gestion du changement sont pleinement respectées, en particulier en ce qui a trait à l'exigence qui stipule qu'il faut fournir des plans et résultats d'essais documentés. On examine actuellement le processus du Comité consultatif sur les changements. La DGGI veillera à que l'on réponde au risque en documentant les plans et les résultats des essais en fonction des changements apportés au serveur, aux ordinateurs et à l'infrastructure du réseau. Dirigeant principal de l'information 31 décembre 2007
8. Les plans de continuité des opérations et de reprise après sinistre d'AINC devraient être mis à jour pour inclure le système de PTPNI. Des processus devraient être mis en place afin de s'assurer que ces deux plans sont régulièrement testés et mis à jour. Dans le cadre du plan d'action sur la sécurité de la gestion des technologies de l'information (GSTI), le Ministère a conçu un nouveau plan de reprise en cas de sinistre informatique dans lequel il inclut le système de PTPNI comme un système essentiel à la mission. Dirigeant principal de l'information 31 janvier 2007
(Mis en oeuvre)
Contrôle des applications PTPNI

9. La fonctionnalité qu'offre le système de PTPNI devrait être mise à profit afin d'automatiser des contrôles qui sont, dans toute la mesure du possible, conformes aux exigences du Cadre de contrôle de gestion (CCG) de la DPT et de la Loi sur la gestion des finances publiques (LGFP) (articles 32, 33 et 34). Les options qui permettent de remplacer ou de contourner les formules des ententes de financement, de déléguer des pouvoirs, de créer plus d'une entente de financement par bénéficiaire pour un même exercice et de créer des ententes de financement sans utiliser des modèles qui ont été approuvés par la DPT devraient être supprimées. De plus, les modèles d'entente de financement devraient déjà comporter des blocs-signature qui sont conformes aux exigences des autorisations et politiques pertinentes.

Comme alternative, des contrôles de surveillance manuels devraient être élaborés et mis en place afin de s'assurer que les exigences du Cadre de contrôle de gestion de la DPT ainsi que celles de la LGFP (articles 32, 33 et 34) sont respectées.


Le Comité d'orientation du Projet de PTPNI reconnaît le risque, compte tenu de la méthodologie de financement régional actuelle d'AINC et des stratégies de gestion des changements apportés aux processus opérationnels.

Bien que le système de PTPNI, qui possède des contrôles et une sécurité de système semblables à ceux d'OASIS, offre la possibilité de refléter l'application des activités liées aux articles 32, 33 et 34 de la LGFP, il ne peut reconnaître officiellement l'approbation de ces activités de façon électronique et requiert toujo urs une signature officielle. Par conséquent, il y a un risque que la signature physique ne concorde pas avec la signature électronique.

Pour fournir l'assurance que le PTPNI reflète les décisions signées par les GCR et les agents des finances, on comparera les documents signés à la main et les montants enregistrés de façon électronique au moyen d'activités de surveillance. Cette surveillance sera exercée tout au long de l'année par la Section de la conformité de la DPT , qui prélèvera des échantillons dans chaque région, assujetti à une évaluation annuelle du risque. Pour atténuer le risque et faciliter la surveillance, les responsables du Projet de PTPNI mettront en oeuvre les mesures suivantes :

  • on a créé des rapports officiels selon les articles 32, 33 et 34 dans le système de PTPNI de manière à ce qu'ils reflètent l'information enregistrée dans le système. Ces rapports représentent les documents de la LGFP que les GCR et les agents des finances devraient signer, d'où la nécessité de s'assurer que ce qui figure dans le système de PTPNI correspond à ce qui a été signé; et

  • les documents relatifs aux articles 32, 33 et 34 comportant des signatures seront également numérisés pour pouvoir les verser dans le SGGID (l'outil de gestion des documents d'AIN C) à titre de documents officiels. Dans le système de PTPNI, on mettra au point une capacité permettant de créer un lien vers les documents numérisés qui reposent dans le SGGID et de les consulter. Cette fonction permettra au système de PTPNI de surveiller de façon électronique les activités liées aux articles 32, 33 et 34.

Le PTPNI a la capacité d'imposer l'utilisation de formules pour le calcul des montants alloués aux bénéficiaires. Malheureusement, ces formules diffèrent d'un région à l'autre en raison des lois provinciales qui changent régulièrement. En outre, les secteurs de programme n'ont pas tous des formules de financement clairement définies en relation avec leur programme. Lorsque les secteurs de programme auront défini clairement leur formule de financement respective, le système de PTPNI sera configuré de manière à obliger l'utilisation de ces formules. On élaborera un plan d'action qui illustrera comment le Ministère définira ces formules de façon plus précise et imposera leur utilisation aux bénéficiaires qui désirent obtenir du financement.

Le système de PTPNI offre la capacité au Ministère de vérifier en ligne si l'on a conclu plus d'une entente avec un bénéficiaire. De plus, s'il rencontre ce genre de situation, il en informe l'utilisateur. Ces changements représentent des améliorations importantes dans les contrôles relatifs à la conclusion d'ententes de financement. On exercera ces contrôles pour diminuer la probabilité que plus d'une entente de financement soit créée pour chaque bénéficiaire.

L'utilisation de modèles d'ententes dans le système de PTPNI a contribué à améliorer le contrôle, car elle perm et à l'utilisateur de déceler les écarts entre les modèles nationaux et les besoins opérationnels des régions. Les contrôles assurent le respect du Cadre de contrôle de gestion.

Bien que la mise en oeuvre de nouveaux contrôles au moyen du système de PTPNI ait causé des difficultés opérationnelles pour la Direction des paiements de transfert et pour les régions, elle a permis à AINC de créer une plus grande uniformité à l'échelle nationale.

Bien que les régions aient une certaine flexibilité, la Direction des paiements de transfert a maintenant un outil (le PTPNI) pour surveiller les modèles et les ententes en ligne. Cet outil fera l'objet d'activités de vérification d e la conformité menées par la DPT au cours de l'exercice 2007-2008 assujetti à une évaluation annuelle du risque.

























Directeur, Paiements de transfert
















Directeur, Paiements de transfert














Directeur, Paiements de transfert




















Dirigeant principal de l'information





















Directeur, Paiements de transfert













Directeur, Paiements de transfert


31 mars 2008





















31 mars 2008

















30 juin 2007
















31 octobre 2007





















31 mars 2008






















31 mars 2009














31 mars 2008
10. Des contrôles manuels devraient être élaborés et mis en place pour toutes les exigences du Cadre de contrôle de gestion de la DPT auxquelles ne répondent pas entièrement les contrôles automatisés du système de PTPNI. Le respect de toutes les exigences de la DPT en matière de contrôle qui ne sont pas intégrées à l'application sera examiné lors d'activités de vérification de la conformité, qui seront menées par la Section de la conformité de la DPT à compter de l'exercice 2007-2008, assujetti à une évaluation annuelle du risque. Directeur, Paiements de transfert 31 mars 2008
11. Compte tenu des difficultés que présente la création dans le système de PTPNI de profils d'accès d'usager qui correspondent aux titres de poste, nous recommandons la création d'une matrice de séparation des tâches afin de documenter clairement les activités qui doivent être distinguées. Si des responsabilités concurrentes doivent être attribuées à des utilisateurs spécifiques, des contrôles de surveillance devraient être mis en place. L'absence d'une structure organisationnelle commune dans les différents secteurs et régions rend cette approche difficilement applicable. On a élaboré les autorisations relatives au système de PTPNI de manière à s'adapter aux différentes structures organisationnelles des régions. Les droits d'accès font l'objet d'une surveillance à l'échelle régionale et nationale. En outre, le système de PTPNI a créé des matrices d'autorisation pour faciliter la surveillance des accès par les utilisateurs. T oute mesure additionnelle dépasse les capacités du système de PTPNI. Ce problème sera soumis à l'attention du Comité de la haute direction avant le 30 septembre 2007. Dirigeant principal des finances 30 septembre 2007
12. Les utilisateurs ne devraient pas avoir la possibilité de modifier des variables du système de PTPNI qui peuvent entraîner des différences entre les données du système de PTPNI et celles qui apparaissent dans les ententes de financement sur support papier. De plus, tant que létat des ententes de financement dans le système de PTPNI en permet la modification, les versions imprimées des ententes produites par le système devraient clairement porter la mention "ébauche". Les ententes sont considérées comme des ébauches jusqu'à ce qu'elles soient finalisées. Après cela, on ne peut les modifier dans le système.

Le système de PTPNI a contribué à améliorer de façon remarquable les contrôles relatifs au processus opérationnel actuel. Bien que les régions aient une certaine flexibilité, pour la première fois, la Direction des paiements de transfert a un outil (le PTPNI) lui permettant de surveiller en ligne les conditions des ententes de financement. À compter de l'exercice 2007-2008, ce contrôle fera l'objet d'activités de vérification de la conformité menées par la Direction des paiements de transfert assujetti à une évaluation annuelle du risque.
Directeur, Paiements de transfert 31 mars 2008
13. Des rapports sur les exceptions devraient être élaborés et utilisés pour la surveillance des dérogations aux contrôles. De plus, le système de PTPNI devrait forcer les utilisateurs à enregistrer des commentaires lorsqu'ils dérogent aux exigences redditionnelles obligatoires. On créera un rapport d'exception dans la version 2.0 du système de PTPNI afin de surveiller les dérogations aux contrôles. La nouvelle version devrait être disponible en mai 2007. Les dérogations seront examinées dans le cadre d'activités de vérification de la conformité, qui seront menées par la Section de la conformité de la DPT à compter de l'exercice 2007-2008 assujetti à une évaluation annuelle du risque. Directeur, Paiements de transfert 31 mars 2008
14. La conception des contrôles de l'application PTPNI pour les modules ou les fonctions qui n'ont pas encore été élaborés devrait être évaluée dès que les fonctionnalités et contrôles restants seront implantés et ce, avant leur mise en service. On mènera une vérification consécutive à la mise en oeuvre à la fin du projet (avril 2008) afin d'évaluer l'état des observations courantes et de vérifier les nouveaux modules du système de PTPNI qui seront conçus au cours de l'année financière à venir. Directeur, Vérification et Service d'assurance 31 mars 2008
Contrôles de la gestion du projet

15. Un cadre décisionnel devrait être élaboré et approuvé par le Comité d'orientation du projet de PTPNI. Le cadre décisionnel devrait être utilisé pour évaluer l'état de préparation du projet en vue de la date de mise en service planifiée.


On a élaboré une liste de vérification des conditions de mise en place en consultation avec le Comité d'orientation. Des décisions sont prises à quatre étapes distinctes du projet :

  • Décembre 2006 : Acceptation de la version 1.0;
  • Février. 2007 : Acceptation de la version 1.25;
  • Juin 2007 : Version 2.0;
  • Octobre 2007 : Version 3.0.


Directeur, Projet de PTPNI


31 octobre 2007
16. Des activités de transfert des connaissances devraient être mises en oeuvre pour le bénéfice de l'équipe du projet afin de réduire la dépendance à l'égard du gestionnaire du projet. Une plus grande délégation des responsabilités devrait constituer une priorité. On a élaboré une approche visant à définir le modèle de soutien et le processus de transition et on l'a présentée au Comité d'orientation le 16 février 2007.

Des ateliers sont prévus en mai et en juin 2007. Le modèle de soutien devrait être défini et approuvé d'ici le 30 septembre 2007.
Directeur, Projet de PTPNI 30 septembre 2007
Contrôles associés à l'entrée et au traitement des données

17. Jusqu'à ce que le module de rapprochement soit élaboré et mis en oeuvre, les rapports produits par le système de PTPNI devraient régulièrement être comparés à ceux du système financier afin de s'assurer qu'il n'y a pas de divergences. Les rapports devraient être conservés pour les besoins de l'historique d'expertise.



Le module de rapprochement sera fonctionnel d'ici octobre 2007. Dans l'intervalle, les utilisateurs devront comparer les rapports financiers d'OASIS et du système de PTPNI pour s'assurer qu'ils ne présentent pas de divergences.



Directeur, Projet de PTPNI



31 octobre 2007
Contrôles associés à la vulnérabilité technique

18. Le Ministère devrait officiellement signifier qu'il reconnaît certains des risques identifiés dans le rapport d'évaluation du risque et de la menace du PTPNI, ainsi que l'existence des risques résiduels identifiés.



Le plan d'action relatif à l'évaluation des menaces et des risques a été officiellement approuvé par le dirigeant principal de l'information.



Dirigeant principal de l'information



31 janvier 2007
(Mis en oeuvre)
 
Retournez à la table des matières
 
 
Date de modification :