Surveillance des contrôles internes – Résultats pour 2022‑2023 (Année 2)

Cadre des contrôles internes – Résultats pour 2022‑2023 (Année 2)
(version PDF, 352 ko)

Les formats en gros caractères, braille, MP3 (audio), texte électronique, et DAISY sont disponibles sur demande en composant le 1‑800‑632‑0566 ou par courriel à reception@mpcc‑cppm.gc.ca.

Table des matières

  1. SOMMAIRE
  2. Contrôles des processus opérationnels
  3. Contrôles généraux de la TI
  1. Introduction
  2. Objectif et portée
    1. 2.1 Documents
    2. 2.2 Méthodologie
  3. Contrôles au niveau de l’entité
    1. 3.1 Évaluation des risques
  4. Résultats – Processus opérationnels
    1. 4.1 Recommandations de l’année précédente
    2. 4.2 Administration de la paye
    3. 4.3 Budgétisation et prévisions
    4. 4.4 Planification des biens de TI
    5. 4.5 Enquêtes
    6. CONCLUSION – CONTRÔLES DES PROCESSUS OPÉRATIONNELS
  5. RÉSULTATS RELATIFS AUX CGTI
    1. 5.1 Infrastructure
  6. CONCLUSION SUR LES CONTRÔLES GÉNÉRAUX DE LA TI
    1. Annexe A – Plan de surveillance continue
    2. Annexe B – Plan d’action de la direction

SOMMAIRE

Depuis 2017, la Commission d’examen des plaintes concernant la police militaire (CPPM) a élaboré des mécanismes de contrôle des processus relatifs aux rapports financiers, et est parvenue à maturité dans la mise en œuvre de la Politique sur la gestion financière.

La portée des travaux de la période actuelle comprenait les éléments suivants :

Processus opérationnels

Contrôles généraux de la TI

Contrôles des processus opérationnels

L’examen a révélé que les contrôles internes sur les rapports financiers liés aux processus opérationnels dans la portée de l’exercice 2022‑2023 étaient efficaces pour la plupart, mais que certains aspects à améliorer ont été relevés.

Contrôles généraux de la TI

Nous estimons que l’infrastructure en place dispose de contrôles suffisants pour protéger les informations confidentielles.

1. Introduction

En 2017, le Conseil du Trésor a approuvé une nouvelle Politique sur la gestion financière, laquelle remplace la Politique sur le contrôle interne (PCI). Par suite de l’établissement de cette nouvelle politique, le contrôle interne est axé sur la gestion financière. Par conséquent, la Commission d’examen des plaintes concernant la police militaire du Canada (la CPPM ou « Commission ») a pris l’initiative de consigner les principaux processus opérationnels et contrôles en place. La Commission a réalisé un examen de l’efficacité de la conception et de l’efficacité opérationnelle de ses contrôles internes et a mis en place des plans d’action de gestion adéquats visant à tirer parti des possibilités d’amélioration recensées.

La CPPM est un organisme de surveillance civile quasi judiciaire qui fonctionne sans lien de dépendance avec le gouvernement du Canada. La Commission révise les plaintes concernant la conduite d’un policier militaire et fait des enquêtes à cet égard. Elle procède également à des enquêtes sur les allégations d’ingérence dans des enquêtes menées par des policiers militaires. Elle formule des recommandations et présente ses conclusions directement aux hauts dirigeants de la police militaire et de la Défense. En tant qu’institution fédérale, elle fait partie du portefeuille de la défense aux fins de rapport.

Au cours de l’exercice 2019‑2020, la Commission a préparé un plan de surveillance continue de ses contrôles internes afin de donner à la haute direction l’assurance de leur efficacité continue. La surveillance continue des contrôles internes de la CPPM donne aux ministères clients l’assurance que les contrôles financiers des services de la CPPM sont adéquats, en soutien à la signature de la Déclaration de responsabilité de la direction englobant les contrôles internes relatifs aux rapports financiers annuels, conformément à la Politique sur la gestion financière.

Les processus opérationnels suivants ont été jugés importants et font partie du plan de surveillance continue :

Processus opérationnels
Contrôles clés des processus opérationnels Système de TI connexe CIGF Autre
1. Cycle de l’approvisionnement au paiement (dépenses) SFMC, SVP X -
2. Frais de déplacement HRG/SVP X -
3. Administration de la paye MesRHGC X -
4. Budgétisation et prévisions SFMC X -
5. Rapports financiers et clôture
(clôture d’état financier, balance des comptes, présentation au Conseil du Trésor et rapport sur les états financiers)		 - X -
6. Planification des biens de TI - X -
Secteurs de processus non financiers
7. Sécurité de l’information non financière - - X
8. Enquête - - X
9. Rapports annuels - - X
Secteurs de CGTI
10. Accès des utilisateurs (secteurs financiers) SFMC, Phénix, SVP, HRG - X
11. Infrastructure (information non financière) - - X

2. Objectif et portée

La société Samson & Associés a été mandatée pour effectuer un examen des documents, une révision structurée et des analyses d’efficacité pour les éléments visés dans le cadre du plan de surveillance continue pour l’année 2022‑2023 (voir l’annexe A).

Processus opérationnels

CGTI – Sécurité de l’infrastructure

Les travaux ont été menés entre octobre 2022 et janvier 2023. Ils couvraient la période allant d’octobre 2021 à septembre 2022.

Dans le cadre de nos travaux, nous avons également mené des procédures de suivi concernant les recommandations antérieures.

2.1 Documents

Nous avons répertorié les principaux processus et contrôles en place sous la forme d’une description des processus opérationnels, d’une carte des processus et d’une matrice de contrôle, et nous nous sommes assurés qu’ils représentent adéquatement les processus et contrôles actuels en place.

2.2 Méthodologie

La méthodologie suivante a été utilisée au cours de la mission :

  1. Réaliser une révision
  2. Relever les contrôles clés à mettre à l’essai
  3. Élaborer une stratégie de mise à l’essai (avec l’échantillonnage)
  4. Évaluer l’efficacité de la conception
  5. Définir les populations et prélever des échantillons
  6. Assurer l’efficacité opérationnelle
  7. Conclure les essais

La méthode d’échantillonnage utilisée pour un échantillon sélectionné était fondée sur l’approche adoptée par le Conseil du Trésor dans son Guide de surveillance continue du contrôle interne en matière de gestion financière. L’ampleur des mises à l’essai a été déterminée en fonction de la fréquence à laquelle un contrôle est exécuté.

3. Contrôles au niveau de l’entité

Il existe quatre éléments se rapportant à la conception et au fonctionnement du système de contrôles internes. Ces éléments constituent la base et le fondement de la mise à l’essai des contrôles au niveau de l’entité. Bien qu’aucun essai précis n’ait été mené au cours de nos activités de surveillance en 2022‑2023, nous avons effectué des procédures de suivi dans un domaine où des possibilités d’amélioration avaient été relevées l’année précédente.

Contrôles au niveau de l’entité
Éléments des contrôles au niveau de l’entité Évaluation
Environnement de contrôle Efficaces
Évaluation des risques Possibilité d’amélioration
Activités de contrôle et de surveillance connexe Efficaces
Information et communication Efficaces

3.1 Évaluation des risques

En 2021‑2022, on a recommandé d’améliorer l’évaluation des menaces de la CPPM afin d’y inclure le risque de fraude et de s’assurer que les employés sont conscients des risques de fraude, de la façon de les détecter et des protocoles de signalement.

Certaines communications de sensibilisation à la fraude ont été diffusées depuis l’an dernier, mais la mesure clé ne sera pas prise avant 2025, lorsque la CPPM intégrera le risque de fraude à sa prochaine évaluation cyclique des menaces et des risques.

4. Résultats – Processus opérationnels

Résultats – Processus opérationnels
Principaux processus financiers Efficacité du contrôle en 2021‑2022 Efficacité du contrôle en 2022‑2023 Principales lacunes en matière de contrôle Nombre de contrôles clés
Cycle de l’approvisionnement au paiement Possibilités d’amélioration Remarque dans la portée 2 11
Frais de déplacement Possibilités d’amélioration Remarque dans la portée 2 8
Sécurité de l’information non financièreNote * Possibilités d’amélioration Remarque dans la portée - -
Administration de la paye Remarque dans la portée Efficace 0 12
Budgétisation et prévisions Remarque dans la portée Possibilités d’amélioration 2 9
Planification des biens de TI Remarque dans la portée Efficace - 4
Processus d’enquête Remarque dans la portée Efficace - 9

4.1 Recommandations de l’année précédente

La CPPM a entrepris un examen de ces contrôles internes pour la première fois en 2021-2022. Cinq recommandations ont été émises pour les trois processus opérationnels examinés, avec des cotes de risque faible et modéré.

Au moment de notre évaluation pour l’année 2022-2023, des mesures avaient été prises pour mettre en œuvre le plan d’action de la direction élaboré l’an dernier. Ce plan n’a toutefois pas été entièrement mis en œuvre. Notre examen a eu lieu moins d’un an après la publication des recommandations, et on s’attend à ce que la majorité d’entre elles soient mises en œuvre au cours de la prochaine année. Samson & Associés suivra de nouveau les progrès réalisés dans le cadre de cette évaluation l’an prochain.

4.2 Administration de la paye

La portée des contrôles du processus opérationnel de l’administration de la paye commence avec l’exécution des activités préalables au paiement, qui comprennent la réception et la mise en œuvre des mesures de dotation et la vérification de la paye avant le paiement, les activités relatives à la paye consistant à distribuer la paye conformément à l’article 33 de la Loi sur la gestion des finances publiques (LGFP) et à effectuer des activités de vérification après la paye.

Une fois que le paiement a été reçu par les employés, la CPPM reçoit un rapport IO50 fourni par Services publics et Approvisionnement Canada (SPAC). Celui-ci est examiné et mis en concordance avec les données sur la paye tenues à jour par l’analyste financier dans le SFMC. Tous les problèmes relevés font l’objet d’un suivi et d’une enquête, et sont résolus, au besoin, en temps opportun.

Nous n’avons constaté aucune exception dans notre mise à l’essai des contrôles internes de l’administration de la paye pour l’exercice 2022‑2023.

4.3 Budgétisation et prévisions

Le processus opérationnel Budgétisation et prévisions a pour but de garantir que la gestion financière est efficace et efficiente au sein du Ministère, et d’assurer une bonne gestion des ressources publiques et de la réglementation.

La portée des contrôles du processus opérationnel Budgétisation et prévisions commence par la définition du processus budgétaire conformément à la politique du Conseil du Trésor (CT). Dès que le budget est établi, une prévision est préparée et rapprochée avec les chiffres réels du SFMC. Le Ministère a mis en œuvre un outil appelé le Budget de suivi des Rapports sur la situation financière et il utilise un modèle pour effectuer chaque mois le rapprochement des prévisions et des données réelles. Toutes les décisions budgétaires sont approuvées par le dirigeant principal des finances (DPF), et les renseignements financiers sont envoyés au Comité exécutif pour approbation.

Au cours de notre vérification de l’approbation des affectations budgétaires, nous avons constaté qu’il n’y avait aucune donnée probante étayant l’approbation du Comité exécutif, car les comptes rendus des décisions n’étaient pas consignés.

Recommandation 1 : Nous recommandons que les comptes rendus des décisions soient consignés en raison des décisions clés prises aux réunions du Comité exécutif, comme les affectations budgétaires.

Au cours de notre mise à l’essai des rapports sur la situation financière, qui comprennent le suivi des budgets, des dépenses réelles et des prévisions, on a remarqué que le Comité exécutif n’était pas régulièrement informé des résultats de l’examen des prévisions pour chaque période.

Recommandation 2 : Nous recommandons que le Comité exécutif soit régulièrement informé des résultats des rapports sur la situation financière, que ce soit par correspondance ou pendant les réunions, et que les dossiers d’approbation soient conservés comme preuve de leur examen.

4.4 Planification des biens de TI

Lors de l’exercice initial d’évaluation des risques, la CPPM avait mis en place une stratégie de TI visant à renouveler un certain nombre de plateformes ou à en provoquer la migration. La planification des biens de TI a donc été considérée comme un secteur de processus à risque modéré.

Dans le cadre de notre évaluation pour l’exercice 2022-2023, nous avons examiné le processus de gestion et de planification des biens de TI établi par la CPPM, et avons constaté qu’il était approprié et suffisant pour l’organisation. La stratégie relative à l’infrastructure de TI et à l’infonuagique est bien définie et fournit une orientation pour les trois prochaines années.

4.5 Enquêtes

Samson & Associés a procédé à une évaluation de haut niveau du processus d’enquête, et trois dossiers ont été sélectionnés aux fins d’examen. Nous avons constaté qu’il existe un processus d’enquête approprié, assorti de contrôles internes suffisants, et un encadrement rigoureux pour gérer les enquêtes complexes et délicates. Nous avons cependant noté deux possibilités pour des améliorations mineures :

Recommandation 3 : Nous recommandons que la CPPM veille à ce que les allégations formulées à la suite de plaintes concernant la conduite professionnelle, l’ingérence et l’intérêt public figurent au début du rapport et soient mesurées par rapport à une politique, à une directive, à un manuel d’instructions, à un code de conduite ou à une loi appropriée, lorsque cela est possible.

Recommandation 4 : Nous recommandons que la CPPM mette en œuvre un processus de suivi pour surveiller les progrès des recommandations approuvées et des plans d’action de la direction jusqu’à leur mise en œuvre complète, et qu’elle fasse état des résultats des procédures de suivi dans le rapport annuel de la présidente de la CPPM.

CONCLUSION – CONTRÔLES DES PROCESSUS OPÉRATIONNELS

L’examen a révélé que les contrôles internes clés sur les processus opérationnels fonctionnent en général de manière efficace. Certaines recommandations visent à améliorer l’environnement
de contrôle.

5. RÉSULTATS RELATIFS AUX CGTI

Résultats relatifs aux CGTI 2022‑2023
2022‑2023 Secteurs visés par les contrôles Contrôles courants SFMC MesRHGC (congé et heures supp) Documentum SNP (fournisseurs) HRG (voyages)
Infrastructure de la TI 3 Fort
Sécurité des TI (accès des utilisateurs) 6 Exclu de la portée de l’examen en 2021‑2022
Résultats relatifs aux CGTI 2021‑2022
2021‑2022 Secteurs visés par les contrôles Contrôles courants SFMC MesRHGC (congé et heures supp) Documentum SNP (fournisseurs) HRG (voyages)
Gestion des TI 3 Exclu de la portée de l’examen en 2021‑2022
Sécurité des TI (accès des utilisateurs) 6 Possibilité d’amélioration Forts Forts Forts Forts Forts

Remarque : Annexe B

5.1 Contrôle d’accès des utilisateurs : arrivée et départ

Au cours de l’exercice 2022‑2023, nous avons examiné les éléments d’infrastructure de TI afin de nous assurer que des contrôles suffisants sont en place pour préserver les renseignements protégés administrés par la CPPM, y compris les dossiers d’enquête.

Ces éléments comprennent l’architecture générale du réseau et les systèmes utilisés pour les données de diverses natures.

Nous avons constaté que des mesures de protection adéquates sont en place à la CPPM.

CONCLUSION SUR LES CONTRÔLES D’ACCÈS DES UTILISATEURS

Nous avons constaté que les contrôles généraux de la TI relatifs à l’infrastructure de TI dans la portée fonctionnent efficacement.

Annexe A : Plan de surveillance continue

Secteurs de contrôle clés de 2021-2022 à 2025-2026
Secteurs de contrôle clés Risques Exercices
2021‑2022 2022‑2023 2023‑2024 2024‑2025 2025‑2026
Contrôles au niveau de l'entité Modéré X - - - -
Contrôles de processus opérationnels
Cycle de l'approvisionnement au paiement (dépensesNote 1) MODÉRÉ X - X - X
Planification des biens de TI MODÉRÉ - X - X -
Frais de déplacement MODÉRÉ X - X - X
Administration de la paye MODÉRÉ - X - X -
Budgétisation et prévisions MODÉRÉ - X - X -
Rapports financiers FAIBLE - - X - -
Secteurs de processus non financiers
Sécurité de l'information non financière MODÉRÉ X - - - -
Enquêtes MODÉRÉ - X - - -
Rapport annuel FAIBLE - - X - -
Secteurs de CGTI
Accès des utilisateurs (secteurs financiers) - X - X - X
Infrastructure (information non financière) - - X - X -

Annexe B : Plan d'action de la direction

Recommandations et plan d'action de gestion proposé
Recommandations Cote de risque Plan d'action de gestion proposé
Contrôles des processus opérationnels
Recommandation 1 : Nous recommandons que les comptes rendus des décisions soient consignés en raison des décisions clés prises aux réunions du Comité exécutif, comme les affectations budgétaires. Faible Cette recommandation a été mise en oeuvre à l’automne 2022, mais plus officiellement en janvier 2023. L’adjoint administratif de la présidente assiste maintenant aux réunions du Comité exécutif et agit à titre de preneur de notes. Tous les procès-verbaux – Les comptes rendus des décisions sont validés et approuvés par les membres du Comité exécutif après toutes les réunions. Après avoir été approuvés, les procès-verbaux sont sauvegardés et conservés dans Documentum.
Recommandation 2 : Nous recommandons que le Comité exécutif soit régulièrement informé des résultats des rapports sur la situation financière, que ce soit par correspondance ou pendant les réunions, et que les dossiers d’approbation soient conservés comme preuve de leur examen. Faible Cette recommandation a été mise en oeuvre. Tous les rapports sur la situation financière (RSF) sont déposés au Comité exécutif quelques jours avant les réunions et présentés a la présidente pendant les réunions. Un résumé de la discussion se trouve dans le compte rendu des décisions. Au besoin, des réunions spéciales sont organisées pour discuter des initiatives financières nécessitant une approbation.
Enquêtes
Recommandation 3 : Nous recommandons que la CPPM veille à ce que les allégations formulées à la suite de plaintes concernant la conduite professionnelle, l’ingérence et l’intérêt public figurent au début du rapport et soient mesurées par rapport à une politique, à une directive, à un manuel d’instructions, à un code de conduite ou à une loi appropriée, lorsque cela est possible. Modéré Cette recommandation a été mise en oeuvre. Les lignes directrices sur la rédaction indiquent maintenant que les allégations semblent très près du début des rapports provisoires et définitifs, et que chaque allégation renvoie à la législation ou à l’instrument de politique approprié lorsque cela est possible.
Recommandation 4 : Nous recommandons que la CPPM mette en oeuvre un processus de suivi pour surveiller les progrès des recommandations approuvées et des plans d’action de la direction jusqu’à leur mise en oeuvre complète, et qu’elle fasse état des résultats des procédures de suivi dans le rapport annuel de la présidente de la CPPM. Faible Cette recommandation est en cours de mise en oeuvre. Le registraire a créé un tableau de suivi des progrès des recommandations acceptées par le Grand Prévôt des Forces canadiennes (GPFC). Cependant, avant la mise en oeuvre complète et la présentation de rapports au sein des futurs rapports annuels, la CPPM devra d’abord aviser le bureau du GPFC que nous allons le faire. La CPPM informera le bureau du GPFC au cours de l’exercice 2023‑2024, lors de la prochaine rencontre bilatérale semestrielle avec le GPFC ou plus tôt.
Date de modification :