Surveillance des contrôles internes – Résultats pour 2022‑2023 (Année 2)
Table des matières
SOMMAIRE
Depuis 2017, la Commission d’examen des plaintes concernant la police militaire (CPPM) a élaboré des mécanismes de contrôle des processus relatifs aux rapports financiers, et est parvenue à maturité dans la mise en œuvre de la Politique sur la gestion financière.
La portée des travaux de la période actuelle comprenait les éléments suivants :
Processus opérationnels
- Planification des biens de TI
- Administration de la paye
- Budgétisation et prévisions
- Enquêtes (processus non financiers)
Contrôles généraux de la TI
- Sécurité de l’infrastructure
Contrôles des processus opérationnels
L’examen a révélé que les contrôles internes sur les rapports financiers liés aux processus opérationnels dans la portée de l’exercice 2022‑2023 étaient efficaces pour la plupart, mais que certains aspects à améliorer ont été relevés.
Contrôles généraux de la TI
Nous estimons que l’infrastructure en place dispose de contrôles suffisants pour protéger les informations confidentielles.
1. Introduction
En 2017, le Conseil du Trésor a approuvé une nouvelle Politique sur la gestion financière, laquelle remplace la Politique sur le contrôle interne (PCI). Par suite de l’établissement de cette nouvelle politique, le contrôle interne est axé sur la gestion financière. Par conséquent, la Commission d’examen des plaintes concernant la police militaire du Canada (la CPPM ou « Commission ») a pris l’initiative de consigner les principaux processus opérationnels et contrôles en place. La Commission a réalisé un examen de l’efficacité de la conception et de l’efficacité opérationnelle de ses contrôles internes et a mis en place des plans d’action de gestion adéquats visant à tirer parti des possibilités d’amélioration recensées.
La CPPM est un organisme de surveillance civile quasi judiciaire qui fonctionne sans lien de dépendance avec le gouvernement du Canada. La Commission révise les plaintes concernant la conduite d’un policier militaire et fait des enquêtes à cet égard. Elle procède également à des enquêtes sur les allégations d’ingérence dans des enquêtes menées par des policiers militaires. Elle formule des recommandations et présente ses conclusions directement aux hauts dirigeants de la police militaire et de la Défense. En tant qu’institution fédérale, elle fait partie du portefeuille de la défense aux fins de rapport.
Au cours de l’exercice 2019‑2020, la Commission a préparé un plan de surveillance continue de ses contrôles internes afin de donner à la haute direction l’assurance de leur efficacité continue. La surveillance continue des contrôles internes de la CPPM donne aux ministères clients l’assurance que les contrôles financiers des services de la CPPM sont adéquats, en soutien à la signature de la Déclaration de responsabilité de la direction englobant les contrôles internes relatifs aux rapports financiers annuels, conformément à la Politique sur la gestion financière.
Les processus opérationnels suivants ont été jugés importants et font partie du plan de surveillance continue :
Contrôles clés des processus opérationnels | Système de TI connexe | CIGF | Autre |
---|---|---|---|
1. Cycle de l’approvisionnement au paiement (dépenses) | SFMC, SVP | X | - |
2. Frais de déplacement | HRG/SVP | X | - |
3. Administration de la paye | MesRHGC | X | - |
4. Budgétisation et prévisions | SFMC… | X | - |
5. Rapports financiers et clôture (clôture d’état financier, balance des comptes, présentation au Conseil du Trésor et rapport sur les états financiers) |
- | X | - |
6. Planification des biens de TI | - | X | - |
Secteurs de processus non financiers | |||
7. Sécurité de l’information non financière | - | - | X |
8. Enquête | - | - | X |
9. Rapports annuels | - | - | X |
Secteurs de CGTI | |||
10. Accès des utilisateurs (secteurs financiers) | SFMC, Phénix, SVP, HRG | - | X |
11. Infrastructure (information non financière) | - | - | X |
2. Objectif et portée
La société Samson & Associés a été mandatée pour effectuer un examen des documents, une révision structurée et des analyses d’efficacité pour les éléments visés dans le cadre du plan de surveillance continue pour l’année 2022‑2023 (voir l’annexe A).
Processus opérationnels
- Planification des biens de TI
- Administration de la paye
- Budgétisation et prévisions
- Enquêtes (Il s’agit du seul processus non financier en cours d’évaluation.)
CGTI – Sécurité de l’infrastructure
Les travaux ont été menés entre octobre 2022 et janvier 2023. Ils couvraient la période allant d’octobre 2021 à septembre 2022.
Dans le cadre de nos travaux, nous avons également mené des procédures de suivi concernant les recommandations antérieures.
2.1 Documents
Nous avons répertorié les principaux processus et contrôles en place sous la forme d’une description des processus opérationnels, d’une carte des processus et d’une matrice de contrôle, et nous nous sommes assurés qu’ils représentent adéquatement les processus et contrôles actuels en place.
2.2 Méthodologie
La méthodologie suivante a été utilisée au cours de la mission :
- Réaliser une révision
- Relever les contrôles clés à mettre à l’essai
- Élaborer une stratégie de mise à l’essai (avec l’échantillonnage)
- Évaluer l’efficacité de la conception
- Définir les populations et prélever des échantillons
- Assurer l’efficacité opérationnelle
- Conclure les essais
La méthode d’échantillonnage utilisée pour un échantillon sélectionné était fondée sur l’approche adoptée par le Conseil du Trésor dans son Guide de surveillance continue du contrôle interne en matière de gestion financière. L’ampleur des mises à l’essai a été déterminée en fonction de la fréquence à laquelle un contrôle est exécuté.
3. Contrôles au niveau de l’entité
Il existe quatre éléments se rapportant à la conception et au fonctionnement du système de contrôles internes. Ces éléments constituent la base et le fondement de la mise à l’essai des contrôles au niveau de l’entité. Bien qu’aucun essai précis n’ait été mené au cours de nos activités de surveillance en 2022‑2023, nous avons effectué des procédures de suivi dans un domaine où des possibilités d’amélioration avaient été relevées l’année précédente.
Éléments des contrôles au niveau de l’entité | Évaluation |
---|---|
Environnement de contrôle | Efficaces |
Évaluation des risques | Possibilité d’amélioration |
Activités de contrôle et de surveillance connexe | Efficaces |
Information et communication | Efficaces |
3.1 Évaluation des risques
En 2021‑2022, on a recommandé d’améliorer l’évaluation des menaces de la CPPM afin d’y inclure le risque de fraude et de s’assurer que les employés sont conscients des risques de fraude, de la façon de les détecter et des protocoles de signalement.
Certaines communications de sensibilisation à la fraude ont été diffusées depuis l’an dernier, mais la mesure clé ne sera pas prise avant 2025, lorsque la CPPM intégrera le risque de fraude à sa prochaine évaluation cyclique des menaces et des risques.
4. Résultats – Processus opérationnels
Principaux processus financiers | Efficacité du contrôle en 2021‑2022 | Efficacité du contrôle en 2022‑2023 | Principales lacunes en matière de contrôle | Nombre de contrôles clés |
---|---|---|---|---|
Cycle de l’approvisionnement au paiement | Possibilités d’amélioration | Remarque dans la portée | 2 | 11 |
Frais de déplacement | Possibilités d’amélioration | Remarque dans la portée | 2 | 8 |
Sécurité de l’information non financièreNote * | Possibilités d’amélioration | Remarque dans la portée | - | - |
Administration de la paye | Remarque dans la portée | Efficace | 0 | 12 |
Budgétisation et prévisions | Remarque dans la portée | Possibilités d’amélioration | 2 | 9 |
Planification des biens de TI | Remarque dans la portée | Efficace | - | 4 |
Processus d’enquête | Remarque dans la portée | Efficace | - | 9 |
4.1 Recommandations de l’année précédente
La CPPM a entrepris un examen de ces contrôles internes pour la première fois en 2021-2022. Cinq recommandations ont été émises pour les trois processus opérationnels examinés, avec des cotes de risque faible et modéré.
Au moment de notre évaluation pour l’année 2022-2023, des mesures avaient été prises pour mettre en œuvre le plan d’action de la direction élaboré l’an dernier. Ce plan n’a toutefois pas été entièrement mis en œuvre. Notre examen a eu lieu moins d’un an après la publication des recommandations, et on s’attend à ce que la majorité d’entre elles soient mises en œuvre au cours de la prochaine année. Samson & Associés suivra de nouveau les progrès réalisés dans le cadre de cette évaluation l’an prochain.
4.2 Administration de la paye
La portée des contrôles du processus opérationnel de l’administration de la paye commence avec l’exécution des activités préalables au paiement, qui comprennent la réception et la mise en œuvre des mesures de dotation et la vérification de la paye avant le paiement, les activités relatives à la paye consistant à distribuer la paye conformément à l’article 33 de la Loi sur la gestion des finances publiques (LGFP) et à effectuer des activités de vérification après la paye.
Une fois que le paiement a été reçu par les employés, la CPPM reçoit un rapport IO50 fourni par Services publics et Approvisionnement Canada (SPAC). Celui-ci est examiné et mis en concordance avec les données sur la paye tenues à jour par l’analyste financier dans le SFMC. Tous les problèmes relevés font l’objet d’un suivi et d’une enquête, et sont résolus, au besoin, en temps opportun.
Nous n’avons constaté aucune exception dans notre mise à l’essai des contrôles internes de l’administration de la paye pour l’exercice 2022‑2023.
4.3 Budgétisation et prévisions
Le processus opérationnel Budgétisation et prévisions a pour but de garantir que la gestion financière est efficace et efficiente au sein du Ministère, et d’assurer une bonne gestion des ressources publiques et de la réglementation.
La portée des contrôles du processus opérationnel Budgétisation et prévisions commence par la définition du processus budgétaire conformément à la politique du Conseil du Trésor (CT). Dès que le budget est établi, une prévision est préparée et rapprochée avec les chiffres réels du SFMC. Le Ministère a mis en œuvre un outil appelé le Budget de suivi des Rapports sur la situation financière et il utilise un modèle pour effectuer chaque mois le rapprochement des prévisions et des données réelles. Toutes les décisions budgétaires sont approuvées par le dirigeant principal des finances (DPF), et les renseignements financiers sont envoyés au Comité exécutif pour approbation.
Au cours de notre vérification de l’approbation des affectations budgétaires, nous avons constaté qu’il n’y avait aucune donnée probante étayant l’approbation du Comité exécutif, car les comptes rendus des décisions n’étaient pas consignés.
Recommandation 1 : Nous recommandons que les comptes rendus des décisions soient consignés en raison des décisions clés prises aux réunions du Comité exécutif, comme les affectations budgétaires.
Au cours de notre mise à l’essai des rapports sur la situation financière, qui comprennent le suivi des budgets, des dépenses réelles et des prévisions, on a remarqué que le Comité exécutif n’était pas régulièrement informé des résultats de l’examen des prévisions pour chaque période.
Recommandation 2 : Nous recommandons que le Comité exécutif soit régulièrement informé des résultats des rapports sur la situation financière, que ce soit par correspondance ou pendant les réunions, et que les dossiers d’approbation soient conservés comme preuve de leur examen.
4.4 Planification des biens de TI
Lors de l’exercice initial d’évaluation des risques, la CPPM avait mis en place une stratégie de TI visant à renouveler un certain nombre de plateformes ou à en provoquer la migration. La planification des biens de TI a donc été considérée comme un secteur de processus à risque modéré.
Dans le cadre de notre évaluation pour l’exercice 2022-2023, nous avons examiné le processus de gestion et de planification des biens de TI établi par la CPPM, et avons constaté qu’il était approprié et suffisant pour l’organisation. La stratégie relative à l’infrastructure de TI et à l’infonuagique est bien définie et fournit une orientation pour les trois prochaines années.
4.5 Enquêtes
Samson & Associés a procédé à une évaluation de haut niveau du processus d’enquête, et trois dossiers ont été sélectionnés aux fins d’examen. Nous avons constaté qu’il existe un processus d’enquête approprié, assorti de contrôles internes suffisants, et un encadrement rigoureux pour gérer les enquêtes complexes et délicates. Nous avons cependant noté deux possibilités pour des améliorations mineures :
Recommandation 3 : Nous recommandons que la CPPM veille à ce que les allégations formulées à la suite de plaintes concernant la conduite professionnelle, l’ingérence et l’intérêt public figurent au début du rapport et soient mesurées par rapport à une politique, à une directive, à un manuel d’instructions, à un code de conduite ou à une loi appropriée, lorsque cela est possible.
Recommandation 4 : Nous recommandons que la CPPM mette en œuvre un processus de suivi pour surveiller les progrès des recommandations approuvées et des plans d’action de la direction jusqu’à leur mise en œuvre complète, et qu’elle fasse état des résultats des procédures de suivi dans le rapport annuel de la présidente de la CPPM.
CONCLUSION – CONTRÔLES DES PROCESSUS OPÉRATIONNELS
L’examen a révélé que les contrôles internes clés sur les processus opérationnels fonctionnent en général de manière efficace. Certaines recommandations visent à améliorer l’environnement
de contrôle.
5. RÉSULTATS RELATIFS AUX CGTI
2022‑2023 | Secteurs visés par les contrôles | Contrôles courants | SFMC | MesRHGC (congé et heures supp) | Documentum | SNP (fournisseurs) | HRG (voyages) |
---|---|---|---|---|---|---|---|
Infrastructure de la TI | 3 | Fort | |||||
Sécurité des TI (accès des utilisateurs) | 6 | Exclu de la portée de l’examen en 2021‑2022 |
2021‑2022 | Secteurs visés par les contrôles | Contrôles courants | SFMC | MesRHGC (congé et heures supp) | Documentum | SNP (fournisseurs) | HRG (voyages) |
---|---|---|---|---|---|---|---|
Gestion des TI | 3 | Exclu de la portée de l’examen en 2021‑2022 | |||||
Sécurité des TI (accès des utilisateurs) | 6 | Possibilité d’amélioration | Forts | Forts | Forts | Forts | Forts |
Remarque : Annexe B
5.1 Contrôle d’accès des utilisateurs : arrivée et départ
Au cours de l’exercice 2022‑2023, nous avons examiné les éléments d’infrastructure de TI afin de nous assurer que des contrôles suffisants sont en place pour préserver les renseignements protégés administrés par la CPPM, y compris les dossiers d’enquête.
Ces éléments comprennent l’architecture générale du réseau et les systèmes utilisés pour les données de diverses natures.
Nous avons constaté que des mesures de protection adéquates sont en place à la CPPM.
CONCLUSION SUR LES CONTRÔLES D’ACCÈS DES UTILISATEURS
Nous avons constaté que les contrôles généraux de la TI relatifs à l’infrastructure de TI dans la portée fonctionnent efficacement.
Annexe A : Plan de surveillance continue
Secteurs de contrôle clés | Risques | Exercices | ||||
---|---|---|---|---|---|---|
2021‑2022 | 2022‑2023 | 2023‑2024 | 2024‑2025 | 2025‑2026 | ||
Contrôles au niveau de l'entité | Modéré | X | - | - | - | - |
Contrôles de processus opérationnels | ||||||
Cycle de l'approvisionnement au paiement (dépensesNote 1) | MODÉRÉ | X | - | X | - | X |
Planification des biens de TI | MODÉRÉ | - | X | - | X | - |
Frais de déplacement | MODÉRÉ | X | - | X | - | X |
Administration de la paye | MODÉRÉ | - | X | - | X | - |
Budgétisation et prévisions | MODÉRÉ | - | X | - | X | - |
Rapports financiers | FAIBLE | - | - | X | - | - |
Secteurs de processus non financiers | ||||||
Sécurité de l'information non financière | MODÉRÉ | X | - | - | - | - |
Enquêtes | MODÉRÉ | - | X | - | - | - |
Rapport annuel | FAIBLE | - | - | X | - | - |
Secteurs de CGTI | ||||||
Accès des utilisateurs (secteurs financiers) | - | X | - | X | - | X |
Infrastructure (information non financière) | - | - | X | - | X | - |
Annexe B : Plan d'action de la direction
Recommandations | Cote de risque | Plan d'action de gestion proposé |
---|---|---|
Contrôles des processus opérationnels | ||
Recommandation 1 : Nous recommandons que les comptes rendus des décisions soient consignés en raison des décisions clés prises aux réunions du Comité exécutif, comme les affectations budgétaires. | Faible | Cette recommandation a été mise en oeuvre à l’automne 2022, mais plus officiellement en janvier 2023. L’adjoint administratif de la présidente assiste maintenant aux réunions du Comité exécutif et agit à titre de preneur de notes. Tous les procès-verbaux – Les comptes rendus des décisions sont validés et approuvés par les membres du Comité exécutif après toutes les réunions. Après avoir été approuvés, les procès-verbaux sont sauvegardés et conservés dans Documentum. |
Recommandation 2 : Nous recommandons que le Comité exécutif soit régulièrement informé des résultats des rapports sur la situation financière, que ce soit par correspondance ou pendant les réunions, et que les dossiers d’approbation soient conservés comme preuve de leur examen. | Faible | Cette recommandation a été mise en oeuvre. Tous les rapports sur la situation financière (RSF) sont déposés au Comité exécutif quelques jours avant les réunions et présentés a la présidente pendant les réunions. Un résumé de la discussion se trouve dans le compte rendu des décisions. Au besoin, des réunions spéciales sont organisées pour discuter des initiatives financières nécessitant une approbation. |
Enquêtes | ||
Recommandation 3 : Nous recommandons que la CPPM veille à ce que les allégations formulées à la suite de plaintes concernant la conduite professionnelle, l’ingérence et l’intérêt public figurent au début du rapport et soient mesurées par rapport à une politique, à une directive, à un manuel d’instructions, à un code de conduite ou à une loi appropriée, lorsque cela est possible. | Modéré | Cette recommandation a été mise en oeuvre. Les lignes directrices sur la rédaction indiquent maintenant que les allégations semblent très près du début des rapports provisoires et définitifs, et que chaque allégation renvoie à la législation ou à l’instrument de politique approprié lorsque cela est possible. |
Recommandation 4 : Nous recommandons que la CPPM mette en oeuvre un processus de suivi pour surveiller les progrès des recommandations approuvées et des plans d’action de la direction jusqu’à leur mise en oeuvre complète, et qu’elle fasse état des résultats des procédures de suivi dans le rapport annuel de la présidente de la CPPM. | Faible | Cette recommandation est en cours de mise en oeuvre. Le registraire a créé un tableau de suivi des progrès des recommandations acceptées par le Grand Prévôt des Forces canadiennes (GPFC). Cependant, avant la mise en oeuvre complète et la présentation de rapports au sein des futurs rapports annuels, la CPPM devra d’abord aviser le bureau du GPFC que nous allons le faire. La CPPM informera le bureau du GPFC au cours de l’exercice 2023‑2024, lors de la prochaine rencontre bilatérale semestrielle avec le GPFC ou plus tôt. |
- Date de modification :