Les rapports du Bureau du vérificateur général du CanadaBVG parus dans le passé sont conservés dans Publications.gc.ca.

2004 mars — Rapport de la vérificatrice générale du Canada Pièce 6.5 — Faiblesses des systèmes de contrôle internes requérant une attention particulière

2004 mars — Rapport de la vérificatrice générale du Canada

Rapport de mars 2004 — Chapitre 6

Pièce 6.5 — Faiblesses des systèmes de contrôle internes requérant une attention particulière

Systèmes

Faiblesses

Explication

Répercussions

Contrôles de sécurité électroniques

  • Les droits et les privilèges d'accès de l'utilisateur ont révélé des tâches incompatibles.
  • Les comptes des superutilisateurs ne sont pas suffisamment contrôlés.
  • Les utilisateurs ont un accès au système plus étendu que nécessaire.
  • Utilisation d'identificateurs d'utilisateur génériques, pratique qui entrave la reddition de comptes.
  • On n'applique pas les pratiques exemplaires en ce qui concerne les principaux paramètres de sécurité.

Les contrôles de sécurité électroniques servent à contrôler les droits et les privilèges d'accès de l'utilisateur dans un système d'information électronique. Les défaillances des contrôles de sécurité électroniques pourraient causer l'altération ou la perte accidentelles ou intentionnelles de l'information. Elles peuvent aussi compromettre l'intégrité des tableaux et des structures des systèmes.

Des contrôles de sécurité électroniques inadéquats pourraient mener à un accès non autorisé pouvant causer la perte ou l'altération des données et par conséquent la production de rapports inexacts par les systèmes.

Contrôles de surveillance

  • La fonction d'administration de la sécurité n'utilise pas les pratiques exemplaires.
  • Le rapprochement des comptes n'est pas fait en temps opportun.
  • L'examen des comptes provisoires et des comptes d'attente n'est pas fait en temps opportun.
  • Il n'existe pas toujours de politiques et de procédures de surveillance des comptes — par exemple, l'examen des opérations inhabituelles ou à haut risque et l'examen des mesures de rendement clés comme le classement chronologique des montants à recevoir.

Les contrôles de surveillance permettent aux cadres d'analyser la vraisemblance de l'information financière. Les différences relevées ou les questions observées doivent non seulement être mises en évidence, mais aussi être vérifiées et analysées, et des mesures correctives doivent être prises.

La fonction d'administration de la sécurité est partagée par de nombreux utilisateurs et n'est pas contrôlée. Il n'y a pas de politiques officielles et les pratiques exemplaires ne sont pas utilisées, ce qui engendre des risques pour cette fonction.

En raison de l'absence de contrôles de surveillance, les erreurs ne sont pas détectées et l'exactitude et la validité des données sont compromises. Cela accroît aussi les risques de pertes et de données faussées.

Nouveaux systèmes financiers

  • Les systèmes financiers ne sont pas intégrés.
  • De nombreux contrôles inhérents aux nouveaux systèmes financiers ne sont pas utilisés.

Les nouveaux systèmes financiers offrent de nombreuses possibilités, mais ils sont souvent utilisés pour compiler simplement les résultats produits par les systèmes en place. Dans certains cas, deux ou plusieurs systèmes sont utilisés alors que leur intégration est possible. Cette approche du développement et de l'intégration des systèmes ajoute à la complexité et au coût de la tenue de l'information financière. Le risque d'erreurs est accru, s'il y a utilisation de systèmes distincts.

En ne tirant pas pleinement parti des possibilités des nouveaux systèmes, on ne peut accroître l'efficience et l'efficacité des opérations. De plus, en n'utilisant pas les contrôles intégrés, on risque de réduire la cohérence des contrôles.

Contrôles de traitement manuels

  • La séparation des tâches n'est pas adéquate.
  • La documentation des politiques et des procédures n'est pas préparée/examinée.
  • L'assurance de la qualité du processus de vérification des comptes est limitée.

Des cadres de contrôle modernes devraient permettre de bien intégrer les contrôles de traitement manuels dans un cadre électronique. L'application de contrôles manuels est moins systématique et complète que l'application de contrôles électroniques.

Sans cadre électronique, on accroît le risque que les valeurs des données ne soient pas vérifiées, qu'elles soient omises ou qu'elles donnent lieu à une répétition de l'information ou à d'autres erreurs.

Contrôles des autorisations sélectionnés

  • Les paiements sont certifiés sans :
    • documentation attestant que les marchandises ont été reçues;
    • délégation appropriée du pouvoir de signer;
    • autorisation.

En vertu de l'article 34 de la Loi sur la gestion des finances publiques (LGFP), on ne peut effectuer un paiement sans autorisation pertinente et le paiement ne sera effectué que si les fournitures ont été livrées et les services rendus. L'article 33 de la Loi sur la gestion des finances publiques exige que soit obtenue une autorisation en bonne et due forme avant que ne soit produite une demande de paiement sur le Trésor et avant que la dépense ne soit subséquemment imputée aux crédits.

Sans contrôles appropriés, le gouvernement n'a pas l'assurance que les paiements sont faits uniquement pour les marchandises reçues ou pour les services rendus.