Le Système d'information électronique (SIE)
Octobre 2007
Table des matières
Introduction
Objectif de la vérification
Portée de la vérification
Opinion du vérificateur
Énoncé d'assurance
Résumé des points forts des contrôles internes
Résumé des points faibles des contrôles internes
Approche et méthodologie
Conclusions et recommandations
Annexe A : Critères de vérification et conclusions
Annexe B : Rôle et responsabilités d'un propriétaire de système
Plan d'action en matière de gestion
Résumé
Introduction
La vérification du Système d'information électronique (SIE) s'inscrit dans le Plan de vérification interne annuel fondé sur les risques, 2007-08, approuvé par le conseil d'administration des IRSC.
Le Système d'information électronique (SIE) constitue le principal système d'information que le personnel des Instituts de recherche en santé du Canada (IRSC) utilise, essentiellement au sein des portefeuilles de la recherche et de la gestion et de la planification des ressources, pour administrer les subventions et bourses offertes par l'entremise de l'organisation. Les principaux éléments entrés dans le SIE sont les demandes de subventions et bourses des chercheurs et étudiants.
Le SIE sert à :
- stocker, gérer, trier et étudier les demandes de subventions et bourses;
- repérer, choisir et gérer les membres des comités d'examen par les pairs qui évaluent les demandes, les cotent et en recommandent le financement;
- accorder et payer des subventions et bourses;
- suivre des dossiers connexes;
- rajuster et surveiller les subventions et bourses (y compris les vérifications de l'admissibilité et la surveillance financière, les cessations de subventions et bourses, et les transferts entre universités et autres entités);
- réunir des statistiques sur les résultats du programme pour appuyer la prise de décision par la direction et la production de rapports au Parlement et au milieu de la santé.
C'est pourquoi le SIE héberge divers niveaux de renseignements personnels et organisationnels qui ont trait au traitement des subventions et bourses, depuis la présentation de la demande jusqu'à la fin du financement, en passant par le paiement.
Objectif de la vérification
La vérification visait à évaluer la suffisance et l'efficacité des moyens de contrôle internes en ce qui concerne la confidentialité, l'intégrité et la disponibilité des renseignements traités par le SIE des IRSC.
Portée de la vérification
La portée de la vérification englobait les activités opérationnelles traitées par le SIE et comprenait les transactions à la fois automatisées et manuelles.
Opinion du vérificateur
Le système de contrôles internes sur lequel repose le SIE présente quelques problèmes de moyenne importance : un certain nombre de faiblesses ont été constatées au niveau des contrôles, mais l'exposition globale au risque est limitée du fait que la probabilité ou l'impact du risque n'est pas élevé.
Énoncé d'assurance
J'estime, en tant que dirigeant de la vérification, que le nombre et la pertinence des procédures de vérification suivies et des éléments probants recueillis attestent l'exactitude de l'opinion exprimée dans le présent rapport. La vérification du SIE s'est déroulée conformément à la Politique de vérification interne du gouvernement fédéral et les normes professionnelles. L'opinion du vérificateur repose sur une comparaison des conditions qui existaient au moment de la vérification et d'un ensemble de critères de vérification dont il avait été convenu avec la direction. Les éléments probants qui ont été recueillis suffisent à fournir à la haute direction la preuve de l'opinion.
Résumé des points forts des contrôles internes
Le personnel des IRSC s'est montré très coopératif avec l'équipe de vérification tout au long de la vérification. Nous le remercions pour son aide et ses conseils.
L'équipe de vérification a constaté que plusieurs contrôles internes étaient correctement conçus et remplissaient efficacement leurs rôles :
- Les membres du personnel que le SIE concerne n'ignorent pas qu'il est nécessaire de mettre en oeuvre des contrôles internes efficaces pour assurer la confidentialité, l'intégrité et la disponibilité des données;
- Les IRSC planifient et exécutent des sauvegardes de l'application et des données du SIE pour que sa restauration soit possible en cas de sinistre;
- Les IRSC utilisent efficacement des outils de gestion du changement pour gérer et suivre les modifications apportées au SIE et à l'infrastructure de TI qui le sous-tend;
- Les IRSC ont établi un Groupe des utilisateurs internes de l'application (GUIA) pour veiller à ce que les modifications apportées au SIE soient conformes au plan stratégique et au plan d'activités, et qu'elles soient communiquées à l'ensemble des utilisateurs et coordonnées avec eux;
- Les IRSC gèrent bien les dossiers papier relatifs aux candidats, et ils les rendent disponibles en temps opportun au besoin.
Résumé des points faibles des contrôles internes
Comme il est mentionné ci-dessus, le SIE présente quelques problèmes de moyenne importance. Un certain nombre de faiblesses ont été constatées en ce qui a trait aux contrôles internes, mais l'exposition globale au risque est limitée.
- Les contrôles relatifs à la confidentialité des renseignements contenus dans le SIE doivent être améliorés, en particulier :
- L'accès aux fichiers de l'application, ainsi qu'au SIE et à ses données.
- La conformité totale avec la Politique du gouvernement sur la sécurité et la Politique d'évaluation des facteurs relatifs à la vie privée.
- Les contrôles relatifs à l'intégrité des renseignements contenus dans le SIE doivent être améliorés, en particulier :
- Le traitement uniforme et opportun des demandes conformément aux lignes directrices des IRSC.
- La piste de vérification des activités de contrôle comme l'évaluation de l'admissibilité des candidats réalisée par les coordonnateurs de programme, l'examen et l'approbation des rapports du SIE par le personnel, ainsi que la modification des informations relatives aux demandes ou aux candidats dans le SIE.
- La séparation des tâches pour l'examen de toutes modifications aux recommandations des comités.
- Le rapprochement et le suivi, en temps utile, des fonds non dépensés potentiels des exercices précédents.
- La structure de gouvernance utilisée pour assurer la mise à niveau et l'évolution du SIE.
- Les contrôles relatifs à la disponibilité des renseignements dans le SIE doivent être améliorés. À cette fin, un plan de continuité des opérations doit être élaboré.
Une lettre adressée à la direction fait état d'autres conclusions correspondant à un risque moindre.
Dev Loyola-Nazareth
Dirigeant de la vérification
Instituts de recherche en santé du Canada
Rapport circonstancié
Approche et méthodologie
La vérification du SIE s'est déroulée conformément à la Politique de vérification interne du gouvernement fédéral. Les principales techniques de vérification utilisées ont été, entre autres :
- Des entrevues avec les dirigeants et le personnel des IRSC que le SIE concernait;
- L'examen de la documentation pertinente du système et de sa conformité avec les politiques, les lignes directrices et les procédures du gouvernement fédéral et des IRSC;
- L'analyse du système de contrôles internes automatisés et manuels dans le SIE;
- L'analyse du système de contrôles internes dans l'infrastructure de TI qui sous-tend le SIE.
L'approche utilisée pour atteindre l'objectif de la vérification prévoyait l'établissement de critères de vérification fondés sur Control Objectives for Information and related Technology (COBIT) de IT Governance Institute, par rapport auxquels des observations ont été faites et des conclusions ont été tirées. Les critères de vérification et les conclusions sont présentés à l'annexe A du présent rapport.
Le travail sur le terrain a eu lieu entre avril et juillet 2007.
Conclusions et recommandations
À la lumière d'une combinaison d'éléments probants recueillis au moyen d'entrevues, d'examens documentaires et d'analyses, chacun des critères de vérification a été évalué, et une conclusion a été dégagée pour chaque critère. Dans l'ensemble, quelques problèmes de moyenne importance ont été mis au jour concernant le SIE1. La vérification a déterminé que les contrôles internes pouvaient être améliorés pour les aspects suivants.
| Observation | Conséquences | Recommandation |
|---|---|---|
| Conclusions et recommandations au sujet de la confidentialité des renseignements contenus dans le SIE | ||
| 1. Les contrôles relatifs à l'accès aux renseignements doivent être améliorés. | ||
| a. Il n'existe ni politique ni procédures officielles pour l'approbation de l'accès au SIE. Bien que l'agent des applications logicielles (AAL) au sein des Services de gestion de la technologie de l'information (SGTI) et l'agent des applications et de l'ensemble de données au sein de Planification et ressources en recherche (PRR) examinent les demandes d'accès au SIE, aucun processus ne garantit actuellement que l'accès au SIE, aux serveurs du SIE et à la salle qui abrite les serveurs du SIE est approuvé officiellement par la direction avant d'être accordé aux utilisateurs. Il n'est pas prévu non plus de revoir l'accès périodiquement pour s'assurer qu'il reste valable. À noter que, sans politique officielle, l'accès à la salle des serveurs est géré par le dirigeant principal adjoint de l'information, Gestion de logiciels et infrastructure, SGTI, qui approuve une liste des personnes qui ont accès à la salle. De plus, il a été constaté lors des tests que de nombreux utilisateurs ont accès à des fonctions du SIE dont ils n'ont pas besoin pour leur travail. Par exemple, trois personnes autres que les agents des subventions et bourses ont accès aux modules financiers. |
L'absence de politiques et de procédures clairement définies pour approuver le bien-fondé et l'étendue de l'accès au SIE accroît le risque d'accès non autorisé à l'application, ce qui risque de compromettre la confidentialité et l'intégrité des données. Si l'accès des utilisateurs n'est pas revu comme il se doit par la direction, le risque que des utilisateurs continuent de jouir de privilèges d'accès injustifiés et que la sécurité logique et matérielle soit inefficace se trouve accru. |
Nous recommandons que des politiques et des procédures soient élaborées et mises en oeuvre afin que l'accès au SIE soit d'abord approuvé par la direction avant d'être accordé aux utilisateurs, puis revu régulièrement pour s'assurer qu'il reste justifié. Cette mesure comprend une analyse des rôles incompatibles afin que, si les utilisateurs ont plus d'un rôle, il n'y ait pas de risque de conflit de tâches. Nous recommandons en outre que la documentation relative à ces activités de contrôle soit conservée comme piste de vérification. |
| b. L'accès au SIE demeure même s'il n'est plus nécessaire. Aucun processus officiel ne permet actuellement de garantir que les employés dont l'emploi a pris fin ou dont les fonctions ont changé n'ont plus accès au SIE, aux serveurs du SIE et à la salle où sont abrités les serveurs du SIE. À noter que, lorsqu'un employé quitte les IRSC, les Ressources humaines demandent au gestionnaire concerné de bloquer l'accès physique et l'accès au réseau; cependant, l'accès au SIE n'est pas visé par cette mesure. |
Si tous les accès au SIE ne sont pas supprimés en temps utile, le risque d'accès non autorisé, qui peut compromettre l'intégrité des données, se trouve accru. |
Nous recommandons que des politiques et des procédures soient élaborées et mises en oeuvre afin de garantir la suppression en temps utile de tous les accès logiques au SIE et aux serveurs du SIE, ainsi que la suppression de l'accès physique à la salle où sont abrités les serveurs du SIE, lorsque les employés ont quitté les IRSC ou changé de fonctions. Nous recommandons en outre que la documentation relative à ces activités de contrôle soit conservée comme piste de vérification. |
| c. Les paramètres des mots de passe ne sont pas adaptés. Lorsqu'un compte est créé, le mot de passe pour l'accès au SIE est identique au nom d'utilisateur, et l'utilisateur n'est pas obligé de le changer lorsqu'il se connecte au système pour la première fois. De plus, les mots de passe peuvent être excessivement simples, n'expirent pas et peuvent être réutilisés. |
L'inefficacité des paramètres des mots de passe accroît la possibilité d'un accès non autorisé au système. | Nous recommandons que les paramètres des mots de passe soient renforcés : Les mots de passe devraient avoir au moins huit caractères (et contenir des caractères alphabétiques, numériques et spéciaux). Les mots de passe devraient expirer tous les 60 ou 90 jours. Il devrait être impossible de réutiliser les cinq derniers mots de passe. |
| d. L'utilisation de comptes génériques ou partagés. Plusieurs comptes génériques ou partagés (39 sur un total de 343 comptes utilisateurs actifs) existent dans le SIE et dans l'annuaire du réseau. Il a été constaté que ces comptes ne sont pas verrouillés et qu'aucun contrôle ne permet de surveiller leur utilisation ou de changer régulièrement leurs mots de passe. |
L'absence de comptes séparés pour chaque utilisateur ou administrateur compromet la responsabilisation et empêche d'établir une piste de vérification formelle des actions de chaque utilisateur. | Nous recommandons que les comptes système génériques soient verrouillés, si possible, afin d'éviter que l'utilisateur final puisse se connecter. Lorsque le verrouillage des comptes génériques n'est pas possible, nous recommandons que leur utilisation soit consignée et surveillée afin que toute utilisation non autorisée soit détectée. De plus, nous recommandons que des contrôles des mots de passe soient adoptés pour faire en sorte que les mots de passe soient réinitialisés régulièrement, ce qui permettra de réduire le risque qu'ils soient connus ou devinés. |
| e. Il y a trop de points d'accès aux fichiers des demandes en transit. RechercheNet, les formulaires WEB et le CV commun sont des systèmes que les candidats utilisent pour transmettre leurs demandes par voie électronique. Toutes les personnes connectées au réseau des IRSC ont un accès complet (lecture/écriture/modification/exécution) aux emplacements réseau où les fichiers de demande au moyen de RechercheNet, des formulaires Web et du CV commun sont stockés temporairement avant d'être importés dans la base de données du SIE. À noter que l'utilisateur moyen n'est pas censé connaître ces emplacements. |
Le libre accès accroît le risque d'accès non autorisé aux demandes de subventions et bourses, ainsi que le risque de modification de ces demandes. | Nous recommandons que l'accès aux emplacements réseau où les fichiers de demande au moyen de RechercheNet, des formulaires WEB et du CV commun sont stockés soit réservé aux utilisateurs qui ont besoin de cet accès pour leur travail. |
| 2. La conformité totale avec la Politique du gouvernement doit devenir la priorité. | ||
| Les activités de gestion des risques relatives au SIE sont incomplètes. Une évaluation de la menace et des risques pour le SIE a été réalisée; cependant, aucune évaluation des facteurs relatifs à la vie privée n'a été effectuée, et aucun rapport de certification et d'accréditation2 n'a été préparé, contrairement à ce que prévoit la Politique du gouvernement. |
Le caractère incomplet des activités de gestion des risques accroît la possibilité que des risques relatifs au SIE ne soient pas détectés et réduits, et que le SIE ne soit pas exploité conformément à la Politique du gouvernement sur la sécurité et à la Politique d'évaluation des facteurs relatifs à la vie privée. | Nous recommandons que les IRSC réalisent une évaluation des facteurs relatifs à la vie privée et préparent un rapport de certification et d'accréditation pour le SIE. |
| Conclusions et recommandations au sujet de l'intégrité des renseignements contenus dans le SIE | ||
| 3. Les contrôles relatifs au traitement complet et opportun des demandes doivent être entièrement mis en oeuvre. | ||
| L'utilisation incohérente de la liste de contrôle du traitement des demandes. Au cours de nos entretiens avec le personnel des IRSC, nous avons appris que certains comités d'examen par les pairs (environ 10 comités sur 52) utilisent une liste de contrôle du traitement des demandes pour s'assurer de ne rien oublier et de suivre les lignes directrices des IRSC, tandis que d'autres ne le font pas. |
La liste de contrôle du traitement des demandes peut être un instrument de contrôle efficace qui permet de garantir le traitement uniforme et opportun des demandes conformément aux lignes directrices des IRSC. Sans instrument semblable, le risque que certaines étapes soient oubliées dans le traitement des demandes se trouve accru. | Nous recommandons que tous les comités d'examen par les pairs utilisent la liste de contrôle du traitement des demandes afin que les demandes soient traitées d'une manière uniforme et opportune conformément aux lignes directrices des IRSC. |
| 4. Une piste de vérification des activités de contrôle est nécessaire pour démontrer qu'il y a eu diligence raisonnable. | ||
| a. Il n'y a aucune preuve de l'évaluation de l'admissibilité des candidats. Le SIE ne contient actuellement aucune preuve de l'évaluation de l'admissibilité des candidats par les coordonnateurs de programme. Il a aussi été constaté que les critères servant à déterminer l'admissibilité ne sont pas spécifiés dans le SIE. |
L'absence d'éléments probants relatifs à l'évaluation de l'admissibilité des candidats accroît le risque que cette évaluation n'ait pas eu lieu et que le financement de candidats non admissibles soit considéré. Le fait que les critères d'admissibilité ne soient pas spécifiés dans le SIE accroît le risque que l'évaluation de l'admissibilité ne soit pas réalisée de manière uniforme. | Nous recommandons que la preuve de l'évaluation de l'admissibilité des candidats et les critères applicables soient spécifiés dans le SIE. Il suffirait, par exemple, qu'il y ait une case à cocher « Évaluation de l'admissibilité réalisée » dans le SIE et que les coordonnateurs de programme cochent cette case une fois l'évaluation effectuée. Les critères d'admissibilité devraient aussi être consultables directement dans le SIE. |
| b. Il n'y a aucune preuve des examens et des approbations. La vérification n'a pas permis de trouver de preuves des examens et/ou des approbations nécessaires pour un certain nombre d'activités de contrôle manuelles. Des exemples sont donnés ci-après : L'examen réalisé par le groupe Exécution des programmes (EP), qui vise à comparer les renseignements entrés dans le SIE aux renseignements apparaissant sur la feuille de recommandations pour garantir que les renseignements sont entrés d'une manière exacte et complète. L'examen et le suivi des rapports générés pour garantir qu'il n'y a pas de demandes en double pour un concours et que tout nouveau numéro d'identification personnel (NIP) attribué est valide et ne constitue pas un doublon. Les NIP sont attribués aux candidats pour leur permettre de s'inscrire et de transmettre leurs demandes de financement au moyen de RechercheNet et des formulaires Web. La lettre adressée à la direction, qui présente les conclusions représentant un risque moindre, contient d'autres exemples. Ces exemples portent sur la communication en temps opportun aux candidats des décisions de financement et autres; le transfert d'une manière exacte, complète et opportune des données sur les paiements du SIE vers FreeBalance; et le caractère exact, complet et opportun des rapports du SIE servant à la prise de décision Dans tous ces cas, le personnel a fait savoir que l'examen des rapports est fait, mais que les rapports sont supprimés une fois l'examen terminé et tous les problèmes résolus. |
L'absence de preuves que les activités de contrôle ont eu lieu accroît le risque que les activités pour lesquelles la diligence raisonnable doit être démontrée ne soient pas réalisées de manière uniforme, sinon pas du tout. Si les activités de contrôle n'ont pas lieu, le risque que des erreurs passent inaperçues est plus élevé, ce qui peut influer sur l'intégrité des données du SIE. | Nous recommandons que les preuves de la réalisation des activités de contrôle manuelles relatives au SIE soient conservées, et que le document utile soit préparé/signé et daté par la personne qui réalise l'activité de contrôle comme preuve de sa réalisation. |
| c. Le caractère informel du processus de modification des renseignements contenus dans le SIE avant l'étape des subventions et bourses. Il n'y a pas actuellement de formulaire de demande imprimé ni de document exigé pour la modification des demandes ou des renseignements relatifs aux candidats dans le SIE avant l'étape des subventions et bourses. Il s'agit de l'étape où des fonds ont été engagés par les IRSC. Seul le groupe Exécution des programmes au sein de PRR peut apporter les changements. Toutefois, le processus est informel en ce cens qu'une personne peut appeler ou passer pour demander au groupe d'apporter les changements, et il n'est pas nécessaire que ces demandes soient présentées par écrit; par conséquent, il n'existe aucune piste de vérification pour la modification effectuée. |
En l'absence d'un formulaire de demande imprimé pour les modifications à apporter aux renseignements contenus dans le système, il est impossible de savoir quels changements ont été faits, qui a demandé les changements, la raison des changements, et si les changements étaient valables et autorisés. Le risque de modifications non autorisées des renseignements contenus dans le système, et/ou de modifications non nécessaires, est ainsi accru. | Nous recommandons qu'un processus formel et un formulaire de modification soient créés et utilisés obligatoirement pour les modifications importantes à apporter aux renseignements contenus dans le système. Le formulaire de demande devrait permettre d'inscrire le changement proposé et la date de la demande de changement, la raison du changement et le nom de la personne qui demande le changement. La direction devrait approuver dûment ces formulaires. Des examens indépendants des changements devraient être réalisés à partir d'un échantillon pour que la pertinence des changements soit confirmée. Les formulaires de demande devraient être conservés comme pistes de vérification. |
| 5. La séparation des tâches doit être améliorée. | ||
| L'absence d'examen indépendant des modifications apportées aux recommandations. Toute modification apportée à l'écran « Recommandations du comité » du SIE déclenche l'impression automatique d'un relevé de ces modifications. Les modifications ont trait aux recommandations de financement faites par les comités d'examen par les pairs. Les modifications relatives aux subventions sont revues par le personnel du Portefeuille de la recherche. Les modifications relatives aux bourses sont revues par le personnel de la Division du développement de la capacité en recherche du Portefeuille de la recherche. Cependant, les mêmes personnes peuvent aussi être à l'origine des changements. |
Si les personnes qui revoient les données ont aussi accès à la fonction qui permet de modifier ces données, les renseignements contenus dans le SIE risquent plus d'être modifiés d'une manière inappropriée ou erronée, ce qui en diminue l'intégrité. | Nous recommandons que les modifications apportées à l'écran « Recommandations du comité » soient revues par une autre entité que celle qui est à l'origine du changement et ce, pour améliorer la séparation des tâches. |
| 6. Les fonds non dépensés potentiels des exercices précédents doivent faire l'objet d'un suivi. | ||
| Le retard dans le processus de rapprochement des fonds non dépensés. Conformément aux lignes directrices des IRSC, les établissements et les candidats doivent confirmer chaque année les dépenses relatives aux projets et les fonds non dépensés. L'année visée par la vérification, le poste dont relève la responsabilité de ce processus était vacant depuis environ huit mois. Le poste a depuis été pourvu; cependant, il y a selon les réponses et les confirmations obtenues un retard d'environ un an dans les tâches administratives et le travail de rapprochement pour les établissements. |
Le retard dans le processus de rapprochement accroît le risque que des erreurs potentielles ne soient pas détectées à temps dans les fonds non dépensés dues aux IRSC. | Nous recommandons qu'une stratégie et un plan soient mis en oeuvre pour veiller à ce que le retard dans le rapprochement des fonds non dépassés soit comblé et que les sommes non dépensées potentielles des exercices précédents fassent l'objet d'un suivi et soient perçues à temps. |
| 7. La structure de gouvernance pour le maintien à niveau et l'évolution du SIE doit être améliorée. | ||
| Le système n'a pas de propriétaire. Il n'y a pas actuellement de « propriétaire du système » du SIE. Entre autres responsabilités, le propriétaire du système est chargé d'approuver les décisions stratégiques quant à l'orientation du SIE et fait partie de l'instance d'accréditation du système. L'annexe B expose le rôle et les responsabilités typiques d'un propriétaire de système. |
L'absence d'un propriétaire pour le SIE accroît le risque que le système soit sans direction stratégique claire et que les risques pour le SIE ne soient pas pris en compte comme il se doit. | Nous recommandons qu'un propriétaire du système, qui assumera un rôle et une responsabilité de gouvernance du SIE, soit désigné. |
| Conclusions et recommandations au sujet de la disponibilité des renseignements contenus dans le SIE | ||
| 8. Les contrôles relatifs à la disponibilité des renseignements contenus dans le SIE doivent être améliorés. | ||
| L'absence de plan de continuité des opérations. Il n'existe pas actuellement de plan de reprise après sinistre (PRS) ni de plan de continuité des opérations (PCO) qui pourraient aider à la reprise rapide du SIE, bien que le processus visant la préparation d'un PCO en tant que tel ait été enclenché en 2005. |
Bien que les IRSC programment et exécutent des sauvegardes du SIE et de ses données pour faciliter la reprise du SIE, il peut être nécessaire d'interrompre temporairement ou même définitivement certaines activités opérationnelles en cas de sinistre. Un plan de continuité des opérations détaillé et complet et, de façon plus précise, un plan de reprise après sinistre aideront à minimiser les effets négatifs en cas de sinistre. | Nous recommandons que les IRSC préparent en priorité un PRS et un PCO. Le PCO devrait être revu et compris par les utilisateurs, ainsi que mis à jour et testé régulièrement. |
Une lettre adressée à la haute direction fait état d'autres conclusions correspondant à un risque moindre.
Annexe A : Critères de vérification et conclusions
À la lumière d'une combinaison d'éléments probants recueillis au moyen d'entrevues, d'examens de la documentation et d'analyses, chaque critère de vérification présenté ci-après a été évalué et a donné lieu à une conclusion qui repose sur les définitions suivantes :
| Conclusion relative au critère de vérification | Définition de l'opinion |
|---|---|
| Bon contrôle | Bonne gestion, aucune faiblesse importante n'a été constatée ou seules de légères améliorations sont nécessaires. |
| Problèmes d'importance moyenne | Faiblesses des contrôles, mais l'exposition est limitée du fait que la probabilité ou l'impact du risque n'est pas élevé |
| Importantes améliorations nécessaires | Nécessite d'importantes améliorations en ce qui a trait aux redressements financiers ou la faiblesse des contrôles fait courir un important risque. |
Opinion globale
Le système de contrôles internes sur lequel repose le SIE présente quelques problèmes de moyenne importance : un certain nombre de faiblesses ont été constatées au niveau des contrôles, mais l'exposition globale au risque est limitée du fait que la probabilité ou l'impact du risque n'est pas élevé.
1. Confidentialité des renseignements
Des contrôles internes adaptés et efficaces existent et garantissent que les renseignements contenus dans le SIE sont gérés avec la confidentialité qui s'impose, conformément aux lois, aux politiques et aux lignes directrices du gouvernement du Canada.
| No | Critère | Renvoi aux observations | Conclusions |
|---|---|---|---|
| 1. | Des outils et des techniques de sécurité des données sont utilisés pour restreindre l'accès aux ressources d'information (p. ex. fichiers de données, utilitaires, transactions, programmes). La direction revoit et approuve la mise en oeuvre et la configuration des outils et techniques de sécurité des données. | 1.c., 1.d. | Importantes améliorations nécessaires |
| 2. | Les propriétaires du système autorisent le genre de privilèges d'accès des utilisateurs et leur étendue, et ces privilèges seront examinés périodiquement par les propriétaires pour assurer leur pertinence. L'accès des utilisateurs est contrôlé par des mots de passe et d'autres mécanismes. Les mots de passe sont changés régulièrement. | 1.a., 1.b., 7. | Importantes améliorations nécessaires |
| 3. | L'accès physique à l'immeuble, et aux lieux où se trouvent les ordinateurs, est surveillé et limité aux individus qui en ont besoin pour effectuer leurs tâches. L'accès n'est accordé que si la direction a donné son accord. | 1.a., 1.b. | Problèmes d'importance moyenne |
| 4. | Les exigences relatives à la gestion des risques dans les lois, les politiques et les lignes directrices du gouvernement du Canada et applicables au système ont été prises en compte, y compris une évaluation de la menace et des risques, une évaluation des facteurs relatifs à la vie privée, et un rapport de certification et d'accréditation. | 2., 7. | Importantes améliorations nécessaires |
| 5. | La séparation des tâches entre les utilisateurs et les développeurs du système est appropriée et l'accès au système est limité au personnel autorisé. | Bon contrôle |
2. Intégrité des renseignements
Des contrôles internes adaptés et efficaces sont prévus et garantissent que les renseignements contenus dans le SIE sont autorisés, exacts et complets.
| No | Critère | Renvoi aux observations | Conclusions |
|---|---|---|---|
| 6. | Le traitement fait l'objet d'une surveillance par la direction afin d'assurer son exécution dans les délais prévus, ainsi que l'examen et la résolution de toute exception. | Bon contrôle | |
| 7. | L'accès au langage de contrôle du traitement de la production et aux programmes exécutables est limité aux individus qui doivent exécuter, modifier, supprimer ou créer ces éléments. | 1.e. | Importantes améliorations nécessaires |
| 8. | Les nouveaux systèmes et les modifications apportées aux systèmes sont vérifiés par rapport au plan d'évaluation, qui comprend, selon le cas, l'essai du système et de l'unité, l'essai d'interface, l'essai en parallèle, l'essai de capacité et l'essai d'acceptation par l'utilisateur. | Bon contrôle | |
| 9. | L'accès aux environnements d'essai et de production est limité comme il se doit. | Bon contrôle | |
| 10. | Les demandes de modification des systèmes provenant des utilisateurs et d'autres sources, y compris les mises à niveau et les correctifs apportés par les fournisseurs, sont approuvées par la direction et mises en oeuvre si elles sont compatibles avec les plans pour les systèmes informatiques et les intentions de la direction. | Bon contrôle | |
| 11. | Les nouveaux logiciels de réseau et de communication et les modifications connexes sont vérifiés par rapport au plan d'évaluation qui comprend, selon le cas, l'essai du système et de l'unité, l'essai d'interface, l'essai en parallèle, l'essai de capacité et l'essai d'acceptation par l'utilisateur. | Bon contrôle | |
| 12. | Les demandes de modification des logiciels d'infrastructure de réseau et de communication provenant des utilisateurs et d'autres sources, y compris les mises à niveau et les correctifs apportés par les fournisseurs, sont approuvées par la direction et mises en oeuvre si elles sont compatibles avec les plans pour les systèmes informatiques et les intentions de la direction. | Bon contrôle | |
| 13. | Toutes les inscriptions valides sont enregistrées avec exactitude, au complet et dans les délais prévus. | 4.b. | Problèmes d'importance moyenne |
| 14. | Toutes les demandes valides sont enregistrées avec exactitude, au complet et dans les délais prévus. | 3., 4.b. | Problèmes d'importance moyenne |
| 15. | L'admissibilité des candidats est déterminée à l'aide de critères établis qui reposent sur les conditions du programme. | 4.a. | Problèmes d'importance moyenne |
| 16. | Les décisions de financement sont justes, transparentes et objectives. | Bon contrôle | |
| 17. | Les décisions valides prises par les examinateurs sont enregistrées avec exactitude et dans les délais prévus pour toutes les demandes. | 4.b. | Problèmes d'importance moyenne |
| 18. | Les engagements financiers sont conformes au budget/aux fonds disponibles pour le programme (article 32 de la LGFP). | Bon contrôle | |
| 19. | Les allocations de fonds aux candidats sont approuvées comme il se doit (article 34 de la LGFP). | Sans objet (n'est pas effectué dans le SIE) | |
| 20. | Les décisions de financement et autres sont communiquées aux candidats en temps utile. | 4.b. | Problèmes d'importance moyenne |
| 21. | Les paiements sont générés (dans le SIE) selon les montants accordés et les conditions applicables, et enregistrés avec exactitude pour la période visée. | Bon contrôle | |
| 22. | L'information sur les paiements est transférée de façon exacte et intégrale dans FreeBalance dans les délais prévus. | 4.b. | Problèmes d'importance moyenne |
| 23. | Les modifications apportées aux ententes ou aux niveaux de financement sont justifiées et mises en oeuvre à l'aide de mécanismes adaptés. | Bon contrôle | |
| 24. | Tous les montants non dépensés sont perçus et enregistrés pour la période visée. | 6. | Problèmes d'importance moyenne |
| 25. | Les procédures de clôture des accords sont suivies en temps utile pour garantir que les deux parties se sont acquittées de leurs responsabilités. | 6. | Problèmes d'importance moyenne |
| 26. | Les rapports du SIE utilisés pour la prise de décision sont exacts, complets et produits à temps. | 4.b. | Problèmes d'importance moyenne |
| 27. | Tous les ajouts ou changements valides aux fichiers maîtres de données sont inscrits de façon intégrale et exacte et dans les délais prévus. | 1.a., 4.b., 4.c., 5. | Importantes améliorations nécessaires |
| 28. | La séparation des tâches est appropriée et l'accès au système est limité au personnel autorisé. | 1.a., 5. | Importantes améliorations nécessaires |
3. Disponibilité des renseignements
Des contrôles internes adaptés et efficaces sont prévus pour garantir que l'utilisateur peut accéder aux renseignements contenus dans le SIE selon les besoins pour la conduite des opérations.
| No | Critère | Renvoi aux observations | Conclusions |
|---|---|---|---|
| 29. | Un plan de continuité des opérations à l'échelle de l'organisation, qui repose sur une évaluation des répercussions sur les opérations, a été préparé et approuvé par la direction. Ce plan est régulièrement testé et mis à jour en fonction des résultats des tests. | 8. | Importantes améliorations nécessaires |
| 30. | La direction et les utilisateurs planifient et programment la sauvegarde et la rétention des données, ainsi que l'effacement et la cession des supports lorsque la rétention des données n'est plus exigée. La direction revoit périodiquement les relevés de rétention des données et de cession des supports. | Bon contrôle | |
| 31. | Des outils de rétention automatique des données sont prévus pour gérer le plan et le programme de sauvegarde et de rétention des données. | Bon contrôle |
Annexe B : Rôle et responsabilités d'un propriétaire de système
La direction doit veiller à ce que toutes les ressources d'information (données et systèmes connexes) aient un propriétaire désigné. En règle générale, le propriétaire fonctionnel d'un système est le propriétaire des principales fonctions opérationnelles exécutées par le système (c.-à-d. la partie intéressée au premier chef par le système). Dans le contexte du SIE, un des rôles essentiels du propriétaire fonctionnel est de s'assurer que le SIE peut être utilisé à l'appui des activités courantes et de la vision stratégique des IRSC, et qu'il est disponible, sûr et viable.
Les principales responsabilités du propriétaire fonctionnel du SIE sont les suivantes :
- S'assurer que les exigences à court et à long terme du SIE sont prises en compte dans l'élaboration des stratégies et des plans à court et à long terme relatifs aux technologies de l'information;
- S'assurer que des normes de rendement sont établis pour le SIE;
- Revoir les rapports de rendement relatifs au système, s'assurer que les mesures nécessaires sont prises en cas d'inefficacité du système, et élaborer et mettre en oeuvre des solutions;
- Élaborer des plans pour la mise à niveau et l'évolution du système de manière à intégrer dans le système de production les fonctionnalités rendues nécessaires par les besoins opérationnels et les mises à niveau des fournisseurs. Cette responsabilité inclut l'élaboration de procédures pour assurer l'évolution du système et sa mise à l'essai;
- Approuver en dernière instance les améliorations apportées au SIE et veiller à ce que les essais d'acceptation par l'utilisateur soient effectués;
- S'assurer que les procédures de sauvegarde et de reprise nécessaires sont mises en oeuvre et qu'il existe un plan de continuité des opérations qui a été testé;
- S'assurer que la formation et la documentation destinées aux utilisateurs sont de qualité, que le service d'assistance est à même de jouer son rôle et que les autres dispositifs de soutien technique sont performants (processus et personnel).
Le propriétaire du système doit également être chargé de surveiller la gestion, le contrôle et l'examen de la sécurité du système, ainsi que le maintien à niveau et l'examen de la sécurité, de la fiabilité et de l'intégrité des données. Pour garantir la sécurité du SIE et de ses données, le propriétaire du système doit être celui qui décide en dernière analyse de la classification des données et des droits d'accès. Il doit entre autres déterminer qui devrait avoir accès au système et quels privilèges d'accès peuvent être accordés. Lorsqu'il détermine les privilèges d'accès d'un utilisateur, le propriétaire du système doit s'assurer que la séparation des tâches est maintenue et que les exigences du poste sont remplies.
Le propriétaire du système doit recevoir régulièrement des listes des utilisateurs qui ont obtenu le droit d'accéder aux renseignements. La vérification doit normalement être continue pour assurer l'application constante des contrôles et des règles, de même qu'un environnement protégé au quotidien.
Chargé de veiller à ce que le SIE réponde aux exigences des programmes et des IRSC, le propriétaire du système doit participer à toutes les décisions relatives au remplacement du SIE et à la création d'un nouveau système. Si un nouveau système est créé, il incombe au propriétaire du système de s'assurer que :
- le plan satisfait aux exigences du système;
- le plan prévoit des procédures adaptées pour le contrôle, les pistes de vérification, la sécurité, la sauvegarde, la reprise et la remise en service;
- le plan et le développement du système respectent toutes les normes opérationnelles qui s'appliquent;
- toute la documentation relative au système est complète et exacte.
Il incombe au propriétaire du système d'accepter officiellement le nouveau système en reconnaissant qu'il est complet et prêt à mettre en service. Bien que la responsabilité ultime du système demeure celle du propriétaire, la responsabilité relative à nombre des exigences ci-dessus peut être déléguée au personnel chargé de la technologie de l'information au sein de la Direction des services de gestion de la technologie de l'information (SGTI).
Plan d'action en matière de gestion
Octobre 2007
| Observation | Recommandation | Plan d'action 28 septembre 2007 | Délai initial |
|---|---|---|---|
| Conclusions et recommandations au sujet de la confidentialité des renseignements contenus dans le SIE | |||
| 1. Les contrôles relatifs à l'accès aux renseignements doivent être améliorés. | |||
| a. Il n'existe ni politique ni procédures officielles pour l'approbation de l'accès au SIE. Bien que l'agent des applications logicielles (AAL) au sein des Services de gestion de la technologie de l'information (SGTI) et l'agent des applications et de l'ensemble de données au sein de Planification et ressources en recherche (PRR) examinent les demandes d'accès au SIE, aucun processus ne garantit actuellement que l'accès au SIE, aux serveurs du SIE et à la salle qui abrite les serveurs du SIE est approuvé officiellement par la direction avant d'être accordé aux utilisateurs. Il n'est pas prévu non plus de revoir l'accès périodiquement pour s'assurer qu'il reste valable. À noter que, sans politique officielle, l'accès à la salle des serveurs est géré par le dirigeant principal adjoint de l'information, Gestion de logiciels et infrastructure, SGTI, qui approuve une liste des personnes qui ont accès à la salle. De plus, il a été constaté lors des tests que de nombreux utilisateurs ont accès à des fonctions du SIE dont ils n'ont pas besoin pour leur travail. Par exemple, trois personnes autres que les agents des subventions et bourses ont accès aux modules financiers. |
Nous recommandons que des politiques et des procédures soient élaborées et mises en oeuvre afin que l'accès au SIE soit d'abord approuvé par la direction avant d'être accordé aux utilisateurs, puis revu régulièrement pour s'assurer qu'il reste justifié. Cette mesure comprend une analyse des rôles incompatibles afin que, si les utilisateurs ont plus d'un rôle, il n'y ait pas de risque de conflit de tâches. Nous recommandons en outre que la documentation relative à ces activités de contrôle soit conservée comme piste de vérification. | Responsabilité : SGTI Suivi : Un processus devrait être défini, et une procédure (plutôt qu'une politique), rédigée, pour régir l'accès au SIE, aux serveurs du SIE et à la salle où sont abrités les serveurs (accès physique). Les SGTI collaboreront étroitement avec les autres groupes au sein des IRSC afin de définir le processus et de rédiger les procédures pour les demandes d'accès et l'examen des rôles des utilisateurs. Nous veillerons également à ce qu'il existe des pistes de vérification de ces activités. |
Janvier 2008 |
| b. L'accès au SIE demeure même s'il n'est plus nécessaire. Aucun processus officiel ne permet actuellement de garantir que les employés dont l'emploi a pris fin ou dont les fonctions ont changé n'ont plus accès au SIE, aux serveurs du SIE et à la salle où sont abrités les serveurs du SIE. À noter que, lorsqu'un employé quitte les IRSC, les Ressources humaines demandent au gestionnaire concerné de bloquer l'accès physique et l'accès au réseau; cependant, l'accès au SIE n'est pas visé par cette mesure. |
Nous recommandons que des politiques et des procédures soient élaborées et mises en oeuvre afin de garantir la suppression en temps utile de tous les accès logiques au SIE et aux serveurs du SIE, ainsi que la suppression de l'accès physique à la salle où sont abrités les serveurs du SIE, lorsque les employés ont quitté les IRSC ou changé de fonctions. Nous recommandons en outre que la documentation relative à ces activités de contrôle soit conservée comme piste de vérification. | Responsabilité : SGTI Suivi : En plus de ce qui est prévu au point 1a, des procédures de départ seront également établies pour les personnes dont le contrat se termine ou qui changent de rôle au sein des IRSC. Nous veillerons également à ce qu'il existe des pistes de vérification de ces activités. |
Janvier 2008 |
| c. Les paramètres des mots de passe ne sont pas adaptés. Lorsqu'un compte est créé, le mot de passe pour l'accès au SIE est identique au nom d'utilisateur, et l'utilisateur n'est pas obligé de le changer lorsqu'il se connecte au système pour la première fois. De plus, les mots de passe peuvent être excessivement simples, n'expirent pas et peuvent être réutilisés. |
Nous recommandons que les paramètres des mots de passe soient renforcés : Les mots de passe devraient avoir au moins huit caractères (et contenir des caractères alphabétiques, numériques et spéciaux). Les mots de passe devraient expirer tous les 60 ou 90 jours. Il devrait être impossible de réutiliser les cinq derniers mots de passe. | Responsabilité : SGTI Suivi : Il existe plusieurs façons de sécuriser les mots de passe. Nous entreprenons actuellement un projet qui vise à migrer la base de données du SIE vers Oracle 10g. Oracle 10g offre beaucoup plus de fonctions de sécurisation des mots de passe que notre version actuelle. Ce projet devrait être terminé d'ici à mars 2008. Parallèlement, nous effectuerons une analyse pour déterminer quelle est la meilleure option en ce qui concerne la sécurisation des mots de passe pour les IRSC. |
Juin 2008 |
| d. L'utilisation de comptes génériques ou partagés. Plusieurs comptes génériques ou partagés (39 sur un total de 343 comptes utilisateurs actifs) existent dans le SIE et dans l'annuaire du réseau. Il a été constaté que ces comptes ne sont pas verrouillés et qu'aucun contrôle ne permet de surveiller leur utilisation ou de changer régulièrement leurs mots de passe. |
Nous recommandons que les comptes système génériques soient verrouillés, si possible, afin d'éviter que l'utilisateur final puisse se connecter. Lorsque le verrouillage des comptes génériques n'est pas possible, nous recommandons que leur utilisation soit consignée et surveillée afin que toute utilisation non autorisée soit détectée. De plus, nous recommandons que des contrôles des mots de passe soient adoptés pour faire en sorte que les mots de passe soient réinitialisés régulièrement, ce qui permettra de réduire le risque qu'ils soient connus ou devinés. | Responsabilité : SGTI/PRR Suivi : Tel que recommandé. |
Janvier 2008 |
| e. Il y a trop de points d'accès aux fichiers des demandes en transit. RechercheNet, les formulaires WEB et le CV commun sont des systèmes que les candidats utilisent pour transmettre leurs demandes par voie électronique. Toutes les personnes connectées au réseau des IRSC ont un accès complet (lecture/écriture/modification/ exécution) aux emplacements réseau où les fichiers de demande au moyen de RechercheNet, des formulaires Web et du CV commun sont stockés temporairement avant d'être importés dans la base de données du SIE. À noter que l'utilisateur moyen n'est pas censé connaître ces emplacements. |
Nous recommandons que l'accès aux emplacements réseau où les fichiers de demande au moyen de RechercheNet, des formulaires WEB et du CV commun sont stockés soit réservé aux utilisateurs qui ont besoin de cet accès pour leur travail. | Responsabilité : SGTI Suivi : Tel que recommandé. |
Novembre 2007 |
| 2. La conformité totale avec la Politique du gouvernement doit devenir la priorité. | |||
| Les activités de gestion des risques relatives au SIE sont incomplètes. Une évaluation de la menace et des risques pour le SIE a été réalisée; cependant, aucune évaluation des facteurs relatifs à la vie privée n'a été effectuée, et aucun rapport de certification et d'accréditation3 n'a été préparé, contrairement à ce que prévoit la Politique du gouvernement. |
Nous recommandons que les IRSC réalisent une évaluation des facteurs relatifs à la vie privée et préparent un rapport de certification et d'accréditation pour le SIE. | Responsabilité : Le ou les propriétaires du système Suivi : Comme il est indiqué ci-après, les SGTI vont entreprendre un projet qui vise à définir le ou les propriétaires du système. Une fois le ou les propriétaires désignés, nous pourrons commencer à préparer un plan pour une ÉFVP en fonction du financement disponible (est. 20 000 $). Une fois l'ÉFVP terminée, le SIE pourra être soumis au processus de certification et d'accréditation. On s'attend à terminer l'EFVP dans les 60 jours suivant l'attribution d'un contrat. L'énoncé de travail est actuellement à l'étape d'ébauche et une demande de contrat sera remplie avant la fin d'octobre 2007. |
Décembre 2008 |
| 3. Les contrôles relatifs au traitement complet et opportun des demandes doivent être entièrement mis en oeuvre. | |||
| L'utilisation incohérente de la liste de contrôle du traitement des demandes. Au cours de nos entretiens avec le personnel des IRSC, nous avons appris que certains comités d'examen par les pairs (environ 10 comités sur 52) utilisent une liste de contrôle du traitement des demandes pour s'assurer de ne rien oublier et de suivre les lignes directrices des IRSC, tandis que d'autres ne le font pas. |
Nous recommandons que tous les comités d'examen par les pairs utilisent la liste de contrôle du traitement des demandes afin que les demandes soient traitées d'une manière uniforme et opportune conformément aux lignes directrices des IRSC. | Responsabilité : PRR Suivi : Tel que recommandé. |
Harmoniser avec le projet Procédures normales d'exploitation (PNE), sous la conduite de Planification et ressources en recherche, qui a commencé en mai 2007 et pour lequel des procédures et un plan de mise en oeuvre seront rédigés d'ici à la fin décembre 20074. |
| 4. Une piste de vérification des activités de contrôle est nécessaire pour faire preuve de diligence raisonnable. | |||
| a. Il n'y a aucune preuve de l'évaluation de l'admissibilité des candidats. Le SIE ne contient actuellement aucune preuve de l'évaluation de l'admissibilité des candidats par les coordonnateurs de programme. Il a aussi été constaté que les critères servant à déterminer l'admissibilité ne sont pas spécifiés dans le SIE. |
Nous recommandons que la preuve de l'évaluation de l'admissibilité des candidats et les critères applicables soient spécifiés dans le SIE. Il suffirait, par exemple, qu'il y ait une case à cocher « Évaluation de l'admissibilité réalisée » dans le SIE et que les coordonnateurs de programme cochent cette case une fois l'évaluation effectuée. Les critères d'admissibilité devraient aussi être consultables directement dans le SIE. | Responsabilité : PRR Suivi : La case à cocher « Évaluation de l'admissibilité réalisée » a été créée dans le SIE et elle est déjà en harmonie avec le plan de mise en oeuvre du projet de PNE. Les critères d'admissibilité seront établis dans le cadre de la planification et de l'analyse du programme. |
Harmoniser avec le projet Procédures normales d'exploitation (PNE). Décembre 2007. |
| b. Il n'y a aucune preuve des examens et des approbations. La vérification n'a pas permis de trouver de preuves des examens et/ou des approbations nécessaires pour un certain nombre d'activités de contrôle manuelles. Des exemples sont donnés ci-après : L'examen réalisé par le groupe Exécution des programmes (EP), qui vise à comparer les renseignements entrés dans le SIE aux renseignements apparaissant sur la feuille de recommandations pour garantir que les renseignements sont entrés d'une manière exacte et complète. L'examen et le suivi des rapports générés pour garantir qu'il n'y a pas de demandes en double pour un concours et que tout nouveau numéro d'identification personnel (NIP) attribué est valide et ne constitue pas un doublon. Les NIP sont attribués aux candidats pour leur permettre de s'inscrire et de transmettre leurs demandes de financement au moyen de RechercheNet et de Formulaires Web. La lettre adressée à la direction, qui présente les conclusions représentant un risque moindre, contient d'autres exemples. Ces exemples portent sur la communication en temps opportun aux candidats des décisions de financement et autres; le transfert d'une manière exacte, complète et opportune des données sur les paiements du SIE vers FreeBalance; et le caractère exact, complet et opportun des rapports du SIE servant à la prise de décision. Dans tous ces cas, le personnel a fait savoir que l'examen des rapports est fait, mais que les rapports sont supprimés une fois l'examen terminé et tous les problèmes résolus. |
Nous recommandons que les preuves de la réalisation des activités de contrôle manuelles relatives au SIE soient conservées, et que le document utile soit préparé/signé et daté par la personne qui réalise l'activité de contrôle comme preuve de sa réalisation. | Responsabilité : PRR Suivi : Cette observation devrait être réexaminée dans le cadre du projet PNE. Une procédure concernant les recommandations sur la vérification sera créée et communiquée au personnel de l'exécution des programmes en novembre 2007. Cette procédure contiendra des instructions pour le personnel sur l'examen, l'approbation finale et le classement de l'information pertinente liée aux examens du rendement/vérifications. La procédure révisée règle immédiatement la question et peut être mise en place lors des réunions des comités en décembre 2007. Le processus peut être examiné de nouveau en conformité avec le projet sur les procédures normales d'exploitation. Une procédure de suivi des numéros de NIP et des demandes en double sera créée. Des preuves de la réalisation des activités de contrôle manuelles relatives au SIE seront conservées soit dans un dossier de NIP pour les numéros de NIP ou dans le dossier des concours pour les demandes. La procédure sera créée et communiquée en novembre 2007 au moment où elle pourra être mise en oeuvre. |
Harmoniser avec le projet Procédures normales d'exploitation (PNE). Décembre 2007. |
| c. Le caractère informel du processus de modification des renseignements contenus dans le SIE avant l'étape des subventions et bourses. Il n'y a pas actuellement de formulaire de demande imprimé ni de document exigé pour la modification des demandes ou des renseignements relatifs aux candidats dans le SIE avant l'étape des subventions et bourses. Il s'agit de l'étape où des fonds ont été engagés par les IRSC. Seul le groupe Exécution des programmes au sein de PRR peut apporter les changements. Toutefois, le processus est informel en ce cens qu'une personne peut appeler ou passer pour demander au groupe d'apporter les changements, et il n'est pas nécessaire que ces demandes soient présentées par écrit; par conséquent, il n'existe aucune piste de vérification pour la modification effectuée. |
Nous recommandons qu'un processus formel et un formulaire de modification soient créés et utilisés obligatoirement pour les modifications importantes à apporter aux renseignements contenus dans le système. Le formulaire de demande devrait permettre d'inscrire le changement proposé et la date de la demande de changement, la raison du changement et le nom de la personne qui demande le changement. La direction devrait approuver dûment ces formulaires. Des examens indépendants des changements devraient être réalisés à partir d'un échantillon pour que la pertinence des changements soit confirmée. Les formulaires de demande devraient être conservés comme pistes de vérification. | Responsabilité : PRR Suivi : Cette observation devrait être examinée dans le cadre du projet PNE. L'Unité des systèmes d'exécution des programmes créera un Formulaire de demande de modification des données d'une demande qui nécessite l'approbation de la gestion (approbation finale du directeur adjoint) avant d'être mis en place. Le formulaire, une fois en place, pourra être rempli dans le dossier de la demande et conservé comme piste de vérification. Le formulaire sera créé en novembre 2007 pour qu'on puisse l'utiliser à partir de décembre 2007. Le processus peut être examiné de nouveau en conformité avec le projet sur les procédures normales d'exploitation. |
Harmoniser avec le projet Procédures normales d'exploitation (PNE). Décembre 2007. |
| 5. La séparation des tâches doit être améliorée. | |||
| L'absence d'examen indépendant des modifications apportées aux recommandations. Toute modification apportée à l'écran « Recommandations du comité » du SIE déclenche l'impression automatique d'un relevé de ces modifications. Les modifications ont trait aux recommandations de financement faites par les comités d'examen par les pairs. Les modifications relatives aux subventions sont revues par le personnel du Portefeuille de la recherche. Les modifications relatives aux bourses sont revues par le personnel de la Division du développement de la capacité en recherche du Portefeuille de la recherche. Cependant, les mêmes personnes peuvent aussi être à l'origine des changements. |
Nous recommandons que les modifications apportées à l'écran « Recommandations du comité » soient revues par une autre entité que celle qui est à l'origine du changement et ce, pour améliorer la séparation des tâches. |
Responsabilité : PRR |
Harmoniser avec le projet Procédures normales d'exploitation (PNE). Décembre 2007. |
| 6. Les fonds non dépensés potentiels des exercices précédents doivent faire l'objet d'un suivi. | |||
| Le retard dans le processus de rapprochement des fonds non dépensés. Conformément aux lignes directrices des IRSC, les établissements et les candidats doivent confirmer chaque année les dépenses relatives aux projets et les fonds non dépensés. L'année visée par la vérification, le poste dont relève la responsabilité de ce processus était vacant depuis environ huit mois. Le poste a depuis été pourvu; cependant, il y a selon les réponses et les confirmations obtenues un retard d'environ un an dans les tâches administratives et le travail de rapprochement pour les établissements. |
Nous recommandons qu'une stratégie et un plan soient mis en oeuvre pour veiller à ce que le retard dans le rapprochement des fonds non dépensés soit comblé et que les sommes non dépensées potentielles des exercices précédents fassent l'objet d'un suivi et soient perçues à temps. | Responsabilité : Chef des services financiers Suivi : Un plan d'action qui vise à rattraper le retard dans le rapprochement des soldes de caisse non dépensés a maintenant été mis en oeuvre. La situation s'améliore rapidement, et environ 97 % du retard de l'exercice précédent a été comblé. Nous nous efforçons toujours de récupérer le reste. Des rappels seront envoyés aux établissements avant la fin de septembre 2007 afin de demander le retour des fonds non dépensés aux IRSC pour les subventions arrivées à terme. |
Décembre 2007 |
| 7. La structure de gouvernance pour le maintien à niveau et l'évolution du SIE doit être améliorée. | |||
| Le système n'a pas de propriétaire. Il n'y a pas actuellement de « propriétaire du système » du SIE. Entre autres responsabilités, le propriétaire du système est chargé d'approuver les décisions stratégiques quant à l'orientation du SIE et fait partie de l'instance d'accréditation du système. L'annexe B expose le rôle et les responsabilités typiques d'un propriétaire de système. |
Nous recommandons qu'un propriétaire du système, qui assumera un rôle et une responsabilité de gouvernance du SIE, soit désigné. | Responsabilité : CHD Suivi : Le vice-président, Portefeuille de la recherche est le propriétaire du SIE. |
Réglé. |
| 8. Les contrôles relatifs à la disponibilité des renseignements contenus dans le SIE doivent être améliorés. | |||
| L'absence de plan de continuité des opérations. Il n'existe pas actuellement de plan de reprise après sinistre (PRS) ni de plan de continuité des opérations (PCO) qui pourraient aider à la reprise rapide du SIE, bien que le processus visant la préparation d'un PCO en tant que tel ait été enclenché en 2005. |
Nous recommandons que les IRSC préparent en priorité un PRS et un PCO. Le PCO devrait être revu et compris par les utilisateurs, ainsi que mis à jour et testé régulièrement. | Responsabilité : SGTI Suivi : Un plan de reprise après sinistre en matière de TI sera prêt en mars 2008. Les activités en ce qui concerne le PCO devront être coordonnées avec les autres activités relatives à ce plan au sein des IRSC. La disponibilité de fonds peut aussi entrer en ligne de compte. |
Plan de reprise des activités en matière de TI : mars 2008 PCO des IRSC : octobre 2008 |
Une lettre adressée à la haute direction fait état d'autres conclusions correspondant à un risque moindre.
- On trouvera à l’annexe A une définition des opinions.
- La certification est l’évaluation complète des dispositifs de sécurité techniques et non techniques d’un système des TI et d’autres mesures de sauvegarde connexes pour déterminer le degré selon lequel le système satisfait à un ensemble donné d’exigences en matière de sécurité. L’accréditation est l’autorisation officielle par la direction d’exploiter un système des TI et l’acceptation par la direction du risque résiduel s’y rattachant. L’accréditation dépend des résultats de la certification ainsi que d’autres considérations de nature administrative.
- La certification est l’évaluation complète des dispositifs de sécurité techniques et non techniques d’un système des TI et d’autres mesures de sauvegarde connexes pour déterminer le degré selon lequel le système satisfait à un ensemble donné d’exigences en matière de sécurité. L’accréditation est l’autorisation officielle par la direction d’exploiter un système des TI et l’acceptation par la direction du risque résiduel s’y rattachant. L’accréditation dépend des résultats de la certification ainsi que d’autres considérations de nature administrative.
- Le but du projet de PNE est de simplifier et de normaliser les processus et les procédures de gestion des concours des IRSC, entre le moment où les demandes sont transmises et celui où la décision de financement est prise. Les objectifs sont de simplifier et de normaliser les processus internes pour les programmes de financement des IRSC, d’élaborer des procédures normales d’exploitation, de maximiser l’efficacité des opérations et l’utilisation des ressources en définissant des normes internes, et d’harmoniser les profils de rôle avec les procédures normales d’exploitation.