Vérification interne de l’intégrité de l’information de l’application Hermès-Programmes

Télécharger la version PDF

Au sujet de cette publication

Auteur de la publication : Développement économique Canada pour les régions du Québec

Collaborateur : Direction générale de la vérification interne

Date de publication : 1 juin 2009

Résumé :

Ce rapport couvre la vérification interne des dossiers de subventions et contributions correspondant à l’ensemble des programmes de l’Agence pour la période du 1er avril 2007 au 31 mars 2008 inclusivement.

Table des matières

  1. 1. Sommaire exécutif

1. Sommaire exécutif

1.1  Contexte

Les bureaux d’affaires maintiennent un dossier physique à l’appui des projets. Les informations soutenant les activités de programmes de l’Agence qui sont inscrites au système de gestion Hermès Programmes proviennent donc des activités de traitement des demandes reçues effectuées dans les bureaux d’affaires : analyse de l’admissibilité, signature des ententes, suivi des ententes. Les informations inscrites aux systèmes doivent correspondre aux dossiers physiques, et y être documentées. Ceci est d’autant plus important que la prise de décision et la reddition de comptes se font régulièrement par le truchement des informations véhiculées au système, d’où l’importance de leur fiabilité.

L’intégrité est définie comme « l’état d’une chose qui est demeurée intacte ». Si l’intégrité de l’information est préservée, cette dernière pourra ainsi être considérée fiable. L’information inscrite au système doit correspondre à l’information source en provenance des dossiers. Un accès contrôlé doit par ailleurs assurer qu’elle le demeure.

Le système Hermès Programmes sert de source d’information privilégiée pour les décideurs à des fins de prise de décisions et de gestion. L’intégrité de l’information disponible est donc primordiale pour assurer le bien fondé des décisions et pour assurer une reddition de compte fiable le moment venu.

Pour assurer le bon fonctionnement de ses opérations, l’Agence de développement économique du Canada pour les régions du Québec (l’Agence) maintient un  système d’information principal, Hermès. La présente vérification porte sur l’intégrité des données de ce système.

Le système Hermès est un système informatisé permettant l’inscription des clients, de leurs projets, des ententes de contributions (subventions ou contributions), des réclamations financières, des activités de suivi de la progression des projets et lorsqu’applicable, du recouvrement des sommes impliquées. Il s’agit donc d’un système essentiel pour capter et reproduire l’information jugée essentielle dont l’Agence a besoin pour opérer. Le système Hermès possède deux modules, un module Programmes, servant à la gestion des subventions et contributions octroyés par l’Agence, et un module Finance, servant à la gestion financière des projets. Notons qu’à l’aide d’un interface, le module Programmes déverse ses données financières dans le module Finance.

L’Agence a entrepris au cours des dernières années une initiative de gestion davantage axée sur le suivi des résultats. Rappelons qu’à la base Hermès Programmes fut surtout conçu pour permettre aux conseillers d’effectuer un suivi des projets et ententes ainsi que  pour permettre une agrégation des données financières. L’initiative de gestion axée sur les résultats a mis l’emphase sur les trois grands résultats stratégiques et les activités de programmes. L’information accumulée sur chacun des projets joue donc un rôle crucial pour soutenir les activités de gestion axée sur les résultats. La fiabilité des informations au système Hermès Programmes devenait donc primordiale.

La présente vérification a ainsi été jugée prioritaire dans le cadre de l’élaboration du plan de vérification interne 2008-2009 afin de confirmer l’intégrité des informations servant à la prise de décision à l’Agence.

1.2 Objectif de la vérification

L’objectif poursuivi était de s’assurer que l’information de gestion présente dans le système corporatif Hermès Programmes est, et demeure, intègre, c’est-à-dire que l’information qu’on y retrouve corresponde bien à celle dans les dossiers physiques des bureaux d’affaires, et que l’information au système soit suffisamment sécurisée pour assurer le  maintien de l’intégrité de cette information.

En matière de vérification de la gestion de la sécurité des données du système Hermès Programmes, les meilleures pratiques de l’industrie ont été retenues comme base de comparaison aux fins de vérification des pratiques en place à l’Agence.

La responsabilité de concevoir et de mettre en œuvre un environnement de contrôle efficace incombe à la direction. Notre responsabilité a consisté à évaluer l’environnement de contrôle de Hermès Programmes selon les meilleures pratiques applicables.

Il est important de préciser que cette vérification ne visait pas à examiner ni apprécier la suffisance de l’information de gestion disponible au système Hermès Programmes.

1.3 Étendue de la vérification

La vérification a porté sur la période du 1er avril 2007 au 31 mars 2008 inclusivement. Tous les dossiers de subventions et contributions, correspondant à l’ensemble des programmes de l’Agence, étaient visés par notre démarche de certification, et ont ainsi été reflétés dans la population soumise à notre vérification, à l’exception des projets des programmes d’infrastructure. Tous les dossiers actifs à un moment quelconque entre le 1er avril 2007 et le 31 mars 2008 étaient ainsi sujets à faire partie de l’échantillon. Nous avons considéré les projets de tout statut à l’intérieur du cycle de vie des projets. Ainsi, les dossiers de projets conclus après cette date n’étaient pas reflétés.

Nous avons principalement retenu 14 éléments à vérifier pour chaque dossier sélectionné. Ces éléments reflètent les étapes importantes du cycle de gestion d’un projet. Ces éléments ont été validés afin de nous assurer qu’ils reflétaient bien les étapes importantes visées.

En sus de ces 14 éléments devant reflétant essentiellement les principales étapes de gestion des dossiers à l’Agence, l’environnement de contrôle d’accès à l’information contenue dans l’application Hermès Programmes a donc été revu. Plus précisément, les contrôles d’accès à distance et de la gestion des mots de passe ont été examinés, cela sur la base des meilleures pratiques en cette matière.

Il est à noter que nous n’avons pas abordé l’intégrité de l’information apparaissant sur les différents rapports générés régulièrement à partir du système Hermès Programmes. Notre travail s’est aussi limité à l’intégrité de l’information dans Hermès Programmes, et ne couvrait aucunement Hermès Finance.

1.4 Méthodologie et échantillonnage

La vérification s’est déroulée de septembre 2008 à mars 2009.  Par le biais de techniques de vérification telles que le revue et l’inspection sur place, la corroboration avec les documents sources, l’analyse des dossiers et de l’information contenue au système Hermès Programmes, la notion de préservation de l’intégrité de l’information a fait l’objet de cette vérification sur la base d’un échantillon de 96 dossiers pour lesquels nous avons comparé le contenu des écrans du système Hermès Programmes avec le contenu de chacun des dossiers

Nous avons considéré tous les projets, peu importe leur statut dans le cycle de vie d’un projet. En effet, nous avons considéré que les dossiers au stade préliminaire de leur évaluation peuvent contenir de l’information pertinente au même titre que les dossiers à des stades plus avancés. Une population de 1 266 dossiers différents a été considérée.

Nous avons fixé notre niveau de confiance à 95 %. C’est donc dire que nous pourrons conclure, 19 fois sur 20, que notre échantillon sera représentatif de la population de 1 266 dossiers. Nous avons retenu un intervalle de confiance de 10 %, c’est donc dire que le résultat réel dans l’ensemble de la population devrait se situé à plus ou moins 10 % de ce qui fut observé dans l’échantillon. Nous avons ainsi obtenu un échantillon de 96 dossiers. De ce nombre, 43 dossiers avaient franchi l’étape ultime de la signature d’entente (statut 600). Parmi ces 43, 23 représentaient des contributions remboursables et 20 des contributions non-remboursables.

Nos procédés de vérification consistaient surtout en des entrevues (une série de six questions ouvertes) et à l’analyse des documents obtenus lors des entrevues. En moyenne, deux conseillers par bureaux d’affaires ont été interviewés, pour un total de 30 entrevues.

Concernant la vérification de l’environnement de contrôle informatique, les meilleures pratiques en cette matière sont documentées dans le cadre de référence CobiT (Control objective for information and related Technology). Le Bureau du Contrôleur général du Canada réfère à ce cadre en ce domaine. Nous avons pour ce faire mandaté une firme de professionnels spécialisés dans le domaine.

Les constats principaux ont été dégagés uniquement à partir des éléments communs à plusieurs bureaux d’affaires ayant fait l’objet d’observations de vérification.

1.5 Déclaration d’assurance

Nous avons terminé la vérification de l’intégrité de l’information du système d’appui à la gestion des programmes communément appelé Hermès Programmes.

La vérification a été effectuée conformément à la Politique sur la vérification interne du Conseil du trésor et aux Normes relatives à la vérification interne au sein du gouvernement du Canada. Ces normes exigent que la vérification soit planifiée et exécutée de manière à fournir un degré raisonnable de certitude que l’information présente dans le système d’appui aux programmes est effectivement intègre en considération des dossiers physiques dont elle découle.

La vérification s’est déroulée de septembre 2008 à mars 2009.  La vérification a porté sur la période du 1er avril 2007 et le 31 mars 2008 inclusivement. Elle visait à comparer, à des fins de vérification de leur intégrité, les informations présentent à l’application Hermès Programmes et les informations correspondantes contenues dans les dossiers physiques.  Un volet additionnel a examiné la question des pratiques visant à maintenir l’intégrité de l’information inscrite au système. Ainsi, la question de la sécurité informatique du système, l’environnement de contrôle de l’accès, a fait l’objet de cette vérification. La vérification incluait la préparation d’un programme de vérification en fonction des critères de vérification, la vérification des dossiers de projet, la rencontre de personnes-ressources, l’examen de la documentation et la validation avec les secteurs concernés.  Nous avons effectué les tests jugés nécessaires dans les circonstances afin de nous permettre d’exprimer notre opinion.

Les procédés de vérification suivis et les éléments de preuve recueillis sont appropriés et suffisants pour appuyer l’exactitude des conclusions énoncées dans ce rapport. Les conclusions se fondent sur les constatations effectuées au cours de cette mission, à la lumière des critères et attentes établis. Les éléments de preuve assemblés répondent aux normes de vérification professionnelles et sont suffisants pour assurer la direction du bien-fondé des conclusions tirées.

1.6 Opinion de vérification

À notre avis, l’information contenue dans l’application Hermès Programmes de l’Agence de développement économique du Canada pour les régions du Québec (l’Agence) correspond aux informations correspondantes inscrites aux dossiers physiques de l’Agence relatifs aux projets, cela pour l’ensemble de ses programmes. En ce sens, on peut affirmer que l’information incluse dans l’application Hermès Programmes est fiable aux fins de prise de décision et d’information, sous réserve de certaines faiblesses d’environnement de contrôle d’accès informatique principalement reliées à une utilisation plus sécuritaire de l’application en fonction des meilleures pratiques.

1.7 Sommaire des recommandations

Les principales opportunités d’amélioration sont les suivantes. Elles sont toutes reliées à l’environnement de contrôle informatique.

En matière d’accès à distance :

  • S’assurer que chaque compte régulier ou comportant des privilèges soit toujours désactivé suite au départ d’un employé;
  • S’assurer que l’ensemble des postes de travail et des serveurs soient munis d’un logiciel antivirus mis à jour quotidiennement.

En matière de gestion des mots de passe,:

  • S’assurer que les paramètres de sélection des mots de passe sont établis selon les meilleures pratiques en ce domaine; et
  • S’assurer que l’attribution des privilèges d’administrateur soit strictement limitée au personnel responsable de la gestion de la sécurité logique de l’application.