Vérification du système TEAM Rapport final Janvier 2008

Sommaire

Système de gestion de l’actif de la GRC, le système TEAM joue un rôle essentiel dans les processus de gestion de l’organisation, y compris la communication de l’information nécessaire pour les Comptes publics du gouvernement du Canada, et repose sur le logiciel de planification des ressources de l’entreprise SAP/R3. La vérification du système TEAM comportait deux grands objectifs, soit évaluer le caractère pertinent et l’efficacité des contrôles d’application du SAP/R3 à l’appui de processus et de cycles précis, et des contrôles informatiques généraux du SAP/R3.

Depuis sa mise en oeuvre en 1998-1999, le système TEAM a subi d’importantes révisions visant à en augmenter la fonctionnalité pour mieux appuyer les processus de travail à la GRC. La vérification a permis de conclure que les contrôles d’application du SAP/3 pour les principaux processus de travail sont suffisants et efficaces. Notamment, les contrôles des comptes d’utilisateur et les contrôles de validation, ainsi que les validations et les paramètres de configuration sont suffisants pour prévenir les opérations inexactes, incomplètes ou inappropriées. Cependant, le processus extérieur au SAP visant à gérer l’attribution de droits d’accès et les pouvoirs des utilisateurs (approbation, retrait et révision des droits d’accès) n’est pas suffisant et a réduit l’efficacité de certains contrôles d’application du SAP/R3.

L’attribution des rôles d’utilisateur et des droits d’accès est un processus décentralisé assuré par les administrateurs régionaux du système TEAM et les responsables des processus de travail. Le responsable central d’un processus de travail ne participe pas toujours à la démarche d’approbation et a souvent des connaissances limitées des employés autorisés à traiter des opérations dans le système TEAM et des droits d’accès précis accordés aux utilisateurs. De plus, malgré une diminution des cas où des utilisateurs ont effectué des tâches inappropriées depuis l’évaluation par le Bureau du vérificateur général du Canada en octobre 2004, des problèmes liés à la séparation des responsabilités persistent à l’intérieur et à l’échelle de nombreux processus de travail.

En raison des faiblesses des contrôles, un nombre accru d’utilisateurs est capable de traiter des opérations, et de plus, des utilisateurs détiennent des droits d’accès et des pouvoirs supérieurs à ce que voudraient leur voir accorder les responsables centraux des processus de travail. Ces faiblesses au niveau du contrôle pourraient entraîner des opérations inappropriées ou non autorisées et accroître le risque de détournement d’éléments d’actif.

Des contrôles supplémentaires, tels qu’une surveillance et une révision accrues, sont nécessaires pour prendre en considération les risques liés aux droits d’accès et aux pouvoirs des utilisateurs. De plus, il faudrait examiner les profils fondés sur le rôle pour déterminer si des profils additionnels, assortis de différents pouvoirs autres, sont nécessaires pour tenir compte des différences dans les fonctions.

Les questions soulevées dans le présent rapport devraient aider l’organisation dans ses efforts en vue de se préparer en vue de la production d’états financiers vérifiés.

Vérification du système TEAM est disponible sous format Adobe Acrobat

Si vous désirez recevoir ce rapport sous un autre format, veuillez communiquer à : intaudit@rcmp-grc.gc.ca .