Format de rechange
Version PDF (670 Ko)
Résumé et conclusion
Contexte
Le présent rapport fait état des constatations de la Vérification de l'utilisation des cartes d'achat dans l'environnement fonctionnel temporaire au Conseil national de recherches Canada (CNRC).
Objectif de la vérification
L'objectif de la vérification était de donner à la haute direction du CNRC une assurance indépendante juste à temps que les contrôles exercés conservaient leur efficacité dans l'environnement fonctionnel temporaire (EFT) et de permettre au CNRC d'apporter les correctifs nécessaires avant la fin de l'exercice.
Raison d'être
En juillet 2014, une intrusion informatique a obligé le CNRC à mettre hors service son réseau et ses systèmes informatiques. L'organisation a ensuite mis en œuvre des contrôles adaptés à l'environnement fonctionnel temporaire (EFT) créé afin de lui permettre de continuer à offrir ses services et à générer de la valeur pour ses clients et pour la population canadienne. Le président a alors décidé d'approuver l'exécution, en dehors du Plan de vérification interne axé sur les risques 2014‑2015 à 2016‑2017 du CNRC, de quatre vérifications dans le contexte de l'EFT. Ces vérifications ont porté respectivement sur la gestion des dépenses, sur le Programme d'aide à la recherche industrielle (PARI), sur l'utilisation des cartes d'achat, et sur les approvisionnements et la passation de marchés.
Les constatations de la vérification ont donc été formulées dans un contexte où l'environnement fonctionnel normal du CNRC était compromis et où des mesures de continuité des activités temporaires s'appliquaient jusqu'à ce qu'un nouveau réseau informatique et des processus administratifs permanents soient mis en place.
Les cartes d'achat constituent un moyen pratique et commode de gérer les approvisionnements et de payer des marchandises et des services tout en maintenant un bon contrôle financier. Lorsqu'elles sont bien utilisées, elles offrent un bon ratio coût-efficacité pour le traitement des achats de faible valeur. En 2014‑2015, les achats réglés par le CNRC au moyen de cartes d'achat ont atteint une valeur totale de 18,1 millions de dollars. Cinquante pour cent de ces achats ont été réglés à l'intérieur de l'environnement fonctionnel temporaire et sont donc visés par la présente vérification. L'utilisation des cartes d'achat présente les risques suivants : contournement des règles régissant les approvisionnements au sein de l'administration fédérale, règlement de dépenses personnelles sur le compte du CNRC et fraudes éventuelles.
Opinion du vérificateur et conclusion
Sous réserve des limites liées aux échantillons et aux procédures de vérification, l'équipe de vérification en vient à la conclusion que les processus opérationnels temporaires ont permis de maintenir un contrôle et des mécanismes de vérification préalable appropriés à l'égard des achats effectués au moyen de cartes d'achat, conformément aux normes établies par le gouvernement du Canada. Les processus temporaires ont permis, dans l'ensemble, de gérer efficacement le risque que les cartes d'acquisition soient utilisées pour effectuer des achats non autorisés, refusés ou personnels. La Direction des finances du CNRC exerce une surveillance continue sur l'utilisation appropriée des cartes d'achat et a mis en place des mécanismes pour régler tous les cas de non-conformité. L'équipe de vérification a constaté l'existence d'une tendance positive à l'utilisation accrue des cartes d'achat pour régler les approvisionnements de faible valeur et les transactions d'approvisionnement simples.
Sommaire des recommandations
L'équipe de vérification n'a pas jugé nécessaire de formuler des recommandations. Au moment de rédiger le présent rapport de vérification, la qualité de l'environnement de contrôle s'améliorait au fil des progrès accomplis par le CNRC dans la mise en place d'un nouveau réseau sécurisé et du retour à une utilisation normale de la plupart des systèmes liés au programme de cartes d'achat.
Énoncé d'assurance
À mon avis professionnel, en qualité de dirigeante principale de la Vérification, des procédures suffisantes et appropriées de vérification ont été appliquées et des preuves suffisantes ont été accumulées pour soutenir l'exactitude de l'opinion et des conclusions des vérificateurs. La vérification est conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme le confirment les résultats du programme d'assurance de la qualité et d'amélioration.
Alexandra Dagger, CIA, dirigeante principale de la Vérification
Membres de l'équipe de Vérification du CNRC
Irina Nikolova, FCCA, CIA, CISA, gestionnaire de la Vérification
Jon Byford-Harvey, CPA, CMA, vérificateur
Michelle Le, B.Sc, vérificatrice étudiante
Milena Gligorovic, BAH, vérificatrice étudiante
1.0 Introduction
La vérification de l'utilisation des cartes d'achat 2014‑2015 dans l'EFT en dehors du cadre établi par le Plan de vérification interne axé sur les risques 2014‑2015 à 2016‑2017 du CNRC a été approuvée par le président dans la foulée de l'intrusion informatique qui a entraîné la mise hors ligne du réseau et des systèmes informatiques du CNRC.
1.1 Context
Les cartes d'achat sont des cartes de paiement très pratiques pour régler les achats de marchandises et de services tout en exerçant un bon contrôle financier. Elles simplifient le processus d'approvisionnement et de paiement des marchandises et des services et génèrent donc des économies dans le traitement des approvisionnements et des dépenses Note de bas de page 1 .
L'utilisation des cartes d'achat est recommandée pour les achats nécessaires aux activités quotidiennes d'entretien, de réparation et autres, à l'exclusion des gros achats, des transactions complexes, des dépenses de fonctionnement liées du parc de véhicules, des frais de déplacement et des dépenses en immobilisations. Bien que non obligatoire, l'utilisation de la carte d'achat est fortement recommandée dans les cas où l'achat est dans les limites des pouvoirs délégués d'exécuter une opération et lorsqu'il est efficient, économique et possible du point de vue opérationnel d'y avoir recours Note de bas de page 2.
Utilisation des cartes d'achat au CNRC
Le CNRC utilise des cartes d'achat MasterCard émises en vertu d'un contrat de service entre le gouvernement du Canada et la Banque de Montréal (BMO) qui prévoit une ristourne au comptant de 1,4 %. Le programme de cartes d'achat du CNRC est coordonné par la Direction des finances (DF) du CNRC et est assujetti à la surveillance du groupe de surveillance des opérations financières de la DF. Le CNRC utilise des cartes appartenant à l'une ou l'autre de deux catégories. Les cartes dont la facturation est consolidée sur le compte 095 sont émises au nom des employés des différents portefeuilles. Les cartes dont la facturation est consolidée sur le compte 041 sont émises au nom des agents des approvisionnements des Services administratifs et de gestion de l'immobilier (SAGI) et sont par conséquent assujetties à des processus d'autorisation quelque peu différents. La majorité des dépenses réglées au moyen d'une carte d'achat sont engagées par les portefeuilles (figure 1). L'utilisation des cartes d'achat à l'intérieur de l'EFT est demeurée généralement similaire à ce qu'elle était auparavant, mais le volume total des dépenses réglées au moyen des cartes a augmenté de 50 %.
Description détaillée de figure 1.
2013 | 2014 | 2015 | |
---|---|---|---|
Cartes des SAGI | 3 130$ | 2 174$ | 2 148$ |
Cartes des portefeuilles | 8 708$ | 9 309$ | 6 914$ |
Dépenses des portefeuilles dans l'EFT | 6 732$ | ||
Dépenses des SAGI dans l'EFT | 2 308$ | ||
Total | 11 838$ | 11 483$ | 18 101$ |
Au CNRC, les cartes d'achat sont généralement émises pour des personnes détenant une autorisation d'engager des dépenses inférieures à 25 000 $ par mois et dont le pouvoir d'autoriser des opérations est limité à 5 000 $ (tableau 1). Dans l'environnement fonctionnel temporaire, la limite des opérations autorisées a été majorée à 10 000 $ et cette limite était encore en vigueur au moment où le présent rapport de vérification a été rédigé (figure 2). Comme c'était le cas avant l'EFT, toutes les cartes ne sont pas utilisées à la même fréquence. Sur les 366 cartes qui étaient activées à l'intérieur de l'EFT, seulement 266, soit 72 %, avaient été utilisées dans le dernier mois (tableau 1).
Tableau 1 : Limites et utilisation des cartes d'achat dans l'EFT
Limite de la carte | Nombre de cartes |
---|---|
2 500 $ à 10 000 $ | 22 |
15 000 $ à 25 000 $ | 313 |
40 000 $ à 60 000 $ | 17 |
75 000 $ à 200 000 $ | 14 |
Total | 366 |
Limite de la carte | Nombre de cartes |
---|---|
Aucune activité depuis l'ouverture | 20 |
150 jours et plus (09/01/14 et au-delà) | 28 |
150 jours (09/01/14) | 3 |
120 jours (10/01/14) | 7 |
90 jours (11/01/14) | 7 |
60 jours (12/01/14) | 8 |
30 jours (01/01/15) | 27 |
Actuelle | 266 |
Total | 366 |
Description détaillée de figure 2.
Exercice 2013 | Exercice 2014 | Exercice 2015 | |
---|---|---|---|
<100 $ | 279 | 282 | 314 |
<500 $ | 2,201 | 2,219 | 2,691 |
<1000 $ | 2,080 | 2,173 | 2,746 |
<5000 $ | 6,005 | 6,168 | 8,896 |
<25000 $ | 1,132 | 641 | 3,454 |
>25000 $ | 142 | - | - |
Total | 11,838 $ | 11,483 $ | 18,101 $ |
Le CNRC bénéficie d'un programme de ristournes de la Banque de Montréal. Il reçoit une ristourne au taux négocié de 1,4 % sur l'ensemble de tous les achats réglés par carte d'achat, sans aucun plafond mensuel ou annuel. La ristourne est versée tous les trimestres selon le volume réel d'achats de l'exercice précédent. À la fin de l'année, un chèque de rajustement ou une facture, selon le cas, est envoyé au CNRC en fonction des dépenses réelles comptabilisées pendant l'exercice. L'utilisation accrue des cartes d'achat dans l'environnement fonctionnel temporaire a entraîné une augmentation de la ristourne de 90 000 $ (figure 3).
Description détaillée de figure 3.
Exercice 2013 | Exercice 2014 | Exercice 2015 | |
---|---|---|---|
Cash-Back Rebate | 168 $ | 163 $ | 253 $ |
Quarantaine temporaire des systèmes financiers
L'intrusion informatique a provoqué la mise hors service temporaire du système de gestion financière du CNRC (SAP) et du Tableau de bord financier, une application développée par le CNRC pour effectuer le rapprochement des opérations réglées par carte d'achat et pouvoir ensuite imputer les dépenses aux projets, commandes internes ou centres de coûts pertinents (pour les cartes du compte consolidé 095 utilisées par les portefeuilles). En octobre 2014, les principaux utilisateurs ont pu recommencer à utiliser le système financier sur un réseau sécurisé et isolé. Ensuite, en décembre 2014, le Tableau de bord financier a été réactivé dans la « zone noire » du CNRC (l'environnement qui avait été temporairement compromis, mais installé sur un réseau isolé du monde extérieur) avec les mêmes fonctions et interfaces qu'avant l'intrusion informatique. Cet environnement fonctionnel temporaire avait pour inconvénient qu'il fallait ensuite transférer les données d'un réseau à l'autre et utiliser une foule de méthodes de rechange.
1.2 À propos de la vérification
Objectif
L'objectif de la vérification était de fournir aux hauts dirigeants du CNRC une assurance indépendante juste à temps que les contrôles en place sont demeurés efficaces à l'intérieur de l'environnement fonctionnel temporaire (EFT) et de permettre au CNRC d'apporter les correctifs nécessaires avant la fin de l'exercice financier.
Portée de la vérification
La portée de la vérification a été définie en appliquant une méthode axée sur les risques. La vérification s'est donc concentrée sur les opérations effectuées du 29 juillet 2014 au 31 janvier 2015 (soit un total de 13 414 opérations d'une valeur globale de 9 040 000 $).
Les zones de risque et de contrôle sur lesquelles se sont penchés les vérificateurs comprenaient le pouvoir d'engager des dépenses, les attestations d'exécution, le codage financier, la conformité aux politiques et directives pertinentes, l'utilisation des cartes d'achat à des fins personnelles et le risque éventuel de perte pour l'État ou de fraude. L'évaluation des risques a exclu les éléments suivants du périmètre de la vérification : l'émission et l'annulation de cartes de crédit, le fractionnement de contrats et l'application de l'Offre à commandes principale et nationale (OCPN), le processus de vérification de sécurité des contrats et les activités de vérification des comptes créditeurs (article 33 de la Loi sur la gestion des finances publiques).
Démarche et méthodologie
La vérification a été menée conformément aux normes de vérification professionnelle généralement reconnues de l'Institut des auditeurs internes (IAI) et aux normes et exigences stipulées dans la Politique sur la vérification interne du Conseil du Trésor. Les critères de vérification (décrits à l'annexe A) sont surtout inspirés de la Directive sur les cartes d'achat du SCT, de la Directive sur les cartes d'achat du CNRC, de la Politique sur l'engagement des dépenses et la comptabilisation des engagements du CNRCet de l'Arbre décisionnel d'engagement des dépenses du CNRC.Les critères de vérification ont fait l'objet de discussions avec la direction du groupe de la vérification avant l'exécution de la mission.
La vérification a appliqué les critères de vérification qui existaient au moment de l'examen. Un échantillon ciblé de 39 opérations a été sélectionné et une analyse plus approfondie de 15 opérations répertoriées dans le cadre d'une activité d'exploration des données a été entreprise afin de sonder le caractère satisfaisant de la gestion du risque de fraude. Les méthodologies de vérification ont été sélectionnées de manière à s'assurer que les causes principales des faits constatés sont définies. Ces méthodologies sont détaillées au tableau 2 ci-dessous.
Tableau 2: Aperçu des méthodologies de vérification
- Examen de la documentation liée aux cartes d'achat comme les documents, les politiques, les lignes directrices et les schémas opérationnels de l'environnement fonctionnel temporaire
- Entretiens avec des employés clés du CNRC et de la BMO
- Examen d'un échantillon d'opérations réglées par carte d'achat et des pièces justificatives à l'appui
- Utilisation du portail Web Détails en ligne de la BMO pour une surveillance en direct des opérations et l'accès aux données à utiliser dans l'analyse.
2.0 Constatations de la vérification
Évaluation
Dans l'ensemble, nous estimons que les processus utilisés à l'intérieur de l'environnement fonctionnel temporaire étaient suffisants pour procéder à un contrôle et à des vérifications préalables satisfaisants en ce qui concerne les approvisionnements réglés par carte d'achat conformément aux normes de l'administration fédérale canadienne. Les processus temporaires sont demeurés dans l'ensemble efficaces dans la gestion du risque que les cartes d'achat soient utilisées à des fins non autorisées, pour effectuer des achats refusés ou à des fins personnelles.
Même si nous avons relevé quelques cas sans importance d'utilisation des cartes d'achat pendant des voyages (un seul employé) et de partage problématique du processus d'autorisation des opérations réglées par carte de crédit (un seul employé), ces cas n'ont pas eu de véritable incidence sur les conclusions générales de la vérification.
Nous appuyons nos conclusions sur les taux de conformité suivants :
- Article 32 de la LGFP, engagement des dépenses – 100 %;
- Article 34 de la LGFP, approbation et attestation de l'exécution – 100 %;
- Codage financier approprié – 87 %;
- Conformité aux dépenses autorisées en vertu de la directive du SCT et de la politique du CNRC – 95 %;
- Conservation et disponibilité sur demande de tous les documents appropriés
Les efforts en cours pour mettre en œuvre un réseau sécurisé doté de capacités de cyberformation et de nouveaux outils de gestion des délégations de pouvoirs devraient accroître la croissance potentielle du programme de cartes d'achat au CNRC.
Engagement des dépenses (LGFP, article 32)
Les procédures du CNRC applicables aux opérations réglées par carte d'achat ont pour objet de garantir le respect des dispositions de l'article 32 de la Loi sur la gestion des finances publiques. Des modifications sont incluses afin de tenir compte du processus utilisé (cartes du compte consolidé 095 utilisées par les portefeuilles et cartes du compte consolidé 041 utilisées par les agents des approvisionnements des SAGI), du fait que les dépenses ont été engagées ou non par des titulaires de carte disposant d'une délégation du pouvoir de signer des documents financiers ainsi que des dispositions relatives aux opérations de faible valeur (c.-à-d. de moins de 5 000 $).
Les vérificateurs ont constaté un taux de conformité de 100 % en ce qui concerne le processus d'autorisation d'engager des dépenses en vertu de l'article 32 de la LGFP. Vingt-neuf des 39 opérations avaient été préapprouvées par écrit conformément au processus documenté du CNRC. Pour 21 des 39 opérations, le processus du CNRC permettait de se fier à l'attestation d'exécution après l'opération et n'exigeait pas nécessairement qu'une préautorisation complète soit effectuée (article 32). Nous avons observé que les titulaires de carte ne savent pas toujours clairement quelle procédure de préautorisation il faut appliquer et quels documents ils doivent préparer, ce qui se traduit par un surcroît de prudence de leur part.
Attestation d'exécution
Conformément au paragraphe 6.2 de la Directive sur la vérification des comptes du SCT, il incombe aux personnes qui ont reçu le pouvoir délégué de confirmer et de certifier les paiements et règlements interministériels de confirmer que les marchandises ont bien été fournies ou que les services ont bien été rendus. Nous avons constaté un taux de conformité très élevé de 100 % des attestations d'exécution postérieures à l'opération.
Utilisation inappropriée
Deux cas mineurs d'utilisation inappropriée ont été relevés à propos d'achats légitimes qui n'ont entraîné aucune perte pour l'État. Dans un cas, le titulaire de la carte a utilisé celle-ci pendant un voyage officiel effectué pour le CNRC plutôt que d'utiliser une carte de voyage et subséquemment, il a déduit de manière appropriée la dépense ainsi réglée de sa note de frais. Dans un autre cas, un employé qui n'était pas le titulaire de la carte de crédit a authentifié les dépenses auprès du fournisseur lorsqu'il a reçu les marchandises achetées. Ces deux cas ont été soumis aux procédures administratives de la Direction des finances du CNRC.
Activités frauduleuses externes
La BMO utilise des outils de surveillance spécialisés pour détecter toute possibilité que des cartes d'achat du CNRC soient compromises. Trois des opérations détectées par ce processus de vérification, lequel consiste à procéder à de l'exploration de données et à une analyse des tendances, découlaient de problèmes de fraude de provenance externe au CNRC et ont toutes été contre-passées par la BMO (100 %). Nous avons également relevé un cas où un titulaire de carte a informé la BMO que sa carte avait été compromise comme l'exige la clause 6.4.12 de la Directive sur les cartes d'achat du SCT.
Codage des dépenses
Nous avons établi que le codage des dépenses est satisfaisant, puisque la majorité des opérations réglées par carte d'achat ont été imputées aux bons comptes. Il serait cependant possible d'améliorer la fonctionnalité du Tableau de bord financier en augmentant la précision du codage. Dans quelques cas, des titulaires avaient codé leurs opérations en lot en appliquant automatiquement les codes de la dernière opération traitée. La possibilité d'amélioration porte notamment sur le codage des achats de fournitures de bureau, de fournitures de laboratoire, d'équipement et de produits informatiques. Les résultats de la vérification ont mené à la conclusion qu'il serait possible d'améliorer le codage financier puisque 13 % (5 sur 39) des opérations légitimes effectuées auraient pu être codées de manière plus précise afin de mieux refléter leur véritable substance économique.
Annexe A : Critères de vérification
Critères de vérification
- Les opérations sont préapprouvées par le titulaire du budget pertinent conformément à la délégation du pouvoir de signer des documents financiers qui lui a été attribuée en vertu des politiques du CNRC en matière d'achats.
- Les dépenses font l'objet d'une attestation d'exécution par une personne possédant la délégation du pouvoir de signer des documents financiers appropriée qui est autre que le titulaire de la carte.
- Les documents appropriés sont conservés et disponibles sur demande.
- Les opérations réglées par carte d'achat sont codées de manière appropriée dans les systèmes financiers.
- Les dépenses sont autorisées en vertu de la Directive sur les cartes d'achat du SCT ainsi qu'en vertu de la Politique sur les cartes d'achat du CNRC :
- Aucune dépense liée aux parcs de véhicules
- Aucune dépense liée à des déplacements (les frais d'inscription à une conférence peuvent être réglés par carte d'achat, mais jamais dans le cadre d'un voyage)
- Aucun achat entre ministères de l'administration fédérale
- Aucun service de personnel temporaire
- Aucun signe que la carte a été utilisée par quiconque autre que son titulaire
- L'opération ne vise pas un bénéfice personnel.
- L'opération n'est pas un retrait d'espèces ou de quasi-espèces.
- Aucune dépense d'accueil