Direction de la vérification interne et de l’évaluation des programmes
Audit des recettes perçues par l’ASFC
Mars 2019
Table des matières
- 1.0 Introduction
- 2.0 Importance de l'audit
- 3.0 Énoncé de conformité
- 4.0 Opinion de l'équipe du vérificateur
- 5.0 Principales constatations
- 6.0 Sommaire des recommandations
- 7.0 Réponse de la direction
- 8.0 Constatations découlant de l'audit
- Annexe A — Échantillon de l’audit (sites traitant des recettes)
- Annexe B — À propos de l'audit
- Annexe C — Liste des acronymes
1.0 Introduction
1. L’Agence des services frontaliers du Canada (ASFC ou l’Agence) assure la sécurité et la prospérité du Canada en facilitant et en supervisant les déplacements internationaux et les échanges commerciaux à la frontière du Canada. Les responsabilités de l’Agence en matière de législation, de réglementation et de partenariats comprennent la perception des droits et des taxes exigibles sur les marchandises importées. En plus des droits et des taxes, l’Agence perçoit d’autres frais et pénalités ainsi que des recettes au nom d’autres ministères.
2. Des recettes sont perçues dans la filière des voyageurs ainsi que dans le secteur commercial. Bien que le paiement des droits de douane soit fait au moment de l’importation au Canada, l’ASFC a établi des programmes pour les importateurs commerciaux pré-approuvés à faible risque, ce qui simplifie un bon nombre des exigences d’importation à la frontière. Ainsi, des expéditions à faible risque peuvent être traitées plus rapidement et plus efficacement. Les importateurs admissibles et les courtiers en douanes peuvent faire des paiements mensuels portés au compte au lieu de payer au moment de la mainlevée des marchandises. En 2017, l’ASFC a centralisé la collecte des comptes débiteurs du secteur commercial à l’Administration centrale (AC), au Centre national de traitement des paiements. Ceux qui effectuent des paiements mensuels portés au compte doivent envoyer un chèque au Centre national de traitement des paiements ou payer par voie électronique (services bancaires en ligne) ou par l’échange de données informatisées (EDI). Les recettes provenant du secteur commercial se sont élevées à environ 32 milliards de dollars en 2017-2018 (figure 1).
3. Les recettes de la filière des voyageurs se sont élevées à environ 88 millions de dollars en 2017 2018 (figure 1), ce qui représente moins de 1 % des recettes totales de l’Agence. Toutefois, l’ASFC traite plus de 90 millions voyageurs par année, dont bon nombre présentent une déclaration eux-mêmes ou doivent faire l’objet d’une évaluation des risques pour déterminer si un paiement sur les marchandises importées est requis.
Figure 1
| Recettes de l’ASFC (en millions) | |||
|---|---|---|---|
| Secteur commercial | Voyageurs | Total | |
| 2013-2014 | 26 790 $ | 136 $ | 26 926 $ |
| 2014-2015 | 28 960 $ | 115 $ | 29 075 $ |
| 2015-2016 | 30 525 $ | 82 $ | 30 607 $ |
| 2016-2017 | 30 760 $ | 81 $ | 30 841 $ |
| 2017-2018 | 31 979 $ | 88 $ | 32 067 $ |
Remarque : L’information a été tirée du système de rapports financiers de l’ASFC et n’a pas été visée par un audit par la Division de la vérification interne de l’ASFC. Les chiffres ne comprennent pas les sommes perçues par l’ASFC au nom d’autres ministères ou entités.
4. Lorsqu’un paiement est perçu, la saisie initiale des recettes est faite soit dans le Grand livre des comptes clients (GLCC) soit dans le Système de traitement des déclarations des voyageurs (STDV). Le GLCC est le système d’enregistrement des déclarations et des paiements pour le secteur commercial de l’ASFC. Il a été développé à titre de première phase du projet de Gestion des cotisations et des recettes de l’ASFC (GCRA). Il y a 21 points d’entrée désignés comme sites de traitement des paiements du GLCC en plus du Centre national de traitement des paiements à l’AC, qui peuvent traiter les paiements par l’entremise du GLCC. Le STDV est installé dans environ 230 points d’entrée à l’échelle du pays et sert à traiter les transactions de voyageurs ainsi que les paiements aux points d’entrée non désignés comme sites de traitement de paiements du GLCC. Si les recettes du secteur commercial sont consignées dans le STDV, la transaction est plus tard rapprochée et transmise à l’aide du GLCC. Le STDV a été développé dans les années 1990 et a été conçu pour automatiser bon nombre des tâches comprises dans le traitement des marchandises occasionnelles des voyageurs, principalement la perception de recettes. Environ 98 % des recettes de la filière des voyageurs sont perçues par l’entremise du STDV. En 2016-2017, le STDV a traité plus de 900 000 transactions et a été utilisé pour percevoir plus de 100 M$ en droits et en taxes (secteur commercial et filière des voyageurs)Note de bas de page 1.
5. Il y a eu de nombreux changements en ce qui a trait à la perception des recettes au cours de la dernière décennie. Les transactions en personne sont passées de paiements en argent comptant à principalement des paiements par carte de crédit ou de débit, et les acomptes sont versés soit par chèque soit par dépôt électronique. Une réduction de la perception en espèces diminue le risque de perte ou de vol d’argent, tandis que la perception et la conservation d’argent comptant représentent le plus grand risque de détournement.
6. En plus des changements dans le mode de paiement, plusieurs autres facteurs ont eu une incidence sur les tendances relatives aux recettes au cours des dernières années, y compris l’augmentation des limites d’exemption personnelle en 2012, le repli du dollar canadien, des changements aux accords de libre-échange et une augmentation du volume d’achats en ligne par rapport aux achats en personne.
7. Dans le cadre de l’audit, l’équipe a visité 15 points d’entrée ainsi que le Centre national de traitement des paiements à l’AC. Les visites ont permis à l’équipe de l’audit de rencontrer les employés participant au processus de perception des recettes, de voir les installations où les recettes sont perçues et entreposées et d’observer la perception de recettes. Les sites sélectionnés, ainsi que les facteurs pris en compte dans la sélection, sont indiqués à l’annexe A.
2.0 Importance de l’audit
8. Le présent audit revêt un intérêt pour la direction en raison du rôle de l’Agence dans la perception, l’entreposage et le dépôt des recettes au nom du receveur général du Canada et en raison des risques inhérents liés à la manipulation d’argent. Il est essentiel que des contrôles internes soient mis en place et fonctionnent comme prévu, de façon à protéger et à comptabiliser efficacement les recettes perçues par l’ASFC. Des directives, processus et systèmes adéquats sont exigés pour soutenir les activités de perception de recettes de l’Agence afin d’atténuer le risque de fonds perdus ou détournés.
9. L’objectif de l’audit était d’évaluer le cadre de contrôle de gestion et les systèmes en place pour la perception de recettes afin de vérifier que les pratiques de perception de recettes sont robustes.
10. L’audit a porté sur le processus de perception dans le secteur commercial et la filière des voyageurs, depuis la réception du paiement aux points d’entrée ou à l’AC jusqu’à ce que l’argent soit consigné et déposé à la banque. Les recettes incluses dans la portée étaient notamment les paiements en argent comptant, par chèque et par carte de débit ou de crédit pour des paiements directs ou pour des acomptes. Les services bancaires électroniques et les dépôts directs ont été exclus de la portée, étant donné que les employés de l’ASFC ne participent pas au traitement de ces types de paiements. L’audit a également exclu la gestion de projet et la mise en œuvre du GLCC et du projet de GCRA, ainsi que la déclaration des recettes dans les systèmes financiers de l’Agence, car cette étape du processus est visée dans l’audit annuel des comptes publics mené par le Bureau du vérificateur général du Canada. Les remboursements, les rajustements et l’argent saisis dans le cadre de mesures d’exécution de la loi n’ont pas été compris dans la portée.
11. Des renseignements détaillés sur la portée de l’audit et les critères se trouvent à l’annexe B..
3.0 Énoncé de conformité
12. Cet audit a été réalisé conformément à la Politique et directive sur la vérification interne du Conseil du Trésor et au Cadre de référence international des pratiques professionnelles de l’Institut des vérificateurs internes. Diverses procédures ont permis de recueillir suffisamment d’éléments probants appropriés de façon à fournir une assurance à un niveau d’audit. La fonction d’audit interne de l’Agence est indépendante, et les vérificateurs internes ont rempli leurs fonctions avec objectivité, tel qu’il est défini dans les Normes internationales pour la pratique professionnelle de la vérification interne de l’Institut des vérificateurs internes.
4.0 Opinion du vérificateur
13. L’Agence a établi des contrôles clés pour percevoir, entreposer et déposer de l’argent. Des processus en matière de recettes sont établis et comprennent des contrôles d’accès appropriés visant à protéger l’argent perçu. L’audit a permis de conclure que la somme de toutes les recettes concordait avec les documents à l’appui et les dépôts bancaires. Il est possible de définir et de documenter les contrôles clés, de simplifier les processus et de mieux gérer l’accès aux systèmes soutenant la perception des recettes de l’Agence. Les améliorations dans ces secteurs feront en sorte que les recettes perçues par l’ASFC continuent d’être traitées et protégées de manière appropriée. L’Agence peut également s’appuyer davantage sur les initiatives de transformation en cours afin de moderniser la façon dont l’ASFC perçoit des recettes.
5.0 Principales constatations
14. Des processus de perception de recettes étaient mis en place, mais variaient d’un site à l’autre afin de tenir compte des particularités des réalités opérationnelles. Malgré les différences, des contrôles clés assurant la perception, l’entreposage et le dépôt efficaces des recettes étaient en place dans tous les sites visités dans le cadre de l’audit.
15. Les politiques, les procédures et les lignes directrices en matière de perception de recettes sont énoncées dans le Manuel du contrôle, Volume des finances de l’ASFC. Toutefois, ce document est désuet, et on le consulte rarement. Les personnes participant à la perception des recettes tirent leur orientation de la formation en cours d’emploi et de procédures normales d’exploitation (PNE) élaborées à l’échelle locale. Les politiques et les directives centralisées pourraient être mises à jour de façon à mieux refléter l’environnement opérationnel actuel et à transmettre les exigences liées aux contrôles clés et aux documents normalisés.
16. L’Agence se sert de deux systèmes de TI pour percevoir les recettes : le STDV et le GLCC. Il est nécessaire d’améliorer la gestion de l’accès des utilisateurs pour veiller à ce que l’accès corresponde aux responsabilités des utilisateurs et pour assurer une séparation adéquate des tâches. De plus, le STDV est un système de TI patrimonial qui exige un transfert manuel des données sur les recettes dans le Grand livre des recettes de l’ASFC et qui n’est plus pris en charge par le fournisseur du logiciel. Jusqu’à ce qu’un système de remplacement ou une solution de rechange soit en place, l’Agence pourrait être exposée à des besoins de maintenance et à des coûts accrus découlant de pannes et de l’obsolescence du système.
17. La collecte et la conservation de données pourraient être améliorées. Le manque d’intégration entre les systèmes ainsi que les problèmes de fonctionnalité de rapports dans le STDV et le GLCC ont rendu difficile l’obtention de données qui aideraient les intervenants à prendre des décisions stratégiques.
18. L’ASFC a récemment pris des mesures pour moderniser la perception des recettes du secteur commercial par l’exigence de paiements électroniques et par le développement et la mise en œuvre de nouveaux systèmes de TI, soit le GLCC et le projet de GCRA. Un plan stratégique pour la fonction future de perception de recettes non traitées par le projet de GCRA est nécessaire.
6.0 Sommaire des recommandations
19. Trois recommandations découlent de l’audit; elles portent sur les éléments suivants :
- Mettre à jour les politiques et les directives, y compris la définition de contrôles clés et d’exigences en matière de documents, et élaborer une approche en matière de surveillance qui est fondée sur le risque;
- Réaliser des examens périodiques de l’accès des utilisateurs aux systèmes de perception de recettes (STDV et GLCC) pour assurer un accès approprié et une séparation adéquate des tâches;
- Déterminer les risques et élaborer un plan pour l’avenir de la perception des recettes dans la filière des voyageurs ainsi que la mise hors service du STDV.
7.0 Réponse de la direction
Les vice-présidents des directions générales des Voyageurs, du Secteur commercial et des Échanges commerciaux, des Finances et de la Gestion organisationnelle, et de l’Information, des Sciences et de la Technologie se sont engagés à veiller à ce que des processus et des contrôles soient en place pour protéger les recettes perçues par l’ASFC. Par conséquent, nous acceptons les trois recommandations. Les processus et les contrôles feront l’objet d’un examen et d’une mise à jour pour faire en sorte que la sécurité matérielle et les contrôles de l’accès électronique sont convenables et suffisants pour gérer les risques connexes. Un plan pour l’avenir de la perception des recettes dans la filière des voyageurs, y compris le remplacement éventuel du Système de traitement des déclarations des voyageurs (STDV), sera élaboré. De plus, plusieurs initiatives qui commenceront à donner suite aux recommandations issues de l’audit sont déjà en cours.
8.0 Constatations découlant de l’audit
8.1 Processus de perception des recettes et contrôles internes
Critères de l’audit
- Les politiques, les procédures et les directives relatives à la perception des recettes sont adéquates, mises en place et diffusées à des fins d’application uniforme.
- La documentation relative aux recettes est complète et peut être rapprochée des systèmes d’enregistrements.
- Des processus, des contrôles internes et des mesures de surveillance sont en place et fonctionnent comme prévu pour veiller à ce que les recettes soient perçues et protégées (accès, entreposage et dépôt rapide) afin d’atténuer les risques d’erreur et de fraude.
- Les systèmes de TI soutiennent le processus de perception de recettes, et des contrôles sont en place et fonctionnent adéquatement pour gérer l’accès des utilisateurs.
Politiques, procédures et directives
20. Des politiques, des procédures et des directives devraient être cernées et fournies au personnel participant au processus de perception des recettes afin que ces derniers puissent réaliser leurs fonctions de façon efficace. Une orientation inadéquate peut mener à un manque d’uniformité dans l’application ou à une connaissance limitée des processus et des contrôles.
21. Le Manuel du contrôle, Volume des finances, est la ressource centrale pour les politiques, les procédures et les directives sur la perception de recettes à l’ASFC. Les diverses sections dans le Volume des finances qui portent sur la perception des recettes ont été mises à jour récemment (entre 2006 et 2016). Le volume complet a été archivé officiellement sur l’intranet de l’Agence le 24 mai 2017 pour fins de référence, de recherche ou de tenue de documents. Toutefois, l’information dans le Volume des finances n’a pas été mise à jour en fonction des changements à l’environnement actuel, par exemple le besoin d’arrondir les cents ou la mise en œuvre du GLCC. De plus, certaines sections du Volume des finances fournissent de l’information en double, par exemple, des façons multiples d’envisager la réalisation des paquets de recettes quotidiennes et du Rapport des recettes des douanes journalier (K10), ainsi que la façon de traiter des montants excédents/manquants et les dépôts. Malgré le fait que l’information dans le Volume des finances n’est pas à jour, il y a peu d’incidence sur l’exécution du processus de perception des recettes.
22. Les employés de l’ASFC participant au processus touchant les recettes (commis, agent des services frontaliers ou superviseur/surintendant) ont mentionné qu’ils étaient en mesure de réaliser leurs tâches. La majorité de ces employés ont indiqué avoir acquis des connaissances sur les processus et les responsabilités en matière de perception de recettes en cours d’emploi. Dans la plupart des cas, ils ne connaissaient pas les directives normalisées comme le Volume des finances, ou n’y ont tout simplement pas fait référence. La grande partie des connaissances liées au processus ont été acquises avec le temps et l’expérience et un soutien en cours d’emploi. En plus de la formation en cours d’emploi, les sites ont élaboré leurs propres PNE pour des étapes précises du processus lié aux recettes.
23. Des directives normalisées, comme le Volume des finances, contribueraient à réduire l’application irrégulière des processus et à renforcer l’exécution de concepts clés.
Processus de perception des recettes
24. Afin d’atténuer les risques d’erreurs et de fraude, il faut mettre en place et rendre fonctionnel suffisamment de processus, de contrôles internes et de mesures de surveillance pour veiller à ce que les recettes soient perçues et protégées. Les contrôles clés évalués comprenaient la sécurité matérielle appropriée des recettes (y compris un accès restreint et un entreposage approprié), l’approbation adéquate, l’examen et la surveillance des activités de perception de recettes, le rapprochement des montants et la séparation adéquate des tâches à diverses étapes du processus.
25. Dans les régions, les processus sont adaptés et modifiés de façon à répondre aux réalités opérationnelles des divers endroits. Par exemple, le processus aux points d’entrée de grande taille était généralement plus officiel que celui aux points d’entrée de petite taille et saisonniers. Il a été déterminé que ces variations dans les processus étaient raisonnables, à condition que des contrôles clés soient en place. Nous avons observé des modifications à des contrôles clés servant à répondre à des besoins opérationnels distincts. Comme les points d’entrée de petite taille avaient des ressources limitées (y compris effectif réduit et infrastructure restreinte), les contrôles étaient adaptés pour répondre aux besoins particuliers du site.
26. Les contrôles clés devraient être normalisés dans les politiques et les procédures et communiqués au personnel. Dans le cas contraire, des contrôles pourraient être oubliés ou omis lorsque les processus sont modifiés et adaptés. Les politiques et les directives jettent les bases de la définition des contrôles clés qui sont requis ainsi que du processus visant à approuver les contrôles compensatoires. Dans les cas où des contrôles doivent être adaptés ou des contrôles compensatoires doivent être établis, la justification devrait être documentée et approuvée à un niveau approprié.
Accès physique
27. L’accès matériel représente une mesure de contrôle importante dans le processus de perception des recettes, car un accès excessif à des zones sécurisées augmente le risque de détournement d’actifs. Dans tous les sites visités pendant l’audit, les zones où l’argent comptant était manipulé et entreposé n’étaient pas accessibles au public. Dans la plupart des sites, même si l’accès ne se limitait pas strictement aux employés assumant des fonctions de perception de recettes, ce n’était pas tous les employés de l’ASFC qui avaient accès aux coffres-forts ou aux tiroirs-caisses. De plus, la plupart des sites étaient munis de caméras de sécurité qui étaient situées près des endroits où l’argent était manipulé.
28. La gestion de l’accès par voies électroniques (p. ex. carte magnétique ou porte-clés) fournit un contrôle accru sur l’accès, notamment la facilité de modifier l’accès (ajouter ou retirer l’accès d’un employé) et la surveillance (assurer un suivi de l’utilisation des employés à chaque point d’entrée). Toutefois, la plupart des sites maintiennent l’accès par l’entremise de méthodes traditionnelles, comme les clés ou les claviers numériques. Les variations dans l’aménagement physique et la conception de chaque point d’entrée avaient une incidence sur l’uniformité des contrôles matériels clés. De plus, pour la majorité des sites, l’équipe de l’audit avait de la difficulté à obtenir les listes de contrôle d’accès des employés en raison du fait que ces listes n’étaient pas tenues à jour ou n’étaient pas facilement accessibles. La direction à chaque site pourrait être plus proactive dans la restriction de l’accès et la tenue à jour des listes de contrôle d’accès.
Examen, surveillance et approbation
29. La surveillance du processus de perception des recettes est une mesure de contrôle essentielle qui aide à déceler les erreurs et à réduire le nombre d’erreurs dans le processus de perception des recettes. Des mesures de surveillance locales sont menées dans le cadre de l’examen des enveloppes quotidiennes. Avant 2015-2016, la Division de la comptabilisation des recettes et des rapports (DCRR) à l’AC réalisait une surveillance centralisée du processus de perception des recettes appelée examens de la gestion des recettes. La décision d’y mettre fin a été influencée par plusieurs facteurs, y compris les taux historiques élevés d’observation, la mise en œuvre du GLCC et la centralisation des paiements dans le secteur commercial à l’AC. La création d’un centre de traitement centralisé à l’AC ainsi que l’acceptation de paiements électroniques ont contribué à une importante réduction du volume et de la valeur des paiements traités par les points d’entrée. À mesure que les paiements centralisés et les paiements électroniques à l’AC continuent de croître au chapitre du volume et de la valeur en dollar, la DCRR cible ses efforts sur la surveillance du Centre national de traitement des paiements à l’AC. Par conséquent, le processus de perception des recettes fait l’objet d’une surveillance limitée dans les régions.
Documentation sur les recettes
30. Dans le but de vérifier, de rapprocher et de consigner le montant des recettes perçues, des enveloppes de recettes quotidiennes sont préparées et conservées dans tous les sites. La documentation sur les recettes doit être complète et doit pouvoir être rapprochée des systèmes d’enregistrement. Un échantillon de 20 enveloppes de recettes quotidiennes a été vérifié à chacun des 16 sites visitésNote de bas de page 2. La vérification des enveloppes de recettes comprenait l’examen des rapports de fin de quarts et de fin de journée pour le STDV et le GLCC, les signatures attestant l’examen, et des données probantes montrant que les auteurs et les examinateurs sont des personnes distinctes (séparation des tâches). Un rapprochement des sommes perçues, des sommes envoyées à la banque à des fins de dépôt et des sommes consignées dans le système de recettes a été réalisé.
31. La vérification des enveloppes de recettes a permis de déterminer que des contrôles clés étaient en place, que les enveloppes comprenaient tous les documents attendus et que les montants de recettes étaient rapprochés. Même si les enveloppes étaient complètes et pouvaient être rapprochées, il est tout de même possible de simplifier le processus. En l’absence d’un processus clair, des tâches inutiles ou inefficaces sont réalisées à certains sites.
32. Certaines des faiblesses observées comprenaient l’importance et l’emplacement des signatures (quand et où elles sont requises), la fréquence et les sources pour la préparation du rapport K10 (préparation quotidienne ou hebdomadaire; K10 combinés ou préparés pour chaque type de paiement individuel) et l’utilisation du formulaire F88 pour les excédents/manquants (arrondissement des cents, gains ou pertes relatifs au taux de change, écarts négligeables). De plus, la tenue de dossiers en fin de quart différait d’un site à l’autre en ce qui a trait à la consignation des responsabilités. Un processus normalisé veillerait à ce que tous les sites continuent de répondre aux besoins et à ce que le fardeau administratif soit réduit pour les personnes qui réalisent actuellement des étapes supplémentaires inutiles dans le processus.
33. De façon générale, des contrôles sont en place pour veiller à la perception, à la protection et au dépôt des recettes de manière appropriée. Toutefois, une attention particulière pourrait être accordée à la détermination et à la communication de contrôles clés, y compris les contrôles de l’accès matériel et les mesures de surveillance.
Recommandation 1 :
Le vice-président de la Direction générale des finances et de la gestion organisationnelle (DGFGO) doit mettre à jour et communiquer les politiques et les directives portant sur la perception des recettes, y compris la définition des contrôles clés dans le processus, les documents exigés pour les enveloppes de recettes quotidiennes, et une approche fondée sur le risque pour la surveillance des points d’entrée où des recettes sont perçues.
| Réponse de la direction | Date d'achèvement |
|---|---|
| Le vice-président de la Direction générale des finances et de la gestion organisationnelle (DGFGO) accepte la recommandation. La DGFGO a élaboré un plan triennal pour l’examen et la mise à jour des instruments de politique financière de l’ASFC actuels concernant les recettes. Des directives concernant la comptabilisation des recettes, et celles concernant la réception, la protection et le dépôt de fonds publics, qui comprendront des contrôles et des exigences clés pour les enveloppes de recettes quotidiennes, devraient être mises en œuvre en 2019-2020. Les directives sur la surveillance des recettes seront mises en œuvre en 2020-2021. | Mars 2021 |
Systèmes de consignation des recettes (STDV et GLCC)
34. Le STDV et le GLCC sont les deux applications de l’ASFC utilisées pour consigner les recettes perçues. Pour permettre à ces systèmes d’appuyer efficacement la perception des recettes, des processus et des contrôles en lien avec les systèmes doivent être mis en place pour veiller à ce que la gestion appropriée de l’accès des utilisateurs et la séparation adéquate des tâches soient établies et imposées. Les contrôles de systèmes et l’accès des utilisateurs ont été évalués pour le GLCC et le STDV dans le cadre de l’audit.
GLCC
35. Le GLCC est le système d’enregistrement officiel des déclarations et des paiements dans le secteur commercial à l’ASFC. Le GLCC est utilisé pour traiter les paiements dans le secteur commercial au Centre national de traitement de paiements ainsi qu’à 21 points d’entrée régionaux à travers le Canada. L’information saisie dans le GLCC est transmise à d’autres systèmes de l’ASFC, y compris le Grand livre des recettes (GLR).
36. Il existe trois rôles clés dans le GLCC en ce qui a trait à la perception des recettes : caissier, commis aux dépôts et superviseur. En tout, il y a 527 utilisateurs uniques à l’ASFC qui assument au moins l’un de ces rôles. Parmi tous les utilisateurs du GLCC dans les trois rôles clés, cinq utilisateurs avaient des ID d’utilisateur en double. Trois utilisateurs avaient des rôles qui ne correspondaient pas à leurs tâches et qui leur permettaient de réaliser des fonctions de caissier ou de commis aux dépôts, comme enregistrer un paiement, ainsi que des fonctions de superviseur, comme annuler un paiement. De plus, 106 ID d’utilisateur n’étaient pas liés à des employés actifs.
37. L’équipe de l’audit a sélectionné un échantillon discrétionnaire de 90 utilisateurs du GLCC pour déterminer si leur accès correspondait avec leurs tâches. Un accès excessif a été décelé pour 15 des 90 utilisateurs (p. ex. employés actuels à des sites n’ayant pas accès au GLCC, niveau de l’accès excessif par rapport au rôle actuel, n’avait jamais utilisé le GLCC).
38. De façon générale, les rôles de caissier, de commis aux dépôts et de superviseur dans le GLCC étaient assumés par des employés qui n’auraient pas dû avoir cet accès au moment de la vérification, ce qui laisse sous-entendre que l’accès avait été accordé ou maintenu de façon inappropriée.
STDV
39. Le STDV est le système utilisé pour traiter les marchandises des voyageurs, y compris l’évaluation des sommes dues, la perception des paiements et l’émission de reçus. Les recettes du secteur commercial sont également perçues par l’entremise du STDV lorsqu’un client du secteur commercial n’a pas de compte établi et lorsque le point d’entrée n’est pas désigné comme site ayant accès au GLCC. Le STDV est installé à l’échelle locale à chaque site et n’est pas intégré avec d’autres systèmes de recettes.
40. Des vérifications de l’accès des utilisateurs du STDV et de la séparation des tâches ont été réalisées pour les utilisateurs aux sites visités dans le cadre de l’audit. En tout, il y avait 2 763 utilisateurs du STDV aux 15 sites visités (le Centre de traitement centralisé à l’AC est un site ayant accès au GLCC uniquement). L’accès des utilisateurs au STDV est géré de façon individuelle à chaque site, étant donné qu’il s’agit d’un système local.
41. Un échantillon discrétionnaire des utilisateurs à chaque point d’entrée visité a été sélectionné pour évaluer l’accès des utilisateurs et la séparation des tâches. Il convient de noter que l’un des points d’entrée visités comptait trois utilisateurs ayant un accès administratif excessif leur permettant de modifier les permissions accordées aux utilisateurs dans le STDV. De plus, dans les points d’entrée, il y avait 219 utilisateurs qui avaient un accès administratif excessif leur permettant d’éliminer des données, ce qui pourrait mener à une perte de données avant qu’elles ne soient enregistrées ou sauvegardées.
42. Dans l’ensemble des points d’entrée visités, environ 632 utilisateurs disposaient d’un accès qui ne correspondait pas à leurs tâches (fonctions de caissier et d’annulation). Ces chiffres ne comprennent pas les permissions accordées pour des motifs raisonnables aux points d’entrée de petite taille afin de faire face aux réalités opérationnelles (p. ex. la nécessité qu’un superviseur détienne des fonctions de caissier et d’annulation).
43. Dans le but d’établir si l’accès de l’utilisateur était raisonnable, des vérifications ont été réalisées pour déterminer si l’accès de l’utilisateur correspondait à son rôle actuel et si l’utilisateur était encore un employé actif au point d’entrée.
44. Des problèmes liés à l’accès ont été cernés à neuf points d’entrée. Il a été déterminé qu’un total de 48 utilisateurs disposaient d’un accès excessif ou n’étaient plus employés au site en question. Comme la vérification n’était pas fondée sur l’ensemble des employés visés, il est très probable que d’autres utilisateurs à l’échelle du pays disposent d’un accès excessif au STDV.
45. Des examens périodiques, des contrôles accrus en ce qui a trait à la gestion de l’accès des utilisateurs et la séparation améliorée des tâches pour le GLCC et le STDV permettraient de régler certains des problèmes décelés pendant les vérifications. Bien que les gestionnaires soient tenus de gérer l’accès des utilisateurs au GLCC pour leurs employés et d’en faire l’examen par l’entremise de l’application web d’Examen de l’accès et certification (EAC), lancée en 2018, il reste un grand nombre d’utilisateurs qui détiennent un accès non approprié. L’ECA ne comprend pas l’accès des utilisateurs au STDV, qui doit être géré à l’échelle locale. Le défaut d’éviter un accès qui ne correspond pas aux tâches dans les systèmes de perception des recettes peut faciliter le détournement d’actifs. Le manque de contrôles adéquats relativement à la gestion de l’accès des utilisateurs augmente le risque d’utilisation non appropriée des systèmes de l’Agence, y compris la modification intentionnelle ou accidentelle de données.
Recommandation 2 :
Le vice-président de la Direction générale des voyageurs, le vice-président de la Direction générale du secteur commercial et des échanges commerciaux et le vice-président de la Direction générale des finances et de la gestion organisationnelle, en collaboration avec le vice-président de la Direction générale de l’information, des sciences et de la technologie (DGIST), doivent effectuer des examens périodiques de l’accès des utilisateurs au STDV et au GLCC pour s’assurer que cet accès est approprié et correspond aux besoins des utilisateurs et qu’il y a une séparation adéquate des tâches.
| Réponse de la direction | Date d'achèvement |
|---|---|
| Les vice-présidents de la Direction générale des voyageurs et de la Direction générale des finances et de la gestion organisationnelle (DGFGO), en collaboration avec le vice-président de la Direction générale de l’information, des sciences et de la technologie (DGIST) et le vice président de la Direction générale du secteur commercial et des échanges commerciaux, acceptent la recommandation de procéder à des examens périodiques de l’accès des utilisateurs au Système de traitement des déclarations des voyageurs (STVD) et au Grand livre des comptes clients (GLCC) pour s’assurer que l’accès est approprié, correspond aux besoins des utilisateurs et qu’il y a une séparation adéquate des tâches. La Direction générale des voyageurs et la Direction générale des finances et de la gestion organisationnelle élaboreront et mettront en œuvre des procédures nationales pour faciliter les mises à jour continues de l’accès des utilisateurs au STDV et au GLCC. | Octobre 2019 |
8.2 Information aux fins du processus décisionnel
Critère de l’audit
- L’information pertinente est recueillie, diffusée et déclarée (rapports) rapidement aux intervenants à des fins de prise de décisions.
46. Une quantité suffisante de données fiables sur les recettes peut appuyer les activités stratégiques de planification et de surveillance, comme l’allocation des ressources. L’audit a permis de déterminer si de l’information pertinente sur la perception des recettes est recueillie, diffusée et déclarée (rapports) rapidement aux intervenants.
47. En tentant d’obtenir des données tout au long de l’audit, l’équipe a constaté que le manque d’intégration entre les systèmes ainsi que les limites quant à la production de rapports dans le STDV et le GLCC ont rendu difficile l’obtention de certaines données, par exemple les chiffres concrets démontrant les sommes perçues aux points d’entrée par rapport à l’AC, le volume de transactions de recettes et un résumé global des paiements selon le type (p. ex. comptant, chèque, point de vente, électronique) des deux systèmes. Ces données auraient fourni à l’équipe de l’audit davantage de contexte et auraient contribué à cerner des secteurs de risque.
48. Jusqu’à présent, les intervenants n’ont pas eu besoin de ce type de données. Ceux ayant besoin d’information liée aux recettes estimaient avoir obtenu toute l’information dont ils avaient besoin. Néanmoins, le manque de données pertinentes et suffisamment détaillées peut empêcher les intervenants de prendre des décisions éclairées en ce qui a trait à la surveillance et à la planification stratégiques.
8.3 Vision d’avenir pour la perception de recettes
Critère de l’audit
- L’ASFC se dirige vers la modernisation de la perception des recettes par l’entremise de ses initiatives de transformation.
49. L’ASFC connaît une période de transformation; des initiatives de renouvellement visant à moderniser tous les secteurs de l’Agence sont mises en place. Dans le cadre du mandat de l’ASFC, il est important que la perception des recettes soit prise en considération et modernisée, conjointement avec d’autres aspects de l’Agence. Les retards dans la modernisation des processus de perception des recettes de l’ASFC continueront d’avoir des répercussions sur les ressources opérationnelles et la capacité de l’ASFC de répondre aux attentes changeantes des clients.
50. La transformation de la perception des recettes dans le secteur commercial a commencé en 2017, et comprenait des initiatives comme la mise en œuvre du GLCC, la centralisation des paiements du secteur commercial à l’AC et l’exigence d’un paiement électronique pour les sommes supérieures à 50 000 $. Le volume et la valeur des recettes perçues par voies électroniques ont augmenté en raison du Mémorandum D17-5-1 publié en octobre 2017 exigeant le paiement électronique sur les marchandises commerciales importées pour les titulaires de comptes de douane dont le solde mensuel dépasse 50 000 $. De plus, la perception des recettes du secteur commercial sera modernisée davantage par l’entremise du projet de GCRA.
51. Toutefois, même si les recettes dans le secteur commercial représentent le montant le plus important des recettes perçues, il est important que l’Agence mise également sur la création d’une vision concrète pour l’avenir des recettes perçues aux points d’entrée, ce qui comprend les recettes de la filière des voyageurs.
52. Bien que le GLCC soit intégré à d’autres systèmes de l’ASFC pour permettre le transfert des données sur les recettes aux systèmes de rapports financiers de l’Agence, le STDV est un système autonome nécessitant le transfert manuel des données au programme G11 du Système des douanes pour le secteur commercial. Ce manque d’intégration augmente le risque que des erreurs de saisie alimentent les états financiers de l’ASFC. Le STDV est une application vieillissante et n’est plus pris en charge par le fournisseur de logiciel. De plus, il y a un nombre limité de ressources de l’ASFC ayant une connaissance de la plateforme du STDV. L’obsolescence du STDV peut entraîner une panne de système irréparable, ce qui nuirait à la capacité de percevoir les droits et les taxes à la frontière et qui aurait une incidence négative sur l’économie canadienne. Le plan de TI de l’ASFC met en valeur les progrès préliminaires vers la mise hors service et le remplacement du système afin d’assurer la durabilité et l’intégrité du programme.
53. Dans les régions, la perception des recettes est exigeante en termes de ressources, fondée davantage sur l’argent comptant, assujettie à des volumes élevés de transactions et réalisée quotidiennement. Comme le projet de GCRA n’aura pas d’incidence sur cet élément, une vision modernisée pour la perception des recettes dans la filière des voyageurs, comme la mise en œuvre d’une application de paiements, contribuerait à l’atténuation des risques.
Recommandation 3 :
Le vice-président de la Direction générale des voyageurs, en collaboration avec le vice-président de la DGIST, doit évaluer les besoins de l’Agence et élaborer un plan concernant la future solution pour la perception de recettes auprès des voyageurs, y compris la mise hors service du STDV.
| Réponse de la direction | Date d'achèvement |
|---|---|
Le vice-président de la Direction générale des voyageurs accepte la recommandation d’élaborer un plan concernant la solution future pour la perception des recettes auprès des voyageurs, y compris la mise hors service du STDV d’ici mars 2020. Ce travail sera effectué en collaboration avec le vice-président de la Direction générale des finances et de la gestion organisationnelle, le vice président de la Direction générale du secteur commercial et des échanges commerciaux et le vice-président de la Direction générale de l’information, des sciences et de la technologie. |
Septembre 2020 |
Annexe A – Échantillon de l’audit (sites traitant des recettes)
Les sites suivants ont été visités dans le cadre de l’audit :
| Site | Région | Mode | SystèmeNote de bas de page 3 |
|---|---|---|---|
Centre de traitement centralisé |
AC |
S.O. |
GLCC |
Aéroport international Macdonald-Cartier d’Ottawa |
RNO |
Aérien |
STDV |
Services de fret d’Ottawa |
RNO |
Aérien |
GLCC et STDV |
Lansdowne |
RNO |
Terrestre |
STDV |
Prescott |
RNO |
Terrestre |
STDV |
Cornwall |
RNO |
Terrestre |
STDV |
Pont Queenston Lewiston – Voyageurs |
RSO |
Terrestre |
STDV |
Aéroport international Pearson – Aérogare I |
RGT |
Aérien |
STDV |
Aéroport international Pearson – Aérogare III |
RGT |
Aérien |
STDV |
Pearson - Opérations commerciales |
RGT |
Aérien |
GLCC et STDV |
Pierre-Elliott-Trudeau – Secteur commercial |
QUÉ |
Aérien |
GLCC et STDV |
Aéroport international Pierre-Elliott-Trudeau |
QUÉ |
Aérien |
STDV |
Coutts |
PRAI |
Terrestre |
STDV |
Chief Mountain |
PRAI |
Terrestre |
STDV |
Carway |
PRAI |
Terrestre |
STDV |
Del Bonita |
PRAI |
Terrestre |
STDV |
Plusieurs facteurs ont été pris en compte au moment de choisir l’échantillon de points d’entrée :
- Limites des ressources et aspect pratique (p. ex. les points d’entrée éloignés ont été exclus pour cette raison)
- Examen des points d’entrée ayant des volumes élevé et faible de voyageurs et de marchandises commerciales
- Examen des modes (terrestre, aérien)
- Examen des régions en fonction des volumes et de l’importance
- Examen des sites ayant accès au GLCC et de ceux qui n’y ont pas accès
- Résultats des vérifications de contrôle par l’Examen de la gestion des recettes pour les années précédentes
- Examens passés des points d’entrée visés par l’Examen de la gestion des recettes et d’autres vérifications de contrôles internes
- Selon des entrevues et des examens de documents à l’étape de la planification, les contrôles clés devraient être similaires pour chaque site
Annexe B – À propos de l’audit
Objectif et portée de l’audit
L’objectif de l’audit était d’évaluer le cadre de contrôle de gestion et les systèmes en place pour percevoir les recettes afin d’assurer de saines pratiques de perception de recettes.
La portée de l’audit comprenait la perception de recettes à l’AC et aux points d’entrées pour la période du 1er avril 2017 au 30 septembre 2018.
Les recettes visées par la portée pouvaient :
- être reçues en argent comptant, par chèque ou par carte de débit ou de crédit
- représenter soit un paiement direct soit un paiement porté à un compte débiteur
- provenir de la filière des voyageurs ou du secteur commercial
- être affectées à divers comptes, comme droits, taxes, frais, pénalités et services
- représenter des recettes pour l’Agence ou être perçues au nom de tiers
L’audit comprenait le processus de perception à partir de la réception du paiement au point d’entrée ou à l’AC jusqu’à ce que les fonds soient consignés et envoyés à la banque à des fins de dépôt.
Les éléments suivants étaient exclus de l’audit :
- gestion de projet et mise en œuvre du GLCC et de la GCRA
- déclaration de recettes dans les états financiers de l’Agence
- remboursements et rajustements
- argent saisi dans le cadre de mesures d’exécution
- évaluation des sommes dues par les clients
- répartition de l’argent reçu au compte adéquat du grand livre général
- transferts de recettes perçues par l’ASFC au nom de tiers
- transferts de recettes perçues par des tiers au nom de l’ASFC
Évaluation des risques
Une évaluation préliminaire des risques a été réalisée lors de la phase de planification afin de cerner les secteurs susceptibles de présenter des risques et de déterminer les priorités de la vérification. Les méthodes utilisées pour élaborer l’évaluation des risques comprenaient des entrevues avec les intervenants participant au processus de perception des recettes, l’examen de la documentation pertinente et une analyse préliminaire des données disponibles. À la suite de cette évaluation, les principaux risques suivants liés à la perception de recettes ont été cernés :
- Il est possible que l’éventualité de la perte ou du vol de recettes perçues, y compris le risque de fraude, ne soit pas atténuée.
- Il est possible que les risques liés au processus de perception de recettes ne soient pas cernés, consignés et suivis.
- Il est possible que les contrôles ne soient pas en place pour assurer la sécurité des recettes perçues.
- Il est possible que des processus ne soient pas établis pour soutenir les activités de perception de recettes.
- Il est possible que l’accès au système ne soit pas géré de façon à assurer un accès approprié.
- Il est possible que le contrôle et la surveillance du processus de perception de recettes n’aient pas lieu.
Aapproche et méthodologie
L’audit a été effectué conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes.
Les méthodes et les techniques suivantes ont été utilisées pendant l’audit :
- entrevue avec des intervenants à l’échelle de l’Agence (y compris la DGFGO, les Opérations régionales et la DGIST)
- examen de la documentation liée au processus de perception des recettes
- visite des lieux dans diverses régions pour observer les processus de perception de recettes
- examen et analyse de données de diverses sources, comme le Système intégré de rapports de gestion, le Grand livre des comptes clients (GLCC), le Système des douanes pour le secteur commercial (SDSC) et le Système de traitement des déclarations des voyageurs (STDV).
Critères de l’audit
Les critères de l’audit sont conformes au Cadre de responsabilisation de gestion du gouvernement et au cadre des contrôles de gestion de base et des critères d’évaluation établis par le Bureau du contrôleur général, ainsi qu’aux principes de contrôle interne efficace du Committee of Sponsoring Organizations of the Treadway Commission (COSO).
Vu les constatations préliminaires découlant de l’étape de la planification, les critères suivants ont été retenus :
| Secteurs d'examen | Sous-critères l'audit |
|---|---|
1. Processus de perception des recettes et contrôles internes |
1.1 Les politiques, les procédures et les directives relatives à la perception des recettes sont adéquates, mises en place et diffusées à des fins d’application uniforme. 1.2 Des processus, des contrôles internes et des mesures de surveillance sont en place et fonctionnent comme prévu pour veiller à ce que les recettes soient perçues et protégées (accès, entreposage et dépôt rapide) afin d’atténuer les risques d’erreurs et de fraude. 1.3 La documentation relative aux recettes est complète et peut être rapprochée des systèmes d’enregistrements. 1.4 Les systèmes de TI soutiennent le processus de perception de recettes, et des contrôles sont en place et fonctionnent adéquatement pour gérer l’accès des utilisateurs. |
2. Information aux fins du processus décisionnel |
2.1 L’information pertinente est recueillie, diffusée et déclarée (rapports) rapidement aux intervenants à des fins de prise de décisions. |
3. Vision d’avenir pour la perception de recettes |
3.1 L’ASFC se dirige vers la modernisation de la perception des recettes par l’entremise de ses initiatives de transformation. |
Annexe C – Liste des acronymes
- AC
- Administration centrale
- ASF
- agent des services frontaliers
- ASFC
- Agence des services frontaliers du Canada
- COSO
- Committee of Sponsoring Organizations of the Treadway Commission
- CRIPP
- Cadre de référence international des pratiques professionnelles
- DCRR
- Division de la comptabilisation des recettes et des rapports
- DGFGO
- Direction générale des finances et de la gestion organisationnelle
- DGIST
- Direction générale de l’information, des sciences et de la technologie
- ECA
- Examen de l’accès et certification
- EDI
- échange de données informatisé
- GCRA
- Gestion des cotisations et des recettes de l’ASFC
- GLCC
- Grand livre des comptes clients
- GLR
- Grand livre des recettes
- IVI
- Institut des vérificateurs internes
- PNE
- procédure normale d’exploitation
- SDSC
- Système des douanes pour le secteur commercial
- STDV
- Système de traitement des déclarations des voyageurs
- Date modified: