Vérification des processus et des contrôles de la rémunération : Constatations
Obligations redditionnelles, gouvernance et communications
Rôles et responsabilités
22. Le processus RH à la paye de l'Agence repose sur une communication sans faille et en temps opportun de l'information entre les principaux intervenants.Note de bas de page 5 Par exemple, les gestionnaires d'un centre de coûts sont responsables de remplir les documents en vue de l'embauche d'un employé et de les envoyer à la Dotation pour produire une lettre d'offre. La Rémunération reçoit la lettre d'offre signée afin d'entrer les renseignements sur la paye dans les systèmes des RH à la paye. Une fois que l'information est entrée et que l'employé est payé, la Comptabilité intégrée est chargée de la déclaration des dépenses salariales. Compte tenu de ces interdépendances, il est important que tous les intervenants comprennent leurs rôles et responsabilités, ainsi que l'incidence qu'ont leurs rôles sur les autres intervenants.
23. Les rôles et les responsabilités des différentes activités du processus RH à la paye ont été déterminés et documentés dans les descriptions de travail et dans les pages intranet de l'ASFC. La plupart des intervenants clés que nous avons sondésNote de bas de page 6 comprennent leurs propres rôles et responsabilités dans le processus RH à la paye. Par contre, plus de la moitié des intervenants de chaque secteur fonctionnel ont répondu qu'ils ne comprenaient pas les rôles et les responsabilités des autres groupes d'intervenants en ce qui a trait au processus RH à la paye. Le processus RH à la paye n'est nulle part documenté de façon centralisée et, par conséquent, les interrelations et les dépendances entre les intervenants ne sont pas clairement communiquées à toutes les parties visées.
24. Dans l'ensemble, les rôles et les responsabilités des employés travaillant au sein du processus RH à la paye sont clairement définis et communiqués. Une sensibilisation accrue aux rôles et responsabilités de tous les secteurs impliqués dans le processus aiderait les différents intervenants à mieux comprendre comment les autres contribuent à l'efficience et à l'efficacité globales du processus RH à la paye.
Échange de renseignements et communication à l'interne
Communication avec les intervenants internes du processus RH à la paye de l'Agence
25. Afin que le processus fonctionne sans faille et en temps opportun, il est important de s'assurer que les bons renseignements sont communiqués à tous intervenants du processus RH à la paye. Quarante-cinq pour cent (45 %) des intervenants sondés se disent insatisfaits de la communication entre tous les intervenants participant au processus RH à la paye. La communication entre les intervenants internes du processus RH à la paye se faisait traditionnellement par courriel. Toutefois, un système de gestion de la charge de travail, appelé Centre d'interaction des employés (CIE), a été lancé en . Le CIE permet aux équipes de la Dotation et de la Rémunération d'échanger des documents clés par voie électronique. Même si le CIE est devenu le système national permettant à toutes les régions de transmettre de l'information en , il n'a pas été complètement adopté. En outre, bien que ce système ait facilité l'échange de documents clés entre les équipes de la Dotation et de la Rémunération, il ne règle pas les autres problèmes de communications mentionnés par les intervenants. Par exemple, les employés responsables de la rémunération des cadres supérieurs, des opérations comptables, des contrôles internes et des systèmes de RH ont indiqué qu'ils pourraient tirer profit d'une plus grande collaboration avec les autres secteurs fonctionnels participant au processus. Si l'on ajoute à cela les lacunes dans la compréhension des rôles et responsabilités des autres intervenants, il y a un risque que les intervenants ne comprennent pas ou ne participent pas à l'élaboration et à l'exécution des plans et priorités qui dirigent le processus RH à la paye.
26. Puisque le travail d'équipe et la communication entre les intervenants sont essentiels, l'efficacité et à l'efficience du processus RH à la paye, les canaux et les outils de communication doivent être optimaux.
Recommandation 1
La vice-présidente de la Direction générale des ressources humaines, en collaboration avec le vice-président de la Direction générale des finances et de la gestion organisationnelle, devrait améliorer la communication et le travail d'équipe entre les secteurs fonctionnels sur le plan opérationnel du processus RH à la paye de sorte que l'échange de renseignements entre les principaux intervenants soit efficient, efficace et fait en temps opportun en vue de favoriser la collaboration et d'éviter les erreurs contournables dans le traitement de la paye et les rapports connexes.
Réponse de la direction : Dans l'ensemble, la vice-présidente de la Direction générale des ressources humaines accepte cette recommandation et veillera à ce que des réunions trimestrielles aient lieu avec les intervenants au sein de la DGRH et de la DGFGO.
Date d'achèvement :
Gouvernance organisationnelle de l'ASFC
27. Le comité Un|RH, le Comité exécutif des ressources humaines et le Comité exécutif sont les principaux organismes de gouvernance de l'Agence pour le processus RH à la paye. Ces comités sont les tribunes permettant de porter les problèmes liés au processus RH à la paye à l'attention de la haute direction de l'Agence.
28. D'après notre examen des ordres du jour et des comptes rendus des décisions, ces comités de gouvernance internes sont informés de façon périodique des progrès réalisés concernant la stratégie relative aux arriérés de rémunération, y compris la récente initiative de la DGRH « Être à temps, c'est payant », ce qui démontre que la haute direction de l'Agence reçoit périodiquement de l'information pertinente sur les éléments de haute priorité.
Communication avec les employés
29. Chaque région a mis en place ses propres méthodes pour communiquer avec ses employés. Cela peut comprendre la communication directe avec les employés ou la communication par l'entremise de la direction et du personnel administratif.
30. Les communications concernant les annonces importantes liées à la paye, les mises à jour générales du processus RH à la paye ainsi que les nouvelles initiatives sont faites dans l'ensemble de l'Agence à l'aide du bulletin Le Quotidien de l'ASFC, de courriels du président et les pages Web internes de l'Agence (c.-à-d. Atlas, Apollo).
31. Malgré ces efforts, les employés ont répondu qu'en général ils ne recevaient pas suffisamment de renseignements sur le processus RH à la paye. De plus, près de la moitié (49 %) des employés sondés ont indiqué qu'ils n'avaient pas reçu suffisamment de communications et de soutien concernant leur dossier de paye. Cette perception d'un manque de communication avec les employés peut engendrer de la frustration et de la confusion, faisant de la communication claire et continue un important élément du processus RH à la paye.
Communication avec les intervenants externes et les organismes de gouvernance
32. Compte tenu de l'influence des intervenants externes sur le processus RH à la paye de l'ASFC, il est important que l'Agence soit représentée dans les comités de gouvernance externes lorsque des sujets importants sont abordés et que des décisions sont prises.
33. L'Agence et la DGRH participent à différents comités et groupes de travail externes afin d'obtenir de l'information et de communiquer le point de vue de l'ASFC. L'information obtenue à ces groupes de travail externes est communiquée au sein de l'Agence par les mécanismes de gouvernance internes établis, et elle sert à influencer les améliorations à apporter au processus RH à la paye. Nous avons constaté qu'il y a suffisamment de canaux pour la communication entre l'Agence, le Secrétariat du Conseil du Trésor et l'ARC.
34. L'information que transmet SPAC à l'Agence est parfois perçue comme étant d'une valeur limitée pour l'ASFC, car elle ne s'applique pas aux organisations de services Web.Note de bas de page 7 Plus précisément, à travers des entrevues et les réponses au sondage, les employés de l'ASFC ont exprimé leur inquiétude que la communication sur la formation ou les mises à jour des systèmes de SPAC n'était pas toujours pertinentes pour l'environnement opérationnel de l'Agence à titre d'organisation de services Web et qu'elles nécessitent des modifications pour être pertinentes. La réception des communications pertinentes est essentielle pour garantir que l'ASFC est en mesure de réagir rapidement aux problèmes. Les résultats du sondage cadrent avec les constatations issues de l'analyse de l'environnement des organisations non-clientes du Centre des services de paye effectuée en par le Bureau de gestion des programmes RH à la paye de SPAC, qui indiquent que les communications de SPAC sont axées sur le modèle services du Centre des services de paye et que les activités de mobilisation des intervenants de SPAC ne tiennent pas compte des besoins et des préoccupations des organisations non desservies par le Centre des services de paye.
Incidence de la communication en temps opportun sur l'exactitude de la paye
35. Les employés de la Rémunération (qui comprend les opérations de rémunération et la rémunération ministérielle) soulignent que l'information doit être entrée dans les systèmes de RH à la paye en temps opportun pour éviter les répercussions sur la paye des employés. Le rapport du Bureau du vérificateur général de l'automne 2017 sur le système de paye PhénixNote de bas de page 8 a indiqué que Phénix est seulement en mesure de traiter les interventions de paye qui sont entrées en temps réel, et que les paiements rétroactifs nécessitent une intervention manuelle afin qu'un employé puisse recevoir en temps opportun une paye exacte sans problème.
36. Plus de la moitié (54 %) des répondants au sondage venant des Opérations de rémunération et de la Dotation s'inquiétaient du fait que les documents de payeNote de bas de page 9 ne leur étaient pas envoyés en temps opportun; et 69 % ont répondu que les documents étaient souvent incomplets aux fins de traitement d'une intervention de paye dans les systèmes de RH à la paye.Note de bas de page 10 La présentation de documents incomplets nuit aussi au traitement en temps opportun des interventions de paye puisque les conseillers en rémunération peuvent retarder le traitement d'une intervention jusqu'à ce que des documents satisfaisants soient fournis.
37. Suite au sondage, le pourcentage élevé de présentations tardives a été confirmé dans notre examen des dossiers de paye, où nous avons noté les cas où les gestionnaires de centres de coûts n'ont pas fourni les documents à la Dotation en temps opportun. Par exemple, dans un échantillon de 15 trop-payés choisi aux fins d'analyse, la présentation des documents en temps opportun était un problème dans environ la moitié des cas (8 sur 15).
38. Pour régler les problèmes liés à la présentation en temps opportun des documents de paye essentiels et empêcher les erreurs de paye, la DGRH a lancé l'initiative « Être à temps, c'est payant » pour les interventions de paye qui ne concernent pas les cadres supérieurs. À partir du , tous les documents envoyés aux conseillers en dotation des RH doivent l'être dans les délais établis par la DGRH. Les exceptions aux délais ne sont autorisées que si elles sont approuvées par le vice-président ou le directeur général régional de la direction générale faisant la demande.
39. Il est essentiel de veiller à ce que l'information ayant une incidence sur la paye soit fournie et traitée en temps opportun pour assurer l'exactitude de la paye des employés. Le fait de poursuivre sur la lancée des stratégies liées aux délais d'exécution et de favoriser la collaboration entre les principaux intervenants aidera l'Agence à réduire les erreurs de paye et les arriérés.
Recommandation 2
La vice-présidente de la Direction générale des ressources humaines devrait surveiller la conformité aux normes de service pour la soumission en temps opportun de documents dûment remplis aux RH par les gestionnaires des centres de coûts (en vigueur le ), et présenter un rapport à ce sujet pour s'assurer que les normes de service et les approbations requises pour les exemptions sont respectées.
Réponse de la direction : Acceptée. Le , des normes de service ont été établies pour 14 mesures de dotation particulières, que les gestionnaires d'embauche doivent respecter en soumettant tous les documents requis. Si les normes de service établies ne sont pas respectées, le service de dotation des RH a l'autorité nécessaire pour retarder la date d'entrée en vigueur.
La DGRH surveillera toutes les demandes d'exemption approuvées par les VP et DGR et leur en rendra compte afin d'évaluer le volume et de faire un rapport à la VP de la DGRH tous les trois mois pour s'assurer que les exemptions n'annulent pas l'initiative de respect des délais des RH à la paye. Le premier rapport à la VP de la DGRH est prévu pour la fin de .
Date d'achèvement :
Recrutement, formation, orientation et maintien en poste
Formation et Soutien
40. Une orientation, une formation et un soutien adéquats sont essentiels pour s'assurer que tous les intervenants du processus RH à la paye peuvent s'acquitter efficacement de leurs responsabilités. L'Agence n'a pas un programme de formation sur la rémunération obligatoire ou officiel mis à la disposition des employés. De plus, la direction générale ne documente pas et ne fait pas le suivi de la formation liée à la rémunération suivie par les employés. Même si une formation en cours d'emploi est offerte, seulement 43 % des employés de la Rémunération sondés jugent qu'elle est suffisante.
41. Afin de combler les lacunes en matière de formation officielle et en cours d'emploi, la Rémunération ministérielle met au point un outil de référence interne pour aider les nouveaux conseillers en rémunération et les conseillers existants. De plus, une formation obligatoire sur la prestation de services aux clients a été livrée afin d'apporter les améliorations nécessaires à la communication avec les employés concernant les problèmes liés aux dossiers de paye.
42. Les employés de la Rémunération de l'Agence ont aussi accès à la formation sur les processus RH à la paye offerte par SPAC. Quoique la formation de SPAC vise à être suffisamment générale pour tous les utilisateurs, l'analyse de l'environnement souligne que presque toutes les organisations ont indiqué qu'elles ont besoin d'adapter les matériaux de formation à leur contexte, ce qui crée un fardeau supplémentaire.Note de bas de page 11 Lorsque les leçons sont mal utilisées, les employés de la Rémunération de l'ASFC peuvent commettre des erreurs, comme lorsqu'ils effectuent des interventions dans Phénix qui ne visent que les ministères desservis par le Centre des services de paye (et non les organisations de services Web). Lorsque la formation et les mises à jour de SPAC sont diffusées à la communauté, la Rémunération doit adapter et clarifier les messages afin qu'ils soient pertinents pour l'ASFC.
43. Le Bureau du vérificateur général (BVG) avait des observations similaires liées à la suffisance de la formation pour les conseillers en rémunération lors de leur Vérification des états financiers de l'ASFC. Depuis deux ans, le BVG recommande que l'ASFC collabore avec SPAC et d'autres intervenants afin d'évaluer les besoins en formation et de développer des plans de formation
44. Au lieu de la formation, les employés de la Rémunération dépendent d'un certain nombre d'autres outils et directives, comme des procédures normales d'exploitation, des manuels de référence et des politiques. Par contre, même si elles sont utiles, ces ressources ne remplacent pas une formation visant à établir les bases nécessaires à l'exécution des différentes interventions de paye.
45. L'absence de formation et de soutien pertinents peut avoir une incidence sur la capacité d'un employé à exécuter efficacement ses tâches. Un programme de formation officiel et des outils de soutien contribueraient à l'efficacité et à la cohérence du traitement de la paye, ainsi qu'au renforcement de la prestation des services de rémunération.
Recommandation 3
La vice-présidente de la Direction générale des ressources humaines devrait créer et mettre en œuvre un programme de formation complet sur la rémunération adapté à l'environnement des services Web de l'ASFC.
Réponse de la direction : Acceptée. Dans l'ensemble, la vice-présidente de la Direction générale des ressources humaines accepte cette recommandation et veillera à ce qu'un programme de formation complet pour les conseillers en rémunération, adapté à l'ASFC, soit créé et mis en œuvre.
Date d'achèvement :
Recrutement et maintien en poste
46. L'Agence doit, pour traiter en temps opportuns les interventions de paye, disposer d'un effectif suffisant affecté à la rémunération. Afin de répondre à la demande, l'effectif de la rémunération est composé de différents types d'employés : embauchés pour une période indéterminée, embauchés pour une période déterminée, occasionnels et étudiants. La plupart des organisations non desservies par le Centre des services de paye, dont l'ASFC, ont de la difficulté à recruter des conseillers en rémunération et à les maintenir en poste. Des rapports indiquent que les conseillers en rémunération quittent les organisations non desservies par le Centre des services de paye pour occuper un poste au Centre des services de paye de SPAC qui offre une meilleure classification, un salaire plus élevé et davantage d'occasions de formation.Note de bas de page 12
47. Les entrevues avec le personnel de la rémunération ont révélé, pour des postes similaires, un écart entre la classification des conseillers en rémunération de l'Agence et celle des conseillers en rémunération du Centre des services de paye. Des employés de la Rémunération qui ont répondu au sondage, 38 % ont indiqué qu'ils envisageraient de quitter l'Agence pour occuper un poste de même niveau ailleurs au gouvernement. Les responsables de la Rémunération ont entrepris de revoir la classification des descriptions de poste des employés opérationnels afin de l'harmoniser avec celle des postes semblables dans les autres ministères.
48. Le taux d'attrition des conseillers en rémunération que nous avons établi est supérieur au taux d'attrition global de l'ASFC :
Taux d'attrition | 2018 | 2019 |
---|---|---|
RémunérationNote de bas de page 13 | 12 % | 13 % |
ASFCNote de bas de page 14 | 6,5 % | 5,6 % |
49. Parmi notre échantillon de 14 employés de la Rémunération embauchés pour une période indéterminée ayant quitté l'Agence, cinq l'ont fait pour se joindre à un autre ministère, dont trois à des postes de même niveau de classification. Les neuf autres employés ont pris leur retraite.
50. Les difficultés relatives à la dotation ont été cernées dans la Stratégie relative aux arriérés de rémunération, qui comprend également un plan pour recruter davantage de conseillers en rémunération. Le bassin de conseillers en rémunération à la retraite a été sollicité et certains retraités ont été recrutés afin de contribuer à l'élimination de l'arriéré. De plus, des stratégies de maintien en poste, comme offrir des occasions au personnel, envisager de prolonger l'indemnité de maintien en poste pour les conseillers en rémunération et mettre à jour les descriptions de poste, ont aussi été définies en vue de contrer le départ des conseillers en rémunération.
51. Sondés sur leur satisfaction au travail, 60 % des employés de la Rémunération ont indiqué être satisfaits de leur emploi et 49 % se sentent appuyés dans leur cheminement professionnel. Pour les employés qui sont satisfaits de leur emploi, les raisons les plus souvent invoquées comprennent la reconnaissance, les bonnes relations et le côté stimulant de l'emploi, de même que la capacité de promouvoir le changement ou d'aider les clients. À l'opposé, les raisons soulevées pour expliquer une insatisfaction comprennent un manque de formation adéquate, des problèmes avec les systèmes, un manque de reconnaissance, une charge de travail accablante ou stressante et des délais déraisonnables.
52. Malgré les difficultés liées au maintien d'un effectif suffisant pour la Rémunération, la DGRH continue de mettre en application des stratégies pour recruter et maintenir en poste des ressources qualifiées.
Contrôles et systèmes des RH à la paye
Contrôles internes des RH à la paye
53. La Politique sur la gestion financière du gouvernement du Canada énonce les exigences visant à « établir, [à] surveiller et [à] maintenir un système de contrôle interne de la gestion financière » et à « [s]'assurer que des mesures correctives sont prises rapidement lorsque des lacunes concernant les contrôles et des risques importants n'ayant pas fait l'objet de mesures d'atténuation sont repérés, y compris tout risque de fraude ».Note de bas de page 15
54. Un cadre de contrôles internes bien conçu comporte des actions prises par les employés ainsi que des actions conçues dans un système veillant à un contrôle approprié d'un processus. Les contrôles internes des RH à la paye sont énoncés à l'Annexe D et comprennent des actions comme les approbations, les rapprochements, les examens par les pairs et les restrictions des systèmes de TI. Un cadre de contrôles internes qui est efficace fait en sorte que les processus sont suivis et que les systèmes fonctionnent comme prévu sur une base régulière.
55. L'Agence se fie aux contrôles internes du processus des RH à la paye pour garantir que :
- les interventions de paye sont traitées en temps opportuns, valides et exactes;
- les dépenses salariales sont consignées sans erreur;
- les risques liés à l'administration de la paye de l'Agence sont réduits au minimum.
56. L'équipe des contrôles internes de l'Agence (au sein de la DGFGO) est, selon son mandat, responsable de la documentation du Cadre de contrôle interne des RH à la paye (le Cadre) et de l'évaluation des contrôles du Cadre afin d'en assurer l'efficacité.
57. Nous avons évalué les principaux contrôles des RH à la paye au moyen du cadre établi par l'équipe des contrôles internes.Note de bas de page 16 En plus des contrôles compris dans le Cadre, nous avons cerné et mis à l'essai des contrôles liés au système de TI utilisés dans les processus des RH à la paye. Nous avons mis à l'essai un total de 53 contrôles, dont 29 manuelsNote de bas de page 17 et 24 liés à la TINote de bas de page 18. Un échantillon de 155 interventions de paye a été utilisé pour mettre les contrôles à l'essai.Note de bas de page 19
58. Le tableau 2 résume les résultats de la mise à l'essai des contrôles. De plus amples détails sur les descriptions des contrôles sont inclus à l'annexe D.
Activité de contrôle | Efficace | Inefficace | Conception déficiente |
Documentation inadéquate |
---|---|---|---|---|
Ajouts d'employés à la paye | 1 | 4 | 2 | 1 |
Modifications à la paye | - | - | - | 3 |
Approbation du temps | 1 | - | 1 | 1 |
Consignation des dépenses salariales | 1 | 2 | - | 1 |
Surveillance de la paye | 2 | 2 | 1 | - |
Enlever les employés de la paye | - | 6 | - | 1 |
SAE – accès en TI de la paye | 4 | 2 | - | - |
SAE – contrôles automatisés en TI | 12 | - | - | - |
Phénix – accès en TI de la paye | 5 | - | - | - |
Total | 26 | 16 | 4 | 7 |
59. Des 53 contrôles, seulement 26 (49 %) ont été jugés efficaces, car il y avait suffisamment d'éléments probants pour démontrer que l'activité de contrôle se déroulait comme prévu pour tous les dossiers de l'échantillon. Les 27 contrôles restants (51 %) étaient inefficaces, leur conception était déficiente ou leur documentation était inadéquate. Même s'il est attendu que certains contrôles demandent une révision de temps à autre, le nombre de contrôles pour lesquels la conception ou la documentation étaient inadéquates donne à penser que le cadre ne reflète pas les tâches réelles des employés. Le nombre de contrôles inefficaces relevés (16 sur 53, soit 30 %) était encore plus préoccupant, puisque cela signifie que d'importantes activités, sur lesquelles repose l'exactitude de la paye, ne sont pas réalisées comme elles le devraient.
60. Comme le montre le tableau 2, des erreurs ont été décelées dans le cas de 16 contrôles (fonctionnant inefficacement) pour lesquels un ou plusieurs des dossiers de l'échantillon ne contenait pas suffisamment d'éléments probants pour démontrer que l'activité de contrôle se déroulait comme prévu. Par exemple, les conseillers en rémunération doivent procéder à des calculs pour vérifier l'exactitude de la première paye d'un employé. Dans certains des dossiers de l'échantillon, ces calculs étaient absents et aucune justification de leur absence n'était fournie.
61. Comme le processus des RH à la paye a évolué, nous avons constaté que la description de quatre contrôles était désuète. Nous avons également constaté qu'à sept reprises, la description de l'activité établie dans le Cadre ne correspond plus au processus en vigueur ou que les principaux aspects de l'activité ne sont pas clairement définis dans la description. Par exemple, le poste responsable d'approuver une intervention de paye.
62. Nos observations portent aussi sur les faiblesses des contrôles internes déjà soulignées dans la Vérification des états financiers de l'ASFC annuelle du BVG. Un des écarts les plus remarquables identifiés par le BVG dans la vérification de 2017-2018 était un faible processus pour approuver les paiements (article 33 de la Loi sur la gestion des finances publiques) et pour identifier les erreurs potentielles liées à la paye. Malgré les années écoulées depuis que ce problème a été soulevé, les contrôles liés à l'approbation de l'article 33 de la Loi n'ont pas encore été renforcés.
63. En l'absence de contrôles documentés, conçus correctement et qui fonctionnent efficacement, le risque que des paiements invalides ou inexacts soient versés est plus important encore. De tels paiements non valides ou inexacts peuvent engendrer de la frustration pour les employés, des pertes financières, une atteinte à la réputation ou encore la mauvaise consignation des dépenses salariales et, par conséquent, demandent une attention immédiate. Il est impératif que les changements requis soient apportés au cadre, que le cadre soit surveillé et testé de façon régulière et que l'importance de suivre les processus et procédures établis soit réitérée.
Recommandation 4
Pour réduire les risques liés aux échecs des contrôles soulevés dans la vérification, le vice-président de la Direction générale des finances et de la gestion organisationnelle, en collaboration avec la vice-présidente de la Direction générale des ressources humaines, devrait immédiatement veiller à ce que la Division de la comptabilité intégrée, de la politique financière et des contrôles internes :
- consulte les responsables des processus opérationnels à la DGFGO et à la DGRH afin de régler les problèmes d'efficacité liés à la documentation et à la conception cernés lors de la vérification;
- révise le cadre de contrôle interne des RH à la paye en fonction des consultations menées en a);
- formule des recommandations à l'attention des responsables des processus opérationnels afin de combler les lacunes des contrôles cernées pendant la vérification;
- consulte avec les intervenants et planifie de mettre à l'essai le cadre révisé afin d'en établir l'efficacité de la conception et du fonctionnement et d'en faire rapport.
Réponse de la direction :
- Acceptée. Le vice-président de la DGFGO travaillera avec la DGRH (Bureau de seconde responsabilité, BSR) afin de remédier aux déficiences en matière de conception et de documentation cernées dans le rapport de vérification. La DGFGO, en collaboration avec la DGRH, renforcera les processus pour s'assurer qu'ils fonctionnent comme prévu et produisent les résultats escomptés.
- Acceptée. Le vice-président de la DGFGO consultera avec la DGRH afin de réévaluer le cadre de contrôle interne des RH à la paye. Le cadre actualisé devrait aborder les problèmes liés au manque d'efficacité en matière de documentation et de conception. Le cadre révisé devrait réduire au maximum les risques pour l'administration de la masse salariale de l'Agence.
- Acceptée. Le vice-président de la DGFGO travaillera avec la DGRH pour continuer d'examiner les possibilités d'améliorer les déficiences en matière de contrôle observées dans le rapport de vérification. Des recommandations spécifiques visant les contrôles qui ne fonctionnent pas efficacement seront portées à l'attention des responsables des processus opérationnels. Un suivi permettra de s'assurer que les recommandations sont mises en œuvre et de fournir des preuves que les faiblesses sont traitées.
- Acceptée. Afin de certifier que le cadre de contrôle révisé est efficace, le vice-président de la DGFGO élaborera un plan pour obtenir l'assurance en effectuant des mises à l'essai de conception et d'efficacité opérationnelle du cadre de contrôle des RH à la paye. Les essais seront basés sur les risques pour certifier/confirmer la conception et l'efficacité opérationnelle du cadre de contrôle révisé.
Date d'achèvement :
Systèmes de TI
64. L'Agence a recours à deux systèmes essentiels pour le processus des RH à la paye : SAE et Phénix. Phénix a été mis en service et est géré par SPAC et les SAE sont hébergés et gérés par l'ARC. Comme l'Agence est une organisation de services Web, les interventions de paye sont saisies dans les SAE et les données sont transmises à Phénix pour que la paye soit versée aux employés. Pour un traitement efficace des interventions de paye, les systèmes doivent répondre aux besoins des utilisateurs. Nous avons évalué dans quelle mesure les SAE et Phénix répondent aux besoins des utilisateurs et traitent correctement les mouvements de paye.
65. Dans le sondage mené lors de la vérification interne, la plupart des employés de la Rémunération (81 %) ont indiqué penser que les systèmes de RH possèdent les fonctions appropriées pour faire leur travail. De plus, la majorité des employés des opérations de la Rémunération, de la rémunération ministérielle et des systèmes de RH a indiqué que les risques liés aux systèmes ont été définis (71 %) et qu'ils étaient gérés activement (80 %).
66. Cependant, la majorité des employés opérationnels (73 % des employés de la Rémunération et 73 % des employés de la Dotation) se disent préoccupés quant aux limites du système, en raison des problèmes d'intégration entre les SAE et Phénix, qui empêchent la saisie adéquate des informations des RH pertinentes. Nous avons appris que même si une intervention de paye est traitée correctement par un conseiller en rémunération et saisie dans les SAE, il se peut que le paiement versé par Phénix soit erroné.Note de bas de page 20 L'examen des dossiers de paye nous a permis de constater un cas où, bien que le conseiller en rémunération ait saisi les données adéquates dans Phénix, un paiement non valide, sous la forme d'un chèque en double, a tout de même été versé à un employé.
67. Le traitement des paiements est également problématique dans Phénix, notamment pour le traitement des modifications apportées aux conventions collectives et des interventions de paye saisies tardivement. Afin d'harmoniser les données salariales des SAE et de Phénix, une comparaison des données sur les postes des employés dans les SAE et de celles se trouvant dans Phénix a été faite quotidiennement par la Rémunération ministérielle afin de rectifier les écarts entre les deux systèmes. Cela alourdit la charge de travail, sans permettre à tous coups d'éviter les payes erronées, car les écarts peuvent être décelés trop tard pour que les corrections requises soient apportées. Les paiements invalides versés par les limites du système peuvent entraîner de la frustration chez les employés qui reçoivent une paye insuffisante ou doivent rembourser un trop-payé à l'Agence.
68. En vue de comprendre ce qui nuit à la validité des paiements dans les systèmes des RH à la paye, nous avons analysé les données de Phénix sur les trop-payés, afin de cerner l'origine potentielle des erreurs. Un échantillon de 15 cas de trop-payés connus a été établi et soumis à notre analyse. En retraçant l'historique des paiements dans le processus des RH à la paye, nous avons été en mesure de déterminer les causes possibles suivantes :
- traitement des paiements en retard (huit paiements) : informations essentielles transmises tardivement par le gestionnaire de centre de coûts (fin de la date de la nomination intérimaire) ou saisie tardive d'une intervention de paye (p. ex., un employé reçoit sa paye régulière pendant son congé puisque la documentation est soumise ou saisie après la date d'entrée en vigueur);
- erreurs du système (un paiement) : Phénix a produit un chèque en double, cependant, l'erreur a été décelée et le paiement a été annulé avant que l'employé ne le reçoive;
- révision subséquente d'une feuille de temps (six paiements) : un employé a déclaré des heures en utilisant un code entraînant rémunération (heures supplémentaires payées, congé payé) et a par la suite modifié le code pour un code sans solde (heures supplémentaires en congé compensatoire, congé sans solde) une fois le paiement émis.
69. Les systèmes de paye utilisés actuellement et leur interface ne facilitent pas toujours l'exécution adéquate du processus de rémunération de bout en bout. Cependant, en mettant davantage l'accent sur la communication et la sensibilisation des employés et des gestionnaires sur les répercussions que certains comportements ont sur l'exactitude de la paye, ainsi que la formation pour les utilisateurs des systèmes de RH et la soumission et le traitement des interventions de paye en temps opportuns, l'Agence peut réduire les problèmes sur lesquels elle exerce un contrôle.
Systèmes de TI – Séparation des tâches
70. La séparation des tâches est nécessaire lors de l'attribution des droits d'accès aux utilisateurs d'un système afin d'éviter qu'une personne ait des tâches incompatibles (p. ex. initier, approuver et réviser la même transaction). La restriction de l'accès vise à empêcher les utilisateurs d'effectuer des interventions non autorisées. Par exemple, la séparation des tâches entre les personnes qui traitent les interventions de paye et celles qui les approuvent réduit le risque de fraude et contribue à garantir que seules les interventions valables sont saisies dans les systèmes. Dans les cas où la séparation des tâches ne peut pas être maintenue, on s'attend à ce qu'il existe des contrôles d'atténuation pour prévenir l'utilisation inappropriée des systèmes ou les fraudes.
71. Les rôles incompatibles dans les systèmes de TI liés au processus RH à la paye ont été déterminés par les responsablesNote de bas de page 21 du SAE et de Phénix. Nous avons évalué si l'ASFC respectait la séparation des tâches.
Séparation des tâches dans le SAE
72. Chaque rôle attribué à un utilisateur est associé à diverses combinaisons d'actions et d'autorisations possibles. Nous avons tenté d'évaluer si les autorisations, appelées codes de mouvement (codes M), associées à chaque rôle étaient appropriées. Cependant, nous n'avons pas pu obtenir un document affichant les codes incompatibles. Par conséquent, nous avons évalué la séparation des tâches au niveau des rôles.
73. Les conseillers en rémunération se voient attribuer le rôle « Rémunération – Traitement des mouvements » dans le SAE, ce qui leur permet de traiter les interventions de paye. Il y a quatre rôles avec lesquels le rôle « Rémunération – Traitement des mouvements » ne peut être combiné. Les demandes relatives à ces rôles sont soumises par le gestionnaire de l'employé au moyen du système de billet de TI de l'ASFC; elles sont ensuite acheminées aux personnes autorisées appropriées aux fins de traitement.Note de bas de page 22
74. Nous avons identifié six utilisateurs qui avaient des rôles incompatibles dans le SAE. Quatre d'entre eux pouvaient autoriser et traiter des interventions de paye. Deux utilisateurs pouvaient traiter des interventions de paye et modifier la liste de paye d'un employé, ce qui leur permettait de traiter les interventions de paye de ces employés. Après que nous ayons porté ces six situations d'incompatibilité de rôles à l'attention de la direction, les rôles ont été supprimés.
75. Étant donné que ces rôles incompatibles ont été attribués par des personnes autorisées, il est important que la matrice de séparation des tâches soit consultée avant d'accorder un accès au SAE afin de réduire la probabilité que les employés aient accès à des rôles incompatibles.
Séparation des tâches dans Phénix
76. Dans la matrice de séparation des tâches de Phénix, SPAC a indiqué quels rôles ne doivent pas être combinés à d'autres. Il s'agit notamment des rôles suivants : conseiller en rémunération, approbateur en vertu de l'article 33 et analyste des systèmes des RH. Pour demander l'attribution d'un rôle dans Phénix, le gestionnaire de l'employé doit soumettre un formulaire à l'agent des contrôles d'accès sécuritaires de Phénix de l'ASFC.
77. Lorsque des rôles incompatibles sont inévitables, SPAC exige une attestation du dirigeant principal des finances pour autoriser la dérogation. Nous avons constaté que six utilisateurs s'étaient vu attribuer une combinaison de rôles incompatibles, avec l'autorisation du dirigeant principal des finances de l'ASFC.
78. Lorsqu'il accorde des rôles incompatibles, le dirigeant principal des finances est tenu de confirmer que des contrôles compensatoires sont mis en œuvre afin de gérer les risques créés par l'existence de rôles incompatibles dans le système. L'équipe de la Rémunération ministérielle a récemment entamé un examen trimestriel de la pertinence de l'accès des utilisateurs au SAE et à Phénix. Cependant, il n'existe aucun contrôle compensatoire qui permettrait de réduire l'attribution abusive des rôles incompatibles. Les responsables des processus opérationnels au sein de la DGRH et de la DGFGO chargés des systèmes liés au processus RH à la paye n'effectuent aucune surveillance de l'activité des utilisateurs dans Phénix ou le SAE, en particulier pour ceux ayant des rôles incompatibles. Ils n'évaluent pas non plus les rôles incompatibles entre le SAE et Phénix afin d'assurer la séparation des tâches des utilisateurs ayant accès aux deux systèmes.
79. Bien que nous n'ayons relevé aucun signe de fraude lors de l'examen des dossiers de paye, le manque de surveillance des activités des utilisateurs dans les systèmes et les cas de contrôles qui ont soit été conçus, soit fonctionnent de manière inefficace, font augmenter le risque de fraude.
Recommandation 5
Pour prévenir le mauvais usage des systèmes utilisés dans le processus des RH à la paye, la vice-présidente de la Direction générale des ressources humaines, en collaboration avec le vice-président de la Direction générale des finances et de la gestion organisationnelle, devrait :
- réviser le processus d'approbation des rôles pour les rôles du SAE utilisés au sein du processus des RH à la paye afin de s'assurer que les rôles incompatibles sont évités et, si nécessaire, qu'une approbation appropriée est fournie et consignée;
- s'assurer que des contrôles compensatoires sont en place, y compris une surveillance régulière des utilisateurs qui se sont vu attribuer des rôles incompatibles dans les systèmes des RH à la paye pour s'assurer que leurs privilèges d'accès ne sont pas utilisés de manière inappropriée.
Réponse de la direction : Acceptée. La vice-présidente de la Direction générale des ressources humaines et le vice-président de la Direction générale des finances et de la gestion organisationnelle acceptent cette recommandation et veilleront à ce que les rôles pour les rôles du SAE et Phénix, qui sont utilisés au sein du processus des RH à la paye, soient révisés tous les trimestres et comprennent une preuve d'approbation et une documentation appropriées lorsque des rôles incompatibles sont accordés.
Date d'achèvement :
Détails de la page
- Date de modification :