Audit de la gestion des ressources humaines intégrité des données du système

Affaires mondiales Canada
Bureau du dirigeant principal de l’audit

Juin 2017

Acronymes

Sommaire

Conformément au Plan d’audit axé sur le risque d’Affaires mondiales Canada (AMC) pour 2016-2019, le Bureau du dirigeant principal de l’audit a mené l’audit de l’intégrité des données du Système de gestion des ressources humaines (SGRH). Le SGRH fonctionne sur PeopleSoft, un système disponible sur le marché, modifié pour respecter les exigences législatives et les exigences en ressources humaines communes du gouvernement du Canada. L’audit vise à fournir l’assurance qu’Affaires mondiales Canada a mis en place des mesures pour s’assurer que les activités relatives aux ressources humaines sont basées sur des données exactes, complètes et présentées en temps opportun.

Pourquoi cet audit était-il important?

Les membres de la haute direction de l’ensemble du Ministère ont fait part de leurs préoccupations concernant les données du SGRH, plus particulièrement, en ce qui a trait à l'exactitude des données liées aux organigrammes et aux tableaux de bord. En juillet 2016, le Secteur des ressources humaines (HCM) d’Affaires mondiales Canada a fait une mise à jour au Comité de gestion ministérielle (CGM) sur les postes d’employés canadiens et a présenté son taux d’intégrité des données du SGRH ainsi qu’un plan d’action pour remédier aux lacunes en matière d’intégrité des données.

Points examinés  

L’équipe d’audit a examiné le cadre de gestion à l’appui de l’intégrité des données relatives aux ressources humaines. L’intégrité des données du SGRH a aussi été mise à l’essai pour évaluer les progrès réalisés par rapport aux plans d’action de la direction.

Constatations

La structure de gouvernance actuelle permet une surveillance limitée de l’intégrité des données du SGRH, étant donné qu’il manque une expertise technique approfondie pour identifier les besoins et proposer des solutions, et pour permettre une discussion intégrée et détaillée sur la qualité des données du SGRH. De plus, les rôles et les responsabilités relatifs l’intégrité des données du SGRH ne sont pas clairement définis.

Même s’il existe un processus pour effectuer un suivi, exercer une surveillance et faire rapport relativement à l’intégrité des données du SGRH, Affaires mondiales Canada ne fait pas d’analyse des risques sur les erreurs de données, [PRÉLEVÉ]

[PRÉLEVÉ] La saisie de données dans le SGRH était exacte lorsque faite au moyen d’un formulaire système normalisé. Cependant, la saisie de données n’est pas toujours appuyée par des procédures documentées. Le taux d’intégrité des données du SGRH pour la période visée était de 81 %.

L’outil d’établissement d’organigrammes de l’application Business Intelligence (BI) n’était pas calibré correctement et générait des organigrammes erronés; il a été corrigé par la suite par la direction et il fonctionne maintenant comme prévu.   

Il n’y a aucune mesure de contrôle pour les sorties des données afin de vérifier l’exactitude des données de RH avant la communication à la haute direction ou la présentation de rapports obligatoires des RH aux organismes centraux et aux prestataires de services tiers.

Conclusion

Affaires mondiales Canada a mis en place des mesures pour s’assurer que les activités relatives aux ressources humaines sont basées sur des données exactes, complètes et présentées en temps opportun. Cependant, il reste des améliorations à faire en matière d’intégrité des données dans les secteurs importants de la gouvernance, de la surveillance et du contrôle.

Énoncé de conformité

Selon mon jugement professionnel à titre de dirigeant principal de l’audit, cet audit a été effectué conformément aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes de même qu’à la politique et à la directive du Conseil du Trésor sur l’audit interne, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité. Les procédés d’audit appliqués et les éléments de preuve recueillis sont suffisants et appropriés pour appuyer l’exactitude des constatations et la conclusion formulée dans le présent rapport, et pour fournir une assurance de niveau d’audit. Les constatations et la conclusion reposent sur une comparaison entre les conditions qui existaient au moment de l’audit et les critères d’audit préétablis convenus avec la direction. Elles s’appliquent uniquement à l’entité examinée ainsi qu’à la portée et à la période visées par l’audit.

Brahim Achtoutal 
Dirigeant principal de l’audit

1. Introduction

Les activités de gestion des ressources humaines à Affaires mondiales Canada visent à bâtir un effectif compétent, confiant et très performant. Le Ministère dispose d’un réseau élargi et diversifié d’employés  canadiens à l’administration centrale, dans l’ensemble du Canada et dans les missions à l’étranger, ce qui complique la gestion des RH. En date du 31 décembre 2016, le tableau de bord de l’effectif d’Affaires mondiales Canada indiquait 6 012 employés canadiens actifs, environ 78 % qui travaillent à l’administration centrale, 20 % dans les missions dans le monde et 2 % dans les bureaux régionaux. La moitié des employés canadiens sont affectés à des postes permutants ou mobiles, et ils changent de poste tous les deux à cinq ans. Le personnel canadien comprend un certain nombre d’employés temporaires dont les services sont retenus par divers moyens de recrutement pour une durée déterminée, à titre occasionnel ou dans des contrats destinés aux étudiants. Affaires mondiales Canada emploie également 4 884 employés recrutés sur place (ERP) pour appuyer les employés canadiens qui se trouvent dans les missions à l’étranger. Il est essentiel d’avoir un système des ressources humaines fiable pour appuyer la prise de décisions.  

1.1 Contexte

Affaires mondiales Canada se fie à la qualité des données sur les RH pour la planification et la surveillance des activités liées aux RH et pour la production de rapports à cet égard. Le Secteur des RH (HCM) est responsable de la saisie des données en temps opportun, de la réalisation d’analyses et de la production de rapports exacts requis par la direction sur les activités liées aux RH. Les secteurs sont chargés de fournir des renseignements exacts à HCM sur les activités liées aux RH.

SGRH signifie Système de gestion des ressources humaines (c.-à-d. PeopleSoft), c’estle système utilisé pour la gestion des RH. PeopleSoft est un système disponible sur le marché, modifié pour respecter les exigences législatives et les exigences en ressources humaines communes du gouvernement du Canada. Il fournit une plateforme intégrée pour la gestion des données liées aux RH. Le SGRH est l’outil qui fait autorité à Affaires mondiales Canada pour appuyer le traitement des transactions opérationnelles en matière de RH, notamment la rémunération, les congés, la classification, la dotation, les relations avec le personnel, l’équité en matière d’emploi, les langues officielles, les relations de travail et la sécurité. Les rapports du SGRH sont utilisés par le personnel de HCM, des Bureaux de gestion des secteurs (BGS), des Finances, des Relations avec les clients et des Opérations des missions, des Relations de travail, de la Sécurité et de la Formation. Les gestionnaires ont la capacité de présenter leurs demandes de service en RH, en matière de dotation et de classification (formulaires système normalisés), en fonction des besoins opérationnels.

La définition de l’intégrité des données fait référence à l’exactitude, à l’intégralité, à la justesse et à la conformité par rapport à l’intention des créateurs des données. L’intégrité est un aspect essentiel de la conception, de la mise en œuvre et de l’utilisation de tout système permettant de stocker, de traiter ou d’extraire des données. L’intention globale de toute technique d’intégrité des données est de veiller à ce que les données soient consignées comme prévu et au moment de leur extraction ultérieure. En résumé, l’intégrité des données vise à éviter toute modification incomplète et involontaire des données.

Dans le Plan intégré des activités ministérielles (PIAM) d’Affaires mondiales Canada pour 2016-2017, on peut lire que les données du SGRH ont une « incidence sur un grand nombre d’opérations et de décisions ministérielles, comme la dotation, la classification, les concours et le taux d’atteinte des objectifs de gestion du rendement ». Les comités de la haute direction, comme le Comité de gestion ministérielle (CGM) et le Conseil exécutif (CE), considèrent que l’intégrité des données du SGRH constitue un défi continu.

Pendant l’enquête préliminaire sur les processus d’administration des RH, effectuée par le Bureau du dirigeant principal de l’audit (BDPA) en 2015-2016, HCM et les cadres supérieurs du Ministère ont fait part de leurs préoccupations au sujet des données sur les RH, plus particulièrement en ce qui concerne l’exactitude des données liées aux organigrammes et aux tableaux de bord. HCM est conscient que les données appuyant les organigrammes dans le SGRH ne tiennent pas compte de la situation actuelle du Ministère. Comme cela est indiqué dans le PIAM d’Affaires mondiales Canada pour 2016-2017, « Dans le cadre de notre processus de PIAM de 2016-2017, HCM a lancé une initiative à l’échelle du Ministère visant à améliorer l’intégrité des données du SGRH ». À cet effet, en février 2016, le CGM a décidé que les données du SGRH constitueront une source qui fait autorité pour les postes de RH et que les postes vacants depuis deux ans devront être abolis s’ils ne figurent pas au Plan des RH du Secteur.

1.2 Objectif et portée de l’audit

L’objectif du présent audit est de donner l’assurance qu’Affaires mondiales Canada a des mesures en place pour veiller à ce que les activités liées aux RH soient appuyées par des données exactes, complètes et présentées en temps opportun. L’audit informe également la haute direction des progrès réalisés relativement aux stratégies en matière de RH et aux plans d’action connexes pour répondre aux préoccupations liées au Système de gestion des ressources humaines (SGRH).

L’audit a permis d’examiner si Affaires mondiales Canada dispose d’un cadre de gestion pour appuyer l’intégrité des données du SGRH et si le SGRH fournit des renseignements de qualité, appuie les besoins stratégiques et facilite la prise de décisions et la production de rapports.

Le présent audit portait sur les employés canadiens actifs. Les données des ERP saisies dans le SGRH ont été exclues de l’audit, car elles ne sont pas utilisées pour la rémunération et ne sont pas présentement incluses dans les tableaux de bord de HCM. Les critères d’audit sont présentés à l’Annexe A.

2. Observations découlant de l’audit

Les observations suivantes sont basées sur l’examen de la documentation, l’analyse des données, les sondages en audit et les entrevues avec les principaux employés.

2.1 Structure de gouvernance pour l’intégrité des données

La gouvernance fait référence à la présence d’organismes de surveillance et elle est essentielle pour veiller à ce que les orientations, les plans et les mesures de la direction soient appropriées et responsables. L’équipe d’audit s’attendait à trouver une structure de gouvernance appliquée et bien définie, dotée de l’expertise technique permettant d’examiner et de surveiller l’intégrité des données du SGRH à Affaires mondiales Canada. Pour évaluation ce point, l’équipe d’audit a examiné les processus et les structures en place visant à informer, à diriger, à gérer et à surveiller les activités liées à l’intégrité des données (par rapport aux lignes directrices du modèle COBIT^{Note de bas de page 1} pour les pratiques exemplaires) afin de déterminer s’il y avait une représentation et une expertise appropriées au Ministère pour conseiller la haute direction relativement au plan d’action du Ministère sur l’intégrité des données. Notamment :

• la détermination des problèmes de qualité des données du SGRH;
• la détermination de la responsabilisation, des rôles et des responsabilités des intervenants touchés par le cycle de vie des données du SGRH;
• l’établissement d’une méthodologie pour évaluer les erreurs et un plan d’action pour mettre en place les activités permettant de maintenir en place de façon permanente la qualité des données  dans le SGRH;
• le fait de proposer aux fins d’approbation un niveau de tolérance acceptable pour les erreurs.

Dans l’ensemble, l’audit a permis de constater que la structure de gouvernance pour l’intégrité des données du SGRH est seulement partiellement définie et appliquée aux fins d’examen et de surveillance.  Plus particulièrement, la structure de gouvernance pour l’intégrité des données du SGRH se limite au Conseil exécutif et au CGM. Même si en 2016, deux présentations liées à l’intégrité des données du SGRH ont été faites au CGM par le groupe des Stratégies ministérielles des RH, Direction générale des services opérationnels (HSD-responsable de l’intégrité des données du SGRH), les membres de ces comités de gestion pourraient ne pas avoir les connaissances techniques approfondies en la matière pour résoudre les problèmes liés à l’intégrité des données du SGRH et aux plans d’action connexes.

2.2 Responsabilisation, rôles et responsabilités

L’équipe d’audit s’attendait à ce qu’Affaires mondiales Canada ait défini, consigné par écrit et communiqué la responsabilisation, les rôles et les responsabilités liés à l’intégrité des données du SGRH. Pour évaluer ce point, l’équipe d’audit a examiné les rôles et les responsabilités tels qu’ils sont définis par le Secrétariat du Conseil du Trésor (SCT) et le Ministère.

Dans l’ensemble, l’équipe d’audit a conclu que la responsabilisation, les rôles et les responsabilités liés aux données sur les ressources humaines étaient généralement définis au moyen des politiques et des directives du SCT. Affaires mondiales Canada n’a pas davantage défini ou consigné par écrit les rôles et les responsabilités liés à l’intégrité des données du SGRH.

La responsabilisation pour la gestion de l’information est attribuée à l’administrateur général par l’entremise de la Politique sur la gestion de l’information du SCT. La Directive sur les rôles et responsabilités en matière de gestion de l'information du SCT est émise en vertu de l’article 7 de la Loi sur la gestion des finances publiques (LGFP) et de l'article 3.4 de la Politique sur la gestion de l'information. La Directive indique que les gestionnaires de tous les niveaux d’un ministère sont aussi responsables de la gestion de l'information, laquelle fait partie intégrante de la prestation de leurs programmes et services et qu’ils ont la responsabilité d’assurer l'authenticité et l'intégrité de l'information.

L’équipe d’audit a constaté que les employés de HCM étaient conscients de leur responsabilisation, et avaient connaissance de leurs rôles et responsabilités liés à l’intégrité des données du SGRH. Cependant, les rôles et les responsabilités relatifs aux processus opérationnels liés à l’intégrité des données du SGRH pour tous les intervenants ne sont pas consignés par écrit. Par exemple, l’équipe d’audit a trouvé des incohérences dans les rôles et les responsabilités des bureaux de gestion des activités associés au maintien de l’intégrité des données, et elle a constaté qu’il n’y avait pas de responsabilités formelles pour l’examen de l’exactitude des données des RH dans les tableaux de bord et dans les rapports des RH avant la communication de ceux-ci à la haute direction ou aux organismes centraux. L’Annexe B illustre les rôles et les responsabilités de différents groupes pour améliorer la structure de gouvernance de la qualité des données d’Affaires mondiales Canada.

Recommandation 1 :

Le sous-ministre adjoint (SMA) du Secteur des ressources humaines (HCM) d’Affaires mondiales Canada doit consigner par écrit la responsabilisation, les rôles et les responsabilités liés à l’intégrité des données du SGRH, notamment un rôle d’expert technique pour conseiller la haute direction.

2.3 Surveillance de l’intégrité des données du SGRH

L’équipe d’audit s’attendait à trouver un processus pour faire le suivi de l’intégrité des données du SGRH, surveiller celle-ci et faire rapport à ce sujet, et pour prendre les mesures correctives nécessaires. Pour évaluer ce point, l’équipe d’audit a examiné les outils de surveillance pour déceler et enregistrer les transactions de la base de données et faire rapport sur la qualité des données. 

L’équipe d’audit a conclu qu’aucune analyse des risques n’avait été effectuée sur les erreurs de données [PRÉLEVÉ] Le CGM n’a pas reçu de mises à jour régulières sur la surveillance des taux d’erreurs de données ou les types d’erreurs de données. En juillet 2016, HCM a fourni une mise à jour au Comité de gestion ministérielle sur les postes d’employés canadiens et a présenté au Comité un taux d’intégrité des données du SGRH de 86 % ainsi qu’un plan d’action sommaire doté de mesures correctives. Malgré les pratiques de surveillance en place, il est difficile pour HCM d’être pleinement conscient des sources d’erreurs qui touchent l’intégrité des données du SGRH et de savoir si les mesures correctives étaient efficaces.  

Le groupe Service de soutien en RH et gestion des priorités (HSOA) effectue plus de 200 requêtes quotidiennes, bimensuelles et mensuelles pour déceler les problèmes de données et il présente des rapports d’erreurs aux propriétaires des données aux fins de correction (adjoints aux RH et conseillers en RH). Les conseillers en RH examinent leurs dossiers et les preuves documentées disponibles afin d’appuyer la correction des données fournies par le gestionnaire subdélégataire. HSOA fournit aux propriétaires des données les outils et la formation nécessaires pour renforcer la qualité des activités de surveillance des données. Cependant, un niveau de tolérance permettrait d’orienter les priorités relatives à la gestion de l’information, d’améliorer les cadres opérationnels, de contrôle et de surveillance, et possiblement de donner lieu à un examen des rôles et des responsabilités. La surveillance actuelle ne fournit pas d’information sur les taux d’erreur de l’intégrité des données du SGRH. Plus précisément :

• HSOA ne conserve pas de registre des erreurs de données relativement à ses activités de surveillance, comme la date à laquelle les erreurs ont été décelées et corrigées, les raisons à l’origine des erreurs, la fréquence des erreurs ou des mesures correctives visant à atténuer la probabilité que le même type d’erreur se reproduise.
• Il n’y a pas de procédures consignées par écrit pour veiller à ce que les corrections aient été faites, aucun formulaire système normalisé n’est utilisé pour recevoir l’information sur la correction des données, et le Formulaire système normalisé de demande de services en RH n’est pas toujours utilisé pour la saisie des données.
• Aucun rapport de surveillance des erreurs n’a été présenté à un comité de la haute direction pour la période visée. Il n’y avait aucun procès-verbal indiquant que la haute direction était d’accord avec les objectifs et les paramètres liés à conformité, au rendement et aux risques, à la classification, à la relation entre les objectifs et les paramètres, et à la conservation des données (preuve).

Recommandation 2 :

Le SMA de HCM doit effectuer une analyse des risques comme point de départ pour déterminer un niveau de tolérance pour les erreurs de données du SGRH et obtenir l’approbation de la haute direction à cet égard.

2.4 Contrôles relatifs aux processus opérationnels pour l’intégrité des données

2.4.1 Saisie des données

Octroyer les accès utilisateur

L’équipe d’audit s’attendait à trouver en place un cadre de contrôle du processus opérationnel défini et consigné par écrit pour les saisies de données. Elle a examiné les mesures de contrôles opérationnels en place entourant l’octroi des accès utilisateur et les rôles dans le SGRH.

L’équipe d’audit s’attendait à ce que l’accès utilisateur soit octroyé au besoin pour les employés actifs. Étant donné que le risque le plus élevé pour l’intégrité des données est attribué aux utilisateurs ayant la capacité de modifier les données, tous les utilisateurs à qui on a octroyé un rôle de modification ont été choisis à partir de la liste des utilisateurs du SGRH.

L’équipe d’audit a conclu que les mesures de contrôles étaient adéquates pour l’octroi des accès utilisateur, ainsi que pour les activités de surveillance connexes. Ces mesures de contrôles étaient conformes à la Norme opérationnelle de sécurité du SCT : Gestion de la sécurité des technologies de l’information. Les utilisateurs du SGRH avaient des accès appropriés et avaient reçu de la formation.

Approuver les demandes de service en RH

L’équipe d’audit s’attendait à ce que l’approbation permettant de lancer une mesure de classification et/ou de dotation soit en conformité avec la délégation de pouvoirs, comme cela est précisé sur le Formulaire système normalisé de demande de service en RH. Le Formulaire de demande de service en RH comprend deux types d’approbation : le pouvoir financier délégué et le pouvoir subdélégué en matière de RH. Pour vérifier que ce contrôle fonctionnait bien et que les employés détenant les pouvoirs délégués appropriés signaient les demandes, l’équipe d’audit a analysé toutes les demandes de service en RH de la période visée.

[PRÉLEVÉ]

Pouvoirs financiers délégués. Pour la période visée, il y avait 9 349 demandes de service en RH en matière de dotation et de classification enregistrées dans le SGRH ayant une section approuvée sur les finances qui contient les noms de 699 employés. L’équipe d’audit a constaté que 34 employés sur 699 (4,9 %) dont le nom était indiqué sur la demande ne détenaient pas les pouvoirs financiers délégués, comme cela est exigé sur le formulaire système normalisé. La portée de l’audit se limitait aux approbations qui avaient une incidence sur l’intégrité des données.

Pouvoirs subdélégués en RH. Pour la même période visée, il y avait 229 employés qui ont approuvé des demandes sous la section RH. L’équipe d’audit a constaté que 40 employés sur 229 (17,5 %) qui avaient approuvé les demandes n’avaient pas de pouvoirs subdélégués en matière de classification et/ou de dotation, comme cela est exigé sur le formulaire système normalisé.

De plus, l’équipe d’audit a constaté que les données ne sont pas saisies dans le SGRH seulement en fonction des demandes de service en RH. Par exemple, une feuille de calculs associée à l’application Assign-O-Matic (de l’Unité des affectations et de la gestion des bassins communs) ainsi que d’autres demandes informelles et non consignées par écrit sont présentement acceptées pour effectuer une saisie de données. Les pouvoirs financiers délégués et les pouvoirs subdélégués en RH ont été respectés dans le cas de la feuille de calculs Assign-O-Matic. L’information provenant du système fait partie d’un processus opérationnel ministériel généralement accepté. L’information est communiquée aux adjoints aux RH pour veiller à ce que le SGRH contienne des données exactes sur ces employés. L’équipe d’audit n’a pas pu effectuer de tests pour assurer la conformité avec les pouvoirs financiers et les pouvoirs en RH lorsqu’une demande d’intervention des RH n’est pas consignée par écrit et communiquée de manière informelle.

Saisir des données dans le SGRH

L’équipe d’audit s’attendait à ce que la saisie des données dans le SGRH soit complète et traitée adéquatement. Pour évaluer ce point, l’équipe d’audit a sélectionné un échantillon de 60 employés pour lesquels des demandes de service en RH en matière de dotation ont été remplies pendant la période visée, et ont choisi la dernière demande des RH de la période. L’équipe d’audit a aussi effectué des procédures de mise à l’essai sur 1 653 postes à partir de la base de données Assign-O-Matic. L’information relative à la demande de service en RH en matière de dotation et celle dans Assign-O-Matic a été comparée avec les données du SGRH et aucun écart important n’a été trouvé. L’équipe d’audit a aussi constaté que le Centre des services de paye de la fonction publique (CSPFP) écrase les champs concernant la rémunération dans le SGRH tous les jours. Affaires mondiales Canada ne surveille pas de manière systématique les champs du SGRH susceptibles d’avoir été écrasés par le CSPFP.  

Recommandation 3 :

Le SMA de HCM doit veiller à ce que toutes les demandes de service en RH soient consignées par écrit et lancées au moyen d’un formulaire système normalisé afin de protéger l’intégrité des données dans le SGRH.

Recommandation 4 :

Le SMA de HCM doit assurer l’exactitude des champs concernant la rémunération dans le SGRH en faisant une réconciliation de ces champs lorsqu’ils sont écrasés par le Centre des services de paye de la fonction publique.   

2.4.2 Sorties de données

SGRH – Organigrammes

L’équipe d’audit s’attendait à ce que l’information contenue dans les organigrammes approuvés du client corresponde à l’information qui se trouve dans le SGRH.

De manière à déterminer si la base de données du SGRH représentait la situation réelle en date de février 2017, l’équipe d’audit a choisi neuf organigrammes approuvés dans des divisions d’Affaires mondiales Canada. L’équipe d’audit a eu de la difficulté à produire ces organigrammes à partir du SGRH en utilisant l’outil d’établissement d’organigrammes de Business Intelligence (BI); il manquait 35 postes client sur 201 (17 %).

L’outil d’établissement d’organigrammes de BI utilisé pour générer des organigrammes à partir du SGRH n’était pas correctement calibré et produisait des organigrammes erronés. Cette situation peut expliquer les préoccupations de la haute direction recueillies pendant l’enquête préliminaire concernant l’exactitude des données et des organigrammes du SGRH. L’outil d’établissement d’organigrammes de BI a maintenant été corrigé par HCM et il fonctionne comme prévu.

Des neuf échantillons d’organigrammes approuvés du client, l’équipe d’audit a examiné l’exactitude des données du SGRH pour un total de 212 postes. L’équipe d’audit a constaté que 19 postes apparaissaient dans le SGRH, mais pas dans l’organigramme approuvé du client, car HCM n’avait pas encore aboli les postes dans le SGRH. Neuf champs reproduits sur les organigrammes approuvés du client ont été comparés avec les renseignements contenus dans le SGRH, à savoir : le titre, le numéro de poste, le nom de l’employé, la catégorie, la classification, les exigences linguistiques, et le nom et le numéro de poste du superviseur. L’équipe d’audit a pu comparer 1 784 champs et a trouvé 337 écarts (19 %) associés à ces 212 postes, ce qui représente un taux d’intégrité des données du SGRH de 81 %.

Afin de restaurer l’intégrité des données du SGRH, les neuf clients sélectionnés devaient présenter un total de 109 demandes de services en RH. L’équipe d’audit a constaté que 66 demandes sur 109 (61 %) avaient été lancées par le client et étaient en cours de traitement par HCM. Les autres 39 % n’avaient pas été présentées par les clients et, par conséquent, HSD est incapable d’apporter les corrections dans le SGRH. Les demandes de services en RH qui ne sont pas présentées ou qui sont présentées en retard ont une incidence sur l’intégrité des données dans le SGRH.

L’équipe d’audit n’a pas évalué le respect des délais associés à l’intégrité des données dans le SGRH du point de vue de la portée, car les normes de service de HCM faisaient l’objet d’un examen. Il y a un audit de la prestation de services en RH de HCM dans le Plan d’audit axé sur le risque du Bureau du dirigeant principal de l’audit pour 2016-2019.

Tableau de bord de l’effectif en date du 31 décembre 2016

L’équipe d’audit s’attendait à ce que des mesures de contrôle soient en place pour vérifier l’exactitude des tableaux de bord de l’effectif avant que ceux-ci ne soient diffusés à la haute direction. L’équipe d’audit a utilisé le tableau de bord de l’effectif de décembre 2016 et a comparé les résultats avec ceux de la base de données du SGRH au 31 décembre 2016. Elle a constaté une différence de dix employés par rapport au nombre total d’employés; il n’y avait aucune mesure de contrôle permettant de vérifier l’exactitude des données avant la diffusion du tableau de bord à la haute direction.

Rapport de surveillance sur la Politique de classification du SCT (2016)

L’équipe d’audit s’attendait à ce que des mesures de contrôle soient en place pour vérifier l’exactitude des rapports des RH avant que ceux-ci ne soient diffusés aux organismes centraux. En septembre 2016, Affaires mondiales Canada a fait état au SCT d’une représentation équitable et exacte du programme de classification au sein de son Ministère. L’équipe d’audit a sélectionné des données saisies, indiquées par catégorie de mesures de classification, et les a comparées avec les données du SGRH pour la même période allant d’avril 2015 à août 2016.

L’équipe d’audit n’a trouvé aucune mesure de contrôle pour vérifier l’exactitude et l’exhaustivité des données dans le Rapport 2016 de surveillance sur la Politique de classification du SCT avant la communication de celui-ci aux organismes centraux. Le Centre d’expertise en classification (HSOE) n’a pas pu fournir la méthodologie utilisée pour produire le nombre d’activités des RH pour la période visée. Par conséquent, l’équipe d’audit n’a pas été en mesure de confirmer le nombre de mesures de classification signalées au SCT. HSOE a développé un Plan d’action provisoire en matière de classification pour 2017 afin de mieux faire rapport au SCT en 2018. Le Plan souligne les limites du SGRH associées à l’intégrité des données et aux activités de surveillance. Voici des exemples de limites :  

• Une demande de service en RH en matière de classification peut faire référence à plusieurs mesures, mais le système n’en compte qu’une;  
• Les saisies de données en lots, comme les postes abolis ou les changements apportés aux codes de service, ne sont pas saisies comme des mesures de classification en RH;
• Ce ne sont pas tous les clients qui ont utilisé le formulaire système normalisé de demande de service en RH en matière de classification pour lancer leurs demandes.  

Information relative à la rémunération envoyée au prestataire de services tiers

L’équipe d’audit s’attendait à ce que des mesures de contrôle adéquates soient en place pour assurer l’intégrité de l’information relative à la rémunération qui a été renvoyée au Centre des services de paye de la fonction publique.

Une demande d’intervention de paye (DIP) doit être remplie pour toutes les demandes relatives à la paye ou les demandes d’information générale présentées au Centre des services de paye de la fonction publique (CSPFP). Le processus opérationnel qui consiste à créer une DIP est illustré à l’Annexe C. La Direction générale des relations en milieu de travail et santé organisationnelle (HWD) a envoyé 13 330 DIP au CSPFP entre janvier et décembre 2016. Affaires mondiales Canada n’a pas mis en place de mesures de contrôle au-delà de ce qui est demandé par le CSPFP pour assurer l’intégrité des données relatives l’information sur la rémunération envoyée au CSPFP, à l’exception du champ source fiable qui fait l’objet d’un examen aux fins de conformité pour certaines demandes.

Cependant, l’équipe d’audit n’a décelé aucun écart dans sept champs critiques du SGRH sur les 21 mis à l’essai dans le cadre des procédures d’audit liées aux entrants et aux extrants du SGRH. Notamment : le nom de famille, la date de naissance, le genre, le code linguistique, le code de classification, la classification de l’employé, et le statut à temps plein ou à temps partiel.

Recommandation 5 :

Le SMA de HCM doit faire en sorte que les rapports des RH remis à la haute direction, aux organismes centraux et aux prestataires de services tiers soient correctement documentés et examinés pour en vérifier l’exactitude. 

3. Conclusion

En conclusion, Affaires mondiales Canada a des mesures en place pour veiller à ce que les activités liées aux RH soient appuyées par des données exactes, complètes et présentées en temps opportun. Cependant, il reste des secteurs importants pour lesquels l’intégrité des données peut être améliorée. Notamment :

• La structure de gouvernance en place fournit une surveillance limitée de l’intégrité des données du SGRH, car il manque une expertise technique approfondie pour déterminer les besoins et proposer des solutions, et pour permettre une discussion intégrée et détaillée sur la qualité des données du SGRH.
• Les rôles et responsabilités associés à l’intégrité des données du SGRH ne sont pas clairement définis.
• Même s’il existe un système en place pour faire un suivi, surveiller et faire rapport relativement à l’intégrité des données du SGRH, Affaires mondiales Canada n’effectue pas d’analyse des risques sur les erreurs de données[PRÉLEVÉ]
• [PRÉLEVÉ] La saisie des données dans le SGRH était exacte lorsque faite au moyen d’un formulaire système normalisé. Cependant, la saisie des données n’est pas toujours appuyée par des procédures établies et normalisées. Le taux d’intégrité des données du SGRH pour la période visée était de 81 %.
• L’outil d’établissement d’organigrammes de Business Intelligence (BI) n’était pas calibré de manière adéquate et générait des organigrammes erronés; il a été corrigé par la suite par la direction et il fonctionne maintenant comme prévu.
• Il n’y a pas de mesure de contrôle en place pour les sorties des données afin de vérifier l’exactitude des données des RH avant leur communication à la haute direction ou la présentation de rapports des RH obligatoires aux organismes centraux et aux prestataires de services tiers.

Annexe A : À propos de l’audit

Objectifs, critères, portée et méthodologie de l’audit

Objectifs et critères

L’objectif de l’audit est de donner l’assurance qu’Affaires mondiales Canada a des mesures en place pour veiller à ce que les activités liées aux RH soient appuyées par des données exactes, complètes et présentées en temps opportun. Cet exercice permettra d’examiner les mécanismes de gestion et de contrôle liés à la collecte et à l’utilisation des données d’Affaires mondiales Canada relatives aux RH par l’entremise de systèmes comme le SGRH.

Les critères suivants ont été utilisés dans le cadre de l’audit :

Critères

• 1.  Affaires mondiales Canada a un cadre de gestion en place pour appuyer l’intégrité des données du SGRH.

Sous-critères

• 1.1 Gouvernance. Le régime de gouvernance d’Affaires mondiales Canada associé au SGRH est bien défini et appliqué dans le cadre de l’examen et de la surveillance des besoins des intervenants et de l’intégrité des données.
• 1.2 Responsabilisation, rôles et responsabilités. La responsabilisation, les rôles et les responsabilités du personnel liés à l’intégrité des données du SGRH, comme la saisie, l’accès aux utilisateurs et la surveillance, sont définis, communiqués et consignés par écrit.
• 1.3 Cadre opérationnel. Le cadre opérationnel associé à l’intégrité des données du SGRH est défini par des politiques, des directives et des outils.
• 1.4 Cadre de contrôle. Le cadre de contrôle d’Affaires mondiales Canada comprend un équilibre approprié de mesures de prévention et de mesures de détection, ainsi qu’un équilibre approprié de mesures de contrôle manuel et automatisé, afin d’atténuer les risques à l’intégrité des données du SGRH.
• 1.5 Surveillance. Il existe un processus établi permettant de suivre et de surveiller l’intégrité des données, de produire des rapports à cet égard, et de prendre des mesures correctives au besoin.

Critères

• 2.  Le SGRH d’Affaires mondiales Canada fournit de l’information de qualité, appuie les besoins stratégiques et facilite la prise de décisions et l’établissement de rapports.

Sous-critères

• 2.1 Les Plans d’action visant à corriger l’information contenue dans les organigrammes du Ministère n’étaient pas efficaces.
• 2.2 L’accès des utilisateurs au SGRH a été accordé adéquatement et les niveaux de pouvoir pour l’approbation sont adéquats.
• 2.3 Des mesures de contrôle sont en place pour vérifier l’exactitude des tableaux de bord et des rapports relatifs aux RH avant leur diffusion.
• 2.4 Des activités de suivi liées à l’intégrité des données relatives aux ressources humaines sont efficaces et le recours à celles-ci peut être établi.
• 2.5 HCM veille à ce que l’information liée à la paye qui a été envoyée au Centre des services de paye de la fonction publique ait été vérifiée aux fins d’assurance de la qualité.

Portée

L’audit a mis l’accent sur la gouvernance, les processus et les mesures de contrôle, les outils et la formation à l’appui d’une intégrité adéquate des données sur les RH.

Plus précisément, en raison des problèmes liés aux prestataires de services tiers du gouvernement du Canada, l’audit a permis de faire l’examen de l’information qu’Affaires mondiales Canada envoie aux prestataires de services pour veiller à ce que le Ministère fournisse des données exactes et de qualité au Centre de paye.

L’audit portait sur la période allant du 1er janvier 2016 au 28 février 2017.

L’audit portait sur les employés canadiens, par conséquent, il excluait les activités liées aux employés recrutés sur place, car ces dernières ne sont pas utilisées pour la rémunération et ne sont pas présentement incluses dans les tableaux de bord de HCM. L’audit ne portait pas sur les activités touchant les missions à l’étranger. Il ne concernait pas non plus les services communs offerts par les autres ministères fédéraux (p. ex. la rémunération).

Méthodologie

L’audit a été mené conformément aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes et à la politique et à la directive sur l’audit interne du Conseil du Trésor. Ces normes exigent que l’audit soit planifié et réalisé de manière à obtenir une assurance raisonnable que l’objectif de l’audit est atteint. 

Afin d’atteindre les objectifs de l’audit, les méthodes suivantes ont été utilisées pour rassembler des preuves :

• Identification et examen des politiques, des directives et des lignes directrices pertinentes;
• Examen et analyse des documents pertinents liés aux opérations;
• Analyse des données;
• Entrevues auprès des fonctionnaires du Ministère;
• Passage en revue des processus et des systèmes, et détermination des principales mesures de contrôle;
• Sélection d’échantillons de transactions pour effectuer des mises à l’essai détaillées;
• Analyse des renseignements financiers et non financiers;
• Autres méthodes pertinentes jugées nécessaires par l’équipe d’audit;
• Utilisation de preuves recueillies dans le cadre d’études et d’audits antérieurs.

Annexe B : Rôles et responsabilités relativement à la qualité des données

Source : Adapté à partir du modèle COBIT 5 – Préparé par l’équipe d’audit et approuvé par le Secteur des ressources humaines d’Affaires mondiales Canada (HCM).

Annexe C : Processus opérationnel – Diagrammes

Source : Diagramme du processus de Demande de service en RH, préparé par le Bureau du dirigeant principal de l’audit, approuvé par le Secteur des ressources humaines (HCM) d’Affaires mondiales Canada.

Source : Diagramme du processus de Demande de service en RH, préparé par le Bureau du dirigeant principal de l’audit, approuvé par le Secteur des ressources humaines (HCM) d’Affaires mondiales Canada.

Source : Diagramme du processus de Demande d'intervention de paye, préparé par BDPA, approuvé par l’Unité de rémunération (HSSP) d’Affaires mondiales Canada

Annexe D : Plan d’action de la direction