Système RH-SAP

Rapport de vérification interne

7 juillet 2005

Sommaire

À la demande du directeur général de la Direction des ressources humaines (DRH), la Direction générale de l'examen du rendement a effectué un examen préliminaire afin de déceler les problèmes liés à la gestion des ressources humaines.

À la suite de cet examen, trois révisions/vérifications ont été établies et entreprises. Le présent rapport porte sur la vérification et l'évaluation du système RH-SAP.

L'objectif global de la vérification est d'évaluer la fonctionnalité du système RH-SAP :

• En consignant les contrôles de système et en évaluant l'exactitude et l'utilisation du système;
• En évaluant la précision et l'intégrité de l'information provenant de l'application;
• En évaluant l'efficacité et l'efficience du système pour cerner les éléments à améliorer;
• En revoyant et en évaluant la pertinence des autorisations d'accès afin d'assurer la protection de la confidentialité des renseignements personnels;
• En faisant une analyse du nombre de personnes requises pour tenir à jour et améliorer le système en comparant avec des organismes semblables;
• En évaluant dans quelle mesure le module RH-SAP répond aux besoins de la DRH et de l'Agence dans son ensemble.

Nous pouvons conclure que la fonctionnalité requise pour répondre aux besoins de la DRH et de l'Agence dans son ensemble a été implantée. Cependant, des éléments qui pourraient être améliorés en ce qui a trait à l'efficacité, à l'efficience et à l'intégrité des données ont été décelés dans les processus opérationnels et dans l'établissement des rapports. Il faut trouver des occasions d'améliorer le cadre de contrôle en ciblant spécifiquement l'amélioration du suivi des modifications apportées aux éléments des données permanentes et en effectuant des analyses périodiques de la qualité des données. Un cadre adéquat a été établi pour la conception de l'octroi des privilèges d'accès aux utilisateurs mais il y a actuellement des problèmes au niveau de la mise en oeuvre technique par l'entremise de la fonctionnalité de sécurité de l'application SAP.

Les résultats de l'analyse comparative effectuée indiquent que le groupe de soutien du RH-SAP est plus grand à l'Agence que dans les organismes analysés.

Les principales observations et recommandations qui découlent de la vérification sont les suivantes :

• La DRH devrait modifier les processus opérationnels entourant les nominations intérimaires afin de permettre l'intégration de toutes les nominations intérimaires à des postes EX dans le système RH-SAP et s'assurer que le système tienne compte à temps de toutes les nominations intérimaires qui prennent fin;
• La DRH, en collaboration avec la DGGIT et les autres directions générales, devrait établir un ensemble de procédures de contrôle périodiques et de rapports dont les gestionnaires responsables au sein de l'Agence assureraient le suivi et la révision;
• La Direction de la rémunération et des avantages sociaux devrait effectuer une fois par année un rapprochement des données sur la classification des employés/des postes et sur les taux de traitement qui sont consignées dans le SAP par rapport à l'information enregistrée dans le Système de paye en direct;
• La DGGIT, en collaboration avec la DRH et le groupe de soutien du SAP, devrait corriger la configuration de la fonction de sécurité pour les administrateurs de direction et leur enlever la possibilité de soumettre et d'approuver leurs propres demandes de congés et d'heures supplémentaires;
• La DRH et le groupe de soutien du SAP devraient élaborer des procédures de contrôle permettant aux gestionnaires responsables de revoir régulièrement le relevé des congés qui restent à prendre;
• La DGGIT, en collaboration avec le groupe de soutien du RH-SAP, devrait réviser la configuration des privilèges d'accès accordés aux agents d'administration de la Direction (AAD) afin de les empêcher de créer de nouveaux postes dans le système sans l'approbation de la Direction de la classification car c'est aux employés de la Direction de la classification qu'il appartient d'approuver les données relatives aux nouveaux postes, à leur classification et aux nouveaux employés, tel que cela est indiqué dans leurs rôles et responsabilités;
• La DGGIT devrait retirer l'accès à l'information sur les RH qu'ont les membres du groupe de soutien du SAP non-RH et les utilisateurs au sein de la DGGIT, non impliqués dans RH;
• La DGGIT devrait faire des Évaluations des facteurs relatifs à la vie privée (EFVP) conformément aux exigences du Conseil du Trésor;
• La DGGIT devrait retirer la capacité de voir les renseignements personnels en interrogeant directement les tables RH, retirer la capacité d'exécuter des rapports au moyen de la transaction SA38 et ajuster la configuration de la sécurité dans les rapports contenant de l'information sur les RH afin d'assurer la protection des renseignements personnels;
• La DGGIT devrait limiter l'utilisation des comptes génériques;
• La DGGIT devrait élaborer, en collaboration avec la DRH et le groupe de soutien du SAP, un ensemble de procédures de contrôle de sécurité permettant de déceler les risques d'irrégularité au niveau de l'accès afin d'y remédier;
• CRC devrait déterminer combien d'employés seront nécessaires dans le groupe de soutien du RH-SAP;
• La DRH devrait élaborer des cours de formation sur les procédés administratifs relatifs aux RH (différents des cours de formation sur l'introduction des données dans le SAP) pour élargir les connaissances que les utilisateurs ont sur les procédés administratifs et sur les exigences de la politique;
• Le groupe de soutien du système RH-SAP devrait examiner les rapports que les utilisateurs des RH de l'Agence doivent produire afin de déterminer si les rapports actuellement disponibles répondent à leurs besoins.

---

1. Contexte

À la demande du directeur général de la Direction des ressources humaines (DRH), la Direction générale de l'examen du rendement a effectué un examen préliminaire afin de déceler les problèmes liés à la gestion des ressources humaines.

À la suite de cet examen, trois révisions/vérifications ont été établies et entreprises. Le présent rapport porte sur la vérification et l'évaluation du module RH-SAP exploité à l'Agence.

Aperçu des modules ressources humaines du système SAP.

Le module ressources humaines du système SAP qui est exploité à l'Agence se divise en trois applications principales - Administration du personnel (PA), Gestion organisationnelle (PD) et Gestion du temps. La sous-application PA comprend les renseignements sur les employés et sur leur classification. La sous-application PD couvre la gestion organisationnelle, la classification des postes et les autres renseignements sur la structure organisationnelle. La fonctionnalité Gestion du temps sert à saisir les demandes de congés et de rémunération des heures supplémentaires et à fournir une approbation électronique aux demandes faites par les superviseurs des employés visés.

Le nouveau tableur Système de prévision des salaires (SPS) du SAP a été implanté le 1^er avril 2004. Il utilise les renseignements sur les salaires saisis pour les employés de l'Agence au moyen de l'application SAP et indique essentiellement le budget qu'il reste pour les salaires à verser au cours d'une année financière/budgétaire donnée. En mars 2004, le système de prévision des salaires de l'Agence n'était pas intégré au SAP.

Infotypes

Un « infotype » regroupe des zones connexes d'information dans l'application SAP et l'information emmagasinée dans le fichier personnel en direct d'un employé est organisée selon le concept « infotype ». Par définition, un « infotype » est un écran dans lequel on saisit des éléments précis d'information. Par exemple, l'« infotype » 0002 contient les données personnelles (nom, date de naissance, NAS) de tous les employés, et l'« infotype » 0008 contient les données sur la rémunération de base/annuelle. Étant donné que le fonctionnement du système est fondé sur ce concept, les renseignements personnels et les données sensibles contenues dans les « infotypes » doivent être protégés adéquatement pour empêcher que des personnes non autorisées y aient accès ou puissent les modifier.

---

2. Objectifs, étendue et méthodologie

2.1 Objectifs L'objectif global de la vérification est d'évaluer la fonctionnalité du système RH-SAP.

Révision des processus du système RH-SAP (chapitre 3.1)

• Pour documenter les contrôles de système et évaluer l'exactitude et l'utilisation du système;
• Pour évaluer la précision et l'intégrité de l'information provenant de l'application;
• Pour évaluer l'efficacité et l'efficience du système et cerner les éléments à améliorer;
• Pour revoir et évaluer la pertinence des autorisations d'accès afin d'assurer la protection de la confidentialité des renseignements personnels;

Analyse comparative de la structure du groupe de soutien du SAP (chapitre 3.2)

• Pour faire une analyse du nombre de personnes requises pour tenir à jour et améliorer le système en comparant avec des organismes semblables du secteur publique qui utilisent le système RH-SAP (deux organismes du gouvernement fédéral et deux autres organismes);

Évaluation de la fonctionnalité RH-SAP (chapitre 3.3)

• Pour évaluer dans quelle mesure le module RH-SAP répond aux besoins de la DRH et de l'ACDI dans son ensemble.

2.2 Étendue

La vérification a été axée sur l'évaluation de la fonctionnalité de l'application RH-SAP. Une analyse détaillée de la configuration du système a notamment été effectuée ainsi que l'examen de la configuration des privilèges d'accès accordés aux utilisateurs. Les processus et procédures liés à l'intégrité des données dans l'application ont également été évalués, notamment l'utilisation des rapports de contrôle pour la vérification des données après qu'elles ont été introduites dans le système.

L'évaluation du nouveau tableur Système de prévision des salaires (SPS) a été exclue de la vérification car il n'avait pas encore été implanté le 31 mars 2004. Les processus, les procédures et le cadre de contrôle global qui sont en place dans l'application Système de paye en direct (SPD) que le ministère des Travaux publics et des services gouvernementaux du Canada (TPSGC) utilisent ont aussi été exclus de la vérification.

La vérification a porté spécifiquement sur la révision et l'évaluation du cadre de contrôle et sur la fonctionnalité de l'application RH-SAP.

2.3 Méthodologie

Cette vérification a été effectuée conformément à la politique du Conseil du trésor en matière de vérification interne et conformément aux normes de vérification de l'Institut des vérificateurs internes. La vérification a été effectuée du 10 février 2004 au 31 mars 2004. Notre approche a été la suivante :

• Recueillir de l'information sur les problèmes liés au système RH-SAP en analysant deux autres vérifications internes des RH récemment effectuées ainsi que l'examen préliminaire de la fonction RH;
• Établir les objectifs de contrôle interne de la fonctionnalité RH-SAP implantée à l'Agence par rapport auxquels il sera possible d'effectuer l'analyse détaillée des contrôles utilisés;
• Recueillir de l'information sur la fonctionnalité RH-SAP, les processus administratifs et le cadre de contrôle qui sont en place actuellement pour assurer l'exactitude et l'intégralité des données grâce à un certain nombre d'entrevues sélectives et à une analyse de la mise au point du système;
• Revoir et analyser la documentation relative aux processus du système RH-SAP que les répondants auront fournie;
• Effectuer une évaluation de l'efficacité et l'efficience du système SAP et des processus;
• Effectuer une analyse des contrôles clés du système RH-SAP, y compris une analyse des privilèges d'accès accordés aux utilisateurs pour exécuter les fonctions liées aux RH, une analyse de la protection des renseignements personnels et une analyse des règles de validation de la configuration des données;
• Accumuler des données sur la composition et le nombre d'employés faisant partie du groupe de soutien du système RH-SAP en faisant remplir des formulaires d'enquête au sein des organismes étudiés (secteur public et autres organismes) dans le cadre de l'analyse comparative du RH-SAP;
• Effectuer une analyse comparative de la composition et du nombre d'employés du groupe de soutien du système RH-SAP en utilisant des organismes semblables à l'Agence.

Les objectifs de contrôle et les critères de vérification sont expliqués dans l'Annexe B.

La description des processus et du cadre de contrôle figure à l'Annexe C. La présentation du cadre de contrôle a été utilisée pour analyser et cerner les forces et les faiblesses des contrôles internes associés au travail de vérification du RH-SAP. Elle a aussi été utilisée pour examiner si les objectifs et les assertions spécifiques ont été atteints avec les procédures de contrôle existants.

---

3. Observations et recommandations

3.1 Observations découlant de la révision des processus du système RH-SAP

Les observations suivantes découlent des entrevues menées auprès des membres du groupe de soutien et des utilisateurs du RH-SAP et d'un examen de la documentation expliquant la configuration du système et les profils d'accès ainsi que la conception des processus administratifs exécutés. La pertinence de l'octroi des privilèges d'accès aux utilisateurs a aussi été examinée ainsi que la configuration des profils d'accès au SAP.

Données de base sur les RH

Dans l'ensemble, l'intégrité des données de base sur les RH est assurée grâce à l'implantation de vérifications et de validations dans le système qui sont actuellement en application dans le module RH. Par exemple, en ce qui a trait à l'embauche d'un employé, l'application a été configurée avec des routines préétablies pour amener les utilisateurs aux écrans dans lesquels il faut introduire des données, les champs à remplir ont été configurés dans les écrans et les privilèges d'accès requis pour exécuter des opérations de mise à jour n'ont été accordés qu'aux personnes autorisées.

Il a toutefois été constaté que certains déplacements de personnel (par exemple les nominations intérimaires à des postes EX qui n'ont pas d'incidence sur la paye) ne sont pas consignés actuellement dans le système. Cela a un effet indésirable sur l'acheminement de l'approbation des congés ou des heures supplémentaires pour un employé occupant un tel poste car la structure organisationnelle n'a pas été mises à jour avec les données les plus récentes. Par exemple, si un employé de niveau EX-01 remplit des fonctions de niveau EX-02, aucune modification n'est faite dans le RH-SAP avant la fin d'une période de trois mois, car aucune modification n'a besoin d'être apportée à la feuille de paye. Il a de plus été constaté que l'expiration des affectations intérimaires n'est pas prise en compte à temps. Lorsqu'une affectation intérimaire prend fin, l'utilisateur doit intervenir dans l'application car si les mises à jour ne sont pas faites correctement pour tenir compte des déplacements de personnel, cela affecte l'intégrité et l'exactitude de l'ensemble des données dans l'application RH.

Cela a pour conséquence que le solde des congés qui restent à prendre ne sera peut-être pas mis à jour à temps ou que les heures supplémentaires à payer à un employé ne lui seront peut-être pas versées à temps. Par ailleurs, il se pourrait que des demandes de congés ou de temps supplémentaire soient approuvées par une personne qui n'est pas autorisée à le faire et qui est en train de supprimer d'anciens dossiers du système.

Bien que les contrôles intégrés dans le système soient appropriés, on a aussi constaté durant la vérification qu'il existe des occasions d'améliorer les procédures de vérification de l'intégrité des données. Plus spécifiquement, un certain nombre des processus de validation manuels ou de contrôle (c.-à-d. non intégrés dans le système) qui existent actuellement, qui sont normalement mis en place pour déceler les erreurs dans les données saisies, pourraient être améliorés. Actuellement, aucun processus officiel n'est en place pour permettre aux gestionnaires responsables au sein des directions générales ou à des employés de la DRH de réviser et approuver régulièrement l'information contenue dans le RH-SAP. Il faudrait notamment réviser la structure organisationnelle et les nominations de personnel dans le SAP (au niveau de la direction générale) ou comparer les données de paye du système à celles du Système de paye en direct des TPSGC que la Direction de la rémunération et des avantages sociaux utilise. Le Système de paye en direct contient des renseignements plus précis sur la paye et les avantages sociaux et les employés de l'Agence sont actuellement payés à l'aide de ce système. En comparant les données de paye à celles de cette source d'information, l'intégrité des données contenues dans le SAP en matière de rémunération et de classification des employés pourrait être améliorée.

Références (pour de plus amples renseignements, voir l'Annexe C - Cadre de contrôle du système RH-SAP) :

• Faiblesse n° 1 dans les contrôles - nominations intérimaires;
• Faiblesse n° 2 dans les contrôles - rapports de contrôle sur les données de base des RH;
• Faiblesse n° 3 dans les contrôles - rapprochement des données du SAP avec celle du Système de paye en direct des TPSGC.

Recommandations

1. Il est recommandé que la DRH modifie les processus opérationnels entourant les nominations intérimaires afin de permettre l'intégration de toutes les nominations intérimaires dans le système RH-SAP, que cela ait ou non une incidence sur la paye. Il est aussi recommandé que le système tienne compte à temps de toutes les nominations intérimaires qui prennent fin.

2. Il est recommandé que la DRH établisse, en collaboration avec la DGGIT et les directions, un ensemble de procédures de contrôle périodiques et de rapports dont les gestionnaires responsables au sein de l'Agence assureront le suivi et la révision. La révision périodique servira à évaluer l'intégrité de la structure organisationnelle actuelle et des nominations de personnel dans un secteur de responsabilité spécifique et permettra de déceler les nominations intérimaires qui n'ont pas été consignées ou celles qui ont pris fin et n'ont pas été consignées. Il est aussi recommandé que cette révision soit exécutée au moins à tous les quatre mois et que le processus soit facilité et contrôlé par la DRH.

3. Il est recommandé que la Direction de la rémunération et des avantages sociaux fasse une fois par année un rapprochement des données sur la classification des employés et des postes et sur les taux de traitement, données consignées dans le SAP par rapport à l'information enregistrée dans le Système de paye en direct.

Réponses de la direction

1. Admet que la rationalisation des autorisations de congés et d'heures supplémentaires est nécessaire pour tenir compte des nominations intérimaires à des postes EX qui n'entraînent pas de modifications aux taux de rémunération, mais n'est pas d'accord avec le plan d'action correctrice proposé.

Les agents d'administration de la Direction (AAD) peuvent maintenant modifier les rapports hiérarchiques pour tenir compte des nominations intérimaires dans le système SAP sans avoir à modifier la configuration du système.

La Direction des ressources humaines (DRH) accepte de rappeler aux AAD la nécessité de modifier les rapports hiérarchiques entre les employés lorsque quelqu'un est nommé à un poste EX de façon intérimaire et de veiller à ce que cette procédure soit révisée dans le cadre des opérations régulières de contrôle du système RH-SAP.

2. D'accord. La DRH, en collaboration avec la DGGIT et les directions, va trouver les outils de contrôle appropriés pour permettre au gestionnaire responsable au sein de l'Agence de revoir périodiquement les nominations intérimaires au sein de sa propre direction. La DRH va aussi évaluer l'intégrité de la structure organisationnelle de l'ACDI dans son ensemble.

Les rôles et responsabilités vont être définis et un processus va être installé dans le cadre du Projet d'amélioration du système RH-SAP (PASS).

Processus opérationnel et définition des rôles et responsabilités dans le cadre du Projet d'amélioration du système RH-SAP (PASS).

3. D'accord. Des fichiers sont en train d'être créés pour comparer les données du Système de paye en direct à celles du RH-SAP sur la classification des employés/postes et sur l'échelle des salaires.
Cela se fait dans le cadre du PASS - amélioration du contrôle de la qualité.

Saisie des congés et des heures supplémentaires

L'ACDI a mis au point une solution spécifique pour créer/saisir les demandes de congés et les droits à des heures supplémentaires. Dans ce modèle administratif, les employés sont responsables d'entrer leurs propres demandes de congés, d'entrer leurs demandes d'approbation des heures supplémentaires travaillées et de choisir la façon dont ils souhaitent être compensés pour les heures supplémentaires effectuées (c.-à-d. temps en banque ou temps payé). Lorsque la demande est entrée, le système SAP vérifie automatiquement si la demande est conforme aux dispositions de la convention collective applicable à cet employé. Le superviseur de l'employé est alors responsable d'examiner la demande et de l'approuver en la « déverrouillant » afin qu'elle soit acheminée vers la base de données, enregistrée et réglée (c.-à-d. banque de temps ou paiement).

Dans l'ensemble, les rôles d'accès au SAP pour les employés et les superviseurs ont été configurés adéquatement pour permettre l'exécution des processus administratifs expliqués ci-dessus. Cependant, lorsque ces droits d'accès ont été combinés aux autres droits d'accès dans le SAP, 31 agents d'administration de la Direction étaient autorisés à entrer et à autoriser/déverrouiller leurs propres demandes. Cela augmente le risque que des heures supplémentaires non autorisées soient payées car ces personnes peuvent entrer et autoriser leurs propres heures supplémentaires. Cela posait un problème et les gestionnaires ont pris la décision de contrôler la situation au moyen de processus de détection/contrôle.

Par ailleurs, aucun processus de révision périodique n'a été mis en place pour assurer l'intégrité des données sur les congés des employés. S'il n'y a pas de processus de détection/contrôle pour s'assurer que les employés enregistrent dans le SAP tous les congés qu'ils prennent, il se pourrait que des employés prennent plus de congés que ce à quoi ils ont droit ou que l'Agence paie des montants correspondant à des congés dont le compte n'est pas exact. Le système peut aider les gestionnaires à vérifier si les employés enregistrent ou non les congés qu'ils prennent.

Références (détails supplémentaires dans l'Annexe C - RH Artpack) :

• Faiblesse n° 4 dans les contrôles - approbation d'heures supplémentaires non autorisées
• Faiblesse n° 5 dans les contrôles - contrôle du nombre exact de congés qu'il reste à prendre

Recommandations

4. Il est recommandé que la DGGIT, en collaboration avec la DRH et le groupe de soutien du SAP, corrige la configuration de la fonction de sécurité pour les administrateurs de direction et leur enlève la possibilité de soumettre et d'approuver leurs propres demandes de congés et d'heures supplémentaires. Plus spécifiquement, il faudrait que les administrateurs de direction puissent soumettre leurs propres demandes mais qu'elles soient ensuite approuvées par leurs superviseurs.

5. Il est recommandé que la DRH et le groupe de soutien du SAP élaborent des procédures de contrôle permettant aux gestionnaires responsables de revoir chaque mois le relevé des congés qui restent à prendre.

Réponses de la direction

4. D'accord.
Cette recommandation a été mise à exécution conformément au document SR1733 et ce travail s'est terminé le 13 mai 2004.

5. D'accord. Il sera rappelé aux superviseurs et aux directeurs de centres de responsabilité qu'ils ont la responsabilité de vérifier régulièrement la fiche de congé de leurs employés pour s'assurer que les congés pris soient consignés correctement. La DRH va transmettre un rappel aux gestionnaires à ce sujet.

Un nouvel outil, le Manager Self Services (MSS), sera lancé le 25 septembre 2005 pour aider les gestionnaires à cet égard.

Gestion organisationnelle

La fonctionnalité gestion organisationnelle du SAP contient la structure organisationnelle active de l'ACDI, notamment la conception des unités spécifiques (c.-à-d. les directions générales) et les postes. Les différents postes sont créés comme étant des éléments des données de base et incluent le rapport hiérarchique entre le poste et sa classification/rémunération prévue dans la convention collective applicable. Lorsqu'un employé est embauché, il obtient les attributs du poste, y compris le salaire et la classification, et il est placé au bon endroit dans la structure organisationnelle. Il y a un lien avec l'intégration de l'Administration du personnel et la gestion organisationnelle dans le RH-SAP.

La mise à jour des données sur les postes à l'Agence est une responsabilité partagée entre les directions générales (agents d'administration de la direction et gestionnaires de direction générale) et la Direction de la classification. Le processus administratif actuel stipule que l'agent d'administration de la Direction est responsable de la création du nouveau poste ou de la modification des données sur un poste dans un statut « proposé » qui sera ensuite soumis à l'approbation du gestionnaire de la direction générale/responsable. Par la suite, l'agent de classification examine la classification et approuve ou rejette le poste. Si le poste est approuvé, il devient actif et il est introduit dans la structure organisationnelle de l'Agence. Le processus administratif de type « libre-service » devient de plus en plus populaire auprès des clients de SAP et le partage des fonctions d'entrée des données comme nous venons de le décrire ici va dans le sens de la tendance qui se dessine ailleurs autant dans le secteur public que dans le secteur privé. Dans ce nouveau modèle de processus administratif, les ministères qui sont les utilisateurs finaux (comme par exemple les directions générales) sont normalement responsables de l'entrée des données et une fonction de surveillance est assurée par un organisme central.

Les agents d'administration de la Direction ont actuellement dans le système SAP l'accès leur permettant de créer des postes, de leur attribuer une classification dans le SAP et de les rendre actif dans la structure organisationnelle de l'Agence. Ils ont aussi la capacité de nommer ou d'embaucher quelqu'un pour occuper ces postes. Lorsque ce type d'accès est combiné à l'accès qui permet la mise à jour des données sur les postes, il se crée un risque de séparation des responsabilités dans le SAP car des personnes peuvent être nommées à des postes ou embauchées dans des postes sans que la classification soit adéquate. Le risque de classification inadéquate et de non respect de la délégation de pouvoirs augmente aussi si l'agent d'administration de la Direction ou le gestionnaire responsable n'a pas actuellement lui non plus la classification ou la délégation de pouvoirs adéquate pour le poste. Pour annuler ce risque, le groupe de soutien du RH-SAP a mis au point un rapport de contrôle qui fournit la liste des nouveaux postes qui ont été créés et classifiés tous les jours. Ce rapport de contrôle est sensé être examiné par la Direction de la classification qui elle y apportera les corrections nécessaires selon ce qui aura été établi avec les directions générales. Il a été constaté cependant qu'actuellement, ce rapport n'est pas examiné chaque jour/régulièrement à cause de la charge de travail et des retards accumulés au sein de la Direction de la classification.

Références (détails supplémentaires dans l'Annexe C - RH Artpack) :

• Faiblesse n° 6 dans les contrôles - Tenue à jour du fichier principal des postes

Recommandation

6. Il est recommandé que la DGGIT, en collaboration avec le groupe de soutien du RH-SAP, révise la configuration des privilèges d'accès accordés aux AAD pour s'assurer que la configuration répond bien aux besoins. Une attention particulière devrait être accordée à la création et à l'activation des postes que l'AAD effectue car ils peuvent actuellement créer de nouveaux postes dans le système sans l'aide de la Direction de la classification. Cette nouvelle configuration devrait permettre à la Direction d'approuver les données sur les postes et sur leur classification pour les nouveaux postes ou les employés, tel qu'elles sont décrites dans leurs rôles et responsabilités.

Réponse de la direction

6. D'accord. Nous donnons déjà suite à cette recommandation grâce à un processus d'ordonnancement des opérations qui va permettre de retrouver l'approbation des différentes personnes dans la hiérarchie qui sont autorisées à approuver les données sur les postes consignées dans le système RH-SAP.

Au sein de la DGGIT, la section de la gestion des opérations travaille actuellement avec le groupe de soutien du RH-SAP. Par ailleurs, le rôle des administrateurs de direction est en train d'être revu pour limiter l'accès qu'ils ont au système lorsqu'ils créent un poste aux fins de classification.

Des directives sur les normes de service seront élaborées par la Section de la classification et elles seront communiquées aux AAD.

Ces directives seront élaborées dans le cadre du Projet d'amélioration du RH-SAP (PASS).

Protection de la confidentialité des renseignements personnels

Les applications de ressources humaines contiennent en général un certain nombre de renseignements personnels dont la confidentialité doit être protégée. Compte tenu du fait qu'il est important de savoir qui rejoindre en cas d'urgence et qu'il est important également que les données sur les salaires demeurent confidentielles (avec l'implantation de la fonctionnalité SFS), il est important que seulement les personnes autorisées soient capables de mettre à jour ces renseignements.

Au moment de l'implantation du RH-SAP en octobre 2000, une évaluation des renseignements enregistrés dans le système a été effectuée afin de cerner les éléments d'information qui ne devraient être vue par personne d'autre que les personnes désignées. Des exemples précis des données visées dans cette analyse comprennent notamment les renseignements sur l'équité en matière d'emploi et les qualifications personnelles. Les exigences du Conseil du Trésor stipulent qu'une Évaluation des facteurs relatifs à la vie privée (EFVP) doit être entreprise lorsqu'un changement de système important est effectué et que des renseignements personnels sont en cause. Au cours de la prochaine année financière, l'Agence prévoit implanter la nouvelle fonctionnalité SFS (Salary Forecasting System/Système de prévision des salaires), mais aucune EFVP n'a été entreprise à ce jour.

En général, même si la protection de la confidentialité des renseignements personnels semble adéquate dans l'approche/la structure qu'utilise l'Agence pour donner accès aux données sur les RH, certaines lacunes/anomalies ont été constatées au niveau de la configuration durant la vérification en ce sens qu'il est possible de contourner les contrôles clés qui sont prévus pour que les utilisateurs aient seulement accès aux données de leur propre secteur de responsabilité (c.-à-d. leur propre direction générale) lorsqu'il s'agit de produire des rapports RH.

Les deux exceptions dans la configuration ont trait à la visualisation et à la divulgation de l'information. La première exception est que le 22 mars 2004, plus de 1 700 personnes (c.-à-d. tous les employés et consultants de l'Agence) ayant un compte d'utilisateur ont eu accès aux tables de données RH grâce aux transactions de consultation des tables (transaction SE16 du SAP). Effectivement, cette configuration représente une « porte arrière » par laquelle les utilisateurs peuvent passer pour visualiser de l'information (y compris des renseignements sensibles sur les RH) qu'il n'ont pas besoin de voir pour faire leur travail. Cette configuration pourrait en outre occasionner des violations de la Loi sur la protection des renseignements personnels qui couvre notamment les employés du gouvernement.

La deuxième exception a trait à la configuration de la fonction du système SAP qui permet le « contournement » des contrôles de sécurité. Plus précisément, lorsque l'objet de l'autorisation P_ABAP est configuré avec des valeurs spécifiques et attribué aux utilisateurs, les contrôles de sécurité normaux du SAP qui s'effectuent lors de l'exécution des rapports RH sont désactivés. Par exemple, si le profil d'accès de l'utilisateur l'empêche de voir les données se rapportant aux employés qui ne sont pas dans son secteur de responsabilité (c.-à-d. sa direction générale), la configuration du contournement lui permettra de voir les données se rapportant aux autres employés dans des rapports s'il en demande la production (renseignements qu'il n'est pas autorisé à voir). Les autorisations d'accès accordées de cette manière donnent accès à toutes les données sur les RH apparaissant dans des rapports, même si le profil de l'utilisateur ne lui donne pas accès à ces données. Actuellement, 129 utilisateurs peuvent effectuer ce contournement.

La vérification du profil des utilisateurs finaux aux RH a révélé que 14 rôles/profils sont autorisés à exécuter les programmes directement (c.-à-d. autrement qu'en ayant accès grâce à des rapports/transactions spécifiques) parce qu'ils sont capables d'exécuter des programmes au moyen d'un mécanisme centralisé (la transaction SA38). L'effet de cette fonctionnalité consiste essentiellement à contourner les restrictions transactionnelles imposées aux utilisateurs. Ces transactions pourraient aussi donner accès à des rapports et transactions sensibles et par conséquent fournir un autre moyen d'accéder aux données sur les RH. Même si la configuration permet seulement aux utilisateurs de produire certains rapports spécifiques dans la fonction RH (grâce à l'utilisation de drapeaux pour les groupes d'autorisation et grâce à l'objet d'autorisation S_PROGRAM), il existe un certain nombre de rapports dans le SAP, notamment des rapports sur les RH, pour lesquels ce niveau de protection n'est pas disponible.

L'accès permettant de mettre à jour certains éléments d'information ou « infotypes » ou de visualiser certains « infotypes » sensibles est également accordé aux employés de soutien du SAP qui n'interviennent pas directement dans les opérations de soutien de modules RH. Cela inclut certaines personnes affectées aux applications financières du SAP ainsi que des membres de la DGGIT (par exemple les administrateurs de la sécurité informatique).

Un test spécifique a été effectué dans le cadre de la vérification pour examiner l'utilisation des comptes génériques dans le système. Les comptes/identificateurs génériques sont définis comme étant des comptes d'utilisateurs qui ne sont pas directement liés à une personne ou qui sont partagés à des fins de maintenance. Le groupe de soutien du RH-SAP a adopté une façon spécifique de nommer les utilisateurs de leur groupe. Plus précisément, les comptes de la série RHAIS ont été créés pour empêcher les utilisateurs d'appeler les membres du groupe de soutien du SAP directement si des modifications sont apportées aux renseignements sur un employé. Cependant, les membres du groupe de soutien du RH-SAP ont reçu un compte unique (c.-à-d. RHAIS01, RHAIS02, etc.), compte qui est lié directement à la personne par le nom qui apparaît dans la zone de texte simple du compte. Ils sont responsables de la confidentialité de leurs propres mots de passe. Enfin, le même compte RHAIS ne sera pas attribué à un nouvel employé au moment du départ du membre du groupe de soutien. Par conséquent, les comptes de la série RHAIS ne sont pas considérés comme étant des comptes génériques.

Néanmoins, certains comptes génériques donnent actuellement accès à des fonctions de maintenance ou à la visualisation de données sensibles. Les comptes WFADMIN, WFADMIN2, WFADMINTEST, WORKFLOW, PHOENIX et ACDI-CIDA, notamment, sont tous des comptes qui ont accès aux fonctions RH.

Références (détails supplémentaires dans l'Annexe C - RH Artpack) :

• Faiblesse n° 7 dans les contrôles - Accès accordé aux membres du groupe de soutien du système SAP non-RH
• Faiblesse n° 8 dans les contrôles - Évaluation des facteurs relatifs à la vie privée
• Faiblesse n° 9 dans les contrôles - Accès aux tableaux RH-SAP
• Faiblesse n° 10 dans les contrôles - Exécution des rapports RH-SAP
• Faiblesse n° 11 dans les contrôles - Rapports RH-SAP
• Faiblesse n° 12 dans les contrôles - Comptes génériques
• Faiblesses n° 13 dans les contrôles - Procédures de contrôle

Recommandations

7. Il est recommandé que l'accès accordé aux membres du groupe de soutien du système SAP non-RH et aux utilisateurs de la DGGIT soit revu et que l'accès à l'information sur les RH soit retiré.

8. Il est recommandé que la DRH fasse des Évaluations des facteurs relatifs à la vie privée (EFVP) conformément aux exigences du Conseil du Trésor.

9. Il est recommandé que la capacité de voir les renseignements personnels en interrogeant directement les tables RH (au moyen de la transaction SE16) soit retirée aux utilisateurs finaux par la DGGIT.

10. Il est recommandé que la capacité d'exécuter des rapports et des programmes au moyen de la transaction SA38, qui est un mécanisme central contournant les restrictions configurées applicables aux transactions et aux rapports, soit retirée des profils d'accès des utilisateurs finaux par la DGGIT.

11. Il est recommandé que la configuration de l'objet de l'autorisation P_ABAP soit revue et corrigée par la DGGIT.

12. Il est recommandé que la DGGIT limite l'utilisation des comptes génériques.

13. Il est aussi recommandé que la DGGIT, en collaboration avec la DRH et avec le groupe de soutien du système SAP, élabore un ensemble de procédures de contrôle de la sécurité axé sur la révision des listes d'utilisateurs qui ont accès aux renseignements personnels et aux données sensibles contenues dans les transactions de mises à jour et dans les « infotypes ». Le tout pour déceler les risques d'irrégularité au niveau de l'accès et y remédier.

Réponses de la direction

7. D'accord. Cette recommandation a été exécutée en correspondance avec le point 13, transaction SR 3462.

8. D'accord. Cependant, la responsabilité des évaluations incombe à la fois au propriétaire fonctionnel (la DRH) et au propriétaire du système (la DGGIT). La DGGIT offre un soutien aux propriétaires du système pour la préparation des EFVP préliminaires. Elle incorpore dans le module SR des procédures de développement du système qui permettent de déceler les modifications apportées aux systèmes et les demandes qui sont susceptibles de nécessiter des évaluations; qui permettent de s'assurer que les propriétaires du système et que le coordonnateur de la protection des renseignements personnels en sont informés.

Ces évaluations seront faites et elles seront modifiées au besoin.

Cela fait partie du Projet d'amélioration du RH-SAP (PASS).

9. D'accord. La transaction SR3194 a été enregistrée, adressée et complétée en décembre 2004.

10. D'accord. Les transactions SE38 et SA38 ont été retirées de la plupart des files de travaux via les transactions SR 2250 (files d'attente RH), SR3039 et SR3058.

Les files d'attente qui restent à traiter par les équipes fonctionnelles SAP et les équipes ABAP sont limitées par les programmes et sont nécessaires à leur travail. Par conséquent, elles ne peuvent pas être enlevées.

11. D'accord. Les files d'attente RH ont été révisées. La transaction SR3463 a été ouverte.

12. D'accord. Les comptes liés aux opérations (tel qu'il est indiqué à la page 17 du rapport de vérification) ne sont pas des comptes « génériques ». Comme dans le cas des comptes RHAIS, ils sont liés directement au personnel de soutien au moyen du nom qui apparaît dans la zone de texte du compte. Nous sommes en train de revoir l'accès à cette information (au moyen de la transaction SR 3314) pour qu'il soit limité. Les comptes « Phoenix » et « ACDI-ACDI » sont aussi en train d'être revus afin de n'accorder qu'un accès minimal à ces comptes.

13. D'accord. La transaction SR3462 a été ouverte et la configuration requise a été effectuée dans le système RH-SAP afin de donner suite à cette recommandation.

3.2. Observations découlant de l'analyse comparative de la structure du groupe de soutien du système SAP

L'analyse préliminaire effectuée avant que ne soient exécutées les vérifications spécifiques énumérées a révélé que la DRH dispose actuellement de 10 employés pour le soutien du module RH-SAP.

Un examen plus poussé des dix postes en question a permis de constater qu'un gestionnaire qui est compté dans ce nombre a également d'autres responsabilités, qu'il y a les personnes énumérées ci-dessous en date du 4 mai 2004, et qu'il y a actuellement un expert consultant en RH-SAP qui travaille à plein temps sur place pour fournir des conseils en matière de développement et d'implantation du Système de prévision des salaires :

• 2 agents principaux des systèmes RH;
• 3 agents des systèmes RH;
• 1 agent subalterne des systèmes RH;
• 2 experts consultants à plein temps;
• 2 consultants subalternes à plein temps;
• 1 consultant en RH-SAP à plein temps.

Le nombre total des personnes affectées au soutien du RH-SAP s'élève à onze.

Tableau 1 - Données comparatives

Secteur	Organ- isme 1 (secteur public)	Organ- isme 2 (secteur public)	Organ- isme 3 (secteur public)	Organ- isme 4 (secteur public)	ACDI
Fonctionnalité RH-SAP	PA, PD, Entrée de temps (CATS)	PA, PD, Entrée de temps, formation & évèn ements spéciaux, système de paye	PA, PD, Entrée de temps, formation & évèn ements spéciaux, système de paye	PA, PD	PA, PD, Temps
Nombre approximatif d'utilisateurs du RH-SAP (en excluant le libre- service)	500	2 000	2 500	290	300
Nombre d'employés	3 500	45 000	43 000	9 600	1 550
Nombre d'employés du Soutien	1,25	50	40	3,25	11
Nombre de consultants en RH-SAP dans le groupe de soutien	0,25 (program- meur)	5 (experts du module)	10 (experts du module, program- meurs)	0	4
Ratio groupe de soutien/ utilisateurs	1 pour 400	1 pour 40	1 pour 63	1 pour 90	1 pour27
Ratio groupe de soutien/ employés	1 pour 2800	1 pour 900	1 pour 1075	1 pour 2950	1 pour 141
Type de maintenance des données de base RH	Décen- tralisée	Décen- tralisée	Décen- tralisée	Centralisée	Décen- tralisée

Le tableau 1 contient les résultats de l'analyse comparative effectuée auprès de quatre organismes du secteur public qui utilisent actuellement certains éléments du module RH-SAP. Deux ratios importants, soit d'une part le nombre d'employés dans le groupe de soutien par rapport au nombre d'utilisateurs, et d'autre part le nombre d'employés dans le groupe de soutien par rapport au nombre d'employés, ont été calculés et utilisés comme base principale de comparaison en ce qui a trait à la structure de leur groupe de soutien par rapport à celle du groupe de soutien de l'Agence. Si on compare ces ratios, le groupe de soutien du RH-SAP de l'Agence devrait se situer entre 1 et 2 équivalents à plein temps.

Comme l'indique le tableau 1, les ratios de l'Agence, en termes de nombre de personnes dans le groupe de soutien par rapport au nombre d'employés actifs d'une part et par rapport au nombre d'utilisateurs d'autre part, sont beaucoup plus bas que dans les autres organismes, et près de la moyenne en ce qui concerne le nombre d'utilisateurs. Ces chiffres indiquent que le groupe de soutien du RH-SAP est trop nombreux à l'Agence. Cependant, il faut tenir compte d'autres considérations.

Plus spécifiquement, les différences suivantes ont été constatées :

• Des membres du groupe de soutien travaillent actuellement à l'implantation d'une nouvelle fonctionnalité (SFS);
• Le groupe de soutien dirige ou effectue actuellement des opérations relatives à la qualité des données à des fins de nettoyage, ce qui en réalité ne fait pas partie de son mandat; et
• Les autres organismes examinés dans le cadre de l'analyse comparative des super-utilisateurs de formation dans chaque groupe d'utilisateurs alors que l'Agence a conservé la notion de soutien centralisé.

Par ailleurs, le groupe de soutien du SAP respecte actuellement les délais fixés dans la convention particulière de services avec un minimum de cycles pour les employés surnuméraires, comme nous l'avons noté lors des entrevues menées. Enfin, comme la fonctionnalité SFS s'en va vers le mode production, des postes supplémentaires devront être créés au sein du groupe de soutien pour couvrir la nouvelle fonctionnalité et répondre aux besoins des utilisateurs finaux.

Si le groupe de soutien du SAP est réduit, les fonctions actuellement remplies par les membres du groupe devront être exécutées par les services administratifs. Il faudra notamment transférer la responsabilité de la qualité et de la vérification des données aux directions générales et aux services de soutien (c.-à-d. à la DGGIT) au sein de l'ACDI.

Recommandation

14. Il est recommandé que le CRC détermine combien d'employés seront nécessaires dans le groupe de soutien du RH-SAP une fois que le présent nettoyage aura été effectué et une fois que la fonctionnalité SFS aura été implantée.

Réponse de la direction

14. Admet que le niveau des ressources devrait être validé, mais propose que cela se fasse de concert avec les autres initiatives entreprises, en incluant celles recommandées dans le rapport du vérificateur, mais pas exclusivement ces dernières.

L'ACDI est le seul organisme gouvernemental de l'annexe I.1 de la loi sur la gestion des finances publiques qui utilise le système RH-SAP. Tous les autres organismes publics qui utilisent le système RH-SAP ont des modalités et conditions d'emploi ou des pratiques commerciales en matière de RH qui ne sont pas conformes, en totalité ou en partie, à celles de l'Agence. Par conséquent, il est inutile de se fier au nombre d'employés requis dans les autres organismes qui n'ont pas les mêmes besoins fonctionnels. Le maintien de l'intégrité des données et les coûts de formation entraînent constamment des investissements importants car le personnel qui est recruté pour l'Agence, qui provient d'autres ministères et qui est formé pour utiliser un système intergouvernemental partagé doit apprendre une nouvelle application avant d'être en mesure de fonctionner parfaitement bien à l'Agence. C'est ce qui explique en grande partie pourquoi l'Agence a toujours des besoins importants en termes de ressources pour le système RH-SAP spécifiquement.

L'ACDI est tout à fait au courant de cette situation et elle a en général toujours accepté, jusqu'à présent, le fait qu'un coût important est associé à l'utilisation du système SAP étant donné que les avantages qui en découlent l'emportent sur les coûts et sur les risques associés à la mise à jour du système RH-SAP.

Nous sommes d'accord avec les constatations du vérificateur que peu importe le modèle redditionnel choisi, il faut toujours des ressources pour assurer le soutien de l'application. La question est de savoir si les ressources seraient mieux gérées si la reddition des comptes était confiée à d'autres composantes de l'Agence.</li>

Initiatives en jeu :

1. L'intérêt de plus en plus marqué pour les services partagés dans toute l'administration fédérale pour ce qui est des fonctions « centrales » comme la gestion des RH incite les dirigeants de l'Agence à reconsidérer l'utilisation du système RH-SAP. D'autres systèmes sont en effet beaucoup plus largement utilisés au sein du gouvernement. La DRH va jouer un rôle important dans cette analyse, menée sous la direction du dirigeant principal de l'information. Elle cherchera notamment des façons d'optimiser l'utilisation des ressources affectées au RH-SAP afin que des services adéquats soient maintenus à un coût raisonnable pour l'Agence. Par la suite, les dirigeants se prononceront sur les avantages et les risques associés à l'utilisation à long terme du système RH-SAP.
2. La DRH enverra du personnel compétent afin de collaborer avec le groupe de soutien du RH-SAP pour effectuer la mise à jour des procédés administratifs relatifs à l'acheminement des données, configurer le système et déceler les faiblesses du système et assurer une meilleure formation des utilisateurs finaux. Nous croyons que si les procédés administratifs des RH sont bien documentés, surveillés et mis à jour par l'autorité fonctionnelle, il faudra moins d'investissements pour assurer la mise à niveau constante des connaissances sur le système et les interventions quotidiennes du personnel affecté au RH-SAP afin d'aider les utilisateurs.

Sous la direction du vice-président des RHSC, on effectue présentement un examen des trois modules SAP dont le conseil d'administration des RHSC est chargé d'assurer le soutien, afin de trouver des façons d'optimiser les ressources affectées au SAP. La DRH contribue à cet examen et veillera à la mise en application des décisions une fois qu'elles auront été prises.

3.3 Observations découlant de l'évaluation des fonctionnalités du système RH-SAP

Dans le cadre de l'analyse préliminaire et des entrevues qui ont été menées ainsi que lors des autres vérifications des opérations liées au système RH, un certain nombre d'observations ont été faites relativement à la fonctionnalité du système RH. Des commentaires ont notamment été formulés sur le manque de rapports disponibles et sur la mauvaise compréhension de la fonctionnalité du système. La fonctionnalité RH-SAP et sa configuration sont effectivement très complexes et difficiles à comprendre.

À la suite d'une examen attentif et d'une compréhension complète des besoins administratifs de haut niveau auxquels doit répondre le système RH-SAP et après l'examen de la configuration et de l'efficacité du cadre de contrôle de l'application, toutes les fonctionnalités requises pour effectuer les opérations quotidiennes se rapportant aux déplacements de personnel, à la gestion de la structure organisationnelle et à la saisie et à l'approbation des heures supplémentaires et des demandes de congés ont été implantées. Par conséquent, le système actuel répond aux besoins essentiels en ce qui a trait à la gestion de l'information sur les employés, sur la structure organisationnelle et sur le traitement des congés et des heures supplémentaires.

Cependant, deux observations en particulier ont attiré notre attention. Premièrement, il faudrait donner une meilleure formation aux utilisateurs de la fonctionnalité RH. Les programmes de formation actuels sont axés sur les transaction SAP et ne fournissent pas nécessairement aux participants suffisamment d'information sur l'importance de leur travail et sur l'incidence qu'ont les décisions qu'ils prennent.

Deuxièmement, un grand nombre d'organismes, y compris l'Agence, ont de la difficulté à produire leurs rapports avec les données fournies par le SAP. Cependant, un nombre important de rapports SAP normalisés est produit au moyen de l'application et l'Agence a mis au point des rapports personnalisés pour répondre aux besoins de ses utilisateurs. Si les utilisateurs estiment qu'ils manquent d'information il se peut que ce soit parce qu'ils ne comprennent pas bien le contenu des rapports produits, que les rapports ne répondent pas bien à leurs besoins ou qu'il y ait des problèmes au niveau de l'intégrité des données dans leur ensemble.

Recommandations

15. Il est recommandé que d'autres cours de formation sur les procédés administratifs relatifs aux RH (différents des cours de formation sur l'introduction des données dans le SAP) soient élaborés par la DRH. Ils permettraient d'élargir les connaissances que les utilisateurs ont sur les procédés administratifs et sur les exigences de la politique, et que cette matière fasse partie intégrante du programme de formation habituellement destiné aux utilisateurs du RH-SAP.

16. Il est recommandé que le groupe de soutien du système RH-SAP examine les rapports que les utilisateurs des RH doivent produire afin de déterminer si les rapports actuellement disponibles répondent à leurs besoins. Si d'autres rapports ou d'autres renseignements sont requis, nous recommandons en outre que des rapports supplémentaires soient élaborés. Par ailleurs, si l'examen effectué révèle des lacunes au niveau de la compréhension des rapports, nous recommandons de mettre au point des plans d'action et une formation complémentaire afin d'y remédier.

Réponses de la direction

15. D'accord.

Un plan de mesures correctives est en cours d'élaboration pour veiller à ce que :

• Le SAP concorde avec la politique actuelle et future en matière de gestion des RH (p. ex. LMFP) et réponde aux exigences des procédés administratifs (prévu dans le projet de gestion des RH de l'Agence et dans la mise en application de la LMFP);
• La délégation des pouvoirs de gestion des RH soit à jour (prévu dans le projet relatif aux cadres intermédiaires et dans la mise en application de la LMFP);
• Le RH-SAP soit le reflet des responsabilités actuelles en matière de gestion des RH (fait partie du plan d'action du PASS);
• Les utilisateurs finaux reçoivent les outils nécessaires, soient formés pour exécuter les formalités administratives et aient à rendre compte de la qualité des données de gestion qu'ils entrent dans le système par une surveillance active des procédés administratifs qu'ils exécutent pour les RH et d'une surveillance des opérations que la DRH effectue à titre de propriétaire fonctionnel du système.

Cela fait partie du projet d'amélioration du RH-SAP (PASS).

16. D'accord.

Cette recommandation sera mise en priorité dans le plan d'action du PASS avec l'accord des responsables des procédés administratifs de la gestion des RH (la DRH) et des utilisateurs finaux.

Le nettoyage des données, de la documentation et des cours de formation sur l'exécution et l'acheminement adéquat des bons précédés administratifs se fera en 2005-2006 dans le cadre du plan d'action du PASS et les utilisateurs finaux seront consultés par la même occasion pour connaître leurs besoins en matière de renseignements.

Si le système RH-SAP est encore celui qui est choisi, de nouveaux outils plus utiles et contenant de l'information de meilleure qualité seront élaborés et mis à la disposition des utilisateurs finaux en 2006-2007 afin de mieux répondre aux besoins en matière de contrôles internes et en matière de rapports internes et externes à produire.

Cela fait partie du projet d'amélioration du RH-SAP (PASS)

---

Conclusion

La vérification que nous avons faite visait spécifiquement à atteindre les objectifs énoncés au chapitre&nbsp;2 du rapport. Elle a été effectuée conformément aux normes de vérification généralement reconnues.

En ce qui a trait à l'exactitude et à l'intégrité des données émanant de l'application SAP, les résultats de notre vérification indiquent que la fonctionnalité requise pour répondre aux besoins administratifs de la DRH et de l'ACDI dans son ensemble a été implantée. Cependant, certains éléments pourraient être améliorés au chapitre de l'efficacité et de l'efficience des processus et des rapports. Ces éléments ont été décelés et des recommandations visant à les améliorer ont été formulées dans les recommandations faisant partie du présent rapport. L'intégrité des données doit aussi être améliorée car les déplacements de personnel ne sont pas pris en compte à temps dans toutes les mises à jour requises.

Il y aurait moyen d'améliorer le cadre de contrôle en surveillant mieux les modifications apportées aux données de base et en faisant des analyses périodiques de la qualité des données, ce que les directions générales de l'ACDI et les autres propriétaires fonctionnels au sein de l'Agence pourraient faire.

Un cadre adéquat a été mis au point pour la conception des privilèges d'accès accordés aux utilisateurs afin de s'assurer que l'accès permettant d'effectuer des opérations de maintenance névralgiques des données sur les RH soit limité aux bonnes personnes. Les résultats de la vérification indiquent toutefois qu'il y a actuellement des problèmes au niveau de la configuration de la sécurité et qu'il faut les régler et que par ailleurs l'utilisation des comptes génériques doit être analysée et que des correctifs doivent être apportés pour s'assurer que le cadre de contrôle établi soit implanté adéquatement.

Les résultats obtenus grâce à une analyse comparative indiquent que le nombre de personnes faisant partie du groupe de soutien du RH-SAP est plus élevé à l'Agence que dans les autres organismes examinés. Cependant, le groupe de soutien de l'Agence fournit à ses utilisateurs une gamme de services plus vaste que dans la majorité des autres organismes auxquels l'Agence a été comparée. Par conséquent, lorsque la nouvelle fonctionnalité SFS aura été implantée et lorsque les données auront ensuite été nettoyées, le CRC devrait déterminer combien de personnes sont requises dans le groupe de soutien du RH-SAP en fonction du rendement attendu de l'investissement.

Enfin, pour ce qui est de la mesure dans laquelle le module RH-SAP répond aux besoins de la DRH et de l'Agence dans son ensemble, il y a une distinction à faire entre contrôles intégrés dans le système et contrôles de gestion et de surveillance extérieurs au système. Pour ce qui est des contrôles intégrés dans le système, à l'exception des problèmes cernés au niveau de la configuration de la sécurité et des privilèges d'accès, les processus administratifs semblent être bien exécutés par le module RH-SAP. Les résultats de la vérification indiquent cependant que des améliorations doivent être apportées au niveau des processus de gestion et de contrôle afin de s'assurer que les transactions effectuées par le système sont enregistrées comme voulu.

---

Annexe A - Sommaire des recommandations

Vérification du système RH-SAP

Projet	Nombre de recommandations	Terminé	Continu	En cours
Vérification interne du RH-SAP	16

Recommandations	Réponses de la direction	Réponses de la direction	Date	État
1. Il est recommandé que la DRH modifie les processus opérationnels entourant les nominations intérimaires afin de permettre l'intégration de toutes les nominations intérimaires dans le système RH-SAP, que cela ait ou non une incidence sur la paye. Il est aussi recommandé que le système tienne compte à temps de toutes les nominations intérimaires qui prennent fin.	Admet que la rationalisation des autorisations de congés et d'heures supplémentaires est nécessaire pour tenir compte des nominations intérimaires à des postes EX qui n'entraînent pas de modifications aux taux de rémunération, mais n'est pas d'accord avec le plan d'action correctrice proposé. Les agents d'administration de la Direction (AAD) peuvent maintenant modifier les rapports hiérarchiques pour tenir compte des nominations intérimaires dans le système SAP sans avoir à modifier la configuration du système. La Direction des ressources humaines (DRH) accepte de rappeler aux AAD la nécessité de modifier les rapports hiérarchiques entre les employés lorsque quelqu'un est nommé à un poste EX de façon intérimaire et de veiller à ce que cette procédure soit révisée dans le cadre des opérations régulières de contrôle du système RH-SAP.		La DRH doit transmettre des rappels aux AAD sur les exigences et sur la façon de modifier les rapports hiérarchiques aux fins de l'administra-tion des congés et des heures supplémen-taires dans le RH-SAP. La procédure sera intégrée dans le plan d'action du PASS.
2. Il est recommandé que la DRH établisse, en collaboration avec la DGGIT et les directions, un ensemble de procédures de contrôle périodiques et de rapports dont les gestionnaires responsables au sein de l'ACDI assureront le suivi et la révision. La révision périodique servira à évaluer l'intégrité de la structure organisationnelle actuelle et des nominations de personnel dans un secteur de responsabilité spécifique et permettra de déceler les nominations intérimaires qui n'ont pas été consignées ou celles qui ont pris fin et n'ont pas été consignées. Il est aussi recommandé que cette révision soit exécutée au moins à tous les quatre mois et que le processus soit facilité et contrôlé par la DRH.	D'accord La DRH, en collaboration avec la DGGIT et les directions, va trouver les outils de contrôle appropriés pour permettre au gestionnaire responsable au sein de l'ACDI de revoir périodiquement les nominations intérimaires au sein de sa propre direction. La DRH va aussi évaluer l'intégrité de la structure organisationnelle de l'Agence dans son ensemble. Les rôles et responsabilités vont être définis et un processus va être installé dans le cadre du Projet d'amélioration du système RH-SAP (PASS). Processus opérationnel et définition des rôles et responsabilités dans le cadre du Projet d'amélioration du système RH-SAP (PASS).	31 mars 2006	Fait partie du plan d'action du PASS.
3. Il est recommandé que la Direction de la rémunération et des avantages sociaux fasse tous les quatre mois un rapprochement des données sur la classification des employés/des postes et sur les taux de traitement consignés dans le SAP par rapport à l'information enregistrée dans le Système de paye en direct.	D'accord Des fichiers sont en train d'être créés pour comparer les données du Système de paye en direct à celles du RH-SAP sur la classification des employés/postes et sur l'échelle des salaires. Cela se fait dans le cadre du PASS - amélioration du contrôle de la qualité.	Décembre 2005	Fait partie du plan d'action du PASS.
4. Il est recommandé que la DGGIT, en collaboration avec la DRH et le groupe de soutien du SAP, corrige la configuration de la fonction de sécurité pour les administrateurs de direction et leur enlève la possibilité de soumettre et d'approuver leurs propres demandes de congés et d'heures supplémentaires. Plus spécifiquement, il faudrait que les administrateurs de direction puissent soumettre leurs propres demandes mais qu'elles soient ensuite approuvées par leurs superviseurs.	D'accord Cette recommandation a été mise à exécution conformément au document SR1733 et ce travail s'est terminé le 13 mai 2004.		TERMINÉ
5. Il est recommandé que la DRH et le groupe de soutien du SAP élaborent des procédures de contrôle permettant aux gestionnaires responsables de revoir chaque mois le relevé des congés qui restent à prendre.	D'accord Il sera rappelé aux superviseurs et aux directeurs de centres de responsabilité qu'ils ont la responsabilité de vérifier régulièrement la fiche de congé de leurs employés pour s'assurer que les congés pris soient consignés correctement. La DRH va transmettre un rappel aux gestionnaires à ce sujet. Un nouvel outil, le Manager Self Services (MSS), sera lancé en septembre pour aider les gestionnaires à cet égard.	Août 2005 Septembre 2005	En cours
6. Il est recommandé que la DGGIT, en collaboration avec le groupe de soutien du RH-SAP, révise la configuration des privilèges d'accès accordés aux AAD pour s'assurer que la configuration répond bien aux besoins. Une attention particulière devrait être accordée à la création et à l'activation des postes que l'AAD effectue car ils peuvent actuellement créer de nouveaux postes dans le système sans l'aide de la Direction de la classification. Cette nouvelle configuration devrait permettre à la Direction d'approuver les données sur les postes et sur leur classification pour les nouveaux postes ou les employés, tel qu'elles sont décrites dans leurs rôles et responsabilités.	D'accord Nous donnons déjà suite à cette recommandation grâce à un processus d'ordonnancement des opérations qui va permettre de retrouver l'approbation des différentes personnes dans la hiérarchie qui sont autorisées à approuver les données sur les postes consignées dans le système RH-SAP. Au sein de la DGGIT, la section de la gestion des opérations travaille actuellement avec le groupe de soutien du RH-SAP. Par ailleurs, le rôle des administrateurs de direction est en train d'être revu pour limiter l'accès qu'ils ont au système lorsqu'ils créent un poste aux fins de classification. Des directives sur les normes de service seront élaborées par la Section de la classification et elles seront communiquées aux AAD. Ces directives seront élaborées dans le cadre du Projet d'amélioration du RH-SAP (PASS).	Mars 2006	Fait partie du plan d'action du PASS.
7. Il est recommandé que l'accès accordé aux membres du groupe de soutien du système SAP non-RH et aux utilisateurs de la DGGIT soit revu et que l'accès à l'information sur les RH soit retiré.	D'accord Cette recommandation a été exécutée en correspondance avec le point 13, transaction SR 3462.	Mars 2005	TERMINÉ
8. Il est recommandé que la DRH fasse des Évaluations des facteurs relatifs à la vie privée (EFVP) conformément aux exigences du Conseil du Trésor.	D'accord Cependant, la responsabilité des évaluations incombe à la fois au propriétaire fonctionnel (la DRH) et au propriétaire du système (la DGGIT). La DGGIT offre un soutien aux propriétaires du système pour la préparation des EFVP préliminaires. Elle incorpore dans le module SR des procédures de développement du système qui permettent de déceler les modifications apportées aux systèmes et les demandes qui sont susceptibles de nécessiter des évaluations ; qui permettent de s'assurer que les propriétaires du système et que le coordonnateur de la protection des renseignements personnels en sont informés. Ces évaluations seront faites et elles seront modifiées au besoin. Cela fait partie du Projet d'amélioration du RH-SAP (PASS).	Mars 2006	Fait partie du plan d'action du PASS.
9. Il est recommandé que la capacité de voir les renseignements personnels en interrogeant directement les tables RH (au moyen de la transaction SE16) soit retirée aux utilisateurs finaux par la DGGIT.	D'accord La transaction SR3194 a été enregistrée, adressée et complétée en décembre 2004.	Décembre 2004	TERMINÉ
10. Il est recommandé que la capacité d'exécuter des rapports et des programmes au moyen de la transaction SA38, qui est un mécanisme central contournant les restrictions configurées applicables aux transactions et aux rapports, soit retirée des profils d'accès des utilisateurs finaux par la DGGIT.	D'accord Les transactions SE38 et SA38 ont été retirées de la plupart des files de travaux via les transactions SR 2250 (files d'attente RH), SR3039 et SR3058. Les files d'attente qui restent à traiter par les équipes fonctionnelles SAP et les équipes ABAP sont limitées par les programmes et sont nécessaires à leur travail. Par conséquent, elles ne peuvent pas être enlevées.	Juin 2004	TERMINÉ
11. Il est recommandé que la configuration de l'objet de l'autorisation P_ABAP soit revue et corrigée par la DGGIT.	D'accord Les files d'attente RH ont été révisées. La transaction SR3463 a été ouverte.	Mars 2005	TERMINÉ
12. Il est recommandé que la DGGIT limite l'utilisation des comptes génériques.	D'accord Les comptes liés aux opérations (tel qu'il est indiqué à la page 17 du rapport de vérification) ne sont pas des comptes « génériques ». Comme dans le cas des comptes RHAIS, ils sont liés directement au personnel de soutien au moyen du nom qui apparaît dans la zone de texte du compte. Nous sommes en train de revoir l'accès à cette information (au moyen de la transaction SR 3314) pour qu'il soit limité. Les comptes « Phoenix » et « ACDI-ACDI » sont aussi en train d'être revus afin de n'accorder qu'un accès minimal à ces comptes.	Mars 2005	TERMINÉ
13. Il est aussi recommandé que la DGGIT, en collaboration avec la DRH et avec le groupe de soutien du système SAP, élabore un ensemble de procédures de contrôle de la sécurité axé sur la révision des listes d'utilisateurs qui ont accès aux renseignements personnels et aux données sensibles contenues dans les transactions de mises à jour et dans les « infotypes ». Le tout pour déceler les risques d'irrégularité au niveau de l'accès et y remédier.	D'accord La transaction SR3462 a été ouverte et la configuration requise a été effectuée dans le système RH-SAP afin de donner suite à cette recommandation.	Mars 2005	TERMINÉ
14. Il est recommandé que le CRC détermine combien d'employés seront nécessaires dans le groupe de soutien du RH-SAP une fois que le présent nettoyage aura été effectué et une fois que la fonctionnalité SFS aura été implantée.	Admet que le niveau des ressources devrait être validé, mais propose que cela se fasse de concert avec les autres initiatives entreprises, en incluant celles recommandées dans le rapport du vérificateur, mais pas exclusivement ces dernières. L'Agence est le seul organisme gouvernemental de l'annexe I.1 de la loi sur la gestion des finances publiques qui utilise le système RH-SAP. Tous les autres organismes publics qui utilisent le système RH-SAP ont des modalités et conditions d'emploi ou des pratiques commerciales en matière de RH qui ne sont pas conformes, en totalité ou en partie, à celles de l'Agence. Par conséquent, il est inutile de se fier au nombre d'employés requis dans les autres organismes qui n'ont pas les mêmes besoins fonctionnels. Le maintien de l'intégrité des données et les coûts de formation entraînent constamment des investissements importants car le personnel qui est recruté pour l'Agence, qui provient d'autres ministères et qui est formé pour utiliser un système intergouvernemental partagé doit apprendre une nouvelle application avant d'être en mesure de fonctionner parfaitement bien à l'Agence. C'est ce qui explique en grande partie pourquoi l'Agence a toujours des besoins importants en termes de ressources pour le système RH-SAP spécifiquement. L'ACDI est tout à fait au courant de cette situation et elle a en général toujours accepté, jusqu'à présent, le fait qu'un coût important est associé à l'utilisation du système SAP étant donné que les avantages qui en découlent l'emportent sur les coûts et sur les risques associés à la mise à jour du système RH-SAP. Nous sommes d'accord avec les constatations du vérificateur que peu importe le modèle redditionnel choisi, il faut toujours des ressources pour assurer le soutien de l'application. La question est de savoir si les ressources seraient mieux gérées si la reddition des comptes était confiée à d'autres composantes de l'Agence. Initiatives en jeu : 1. L'intérêt de plus en plus marqué pour les services partagés dans toute l'administration fédérale pour ce qui est des fonctions « centrales » comme la gestion des RH incite les dirigeants de l'Agence à reconsidérer l'utilisation du système RH-SAP. D'autres systèmes sont en effet beaucoup plus largement utilisés au sein du gouvernement. La DRH va jouer un rôle important dans cette analyse, menée sous la direction du dirigeant principal de l'information. Elle cherchera notamment des façons d'optimiser l'utilisation des ressources affectées au RH-SAP afin que des services adéquats soient maintenus à un coût raisonnable pour l'Agence. Par la suite, les dirigeants se prononceront sur les avantages et les risques associés à l'utilisation à long terme du système RH-SAP. 2. La DRH enverra du personnel compétent afin de collaborer avec le groupe de soutien du RH-SAP pour : effectuer la mise à jour des procédés administratifs relatifs à l'acheminement des données; configurer le système; déceler les faiblesses du système et assurer une meilleure formation des utilisateurs finaux. Nous croyons que si les procédés administratifs des RH sont bien documentés, surveillés et mis à jour par l'autorité fonctionnelle, il faudra moins d'investissements pour assurer la mise à niveau constante des connaissances sur le système et les interventions quotidiennes du personnel affecté au RH-SAP afin d'aider les utilisateurs. Sous la direction du vice-président du SCRH on effectue présentement un examen des trois modules SAP dont le conseil d'administration du SCRH est chargé d'assurer le soutien, afin de trouver des façons d'optimiser les ressources affectées au SAP. La DRH contribue à cet examen et veillera à la mise en application des décisions une fois qu'elles auront été prises.	Continu	Avec l'approbation de CRC et sous la direction du dirigeant principal de l'information, une équipe composée de représentants de différentes directions est en train d'être créée dans le but d'évaluer les conséquences que l'adoption de l'initiative des services partagés aurait sur le système SAP, notamment sur le module RH-SAP. Les travaux ont commencé au sein de la DRH grâce à la création d'un groupe de travail interne chargé d'examiner les besoins des RH en matière de procédés administratifs relatifs à l'acheminement des données, de déceler les modifications apportées au système RH-SAP. Il veillera aussi à ce que les utilisateurs finaux procèdent au nettoyage de leurs données et mettent en application les procédures révisées. Le conseil d'administration du SCRH a entrepris une étude à l'interne.
15. Il est recommandé que d'autres cours de formation sur les procédés administratifs relatifs aux RH (différents des cours de formation sur l'introduction des données dans le SAP) soient élaborés par la DRH. Ils permettraient d'élargir les connaissances que les utilisateurs ont sur les procédés administratifs et sur les exigences de la politique, et que cette matière fasse partie intégrante du programme de formation habituellement destiné aux utilisateurs du RH-SAP.	D'accord Un plan de mesures correctives est en cours d'élaboration pour veiller à ce que : Le SAP concorde avec la politique actuelle et future en matière de gestion des RH (p. ex. LMFP) et réponde aux exigences des procédés administratifs (prévu dans le projet de gestion des RH de l'Agence et dans la mise en application de la LMFP); La délégation des pouvoirs de gestion des RH soit à jour (prévu dans le projet relatif aux cadres intermédiaires et dans la mise en application de la LMFP); Le RH-SAP soit le reflet des responsabilités actuelles en matière de gestion des RH (fait partie du plan d'action du PASS); Les utilisateurs finaux reçoivent les outils nécessaires, soient formés pour exécuter les formalités administratives et aient à rendre compte de la qualité des données de gestion qu'ils entrent dans le système par une surveillance active des procédés administratifs qu'ils exécutent pour les RH et d'une surveillance des opérations que la DRH effectue à titre de propriétaire fonctionnel du système. Cela fait partie du projet d'amélioration du RH-SAP (PASS).	Mars 2006	Travaux en cours
16. Il est recommandé que le groupe de soutien du système RH-SAP examine les rapports que les utilisateurs des RH doivent produire afin de déterminer si les rapports actuellement disponibles répondent à leurs besoins. Si d'autres rapports ou d'autres renseignements sont requis, nous recommandons en outre que des rapports supplémentaires soient élaborés. Par ailleurs, si l'examen effectué révèle des lacunes au niveau de la compréhension des rapports, nous recommandons de mettre au point des plans d'action et une formation complémentaire afin d'y remédier.	D'accord. Cette recommandation sera mise en priorité dans le plan d'action du PASS avec l'accord des responsables des procédés administratifs de la gestion des RH (la DRH) et des utilisateurs finaux. Le nettoyage des données, de la documentation et des cours de formation sur l'exécution et l'acheminement adéquat des bons précédés administratifs se fera en 2005-2006 dans le cadre du plan d'action du PASS et les utilisateurs finaux seront consultés par la même occasion pour connaître leurs besoins en matière de renseignements. Si le système RH-SAP est encore celui qui est choisi, de nouveaux outils plus utiles et contenant de l'information de meilleure qualité seront élaborés et mis à la disposition des utilisateurs finaux en 2006-2007 afin de mieux répondre aux besoins en matière de contrôles internes et en matière de rapports internes et externes à produire. Cela fait partie du projet d'amélioration du RH-SAP (PASS).	Mars 2006 Mars 2007	Fait partie du plan d'action du PASS. Dernière étape du plan d'action du PASS.

---

Annexe B : Objectifs de contrôle/Critères de vérification pour la révision des processus du système RH-SAP

Les objectifs de contrôle/critères de vérification énumérés ci-dessous ont été mis au point durant la phase de planification de la présente vérification pour saisir les critères de vérification nécessaires sur lesquels fonder l'évaluation du cadre de contrôle et la sécurité des privilèges d'accès. Les critères ont été séparés en fonction des sous-processus qui constituent la base du fonctionnement du RH-SAP.

---

Annexe C - Cadre de contrôle du système RH-SAP

31 mars 2004

ARTpack projet

Introduction

Ce document constitue une analyse du cadre de contrôle d'une application ou d'un processus en particulier.

Pour chacun des processus analysés, les documents suivants ont été préparés :

1. Organigramme
2. Cadre de contrôle et matrice d'évaluation
3. Description du processus

L'organigramme montre les éléments les plus importants du processus et par conséquent, certains détails moins fréquents ou moins importants ont volontairement été omis. Les icônes suivantes sont utilisées dans les organigrammes :

	Le contrôle décelé répond aux objectifs fixés pour ce contrôle;
	Une faiblesse a été décelée par rapport à ce contrôle;
	Une faiblesse a été décelée par rapport à ce contrôle;

Les icônes ci-dessus renvoient à la matrice d'évaluation, laquelle compare les contrôles décelés aux objectifs de contrôle établis pour le secteur et évalue la mesure dans laquelle les objectifs sont atteints par les contrôles. Les icônes suivantes sont utilisées dans la matrice d'évaluation des contrôles :

	Le contrôle décelé répond aux objectifs fixés pour ce contrôle;
	Une faiblesse a été décelée par rapport à ce contrôle;

Une description du contrôle ou de sa faiblesse figure également dans la matrice d'évaluation des contrôles. Le bleu indique que le contrôle fonctionne et le rouge indique qu'il y a une faiblesse ou que le contrôle est inefficace (Voir Format PDF).

Étendue de l'analyse

Dans le cadre de la présente analyse, tous les contrôles du système RH-SAP ont été examinés ainsi que les faiblesses décelées.

Dans le cadre de cette analyse, le personnel de l'Agence a été consulté et certains contrôles intégrés aux systèmes et contrôles manuels ont été testés. Consultez le tableau ci-dessous en grand format.

Description	text	Objectif du contrôle
		Mise à jour des données de base sur les RH			Saisie des données sur les congés et sur les heures supplémentaires		Gestion organisationnelle	Protection de la confidentialité des renseignements personnels
Contrôle/ Faiblesse	Contrôle/ Faiblesse Référence	1. Toutes les modifications apportées aux données de base du RH-SAP doivent être exactes, complètes, valides et apportées à temps.	2. Les données sur les employés de l'ACDI qui sont transférées au système de rémunération doivent être exactes, complètes, valides et saisies à temps.	3. Les données sur les personnes dont l'emploi prend fin doivent être retirées du fichier principal des salaires et les suppressions doivent être valides.	4. Les données sur les absences et sur les congés qui restent à prendre doivent être exactes et les demandes s'y rapportant doivent être autorisées adéquatement.	5. Les heures supplémentaires consignées doivent être exactes et valides et être calculées selon la convention collective applicable.	6. Les modifications apportées aux unités, aux postes ou aux autres données de base sur l'organisation doivent être exactes, valides, complètes et apportées à temps.	7. L'accès aux renseignements personnels et à l'information sensible doit être limité aux personnes dûment autorisées.	8. La séparation des responsabilités doit être adéquate et l'accès au système doit être réservé au personnel autorisé.
		Exactes Valides Complètes À temps	Exactes Valides Complètes À temps	Valides Exactes	Exactes Valides	Exactes Valides	Exactes Valides Complète À temps	Valide	Valide Complète Exacte
Mise à jour des données de base sur les RH
Sécurité SAP - données de base RH
	Le concept de sécurité et d'authentification du SAP est utilisé pour que la capacité de mettre à jour les renseignements personnels (transactions PA30 et PA40) soit accordée seulement aux personnes autorisées. Des restrictions ont aussi été configurées pour limiter l'accès aux « infotypes » aux titulaires de certains postes précis.
Contrôles SAP des entrées - données de base
	Des champs obligatoires sont configurés pour les « infotypes » inclus dans les dossiers personnels du SAP afin de s'assurer que tous les renseignements pertinents soient saisis. Des opérations de personnel (un groupe de fonctionnalités permettant d'accomplir une tâche spécifique comme par exemple l'embauche) ont été configurées pour les principales tâches administratives des RH pour s'assurer que tous les « infotypes » pertinents sont complets aux fins des opérations se rapportant au personnel. Des échéanciers, un des éléments de la configuration SAP qui permet de spécifier si un « infotype » doit être rempli, ont également été configurés dans les « infotypes » pour permettre de vérifier si les données sont complètes dans un dossier personnel en direct.
Nomina-tions intérimaires
	Certaines nominations intérimaires (c.-à-d. pour un mois ou plus) qui n'ont pas d'incidence sur le salaire ne sont pas consignées actuellement dans le SAP. Par exemple si un employé de niveau EX-01 occupe un poste de niveau EX-02, cela n'est pas consigné dans le système actuellement avant que ne se soit écoulée une période de 3 mois. Le fait de ne pas mettre à jour la structure organisationnelle a une incidence sur l'acheminement adéquat du flux des travaux pour fins d'approbation. Il a par ailleurs été constaté que lorsque la nomination intérimaire prend fin, les mises à jour nécessaire dans le SAP ne sont pas effectuées à temps.
Rémunéra-tion prévue
	Les échelles de salaire qui sont conformes aux conventions collectives pertinentes du secteur public ont été configurées dans le SAP. Les modifications apportées aux conventions collectives sont contrôlées au moyen du processus de demande officielle de service qu'utilise l'Agence.
Intégration à la gestion organisa- tionnelle
	Les données sur les salaires et échelles de salaires s'en vont par défaut dans le dossier personnel (« infotype » 0008) selon l'information emmagasinée dans le fichier principal du poste. Cependant, les utilisateurs peuvent modifier l'information transférée dans le cas des employés dont le salaire est protégé (les employés dont le poste a été déclaré excédentaire et a qui ont a attribué une classification inférieure, mais qui continuent de toucher leur salaire antérieur).
Rapports de contrôle des données de base RH
	Actuellement, aucune révision officielle ou approbation de la liste des employés, des rapports de dotation ou des organigrammes n'est effectuée périodiquement par les gestionnaires responsables ou les autorités financières.
Rappro-chement des données TPSGC et SAP
	Actuellement, aucun rapprochement officiel n'est fait entre les taux de rémunération versés aux employés au moyen du Système de paye en direct des TPSGC et les données contenues dans le SAP.
Saisie des données sur les congés et sur les heures supplémentaires
Sécurité SAP - congés et heures supplémentaires
	Le concept de sécurité et d'authentification du SAP est utilisé pour restreindre la capacité de déverrouiller/approuver les demandes de congé (transactions ZAPT, PA61).
Validation des droits à congés
	Avant de compléter une demande de congé, le SAP vérifie si l'employé a droit au type de congé demandé et si le nombre minimal/maximal de congés demandés est conforme aux dispositions de la convention collective applicable. La fonctionnalité « Time Evaluation » du SAP est utilisée pour effectuer cette vérification.
Banque de congés
	Avant de compléter une transaction d'approbation en direct, le SAP vérifie automatiquement si l'employé a suffisamment de jours de congé en banque. Si le nombre de congés qui restent à prendre est insuffisant, le superviseur n'est pas autorisé à sauvegarder/approuver la demande de congé. La fonctionnalité « Time Evaluation » du SAP est utilisée pour effectuer cette vérification. Si la demande de congé est approuvée, le SAP met automatiquement à jour la banque de congés de l'employé.
Sécurité SAP - approbation des congés et heures supplémen-taires
	Le concept de sécurité et d'authentification du SAP est utilisé pour restreindre la capacité de déverrouiller/approuver les demandes d'heures supplémentaires soumises.
Approba-tion incorrecte - congés ou heures supplé-mentaires
	Il a été constaté dans certains cas que des employés pouvaient soumettre des demandes pour se faire payer des heures supplémentaires et étaient capables d'approuver eux-mêmes leurs demandes. Cela pourrait entraîner le paiement d'heures supplémentaires à des employés alors qu'ils n'y ont pas droit.
Contrôle des congés qui restent à prendre
	Aucun processus n'est actuellement en place pour vérifier périodiquement la banque de congés des employés afin de s'assurer que tous les congés pris ont été enregistrés dans le SAP.
Gestion organisationnelle
Sécurité SAP - gestion organisa- tionnelle
	Le concept de sécurité et d'authentification du SAP est utilisé pour que seul le personnel autorisé soit capable de mettre à jour les données de base sur les postes.
Contrôles SAP des entrées - gestion organisationnelle
	Des champs obligatoires sont configurés pour les « infotypes » de la gestion organisationnelle afin de s'assurer des toutes les données pertinentes soient saisies. Des opérations ont aussi été configurées pour les opérations clés de la mise à jour de la structure organisationnelle afin de s'assurer que tous les « infotypes » pertinents sont complets en vue de la création de nouveaux objets (c.-à-d. postes). Des échéanciers ont aussi été configurés au niveau des « infotypes » pour s'assurer que les « infotypes » sont complets pour ces objets.
Mise à jour des données de base sur les postes
	Les agents d'administration de la Direction générale ont actuellement l'accès nécessaire pour créer, approuver et activer les nouveaux postes sans que la Direction de la classification ait eu l'occasion de vérifier si les données sur la classification sont adéquates. Les agents d'administration de la Direction générale ont aussi l'accès nécessaire pour effectuer des déplacements de personnel. Pour contourner ce risque de séparation des responsabilités, le groupe de soutien du RH-SAP a créé des rapports de contrôle pour que la Direction de la classification les examine. Cependant, il a été constaté qu'actuellement, le personnel de la Direction de la classification n'examine pas régulièrement ces rapports.
Protection de la confidentialité des renseignements personnels
Protection des renseignements personnels RH
	Le concept de sécurité et d'authentification du SAP est utilisé pour que seul le personnel autorisé soit capable de mettre à jour les renseignements personnels (transactions PA30 et PA40). Des restrictions ont aussi été configurées pour ce qui seuls les titulaires de certains postes puissent avoir accès aux « infotypes ».
Accès accordé au groupe de soutien non-RH
	Des membres du groupe de soutien SAP non-RH sont capables actuellement de mettre à jour des données névralgiques comme celles contenues dans l' « infotype » 0008 (salaire de base).
Évaluation des facteurs relatifs à la vie privée
	Aucune évaluation officielle des facteurs relatifs à la vie privée n'a été effectuée depuis l'implantation initiale du RH-SAP alors que des modifications importantes ont déjà été implantées ou doivent l'être bientôt.
Accès aux tables du RH-SAP
	Beaucoup trop d'utilisateurs sont capables de visualiser les renseignements personnels en interrogeant directement les tables RH (au moyen de la transaction SE16).
Exécution des rapports RH-SAP
	Beaucoup trop d'utilisateurs finaux sont capables de produire des rapports et d'exécuter des programmes au moyen de la transaction SA38, un mécanisme central qui permet de contourner les restrictions transactionnelles configurées qui sont imposées aux utilisateurs.
Rapports RH-SAP
	La façon dont les rapports RH-SAP sont configurés actuellement n'est pas conforme au meilleur modèle à suivre. La configuration de l'autorisation P_ABAP en particulier a pour effet de désactiver un niveau de restrictions et de donner accès à certaines données (c.-à-d. au niveau de la direction générale); il en résulte que les utilisateurs, qui devraient avoir accès uniquement aux données (personnelles et non personnelles) concernant les personnes de leur secteur de responsabilité ont accès aux données de d'autres secteurs de responsabilité.
Comptes génériques
	Il y a actuellement des comptes génériques/partagés qui donnent accès à des fonctions qui permettent de mettre à jour des données sur les RH et de produire des rapports en utilisant cette information.
Procédures de contrôle
	Actuellement, aucune procédure de contrôle n'a été mise en place pour permettre d'analyser et de valider les listes d'utilisateurs qui sont capables de visualiser et de mettre à jour les fonctions RH clés dans le système.
Sommaire des contrôles et des faiblesses décelées		Contrôle Objectif atteint - Faiblesses décelées	Contrôle Objectif atteint - Faiblesses décelées	Contrôle Objectif atteint - Faiblesses décelées	Contrôle Objectif atteint	Contrôle Objectif atteint - Faiblesses décelées	Contrôle Objectif atteint - Faiblesses décelées	Contrôle Objectif atteint - Faiblesses décelées	Contrôle Objectif atteint - Faiblesses décelées

Description du processus

Données de base sur les RH

La direction générale détermine d'abord quels sont ses besoins en dotation. Une opération appropriée de dotation/RH est ensuite entreprise pour répondre aux besoins. Différents scénarios sont possibles pour combler un poste, notamment la mutation à l'intérieur de l'Agence, l'embauche d'un nouvel employé, le prêt de service ou la nomination intérimaire. Lorsque l'opération de dotation est terminée, le conseiller en RH prépare deux exemplaires de la lettre d'offre d'emploi et les achemine au candidat retenu. Lors de la réception de la réponse du candidat, le conseiller en RH met à jour la liste d'admissibilité (transaction ZEGB dans le SAP). Si le candidat refuse l'offre, le conseiller en RH choisit le candidat admissible suivant dans la liste d'admissibilité et continue ainsi le processus jusqu'à ce que quelqu'un accepte le poste. Une lettre d'offre d'emploi est ensuite produite et transmise au candidat retenu afin qu'il confirme son acceptation. Cette lettre d'offre d'emploi constitue également l'avis/le déclencheur qui indique que des données doivent être introduites dans le système RH-SAP. Aucune mise à jour du système SAP n'est effectuée (sauf la mise à jour de la liste d'admissibilité) avant que le conseiller en RH n'ait reçu la lettre d'acceptation signée par le candidat retenu.

Lorsque le candidat accepte l'offre d'emploi, il retourne un exemplaire de la lettre signée au conseiller en RH, une copie de cette lettre est versée au dossier et la nomination est annoncée dans « Entre nous » (le site Intranet de l'ACDI). Le conseiller en RH est aussi chargé d'assurer la gestion du processus d'appel. Lorsque la période d'appel est terminée, le conseiller en RH fait trois copies de la lettre d'offre d'emploi et en fait parvenir une à chacun des trois destinataires suivants : le conseiller en rémunération et avantages sociaux, l'agent d'administration de la direction générale qui embauche et la Direction de l'équité en emploi. Lorsqu'il reçoit la lettre d'offre d'emploi signée, l'agent d'administration de la direction générale introduit dans le système SAP les données pertinentes (c.-à-d. embauche, promotion, mutation). Le conseiller en rémunération et avantages sociaux vérifie l'exactitude du salaire, la prime au bilinguisme (le cas échéant) et la date de la prochaine augmentation automatique de salaire. Si des corrections sont nécessaires, le conseiller en rémunération et avantages sociaux fait les entrées appropriées.

Pour tous les besoins en dotation dont il est question ci-dessus, ainsi que pour les autres types de déplacements de personnel (mutation à l'intérieur de l'Agence, fin d'emploi, etc.) ou pour la mise à jour des dossiers du personnel (changement de salaire, modification des heures de travail, etc.), il est nécessaire d'entrer le l'information RH dans le système SAP. Chaque entrée de données est motivée ou entreprise par la réception du document pertinent approuvé.

La responsabilité d'entrer les données est partagée entre un petit groupe de personnes au sein de l'ACDI, selon la nature de la mise à jour à faire. Des actions RH pré-configurées sont utilisées lors de la création ou de la mise à jour du dossier d'un employé dans le système. Les actions RH-SAP guident l'utilisateur à travers une séquence établie dans le système pour lui permettre de fournir tous les éléments d'information requis pour une opération de dotation donnée (embauche, fin d'emploi, mutation, etc.). Les actions configurées dans le SAP pour les déplacements de personnel (elles sont présentées selon le groupe chargé d'effectuer la mise à jour) sont les suivantes :

• 01 - Porter à l'effectif - agent d'administration de la direction générale
• 02 - Rayer de l'effectif - conseiller en rémunération et avantages sociaux
• 04 - Prolongation de service - agent d'administration de la direction générale
• 05 -  Modification : salaire de base/heures de travail - agent d'administration de la direction générale, conseiller en rémunération et avantages sociaux
• 06 - Modification : poste/salaire/statut - agent d'administration de la direction générale, Direction des affectations, conseiller des programmes de langues et des congés d'études
• 07 - Réintégration au travail - conseiller en rémunération et avantages sociaux
• 08 - Retour après avoir été rayé de l'effectif/nouveau prêt de service à l'interne - agent d'administration de la direction générale
• 13 - Rayer temporairement de l'effectif - agent d'administration de la direction générale, conseiller en rémunération et avantages sociaux, Direction des affectations, conseiller des programmes de langues et des congés d'études
• 14 - Porter de nouveau à l'effectif - agent d'administration de la direction générale, conseiller en rémunération et avantages sociaux
• 15 - Affectation/prêt de service à l'externe (congé sans solde) - agent d'administration de la direction générale, Direction des affectations, conseiller des programmes de langues et des congés d'études
• 16 - Prêt de service à l'interne - agent d'administration de la direction générale
• 18 - Retour au poste d'attache - agent d'administration de la direction générale
• 19 - Fin du prêt de service à l'interne - agent d'administration de la direction générale
• 22 - Affectation intérimaire - agent d'administration de la direction générale

Pour chacune de ces actions, une série d' « infotypes » apparaît dans une séquence prédéterminée. Un « infotype » est un groupe d'informations qui est introduit ou qui apparaît dans un écran SAP spécifique. Par exemple l'information sur le salaire de base/sur les salaires est emmagasinée dans l' « infotype » 0008.

Lorsque les données relatives à une des actions énumérées ci-dessus ont été remplies avec succès, le dossier personnel de l'employé est mis à jour dans le SAP. De plus, l'affectation des employés aux différents postes entraîne une mise à jour automatique de la structure organisationnelle dans le SAP si l'action constitue un déplacement de personnel à l'intérieur ou à l'extérieur de l'Agence.

Les employés sont payés par TPSGC au nom du Conseil du Trésor au moyen du Système de paye en direct. Le salaire de base et les autres renseignements sur les droits à la rémunération (à l'exception des heures supplémentaires décrites dans la section intitulée « Enregistrement du temps » ci-après qui sont introduits dans le SAP ne sont pas actuellement directement pertinents aux fins de la feuille de paye. Cependant, grâce à l'implantation du Système de prévision des salaires (SFS), cette information sera utilisée pour la prévision du coût des salaires aux fins de l'établissement du budget/de la planification. La Direction générale de la rémunération et des avantages sociaux (et en particulier les conseillers en rémunération et en avantages sociaux) est responsable de l'introduction des données sur les modifications qui sont apportées aux salaires et aux avantages sociaux dans les différentes applications Système de paye en direct que TPSGC utilise. Les conseillers en rémunération et avantages sociaux sont avisés des embauches, promotions et autres changements car ils reçoivent dans chaque cas une lettre approuvée par le conseiller en ressources humaines agréé pertinent (c.-à-d. le conseiller en ressources humaines).

Les conseillers en rémunération et avantages sociaux répondent aussi aux demandes de renseignements des employés concernant la feuille de paye. Si des ajustements doivent être faits au dossier de paye d'un employé, le conseiller en rémunération et avantages sociaux effectue la mise à jour dans le système de rémunération de TPSGC et en informe l'agent d'administration de la direction générale en cause. Les corrections apportées aux données sur un employé doivent être faites par la bonne personne, selon l'action requise dans le système (voir la liste des actions ci-dessus).

Enregistrement des congés et des heures supplémentaires

L'ACDI a mis au point une solution SAP personnalisée pour la collecte des données suivantes se rapportant au temps :

• Demandes de congés;
• Heures supplémentaires.

Congés

Les employés doivent entrer eux-mêmes leurs demandes de congés, soit directement dans le SAP (transaction ZAPT) ou en utilisant le LSE (libre service aux employés). Lorsqu'une demande de congé est faite, le système SAP vérifie automatiquement si l'employé a droit à ce type de congé et si le nombre de congés demandé est conforme au minimum/maximum de jours qui est préétabli. Les droits à congé sont définis dans les conventions collectives pour chaque catégorie/classification d'emploi. Si la demande est valide, les données introduites par l'employé sont sauvegardées dans un dossier « verrouillé » dans le système et le congé n'est accordé que lorsque le superviseur de l'employé l'a approuvé. Le système est configuré de manière à acheminer la demande de congé au superviseur de l'employé pour approbation selon le rapport hiérarchique établi dans la structure organisationnelle emmagasinée dans le SAP.

Le superviseur doit alors approuver/« déverrouiller » la transaction dans le système afin que l'action soit complétée. Cela se fait au moyen des transactions ZAPT, PA61, SBWP « SAP Business Workplace » ou au moyen de Lotus Notes. Lorsque la demande est approuvée, le système SAP vérifie si l'employé a suffisamment de jours de congé en banque. Si le nombre de jours de congés qui reste à prendre est insuffisant, le superviseur ne peut pas compléter l'approbation (c.-à-d. déverrouiller et sauvegarder la demande). Si l'approbation se fait avec succès, la banque de congés de l'employé est débitée en conséquence.

Chaque année (le 31 mars), les indemnités de vacances à payer sont calculées et enregistrées car les soldes non utilisés ne peuvent pas être reportés à l'année suivante. Le rapport banque de congés - « Quota Balance Report » - (RPTBAL00 dans le SAP) est produit par le conseiller en rémunération et avantages sociaux et les indemnités de vacances à payer sont automatiquement calculées par le SAP. L'indemnité de vacances à payer est définie comme étant le montant qui dépasse la rémunération pour le nombre de jours maximal qui peut être reporté (c.-à-d. 35 jours). Les autorités financières visées au sein de l'Agence sont informées du montant applicable au secteur de responsabilité en cause, aux fins de la planification budgétaire. L'agent d'administration de la direction générale peut lui aussi produire ce rapport n'importe quand dans l'année s'il le désire. Les montants à payer sont par la suite introduits dans le système de paye de TPSGC par le conseiller en rémunération et avantages sociaux afin que le paiement soit effectué.

Heures supplémentaires

Les employés doivent aussi entrer eux-mêmes leurs heures supplémentaires en utilisant le LES (libre services aux employés). Comme dans le cas des demandes de congés, les heures supplémentaires doivent être approuvées/déverrouillées par le superviseur de l'employé. Les heures supplémentaires peuvent être payées ou mises en banque. L'employé indique son choix lorsqu'il introduit les heures supplémentaires dans le système. Cependant, pour que les heures supplémentaires soient payées ou mises en banque, le statut de la demande doit être modifié dans le système pour passer à déverrouillé (approuvé). Si l'employé a choisi de se faire payer les heures, le système SAP calcule le montant à payer (c.-à-d. par exemple 1,5 fois ou 1,75 fois le salaire normal, etc.) et le conseiller en rémunération et avantages sociaux exécute le rapport des heures supplémentaires approuvées (transaction ZARHPAYOTREP). Le conseiller en rémunération et avantages sociaux entre ensuite le nombre d'heures dans le Système de paye utilisé à TPSGC afin que le montant soit payé à l'employé.

Chaque année (le 1^er octobre), les heures supplémentaires qui n'ont pas encore été payées à l'employé sont calculées et payées. Le processus est le même que pour les indemnités de vacances à payer.

Gestion organisationnelle

Aux fins de la gestion organisationnelle effectuée par le système RH-SAP, l'ACDI se charge de saisir l'information relative aux unités de l'organisation (centres de responsabilité) et aux postes. Les changements qui sont apportés à la structure organisationnelle émanent des directions générales et ce sont les agents d'administration des directions générales qui sont chargés d'introduire ces données dans le système SAP. Selon le processus administratif établi à l'Agence, l'agent d'administration de la direction générale crée le poste dans le système dans un dossier statut « prévu ». Par la suite l'agent d'administration de la direction générale ou le gestionnaire modifie le statut et remplace « prévu » par « présenté ». L'agent de classification doit ensuite s'assurer que la bonne classification a été attribuée à ce poste en révisant les données introduites dans le système et il doit apporter la correction nécessaire au besoin. L'information requise comprend notamment l'identité du superviseur/le lien hiérarchique, l'échelle de salaire (niveau et échelon de salaire) et l'information sur la classification du poste.

Lorsque l'agent de classification a révisé les données du poste, ces données peuvent être « approuvées » ou « rejetées ». Si le poste est approuvé, il devient actif et est intégré dans la structure organisationnelle de l'ACDI. Si le poste est rejeté, l'agent d'administration de la direction générale en est avisé et la structure organisationnelle n'est pas mise à jour. Des actions pré-configurées sont aussi utilisées pour guider l'utilisateur à travers la séquence d' « infotypes » nécessaires pour créer dans le SAP une unité organisationnelle ou un poste.

Protection de la confidentialité des renseignements personnels

Une stratégie de sécurité axée sur les responsabilités a été mise au point et configurée pour que les utilisateurs aient uniquement accès aux transactions et « infotypes » qu'ils ont besoin d'utiliser dans le cadre de leurs fonctions. La façon dont la sécurité est configurée dans le SAP permet aussi d'assurer la protection des renseignements personnels comme l'information sur l'équité en emploi, l'adresse du domicile et les qualifications consignées dans certains « infotypes ». Enfin, les utilisateurs peuvent seulement visualiser et mettre à jour les données RH se rapportant aux employés de leur propre secteur de responsabilité. La façon dont le système est conçu permet par exemple à un agent d'administration de direction générale de visualiser uniquement l'information relative aux employés de sa propre direction générale et d'exécuter les tâches s'y rapportant.

---

Formats de rechange

Note : Si vous ne pouvez accéder au format de rechange, veuillez visiter la page d'Aide.

Système RH-SAP - Rapport de vérification interne (PDF 234 Ko, 55 pages)