Système de gestion des ressources humaines PeopleSoft
Mars 2011

2. Observations – Cadre de gestion

2.1 Suivi de la vérification précédente du système PeopleSoft

En 2003, la Direction de la vérification interne a procédé à une vérification du système PeopleSoft afin d’examiner et d’évaluer la fiabilité et l’intégrité des données traitées et emmagasinées ainsi que la pertinence de la formation offerte aux utilisateurs et le caractère adéquat des contrôles d’accès. À la suite de la vérification, la Direction est parvenue aux conclusions suivantes : le personnel n’est pas suffisamment au courant de l’incidence des erreurs, il existe peu de procédures écrites pour les différentes fonctions de saisie de données, et les administrateurs de secteur ainsi que les bureaux régionaux utilisent très peu le système PeopleSoft. En outre, elle a constaté que le soutien offert sur place à l’AC était bon, mais que le soutien était inadéquat dans les bureaux régionaux.

Dans le cadre des objectifs de la vérification dont il est question dans le présent document, l’équipe de vérification a évalué certains des contrôles examinés lors de la vérification précédente. Par conséquent, elle a été en mesure d’assurer le suivi des principales recommandations formulées lors de la vérification précédente. Les résultats de ce suivi sont présentés dans les sections appropriées du présent rapport.

2.2 Rôles et responsabilités

Les rôles et les responsabilités qu’assument l’Unité des systèmes de RH et Systèmes ministériels de la DGI sont clairement définis en ce qui concerne le système PeopleSoft.

Comme nous l’avons indiqué précédemment, l’Unité des systèmes de RH de la DGRHDP et Systèmes ministériels de la DGI assument des responsabilités à l’égard du système PeopleSoft. Composée d’analystes des opérations, d’analystes des fonctions, d’un coordonnateur de sites Web et d’un éditeur de sites Web, l’Unité des systèmes de RH gère la ligne d’aide du système PeopleSoft et détermine les besoins opérationnels relatifs aux changements proposés au système. Quant aux analystes des opérations de Systèmes ministériels de la DGI, ils s’occupent des aspects techniques des changements proposés au système.

Nous estimons que les changements proposés reposent sur un processus de gestion du changement bien documenté qui comprend une proposition d’investissement pour chaque changement demandé. Tant l’Unité des systèmes de RH que Systèmes ministériels de la DGI doivent approuver les nouvelles versions du système pour qu’elles soient mises en œuvre.

De l’avis de l’équipe de vérification, les rôles et les responsabilités des deux groupes sont bien définis.

Il est nécessaire de mettre à jour l’accord sur les niveaux de service (ANS) pour confirmer le niveau de services requis.

Les services fournis par la DGI à l’Unité des systèmes de RH sont régis par un ANS qui garantit le perfectionnement, la maintenance et le soutien opérationnel du système ainsi que la préparation de l’énoncé de sensibilité Note de bas de page 1 et de l’évaluation de la menace et des risques (EMR) exigés tous les deux ou trois ans. L’ANS en vigueur a été signé en 2001–2002. Au moment de la vérification, l’énoncé de sensibilité n’avait pas été élaboré, et aucune EMR n’avait été menée. Il faut mettre à jour l’ANS et redéfinir les services fournis, au besoin.

Il est nécessaire d’examiner les descriptions de poste des analystes des opérations pour éviter que les tâches des analystes des opérations de l’Unité des systèmes de RH et de Systèmes ministériels de la DGI ne se chevauchent.

L’équipe de vérification a examiné les descriptions de poste des employés de l’Unité des systèmes de RH et de Systèmes ministériels de la DGI pour déterminer si leurs fonctions génériques reflètent les tâches exécutées. L’examen de la structure organisationnelle de l’Unité des systèmes de RH et de Systèmes ministériels de la DGI a confirmé qu’il y a des analystes des opérations dans les deux groupes. Nous jugeons que les tâches des analystes des opérations qui sont décrites dans les descriptions de poste ont besoin d’être clarifiées. Néanmoins, les responsabilités respectives de ces deux groupes ont été définies de façon non officielle. Les analystes de Systèmes ministériels de la DGI règlent les problèmes techniques, tandis que les analystes des opérations de l’Unité des systèmes de RH s’occupent des problèmes opérationnels.

À l’heure actuelle, l’Unité des systèmes de RH fait l’objet d’un exercice d’aménagement organisationnel et d’examen de la classification des postes. Selon nous, le moment est approprié pour corriger les descriptions de poste des analystes des opérations.

Recommandation et réponse de la direction

1. On recommande que le directeur général de la DGRHDP veille à ce que l’ANS conclu avec la DGI soit mis à jour et que les services soient redéfinis, au besoin. (Risque moyen) Note de bas de page 2 .

D’accord. Comme il est précisé dans la section 2.5 de ce document, l’« ANS conclu entre l’Unité des systèmes de RH et la DGI définit les conditions liées aux services fournis par la DGI et porte sur des aspects tels que la disponibilité du personnel de la DGI pour assurer le fonctionnement du système, le temps d’arrêt maximal acceptable lors d’une mise à niveau du système et le délai de rétablissement en cas de catastrophe. En outre, la DGI a signé des ententes sur les niveaux opérationnels avec un fournisseur externe concernant certains éléments de l’infrastructure, dont le réseau du système, le centre d’aide et les postes de travail sur place. L’équipe de vérification a sondé des utilisateurs occupant des postes différents pour évaluer leur degré de satisfaction à l’égard du rendement des fournisseurs de services internes et externes. Tous les utilisateurs ont indiqué qu’ils étaient satisfaits du délai de réponse et du niveau de service ». En outre, les constatations issues de la vérification ont confirmé que les rôles et responsabilités des membres de l’équipe PeopleSoft (tant les spécialistes fonctionnels que techniques) sont clairement définis. Cela étant dit, l’ANS sera revu et mis à jour au plus tard le 31 décembre 2011 et il sera communiqué aux personnes concernées. Échéancier : 31 décembre 2011.

Recommandation et réponse de la direction

2. On recommande qu’en consultation avec le gestionnaire de l’Unité des systèmes de RH et de Systèmes ministériels de la DGI, le directeur général de la DGRHDP veille à ce que les descriptions de poste des analystes des opérations soient examinées afin de refléter exactement leurs tâches. (Risque faible)

D’accord. Tel qu’il est mentionné plus tôt dans le rapport, les rôles et les responsabilités qu’assument l’Unité des systèmes de RH et Systèmes ministériels de la DGI sont clairement définis. Les employés CS membres de l’équipe technique analysent les besoins opérationnels que les analystes des opérations de l’Unité des systèmes de RH ont recensés et décrits afin d’en déterminer les incidences techniques, les options d’ordre conceptuel, etc. À ce titre, il n’y a pas de chevauchement ni de redondance des rôles. Toutefois, nous reconnaissons qu’il faut rajuster les descriptions de travail actuelles. Le groupe des Systèmes ministériels de la DGI mettra en œuvre au cours de l’exercice les descriptions de travail génériques CS adoptées dans l’ensemble de l’administration publique. Cela constituera la réponse à cette recommandation. Les descriptions de travail des analystes des opérations de l’Unité des systèmes de RH correspondent à celles employées par l’administration publique dans le cadre de l’Initiative des systèmes partagés globale pour PeopleSoft. Échéancier : 31 mars 2012.

2.3 Plan d'amélioration du système

Le plan d’amélioration du système élaboré par l’Unité des systèmes des RH est adéquat.

Chaque année, le personnel de l’Unité des systèmes de RH et les gestionnaires de la DGRHDP et des régions se réunissent pour discuter des besoins relatifs au système pour le prochain exercice et du degré de priorité associé à chaque besoin. En outre, les gestionnaires de la DGRHDP communiquent avec tous leurs clients pour leur demander de cerner les besoins liés aux nouvelles données des RH qui peuvent nécessiter la modification du système PeopleSoft. Par la suite, l’Unité des systèmes de RH dresse un budget annuel comprenant divers postes (p. ex. formation, traduction, fournitures, entretien du Centre des programmes du SGRH Note de bas de page 3 du gouvernement du Canada et mises à niveau de logiciels) et y intègre les besoins cernés par les utilisateurs, si des fonds sont disponibles.

L’équipe de vérification est d’avis que le plan d’amélioration du système élaboré par l’Unité des systèmes de RH est adéquat.

2.4 Budget

Le processus budgétaire est bien défini et les dépenses sont suffisamment surveillées au cours de l’exercice.

Le directeur de l’Unité des systèmes de RH dresse annuellement un budget pour le système PeopleSoft et partage avec le gestionnaire de Planification des ressources humaines et équité en matière d'emploi et avec Systèmes des RH les responsabilités relatives à la surveillance de ce dernier. En examinant le budget de l’exercice financier 2009–2010, l’équipe de vérification a noté que les types de dépenses, notamment le soutien du système, les services d’experts-conseils, les déplacements et la formation, étaient appropriés. Le budget approuvé pour 2009–2010 était de 327 802 $, et les dépenses réelles engagées au moment de la vérification s’élevaient à 309 440 $.

Les fonds excédentaires étant débloqués pendant les derniers mois de l’exercice, il est difficile pour l’Unité des systèmes de RH de mener à terme des projets techniques spéciaux avant la fin de l’exercice financier.

Nous avons été informés qu’aucun financement n’était disponible pour les projets techniques spéciaux, même si le budget de 327 802 $ suffisait à couvrir les dépenses liées à la maintenance du système. Ainsi, lorsque la priorité est accordée à l’un de ces projets spéciaux, le directeur de l’Unité des systèmes de RH présente une demande de financement supplémentaire, généralement au printemps de chaque année. Si elle est approuvée, les fonds sont habituellement débloqués à l’automne. Nous avons été avisés que les projets risquent de ne pas être terminés à la fin de l’exercice si les fonds sont seulement débloqués au cours des derniers mois de l’exercice. Par exemple, l’Unité des systèmes de RH a prévu mener à terme un projet sur la veille stratégique, au coût de 174 504 $, au cours de l’exercice 2010–2011. Au moment de la vérification, elle n’avait reçu qu’une somme de 59 974 $ pour le financer. De plus, elle ne savait pas quand le reste du financement serait disponible. On nous a dit qu’il était improbable d’achever le projet avant la fin de l’exercice financier, à moins que des fonds soient rapidement débloqués. Par ailleurs, il se peut que les ressources nécessaires au projet ne soient plus disponibles au cours du prochain exercice.

Le budget actuel suffit à la maintenance du système, mais il reste peu de ressources financières pour offrir d’autres services aux utilisateurs finaux.

L’équipe de vérification a demandé que les budgets des exercices précédents lui soient fournis afin d’analyser les types de dépenses engagées au fil des années pour soutenir le système. La DGRHDP a mis à sa disposition des données budgétaires datant de l’exercice financier 2002–2003. La comparaison des budgets de 2002–2003 et de 2009–2010 a révélé que les frais de maintenance du système PeopleSoft ont augmenté au fil des années, alors que le budget total avait diminué. De 2002–2003 à 2009–2010, les frais de maintenance sont passés de 124 325 $ à 241 979 $ et représentaient 73 p. 100 du budget total en 2009–2010. Les coûts afférents au Centre des programmes ont enregistré une hausse considérable depuis 2002–2003, passant de 50 840 $ à 102 361 $, et représentaient 32 p. 100 du budget total en 2009–2010. Nous avons été informés qu’une fois les fonds affectés à la maintenance, il restait peu de ressources financières pour offrir d’autres services aux utilisateurs, notamment de la formation et l’impression de manuels d’utilisation à jour.

2.5 Rendement du système

Des procédures sont établies et mises en œuvre pour assurer le fonctionnement continu du système.

L’Unité des systèmes de RH a établi et mis en œuvre des procédures pour garantir l’accessibilité du système PeopleSoft aux utilisateurs finaux. L’ANS conclu entre l’Unité des systèmes de RH et la DGI définit les conditions liées aux services fournis par la DGI et porte sur des aspects tels que la disponibilité du personnel de la DGI pour assurer le fonctionnement du système, le temps d’arrêt maximal acceptable lors d’une mise à niveau du système et le délai de rétablissement en cas de catastrophe. En outre, la DGI a signé des ententes sur les niveaux opérationnels avec un fournisseur externe concernant certains éléments de l’infrastructure, dont le réseau du système, le centre d’aide et les postes de travail sur place. L’équipe de vérification a sondé des utilisateurs occupant des postes différents pour évaluer leur degré de satisfaction à l’égard du rendement des fournisseurs de services internes et externes. Tous les utilisateurs ont indiqué qu’ils étaient satisfaits du délai de réponse et du niveau de service.

L’équipe de vérification juge que les procédures mises en œuvre par l’Unité des systèmes de RH pour assurer le fonctionnement continu de l’application sont appropriées.

L’Unité des systèmes de RH n’a pas créé de rapport qui fournit à la direction des données pertinentes pour évaluer le rendement opérationnel du système dans son ensemble.

Nous avons examiné le rapport opérationnel sur PeopleSoft au MJ et nous l’avons trouvé très technique. Il contient de l’information sur les différentes composantes du système, notamment la disponibilité ainsi que l’utilisation de l’unité centrale de traitement et de la mémoire. Toutefois, il ne rend pas compte des délais de réponse. De surcroît, le vocabulaire et le contenu du rapport étaient tellement techniques que nous n’avons pas pu dégager les données propres à la mesure du rendement du système PeopleSoft dont la direction et les utilisateurs ont besoin. Le rapport présente les activités opérationnelles par matériel informatique, sans toutefois indiquer si le matériel contient l’application PeopleSoft, les services d’impression offerts par le système PeopleSoft ou la base de données de PeopleSoft, ou s’il se rapporte à une région en particulier ou au Ministère dans sa globalité. Il n’explique pas les répercussions des diverses activités. Par exemple, quels sont les effets sur le rendement lorsque le nombre total de transferts disque à disque dépasse 120 millions? Quelles sont les incidences sur le rendement lorsque la mémoire utilisée dépasse un certain seuil (p. ex. 70 p. 100 et 80 p. 100)?

L’unité des systèmes de RH devrait être capable de produire un rapport général sur le rendement de certains aspects du système (p. ex. disponibilité, fiabilité et délai de réponse). Cette information serait utile pour comprendre les effets négatifs de l’arrêt du système. Toutefois, elle n’a pas créé de rapport global qui fait la synthèse de toute l’information, fournissant ainsi à la direction des données pertinentes sur le rendement général du système. D’après les vérificateurs, la préparation d’un tel rapport aiderait la direction à évaluer le système dans son ensemble.

La redondance est intégrée à l’infrastructure du système PeopleSoft pour assurer le fonctionnement continu du système.

La redondance est intégrée à l’infrastructure du système PeopleSoft pour assurer le fonctionnement continu du système. À l’heure actuelle, il y a deux serveurs d’applications, deux serveurs Web et deux serveurs de base de données. Ainsi, si une défaillance survient à l’un des points d’entrée du système, elle ne compromettra pas le rendement général du système. Si l’un des serveurs tombe en panne, l’autre prend la relève.

Selon l’équipe de vérification, l’infrastructure actuelle favorise le fonctionnement continu du système.

Recommandation et réponse de la direction

3. On recommande que le directeur principal de la Division de l'appui aux activités, aux applications et aux services veille à ce qu’un rapport sur le rendement général contenant des données pertinentes sur le système PeopleSoft soit préparé pour aider la direction à évaluer le système dans son ensemble. (Risque faible)

D’accord. Le directeur principal, Division de l’appui aux activités, aux applications et aux services (DAAAS) communiquera avec la direction afin de déterminer les besoins, de modifier le rapport actuel, si nécessaire pour tenir compte de ces besoins et de faire en sorte que ceux-ci soient communiqués de façon régulière et que les problèmes soient réglés de façon efficace. Échéancier : au plus tard le 31 mars 2012 et en permanence par la suite.

2.6 Contrôles des changements

La liste de vérification relative à la mise en œuvre doit être mise à jour de façon à inclure une signature et une date d’approbation.

Systèmes ministériels de la DGI est responsable de mettre en œuvre les nouvelles versions et de mettre à niveau le système. Afin de rendre compte de ce processus, elle dresse une liste de vérification relative à la mise en œuvre. L’équipe de vérification a examiné la liste de vérification relative à la mise en œuvre dressée pour l’installation de la version 8.9 et l’a jugée adéquate. Cependant, on a observé que le document ne comporte pas de signature ou de date d’approbation. La responsabilité de veiller à ce que la documentation à l’appui des modifications du système soit signée par l’autorité appropriée incombe à la direction. Cette procédure est nécessaire à la validation du processus. Par conséquent, il est important que la liste de vérification relative à la mise en œuvre soit mise à jour de façon à inclure ces renseignements.

Une fois que la DGI est prête à mettre en place une version d’essai dans un environnement de production, un formulaire sur l’état de la mise à niveau doit être rempli et signé. L’examen du formulaire sur l’état de la mise à niveau rempli pour l’essai de la version 8.9 a révélé que ce document est juste et a été signé comme il se doit.

Recommandation et réponse de la direction

4. On recommande que le directeur principal de la Division de l'appui aux activités, aux applications et aux services veille à ce que la liste de vérification relative à la mise en œuvre soit mise à jour de façon à inclure une signature et une date d’approbation. (Risque moyen)

D’accord. Le directeur principal, DAAAS, veillera à ce que la liste de mise en œuvre soit mise à jour pour y inclure une signature et une date d’approbation et que les processus de changements et de mise à niveau soient mis à jour, le cas échéant. Échéancier : au plus tard le 31 mars 2012.

2.7 Documentation relative au système

L’Unité des systèmes de RH est en train de rédiger un guide de procédures qui rédigera le guide technique accessible au moyen du système PeopleSoft.

La documentation technique fait partie intégrante du système PeopleSoft. Les utilisateurs peuvent y accéder dans le site intranet JUSnet. En ce qui concerne la documentation complémentaire mise à la disposition des utilisateurs du système, l’Unité des systèmes de RH est en train de rédiger un guide de procédures qui contient des précisions sur le cadre de gestion régissant le système et les procédures à suivre pour obtenir de l’aide, si nécessaire. Datée de mars 2010, la version préliminaire du guide de procédures donne de l’information détaillée sur les sujets suivants :

  • les rôles et les responsabilités de l’équipe opérationnelle;
  • les outils de communication;
  • les lignes directrices et les procédures encadrant l’utilisation du système;
  • la consignation d’information sur les problèmes;
  • la sécurité;
  • la formation.

Le guide de procédures est une excellente initiative entreprise par l’Unité des systèmes de RH pour rassembler de l’information pertinente sur l’utilisation du système en un seul document. À notre avis, il sera bénéfique pour les utilisateurs d’y avoir accès dès qu’il sera terminé.

Recommandation et réponse de la direction

5. On recommande que le directeur général de la DGRHDP s’assure que la version définitive du guide de procédures soit établie et mise à la disposition des utilisateurs dès qu’elle sera prête. (Risque faible)

D’accord. L’équipe des systèmes de RH reconnaît la nécessité de consigner tous les processus et procédures utilisés pour maintenir efficacement l’application et de les communiquer aux utilisateurs toujours plus nombreux. L’élaboration du Guide de procédures I est presque terminée. La version définitive sera fournie à tous les utilisateurs et il sera possible de la consulter sur « Les RH et vous ». Échéancier : au plus tard le 31 décembre 2011.

2.8 Sauvegardes informatiques et planification de la continuité des activités

Des copies de sauvegarde sont régulièrement faites et mises à l’essai pour les besoins de la restauration des données.

Des copies de sauvegarde des données sont faites tous les mois et conservées à deux endroits différents. Les copies de sauvegarde sont envoyées aux archives ministérielles sur bande magnétique et conservées pendant un an. Nous avons été informés qu’un processus de restauration de données est en place et a été mis à l’essai avec succès.

Il est nécessaire d’examiner les processus de restauration pour l’application PeopleSoft et de déterminer le processus qui est le plus fiable.

Deux méthodes différentes sont en place pour restaurer l’application PeopleSoft. La première méthode crée des copies de sauvegarde de l’application sous forme d’images de serveur. Plus précisément, elle copie l’application existante dans un deuxième serveur, et cette copie devient disponible lorsque l’application du serveur principal cesse de fonctionner. Nous avons été informés que des copies de l’application ne sont pas faites régulièrement ni automatiquement après les mises à jour ou les mises à niveau du système. Par conséquent, les copies de l’application risquent de ne pas être à jour si le système doit être restauré au moyen de l’image de sauvegarde.

Il existe une deuxième méthode pour restaurer l’application. L’administrateur de base de données a rédigé un guide qui décrit de façon détaillée un processus de restauration du système d’une durée approximative d’une journée.

La direction devrait examiner les deux méthodes pour déterminer si elles sont nécessaires et fiables. Selon nous, le fait qu’il y ait deux méthodes de restauration d’une seule et même application pourrait entraîner de la confusion, particulièrement lorsque la meilleure solution est indéterminée.

Il est nécessaire d’évaluer le caractère essentiel du système PeopleSoft et d’élaborer un plan de continuité des activités.

Pendant la vérification, les employés de l’Unité des systèmes de RH et de Systèmes ministériels de la DGI que nous avons interrogés n’ont pas réussi à nous fournir une analyse des répercussions sur les opérations ou un plan de continuité des activités pour PeopleSoft. Pourtant, le plan de continuité des activités de Systèmes ministériels de la DGI qualifie le système PeopleSoft de système crucial qui doit être restauré dans un délai acceptable maximal de deux jours. D’après le Guide de planification de la continuité des activités au ministère de la Justice, il faut rédiger une analyse des répercussions sur les opérations et un plan de continuité des activités pour toutes les fonctions ministérielles essentielles, en plus de mettre à l’essai le plan de continuité des activités tous les deux ans.

Même si le Ministère a conclu une entente avec Travaux publics et Services gouvernementaux Canada (TPSGC) visant à avoir accès à des infrastructures hors site (c.à.d. matériel informatique et système d’exploitation) en cas d’urgence pour exécuter le système PeopleSoft, aucun plan de continuité des activités n’est en place pour restaurer le système PeopleSoft.

Recommandation et réponse de la direction

6. On recommande que le directeur principal de la Division de l'appui aux activités, aux applications et aux services examine les processus de restauration de l’application PeopleSoft pour déterminer celui qui est le plus fiable. (Risque moyen)

D’accord. L’Unité des systèmes de RH et le directeur principal, DAAAS, sont conscients de l’importance cruciale des processus de restauration efficaces et reconnaissent la nécessité des sauvegardes du serveur de l’application, lesquelles sont nécessaires lors de la mise à niveau de PeopleTools ou des systèmes d’exploitation. Le directeur principal, DAAAS, examinera les processus de sauvegarde en vigueur afin de déterminer la meilleure option. Cela fera partie d’un effort commun avec la Division des services technologiques (DST) de la Direction de la gestion de l’information en vue d’incorporer la sauvegarde dans le processus de rétablissement en cas de sinistre du Ministère. En outre, cette mesure ou exigence sera ajoutée à la marche à suivre de l’administrateur de la base de données avant la prochaine mise à niveau de PeopleTools ou des systèmes d’exploitation, prévue au cours de l’exercice 2012-2013.

Recommandation et réponse de la direction

7. On recommande que le directeur général de la DGRHDP veille à ce que le caractère essentiel du système PeopleSoft soit évalué à l’aide d’une analyse des répercussions sur les opérations et qu’un plan de continuité des activités soit élaboré pour PeopleSoft. (Risque moyen)

D’accord. La DGRHDP et la DGI collaboreront pour faire en sorte que l’évaluation et le plan sont élaborés conformément au guide de continuité des activités du ministère. Échéancier : au plus tard le 31 mars 2012.

2.9 Accès au système et rôles des utilisateurs dans le système PeopleSoft

Des privilèges d’accès ont été accordés à des utilisateurs sans les documents justificatifs pertinents.

Pour assurer la confidentialité des données des RH, l’Unité des systèmes de RH a établi des procédures de contrôle d’accès au système. L’administrateur de la sécurité et de l’accès du système PeopleSoft (l’administrateur) crée des comptes d’utilisateur conformément aux procédures décrites dans la version préliminaire du guide de procédures. En général, l’accès est restreint à une discipline (p. ex. dotation, classification et équité en emploi) et doit être approuvé par un superviseur. Lorsqu’un employé quitte le Ministère, l’administrateur, qui en est informé par téléphone ou courriel, supprime son code d’utilisateur.

Afin de valider le processus de création des comptes, l’équipe de vérification a examiné les formulaires d’autorisation d’accès au système PeopleSoft. Au moment de la vérification, le système PeopleSoft comptait 5 775 utilisateurs Note de bas de page 4 . Au total, 421 d’entre eux étaient des employés des RH, tandis que 5 354 d’entre eux n’étaient pas des employés des RH. L’équipe de vérification a confirmé que les formulaires d’accès avaient été signés par le responsable approprié et que les rôles confiés aux utilisateurs du système PeopleSoft Note de bas de page 5 convenaient à leur poste et à leurs responsabilités.

L’équipe de vérification a découvert que 20 p. 100 des dossiers de l’échantillon sélectionné n’étaient pas accompagnés des documents justificatifs adéquats pour créer un compte ou assigner des rôles particuliers. En outre, nous avons constaté que le système permet de remplir en ligne le formulaire de demande d’accès, mais que certains membres du personnel remplissent tout de même le formulaire à la main et oublient d’inscrire le nom de leur superviseur. Dans tous les cas, même si nous avons confirmé qu’un superviseur avait signé manuellement les formulaires remplis, la signature était souvent illisible et ne pouvait pas être associée à aucun nom.

L’Unité des systèmes de RH doit améliorer les procédures à l’appui des contrôles d’accès pour renforcer la confidentialité et l’intégrité des données des RH.

Lorsque nous l’avons interrogé pour discuter du processus de création des comptes, l’administrateur de la sécurité et de l’accès du système PeopleSoft nous a indiqué que les questions suivantes avaient une incidence sur la confidentialité et l’intégrité des données des RH :

  • il n’y a aucun système en place pour aviser l’administrateur lorsqu’un employé change d’emploi au sein du Ministère. Par conséquent, un employé des RH muté dans un autre secteur pourrait conserver ses privilèges d’accès;
  • il n’y a aucun système en place pour conserver la trace de la date d’expiration de privilèges d’accès supplémentaires et temporaires liés à une période d’affectation intérimaire. Ainsi, un employé pourrait conserver ses privilèges d’accès supplémentaires une fois sa période d’affectation intérimaire terminée;
  • les employés des RH ont accès à tous les dossiers des employés, qu’ils travaillent en région ou à l’AC. La raison pour laquelle ils jouissent de ce privilège d’accès réside dans les procédures suivies par le Ministère lorsqu’il transfère un employé d’une organisation ou d’une région à une autre. Nous avons été informés qu’en général, le bureau des RH de la région « expéditrice » n’envoie pas l’information des RH rapidement à la région « réceptrice ». Cette tâche n’est pas considérée comme une priorité ou une responsabilité du bureau « expéditeur ».

Ces questions doivent être traitées.

Il est nécessaire d’examiner périodiquement les comptes d’utilisateur actifs et de produire un rapport de situation sur les comptes dans leur ensemble.

Le personnel des RH examine périodiquement les données enregistrées dans le système PeopleSoft. Par exemple, nous avons constaté que les conseillers en RH qui œuvrent dans des secteurs sensibles (p. ex. prix, relations de travail et rémunération au rendement) analysent l’information contenue dans les modules tous les trimestres pour en vérifier l’exactitude. Nous avons aussi constaté que l’administrateur de la sécurité et de l’accès surveille tous les employés d’autres ministères Note de bas de page 6 PeopleSoft. Toutefois, aucun document ne confirme que l’administrateur examine périodiquement tous les comptes d’utilisateur actifs pour déterminer si les utilisateurs utilisent le système de façon régulière. Afin de renforcer le contrôle des privilèges d’accès au système, l’administrateur est tenu de procéder périodiquement à un examen de tous les comptes d’utilisateur actifs et de produire un rapport de situation.

Recommandation et réponse de la direction

8. On recommande que le directeur général de la DGRHDP veille à ce que l’octroi de privilèges d’accès au système soit accompagné des documents appropriés. (Risque moyen)

D’accord. Le SGRH renferme des données de niveau Protégé A et Protégé B et, à ce titre, il est impératif que nous prenions les précautions qui s’imposent pour en assurer la protection. Le processus auquel l’équipe de vérification fait allusion a été mis en œuvre en 2010 dans cette optique. Le processus en vigueur exige que le gestionnaire responsable de l’employé soumette toutes les demandes d’accès au moyen d’une Demande d’accès au SGRH. Le gestionnaire responsable doit remplir et transmettre cette demande par voie électronique. Compte tenu de la désignation Protégé B de certains éléments de données, un processus d’accès « restreint » a été mis en œuvre qui nécessite un deuxième niveau d’approbation de la part du responsable ministériel.

À ce titre, l’Unité des systèmes de RH dispose d’un processus pour garantir que les privilèges d’accès au système sont accompagnés des documents appropriés, mais nous sommes conscients que des améliorations pourraient y être apportées. C’est pourquoi l’équipe des systèmes de RH entreprendra un examen exhaustif de tous les groupes d’accès de PeopleSoft et des profils des utilisateurs actuels et elle établira un calendrier cyclique pour faire en sorte que cet examen est exécuté de façon régulière. Le guide de procédures susmentionné fournit des détails sur l’octroi des privilèges d’accès et réitère les responsabilités et les obligations des employés qui ont obtenu de tels privilèges. La publication de ce guide servira à renforcer l’importance de protéger l’intégrité et la confidentialité des données relatives aux RH. Échéancier : 31 décembre 2011.

Recommandations et réponse de la direction

9. On recommande que le directeur général de la DGRHDP veille à ce que les procédures à l’appui des contrôles d’accès soient améliorées pour renforcer la confidentialité et l’intégrité des données des RH. (Risque moyen)

D’accord. L’Unité des systèmes de RH a amorcé des travaux en vue de renforcer les procédures à l’appui des contrôles d’accès afin de garantir la confidentialité et l’intégrité des données relatives aux RH. En plus des travaux susmentionnés, l’Unité des systèmes des RH renforcera encore le processus, lequel oblige actuellement les gestionnaires à nous informer des changements survenus dans leur domaine respectif et de l’effet de ces changements sur les besoins d’accès. Pour ce faire, l’Unité des systèmes des RH veillera à :

  • produire un rapport mensuel qui suivra tous les mouvements internes d’employés qui jouissent de privilèges d’accès à l’application. L’Unité utilisera ce rapport pour amorcer un dialogue avec l’utilisateur et son nouveau superviseur afin de confirmer les privilèges d’accès dont l’utilisateur a besoin pour exécuter les tâches rattachées à son nouveau rôle, si le superviseur n’a pas lui-même amorcé cette démarche. Ces privilèges d’accès seront accompagnés des documents appropriés, approuvés par écrit et examinés dans le cadre du processus régulier susmentionné;
  • créer des répertoires partagés à accès limité au sein de l’Équipe des systèmes de RH pour conserver les documents remplis et les renseignements connexes pour chaque compte d’utilisateur.

Échéancier : Les travaux sont amorcés et ils seront achevés au plus tard le 31 décembre 2011.

Recommandation et réponse de la direction

10. On recommande que le directeur général de la DGRHDP veille à ce que tous les comptes d’utilisateur actifs soient examinés périodiquement et qu’un rapport de situation soit produit sur les comptes dans leur ensemble. (Risque faible)

D’accord. Tel que mentionné aux réponses des recommandations 8 et 9, un processus a été amorcé afin d’assurer l’examen périodique des privilèges d’accès pour tous les usagers. Échéancier : 31 mars 2012.

2.10 Sensibilité et sécurité des données

Une évaluation des facteurs relatifs à la vie privée et une EMR doivent être effectuées pour le système PeopleSoft.

On nous a informés que le Centre des programmes a mené une évaluation des facteurs relatifs à la vie privée pour le système PeopleSoft il y a déjà un certain temps, mais la DGRHDP n’a pas réussi à nous fournir la période précise ou une copie de cette évaluation.

En 2006, le Ministère a procédé à une EMR afin de se conformer à la norme de gestion de la sécurité des technologies de l'information du Conseil du Trésor. Nous avons été avisés que les Systèmes ministériels de la DGI et l’Unité des systèmes de RH reconnaissent que des EMR devraient être menées dès que possible.

L’Unité des systèmes de RH doit mettre à jour le document d’homologation et d’accréditation du système PeopleSoft.

Le document d’homologation et d’accréditation du système PeopleSoft était valable jusqu’au 31 décembre 2008. Il est nécessaire de le mettre à jour pour garantir la sécurité du système.

Le niveau de protection approprié pour l’ensemble des données des RH doit être déterminé et communiqué au personnel.

En examinant l’information contenue dans l’EMR de 2006 et le document d’homologation et d’accréditation datant de 2008, nous avons découvert que les données saisies dans le système PeopleSoft sont cotées « Protégé A » ou « Protégé B ». Nous avons constaté que les données salariales sont cotées « Protégé A » en analysant le Guide de la transmission, de l’entreposage et de la destruction de renseignements protégés et classifiés du Ministère. D’après ce que nous avons compris lors de l’examen de ces documents, toutes les données du système devraient être cotées « Protégé B ».

Lors d’entretiens, nous avons constaté que certains directeurs de la DGRHDP croient que toutes les données de PeopleSoft devraient être cotées « Protégé B », tandis que d’autres pensent qu’une partie des données seulement devrait être cotée « Protégé B » et que les autres devraient être cotées « Protégé A ». Selon nous, à cause de ces divergences, certaines données des RH risquent de recevoir une mauvaise désignation, ce qui réduirait leur niveau de protection.

Recommandation et réponse de la direction

11. On recommande que le directeur général de la DGRHDP veille à ce qu’une évaluation des facteurs relatifs à la vie privée et qu’une EMR soient menées. (Risque moyen)

D’accord. De concert avec la DGI, la DGRHDP prendra immédiatement les mesures nécessaires afin de retenir les services d’experts qui seront chargés de mener une évaluation des facteurs relatifs à la vie privée et une évaluation de la menace et du risque de façon à respecter la norme de gestion de la sécurité et des technologies de l’information (GSTI) du Conseil du Trésor. Échéancier : au plus tard le 31 mars 2012.

Recommandation et réponse de la direction

12. On recommande que le directeur général de la DGRHDP veille à ce que le document d’homologation et d’accréditation du système PeopleSoft soit mis à jour. (Risque moyen)

D’accord. De concert avec la DGI, la DGRHDP prendra les mesures nécessaires pour faire en sorte que le document d’homologation et d’accréditation du système PeopleSoft est mis à jour d’ici mars 2012.

Recommandation et réponse de la direction

13. On recommande que le directeur général de la DGRHDP veille à ce que le niveau de protection approprié pour l’ensemble des données des RH soit déterminé et communiqué au personnel. (Risque moyen)

D’accord. Le SGRH de PeopleSoft est l’application que le gouvernement a retenue aux fins de la gestion des RH. Le Centre des programmes, de TPSGC, assure la maintenance de la version du SGRH de PeopleSoft du gouvernement du Canada. Le Centre des programmes a défini les désignations de sécurité appropriées pour les modules dont le gouvernement du Canada a obtenu la licence. La responsabilité des contrôles d’accès est laissée à la discrétion de chaque ministère qui utilise l’application, en tenant compte de ces désignations de sécurité. Comme nous l’avons vu, l’évaluation de la menace et du risque de 2006 et les documents d’homologation et d’accréditation de 2008 attribuent aux données de PeopleSoft le niveau protégé A ou B. Nous entreprendrons à court terme la mise à jour de ces documents ce qui permettra de reconfirmer les niveaux de protection adaptés au système. Tel que mentionné en 8, 9 et 10 ci-dessus, un accès restreint nécessitant un deuxième niveau d’approbation est accordé pour les données protégé B.

Une stratégie sera mise en œuvre pour déterminer et communiquer le niveau de protection applicable à toutes les données relatives aux RH. Au plus tard le 31 mars 2012.

2.11 Intégrité des données

Un système valide le processus de saisie des transactions et l’intégrité des données, mais le seuil du taux d’erreurs initiales doit être examiné avant les interventions.

L’Unité chargée de l’intégrité des données de l’Unité des systèmes de RH a été temporairement formée à la suite de la vérification du système PeopleSoft qui a été menée en 2003 afin de donner suite aux conclusions de la vérification. Au moment de la présente vérification, un employé de l’Unité, maintenant permanente, se consacrait uniquement à l’examen de l’intégrité des données des RH saisies par les adjoints et les conseillers en RH à l’échelon national. Les instructions relatives à cet examen sont bien décrites, et le processus d’examen est exhaustif.

Nous avons examiné les rapports trimestriels sur l’intégrité des données (taux d’erreurs initiales) produits par l’Unité chargée de l’intégrité des données pour les régions pendant la période allant de janvier 2008 à mars 2010 et avons trouvé que toutes les erreurs identifiées ont été corrigées en temps opportun. Nous avons noté que le taux initial d’erreurs le plus bas était de 1,5 p. 100 dans une région, tandis que le taux d’erreurs initiales atteignait un sommet de 51,2 p. 100 dans une autre région. Lorsque le taux d’erreurs d’un utilisateur en particulier est supérieur à 20 p. 100, l’Unité chargée de l’intégrité des données avise le superviseur de la personne responsable de la saisie de données dans le système dans un délai de 24 heures. Le superviseur est alors chargé de trouver les causes du taux d’erreurs élevé et de prendre des mesures pour corriger les erreurs décelées et régler les problèmes éprouvés.

Dans le but de valider l’exactitude des données entrées dans le système PeopleSoft, l’équipe de vérification a sélectionné un échantillon de dix dossiers du personnel. Puis, elle a analysé les 19 éléments d’information sur les RH consignés dans chacun d’eux. Finalement, elle a mis en rapport les éléments d’information et les données contenues dans le système. Elle n’a trouvé aucune erreur dans l’échantillon choisie.

D’après nous, même si le processus de validation de l’intégrité des données est adéquat, les taux d’erreurs sont trop élevés avant les interventions.

Recommandation et réponse de la direction

14. On recommande que le directeur général de la DGRHDP examine la pertinence du seuil du taux d’erreurs. (Risque moyen)

D’accord. L’intégrité des données contenues dans le SGRH revêt une importance cruciale puisque ces données servent à satisfaire aux exigences de l’organisme central en matière de production de rapports, aux fins de la planification et à l’appui de la prise de décisions, etc. Comme nous l’avons vu, l’équipe de vérification a conclu que les données contenues dans le système PeopleSoft sont exactes. L’équipe a aussi confirmé que le système mis au point pour valider le processus de saisie des transactions et l’intégrité des données est approprié, mais elle est toutefois d’avis que le seuil du taux d’erreurs initiales qui fait partie du processus de validation de l’intégrité des données est trop élevé. Le DG de la DGRHDP a examiné ce seuil et, à la suite de cet examen, il sera ramené à 10 %. Cela signifie que les gestionnaires seront informés des erreurs commises par leur personnel lorsque leur taux d’erreurs dépasse 10 %. Il est important de souligner toutefois que toutes les erreurs sont renvoyées à l’utilisateur concerné pour qu’il les corrige.

Le DG de la DGRHDP communiquera à tous les directeurs régionaux de RH et à leur personnel l’importance de l’intégrité des données. Échéancier : au plus tard le 30 septembre 2011.

Le DG de la DGRHDP communiquera la nécessité d’inclure des objectifs de rendement dans les ERAE de tous les conseillers en RH et des adjoints concernant l’intégrité des données pour leurs domaines de responsabilité respectifs. Échéancier : au plus tard le 31 décembre 2011.

L’Équipe des systèmes de RH continuera à donner de la formation aux utilisateurs.

Date de modification :