Audit collectif des contrôles internes du SAP

2015-2016
Bureau de la vérification et de l'évaluation d'Agriculture et Agroalimentaire Canada, 4 décembre 2015
Direction générale de la vérification et de l'évaluation de l'Agence canadienne d'inspection des aliments, 13 janvier 2016
Direction de l'audit de Ressources naturelles Canada, 17 décembre 2015

Sommaire

Le SAP est le système standard de planification des ressources d'entreprise du gouvernement du Canada utilisé dans le cadre du Système intégré des finances et du matériel (SIFM). En tant qu'administrateur du SIFM, Agriculture et Agroalimentaire Canada (AAC) est chargé de la prestation des services de gestion de l'application SAP ainsi que de la gestion de l'infrastructure de la base de données SAP pour divers partenaires des grappes.

Les dirigeants principaux de l'audit d'AAC et deux de ses partenaires des grappes, l'Agence canadienne d'inspection des aliments (ACIA) et Ressources naturelles Canada (RNCan), ont convenu de mener un audit collectif afin de donner à leurs organisations respectives l'assurance de l'efficacité de l'application de Planification des ressources d'entreprise du SAP à fournir des informations financières exactes, fiables, accessibles et opportunes.

Objectif

L'objectif de l'audit est de fournir l'assurance que :

Sommaire des observations

Afin de répondre à son objectif, l'audit a porté sur la structure de gouvernance globale qui guide l'exploitation et la maintenance du SAP, les contrôles des TI (y compris les contrôles généraux des TI et les contrôles automatisés des applications), la planification de la continuité des activités et la planification de la reprise après sinistre ainsi que sur la gouvernance entre le partenariat et les fournisseurs de services tiers tels que Services partagés Canada (SPC). En résumé :

Conclusion

L'audit a permis de déterminer que des structures de gouvernance étaient en place pour favoriser la planification saine et équitable des investissements et l'affectation des ressources dans la maintenance et l'évolution constante de l'application Planification des ressources d'entreprise du SAP; toutefois, les principaux groupes de gouvernance ne se réunissent pas à la fréquence définie dans l'accord sur les niveaux de service du partenariat et la participation n'a pas toujours lieu au niveau approprié. Dans l'ensemble, l'audit a permis de déterminer que le Centre d'excellence d'AAC exécute de façon uniforme, efficace et opportune les principaux contrôles des TI sous sa responsabilité. On a cerné des possibilités d'amélioration de certains contrôles des TI appartenant à des partenaires clients ou détenus collectivement par le partenariat ainsi que dans la continuité des activités et la reprise après sinistre. Enfin, l'audit a permis de déterminer que les structures de gouvernance pour les fournisseurs de services pourraient être renforcées.

1.0 Introduction

1.1 Contexte

1.2 Objectif de l'audit

1.3 Portée de l'audit

1.4 Méthode de l'audit

1.5 Conclusion

1.6 Énoncé de conformité

2.0 Observations détaillées, recommandations et réponses de la direction

2.1 Gouvernance des partenariats

Figure 1 - Structure de gouvernance du partenariat

La description de cette image suit.
Description de la figure 1

Le susdit diagramme décrit la chose suivante :

Structure de gouvernance du partenariat SAP est stratégique.
Comité directeur du partenariat SAP est tactique.
Centre d'excellence, Comité de contrôle du changement, conseiller auprès des clients, et forums des partenaires sont exploitation.

Constatation

2.2 Contrôles des technologie de l'information

Contrôles généraux des technologies de l'information

Gestion des changements informatiques

Constatation

Gestion de l'accès des utilisateurs

Points forts :

Constatations

Opérations des technologies de l'information

Contrôles des applications

2.3 Planification de la continuité des activités et planification de la reprise après sinistre

Constatations

2.4 Gouvernance des fournisseurs de services

Planification de la reprise après sinistre

Constatation

Gestion des changements dans l'infrastructure informatique

Constatation

Annexe A : sigles

AAC
Agriculture et Agroalimentaire Canada
ACIA
Agence canadienne d'inspection des aliments
CCC
Comité de contrôle du changement d'AAC
CDPS
Comité directeur du partenariat SAP
CGPS
Comité de gestion du partenariat SAP
COBIT
Objectifs de contrôle de l'information et des technologies connexes
RNCan
Ressources naturelles Canada;
SIFM
Système intégré des finances et du matériel;
SPC
Services partagés Canada
TI
Technologies de l'information

Annexe B : critères de l'audit

Secteur d'intérêt 1

Le partenariat possède une structure de gouvernance qui lui permet de discuter collectivement des priorités et des objectifs stratégiques, de les établir et de les communiquer. Ces priorités et objectifs visent à guider la planification et l'établissement de l'ordre de priorité des investissements et des ressources, et ce, conformément aux besoins opérationnels et à l'orientation pangouvernementale.

Secteur d'intérêt 2

Des contrôles des TI sont en place au sein du Centre d'excellence et parmi les partenaires clients pour appuyer la production d'informations financières exactes, fiables, accessibles et opportunes.

Secteur d'intérêt 3

Des structures de gouvernance sont en place pour gérer les risques relatifs aux services fournis par des tiers.

Date de modification :