Audit de l’occasion de financement liée aux subventions Savoir du CRSH 2014

Table des matières

Approuvé par le président le 12 septembre 2014

1. Sommaire

Contexte

Le Conseil de recherches en sciences humaines (CRSH) du Canada est un organisme du gouvernement du Canada qui rend compte au Parlement par l’entremise du ministre de l’Industrie. Étant l’organisme fédéral de financement de la recherche qui encourage et appuie la recherche et la formation en milieu universitaire dans le domaine des sciences humaines, le CRSH s’affaire à développer le Talent, à élargir le Savoir et à former des Connexions dans l’ensemble des campus et des communautés et à appuyer de manière stratégique les initiatives de calibre mondial qui reflètent un engagement à l’égard d’un avenir meilleur pour le Canada et le monde entier.

Le programme Savoir du CRSH appuie et favorise l’excellence en recherche dans le domaine des sciences humaines qui vise à approfondir, à élargir et à accroître les connaissances collectives sur l’être humain et la société, et à alimenter la recherche de solutions aux problèmes sociaux grâce à ses deux grandes occasions de financement : 1) les subventions de développement Savoir (SDS); et 2) les subventions Savoir (SS). Les SS permettent d’acquérir des connaissances et d’approfondir la compréhension au sujet des gens, des sociétés et du monde et d’acquérir des connaissances qui alimentent la recherche de solutions aux changements dans la société. Le financement des SS peut être évalué à 500 000 $ pendant toute la durée de la subvention (de trois à cinq ans). Pendant son cycle de financement de 2012-2013, environ 2 200 demandes ont été reçues. Le niveau de dépenses s’établissait à environ 88 millions de dollars.

Justification de l’audit

L’audit de l’occasion de financement des subventions Savoir du CRSH s’imposait pour les raisons suivantes :

Les subventions Savoir constituent une occasion de financement phare et représentent une enveloppe de financement s’élevant à plus de 80 millions de dollars.
Le Renouvellement de l’architecture des programmes du CRSH a entraîné des changements aux processus principaux liés aux SS.
Puisque la mise en œuvre du Portail de recherche du CRSH^{Footnote 1}, son nouveau système de gestion des subventions, vise à simplifier, à reconcevoir et à harmoniser le plus possible les processus, une évaluation des processus liés aux SS pourrait contribuer aux efforts de préparation.
Le Plan de vérification axé sur les risques (PVAR) de 2013-2016 du CRSH a cerné le programme Savoir comme étant un des éléments devant faire l’objet d’un examen. Le PVAR a été approuvé au cours de la réunion du 12 mars 2013 du Comité d’audit externe.

Objectif et portée de l’audit

L’objectif de l’audit est de confirmer le fonctionnement efficace de l’occasion de financement liée aux subventions Savoir et d’établir si on arrive à atténuer convenablement et efficacement les risques principaux associés à cette occasion de financement.

L’audit a porté sur tous les domaines principaux du programme, y compris la gouvernance, les contrôles internes et la surveillance par la direction et les rapports. Dans le cadre de cette vérification, on a examiné de la documentation et de l’information produite au cours d’une période de deux ans (exercice financier (EF) 2011-2012, EF 2012-2013).

La vérification des subventions Savoir n’a pas porté sur ce qui suit :

le processus d’appel puisqu’une vérification à cet égard avait été réalisée récemment (EF 2013-2014);
le processus de surveillance financière puisqu’une vérification à cet égard est en cours;
l’occasion de financement des subventions de développement Savoir (SDS) puisque les SDS font actuellement la transition vers le Portail de recherche.

Conclusions principales de l’audit

La gouvernance des subventions Savoir (SS) et les processus avant l’octroi ont obtenu une bonne évaluation dans le cadre de cet audit. L’audit a permis de constater que les mesures de gouvernance des SS étaient bien définies, et que les comités^{Footnote 2} à qui la direction du programme rend des comptes recevaient régulièrement de l’information sur le programme et de l’information opérationnelle utiles. L’audit a également permis de confirmer que l’exécution des occasions de financement liées aux SS en général était robuste, bien gérée et transparente. Le processus de sélection a fait l’objet d’améliorations récemment pour que la formation du comité chargé des SS soit maintenant fondée sur la demande et le nombre de demandes de subventions associées aux divers thèmes et non plus sur le principe qui consistait à faire cadrer de force les demandes de subventions à des comités thématiques préétablis. À l’intérieur de cette structure d’exécution bien établie, les seuls domaines relevés où l’on pourrait apporter des améliorations étaient d’élargir la compréhension du processus d’attribution du budget des SS et d’apporter des améliorations d’ordre administratif au processus des conflits d’intérêts.

On a relevé au cours de l’audit des éléments à l’intérieur de la Division des finances et de l’administration des octrois et de la Division des solutions d’information et d’innovation (SII) qui devaient faire l’objet d’un examen. D’abord, l’audit a permis de constater que les diverses lignes directrices et les divers renseignements liés aux exigences d’admissibilité aux SS étaient offerts sur le site Web, pour la communauté des chercheurs et les institutions, et sur l’intranet et les lecteurs partagés de l’organisme, pour le personnel chargé de l’exécution du programme et de l’administration après l’octroi. On a noté que les exigences se rapportant aux détenteurs de subventions qui quittaient le pays devaient faire l’objet de clarifications pour que le CRSH, les détenteurs de subventions et leur institution aient tous la même interprétation.

Sur le plan du contrôle de la technologie de l’information (TI), le CRSH vise à remplacer son Système informatisé de gestion des subventions et bourses (AMIS) vieillissant par le Portail de recherche (PR) d’ici à EF 2018-2019. Malgré les quelques améliorations apportées aux contrôles dans AMIS au cours des dernières années, la vérification a relevé plusieurs points faibles à l’égard de la gestion des mots de passe, au niveau de la suppression des profils d’utilisateurs d’employés qui quittent le CRSH ainsi qu’au niveau des procédures de contrôle des changements des données servant à protéger l’intégrité de l’information. Compte tenu du délai d’exécution à prévoir avant la mise en œuvre complète du PR, il faudra imposer des contrôles de compensation pour combler ces lacunes dans AMIS. Le CRSH devrait veiller à ce que le nouveau système comble ces lacunes. De plus, l’audit a relevé un certain nombre de processus d’exécution du programme qui sont considérés comme étant exigeants en main-d’œuvre, notamment le recrutement de bénévoles, les opérations des comités et l’attribution du budget, processus qu’on pourrait partiellement simplifier grâce à l’automatisation au sein de la plateforme du PR.

Conclusion

Des changements apportés récemment au sein du CRSH ont eu un effet positif indéniable sur la prestation de l’occasion de financement liée aux subventions Savoir. Il s’agit d’un domaine comptant une structure de gouvernance bien établie, dont le processus d’évaluation du mérite a été amélioré et qui, dans l’ensemble, est bien géré et efficace. L’audit a permis de constater qu’il fallait apporter des améliorations aux systèmes d’appui et aux processus après l’octroi. Il faut notamment clarifier les lignes directrices d’admissibilité, tirer parti de la technologie pour assurer l’efficacité des processus et apporter des améliorations aux contrôles du système de gestion des subventions. À mesure que le CRSH met au point et met en œuvre le Portail de recherche, l’occasion est parfaite pour examiner les processus en cours et, dans la mesure du possible, faire en sorte qu’ils sont simplifiés, reconçus et automatisés afin d’assurer de plus grandes économies, ce qui dégagera le personnel du CRSH des tâches manuelles et lui permettra de s’occuper d’autres tâches à valeur ajoutée et plus valorisantes.

2. Contexte

Le Conseil de recherches en sciences humaines (CRSH) est l’organisme fédéral de financement de la recherche qui assure la promotion et le soutien de la recherche et de la formation postsecondaires en sciences humaines. En s’intéressant au développement du Talent, à la création du Savoir et à l’établissement de Connexions dans tous les campus et les communautés, le CRSH appuie, de manière stratégique, des initiatives de calibre mondial qui reflètent un engagement à un avenir meilleur pour le Canada et le monde entier. Le CRSH est un organisme du gouvernement du Canada relevant du Parlement par le truchement du ministre de l'Industrie.

En 2012, le CRSH a mené à bien son projet de Renouvellement de l’architecture des programmes^{Footnote 3} qui a transformé le CRSH d’un organisme versant du financement à 30 programmes ayant chacun une image de marque distincte en un organisme versant ses fonds à trois programmes-cadres (Talent, Savoir et Connexion). La Division des subventions de recherche et des partenariats, qui est responsable de l’administration du programme Savoir, fait partie de la Direction des programmes de recherche du CRSH. Le programme Savoir a pour but d’approfondir les connaissances sur l’être humain, la société et le monde en appuyant l’excellence en recherche dans tous les domaines admissibles au financement du CRSH. Le programme Savoir a pour objectif d’appuyer et de promouvoir l’excellence de la recherche en sciences humaines dans le but d’approfondir, d’élargir et d’accroître les connaissances collectives sur l’être humain et la société, de même que d’alimenter la recherche de solutions à des problèmes sociaux.

Le programme Savoir offre deux grandes occasions de financement : 1) les subventions de développement Savoir (SDS), qui appuient les étapes initiales de la recherche en favorisant l’approfondissement de nouvelles questions de recherche ainsi que l’expérimentation de nouvelles approches théoriques, idées et méthodes; et 2) les subventions Savoir (SS) (qui étaient des subventions ordinaires de recherche sous l’ancienne architecture des programmes) qui offrent du financement à plus long terme aux projets de recherche mûrs proposés par des personnes ou des équipes et qui peuvent s’élever à 500 000 $ au cours d’une période de trois à cinq ans. Les subventions Savoir permettent d’acquérir des connaissances et d’approfondir la compréhension au sujet des gens, des sociétés et du monde et d’acquérir des connaissances qui alimentent la recherche de solutions aux changements dans la société. Au cours du cycle de financement 2012-2013, le niveau de dépenses du programme Savoir s’est situé à environ 106 millions de dollars, soit 88 millions de dollars pour les SS et 18 millions de dollars pour les SDS. Cette même année, le programme Savoir a reçu quelque 2 200 demandes de subventions Savoir et 1 000 demandes de subventions de développement Savoir.

3. Objectif et portée de l'audit

Cet audit a pour but de confirmer le fonctionnement efficace de l’occasion de financement liée aux subventions Savoir et d’établir si on arrive à atténuer convenablement et efficacement les risques principaux associés à cette occasion de financement.

L’audit a porté sur tous les domaines principaux du programme, y compris la gouvernance, les contrôles internes et la surveillance par la direction et les rapports. L’audit a examiné de la documentation et de l’information liés aux subventions Savoir produites au cours d’une période de deux ans (EF 2011-2012 et EF 2012-2013).

L’audit des subventions Savoir n’a pas porté sur ce qui suit :

Le processus d’appel puisqu’une vérification à cet égard avait été réalisée récemment (2013-2014);
le processus de surveillance financière puisqu’une vérification à cet égard est en cours;
l’occasion de financement des subventions de développement Savoir (SDS) puisque les SDS font actuellement la transition vers le Portail de recherche.^{Footnote 4}

4. Méthodologie de l'audit

L’audit a débuté par une étape de planification, où on a réalisé des entrevues préliminaires et examiné la documentation afin de comprendre les processus de prestation et de gestion des subventions Savoir. Par la suite, on a réalisé une évaluation des risques afin d’établir et de définir les secteurs d’intérêt qui serviront à l’étape principale. Le programme de vérification, y compris les critères et les procédures de vérification détaillés, a alors été conçu en fonction de ces secteurs d’intérêt. Il a été question, dans le cadre de cette vérification, d’examiner un échantillon de dossiers d’octroi de SS, de mettre des contrôles à l’essai et d’examiner des documents.

Cet audit s’est déroulé conformément à la Politique sur la vérification interne du Conseil du Trésor, aux Normes relatives à la vérification interne au sein du gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de l'audit interne de l’Institut des auditeurs internes. Selon ces normes, il faut exécuter des procédures d’audit suffisantes et appropriées et recueillir des preuves afin d’assurer un niveau élevé d’assurance quant aux conclusions présentées dans le présent rapport. Les conclusions sont fondées sur une comparaison des situations telles qu’elles existaient à l’époque à des critères d’audit.

5. Conclusions principales de l'audit

5.1 Gouvernance

À l’intérieur du programme Savoir (le programme a été renommé pendant le renouvellement de l’architecture des programmes; il s’appelait auparavant « Subventions ordinaires de recherche »), on compte deux occasions de financement : les subventions Savoir (SS) et les subventions de développement Savoir (SDS). La structure de gouvernance qui appuie l’exécution des programmes du CRSH repose sur des comités de gestion internes, le conseil d’administration du CRSH et des sous-comités du Conseil d’administration.

5.1.1 Les comités de gestion et le Comité sur les programmes et la qualité reçoivent régulièrement de l’information et des rapports au sujet des SS.

Les deux comités principaux desquels relève le programme Savoir sont le Comité de haute gestion interne^{Footnote 5} et le sous-comité externe du Conseil d’administration du CRSH appelé le Comité sur les programmes et la qualité (P et Q)^{Footnote 6}. Dans les deux cas, le directeur exécutif, Subventions de recherche et partenariats, présente de l’information liée aux SS, y compris un rapport annuel sur le concours et l’examen par les pairs, de même que d’autres renseignements au besoin. Selon les résultats de l’audit , ces rapports ont été présentés dans les délais prescrits et selon l’horaire prévu pendant la période d’examen. De plus, l’audit a relevé des processus de présentation de rapports internes efficaces essentiels aux approbations opérationnelles et à l’exécution du programme. Par exemple, les responsables de la gestion des SS préparent une note de service sur les « récipiendaires de subventions » qui est présentée au vice-président, puis au président pour fins d’approbation. Un autre processus de reddition de compte interne efficace est celui qui consiste à partager de l’information au cours des réunions de divers comités de gestion internes, y compris le Forum de la gestion, le Comité d’intégration des activités organisationnelles et le Comité de responsabilisation de la gestion.

5.2 Exécution de programme et opérations

Le concours du CRSH pour les subventions Savoir a lieu à tous les ans et ce procussus débute lorsque les candidats présentent un avis d’intention au CRSH à la mi-août. La demande complète doit être présentée au mois d’octobre suivant, et le processus de sélection dure du mois de janvier au mois de mars. Voici les trois grandes étapes de traitement des demandes une fois que le CRSH a reçu toutes les demandes : 1) Examen externe : le CRSH désigne des lecteurs externes dont l’expérience est étroitement liée au domaine de recherche associé à la demande. Ces lecteurs assurent un examen autonome et exhaustif de chacune des demandes présentées au CRSH; ces demandes sont ensuite transmises aux membres du comité de sélection. 2) Examen du mérite : les comités disciplinaires, multidisciplinaires et thématiques sont formés; on assigne des demandes aux membres du comité pour qu’ils les examinent (y compris les rapports des examinateurs externes), après quoi des notes préliminaires sont utilisées pour dresser une première liste de demandes classées par ordre de rang. Le comité apporte ensuite les derniers détails à la classification par ordre de mérite des demandes et recommande un budget pour les demandes se trouvant parmi les demandes susceptibles de recevoir du financement au cours de la réunion de sélection. 3) Attribution du budget et octroi : l’analyste fonctionnel du CRSH distribue le budget total des SS aux candidats ayant obtenu la meilleure cote, et la liste des candidats retenus est ensuite approuvée par le vice-président. Les candidats sont avisés des résultats du concours, les candidats retenus reçoivent un avis d’attribution et le cycle de financement débute.

5.2.1 Les processus d’examen externe et d’examen du mérite des subventions Savoir sont rigoureux, transparents et apportent une valeur au processus de sélection.

L’examen externe constitue la première étape de l’examen des demandes de subventions Savoir. Cet examen est généralement confié à deux lecteurs spécialisés dans le domaine de recherche du candidat. Le personnel du programme recrute ces examinateurs externes à tous les ans, coordonne l’examen en temps utile des demandes et veille à obtenir des rapports d’évaluation dans les délais prescrits dans le cadre du processus d’examen du mérite. L’audit a permis d’établir que cette étape est reconnue comme une pratique exemplaire de l’industrie^{Footnote 7}, qu’elle est très rigoureuse et qu’elle assure une grande valeur au processus, en particulier lorsqu’une demande propose de la recherche obscure, très spécialisée ou plus complexe que la moyenne.

La prochaine étape du processus de sélection, soit l’examen du mérite, a fait l’objet d’une refonte au cours du processus de Renouvellement de l’architecture des programmes (RAP). Avant le RAP, les comités d’examen du mérite étaient formés avant la fin du concours, et les demandes étaient confiées à un comité particulier. On a reconçu, dans le cadre du programme des SS, le processus d’évaluation du mérite de sorte que les comités sont maintenant constitués une fois que les demandes ont été reçues et catégorisées. Non seulement ce processus amélioré permet-il au CRSH de créer des comités disciplinaires, multidisciplinaires ou thématiques aux connaissances spécialisées pour répondre aux besoins et au nombre de candidatures dans les divers thèmes, mais il confère aussi au CRSH la latitude requise pour ajuster la composition des comités et leur taille en fonction des tendances annuelles.

5.2.2 On retrouve dans les dossiers les formulaires relatifs aux conflits d’intérêts des examinateurs, mais il manque dans certains des détails permettant d’identifier la personne et des contrôles d’autorisation efficaces.

Dans la communauté des chercheurs canadienne et même à l’échelle internationale, les spécialistes dans des domaines de recherche donnés collaborent couramment à certains moments de leur carrière. Pour cette raison et pour d’autres aussi, le CRSH veille à relever tout conflit d’intérêts entre le candidat et les examinateurs externes ou les membres du comité. Les conflits d’intérêts sont une question prise au sérieux au CRSH, et chacun des membres du Comité d’examen du mérite est tenu de signer une déclaration de conflit d’intérêts à toutes les fois qu’il participe au cycle de concours. Dans l’échantillon de dossiers examinés, l’audit a dévoilé que les déclarations liées aux conflits d’intérêts se trouvaient en dossier et que plusieurs bénévoles avaient déclaré des noms de personnes avec qui ils avaient potentiellement un conflit d’intérêts. Les champs du formulaire n’étaient toutefois pas remplis uniformément et étaient, dans certains cas, difficiles à associer à une personne en particulier parce qu’on ne demandait aux bénévoles que de cocher une case dans le formulaire. Par conséquent, ces déclarations ne sont pas toujours faciles à associer au bénévole qui a rempli le formulaire.

Recommandation no 1 : Il est recommandé que le CRSH ajuste le processus lié au conflit d’intérêts actuel pour les bénévoles pour qu’on puisse facilement associer les signatures d’autorisation des formulaires sur les conflits d’intérêts aux différents bénévoles en question et que ces formulaires soient documentés de manière uniforme.

5.2.3 Une seule personne au CRSH comprend l’outil d’attribution du budget des subventions Savoir.

Une des responsabilités du Comité d’examen du mérite est d’approuver le volet financier de la demande et de fixer le montant final de l’octroi aux candidats retenus. Le budget total de l’occasion de financement liée aux SS est alors attribué aux candidats retenus, par ordre de classement, jusqu’à ce que l’enveloppe budgétaire soit épuisée. Ce processus repose sur des formules dans une feuille de calcul Excel, qui sert ensuite à générer la liste des octrois qui sont un jour approuvés par le vice-président. Une fois la liste approuvée, l’information concernant les octrois aux candidats retenus est versée dans le Système informatique de gestion des subventions et bourses du CRSH (AMIS), puis, en guise d’étape de contrôle de la qualité, est vérifiée en la comparant à l’information dans la feuille de calcul avant de verser les paiements.

On a constaté dans le cadre de l’audit que les étapes principales du processus d’attribution du budget des subventions aux candidats retenus étaient clairement documentées, que les rôles et les responsabilités tout au long de ce processus étaient clairs et respectés et qu’on obtenait bel et bien les approbations et les autorisations requises. On a toutefois noté qu’un seul agent de soutien des activités au CRSH dans le domaine des programmes est responsable de comprendre, de gérer, de protéger et d’accomplir le travail dans cette feuille de calcul Excel principale, et que les procédures et lignes directrices concernant le processus n’ont pas encore été documentés. Puisqu’il n’y a actuellement aucun employé susceptible de remplacer le titulaire de ce poste, il existe un risque réel de retards, de perte de mémoire organisationnelle ou d’erreurs si cet employé n’était plus capable d’occuper ses fonctions.

Recommandation no 2 : Il est recommandé que le CRSH documente le processus d’attribution du budget aux candidats retenus (procédures et lignes directrices) et veille à mieux faire connaître ce processus en formant un employé qui pourrait remplacer la personne qui est actuellement chargée du processus au besoin.

5.3 Administration après l’octroi des subventions Savoir

Une fois que les candidats à une SS acceptent leur avis d’attribution, la gestion du candidat et de l’octroi devient principalement la responsabilité de la Division des finances et de l'administration des octrois du CRSH. Trois groupes au sein de cette division sont responsables des divers volets de l’administration après l’octroi : 1) Service à la comptabilité traite les paiements versés et veille à ce qu’on respecte l’ensemble des exigences de la Loi sur la gestion des finances publiques, de la politique du SCT et des directives connexes; 2) Surveillance financière se charge des examens de la surveillance des finances au niveau institutionnel pour s’assurer de la présence et du bon fonctionnement de contrôles financiers; 3) Administration d’octrois surveille l’admissibilité des chercheurs, répond aux questions au sujet de l’utilisation appropriée des fonds octroyés et veille à ce qu’on respecte les exigences en matière de rapports financiers des titulaires de bourses et des institutions. Ces équipes se servent de AMIS et de Freebalance (le système de comptabilité financière) pour traiter les paiements et gérer les subventions pendant toute la durée de l’octroi.

5.3.1 Les lignes directrices se rapportant à l’admissibilité des détenteurs de subventions doivent être clarifiées.

Le CRSH décrit les exigences liées à l’admissibilité des candidats et des détenteurs de subventions dans divers documents qui sont publiés sur son site Web. On décrit dans deux documents les exigences en matière d’admissibilité aux SS : la documentation sur le programme Savoir et le Guide d’administration financière des trois organismes (GAFTO). Selon l’audit, les exigences en matière d’admissibilité des candidats aux subventions Savoir et des détenteurs de ces subventions étaient généralement bien définies.

On a également noté qu’il serait à propos d’améliorer la documentation où l’on expliquait le processus et les conditions ayant une incidence sur la capacité du détenteur d’une subvention de conserver sa subvention s’il quitte le Canada en offrant davantage de détails pour aider à assurer la gestion uniforme et efficace de ces situations. On indique ceci dans le GAFTO :

Si le titulaire déménage dans un autre pays avant d’avoir terminé la recherche ou le projet connexe pour lequel l’établissement a reçu des fonds du CRSH, toute subvention individuelle détenue par le titulaire sera maintenue à la condition que ce dernier demeure affilié à l’établissement canadien admissible et que les fonds de recherche continuent d’être administrés pendant le reste de la période de validité de la subvention. Si le titulaire de la subvention n’est pas en mesure de prendre ces dispositions, l’organisme mettra fin à la subvention.

Au cours de l’examen des dossiers, dans le cadre de cet audit, on a constaté un dossier où la documentation proposée pour justifier le financement continu d’un détenteur de subvention qui quittait le pays semblait avoir répondu aux exigences décrites dans l’énoncé ci-dessus. L’institution a invité le détenteur de la subvention qui quittait à accepter un poste de professeur auxiliaire et avait fourni cette documentation au CRSH lorsqu’elle avait avisée l’organisation du départ du détenteur. L’institution a également confirmé qu’elle continuerait d’administrer les fonds de la subvention. Même si ces actions sont conformes aux critères décrits dans le GAFTO, le CRSH a décidé d’annuler la subvention; le motif de la décision était que l’affiliation principale se trouvait à l’extérieur du Canada. Il faudra apporter d’autres clarifications pour s’assurer que les institutions ne sont pas induites en erreur et que les lignes directrices sont utiles et claires.

Recommandation no 3 : Il est recommandé que le CRSH clarifie la documentation décrivant les critères d’admissibilité des détenteurs de subventions qui doivent quitter le pays, afin de réduire les risques de confusion à cet égard.

5.4 Systèmes de gestion des subventions

Les contrôles internes sont définis de manière générale comme des processus visant à offrir une garantie raisonnable quant à la réalisation des objectifs touchant l’efficacité des activités et à la conformité aux lois et aux règlements. Le CRSH est actuellement à remplacer son système de gestion des subventions actuel, soit le système AMIS, par une nouvelle plateforme appelée le Portail de recherche (PR), qui devrait être déployé en entier d’ici 2018-2019. L’audit a évalué les contrôles principaux du AMIS et a également cerné des domaines où les processus liés aux SS pourraient être automatisés ou simplifiés au cours de la transition au Portail de recherche.

5.4.1 La gestion des contrôles d’accès pour les utilisateurs dans AMIS pourrait être plus efficace.

Les contrôles d’accès des utilisateurs dans AMIS sont assignés en fonction des profils et des exigences d’emploi, et la gestion de cet accès est la responsabilité du Groupe chargé d’administrer la base de données au sein de la Division des solutions d’information et d’innovation (SII). Toutefois, le gestionnaire du nouvel employé ou de l’employé qui quitte lance le processus d’ajout ou de suppression de profils utilisateurs. Selon l’audit, la nature manuelle de ce processus entraîne à l’occasion des omissions de la part du gestionnaire lorsqu’il remplit les formulaires sur les déplacements de personnes requis. On compte donc parfois des dossiers actifs pour d’anciens employés^{Footnote 8}. Même si on a noté que le CRSH automatise actuellement le processus de gestion des employés nouvellement arrivés, aucun processus automatisé qui se chargerait des employés qui quittent n’a encore été mis sur pied; ce projet est en suspens jusqu’à nouvel ordre. Dans l’intérim, les gestionnaires d’employés qui quittent se servent toujours de l’ancien processus, et il n’existe actuellement aucun mécanisme officiel de compensation qui vérifie que les profils d’employés supprimés du système sont fermés.

5.4.2 La gestion des mots de passe dans AMIS n’est pas conforme aux pratiques exemplaires de la TI.

Les systèmes de gestion de mots de passe constituent la forme la plus simple d’authentification. Pour protéger ces systèmes, il serait tout indiqué d’adopter les pratiques exemplaires ci-dessous :

On ne devrait pas utiliser de mots de passe d’origine génériques de manière permanente, et on devrait obliger les nouveaux utilisateurs à choisir un nouveau mot de passe personnalisé à leur première ouverture de session.
On devrait imposer une expiration des mots de passe; il faudrait aussi exiger une mise à jour périodique des mots de passe pour qu’aucun ne soit utilisé pendant trop longtemps.
Il faudrait imposer des consignes de fiabilité des mots de passe et inciter les utilisateurs à employer des agencements de majuscules et de minuscules, de nombres et de symboles pour leur mot de passe (plutôt que des mots du dictionnaire).

L’équipe de l’audit a vérifié un échantillon de mots de passe d’utilisateurs du AMIS et découvert que plus de 45 p. cent des utilisateurs se servaient toujours du mot de passe générique d’origine assigné aux nouveaux employés par la division des SII. Le système AMIS ne dispose d’aucun processus automatisé pour inviter les utilisateurs à remplacer le mot de passe qui leur a été assigné ou à mettre à jour périodiquement un mot de passe. Ces maillons faibles et les lacunes en matière de contrôle d’accès décrites ci-dessus pourraient permettre à un utilisateur d’accéder sans autorisation et selon une fausse identité au AMIS et représentent un certain niveau de risques pour l’intégrité des données.

5.4.3 Des améliorations aux pistes de vérification pour le AMIS ont été adoptées récemment.

Les pistes de vérification sont un journal chronologique des tentatives d’accès à un système, tenant compte des ajouts, des changements ou des suppressions du système, des renseignements personnels des utilisateurs qui ont accédé au système, du moment précis où les utilisateurs accèdent au système et un compte rendu des actions prises. Ces journaux ne peuvent pas être modifiés et fournissent ainsi une piste de l’audit du système précise et fiable. Au cours des années antérieures, des améliorations ont été apportées à la capacité d’AMIS au chapitre de la piste de l’audit. Grâce à celles-ci, le CRSH peut maintenant vérifier les changements apportés aux éléments de données, y compris certains renseignements du profil utilisateur et la nature de ces changements. La surveillance de la piste de l’audit toutefois ne se fait que sur demande et uniquement lorsqu’on soupçonne une anomalie. Même si cet outil de piste de l’audit permet au CRSH de faire enquête sur des problèmes soupçonnés, il est toujours possible que des changements non autorisés aux données ne soient pas relevés en temps opportun.

5.4.4 Les mesures de gestion des changements apportés aux données ne sont pas appuyées par des mécanismes d’approbation officiels pour certains niveaux d’information.

Quel que soit le système, il faut parfois une intervention manuelle ou une modification manuelle des données. Le processus de changement repose habituellement sur un ensemble de règles dictant le choix de la personne qui est autorisée à apporter le changement, les changements qui sont permis, le choix de la personne qui autorise le changement et la façon dont on tient compte des changements. Au CRSH, tout employé travaillant dans un domaine de programme peut lancer le processus de gestion du changement aux données par courrier électronique. Le système de suivi MARVAL^{Footnote 9}transmet alors un message électronique de confirmation au client et transmet aussi une demande de service aux administrateurs de la base de données au sein de l’équipe des SII. Selon l’audit, ce processus ne compte aucun contrôle pour s’assurer que les demandes de modification des données soient approuvées, même si quelques-unes de ces demandes ont trait à des données critiques (p. ex. des horaires de paiement, des renseignements personnels au sujet des détenteurs de subventions, etc.). En l’absence d’un processus d’approbation officiel, il se peut que des demandes de changement non autorisées ou inutiles soient traitées. Jumelé à d’autres faiblesses en matière de contrôle au niveau du système identifiées précédemment, le processus de gestion du changement représente un niveau de risque supplémentaire à l’intégrité des données dans AMIS.

Recommandation no 4 : Il est recommandé que le CRSH examine et adopte les contrôles de compensation qui s’imposent pour combler les lacunes en matière de contrôle interne du système AMIS pendant qu’on met au point le Portail de recherche et jusqu’à ce que celui-ci soit entièrement déployé.

5.4.5 Il existe des occasions de simplifier et d’automatiser des processus à mesure que le programme Savoir fait la transition vers le Portail de recherche.

Comme on l’a noté préalablement, le programme Savoir recoupe deux occasions de financement : les subventions Savoir (SS) et les subventions de développement Savoir (SDS). Le processus lié aux SDS a été l’un des premiers à subir la transition vers le nouveau système du Portail de recherche, et compte tenu des ressemblances avec les SS, le processus lié au SS pourrait s’inspirer des progrès à cet égard, des leçons retenues et de la plateforme actuelle. Pendant que le CRSH planifie la mise en œuvre du PR pour les SS, l’occasion est toute indiquée d’entamer des conversations avec l’équipe de développement pour s’assurer de tirer pleinement parti de cet outil puissant. On a noté dans le cadre de l’audit plusieurs occasions de simplifier ou d’automatiser en partie les processus actuels : automatiser les déclarations de conflit d’intérêts par le biais du portail réservé aux bénévoles, le processus d’attribution du budget, abandonner progressivement la pratique manuelle de recrutement par courrier électronique des examinateurs externes (où plus de 15 000 demandes par courrier électronique sont transmises, puis gérées annuellement), abandonner l’outil manuel fondé sur Excel pour ce qui est de la cotation par les comités, etc. S’il s’assure que le nouvel outil est utilisé à son plein potentiel, le CRSH réduirait le risque d’erreurs administratives ou d’erreurs liées au traitement manuel des données, améliorerait l’efficacité générale du processus et pourrait consacrer ses ressources humaines à des domaines plus valorisants offrant une valeur ajoutée.

Recommandation no 5 : Il est recommandé que le programme Savoir examine ses processus d’exécution afin de cerner les occasions de simplifier et d’automatiser partiellement les étapes principales, de tirer pleinement parti du travail de planification et de mise en œuvre des programmes ayant déjà fait la transition au système et d’entamer des discussions avec l’équipe de développement du Portail de recherche pour s’assurer que les membres de l’équipe comprennent bien les complexités du programme et les possibilités inhérentes au système.

7. Conclusion

Les changements et les améliorations apportés récemment au sein du CRSH ont eu un effet positif indéniable sur l’exécution de l’occasion de financement liée aux subventions Savoir. Il s’agit d’un domaine comptant une structure de gouvernance bien établie, dont le processus d’évaluation du mérite a été amélioré et a connu des progrès et qui, dans l’ensemble, est robuste, bien géré et efficace. L’audit a permis de constater qu’il fallait apporter certaines améliorations aux systèmes d’appui de ce programme et aux processus après l’octroi. Il faut notamment clarifier les lignes directrices en matière d’admissibilité, tirer parti de la technologie pour assurer l’efficacité des processus et apporter des améliorations aux contrôles principaux des systèmes de gestion des subventions, tant les systèmes actuels que les nouveaux. Pendant que le CRSH met au point et met en œuvre le Portail de recherche, il faudrait tenir compte, dans les travaux de demain, des leçons retenues au cours de la transition d’autres programmes au portail. De plus, l’occasion est parfaite pour examiner les processus en cours et, dans la mesure du possible, faire en sorte qu’ils sont simplifiés, reconçus et automatisés afin d’assurer de plus grandes économies, ce qui dégagera le personnel du CRSH des tâches manuelles et lui permettra de s’occuper de tâches à valeur ajoutée et plus valorisantes.

7. Équipe de l'audit

Division de l’audit interne
Dirigeant principal de l’audit :            Phat Do
Responsable de l’audit :                    Benjamin Cyr
Auditrice principale :                         Patricia Morrell

8. Réponse de la direction aux recommendations de l'audit

Article	Recommendation	Plan d'action	Date cible	Délai suggéré pour donner suite*
1.	Il est recommandé que le CRSH ajuste le processus lié au conflit d’intérêts actuel pour les bénévoles pour qu’on puisse facilement associer les signatures d’autorisation des formulaires sur les conflits aux différents bénévoles en question et que ces formulaires soient documentés de manière uniforme.	Acceptée. Le CRSH a commencé à adopter une solution qui permettra d’améliorer la documentation sur les conflits d’intérêts. Le nouveau système de gestion des subventions réduira davantage les risques d’erreur grâce à un mécanisme de signature/autorisation en ligne obligatoire pour les membres de comité.	Février 2015	Orange : 7 - 12 mois
2.	Il est recommandé que le CRSH documente le processus d’attribution du budget aux candidats retenus (procédures et lignes directrices) et veille à mieux faire connaître ce processus en formant un employé qui pourrait remplacer la personne qui est actuellement chargée du processus au besoin.	Acceptée. Le CRSH s’est doté d’un employé susceptible de remplacer au besoin l’agent de soutien aux activités. On documente à l’heure actuelle les processus entourant cette fonction.	Mai 2015	Orange : 7 - 12 mois
3.	Il est recommandé que le CRSH clarifie la documentation décrivant les critères d’admissibilité des détenteurs de subventions qui doivent quitter le pays, afin de réduire les risques de confusion à cet égard.	Acceptée. L’examen de cette politique avait déjà commencé lorsque cette question a été portée à l’attention de la gestion du CRSH au cours de la vérification. On a convenu récemment de nouveaux principes mieux définis; ces principes seront communiqués à la communauté des chercheurs à l’automne prochain.	Septembre 2014	Rouge : 0 - 6 months
4.	Il est recommandé que le CRSH examine et adopte les contrôles de compensation qui s’imposent pour combler les lacunes en matière de contrôle interne du système AMIS pendant qu’on met au point le Portail de recherche et jusqu’à ce que celui-ci soit mise en œuvre au complet.	Acceptée. SII se chargera de ce qui suit : examiner et bonifier les pratiques de gestion de comptes existantes afin de permettre des examens réguliers et la fermeture de comptes. concevoir et adopter des contrôles pour la modification automatisée des mots de passe dans le système AMIS et imposer une pratique de sélection de mots de passe rigoureux; mettre au point une procédure opérationnelle normale exigeant une approbation explicite de la part de la gestion afin de modifier des données dans AMIS	Mars 2015 Septembre 2014 Mars 2015	Rouge : 0 - 6 mois
5.	Il est recommandé que le programme Savoir examine ses processus d’exécution afin de cerner les occasions de simplifier et d’automatiser partiellement les étapes principales, de tirer pleinement parti du travail de planification et de mise en œuvre des programmes ayant déjà fait la transition au système et d’entamer des discussions avec l’équipe de développement du Portail de recherche pour s’assurer que les membres de l’équipe comprennent bien les complexités du programme et les possibilités inhérentes au système.	Acceptée. On a créé des groupes de travail qui sont chargés de cerner les occasions d’apporter des améliorations qu’offre le nouveau système de gestion des subventions; et bien des améliorations apportées récemment au processus des SDS seront appliquées aux SS.	Août 2015	Orange : 7 - 12 mois

Selon la pratique courante, on donne suite aux recommandations issues d’un audit interne dans un délai de deux ans. Pour aider la gestion à assurer ce suivi, l’équipe de l’audit attribue des couleurs aux recommandations afin d’illustrer le degré d’urgence de chacune d’elles. On présente ci-dessous le calendrier d’exécution associé à chacun des codes de couleur.

Couleur	Calendrier d’exécution
Rouge	0-6 mois
Orange	7-12 mois
Jaune	13-18 mois

9. Annexe I - Critères de l’audit

Les critères appliqués au cours de l’audit ont été définis par le Bureau du contrôleur général (BCG) pour les principales mesures de contrôle en matière de gestion au gouvernement du Canada^{Footnote 10}

Secteur d’intérêt	Principales mesures de contrôle en matière de gestion	Réf. au rapport
La structure de gouvernance du CRSH offre des conseils et une orientation au programme et a reçu des rapports et de l’information afin d’assurer l’exécution de son mandat.	G-1 : Des organes de surveillance efficaces sont établis G-6 : Le ou les organes de surveillance demandent et obtiennent en temps opportun des renseignements suffisants, complets et exacts.	5.1
Des contrôles principaux se rapportant à la prestation des occasions de financement des subventions Savoir sont en place, y compris : la demande, l’examen, la sélection et l’attribution du budget.	PP-2 : L'organisation a une approche structurée et rigoureuse pour la conception de politiques et de programmes. PP-4 : Des lignes directrices et des procédures cadrant avec les politiques et attentes pangouvernementales ont été définies et instaurées. ST-10.b : Des contrôles existent pour assurer l'exactitude du codage et du traitement des transactions (p. ex. totaux de lots, conciliations, examen de supervision, approbation de la direction etc.).	5.2
Il existe des contrôles principaux associés à la gestion des octrois pendant toute la durée de la subvention, y compris les versements, l’admissibilité, les soldes de comptes, etc.	PP-4 : Des lignes directrices et des procédures cadrant avec les politiques et attentes pangouvernementales ont été définies et instaurées. ST-5 : Les politiques et les autorités liées à la gestion financière sont bien conçues pour atténuer les risques financiers et sont communiquées. ST-7 : La conformité des lois, politiques et pouvoirs en matière de gestion financière fait l’objet d’un contrôle périodique. ST-10.b : Des contrôles existent pour assurer l'exactitude du codage et du traitement des transactions (p. ex. totaux de lots, conciliations, examen de supervision, approbation de la direction etc.).	5.3
Des contrôles internes principaux à l’intérieur des systèmes du CRSH (AMIS, Freebalance et le Portail de recherche) ont été adoptés et fonctionnent comme prévu par rapport à ce qui suit : mots de passe, intégrité des données, pistes de vérification et gestion des profils d’utilisateurs.	CFS-4 : L’organisation tire parti de la technologie de l’information pour améliorer le service aux utilisateurs et l’accès. CFS-4.c : Les dossiers, les données et l’information sont bien protégés, conformément à la législation sur la protection des renseignements personnels. ST-19 : Il existe des processus et des procédures pour appuyer la continuité de l’information et des systèmes. ST-23 : La gestion a conçu et a adopté des contrôles informatiques généraux efficaces pour les systèmes critiques. LICM-2 : L’organisation a des processus et des pratiques pour assurer la bonne mise en œuvre des initiatives de changement.	5.4

Footnotes

Footnote 1

Le CRSH compte mettre en œuvre à part entière le Portail de recherche d’ici EF 2018-2019.

Return to footnote 1 referrer

Footnote 2

Notamment : Comité des programmes et de la qualité, Comité de haute gestion, Comité de responsabilisation de la gestion, Comité d’intégration des activités organisationnelles, Forum de la gestion, etc.

Return to footnote 2 referrer

Footnote 3

Le CRSH a reçu la médaille de bronze dans le cadre du Prix IAPC/Deloitte de leadership dans le secteur privé pour son projet concernant le renouvellement de l’architecture de ses programmes. Ce prix récompense les organismes publics novateurs et performants.

Return to footnote 3 referrer

Footnote 4

Le Portail de recherche est le nouveau système de gestion des subventions en développement qui sera adopté pour assurer la gestion intégrale des processus de demande et de gestion des subventions.

Return to footnote 4 referrer

Footnote 5

Le mandat du Comité de haute gestion est de veiller à la réalisation des objectifs et des résultats du CRSH en matière de rendement, d’assurer une conformité continue aux politiques et aux exigences réglementaires et de maximiser les effets des investissements du CRSH dans la recherche et la formation.

Return to footnote 5 referrer

Footnote 6

Le mandat du Comité sur les programmes et la qualité (P et Q) consiste à assurer la conception générale, la cohérence et le rendement de l’ensemble des programmes et des politiques liées aux programmes du CRSH, dans le contexte de l’orientation stratégique, des priorités et de la poursuite de l’excellence.

Return to footnote 6 referrer

Footnote 7

Promouvoir l’excellence en recherche : Examen mené par un groupe d’experts international à l’égard des pratiques d’évaluation par les pairs au CRSH, partie II (décembre 2008).

Return to footnote 7 referrer

Footnote 8

L’audit a porté sur un échantillon de profils d’utilisateurs existants dans AMIS. Selon les résultats de cet échantillon en question, 16 p. cent des utilisateurs n’étaient plus des employés du CRSH.

Return to footnote 8 referrer

Footnote 9

La division des SII fait le suivi de toutes les demandes présentées à l’aide du système de suivi Open Pursuit de MARVAL.

Return to footnote 9 referrer

Footnote 10

Critères de vérification liés au Cadre de responsabilisation de gestion : outil à l'intention des vérificateurs internes

Return to footnote 10 referrer

Recherche

Au sujet du CRSH

Financement

Résultats des concours

En connexion avec la société

Salle de presse