a) Les techniques de contrôle qui suivent permettent
d'orienter le personnel financier et d'informatique s'occupant de
l'élaboration et du maintien des systèmes financiers. Le document
«Computer Control Guidelines», publié par l'Institut
canadien des comptables agréés et le volume sur le contrôle «Systems Auditability and Control Study» de «l'Institute
of Internal Auditors» donnent de plus amples
renseignements.
b) Les techniques de contrôle comprennent des pratiques de
gestion des projets telle que l'élaboration par étapes, des
études de rentabilité et une documentation complète. L'adoption
de ces pratiques est exigée par les directives et lignes
directrices Politique sur la gestion des projets (chapitre
2-2) du volume «Plan d'investissement, projets et acquisition»,
du Manuel du Conseil du Trésor, et ces pratiques ne sont
pas répétées ici.
a) Le personnel, qui a la garde des éléments d'actif ou qui a
accès aux registres de comptabilité, ne devrait pas autoriser les
opérations.
b) Les directives concernant la préparation des documents de
base devraient être documentées.
c) On devrait établir des délais concernant le traitement
comptable des documents de base à partir du point de réception
jusqu'à l'étape de préparation des données d'entrée.
d) Des documents de transmission devraient servir à contrôler
l'acheminement des documents du point d'émission jusqu'à l'étape
de préparation des données d'entrée.
e) On devrait surveiller la qualité du travail effectué sur
les documents de base.
f) Les documents de base originaux devraient être conservés
assez longtemps pour permettre de détecter et de corriger les
erreurs.
g) Le pouvoir d'autoriser les documents de base devrait être
limité.
h) Chaque document de base devrait porter un numéro
d'identification, de préférence un numéro séquentiel
préimprimé.
i) Les formules devraient être normalisées pour fournir des
données susceptibles d'être saisies.
j) L'autorisation d'utiliser des documents de base et d'entrée
dans le système devrait être limitée.
k) Il faudrait maintenir une séparation suffisante des
fonctions dans les domaines suivants :
- séparation du service d'informatique et des utilisateurs de
ses services,
- division des tâches au sein du service d'informatique,
- séparation, au sein du service utilisateur, entre la
création de données de base et les autres fonctions.
l) Les signatures d'approbation figurant sur les documents de
base devraient servir d'éléments de preuve en ce qui concerne
l'autorisation appropriée des opérations et la piste de
vérification.
m) Le personnel utilisateur devrait effectuer un examen visuel
des documents de base afin de s'assurer que les données d'entrée
sont complètes et exactes.
n) Chaque organisme utilisateur devrait tenir à jour des
journaux pour ses documents de base afin de consigner le
déroulement des opérations et la circulation des lots afin de
retrouver les articles manquants et de maintenir
l'imputabilité.
o) Les méthodes de traitement des données fournissant au
personnel utilisateur des directives concernant la détection des
erreurs, leur correction et leur inscription devraient être
rééditées périodiquement.
p) Il faudrait tenir un journal des erreurs pour un suivi des
erreurs non encore corrigées et l'assurance de leur correction et
l'inscription des corrections à temps dans le système. Ce journal
ne devrait pas être gardé dans les locaux de traitement des
données.
a) Vérification indépendante des données saisies.
b) Utilisation de modèles de composition préprogrammés afin de
s'assurer que les données sont inscrites dans les champs
appropriés, sous la forme appropriée et en utilisant les bons
caractères.
c) Édition et validation des données d'entrée le plus tôt
possible afin de minimiser le traitement des données
inexactes.
d) Utilisation de contrôles afin de s'assurer que les données
d'entrée sont reçues d'une source autorisée.
a) Utilisation de registres et échéanciers pour s'assurer que
toutes les opérations ont été reçues et inscrites à temps.
b) Utilisation de documents-navettes comme des duplicata, p.
ex., avis de paiement de comptes recevables.
c) Utilisation des journaux d'enregistrement afin d'indiquer
la réception et la disposition des données, de tenir compte de
tous les lots reçus et d'établir une piste de vérification au
sein du système.
d) Utilisation de documents de mise en lot pour assurer le
contrôle de tous les documents acheminés. Les renseignements sur
le document de mise en lot comme le montant total, le nombre de
opérations et le numéro du lot servent à vérifier l'exhaustivité
et l'exactitude du lot.
e) Balance automatisée des totaux de contrôle fournis par les
documents de mise en lot, avec procédures de conciliation des
différences et d'autorisation des corrections.
a) Correction des erreurs en mode de conversation ou immédiat
lorsqu'on se sert de systèmes de terminal d'entrée, de façon à
permettre immédiatement leur détection, affichage et
correction.
b) Préparation, avant le traitement, de listes des erreurs
identifiées lors de l'édition dans le cas de systèmes de
traitement par lots, et correction avant le traitement.
c) Signalisation des messages d'erreur indiquant les mesures
correctives proposées pour chaque champ de données qui contient
des erreurs.
d) Révision des données corrigées à l'aide des mêmes
programmes de validation, de balance des lots et de correction
des erreurs que pour les opérations originales.
e) Production, lors de la révision, de totaux de contrôle pour
les rejets, ainsi que pour les données acceptées.
f) Compilation de statistiques de toutes les erreurs et
mesures correctrices pour les erreurs répétitives.
g) Une fonction de contrôle d'entrée, gardée indépendante de
la préparation des données de base, pour s'occuper de toutes les
erreurs et s'assurer qu'on les corrige.
a) Prendre des mesures pour qu'il n'y ait pas de traitement
des documents de base après la préparation des données
d'entrée.
b) Établir des procédures pour retourner les documents de base
illisibles ou incomplets.
c) Maintenir une double garde des formules comptables. Un
membre du service informatique et un membre du service
utilisateur devraient autoriser conjointement la sortie
d'entrepôt des formules prénumérotées.
a) Les transporteurs devraient être cautionnés.
b) Il faudrait garder des doubles de tous les rubans
magnétiques, cartes ou autres moyens de transmission des
données.
c) On devrait utiliser les comptages des opérations et les
totaux de contrôle des lots afin de s'assurer qu'aucune donnée
n'a été perdue au cours du transport.
d) Seul le personnel autorisé peut avoir accès aux
données.
a) On devrait utiliser les totaux de contrôle au cours de la
transmission.
b) L'unité émettrice retransmet les données lorsque l'unité
réceptrice y décèle des erreurs.
c) Tous les messages reçus et envoyés devraient être
validés.
d) Il faudrait tenir des registres et des statistiques sur
l'utilisation des lignes aux fins de la piste de
vérification.
e) On devrait attribuer des numéros séquentiels à tous les
messages d'entrée et de sortie et les inscrire dans un journal
des messages d'entrée et de sortie afin de faciliter le
rétablissement des systèmes, leur reprise ou la localisation des
messages.
f) On devrait inscrire dans un journal toutes les erreurs et
les messages retransmis et tenir à jour des statistiques
concernant les retransmissions.
g) Le guide de l'utilisateur devrait comprendre des méthodes
de correction des erreurs de transmission.
a) Les opérations créées par ordinateur devraient être
contrôlées par des programmes qui impriment cette opération pour
permettre aux utilisateurs d'en effectuer une vérification
manuelle. Ces opérations peuvent comprendre des contrôles
d'équilibre entre les programmes du système. Ces contrôles
peuvent prendre la forme de contrôles de rationalité.
b) Il faudrait élaborer un système de totaux de contrôle
automatisés en ce qui concerne l'équilibrage du système entier et
l'équilibre entre les systèmes et l'expliquer clairement dans une
documentation technique.
c) On peut utiliser des contrôles d'anticipation dans le
système, comme le contrôle de séquence, afin d'anticiper chaque
opération et de détecter les opérations manquantes.
d) Des états devraient signaler les exceptions ou déviations
quand un contrôle de programme est ignoré.
e) On devrait balancer les fichiers informatiques en faisant
concorder le nombre de registres lors de l'ouverture des fichiers
et les changements apportés au cours du traitement au nombre
final. Les registres de contrôle devraient renfermer tous les
montants et les comptages des registres pour chaque secteur vital
du fichier.
f) Le système devrait prévoir un journal pour l'inscription
des rejets et indiquer que tous les rejets ont été corrigés et
représentés.
g) Le système informatique devrait créer des fichiers
d'attente pour toutes les opérations rejetées. Le service
informatique devrait tenir à jour des fichiers d'attente des
erreurs afin d'assurer le suivi des opérations corrigées qui sont
rejetées.
h) Les états sur les erreurs à partir des fichiers d'attente
devraient être imprimés périodiquement et fournis aux
utilisateurs pour que le traitement des erreurs entraîne leur
correction et leur réinscription à temps.
a) On devrait établir un système officiel de bibliothèque et y
conserver tous les fichiers de données concernant le système.
b) On devrait utiliser des étiquettes extérieures et
intérieures pour éviter un mauvais usage des fichiers.
c) Seuls les utilisateurs autorisés d'après leur cote de
sécurité peuvent consulter les registres et les fichiers.
d) Toutes les demandes de renseignements relatifs au système
devraient être consignées dans un fichier distinct et un rapport
devrait en informer la direction des services informatiques.
e) Les tables de sécurité pour accès devraient être mises à
jour régulièrement et seulement après l'autorisation des
personnes qui possèdent le pouvoir désigné.
f) Les procédures devraient exiger une autorisation formelle
pour les modifications aux programmes. Seul l'utilisateur devrait
autoriser ces modifications.
g) Des mesures devraient être prises afin de s'assurer que le
fichier permanent peut être reconstitué en conservant des copies
distinctes de ces fichiers et des opérations intermédiaires. Seul
le personnel autorisé devrait avoir accès à ces fichiers.
h) Les systèmes devraient être conçus de manière à faire
rapport exceptionnellement au sujet des registres et des domaines
dans lesquels aucune activité n'a été inscrite depuis un certain
temps.
i) Les systèmes devraient être conçus de manière à faire
rapport exceptionnellement au sujet des registres et des domaines
dans lesquels trop d'activités ont été inscrites.
j) Les fichiers dont l'importance est capitale devraient être
examinés périodiquement à l'aide d'un programme de vérification
afin de faire rapport au sujet du contenu illogique ou inexact
des fichiers.
k) Il faudrait instituer des arrangements et procédures
alternatifs pour tous les fichiers d'importance capitale. Ces
procédures devraient comprendre le stockage des données dans un
autre local, des copies des programmes et un accès commode à
d'autres installations d'ordinateurs.
l) Il faudrait prévoir des procédures de recouvrement et de
relance pour tous les systèmes importants.
m) Un plan d'urgence devrait exister en cas de perte de
données, de programme, de personnel clé ou de panne.
a) On devrait concilier le total de contrôle de sortie avec le
total des entrées avant d'expédier les rapports.
b) Pour l'ensemble des applications, il faudrait tenir, à même
le système informatique, des statistiques sur la production
d'états imprimés, résumant le nombre de rapports produits et pour
chacun, le nombre de pages, le coût et le nombre de lignes.
c) Dans les systèmes en direct, le nombre des opérations par
période devrait être balancé au total de contrôle de sortie. Les
écarts entre les quantités d'entrée et de sortie devraient être
contrôlés et résolus.
d) Les dates de parution des états imprimés devraient être
planifiées afin que les utilisateurs sachent les prévoir et
prendre des mesures en cas de retard.
e) Les états imprimés ne devraient être remis qu'aux
destinataires autorisés.
f) La distribution des rapports devrait se limiter au nombre
autorisé de copies des rapports.
g) Les utilisateurs devraient recevoir un rapport conciliant
le total de contrôle maintenu à la main avec le total accumulé
par le système informatique à l'égard de l'application
donnée.
h) Il faudrait utiliser des techniques d'échantillonnage et de
contrôle de la qualité pour vérifier l'exactitude et
l'exhaustivité des rapports.
i) Les documents négociables devraient être déplacés de
l'endroit de rangement au service informatique et vice versa sous
la double surveillance de membres du service informatique et de
l'organisme utilisateur.
j) Un fichier historique des erreurs devrait être tenu à part
des fichiers de traitement afin d'analyser les tendances des
erreurs des rapports et les statistiques par type, source et
fréquence.
k) On devrait prendre des dispositions pour que les
utilisateurs fournissent des informations à savoir si les
résultats arrivent à temps et sont exacts et pertinents.
|