Le système de contrôle informatique de l’OFIT contribue à la bonne tenue du compte d’État

Les contrôles informatiques généraux de l’OFIT sont une composante importante du système de contrôle global de la Confédération. C’est notamment grâce à ce système que le compte d’État est établi en accord avec les prescriptions légales.

it-general-control-03

Toutes les personnes actives dans une association le savent: chaque année, au moment de l’assemblée générale, on vote sur les comptes de l’association de l’année précédente. Les comptes et la tenue des livres ont été vérifiés par l’organe de révision selon des normes généralement reconnues. L’organe de révision rédige un rapport à l’intention de l’assemblée, qui décide alors d’approuver ou non les comptes de l’association. Cette procédure à plusieurs échelons diminue le risque que des indications essentielles soient fausses en conséquence d’irrégularités ou d’erreurs dans les comptes.

Il en va de même dans l’administration fédérale. Chaque année, le Contrôle fédéral des finances (CDF) vérifie le compte d’État de la Confédération suisse et rédige un rapport à l’intention des Commissions des finances des Chambres fédérales. Pour finir, l’Assemblée fédérale décide d’approuver ou non ce compte.

Les travaux du CDF s’appuient sur la loi sur le Contrôle des finances (LCF). Celle-ci dispose à son art. 6, let. d, que le CDF vérifie les systèmes de contrôle interne, et à son art. 6, let. h, qu’il contrôle la sécurité et la fonctionnalité des applications informatiques traitant des données de nature financière. L’objectif est toujours de pouvoir détecter les risques essentiels et prendre au besoin des mesures. Dans ce but, le CDF vérifie chaque année tous les systèmes dont l’OFIT assure l’exploitation en rapport avec le compte d’État.

Une sorte de liste de contrôle bien structurée

Les contrôles informatiques généraux (IT General Controls, ITGC) sont une procédure de contrôle appliquée par l’OFIT selon les usages de la branche. Pour simplifier, on peut se la représenter comme une liste de contrôle dont chaque point est traité à tour de rôle. Il s’agit entre autres de vérifier quelles personnes disposent de droits d’administrateur et de s’assurer que la situation correspond aux prescriptions. Il ne doit pas être possible, par exemple, que quelqu’un puisse développer un logiciel et le valider lui-même pour le mettre en service dans l’environnement productif; ou qu’un collaborateur augmente subrepticement son propre salaire dans le système. C’est ce qu’explique Taria Bretscher, responsable de la conformité à l’OFIT, qui supervise à ce titre la conception et la mise en œuvre des contrôles informatiques généraux. «Cependant, ajoute-t-elle, avec les nouvelles méthodes de collaboration comme DevOps, nous sommes confrontés à de nouveaux défis.» En effet, l’approche DevOps transforme l’activité de contrôle, car cette forme de collaboration rapproche les deux domaines informatiques du développement et de l’exploitation. Dans de grands projets comme le programme FISCAL-IT, l’introduction de nouvelles technologies et de nouveaux processus signifie qu’il faut adapter les contrôles.

Les systèmes se rapportant au compte d’État

Chaque année, dans le cadre de son mandat, le CDF définit l’étendue des systèmes ayant trait au compte d’État. Il s’agit notamment d’applications qui permettent de traiter de grandes quantités d’argent, à savoir 28 systèmes productifs en tout en 2019. Chaque système défini est testé à trois niveaux: système d’exploitation, base de données et applicatif. Au total, ce sont plus de 300 contrôles qui viennent s’ajouter aux affaires courantes de l’OFIT.

Sitôt que leur étendue est définie, les systèmes concernés sont intégrés dans l’inventaire des contrôles de l’OFIT. Actuellement, 30 cadres de l’OFIT sont responsables d’exécuter les contrôles. Douze réviseurs internes de l’OFIT vérifient l’existence et l’implémentation des contrôles.

Le système des contrôles informatiques généraux est vérifié par un organe d’audit externe, sur mandat du CDF. Les auditeurs externes étudient la présentation et la conception des contrôles généraux, y compris la documentation établie par l’OFIT, ainsi que l’organisation et l’efficacité des contrôles qui sont nécessaires pour atteindre les objectifs. Tous les justificatifs des contrôles de l’OFIT sont mis à la disposition des auditeurs. De plus, lors de ce qu’on appelle un walk-through, la bonne exécution des processus est démontrée directement sur le système et des entretiens sont conduits sur place avec des spécialistes et des responsables. Pour terminer, le CDF met son rapport final à la disposition de la Délégation des finances ainsi que des directeurs des offices, pour consultation.

Une nouvelle version simplifie les contrôles

Récemment, les contrôles de l’OFIT ont été considérablement simplifiés par l’introduction d’une nouvelle version de l’application «Tool GRC», basée sur Sharepoint. GRC signifie Governance, Risk and Compliance. Dans cette application, des contrôles et des mesures sont mandatés, surveillés et exécutés de manière centralisée et tous les justificatifs sont enregistrés. L’outil GRC est utilisé depuis déjà quelques années pour traiter les activités de contrôle de l’OFIT. Grâce à une nouvelle interface plus ergonomique de cet outil, la charge de travail administratif peut être allégée. La saisie centralisée facilite encore les processus. C’est un peu comme si tous les documents qui doivent être vérifiés étaient apportés dans un seul et même bureau pour que les réviseurs n’aient plus à se déplacer de bureau en bureau. Il est ainsi possible, par exemple, de vérifier au niveau central si les autorisations d’accès à une application ont été correctement assignées.

Dans les rapports finaux de ces dernières années, l’organe d’audit parvient à la conclusion que les descriptions correspondent aux situations réelles, que les contrôles définis sont conçus de manière appropriée et que les contrôles ont été conduits avec efficacité. Les audits n’ont révélé aucun aspect qui serait de nature à diminuer l’efficacité du système interne des contrôles informatiques généraux de l’OFIT ou à suggérer que l’approbation et l’exactitude du compte d’État de la Confédération suisse pourraient être remises en question.

Essentiels pour l’État

La numérisation croissante de tous les processus métier se manifeste ici très clairement dans l’exemple du compte d’État. Ce qui est en jeu, c’est tout simplement la confiance de la population dans la gestion correcte des caisses de la Confédération. Si des problèmes d’informatique ou des procédures insuffisantes de l’OFIT devaient mettre en péril l’établissement et l’approbation du compte d’État, cela entacherait la réputation de toute la Confédération.

À y regarder de près, les contrôles informatiques généraux, qui semblent très techniques et qu’on n’associe pas d’emblée à la comptabilité, sont donc d’une importance capitale pour le fonctionnement de l’État – tout comme l’est la vérification des comptes d’une association pour cette dernière. Si vous n’en êtes pas convaincus, imaginez que le trésorier de l’association crée un mot de passe d’e-banking peu sûr, qu’il accorde à tous les membres de l’association l’accès à la caisse ou se fasse virer de l’argent sur son compte privé sans vérification, et que personne ne s’en rende compte.

 

Contact à l'OFIT:

Taria Bretscher
Compliance Officer
Tél.: 058 463 01 82

Texte: Philippe Schultheiss

 
 
 

https://www.bit.admin.ch/content/bit/fr/home/documentation/le-magazine-eisbrecher/eisbrecher-archiv/kundenzeitschrift-eisbrecher-ausgabe-74/it-general-control.html