Vérification du Système de mesure pour la reddition des comptes concernant les programmes de contributions de l’immigration (iSMRP) — Phase 1

Rapport de vérification
Direction générale de la vérification interne et de la responsabilisation
Citoyenneté et Immigration Canada
Avril 2007

Table des Matières

• 1. Introduction
• 2. Objectifs
• 3. Portée de la vérification
• 4. Méthodologie
• 5. Contexte
• 6. Défis de l’iSMRP
• 7. Vérification de l’iSMRP par un organisme indépendant
• 8. Conclusions
• 9. Observations et recommandations
  • 9.1. Processus et modalités favorisant l’intégrité constante des données
  • 9.2 Renseignements de l’iSMRP utilisés dans le processus décisionnel
• Appendice A :Plan d’action de la direction

1. Introduction

La Direction générale de la vérification interne et de la responsabilisation a élaboré, pour 2005–2006, un plan de vérification en fonction du risque ayant révélé la nécessité de mener une vérification portant sur l’intégrité des renseignements du Système de mesure pour la reddition des comptes concernant les programmes de contributions de l’immigration (iSMRP) utilisés au cours du processus décisionnel.

2. Objectifs

La première phase de la vérification visait à évaluer :

• la pertinence des processus et des modalités de gestion en place servant à la protection continue de l’intégrité des données;
• l’utilisation convenable des renseignements de l’iSMRP dans le processus décisionnel.

3. Portée de la vérification

La vérification portait sur les renseignements de l’iSMRP là où Citoyenneté et Immigration Canada (CIC) exécute le programme. Nous avons examiné les processus et les modalités en place qui servent à la protection continue de l’intégrité des données du milieu de production de l’iSMRP. En ce qui concerne l’utilisation convenable des renseignements de l’iSMRP dans le processus décisionnel, nous avons analysé les documents actuels relatifs à la planification et à l’élaboration de rapports.

4. Méthodologie

Cette vérification de l’iSMRP comprenait un examen des processus et des modalités de gestion en place servant à la protection continue de l’intégrité des données, ainsi qu’une revue des documents de planification et d’élaboration de rapports en vue de déterminer la mesure dans laquelle les directions générales de l’intégration et des réfugiés utilisent les renseignements de l’iSMRP dans leurs processus décisionnels relatifs à la gestion.

Les critères qui ont servi à cette vérification ont été tirés du Guide de l’établissement et du guide Exigences en matière de sécurité pour les fournisseurs de services de l’iSMRP.

L’examen des processus et des modalités de gestion portait sur trois éléments, soit les contrôles d’accès, les contrôles des entrées et la surveillance. Cette partie de la vérification comprenait une étude de la documentation, des entrevues et une vérification des pratiques de contrôle. Nous avons pris un échantillon aléatoire de 42 ententes de contribution signées par des fournisseurs de services (FS) en vue de mettre à l’épreuve l’accès des usagers et de vérifier le bon fonctionnement des contrôles d’accès. En outre, nous avons passé en revue la documentation afin de veiller à ce qu’il y ait en place des mesures de contrôle des entrées adéquates et qu’un suivi convenable des accès et des entrées ait lieu.

La vérification de la pertinence de l’utilisation des renseignements de l’iSMRP dans le processus décisionnel touchait deux éléments, soit la planification et l’élaboration de rapports. Cette partie de la vérification comportait une étude de la documentation, des entrevues et un examen des renseignements figurant dans les documents de planification et dans les rapports relatifs aux renseignements tirés de l’iSMRP.

La vérification s’est déroulée conformément à la Politique sur la vérification interne du gouvernement du Canada, ainsi qu’aux normes en matière de vérification prescrites par l’Institut des vérificateurs internes. Les travaux de vérification se sont déroulés en août et septembre 2006.

5. Contexte

CIC gère la prestation des services d’établissement et de réétablissement par l’entremise de quatre programmes :

• Cours de langue pour les immigrants au Canada (CLIC);
• Programme d’établissement et d’adaptation des immigrants (PEAI);
• Programme d’aide au réétablissement (PAR);
• Programme d’accueil.

Ces quatre programmes ont un objectif commun : favoriser l’établissement, l’adaptation et l’intégration des immigrants et réfugiés au Canada, en les aidant à apprendre ce qu’est la vie au Canada, à accéder aux services publics, à acquérir des connaissances linguistiques de base dans l’une des langues officielles et à devenir des membres qui participent et contribuent au développement de la société canadienne.

CIC gère la prestation de ces quatre programmes dans toutes les provinces et tous les territoires, sauf au Québec (Accord Canada-Québec sur l’immigration, 1991), en Colombie-Britannique (entente sur l’immigration, 2004) et au Manitoba (entente sur l’immigration, 2003), grâce à des ententes de contribution fédérale normalisées avec des FS. À leur tour, les FS offrent des services directement aux résidents permanents du Canada. Au Québec, la prestation de tous les services d’établissement et de réétablissement (CLIC, PEAI, PAR et accueil) est de responsabilité provinciale, tandis qu’en Colombie-Britannique et au Manitoba, CIC ne gère que les services de réétablissement (PAR).

En 1999, CIC a entrepris d’élaborer le Cadre d’imputabilité pour les programmes de contributions (CIPC) afin de veiller au bien-fondé des dépenses en matière d’établissement et de réétablissement, grâce au contrôle de la prestation des services et à l’évaluation de l’efficacité des programmes. Ce cadre comporte cinq éléments :

• Mesure du rendement
• Évaluation
• Processus des ententes de contribution
• Cadre de contrôle de la gestion
• Responsabilité provinciale ou territoriale

En appui au CIPC, le Ministère a créé l’iSMRP, une banque de données sur Internet, en vue de recueillir des données relatives à la mesure du rendement des FS qui offrent des services pour le compte de CIC. Les FS utilisent ce système afin de transmettre directement, en ligne, des rapports sur les services fournis dans le cadre des quatre programmes d’établissement et de réétablissement. L’iSMRP n’est pas un système de gestion financière ou opérationnelle. La direction a expliqué qu’on s’attend à ce que l’iSMRP permette aux FS de fournir à CIC des données constantes et fiables permettant de connaître le nombre de prestataires des programmes, le nombre d’organismes de services aux immigrants et les types de services offerts et fournis dans une région ou une collectivité particulières. Selon la direction, ces renseignements permettraient finalement aux FS et à CIC d’offrir de meilleurs services aux clients et d’améliorer l’efficacité des programmes.

À l’heure actuelle, 237 FS utilisent l’iSMRP. La Direction générale de l’intégration nous a informés qu’au cours des deux derniers exercices financiers, les clients qui avaient bénéficié des différents programmes de l’iSMRP se dénombraient comme suit.

Source : Direction générale de l’intégration.
*Ces chiffres concernent les clients uniques du PAR à l’échelle nationale.

L’iSMRP a été conçu à la fin des années 1990 et mis en œuvre en 2000. Dans la charte du projet, l’objectif à long terme de l’iSMRP est la création d’un système électronique permettant de recueillir des données relatives aux programmes provenant des FS de partout au Canada, de façon constante et fiable, à des fins de gestion et d’évaluation des contributions. Ainsi, l’iSMRP est constitué de deux technologies de l’information (TI), soit une application Internet (sur le Web) et une interface de banque de données pour les systèmes en place.

La mise en service de l’iSMRP s’est déroulée par étapes. Les modules de chaque programme de contribution ont été lancés comme suit :

• 2002 : PAR
• 2003 : CLIC
• 2004 : PEAI et accueil

Chaque module a d’abord fait l’objet d’un projet pilote auprès d’un nombre restreint de FS, avant d’être lancé à l’échelle de tous les FS. Au moment de notre vérification, les quatre modules de collecte de données étaient en exploitation complète et le module d’élaboration de rapport a été lancé à l’interne en août 2006.

À l’origine, l’iSMRP a été conçu en vue de réduire autant que possible les exigences excessives en matière d’élaboration de rapports des FS, en recueillant des renseignements choisis des systèmes centraux de CIC déjà en place. Toutefois, le Ministère est en train d’effectuer le remplacement de ces anciens systèmes et d’autres par un seul vaste système, le Système mondial de gestion des cas (SMGC). Cette importante initiative relative aux TI aura des répercussions considérables sur la conception de l’iSMRP. Cela dit, les responsables du projet sont au courant et s’assurent que l’iSMRP restera fonctionnel tout au cours de cette initiative.

La direction estime que, depuis le début du projet iSMRP en 1998–1999 et jusqu’en 2005–2006, les coûts ont été de 8 676 236 $, soit 4 816 878 $ pour la Direction générale de l’intégration et 3 859 358 $ pour la Direction générale de la gestion et des technologies de l’information (DGGTI). Au cours des prochaines années, (section enlevée), il faudra 6 746 553 $ additionnels pour le financement de l’iSMRP, dont 5 408 654 $ proviendront de fonds affectés en vertu de l’entente négociée entre les gouvernements du Canada et de l’Ontario, et 1 337 899 $ seront puisés dans le financement supplémentaire (section enlevée) pour les services d’établissement.

6. Défis de l’iSMRP

Depuis ses débuts, l’iSMRP a fait face à de nombreux défis qui ont influé sur l’élaboration du système. Dans la présente section, nous énumérons les défis que les responsables du projet ont dû relever jusqu’à maintenant.

L’élaboration de l’iSMRP s’est déroulée sans qu’un financement permanent soit réservé et affecté au projet. Le financement de l’iSMRP a plutôt été déterminé annuellement, ce qui a causé quelques incertitudes, car le projet devait s’étendre sur plusieurs années. Par conséquent, le travail accompli au cours d’une année devait tenir compte du fait que le développement futur pouvait ne pas être financé.   

Avant la création de l’iSMRP, le Ministère avait tenté de mettre en œuvre un système de gestion de l'information sur l'établissement, que CIC a été incapable de mettre en place pour de nombreuses raisons, y compris le défaut d’acceptation par le personnel et les FS. En outre, en l’absence d’un système national, d’autres systèmes régionaux avaient été créés, dont le plus notable était le Système automatique de réservation (SAR), utilisé en Ontario afin de gérer le programme CLIC. C’est pourquoi, au début, la résistance à l’iSMRP était forte et l’équipe chargée de l’imputabilité (ECI) a passé beaucoup de temps à obtenir l’acceptation des divers intervenants, ce qui n’avait pas été prévu lors de l’élaboration de l’iSMRP.

La DGGTI a joué un rôle clé dans l’élaboration du système; c’est pourquoi les facteurs qui influaient sur la DGGTI ont également eu une incidence sur l’élaboration du système. Parmi ces facteurs, citons, entre autres, la réduction des effectifs, les changements au sein de la direction et le remplacement des anciens systèmes de CIC compris dans la conception de l’iSMRP.

7. Vérification de l’iSMRP par un organisme indépendant

En février 2006, en raison des enjeux décrits dans la section précédente, la Direction générale de l’intégration a eu recours aux services d’un expert-conseil indépendant qui devait examiner l’iSMRP, effectuer une analyse des écarts et émettre des recommandations qui permettraient au projet d’aller de l’avant.

La vérification de l’expert-conseil a révélé que la direction croit que l’iSMRP fournit le volume de renseignements nécessaire à l’évaluation de la responsabilité, mais que les renseignements qualitatifs requis pour l’évaluation des résultats sont hors de portée de l’iSMRP. L’expert-conseil était d’accord avec cette évaluation et il a découvert que, bien que l’iSMRP fournisse des données quantitatives et non pas des résultats, il pourrait offrir des données relatives à l’évaluation des programmes et être utile à la gestion des programmes et à l’élaboration de politiques.

Par conséquent, cette vérification a permis de conclure que l’iSMRP est un outil adéquat de mesure du rendement dans le CIPC, ainsi qu’un outil utile de gestion de programmes et d’élaboration de politiques, à condition d’être perfectionné. Elle a également révélé que les objectifs de l’iSMRP se réalisent et ce, malgré les restrictions considérables des ressources de l’administration centrale (AC).

8. Conclusions

Notre examen a révélé que les contrôles de l’accès à l’iSMRP et des entrées étaient adéquats. Cependant, il n’existait aucune mesure de contrôle permettant de veiller à l’intégralité et à l’exactitude constantes des données. Nous avons également découvert que l’iSMRP était peu utilisé dans le processus décisionnel et que les résultats ne faisaient pas l’objet de rapports. Toutefois, la direction a pris des mesures en vue d’améliorer la situation en permettant l’accès au module d’élaboration de rapports.

9. Observations et recommandations

9.1 Processus et modalités favorisant l’intégrité constante des données

Dans le cadre de notre vérification des processus et des modalités favorisant l’intégrité constante des données, nous nous sommes penchés sur trois domaines, soit l’accès au système, les mesures de contrôle de l’entrée des données et le suivi de l’entrée des données.

Nous nous attendions à ce que :

1. l’accès au système soit contrôlé et que les modalités d’accès soient documentées;
2. des mesures de contrôle des entrées soient intégrées au système afin de veiller à ce que les données soient exactes et entières;
3. des mesures de surveillance efficaces soient en place afin de veiller à ce que les données soient entières et exactes.

La section qui suit porte sur nos observations relatives à ces points.

9.1.1 Accès à l’iSMRP

Comme l’iSMRP est un système installé sur Internet, les utilisateurs peuvent y avoir accès à partir de n’importe quel endroit où Internet est accessible. Étant donné la nature confidentielle des renseignements qui y sont rapportés, nous nous attendions à ce que des protocoles d’identification et d’authentification soient en place afin de protéger ces renseignements. Le protocole d’accès est décrit dans les Exigences en matière de sécurité pour les fournisseurs de services de l’iSMRP. Afin de protéger le système, les utilisateurs doivent obtenir un code d’utilisateur et un mot de passe pour y accéder. Sans code d’utilisateur, il est impossible d’accéder à l’iSMRP et d’en consulter les renseignements; c’est pourquoi le code d’utilisateur sert de clé d’accès. On nous a expliqué que les FS ne sont pas tenus de faire état de leurs résultats de la même façon. Ainsi, les FS qui ont signé plusieurs ententes de contribution et qui offrent des services à divers endroits peuvent élaborer un rapport pour chacun de ces endroits ou un seul rapport pour tous leurs points de service.

Dans le cadre de notre vérification, nous avons choisi au hasard un échantillon de 42 ententes de contribution et mis à l’épreuve le protocole d’accès (p. ex. autorisation officielle, habilitation de sécurité) de chaque liste d’utilisateurs des FS. Nous avons découvert que 39 FS comptaient au total 389 comptes d’utilisateur de l’iSMRP. Une des trois autres ententes de contribution concernait un FS qui avait signé deux ententes parmi les 42 sélectionnées, mais qui n’élaborait qu’un seul rapport global. Les deux autres ententes de contribution concernaient deux FS qui ne transmettaient aucune donnée par l’entremise de l’iSMRP et qui, par conséquent, n’avaient pas de code d’utilisateur. Sur les 389 utilisateurs, 288 possédaient des documents établissant qu’ils avaient créé leur compte conformément au protocole d’accès.

Les protocoles d’accès à l’iSMRP ont évolué avec le temps, ce qui explique le nombre élevé d’utilisateurs non conformes. Nos examens ont révélé que les utilisateurs non conformes avaient créé leurs comptes au début du programme, alors qu’aucun protocole uniforme d’accès n’avait été mis en place. En outre, en effectuant notre vérification, nous avons remarqué certaines irrégularités relativement aux codes d’utilisateur (p. ex. comptes inactifs ou redondants, codes d’utilisateur formatés non conformes). Nous en avons discuté avec la direction et ces problèmes sont évalués dans la section 9.1.3 sur la surveillance de l’iSMRP.

9.1.2 Entrée des données dans l’iSMRP

Conception du système

La conception du système a fait l’objet de divers rapports descriptifs. De plus, le système comprend des contrôles d’entrées intégrés conformes aux définitions et aux modèles des données élaborés dans le cadre du projet. L’ensemble de ces documents sert de plan détaillé du système, car il définit le type de renseignements qu’on peut saisir dans un domaine de saisie précis, ainsi que la séquence de la saisie. À partir de ces documents, les concepteurs du système ont intégré des mesures de contrôle précises dans la programmation du système, y compris des champs qui n’acceptent que certains types de données (p. ex. des chiffres dans les champs réservés aux nombres) et des champs obligatoires. Ces contrôles sur les champs sont la norme dans le domaine et constituent la principale mesure de contrôle des entrées dans l’iSMRP. Ils augmentent la probabilité que les renseignements que les FS inscrivent sont exacts et complets.

Parmi les mesures de contrôle de l’entrée des données intégrées au système, il importe de souligner le processus de validation du système. Selon le module, l’iSMRP permet de saisir les renseignements relatifs à la prestation des services des FS, individuellement ou globalement. Dans les deux cas, le FS doit inscrire des renseignements recevables sur le client en validant ces renseignements par rapport aux banques de données de CIC. Si les banques de données de CIC n’acceptent pas le client, le FS ne peut pas saisir les renseignements relatifs aux services rendus au client. Ce processus de validation permet d’éviter qu’un FS élabore un rapport sur des services rendus à des résidents permanents qui n’existent pas. On nous a informés que le taux actuel de validation est de 96 %.

Si l’on tente de saisir dans l’iSMRP des renseignements sur un client, mais que certaines données ne peuvent pas être vérifiées (p. ex. numéro d’immigration, numéro de permis de résident temporaire ou de permis ministériel), le dossier est considéré comme « non validé » et, bien que les données de base soient enregistrées par l’iSMRP, le FS est incapable de consigner des services au dossier de ce client. Bien qu’un « tri » automatique permette de veiller à ce que les clients non validés ne soient pas des doublons de clients validés, il n’y a actuellement aucun mécanisme en place pour que les vrais clients non validés puissent savoir ce qu’ils sont, ce qui a empêché leur validation et quel suivi est requis, le cas échéant. Cette absence de mécanismes de suivi des clients non validés fait augmenter le risque que l’iSMRP contienne des données incomplètes.

En 2003, l’ECI a examiné, en collaboration avec le personnel des TI, le problème de la non-validation afin de mieux comprendre cet enjeu. Ainsi, elle a découvert que de nombreuses non-validations découlaient de problèmes relatifs à la validation du nom du client. L’ECI a donc recommandé que le processus de validation soit modifié et que le nombre de renseignements relatifs aux clients utilisés pour la comparaison soit réduit. À l’heure actuelle, les FS saisissent encore le nom des clients, mais la validation n’est fondée que sur la comparaison de la date de naissance et du numéro d’identification de CIC des clients. Nous craignons que, si l’on ne détermine pas la cause d’une non-validation, certaines données pertinentes ne soient pas enregistrées dans le système. L’ECI nous a expliqué que cet enjeu tombe sous la responsabilité de surveillance des bureaux locaux. Nous aborderons ce sujet à la section 9.1.3 sur la surveillance de l’iSMRP.

Dans la région de l’Ontario, les FS offrant les CLIC enregistrent leurs données dans le Système automatique de réservation, mis sur pied à l’échelle régionale avant la création de l’iSMRP. Le SAR a été programmé et est maintenu par un FS de l’Ontario. Les renseignements saisis dans le SAR sont transmis par une interface SAR/iSMRP, qui compare les données de l’iSMRP à des données comparables du SAR. Avant que les données soient transférées dans la banque de données de l’iSMRP, trois étapes permettent d’assurer l’exactitude des renseignements :

• Examen des données du SAR : Examen quotidien de la banque de données du SAR, à l’aide d’interrogations en langage structurel SQL, afin de s’assurer que les données du SAR sont logiques et exactes. Ces interrogations recherchent les données logiques permettant le suivi des clients et les exceptions aux règles administratives du SAR.
  
• Transfert des données : Après l’examen des données du SAR, le transfert des données s’effectue à l’aide d’un « outil » créé sur mesure (logiciel ACCESS) par l’équipe du SAR afin de produire l’ensemble des données requises pour le mois précisé.
  
• Examen final des données : Lorsque les données du SAR sont transférées dans la banque de données de l’iSMRP, elles sont revérifiées conformément aux règles administratives de l’iSMRP pour en assurer l’exactitude. Au cours de ce processus, les FS peuvent recevoir un message électronique ou un appel téléphonique concernant toute erreur de données. De nombreux dossiers sont corrigés et doivent repasser par l’outil de transfert des données en vue de subir un dernier examen. Si le dossier d’un client n’est pas validé à cette dernière étape, il est rejeté de l’ensemble des données transférées dans la banque de données de l’iSMRP.

Ces étapes constituent un contrôle supplémentaire qui permet de veiller à ce que les renseignements transférés du SAR au programme CLIC soient exacts et entiers.

Formation

La mise en œuvre initiale des différents modules a été soutenue par un énorme travail de formation de la part de l’ECI. Cette formation jouait le rôle d’une mesure de contrôle additionnelle en vue de veiller à l’exactitude et à l’intégrité des renseignements. L’ECI a, entre autres, élaboré des manuels de formation et des guides d’utilisateur et a dispensé de la formation aux utilisateurs FS, partout à travers le pays. Cet extraordinaire travail de formation visait à assurer une interprétation uniforme des exigences de saisie des données et une bonne compréhension du système. Ces efforts ont également favorisé l’acceptation du système par les intervenants.

Toute formation additionnelle peut être dispensée « sur demande ». Selon les pratiques exemplaires en cours dans le milieu, le modèle de formation des formateurs constitue une bonne façon de transmettre les connaissances à un vaste auditoire. La diffusion de ces cours s’est avérée une tâche énorme et l’ECI a songé à avoir recours à d’autres moyens pour continuer la formation (p. ex. l’auto-apprentissage sur cédérom ou la formation sur Internet). Pourtant, notre vérification nous a appris que les utilisateurs de l’iSMRP ont accès à des documents de formation en ligne lorsqu’ils accèdent au système.

Toutefois, dans le cas de CIC, l’approche a été modifiée un peu en raison de la diversité de la population. Habituellement, selon l’approche de formation des formateurs, on attribue des responsabilités précises à des formateurs choisis qui travaillent sur le terrain. Ces personnes sont responsables de garder les utilisateurs à jour et de dispenser la formation aux nouveaux utilisateurs. Dans le cas de l’iSMRP, l’approche est moins structurée et suit un modèle de « formation du successeur », selon lequel toute personne pourra être appelée à dispenser une formation à son successeur, à n’importe quel moment, ultérieurement.

Selon nos entrevues, il semble que les FS n’ont pas toujours dispensé de formation à leurs successeurs et que, dans certains cas où ils l’ont fait, la formation dispensée a entraîné la transmission d’erreurs d’une personne à l’autre. Comme le système est en service depuis un certain temps et qu’il a été mis à jour, nous craignons que les mesures de contrôle initiales mises en place par la première vague de formation ne soient plus effectives. En outre, les documents de formation ne sont peut-être plus à jour. Cependant, en rendant ces documents accessibles en ligne, la direction a mis en place des mesures de contrôle compensatrices qui permettent de s’assurer que les utilisateurs sont informés de toute mise à jour du système.

9.1.3 Surveillance de l’iSMRP

La surveillance des données des FS par les bureaux locaux ne se déroule pas comme prévu. Dans son Guide de l’établissement, la Direction générale de l’intégration explique que les agents d’établissement sont responsables du suivi de l’usage de l’iSMRP que font les FS, car ces agents traitent directement avec les FS. Ils doivent, entre autres, surveiller l’entrée des données afin de s’assurer que ces dernières sont entières et exactes.

Dans ce contexte, les bureaux locaux utiliseraient les rapports produits par l’iSMRP afin de vérifier l’exactitude et l’actualité des renseignements enregistrés par les FS dans l’iSMRP. Au départ, ces rapports étaient envoyés trimestriellement aux régions afin de permettre aux bureaux locaux de surveiller les rapports des FS. Les derniers rapports de l’iSMRP ont été transmis aux bureaux régionaux en 2004. Ils ont maintenant une nouvelle forme et comprennent des renseignements à propos de la non-validation. Néanmoins, l’élaboration de ces nouveaux rapports a accusé certains retards et l’accès régional au module relatif aux rapports n’a été permis qu’en août 2006 aux intervenants du Ministère et plus tard cette même année aux FS. Nous avons remarqué que les rapports fournis en exemple à l’équipe de la vérification comportaient des renseignements relatifs à la non-validation des données des FS durant la période de remise des rapports.

Comme les rapports de la direction constituent une importante source de renseignements sur le rendement pour les bureaux locaux, nous nous inquiétons du fait que ces derniers n’aient pas reçu ces renseignements, qui leur auraient permis d’accomplir leur tâche de surveillance. Sans cette surveillance, une mesure de contrôle clé de l’intégrité des données de l’iSMRP était absente. Nous croyons que cette situation augmente le risque que des données saisies durant la période d’inaccessibilité à ces renseignements soient inexactes ou incomplètes. En outre, comme ces renseignements viennent tout juste d’être rendus accessibles, il est encore impossible de savoir dans quelle mesure les modalités de surveillance sont efficaces. En ayant accès à ces renseignements, les intervenants pourront percevoir la valeur de ces données; l’acceptabilité des intervenants s’en trouvera ainsi améliorée.

Entre-temps, l’ECI a effectué des examens de l’exactitude des données des quatre programmes et n’a décelé aucun problème relatif aux mécanismes d’enregistrement de renseignements dans l’iSMRP. Les données reflétaient avec exactitude les données que les FS avaient entrées. De plus, l’ECI a procédé à deux vérifications des données du programme CLIC provenant du SAR en vue de confirmer l’intégrité et l’exactitude des données du programme CLIC ontarien transmises par l’interface SAR/iSMRP. Ces vérifications ont révélé que 96 % de tous les dossiers des clients provenant du SAR avaient été validés par l’iSMRP. On ne prévoit effectuer aucun autre examen sur l’intégrité des données.

Nous avons découvert que 30 % (soit 116 sur 389) des comptes des 42 ententes de contribution choisies au hasard dans le cadre de notre vérification n’étaient jamais utilisés pour accéder au système. Nous avons également découvert que 37 % (soit 68 sur 186) des comptes qui avaient déjà servi à accéder au système n’avaient pas été utilisés au cours des six mois précédents. On nous a expliqué que le système désactive un compte d’utilisateur non utilisé pendant 180 jours et que les comptes des anciens employés ne sont pas supprimés, mais plutôt désactivés, afin qu’ils puissent paraître dans un dossier permanent d’utilisateurs. Toutefois, le personnel de l’AC nous a informés qu’à l’heure actuelle, aucun suivi des comptes d’utilisateur n’est effectué. Plus tôt, nous avions remarqué certaines irrégularités en ce qui concerne les comptes d’utilisateur; si un suivi des comptes était effectué, nombre de ces problèmes auraient probablement été décelés.

Bien que la tenue d’une liste d’utilisateurs permette d’effectuer un certain contrôle, aucun suivi des renseignements recueillis n’a eu lieu et nous ne sommes au courant d’aucun projet de suivi ultérieur. En outre, si l’accès au système est impossible sans compte d’utilisateur et ce, en vue de protéger le système, le fait de garder des comptes inactifs et inutilisés augmente le risque potentiel du système, car ces comptes constituent des points d’accès potentiels qui peuvent être compromis. Toutefois, étant donné les autres mesures de contrôle du système et la nature des renseignements enregistrés dans le système, le risque est faible. Cependant, en gardant ces comptes inactifs, on permet à la liste d’utilisateurs de continuer de croître, même si le nombre de FS reste stable, ce qui augmente le besoin de surveillance des comptes d’utilisateur de l’iSMRP.

Dans les Exigences en matière de sécurité pour les fournisseurs de services de l’iSMRP, il est prescrit que les FS doivent mettre à jour les renseignements concernant les utilisateurs. La présente vérification a révélé qu’actuellement, aucun suivi de ces comptes n’est effectué. Ce sont les bureaux locaux de surveillance de l’iSMRP qui ont la responsabilité de le faire. Cette absence de suivi est perçue comme une lacune du processus, mais représente toutefois un faible risque. Néanmoins, dans le Guide de l’établissement, on indique clairement que les bureaux locaux sont responsables du suivi et l’AC devrait s’assurer que ce suivi a lieu.

Au printemps 2006, le Ministère a instauré une nouvelle structure organisationnelle qui doit mieux refléter la réalité de ses nouveaux rôle et mandat. Dans cette nouvelle structure, le Ministère a créé la Direction générale de la gestion opérationnelle et de la coordination (DGGOC) afin de soutenir son objectif consistant à offrir des programmes cohérents et uniformes à travers le Canada et à l’étranger. La transition vers la nouvelle structure organisationnelle s’est déroulée par étapes et s’est terminée plus tard en 2006. Ainsi, des fonctions de contrôle des programmes, autrefois sous la responsabilité de directions générales responsables de l’élaboration de politiques, comme celles de l’intégration et des réfugiés, ont été transférées à la nouvelle DGGOC.

Une fois que des modalités adéquates de contrôle seront en place et qu’elles fonctionneront convenablement, on s’attend à ce que les résultats de suivi des FS soient produits régulièrement. De cette manière, la direction pourra avoir un aperçu de l’efficacité globale des mesures de contrôle. Ces résultats pourront aussi indiquer à la direction où porter son attention lors d’examens ultérieurs ou en vue de modifier les programmes.

Recommandation 1
Nous recommandons que la DGGOC veille à ce que les bureaux locaux utilisent les rapports récents de l’iSMRP afin de contrôler l’entrée des données des FS dans l’iSMRP et qu’ils contrôlent l’usage de l’iSMRP par les FS, conformément à la prescription de la section 52.13 du Guide de l’établissement.

Réponse de la direction

La DGGOC accepte de veiller à ce que les bureaux locaux incluent les renseignements tirés des rapports de l’iSMRP dans leurs activités ordinaires de surveillance, ainsi que dans leur processus décisionnel relatif à un financement continu. Les rapports de l’iSMRP peuvent fournir aux conseillers des données quantitatives sur les services fournis et les caractéristiques des clients qui peuvent être comparées aux objectifs sur lesquels les parties participantes se sont entendues dans l’entente de contribution. L’utilisation des rapports de l’iSMRP avantage les FS en diminuant leurs tâches relatives aux rapports.

La DGGOC reconnaît le principe selon lequel il est nécessaire de contrôler l’entrée des renseignements des FS dans l’iSMRP afin de maintenir l’intégrité des données. La mise au point d’outils de contrôle et l’amélioration des modalités facilitera cette activité, mais on doit tenir compte de la capacité des bureaux locaux de CIC et de tout fardeau additionnel imposé au personnel.

9.2 Renseignements de l’iSMRP utilisés dans le processus décisionnel

On s’attend à ce qu’iSMRP permette aux FS de fournir à CIC des renseignements constants et fiables relativement aux services rendus. La direction a déclaré que ces renseignements permettraient finalement aux FS et à CIC d’offrir de meilleurs services aux clients et d’améliorer l’efficacité des programmes. Dans le cadre de notre vérification de l’utilisation convenable des renseignements de l’iSMRP dans le processus décisionnel, nous avons analysé deux éléments, soit les rapports sur le rendement et l’utilisation des renseignements dans la planification.

Nous nous attendions à découvrir que les renseignements contenus dans l’iSMRP étaient utilisés à des fins d’élaboration de rapports sur le rendement et de planification et que, par conséquent, ils servaient à appuyer le processus décisionnel de la direction. Nous avons donc mené des entrevues auprès du personnel et passé en revue des documents du Ministère et des directions générales en matière d’élaboration de rapports et de planification.

Les sections qui suivent portent sur nos observations relatives à ces points.

9.2.1 Rapports sur le rendement

Nous avons découvert qu’aucun renseignement provenant de l’iSMRP ne figurait dans le Rapport ministériel sur le rendement (RMR) pour les périodes de 2004–2005 et 2005–2006. Le RMR constitue le principal document de rapports sur le rendement du Ministère. Comme nous l’avons déjà signalé dans le présent rapport, l’iSMRP a fait face à de nombreux défis, comme un financement incertain et l’échec de la mise en œuvre d’un système antérieur de renseignements sur l’établissement. Ces facteurs ont causé des retards dans le calendrier de mise en œuvre. De plus, d’autres préoccupations en matière d’exactitude et d’intégralité des données ont empêché le Ministère de fournir des renseignements complets et exacts concernant l’iSMRP dans le RMR. Ces problèmes étant maintenant résolus, la direction a l’intention de transmettre des renseignements relatifs aux programmes d’intégration dès le début de la période visée par les prochains rapports.

9.2.2 Utilisation des renseignements à des fins de planification

Tout comme dans le cas des rapports sur le rendement, le Ministère n’a fourni aucun renseignement provenant de l’iSMRP dans ses rapports sur les plans et les priorités, durant les mêmes périodes visées. En outre, ni la Direction générale des réfugiés ni celle de l’intégration n’a inclus ces renseignements dans son plan d’activités. En ce qui concerne la planification, il n’est peut-être pas réaliste de s’attendre à ce que de tels renseignements fassent partie de rapports de planification, mais étant donné l’objectif du système, on s’attend à ce que les renseignements relatifs à l’iSMRP soient au moins pris en considération lors de l’élaboration de plans. La direction nous a informés qu’elle inclurait ces renseignements dans ses documents de planification ultérieurs.

Lors de nos discussions avec la direction, on nous a expliqué qu’iSMRP était utilisé dans certaines situations seulement, car on n’avait pas l’impression que le système était en place depuis assez longtemps pour fournir une quantité suffisante de données et la Direction générale de l’intégration voulait s’assurer que les données étaient exactes avant de les publier. On nous a aussi appris que cette situation avait en partie retardé la publication des rapports relatifs à l’iSMRP. Tous les modules de collecte de données de l’iSMRP sont en service et recueillent des données depuis 2004. Notre examen a révélé que, bien que les renseignements de l’iSMRP aient effectivement été consultés à des fins de planification dans certaines situations, l’accès en avait été limité et, par conséquent, les renseignements de l’iSMRP n’étaient pas aussi largement utilisés qu’on s’y aurait attendu. Comme le système est en service depuis un certain temps, nous nous attendions à ce que les directions générales de l’intégration et des réfugiés connaissent mieux les renseignements offerts et soient ainsi capables de les utiliser plus efficacement. Nous nous attendons à ce que l’accessibilité au module relatif aux rapports et l’amélioration de l’accès aux rapports fassent augmenter l’utilisation des renseignements de l’iSMRP.

Recommandation 2
Nous recommandons que les directions générales de l’intégration et des réfugiés incluent davantage de renseignements de l’iSMRP dans leur planification et leurs rapports afin de mieux soutenir le processus décisionnel et de faire preuve de responsabilité envers les quatre programmes de contribution.

Réponse de la Direction générale de l’intégration

La Direction générale de l’intégration continuera d’inclure des renseignements de l’iSMRP dans l’élaboration de ses politiques, dans ses analyses et dans ses évaluations.

Réponse de la Direction générale des réfugiés

La Direction générale des réfugiés s’engage à inclure des renseignements de l’iSMRP dans ses processus de planification et d’élaboration de rapports dans une plus grande mesure afin de soutenir le processus décisionnel et faire preuve de responsabilité envers le PAR.

La Direction générale des réfugiés utilisera les renseignements de l’iSMRP pour l’élaboration de services axés sur les clients en vue de répondre aux besoins des réfugiés en matière d’intégration.

• Les données de l’iSMRP seront analysées afin d’améliorer la surveillance, à l’échelle nationale, des besoins et des résultats des réfugiés.
• À partir de données de l’iSMRP, on effectuera des analyses différenciées selon les sexes des programmes de réétablissement.

On aura recours aux renseignements de l’iSMRP afin de vérifier si les services du PAR répondent aux objectifs du programme.

Appendice A : Plan d’action de la direction