Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Vérification interne de l’intégration des opérations de passeport au Système mondial de gestion des cas

Direction générale de la vérification interne et de la responsabilisation
Février 2016

Table des matières

Sommaire

Objectif

L’objectif de la vérification a été de fournir l’assurance raisonnable que des mesures de contrôle adéquates de la conception et de l’intégration du système ont été mises en place pour assurer l’intégration efficiente, efficace et sécuritaire des systèmes d’information de Passeport Canada dans le Système mondial de gestion des cas (SMGC) d’Immigration, Réfugiés et Citoyenneté Canada (IRCC).

Pourquoi est-ce important?

La gestion officielle de projets favorise la mise en œuvre de mesures de contrôle adéquates de la conception et de l’intégration du système, qui sont nécessaires à l’exécution d’initiatives importantes au moyen d’opérations systématiques et prévisibles. Une vérification des mesures de contrôle de la conception et de l’intégration d’un « système en cours d’élaboration », comme celui-ci, fournit une évaluation préliminaire de la manière dont les projets à long terme sont réalisés, en plus d’offrir l’occasion de remédier à toute faiblesse de contrôle avant l’achèvement des projets.

Principales constatations

Immigration, Réfugiés et Citoyenneté Canada (IRCC) a établi divers niveaux d’établissement de rapports internes et de surveillance aux fins du projet d’intégration, mais certaines mesures de contrôle attendues n’étaient pas en place aux premiers stades d’élaboration du système. La restructuration des processus opérationnels a été établie en tant que nécessité, mais elle n’a pas été effectuée afin de cerner les améliorations et l’efficacité dans le cycle de vie des projets. Bien que les exigences opérationnelles soient encore en cours d’élaboration, le projet d’intégration n’était pas suffisamment structuré et ne comprenait pas un plan relatif aux exigences en matière de sécurité. À mesure que le projet d’intégration se poursuit, les domaines d’amélioration englobent le besoin d’officialiser la gestion des risques, la communication des projets, l’établissement de rapports, ainsi que des pratiques de validation de l’élaboration des systèmes afin de soutenir l’atteinte des objectifs du projet et son achèvement réussi.

Conclusion

Des mesures de contrôle adéquates de la conception et de l’intégration du système ont été élaborées aux fins de l’intégration du système d’information de Passeport Canada au Système mondial de gestion des cas (SMGC) afin de soutenir la gestion globale du projet d’intégration. Toutefois, un plus grand nombre d’améliorations sont nécessaires pour assurer une intégration efficace, efficiente et sécuritaire.

La direction a accepté les conclusions de la vérification et conçu un plan d’action qui donne suite aux recommandations qui en découlent.

Énoncé de conformité

La vérification a été menée en conformité avec les Normes relatives à la vérification interne au sein du gouvernement du Canada, d’après les résultats du programme d’assurance et d’amélioration de la qualité.

Les constatations de la vérification et la conclusion reposent sur une comparaison entre les conditions qui existaient au moment de la vérification et les critères préétablis convenus avec la direction d’Immigration, Réfugiés et Citoyenneté Canada (IRCC) avant le début de la vérification.

Contexte

Introduction

Le 2 juillet 2013, le Programme de passeport du Canada a été intégré à Citoyenneté et Immigration Canada (CIC) devenu depuis Immigration, Réfugiés et Citoyenneté Canada (IRCC). Dans la foulée de l’intégration, l’autorité et la responsabilisation globale du Programme de passeport ont été transférées à IRCC, alors que la responsabilité de la prestation des services a été partagée entre les trois ministères suivants : Emploi et Développement social Canada (EDSC), en ce qui concerne la prestation des services au Canada; Affaires étrangères, Commerce et Développement (MAECD), en ce qui concerne la prestation des services à l’étranger, et IRCC en tant que ministère responsable du Programme. Un protocole d’entente tripartite, établi dans le but d’officialiser les nouveaux rôles et les nouvelles responsabilités des trois ministères, indique qu’il incombe à IRCC de fournir une orientation fonctionnelle connexe à EDSC et au MAECD.

Maintenant qu’IRCC assume pleinement la responsabilité du Programme de passeport du Canada, la prestation des services de passeport est modernisée afin de les adapter aux modifications croissantes apportées aux modes de prestation des services, ainsi qu’aux exigences plus élevées en matière de sécurité et d’intégrité des passeports. Les objectifs de modernisation portent sur les améliorations devant être apportées au Programme, dont la rationalisation des processus et des technologies permettant la délivrance de documents de voyage canadiens sûrs au moyen de l’authentification de l’identité et de la détermination de l’admissibilité, la facilitation des voyages, de même que la contribution à la sécurité tant nationale qu’internationale.

En vertu du nouveau modèle de responsabilisation, l’Initiative de modernisation du Programme de passeport (IMPP) a été mise sur pied avec l’objectif principal de moderniser les processus opérationnels du programme et selon une estimation des coûts initiaux de 101 millions de dollars. L’IMPP comporte trois composantes principales, à savoir :

  1. Activités liées au transfert du Programme de passeport;
    1. 1.1 transition (rôles et responsabilités et personnel);
    2. 1.2 rationalisation des services internes;
  2. Modernisation des processus opérationnels du Programme de passeport (y compris l’élaboration d’un nouveau système de délivrance des passeports);
  3. Optimisation du réseau de prestation des services.

Un projet de modernisation du Programme de passeport (PMPP) a vu le jour afin de mettre en œuvre les deux premières composantes de l’IMPP. Les activités liées à la première composante de l’IMPP sont maintenant terminées. IRCC s’active à poursuivre le travail associé à la deuxième composante de la modernisation du Programme de passeport du Canada procédant à l’amélioration et à la restructuration des processus opérationnels, et à l’élaboration d’un nouveau système de délivrance des passeports.

L’objet de la vérification porte principalement sur la deuxième composante de l’IMPP, ci-après appelée « le projet d’intégration », qui englobe l’intégration et la centralisation de l’information provenant des anciens systèmes de passeport dans le Système mondial de gestion des cas (SMGC) d’IRCC.

Objectif et portée

L’objectif de la vérification était de fournir l’assurance raisonnable que des mesures de contrôle adéquates de la conception et de l’intégration du système ont été mises en place pour assurer l’intégration efficiente, efficace et sécuritaire des systèmes d’information de Passeport Canada dans le Système mondial de gestion des cas (SMGC) d’Immigration, Réfugiés et Citoyenneté Canada (IRCC).

La portée de la vérification consistait à évaluer les mesures de contrôle de la conception et de l’intégration du système qui ont été établies durant les activités associées au projet d’intégration de l’IMPP, dont les suivantes selon la charte du projet de l’IMPP : planification et gestion du projet; modernisation des processus opérationnels; élaboration d’une solution de technologie de l’information (TI); et gestion du changement.

La portée prévoyait également des évaluations de l’architecture technique et de la conception des systèmes, ainsi qu’un examen, lorsqu’il y avait lieu, des contrôles automatisés de prise de décisions et des améliorations. La portée de l’évaluation comprenait également une analyse de l’intégration des concepts d’« amélioration et de restructuration des processus » dans la conception globale du système pour vérifier si le projet d’intégration est conçu pour repérer et éliminer les fonctions et les processus inutiles. La vérification a porté sur la période comprise entre juillet 2013 et le 31 mars 2015.

La vérification a aussi permis d’examiner et d’évaluer les domaines clés cernés au cours de la phase de planification et d’évaluation des risques de la vérification considérés comme essentiels à la réussite globale du projet d’intégration. Afin de mesurer efficacement chaque domaine d’intérêt, la vérification a été conçue de manière à tirer parti des pratiques exemplaires et des normes de l’Association des professionnels de la vérification et du contrôle des systèmes d’information (ISACA), du Conseil du Trésor du Canada, du Centre de la sécurité des télécommunications Canada (CSTC), ainsi que de conseils obtenus d’autres chefs de file de l’industrie.

La vérification n’a pas cherché à évaluer la première composante et la troisième composante de l’IMPP, ni l’ensemble de l’initiative. Les autres aspects non vérifiés sont les suivants :

  • accords financiers et de répartition des coûts entre les partenaires responsables de la prestation de services;
  • essais techniques appliqués de l’application ou de l’infrastructure;
  • ententes en matière d’approvisionnement et de réseau avec Services partagés Canada.

Les critères utilisés ont été les suivants :

  • Le cadre de gouvernance existant est adéquat; des mesures de contrôle de la gouvernance et du lancement du projet, ainsi que des mécanismes de surveillance, ont été mis en place.
  • Le cadre et la méthode de gestion du projet sont adéquats et proportionnels à l’envergure, à la complexité et aux exigences politiques du gouvernement du Canada (GC).
  • Les processus opérationnels ont été restructurés et des améliorations ont été apportées aux processus de délivrance des passeports pour faire des gains en efficacité.
  • Les exigences opérationnelles pertinentes ont été définies.
  • Les améliorations apportées à la sécurité et à l’intégrité, ainsi que les exigences connexes ont été définies. Les caractéristiques et les exigences techniques, architecturales, fonctionnelles et conceptuelles pertinentes des solutions technologiques et des systèmes ont été définies.
  • La méthode holistique de développement des logiciels et du système fondée sur les processus, et de l’intégration des systèmes, adoptée est sûre et présente des avantages.

Constatations et recommandations

Planification et gestion du projet

La planification et la gestion du projet constituent la clé du succès de tout grand projet intégré axé sur la TI. Une planification et une organisation rigoureuses et efficaces des principaux produits livrables et jalons du projet permettent non seulement de s’assurer que le projet sera réalisé dans les délais et en respectant le budget, mais aussi d’atteindre les résultats attendus et de répondre aux besoins opérationnels. En outre, la gestion efficace du projet, y compris la gestion des risques et les communications, est une mesure de contrôle fondamentale qui permet de mener à bien le projet et de tenir les intervenants informés.

Il était prévu que des mesures efficaces de contrôle de la planification et de la gestion du projet aux fins du projet d’intégration seraient établies et que la portée du projet d’intégration serait conforme aux objectifs de l’IMPP. On s’attendait également à ce que le projet d’intégration repose sur des mesures de contrôle adéquates de la gouvernance et de la surveillance du projet, de même que sur une méthode efficace de gestion, y compris la gestion des risques, la gestion du rendement, des communications efficaces et l’établissement de rapports sur les domaines clés du projet d’intégration.

IRCC a tiré parti de l’expertise de l’industrie pour évaluer différentes options d’intégration.

Avant le début du PMPP, IRCC et Passeport Canada ont bénéficié de l’expertise de l’industrie afin d’évaluer les différentes options d’intégration de Passeport Canada à d’autres ministères fédéraux. On a examiné diverses économies de coûts pouvant être réalisées au moyen d’autres possibilités de prestation de services et de déploiements de systèmes de TI. Dans le cadre de ce processus, trois options de haut niveau en matière de TI aux fins de la conception et de la mise en œuvre d’un système modernisé de délivrance des passeports pouvant répondre aux besoins opérationnels ont été examinées.

L’analyse ainsi réalisée a constitué le principal élan qui a permis de définir le PMPP, y compris les produits livrables clés du projet, ainsi que l’analyse de rentabilisation, la charte du projet, le plan de gestion du projet et la documentation détaillée sur la portée du projet.

IRCC a établi divers niveaux de rapports internes et de surveillance aux fins du projet d’intégration.

Dans l’ensemble, l’approche documentée pour la gestion du projet est rigoureuse, et le Ministère a dédié au projet d’intégration une équipe de gestion qui possède les compétences et l’expertise requises pour gérer des projets complexes de grande envergure.

Dans le cadre de cette approche, IRCC a établi plusieurs mécanismes de surveillance qui suivent à la trace les éléments clés du projet de manière particulière, objective, mesurable et reproductible, et en rendent compte. Par ailleurs, le projet d’intégration a fait l’objet de vérifications périodiques de son état, fondées sur des méthodes cohérentes qui prévoyaient des rapports sur la portée du projet, les coûts et les échéanciers afin de valider le plan du projet et les progrès accomplis jusqu’à maintenant.

Le Ministère a aussi établi une série de plans et d’approches sur la manière dont il entend gérer le projet, surveiller les progrès et gérer efficacement les risques associés au projet. Les plans détaillés font partie de la documentation clé du projet, qui comprend également l’analyse de rentabilisation, la charte du projet et d’autres documents pertinents.

Le projet d’intégration n’est pas suffisamment structuré ou défini.

L’analyse de rentabilisation du PMPP et la charte du projet définissent en termes généraux la portée de ce dernier. Cependant, les tâches et les activités associées au projet d’intégration sont regroupées en un seul projet selon une structure de répartition du travail pour tout le PMPP et en fonction d’une seule structure de gouvernance, plutôt que réparties dans des sous-projets de moindre envergure et plus faciles à gérer et à réaliser. Une structure de répartition du travail plus détaillée comportant de plus petits sous-projets, y compris des renseignements détaillés sur les composantes du projet liées à la TI, faciliterait la surveillance des tâches et des échéanciers, tout en tenant compte des changements de cap nécessaires, et ce, à un stade précoce du cycle de vie du projet.

En réponse à la portée définie de façon générale, deux projets secondaires et parallèles ont émergé; leur portée et leurs objectifs sont définis plus clairement et de manière plus ciblée. Les deux projets en question (« Version 1 du SMGC du Programme de passeport » et « Version 1 – Demandes de passeport en ligne ») ont vu le jour lorsque l’équipe du projet d’intégration a reconnu le besoin de mettre en application une structure et des pratiques de gestion du projet plus discrètes et plus ciblées. Bien qu’il s’agisse d’une réponse opérationnelle pratique aux défis posés par le projet d’intégration, la structure de gouvernance est conçue pour gérer seulement un projet et des jalons plus importants plutôt que des sous-projets discrets et de plus petite envergure. Compte tenu du besoin opérationnel accru de décisions prises rapidement, l’organe de gouvernance unique pourrait ralentir le processus d’approbation et entraver l’efficacité de la prestation opérationnelle du projet d’intégration de moindre envergure.

La gestion des risques manque de traçabilité.

Des activités liées à la gestion des risques sont réalisées dans le cadre du projet d’intégration; les risques sont communiqués, discutés activement et examinés au moyen de divers outils d’établissement de rapports. Toutefois, les risques associés à l’analyse de rentabilisation de l’IMPP n’ont pas été abordés de manière cohérente lors de l’évaluation des risques entourant le projet d’intégration. En conséquence, IRCC n’a pas pu déterminer si une atténuation des risques adéquate était en place pour le projet d’intégration à partir des risques énoncés dans l’analyse de rentabilisation. De plus, le processus de détermination et d’évaluation des risques associés au projet d’intégration ne précise pas de manière cohérence les facteurs d’incidence, de vraisemblance ou de vulnérabilité. Quant à elle, l’évaluation des risques ne donne aucun détail de l’incidence sur les objectifs du projet d’intégration selon l’orientation d’IRCC en matière de gestion des risques. Bien que les réactions aux risques aient été enregistrées, les plans d’atténuation n’ont pas été décrits de manière cohérente, et la documentation visant à confirmer la mise en œuvre des activités d’atténuation s’est révélée limitée. En l’absence d’un processus plus rigoureux, le projet d’intégration peut être exposé à des risques inattendus sans que des stratégies d’atténuation soient mises en place.

Les objectifs de rendement du projet d’intégration ne sont pas explicites.

La stratégie de mesure du rendement du projet d’intégration décrit la manière dont elle entend surveiller et suivre à la trace le rendement du projet d’intégration en fonction des trois objectifs fondamentaux de haut niveau du projet. Cependant, la stratégie de mesure du rendement n’a pas défini des objectifs de rendement spécifiques et mesurables, ou des indicateurs clés de rendement, au-delà des trois composantes ciblées de haut niveau du projet.

Le Ministère avait entrepris le processus d’élaboration d’un « Plan d’atteinte et de gestion des résultats » comprenant des « indicateurs de rendement ». Toutefois, il n’était pas achevé et a été élaboré tard durant le cycle du projet. En l’absence d’objectifs clairement définis, IRCC pourrait ne pas être en mesure d’orienter les efforts du projet d’intégration en vue de l’atteinte des objectifs énoncés ou de démontrer comment il a atteint les résultats attendus.

Le protocole de communication du projet d’intégration n’a pas été élaboré.

Dans le cadre du projet d’intégration, une approche en matière de gestion des communications qui prévoyait des éléments d’établissement de rapports de haut niveau avait été documentée. Un grand nombre de rapports et de communications ont été produits sous la forme de rapports sommaires du projet et de rapports de type « tableaux de bord ». De plus, l’approche en matière de communications décrivait la manière dont le projet d’intégration assurera le suivi à jour du projet et les modifications qui y seront apportées et en rendra compte, et le rôle de la stratégie de mesure du rendement dans l’atteinte des objectifs du projet.

Néanmoins, l’approche en matière de communications ne prévoyait pas de protocole officiel de communication permettant de savoir comment l’information serait diffusée, transmise et gérée de façon à ce que les intervenants clés puissent participer de manière appropriée au projet d’intégration afin d’appuyer la prise de décisions et la responsabilisation. Ainsi, il y a un risque que l’information soit diffusée dans une trop grande mesure ou qu’elle ne le soit pas suffisamment, et qu’elle conduise à un processus inefficient ou inefficace.

Par ailleurs, bien qu’ils fournissent des renseignements sur l’état du projet, les rapports du projet n’assuraient pas le suivi des dépenses totales du projet par rapport aux activités prévues au budget. Le suivi des coûts réels et de l’utilisation des ressources représente un aspect essentiel et central du contrôle du projet. Puisque les renseignements clés n’ont pas été transmis régulièrement à tous les principaux intervenants, il existe un risque accru que ceux-ci ne disposent pas de toute l’information dont ils ont besoin pour appuyer la prise de décisions. Cependant, ce type d’information peut exiger que le Ministère déploie des ressources et des efforts considérables afin de mettre en place des systèmes permettant de soutenir le processus de suivi nécessaire pour recueillir et enregistrer des données exactes et en temps opportun. La confirmation du niveau d’investissement que le Ministère est disposé à déployer est susceptible de préciser l’approche en matière de suivi des dépenses totales du projet par rapport aux activités prévues.

Recommandation no 1 (risque élevé) : IRCC doit examiner la structure de répartition du travail afin d’en dégager des sous-projets plus faciles à gérer et ayant un niveau suffisant de précision pour assurer une compréhension commune de la totalité des tâches et des produits livrables et, ainsi, soutenir la gestion du projet.

Recommandation no 2 (risque moyen) : IRCC doit renforcer le processus de gestion des risques associés au projet d’intégration pour s’assurer que ces derniers sont évalués, atténués et communiqués.

Recommandation no 3 (risque moyen) : IRCC doit achever le plan d’atteinte et de gestion des résultats et s’assurer que les indicateurs clés du rendement sont définis clairement afin de soutenir la mesure du rendement et la démonstration de l’atteinte des résultats attendus.

Recommandation no 4 (risque moyen) : IRCC doit élaborer un protocole de communication aux fins du projet d’intégration afin d’appuyer un processus plus efficient et plus efficace de diffusion de l’information favorisant à la fois la prise de décisions et la responsabilisation.

Amélioration des exigences opérationnelles et des processus opérationnels

L’établissement d’exigences opérationnelles claires et efficaces et la restructuration des processus opérationnels sont essentiels à la réussite du projet d’intégration. Le défaut de procéder à une restructuration des processus opérationnels et d’établir des exigences opérationnelles bien définies entrave la capacité du projet d’intégration d’atteindre les buts et les objectifs d’amélioration de l’efficacité, de la sécurité et de l’intégrité dans le cadre de l’Initiative de modernisation du programme de passeport (IMPP).

On s’attendait à ce qu’IRCC ait cerné et défini des exigences opérationnelles adéquates, de même que des améliorations appropriées de la sécurité et d’autres exigences aux fins de la modernisation des processus opérationnels du Programme de passeport. Il était également prévu qu’IRCC ait procédé à une restructuration des processus opérationnels associés à la délivrance des passeports afin de repérer les gains d’efficacité possibles.

Les exigences opérationnelles sont encore en cours d’élaboration.

IRCC a clairement décrit les objectifs de l’IMPP et élaboré diverses itérations des exigences opérationnelles avant le projet, certaines exigences opérationnelles de haut niveau, ainsi que les exigences fonctionnelles et techniques du nouveau système de délivrance des passeports et des processus connexes.

Bien que le projet d’intégration prévoie certaines exigences opérationnelles de haut niveau, IRCC n’a pas enrichi sa capacité des compétences et de l’expérience requises pour cerner efficacement les exigences opérationnelles au niveau du programme. En conséquence, les exigences opérationnelles du Programme de passeport qui requièrent une amélioration n’ont pas été cernées, pas plus que les exigences relatives à l’amélioration des mesures de contrôle de la sécurité et de l’intégrité des processus opérationnels clés du Programme. Si les exigences fonctionnelles et techniques détaillées étaient bien documentées, aucune exigence en matière de sécurité des TI, de respect de la vie privée ou centrée sur les utilisateurs n’avait été définie, et leur lien avec les buts et les objectifs du projet n’avait pas été clairement établi. En l’absence d’objectifs propres au projet, IRCC ne sera pas en mesure de déterminer pleinement et avec exactitude si le projet d’intégration a été un succès.

La restructuration des processus opérationnels a été établie comme une nécessité, mais elle n’a pas été réalisée.

Le projet d’intégration a clairement établi le besoin de procéder à une restructuration et à une rationalisation des processus opérationnels à un stade précoce de son cycle de vie, en invoquant la nécessité de remédier aux lacunes observées dans les processus, la sécurité, l’intégrité et les technologies des passeports, dans le but ultime d’atteindre une plus grande efficacité. Les buts et objectifs de haut niveau du projet ont été bien documentés, notamment : améliorer la prestation des services de passeport et leur accessibilité aux Canadiens; renforcer la sécurité et l’intégrité du système de délivrance des passeports; accroître les gains d’efficacité du Programme de passeport; et renforcer l’excellence de l’organisation et des effectifs.

Bien que le besoin de procéder à une restructuration des processus opérationnels afin d’atteindre les objectifs du projet ait été clairement reconnu, aucune approche clairement définie pour entreprendre les activités de restructuration et pour cerner davantage les écarts dans les processus opérationnels entre le rendement existant des processus et les buts et objectifs opérationnels documentés, au-delà des descriptions de haut niveau contenues dans l’analyse de rentabilisation, n’avait été établie dans le cadre du projet d’intégration.

Les pratiques et les méthodes associées à l’élaboration du système et à la gestion du projet d’IRCC n’ont pas été conçues pour englober des activités de restructuration des processus opérationnels, et l’organisation n’a pas bien compris les processus et les méthodes. L’équipe principale de restructuration des processus n’a reçu aucune formation officielle ou non en restructuration des processus opérationnels. Par ailleurs, les ressources externes en restructuration des processus opérationnels n’ont participé au projet que durant une période limitée.

En conséquence, l’équipe du projet d’intégration n’a pas repéré les améliorations pouvant être apportées au processus. Elle pourrait donc ne pas être en mesure de démontrer pleinement comment elle réalisera certaines des économies budgétaires attendues et atteindre les buts et les objectifs d’amélioration du projet.

Recommandation no 5 (risque élevé) : IRCC doit cerner les exigences opérationnelles clés du Programme de passeport, y compris les exigences liées à l’amélioration des mesures de contrôle de la sécurité et de l’intégrité, et officialiser l’approche en matière de restructuration des processus opérationnels.

Sécurité de la TI et élaboration du système

La planification de la sécurité des TI n’était pas terminée.

Lorsqu’un système de TI est élaboré ou modifié, le profil de sécurité peut être exposé à de nouveaux risques. Il était prévu que les exigences liées à l’assurance de la sécurité initiale seraient établies, approuvées et mises à jour, au besoin, durant la phase de planification.

Un plan de sécurité des TI est mentionné dans l’échéancier du projet, mais il n’est pas achevé. Aucun élément de preuve documenté ne démontre que le plan est suivi, et les exigences liées à l’assurance de la sécurité initiale requises pour orienter le plan n’ont pas été documentées. Parmi les produits livrables clés de la planification de la sécurité des TI qui manquent, mentionnons les suivants : un profil du contrôle de la sécurité fondé sur une orientation à l’échelle du gouvernement (selon le guide ITSG-33); une évaluation préliminaire des menaces et des risques; un document sur le concept des opérations; et une liste de haut niveau des mesures de contrôle de la sécurité ciblées.

Grâce au SMGC, IRCC bénéficie maintenant de connexions externes avec de nombreux ministères, ce qui augmente le profil des risques associés au système. La définition et l’évaluation des exigences en matière de sécurité des TI dans l’ensemble d’un projet intégré de TI réduisent les risques qu’une solution intégrée fasse l’objet d’une intrusion.

Les pratiques d’élaboration du système manquent de validation officielle.

IRCC procède à des examens de l’assurance de la qualité (AQ) dans le cadre de l’élaboration du SMGC afin de valider les extrants du système. Toutefois, les examens de l’AQ sont effectués de manière ponctuelle, et les normes officielles de l’AQ n’ont pas été établies. En conséquence, il y a un risque que le système soit lancé avec des défauts fonctionnels et de sécurité. Des exercices rigoureux d’assurance de la qualité et de validation durant le cycle de vie de l’élaboration du système contribueront à s’assurer que le système satisfait aux exigences fonctionnelles attendues et qu’il ne contient pas de défauts de sécurité.

Recommandation no 6 (risque moyen) : IRCC doit s’assurer que les exigences liées à l’assurance de la sécurité des TI sont achevées et que des exercices adéquats d’assurance de la qualité et de validation sont effectués.

Conclusion

Des mesures de contrôle adéquates de la conception et de l’intégration du système ont été élaborées aux fins de l’intégration du système d’information de Passeport Canada au Système mondial de gestion des cas (SMGC) afin de soutenir la gestion globale du projet d’intégration. Toutefois, d’autres améliorations sont nécessaires pour assurer une intégration efficace, efficiente et sécuritaire.

Annexe – Plan d’action de la direction

Recommandation no 1 – risque élevé

IRCC doit examiner la structure de répartition du travail afin d’en dégager des sous-projets plus faciles à gérer et ayant un niveau suffisant de précision pour assurer une compréhension commune de la totalité des tâches et des produits livrables et, ainsi, soutenir la gestion du projet.

Réponse de la direction et plan d’action

La direction accepte la recommandation, puisqu’elle est associée au projet de modernisation.

Le BPR, c.-à-d. le Bureau du projet de modernisation du Programme de passeport (BPMPP), agira conformément à la recommandation.

Plan d’action :

Les responsables du projet prévoient d’obtenir les autorisations de dépenses requises pour faire passer le projet à l’étape suivante. Tous les intervenants concernés participeront à un examen de la structure de répartition du travail (SRT) afin de valider les hypothèses de coûts et les plans du projet. Le Bureau d’exécution des projets (BEP) de la Direction générale de la gestion du rendement des opérations (DGGRO) coordonnera l’examen sous la direction du Bureau du projet de modernisation du Programme de passeport (BPMPP).

  1. Étant donné la portée de la vérification, lors de son examen des possibilités de ventiler davantage la SRT, le BPMPP et le BEP de la DGGRO feront appel à la Direction générale des solutions et de la gestion de l’information (DGSGI) en ce qui concerne les éléments propres à la TI.
    Bureau de première responsabilité (BPR) : sous-ministre adjoint (SMA), Opérations
    Date d’échéance : 31 mars 2016

Recommandation no 2 – risque moyen

IRCC doit renforcer le processus de gestion des risques associés au projet d’intégration pour s’assurer que ces derniers sont évalués, atténués et communiqués.

Réponse de la direction et plan d’action

La direction accepte la recommandation, puisqu’elle est associée au projet de modernisation.

Aux fins de la gestion des risques associés au projet, le BEP de la DGGRO a établi une structure de gouvernance efficace depuis le niveau opérationnel jusqu’au niveau des sous-ministres (SM), ce qui comprend des réunions régulières à tous les niveaux, des examens effectués par les directeurs généraux (DG), un Comité de gestion du projet (CGP) et un processus rigoureux de gestion des risques, accompagné de processus d’identification, d’évaluation et d’atténuation des risques au moyen du cadre de gestion de projets de la version 5 du guide PMBOK. Une correspondance entre les hypothèses clés de l’analyse de rentabilisation et le registre des risques a été établie pour s’assurer que la gestion des risques est complète.

Plan d’action :

Avec le soutien du BEP de la DGGRO, le BPMPP procédera à :

  1. un examen de la gouvernance du projet et des processus connexes pour évaluer le niveau de gestion des risques, cerner les lacunes et y remédier;
    BPR : SMA, Opérations
    Date d’échéance : 29 février 2016
  2. un examen des activités de gestion des risques associés au projet, y compris la validation du niveau de risque et des stratégies d’atténuation connexes.
    BPR : SMA, Opérations
    Date d’échéance : 31 mars 2016

Recommandation no 3 – risque moyen

IRCC doit achever le plan d’atteinte et de gestion des résultats et s’assurer que les indicateurs clés du rendement sont définis clairement afin de soutenir la mesure du rendement et la démonstration de l’atteinte des résultats attendus.

Réponse de la direction et plan d’action

La direction accepte la recommandation.

Le BPR, c.-à-d. le Bureau du projet de modernisation du Programme de passeport (BPMPP), agira conformément à la recommandation.

Plan d’action :
  1. Le plan d’atteinte et de gestion des résultats a été achevé et intégré à la version préliminaire de la deuxième analyse de rentabilisation aux fins de la modernisation du Programme de passeport ou du plan de transformation, qui a été approuvé par la haute direction d’IRCC.
    BPR : SMA, Opérations
    Date d’échéance : Achevé – mai 2015
  2. L’analyse de rentabilisation a été examinée en fonction des plus récents progrès dans le projet. Par exemple, l’annexe F contient une description claire de tous les indicateurs de rendement, y compris les cibles et les sources de données, mis en correspondance avec les résultats du Programme de passeport et de l’Initiative de modernisation.
    BPR : SMA, Opérations
    Date d’échéance : 31 mars 2016

Recommandation no 4 – risque moyen

IRCC doit élaborer un protocole de communication aux fins du projet d’intégration afin d’appuyer un processus plus efficient et plus efficace de diffusion de l’information favorisant à la fois la prise de décisions et la responsabilisation.

Réponse de la direction et plan d’action

La direction accepte la recommandation, puisqu’elle est associée au projet de modernisation.

Le Bureau du projet de modernisation du Programme de passeport (BPMPP) sera créé au sein d’IRCC en tant qu’autorité centrale sous la direction d’un directeur administratif directement responsable de la portée complète du projet, y compris la planification, la mise en œuvre, le contrôle du budget et le ressourcement, la gouvernance, la diffusion de l’information et l’établissement de rapports. Le directeur administratif relèvera du sous-ministre adjoint, Opérations. Le BPMPP assurera une diffusion plus efficiente et plus efficace de l’information, en plus d’assumer des responsabilités plus claires liées à la prise de décisions, notamment en veillant à ce que l’information relative au projet soit transmise de manière cohérente et opportune à tous les intervenants ayant le besoin de connaître cette information de nature délicate.

Plan d’action :
  1. Clarifier et documenter les rôles et les responsabilités du BPMPP et de tous les intervenants concernés par le projet.
    BPR : SMA, Opérations
    Date d’échéance : 29 février 2016
  2. Examiner la charte du projet et le cadre de gouvernance pour s’assurer que des protocoles de communication cohérents sont en place aux fins du projet.
    BPR : SMA, Opérations
    Date d’échéance : 29 février 2016
  3. Chercher à obtenir l’approbation de la haute direction concernant les documents mis à jour du projet.
    BPR : SMA, Opérations
    Date d’échéance : 15 mars 2016
  4. S’assurer que tous les employés et les intervenants concernés par le projet connaissent les protocoles de communication.
    BPR : SMA, Opérations
    Date d’échéance : 31 mars 2016
  5. Mettre en œuvre et surveiller les protocoles.
    BPR : SMA, Opérations
    Date d’échéance : 31 mars 2016 et par la suite

Recommandation no 5 – risque élevé

IRCC doit cerner les exigences opérationnelles clés du Programme de passeport, y compris les exigences liées à l’amélioration des mesures de contrôle de la sécurité et de l’intégrité, et officialiser l’approche en matière de restructuration des processus opérationnels.

Réponse de la direction et plan d’action

La direction accepte la recommandation.

Le BPR, c.-à-d. le Bureau du projet de modernisation du Programme de passeport (BPMPP), agira conformément à la recommandation.

Plan d’action :
  1. Les exigences opérationnelles clés du programme de passeport, y compris les mesures de contrôle de la sécurité et de l’intégrité, ont été achevées depuis la fin de la vérification. On prévoit la validation auprès des BPR d’ici la fin de l’exercice 2015-2016.
    BPR : SMA, Opérations
    Date d’échéance : 31 mars 2016
  2. Une stratégie de restructuration des processus opérationnels a été achevée au deuxième trimestre de l’exercice 2015-2016. Le principal objectif de la stratégie est d’officialiser une approche permettant de procéder à une restructuration des processus opérationnels au moyen d’une amélioration opérationnelle continue, novatrice et adaptable.
    BPR : SMA, Opérations
    Date d’échéance : Achevé (octobre 2015)
  3. Les consultations et la mise en place du processus de restructuration débuteront au troisième trimestre de l’exercice 2015-2016. Parmi les activités réalisées, mentionnons les suivantes :
    1. la planification, la conception et la mise en œuvre, qui requièrent la collaboration essentielle des intervenants internes et externes;
      BPR : SMA, Opérations
      Date d’échéance : Septembre 2016
    2. la restructuration des processus opérationnels visant à soutenir les processus de délivrance des passeports afin de réaliser des économies, y compris les exigences opérationnelles connexes, ainsi que les exigences en matière de sécurité et de solution technologique;
      BPR : SMA, Opérations
      Date d’échéance : Décembre 2016
    3. la détermination des écarts entre le rendement actuel des processus et les buts et objectifs opérationnels documentés;
      BPR : SMA, Opérations
      Date d’échéance : Décembre 2016
    4. la reconnaissance et la documentation des exigences en matière d’amélioration des processus clés associés aux écarts de rendement.
      BPR : SMA, Opérations
      Date d’échéance : Mars 2017

Recommandation no 6 - risque moyen

IRCC doit s’assurer que les exigences liées à l’assurance de la sécurité des TI sont achevées et que des exercices adéquats d’assurance de la qualité et de validation sont effectués.

Réponse de la direction et plan d’action

La direction accepte la recommandation.

Plan d'action :
  1. La DGSGI d’IRCC a mis en place un processus d’évaluation et d’autorisation de sécurité (EAS). Le processus a été achevé en prévision de la version 8.1 du SMGC (lancée le 31 juillet 2015) et de la version 9 du SMGC (lancée le 21 novembre 2015). Une lettre d’acceptation du processus d’EAS a été soumise au gestionnaire de la prestation des programmes, en décembre 2015, à des fins d’approbation.
    BPR : SMA, Services ministériels
    Date d’échéance : Achevé
  2. La DGSGI a mis en œuvre le Cadre de gestion du risque (CGR) d’IRCC, qui est conforme aux normes établies par le gouvernement du Canada et l’industrie (par exemple, le cadre d’architecture de sécurité d’entreprise du Conseil du Trésor, la norme ISO 27001, le modèle du système de gestion de la sécurité de l’information, ainsi que les directrices du guide ITSG-33). Le Cadre de gestion du risque, qui a été mis en œuvre au sein d’IRCC le 30 septembre 2015, facilite le processus officiel d’évaluation et d’autorisation de sécurité du Ministère. On s’attend à ce que la directive concernant le processus d’EAS soit approuvée le 31 décembre 2015.
    BPR : SMA, Services ministériels
    Date d’échéance : 29 février 2016
  3. La DGSGI en est aux dernières étapes de communication du CGR à tous les intervenants concernés, puisqu’il s’applique à tous les systèmes d’IRCC. La DGSGI offrira aux intervenants des présentations de sensibilisation à l’égard du cadre de gestion des risques associés à la sécurité de la TI, de même que des séances de formation, le cas échéant.
    BPR : SMA, Services ministériels
    Date d’échéance : 31 mars 2016
  4. La DGSGI incorporera un cadre pour les examens d’assurance de la qualité lors de l’élaboration du code système. L’actuel examen non officiel (par les pairs) du code de développement sera intégré.
    BPR : SMA, Services ministériels
    Date d’échéance : 31 mars 2016

Détails de la page

Date de modification :