Système mondial de gestion des cas vérification d’un système en voie d’élaboration – Rapport final

Rapport final
Direction générale de la vérification interne et de la divulgation
Citoyenneté et Immigration Canada
Novembre 2005

Table des Matières

Résumé

Le Système mondial de la gestion des cas (SMGC) est un projet pluriannuel qui permettra de remplacer plusieurs systèmes qu’utilisent actuellement Citoyenneté et Immigration Canada (CIC) et l’Agence des services frontaliers du Canada (ASFC). Le but du projet, entrepris au cours de l’exercice 2000-2001, est de doter CIC d’un outil de gestion des cas automatisé et entièrement intégré afin d’appuyer le réseau opérationnel mondial et de fournir des services à la clientèle améliorés et intégrés. Lorsqu’il sera terminé, le SMGC sera utilisé par plus de 7 000 employés de CIC et de l’ASFC répartis dans quelque 125 points de service au Canada (bureaux, Télécentre, centres de traitement des demandes, tribunaux de la citoyenneté et points d’entrée) de même que dans plus de 100 missions à l’étranger.

En septembre 2004, la première étape du projet du SMGC a été mise en œuvre, avec le lancement du volet Citoyenneté (Installation 1). Même si, d’un point de vue technologique, le lancement a été réussi, il s’est buté à quelques difficultés opérationnelles initiales, qui ont été en grande partie réglées. Par conséquent, lorsque les responsables du projet ont cherché à modifier l’Approbation effective des projets (AEP) au printemps 2005, il a fallu intégrer au processus une vérification du projet du SMGC.

Notre vérification visait à examiner les progrès réalisés depuis l’Installation 1 du SMGC jusqu’à la prochaine étape du projet. Nous avons examiné les processus de gestion du projet et les contrôles exercés pour garantir l’intégrité des données et la protection des renseignements de nature délicate. Nos observations portent sur la période allant de septembre 2004 à octobre 2005.

De façon générale, nous concluons que le processus de gestion du projet est bon et qu’il permettra d’augmenter la possibilité de réussite du projet puisqu’il garantit la mise en place d’un cadre efficace de contrôle de la gestion. De plus, l’équipe de vérification a observé la présence de contrôles adéquats permettant de soutenir l’intégrité des données et de protéger les ressources d’information de nature délicate.

Le rapport présenté dans les pages suivantes énonce les observations et les recommandations de l’équipe de vérification, de même que les mesures prises et le plan d’intervention établi par l’équipe du projet du SMGC pour respecter ces recommandations.

1. Introduction

On a demandé à la Direction générale de la vérification et de la divulgation internes (VID) de Citoyenneté et Immigration Canada (CIC) d’effectuer une vérification ciblée d’un système en voie d’élaboration du projet de Système mondial de gestion des cas (SMGC). La VID a effectué une vérification des processus de gestion du projet et des mesures de contrôle adoptées pour protéger l’intégrité des données et les ressources d’information de nature délicate, afin d’évaluer leur pertinence pour la bonne mise en œuvre du projet.

La vérification a été effectuée conformément à la Politique sur la vérification interne du gouvernement du Canada, de même qu’aux normes de vérification énoncées par l’Institut des vérificateurs internes.

1.1 Contexte

Le SMGC est un projet pluriannuel qui permettra de remplacer plusieurs systèmes administratifs de CIC et de l’Agence des services frontaliers du Canada (ASFC) par un ensemble d’applications et de composantes intégrées axées sur la gestion des cas, qui appuiera les opérations clients des deux organisations.

Le projet du SMGC a obtenu l’approbation préliminaire de projet le 1er mars 2001, de même qu’un budget initial d’environ 195 millions de dollars (C.T. 828697). En raison du niveau de risque évalué et de l’envergure du projet, CIC a dû gérer le SMGC comme un grand projet de l’État et a dû confirmer qu’il était faisable d’utiliser un « progiciel commercial » de Gestion de la relation client (GRC) pour la plus grande partie de la fonctionnalité de gestion des cas requise.

En raison de divers facteurs dont bon nombre échappent au contrôle de CIC, le choix d’un fournisseur de même que l’attribution et la signature du contrat ont été retardées de neuf mois. En raison de ce retard, ce n’est qu’en avril 2003 que l’équipe de projet a eu accès au progiciel commercial et aux experts techniques requis pour créer et installer le SMGC. Plus tard en 2003, une approbation effective de projet modifié a été approuvée par les ministres du Conseil du Trésor (C.T. 830875), et le budget a été augmenté à 200 millions de dollars environ.

Dès le moment où il a obtenu l’approbation préliminaire, le projet a dû faire face à de nombreux événements provenant de l’externe et de l’interne. Ces événements ont influé directement sur le projet et, à cause d’eux, on a dû apporter des modifications à la stratégie de mise en œuvre du projet.

Parmi ces événements, notons :

  • les événements de septembre 2001, qui ont forcé les pays à réexaminer les outils qu’ils utilisaient pour faire face aux menaces sans entraver indûment la circulation légitime des personnes;
  • l’intérêt constant et grandissant des immigrants et des résidents temporaires (touristes, étudiants étrangers, travailleurs temporaires) pour le Canada;
  • La mise en œuvre des réformes les plus approfondies de la Loi sur l’immigration en plus de 30 ans, notamment l’instauration de la nouvelle Carte de résident permanent protégée;
  • la création de l’Agence des services frontaliers du Canada.

Au cours du projet, on a effectué plusieurs examens indépendants de l’état de préparation (juillet 2000, juillet 2001 et décembre 2002) de même que deux examens indépendants de vérification et de validation (août 2002 et juillet 2003) dans le but de régler tous les problèmes et difficultés liés au projet. Les résultats de ces examens ont été remis au Secrétariat du Conseil du Trésor (SCT) par l’entremise d’un rapport officiel (septembre 2002) et des rapports mensuels.

Les membres du Conseil du Trésor ont également exigé de la Direction du dirigeant principal de l’information du SCT qu’elle retienne les services d’un tiers contrôleur indépendant pour qu’il rende compte de la progression du projet en portant une attention toute particulière aux relations avec les fournisseurs. Deux contrôleurs ont été engagés en octobre 2003. En janvier 2004, ils ont présenté leur rapport au SCT. Un rapport de suivi a été déposé en mars 2005.

Les rapports préparés par le contrôleur externe du Conseil du Trésor soulignent le fait que la haute direction, tant à CIC qu’à l’ASFC, a fourni un appui enthousiaste et inconditionnel au projet du SMGC. Le rapport souligne également que les utilisateurs de CIC et de l’ASFC connaissent très bien le système et sont prêts à l’adopter, comme le révèlent les résultats de sondages effectués régulièrement pour « prendre le pouls » des deux organisations.

Le projet sert également de catalyseur pour une transformation opérationnelle. Comme, dans le cadre du projet, on a dû cerner, définir et officialiser les exigences opérationnelles, il a fallu réexaminer les processus opérationnels en place et parvenir à des consensus parmi les utilisateurs au sein du Ministère. On a ainsi obtenu un ensemble de pratiques standardisées et plus cohérentes visant à promouvoir une plus grande uniformité, une efficacité accrue et un meilleur service axé sur le client dans les deux organisations.

Les activités de CIC représentent plus de 1,5 million de transactions clients chaque année. Environ les deux tiers de ces transactions sont effectuées à l’étranger dans des contextes que l’on pourrait qualifier de difficiles en raison de leur complexité et de l’infrastructure locale.

Lorsqu’il sera achevé, le SMGC comptera plus de 7 000 utilisateurs à CIC et à l’ASFC, répartis dans 125 points de service au Canada (bureaux, Télécentre, centres de traitement des demandes, tribunaux de la citoyenneté et points d’entrée) et dans plus de 100 missions à l’étranger.

Le SMGC est un élément essentiel d’un grand projet de transformation opérationnelle et de services axés sur le client, qui cherche à maximiser les avantages rattachés aux programmes de citoyenneté et d’immigration au cours des prochaines années. En intégrant la fonctionnalité opérationnelle et les renseignements qui, à l’heure actuelle, se retrouvent dans plus d’une dizaine d’anciens systèmes de CIC créés au cours des 30 dernières années, on souhaite éliminer les données redondantes, améliorer l’uniformité et la qualité de ces données et contribuer à rationaliser les opérations. Le nouveau système devrait aussi permettre à CIC et à l’ASFC d’améliorer davantage l’exécution de leurs programmes et la prestation de leurs services.

En septembre 2004, la première étape du projet du SMGC a été mise en œuvre avec le lancement du volet « Citoyenneté » du SMGC (Installation 1). Le projet continue de répondre aux attentes des utilisateurs et des experts des TI, et s’est révélé être un outil puissant qui peut être adapté pour répondre aux exigences précises de CIC et de l’ASFC.

Même si le volet « Citoyenneté » est une réussite du point de vue technologique, il s’est buté au départ à quelques difficultés opérationnelles. Ces difficultés sont attribuables à la conversion de données, au fait que les utilisateurs ont dû apprendre très rapidement et à un nombre plus grand que prévu de défauts du système. Ces problèmes sont réglés à mesure que le projet se dirige vers l’étape suivante de mise en œuvre. Le système est devenu plus stable, et la production est pratiquement revenue à ce qu’elle était avant l’installation.

Dans le cadre de l’Installation 1, l’équipe de projet s’est prêtée à plusieurs exercices de « leçons tirées ». Ces exercices ont permis de cerner et d’étayer les aspects pouvant être améliorés, comme la reddition de comptes, l’établissement des exigences, les communications, la planification de projet et l’établissement de calendriers, la planification des ressources et, enfin, le contrôle et le suivi de la gestion du projet. Grâce à ces exercices, l’équipe du projet du SMGC a pu préparer des plans d’action détaillés et commencer à adopter de nouvelles pratiques.

Au printemps 2005, l’équipe du projet du SMGC a entrepris de préparer une présentation aux membres du Conseil du Trésor par l’entremise du SCT afin d’apporter des modifications à l’approbation effective de projet (AEP) pour le projet du SMGC. Dans le cadre de ce processus, le SCT a indiqué que le projet devait faire l’objet d’une vérification.

Le type de vérification qui, selon le SCT, convenait le mieux était une vérification d’un système en voie d’élaboration. En général, le SCT souhaitait une vérification ciblée qui pouvait garantir que le projet du SMGC était bien solide pour qu’il puisse aller de l’avant.

En juin 2005, on a élaboré un cadre de référence en vue de cette vérification, qui a été entreprise en juillet de la même année.

2. Objectifs de la vérification

La vérification poursuit deux objectifs :

  • évaluer la validité des processus de gestion du projet;
  • déterminer la pertinence des contrôles permettant d’assurer l’intégrité des données et de protéger les ressources d’information de nature délicate.

3. Portée de la vérification

La vérification porte sur les progrès réalisés depuis l’Installation 1 du SMGC. Nous avons examiné les processus de gestion du projet et les contrôles permettant de garantir l’intégrité des données et la protection de l’information de nature délicate. Nos observations portent sur la période qui va de septembre 2004 à octobre 2005.

Nous n’avons pas examiné les processus ni les contrôles en place avant septembre 2004. De plus, l’examen du contrat conclu entre le gouvernement du Canada et le fournisseur principal pour le projet du SMGC sortait du cadre de la présente vérification.

4. Critères de la vérification

Nous avons établi nos critères d’évaluation à partir d’un certain nombre de normes et de contrôles de rendement raisonnables et crédibles d’intérêt pour notre mission de vérification. Les sources des critères de la vérification sont les suivantes :

  • Project Management Body of Knowledge (PMBOK) — document des normes de l’institut pour la gestion de projet portant sur les connaissances et les pratiques liées à la gestion de projet;
  • Control Objectives for Information and related Technology (COBIT) — cadre du IT Governance Institute pour les pratiques relatives aux TI;
  • diverses politiques du Secrétariat du Conseil du Trésor (p. ex. cadre amélioré de gestion [CAG] du SCT);
  • diverses politiques ministérielles de CIC;
  • le Cadre de contrôle de gestion pour les activités de vérification de CIC.

Les critères liés aux deux objectifs de la vérification étaient les suivants :

  • les processus de gestion de projet font en sorte que le projet est plus susceptible de réussir puisque l’on s’assure qu’il existe un cadre efficace de contrôle de gestion.
    • Les techniques de planification de projet sont bonnes.
    • Les techniques de surveillance, de suivi et de contrôle du projet sont adéquates.
    • Il existe des processus permettant au projet d’atteindre ses objectifs opérationnels généraux.
    • Certaines améliorations des processus de gestion du projet sont appliquées au Volet 2.
    • Les processus de contrat et de sous-contrat sont adéquats.
    • Les techniques de gestion des exigences du projet sont adéquates.
    • Les procédures de gestion du changement sont adéquates.
    • Les techniques de gestion de l’intégration appliquées sur le plan des liens qu’entretient le Bureau de gestion de projet (BGP) avec les responsables du projet (p. ex. le Conseil du Trésor) sont bonnes.
  • Les contrôles utilisés pour garantir l’intégrité des données et la protection de l’information de nature délicate sont adéquats.
    • Les procédures permettant de soutenir la conversion des données et de vérifier et d’assurer l’intégrité des données converties sont adéquates.
    • Les procédures visant à protéger l’information de nature délicate ont été intégrées au projet et sont adéquates.

5. Méthodologie

La vérification a été entreprise en juillet 2005, et nous avons effectué nos travaux d’examen de juillet à octobre 2005. C’est-à-dire que nous avons procédé :

  • à des entrevues;
  • à un examen de la documentation;
  • à un examen des pratiques exemplaires par rapport aux pratiques des organisations reconnues comme l’institut pour la gestion de projets, PMBOK et le COBIT du IT Governance Institute;
  • à un examen détaillé de certains processus de gestion du projet;
  • à une vérification par sondage.

Dans le cadre de la vérification, nous avons interrogé 44 personnes, notamment des dirigeants clés, des membres du projet du SMGC et d’autres intervenants importants. Nous avons également obtenu de la documentation pertinente afin de valider les renseignements recueillis au cours de ces entrevues (l’appendice fournit une liste des personnes interrogées).

L’équipe de vérification s’est également penchée sur la documentation et a effectué un sondage détaillé afin de déterminer s’il existait des processus ou des contrôles précis. De plus, l’équipe a procédé à un examen de la documentation des pratiques exemplaires facilement disponibles afin de cerner toute lacune dans les processus ou les contrôles de gestion du projet visés par l’examen.

Le sondage détaillé a porté sur les aspects suivants :

  • calendrier principal détaillé;
  • rapport d’anomalies;
  • gestion du changement;
  • gestion du risque;
  • rapport du tableau de bord;
  • autorisation des tâches/validation des demandes d’autorisation des tâches;
  • contrats non liés à des progiciels commerciaux;
  • achats de biens;
  • attestations sécuritaires.

6. Conclusions

Nous avons conclu que les processus de gestion du projet du SMGC sont bons et font en sorte que le projet sera plus susceptible de réussir puisqu’ils garantissent qu’il existe un cadre de contrôle de gestion efficace. De plus, l’équipe de vérification a observé la présence de contrôles adéquats permettant d’assurer l’intégrité des données et de protéger l’information de nature délicate.

7. Observations et recommandations

7.1 Processus de gestion de projet

L’objectif de la vérification était d’évaluer la validité des processus de gestion de projet adoptés et de quelle façon elle contribuait à la réussite du projet en garantissant qu’il existe un cadre efficace de contrôle de gestion. Le processus de gestion du projet que nous avons examiné dans le cadre de la vérification porte sur les aspects suivants : planification de projet, surveillance, suivi et contrôle de projet, gestion des contrats et des sous-contrats, gestion des exigences, gestion de l’intégration et gestion du changement. Les paragraphes qui suivent présentent nos observations et, le cas échéant, des recommandations.

7.1.1 Planification de projet

Dans le contexte de la planification du projet, l’équipe de vérification s’est penchée sur un certain nombre d’éléments. Vous trouverez ci-dessous nos observations à cet égard.

Analyse de rentabilisation

Dans le cadre de la planification du projet, on s’attendait à ce que l’équipe du projet du SMGC ait élaboré une analyse de rentabilisation globale et complète, expliquant et justifiant le projet du SMGC et indiquant ses liens avec les priorités de CIC et celles du gouvernement. Une analyse de rentabilisation doit au moins présenter :

  • les possibilités d’amélioration;
  • les avantages d’une telle activité;
  • la solution technique à un niveau élevé;
  • les indicateurs par rapport auxquels on mesure les améliorations du programme sur le plan du rendement;
  • coûts (coûts initiaux, coûts directs et indirects et coûts potentiels pour l’utilisateur ou le client);
  • les risques et les mesures à prendre pour gérer ces risques.

L’équipe de vérification a constaté que l’analyse de rentabilisation du SMGC abordait tous les éléments importants.

Charte du projet

Nous avons constaté que l’équipe du projet du SMGC possède une charte définissant la portée du projet. La charte définit aussi le cadre de gestion globale du projet de même que les normes à appliquer. La charte du projet définit aussi clairement qui sont les intervenants internes et externes, décrit les rôles et les responsabilités des membres de l’équipe du projet et présente la structure globale de gouvernance du projet (p. ex. reddition de comptes et responsables du projet). Nous avons de plus noté que la charte du projet mentionnait les engagements de la direction (ressources humaines et financières, délais et produits livrables).

L’équipe a de plus constaté que la charte du projet du SMGC avait été mise à jour continuellement, tout au long du cycle de vie du projet, c’est-à-dire qu’on y avait intégré les divers changements apportés au projet et qu’elle abordait tous les éléments importants.

Approbations du projet

L’équipe de vérification s’attendait à observer que le projet avait obtenu les approbations, de CIC, mais aussi du SCT. L’approbation préliminaire de projet du SCT a été accordée le 1er mars 2001 (C.T. 828697). L’AEP a été accordée le 31 janvier 2002 (C.T. 829502) et modifiée le 9 octobre 2003 (C.T. 830875). Au cours de la présente vérification, CIC a demandé et obtenu une autre modification de l’AEP. Enfin, nous avons noté que la haute direction du projet du SMGC à CIC avait continuellement témoigné un soutien indéfectible au projet.

Plan du projet

L’équipe de vérification s’attendait à trouver un plan de projet comprenant les points suivants :

  • façon dont les exigences liées au système pouvaient être gérées;
  • façon dont les négociations d’engagement des ressources pouvaient être traitées;
  • un cycle de vie du logiciel avec étapes prédéfinies;
  • les principaux processus et produits livrables du projet;
  • l’autorisation de commencer le travail et les principaux membres de l’équipe affectés aux tâches;
  • l’estimation de la taille et de la complexité du logiciel;
  • l’estimation des exigences en ressources matérielles;
  • des échéanciers détaillés;
  • un engagement et des approbations de CIC même;
  • des exigences en matière d’établissement des rapports.

Le calendrier principal du projet (CPP) est le principal mécanisme utilisé dans la planification du projet du SMGC. Notre examen a révélé que le CPP contenait tous les détails énumérés ci-dessus et qu’il correspondait à la charte du projet du SMGC.

Le CPP est tenu à jour par le BGP grâce aux commentaires fournis par chacune des équipes de projet responsables de la préparation des calendriers des sous-équipes qui sont intégrées par la suite au CPP. Au cours des réunions hebdomadaires, les agents de contrôle du projet peuvent discuter de la progression du projet par rapport à leurs sous-calendriers.

Pour valider l’information contenue dans le CPP, l’équipe de vérification a effectué les sondages de vérification suivants (en utilisant le CPP du 15 juillet) :

  • sondages visant à valider l’uniformité interne des dates inscrites dans les calendriers des sous-équipes;
  • sondages visant à établir une correspondance entre les tâches contenues dans le CPP et celles présentées dans les calendriers des sous-équipes, pour ensuite comparer les renseignements obtenus.

Soulignons que la quantité de détails et le niveau d’uniformité variait entre les calendriers des diverses sous-équipes. Par conséquent, l’équipe de vérification a eu du mal à établir une correspondance entre les tâches contenues dans le CPP et celles du calendrier de la sous-équipe, et a constaté que le niveau de difficulté lié à l’établissement de correspondance entre les tâches variait d’un sous-calendrier à l’autre. Sans un meilleur lien entre le CPP et les sous-calendriers, les responsables du projet ne peuvent s’assurer que tous les points sont intégrés au CPP. Compte tenu de l’importance du CPP pour la planification, nous nous inquiétons du fait qu’il n’existe pas des liens plus étroits. Les responsables du projet sont conscients de ces faits et, au moment de la vérification, l’équipe de projet avait entamé un processus de revalidation de tous les calendriers. On nous a dit que des efforts étaient aussi déployés pour réharmoniser les calendriers afin d’améliorer les liens entre le CPP et ses sous-calendriers.

À notre avis, les responsables du projet doivent s’assurer que tous les membres de l’équipe du projet s’engagent à appliquer de façon uniforme des normes de planification de la gestion du projet. Nous croyons que, de cette façon, on pourra améliorer la qualité et l’uniformité des renseignements intégrés au CPP. Ces améliorations au CPP pourraient aussi garantir que les renseignements soient communiqués et les décisions, prises en temps utile au sein du projet.

Recommandation 1

Les responsables du projet du SMGC doivent s’assurer d’une application uniforme des normes de planification de la gestion du projet (gestion du calendrier et élaboration des normes du SMGC) élaborées par le BGP.

Réaction de la direction du SMGC

D’accord.

Examens du projet

L’équipe de vérification s’attendait à découvrir un processus d’examen et de revalidation des principaux produits livrables liés à la planification (analyse de rentabilisation, charte du projet et planification) pour le projet. L’équipe du projet a effectué une analyse et un examen approfondis des activités liées à l’Installation 1 et a appliqué les leçons tirées à l’élaboration d’une démarche et d’un plan révisés pour le parachèvement du SMGC.

L’équipe du projet a procédé aux examens suivants :

  • examens indépendants de l’état de préparation (juillet 2000, juin 2001 et décembre 2002);
  • examens indépendants de vérification et de validation (août 2002 et juillet 2003);
  • examens indépendants de surveillance du SCT (février 2004 et mars 2005);
  • étapes 1 et 2 de l’équipe du projet du SMGC, leçons tirées (novembre 2003 et décembre 2004);
  • examen de la réaction à l’Installation 1 du SMGC — leçons tirées (juin 2005).

L’équipe de vérification a constaté que le nombre d’examens du projet était en général suffisant pour la taille et la portée du projet.

Gouvernance et structure organisationnelle

Le projet compte les groupes de gouvernance suivants :

  • Conseil de contrôle des modifications (CCM)
  • Comité de revue de conception (CRC)
  • Équipe de revue de conception (ERC)
  • Comité exécutif (COMEX)
  • Équipe des cadres supérieurs (ECS)
  • Groupe d’approbateurs (GA)
  • Comité de gestion intégrée (CGI)
  • Équipe chargée de la mise en œuvre et de la validation des opérations (EMVO)
  • Conseil de gestion du projet (CGP)
  • Conseil de gestion des risques (CGR)
  • Comité consultatif supérieur du projet (CCSP)
  • Comité consultatif de niveau supérieur (CCNS)

Nous avons examiné les mandats de chacun de ces groupes de gouvernance et avons trouvé que tous étaient complets. Un examen de leurs ordres du jour, documents à l’appui et registres des décisions indique qu’ils respectent les exigences mentionnées dans les politiques gouvernementales et les normes de CIC. L’équipe de vérification a participé (aléatoirement) à quelques rencontres de gouvernance (p. ex. celles du CCNS, du CGR, du CCM, du CGP et de l’ECS) pour constater que, dans chacun des groupes, le président occupait le niveau voulu et que la composition des groupes correspondait au mandat.

Nous avons également constaté que le projet s’était doté d’une structure organisationnelle adéquate. Pour tous les postes principaux, on a établi des rôles et des responsabilités, qui ont été documentés et communiqués clairement. L’un des principaux objectifs du CGI est de cerner et de résoudre tous les problèmes de dotation du projet dans les plus brefs délais.

De façon générale, nous avons observé que la gouvernance et la structure organisationnelle du SMGC étaient complètes et correspondaient aux directives gouvernementales pertinentes (p. ex. la politique sur les grands projets de l’État et le CAG du SCT).

Plans du processus

L’équipe de vérification s’attendait à trouver des plans de processus pour les éléments suivants :

  • assurance de la qualité;
  • gestion des risques;
  • communications;
  • gestion du rendement;
  • gestion des RH;
  • gestion de l’approvisionnement;
  • gestion des exigences;
  • GI/TI;
  • essai;
  • installation;
  • formation.

L’équipe de vérification a constaté que, de façon générale, les plans avaient été faits pour chacun des éléments de la liste ci-dessus. Les plans de processus sont sans cesse améliorés, comme l’indique l’intégration des leçons tirées de l’Installation 1. Par exemple, grâce aux exercices d’application des leçons tirées, d’importantes avancées ont été réalisées dans certains domaines qui avaient été cernés. En particulier :

  • un cadre officiel de révision de compte (approuvé le 14 avril 2005);
  • la nomination d’un gestionnaire de projet adjoint;
  • un resserrement des processus de gestion du projet (p. ex. de la gestion des ressources humaines);
  • amélioration des rapports de gestion (p. ex. améliorations du tableau de bord du SMGC);
  • contrôle plus serré des ressources du projet (p. ex. processus du CGI).

7.1.2 Surveillance, suivi et contrôle du projet

Dans le domaine de la surveillance, du suivi et du contrôle du projet, l’équipe de vérification a examiné un certain nombre d’éléments qui sont mentionnés ci-dessous.

Collecte de données et exigences en matière de suivi

L’équipe de vérification s’attendait à constater que les estimations de départ pour les activités mentionnées dans le plan du projet (y compris les principaux jalons) avaient été établis et acceptés par l’équipe du projet. En effet, l’équipe du projet du SMGC avait cerné, défini et étayé les activités, les jalons et les données de référence. Les mises à jour apportées à la démarche liée au plan du projet et aux produits livrables connexes correspondent à la raison d’être de l’analyse de rentabilisation. L’évolution de la charte du projet correspond aux modifications apportées aux activités de départ.

L’équipe de vérification a constaté que le processus de suivi et de surveillance du projet était conforme au principe du CAG du SCT.

Rendement prévu par opposition au rendement réel

Les processus permettent :

  • de faire le suivi du rendement réel;
  • de comparer le rendement réel au rendement prévu (p. ex. faire le suivi des écarts par rapport au plan);
  • de déterminer quelles sont les modifications à apporter et dans quelle situation;
  • de déterminer les répercussions de toute modification et les changements à apporter pour réduire l’écart (p. ex. ressources supplémentaires).

L’équipe de vérification a procédé à l’examen de certains procès-verbaux de réunions du comité de direction (abordé plus bas) et d’autres réunions afin de déterminer si le rendement était un sujet abordé régulièrement et si des aménagements étaient apportés au besoin. L’équipe de vérification a constaté que l’on examine régulièrement le rendement prévu par rapport au rendement réel, et que les raisons pour lesquelles le plan n’a pas été suivi à la lettre sont concises et bien documentées. Toutefois, il est difficile de savoir qui est responsable de ces cas. Cette question est abordée de façon plus détaillée à la section 7.1.3, sous la rubrique intitulée Contrôle de la prestation de services par un tiers.

Suivi financier

L’équipe de vérification s’attendait à voir qu’un suivi financier était fait et que les résultats faisaient l’objet d’un rapport. Plus particulièrement, les éléments recherchés étaient les suivants :

  • Les dépenses inscrites au budget, les dépenses réelles et les dépenses prévues analysées au regard les unes des autres, étayées et faisant l’objet de rapports réguliers;
  • Données financières exactes, complètes et opportunes;
  • Information de haut niveau sur le suivi financier fourni par le BGP correspondant à l’information que détient l’équipe de projet;
  • Structure de codage financier conforme aux normes de CIC;
  • Application des pouvoirs financiers de CIC et de ceux précisés dans la charte du projet.

Des employés du BGP se consacrent à cet aspect du travail en collaboration avec la Direction générale des finances de CIC pour faire le suivi et le contrôle des données financières du SMGC. L’équipe de vérification a effectué un test sur l’échantillonnage des acquisitions d’éléments d’actif afin de vérifier leur conformité avec la Loi sur la gestion des finances publiques. Notre examen nous a permis de constater que les processus fonctionnent de la façon prévue. En outre, un examen des données financières détaillées et des documents à l’appui pour juillet 2005 a révélé que les contrôles financiers internes sont adéquats.

Suivi du rendement et des résultats

L’équipe de vérification s’attendait à découvrir que le rendement et les résultats étaient étayés et communiqués au sein du BGP et continuellement modifiés pour correspondre aux améliorations apportées au projet et au suivi de toutes les questions jusqu’au parachèvement. Nous nous attendions tout particulièrement à retrouver les éléments suivants :

  • registre du projet et rapports d’étape préparés et mis à jour régulièrement;
  • liste de distribution des parties touchées mise à jour régulièrement;
  • enjeux et problèmes cernés, étayés et faisant l’objet d’un suivi jusqu’à leur règlement;
  • processus bien compris par tous permettant de résoudre les problèmes qui se présentent.

L’équipe de vérification a examiné les divers registres (p. ex. enjeu, décision, mesure et risque) et les a trouvés adéquats.

De plus, dans le cadre de sa vérification, l’équipe a mis à l’essai le tableau de bord du SMGC pour une période en particulier (mai 2005) afin d’évaluer la précision des renseignements qu’il contenait. Notre examen a révélé que le tableau de bord correspondait aux renseignements accessibles au sein du projet.

Gestion des risques

L’équipe de vérification a mis à l’essai le processus de suivi de la gestion des risques (mai à juin 2005) pour s’assurer que le processus fonctionne de la façon prévue et qu’il correspond aux pratiques généralement acceptées.

L’équipe de vérification s’attendait à constater la présence d’un processus garantissant que les risques inhérents au projet sont cernés, évalués et étayés et, plus particulièrement, que le projet du SMGC comportait les éléments suivants :

  • cadre d’évaluation systématique des risques;
  • méthode d’évaluation des risques qui permet des mises à jour régulières;
  • procédure d’évaluation des risques qui permet de cerner les facteurs de risque tant externes qu’internes;
  • procédures de contrôle de changement des risques;
  • documentation sur l’évaluation des risques;
  • stratégie d’atténuation des risques définie et étayée;
  • participation des intervenants à la détermination des risques liés au projet.

Nous avons constaté que le projet du SMGC était doté de mécanismes permettant de cerner, d’étayer les risques et d’en faire le suivi. Une première évaluation des risques a été effectuée en 2001 et a été régulièrement mise à jour tout au long du projet. En décembre 2004, le projet a fait l’objet d’une évaluation des menaces et des risques. De façon générale, nous avons observé que le contrôle des risques associés au projet est bien étayé et fait l’objet d’un bon suivi.

Réunions

L’équipe de vérification a constaté que des réunions avaient lieu régulièrement et permettaient de prendre des décisions et d’examiner l’état d’avancement du projet, le rendement et les risques.

L’équipe de vérification a noté que, depuis l’Installation 1, les réunions consistaient surtout à faire mieux comprendre l’état d’avancement, les coûts et les échéanciers du projet de même que les risques qui y sont associés. Un examen des ordres du jour, des procès-verbaux et des rapports de décision du COMEX, du CCNS, du CCSP, du CGP et de l’ECS effectué par l’équipe de vérification a révélé que des réunions avaient lieu, que les activités principales étaient mises à jour et que les risques étaient repérés et faisaient l’objet d’un suivi.

Comité directeur

L’équipe de vérification s’attendait à constater qu’un comité directeur avait été créé et qu’il était en activité et que, tout particulièrement, les personnes des niveaux adéquats avaient été nommées et siégeaient au comité.

Notre vérification a permis de constater que le comité directeur fonctionne de la façon prévue. Le COMEX est la tribune de la haute direction du Ministère qui surveille la progression du projet, examine les problèmes et prend des décisions concernant d’autres démarches et priorités liées au projet du SMGC. C’est pourquoi il agit à titre de comité directeur du SMGC. Le COMEX se réunit une fois par mois. Les membres du comité directeur sont les suivants :

  • sous-ministre (président)
  • SMA, Développement des politiques et des programmes
  • SMA, Prestation des services centralisés et services de gestion
  • SMA, Opérations
  • SMA, Orientations stratégiques et communications
  • Sous-procureur général adjoint
  • DG, Ressources humaines

L’équipe du projet du SMGC a également créé un comité consultatif de niveau supérieur (CCNS) qui doit fournir un autre point de vue et des conseils pratiques à l’équipe des cadres supérieurs du SMGC. Le CCNS se réunit une fois par mois. Il est composé des personnes suivantes :

  • commanditaire du projet — SMA, Développement des politiques et des programmes
  • SMA, Prestation des services centralisés et services de gestion
  • SMA, Opérations
  • Chef de projet, DG, Solutions fonctionnelles
  • DG, DGGTI
  • Directeur exécutif, GI/TI
  • Directeur exécutif, BGP
  • Directeur exécutif, Exigences fonctionnelles et conception fonctionnelles de l’application
  • Directeur exécutif, Installation, EAU et formation
  • Gestionnaire de la prestation
  • Chef, Finances du SMGC
  • Contrôleur indépendant, SCT
  • VP, Application de la loi, ASFC
  • Directeur, Innovations, sciences et technologie, ASFC

L’équipe de vérification a examiné les procès-verbaux et les présentations du COMEX et du CCNS, et a constaté qu’ils étayaient les décisions et les orientations clés. Les rôles et les responsabilités de chacun, de même que leur mandat, avaient été clairement définis et documentés pour chaque comité.

Stratégie et plan de communication

Nous nous attendions à ce qu’une stratégie ou un plan de communication aient été élaborés et mis en œuvre afin de communiquer les résultats et la progression du projet aux intervenants externes.

Nous avons constaté que l’équipe du projet du SMGC faisait appel aux outils de communication clés suivants afin d’atteindre les divers publics :

  • Bulletin électronique du SMGC — « Pleins feux sur le SMGC »
  • À l’écoute des employés — sondages auprès des employés
  • Site Web interne de CIC — «  CIC Explore »
  • Portail du SMGC
  • Visites régionales
  • Sujets du SMGC abordés aux réunions hebdomadaires des cadres supérieurs
  • Mises à jour régulières sur l’état d’avancement présent au COMEX, au CCNS et au CCSP
  • Rapports mensuels des activités du SCT
  • Tableau de bord du SMGC

Le projet fournit régulièrement des mises à jour opportunes à tous les intervenants (internes et externes). Nous croyons savoir que l’équipe du projet du SMGC, dans le cadre de ses activités entourant le Volet 2, a intégré des tâches précises de communication dans le plan de gestion du projet afin de préparer les utilisateurs au Volet 2. Le but de ces tâches est d’amener les utilisateurs à une étape où ils seront engagés envers le projet et prêts à accepter les changements qu’il entraînera.

Processus de gestion des documents

L’équipe de vérification s’attendait à ce que l’équipe du projet du SMGC se soit dotée d’un processus fiable de gestion des documents. Nous avons constaté que le projet du SMGC conserve les documents en les intégrant aux dossiers documentaires du projet. Voici des exemples :

  • versions antérieures de documents (p. ex. analyse de rentabilisation, charte du projet);
  • registres (registres des décisions, registres des problèmes, registres des risques, registres des changements);
  • évaluations des risques;
  • procès-verbaux, rapports de décision et présentations.

L’équipe de projet utilise des outils électroniques (LiveLink — Portail du SMGC et ClearCase) pour héberger des documents électroniques ayant trait au projet. L’équipe de vérification a noté que l’équipe du projet du SMGC s’était dotée d’un excellent système de gestion des documents et qu’il fonctionnait de la façon prévue.

7.1.3 Gestion des contrats et des sous-contrats

Pour examiner cet aspect du travail, l’équipe de vérification a passé en revue le plan d’acquisition de logiciels, la pertinence de l’expérience du personnel qui s’occupe de l’acquisition de logiciels, la surveillance des consultants, le contrôle de la prestation des services par un tiers, l’indépendance du BGP et du fournisseur principal et la mesure dans laquelle le recours au sous-traitant est documenté et contrôlé. Nos observations sont les suivantes :

Plans d’acquisition de logiciels

Les plans d’acquisition de logiciels et les contrats à cet égard comprennent les éléments suivants :

  • stratégie d’acquisition;
  • méthode utilisée pour les appels d’offres;
  • contraintes liées aux acquisitions;
  • besoins en ressources liées aux acquisitions;
  • rôles et responsabilités;
  • estimation des coûts et des échéanciers;
  • suivi des contrats, surveillance et plans d’évaluation;
  • gestion des risques liés à l’acquisition;
  • service de soutien pour la durée de vie utile du matériel.

L’équipe de vérification a constaté que les plans d’acquisition de logiciels pour le projet du SMGC étaient conformes aux politiques générales d’approvisionnement de CIC et de TPSGC. Notamment, CIC possède un certain nombre de licences de logiciels qu’il a rendues accessibles au projet du SMGC. Des procédures documentées existent également pour l’acquisition de logiciels supplémentaires. Le processus d’approbation comprend le projet de même que la Direction générale de la gestion et des technologies de l’information de CIC .

En outre, la majeure partie des logiciels et du matériel informatique nécessaires pour entreprendre la production ont déjà été achetés, et le contexte de production, à l’interne, est un mode de configuration par basculement et à haute disponibilité. Des améliorations au réseau international (MITNET) des Affaires étrangères du Canada (AEC) et un environnement serveur/bureau (SIGNET) ont été apportées tout en respectant les paramètres exigés par le SMGC. Les membres de l’équipe du projet continuent de collaborer étroitement avec les Affaires étrangères pour réduire au minimum les infrastructures requises pour le Volet 2 du SMGC.

La stratégie originale d’approvisionnement (novembre 2001) a été mise à jour afin de tenir compte des exigences du projet en matière de logiciels. L’équipe de vérification a constaté qu’en général le plan d’acquisition de logiciels comportait tous les éléments importants.

Expérience du personnel

L’équipe de vérification s’attendait à ce que le personnel qui s’occupe de l’acquisition de logiciels au sein de l’équipe du projet ait une expérience de l’acquisition, des contrats et de la gestion. Nous nous attendions notamment à ce que le personnel clé ait suffisamment de connaissances et de compétences dans les domaines suivants :

  • l’évaluation des aspects techniques du système proposé;
  • exigences de CIC en matière de GI/TI (architecture, interfaces);
  • exigences du gouvernement fédéral et de CIC en matière de contrats et méthodes et outils d’établissement des coûts;
  • exigences des utilisateurs finals.

L’équipe du projet du SMGC comptait un expert en contrats de TPSGC qui avait pour tâche de donner des conseils. De plus, l’équipe du projet pouvait compter sur le soutien des ressources internes de CIC en passation de contrats pour faciliter le processus d’établissement de contrats. Les employés de la DGGTI qui avaient une expérience de l’évaluation des solutions techniques ont été affectés au projet. Ainsi, nous avons constaté que l’expérience du personnel chargé des acquisitions, de la passation de contrats et de la gestion, affectés au projet du SMGC pour appuyer l’acquisition de logiciels était adéquate.

Surveillance des consultants

L’équipe de vérification s’attendait à ce qu’il y ait des politiques et des procédures de surveillance des activités des consultants affectés au projet du SMGC afin que soit protégées les ressources d’information de l’organisation. Nous nous attendions notamment à ce que l’équipe du projet du SMGC s’assure des points suivants :

  • Que les exigences contractuelles soient élaborées, gérées et mises à jour;
  • Que les modalités soient uniformes et examinées par un conseiller juridique;
  • Que les engagements contractuels soient traçables et vérifiables;
  • Que les estimations des coûts et des échéanciers soient examinées par un tiers indépendant;
  • Que les vérifications sécuritaires des entrepreneurs clés soient effectuées conformément aux politiques de CIC .

L’équipe de vérification a constaté qu’avec le temps l’équipe du projet a mis en place des processus (p. ex. déclaration des temps de travail) afin de mieux gérer les entrepreneurs. L’équipe de vérification a notamment mis à l’essai le processus d’établissement de rapports concernant les anomalies pour garantir que des rapports sur les heures supplémentaires soient remplis et approuvés par les responsables compétents. Notre examen de cet aspect du travail a révélé que ce processus fonctionnait de la façon prévue.

Contrôle de la prestation de services par un tiers

L’équipe de vérification s’attendait à constater qu’un processus de contrôle de la prestation de services par un tiers avait été adopté pour garantir que les modalités des ententes contractuelles étaient toujours respectées. Nous avons tout spécialement tenté de savoir si

  • les coûts et les échéanciers réels ressemblaient à ceux qui étaient prévus;
  • les problèmes étaient documentés et suivis jusqu’à ce qu’ils soient réglés;
  • les services ou les produits étaient examinés avant toute entente financière;
  • les critères d’acceptation étaient étayés;
  • des examens sont effectués régulièrement;
  • on procède régulièrement à une vérification des activités de l’entrepreneur;
  • la surveillance correspond au type de contrat accordé.

L’équipe de vérification a mis à l’essai le processus de passation de contrats pour s’assurer qu’il fonctionnait conformément aux politiques de CIC et de TPSGC, c’est-à-dire qu’il a procédé à l’examen d’un échantillon de sept contrats qui ne portaient pas sur des logiciels commerciaux pour déterminer s’ils étaient suffisamment détaillés. Notre examen de cet aspect du travail a révélé que le processus fonctionne de la façon prévue, mais qu’il reste des points à améliorer. Par exemple, nous avons remarqué que, dans certains cas, des biens ou des services devaient être fournis, mais il n’y avait aucune date de livraison au‑delà de la date à laquelle le contrat prenait fin. En indiquant dans le contrat une date de livraison des produits livrables, les responsables du projet pourront mieux comprendre et superviser les progrès vers la réalisation des objectifs. Nous avons indiqué ces faiblesses à l’équipe du projet du SMGC, qui nous a assurés qu’elle travaillait à y remédier.

L’équipe de vérification s’attendait aussi à trouver des mesures de rendement permettant d’évaluer le rendement du fournisseur principal. Nous avons remarqué que le principal outil d’établissement de rapports, le tableau de bord du SMGC, avait été réorienté depuis l’Installation 1 pour qu’il fournisse davantage de renseignements sur l’état d’avancement du projet. Toutefois, il ne fait pas rapport sur un des aspects les plus importants du projet : le rendement du fournisseur. Nous reconnaissons que l’équipe de projet collabore avec le fournisseur pour cerner et définir les critères ou indicateurs permettant de bien mesurer son rendement. Nous appuyons ces efforts et formulons la recommandation ci-dessous.

Recommandation 2

Il faut déterminer, en collaboration avec le fournisseur principal, les critères de rendement objectifs et quantifiables qu’il faut respecter. Ces paramètres doivent être choisis de façon à refléter adéquatement le rendement de l’entrepreneur.

Réaction de la direction du SMGC

D’accord.

Absence de liens entre le BGP et le fournisseur principal

Nous nous attendions à observer le degré d’indépendance adéquat pour garantir une relation sans lien de dépendance entre le BGP et le fournisseur principal.

Notre examen d’un échantillon de sept contrats ne portant pas sur des progiciels commerciaux a révélé que les déclarations de conflits d’intérêts avaient été remplies par toutes les parties. Nous avons aussi examiné les rôles et les responsabilités des principaux employés du BGP afin de déterminer s’ils étaient entièrement indépendants du fournisseur. L’équipe de vérification a constaté que le BGP du SMGC est composé de personnes qui sont indépendantes du fournisseur principal.

Documentation et supervision de l’utilisation de sous-traitants

L’équipe de vérification s’attendait à ce que le recours à des sous-traitants soit documenté et supervisé et qu’en particulier il existe des lignes directrices ou des procédures documentées pour l’évaluation et l’utilisation de sous-traitants dans le cadre du projet.

Nous avons mis à l’essai les autorisations de tâche/les demandes d’autorisation de tâche afin de déterminer si leur façon de fonctionner était conforme à la politique. Un examen de 65 de ces documents a révélé que les progiciels commerciaux et non commerciaux faisaient l’objet de surveillance quant aux dates de début et de fin, et que des rôles et des responsabilités clairement définies étaient établies pour chacune des personnes qui se sont jointes au projet. Les responsables compétents demandaient et approuvaient ces ressources. De façon générale, l’équipe de vérification a constaté que la documentation sur les sous-traitants et la surveillance de ceux-ci fonctionnait de la façon prévue.

7.1.4 Gestion des exigences

Dans son examen de cet aspect du travail, l’équipe de vérification a examiné un certain nombre d’éléments, qui sont présentés ci-dessous.

Exigences liées au système et spécifications

L’équipe de vérification s’attendait à constater que le BGP s’était doté de procédures et de plans bien définis pour garantir une liaison étroite avec les utilisateurs pour la mise au point des spécifications de conception et s’assurer que ces spécifications répondent à leurs besoins. Nous avons notamment vérifié si :

  • la direction du projet avait élaboré et approuvé des politiques concernant la gestion des exigences;
  • les politiques et les procédures garantissaient que les exigences avaient été documentées;
  • le processus d’élaboration des exigences avait été défini et que les utilisateurs, la direction du projet, les membres de l’équipe du projet et les principaux employés de la GI/TI y participaient;
  • des exigences opérationnelles avaient été clairement définies avant l’acquisition;
  • des plans avaient été adoptés pour établir des liens entre les exigences et les composantes de la conception, les plans de mise à l’essai et les procédures de gestion des contrats;
  • les exigences avaient été examinées et approuvées par la direction du projet, les groupes d’utilisateurs et la haute direction.

L’équipe de vérification a constaté que l’équipe du projet du SMGC s’était dotée d’un plan détaillé de gestion des exigences qui avait été approuvé par les responsables compétents du projet. L’ensemble des utilisateurs participent activement à l’élaboration des exigences opérationnelles. L’équipe du projet du SMGC a notamment mobilisé activement des représentants de tout le Ministère et de l’ASFC pour définir les exigences opérationnelles et les spécifications de conception (p. ex. groupe d’approbateurs, EMVO, équipe de revue de conception et experts en la matière).

Lorsque l’équipe a tenté de cerner, de définir et d’officialiser les exigences opérationnelles, il lui a fallu réexaminer et rationaliser les processus dans trois grands domaines opérationnels (facilitation de l’immigration, contrôle de l’immigration et intégration) et parvenir à un consensus parmi les utilisateurs au sein du Ministère. Cette façon de faire a entraîné de nombreux retards dans le parachèvement des exigences fonctionnelles et l’obtention des signatures et des approbations finales. L’équipe du projet en est bien consciente mais croit qu’il valait la peine de procéder de cette façon. Elle croit que cette façon de faire permettra d’obtenir un ensemble de pratiques fonctionnelles plus uniformes et cohérentes se traduisant par une plus grande uniformité, une efficacité accrue et un meilleur service dans tout CIC.

Processus permettant d’assurer le respect des exigences

Les exigences sont documentées, et tous les membres du groupe y ont accès. En outre, les exigences sont liées à une conception globale du SMGC — composante, essai et gestion des contrats. L’équipe de vérification s’attendait à ce que les exigences soient analysées sur le plan de leur intégralité, de leur compréhensibilité, de leur faisabilité et de leur uniformité. L’équipe s’attendait en outre à ce que les spécifications tiennent compte des points suivants :

  • la conception des processus permettant d’importer dans le SMGC des données provenant de systèmes plus anciens;
  • la définition des exigences liées aux entrées et la documentation en la matière;
  • la définition des interfaces;
  • l’interface utilisateur-machine;
  • la définition des exigences en matière de traitement des données;
  • la définition des exigences en matière de données de sortie;
  • le contrôle interne et exigences en matière de sécurité;
  • les exigences fonctionnelles et opérationnelles.

L’équipe de vérification a constaté la disponibilité de la documentation sur les exigences. Cependant, cette documentation fait l’objet d’un contrôle qui protège l’information qu’elle contient des changements indésirables. Les documents finals approuvés sont distribués aux membres de l’équipe par l’entremise de l’outil de gestion de documents ClearCase. L’équipe de vérification n’a pas confirmé que les exigences en vigueur au moment de la vérification avaient été bien analysées et reliées aux composantes de la conception ou aux plans d’essai. Nous croyons savoir que l’équipe du projet du SMGC, dans le cadre de ses activités liées au Volet 2, élaborera des plans d’essai qui porteront sur ces exigences.

Processus permettant de gérer les changements apportés aux exigences

L’équipe de vérification s’attendait à ce que, pour les changements des exigences, il y ait un processus contrôlé permettant aux représentants des utilisateurs et aux membres de l’équipe du projet de négocier et de s’entendre sur les changements. L’équipe de vérification a constaté que les changements aux exigences avaient été documentés et examinés par le secteur fonctionnel compétent et par les représentants des utilisateurs, qui se sont assurés qu’ils étaient complets et ont donné leur approbation opérationnelle. Le processus de gestion des changements des exigences fonctionnait de la façon prévue.

7.1.5 Gestion de l’intégration

Dans le contexte de la gestion de l’intégration, l’équipe de vérification a examiné plusieurs aspects du projet, et ses observations figurent ci-dessous.

Lien avec les responsables du projet

L’équipe de vérification s’attendait à ce que le BGP se soit doté de structures officielles d’établissement de rapports permettant aux principaux décideurs d’obtenir les renseignements dont ils ont besoin pour prendre des décisions éclairées. Nous nous attendions aussi à ce que le projet soit doté de mécanismes lui permettant d’intégrer la rétroaction des principaux intervenants comme d’autres ministères et le SCT. Nous avons notamment observé les points suivants :

  • le Rapport mensuel des activités et le tableau de bord du SMGC fournissent à la Direction du dirigeant principal de l’information du SCT des détails sur l’état d’avancement du projet sur le plan technique;
  • un contrôleur indépendant du SCT fournit des mises à jour régulières au Conseil du Trésor et aux hauts fonctionnaires de CIC sur l’état d’avancement du projet;
  • on organise toutes les deux semaines une réunion à laquelle participe l’analyste du SCT qui travaille du côté du programme;

Les réunions trimestrielles du Comité consultatif supérieur du projet (CCSP) auquel participent des représentants de divers secteurs du Ministère visent à faire connaître les problèmes liés au SMGC qui pourraient avoir des répercussions sur d’autres ministères et à régler ces problèmes. Le CCSP est composé de représentants de 16 ministères et organismes fédéraux.

7.1.6 Gestion du changement

L’équipe de vérification s’est penchée sur un certain nombre d’éléments ayant trait à la gestion du changement, les voici :

Procédures de gestion du changement

Une gestion efficace du changement représente un aspect vital du processus global de gouvernance et est essentielle pour contrôler l’envergure d’un projet. Dans le cas du SMGC, le processus de gestion du changement consiste en deux types de demandes :

  • soit des demandes de changement — demandes qui débouchent sur un changement apporté au projet ou à un produit livrable;
  • soit des rapports de problème — demandes qui portent sur une anomalie ou sur un écart par rapport à la norme de fonctionnement approuvée.

L’équipe de projet s’est dotée d’un processus clairement défini d’approbation des demandes de changement, qui exige une autorisation de niveau plus élevé que les rapports de problème. Parmi les procédures liées aux demandes de changement adoptées pour le projet du SMGC, notons :

  • la capacité de classer les demandes par catégorie et par ordre de priorité;
  • les détails sur la façon de traiter les demandes urgentes;
  • une mise à jour des procédures afin que la personne qui a présenté la demande sache ce qu’il en advient;
  • la marge de tolérance pour l’évaluation des effets du changement;
  • la détermination des responsables à consulter avant que le changement puisse être approuvé.

L’équipe de vérification a constaté que le processus, les procédures et le registre des changements fonctionne de la façon prévue. La documentation indique que le processus est contrôlé et centralisé.

Demandes de changement

L’équipe de vérification s’attendait à ce que les demandes de changement soient contrôlées et enregistrées. Nous nous attendions notamment à ce que les registres de contrôle du changement soient utilisés pour enregistrer toutes les demandes de changement.

L’équipe de vérification a en outre constaté que deux personnes géraient le processus pour l’équipe du projet du SMGC. Ces personnes ont pour responsabilité de superviser le cycle de vie de toutes les demandes de changement (c.-à-d. l’ouverture, l’enregistrement, le suivi et la conclusion). L’équipe de projet a récemment amélioré le processus pour que les demandes de changement soient conclues plus rapidement. L’équipe du projet a surtout tenté de déterminer les demandes de changement dont la priorité était élevée et s’est efforcée de les traiter et de les conclure rapidement.

Documentation des changements approuvés

Les demandes de changement sont utilisées comme façon de documenter ou d’enregistrer les décisions et de s’assurer que les représentants de l’équipe même du projet du SMGC, mais aussi d’autres intervenants clés, comprennent les répercussions du changement possible. Ce type de suivi permet à l’équipe du projet du SMGC :

  • d’offrir aux membres une façon d’enregistrer l’historique des changements apportés au SMGC;
  • d’exercer un contrôle sur les changements qui pourraient avoir des répercussions sur l’ampleur du projet, son échéancier ou son budget;
  • de s’assurer que tous les changements sont conformes aux processus de la gestion de la configuration et de la gestion de documents;
  • de communiquer les changements approuvés à l’ensemble de l’équipe du SMGC.

L’équipe de vérification a constaté que l’équipe du projet étaye et contrôle les demandes de changement de façon centrale. Dans le cadre de nos essais, nous avons examiné le processus de demande de changement en étudiant un échantillon aléatoire de 42 demandes de changement tirées de l’ensemble des demandes de changement traitées dans le cadre du Volet 2. Notre objectif était de déterminer dans quelle mesure ces demandes respectaient la politique relative aux demandes de changement. L’examen de l’équipe de vérification a révélé certaines erreurs mineures, mais aucun problème systématique ou général. Nous avons porté ces petites erreurs à l’attention de l’équipe du projet du SMGC, qui les corrige actuellement.

7.2 Contrôle visant l’intégrité des données et l’information de nature délicate

L’objectif de la vérification de cet aspect du projet était d’évaluer la pertinence des contrôles visant l’intégrité des données et de ceux visant la protection de l’information de nature délicate. L’équipe de vérification s’est donc penchée sur la pertinence des procédures et des plans dans les domaines suivants : conversion des données et intégrité des données converties et procédure visant à protéger l’information de nature délicate. Nous présentons ci-dessous nos observations et, le cas échéant, nos recommandations.

7.2.1 Conversion des données et intégrité des données converties

En ce qui a trait à la conversion des données et à l’intégrité des données converties, l’examen de l’équipe de vérification a porté sur un certain nombre d’éléments, abordés ci‑dessous.

Procédures pour garantir l’exactitude des données

Au cours de l’Installation 1, 18 % des données sur la citoyenneté ont été converties. Résultat direct des leçons tirées de l’Installation 1, la stratégie de conversion pour le reste des données touchant la citoyenneté a été remaniée et réorientée afin que l’on puisse mieux déterminer les renseignements qui doivent être convertis, la quantité de données à convertir et la possibilité d’accéder aux données qui n’auront pas été converties et pour s’assurer que la démarche est bien intégrée au plan de conversion des données du Volet 2. Le projet indiquait également que CIC et l’ASFC avaient entrepris un exercice d’« épuration des données » afin d’améliorer l’uniformité des données converties.

Les 82 % de données sur la citoyenneté qui restent feront l’objet d’une analyse plus approfondie permettant de cerner les éléments de données qui seront sélectionnés pour être intégrés « tels quels » au nouveau SMGC. Le groupe d’entretien de la GI/TI de CIC assume la responsabilité globale de cette activité. Les délais pour la conversion de ce sous-ensemble de données sur la citoyenneté devraient correspondre aux échéanciers du Volet 2. Nous croyons savoir que les données sur la citoyenneté qui ne sont pas converties seront accessibles par l’entremise d’un entrepôt de données et que l’onglet « résumé » du nouveau SMGC fournira des détails à leur sujet.

Pour le Volet 2, on a mis au point une stratégie révisée qui réduit au minimum la quantité de données à transférer au SMGC et fournit aux utilisateurs d’autres mécanismes pour accéder aux anciennes données non converties. Notamment, les principaux éléments de données pour tous les clients et toutes les données ayant trait aux dossiers actifs seront tirés des anciens systèmes réputés contenir les renseignements les plus exacts et les plus à jour, et importés dans le SMGC. Une quantité suffisante de données résumées issues des dossiers inactifs seront également importées dans le SMGC pour faciliter l’établissement d’un rapport, les interfaces et les décisions en temps réel. La démarche générale consiste à déterminer les données qui doivent être converties, la quantité de données à convertir et la meilleure façon d’accéder aux données non converties. Comme pour les données sur la citoyenneté dont on vient de parler, le but est d’utiliser le format « onglet de résumé » pour tous les éléments de données non convertis.

Les autres données contenues dans les anciens systèmes seront déplacées vers un entrepôt de données et pourront être consultées directement à l’aide d’outils de recherche ponctuelle par des grands utilisateurs bien encadrés ayant suivi une formation. On répondra aux besoins en renseignements des autres utilisateurs par des rapports personnalisés. Pour l’instant, on ne prévoit aucune conversion au cours du Volet 2 avant le début de 2006.

Les plans et les contrôles que nous avons examinés dans ce secteur d’activité devraient aider l’équipe du projet du SMGC dans sa préparation pour le Volet 2.

Contrôle de l’accès aux données

L’équipe de vérification s’attendait à observer un accès aux données contrôlé afin d’éviter tout risque de modification non autorisée. Les contrôles d’accès à l’information de nature délicate sont autorisés par des gestionnaires délégués selon le système visé (p. ex. SAP, service de gestion des systèmes, LiveLink et ClearCase). L’équipe de vérification n’a pas établi de procédure ou de protocole d’accès clairement documenté en ce qui a trait à l’information de nature délicate touchant le projet du SMGC dans son ensemble. Les entrevues ont permis de noter que ce sont les données mêmes qui constituent l’information de nature délicate. C’est pourquoi nous croyons comprendre que l’équipe du projet élaborera des contrôles d’accès et des procédures détaillées dans le cadre du processus de conversion des données pour le Volet 2 au début de 2006. Ces activités devraient permettre à l’équipe du projet de mieux protéger les données du SMGC.

Dans le cadre de ses examens, l’équipe de vérification s’est penchée sur le processus d’attestation sécuritaire de l’équipe du projet du SMGC en examinant un échantillon aléatoire de 15 attestations de sécurité accordées à des personnes faisant partie du projet afin de déterminer : 1) si la personne avait obtenu l’attestation de sécurité adéquate au moment de commencer à travailler au projet et 2) dans le cas où la personne travaillait toujours au projet, si son attestation de sécurité était toujours valide. Notre examen nous a permis de constater que le processus fonctionnait de la façon prévue.

7.2.2 Protection de l’information de nature délicate

Dans le contexte de la gestion des exigences, l’équipe de vérification a examiné les éléments mentionnés ci-dessous :

Protection de l’information

Une évaluation préliminaire des facteurs relatifs à la vie privée (EFPV) du SMGC a été effectuée dans le cadre de la demande originale d’approbation effective du projet en janvier 2002, et une EFPV en bonne et due forme a été présentée au Commissariat à la protection de la vie privée du Canada (CPVPC) en février 2004. L’équipe du projet du SMGC a fourni trois rapports périodiques sur l’état d’avancement des travaux au CPVPC — un en août 2004, un autre en janvier 2005 et un troisième en mars 2005.

En plus des activités mentionnées ci-dessus, l’équipe du projet a clairement défini et étayé des procédures permettant la gestion des dossiers; les membres de l’équipe ont de plus reçu des instructions sur « ce qu’il fallait garder et ce qui fallait détruire ». Par ailleurs, les membres de l’équipe participent activement à des discussions avec CIC et Archives Canada concernant les politiques relatives à la conservation et à la destruction de données.

L’équipe de vérification a constaté que les mesures prises par l’équipe du projet du SMGC pour protéger l’information étaient adéquates.

8. Plan d’action du projet du SMGC

Plan d’action du projet du Système mondial de la gestion des cas
Recommandation Réaction Action Responsabilité Date d’achèvement
1. Les responsables du projet du SMGC doivent s’assurer d’une application uniforme des normes de planification de la gestion du projet (gestion du calendrier et élaboration des normes du SMGC) élaborées par le BGP. D’accord

Revigorer les pratiques de gestion de projet et faire respecter une exécution et une application uniformes des intrants, des extrants et des normes :

  • Intégration des activités mises en place pour con-firmer les liens avec le plan et combler les lacunes
  • Amélioration de la planification de la gestion du projet et des pratiques d’assurance de la qualité afin d’inclure la validation, la surveillance et la progression.
 Chargé du projet du SMGC Janvier 2006
2. Il faut déterminer, en collaboration avec le fournisseur principal, les critères de rendement objectifs et quantifiables qu’il faut respecter. Ces paramètres doivent être choisis de façon à refléter adéquatement le rendement de l’entrepreneur.  

Améliorer la gestion du fournisseur sur une grande échelle par la mise en œuvre de mesures qualitatives visant à surveiller le rendement général et, à plus petite échelle, par le renforcement des pratiques de gestion des contrats :

  • par des discussions avec le fournisseur principal visant à confirmer les critères utilisés pour fournir une évaluation qualitative globale du rendement du fournisseur
  • par des discussions avec TPSGC visant à préciser les autorisations de tâche et à y inclure une définition des conditions précises de satisfaction et de rendement
  • offrir aux gestion-naires une forma-tion pour qu’ils puissent appliquer les conditions de satisfaction et de rendement aux autorisations de tâches afin d’améliorer la gestion du rendement
  • mettre à jour l’établissement d’un rapport sur le tableau de bord des cadres afin de faire le compte rendu des relations avec le fournisseur principal et du rendement lié au contrat.
 Chargé du projet du SMGC Janvier 2006

Appendice : liste des entrevues effectuées dans le cadre de la vérification du SMGC

  • Sous-ministre adjoint – Développement des politiques et programmes
  • Sous-ministre adjoint – Prestation des services centralisés et Services de gestion
  • Chef de projet, SMGC
  • Directeur associé, SMGC
  • Directeur exécutif, SMGC GI/TI
  • Directeur exécutif, Exigences et conception fonctionnelles
  • Directeur exécutif, SMGC/SNGC
  • Gestionnaire de la prestation du Volet 2
  • Directeur exécutif, Bureau de gestion de projet (BGP)
  • Finances du SMGC
  • Agent de contrôle de projet (BGP)
  • Gestionnaire de l’amélioration du processus
  • Gestionnaire des risques et des enjeux
  • Formation sur le SMGC
  • Fournisseur principal, Gestion des sous-contrats
  • CIC, DG, Finances
  • CIC, DPI
  • Directeur, région de la C.-B.
  • Vice-président, Agence des services frontaliers du Canada (ASFC)
  • Gestionnaire – Gestion de l’information, ASFC
  • Analyste, Secrétariat du Conseil du Trésor (SCT)
  • DDPI, SCT
  • Contrôleur indépendant du SMGC pour le SCT
  • Consultant, programme de vérification du SMGC
  • Agent des politiques (EMVO du SMGC, CTD de Sydney)
  • Chef de l’équipe 3, CTD de Sydney
  • Agent de soutien au programme, CTD de Sydney
  • BGP, programmateur principal du projet du SMGC
  • Chef de projet du SMGC, gestion des problèmes/du changement
  • Agent du contrôle du projet (EAU)
  • Agent du contrôle du projet (GI/TI)
  • Agent d’approvisionnement et de négociation des contrats, Contrats – CIC
  • Superviseur de la sécurité du personnel, Sécurité – CIC
  • Planificateur du projet du SMGC
  • Gestionnaire de la conversion de données du SMGC
  • Chef du projet du SMGC (conversion de données)
  • Spécialiste du suivi des données sur les progiciels commerciaux pour le SMGC (conversion de données)
  • Gestion de l’information – CIC (archivage)
  • Gestionnaire du bureau du projet du SMGC (BGP)
  • Agent – CIC St. Clair, région de Toronto (Installation 1)
  • Superviseur – CIC St. Clair, région de Toronto (Installation 1)
  • Gestionnaire intérimaire des opérations – RGT Ouest, région de Toronto (Volet 2)
  • Coordonnateur des ERAR, région de Toronto (Volet 2)