29 pages

Français

Audit Report

Illa - Internal Audit Team

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

29 pages

Français

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

A propos
Informations
Extrait

Description

Vérification du Projet d’identification en temps réel (ITR)Rapport finalmai 2009Vérification interneVérification : Vérification du Projet d’identification en temps réel (ITR)Numéro du projet : GHA-232-151Équipe de vérification : Lyne Lemay, CA, CFE, directrice intérimaire de la pratique professionnelle, Vérification interneLinda Saunders, VIA, CGAP, CCSA, Vérification interneChristian Kratchanov, MBA, vérificateur principalRanjana Handa, CGA, vérificatrice financièreJennifer Poland, CGAP, vérificatriceJasbir Singh, vérificateurZiad Shadid, vérificateurDanielle Rosmarin, vérificatriceShaune Theriault, vérificatriceMercy Oyet, vérificatriceDave Coderre, MBA, gestionnaire de la Vérification continueOriginal signé par : Fady Abdul-Nour, ingénieur, Chef de la Vérification interne2Évaluation de l’accès à l’informationPartie exemptée du rapport Page Article pertinent de la Loisur l’accès à l’informationDivulgation relative à la sécurité d’un 20, 22 Loi sur l’accès àsystème informatique l’information, article 16(2) Divulgation relative aux conseils, 19 Loi sur l’accès àrecommandations, délibérations et plans l’information, article 21(1)du gouvernement3Table des matièresPageRésumé 5Contexte 6Objectif et portée 7Démarche 8Conclusions 9Principales constatations et réponses de la direction 10 - 17Aperçu par objectif de vérification 18 - ...

Informations

Publié par	Illa
Nombre de lectures	55
Langue	Français

Extrait

Vérification du Projet

d identification en temps réel ’ (ITR) Rapport final mai 2009

Vérification interne

’ Vérification : Vérification du Projet d identification en temps réel (ITR)

Numéro du projet : GHA-232-151 Équipe de vérification :Lyne Lemay, CA, CFE, directrice intérimaire de la pratique professionnelle, Vérification interne Linda Saunders, VIA, CGAP, CCSA, Vérification interne Christian Kratchanov, MBA, vérificateur principal Ranjana Handa, CGA, vérificatrice financière Jennifer Poland, CGAP, vérificatrice Jasbir Singh, vérificateur Ziad Shadid, vérificateur Danielle Rosmarin, vérificatrice Shaune Theriault, vérificatrice Mercy Oyet, vérificatrice Dave Coderre, MBA, gestionnaire de la Vérification continue

Original signé par :

Fady Abdul-Nour, ingénieur, Chef de la Vérification interne

’ ’ Évaluation de l accès à l information

Partie exemptée du rapport

Divulgation relative à la sécurité d’un système informatique

Divulgation relative aux conseils, recommandations, délibérations et plans du gouvernement

Page

20, 22

Article pertinent de la Loi ’ ’ sur l accès à l information

Loi sur l’accès à l’information, article 16(2)

Loi sur l’accès à l’information, article 21(1)

Résumé

Contexte

Objectif et portée

Démarche

Table des matières

Conclusions

Principales constatations et réponses de la direction

Page

10 - 17

Aperçu par objectif de vérification 18 - 29

Résumé

L’ITR est un projet des Services nationaux de police (SNP) régi par la GRC. Il est conçu pour rendre plus efficace le dépôt national d’empreintes digitales (phase 1) et le dépôt national des casiers judiciaires (phase 2). Il doit remplacer des processus dépassés sur support papier et autres vieux systèmes par des flux de travaux améliorés et des processus automatisés. L’ITR emploie des technologies modernes pour répondre aux exigences opérationnelles et pour appuyer l’interopérabilité avec tous les clients. Le Secteur du dirigeant principal de l’information (DPI) travaille à concevoir le système d’ITR pour les Services canadiens d’identification criminelle en temps réel (SCICTR) des SNP. La mission des SCICTR consiste à faire de l’identification dactyloscopique et des recherches dans les casiers judiciaires pour la police, le système de justice pénal et la communauté de la sécurité publique du Canada, mais aussi pour des partenaires étrangers.

Le Comité de vérification et d’évaluation de la GRC a approuvé la vérification du Projet d’ITR en juin 2006, dans le cadre de son plan de vérification axé sur les risques. Cette vérification devait établir l’assurance raisonnable que le Projet d’ITR était encadré par les pratiques de gestion généralement reconnues et par les mécanismes de contrôle pour les projets liés aux technologies de l’information (TI), tel que les définissait le Secrétariat du Conseil du Trésor (SCT) dans sonCadre amélioré de gestion(CAG). Il s’agissait notamment de vérifier comment s’étaient faits la planification et le suivi du projet au cours des exercices 2004-2005, 2005-2006 et 2006-2007. Il n’était question ni de faire l’examen technique du produit grand public qui a finalement été choisi ni d’évaluer en détail la sécurité du système, les risques et les contrôles connexes.

La vérification a révélé que le Secteur du DPI gérait le Projet selon un cadre reconnu. L’analyse de rentabilisation de l’ITR et sa stratégie de communication, ont rendu possible l’atteinte des objectifs. Le Secteur du DPI a obtenu du Conseil du Trésor et de l’État-major supérieur toutes les approbations requises. Cependant, il y a encore place à l’amélioration. L’ITR devrait entreprendre la démarche décrite dans le CAG du SCT pour estimer la taille et la complexité des produits livrables qui restent. Il faudrait faire le suivi des valeurs de référence approuvées quant à l’horaire, aux coûts et aux résultats attendus de la phase 2, et les comparer à la réalité. Les responsables de l’ITR doivent sans tarder documenter les pratiques financières du Projet pour éviter que des aspects clés de la gestion financière ne reposent sur les épaules d’une seule personne. Finalement, il est temps de compléter et de publier les lignes directrices comptables de la GRC sur les logiciels, pour garantir la conformité et l’uniformité de la capitalisation dans les projets de la GRC ainsi que l’exactitude des rapports financiers divisionnaires dont la direction a besoin pour prendre des décisions et rendre des comptes.

Contexte

L’ITR est un projet des SNP régi par la GRC. Il comporte deux phases; la première consiste à rendre plus efficace le dépôt canadien d’empreintes digitales et la deuxième, à rendre plus efficace le dépôt de casiers judiciaires. Les processus actuels, manuels et sur support papier, sont remplacés par des processus simplifiés et informatisés fondés sur des normes. L’ITR utilisera des technologies modernes pour répondre aux exigences opérationnelles et pour appuyer l’interopérabilité avec tous les organismes. Le Secteur du dirigeant principal de l’information (DPI) est en train de créer le système d’ITR pour les Services canadiens d’identification criminelle en temps réel (SCICTR). Les SCICTR font de l’identification dactyloscopique et tiennent des casiers judiciaires à jour pour la police, le système de justice pénale et la communauté de la sécurité publique du Canada, ainsi que pour leurs partenaires étrangers, comme le Federal Bureau of Investigation et Interpol. Les SCICTR aideront les organismes à faire la transition vers les demandes électroniques. Le Projet d’ITR : • comprendra la création du nouveau Système automatisé d’identification dactyloscopique (SAID) et de l’infrastructure connexe (y compris un serveur National Institute of Standards and Technology [NIST]), qui permettront une identification dactyloscopique rapide et une mise à jour immédiate des casiers judiciaires concernés; • permettra une transmission électronique fluide des empreintes digitales et casiers judiciaires aux SCICTR; • fournira aux clients un modèle pour les demandes électroniques, de façon à ce qu’ils puissent convertir leurs données en un format que le serveur NIST des SNP prenne en charge. Pour la phase 1, la norme est la version 1.7.7 du document de contrôle d’interface (DCI); • permettra aux services de police de transmettre électroniquement tout renseignement sur le règlement d’une affaire, pour que les casiers judiciaires soient à jour et leur contenu, exact; • remplacera les vieux systèmes indépendants par une solution intégrée; • définira et implantera un flux des tâches pour les casiers judiciaires, de façon à ce que la vérification des casiers judiciaires puisse se faire plus efficacement. La GRC a reçu une approbation pour chaque phase au moyen d’une présentation au Conseil du Trésor (CT). Elle a reçu une approbation préliminaire de projet (APP) pour l’ensemble du projet en 2004. L’approbation définitive de projet (ADP) pour la phase 1 est venue en 2005, et celle pour la phase 2, en 2007. C’est surtout sur la présentation au CT que se fondent les critères de vérification, et la vérification elle-même.

Objectif et portée

Objectif L’objectif de la vérification interne du Projet d’ITR était de: • Déterminer si la gestion du Projet d’ITR est rigoureuse et propre à augmenter la probabilité de succès de celui-ci, c’est-à-dire la réalisation des produits livrables dans les délais et dans le respect des budgets.

Portée La vérification s’est axée sur la gestion du Projet, c’est-à-dire sur les activités visant à garantir la réalisation des produits livrables, dans le respect des délais et des budgets, pour répondre aux besoins des utilisateurs. Elle a aussi porté sur les mécanismes comme la charte, ainsi que sur l’efficacité des contrôles essentiels et des transactions financières au cours des exercices 2004-2005, 2005-2006 et 2006-2007. La présente vérification ne porte aucunement sur la supervision du Projet gestion de la documentation, fonctionnement du Comité directeur, réunions d’étapes, gestion des risques, rapports sur le rendement et sur les résultats. Elle n’examine pas le logiciel choisi sur le plan technique, pas plus qu’elle n’examine en détail la sécurité du système, les risques que celui-ci présente ni les contrôles généraux ou propres à chaque application.

Démarche Le travail de vérification s’est fait de février à juin 2007 et de décembre 2007 à septembre 2008, dans le respect des normes internationales pour la pratique professionnelle de la vérification interne et de la politique du CT sur la vérification interne. Ces normes exigent que la vérification soit planifiée et effectuée de façon à garantir raisonnablement la réalisation de l’objectif; pour offrir cette assurance, la vérification de l’ITR a comporté tous les tests nécessaires, notamment des entrevues, des observations, des démonstrations, l’examen de pièces justificatives, l’échantillonnage des transactions, des examens analytiques. Les critères employés pour concevoir les tests étaient fondés sur les politiques, règles, règlements et lois pertinentes, ainsi que sur le CAG du SCT. Pour compléter celui-ci, l’équipe de vérification s’est servie des pratiques exemplaires duProject Management Institute Body of Knowledge(PMBOK), desControl Objectives for Information and Related Technology (COBIT) et del’Institut de génie logiciel(IGL). Sont définis ci-dessous les principaux termes employés dans le rapport :

Généralement conforme Suffisant

Efficace

Cote la plus élevée pour calculer le niveau de conformité.

Les contrôles sont suffisants si la direction les a planifiés et organisés (conçus) de manière à obtenir l’assurance raisonnable d’une gestion efficace des risques pour l’organisation et d’une réalisation efficace et économique des objectifs.

Les contrôles sont efficaces s’ils permettent d’obtenir les résultats voulus.

Gestion du projet

Conclusions

La vérification arrive à la conclusion que le Projet d’ITR emploie les techniques de gestion généralement reconnues ainsi que les contrôles que le SCT définit dans le CAG pour les projets de TI. Or, sur certains plans, il y a encore place à l’amélioration : • Plans de gestion de projet; • Suivi :

• Comparaison des résultats (produits livrables, calendrier et coûts) avec les valeurs de référence approuvées, • Bilans financiers.

Principales constatations et réponses de la direction

Les tableaux des pages suivantes présentent les principales conclusions de la vérification : résumé de nos observations, conséquences potentielles pour l’organisation, etc. Ils contiennent aussi des recommandations pour régler les problèmes décelés :

•

Plans d’action,

Personnes qui devront diriger la mise en œuvre des plans d’action,

Échéances.

Réponses de la directio’n àla vérificationdu Projet d ITR

Le présent rapport porte sur la période se terminant en avril 2007. Les premières constatations ont déjà donné lieu à des ajustements aux plans de gestion de projet et aux mécanismes de suivi et de bilans financiers. La phase 1 s’étant terminée en septembre 2008, le Projet est maintenant bien placé pour prendre les mesures recommandées dans la section Comparaison des résultats.