Audit Report

De
Publié par

Vérification de la mise en œuvre du système PRIME par la GRC Rapport final réviséFévrier 20082Vérification de la mise en œuvre du système PRIME par la GRCNuméro de projet : GHA-232-134-1Équipe de René-Pierre Tremblay, directeur général intérimaire, Vérificationvérification: interneSylvain Michaud, CA, CIA, directeur exécutif, Vérification interneChristian Kratchanov, MBA, Adm. A., CMC, directeur principal de la vérificationDave Coderre, MBA, gestionnaire de la Vérification continueJasbir Singh, vérificateurJennifer Poland, vérificatrice supérieureKrissie Duhan, CGA, vérificatriceZiad Shadid, vérificateurM. Brian Aiken, CIA, CFE Dirigeant principal de la vérification3Table des matièresRésumé 4Contexte 5Objectifs et étendue 6Stratégie de vérification 7Conclusions 8Aperçu par objectif de vérification 9Principales constatations et réponse de la direction 204RésuméLe Police Records Information Management Environment (« système PRIME-BC »), qui fait partie du modèle intégréd’échange d’information policière de la Colombie-Britannique, est mis en œuvre dans tous les organismes d’application de la loi en Colombie-Britannique en tant que système de gestion des données de la province. À la demande de la Colombie-Britannique, la GRC a accepté de travailler avec les partenaires de la province au déploiement du système PRIME-BC. En juin 2005, une vérification financière interne de la GRC relative à ...
Publié le : vendredi 23 septembre 2011
Lecture(s) : 59
Nombre de pages : 26
Voir plus Voir moins
Vérification de la mise en œuvre du système PRIME par la GRC
Rapport final révisé
Février 2008
Vérification de la mise en œuvre du système PRIME par la GRC
Numéro de projet : GHA-232-134-1
Équipe de
vérification :
René-Pierre Tremblay, directeur général intérimaire, Vérification
interne
Sylvain Michaud, CA, CIA, directeur exécutif, Vérification interne
Christian Kratchanov, MBA, Adm. A., CMC, directeur principal de la vérification
Dave Coderre, MBA, gestionnaire de la Vérification continue
Jasbir Singh, vérificateur
Jennifer Poland, vérificatrice supérieure
Krissie Duhan, CGA, vérificatrice
Ziad Shadid, vérificateur
M. Brian Aiken, CIA, CFE Dirigeant principal de la vérification
2
Résumé
Contexte
Table des matières
Objectifs et étendue
Stratégie de vérification
Conclusions
Aperçu par objectif de vérification
Principales constatations et réponse de la direction
4
5
6
7
8
9
20
3
Résumé
Le Police Records Information Management Environment (« système PRIME-BC »), qui fait partie du modèle intégré d’échange d’information policière de la Colombie-Britannique, est mis en œuvre dans tous les organismes d’application de la loi en Colombie-Britannique en tant que système de gestion des données de la province. À la demande de la Colombie-Britannique, la GRC a accepté de travailler avec les partenaires de la province au déploiement du système PRIME-BC.
4
En juin 2005, une vérification financière interne de la GRC relative à la mise en œuvre du système PRIME-BC au sein de la GRC a permis de cerner des problèmes de conformité avec les politiques du Conseil du Trésor (CT) ainsi que l’absence d’une gestion de projet adéquate. En décembre 2006, le CT a approuvé la mise en œuvre par la GRC du projet PRIME-BC par suite d’une modification de l’approbation définitive de projet (ADP) visant la mise en œuvre d’un système national de gestion des dossiers. Conformément à la présentation au CT, la GRC était chargée de mener une vérification de suivi concernant la mise en œuvre par la GRC du système PRIME-BC et de présenter les résultats au CT au plus tard le 31 décembre 2007. Par la suite, une entente a été conclue avec le CT en vue de reporter l’échéance au 15 février 2008.
La vérification interne a porté sur plusieurs activités de gestion de projet, y compris la planification du projet, le suivi et la surveillance du projet, l’acquisition de biens et services, la formation, de même que la mise en œuvre et la transition. L’étendue de la vérification ne comprenait pas une comparaison du projet PRIME-BC avec d’autres projets importants de technologie de l’information (TI), un exercice souvent appelé « analyse comparative externe ».
La vérification interne a permis de conclure que bien que certains éléments d’un bon cadre de contrôle de projet aient été observés, des améliorations pourraient être apportées. En particulier, pour les besoins de la gouvernance, il serait utile d’établir le comité directeur initialement prévu et de clarifier le rôle du dirigeant principal de l’information (DPI). L’analyse de rentabilisation ne renferme pas de critères de sélection adéquats permettant de bien comprendre la justification de l’évaluation des diverses options. L’analyse de rentabilisation n’indique pas non plus les coûts directs et indirects permanents, lesquels sont nécessaires pour mener une évaluation continue relative à la mise en œuvre par la GRC des coûts et avantages relatifs au système PRIME-BC. En outre, les mécanismes de suivi du projet et d’établissement de rapports s’y rattachant devraient comprendre une mesure du rendement ainsi qu’un compte rendu des résultats par rapport à la base de référence approuvée. De même, dans le cadre du projet, un plan devrait être établi pour appuyer la transition de la mise en œuvre du système au soutien et à l’entretien de celui-ci. Enfin, l’entente avec la PRIME Corp. devrait respecter la politique de la GRC et renfermer des éléments tels que la description du type de ressources consacrées par la GRC ainsi que la quantité de celles-ci.
Contexte La province de la Colombie-Britannique (C.-B.) compte un certain nombre de services de police de différentes compétences, y compris des services de police municipaux indépendants et des détachements de la Gendarmerie royale du Canada (GRC). En 1998, le gouvernement de la Colombie-Britannique a reconnu la nécessité pour les divers organismes d’application de la loi d’interagir dans un environnement structuré permettant d’échanger des renseignements de manière efficace et en temps opportun.
Le « Police Records Information Management Environment » (système PRIME-BC) de la Colombie-Britannique est le fruit de la collaboration entre la GRC, les services de police municipaux indépendants de la Colombie-Britannique, l’Unité mixte d'enquête sur le crime organisé ainsi que le ministre de la Sécurité publique et solliciteur général de la C.-B. La collectivité de l’application de la loi en Colombie-Britannique avait pour objectif d’améliorer l’échange de renseignements, entre tous les services de police, aux fins du maintien de l’ordre aux niveaux municipal, provincial, national et international. Le système PRIME-BC visait à renforcer considérablement l’efficacité des opérations policières et à éliminer le « cloisonnement » de l’information causé par les nombreux processus et systèmes opérationnels utilisés par chacun des organismes d’application de la loi. Les différents systèmes nuisaient à l’échange de renseignements et posaient des défis de taille aux services de police chargés de mener des enquêtes criminelles.
5
En mars 2003, la PRIME Corp. a été créée pour agir au nom de la province de la Colombie-Britannique et fournir un système électronique de gestion des dossiers (système PRIME-BC) à tous les services de police de la C.-B. En 2005, un arrêté ministériel a été émis par le solliciteur général de la C.-B. afin de rendre obligatoire l’utilisation du système PRIME-BC par tous les services de police de la C.-B. En 2006, la PRIME Corp. a signé une entente avec la GRC pour contribuer à la mise en œuvre du système PRIME-BC à la GRC. Aux termes de cette entente, la PRIME Corp. est responsable de l’acquisition des biens et services nécessaires à la mise en œuvre du système PRIME-BC à la GRC, et les coûts connexes lui sont remboursés par la GRC. Les services de consultation, en vue de l’établissement d’un bureau de projet (BP) qui surveillera la mise en œuvre du système PRIME-BC à la GRC, figurent parmi les principaux services fournis par la PRIME Corp.
Le projet Système d’incidents et de rapports de police (SIRP) de la GRC a été approuvé par le CT en mars 2002 en tant que système national de gestion des dossiers de la GRC, au coût de 71,4 M$. L’approbation de financement, toutefois, n’incluait pas la mise en œuvre par la GRC du système PRIME-BC. En juin 2005, une vérification financière interne de la mise en œuvre par la GRC du système PRIME-BC a permis de cerner des problèmes de conformité avec les politiques du CT ainsi que l’absence d’une gestion de projet adéquate. En décembre 2006, le CT a approuvé la mise en œuvre par la GRC du projet PRIME-BC par suite d’une modification de l’approbation définitive de projet (ADP) visant le SIRP. La présentation au CT modifiée prévoyait un budget de 40,3 M$ pour la mise en œuvre du système PRIME-BC à la Division E. Conformément à la présentation au CT, la GRC devait mener une vérification de suivi concernant la mise en œuvre par la GRC du système PRIME-BC et présenter les résultats au CT au plus tard le 31 décembre 2007.
Objectifs et étendue Objectifs
Les objectifs de la vérification interne concernant la mise en œuvre du système PRIME par la GRC étaient les suivants :
6
1. obtenir l’assurance raisonnable que de bonnes techniques de gestion de projet ont été établies pour appuyer le projet PRIME-BC, notamment examiner les activités de gestion de projet relatives à la planification du projet, au suivi et à la surveillance du projet, à l’acquisition de biens et services, à la formation de même qu’à la mise en œuvre et à la transition;
2. faire le suivi des réponses de la direction aux recommandations formulées dans le cadre de la vérification interne de 2005 concernant le système PRIME-BC.
Étendue
La vérification a porté essentiellement sur les activités de gestion du projet PRIME-BC (c.-à-d. les activités visant à faire en sorte que le projet soit exécuté selon le budget et les délais établis, et que les produits livrables prévus soient fournis de façon à répondre aux besoins des utilisateurs). Cela comprenait un examen des activités de gestion du projet et des contrôles connexes observés au moment de la vérification. Afin d’évaluer l’efficacité des contrôles clés, les opérations financières pour la période allant d’avril 2005 à mars 2007 ont été examinées.
La vérification interne ne comprenait pas un examen technique de la solution commerciale normalisée choisie ni une évaluation approfondie de la sécurité du système, des risques liés au système ainsi que des contrôles connexes généraux et propres à l’application. L’étendue de la vérification ne prévoyait pas non plus une comparaison du projet PRIME-BC avec d’autres projets importants de technologie de l’information, un exercice souvent appelé « analyse comparative externe ».
Définition de ce qui est l objet de la vérification
Les vérifications internes de la GRC de 2005 et 2007 relatives au projet PRIME-BC ont examiné les activités entreprises par la GRC pour mettre en œuvre le système PRIME-BC au sein de la GRC. Les activités visées dans le cadre des vérifications avaient rapport avec la gestion de projet et la gestion financière du projet par la GRC. Les vérifications ne comprenaient pas: (1) un examen de l’utilisation par la GRC du système PRIME-BC suite à sa mise en œuvre; (2) un examen de la mise en œuvre et de l’utilisation du système PRIME-BC par d’autres services de police externes à la GRC en Colombie-Britannique.
Stratégie de vérification
Le travail de vérification a été effectué de janvier à novembre 2007, et ce, conformément auxNormes internationales pour la pratique professionnelle de l’audit interneet à laPolitique sur la vérification internedu Conseil du Trésor, qui exigent que la vérification soit planifiée et exécutée de manière à obtenir l’assurance raisonnable que les objectifs de vérification ont été réalisés. Pour ce faire, divers sondages ont été effectués, au besoin, y compris des entrevues, des observations, des contrôles du cheminement, l’examen de documents justificatifs, un échantillonnage de transactions et des examens analytiques. Les critères de vérification utilisés pour élaborer les sondages de vérification requis sont fondés sur les politiques, les règles, les règlements et les lois qui s’appliquent, notamment le cadre amélioré de la gestion (CAG) du Secrétariat du Conseil du Trésor (SCT) pour les projets de TI. Pour compléter le CAG du SCT, l’équipe de vérification a appliqué les pratiques exemplaires duProject Management Institute Body of Knowledge (PMBOK), duControl Objectives for Information and related Technology (COBIT)et duSoftware Engineering Institute (SEI). Le tableau suivant définit les termes utilisés dans le présent rapport de vérification.
Généralement conforme
Suffisant
Efficace
Cote la plus élevée pouvant être attribuée pour déterminer le niveau de conformité.
Les contrôles sont suffisants si la direction les a planifiés et organisés (conçus) de manière à obtenir l’assurance raisonnable que les risques pour l’organisation ont été gérés efficacement et que les buts et les objectifs de l’organisation seront réalisés de façon efficace et économique.
Les contrôles sont efficaces s’ils permettent d’obtenir les résultats voulus.
7
De bonnes techniques de gestion de projet sont appliquées dans le cadre du projet PRIME-BC.
Les réponses de la direction aux recommandations formulées dans la vérification interne de 2005 concernant le système PRIME-BC ont été mises en œuvre.
Conclusions
La vérification a permis de conclure que bien que des éléments d’un bon cadre de contrôle de projet aient été observés, des améliorations pourraient être apportées relativement à ce qui suit : • l’analyse de rentabilisation; • la gouvernance; • les plans de gestion du projet; • la comparaison des résultats avec la base de référence approuvée; • l’entente avec la PRIME-Corp.
La direction a pris des mesures pour donner suite aux recommandations formulées dans le cadre de la vérification de 2005. Toutefois, les mesures prises n’étaient pas suffisantes. Plus particulièrement, le bureau de projet aurait dû mettre en œuvre un processus visant à évaluer les résultats obtenus par rapport aux données de référence approuvées (p. ex. les produits livrables, les échéanciers et les coûts).
8
9
Aperçu par objectif de vérification Les tableaux suivants présentent les résultats de la vérification interne. Chaque objectif est évalué en fonction des critères correspondants et est accompagné de notre avis concernant les niveaux de risque. Certains critères s’appliquaient aux deux objectifs. Par conséquent, afin de garantir un rapport clair et concis, les critères de vérification ne sont présentés qu’une seule fois. Une évaluation est aussi fournie pour bien justifier notre avis. Les critères de vérification utilisés pour élaborer les sondages de vérification requis sont fondés sur les politiques, les règles, les règlements et les lois qui s’appliquent, notamment le cadre amélioré de la gestion (CAG) du Secrétariat du Conseil du Trésor (SCT) pour les projets de TI. Pour compléter le CAG du SCT, nous avons appliqué les pratiques exemplaires duPMBOK, du COBITet duSEI. Le classement des risques (élevé, moyen, faible) est fonction du niveau de risque possible qui, selon nous, pourrait nuire à la réalisation des objectifs de la GRC et indique la priorité que devrait accorder la direction aux recommandations connexes.
Élevé
Moyen
Faible
L’évaluation résume les observations de la vérification fondées sur les éléments factuels recueillis et analysés au cours de la vérification. Les problèmes ou thèmes, ainsi que les causes et les répercussions possibles, les initiatives de la direction et les recommandations découlant de ces observations sont résumés dans la partie « Principales constatations et réponse de la direction ».
Aperçu par objectif de vérification Planification du projet Critère Niveau de Évaluation risque Analyse de rentabilisation– Une analyse de rentabilisation, qui respecte les exigences du CT, a été élaborée et approuvée.
10
Une analyse de rentabilisation a été élaborée et approuvée en vue de la mise en œuvre du système PRIME-BC à la Division E. L’analyse de rentabilisation renferme la plupart des éléments exigés par le CT, mais elle ne fournit pas une évaluation adéquate des coûts et avantages relatifs aux options envisagées. Le CT exige qu’une analyse de rentabilisation tienne compte des coûts directs et indirects, y compris les coûts permanents tout au long du cycle de vie du système. La vérification a permis de constater que les coûts indirects et les coûts d’entretien annuels (tels que les coûts liés à la mise à niveau de la bande passante) n’ont pas été pris en considération dans l’évaluation des coûts relatifs aux diverses options présentées dans l’analyse de rentabilisation. Avant de choisir une option proposée, il est important d’indiquer clairement les buts de l’organisation et les exigences opérationnelles précises qui doivent être respectées. Les options sont ensuite évaluées en fonction de ces considérations au moment de déterminer la solution qui répond le mieux aux besoins de l’organisation. À cette fin, des critères de sélection, qui sont conformes aux buts et aux exigences opérationnelles de l’organisation, doivent être établis. La vérification a permis de constater que l’analyse de rentabilisation a été menée essentiellement d’un point de vue provincial plutôt que du point de vue national de la GRC. Bien que la vérification tienne compte du fait que le projet est une initiative provinciale, la solution proposée doit cadrer avec les buts et les exigences de la GRC dans son ensemble, et y donner suite. En outre, l’analyse de rentabilisation approuvée ne renferme pas de critères de sélection adéquats permettant de bien comprendre la justification de l’évaluation des diverses options. Par conséquent, on ne sait pas au juste si l’option recommandée est celle qui cadre le mieux avec les priorités générales de la GRC et avec la stratégie de GI/TI de la GRC.
naecU–ens rtcuutre de gouvernancda eauqé ,etoc yrimpdes res onspnod acitjote urpite) (suèreNCrited uaeviÉeuqsir ioatluvarnveounGalPifin.eilbaté tse ,sreaicls télibisaposante de la stfiP IREMB-:Cc moanrn pceviroianctcur erug edevuoctifobjevéri de Aepap rçr ueinsCo1.utécexl noitacif)etius( stsyePèmreuvu  dsnaduot EMIR CB-ovince dte la pr.B.2oCim ealC -.une urss aui qled ecnallievrus en etutioexéce lneœ si ealm d  ealà viD oisil En bess utnégéuxra ,el sboejtcfi set les prioritésseg edét ed noitisiv Dlaél: nEio,ef baroavolia tt coir eiquemmun.
11
Des éléments importants de la structure de gouvernance initialement prévue par la GRC et indiquée dans la présentation au CT n’ont pas été entièrement mis en œuvre. Le comité directeur proposé n’a pas été établi. Un comité directeur donnerait des conseils au directeur du projet PRIME-BC sur tous les aspects du projet qui se rapportent aux politiques pangouvernementales, aux orientations stratégiques, à l’approvisionnement, au financement et à la surveillance continue du projet – de façon à garantir que les produits livrables seront fournis tout au long du cycle de vie du projet. Le comité directeur veillerait également à ce que la méthode de gestion du projet respecte les exigences du CT. Selon la structure actuelle des rapports hiérarchiques, la surveillance du projet relève essentiellement du directeur du projet PRIME-BC. En outre, une surveillance limitée est assurée par le conseil exécutif PRIME-BC¹ et le comité de gestion de la Division E². De plus, d’après la présentation au CT approuvée, le dirigeant principal de l’information (DPI) est responsable de l’exécution du projet PRIME-BC devant le commissaire de la GRC. Le directeur du projet devait relever du DPI, qui devait à son tour relever du comité directeur en ce qui a trait aux questions visant le système PRIME-BC. La vérification a permis de constater que le directeur du projet ne relève pas du DPI, et que le rôle et la participation du DPI sont beaucoup moins importants que ce qui avait été approuvé a l’origine. L’absence d’un comité directeur ainsi que le rôle limité du DPI ont donné lieu à un environnement où les responsabilités sont ambigües et où la mise en œuvre du système PRIME-BC à la GRC fait l’objet d’une surveillance limitée. Par conséquent, les politiques et directives pangouvernementales risquent de ne pas être respectées, et les décisions clés risquent de ne pas être approuvées selon les mécanismes qui s’appliquent.
al eCRG  ecnd te plavirocelie  dsed  eop sesvrciiques de stratég
Soyez le premier à déposer un commentaire !

17/1000 caractères maximum.