Vérification du Projet d’identification en temps réel (ITR)

Rapport final. mai 2009. Vérification interne

Numéro du projet : GHA-232-151

Équipe de vérification :

• Lyne Lemay, CA, CFE, directrice intérimaire de la pratique professionnelle, Vérification interne
• Linda Saunders, VIA, CGAP, CCSA, Vérification interne
• Christian Kratchanov, MBA, vérificateur principal
• Ranjana Handa, CGA, vérificatrice financière
• Jennifer Poland, CGAP, vérificatrice
• Jasbir Singh, vérificateur
• Ziad Shadid, vérificateur
• Danielle Rosmarin, vérificatrice
• Shaune Theriault, vérificatrice
• Mercy Oyet, vérificatrice
• Dave Coderre, MBA, gestionnaire de la Vérification continue

Original signed by: Fady Abdul-Nour, ingénieur., Chef de la Vérification interne

Évaluation de l’accès à l’information

Partie exemptée du rapport	Page	Article pertinent de la Loi sur l’accès à l’information
Divulgation relative à la sécurité d’un système informatique	20, 22	Loi sur l’accès à l’information, article 16(2)
Divulgation relative aux conseils, recommandations, délibérations et plans du gouvernement	19	Loi sur l’accès à l’information, article 21(1)

Résumé

L’ITR est un projet des Services nationaux de police (SNP) régi par la GRC. Il est conçu pour rendre plus efficace le dépôt national d’empreintes digitales (phase 1) et le dépôt national des casiers judiciaires (phase 2). Il doit remplacer des processus dépassés sur support papier et autres vieux systèmes par des flux de travaux améliorés et des processus automatisés. L’ITR emploie des technologies modernes pour répondre aux exigences opérationnelles et pour appuyer l’interopérabilité avec tous les clients. Le Secteur du dirigeant principal de l’information (DPI) travaille à concevoir le système d’ITR pour les Services canadiens d’identification criminelle en temps réel (SCICTR) des SNP. La mission des SCICTR consiste à faire de l’identification dactyloscopique et des recherches dans les casiers judiciaires pour la police, le système de justice pénal et la communauté de la sécurité publique du Canada, mais aussi pour des partenaires étrangers.

Le Comité de vérification et d’évaluation de la GRC a approuvé la vérification du Projet d’ITR en juin 2006, dans le cadre de son plan de vérification axé sur les risques. Cette vérification devait établir l’assurance raisonnable que le Projet d’ITR était encadré par les pratiques de gestion généralement reconnues et par les mécanismes de contrôle pour les projets liés aux technologies de l’information (TI), tel que les définissait le Secrétariat du Conseil du Trésor (SCT) dans son Cadre amélioré de gestion (CAG). Il s’agissait notamment de vérifier comment s’étaient faits la planification et le suivi du projet au cours des exercices 2004-2005, 2005-2006 et 2006-2007. Il n’était question ni de faire l’examen technique du produit grand public qui a finalement été choisi ni d’évaluer en détail la sécurité du système, les risques et les contrôles connexes.

La vérification a révélé que le Secteur du DPI gérait le Projet selon un cadre reconnu. L’analyse de rentabilisation de l’ITR et sa stratégie de communication, ont rendu possible l’atteinte des objectifs. Le Secteur du DPI a obtenu du Conseil du Trésor et de l’État-major supérieur toutes les approbations requises. Cependant, il y a encore place à l’amélioration. L’ITR devrait entreprendre la démarche décrite dans le CAG du SCT pour estimer la taille et la complexité des produits livrables qui restent. Il faudrait faire le suivi des valeurs de référence approuvées quant à l’horaire, aux coûts et aux résultats attendus de la phase 2, et les comparer à la réalité. Les responsables de l’ITR doivent sans tarder documenter les pratiques financières du Projet pour éviter que des aspects clés de la gestion financière ne reposent sur les épaules d’une seule personne. Finalement, il est temps de compléter et de publier les lignes directrices comptables de la GRC sur les logiciels, pour garantir la conformité et l’uniformité de la capitalisation dans les projets de la GRC ainsi que l’exactitude des rapports financiers divisionnaires dont la direction a besoin pour prendre des décisions et rendre des comptes.

Contexte

L’ITR est un projet des SNP régi par la GRC. Il comporte deux phases; la première consiste à rendre plus efficace le dépôt canadien d’empreintes digitales et la deuxième, à rendre plus efficace le dépôt de casiers judiciaires. Les processus actuels, manuels et sur support papier, sont remplacés par des processus simplifiés et informatisés fondés sur des normes. L’ITR utilisera des technologies modernes pour répondre aux exigences opérationnelles et pour appuyer l’interopérabilité avec tous les organismes. Le Secteur du dirigeant principal de l’information (DPI) est en train de créer le système d’ITR pour les Services canadiens d’identification criminelle en temps réel (SCICTR).

Les SCICTR font de l’identification dactyloscopique et tiennent des casiers judiciaires à jour pour la police, le système de justice pénale et la communauté de la sécurité publique du Canada, ainsi que pour leurs partenaires étrangers, comme le Federal Bureau of Investigation et Interpol. Les SCICTR aideront les organismes à faire la transition vers les demandes électroniques.

Le Projet d’ITR :

• comprendra la création du nouveau Système automatisé d’identification dactyloscopique (SAID) et de l’infrastructure connexe (y compris un serveur National Institute of Standards and Technology [NIST]), qui permettront une identification dactyloscopique rapide et une mise à jour immédiate des casiers judiciaires concernés;
• permettra une transmission électronique fluide des empreintes digitales et casiers judiciaires aux SCICTR;
• fournira aux clients un modèle pour les demandes électroniques, de façon à ce qu’ils puissent convertir leurs données en un format que le serveur NIST des SNP prenne en charge. Pour la phase 1, la norme est la version 1.7.7 du document de contrôle d’interface (DCI);
• permettra aux services de police de transmettre électroniquement tout renseignement sur le règlement d’une affaire, pour que les casiers judiciaires soient à jour et leur contenu, exact;
• remplacera les vieux systèmes indépendants par une solution intégrée;
• définira et implantera un flux des tâches pour les casiers judiciaires, de façon à ce que la vérification des casiers judiciaires puisse se faire plus efficacement.

La GRC a reçu une approbation pour chaque phase au moyen d’une présentation au Conseil du Trésor (CT). Elle a reçu une approbation préliminaire de projet (APP) pour l’ensemble du projet en 2004. L’approbation définitive de projet (ADP) pour la phase 1 est venue en 2005, et celle pour la phase 2, en 2007. C’est surtout sur la présentation au CT que se fondent les critères de vérification, et la vérification elle-même.

Objectif et portée

Objectif

L’objectif de la vérification interne du Projet d’ITR était de:

• Déterminer si la gestion du Projet d’ITR est rigoureuse et propre à augmenter la probabilité de succès de celui-ci, c’est-à-dire la réalisation des produits livrables dans les délais et dans le respect des budgets.

Portée

La vérification s’est axée sur la gestion du Projet, c’est-à-dire sur les activités visant à garantir la réalisation des produits livrables, dans le respect des délais et des budgets, pour répondre aux besoins des utilisateurs. Elle a aussi porté sur les mécanismes comme la charte, ainsi que sur l’efficacité des contrôles essentiels et des transactions financières au cours des exercices 2004-2005, 2005-2006 et 2006-2007.

La présente vérification ne porte aucunement sur la supervision du Projet – gestion de la documentation, fonctionnement du Comité directeur, réunions d’étapes, gestion des risques, rapports sur le rendement et sur les résultats. Elle n’examine pas le logiciel choisi sur le plan technique, pas plus qu’elle n’examine en détail la sécurité du système, les risques que celui-ci présente ni les contrôles généraux ou propres à chaque application.

Démarche

Le travail de vérification s’est fait de février à juin 2007 et de décembre 2007 à septembre 2008, dans le respect des normes internationales pour la pratique professionnelle de la vérification interne et de la politique du CT sur la vérification interne. Ces normes exigent que la vérification soit planifiée et effectuée de façon à garantir raisonnablement la réalisation de l’objectif; pour offrir cette assurance, la vérification de l’ITR a comporté tous les tests nécessaires, notamment des entrevues, des observations, des démonstrations, l’examen de pièces justificatives, l’échantillonnage des transactions, des examens analytiques.

Les critères employés pour concevoir les tests étaient fondés sur les politiques, règles, règlements et lois pertinentes, ainsi que sur le CAG du SCT. Pour compléter celui-ci, l’équipe de vérification s’est servie des pratiques exemplaires du Project Management Institute Body of Knowledge (PMBOK), des Control Objectives for Information and Related Technology (COBIT) et de l’Institut de génie logiciel (IGL).

Sont définis ci-dessous les principaux termes employés dans le rapport :

Conclusions

La vérification arrive à la conclusion que le Projet d’ITR emploie les techniques de gestion généralement reconnues ainsi que les contrôles que le SCT définit dans le CAG pour les projets de TI. Or, sur certains plans, il y a encore place à l’amélioration :

• Plans de gestion de projet;
• Suivi :
  • Comparaison des résultats (produits livrables, calendrier et coûts) avec les valeurs de référence approuvées,
  • Bilans financiers.

Principales constatations et réponses de la direction

Les tableaux des pages suivantes présentent les principales conclusions de la vérification : résumé de nos observations, conséquences potentielles pour l’organisation, etc. Ils contiennent aussi des recommandations pour régler les problèmes décelés :

• Plans d’action,
• Personnes qui devront diriger la mise en oeuvre des plans d’action,
• Échéances.

Réponses de la direction à la vérification du Projet d’ITR

Le présent rapport porte sur la période se terminant en avril 2007. Les premières constatations ont déjà donné lieu à des ajustements aux plans de gestion de projet et aux mécanismes de suivi et de bilans financiers. La phase 1 s’étant terminée en septembre 2008, le Projet est maintenant bien placé pour prendre les mesures recommandées dans la section Comparaison des résultats.

1. Plan de projet

Observation / Conséquences

Le plan de gestion de projet n’a pas prévu de méthode normalisée pour estimer la taille et la complexité des logiciels, et rien n’indique que des procédures et des lignes directrices existaient pour estimer la taille et la complexité des produits livrables, en particulier le serveur NIST.

Le CAG du SCT exige que la taille et la complexité de produits livrables fassent l’objet d’une estimation selon les normes de l’industrie. Sans cette estimation, il y avait de fortes chances que le temps et les ressources nécessaires pour créer les produits livrables et pour les mettre à l’essai soient mal évalués.

Recommandation

Pour la phase 2 de l’ITR, le dirigeant principal de l’information (DPI) doit faire en sorte :

1. Que la démarche approuvée pour estimer la taille et la complexité des produits livrables, telle qu’elle apparaît dans le CAG, soit suivie.

Réponse de la direction/ Mesures prises

D’accord. Fujitsu Consulting s’est chargé d’estimer la taille et la complexité des produits livrables. Les résultats ont été déposés en septembre 2008.

Personne responsable : gestionnaire de projet pour la phase 2 del’ITR.

2. Suivi – Comparaison des résultats avec les valeurs de référence

Observation / Conséquences

Bien que les valeurs de référence aient été définies dans les présentations au CT (approuvées), elles n’ont pas figuré ni dans la répartition des tâches ni dans les blocs de tâches; il est donc impossible d’y confronter les résultats. Les retards étaient difficiles à apercevoir jusqu’à ce qu’ils deviennent un grave problème.

Les résultats ont beau été surveillés, ils n’ étaient pas confrontés au plan initial approuvé dans les présentations au CT. Sans comparaison avec les valeurs de référence, il était difficile d’évaluer la progression véritable du projet.

Recommandation

Le DPI doit s’assurer :

1. Au moyen de blocs de tâches, que les valeurs de référence (quant aux délais, aux coûts et aux produits livrables) définies dans l’ADP pour la phase 2 soient comparées aux délais, aux coûts et aux produits livrables véritables;
2. Que les blocs de tâches de la phase 2 contiennent une comparaison en glissement annuel du temps et de l’effort pour le travail accompli, et de la charge de travail restante;
3. Que des plans de réalisation des résultats pour la phase 1 et pour la phase 2 soient conçus et mis en œuvre.

Réponse de la direction/ Mesures prises

1. D’accord. Le mécanisme de suivi existe depuis juin 2007. Les valeurs de référence pour la phase 2 ont changé : nous n’utilisons pas celles fixées à l’origine.
2. D’accord. L’évolution de la charge de travail est surveillée depuis juin 2007. Nous examinons les contrats pour savoir où nous en sommes.
3. D’accord. Le plan de réalisation des résultats pour la phase 1 a été terminé en février 2009, et celui pour la phase 2 le sera en décembre 2010. Tous deux seront mis en œuvre par les Services des sciences judiciaires et de l’identité (SSJI).

Personne responsable : directeur du Projet d’ITR.

3. Suivi – Rapprochement du budget avec les chiffres réels et avec les prévisions

Observation / Conséquences

Le budget inscrit dans le Système intégré de gestion financière (SIGF) faisait l’objet d’un suivi, mais n’était pas comparé au budget de référence défini dans l’ADP de la phase 1. Aux termes des présentations au CT, le contrôle des coûts consiste notamment en la comparaison des coûts réels avec les niveaux de dépenses officiels approuvés.

La gestion financière du projet s’en est ressentie. Au début, lorsque les dépenses de l’ITR étaient inférieures au budget et l’ITR respectait presque parfaitement le calendrier, les conséquences étaient minimes. Or, après ceci, ce n’ était plus le cas. Plus le retard par rapport à l’ADP s’accumulera, plus les conséquences s’aggraveront.

Recommandation

Le DPI doit voir à ce que :

1. Les valeurs inscrites dans le SIGF pour les coûts, les échéances et les livrables correspondent à celles approuvées par le CT, et soient contrôlées régulièrement.

Réponse de la direction/ Mesures prises

D’accord. Depuis juin 2007, les valeurs dans le SIGF correspondent aux valeurs de référence. Le contrôle se fait mensuellement et par rapport à la valeur de référence que nous utilisons (elle diffère légèrement de celle prévue à l’origine pour la phase 2).

Personne responsable : directeur du Projet d’ITR.

4. Suivi – Suivi au bureau de projet

Observation / Conséquences

Les procédures et processus pour faire le suivi et le rapprochement des renseignements financiers dans le SIGF et dans le TEAM n’ étaient pas documentés. La gestion du projet pourrait s’en ressentir, et le roulement du personnel pourrait mener à des pressions indues sur les ressources financières de l’organisation.

La conception et l’entretien des bases de données, systèmes et processus financiers essentiels pour faire le suivi des dépenses du Projet d’ITR relevaient d’un unique agent contractuel. La dépendance envers une seule personne et l’absence de planification de la relève présentent des risques très significatifs pour l’intégrité et la gestion financières du Projet.

Recommandation

Le DPI doit faire en sorte :

1. Que les procédures et processus centraux soient documentés;
2. Qu’un employé de la GRC soit formé pour effectuer toutes les tâches financières qui relèvent actuellement de l’agent contractuel;
3. Que soit créée une stratégie de formation continue pour l’équipe des finances du Secteur du DPI.

Réponse de la direction/ Mesures prises

1. D’accord. À la suite de cette recommandation, certains processus propres au Projet d’ITR sont en cours de révision. Échéance : juillet 2009.
2. D’accord. Un fonctionnaire de la GRC, membre de l’équipe des finances de l’ITR, a été formé.
3. D’accord. L’activité se poursuit, et une autre séance est prévue pour l’automne 2009.

Personne responsable : directeur du Projet d’ITR.

5. Suivi – Capitalisation

Observation / Conséquences

Les lignes directrices comptables de la GRC pour les logiciels (ci-après les lignes directrices) n’avaient pas encore été publiées au moment de la vérification. La Sous-direction de l’actif et de l’approvisionnement (SAA) était mal formée et mal outillée pour examiner, surveiller et critiquer les projets d’immobilisations en TI. Par conséquent, les responsables de la gestion financière du Projet d’ITR devaient se fier à leur jugement professionnel pour interpréter les normes et politiques de la SAA et du CT, et juger de ce qu’il fallait inscrire à l’actif. Les dépenses n’étaient pas toujours inscrites en temps utile ni conformément aux politiques de la GRC et du CT.

Il en résultait parfois des déclarations erronées dans les bilans financiers divisionnaires, sous Immobilisations en construction (IC), Immobilisations, Solde et FE.

Recommandation

Le dirigeant principal des finances et de l’administration (DPFA) doit veiller :

1. À ce que les lignes directrices comptables pour les logiciels soient complétées, et à ce que se donne de la formation;
2. À ce que soit élaboré et implanté un processus d’examen et de surveillance des inscriptions à l’actif dans le cadre des projets de TI.

Réponse de la direction/ Mesures prises

1. D’accord. Le DPFA veillera à ce que le Secteur du DPI et l’équipe de soutien financier reçoivent, pendant l’exercice 2009-2010, une formation et des conseils qui leur permettront de respecter les normes comptables du Conseil du Trésor sur les logiciels.
2. D’accord. Au cours de l’exercice 2009-2010, Gestion générale et contrôle (GGC) instaurera un mécanisme de surveillance pour vérifier que les inscriptions à l’actif dans le cadre des projets de TI se font toujours dans le respect des politiques.

Personne responsable : directeur de la Comptabilité générale.

6. Suivi – Conformité avec la politique du CT

Observation / Conséquences

En général, les pouvoirs financiers ont été exercés conformément aux politiques du CT et de la GRC sur la délégation du pouvoir décisionnel (DPD). Cependant, l’équipe de vérification a noté un non-respect des articles 32 (six factures sur 60) et 34 (neuf pièces de journal sur 21 et neuf factures sur 36) de la Loi sur la gestion des finances publiques (LGFP), ainsi que des politiques du CT et de la GRC sur la DPD et de la politique de la GRC sur les pièces de journal.

L’inobservation de l’article 32 de la LGFP ainsi que des politiques du CT et de la GRC sur la DPD pourrait mener à des engagements budgétaires et à des dépenses inconséquents, par exemple si les fonds nécessaires au respect des engagements n’étaient pas disponibles. L’inobservation de l’article 34 de la LGFP et des politiques du CT et de la GRC sur la DPD pourrait mener à des paiements non autorisés ou inexacts, à la déclaration erronée des coûts, du temps consacré et des efforts déployés, à des erreurs de codage dans le TEAM, à des paiements non autorisés, ou bien à la livraison des mauvais biens ou des mauvais services.

Recommandation

Le DPI doit voir :

1. À ce que les titulaires de budgets reçoivent une formation sur la délégation du pouvoir décisionnel en vertu des articles 32 et 34, et à ce que la conformité soit vérifiée régulièrement;
2. À ce que les fournisseurs de services déposent une facture et une fiche de présence signée distinctes pour chaque prestation de service;
3. À ce que soit instauré, en collaboration avec le DPFA, un mécanisme plus rigoureux pour vérifier que les dossiers de fournisseurs sont complets.

Le DPFA doit faire en sorte :

4. Que les principaux processus et procédures soient documentés, de façon à ce que les membres de l’Équipe de soutien financier comprennent bien leurs rôles et leurs responsabilités.

Réponse de la direction/ Mesures prises

1. D’accord. Les titulaires de budgets ont reçu une formation, et il y a un contrôle annuel depuis juin 2007. Personne responsable : directeur du Projet d’ITR.
2. D’accord. Depuis avril 2007, chaque projet fait l’objet d’une facture distincte. Personnes responsables : Équipe des finances de l’ITR et équipe de soutien de TPSGC.
3. D’accord. Depuis avril 2007, il existe un mécanisme rigoureux pour faire en sorte que les dossiers de fournisseurs contiennent le contrat, les autorisations de tâches et les fiches de présence. Personne responsable : directeur du projet d’ITR.
4. D’accord. Les rôles et les responsabilités de l’Équipe de soutien financier seront explicités sur papier au cours de l’exercice 2009-2010. Personne responsable : directeur de la Comptabilité générale.

Aperçu par objectif de vérification

Les tableaux des pages suivantes présentent les résultats de la vérification. Nous y donnons notre opinion du niveau de risque qui existe pour les différents critères de chaque objectif.

Les critères employés pour concevoir les tests étaient fondés sur les politiques, règles, règlements et lois pertinentes, ainsi que sur le CAG du SCT. Pour compléter celui-ci, l’équipe de vérification s’est servie des pratiques exemplaires du Project Management Institute Body of Knowledge (PMBOK), des Control Objectives for Information and Related Technology (COBIT) et de l’Institut de génie logiciel (IGL).

Le classement des risques (élevé, moyen, faible) est fonction du niveau potentiel de risque qui, selon nous, pourrait nuire à l’atteinte des objectifs de la GRC, et indique la priorité que devrait accorder la gestion aux recommandations.

La colonne « Évaluation » résume les constatations que nous avons faites lors de la vérification, selon les preuves factuelles recueillies et analysées. Quant à la section « Principales conclusions », elle résume tout ce qui a pu découler de nos évaluations : enjeux et thèmes à retenir, éventuelles causes et répercussions des problèmes relevés, recommandations, mesures prises par la direction.

Aperçu par objectif de vérification

Planification

Critère	Niveau de risque	Évaluation
Analyse de rentabilisation – Rédaction et approbation d’une analyse de rentabilisation conforme aux exigences du CT	F	Une analyse de rentabilisation datée du 4 juillet 2003, qui décrivait et justifiait le Projet d’ITR, a été approuvée. L’ébauche (datée du 1er septembre 2004) d’une analyse de rentabilisation pour l’obtention de l’APP contenait la plupart des éléments recommandés dans le CAG, mais la version finale n’a pas été approuvée. Un énoncé de projet résumant le contenu de l’ébauche a tout de même été joint à la présentation au CT (approuvée).
Charte de projet – Rédaction et approbation d’une charte de projet par les personnes compétentes	M	La Charte de projet a désigné et défini clairement le cadre de gestion ainsi que les rôles, responsabilités et activités des participants. Toutefois, la description des intervenants dans la charte de la phase 1 n’est pas adéquate. Le risque est d’autant plus grand pour que les responsables n’arrivent pas à reconnaître et à combler les besoins des intervenants.
Approbation du projet – Approbation du projet par l’EMS de la GRC et par le SCT	F	Le Projet d’ITR a reçu toutes les approbations requises du CT, ainsi que l’appui de l’EMS de la GRC. Les trois présentations au Conseil du Trésor (APP, ADP phase 1 et ADP phase 2) indiquent que le Projet d’ITR a été approuvé conformément à la politique du Conseil du Trésor sur la gestion des grands projets de l’État.
Structure du projet – Structure (bureau de projet, etc.) pour assurer la bonne marche du projet	M	Le projet possédait une structure visant à en assurer la bonne marche. La longueur des cycles de test a provoqué des retards.
Planification – Planification et approbation des activités de gestion entourant la définition des étapes du projet	É	Le calendrier, le budget et les produits livrables ont été bien écrits dans le plan de gestion de projet (PGP), à une exception. Le plan ne prévoyait aucune méthode normalisée pour estimer la taille et la complexité des logiciels, et rien n’indique l’existence de la moindre procédure ni de la moindre ligne directrice pour estimer la taille et la complexité des produits livrables, en particulier le serveur NIST. Le CAG exige que la taille et la complexité des produits livrables soient estimées selon les normes de l’industrie. Si la taille et la complexité des produits livrables sont mal évaluées, il y a de fortes chances que les ressources et le temps nécessaires à la conception et aux essais le soient aussi. Dans un examen effectué en 2006, un consultant indépendant a constaté qu’un retard s’était accumulé lors des essais, au point que tout le monde convenait qu’il serait impossible de respecter l’échéancier.
Planification – Tous les plans et processus techniques requis pour la GI/TI ont été rédigés et approuvés; et leur mise en œuvre a débuté	M	Sur les 27 plans que le CAG exige pour la GI/TI, le Projet d’ITR (phase 1) en a négligé: plan de ressources humaines (RH), estimation de la taille et de la complexité des logiciels (voir plus haut. Il existe bien un document sur les affectations, mais celui-ci ne suffit pas comme plan de RH, car il ne dit rien des délais ni du personnel nécessaire aux différents stades du projet. Nous constatons que le plus souvent, les besoins en ressources humaines étaient surtout déterminés au cas par cas, un bloc de tâches à la fois. Sans plan de RH, le Projet d’ITR risquait de ne pas avoir le personnel nécessaire au bon moment. Ceci a eu un impact sur respect des délais et la qualité du produit. L’absence des plans susmentionnés a retardé de plus d’un an et demi l’achèvement de la phase 1.

Suivi du projet

Critère	Risque	Évaluation
Comparaison des résultats avec les valeurs de référence – Collecte de toutes les données requises au suivi du projet et comparaison des résultats avec les valeurs de référence approuvées	É	Des valeurs estimatives de référence pour les produits livrables, pour l’échéancier et pour les finances figuraient dans les trois présentations au CT. En pratique, le travail nécessaire au Projet d’ITR a été divisé au moyen d’une structure de répartition du travail (SRT), et subdivisé en blocs de tâches (BT). La SRT est la structure en fonction de laquelle le temps, les ressources et le budget sont déterminés et surveillés tout au long du projet. Quant aux BT, ils permettent de reconnaître et d’autoriser toutes les tâches de l’équipe de projet. La SRT et les BT étaient censés être les principaux outils de gestion du Projet, mais ils ne permettaient pas de comparer les résultats aux valeurs de référence approuvées dans l’ADP (produits livrables, échéancier, financement), car ils ne faisaient aucune mention de ces valeurs. La difficulté de comparer les résultats aux valeurs de référence définies dans l’ADP de la phase 1 a présenté un risque pour la réalisation des objectifs. Il était difficile d’apercevoir les retards, jusqu’à ce qu’ils deviennent graves. Il y avait bien des mécanismes pour surveiller les résultats, mais ils ne se référaient pas au plan initial approuvé qui figure dans les présentations au CT. Il semble que le temps consacré et les efforts déployés aient été comparés avec les résultats obtenus, mais difficile de savoir si la charge de travail restante faisait l’objet d’estimations. Les BT ne contenaient de comparaisons en glissement annuel ni du temps et de l’effort pour les résultats obtenus ni de la charge de travail restante. Les déviations par rapport aux plans étaient le plus souvent justifiées, mais il n’y avait pas systématiquement de comparaison avec le plan initial approuvé. Sans pouvoir comparer les résultats aux valeurs de référence initiales, il était difficile de savoir où le projet en était, et ce qu’il restait à accomplir. Le Projet d’ITR risque de ne pas respecter l’échéancier, le budget et la liste de produits livrables approuvés à la suite des présentations au CT. Nous constatons qu’il y a eu des tentatives de savoir si le projet avait porté ses fruits, mais seulement dans une mesure limitée. L’équipe de projet a opté pour la gestion par analyse de résultats, mais le plan pour la phase 1 n’était pas encore prêt alors même que la phase 1 s’achevait.
Le rapprochement du budget avec les dépenses réelles et avec les prévisions se fait régulièrement. Il est étayé et déclaré.	É	Dans le TEAM, le cumul annuel (CA) des dépenses a été comparé avec le financement approuvé par niveau de référence – crédit 65 pour les dépenses de fonctionnement et crédit 70 pour les dépenses en capital – tel que celui-ci figure dans la présentation au CT pour l’ADP de la phase 1. Dans le SIGF, il y a eu un suivi des dépenses par SRT et par BT. Le financement approuvé dans les ADP n’avait pas été calculé à partir de ces SCT et BT, mais en fonction des coûts et des produits livrables des deux phases. Les produits livrables étaient les vraies valeurs de référence, parce qu’ils avaient reçu l’approbation définitive du CT – leurs coûts et leurs échéanciers de même. L’impossibilité de comparer les coûts réels aux dépenses approuvées par le CT risque de mener à une évaluation inexacte de la situation financière et de l’état des produits livrables approuvés. Par conséquent, elle nuit à la gestion financière du projet. Au début, lorsque les dépenses de l’ITR étaient inférieures au budget et l’ITR respectait presque parfaitement le calendrier, les conséquences étaient minimes. Or, après ceci, ce n’ était plus le cas. Plus le retard par rapport à l’ADP s’accumulera, plus les conséquences s’aggraveront.
Le suivi effectué par le Bureau de projet (BP) correspond aux données dans le TEAM	M	Le rapprochement des données financières du TEAM avec celles du SIGF se faisait régulièrement, mais selon un processus qui n’a été décrit nulle part. L’absence de documentation sur la procédure risque de nuire à la bonne gestion du projet et d’exercer des pressions sur les ressources financières de l’organisation advenant un grand roulement de personnel. La création et la tenue de systèmes, de bases de données et de processus financiers essentiels et complexes ont été le fait d’un agent contractuel unique. La GRC n’a fait aucune planification de la relève. L’absence de planification de la relève, de même que la dépendance envers une seule personne pour le développement et la tenue du SIGF, présente un risque très significatif pour la gestion et l’intégrité financière du projet.
Le Projet d’ITR est conforme à la politique de la GRC sur la capitalisation	É	Étant donné l’absence d’une ligne directrice comptable de la GRC pour les logiciels et le fait que la Sous-direction de l’actif et de l’approvisionnement ne donne pratiquement pas de formation et ne fait pratiquement pas d’examens ni de surveillance, l’équipe de gestion financière de l’ITR devait se fier à son jugement professionnel pour déterminer ce qui, selon les normes et politiques de la GRC et du Conseil du Trésor, devrait être inscrit à l’actif. Il est donc probable que les valeurs dans la section Immobilisations en construction (IC) des bilans financiers divisionnaires soient surévaluées et la dépréciation des immobilisations et des autres dépenses de fonctionnement et d’entretien (FE), sous-évaluée. Les dépenses liées au projet n’ont pas toujours été inscrites en temps utile. La politique de la GRC exige l’inscription immédiate de toutes les dépenses de projet, sauf des salaires, qui peuvent être inscrits mensuellement. Par conséquent, les dépenses de FE sont surévaluées, et il est possible que certains fonds qui auraient pu servir à des dépenses opérationnelles aient été inscrits comme non existants. Le coût des avantages sociaux des employés travaillant directement sur le Projet d’ITR n’a pas été inscrit conformément à la Norme comptable 3.1.1- logiciels du CT. C’est pourquoi les coûts du Projet d’ITR ont paru plus bas qu’ils ne l’étaient. Au cours de l’exercice, les titulaires de budgets et les gestionnaires se servent des bilans financiers des divisions pour prendre des décisions et rendre des comptes. Si les bilans contiennent des erreurs, les décisions et les rapports risquent de s’en ressentir. En outre, les règles de la comptabilité d’exercice exigent elles aussi la capitalisation immédiate.
Les pouvoirs financiers définis dans la charte de projet sont appliqués en conformité avec la politique du CT	É	En général, les pouvoirs financiers étaient appliqués en conformité avec les politiques du CT et de la GRC sur la délégation du pouvoir décisionnel (DPD). Toutefois, nous avons décelé les sources de non-conformité suivantes : Article 32 de la LGFP : Nous avons examiné 60 transactions choisies au hasard. Nous avons constaté que pour six d’entre elles, qui se rapportaient à trois fournisseurs différents, la documentation manquait dans les dossiers d’approvisionnement de la DG. Nous avons ensuite examiné les dossiers d’approvisionnement de Travaux publics et Services gouvernementaux Canada. Il n’y avait rien à signaler de ce côté. Le non-respect de l’article 32 de la LGFP pourrait mener à des engagements et à des dépenses budgétaires inadéquats, à la non-disponibilité des fonds nécessaires pour remplir les engagements et à de mauvaises décisions financières de la part des titulaires de budgets. Article 34 de la LGFP : Nous avons examiné 21 pièces de journal (PJ) choisies au hasard. Nous avons constaté que neuf d’entre elles n’avaient pas reçu l’autorisation du gestionnaire, et que cinq n’étaient pas accompagnées de pièces justificatives. Ce sont autant d’infractions à l’article 34 de la LGFP. Nous avons examiné 36 factures (choisies au hasard) avec fiches de présence à l’appui. Nous avons constaté qu’il manquait des renseignements importants sur la prestation des services dans neuf d’entre elles, et que le temps consacré et les efforts déployés étaient mal estimés dans six d’entre elles. Les pratiques de facturation de certains fournisseurs ne respectaient pas les clauses du contrat sur les paiements. La personne chargée d’autoriser le paiement (par signature) en vertu de l’article 34 n’en savait pas assez pour prendre une décision éclairée. De plus, le paiement de quatre factures a été autorisé par des gens qui n’avaient pas le droit d’agir au nom du centre de coûts de l’ITR. Le non-respect de l’article 34 pourrait mener à des paiements inexacts et non autorisés, à des erreurs dans la déclaration des coûts de projet et des estimations de temps et d’efforts, à des erreurs dans l’encodage TEAM, ou bien à la livraison des mauvais biens ou des mauvais services.
Les données dans le TEAM sont exactes et complètes, et elles sont saisies en temps utile	M	En général, les données dans le TEAM étaient exactes, complètes et saisies en temps utile. Nous avons toutefois remarqué des exceptions : La comptabilisation des salaires et des coûts indirects se faisait de façon subjective et avec trop peu de pièces justificatives. Il en résultait des données financières incomplètes dans ces deux secteurs. Plus précisément, il y a risque de surévaluation ou de sous-évaluation des coûts du projet, donc de non-conformité avec les présentations au CT.
Communication – Conception et mise en oeuvre d’une stratégie de communication	F	Une stratégie de communication a été conçue et mise en œuvre. Elle porte sur la communication des résultats et des progrès aux intervenants extérieurs au bureau de Projet de l’ITR. Ces derniers ont été informés régulièrement et en temps utile.