Agence des services frontaliers du Canada
Symbole du gouvernement du Canada
Passer au contenu | Passer aux liens institutionnels

Liens de la barre de menu commune

Accueil > À propos de l'ASFC > Documents sur l'Agence > Rapports de la vérification interne et de l'évaluation

Liens institutionnels

Rapport de vérification interne des systèmes de TI en développement - Phase 3
Cotation des risques fondée sur l'Information préalable sur les voyageurs/Dossier du passager

Octobre 2007

Table des matières

Sommaire

La vérification des systèmes en développement de l'Agence des services frontaliers du Canada (ASFC) a été jugée prioritaire dans le Plan de vérification pluriannuel axé sur les risques de l'ASFC. Le Comité de la vérification interne et de l'évaluation a approuvé ce plan le 17 mars 2005.

Le principal objectif de cette vérification consistait à donner à l'ASFC l'assurance que ses pratiques et procédures intégrées de gestion de projets et d'élaboration de systèmes visant les systèmes opérationnels automatisés en développement respectent les politiques et procédures internes établies par l'ASFC. Un autre objectif dans le cadre de cette vérification consistait à chercher des occasions d'apporter des améliorations aux politiques et aux procédures internes actuelles de l'ASFC au chapitre de la gestion de ses systèmes en développement.

La vérification a été divisée en trois phases. La phase 1, ayant fait l'objet d'un rapport en février 2007, a permis de présenter une évaluation de la pertinence et de l'efficacité du cadre de contrôle de gestion actuel de l'ASFC. Les phases 2 et 3 permettent d'évaluer dans quelle mesure le cadre de contrôle de l'ASFC touchant les projets d'élaboration de systèmes est respecté comme il convient, c'est-à-dire de façon efficace et appropriée, pour les deux projets d'élaboration de systèmes sélectionnés. Le présent rapport présente les constatations de la phase 3 de la vérification, laquelle avait pour objet d'examiner le cadre de gestion touchant le développement d'un projet d'élaboration d'un système sélectionné : la cotation des risques fondée sur l'Information préalable sur les voyageurs/Dossier du passager (IPV/DP). La vérification a été effectuée par Interis Conseils.

La cotation des risques fondée sur l'IPV/DP est un élément du système d'information sur les voyageurs. Il s'agit d'un projet pluriannuel de plusieurs millions de dollars lancé dans le cadre de la Déclaration sur la frontière intelligente visant à améliorer le traitement des passagers aériens. Le but recherché dans le cadre de l'IPV/DP consiste à fournir à l'ASFC des processus et des outils de gestion des risques plus efficaces de sorte qu'elle puisse évaluer les risques que présentent des voyageurs aériens (en particulier ceux qui présentent un risque élevé ou inconnu) avant leur arrivée dans un aéroport international canadien. Les travaux préparatoires sur l'IPV/DP ont débuté avant la création de l'Agence, en tant qu'initiative amorcée conjointement par l'ancienne Agence des douanes et du revenu du Canada (Direction générale des douanes), Citoyenneté et Immigration Canada et le U.S. Customs and Border Protection (CBP). La vérification a permis de traiter les composantes de la cotation des risques et du partage des données mis en œuvre en juin 2006.

Constatations de la vérification

Les travaux de vérification exécutés lors de la phase 3 nous ont permis de constater que le projet de cotation des risques fondée sur l'IPV/DP a été élaboré conformément aux politiques, procédures et méthodes de l'ASFC en œuvre à l'époque, et que l'application fonctionne comme prévu. De nombreuses observations à la phase 1 de la vérification ont été faites à l'appui des travaux de vérification exécutés à la phase 3. En outre, la vérification nous a permis de constater que, depuis le moment où le projet de cotation des risques fondée sur l'IPV/DP a été élaboré, nombre de nouveaux processus et pratiques de régie ont été développés et mis en œuvre dans le cadre de projets plus récents.

La vérification nous a permis de constater un certain nombre de points forts touchant le processus d'élaboration du projet de cotation des risques fondée sur l'IPV/DP, notamment un cadre de régie stable et l'utilisation d'une stratégie judicieuse d'élaboration des systèmes. Étant donné que le projet de cotation des risques fondée sur l'IPV/DP est un programme d'élaboration développé conjointement avec le U.S. CBP, le cadre et la structure de régie, les besoins communs des utilisateurs, de même que le protocole d'entente ont été établis en bonne et due forme et approuvés par les représentants principaux du U.S. CBP et de l'ASFC. Une évaluation des facteurs relatifs à la vie privée a été réalisée et transmise au Commissariat à la protection de la vie privée du Canada. Des recommandations touchant des préoccupations relatives à la vie privée ont été mises en œuvre. La stratégie d'élaboration de systèmes comprend les activités suivantes, lesquelles devraient faire partie de tout projet d'élaboration de systèmes :

  • Le caractère réalisable et la viabilité de la solution ont fait l'objet d'une évaluation.
  • Les besoins des utilisateurs ont été définis avec la participation d'intervenants.
  • Des essais ont été effectués de façon appropriée.
  • La mise en œuvre de la cotation des risques fondée sur l'IPV/DP a été bien gérée.

Même si de nombreuses constatations dans le cadre de la vérification de la cotation des risques fondée sur l'IPV/DP sont les mêmes que celles signalées dans le rapport de vérification de la phase 1, d'autres secteurs de contrôle ont été indiqués à la phase 3, lesquels pourraient être renforcés au niveau du projet, notamment :

  • Régie -- L'autorité, la responsabilité et la responsabilisation dans le cadre de ce projet ont été précisées dans une charte de projet et une structure de régie du projet. Néanmoins, l'engagement des responsables n'a pas été clairement compris, assuré ou documenté au début du projet.
  • Avantage pour les activités -- D'importants avantages pour les activités du projet ont été précisés et bien compris. Le détail des avantages pour les opérations et des résultats n'a pas été clairement précisé de façon à nous permettre d'évaluer intégralement les résultats obtenus.
  • Cadre de gestion de projets -- Deux observations de vérification importantes ont été faites, à savoir :
    • Le processus de planification et d'établissement d'un échéancier n'a pas été suffisamment intégré à l'ensemble des directions de la Direction générale de l'innovation, des sciences et de la technologie (DGIST) de sorte que les interdépendances et les dates importantes soient clairement comprises et planifiées afin de respecter les dates des versions et d'améliorer l'efficience.
    • Le processus de gestion du changement n'a pas été entièrement précisé et communiqué aux responsables, notamment les attentes et les pouvoirs d'approbation.
  • Évaluation de la sécurité -- Les exigences en matière de sécurité ont été prises en considération pour ce qui touche le programme plus général relatif à l'IPV/DP; toutefois, au moment de l'élaboration du système, le groupe chargé de la sécurité de la TI à la DGIST était en train de se former, et la vérification n'a pas été en mesure d'établir qui, à l'Agence, avait participé à l'évaluation, l'examen et l'approbation des exigences en matière de sécurité.

Réponse de la direction

La direction a examiné attentivement le présent rapport. Par suite de cet examen, elle a fourni les plans d'action de la direction afin de traiter des recommandations découlant de la vérification et de respecter les dates d'achèvement prévues pour la mise en œuvre des mesures.
Retourner au haut de la page

1. Introduction

1.1 Contexte

La vérification des systèmes de l'Agence des services frontaliers du Canada (ASFC) en développement a été jugée prioritaire dans le Plan de vérification pluriannuel axé sur les risques de l'ASFC. Le Comité de la vérification interne et de l'évaluation a approuvé ce plan le 17 mars 2005.

Retourner au haut de la page

1.2 Objectifs et étendue

Le principal objectif de cette vérification consistait à donner à l'ASFC l'assurance que ses pratiques et procédures intégrées de gestion de projets et d'élaboration de systèmes visant les systèmes opérationnels automatisés en développement respectent les politiques et procédures internes établies par l'ASFC. Un autre objectif dans le cadre de cette vérification consistait à chercher des occasions d'apporter des améliorations aux politiques et aux procédures internes actuelles de l'ASFC au chapitre de la gestion de ses systèmes en développement.

En vue de réaliser ces objectifs, le plan de vérification interne a été divisé en trois phases.

  • Phase 1 -- Examen du cadre de contrôle de gestion (CCG) de l'ASFC touchant l'élaboration de systèmes opérationnels automatisés
  • Phase 2 -- Vérification d'un projet choisi de système en développement
  • Phase 3 -- Vérification d'un second projet choisi de système en développement

Le résultat attendu de la vérification pour la phase 1 consistait à :

  • Présenter une évaluation de la pertinence et de l'efficacité du CCG actuel de l'ASFC.
  • Sélectionner deux projets actuels d'élaboration de systèmes à l'ASFC afin d'effectuer un examen de vérification plus précis sur la façon dont les processus actuels de contrôle et de régie sont mis en application. Les deux systèmes en développement suivants ont été sélectionnés :
    • Phase 2 -- Déclaration de l'information préalable sur les expéditions commerciales/échange de données informatisé dans le mode aérien
    • Phase 3 -- Cotation des risques fondée sur l'Information préalable sur les voyageurs/Dossier du passager (IPV/DP)

Le résultat attendu de la vérification pour les phases 2 et 3 consistait à :

  • Évaluer dans quelle mesure les politiques, les procédures et les méthodes de l'ASFC touchant des projets d'élaboration de systèmes sont appliquées de façon efficace et appropriée dans le cadre des deux projets d'élaboration de systèmes sélectionnés.
  • Faire des recommandations visant à apporter des améliorations aux politiques et aux procédures de l'ASFC touchant les futurs projets d'élaboration de systèmes.

L'étendue de cette vérification consistait à évaluer la phase II de l'élaboration du projet de cotation des risques fondée sur l'IPV/DP et non l'efficacité de l'application en soi. Étant donné la stratégie à étapes multiples, adoptée dans le cadre du programme lié à l'IPV/DP, la plupart des travaux touchant la planification et la détermination de l'étendue, de même que l'établissement des exigences touchant la totalité du programme (y compris la phase II sur la cotation des risques) ont été achevés à la phase I. L'étendue de la vérification comprenait la totalité de l'activité d'élaboration ayant une incidence sur la phase II du projet de cotation des risques sans tenir compte de la phase où elle avait été pratiquée.

1.3 Critères de vérification

Les critères de vérification ont été élaborés en fonction d'éléments de risque inhérents à des projets d'élaboration de systèmes, de même que des tendances dans le secteur public au chapitre de la régie efficace des cycles de vie de projets d'élaboration de systèmes. Un ensemble détaillé de critères a été établi en tenant compte des principaux éléments pouvant avoir une incidence importante sur des projets d'élaboration de systèmes au gouvernement du Canada (GC) : structure et processus de gestion, politiques et normes touchant les cycles de vie de projets d'élaboration de systèmes, de même que la planification, les processus et les procédures d'acquisition. Des critères de vérification détaillés ont été utilisés pour évaluer les pratiques de l'ASFC.

Au cours de la planification initiale de la vérification, nous avons constaté que les projets d'élaboration de systèmes opérationnels à l'ASFC étaient essentiellement exposés à des risques étant donné les circonstances suivantes :

  • L'ASFC avait entrepris une réorganisation importante.
  • L'ASFC avait dû adopter et adapter des processus d'élaboration de systèmes différents, y compris des infrastructures de la TI distinctes, établis dans les ministères précédents (en particulier l'ancienne Agence des douanes et du revenu du Canada et Citoyenneté et Immigration Canada).
  • L'ASFC éprouve des difficultés touchant les délais d'exécution serrés imposés par des tiers à l'extérieur de l'Agence.

Les principaux secteurs de contrôle visant à atténuer les risques inhérents ont été déterminés à l'aide du Cadre amélioré de gestion du Secrétariat du Conseil du Trésor du Canada (SCT) et du Cadre des objectifs de contrôle dans le domaine de l'information et des technologies connexes (CobiT) de l'IT Governance Institute. Les critères de vérification ayant servi à évaluer initialement l'ensemble des pratiques opérationnelles de l'ASFC, ses processus de contrôle et de régie généraux touchant ses projets de systèmes en développement ont été répartis en six catégories, soit :

  • Régie
  • Avantage pour l'organisation
  • Besoins des utilisateurs
  • Gestion du projet
  • Solution technique
  • Transformation des activités

Les critères de vérification figurent à l'Annexe A.

Retourner au haut de la page

1.4 Stratégie et méthodes

La stratégie et les méthodes étaient axées sur les risques et conformes aux politiques de vérification interne du SCT. La vérification a été effectuée conformément à un programme de vérification, lequel précisait les tâches de vérification permettant d'évaluer chaque critère. Des entrevues et l'examen de documents nous ont permis d'évaluer les pratiques actuelles en fonction des critères et d'évaluer formellement l'efficacité de chaque pratique.

Des entrevues ont été menées avec des représentants des directions générales de l'innovation, des sciences et de la technologie, de l'exécution de la loi, du contrôle et des opérations.

La vérification sur place a été effectuée entre juillet et octobre 2006 pour ce qui est de la phase 3.

Retourner au haut de la page

1.5 Résultats de la Phase 1

Les résultats de la vérification de la phase 1 ont fait l'objet d'un rapport en février 2007. Un certain nombre de points forts ont été constatés à l'égard des contrôles sur des systèmes en développement, lesquels peuvent servir d'assise à la conception d'un CCG stable, notamment une structure de régie et un cadre de gestion de projets. En raison de la réorganisation qui avait été opérée depuis peu à l'Agence, de nombreux processus étaient encore à l'étape initiale de leur élaboration et ils n'avaient pas encore fait leur preuve. De nouveaux comités étaient en cours de formation, les rôles et les responsabilités étaient en voie d'être précisés et des éléments à réaliser en particulier étaient en voie d'être dégagés. Ces activités nous indiquent que l'Agence fait des progrès au chapitre du contrôle de ses systèmes en développement.

Les grands secteurs de contrôle devant être consolidés ont été soulignés dans le rapport de vérification de la phase 1, à savoir :

  • Cadre de gestion des projets -- Ce cadre n'avait pas été entièrement précisé et ne comprenait pas des processus comme les suivants :
    • Jalons d'approbation, soit l'établissement de jalons prédéterminés de sorte que la direction puisse formellement évaluer la concrétisation continue des avantages et à décider d'aller de l'avant ou de ne pas aller de l'avant.
    • Rapport sur l'état d'avancement du projet touchant le suivi des coûts du projet par rapport au budget.
    • Processus visant à regrouper les échéanciers de chaque projet dans un calendrier principal.
  • Classement des projets par ordre de priorité -- Le processus visant à remanier, en cours d'exercice, les priorités et les ressources du portefeuille de projets lorsque de nouvelles initiatives sont établies, était inadéquat étant donné les capacités restreintes de l'Agence. Le classement des projets par ordre de priorité continu de poser un défi particulier à l'ASFC. L'Agence ne contrôle pas pleinement ses priorités; elle ne peut donc pas supprimer ou modifier ses priorités actuelles en raison des influences et des pressions provenant de l'extérieur.
  • Participation de l'utilisateur final -- La participation de l'utilisateur final à l'égard du processus d'élaboration de systèmes n'était pas toujours effective, en particulier en ce qui concerne l'acceptation de la conception fonctionnelle, la mise à l'essai définitive et les approbations du système avant sa mise en service, de même que l'examen en bonne et due forme et l'acceptation des modifications de l'étendue.

La direction a examiné la phase 1 du rapport de vérification et a établi des plans d'action de la direction de façon à traiter des recommandations de la vérification et la date prévue de mise en œuvre de chaque mesure.

Retourner au haut de la page

1.6 Objet

L'objet de ce document consiste à présenter les constatations de la phase 3 de la vérification.

Retourner au haut de la page

2. Vue d'ensemble de la cotation des risques fondée sur l'IPV/DP

Dans la foulée des attaques terroristes du 11 septembre 2001, le Canada et les États-Unis ont signé en décembre 2001 la Déclaration sur la frontière intelligente, également connue sous le titre de « Plan d'action Manley-Ridge en 30 points ». La Déclaration sur la frontière intelligente compte un plan d'action en 32 points, lequel prévoit une collaboration continue permettant de déterminer les risques relatifs à la sécurité et d'y donner suite, tout en accélérant de façon efficiente la circulation des personnes et des marchandises légitimes à la frontière canado-américaine. Le U.S. Customs and Border Protection (CBP) était le principal responsable de 11 des 32 éléments liés aux initiatives du plan d'action. De son côté, l'ASFC était chargée d'élaborer au Canada un programme parallèle relatif à l'IPV/DP correspondant à celui élaboré aux États-Unis.

Dans le cadre de la Déclaration sur la frontière intelligente, le Canada et les États-Unis ont exprimé leur volonté d'utiliser une technologie novatrice permettant d'identifier plus efficacement les personnes présentant un risque élevé (Initiative d'identification des voyageurs à risque élevé). En exprimant cette volonté, les deux pays ont convenu de partager les données touchant l'IPV et le DP, et d'envisager des moyens de déterminer les risques que présentent des voyageurs à bord de vols internationaux à destination de l'un de ces deux pays. L'initiative, dont la gestion incombait à l'ancienne Agence des douanes et du revenu du Canada (Direction générale des douanes), à Citoyenneté et Immigration Canada et au U.S. CBP, comprenait deux parties, à savoir :

  • Le partage des avis de surveillance a été mis en œuvre en deux étapes. Le transfert en bloc des avis de surveillance provenant des États-Unis a été mis en œuvre le 29 juin 2004 et l'échange automatisé d'avis de surveillance entre le Canada et les États-Unis a été mis en œuvre le 17 mai 2005.
  • La cotation des risques fondée sur l'IPV/DP et le partage des données a été mis en œuvre en juin 2006.

La présente vérification consistait à examiner le projet d'élaboration de systèmes visant la deuxième partie de l'initiative, soit la cotation des risques fondée sur l'IPV/DP.

L'IPV/DP a été l'une des plus importantes priorités dans le cadre de l'engagement de l'ASFC et du GC concernant la protection de la frontière. Bien qu'il ait été conçu avant les événements du 11 septembre 2001, le projet de cotation des risques fondée sur l'IPV/DP est devenu une priorité pour le GC par suite de ces événements.

Le but recherché dans le cadre de l'IPV/DP consiste à fournir à l'ASFC des processus et des outils de gestion des risques plus efficaces de sorte qu'elle puisse évaluer les risques que présentent des voyageurs aériens (en particulier ceux qui présentent un risque élevé ou inconnu) avant leur arrivée dans un aéroport international canadien. Cette initiative permet aux agents de l'ASFC de recevoir des données sur les voyageurs aériens avant leur arrivée au Canada. Les transporteurs aériens transmettent les données sur le DP (en format électronique) pour chaque vol à destination du Canada à l'heure du départ ou des États-Unis en moins d'une demi-heure du départ du vol. L'IPV et d'autres données pertinentes permettent aux agents d'analyser l'information. En outre, les agents peuvent identifier les voyageurs aériens à risque à l'aide d'un outil automatisé de ciblage et d'évaluation des risques de sorte qu'ils soient l'objet d'un examen approfondi à leur arrivée au Canada.

L'IPV/DP est un élément du système d'information sur les voyageurs. Il s'agit d'un projet pluriannuel de plusieurs millions de dollars lancé dans le cadre de la Déclaration sur la frontière intelligente visant à améliorer la circulation des passagers aériens en prenant les mesures en vue de la réception et de l'analyse des renseignements sur les voyageurs avant leur arrivée au Canada.

Le système relatif à l'IPV/DP a été élaboré en même temps que celui du U.S. CBP. Ce système s'inspirait d'un document portant sur les exigences communes, lesquelles devaient être mises en œuvre et suivies par chacun des organismes des services frontaliers canadiens et américains.

Au moment où la cotation des risques fondée sur l'IPV/DP a été élaborée, la structure organisationnelle de l'ASFC et de la Direction générale de l'innovation, des sciences et de la technologie (DGIST) [ 1 ] était la suivante :

ASFC / Innovation, Sciences et Technologie - Structure organisationnelle

la structure organisationnelle de l'ASFC et de la DGIST

Selon cette structure, un gestionnaire de projet de la Direction de la conception et de l'élaboration de projets importants (CEPI) et un gestionnaire de projets de la TI des Systèmes des services frontaliers assuraient la gestion du projet de cotation des risques fondée sur l'IPV/DP dont la responsabilité incombait à la Direction générale de l'exécution de la loi. En outre, il s'est produit des changements au chapitre de l'effectif de l'équipe de la DGIST dans les Directions générales.

L'Agence et la DGIST ont été soumises à de nombreuses pressions durant la période d'élaboration du projet de cotation des risques fondée sur l'IPV/DP. Les activités de l'Agence dépendent en grande partie des systèmes et techniques d'information, lesquels sont élaborés, mis en œuvre et administrés par la DGIST. L'étendue d'une activité d'élaboration de systèmes à l'ASFC est importante; les dépenses annuelles en matière d'élaboration et de maintenance des systèmes, d'infrastructure et de technologie connexes devraient être de l'ordre de 150 à 250 millions de dollars au cours des prochaines années. Par suite des attentats terroristes de septembre 2001, le GC a amorcé un nombre considérable d'initiatives liées à la sécurité dans le cadre de l'initiative de la sécurité publique et l'antiterrorisme (SPAT) et de la Déclaration sur la frontière intelligente afin de prendre en compte les préoccupations accrues concernant la sécurité en Amérique du Nord, ce qui a donné lieu à une élaboration accélérée d'initiatives. Cela a eu pour effet d'exercer une pression sur un certain nombre de projet d'élaboration de systèmes, notamment le projet de cotation des risques fondée sur l'IPV/DP.

Le financement du programme relatif à l'IPV/DP a été assuré grâce à l'enveloppe de financement du projet Manley-Ridge. Même si un budget n'avait pas été officiellement établi pour le projet de cotation des risques fondée sur l'IPV/DP, la Direction de la planification stratégique et de l'intégration avait évalué que les coûts d'élaboration se seraient élevés à environ 4,87 millions de dollars [ 2 ]. Cette estimation de coûts comprend toutes les dépenses de l'ASFC liées à l'élaboration du projet de cotation des risques fondée sur l'IPV/DP et au partage des données pour la période allant des exercices 2003-2004 à 2006-2007.

La phase II du projet touchant la cotation des risques fondée sur l'IPV/DP a été mise en œuvre en juin 2006. Le Centre national d'évaluation des risques (CNER), son principal utilisateur, se sert activement du système. Le CNER émet des avis de surveillance dans les points d'entrée tant au Canada qu'aux États-Unis qui facilitent le partage d'information et de renseignements entre les partenaires pour l'identification des voyageurs à risque élevé avant leur arrivée à la frontière. Le perfectionnement de l'IPV/DP visera la conception d'interfaces permettant de consolider le processus d'échange de données de l'immigration et la fonction d'analyse des données.

Retourner au haut de la page

3. Constatations de la vérification

Les travaux de vérification exécutés à la phase 3 nous ont permis de constater que la cotation des risques fondée sur l'IPV/DP a été élaborée conformément aux politiques, procédures et méthodes de l'ASFC en œuvre à l'époque, et que l'application fonctionne comme prévu. Néanmoins, il est possible de consolider les processus d'élaboration de systèmes utilisés dans le cadre de la cotation des risques fondée sur l'IPV/DP afin de doter les futurs projets d'élaboration de systèmes de processus appropriés de régie, de gestion des risques et de contrôle.

Nombre de nouveaux processus et pratiques de régie ont été développés et mis en œuvre dans le cadre de projets plus récents depuis le moment où la phase II du projet de cotation des risques fondée sur l'IPV/DP a été élaboré. En outre, nombre des observations faites à la phase 1 de la vérification ont servi de base à la présente vérification de la phase 3. Selon des plans d'action de la direction élaborés par suite des recommandations formulées à la phase 1 de la vérification, un grand nombre de secteurs de vérification devant être renforcés ont été examinés récemment ou sont en voie de l'être.

Le détail des constatations de la vérification est décrit ci-après.

3.1 Élaboration d'une solution technique

Une stratégie judicieuse d'élaboration de systèmes a été suivie.

La vérification nous a permis de constater que la méthodologie dans le développement des systèmes de l'ASFC a été employée à toutes les phases du projet de cotation des risques fondée sur l'IPV/DP. Les principales activités suivantes ont été déployées :

  • La faisabilté et la viabilité de la solution ont fait l'objet d'une évaluation.
  • Les besoins des utilisateurs ont été définis avec la participation d'intervenants, notamment le U.S. CBP.
  • Des essais ont été effectués de façon appropriée.

Le projet de cotation des risques fondée sur l'IPV/DP a été élaboré au moyen de la méthodologie reconnue dans l'industrie, soit le Processus rationnel unifié (PRU). Il s'agit d'un processus itératif permettant d'exécuter la conception et la version définitive [ 3 ]. La vérification a permis d'examiner divers documents établissant d'excellentes pratiques d'élaboration touchant la solution technique, comme il est prévu dans le cadre de tout processus d'élaboration de systèmes. La conception du système a été décrite dans un document sur l'étendue du projet, un document sur le processus relatif à l'étape de lancement et un document sur les exigences organisationnelles de haut niveau. Les besoins des utilisateurs ont été clairement décrits et étayés de documents dans des cas d'utilisation opérationnelle. Les besoins ont ensuite été indiqués dans un document sur la conception des composants du système et des cas d'utilisation de système à l'intention des développeurs. Nombre de documents préparés pour l'IPV/DP ont été élaborés au moyen de modèles, lesquels ont été remplacés depuis par de nouveaux modèles; toutefois, les principaux objectifs des documents demeurent les mêmes. Des personnes clés de la DGIST ont participé à la conception initiale et aux étapes d'élaboration. Le groupe d'architecture d'entreprise a collaboré avec le groupe d'architecture des opérations à la Direction de la CEPI en vue de définir les besoins et d'examiner la faisabilité de la solution technique.

Les besoins des utilisateurs ont été définis grâce à la participation des principaux intervenants, notamment le U.S. CBP. La Direction de la CEPI a assumé un grand rôle au chapitre de la détermination des principaux besoins et priorités. Or, des séances conjointes d'élaboration et d'application ont été tenues avec des représentants de la Direction générale de l'exécution de la loi et du U.S. CBP en vue de rédiger des cas d'utilisation opérationnelle. Le Secteur du renseignement et du programme de la contrebande de la Direction générale de l'exécution de la loi a fourni l'orientation fonctionnelle et l'expertise en la matière aux fins du projet de cotation des risques fondée sur l'IPV/DP. La vérification nous a permis de constater que les besoins opérationnels sont mieux définis en grande partie grâce à des communications par courriel et à la mise à jour des documents relatifs au projet. Afin d'apporter des améliorations au processus de définition des besoins des utilisateurs, la DGIST s'est dotée « d'architectes de convivialité » qui examinent l'interface et la façon dont les utilisateurs se servent du système. Les besoins des utilisateurs peuvent alors être mieux définis de sorte que le système leur soit plus fonctionnel.

La mise à l'essai de la cotation des risques fondée sur l'IPV/DP a été effectuée dans un certain nombre d'environnements d'essai avant la mise en œuvre. Des essais de mise au point ont été effectués par le groupe de la TI et comprenaient des essais sur l'intégrité des données et des bases de données, sur des fonctions, sur le cycle des activités et sur l'interface-utilisateur. Des cas types ont été décrits, des échéanciers ont été établis, des ressources ont été affectées et les résultats des essais ont été documentés et résumés. Une fois les essais de mise au point accomplis, la Direction de la CEPI a fait des essais d'intégration des systèmes, des essais d'acceptation par l'utilisateur (client) et des essais opérationnels. Des personnes à l'extérieur de la Direction de la CEPI, notamment celles du CNER, avaient été invitées à participer aux essais d'acceptation en question.

En règle générale, une fois l'élaboration et la mise en œuvre menées à bonne fin, l'application des systèmes est passée du groupe de l'élaboration à celui de la production, et transférée au groupe d'Exploitation des systèmes à la Direction de la CEPI pour un appui continu. Le transfert fait l'objet d'un contrôle efficace grâce à des procédures de gestion des versions. Au moment de la vérification, le projet de cotation des risques fondée sur l'IPV/DP n'avait pas encore été transféré à l'Exploitation des systèmes. Il s'agit d'une pratique courante à la DGIST de garder un projet d'élaboration de systèmes sous le contrôle du groupe d'élaboration pendant à peu près un an après la mise en œuvre de façon à vérifier s'il y a des problèmes opérationnels initiaux avant le transfert au groupe d'Exploitation des systèmes.

Retourner au haut de la page

3.2 Transformation des opérations

La mise en œuvre de la cotation des risques fondée sur l'IPV/DP a été bien dirigée.

Des plans de mise en œuvre ont été élaborés et gérés par la Direction de la CEPI, en collaboration avec le CNER, de sorte que des utilisateurs internes, principalement le CNER, et des transporteurs aériens externes reçoivent le soutien dont ils avaient besoin. Des processus ont été mis en place et des ressources ont été affectées en vue de consigner et de faire le suivi des questions sur les systèmes et les problèmes particuliers à l'IPV/DP. Les utilisateurs finaux ont reçu une formation sur l'utilisation de la cotation des risques fondée sur l'IPV/DP selon des documents de formation officiels préparés au cours de l'élaboration du processus. La formation et la tenue à jour des documents de formation incombent au CNER en tant que principal utilisateur du système de cotation des risques fondée sur l'IPV/DP.

Les transporteurs aériens avaient l'obligation légale de fournir des éléments de données particuliers, définis conjointement par l'ASFC et le U.S. CBP. Ces éléments de données ont été examinés par le Commissariat à la protection de la vie privée du Canada et par l'Union européenne de sorte que la législation tant canadienne qu'européenne soit respectée. Des communications avec la communauté de transporteurs aériens externes ont été maintenues pendant toute la durée du processus d'élaboration visant la composante de saisie de données afin que les données nécessaires soient fournies dans le format requis par le système de cotation des risques fondée sur l'IPV/DP. Un processus officiel a été mis en place afin que les transporteurs aériens puissent faire l'essai de leur interface permettant de transmettre les données par voie électronique.

Une structure et des processus officiels ont été élaborés pour appuyer les utilisateurs internes et les transporteurs aériens externes. Un centre d'appel permet de documenter et de résoudre les problèmes des transporteurs aériens. Ces derniers peuvent appeler un numéro sans frais pendant les heures de travail normales. Les transporteurs qui transmettent les données IPV/DP par voie électronique ont l'appui du centre d'appel de la DGIST à titre de soutien de première ligne pour les problèmes touchant la transmission des données. S'il y a lieu, le centre d'appel transmet les problèmes à l'échelon supérieur du groupe des services technologiques chargé du contrôle de l'interface externe.

Retourner au haut de la page

3.3 Autorité, responsabilité et responsabilisation

L'autorité, la responsabilité et la responsabilisation dans le cadre du projet de cotation des risques fondée sur l'IPV/DP ont été précisées dans une charte de projet et une structure de régie du projet. Néanmoins, l'engagement des parrains n'a pas été clairement compris, assuré ou documenté au début du projet.

L'autorité, la responsabilité et la responsabilisation dans le cadre du projet de cotation des risques fondée sur l'IPV/DP ont été précisées dans la charte de projet touchant l'initiative d'identification des voyageurs à risque élevé. La charte de projet a été élaborée conjointement avec le U.S. CBP sur une période allant de novembre 2002 au 21 avril 2004. La charte de projet a été initialement approuvée par l'ASFC et le U.S. CBP en mai 2003; des révisions ont été faites ultérieurement pour tenir compte des changements requis à mesure que le projet prenait forme dans le cadre d'un accord d'élaboration bilatéral.

Outre la charte de projet, une structure de régie a été précisée pour l'IPV/DP dans le cadre de régie de l'initiative d'identification des voyageurs à risque élevé, lequel a été développé au cours de la période allant du 30 juillet 2003 au 3 mars 2004. La structure de régie a été créée en fonction des commentaires reçus de divers organismes pertinents, notamment la Direction générale des douanes et Immigration Canada (avant la création de l'ASFC), la Direction de la contrebande et du renseignement et la Direction de la CEPI. La structure englobe des précisions sur les cadres responsables, le groupe de travail chargé de l'IPV/DP (rôle du comité directeur), le groupe de gestion de projets, les membres de l'équipe de projet. Elle donne également un aperçu des rôles et responsabilités respectifs de ces personnes, des responsabilités touchant les prises de décisions, du responsable et l'homologue des communications bilatérales et de la liaison aux États-Unis et du processus de règlement des différents. La structure de régie a été approuvée par des représentants des organismes suivants :

  • Direction des programmes d'exécution de la loi, Direction générale de l'exécution de la loi, ASFC
  • Renseignement stratégique, Services d'immigration, ASFC
  • Division des systèmes d'évaluation des risques, Direction de la CEPI, ASFC
  • Division des services du renseignement, Direction de la contrebande et du renseignement, ASFC
  • « Office of Border Security and Facilitation », U.S. CBP

La Direction générale de l'exécution de la loi a été désignée comme le parrain principal du projet  alors que la Direction de la CEPI était chargée de diriger le projet d'élaboration. Au début du projet, la Direction générale de l'exécution de la loi a participé activement à la définition des besoins des usagers dans des cas d'utilisation opérationnelle. Cependant, le parrainage et la participation des unités fonctionnelles a diminué à mesure que les travaux avançaient dans le cadre du projet.

En raison des multiples demandes incompatibles à la Direction générale de l'exécution de la loi, la participation à titre de parrain a été perçue comme un conflit constant. Comme c'est le cas pour tous les projets d'élaboration, la DGIST et les parrains ont l'autorité et la responsabilité de prendre des décisions touchant le projet d'élaboration. En raison de demandes formulées auprès de la responsable, la Direction de la CEPI a assumé la direction du projet jusqu'à la fin en ayant l'autorité nécessaire pour le développement global et les ressources lui permettant d'achever le projet. Selon l'ancienne structure, la Direction de la CEPI faisait partie du groupe des opérations et le représentait. En outre, elle assumait la responsabilité globale à l'égard de l'élaboration de systèmes. Des répondants ont indiqué que la Direction de la CEPI a assumé la responsabilité de prendre certaines des décisions touchant l'élaboration afin de respecter l'échéancier d'exécution du projet. Dans des directions générales qui parrainent le projet, certains cadres supérieurs rencontrés ont dit qu'ils n'avaient pas suffisamment pris part au processus d'élaboration en raison, principalement, de priorités concurrentes et d'autres engagements opérationnels. Il fallait prendre rapidement des décisions et les parrains n'avaient pas toujours le temps d'intervenir. Cela a été fait pour assurer la gestion d'un cadre de travail où de nombreux projets étaient en cours en même temps et d'un grand nombre de demandes supplémentaires auxquelles l'Agence faisait face de façon à exécuter son mandat.

À mesure que les travaux du projet avançaient, des directions générales qui parrainent le projet ont pris une part plus active aux activités en donnant une orientation des politiques (p. ex. la politique sur les questions relatives à la vie privée et le processus à suivre pour transmettre au U.S. CBP l'information de nature délicate). Également, des décisions devaient être prises lors de réunions bimensuelles de l'équipe de projet et consignées dans des comptes rendus au fur et à mesure de l'avancement du projet. Indépendamment de la charte de projet officiel et des documents touchant la structure de régie et l'étendue, l'approbation des décisions par les responsables aux principales étapes de l'élaboration du projet n'a pas été étayée de documents en bonne et due forme. Il est important d'obtenir le soutien du parrain et d'en donner le détail de sorte que les travaux d'élaboration continuent de satisfaire aux exigences du parrain et qu'ils puissent apporter les avantages prévus.

Dans le rapport de vérification de la phase 1, il était recommandé que la DGIST poursuive ses plans visant à élaborer des processus permettant d'assurer la participation active des directions générales qui parrainent le projet au processus d'élaboration de systèmes. La direction a indiqué que des processus seraient élaborés, de même qu'une stratégie de gestion du changement, lesquels seraient approuvés par la direction générale qui parraine le projet, comme il convient.

Retourner au haut de la page

3.4 Cadre de gestion des projets

Le cadre de gestion des projets actuellement en cours d'aménagement pour les projets d'élaboration de systèmes n'était pas en place au moment de l'élaboration du projet de cotation des risques fondée sur l'IPV/DP. À ce titre, des points faibles ont été indiqués au chapitre des pratiques de gestion de projets utilisées dans le cadre de ce projet.

Comme il a été indiqué dans le rapport de vérification de la phase 1, un cadre de gestion de projets (ou cycle de vie) visant la gestion des systèmes en développement est en cours d'aménagement; des améliorations y sont apportées grâce à des outils de soutien et à des modèles de mise en œuvre. Ce cadre de travail n'était pas aménagé au moment de l'élaboration du projet de cotation des risques fondée sur l'IPV/DP. Toutefois, une méthodologie d'élaboration, dotée d'étapes précises et harmonisée étroitement au cadre en cours d'élaboration, a été adoptée et suivie.

Le rapport de vérification de la phase 1 a indiqué des secteurs où il serait possible d'apporter des améliorations au cadre de gestion de projets. Les travaux de vérification effectués à la phase 3 viennent à l'appui de ces conclusions antérieures. Les observations suivantes ont été faites au chapitre des pratiques de gestion touchant l'élaboration du projet de cotation des risques fondée sur l'IPV/DP :

  • Documentation touchant les jalons d'approbation -- La vérification nous a permis de constater que des décisions d'approbation officielles aux principales étapes n'avaient pas été bien documentées. Les vérificateurs n'ont trouvé aucun document à l'appui des approbations aux principales étapes. Des répondants ont indiqué que même si un processus d'approbation officiel n'était pas établi au moment de l'élaboration, l'équipe d'élaboration était parvenue à un consensus visant à aller de l'avant. Malgré le fait que plusieurs groupes de discussions aient permis de discuter des travaux d'avancement de tous les projets, aucun comité directeur n'a été formé pour surveiller l'avancement des travaux et prendre des décisions pour le projet de cotation des risques fondée sur l'IPV/DP en particulier, y compris les approbations visant l'établissement de jalons prédéfinis. Ce point faible du processus peut être dû au fait que les autorités et les responsabilités touchant les projets n'ont pas été bien précisées. Un organisme de surveillance efficace mis sur pied pour documenter et communiquer les approbations dans les règles fera en sorte que toutes les parties comprennent le processus d'élaboration et fassent preuve de transparence à cet égard, et que les approbations soient données au besoin.
  • Suivi des coûts -- Il a été impossible d'effectuer des prévisions budgétaires propres au projet étant donné que les attributions touchant la cotation des risques fondée sur l'IPV/DP ont été faites à grande échelle et qu'il était difficile de les séparer d'autres sous-projets relatifs à l'IPV/DP et de les cumuler. Le système de comptabilité analytique de l'ASFC permet de suivre les coûts par centre de coûts; ce système a été conçu pour faire le suivi des coûts par source de financement et non par projet. À ce titre, les coûts liés au projet de cotation des risques fondée sur l'IPV/DP ont été engagés au moyen de différents centres de coûts, et ils n'ont pas été cumulés ou indiqués par projet. Au chapitre des centres de coûts, l'établissement d'un budget ordinaire et des comparaisons de coûts pour désigner les travaux réalisés mensuellement par rapport au plan permettent d'indiquer approximativement si les budgets sont respectés ou non. Comme c'était une pratique courante dans les directions de la TI depuis de nombreuses années, tous les employés de l'ASFC saisissent leur temps par code de projet depuis le 1er avril 2007. Ce processus devrait permettre de cumuler les coûts liés au projet et d'en faire le suivi de façon à assurer un meilleur contrôle des dépenses du projet.
  • Planification et établissement d'échéanciers intégrés -- La vérification nous a permis de constater que les Directions de la CEPI et de la TI disposaient de plans et d'échéanciers, mais qu'ils n'étaient pas intégrés de façon à coordonner toutes les tâches d'élaboration et les interdépendances du projet. Comme c'est le cas pour de nombreux projets d'élaboration de systèmes à la DGIST, ce projet vise un grand nombre de personnes, notamment un gestionnaire de projet à la Direction de la CEPI, un gestionnaire du projet de la TI et nombre d'autres collaborateurs, nommément des architectes, des équipes de gestion de données et de gestion des versions. Des communications verbales permanentes ont été établies entre diverses équipes afin de contrôler les interdépendances; selon les équipes de projet, ces communications ont été efficaces pour coordonner les activités. Un plan et un échéancier intégrés permettront de s'assurer que les interdépendances et les dates importantes sont clairement comprises et planifiées de façon à respecter les dates des versions et à réaliser des économies plus substantielles. La récente réorganisation de la DGIST regroupant les développeurs de TI et les gestionnaires de projet à la CEPI pourrait permettre une meilleure intégration des questions entre les Directions de la CEPI et de la TI.
  • Concrétisation des avantages -- Comme il a été souligné dans le rapport de vérification de la phase 1, un cadre de concrétisation des avantages n'était pas aménagé de manière à préciser les avantages au début du projet de cotation des risques fondée sur l'IPV/DP, puis d'en assurer le contrôle et le suivi au moment de l'achèvement du projet. Pour ce projet, les avantages administratifs importants touchant l'ensemble du programme relatif à l'IPV/DP ont été clairement compris et ils ont été précisés dans divers documents, notamment le Plan d'action pour une frontière intelligente, la présentation au Conseil du Trésor le 27 octobre 2003, la proposition de projet touchant l'IPV/DP le 14 novembre 2003 et la charte de projet relative à l'IPV/DP le 21 avril 2004. Toutefois, les avantages opérationnels du système de cotation des risques fondée sur l'IPV/DP n'ont pas été clairement précisés ou mesurés. La cotation des risques fondée sur l'IPV/DP ne nous permet pas de savoir s'il y a eu une amélioration du taux de succès dans l'identification des voyageurs à risque élevé ou si elle a contribué à une meilleure exécution de la loi. Comme aucune mesure de base ni objectif de mesure n'a été indiqué au début du projet et qu'aucun résultat en matière du taux de succès n'a été déclaré par le système, il était difficile de mesurer les avantages opérationnels de la cotation des risques fondée sur l'IPV/DP, d'en faire le suivi et d'en rendre compte à l'égard de leur concrétisation.
  • Gestion du changement -- Dans le cadre de son examen du projet de cotation des risques fondés sur l'IPV/DP, la vérification a permis de constater que même si l'étendue du projet a été définie, le processus et l'autorité touchant l'approbation des demandes de changements n'ont pas été bien précisés. Un examen d'échantillons de demandes de changements n'a pas permis de trouver des approbations officielles des directions générales qui parrainent le projet et de la DGIST. La vérification a révélé que les parrains faisaient généralement de vive voix une demande d'approbation de changements à l'étendue au cours de réunions de l'équipe de projet. Toutefois, un examen des comptes rendus de réunions de l'équipe du projet n'a pas permis d'évaluer si la personne compétente approuvait le changement. Plusieurs représentants interviewés de la direction générale qui parraine le projet ont aussi indiqué que les délais d'exécution requis étaient parfois trop courts pour examiner le changement à fond ou pour demander la participation de membres du personnel de niveau supérieur. Lorsque le changement était approuvé selon le groupe responsable, un processus officiel de contrôle de changement était suivi à la TI afin d'examiner le changement et d'évaluer s'il pouvait être ajouté au calendrier de lancement. La gestion du changement est un élément indispensable de la gestion de projets de sorte qu'un processus assez rigoureux permette d'éviter le glissement de l'étendue. Ainsi, les parrains auraient mieux compris le processus de gestion du changement, de même que les attentes et autorités visant l'approbation. Ce point faible du processus pourrait être à l'origine du manque de précision touchant l'autorité et les responsablités dans le cadre des projets.

Dans le rapport de vérification de la phase 1, il était recommandé que la DGIST poursuive ses plans visant à mettre en œuvre un processus de sorte que les jalons soient clairement définis, que la concrétisation des avantages soit examinée et documentée à chaque jalon. La direction a indiqué que de tels processsus seraient mis en œuvre. Une recommandation a également été faite en ce qui touche à l'élaboration d'un processus d'analyse de rentabilisation. À cet effet, la direction a précisé qu'un processus serait adopté.

Recommandation :

  1. La DGIST doit apporter d'autres améliorations à son cadre de gestion de projets de façon à inclure les éléments suivants :
    • Un processus officiel visant à intégrer la planification et l'établissement de l'échéancier de chaque projet individuel dans toutes les directions.
    • Indiquer et communiquer aux directions générales qui parrainent le projet le processus de gestion de changement, de même que les attentes et les autorités touchant l'approbation des changements.
Plan d'action de la direction Date d'achèvement
La direction procède à la mise au point du calendrier principal intégré des projets et travaille en collaboration avec les équipes de projet et des autres intervenants. Novembre 2007
La direction élabore une stratégie officielle de gestion du changement qui comprendra l'établissement d'un conseil de contrôle officiel de la gestion du changement. Décembre 2007
Retourner au haut de la page

3.5 Gestion des risques du projet

Les risques liés aux projets n'ont pas fait l'objet d'une gestion officielle. Les processus de gestion des risques pourraient être renforcés grâce à une analyse et à un suivi plus efficaces des risques liés aux projets.

Un processus officiel de gestion des risques liés à un projet comprend la détermination, l'analyse, l'atténuation et la surveillance des risques pouvant compromettre la réussite d'un projet au chapitre de la qualité du produit, de l'échéance et des coûts. Les conséquences éventuelles associées aux risques liés aux projets et au niveau de tolérance de l'exposition au risque devraient faire l'objet de discussions afin de déterminer l'intervention officielle à l'égard du risque (écarter, atténuer, assumer ou transférer/rapporter l'élément de risque aux échelons supérieurs). L'équipe de projet pourrait évaluer si les risques sont acceptables ou non et indiquer ce qui pourrait être fait pour les éliminer ou en assurer une meilleure gestion. Un processus officiel de renvoi aux échelons supérieurs pourrait faire en sorte que la haute direction participe aux discussions touchant les risques en temps opportun.

Pour ce projet de cotation des risques fondée sur l'IPV/DP la vérification nous a permis de constater que les risques étaient examinés de façon non officielle au jour le jour, mais qu'ils n'étaient pas convenablement documentés. Des répondants nous ont informés que les risques déterminés étaient indiqués au gestionnaire de projet visé au cours de réunions périodiques. Des comptes rendus des réunions périodiques sur le projet étaient dressés à l'appui des documents sur le risque et des mesures prises. Un registre des questions liées au projet était tenu à jour pour ce projet de façon à surveiller les problèmes liés à la gestion du projet. Toutefois, un registre régulier sur les risques n'était pas tenu à jour pour le projet de façon à surveiller le niveau d'exposition au risque dans l'ensemble de l'Agence. Depuis la période d'élaboration du processus, un modèle de registre sur les risques a été élaboré afin de documenter les risques liés aux projets.

Dans le rapport de vérification de la phase 1, il était recommandé que la DGIST continue à déployer des efforts afin de mettre en œuvre une stratégie de gestion des risques à l'appui de la régie des projets importants et du cadre du cycle de vie des projets. La direction a indiqué qu'une telle stratégie serait mise en œuvre.

Retourner au haut de la page

3.6 Évaluation de la sécurité

Les exigences en matière de sécurité ont été prises en considération dans le cadre du programme plus général relatif à l'IPV/DP; toutefois le niveau d'évaluation était difficile à déterminer.

Une évaluation de la sécurité touchant le programme relatif à l'IPV/DP a été faite à l'aide du modèle approprié de sorte que les principaux aspects de la sécurité de la TI soient examinés uniformément pour tous les projets. Selon la documentation, il était difficile de savoir qui avait examiné et approuvé l'évaluation de sécurité. Les entrevues nous ont permis de constater que le processus pour effectuer des évaluations de la sécurité avait été examiné à l'ASFC par le groupe chargé de la sécurité de la TI à la DGIST et par le Bureau de la sécurité de l'Agence à la Direction générale du contrôle.

Recommandation :

  1. La Direction générale du contrôle, de concert avec la DGIST, doit poursuivre son examen des processus visant à procéder à des évaluations de sécurité et à préciser le rôle du groupe chargé de la sécurité de la TI du Bureau de la sécurité de l'Agence en évaluant les exigences de sécurité pour les projets individuels, y compris les exigences en matière de sécurité sur le plan technique, de l'information et matériel.
Plan d'action de la direction Date d'achèvement

La Direction générale du contrôle et la DGIST mettront au point un processus exhaustif afin d'assurer que les évaluations de la menace et des risques des nouveaux projets ou des systèmes de TI englobent une évaluation de sécurité coordonnée qui puisse faire état des exigences des systèmes techniques de même que des considérations en matière d'information et la sécurité physique. Une fois élaboré, ce processus sera incorporé aux besoins du projet et fera également l'objet d'un contrôle au moyen du processus de gestion des projets.

 Premier trimestre de 2008-2009
Retourner au haut de la page

Annexe A - Critères de vérification

Voici les critères de vérification utilisés pour la phase 3 :

Catégorie de contrôle Critères de vérification
Régie
  • Les autorisations et les responsabilités sont définies.
  • Les projets sont classés par ordre de priorité aux fins de l'atteinte des objectifs de l'ASFC.
  • Les intervenants sont mis à contribution et apportent leur appui au projet.
  • Le rendement du projet fait régulièrement l'objet d'évaluations, de rapports et de suivis.
  • Des organismes de supervision efficaces sont établis, y compris leurs rôles à jouer en ce qui a trait à la régie, à la gestion des risques et au contrôle.
  • Des décisions d'approbation sont prises à des jalons clés.
Avantages pour l'organisation
  • Les avantages pour l'organisation sont déterminés et sont assortis de mesures quantitatives et (ou) qualitatives pour qu'on puisse suivre et évaluer leur concrétisation réelle.
Besoins des utilisateurs
  • Les besoins des utilisateurs sont définis, vérifiés, validés et correctement consignés.
  • Des contrôles de gestion sont en place aux fins de la gestion des changements et des incompatibilités entre les systèmes opérationnels.
Gestion du projet
  • Un plan de projet intégré est préparé en vue d'orienter clairement l'exécution et le contrôle du projet.
  • Des processus de gestion de l'étendue des travaux sont en place pour veiller à ce que l'étendue du projet comprenne tous les travaux nécessaires et seulement les travaux qui doivent être réalisés.
  • Des processus de gestion des coûts sont établis pour veiller à ce que le projet soit réalisé à l'intérieur des limites du budget approuvé.
  • Des processus de gestion du calendrier sont correctement établis et appliqués efficacement afin que le projet soit parachevé à temps.
  • Un système de gestion de la qualité est en place pour garantir que les besoins pour lesquels le projet a été entrepris seront comblés.
  • Des processus de gestion des risques sont en place pour permettre de cerner et d'analyser régulièrement les risques liés au projet et d'y réagir.
  • L'état d'achèvement du projet fait l'objet de suivis et de rapports réguliers.
  • Des processus de gestion des problèmes et des questions sont en place afin que les problèmes soient cernés, contrôlés et résolus.
  • Des processus de communication sont en place pour assurer une coordination optimale à l'intérieur et à l'extérieur de l'équipe de projet.
  • Le concours des participants au projet est fourni de la façon la plus efficace possible.
  • Des processus sont en place pour gérer les relations avec les partenaires et les fournisseurs.
Solution technique La solution technique permet la mise en œuvre viable de la nouvelle technologie.
  • Des normes et des procédures de développement de systèmes sont établies.
  • La faisabilité de la solution technique est évaluée.
  • Le logiciel d'application est élaboré conformément aux spécifications du projet, aux normes en matière d'élaboration et de documentation et aux exigences relatives à la qualité.
  • Les exigences en matière de sécurité de l'information sont remplies pour toutes les composantes.
  • Les essais sont suffisamment planifiés, exécutés et consignés et ils portent sur toutes les composantes du système d'information (p. ex. le logiciel d'application, les installations, la technologie et les procédures de l'utilisateur).
  • Les résultats des derniers essais sont examinés et approuvés par les dirigeants des utilisateurs et la fonction de la TI.
  • Des procédures officielles sont en place pour faire avancer le système de l'étape du développement jusqu'à celles des essais et de la mise en service.
Transformation des activités Des processus et des procédures de régie adéquats sont en place pour atténuer les répercussions des changements sur les utilisateurs par suite de la mise en œuvre des nouveaux projets de développement de systèmes. Par exemple : 
  • Un plan de mise en œuvre est établi et approuvé par la direction de tous les groupes d'intervenants de façon à orienter la mise en place et le lancement des versions.
  • Les utilisateurs reçoivent une formation suffisante en temps opportun.
  • Le soutien aux utilisateurs finaux est assuré et communiqué aux utilisateurs de façon précise.
  • Les appels téléphoniques des utilisateurs font l'objet de mesures d'exécution et de suivis.
  • Des procédures de recours aux échelons supérieurs sont établies.
Retourner au haut de la page

Annexe B - Liste des acronymes

ACIA
Agence canadienne d'inspection des aliments

ARC
Agence du revenu du Canada

ASFC
Agence des services frontaliers du Canada

Avis de surveillance
Identification d'une personne, de marchandises, d'une entreprise, d'un moyen de transport ou d'un document pouvant se rapporter à une infraction potentiellement grave à la législation sur les douanes ou sur l'immigration du Canada ou des États-Unis

BSA
Bureau de la sécurité de l'Agence

CCCI
Comité consultatif sur le changement intégré

CCG
Cadre de contrôle de gestion

CEPI
Conception et élaboration de projets importants

CIC
Citoyenneté et Immigration Canada

CNER
Centre national d'évaluation des risques

DGIST
Direction générale de l'innovation, des sciences et de la technologie

DP
Dossier du passager

EFVP
Évaluation des facteurs relatifs à la vie privée

EMR
Évaluation de la menace et des risques

ES
Énoncé de la sensibilité

IPV
Information préalable sur les voyageurs 

IPV/DP
Information préalable sur les voyageurs /Dossier du passager

PRU
Processus rationnel unifié

SID
Système intégré des douanes

SIED
Système intégré d'exécution des douanes

SIPAX
Système d'information sur les voyageurs

SPAT
Sécurité publique et antiterrorisme

U.S. CBP
U.S. Customs and Border Protection

Date de modification : 2007-12-10

Haut de la page
Avis importants