Agence des services frontaliers du Canada
Symbole du gouvernement du Canada

Liens de la barre de menu commune

ARCHIVÉ - Cotation harmonisée des risques et Données commerciales préalables

Avertissement Cette page a été archivée.

Contenu archivé

L'information dont il est indiqué qu'elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n'est pas assujettie aux normes Web du gouvernement du Canada et elle n'a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Rapport de vérification interne
Mars 2011

Ce document est disponible en format PDF (205 Ko) [aide sur les fichiers PDF]

Table des matières

Sommaire

Contexte

La vérification de la Cotation harmonisée des risques et Données commerciales préalables (CHR-DCP), système en développement, a été approuvée par le Comité de vérification de l'Agence des services frontaliers du Canada (ASFC) dans le cadre du Plan de vérification triennal axé sur les risques pour les exercices 2009-2010 à 2011-2012.

L'objectif de la CHR-DCP est de renforcer la capacité de l'ASFC de déterminer et d'évaluer les risques associés aux expéditions maritimes de marchandises commerciales destinées au Canada. L'aspect « harmonisé » du projet porte sur l'harmonisation des méthodes d'évaluation et de ciblage des risques du Canada avec les normes établies par l'Organisation mondiale des douanes (OMD) et l'United States Customs and Border Protection (U.S. CBP).

Le projet de la CHR-DCP comprend sept volets. Les deux volets suivants étaient terminés au moment de la vérification :

  • le volet Hybride 1 (H1), qui consiste en de nouveaux algorithmes de cotation des risques, a été mis en œuvre en septembre 2009;
  • le volet U.S. Marine In-Transit (USMIT), qui consiste en un nouveau processus pour recevoir des données sur les conteneurs maritimes en transit provenant des États-Unis et à destination du Canada, a été mis en œuvre en octobre 2010.

Le projet de la CHR-DCP a été approuvé en juin 2008 et son achèvement était prévu au cours de l'exercice 2010-2011. Le budget total lui ayant été attribué était de 31 millions de dollars. Il convient de noter que la prévision des dépenses réelles à la fin de l'exercice de 2010-2011 était de 22 millions de dollars, et que le report du montant restant pour poursuivre le projet n'a pas été approuvé.

La direction du projet se penche actuellement sur les options de financement et d'établissement du calendrier pour terminer les derniers volets de la CHR-DCP (voir la section 4.2).

Importance de la présente vérification

La présente vérification est importante puisque le projet de la CHR-DCP représente une nouvelle façon d'évaluer les risques liés aux marchandises arrivant au Canada. Il s'agit d'une des principales activités pour répondre au mandat de l'ASFC. Par conséquent, il importe que la haute direction sache jusqu'à quel point les processus d'élaboration et de mise en œuvre de ce projet sont adéquats.

Objectif et étendue

L'objectif de la vérification était d'évaluer la pertinence et l'applicabilité des processus de l'ASFC utilisés pour gérer l'élaboration du projet de la CHR-DCP et l'intégration des produits logiciels et du matériel informatique provenant de la CHR-DCP à la technologie informatique de l'ASFC déjà en place.

Le volet H1 a été mis en œuvre dans le cadre d'une structure organisationnelle de projet différente de celle de l'USMIT. Il a reposé sur des processus de gestion qui ont depuis été révisés pour les autres volets. Par conséquent, dans le cadre du présent objectif, la présente vérification a porté principalement sur le volet de l'USMIT de la CHR-DCP puisqu'il était plus représentatif des processus actuels d'élaboration utilisés par la CHR-DCP. Puisqu'il n'a pas été nécessaire de modifier le matériel informatique lié à l'USMIT, l'étendue de la vérification a inclus un examen des processus de mise en œuvre de l'USMIT pour le matériel informatique déjà en place.

Opinion de la vérification

La vérification a permis de constater que les processus sur lesquels s'est basé le projet de la CHR-DCP pour gérer l'élaboration et la mise en œuvre du volet de l'USMIT étaient adéquats et appropriés.

Principales constatations

Les processus du projet de la CHR-DCP relatifs à l'élaboration du volet de l'USMIT étaient conformes au Cadre de régie pour les grands projets de l'ASFC, et l'élaboration et la mise en œuvre de l'USMIT ont été accomplies avec succès.

Le volet de l'USMIT utilisait les technologies existantes et n'a pas eu d'incidence sur les autres technologies informatiques ou sur les processus de l'ASFC.

Le projet a pleinement atteint sept des neufs éléments de la présente vérification, et partiellement atteint les deux autres éléments.

Nos observations ont été positives, pour la majeure partie, et nous n'avons donc aucune recommandation à faire dans le cadre du présent rapport. Cependant, l'équipe de vérification a noté des améliorations possibles. Les aspects visés représentent peu de risques pour l'USMIT. Toutefois, ils demandent l'attention de la direction puisqu'ils pourraient avoir des répercussions sur l'étendue et sur les délais de prestation des prochains volets du projet de la CHR-DCP. Par conséquent, ces aspects sont traités dans la section « Autres questions d'intérêt ».

Énoncé d'assurance

La mission de la vérification a été planifiée et menée conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada.

Return to Top of Page

1.0 Introduction

1.1 Contexte

Le Comité de vérification de l'Agence des services frontaliers du Canada (ASFC) a approuvé la vérification du projet de Cotation harmonisée des risques et Données commerciales préalables (CHR-DCP) dans le cadre du Plan de vérification triennal axé sur les risques pour les exercices  2009-2010 à 2011-2012.

L'ASFC cherche à « repousser la frontière » efficacement afin de s'assurer que les menaces sérieuses à l'endroit de la santé et de la sécurité des Canadiens sont cernées et interceptées avant d'arriver à la frontière physique ou de la traverser. Pour ce faire, l'ASFC a mené plusieurs activités complémentaires, y compris le projet de la CHR-DCP. Par conséquent, l'objectif du projet de la CHR-DCP est de renforcer la capacité de l'ASFC à déterminer et à évaluer les risques associés aux expéditions commerciales maritimes destinées au Canada et à cibler les expéditions à risques élevés afin d'empêcher leur entrée au pays. L'aspect « harmonisé » du projet porte sur l'harmonisation, dans la mesure du possible, des méthodes d'évaluation et de ciblage des risques du Canada avec les normes établies par l'Organisation mondiale des douanes (OMD) et par l'United States Customs and Border Protection (U.S. CBP).

Le projet de la CHR-DCP a été créé à partir du composant maritime du programme d'Information préalable sur les exploitations commerciales, lequel a connu un grand succès. En vertu du programme, les transporteurs doivent transmettre par voie électronique les données sur le fret maritime à l'ASFC vingt-quatre heures avant que le fret soit chargé sur le bateau dans un port étranger. Le projet de la CHR-DCP améliorera la capacité de l'Agence de cerner et de cibler les expéditions commerciales maritimes présentant un risque en :

  • harmonisant, tel que susmentionné, les méthodes d'évaluation et de ciblage des risques avec les normes établies par l'OMD et l'U.S. CBP;
  • incluant une vaste série d'indicateurs de risques;
  • intégrant de nouvelles sources de données commerciales préalables.

Le projet de la CHR-DCP comprend sept volets. Les deux volets suivants étaient terminés au moment de la vérification :

  • le volet Hybride 1 (H1), qui consiste en de nouveaux algorithmes de cotation des risques, a été mis en œuvre en septembre 2009;
  • le volet U.S. Marine In-Transit (USMIT), qui consiste en un nouveau processus pour recevoir des données sur les conteneurs maritimes en transit provenant des États-Unis et à destination du Canada, a été mis en œuvre en octobre 2010.

Les cinq autres volets à mettre en œuvre sont les suivants :

  • inclure les données commerciales préalables (DCP) dans la saisie des séries de données commerciales préalables (SDCP);
  • inclure des messages sur le statut des conteneurs (CSM), ce qui augmentera le nombre de données recueillies pour le processus d'évaluation des risques et permettra aux agents de ciblage de prendre de meilleures décisions avant le chargement et l'arrivée d'expéditions maritimes;
  • déterminer et documenter les tendances historiques du commerce à l'aide des informations commerciales actuelles et émergentes afin d'élaborer de nouveaux indicateurs de risque. Les informations concernant les tendances du commerce incluront les données relatives à l'acheminement, aux partenaires de la chaîne commerciale, aux marchandises, à l'importateur et à la combinaison de ces éléments;
  • établir des marchés avec les entreprises et les fournisseurs de données commerciales. Les données sur le profil de l'entreprise et sur les transactions commerciales serviront lorsque certains des partenaires de la chaîne commerciale (par ex., les expéditeurs et les consignataires) participant à l'importation du fret dans le mode maritime sont inconnus de l'ASFC;
  • mettre en œuvre de nouveaux algorithmes de cotation dans le TITAN et le Système de soutien de la mainlevée accélérée des expéditions commerciales (SSMAEC) afin d'améliorer la capacité de l'ASFC de surveiller et de cibler les conteneurs maritimes; ces algorithmes sont comparables à ceux des États-Unis.

La mise en œuvre des volets précités a progressé même s'il reste du travail à accomplir. Par exemple, le matériel et les logiciels nécessaires pour la prestation des trois volets restants se rapportant à l'analyse permanente des indicateurs de risques ont été achetés, et certains processus de soutien ont été élaborés.

Le projet de la CHR-DCP a été approuvé en juin 2008, et son achèvement était prévu au cours de l'exercice 2010-2011. Le budget total lui ayant été attribué était de 31 millions de dollars. Il convient de noter que la prévision des dépenses réelles à la fin de l'exercice de 2010-2011 était de 22 millions de dollars, et que le report du montant restant pour poursuivre le travail sur le projet n'a pas été approuvé.

La direction du projet se penche actuellement sur les options de financement et d'établissement du calendrier pour terminer les derniers volets de la CHR-DCP (voir la section 4.2).

L'USMIT n'est pas une application distincte et indépendante. Il s'agit plutôt d'une caractéristique ajoutée à quatre grandes applications déjà en place.[ 1 ]

1.2 Évaluation des risques

L'évaluation des risques menée lors de la planification de la présente vérification a permis de cerner les risques importants suivants :

Processus d'élaboration

  • Les changements apportés aux rôles et aux responsabilités pour développer le logiciel du projet de la CHR-DCP sont considérés comme présentant un risque qui pourrait avoir des répercussions sur l'élaboration des prochains volets du projet de la CHR-DCP.

Intégration des technologies

  • L'Agence s'est heurtée à des délais quant à l'obtention des produits informatiques d'extraction de données et a eu du mal à atteindre les niveaux de service nécessaires pour améliorer l'évaluation des risques liés aux expéditions maritimes. Cette situation a accru le risque que les produits informatiques ne soient pas disponibles à temps pour permettre à l'Agence de mettre en œuvre le logiciel nécessaire en temps opportun.

La phase d'examen de la présente vérification a permis de déterminer que le risque associé au Processus d'élaboration (section 3.1 – critère 1.3) n'avait pas d'incidence sur l'USMIT. Cependant, la prestation des prochains volets du projet de la CHR-DCP pourrait être affectée si l'on ne précise pas le rôle de l'organisation parrainant le projet quant aux exigences (section 4.1). La vérification a permis de conclure que le risque lié à l'Intégration des technologies n'a pas eu de répercussions sur l'USMIT puisque le projet utilisait des produits informatiques déjà en place plutôt que de nouveaux produits. Les risques liés à l'Intégration des technologies par rapport aux cinq prochains volets du projet de la CHR-DCP seront traités par la direction du projet dans le plan révisé de financement et le calendrier des délais mentionnés à la section 4.2.

1.3 Objectif et étendue de la vérification

L'objectif de la vérification était d'évaluer la pertinence et l'applicabilité des processus de l'ASFC utilisés pour gérer l'élaboration du projet de la CHR-DCP et l'intégration des produits logiciels et du matériel informatique provenant de la CHR-DCP à la technologie informatique de l'ASFC déjà en place.

Le volet H1 a été mis en œuvre dans le cadre d'une structure organisationnelle de projet différente de celle de l'USMIT. Il a reposé sur des processus de gestion qui ont depuis été révisés pour les autres volets. Par conséquent, dans le cadre du présent objectif, la présente vérification a porté principalement sur le volet de l'USMIT de la CHR-DCP puisqu'il était plus représentatif des processus actuels d'élaboration utilisés par la CHR-DCP. Puisqu'il n'a pas été nécessaire de modifier le matériel informatique lié à l'USMIT, l'étendue de la vérification a inclus un examen des processus de mise en œuvre de l'USMIT pour le matériel informatique déjà en place.

1.4 Stratégie et méthodes

La vérification a permis de recueillir des informations grâce aux moyens suivants : entrevues, révision de documents et évaluation des processus d'élaboration des systèmes et d'intégration de logiciel du projet de la CHR-DCP. La vérification a permis :

  • d'interroger certains membres du personnel responsables du projet de la CHR-DCP pour  évaluer les processus d'élaboration, particulièrement pour la prestation de l'USMIT;
  • d'interroger le personnel de gestion technique pour évaluer jusqu'à quel point l'Agence est prête à recourir aux nouvelles technologies, pour déterminer l'ensemble de la gestion de la configuration des technologies et les plans de gestion des répercussions de l'USMIT sur les logiciels et les produits informatiques liés à ce volet;
  • de passer en revue les documents du projet pour évaluer jusqu'à quel point les pratiques de gestion du projet de la CHR-DCP s'harmonisent aux pratiques de l'industrie et aux politiques applicables du Conseil du Trésor (CT) et de l'Agence.

1.5 Critères de vérification

Les critères de vérification détaillés figurent à l'annexe A.

1.6 Énoncé d'assurance

La mission de la vérification a été planifiée et menée conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada.

Return to Top of Page

2.0 Opinion de la vérification

La vérification a permis de constater que les processus utilisés par le projet de la CHR-DCP pour élaborer et mettre en œuvre l'USMIT étaient adéquats et appropriés.

Return to Top of Page

3.0 Constatations, recommandations et plans d'action

3.1 Développement du logiciel

La présente section indique la mesure dans laquelle le développement du logiciel du projet de la CHR-DCP se conforme aux normes de l'Agence. L'utilisation d'un processus officiel de développement du système à l'aide de jalons précis est acceptée à titre de pratique exemplaire et est essentielle pour gérer les risques au moment du développement des applications du logiciel. L'adhésion aux normes signifie que tous les projets adopteront un processus semblable qui a fait ses preuves, que la direction saura à quoi s'attendre et que la terminologie utilisée sera facile à comprendre pour les participants.

La présente section donne les résultats concernant les critères de vérification 1.1 à 1.6, décrits à l'annexe A.

Les « Normes régissant le cycle de développement des systèmes » (critère 1.1)

Ces normes sont employées par l'industrie pour définir un processus de développement des systèmes bien contrôlé. Le Cadre de régie pour les grands projets[ 2 ] de l'ASFC constitue l'approche normalisée de l'Agence pour gérer les grands projets. Selon le Cadre, les grands projets sont gérés en fonction d'une approche basée sur leur cycle de vie incluant six étapes, lesquelles sont toutes suivies d'une approbation officielle.

Le volet de l'USMIT du projet de la CHR-DCP (un grand projet) a rempli ce critère, et a respecté le Cadre de l'Agence en majeure partie. Nous avons remarqué que dans le cas de l'USMIT, le projet n'a obtenu que des approbations non officielles à la fin de chaque étape, plutôt que les approbations officielles prévues dans le Cadre. Ce dernier est conçu pour s'assurer, entre autres, que les systèmes respectent toutes les exigences opérationnelles. Par conséquent, toute déviation du cadre normalisé entraîne un risque que le projet ne réponde pas aux futures exigences opérationnelles.

La vérification a révélé que l'ASFC avait déjà commencé à réviser et à élaborer de nouveau la structure de gouvernance des grands projets dans le but de renforcer le processus d'approbation officielle. Une fois la nouvelle structure approuvée, le projet de la CHR-DCP sera tenu de la respecter.

Définition des exigences (critère 1.2)

Le présent critère prévoit l'instauration d'un processus officiel afin de s'assurer que les exigences en matière d'opérations, de technologie, de sécurité et de confidentialité sont acceptées de tous et clairement documentées. En outre, les exigences documentées devraient pouvoir être associées au produit final du logiciel afin d'assurer leur mise en évidence. Le processus permettra de s'assurer qu'un système contribue au respect des exigences opérationnelles de l'organisation.

La vérification a permis de constater que le projet remplit ces critères. Les exigences étaient clairement définies, documentées et respectées. En examinant et en suivant un échantillon d'exigences opérationnelles, les vérificateurs ont remarqué qu'elles étaient représentées dans la conception du logiciel. Le personnel de l'équipe de projet a validé la façon dont le logiciel USMIT répond aux exigences opérationnelles documentées. Tous les problèmes ont été réglés avant la mise en œuvre.

Communication entre les intervenants (critère 1.3)

Une excellente façon de contrôler les risques lorsque l'approche utilisée pour le développement d'un système est normalisée consiste à déterminer l'endroit et le moment où les échanges importants doivent se faire avec tous les intervenants. Selon le présent critère, les concepteurs de systèmes et les clients devraient communiquer clairement entre eux concernant la conception du système. La direction du projet, les utilisateurs et le responsable parrainant le projet devraient tous approuver la conception.

Le projet a rempli le présent critère en majeure partie. La vérification a révélé que les communications relatives à la définition des exigences de l'USMIT étaient adéquates. De plus, la structure organisationnelle selon laquelle l'Agence a défini les exigences de l'USMIT a changé. Bien que ces changements aient entraîné un manque de précision quant au rôle de l'organisation parrainant le projet et de la direction du projet dans le cadre de l'élaboration et de la mise en œuvre de l'USMIT, ce manque de précision n'a pas eu d'incidence sur l'USMIT.

Afin de s'assurer que les prochains volets du projet de la CHR-DCP répondent à toutes les exigences opérationnelles, il serait utile de préciser le rôle de l'organisation parrainant le projet. Veuillez consulter la section 4.1 pour des précisions.

Développement du logiciel (critère 1.4)

Une fois les exigences établies, un logiciel devrait être élaboré. Il devra refléter les exigences opérationnelles documentées et approuvées et répondre aux normes pertinentes.

Le projet a rempli ce critère. L'élaboration d'exigences opérationnelles et le développement de logiciels étaient conformes au Cadre de régie pour les grands projets.

Assurance de la qualité du logiciel (critère 1.5)

Selon le présent critère, les responsables du projet doivent établir un mécanisme d'assurance de la qualité du logiciel qui comprend des essais exhaustifs. Ils doivent aussi s'assurer que le projet respectera en bout de ligne les exigences opérationnelles et les exigences en matière de sécurité. Le processus d'assurance de la qualité comprend des essais qui permettront principalement de vérifier que le logiciel fait ce qu'il est censé faire (fonctionnalité) et qu'il respecte les exigences de rendement et les autres exigences.

Le projet a partiellement rempli ce critère. L'équipe de vérification a été informée que le travail était en cours relativement au renforcement des mesures de contrôle liées à l'assurance de la qualité du logiciel.

L'examen a bien été géré et complété avec succès. L'étendue des essais portait sur la fonctionnalité du logiciel ainsi que sur d'autres aspects comme le temps de réponse du logiciel, le temps de reprise des activités en cas de problème et le rendement du logiciel.

Les vérificateurs ont été avisés que l'organisme de gestion de la qualité liée à la technologie de l'information (TI) de l'ASFC met sur pied un processus encore plus rigoureux pour assurer l'état de préparation de tous les systèmes. Cela comprend les essais et les modalités relatifs à l'intégralité et à l'approbation des documents appropriés.

Selon le processus normalisé d'assurance, les exigences de sécurité adéquates doivent être documentées et il faut certifier qu'elles ont été respectées. Selon la vérification, on n'a effectué aucune Évaluation de la menace et des risques (EMR) pour l'USMIT. Les informations recueillies dans le cadre d'une EMR visent à confirmer qu'un système a répondu à toutes les exigences de sécurité. Puisque l'USMIT utilise des logiciels et des produits informatiques déjà en place, l'analyse de l'EMR repose sur la révision et la mise à jour des analyses des EMR des systèmes déjà en place. Ce travail n'a pas encore été fait. En attendant, une autorisation provisoire a été accordée pour utiliser l'USMIT. Celle-ci devait expirer en janvier 2011. L'équipe de vérification a remarqué que le risque a été évalué comme étant « moyen » jusqu'à ce que ce travail soit complété. Les vérificateurs ont été informés que les spécialistes de la sécurité de la TI de l'Agence prévoient terminer les mises à jour de l'EMR d'ici avril 2011 et que l'autorisation provisoire a été prolongée jusqu'au 30 septembre 2011 pour couvrir la période nécessaire pour terminer l'EMR.

Mise en œuvre du logiciel (critère 1.6)

Selon le présent critère, une organisation doit établir un processus de mise en œuvre des applications logicielles afin de s'assurer que tout nouveau logiciel s'intègre aux opérations actuelles de façon contrôlée. L'ASFC a rempli ce critère, et selon l'équipe de vérification, la mise en œuvre de l'USMIT s'est effectuée de façon généralement adéquate.

3.2 Application des technologies

Les personnes responsables des projets doivent prendre en considération l'incidence que leurs logiciels pourraient avoir sur les autres logiciels et produits informatiques déjà en place. Cette section indiquera jusqu'à quel point les résultats attendus pour le projet sont conformes aux processus et aux normes techniques de l'ASFC. Les sous-sections ci-dessous s'harmonisent directement avec les critères 2.1 à 2.3 de la vérification, lesquels figurent à l'annexe A du présent rapport.

Processus centraux pour l'infrastructure (critère 2.1)

Selon le présent critère, le projet de la CHR-DCP doit respecter les processus et les normes de l'Agence pour s'assurer que tout nouveau produit informatique ou logiciel est mis en œuvre conformément aux processus d'acquisition et de maintenance établis.

Le projet a rempli ce critère. L'équipe de vérification a remarqué que l'Agence possède un processus de gestion de la mise en œuvre des nouveaux produits informatiques bien que, dans le cas de l'USMIT, aucun nouveau produit informatique n'ait été nécessaire. Les critères de la présente vérification en incluaient deux autres (critères 2.4 et 2.5) liés à la planification, à l'acquisition, à la mise en œuvre et à la maintenance de l'infrastructure technologique. Tel que mentionné précédemment, puisque l'USMIT n'a pas utilisé de nouveaux produits informatiques, les deux critères ne s'appliquaient pas.

Capacité de la TI et prévention des catastrophes (critère 2.2)

Les résultats attendus en matière de TI pourraient avoir une incidence sur la capacité ou sur la sécurité des systèmes informatiques de l'Agence déjà en place. Par conséquent, en vertu du présent critère, le projet de la CHR-DCP doit être conforme aux normes et aux politiques de sécurité de la TI à l'Agence.

Le projet a partiellement rempli le critère 2.2. En ce qui a trait à la capacité de mise en œuvre de l'USMIT, le projet de la CHR-DCP a suivi les processus normalisés de l'Agence. Puisque l'USMIT n'est pas une application indépendante, il n'a pas été nécessaire de changer l'architecture technique. Toutefois, il a été nécessaire d'établir si la capacité des opérations informatiques actuelles était suffisante pour gérer la charge de travail accrue résultant de l'intégration de l'USMIT aux systèmes déjà en place. L'ASFC a mené cette analyse, laquelle a révélé qu'il n'était pas nécessaire de faire des acquisitions particulières à l'appui de l'USMIT, en raison du volume additionnel de données.

En ce qui a trait à la sécurité, un des éléments clés est la prévention de catastrophes. Les exigences pour l'USMIT comprennent un élément lié à la restauration de l'application en cas de catastrophe. Cependant, au moins une application (SSMAEC) liée à l'USMIT n'avait aucun plan de reprise après catastrophe. La récente vérification de l'ASFC des plans de continuité des opérations a engendré un plan de direction pour traiter les lacunes dans ce domaine. Le projet lié à la reprise des activités des centres de données de l'Agence, qui a débuté au cours de l'exercice 2010-2011 et qui devrait se terminer au cours de l'exercice 2013-2014, se penchera sur la capacité de l'ASFC à reprendre ses activités et à assurer la continuité des opérations à la suite d'une catastrophe. Le projet devrait être terminé dans quatre ans. Cependant, en attendant, il existe un risque résiduel continu qu'une catastrophe ou un autre événement important interrompe les services essentiels de l'ASFC. Les membres de la direction sont conscients du risque.

Environnements de développement et d'essai (critère 2.3)

Afin de minimiser les risques potentiels pour les programmes et les opérations en cours de l'ASFC, le projet de la CHR-DCP devrait pouvoir mener des essais efficaces et efficients des produits logiciels et du matériel informatique.

Ce critère a été rempli. L'ASFC possède plusieurs environnements d'essai pour bien tester les nouvelles applications et les infrastructures. L'approche en matière d'essais a été conçue de manière à minimiser toute incidence potentielle au cours de la mise en œuvre.

Return to Top of Page

4.0 Autres questions d'intérêt

Au moment de la vérification, l'équipe de vérification a remarqué certains problèmes qui n'avaient pas de répercussion directe sur la prestation du volet de l'USMIT du projet de la CRH-DCP. Cependant, nous sommes d'avis que ces problèmes sont assez importants pour être portés à l'attention de la direction.

4.1 Communication

Tel qu'indiqué dans la partie « Communication avec les intervenants », une nouvelle structure organisationnelle a remplacé celle qui était en vigueur au moment de l'élaboration de l'USMIT. Dans le cadre de cette structure originale, des exigences opérationnelles avaient été élaborées, documentées et approuvées par un comité de personnes responsables parrainant le projet et provenant de toutes les directions générales intervenantes au sein de l'ASFC. Bien qu'un nouveau responsable parrainant le projet ait été identifié en vertu de la nouvelle structure, les rôles respectifs de ce dernier et de la direction du projet n'étaient pas clairs dans ce domaine. Par conséquent, il existe des incertitudes concernant la responsabilité de la définition des exigences opérationnelles.

L'équipe de vérification a constaté que l'équipe du projet de la CHR-DCP et le représentant du responsable parrainant le projet considéraient tous deux qu'ils jouaient un rôle important dans la définition et l'approbation des exigences opérationnelles. Lors d'entrevues, le personnel du nouveau responsable parrainant le projet a indiqué ne pas savoir clairement le rôle qu'il devait jouer pour s'assurer que le projet respecte les exigences en bout de ligne.

Ce manque de clarté n'a eu aucune incidence sur l'USMIT puisque ses exigences ont été élaborées et approuvées en vertu de l'ancienne structure organisationnelle. Cependant, si cette confusion demeure, les prochains volets pourraient ne pas répondre à toutes les exigences opérationnelles.

4.2 Questions de financement et de calendrier

La direction du projet de la CHR-DCP a informé l'équipe de la vérification qu'environ 22 des 31 millions de dollars alloués pour le projet de la CHR-DCP seraient dépensés d'ici le 31 mars 2011 et que le report du montant restant pour poursuivre le travail sur le projet n'a pas été approuvé. La direction a indiqué qu'une stratégie de financement et de nouveaux délais pour la mise en œuvre des fonctions avancées d'évaluation des risques, lesquelles comptent pour trois des cinq volets du projet à mettre en œuvre, ont été établis et que le travail actuel consistait à mettre à jour l'étendue du projet, les plans de financement et le calendrier des délais pour les deux derniers volets (DCP et CSM).

Return to Top of Page

5.0 Réponse de la direction

La direction reconnait l'importance de ce rapport et remercie l'équipe de vérification de lui avoir présenté les questions d'intérêt.

Pour donner suite aux questions soulevées dans la section 4 du rapport, elle aimerait souligner les points suivants :

  • Section 4.1 – Communication : Dans le cadre de la nouvelle organisation de l'Agence et de l'utilisation du nouveau Cadre de régie pour les grands projets de l'ASFC, un nouveau cadre de la structure de gouvernance des projets a été élaboré et mis en œuvre afin de répondre aux besoins. Ce cadre de régie, y compris les détails sur le parrainage, a été approuvé en novembre 2010 et est utilisé par les responsables du projet de la CHR-DCP. La Direction de l'évaluation des risques a été désignée comme étant le responsable parrainant le projet de la CHR-DCP.
  • Section 4.2 – Questions de financement et de calendrier : Des mesures ont été prises pour élaborer des options relatives au volet CSM. De fait, l'analyse devrait être terminée d'ici mars 2011 et présentée pour approbation officielle aux comités de régie de projet. Le volet DCP sera mis en œuvre dans le cadre du projet du Manifeste électronique, dont la mise en application est prévue au cours de l'exercice 2013-2014. Le plan sur les DCP est en voie d'élaboration et fait partie de la planification du projet du Manifeste électronique. Le nouveau plan du projet du Manifeste électronique sera terminé d'ici novembre 2011.

De plus, tel qu'il est mentionné précédemment, en ce qui concerne les exigences de sécurité pour l'USMIT (veuillez consulter la section 3.1 et le critère 1.5) : l'organisation de la sécurité de la TI s'attend à ce que les mises à jour de l'EMR soient terminées d'ici avril 2011 et que l'autorité provisoire soit prolongée jusqu'au 30 septembre 2011 pour couvrir la période nécessaire pour terminer l'EMR.  

Return to Top of Page

Annexe A : Critères de vérification

Les critères de vérification utilisés pour la vérification du projet de la CHR-DCP étaient les suivants.

Secteur d'intérêt Critères de vérification Atteint/
Partiellement atteint/
Non atteint
1. Processus d'élaboration 1.1. Normes régissant le cycle de développement des systèmes. Le projet de la CHR-DCP possède des normes d'élaboration et d'acquisition de logiciels qui répondent à la complexité du projet. Atteint
1.2. Définition des exigences. Un processus officiel est en place pour s'assurer que les exigences utilisées concernant les opérations, les technologies, la sécurité et la confidentialité requises pour atteindre les résultats attendus du projet de la CHR-DCP sont déterminées, établies par ordre de priorité, définies avec précision et approuvées par tous. Atteint
1.3 Communications au cours du processus d'élaboration et de prestation. La conception des solutions opérationnelles a été communiquée et articulée de façon efficace entre les membres de l'élaboration des systèmes et les clients, et elle a été approuvée par la direction du projet, les utilisateurs et les représentants du responsable parrainant le projet. Atteint
1.4. Développement du logiciel. La fonctionnalité automatisée est en cours d'élaboration conformément aux normes de conception, de développement et de documentation ainsi qu'aux exigences relatives à l'assurance de la qualité et à l'approbation des normes. Les composants du logiciel sont conçus pour être des points configurables de base. Atteint
1.5. Assurance de la qualité du logiciel. Les tâches d'assurance nécessaires pour appuyer l'accréditation de nouveaux systèmes ou de systèmes modifiés qui répondent aux exigences d'accréditation ou de certification définies à l'externe ont été déterminées, y compris l'environnement d'essai et la participation des utilisateurs. Partiellement atteint
1.6. Mise en œuvre du logiciel. Le projet possède un plan de mise en œuvre, de substitution et de suppression. Des processus sont en place et une autorité a été établie pour approuver les lancements au nom des responsables parrainant le projet ou de leurs représentants. Atteint
2. Transition de l'infrastructure et de la technologie 2.1. Processus centraux pour l'infrastructure. Le projet de la CHR-DCP est conforme aux normes et aux processus centraux de l'ASFC afin de s'assurer que l'installation et l'entretien du logiciel de base respectent le cadre d'acquisition et d'entretien pour ce qui est de l'infrastructure technologique. Atteint
2.2. Capacité de la TI et prévention des catastrophes. Le projet de la CHR-DCP respecte les normes et les politiques de l'ASFC en matière de TI. Partiellement atteint
2.3. Environnements de développement et d'essai. Des environnements de développement et d'essai sont en place pour appuyer l'examen efficace et efficient des composants de l'infrastructure. Atteint
2.4. Acquisition, mise en oeuvre et entretien de l'infrastructure technologique. Le projet de la CHR-DCP a établi une stratégie et un plan d'acquisition, de mise en œuvre et d'entretien de l'infrastructure technologique répondant aux exigences techniques, fonctionnelles et opérationnelles établies. s.o.
2.5. Plan de transition pour les technologies. Un plan de transition est en place pour déterminer et documenter tous les aspects techniques, opérationnels et d'usage de la mise en œuvre des composants techniques, en plus d'assurer la communication des informations aux intervenants. s.o.
Return to Top of Page

Annexe B : Liste des sigles

Sigle Description
ASFC Agence des services frontaliers du Canada
CHR-DCP Cotation harmonisée des risques et Données commerciales préalables
CRCE Cotation du risque commercial et évaluation
CSM Container Status Messages (messages sur le statut des conteneurs)
CT Conseil du Trésor
DCP Données commerciales préalables
H1 Édition Hybride 1
OMD Organisation mondiale des douanes
PCED Plate-forme du commerce électronique des douanes
SSMAEC Système de soutien de la mainlevée accélérée des expéditions commerciales
TI Technologie de l'information
TITAN Nouveau nom de l'outil d'évaluation du risque de l'information préalable sur les expéditions commerciales
U.S. CBP United States Customs and Border Protection
USMIT U.S. Marine In-Transit



Notes

  1. Ces applications sont : la Plate-forme du commerce électronique des douanes (PCED), TITAN (nouveau nom de l'outil d'évaluation du risque de l'information préalable sur les expéditions commerciales), le Système de soutien de la mainlevée accélérée des expéditions commerciales (SSMAEC), et la Cotation du risque commercial et évaluation (CRCE). [Retourner au texte]
  2. Cadre de régie pour les grands projets de l'ASFC. Version 1.3, le 6 novembre 2007, document géré par la Gouvernance des projets de la Direction générale et d'entreprise, Direction générale de l'information, des sciences et de la technologie. [Retourner au texte]