Vérification des contrôles ciblés : Préparation opérationnelle de la GCRA : Résultats détaillés de la vérification, recommandation et réponse
8.0 Constatations de la vérification
8.1 Gestion des principaux risques
18. Selon le Secrétariat du Conseil du Trésor SCT, la gestion des risques est un élément fondamental d'une saine gestion publique. La gestion efficace du risque contribue à améliorer le processus décisionnel et l'affectation des ressources, et, en fin de compte, à offrir des résultats optimaux à la population canadienne.
19. Le registre des risques du projet de la GCRA compte environ 200 risques. La gestion des risques associés au projet est une responsabilité partagée entre l'agence et le fournisseur. La vérification a permis d'évaluer les processus de gestion des risques de l'agence pour trois des risques liés à la V2 de la GCRA qui sont considérés comme les plus susceptibles d'avoir une incidence négative sur le succès du lancement en . Chaque risque a été évalué à l'aide du Guide de gestion intégrée du risque du Conseil du Trésor. Les trois risques critiques ont été examinés dans le cadre de la vérification et il a été déterminé que l'agence avait pris des mesures pour atténuer chacun de ces risques une fois qu'ils ont été cernés. Toutefois, les pratiques de gestion des risques n'étaient pas suffisantes pour assurer l'état de préparation opérationnelle en vue de la mise en œuvre intégrale de la V2 de la GCRA en . Différentes possibilités pourront être explorées afin d'améliorer les pratiques de gestion des risques.
8.2 Pouvoir législatif d'exploitation de la GCRA
20. En , l'ASFC a signalé dans son registre des risques qu'il y avait un risque que les pouvoirs législatifs et réglementaires requis pour la GCRA ne soient pas conférés et que cela pourrait donc retarder le projet. Plus précisément, ces pouvoirs pouvaient être nécessaires pour que les courtiers et les importateurs puissent effectuer des paiements électroniques à l'ASFC conformément à la conception proposée pour la solution de GCRA. Le cas échéant, l'agence a indiqué que cela pourrait prendre jusqu'à 36 mois.
21. L'énoncé des travaux précise clairement que la V2 de la GCRA doit respecter les politiques fédérales, législatives et du Conseil du Trésor et qu'elle doit assurer la conformité à celles-ci. Le processus de conception a commencé en 2018 et c'est également au cours de cette période que certains responsables ont fait remarquer que, bien qu'importantes, les modifications au cadre juridique pourraient ne pas être essentielles pour le lancement et qu'elles pourraient être apportées après la mise en œuvre de la GCRA. En 2019, alors que la conception du nouveau système était bien entamée, l'unité chargée des programmes de la GCRA a commencé à déterminer quelles seraient les modifications qui devraient être apportées aux lois en vigueur. Il aurait été préférable de le faire plus tôt au cours des premières étapes de la conception du programme.
22. Finalement, des modifications qui comprenaient des dispositions appuyant les paiements électroniques et les dépôts de garantie ont été rédigées. En , le SCT a informé l'agence qu'une partie de ses modifications législatives étaient reportées. Par conséquent, l'équipe responsable du projet de la GCRA a effectué un examen pour déterminer s'il était possible d'accorder la mainlevée pour des marchandises importées sans dépôt de garantie avant le paiement des droits. [Caviardé]
Remarque : [Caviardé] indique que des renseignements de nature délicate ont été supprimés en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels.
23. Puisque l'importance des pouvoirs législatifs et réglementaires a été déterminée tôt, l'agence a eu le temps d'atténuer ce risque clé. Toutefois, l'hypothèse erronée selon laquelle des modifications législatives n'étaient pas nécessaires a déclenché une série d'événements qui ont fait en sorte que l'agence ne disposait pas des pouvoirs requis pour procéder au lancement de la V2 en . Au moment de la rédaction du présent rapport, les modifications requises n'avaient pas encore été entièrement réalisées.
24. Depuis 2018, l'unité chargée des programmes de la GCRA discute activement des modifications législatives avec d'autres intervenants internes clés et avec le département de la Sécurité intérieure des États-Unis. De plus, des organismes de gouvernance et de surveillance, comme le Conseil du projet de la GCRA (CPG) et le Comité de gestion des finances et des investissements (CGFI), ont reçu des mises à jour sur ce risque. Toutefois, l'examen des comptes rendus de décision du CPG sur une période de deux ans (de au ) a révélé que seulement trois discussions ont eu lieu sur les modifications réglementaires. Il n'y avait qu'une seule mention explicite du retard que ces modifications pourraient entraîner pour le lancement de la V2 de la GCRA.
25. Compte tenu des répercussions que pourrait avoir ce risque s'il se concrétisait, il est inquiétant que le CPG (qui agit à titre d'organisme décisionnel sur les questions importantes liées à la GCRA) n'ait pas abordé ce risque plus fréquemment. La communication entre l'équipe responsable du projet et les organismes de surveillance de l'agence pourrait être renforcée afin d'assurer une meilleure connaissance des principaux risques pour le lancement prévu de la V2 de la GCRA.
26. De 2017 à 2019, l'agence a commencé à travailler sur les modifications à apporter à la Loi sur les douanes pour appuyer la GCRA, y compris les modifications liées aux paiements électroniques et à la sécurité qui étaient prévues dans la Loi d'exécution du budget (LEB) et le projet de loi de modernisation annuelle des règlements (PLMAR 2020). En grande partie à cause de la pandémie de COVID-19, le dépôt des deux projets de loi a été reporté d'au moins un an. Au cours des travaux de développement de la V2 de la GCRA, il est devenu évident que le report des modifications législatives aurait une incidence considérable sur le lancement de la V2 en .
27. En tant que ministère responsable des modifications proposées dans la LEB, le ministère des Finances a demandé à l'ASFC de supprimer les références en double dans la LEB et le PLMAR en . L'agence a accepté et elle a retiré toutes les dispositions en double de la LEB. La LEB a reçu la sanction royale le , mais sans ces modifications clés relatives au paiement électronique et à la sécurité électronique. Si l'agence avait inclus ces pouvoirs clés, elle aurait pu exploiter la V2 de la GCRA.
28. Après l'adoption de la LEB, le PLMAR était l'instrument législatif qui contenait les modifications proposées à la Loi sur les douanes pour procéder à des modifications réglementaires. Toutefois, le PLMAR n'avait pas été déposé avant la fin de la session parlementaire du printemps 2021 et l'on n'a toujours pas procédé au dépôt. Par conséquent, l'ASFC est toujours dépourvue des pouvoirs législatifs nécessaires pour permettre l'application des dispositions requises en matière de paiement électronique. Bien que des mesures aient été prises pour atténuer le risque que le projet soit retardé si l'agence ne dispose pas des pouvoirs législatifs requis, les modifications législatives dépendent du cycle parlementaire et ne relèvent pas nécessairement de l'agence.
29. Les modifications législatives et réglementaires, y compris les modifications liées aux paiements électroniques, confèrent les pouvoirs nécessaires pour que la GCRA fonctionne comme prévu. Sans ces pouvoirs, l'agence ne sera pas prête pour le lancement de la V2 en , puisqu'elle ne pourra pas exiger légalement la perception de toutes les recettes auprès des importateurs et des courtiers par voie électronique.
8.3 Intégration et accréditation des partenaires de la chaîne commerciale
30. Lorsque la GCRA sera pleinement opérationnelle, tous les courtiers et importateurs (partenaires de la chaîne commerciale) qui font entrer des marchandises au Canada devront payer les droits et les taxes par le truchement du système de GCRA. Pour ce faire, tous les PCC doivent s'inscrire sur le portail client de la GCRA (également appelé intégration des PCC). Les grands courtiers et importateurs qui souhaitent utiliser leurs propres systèmes de déclaration devront faire ce qui suit (un processus qui prendra de 12 à 18 mois) :
- développer leur propre capacité de TI pour pouvoir utiliser le système de GCRA;
- obtenir l'accréditation de l'ASFC pour confirmer qu'ils possèdent les systèmes électroniques appropriés pour générer des données et les envoyer au système de GCRA et recevoir des données de ce système (également appelé accréditation des PCC).
31. L'intégration et l'accréditation sont essentielles au succès de la GCRA, puisqu'elles font en sorte que tous les PCC aient la capacité de faire la transition vers le nouveau système et d'envoyer les paiements requis à l'ASFC. Au cours de la phase d'examen de la vérification (fin ), l'agence affichait des résultats très modestes au chapitre de l'intégration des importateurs. En effet, seulement 6 165 importateurs sur un total estimé de 240 000 utilisateurs s'étaient inscrits sur le portail de la GCRA.
32. Dès , il a été déterminé que les faibles niveaux d'intégration et d'accréditation présentaient un risque élevé. Plus tard, en , l'agence a également constaté que les PCC n'étaient peut-être pas en mesure d'établir l'ordre de priorité des travaux liés à la GCRA en raison des pressions exercées par la pandémie. Bien que ce risque ait été clairement mis en évidence, aucune mesure d'atténuation concrète n'a été prise. Compte tenu des faibles taux d'intégration, il y a un risque plus grand que les PCC ne soient pas prêts à adopter le système, ce qui a une incidence sur la capacité de l'agence de tirer pleinement parti des avantages économiques de la GCRA.
33. Des entrevues conduites auprès d'intervenants ainsi qu'un examen des comptes rendus des décisions ont révélé que les organismes de surveillance, y compris le CPG et le Comité de gestion de la Direction générale, ont été informés régulièrement au sujet de l'intégration et de l'accréditation des PCC.
34. L'agence n'assurait pas le suivi et l'examen régulier des taux d'intégration des PCC. Cela a eu une incidence sur la capacité de l'agence de mesurer avec précision l'intégration et l'accréditation des PCC. L'agence a commencé à surveiller les taux d'intégration des PCC en au moyen de rapports d'étape bimensuels et de rapports sur la GCRA lorsque cette lacune a été relevée par les responsables de la vérification.
35. Les comptes rendus des décisions ont été examinés pour le groupe de travail sur les PCC (un groupe de travail qui se consacre à l'intégration des clients) et il a été déterminé que l'agence a élaboré une stratégie de communication et d'intégration. Cette stratégie était axée sur les PCC de plus grande taille et elle a donné lieu à l'inscription des 30 premiers courtiers en importance, lesquels représentent plus de 80 % de l'ensemble du volume et de la valeur des marchandises de l'ensemble des courtiers, ainsi que de 821 des 3 000 premiers importateurs en importance qui représentent plus de 80 % de la valeur des marchandises de l'ensemble des importateurs. Toutefois, cela a créé un écart par rapport aux petites et moyennes entreprises, puisque moins de 2 % de ces PCC ont adopté le système à ce jour. On ne sait pas comment ce risque sera atténué avant le lancement de .
36. Bien que l'agence effectue actuellement un suivi des taux d'intégration des PCC, il n'existe toujours aucune capacité de suivi ou de détermination des PCC qui ont obtenu l'accréditation pour recevoir des données du système de la GCRA et envoyer des données à ce système. Sans une intégration et une accréditation adéquates des PCC, l'agence court le risque que les importateurs et les courtiers de la collectivité des PCC ne soient pas prêts à adopter le système au moment de son lancement, ce qui pourrait avoir une incidence négative sur la circulation des marchandises à la frontière.
8.4 Intégration au Système d'évaluation du tarif et des risques amélioré
37. Le Système d'évaluation du tarif et des risques (SETR) est un ancien service de TI qui permettait de recevoir des renseignements sur les importations de la part des PCC afin d'évaluer les tarifs (droits et taxes). Dans le cadre de la GCRA, le SETR était en cours d'être remplacé par le SETR amélioré (SETR+) afin qu'il soit compatible avec l'infrastructure infonuagique de la GCRA. Initialement, cette mise à jour devait être effectuée lors du lancement de la version 1 (V1) de la GCRA en . Toutefois, les essais d'intégration des systèmes ont révélé des problèmes importants liés au SETR+ et ils n'ont pas pu être résolus avant la date limite initiale de pour la V1. Par conséquent, la mise à jour du SETR+ a été combinée au lancement de la V2 de la GCRA en . Sans le SETR+, le GC ne peut pas correctement évaluer les droits et les taxes qui lui sont dus.
38. La vérification a permis de déterminer que ce problème avait été signalé dans le rapport d'étape de la GCRA de . Pour corriger ce problème, l'agence a proposé de mettre en œuvre le SETR+ lors du lancement de la V2 plutôt que de la V1. Cette proposition a été approuvée en . Pour résoudre les problèmes du système, le fournisseur a dû apporter certains correctifs. De plus, un groupe de travail composé de représentants du fournisseur et de l'agence a été mis sur pied et chargé des points de contrôle et d'approbation prévus pour s'assurer que les exigences et les mesures d'atténuation finales sont convenues. Compte tenu de la complexité de la V2 de la GCRA, les travaux supplémentaires sur ce système ont eu une incidence sur la charge de travail de l'agence, ce qui a accru le risque d'un retard. Toutefois, des mesures ont été prises pour résoudre les problèmes liés au SETR+.
39. Les essais d'intégration de système de la V1 ont révélé que les problèmes liés au SETR+ étaient importants. L'équipe de la GCRA a présenté des rapports contradictoires concernant les raisons sous-jacentes qui ont fait en sorte que le SETR+ n'a pas été achevé à temps. Il s'agissait notamment de déterminer si des exigences clés du système (pour s'assurer que le SETR+ fonctionne correctement) avaient été communiquées au fournisseur. Étant donné que le SETR+ n'a pas été achevé à temps pour le lancement de la V1 de la GCRA en , cela a exercé une pression supplémentaire sur le calendrier de mise en œuvre de la V2 de la GCRA.
40. L'agence a continué de surveiller l'environnement changeant du SETR+ lors des mises à jour, des mesures de suivi et des discussions du groupe de travail, ainsi que des rapports d'étape bimensuels sur la GCRA qui faisaient état des progrès réalisés concernant le SETR+. Ces rapports sont également communiqués aux membres de la direction de la GCRA. Les échéances de mise en œuvre du SETR+ pour la V2 (la date limite initiale du et la nouvelle date limite du ) n'ont pas été respectées. Selon le rapport d'étape de la GCRA d', le SETR+ n'est toujours pas prêt et aucune date d'achèvement n'a été fixée.
41. En l'absence d'un SETR+ fonctionnel, l'agence risque de ne pas être en mesure d'évaluer les droits et les taxes que les importateurs et les exportateurs doivent à l'État, ce qui aura une incidence sur la capacité de l'agence d'exploiter le système de la GCRA et de réaliser tous les avantages attendus. Bien que le risque lié au SETR+ se soit concrétisé, l'agence a pris des mesures pour atténuer ce risque et le gérer. Il est essentiel que la surveillance et la communication se poursuivent pour que le SETR+ puisse être achevé avant le lancement.
8.5 Activités de préparation internes et externes
42. La vérification portait principalement sur l'évaluation des activités clés qui pourraient avoir une incidence sur l'état de préparation opérationnelle de l'agence pour .
8.5.1 Activités de préparation opérationnelle internes
8.5.1.1 Évaluations des répercussions opérationnelles
43. Les Évaluations des répercussions opérationnelles (ERO) cernent les lacunes relatives à l'état de préparation opérationnelle à l'échelle des directions générales ainsi que les activités correctives afin de maximiser la probabilité que les intervenants internes soient prêts pour la V2 de la GCRA. Un examen de la feuille de suivi des ERO a permis de constater que les 34 ERO de la V2 doivent être achevées d'ici et qu'elles en étaient à diverses étapes. Toutefois, en date du , aucune ERO de la V2 n'avait été achevée. Il convient de noter que les travaux de vérification ont pris fin en ; il n'a donc pas été possible de déterminer si les ERO de la V2 seront achevées comme prévu en .
44. Comme la V1 a suivi son propre processus d'ERO, la vérification a permis de déterminer si les leçons tirées des évaluations de la V1 ont été intégrées aux évaluations de la V2. Les leçons tirées des ERO de la V1 ont été présentées à la CPMOOG en . Au moyen d'entrevues, la direction a confirmé que les leçons tirées de l'ERO de la V1 devaient être appliquées au processus de la V2, ce qui suppose notamment d'entreprendre le processus d'ERO plus tôt et d'assurer une surveillance de toute augmentation de la charge de travail. Bien que les ERO de la V2 en étaient aux étapes préliminaires, il a été constaté que cela s'était produit. Des consultations avec les secteurs d'activité (Administration centrale et divisions régionales des services intégrés) ont eu lieu régulièrement entre et , dans le but de cerner les lacunes relatives à l'état de préparation des directions générales.
8.5.1.2 Service de dépannage des clients de la GCRA
45. Le Service de dépannage des clients de la GCRA (SDCG) appuie l'intégration des clients sur le portail de la GCRA et fournit aux clients internes et externes des personnes-ressources capables de résoudre les problèmes. Toutefois, bien que le SDCG appuie l'intégration des clients, ce sont les activités de mobilisation des intervenants que mène l'agence auprès des PCC qui contribuent à la sensibilisation et à l'inscription au portail. Le SDCG a été mis en œuvre le , soit la veille du lancement de la V1 de la GCRA. Les rôles et les responsabilités des agents du SDCG avaient été définis et présentés dans un manuel à l'intention des agents, et une formation avait été donnée aux membres de l'équipe.
46. L'équipe de vérification a examiné le plan de formation du SDCG afin d'évaluer la portée de la formation, et elle a constaté que le programme comportait plus de 90 cours et lectures. De plus, un calendrier de formation a confirmé que la formation des agents du SDCG a été donnée entre le et le . La direction a confirmé que les agents du SDCG avaient suivi la formation avant le lancement de la V1.
47. Pour évaluer l'activité opérationnelle du SDCG, l'équipe de vérification a examiné les rapports sur les activités opérationnelles qui sont produits à l'interne par le personnel du SDCG et présentés lors des réunions d'équipe hebdomadaires. Ils portent notamment sur ce qui suit :
- statistiques sur les volumes d'appels;
- détermination des défis et des enjeux;
- leçons apprises et mesures prises pour y donner suite.
48. La mise en place et l'opérationnalisation du SDCG ont facilité la gestion des problèmes auxquels les clients internes et externes ont fait face lors de leur intégration et de leur navigation dans le système. Le SDCG constitue une activité positive à l'appui de l'état de préparation opérationnelle.
8.5.1.3 Conseil de préparation et de mise en œuvre opérationnelles de la GCRA
49. Le mandat du Conseil de préparation et de mise en œuvre opérationnelles de la GCRA (CPMOOG) consiste à surveiller les progrès et à assurer la responsabilisation en ce qui a trait à la préparation opérationnelle et à la mise en œuvre de la GCRA. Le mandat du CPMOOG indique que le conseil d'administration est chargé de surveiller la préparation et l'exécution des activités de préparation opérationnelle que l'ASFC doit mener à bien pour chaque version de la GCRA.
50. Le CPMOOG joue un rôle essentiel dans la gouvernance du projet de la GCRA parce qu'il complète le CPG, lequel assure la gouvernance du projet de la GCRA conformément au cadre de gestion de projet (CGP) de l'ASFC. Le CPG et le CPMOOG relèvent tous deux du Comité exécutif (CE), le forum décisionnel de la haute direction de l'ASFC.
51. Lors de la vérification, tous les tableaux de bord et les comptes rendus des décisions de janvier à ont été examinés afin de déterminer dans quelle mesure le CPMOOG assurait une surveillance efficace de l'état de préparation de l'agence en ce qui a trait à la V2 de la GCRA. Bien que l'on ait établi que le CPMOOG a assuré une surveillance efficace des activités de préparation opérationnelle soumises au comité, l'on a également relevé une lacune en ce qui concerne les rapports du CPMOOG sur la gestion des risques. Plus précisément, seul le compte rendu des discussions du CPMOOG de mentionnait qu'il était nécessaire de surveiller les pouvoirs législatifs et réglementaires. Par conséquent, il n'est pas clair dans quelle mesure le CPMOOG a appuyé le CE en assurant une surveillance efficace d'un risque important qui a une incidence sur la capacité de l'agence de lancer la V2 de la GCRA en .
52. La surveillance de l'état de préparation opérationnelle par le CPMOOG permet de s'assurer que les principaux risques sont bien gérés. Si les comités de gouvernance de la haute direction ne reçoivent pas de rapports sur les principaux risques, il est plus probable que les décideurs clés ne reçoivent pas en temps opportun les conseils ou la rétroaction sur l'état de préparation opérationnelle de la GCRA qui leur permettraient de gérer les risques de façon appropriée.
8.5.1.4 Plan de projet intégré
53. Le plan de projet intégré (PPI) est le principal plan de projet de la GCRA. Il est révisé pour s'assurer que toute modification des échéances soit reflétée dans un PPI à jour. Il est important de tenir à jour le PPI pour assurer le suivi des produits livrables de la V2 de la GCRA qui peuvent avoir une incidence sur la capacité d'un secteur d'activité de réaliser une activité requise pour atteindre l'état de préparation opérationnelle. Compte tenu de ce contexte, l'équipe de vérification a examiné le PPI afin de s'assurer que les changements apportés aux échéanciers sont reflétés dans un PPI à jour.
54. Il a été démontré que le PPI avait été mis à jour pour refléter les nouvelles dates limites, plus particulièrement à la suite de deux demandes de changement importantes en et en . Toutefois, il est possible d'utiliser le PPI comme un outil de surveillance plus efficace, plus particulièrement en tant que mécanisme d'alerte précoce pour les produits livrables dont la date de livraison pourrait ne pas être respectée, ce qui pourrait compromettre la préparation opérationnelle. À titre d'exemple, les modifications législatives du PLMAR ont été rapportées comme étant « en retard » dans le PPI de (la date d'achèvement prévue était le ). Toutefois, le CPMOOG n'avait pas encore examiné ce risque au cours de l'année civile. Par conséquent, si l'examen du PPI était un point permanent à l'ordre du jour du CPMOOG, cela pourrait permettre aux responsables du projet de la GCRA de prévenir les risques liés à l'état de préparation opérationnelle avant qu'ils ne se concrétisent.
55. Les progrès réalisés au chapitre des activités internes devraient permettre d'atteindre l'état de préparation opérationnelle. Toutefois, le CPMOOG et le PPI constituent des possibilités pour l'agence d'appuyer plus efficacement la GCRA.
8.5.2 Activités de préparation opérationnelle externes
8.5.2.1 Sondage auprès des partenaires de la chaîne commerciale
56. Le sondage auprès des partenaires de la chaîne commerciale vise à fournir à l'équipe de projet de la GCRA des renseignements sur l'état de préparation au changement des PCC afin d'adapter les documents (p. ex. outils de travail) et les communications concernant la V2 qui sont destinés aux PCC. Un premier sondage de mobilisation sur la V2 a été réalisé en , et un deuxième sondage est prévu pour . Le premier sondage a permis de rejoindre la communauté externe, de poser des questions sur les méthodes de communication privilégiées et d'examiner les futures activités de facilitation du changement. La direction a obtenu de précieux renseignements sur les activités de mobilisation qui ont la plus grande incidence sur l'état de préparation au changement des PCC. Cela permettra d'orienter les futures communications et les produits d'intégration. Par exemple, continuer d'utiliser le courrier électronique (la boîte aux lettres), de mettre à jour le site Web et de fournir davantage de produits axés sur l'action (c.-à-d. listes de vérification et feuilles de travail) pour indiquer ce qui est nécessaire pour assurer l'état de préparation en vue de la V2 de la GCRA.
57. L'ASFC souhaitera peut-être tirer parti de l'information recueillie auprès du groupe de travail sur les PCC pour peaufiner le sondage en fonction des défis connus auxquels font face les PCC, pour ainsi leur démontrer qu'elle tient compte de leurs préoccupations, ce qui pourrait avoir une incidence positive sur l'adhésion à la V2 de la GCRA. Pour le prochain sondage prévu en , il faut consacrer suffisamment de temps à la détermination des lacunes et à la mise en œuvre des mesures correctives avant le lancement de la V2 de la GCRA.
8.5.2.2 Boîte aux lettres de mobilisation auprès des intervenants
58. La boîte aux lettres de mobilisation auprès des intervenants est utilisée pour les communications internes et externes, la planification des activités et la communication proactive avec les PCC. La boîte aux lettres a été créée en 2018. Elle comporte un processus documenté pour répondre aux messages des PCC, et des experts en la matière sont consultés au besoin.
59. Les responsables de la vérification ont examiné un échantillon de courriels de la boîte aux lettres de mobilisation des intervenants afin de déterminer son efficacité en analysant ce qui suit :
- la manière dont les renseignements sont pris en considération;
- la rapidité des réponses;
- la manière dont les problèmes sont réglés.
60. Il a été déterminé que, depuis sa création, la boîte aux lettres a reçu plus de 1 000 questions de la part des PCC. Diverses approches sont utilisées pour les communications externes effectuées au moyen de la boîte aux lettres, notamment la publication de foires aux questions toutes les deux semaines sur un site de documents de Google. Cela permet de fournir aux PCC des solutions aux problèmes qu'ils pourraient éprouver. Dans le sondage sur la mobilisation des PCC, la boîte aux lettres a été désignée comme la méthode de communication privilégiée par les PCC qui souhaitent engager le dialogue avec l'agence.
61. Alors que l'agence se prépare au lancement de la V2 de la GCRA, il est essentiel de maintenir un canal de communication efficace avec les PCC pour assurer le succès du lancement. La boîte aux lettres a été une étape positive pour ce qui est de recueillir les commentaires de la collectivité des PCC, et l'agence devrait continuer de l'utiliser.
8.5.3 Formation sur la GCRA
62. L'unité de formation de la GCRA (UFG), Division de la facilitation du changement de la GCRA, a un rôle essentiel à jouer pour veiller à ce que les documents de mobilisation et les plans de formation sur la GCRA soient élaborés et communiqués. Le fournisseur est responsable de la prestation de toute la formation. Même si la vérification ne portait pas sur le rendement de l'entrepreneur en ce qui a trait à la formation, l'équipe a examiné le rôle que joue l'ASFC en ce qui concerne la formation, étant donné que l'agence est responsable de l'approbation finale de tous les documents de formation et de toutes les méthodes de prestation.
63. La formation sur la V1 de la GCRA comportait une série de pratiques exemplaires qui devraient être adoptées pour la V2. Plus précisément, compte tenu des contraintes associées à la pandémie mondiale, l'agence a approuvé différentes méthodes de prestation de la formation, notamment des séances virtuelles avec instructeur, l'apprentissage à progression autocontrôlée, la plateforme « Enable Now » de SAP et l'utilisation de YouTube. Dans l'ensemble, les commentaires formulés lors des séances de la V1 laissaient entendre que l'agence devrait appliquer les leçons apprises afin d'optimiser l'accessibilité de la formation pour la V2. L'agence est également en bonne position pour procéder à une réorientation ou à un ajustement si les restrictions imposées en raison de la COVID-19 sont levées, étant donné que l'UFG dispose d'installations de formation à Rigaud qui peuvent être utilisées pour la formation sur la V2 de la GCRA.
64. En , la stratégie de formation sur la V2 avait été élaborée et il semblait que l'UFG serait en mesure de fournir le matériel de formation final en . Même si la stratégie de formation pour la V2 est achevée, il convient de noter que le matériel de formation ne pourra être produit qu'une fois que les essais d'acceptation par l'utilisateur seront terminés. À la suite du report de huit semaines de la conception de la solution de la V2 de la GCRA (en ), l'UFG a présenté une demande de changement afin d'ajouter des entrepreneurs pour les services de traduction et d'ajuster les échéanciers. Il s'agit d'une mesure positive qui permettra de régler les problèmes liés à la capacité de traduction qui ont eu une incidence négative sur la distribution des documents de formation traduits pour la V1. Toutefois, les calendriers de formation dépendent grandement de la conception de la solution. Le temps alloué à la formation pour le lancement de la V2 en pourrait être insuffisant si le lancement devait être reporté. Les retards continus dans la conception de la solution ont exercé des pressions sur les calendriers de formation, ce qui pourrait avoir des répercussions négatives importantes sur l'état de préparation de l'agence pour la V2.
65. L'ASFC s'acquitte de ses responsabilités en matière de formation et elle a mis en place des méthodes adaptées aux restrictions imposées en raison de la pandémie. Toutefois, le report de la mise en place de la solution a une incidence sur les plans et le matériel de formation et les calendriers de formation pourraient être réduits.
8.6 Sécurité et intégration des systèmes de technologie de l'information
66. L'ASFC doit s'assurer que le système de GCRA satisfait aux exigences établies dans l'énoncé des travaux. L'énoncé des travaux contient une liste des produits livrables convenus entre le fournisseur et l'ASFC. L'une des principales méthodes permettant de s'assurer que le système satisfait aux exigences est de procéder à des essais d'acceptation par l'utilisateur (EAU). L'EAU est l'un des derniers types d'essais effectués avant la mise en service du système. Une fois que l'ASFC a approuvé l'EAU, cela indique qu'elle croit que le système satisfait à ses exigences et peut être mis en œuvre. Afin de déterminer les progrès réalisés par l'agence dans le cadre des initiatives opérationnelles clés relatives à la préparation opérationnelle en vue du lancement de la V2 (), l'équipe de vérification a évalué l'intégration des systèmes de TI clés et la sécurité de la TI.
8.6.1 Intégration des systèmes de TI
67. L'intégration des systèmes de TI désigne le processus d'élaboration de la solution de TI de la GCRA et de son intégration à l'infrastructure et aux anciens systèmes de l'ASFC. Comme il est indiqué dans l'énoncé des travaux, le fournisseur est responsable de l'intégration aux systèmes. Toutefois, il incombe ultimement à l'ASFC de veiller à ce que le système en cours d'élaboration soit conforme à ses exigences. Cela se fait principalement au moyen d'EAU. Ces essais consistent à mettre à l'essai le logiciel pour confirmer qu'il fonctionne correctement et qu'il est conforme aux exigences.
68. Pour la V1 de la GCRA, alors qu'un délai de 8 semaines était prévu pour effectuer les EAU, il aura fallu 16 semaines pour les achever. À la suite de la mise à l'essai de l'intégration des systèmes, on a proposé de mettre sur pied une équipe spéciale pour régler les problèmes d'intégration qui ont été relevés. L'équipe responsable de la GCRA a plutôt réalisé, sous la direction d'un consultant, une évaluation des interfaces de la GCRA pour la V2 entre juillet et afin d'atténuer les risques de façon proactive. Ces constatations faites dans le cadre de l'évaluation ont été présentées lors d'une réunion de l'équipe de direction de la GCRA à la fin d'. Plusieurs questions clés ont été soulevées à cette occasion, y compris le SETR, ainsi que l'intégration de la GCRA et des systèmes de l'Agence du revenu du Canada (ARC).
69. Le rapport d'étape de la GCRA et la cote de santé de Gartner ont permis de cerner certains risques liés à l'intégration aux systèmes, mais les délais serrés pour la réalisation des essais d'acceptation par l'utilisateur n'ont pas été corrigés. À l'heure actuelle, sept semaines d'EAU sont prévues pour la V2, mais les représentants de l'agence ont indiqué qu'il faut compter de trois à quatre mois. Les EAU sont l'un des derniers types d'essais effectués avant le lancement et une approbation signifie que le système satisfait aux exigences et peut être mis en œuvre. En raison du report de huit semaines de la conception de la solution en , les essais d'intégration aux systèmes n'ont pas commencé comme il était prévu dans le PPI.
70. Au moment du lancement de la V2, certains anciens systèmes ne seront plus utilisés, ce qui n'était pas le cas lors du lancement de la V0 et de la V1, puisque les anciens systèmes étaient toujours utilisés. Par conséquent, une surveillance et une mise à l'essai efficaces sont essentielles pour la V2 de la GCRA puisqu'elle est beaucoup plus complexe et risquée que la V1. En , il n'y avait pas de plan d'urgence pour le lancement de la V2 de la GCRA si les exigences du système n'étaient pas satisfaites.
71. Des retards importants dans la conception de la solution ont eu une incidence sur les activités d'intégration essentielles qui doivent être réalisées, y compris la résolution des problèmes d'interface et la réalisation d'essais d'acceptation par l'utilisateur. Si le temps ne permet pas de mener à bien ces travaux, il y a un risque accru que le système ne réponde pas à toutes les exigences. Par conséquent, le système pourrait ne pas fonctionner comme prévu, ce qui pourrait poser des risques juridiques et d'atteinte à la réputation de l'agence.
8.6.2 Sécurité de la TI
72. Le processus d'autorisation et d'accréditation de sécurité permet de s'assurer que les évaluations de sécurité appropriées pour le GC et le fournisseur de services infonuagiques seront réalisées avant le lancement de la V2 de la GCRA. L'ASFC a harmonisé les exigences et les lignes directrices des organismes centraux à son Cadre de la gestion du cycle de vie des services (CGCVS) en suivant la méthode de contrôle de la gestion de la sécurité (MCGS).
73. Les produits livrables pour l'autorisation et l'accréditation de sécurité de la V2 de la GCRA comprennent quatre étapes séquentielles :
- Rapport d'évaluation de sécurité critique : Les rapports d'évaluation de sécurité critique de la V2 pour le GC et le fournisseur de services infonuagiques ont été préparés et présentés à la haute direction de l'ASFC en .
Bien qu'elles soient prévues dans le PPI, les étapes suivantes n'ont pas encore été réalisées et n'ont pas pu être évaluées :
- Rapport d'évaluation de sécurité final : Ce rapport est essentiel pour cerner les risques pour la sécurité qui subsistent.
- Plan d'action de la gestion de la sécurité : Ce plan d'action porte sur les risques pour la sécurité cernés dans le rapport d'évaluation de sécurité final.
- Autorisation d'exploitation : Il s'agit de la dernière étape en vue du lancement et de l'exploitation de la V2 de la GCRA.
74. En raison de retards importants dans la conception du système pour la V2 de la GCRA, la préparation du rapport d'évaluation de sécurité final a été reportée. Selon le plus récent rapport d'étape, la préparation du rapport d'évaluation de sécurité final devrait commencer en ; seulement trois mois avant le lancement de la V2 en . Il a fallu environ sept mois pour préparer le rapport d'évaluation de sécurité final et le plan d'action de la gestion de la sécurité en vue de la V1. Par conséquent, il faut allouer suffisamment de temps pour la préparation du rapport d'évaluation de sécurité final et du plan d'action de la gestion de la sécurité pour la V2 afin de s'assurer que tous les problèmes de TI ont été réglés avant le lancement du système.
75. Le processus d'autorisation et d'accréditation de sécurité est un élément essentiel qui doit être achevé avant le lancement de la V2. Toutefois, si la version est incomplète, l'agence ne peut pas mener à bien les activités essentielles pour achever son processus d'autorisation et d'accréditation de sécurité et lancer le système. Le processus d'autorisation et d'accréditation de sécurité de l'agence est conforme aux exigences en matière de sécurité définies par les organismes centraux. Toutefois, l'agence devrait veiller à allouer suffisamment de temps à la préparation du rapport final d'évaluation de la sécurité et des plans d'action de gestion de la sécurité afin de s'assurer que tous les problèmes liés à la TI ont été réglés avant que l'agence lance le système.
Recommandation
Le vice-président de la Direction générale du secteur commercial et des échanges commerciaux devrait réviser l'ensemble actuel des mises à jour du projet destinées à la haute direction et aux comités de gouvernance pour mieux cerner les risques principaux, les stratégies d'atténuation, les échéanciers et les considérations budgétaires de manière à favoriser un processus décisionnel opportun, éclairé et stratégique pour tous les secteurs de risques élevés.
Réponse de la direction
Le vice-président de la Direction générale du secteur commercial et des échanges commerciaux fournira des comptes rendus réguliers, ciblés et stratégiques à la haute direction au moyen de tableaux de bord, de rapports ou de séances d'information, et s'efforcera de parvenir à l'harmonisation formelle des partenaires d'exécution afin d'assurer la mise en œuvre de stratégies d'atténuation des risques efficaces et de se concentrer sur la préparation de la GCRA et l'exécution de la V2.
Les ressources du projet de GCRA collaborent toujours étroitement avec les partenaires opérationnels pour les aider à mieux comprendre la solution de GCRA, favoriser le repérage de processus opérationnels nouveaux ou modifiés pour mettre en œuvre la GCRA, veiller à ce que les plans de préparation opérationnelle soient examinés en fonction d'échéanciers ciblés pour la V2 et tenir des séances individuelles avec les représentants des responsables opérationnels afin de déterminer où et comment le projet peut soutenir un meilleur état de préparation en vue de la version finale.
Achèvement complet :
Détails de la page
- Date de modification :