Disclosure of wrongdoing under the Public Servants Disclosure Protection Act (PSDPA) 2017-2018

Description of wrongdoing

A disclosure under the PSDPA raised three allegations about an Information Management/Information Technology contract, namely that a contract had been backdated, which resulted in overpayment of an invoice and overpayment of interest.

Action taken

A thorough investigation revealed that the allegations were not substantiated. There were invoice processing issues that resulted in minor overpayments of interest, but did not result in overpayment over the life of the contract and did not constitute wrongdoing. However, another issue identified by the investigator resulted in the Authorized Chief Executive concluding there was a wrongdoing. Specifically, it was determined there was gross mismanagement under section 8(c) of the PSDPA, as amendments were used to extend the contract numerous months past expiry with significant public funds expended without benefit of the competitive contracting process. It was determined the wrongdoing was the result of systemic issues. Due to the number of employees involved in the management of the contracting and procurement processes there was a diffusion of responsibility. No employee profited as a result of the contract extensions and the RCMP received value for money in terms of the services that were provided.

Recommendations

The investigation resulted in recommendations for remedial action being made to the Authorized Chief Executive.

Corrective action

The RCMP has taken steps to ensure there is an adequate system for coordinating, tracking, and renewing contracts on a timely basis and that interest on overdue accounts is paid in accordance with contract terms and conditions. Employees have received remedial training regarding contracting and procurement practices. These steps are subject to monitoring by the Authorized Chief Executive and Senior Officer.

Vérification du Programme de la sécurité du personnel

Rapport épuré

Juillet 2016

Ce rapport fut revu en considération de la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels. Certaines parties du texte comprises dans ces documents ne peuvent pas être publiées et sont identifiées comme suit : [ *** ]; l'information publiée est NON-CLASSIFIÉE.

Table des matières

1. Sigles et abréviations
2. Sommaire
3. Réponse de la direction
4. 1. Contexte
5. 2. Objectif, portée, méthode et énoncé de conformité
   • 2.1 Objectif
   • 2.2 Portée
   • 2.3 Méthode
   • 2.4 Énoncé de conformité
6. 3. Constatations
   • 3.1 Activités du Programme depuis 2011
   • 3.2 Possibilités d'optimisation du processus
7. 4. Conclusion
8. 5. Recommandations
9. Annexe A – Objectif et critères de vérification
10. Annexe B – Aperçu du processus de triage
11. Annexe C – Résultats détaillés de l'examen des dossiers

Sigles et abréviations

ASM

Agent de la sécurité ministérielle

CFG

Cote de fiabilité de la GRC

CT

Conseil du Trésor

DGSM

Directive sur la gestion de la sécurité ministérielle

DPI

Dirigeant principal de l'Information

DPRH

Dirigeant principal des Ressources humaines

EMS

État-major supérieur

ETP

Équivalent temps plein

GRC

Gendarmerie royale du Canada

NFS

Norme sur le filtrage de sécurité

PSG

Politique sur la sécurité du gouvernement

PSM

Plan de sécurité ministérielle

PVR

Plan de vérification axé sur les risques

SDSM

Sous-direction de la sécurité ministérielle

SEDSI

Services en direct de sécurité industrielle

SGAS

Système de gestion des accréditations de sécurité

SIGRH

Système d'information sur la gestion des ressources humaines

SII

Système intégré d'information

SNGDA

Système national de gestion des dossiers administratifs

SPS

Services de police spécialisés

SSM

Section de la sécurité ministérielle

TI

Technologies de l'information

Sommaire

En sa qualité de service de police national du Canada, la Gendarmerie royale du Canada (GRC) doit assurer l'intégrité de près de 30 000 employés, 25 000 entrepreneurs et plus de 17 000 bénévoles dans au-delà de 700 collectivités partout au Canada. Elle s'acquitte de cette responsabilité en effectuant un triage sécuritaire approprié avant leur entrée en fonction et en faisant périodiquement des vérifications de mise à jour par la suite.

Ces dernières années, le Programme de la sécurité ministérielle a eu de la difficulté à fournir le niveau de service attendu en raison de contraintes financières qui se sont accompagnées d'une hausse de la demande après la mise en œuvre de Services partagés Canada, du nouveau Service de protection parlementaire et de l'initiative nationale d'intensification du recrutement de membres réguliers. Pour accroître l'efficience de son programme de triage sécuritaire et assurer la satisfaction des exigences opérationnelles, la Sous-direction de la sécurité ministérielle (SDSM) a donc apporté un certain nombre de modifications au processus et se penche actuellement sur d'autres améliorations possibles.

La vérification du Programme de la sécurité du personnel effectuée en 2011 a révélé que le processus de triage sécuritaire du personnel de la GRC manquait de rigueur. De plus, il était difficile d'évaluer l'atteinte des objectifs de ce processus en raison du manque de surveillance et de supervision à son égard et de la structure hiérarchique en place à l'époque. ***.

La vérification de cette année a confirmé la réalisation de certains progrès; par exemple, le processus est maintenant appliqué plus rigoureusement, il a fait l'objet de plusieurs mesures visant à améliorer son efficience, et la tolérance au risque est mieux définie et communiquée. ***. Des améliorations s'imposent à ces égards afin de favoriser la prestation efficace et efficiente du programme de triage sécuritaire.

Les vérificateurs ont observé plusieurs problèmes relatifs à la ***. La SDSM est consciente des problèmes à ce chapitre et travaille à améliorer la saisie des données sur le rendement. Malgré les obstacles en question, l'examen des dossiers et l'analyse des données disponibles sur le programme ont permis de relever plusieurs possibilités d'optimisation du processus.

La réponse de la direction incluse dans le présent rapport témoigne de la détermination des cadres supérieurs à donner suite aux conclusions et recommandations issues de la vérification. La direction s'emploie d'ailleurs à élaborer un plan d'action détaillé en ce sens. Lorsqu'il sera approuvé, la Vérification interne de la GRC surveillera sa mise en œuvre et fera, au besoin, une vérification de suivi.

Réponse de la direction

Les Services de police spécialisés (SPS) souscrivent aux recommandations issues de la vérification du Programme de la sécurité du personnel ***. Ils considèrent également l'optimisation et la normalisation des méthodes de fonctionnement ainsi que la mise en œuvre d'un cadre national de supervision et de mesure du rendement comme des éléments essentiels à la prestation réussie du programme.

Dans cette optique, les SPS ont entrepris, avant même que la vérification soit terminée, des démarches importantes qui visent à corriger les problèmes de supervision du programme en mettant l'accent sur la normalisation des méthodes de fonctionnement pour améliorer la gouvernance à l'échelle nationale. Ils sont toutefois conscients du fait qu'il reste beaucoup à faire. Bon nombre des problèmes relevés lors de la vérification étaient bien connus et figurent parmi les priorités énoncées dans le Plan de sécurité ministérielle (PSM) de la GRC pour 2015-2018. Les SPS ont d'ailleurs commencé à mettre en œuvre le PSM et les technologies de l'information (TI) nécessaires à son exécution. Ils continueront également à collaborer avec les principaux intéressés et avec l'État-major supérieur (EMS) afin de cerner les coûts du programme et de mettre en œuvre un modèle de financement qui tient compte des priorités, de la tolérance au risque et des capacités de l'organisation.

Les SPS poursuivront leurs efforts pour donner suite aux recommandations pendant les deux prochains exercices, comme le prévoit le PSM. Un plan d'action détaillé à l'égard de ces recommandations sera soumis au Comité ministériel de vérification avant sa prochaine réunion.

Le sous-commissaire aux SPS,
Peter Henschel

1. Contexte

En sa qualité de service de police national du Canada, la GRC doit assurer l'intégrité de près de 30 000 employés, 25 000 entrepreneurs et plus de 17 000 bénévoles dans au-delà de 700 collectivités partout au Canada. Elle s'acquitte de cette responsabilité en effectuant un triage sécuritaire approprié avant leur entrée en fonction et en faisant périodiquement des vérifications de mise à jour par la suite.

Le processus de triage sécuritaire de la GRC est assujetti aux exigences énoncées dans trois documents du Conseil du Trésor (CT), soit la Politique sur la sécurité du gouvernement (PSG), la Directive sur la gestion de la sécurité ministérielle (DGSM) et, depuis le 20 octobre 2014, la Norme sur le filtrage de sécurité (NFS), qui a remplacé de la Norme sur la sécurité du personnel entrée en vigueur le 9 juin 1994. La NFS établit les nouvelles activités de filtrage approfondi exigées des ministères et des organismes qui remplissent ou appuient de façon directe des fonctions de sécurité et de renseignement. L'annexe B de la NFS (Modèle et critères de filtrage de sécurité) présente les activités de filtrage ordinaire et de filtrage approfondi. Elle prévoit la consultation de sources ouvertes pour toutes les habilitations de sécurité exigeant un filtrage approfondi et la réalisation d'un test polygraphique pour la cote Très secret approfondi. La NFS prévoit une période de mise en œuvre de 36 mois, ce qui signifie que les ministères et les organismes ont jusqu'en octobre 2017 pour s'y conformer. La GRC a par ailleurs diffusé à l'échelle nationale sa politique et ses procédures internes relatives au triage sécuritaire en les publiant dans son Manuel de la sécurité.

La NFS décrit le filtrage de sécurité comme une pratique fondamentale qui est au cœur de la PSG et qui permet d'établir et de maintenir une relation de confiance au sein du gouvernement, entre le gouvernement et les Canadiens ainsi qu'entre le Canada et d'autres pays.

Selon la PSG, il incombe au commissaire, à titre d'administrateur général, d'assurer la mise en œuvre et la gouvernance efficaces des activités de gestion de la sécurité et de l'identité au sein de la GRC. Le commissaire doit désigner un ASM qui assumera la responsabilité fonctionnelle de la gestion du Programme de sécurité ministérielle. À la GRC, cette responsabilité est confiée au directeur général de la SDSM.

La DGSM vise à assurer la gestion efficiente, efficace et responsable de la sécurité dans les ministères. Elle prévoit la coordination centralisée des activités de sécurité ministérielle et leur intégration systématique aux opérations courantes afin que les personnes, les informations, les biens et les services soient protégés. De plus, elle définit les rôles et les responsabilités des employés qui appuient l'administrateur général de leur ministère dans la gestion de la sécurité ministérielle.

Le Programme de la sécurité du personnel de la GRC assure la fiabilité et l'habilitation de sécurité des personnes qui ont accès aux systèmes d'information, aux données et aux biens matériels de l'organisation en les soumettant au processus de triage sécuritaire de la GRC, qui appuie l'attribution, le refus, la suspension ou la révocation de la cote de fiabilité de la GRC (CFG) et, si le poste l'exige, de la cote de sécurité Secret ou Très secret.

Les activités de triage sécuritaire de la GRC sont exercées et soutenues dans l'ensemble du pays par la SDSM et quatre sections de la sécurité ministérielle (SSM), qui se trouvent à Vancouver, Regina, Halifax et Ottawa. Le processus de triage sécuritaire comporte plusieurs étapes, y compris des vérifications quant aux études, aux emplois, à la solvabilité et au casier judiciaire ainsi que la conduite d'entrevues et d'enquêtes sur le terrain. Lorsqu'une CFG ou une cote de sécurité expire, elle doit être mise à jour pour que sa durée de validité soit prolongée. Un aperçu du processus est présenté à l'Annexe B.

En 2014, la SDSM a signalé que les habilitations de sécurité en attente de mise à jour continuaient à s'accumuler et que la lenteur des activités de triage requises pour les nouveaux employés, les employés faisant l'objet d'un détachement et les employés occasionnels (entrepreneurs) causait des problèmes considérables aux gestionnaires recruteurs dans toute l'organisation. Les retards dans le processus de triage ont une incidence sur les opérations et l'établissement de partenariats; ils peuvent aussi entraîner l'annulation de fonds octroyés dans le cadre de contrats, faire subir des pénalités à la GRC pour cause de manquement à ses obligations contractuelles et amener des postulants qualifiés à accepter un emploi ailleurs.

Dans une analyse de rentabilisation publiée en 2015 sur la transformation du programme national de la Sécurité ministérielle (Transforming the National Departmental Security Program), la SDSM a noté que le délai moyen nécessaire à l'attribution d'une cote de fiabilité variait beaucoup d'une division à l'autre, soit de 17 à 52 semaines, alors que la norme de service établie par la SDSM prévoit un délai de 8 à 10 semaines. L'analyse de rentabilisation mentionne aussi que les besoins en triage sécuritaire ont beaucoup augmenté depuis que le gouvernement du Canada a regroupé ses services (en matière de TI et de rémunération entre autres), que le nombre de cadets recrutés par la GRC est passé de 320 à 960 par année en 2014 et qu'une importance accrue est accordée aux mesures de sécurité devant l'émergence de nouvelles menaces.

En 2011, la Vérification interne de la GRC a effectué un audit du Programme de la sécurité du personnel. Les conclusions suivantes en sont ressorties : il fallait accroître la rigueur du processus de triage sécuritaire, la supervision et la surveillance de ce processus étaient insuffisantes, et le niveau de tolérance au risque des cadres supérieurs était insuffisamment communiqué et compris.

En avril 2014, le commissaire a approuvé la réalisation d'un autre audit du Programme de la sécurité du personnel dans le cadre du Plan de vérification axé sur les risques (PVR) pour 2014-2017. Selon ce qui était prévu dans le PVR, cet audit devait s'accompagner d'un suivi pour évaluer la mise en œuvre du plan d'action élaboré par la direction en réponse aux recommandations formulées au terme de la vérification effectuée en 2011.

2. Objectif, portée, méthode et énoncé de conformité

2.1 Objectif

La vérification avait pour objectif d'évaluer l'efficience et l'efficacité des modalités de triage sécuritaire afin de déterminer si elles étaient conformes à la PSG et à la NFS, si elles étaient rationalisées et si elles s'accomplissaient dans un délai raisonnable.

2.2 Portée

La vérification a porté sur les modalités et les activités de filtrage qui avaient cours à la Direction générale et dans les SSM régionales à l'égard des membres réguliers, des membres civils, des employés de la fonction publique et des entrepreneurs. La vérification a compris également un examen indépendant des modalités de triage sécuritaire, y compris des initiatives d'examen et de schématisation entreprises à leur égard par la SDSM, afin de trouver des moyens possibles d'accroître l'efficience sans augmenter de façon indue les risques pour la GRC, tout en assurant la conformité à la PSG et à la NFS.

Le travail accompli dans le cadre de la vérification a également permis de faire l'évaluation et le compte rendu de l'état d'avancement du plan d'action dressé par la direction après la vérification de 2011.

2.3 Méthode

La planification de la vérification s'est terminée en juillet 2015. Durant cette phase, l'équipe de vérification a tenu des entrevues, procédé à une revue générale des modalités en vigueur et examiné les politiques, les directives et les procédures pertinentes ainsi que les résultats d'examens antérieurs.

Les sources utilisées pour élaborer les critères de vérification comprennent les politiques du CT et de la GRC. L'objectif et les critères de vérification sont énoncés à l'Annexe A.

Pendant la phase d'examen, qui s'est terminée en mars 2016, les vérificateurs ont employé diverses techniques, notamment des entrevues, des examens de la documentation et des dossiers, des analyses ainsi que des activités d'observation physique. Ils ont fait des visites sur place dans chacune des quatre SSM et à la SDSM. Après la phase d'examen, l'équipe de vérification a tenu des réunions afin de valider ses constatations auprès du personnel et a présenté les conclusions pertinentes à la haute direction.

2.4 Énoncé de conformité

La mission de vérification est conforme aux normes de vérification interne du gouvernement du Canada, comme en font foi les résultats du programme d'assurance et d'amélioration de la qualité.

3. Constatations

La vérification du Programme de la sécurité du personnel effectuée en 2011 a révélé que le processus de triage sécuritaire de la GRC ***. Les vérificateurs ont également constaté qu'il était difficile de déterminer si le processus atteignait ses objectifs en raison du manque de surveillance et de supervision à son égard et de la structure hiérarchique en place à l'époque. ***.

La direction a accepté les constatations et les recommandations issues de la vérification et s'est engagée à mener un examen dans le but d'accroître la rigueur du processus de triage sécuritaire. Cet examen devait inclure des consultations visant à établir une structure hiérarchique appropriée. La direction a également pris l'engagement de définir sa tolérance au risque et de la communiquer par l'intermédiaire de l'EMS de la GRC, ***.

Nous nous attendions donc à ce que la nouvelle vérification révèle la prise de mesures pour améliorer de façon globale la rigueur et l'efficience du processus de triage sécuritaire, plus précisément :

• à ce que les dossiers de sécurité soient conformes aux exigences de la NFS et du Manuel de sécurité;
• à ce que les risques à l'égard du programme soient gérés adéquatement et à ce que la tolérance au risque de la direction ait été communiquée et comprise dans toute l'organisation;
• à ce qu'une structure hiérarchique appropriée ait été établie et mise en œuvre;
• à ce que des données financières sur le coût du programme soient disponibles et à ce qu'elles soient prises en compte dans les décisions relatives à la répartition des ressources;
• à ce que le rendement du programme soit mesuré et surveillé de sorte que des améliorations puissent y être apportées au besoin;
• à ce que les résultats du cadre de gouvernance amélioré aient permis de rationaliser le programme à l'échelle de l'organisation, de communiquer les moyens d'optimisation relevés et de les incorporer aux politiques et aux procédures connexes.

Au cours des entrevues, des examens de la documentation et des dossiers, des analyses et des activités d'observation physique menés dans le cadre de notre mission, nous avons constaté que plusieurs améliorations avaient été apportées au processus depuis la vérification de 2011, mais qu'un certain nombre de risques et de lacunes persistaient, notamment quant à la disponibilité de données fiables sur le rendement et les ressources. De plus, nos activités d'analyse et d'examen des dossiers ont révélé l'existence d'autres moyens possibles d'améliorer l'efficacité et l'efficience du processus.

3.1 Activités du programme depuis 2011

La PSG et la NFS exigent que des structures, des mécanismes et des ressources de gouvernance soient en place pour assurer la gestion efficace et efficiente de la sécurité à l'échelle ministérielle et gouvernementale, et que les services de triage sécuritaire soient efficaces, rationnels et conformes aux besoins des ministères, des organismes et de l'ensemble du gouvernement du Canada.

Le Programme de la sécurité ministérielle a éprouvé de la difficulté à fournir le niveau de service attendu en raison de contraintes financières qui se sont accompagnées d'une hausse de la demande après la mise en œuvre de Services partagés Canada, du nouveau Service de protection parlementaire et de l'initiative nationale d'intensification du recrutement de membres réguliers. Dans une analyse de rentabilisation présentée en 2015, la SDSM a noté que le délai moyen nécessaire à l'attribution d'une cote de fiabilité variait beaucoup d'une division à l'autre, soit de 17 à 52 semaines. Selon les données fournies par la SDSM et les quatre SSM, le nombre total de demandes d'habilitation de sécurité a grimpé d'environ 21 000 en 2013 à 25 121 en 2014. Le nombre de demandes observé en 2015, soit 25 258^{Footnote 1}, est comparable à celui de l'année précédente. Les ressources affectées au programme de triage sécuritaire pendant cette période sont restées stables du point de vue des équivalents temps plein (ETP) nommés pour une durée indéterminée (dont le nombre s'établissait à environ 125 en 2014 et en 2015). Cependant, si l'on tient compte du recours aux heures supplémentaires, aux employés occasionnels et aux employés nommés pour une durée déterminée, les ressources totales affectées au programme sont passées d'environ 172 ETP en 2014 à 189 en 2015 (Figure 1)^{Footnote 2}.

La SDSM a réalisé des progrès en ce qui concerne certains des problèmes constatés lors de l'audit du Programme de la sécurité du personnel effectué par Vérification interne, Évaluation et Examen en 2011. Elle a accru la rigueur du processus de triage, a défini et communiqué le niveau de tolérance au risque de la direction par l'intermédiaire de l'EMS de la GRC et a déterminé puis mis en œuvre un certain nombre de moyens d'optimisation du processus.

Rigueur du processus de triage – Conformité aux exigences des politiques applicables

Les exigences et les procédures de triage sécuritaire applicables au sein de la GRC sont conformes aux exigences de la PSG et de la NFS, et sont énoncées dans le Manuel de la sécurité de la GRC.

Nous avons constaté que le personnel à tous les échelons de la hiérarchie des SSM connaissait les exigences de la NFS et du Manuel de la sécurité et que bon nombre des outils utilisés dans chaque SSM, par exemple les listes de vérification, avaient pour but d'assurer la conformité à ces documents.

En examinant un échantillon de 243 dossiers se rapportant à différents types d'habilitation de sécurité, nous avons constaté que *** SSM ***, les habilitations étaient *** conformes aux exigences de la NFS et du Manuel de la sécurité, et toutes les procédures requises avaient été suivies. Il s'agit là d'une amélioration notable par rapport aux constatations ressorties de la vérification de 2011 quant à la conformité du processus.

Comme il a déjà été mentionné, la NFS du CT a établi des exigences quant à la consultation de sources ouvertes et à la réalisation de tests polygraphiques dans le cadre des activités de filtrage approfondi, et ces exigences prendront effet en octobre 2017. ***.

PSM, détermination de la tolérance au risque et communication de celle-ci

La PSG et la DGSM décrivent l'exigence selon laquelle les ministères doivent constamment évaluer les risques pour la sécurité, les menaces et les facteurs de vulnérabilité et mettre en œuvre des contrôles internes adéquats afin d'assurer une adaptation continue aux besoins changeants du ministère et du contexte opérationnel. Il a été recommandé, dans le rapport de vérification de 2011, que le niveau de tolérance au risque des cadres supérieurs soit déterminé et communiqué afin qu'il soit bien compris et appliqué de manière uniforme à l'échelle du programme.

En juillet 2015, le commissaire a approuvé le premier PSM triennal de la GRC. Ce plan, qui est conforme aux exigences énoncées dans les politiques du CT, décrit la gouvernance de la sécurité au sein de l'organisation et définit les rôles et les responsabilités du commissaire, de l'ASM et des SSM, entre autres intervenants. On peut y lire que l'autorité fonctionnelle à l'égard du Programme de la sécurité ministérielle revient à l'ASM et que les responsabilités de ce dernier incluent explicitement la mise en œuvre de contrôles et de modalités de sécurité permettant de gérer de façon systématique les risques pour la sécurité du ministère et les activités nécessaires à la réalisation des objectifs et des priorités du PSM.

Nous avons constaté que la SDSM avait effectué une évaluation rigoureuse des risques pour la sécurité auxquels la GRC était exposée (y compris les risques liés au programme de triage sécuritaire) dans le cadre de l'élaboration récente du PSM. La SDSM se base sur les résultats de cette évaluation pour déterminer ses priorités des trois prochaines années, tout en reconnaissant que les risques continueront à évoluer.

La SDSM a également cherché à donner suite à la recommandation formulée dans le rapport de vérification de 2011 en menant des consultations internes et externes qui visaient à déterminer les catégories de risques pour la sécurité et qui ont mené à l'élaboration d'un outil décisionnel intitulé Catégories de risques pour la sécurité à la GRC : Indicateurs, facteurs atténuants et tolérances. Ce guide a pour but d'aider les analystes de la sécurité du personnel, les enquêteurs, les gestionnaires des risques et les décideurs à appliquer uniformément les facteurs de risque pendant le processus d'attribution et de renouvellement de la CFG et des cotes de sécurité. Les indicateurs de risque, les facteurs d'atténuation et les niveaux organisationnels de tolérance au risque qui sont présentés dans le document se fondent sur de vastes activités de recherche et de consultation auprès d'organisations partenaires au Canada et à l'étranger ainsi que sur l'analyse de plus de 1 000 dossiers d'habilitation sécuritaire faisant état de renseignements défavorables.

En date d'avril 2016, le guide était encore à l'état d'ébauche et n'avait été approuvé qu'à titre d'outil pour les habilitations de sécurité des membres réguliers. Le jugement des intervenants sera toujours un facteur dans les décisions relatives aux habilitations de sécurité, mais lorsque le guide sera entièrement approuvé et plus largement diffusé, la SDSM estime qu'il aidera à mieux faire comprendre la tolérance au risque de la haute direction et qu'il fournira des consignes suffisantes aux SSM pour leur permettre d'évaluer les risques de manière plus uniforme.

Moyens d'optimisation relevés et mis en œuvre par la SDSM

Lors de son évaluation des activités qui pouvaient faire l'objet d'une gestion des risques afin d'accroître l'efficience du programme de triage sécuritaire, la SDSM a trouvé et adopté des solutions consistant par exemple à accélérer certaines nominations et à abaisser le niveau d'habilitation requis pour certains postes.

***

La NFS stipule que, dans tous les cas, le particulier doit obtenir officiellement l'habilitation requise (cote de fiabilité, cote de sécurité Secret, cote de sécurité Très secret, cote d'accès aux sites ou autorisation d'accès aux sites) avant de se voir confier des fonctions, d'être affecté à un poste ou d'obtenir l'accès à des informations, à des biens ou à des installations de nature délicate.

***

Mesures provisoires de la SDSM pour accroître l'efficience du processus

En juin 2014, comme suite à des recommandations formulées par la SDSM, l'EMS de la GRC a approuvé une série de mesures provisoires pour désengorger le processus de triage sécuritaire et réduire les délais associés aux demandes visant des postes non policiers. Ces mesures avaient pour but de rationaliser et de normaliser les exigences de triage applicables à des cas précis de manière à réduire les délais de traitement des demandes en attendant la mise en œuvre d'une stratégie de sécurité ministérielle à plus long terme. Figuraient au nombre de ces mesures :

• une réduction du nombre de postes nécessitant la cote Très secret;
• la rationalisation des exigences de triage applicables aux entrepreneurs engagés pour des contrats de courte durée;
• l'accélération des réactivations et l'attribution de droits d'accès temporaires;
• l'accélération des détachements grâce à une gestion des risques.

Les gestionnaires de la Sécurité du personnel ont fait remarquer que, même si les mesures provisoires visent à réduire les délais de traitement, leur impact sur l'efficience est dans une large mesure impossible à démontrer, vu l'absence de mécanismes pour en faire le suivi.

Bien que des progrès aient été réalisés depuis la vérification de 2011 afin d'améliorer le programme de triage sécuritaire, il persiste un certain nombre de risques et de lacunes en ce qui concerne l'autorité fonctionnelle et la structure hiérarchique, les mécanismes de supervision et de surveillance ainsi que les pratiques de mesure du rendement. Des améliorations s'imposent à ces égards afin de favoriser la prestation efficace et efficiente du programme.

Autorité fonctionnelle et structure hiérarchique

Comme il a déjà été mentionné, selon le PSM de la GRC, la mise en œuvre de contrôles et de modalités visant à assurer la gestion systématique des risques pour la sécurité fait partie des responsabilités de l'ASM. Notre examen a révélé que l'ASM a eu de la difficulté à s'acquitter de cette obligation en raison de ***.

Un des problèmes soulevés pendant la vérification tient au modèle de fonctionnement selon lequel les activités de triage sécuritaire sont exercées par quatre SSM situées à Vancouver, Regina, Ottawa et Halifax, situation qui a affaibli la capacité de l'ASM à gérer le programme dans certains cas. Bien que les SSM relèvent de l'ASM sur le plan fonctionnel pour toutes les questions touchant la sécurité, elles relèvent de la gestion divisionnaire sur le plan administratif pour ce qui est de leurs activités quotidiennes et reçoivent également la majorité de leur financement de leur division d'attache.

*** lors de la vérification de 2011. ***.

Lors des entrevues effectuées pendant nos visites sur place, nous avons constaté *** d'établir les priorités du programme, de réaffecter des ressources, de mettre en œuvre des normes et des modalités et de déterminer le rendement attendu des SSM, même si le programme relève de l'autorité fonctionnelle de l'ASM selon la politique.

Certaines initiatives ont été lancées pour régler les problèmes de gouvernance, mais en date d'avril 2016, ***. Le fait de définir et de communiquer clairement l'autorité de l'ASM de déterminer l'affectation des ressources et de fixer les priorités favoriserait une gestion plus efficace du programme.

Données financières et affectation des ressources

Le modèle de financement actuel du programme de triage sécuritaire est complexe, et les données relatives à ses coûts sont limitées. Le programme n'a aucune source de financement centralisée. Les SSM reçoivent la majeure partie de leur financement de la division où elles se trouvent. Dans certains cas, elles ont obtenu des fonds supplémentaires de la part des divisions qu'elles servent (mais dont elles ne relèvent pas) ou de la SDSM pour appliquer des priorités nationales telles que la conduite d'enquêtes de sécurité en vue du recrutement de membres réguliers. Dans son analyse de rentabilisation de 2015, la SDSM a noté qu'à l'échelle nationale, environ 14 % des ETP du Programme de la sécurité du personnel étaient financés au moyen de fonds supplémentaires ou temporaires. Cette situation a créé des problèmes de dotation et une dépendance à l'égard des employés occasionnels ou nommés pour une durée déterminée. Certaines SSM ont conclu des ententes financières avec des clients afin que ces derniers financent temporairement la dotation de postes chez elles. Les titulaires des postes ainsi comblés travaillent alors exclusivement aux enquêtes de sécurité demandées par le client en question. Cette façon de procéder peut répondre à des besoins ponctuels, mais elle cause aussi un roulement permanent du personnel et exige un travail considérable pour recruter et former des employés temporaires qui risquent de poser leur candidature à un poste permanent lorsque l'occasion s'en présentera.

*** les enquêtes sur le terrain et d'en payer les coûts. ***. Selon les données fournies, les ressources affectées au programme de triage sécuritaire sont restées stables du point de vue des ETP nommés pour une durée indéterminée (dont le nombre s'établissait à environ 125 en 2014 et en 2015). Cependant, si l'on tient compte du recours aux heures supplémentaires, aux employés occasionnels et aux employés nommés pour une durée déterminée, les ressources totales affectées au programme sont passées d'environ 172 ETP en 2014 à 189 en 2015 (Figure 1).

*** et les ententes ponctuelles pour l'obtention de fonds auprès des clients compliquent l'établissement de données sur les coûts. Sans données complètes et exactes sur les coûts et sans source stable de financement, il est difficile de confirmer les besoins en ressources du programme ou de répartir son budget de manière stratégique en fonction des hausses de la demande ou des nouvelles exigences comme celles qui ont été incorporées à la NFS d'octobre 2014 relativement à la consultation de sources ouvertes et à l'utilisation de tests polygraphiques. Cette situation risque aussi de faire perdre des occasions d'accroître l'efficience du programme, puisque l'ASM ne dispose pas de renseignements suffisants pour proposer des décisions stratégiques quant à la répartition des ressources.

L'obtention de données complètes et de meilleure qualité sur les coûts du programme favoriserait une répartition plus éclairée des ressources ainsi que la détermination des besoins en financement à long terme.

Surveillance et mesure du rendement

La PSG du CT exige que les administrateurs généraux veillent à la réalisation d'examens périodiques pour évaluer l'efficacité du programme de triage sécuritaire. La DGSM attribue à l'ASM la responsabilité de mesurer le rendement de façon continue afin de s'assurer que les niveaux de risque résiduels sont acceptables. La NFS exige de plus que l'ASM surveille la conformité à ses dispositions et l'efficacité des procédures et des pratiques de sécurité.

***. En réponse aux constatations issues de cette vérification, la direction s'est engagée à établir des mesures de rendement nationales et un mécanisme de surveillance continue des délais de traitement à l'échelle nationale.

À la fin de la phase d'examen, nous avons constaté que le centre de décision n'avait pas défini d'exigences précises à l'égard de l'information sur le rendement et que les SSM n'étaient pas tenues de saisir cette information et d'en faire rapport. ***.

Au cours de nos visites sur place lors de la phase d'examen, nous avons tenté d'obtenir de l'information sur le rendement auprès des différentes SSM, mais nous avons constaté que chacune d'elles fait la saisie de cette information selon des modalités et à des fins qui lui sont propres. ***. Par exemple, certaines SSM n'ont aucun employé chargé de faire l'enregistrement des nouvelles demandes d'habilitation, fonction qui peut aussi comprendre l'examen initial de ces demandes pour vérifier si elles sont complètes. Une SSM assigne les demandes d'habilitation selon le client, tandis qu'une autre les attribue aux analystes selon la catégorie d'employés, ***.

La gestion de la Sécurité ministérielle a reconnu la lacune qui persiste à cet égard et a récemment apporté une amélioration au programme; lors de la phase de compte rendu de la vérification, la SDSM a défini les exigences à respecter concernant l'information sur le rendement et a communiqué ces exigences aux quatre SSM en sa qualité de centre de décision. Elle a par ailleurs commencé à élaborer des normes de rendement nationales et à faire le suivi d'indicateurs de rendement clés pour chaque aspect du Programme de la sécurité ministérielle, y compris le Programme de la sécurité du personnel, conformément au PSM approuvé récemment.

***

Comme solution à plus long terme, la SDSM nous a fait savoir que le dirigeant principal de l'Information (DPI) de la GRC a choisi MS Dynamics comme plateforme pour le remplacement de tous les systèmes de gestion de dossiers. Le secteur du DPI fait actuellement l'essai de MS Dynamics au sein de la GRC, ***. La SDSM a examiné d'autres solutions provisoires, mais le SNGDA est le seul système de gestion de dossiers approuvé par le DPI aux fins d'utilisation temporaire.

L'établissement d'un cadre robuste pour les rapports sur le rendement aiderait la gestion de la SDSM et des SSM à établir des normes (y compris en matière de service), à surveiller le rendement, à repérer les possibilités d'optimisation et à prendre des décisions appropriées en ce qui concerne la répartition des ressources.

3.2 Possibilités d'optimisation du processus

Outre l'évaluation de la conformité à la PSG et à la NFS, la vérification avait comme objectif de déterminer les moyens possibles d'améliorer davantage l'efficience du processus sans accroître de façon indue les risques pour la GRC. Nous avons présumé, dans notre intention de faire une analyse détaillée et sérieuse du processus, que les modalités et les pratiques seraient uniformes dans toutes les SSM et que nous disposerions de données fiables sur la mesure du rendement, y compris de dossiers suffisamment détaillés pour nous permettre de déterminer clairement les délais de traitement associés à chaque étape du processus de triage, les points d'engorgement et les arriérés accumulés. Cependant, comme nous l'avons mentionné dans la section précédente, ***. La SDSM est consciente de ces problèmes et s'emploie à améliorer la saisie de l'information sur le rendement.

Malgré les problèmes relatifs à la fiabilité et à la disponibilité des données sur le rendement, notre examen des dossiers et notre analyse des renseignements disponibles sur le programme ont permis de relever plusieurs moyens possibles d'accroître l'efficience du processus.

Entrevue de sécurité

Notre examen des dossiers^{Footnote 4}a révélé que la SSM de l'Atlantique affichait en moyenne des délais de traitement plus rapides que les trois autres SSM pour tous les types d'habilitation sécuritaire (Annexe C). Selon l'explication fournie par le personnel du programme, ce résultat est notamment attribuable au fait que, dans la région de l'Atlantique, les enquêtes sur le terrain et les entrevues de sécurité sont coordonnées par le gestionnaire recruteur avant que le dossier soit envoyé à la SSM, tandis que dans les autres SSM, la coordination et la conduite des enquêtes sur le terrain et des entrevues de sécurité sont assurées par le personnel du programme de triage sécuritaire dans le cadre du processus d'habilitation. Parce que ses délais de traitement sont plus rapides, la SSM de l'Atlantique affiche un taux de règlement de dossiers plus élevé par ETP que les trois autres SSM (Figure 2).

En général, le délai de traitement global observé pour les SSM des régions du Centre, du Nord-Ouest et du Pacifique comprend le temps nécessaire à la conduite l'entrevue de sécurité ainsi que le temps d'attente préalable à sa tenue et le temps de traitement de ses résultats, qui peut être assez long, d'après ce que nous a dit le personnel du programme.

L'entrevue menée dans le cadre du processus de triage sécuritaire aide beaucoup à évaluer et à corroborer l'information fournie par le postulant. Bien que cette entrevue soit importante, elle n'est pas obligatoire aux termes de la NFS. Celle-ci exige qu'un questionnaire de sécurité soit rempli ou qu'une entrevue de sécurité soit menée. ***.

***

Puisque le taux de refus est relativement faible, la GRC pourrait envisager, dans une perspective d'optimisation du processus de triage sécuritaire, de ne procéder à une entrevue de sécurité que si les risques le justifient (c'est-à-dire si d'autres activités de filtrage ont mis au jour des renseignements défavorables). ***.

Enquêtes sur les risques

Les enquêtes sur les risques constituent un autre point d'engorgement mentionné par le personnel du programme. Dans la majorité des cas, lorsqu'une des activités de triage révèle des renseignements défavorables, le dossier est renvoyé au groupe des enquêtes sur les risques de la SSM. Ce genre d'enquête peut comprendre des entrevues supplémentaires, des vérifications supplémentaires dans les dossiers policiers et la réalisation d'une étude par la SDSM pour trancher la demande, ce qui peut entraîner le refus, la suspension ou la révocation de l'habilitation sécuritaire.

***. La SSM visée pourrait accroître son efficience si elle délaissait la pratique en question.

Références relatives aux emplois et à la moralité

Le personnel du programme a mentionné certains aspects de l'enquête sur le terrain qui suscitent un engorgement à l'interne. Lors de nos entrevues avec les employés, nous avons constaté que l'évaluation des références relatives aux emplois et à la moralité des postulants n'est pas faite de la même façon dans toutes les SSM. L'une d'elles fait les entrevues pour vérifier ces références en personne, ce qui exige des déplacements à l'intérieur et parfois à l'extérieur de la région où l'enquêteur se trouve. *** et semble excessivement prudente compte tenu du taux de refus global. ***.

Vérification des dossiers policiers

La GRC interroge actuellement jusqu'à *** bases de données dans le cadre de son processus de triage sécuritaire. Les analystes doivent entrer dans chacune de ces bases de données les renseignements de base sur l'employé et parfois sur les membres de sa famille et ses relations, ce qui représente un travail assez long et exigeant.

***. L'équipe a aussi appris que les employés des SSM ont fait diverses propositions en vue de réduire le nombre de vérifications de bases de données qui sont effectuées pour chaque dossier, mais qu'aucune de ces propositions n'a été approuvée ni mise en œuvre. La SDSM envisage d'utiliser deux outils d'interrogation de bases de données, soit *** pour accélérer la mise à jour des habilitations sécuritaires. Si ces outils permettent de réduire l'arriéré de mises à jour, la SDSM pourrait envisager d'étendre leur utilisation à toutes les demandes de nouvelle habilitation et de rehaussement d'habilitation. Elle pourrait alors privilégier pour tous les dossiers une démarche axée sur les risques selon laquelle elle interrogerait d'abord ces deux systèmes et ne procéderait ensuite à l'éventail complet de vérifications des dossiers policiers que si les vérifications initiales relevaient des facteurs de risque.

Facilitation du transfert des habilitations de sécurité accordées par d'autres ministères et organismes

À cause des limites des systèmes de gestion de l'information utilisés dans le programme, nous n'avons pas été en mesure de déterminer le nombre de dossiers de triage visant des postulants qui possédaient déjà une habilitation de sécurité accordée par un autre ministère ou organisme fédéral. Cependant, d'après les entrevues menées avec les employés du programme et avec des gestionnaires recruteurs dans d'autres secteurs de la GRC, les dossiers de cette nature représentent une proportion non négligeable de la charge de travail du personnel du programme. À mesure que la fiabilité et la disponibilité des données sur le rendement s'amélioreront, le programme sera davantage en mesure d'évaluer la proportion réelle de la charge de travail que représentent les dossiers de ce genre.

*** la SDSM pourrait envisager soit de limiter la portée de l'évaluation, soit d'adopter une démarche axée sur les risques en ce qui concerne les habilitations de sécurité accordées par d'autres ministères et organismes gouvernementaux. Un statut particulier pourrait aussi être reconnu aux ministères et organismes qui font partie du portefeuille de la sécurité.

Arriéré de dossiers d'habilitation sécuritaire

Une mise à jour de l'habilitation sécuritaire est l'examen périodique effectué à l'égard de l'habilitation sécuritaire d'un employé. Selon le Manuel de la sécurité, une mise à jour est requise tous les 10 ans dans le cas de la CFG et de la cote Secret, et tous les 5 ans dans celui de la cote Très secret. Les mises à jour sont essentielles à l'atténuation des menaces internes. La SDSM définit comme une menace interne toute menace posée par un individu ou un groupe qui possède des connaissances spécialisées ou qui a accès à des renseignements ou à des biens d'importance cruciale au sein d'une organisation et qui entend s'en servir pour causer un préjudice ou un danger ou pour en tirer un gain personnel.

La vérification de 2011 a révélé l'existence d'un arriéré de demandes de mise à jour d'habilitation sécuritaire dans la plupart des régions. Dans le cadre de son plan d'action, la SDSM s'est engagée à examiner des solutions possibles pour éliminer ces arriérés.

***. Pendant la phase de compte rendu de la présente vérification, la SDSM a fait savoir que toutes les SSM avaient encore un important arriéré de demandes de mise à jour, et de plus petits arriérés de demandes de nouvelle habilitation et de rehaussement d'habilitation. ***. Des représentants de la SDSM nous ont dit qu'aucune information n'était disponible sur les arriérés de demandes de nouvelle habilitation et de rehaussement d'habilitation observés lors des années précédentes, ce qui a limité notre capacité à déterminer si ces arriérés avaient augmenté ou diminué.

***

De plus, à mesure que s'amélioreront la fiabilité et la disponibilité des données sur les arriérés, la SDSM et les SSM seront mieux outillées pour déterminer s'il existe des motifs solides justifiant l'obtention de ressources supplémentaires afin de mener un « blitz » de liquidation des dossiers en attente. Une fois les arriérés éliminés, les ressources du programme pourraient être consacrées au traitement des nouveaux dossiers, ce qui aiderait à accélérer les délais d'exécution.

En agissant rapidement et de manière appropriée sur les arriérés d'habilitations sécuritaires, la GRC réduira à la fois le risque ***. Elle sera aussi davantage en mesure de consacrer les ressources du programme au traitement des nouveaux dossiers d'habilitation.

Portail des Services en direct de sécurité industrielle

La SDSM est en train de remplacer l'actuel processus de collecte de renseignements fondé sur les documents papier par *** Travaux publics et Services gouvernementaux Canada. ***. Cette application simplifie le remplissage du formulaire et réduit la nécessité de corriger les erreurs ou de trouver les renseignements manquants. *** sont utilisés pour le recrutement de membres réguliers et font l'objet d'essais au sein de la SSM de la région du Centre pour les autres catégories d'employés.

Autres moyens possibles d'accroître l'efficience du processus

En 2013, comme suite à la vérification de 2011, la SDSM a lancé une initiative de réingénierie des méthodes de travail internes afin de schématiser et de mesurer le processus de triage sécuritaire dans une perspective d'amélioration du rendement. Cette initiative a compris des consultations menées sur place auprès de chaque SSM dans le but de déterminer les méthodes de fonctionnement, de relever les problèmes et de noter les pratiques exemplaires. L'exercice a permis de constater les facteurs d'engorgement suivants :

• le fait de devoir demander les renseignements manquants aux gestionnaires recruteurs ou aux postulants et d'attendre qu'ils soient fournis;
• le fait de devoir demander des enquêtes sur le terrain;
• le fait de devoir attendre que l'enquête sur le terrain ou l'entrevue de sécurité soit effectuée;
• le fait de devoir attendre des vérifications de bases de données que les analystes ne peuvent pas effectuer eux-mêmes;
• ***;
• le fait de devoir attendre les résultats des enquêtes sur les risques après la découverte de renseignements défavorables;
• le temps passé à attendre qu'un analyste se libère à l'interne.

Puisque les pratiques observées chez les SSM n'étaient pas uniformes et que les dossiers examinés lors des visites sur place ne présentaient pas suffisamment de données détaillées sur le rendement, l'équipe de vérification s'est vue dans l'impossibilité de mesurer et d'analyser ces facteurs d'engorgement en profondeur. Cependant, elle a pu confirmer, au moyen d'entrevues et par ses observations, que ces facteurs continuent d'être perçus comme des éléments qui contribuent au ralentissement du processus. Plus la fiabilité et la disponibilité des données sur le rendement s'amélioreront, plus le programme sera en mesure d'évaluer les répercussions de chacun de ces facteurs sur le délai d'exécution global du processus et les moyens à prendre pour en accroître l'efficience.

4. Conclusion

La SDSM a réalisé des progrès en ce qui concerne certains des problèmes relevés lors de l'audit du Programme de la sécurité du personnel mené en 2011 par Vérification interne, Évaluation et Examen. Elle a augmenté la rigueur du processus de triage sécuritaire, a défini et communiqué les niveaux de tolérance au risque par l'intermédiaire de l'EMS de la GRC, a déterminé et mis en œuvre plusieurs mesures d'efficience et a lancé des initiatives visant à améliorer le processus.

***. Des améliorations s'imposent à ces chapitres pour favoriser la prestation efficace et efficiente du programme de triage sécuritaire.

***. La SDSM est consciente de ces problèmes et s'emploie à améliorer la saisie des données en question. L'examen des dossiers et l'analyse des données disponibles sur le programme ont néanmoins permis à l'équipe de vérification de relever plusieurs moyens possibles d'améliorer l'efficience du processus.

5. Recommandations

1. Le sous-commissaire aux SPS devrait collaborer avec l'EMS et les commandants divisionnaires afin de mieux définir, documenter et communiquer les pouvoirs de l'ASM à l'intérieur du Programme de la sécurité ministérielle et, plus précisément, du programme de triage sécuritaire du personnel.
2. Le sous-commissaire aux SPS devrait élaborer un mécanisme pour assurer la saisie exacte et complète des coûts liés au programme de triage sécuritaire du personnel afin de favoriser la prise de décisions éclairées en ce qui concerne les besoins en ressources et la réaffectation stratégique de fonds au sein du programme.
3. Le sous-commissaire aux SPS devrait élaborer un cadre de mesure du rendement et créer une fonction nationale de supervision et de surveillance afin d'assurer l'atteinte des objectifs du programme de triage sécuritaire du personnel.
4. Le sous-commissaire aux SPS devrait évaluer, en collaboration avec d'autres intervenants de la Sécurité ministérielle, le bien-fondé et la faisabilité des mesures possibles d'optimisation du processus énumérées à la section 3.2 du présent rapport.

Annexe A – Objectif et critères de vérification

Annexe B – Aperçu du processus de triage ^{Footnote 5}

***

Annexe C – Résultats détaillés de l'examen des dossiers

***

Audit of Personnel Security

Vetted Report

July 2016

Access to Information

This report has been reviewed in consideration of the Access to Information Act and Privacy Acts. The asterisks [***] appear where information has been removed; published information is UNCLASSIFIED.

Table of contents

1. Acronyms and abbreviations
2. Executive summary
3. Management's response to the audit
4. 1. Background
5. 2. Objective, scope, methodology statement of conformance
   • 2.1 Objective
   • 2.2 Scope
   • 2.3 Methodology
   • 2.4 Statement of conformance
6. 3. Audit findings
   • 3.1 Program activities since 2011
   • 3.2 Potential process efficiencies
7. 4. Conclusion
8. 5. Recommendations
9. Appendix A – Audit objective and criteria
10. Appendix B – Screening process overview
11. Appendix C – File review detailed results

Acronyms and abbreviations

CIO

Chief Information Officer

CO

Commanding Officer

DDSM

Directive on Departmental Security Management

DG

Director General

DSB

Departmental Security Branch

DSO

Departmental Security Officer

DSP

Departmental Security Plan

DSS

Departmental Security Section

FTE

Full-Time Equivalent

NARMS

National Administrative Records Management System

NHQ

National Headquarters

PGS

Policy on Government Security

RBAP

Risk-Based Audit Plan

RCMP

Royal Canadian Mounted Police

RM

Regular Member

RRS

RCMP Reliability Status

RSM

RCMP Security Manual

SEC

Senior Executive Committee

SPS

Specialized Policing Services

SSS

Security Screening Standard

TBS

Treasury Board Secretariat

Executive summary

As Canada's national police force, the RCMP is responsible for ensuring the integrity of its nearly 30,000 employees, 25,000 contractors and more than 17,000 volunteers in over 700 communities across Canada. This is accomplished by ensuring that these individuals are appropriately security screened prior to their association with the Force, and through periodic security screening updates thereafter.

In recent years, the Departmental Security Program has experienced challenges in meeting service level expectations as a result of funding pressures combined with increasing demand as a result of the implementation of Shared Services Canada, the new Parliamentary Protective Service and the National Recruiting Initiative to increase Regular Member recruiting. In an effort to enhance the efficiency of the security screening program and ensure operational requirements are met, DSB has identified and implemented a number of process modifications and is currently investigating others.

The 2011 Audit of Personnel Security found that the personnel security screening process within the RCMP was not sufficiently rigorous. It also found that the reporting structure in place at that time coupled with the lack of monitoring and oversight of the process made it difficult to assess whether the overall process was meeting its intended objectives. ***

The current audit found that while progress has been made on certain issues such as: enhancing the rigour of the process; defining and communication risk tolerances; and implementing a number of process efficiencies, risks and gaps continue to exist. *** Improvements in these areas are necessary to further facilitate improvements to the effective and efficient delivery of the security screening program.

The audit found that there were a number of challenges with respect to the ***. DSB is aware of these challenges and is taking measures to improve the capture of performance information. Notwithstanding the challenges relating to the ***, through our file review and analysis of available program information we were able to identify a number of potential opportunities and mechanisms that could improve the efficiency of the process.

The management response included in this report demonstrates the commitment from senior management to address the audit findings and recommendations. A detailed management action plan is currently being developed. Once approved, RCMP Internal Audit will monitor the implementation of the management action plan and undertake a follow-up audit if warranted.

Management's response to the audit

Specialized Policing Services (SPS) agrees with the recommendations of the Audit of Personnel Security. *** Maximizing efficiencies and standardizing processes as well as implementing a national framework for oversight and performance measurement are also seen as key components for successful program delivery.

To that end, and prior to the completion of the audit, SPS has undertaken significant steps to address program oversight, with particular emphasis on standardizing processes to improve national governance. SPS, however, acknowledges there is still much work to be done. Many of the components identified in the audit are well known and were prioritized in the RCMP Departmental Security Plan (DSP) for 2015-2018, which SPS started implementing along with the information technology (IT) required to support them. Additionally, SPS will continue working with key stakeholders and the Senior Executive Committee to further define program costing and implement a funding model commensurate with organizational priorities, risk tolerance and capacity.

SPS will carry on taking action on the recommendations over the next two fiscal years, as indicated in the DSP. A detailed management action plan which addresses the report recommendations will be developed for review by the Departmental Audit Committee prior to the next Committee meeting.

Deputy Commissioner Peter Henschel
Specialized Policing Services

1. Background

As Canada's national police force, the RCMP is responsible for ensuring the integrity of its nearly 30,000 employees, 25,000 contractors and more than 17,000 volunteers in over 700 communities across Canada. This is accomplished by ensuring that these individuals are appropriately security screened prior to their association with the Force, and through periodic security screening updates thereafter.

The security screening process for the RCMP is governed by the requirements prescribed in the Treasury Board Policy on Government Security (PGS), the Directive on Departmental Security Management (DDSM), and as of October 20, 2014 the Treasury Board Standard on Security Screening (the standard) which replaced the Personnel Security Standard which had been in effect since June 9, 1994. The new standard introduced enhanced security screening activities for departments and organizations that are involved in or directly support security and intelligence functions. Appendix B to the standard, Security Screening Model and Criteria, breaks down the standard and enhanced screening activities introducing open source inquires for all enhanced security clearances and polygraph examinations for enhanced Top Secret clearances. The new standard included a 36 month implementation period, meaning departments and organizations do not have to be fully compliant until October 2017. The RCMP has further communicated throughout the force the internal security screening policy and procedures in the RCMP Security Manual (security manual).

The standard describes security screening as being at the core of the Policy on Government Security and as a fundamental practice that establishes and maintains a foundation of trust within government, between government and Canadians, and between Canada and other countries.

The PGS assigns accountability for the effective implementation and governance of security and identity management within the RCMP to the Commissioner as deputy head. It requires that the Commissioner appoint a departmental security officer (DSO) to be functionally responsible for the management of the departmental security program. Within the RCMP the Director General of the Departmental Security Branch (DSB) holds this appointment.

The DDSM's objective is to achieve efficient, effective and accountable management of security within departments. It holds that Departmental security activities must be centrally coordinated and systematically woven into day-to-day operations to ensure that individuals, information, assets and services are safeguarded. The DDSM defines the roles and responsibilities of departmental employees who support deputy heads in the management of departmental security.

The RCMP's Personnel Security Program ensures the reliability and security of individuals accessing its information systems, data and physical assets. This is achieved through the RCMP security screening process, which supports the issuance, denial, suspension or revocation of a RCMP Reliability Status (RRS) and, if required by the position, a Secret or Top Secret security clearance.

The RCMP's security screening is delivered and supported across Canada by DSB and through four (4) Departmental Security Sections (DSSs) located in Vancouver, Regina, Halifax and Ottawa. The security screening process involves multiple steps such as conducting education and employment verification, credit checks, criminal record checks, interviews and field investigations. When a RRS or security clearance expires, an update is required to extend its validity. An overview of the process is provided in Appendix B.

In 2014, DSB reported that the backlog of security clearance updates continued to grow and that time delays associated with obtaining clearances for new hires, secondments and contingent workers (contractors) was creating significant pressures for hiring managers across the RCMP. These time delays: impact operations and partnership development; may result in the lapse of funding related to contracts; could incur penalties to the RCMP for not respecting contracting terms and conditions; and could lead to qualified potential employees accepting employment outside the Force.

In a 2015 business case entitled "Transforming the National Departmental Security Program", DSB reported that average times to complete a reliability screening varied significantly by Division with the range being 17 to 52 weeks. This is in contrast to DSB's stated desired service standard of 8 to 10 weeks. In the business case, DSB reported that personnel security screening is under significant pressure as a result of increasing volumes due to consolidation of Government of Canada services including information technology (IT) and pay and increased recruitment of RCMP Regular Members from 320 to 960 cadets per year, since 2014; and due to a greater focus on security in response to modern threats.

In 2011, RCMP Internal Audit conducted an audit of Personnel Security. The results indicated that the rigour of the personnel security process needed improvement; there was insufficient oversight and monitoring over the screening process; and that Senior Executives' risk tolerances had not been sufficiently communicated or understood.

In April 2014, the Commissioner approved an audit of Personnel Security as part of the 2014-17 Risk-Based Audit Plan (RBAP). The RBAP indicated that the engagement was also to include follow-up work to assess the implementation of the Management Action Plan developed in response to the recommendations made in the 2011 Audit of Personnel Security.

2. Objective, scope, methodology and statement of conformance

2.1 Objective

The objective of this audit engagement was to assess the efficiency and effectiveness of the processes for providing personnel security screening to ensure they are: consistent with the Policy on Government Security and Security Screening Standard; streamlined; and timely.

2.2 Scope

The engagement examined the personnel security screening processes and activities for Regular Members (RM), Civilian Members, Public Servants, and Contractors at Headquarters and at regional Departmental Security Sections (DSSs). The engagement included an independent review of the security screening processes, including the process reviews and process mapping exercises that have been undertaken by the Departmental Security Branch, with a view to identifying opportunities and mechanisms to further improve efficiency without unduly increasing risk to the Force and while ensuring compliance with the Policy on Government Security and the Security Screening Standard.

The engagement also included sufficient work to assess and report on the current status of the Management Action Plan associated with the 2011 Personnel Security Audit.

2.3 Methodology

Planning for the audit was completed in July 2015. In this phase, the audit team conducted interviews, process walkthroughs and examined relevant policies, directives, procedures and results of previous reviews.

Sources used to develop audit criteria include Treasury Board and RCMP policies. The audit objective and criteria are available in Appendix A.

The examination phase, which concluded in March 2016, employed various auditing techniques including: interviews, documentation reviews, analysis, physical observation and file reviews. Site visits were conducted at all four Departmental Security Sections and at the Departmental Security Branch. Upon completion of the examination phase, the audit team held meetings to validate findings with personnel and debriefed senior management of the relevant findings.

2.4 Statement of conformance

The audit engagement conforms with the Internal Auditing Standards for the Government of Canada, as supported by the results of the quality assurance and improvement program.

3. Audit findings

The 2011 Audit of Personnel Security found that the personnel security screening process within the RCMP ***. It also found that the reporting structure in place at that time coupled with the lack of monitoring and oversight of the process made it difficult to assess whether the overall process was meeting its intended objectives. ***

Management accepted the audit findings and recommendations and committed to conducting a review to improve the rigour of the security screening process. This review was to include consultations to identify an appropriate reporting structure. With respect to risk tolerances, management committed to defining and communicating its risk tolerances through the RCMP's Senior Executive Committee. ***

Accordingly, we expected that this audit would find that improvements had been made to improve the overall rigour and efficiency of the security screening process. Specifically, we expected that:

• Security files would be compliant with both the requirements of the standard and the security manual;
• Risks to the program would be appropriately managed, and management's risk tolerances would be communicated and understood throughout the organization;
• An appropriate reporting structure would have been identified and implemented;
• Financial information on the costs of the program would be available and would inform resource allocation decisions;
• Performance of the program would be measured and monitored; enabling program enhancements where appropriate; and
• The results of the improved governance framework would enable the streamlining of the program across the organization with identified efficiencies shared and incorporated into program policies and procedures.

Through our audit work, which included interviews, documentation reviews, analysis, physical observation and file reviews we found that since the 2011 audit, while a number of process enhancements have been made risks and gaps continue to exist, notably the availability of reliable performance and resource information. In addition, based on our analysis and file review, we also found that additional opportunities exist to enhance the effectiveness and efficiency of the process.

3.1 Program Activities Since 2011

The Policy on Government Security (PGS) and the Standard on Security Screening (the standard) require that: governance structures, mechanisms and resources are in place to ensure effective and efficient management of security at both a departmental and government-wide level; and that security screening services are effective and efficient, and meet the needs of departments and agencies, and of the Government of Canada as a whole.

The Departmental Security Program has experienced challenges in meeting service level expectations as a result of funding pressures combined with increasing demand as a result of the implementation of Shared Services Canada, the new Parliamentary Protective Service and the National Recruiting Initiative to increase RM recruiting. DSB reported in a 2015 business case that average times to complete a reliability screening varied significantly by Division with the range being 17 to 52 weeks. As reported by DSB and the four DSSs, the total demand for security clearances has increased from approximately 21,000 in 2013 to 25,121 in 2014. Volume in 2015 was consistent with 2014, with 25,258 clearances being requested^{Footnote 1}. During this period, resources allocated to the security screening program have reportedly remained consistent with respect to indeterminate full-time equivalents (FTE) - approximately 125 for both 2014 and 2015. However, taking into account the use of overtime, casual, and term employees, total resources allocated to the program have reportedly increased from approximately 172 FTE in 2014 to 189 FTE in 2015 (Figure 1)^{Footnote 2}.

DSB has made progress on certain issues identified by IAER's 2011 Audit of Personnel Security. In addition to enhancing the rigour in the screening process and defining and communicating risk tolerances through RCMP's Senior Executive Committee, DSB has identified and implemented a number of process efficiencies.

Rigour of screening process – compliance to policy requirements

The detailed security screening requirements and procedures to be followed within the RCMP align with the requirements of the Policy on Government Security (PGS) and the Standard on Security Screening (the standard) and are contained in the RCMP Security Manual (security manual).

We found that DSS personnel at all levels were aware of the requirements of the standard and security manual and many of the tools used locally, such as checklists, were intended to ensure compliance with the standard and security manual.

*** DSSs, as part of the audit's file review testing, a sample of 243 files for various types of clearances was *** compliant with both the requirements of the standard and the security manual, with all the required procedures having been completed. This represents a significant improvement from the findings of the 2011 audit relating to process compliance.

As previously mentioned, the Treasury Board Standard on Security Screening has introduced enhanced security screening requirements regarding the use of open source inquiries and polygraphs, that will become effective in October 2017. ***

Departmental Security Plan and Definition and Communication of Risk Tolerances

The PGS and DDSM outline the requirement for departments to conduct a continuous assessment of security risks, threats and vulnerabilities and to implement appropriate internal controls to ensure continuous adaptation to the changing needs of the department and the operating environment. The 2011 audit recommended that Senior Executives' risk tolerance levels should be defined and communicated to ensure clear understanding and consistent application throughout the program.

In July 2015, the Commissioner approved the RCMP's first 3-year Departmental Security Plan (DSP). The plan describes security governance within the RCMP and also defines the roles and responsibilities for the Commissioner, DSO, and Departmental Security Sections (DSSs) among others. The DSP, which aligns with the requirements in the TB policies, assigns the DSO with the functional authority over the Departmental Security Program. Specifically included as part of the DSO's responsibilities is the implementation of security controls and processes for the systematic management of security risks to the Department and any activities necessary to achieve the objectives and priorities of the DSP.

We found that DSB conducted a thorough assessment of security risks facing the RCMP (including risks specific to the security screening program) as part of developing the recent DSP. DSB is using the results of this assessment to guide its priorities for the next three years acknowledging that the risks will continue to evolve.

As an additional activity relating to the 2011 recommendation, DSB consulted both externally and internally to identify security risk categories and developed a decision-making tool entitled RCMP Security Risk Categories: Indicators, Mitigating Factors & Tolerances. This tool is intended as a decision making guide for personnel security analysts, investigators, risk managers and adjudicators, to ensure consistent application of risk factors in the issuance and renewal of RCMP Reliability Status and security clearances. The risk indicators, mitigating factors and organizational risk tolerances within the document are the result of extensive research and consultations with national and international partner organizations and analysis of over one thousand clearance files with adverse information.

As of April 2016, the guide was still in draft form and was only approved as a tool to be used for RM security clearances. Notwithstanding the fact that judgement will always be a factor in making security clearance decisions, once the guide has been fully approved and disseminated more broadly, DSB expects it to provide a clearer understanding of senior management's risk tolerance and provide sufficient guidance to enable the DSSs to assess risk in a more consistent manner.

Efficiencies Identified and Implemented by DSB

In its assessment of activities that could be risk-managed in an effort to enhance the efficiency of the security screening program, DSB has identified and implemented process modifications relating to: risk-managed appointments, security level reductions, and other process efficiencies.

***

The standard states that in all cases, individuals must be officially granted the required reliability status, secret security clearance, top secret security clearance, site access status or site access clearance before they are assigned duties or assigned to a position, and/or before they are granted access to sensitive information, assets or facilities.

***

DSB interim measures to increase process efficiency

In June 2014, based on recommendations from DSB, the RCMP's Senior Executive Committee approved a number of interim measures in an effort to alleviate pressures on the security screening process and to address the increased wait times for non-RM security screening requests. The objective of the interim measures was to standardize and streamline screening requirements for specific cases and thereby reduce screening processing time pending the implementation of a longer-term strategy for departmental security. Some of these measures included:

• Reducing the number of Top Secret positions;
• Rationalizing screening requirements for short-term contractors;
• Expediting reactivations, granting temporary access; and
• Expediting and risk managing secondments;

Personnel security managers commented that while the intent of interim measures is to reduce turnaround times, to a large degree, their impact on efficiency cannot be demonstrated as mechanisms were not put in place to track the use of interim measures.

While progress has been made since the 2011 audit in enhancing the security screening program, risks and gaps remain relating to functional authority and organization structure, oversight and monitoring and performance measurement practices. Enhancements in these areas are necessary to further facilitate improvements to the effective and efficient delivery of the security screening program.

Functional Authority and Organizational Structure

As previously mentioned, the RCMP's DSP identifies the implementation of security controls and processes for the systematic management of security risks as part of the DSO's responsibilities. As part of our examination we found that the DSO has encountered obstacles in carrying out these roles and responsibilities as a result of ***.

One of the issues raised during the current audit was that, in some cases, the DSO's ability to manage the program has been challenged by the fact that personnel security screening is delivered through four Departmental Security Sections (DSS) located in Vancouver, Regina, Ottawa, and Halifax. While the DSS's report functionally to the DSO for all security related matters, they report administratively, on a day-to-day basis, to local Divisional Management, which also provides the majority of the DSS's funding.

In the 2011 audit, this ***.

Through our site visit interviews we determined that there is ***: establish program priorities; reallocate resources; implement standards and processes; and establish performance expectations for the DSSs despite the fact that policy assigns functional authority to the DSO.

While some initiatives have been undertaken to address governance issues, as of April 2016, ***. Clearly defining and communicating the DSO's authority to influence resource allocation and set program priorities would enable more effective management of the program.

Financial Information and Resource Allocation

The current funding model for the personnel security screening program is complex and information regarding the full costs of the program is limited. The program is not centrally funded; rather, DSSs receive the majority of their funding from the Division in which they are located. In some cases, DSSs have obtained additional funding from the Divisions they serve (but are not located in) or from DSB to address national priorities such as screenings for the recruitment of Regular Members. In a 2015 business case, DSB reported that nationally, approximately 14% of FTEs in the security program are funded by incremental or temporary funding. This has created staffing challenges and a reliance on term and/or casual employees. Some DSSs have entered into financial arrangements with client groups to have the client temporarily fund positions within the DSS which are then dedicated to working on security screenings for that client group. Although this may address immediate requirements, it results in ongoing personnel turnover and significant effort to obtain and train temporary employees, who may seek other more permanent positions when opportunities present themselves.

*** covering the costs of the field investigation portion of the security screening process were observed. ***. Resources allocated to the security screening program have reportedly remained consistent with respect to indeterminate full-time equivalents (FTE) - approximately 125 for both 2014 and 2015. However, taking into account the use of overtime, casual, and term employees, total resources allocated to the program have reportedly increased from approximately 172 FTE in 2014 to 189 FTE in 2015 (Figure 1).

*** along with ad hoc arrangements for securing funds from client groups, reduce the accuracy and completeness of costing information. Without complete and accurate costing information and a secure source of funding, it is difficult for the program to confirm resource requirements or to strategically reallocate funds within the program to address increased demand or new requirements such as the open sources inquiries and polygraph examination introduced in the October 2014 Standard on Security Screening. There is also a risk that opportunities for efficiencies may be lost, as the DSO does not have sufficient information to propose strategic resource reallocation decisions.

Enhanced, complete information regarding program costs would allow for more informed resource allocation, and would aid in determining long-term funding requirements.

Monitoring and Performance Measurement

The TB PGS requires deputy heads to ensure that periodic reviews are conducted to assess the effectiveness of the security screening program. The DDSM assigns to the DSO the responsibilities of measuring performance on an ongoing basis to ensure that residual risk levels are acceptable. In addition, the standard requires the DSO to monitor compliance with the standard and the effectiveness of security procedures and practices.

***. In response to the audit findings, management committed to establishing national performance measures and ongoing monitoring of national processing times.

We found that at the completion of our examination phase the policy centre had not defined specific performance information requirements and DSSs were not required to capture and report such information. ***.

During our site visits in our examination phase, we attempted to obtain performance information from the individual DSSs; however, we found that DSSs capture performance measures differently and for their own purposes. ***. For example not all DSSs have an intake function which records the receipt of new requests for a clearance which can also conduct an initial review of applications for completeness. Further one DSS divided security screening requests by client groups while another distributed security screening requests to security screening analysts by employee category. ***.

Departmental Security management has acknowledged the continuing gap in this area and as a recent enhancement to the program, during the reporting phase of this audit the DSB policy centre defined and communicated performance information requirements to the four DSSs. In addition, the policy centre has commenced developing national performance standards and tracking key performance indicators (KPIs) for each component of the departmental security program, including the Departmental Personnel Security Screening program as part of the recently approved DSP.

***

As a longer term solution, we were informed by DSB that the RCMP Chief Information Officer (CIO) has identified MS Dynamics as the platform for all replacement case management systems. The CIO Branch is currently piloting MS Dynamics within the RCMP ***. DSB has considered alternative interim solutions; however, NARMS is the only interim case management system supported by the CIO.

3.2 Potential Process Efficiencies

In addition to assessing compliance with the PGS and the standard, an element of the audit objective was to identify potential opportunities and mechanisms to further improve process efficiency without unduly increasing risk to the RCMP. In order to enable a meaningful detailed analysis of the process, we had expected to find the processes and practices amongst DSSs to be consistent and that reliable performance measurement data, including files with sufficient detail to allow for the clear identification of both processing times associated with each step in the screening process and bottlenecks as well as backlog information would be available. As mentioned in the previous section, ***. DSB is aware of these challenges and is taking measures to improve the capture of performance information.

Notwithstanding the challenges relating to the reliability and availability of performance data, through our file review and analysis of available program information we were able to identify a number of potential opportunities and mechanisms that could improve the efficiency of the process.

Security Interview

The results of our file review^{Footnote 4} identified on average, Atlantic DSS had quicker processing times for all security clearance types compared with the other three DSS (Appendix C). A key explanation for this as provided by Program staff, was that the field investigations and security interviews in Atlantic are coordinated by the hiring manager prior to sending the file to the DSS, while in the other DSSs the coordination and conduct of field investigations and the security interview are done by security screening program staff as part of the security screening process. With quicker security screening processing times, Atlantic DSS has a reported higher file completion rate per FTE resource compared with the other three DSSs (Figure 2).

For the most part, overall processing times for the Central, Northwest, and Pacific DSSs include time for the conduct of the security interview as well as the queue time waiting for the interview as well as the administration of the interview results, which we were informed by Program staff can be significant.

The use of the interview as part of the security screening process plays an important part in assessing and corroborating information provided by an applicant. While important, the use of the interview itself is not a mandatory requirement by the standard. The standard requires that a "security questionnaire and/or security interview" be conducted. ***.

***

In light of a relatively low denial rate, in an effort to improve the efficiency of the security screening process, the RCMP could consider a risk based approach with respect to whether conducting a security interview is necessary i.e. when adverse information is identified during other security screening activities. ***.

Risk Investigations

Another area that was identified by Program staff as being an internal queue or bottleneck is risk investigations. In the majority of cases when adverse information is uncovered during security screening activities the file is referred to a DSS's Risk Unit for a risk investigation. A risk investigation can involve additional interviews, further law enforcement records checks, and consideration by DSB for the ultimate adjudication of the clearance request which could result in a denial, suspension, or revocation.

***. There is an opportunity within this DSS to enhance process efficiency by moving away from the practice of referring all of its RM recruit files to its risk unit.

Employment and Character Reference Checks

Elements of the field investigation of the security screening process has been identified by Program staff as an internal bottleneck. Through our interviews with Program staff, we've identified that the method of assessing an applicant's employee and character references is not delivered uniformly across the DSSs. We were informed by Program staff that one DSS conducts employment and character reference interviews in-person; this involves local travel and may involve travel outside the geographical area where the field investigator is located. ***. The practice of conducting employment and character references in-person appears to be overly risk averse in relation to overall denial rate. ***.

Law Enforcement Records Checks

The RCMP currently checks up to *** data bases as part of its security screening process. Analysts need to input tombstone information into each of the data bases separately for both the employee and in some cases family and associates, resulting in a somewhat labour intensive and time consuming process.

***. The audit team learned that various proposals have been put forward by DSS employees to reduce the number of data base checks that are conducted for each file, but none have been approved or implemented. DSB is considering the use two database inquiry tools, ***, to increase the timeliness of processing security clearance updates. If these tools are successful in addressing the update backlog, DSB could consider extending the use of these tools for all new and upgrade security clearances. Using a risk-based approach for all security files, DSB could use these two databases inquiry tools and then would only conduct the full spectrum of law enforcement checks if the initial checks through *** identified areas of risk.

Increasing the transferability of security clearances from other departments and agencies

Due to limitations in the information management systems utilized by the program, we were unable to assess the number of security clearance files that related to applicants who already possessed a security clearance obtained through another federal department or agency. However, based on interviews with individuals in the program and other hiring managers within the RCMP, we were informed that the volume of these types of files in the process do not represent an immaterial amount of demand for Program staff. As the reliability and availability of performance data improves, the Program will be in a better position to assess the real demand relating to these types of files.

***, DSB could consider either a reduced level of assessment or a risk-based approach to accepting security clearances from other government departments and agencies. Special consideration could also be given to those departments agencies that are part of the security portfolio.

Backlog of Security Files

The periodic review of an employee's security status is referred to as a security update. As per the standard the security manual, an update is required every 10 years for RRS and secret security clearances, and every five years for top secret security clearances. Updates are a critical insider threat mitigation measure. DSB defines insider threat as the threat from an individual, or group, who: has special knowledge, or access, to critical information or assets in an organization; and has the intent to cause harm, danger, or stand to gain from their privileged position.

The 2011 audit reported that a backlog of security clearance updates existed in most regions. As part of its management action plan, DSB was to consider potential solutions to address these backlogs.

***. During the reporting phase of this audit, DSB reported that all DSSs continue to have a significant backlog of security updates, with smaller backlogs for new and upgrade files. ***. We were informed by DSB officials that backlog information for new and upgrade files was not available for previous years, thereby limiting our ability to assess whether those backlogs were increasing or decreasing.

***

In addition, as the reliability and availability of performance data relating to backlogs improves, DSB and DSSs will be in a better situation to assess whether a strong business case exits for additional program resources for short term "surge" efforts. By eliminating backlogs, resources dedicated to the program would be able to focus on new files, thereby helping to increase the timeliness of processing.

By taking appropriate and timely action with respect to security clearance backlogs, the RCMP will reduce its risk of *** and will be better positioned to direct its program resources to new security clearance files.

Online Industrial Security Services Portal

DSB is in the process of replacing the existing paper-based information-gathering process with Public Works and Government Services Canada (PWGSC) ***. This application streamlines the form completion process and reduces the need to correct errors or track down missing information. *** has been implemented for Regular Member recruiting, and is being piloted in at the Central DSS for other employee categories.

Other potential process efficiencies

In 2013, following the 2011 internal audit, DSB conducted a business process re-engineering initiative aimed at mapping and measuring the process, and making performance improvements accordingly. The process included onsite consultations with each DSSs where processes were identified, challenges noted, and best practices reported. The benchmarking exercise identified the following bottlenecks:

• Requesting and awaiting missing information from hiring managers and/or applicants;
• Requesting field investigations;
• Awaiting the completion of the field investigation/security interview;
• Awaiting database checks that cannot be conducted by the analyst themselves;
• ***;
• Awaiting the outcome of risk investigations resulting from the identification of adverse information; and
• Time spent in internal queues awaiting the availability of security analysts.

Given both the lack of detailed performance data for the files sampled during our site visits and the differing practices across the DSSs the audit team was not able to measure and analyze these bottlenecks in any detail. However, through interviews and observation the audit team was able to corroborate that these areas continue to be perceived bottlenecks in the process. As the reliability and availability of performance data improves, the Program will be in a better position to assess the impact of each of these areas on the overall timeliness of the process and any related efficiency enhancement.

4. Conclusion

DSB has made progress on certain issues identified by IAER's 2011 Audit of Personnel Security. In addition to enhancing the rigour in the screening process and defining and communicating risk tolerances through RCMP's Senior Executive Committee, DSB has identified and implemented a number of process efficiencies and initiated process enhancing initiatives.

***. Improvements in these areas are necessary to further facilitate improvements to the effective and efficient delivery of the security screening program.

***. DSB is aware of these challenges and is taking measures to improve the capture of performance information. Notwithstanding the challenges relating to the ***, through our file review and analysis of available program information we were able to identify a number of potential opportunities and mechanisms that could improve the efficiency of the process.

5. Recommendations

1. The Deputy Commissioner Specialized Policing Services should work with the Senior Executive Committee and Commanding Officers to further define, document, and communicate the authorities of the DSO within the departmental security program and specifically the personnel security screening program.
2. The Deputy Commissioner Specialized Policing Services should develop a mechanism to capture complete and accurate personnel security screening program costs to enable informed decision-making relating to determining resource requirements and the strategic reallocation of funds within the program.
3. The Deputy Commissioner Specialized Policing Services should develop a performance measurement framework and create a national oversight and monitoring function to ensure the personnel security screening program is meeting its objectives.
4. The Deputy Commissioner Specialized Policing Services in collaboration with other departmental security stakeholders should assess the merits and the feasibility of the potential process efficiencies identified in section 3.2 of this report.

Appendix A – Audit objective and criteria

Appendix B – Screening process overview^{Footnote 5}

***

Appendix C – File review detailed results

***

The way forward: The RCMP’s sexual assault review and victim support action plan

Summary

Sexual assault is a devastating crime that has traumatic and long-lasting effects on victims. A negative experience with police investigators can bring more trauma to victims, and discourage others from reporting these crimes.

Earlier this year, RCMP Divisions^{Footnote 1} conducted a review of all unfounded sexual assault files from 2016. The RCMP created a team in Ottawa to review the divisional reports, assess all aspects of sexual assault investigations, consult with external stakeholders, partners and experts, and provide direction on how to improve RCMP investigations into these serious crimes.

The RCMP is committed to ensuring investigative excellence and support for victims of sexual assault in Canada. Our objectives are clear:

• treat victims of sexual assault with compassion, care and respect, informed by established evidence-based best practices;
• conduct sexual assault investigations across Canada consistently and to the highest professional standards, with oversight practices established to ensure the greatest level of accountability and stewardship of investigations; and,
• increase public awareness and trust of RCMP sexual assault investigations and encourage greater levels of reporting.

The RCMP is taking action to strengthen police training and awareness, investigative accountability, victim support, and public education and communication.

Background

According to a 2015 Statistics Canada report, an estimated 635,000 incidents of sexual assault occurred in Canada in 2014, of which an estimated 90 per cent were not reported to police. Women were victims in 87 per cent of these incidents. These statistics have remained virtually unchanged since 2004, while the rates of all other types of crime decreased.

In the same survey, victims of sexual assault reported having lower confidence in police. Victims who did not report the incident to the police most commonly indicated that they felt the crime was minor and not worth the time to report.

In February 2017, The Globe and Mail published an investigative series on how police handle sexual assault reporting, highlighting that police classify, on average, one in five reported sexual assaults as unfounded. The reporting also uncovered stories that raise questions about how some investigators may treat victims of sexual assaults.

2016 file review

The RCMP examined all sexual assault files classified as unfounded from 2016 to ensure that investigations followed RCMP operational policy, all viable investigative avenues were pursued, and cases were accurately classified based on available information. The results made it clear that changes are necessary.

• The RCMP responded to 10,038 reported sexual assault cases across Canada.
• Divisions reviewed 2,225 sexual assault cases classified as unfounded.
• Divisions determined that 1,260 unfounded cases were misclassified.
• Divisions and National Headquarters identified 284 files for further investigation.
• Following the file review, the RCMP's 2016 national average unfounded rate is actually 9.6 per cent, down from 22 per cent prior to the review.

* All numbers in this report are current up to October 30, 2017

RCMP unfounded sexual assault investigations for 2016

** Files identified for further investigation may require additional interviews, better documentation or the use of other investigative tools.

The review team also found qualitative issues with some investigations, including:

• insufficient documentation of how a case was pursued or why it was classified as unfounded;
• inconsistent oversight to ensure investigations were conducted, documented and classified properly; and,
• little knowledge of consent law by investigators.

The RCMP also conducted a sample review of 93 sexual assault cases from 2015. Reviewers found that investigators consistently misinterpreted the unfounded category.

Action:

• The RCMP's file review has been expanded to include all sexual assault investigations not cleared by charge for calendar years 2015, 2016 and 2017. This work will be completed by the National Headquarters review team.
• The RCMP created a Best Practices Guide for Sexual Assault Investigations that complements RCMP policy and provides investigators with a reference guide and checklist to assist them in conducting comprehensive investigations.

Stakeholder consultations

The RCMP consulted with national and international law enforcement agencies and met with non-governmental organizations (NGOs) and government partners to discuss sexual assault investigational practices, policy, training and public engagement.

The NGOs included victim services professionals and victim/community advocates across Canada. These groups advised the RCMP on sexual assault investigation best practices, as well as challenges faced by victims, their families and victim support services when reporting sexual assault cases to police.

Stakeholder input, often validated by the sexual assault file review, focussed on four areas: police training and awareness, investigative accountability, victim support, and public education and communication.

Police training and awareness

Stakeholders indicated that police-held stereotypes about how victims of sexual violence should act, including expectations around victims' ability to consistently recount their stories, have led to sexual assault files being concluded too quickly or deemed unfounded.

The RCMP's file review supported these claims. Reviewers noted that some members equated inconsistencies in victims' statements with dishonesty, and demonstrated a general lack of awareness regarding how trauma might affect a victim's ability to recount events, or how instinctual and unconscious coping strategies may change or mask emotions.

While young women are the most vulnerable to sexual assault, they are not the only victims. Male victim support groups indicated that some men do not report sexual assaults because they feel they will be perceived as homosexual or un-masculine. Moreover, LGBTQ2+ victim support groups said that perceptions of police attitudes towards the community, as well as inconsistencies in how police identify intimate partner violence among same sex couples, were barriers to LGBTQ2+ individuals reporting.

Stakeholders also highlighted that police investigators were not always aware of recent consent case law. Victim advocates cited situations where investigations were closed once it was determined that the victim did not say 'no,' but had indicated through other means that the sexual act was not wanted.

Sexual assault investigations are complex and stressful for victims, witnesses and investigators. Police investigators must have trauma-informed, victim-centric investigative training, as well as easy access to the latest case law, legislation and science concerning sexual violence.

Action:

• The RCMP will develop a sexual assault training curriculum that addresses existing legislation and consent law; focusses on trauma-informed investigative tools and approaches, and gender-based violence; highlights common myths and stereotypes; reinforces victim rights and support services; and, bolsters supervisory oversight and review. This training will be inclusive of vulnerable populations including but not limited to: Indigenous people, senior citizens, persons with disabilities, sex trade workers, children and youth under 18. It will also be reflective of the diverse cultures and communities the RCMP serves.
• RCMP Divisions will share components of the RCMP training curriculum with all employees who may interact with sexual assault victims and/or support investigations.

Investigative accountability

Classifying a sexual assault file as unfounded is accurate in some cases. However, stakeholders stressed that incorrectly classifying a file as unfounded negatively impacts public perceptions of how police investigators handle sexual assault reports, and could discourage victims from reporting these crimes to police. Victims may be at further risk if perpetrators are not pursued because a file is incorrectly closed, and perpetrators may be emboldened if they believe they are unlikely to get caught.

In 2000, the Philadelphia Police Department was criticized for how it investigated and classified sexual assault cases. This led to the establishment of an external oversight committee (the Philadelphia Model) made up of police, relevant government departments and NGOs to annually examine all sexual assault cases classified as unfounded. The rate of unfounded cases in Philadelphia dropped to four per cent; lower than the American national average of seven per cent.

Action:

• The RCMP will form a national unit to provide training, guidance and oversight for sexual assault investigations, and to work with Divisions to establish external advisory committees, where appropriate, to provide advice and guidance on sexual assault files where the RCMP is the police of jurisdiction.
• The RCMP will update its policies and procedures to direct that investigators must provide clear justification for classifying a file as unfounded, and the classification must be approved by the immediate supervisor.
• The RCMP will continue to work with partners and stakeholders, including NGOs, to consult on the development of training, public awareness and internal policies associated with sexual assault.
• Each RCMP Division will put in place a process to ensure appropriate supervisory oversight of sexual assault files.

Victim support

Victim support advocates highlighted that victims of sexual violence who report to police are seeking a welcoming, secure and private environment that encourages trust and empathy. They also stressed that victim services programming is critical to reducing the effects of victimization and re-victimization, and stated that police officers must be aware of available victim services in their jurisdictions.

Stakeholders across the country also highlighted how important it is for police and victim services providers to forge strong partnerships. Several stakeholders shared examples of existing police-victim services partnerships that work well, but others noted that more could be done in some jurisdictions.

Stakeholders also cautioned that, because of physical or emotional trauma, some victims may not be able to give informed consent to a victim services referral. In these cases, stakeholders supported respectful proactive referrals, where police contact victim services on behalf of the victim. Victim services then contacts the victim to offer services. The RCMP's Victim Assistance policy instructs members to conduct an assessment of each situation to determine if conditions exist for a proactive referral.

Action:

• RCMP Divisions will establish protocols for providing safe, secure and private environments for victims to report sexual assault.
• Employees that interact with victims of sexual assault will be given a list of available victim services programs, and clear procedures for referring victims.
• Investigators, supervisors and detachment commanders will strengthen relationships with victim services partners, and hold regular meetings to share information, identify concerns and work collaboratively to support victims.
• The RCMP will continue to explore alternative options for victims to report sexual assaults, such as third party reporting.

Public education and communications

Statistics Canada annual crime reporting is clear: the overwhelming majority of sexual assault victims do not report the incident to the police because they feel the crime is minor and not worth the time to report. Victims of sexual assault also report having lower confidence in police.

Stakeholder consultations consistently raised that victims may also avoid reporting sexual assaults for fear of the unknown. Victim support advocates stated that law enforcement should provide the public with accessible information about what victims can expect when reporting sexual assaults, and how police can help identify victim support services.

Action:

• The RCMP will develop public awareness products that encourage victims to report allegations to police, and explain what victims may expect when reporting a sexual assault.

Summary of RCMP actions

2016 file review

• The RCMP's file review has been expanded to include all sexual assault investigations not cleared by charge for calendar years 2015, 2016 and 2017. This work will be completed by the National Headquarters review team.
• The RCMP created a Best Practices Guide for Sexual Assault Investigations that complements RCMP policy and provides investigators with a reference guide and checklist to assist them in conducting comprehensive investigations.

Police training and awareness

• The RCMP will develop a sexual assault training curriculum that addresses existing legislation and consent law; focusses on trauma-informed investigative tools and approaches, and gender-based violence; highlights common myths and stereotypes; reinforces victim rights and support services; and, bolsters supervisory oversight and review. This training will be inclusive of vulnerable populations including but not limited to: Indigenous people, senior citizens, persons with disabilities, sex trade workers, children and youth under 18. It will also be reflective of the diverse cultures and communities the RCMP serves.
• RCMP Divisions will share components of the RCMP training curriculum with all employees who may interact with sexual assault victims and/or support investigations.

Investigative accountability

• The RCMP will form a national unit to provide training, guidance and oversight for sexual assault investigations, and to work with Divisions to establish external advisory committees, where appropriate, to provide advice and guidance on sexual assault files where the RCMP is the police of jurisdiction.
• The RCMP will update its policies and procedures to direct that investigators must provide clear justification for classifying a file as unfounded, and the classification must be approved by the immediate supervisor.
• The RCMP will continue to work with partners and stakeholders, including NGOs, to consult on the development of training, public awareness and internal policies associated with sexual assault.
• Each RCMP Division will put in place a process to ensure appropriate supervisory oversight of sexual assault files.

Victim support

• RCMP Divisions will establish protocols for providing safe, secure and private environments for victims to report sexual assault.
• Employees that interact with victims of sexual assault will be given a list of available victim services programs, and clear procedures for referring victims.
• Investigators, supervisors and detachment commanders will strengthen relationships with victim services partners, and hold regular meetings to share information, identify concerns and work collaboratively to support victims.
• The RCMP will continue to explore alternative options for victims to report sexual assaults, such as third party reporting.

Public education and communications

• The RCMP will develop public awareness products that encourage victims to report allegations to police, and explain what victims may expect when reporting a sexual assault.

La voie à suivre : Plan d’action de la GRC sur l’examen des plaintes d’agression sexuelle et le soutien aux victimes

Sommaire

Les agressions sexuelles sont des crimes dévastateurs et traumatisants qui ont des effets à long terme sur les victimes. De plus, les expériences négatives avec les enquêteurs de police peuvent ajouter au traumatisme des victimes ou en dissuader d'autres de porter plainte.

Plus tôt cette année, les divisions^{Note de bas de page 1} de la GRC ont passé en revue toutes les affaires d'agression sexuelle qu'elles avaient été amenées à juger sans fondement depuis 2016.

La GRC a créé une équipe à Ottawa pour étudier les rapports divisionnaires, se pencher sur tous les aspects des enquêtes sur les agressions sexuelles, consulter des intervenants externes, des partenaires et des experts et guider la GRC dans l'amélioration de ses enquêtes sur ces crimes graves.

La GRC s'est engagée à assurer l'excellence en matière d'enquête et de soutien aux victimes d'agressions sexuelles au Canada. Nos objectifs sont clairs :

• traiter les victimes d'agression sexuelle avec compassion, sollicitude et respect, conformément aux pratiques dont l'exemplarité est fondée sur les faits
• partout au Canada, dans les affaires d'agression sexuelle, mener systématiquement des enquêtes dignes des normes professionnelles les plus élevées, en mettant en œuvre les pratiques de contrôle établies pour assurer le niveau maximal de responsabilisation et d'intendance des enquêtes; et
• sensibiliser le public et accroitre sa confiance dans les enquêtes de la GRC sur les agressions sexuelles, accroître sa confiance dans ces enquêtes et l'encourager à signaler toute agression sexuelle dont il a connaissance.

La GRC prend des mesures pour renforcer la formation et la sensibilisation des policiers, la responsabilisation en matière d'enquête, le soutien aux victimes et les communications et la sensibilisation du public.

Contexte

Selon un rapport de sondage de Statistique Canada daté de 2015, on estime que 635 000 incidents d'agression sexuelle ont eu lieu au Canada en 2014, dont environ 90 pourcent n'ont pas été signalés à la police. Des femmes étaient les victimes de 87 pourcent de ces incidents. Ces statistiques sont pratiquement demeurées inchangées depuis 2004, alors que tous les autres types de crimes ont diminué.

Dans le même sondage, les victimes d'agressions sexuelles ont dit avoir moins confiance en la police. Les victimes qui n'ont pas signalé l'incident à la police ont le plus souvent indiqué qu'elles avaient l'impression que le crime était mineur et ne valait pas la peine d'être déclaré.

En février 2017, le Globe and Mail publié une série d'articles sur la façon dont la police traite les signalements d'agressions sexuelles. On y indiquait que la police détermine, en moyenne, qu'une plainte d'agression sexuelle sur cinq est sans fondement. On y dévoilait aussi des témoignages qui soulèvent des questions quant à la façon dont certains enquêteurs pourraient traiter les victimes d'agressions sexuelles.

Examen des dossiers de 2016

La GRC a examiné tous les dossiers d'agressions sexuelles classés comme sans fondement depuis 2016 pour s'assurer que les enquêtes avaient été menées conformément à la politique opérationnelle de la GRC, que toutes les pistes d'enquête sérieuses avaient été explorées et que les affaires avaient été classées comme il se doit compte tenu de l'information disponible. Les résultats de cette démarche indiquaient clairement que des changements s'imposent.

• La GRC a donné suite à 10 038 signalements d'agressions sexuelles dans l'ensemble du Canada.
• Les divisions ont passé en revue 2 225 dossiers d'agressions sexuelles classés comme sans fondement.
• Les divisions ont déterminé que 1 260 dossiers classés comme sans fondement n'auraient pas dû être classés comme tels.
• Les divisions et la Direction générale ont relevé 284 dossiers requérant une enquête plus poussée.
• Après l'examen des dossiers de 2016, le taux moyen de dossiers classés comme sans fondement à l'échelle nationale est passé de 22 pourcent à 9,6 pourcent.

* Tous les chiffres contenus dans le présent rapport sont à jour au 30 octobre 2017.

Agressions sexuelles classées comme sans fondement par la GRC en 2016

** Les dossiers requérant une enquête plus poussée peuvent nécessiter des entrevues supplémentaires, une meilleure documentation ou l'utilisation d'autres outils d'enquête.

L'équipe d'examen a également soulevé des manquements qualitatifs dans certaines enquêtes, notamment :

• une documentation insuffisante sur les mesures qui ont été prises dans un dossier ou sur les raisons qui ont justifié qu'il soit classé comme sans fondement;
• le manque de régularité dans le contrôle visant à vérifier que les enquêtes sont menées, documentées et classées comme il se doit; et
• le manque de connaissance des enquêteurs sur la loi en ce qui concerne le consentement.

De plus, des membres de la GRC ont examiné un échantillon de 93 dossiers d'agression sexuelle datant de 2015. Les examinateurs ont déterminé que les enquêteurs se méprenaient régulièrement sur la classification des plaintes sans fondement.

Mesures de suivi :

• Le projet d'examen des dossiers de la GRC a été élargi pour englober toutes les enquêtes sur des plaintes d'agression sexuelle qui n'ont pas été réglées par mises en accusation au cours des années civiles 2015, 2016 et 2017. Ce projet sera réalisé par l'équipe d'examen de la Direction générale.
• La GRC a développé un guide de pratiques exemplaires en matière d'enquête sur les agressions sexuelles qui viendra compléter la politique de la GRC et qui constituera pour les enquêteurs un guide de référence qui les aidera à mener des enquêtes exhaustives.

Consultations auprès des parties intéressées

De membres de la GRC ont consulté des représentants d'organismes canadiens et étrangers chargés de l'application de la loi et ont rencontré des membres d'organisations non gouvernementales (ONG) et d'organismes partenaires du gouvernement pour discuter des pratiques, des politiques, de la formation et de la participation publique en lien avec les enquêtes sur les agressions sexuelles.

Parmi les ONG consultées, mentionnons des regroupements de professionnels des services aux victimes et de défenseurs des droits des victimes de partout au Canada. Ces intervenants ont donné leur avis sur les pratiques exemplaires en matière d'enquête sur les agressions sexuelles et sur les difficultés auxquelles se butent les victimes, leur famille et les services de soutien aux victimes lorsque des agressions sexuelles sont signalées à la police.

Les commentaires des parties intéressées, souvent validés lors de l'examen des dossiers d'agressions sexuelles, étaient centrés sur les quatre éléments suivants : la formation et la sensibilisation des policiers, la responsabilisation en matière d'enquête, le soutien aux victimes ainsi que la sensibilisation du public.

Formation et sensibilisation des policiers

Les parties intéressées ont indiqué que certains dossiers d'agression sexuelle sont clos trop rapidement ou jugés sans fondement à cause des idées préconçues des policiers quant à la façon dont les victimes de violence sexuelle devraient se comporter, notamment l'attente qu'elles puissent raconter fidèlement l'incident.

L'examen des dossiers de la GRC confirme cette assertion. Les examinateurs ont remarqué que certains membres prenaient des incohérences dans les déclarations des victimes pour de la malhonnêteté et, de façon générale, méconnaissaient les effets d'un traumatisme sur la capacité des victimes de relater les événements ou ignoraient que les stratégies d'adaptation instinctives ou inconscientes peuvent modifier ou masquer les émotions.

Si les jeunes femmes sont les plus à risque d'être agressées sexuellement, elles ne sont pas les seules victimes. Des représentants de groupes de soutien aux hommes victimes d'agressions sexuelles ont indiqué que certains hommes ne signalent pas les agressions dont ils sont victimes parce qu'ils croient qu'ils seront perçus comme des homosexuels ou des hommes efféminés. De plus, des responsables de groupes de soutien pour les victimes LGBTQ2+ ont affirmé que certaines victimes hésitaient à porter plainte à cause de la perception que la police a de la communauté LGBTQ2+ et à cause du manque de logique dans la façon dont la police nomme la violence dans les couples homosexuels.

En outre, les parties intéressées ont souligné que les enquêteurs n'étaient pas toujours au fait de la jurisprudence récente sur le consentement. Les défenseurs des droits des victimes ont mentionné des situations où les enquêtes étaient closes lorsqu'il était déterminé que la victime n'avait pas dit « non », même si elle avait indiqué autrement son refus.

Les enquêtes sur les agressions sexuelles sont complexes et stressantes pour les victimes, les témoins et les enquêteurs. Ces derniers doivent recevoir de la formation centrée sur les victimes qui porte sur les effets des traumatismes, et avoir facilement accès à la jurisprudence, à la législation et aux études scientifiques les plus récentes au sujet de la violence sexuelle.

Mesures de suivi :

• La GRC élaborera une formation sur les agressions sexuelles qui porte sur la législation en vigueur et la loi sur le consentement, et qui insistera sur les méthodes d'enquête qui tiennent compte des effets des traumatismes ainsi que la violence fondée sur le sexe, qui met en lumière des mythes et des stéréotypes répandus, qui met l'accent sur les droits des victimes et les services de soutien qui leur sont offerts et qui appuie la supervision et les examens. Cette formation englobera toutes les populations vulnérables, notamment les Autochtones, les aînés, les personnes handicapées, les travailleuses et travailleurs du sexe, les enfants et les jeunes de moins de 18 ans. De plus, elle sera à l'image des différentes cultures et communautés que la GRC sert.
• Les divisions de la GRC transmettront le contenu de la formation de la GRC à tous les employés qui pourraient être appelés à interagir avec des victimes d'agression sexuelle ou appuyer des enquêtes sur des agressions sexuelles.

Responsabilisation en matière d'enquête

Il est exact dans certains cas de classer un dossier d'agression sexuelle comme sans fondement. Toutefois, les parties intéressées ont souligné que le faire à tort nuit à la perception du public quant à la façon dont les enquêteurs prennent en charge les signalements d'agressions sexuelles et peut dissuader des victimes de parler à la police. Si les agresseurs ne sont pas accusés parce qu'un dossier est clos incorrectement, d'une part les victimes peuvent être encore plus à risque d'être agressées et d'autre part, les agresseurs peuvent s'enhardir s'ils croient qu'ils risquent peu de se faire prendre.

En 2000, le service de police de Philadelphie a reçu des critiques sur la façon dont il avait enquêté sur des affaires d'agressions sexuelles et la manière dont il avait classé ces dossiers. Ces reproches ont mené à la création d'un comité externe de surveillance (le modèle de Philadelphie) composé de policiers et de représentants de ministères et d'ONG qui se penchent chaque année sur tous les dossiers d'agression sexuelle classés comme sans fondement. Le taux de dossiers classés comme sans fondement à Philadelphie a chuté à quatre pourcent, un taux inférieur à la moyenne américaine de sept pourcent.

Mesures du suivi :

• La GRC créera un groupe national qui fournira formation, conseils et surveillance en lien avec les enquêtes d'agressions sexuelles et qui collaborera avec les divisions pour mettre sur pied, là où il convient de le faire, des comités consultatifs externes qui guideront les enquêteurs dans les dossiers d'agressions sexuelles qui relèvent de la GRC.
• La GRC actualisera ses politiques et processus de façon à ce que les enquêteurs doivent justifier clairement le classement d'un dossier comme sans fondement et faire approuver le classement par leur superviseur immédiat.
• La GRC continuera de collaborer avec ses partenaires et les parties intéressées, y compris des ONG, et de les consulter au sujet de l'élaboration de la formation, de la sensibilisation du public et des politiques internes associées aux agressions sexuelles.
• Chaque division de la GRC mettra en place un processus pour assurer une surveillance appropriée des dossiers d'agression sexuelle.

Soutien aux victimes

Les défenseurs des droits des victimes ont indiqué que les victimes de violence sexuelle qui vont parler à la police souhaitent être reçues dans un milieu accueillant, sûr et privé qui invite à la confiance et à l'empathie. Ils ont aussi souligné que les services d'aide aux victimes contribuent de façon essentielle à limiter les séquelles que gardent les victimes d'un ou de plusieurs actes criminels et que les policiers doivent connaître les services offerts aux victimes dans leur région.

Les parties intéressées de partout au pays ont également souligné l'importance pour les policiers et les fournisseurs de soins aux victimes de nouer de solides partenariats. Plusieurs ont parlé de tels partenariats qui portent des fruits, alors que d'autres ont fait remarquer qu'on pourrait faire plus à cet égard sur certains territoires de compétence.

Les parties intéressées ont expliqué que les victimes qui ont subi un traumatisme physique ou émotionnel risquent de ne pas être capables de donner leur consentement éclairé pour être aiguillées vers un fournisseur de services aux victimes. Dans de tels cas, les parties intéressées appuient les aiguillages proactifs, dans le cadre desquels la police communique avec les fournisseurs de services aux victimes au nom de la victime. Ensuite, les fournisseurs communiquent directement avec la victime pour lui offrir leurs services. La politique sur les services d'assistance aux victimes de la GRC charge les membres de la GRC d'évaluer chaque situation pour déterminer si les conditions d'aiguillage proactif sont réunies.

Mesures de suivi :

• Les divisions de la GRC établiront des protocoles afin d'offrir un climat sûr et privé aux victimes qui veulent signaler une agression sexuelle.
• Les employés qui sont appelés à interagir avec des victimes d'agressions sexuelles recevront une liste des programmes de services aux victimes ainsi qu'un processus clair pour aiguiller les victimes vers ces services.
• Les enquêteurs, les superviseurs et les chefs de détachement renforceront leurs liens avec les fournisseurs de services aux victimes et les rencontreront régulièrement pour se communiquer de l'information, cerner les sources de préoccupation et collaborer pour aider les victimes.
• La GRC continuera d'explorer d'autres façons pour les victimes de signaler les agressions sexuelles, notamment les signalements par les tiers.

Communications et sensibilisation du public

Le rapport annuel de Statistique Canada sur la criminalité énonce clairement que la grande majorité des victimes d'agressions sexuelles ne signalent pas l'incident à la police parce qu'elles ont l'impression que le crime est mineur et qu'il ne vaut pas la peine d'être déclaré. De plus, les victimes d'agressions sexuelles disent avoir moins confiance en la police.

Lors des consultations, les parties intéressées ont régulièrement mentionné que les victimes peuvent aussi éviter de signaler les agressions sexuelles par peur de l'inconnu. Les défenseurs des droits des victimes ont affirmé que les policiers devraient communiquer au public de l'information accessible sur ce à quoi les victimes peuvent s'attendre lorsqu'elles signalent une agression sexuelle à la police et sur la façon dont la police peut aiguiller les victimes vers les services d'aide dont elles ont besoin.

Mesure de suivi :

• La GRC développera des produits de sensibilisation du public qui encourage les victimes à porter plainte à la police et qui expliquent ce à quoi les victimes peuvent s'attendre lorsqu'elles signalent une agression sexuelle.

Résumé des mesures de suivi pour la GRC

Examen des dossiers de 2016

• Le projet d'examen des dossiers de la GRC a été élargi pour englober toutes les enquêtes sur des plaintes d'agression sexuelle qui n'ont pas été réglées par mises en accusation au cours des années civiles 2015, 2016 et 2017. Ce projet sera réalisé par l'équipe d'examen de la Direction générale.
• La GRC a développé un guide de pratiques exemplaires en matière d'enquête sur les agressions sexuelles qui viendra compléter la politique de la GRC et qui constituera pour les enquêteurs un guide de référence qui les aidera à mener des enquêtes exhaustives.

Formation et sensibilisation des policiers

• La GRC élaborera une formation sur les agressions sexuelles qui porte sur la législation en vigueur et la loi sur le consentement, les méthodes d'enquête qui prennent les effets des traumatismes en compte ainsi que la violence fondée sur le sexe, qui met en lumière des mythes et des stéréotypes répandus, qui met l'accent sur les droits des victimes et les services de soutien qui leur sont offerts et qui appuie la supervision et les examens. Cette formation englobera toutes les populations vulnérables, notamment les Autochtones, les aînés, les personnes handicapées, les travailleuses et travailleurs du sexe, les enfants et les jeunes de moins de 18 ans. De plus, elle sera à l'image des différentes cultures et communautés que la GRC sert.
• Les divisions de la GRC transmettront le contenu de la formation de la GRC à tous les employés qui pourraient être appelés à interagir avec des victimes d'agression sexuelle ou appuyer des enquêtes sur des agressions sexuelles.

Responsabilisation en matière d'enquête

• La GRC formera un groupe national qui fournira formation, conseils et surveillance portant sur les enquêtes d'agressions sexuelles et qui collaborera avec les divisions pour mettre sur pied, là où il convient de le faire, des comités consultatifs externes qui guideront les enquêteurs dans les dossiers d'agressions sexuelles qui relèvent de la GRC.
• La GRC actualisera ses politiques et processus de façon à ce que les enquêteurs doivent justifier clairement le classement d'un dossier comme sans fondement et faire approuver le classement par leur superviseur immédiat.
• La GRC continuera de collaborer avec ses partenaires et les parties intéressées, y compris des ONG, et de les consulter au sujet de l'élaboration de la formation, de la sensibilisation du public et des politiques internes associées aux agressions sexuelles.
• Chaque division de la GRC mettra en place un processus pour assurer une surveillance appropriée des dossiers d'agression sexuelle.

Soutien aux victimes

• Les divisions de la GRC établiront des protocoles afin d'offrir un climat sûr et privé aux victimes qui veulent signaler une agression sexuelle.
• Les employés qui sont appelés à interagir avec des victimes d'agressions sexuelles recevront une liste des programmes de services aux victimes ainsi qu'un processus clair pour aiguiller les victimes vers ces services.
• Les enquêteurs, les superviseurs et les chefs de détachement renforceront leurs liens avec les fournisseurs de services aux victimes et les rencontreront régulièrement pour se communiquer de l'information, cerner les sources de préoccupation et collaborer pour aider les victimes.
• La GRC continuera d'explorer d'autres façons pour les victimes de signaler les agressions sexuelles, notamment les signalements par les tiers.

Sensibilisation du public

• La GRC développera des produits de sensibilisation du public qui encouragent les victimes à porter plainte à la police et qui expliquent ce à quoi les victimes peuvent s'attendre lorsqu'elles signalent une agression sexuelle.

Annual Reports to Parliament

Access to Information Act gives Canadian citizens and persons present in Canada the right to access information in federal government records. The Privacy Act provides citizens with the right to access personal information about themselves held by the government and the protection of that information against unauthorized use and disclosure.

The Annual Reports outlines the RCMP's administration of Access to Information Act and the Privacy Act.

If you are interested in obtaining a copy of a past report please send a request to atip-aiprp@rcmp-grc.gc.ca.

Annual reports

• Annual Report to Parliament 2021-2022 on the Access to Information Act
• Annual Report to Parliament 2021-2022 on the Administration of the Privacy Act
• Annual Report to Parliament 2020-2021 on the Access to Information Act
• Annual Report to Parliament 2020-2021 on the Administration of the Privacy Act

Rapports annuels au parlement

La Loi sur l'accès à l'information donne aux citoyens canadiens et aux personnes présentes au Canada le droit d'accès aux documents de l'administration fédérale. Quant à la Loi sur la protection des renseignements personnels, elle accorde à ces mêmes personnes le droit d'accès aux renseignements personnels qui les concernent détenus par le gouvernement, et à la protection de ces renseignements d'une utilisation et d'une communication non autorisées.

Les rapports annuels expliquent en quoi la GRC met en application la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels.

Si vous souhaitez obtenir une copie d'un rapport antérieur, veuillez envoyer une demande à : atip-aiprp@rcmp-grc.gc.ca.

Rapports annuels

• Rapport annuel au parlement 2021-2022 sur la Loi sur l'accès à l'information
• Rapport annuel au parlement 2021-2022 de la GRC sur l'administration de la Loi sur la protection des renseignements personnels
• Rapport annuel au parlement 2020-2021 sur la Loi sur l'accès à l'information
• Rapport annuel au parlement 2020-2021 de la GRC sur l'administration de la Loi sur la protection des renseignements personnels

Audit of Information Technology (IT) Procurement

Vetted Report

February 2017

Table of contents

1. Acronyms and abbreviations
2. Executive summary
3. Management's response to the audit
4. 1. Background
5. 2. Objective, scope and methodology
   • 2.1 Objective
   • 2.2 Scope
   • 2.3 Methodology
   • 2.4 Statement of conformance
6. 3. Audit findings
   • 3.1 IT Procurement Processes
   • 3.2 Adherence to Policies
   • 3.3 Effectiveness of Service Delivery
7. 4. Recommendations
8. 5. Conclusion
9. Appendix A – Audit Objective and Criteria
10. Appendix B – Process Maps of Procurement Processes

Acronyms and abbreviations

AMM

Asset Management Manual

CIO

Chief Information Officer

CQA

Contract Quality Assurance

DIO

Divisional Information Management/Information Technology Officer

ECS

Enterprise Computing Services

FMM

Financial Management Manual

IM

Information Management

IT

Information Technology

OiC

Order in Council

PWGSC

Public Works and Government Services Canada

RBAP

Risk-Based Audit Plan

SO

Standing Offer

SSC

Shared Services Canada

Executive summary

Information management (IM) and information technology (IT) play an important role in enabling the RCMP to meet its operational priorities. Providing RCMP personnel with updated IT equipment allows them to keep abreast with evolving technological crime. As Canada's national police force, it is also important that the RCMP's IT systems be compatible and consistent with its law enforcement and criminal justice partners. Accordingly, effective IT procurement practices help to ensure that IT equipment acquired meets the RCMP's operational needs and demonstrates sound stewardship of resources.

In 2012, Shared Services Canada (SSC) was mandated to provide services related to email, data centres and networks to 43 partner organizations including the RCMP. On September 1, 2015, an Order in Council (OiC) came into effect extending SSC's mandate for the provision of services related to end-user information technology. This removed contracting authority for IT goods from SSC's 43 partner organizations and delegated full contracting authority for IT goods to SSC. This audit focused on the RCMP's accountabilities with respect to IT procurement.

The objective of this audit was to assess whether the RCMP's IT procurement practices meet operational needs, and comply with government procurement regulations and policy. The audit scope included the procurement of IT goods completed during the period of April 1, 2014 to June 30, 2016.

The audit concludes that RCMP units have been working well with Divisional IM/IT Officer (DIO) personnel to clearly define IT requirements for procurement decisions to meet ongoing operational needs. Additionally, controls put in place to ensure that procurement officers confirm that requests for IT goods are approved by DIO personnel prior to initiating procurement are working as intended.

Opportunities for improvement exist in a few areas. The Force would benefit from assessing existing procurement authorities and responsibilities in the post OiC context, and updating RCMP policies and guidelines related to the procurement of IT goods, including the * and retroactive contracting. Additionally, * would serve to strengthen adherence to policy and OiC requirements across the Force.

The management responses included in this report demonstrate the commitment from senior management to address the audit findings and recommendations. A detailed management action plan is currently being developed. Once approved, RCMP Internal Audit will monitor its implementation and undertake a follow-up audit if warranted.

Management's response to the audit

Corporate Management and Comptrollership:

The Audit of Information Technology (IT) Procurement has highlighted opportunities to further strengthen the planning and acquisition of IT within the RCMP, particularly in light of the Order in Council extending Shared Services Canada's (SSC) mandate for the provision of workplace technology devices.

SSC is working to establish options to enable the authority to delegate and will seek approvals as required. Once the extent of the delegation is known, Corporate Management will review and revise internal policies and procedures as necessary. Corporate Management will do this in close collaboration with the Chief Information Officer.

Corporate Management welcomes the audit findings as a mechanism to further strengthen the delivery of procurement and contracting services and to further enhance its policy suite, and risk-based quality assurance programs.

Corporate Management commits to developing a detailed action plan which will include specific timelines and milestones to which the RCMP will adhere.

Dennis Watters
Acting Chief Financial and Administrative Officer

Specialized Policing Services (SPS):

SPS accepts the RCMP's Internal Audit findings and recommendations. We appreciate the consideration and support provided to the IM/IT Program personnel during the course of this process.

*

There is a requirement to work with SSC and Public Services and Procurement Canada to streamline the procurement process to ensure timeliness of IT procurement in support of Policing Operations. *

The IM/IT Program, in collaboration with the RCMP Chief Financial and Administrative Officer, will address the recommendation to ensure quality assurance monitoring activities are being used, *

Assistant Commissioner Joe Oliver
Acting Deputy Commissioner, Specialized Policing Services

1. Background

Information management (IM) and information technology (IT) play an important role in enabling the RCMP to meet its operational priorities. Providing RCMP personnel with updated IT equipment allows them to keep abreast with evolving technological crime. As Canada's national police force, it is also important that the RCMP's IT systems be compatible and consistent with its law enforcement and criminal justice partners. Accordingly, effective IT procurement practices help to ensure that IT equipment acquired meets the RCMP's operational needs and demonstrates sound stewardship of resources.

Procurement of IT equipment has traditionally been decentralized across the Force, whereby in addition to Procurement personnel, Divisional IM/IT Officers (DIOs), Unit Commanders and other individuals with delegated contracting authority could acquire IT goods and services. Prior to 2015, DIOs, Unit Commanders, and other individuals had delegated contracting authority for goods under $10K and the DIOs had authority for call ups against Standing Offers (SOs) up to $20K such that only procurement requests for goods over $10K were processed by Divisional and Corporate Procurement. *

In 2011, Shared Services Canada (SSC) was created in an effort to improve the efficiency, reliability and security of the Government's IT infrastructure. The intent in establishing SSC was to streamline IT, reduce expenditures in the area of IT, limit waste and reduce duplication.^{Footnote 1}In 2012, SSC was mandated to provide services related to email, data centres and networks to 43 partner organizations including the RCMP.

On September 1, 2015, an Order in Council (the OiC) came into effect extending SSC's mandate for the provision of services related to end-user information technology.^{Footnote 2} This removed contracting authority for IT goods from SSC's 43 partner organizations, including the RCMP, and delegated full contracting authority for IT goods to SSC. Although in 2012, partial procurement responsibilities had been transferred from Public Works and Government Services Canada (PWGSC) to SSC, some departments continued to depend on PWGSC for the procurement of IT-related goods and services, and PWGSC continued to manage and maintain procurement instruments (i.e. contracts, SOs and supply arrangements) related to the purchase of IT goods and services. This situation resulted in duplication of effort between PWGSC and SSC. The intent of the OiC was to increase efficiencies in the procurement process, ensure a consistent approach to supply chain integrity and potentially increase savings opportunities by having cohesive government buying power.

Post OiC, the RCMP is still accountable for procurement planning and defining IT needs, but the RCMP is no longer fully engaged in the contract award processes of IT procurement. Most of the IT procurement for the Force is channeled through Corporate and Divisional Procurement, who liaise with SSC on procurement requests. *

Current RCMP responsibilities related to IT procurement continue to involve the following stakeholders.

• Reporting to the Deputy Commissioner, Specialized Policing Services and led by the Chief Information Officer (CIO), the IM/IT Program, acting as a policy center, is responsible for providing strategic direction and policy on IM and IT as well as managing the execution of major IM/IT projects. *
• Reporting to the Chief Financial and Administrative Officer and led by the Director General Procurement and Contracting, Corporate Procurement at national headquarters is responsible for developing national procurement policies and providing advice to Divisional Procurement personnel as well as planning, managing and delivering centralized procurement and contracting services for units in the national headquarters area.
• Divisional Procurement personnel are responsible for assisting units and detachments with the acquisition of equipment including IT goods and services.

The Commissioner-approved 2015-2018 Risk-Based Audit Plan (RBAP) includes an Audit of IT Procurement. The inclusion of this audit in the RBAP follows prior audit work performed by the Office of the Auditor General on the of Aging IT Systems (2010), which highlighted the increasing demands for IM/IT services, the aging of current systems that require significant investment to maintain, and requirements to enhance existing infrastructure.

2. Objective, scope, methodology and statement of conformance

2.1 Objective

The objective of the engagement is to assess whether the RCMP's IT procurement practices meet operational needs, and comply with government procurement regulations and policy.

2.2 Scope

The audit focused on the RCMP's accountabilities with respect to IT procurement. As part of this, the audit considered the procurement of IT goods including routine equipment (desktop computers, laptops, scanners, etc.), IT systems procured as part of larger IT projects and purchases of specialized IT equipment for operational purposes.

The audit did not assess the procurement of IT services such as the contracting of professional services and the procurement of sensitive equipment since these topics are addressed by other audit engagements included in the 2015-2018 RBAP. The audit also excluded the procurement of radio equipment and systems.

The time period examined for audit testing purposes was April 1, 2014 to June 30, 2016 to reflect the pre and post OiC periods.

2.3 Methodology

Planning for the audit was completed in July 2016. In this phase, the audit team conducted interviews, process walkthroughs and examined relevant policies, directives, procedures and results of previous audit work performed.

Sources used to develop audit criteria and audit tests included Government of Canada procurement policies and RCMP procurement policies and guides. The audit objective and criteria are available in Appendix A. Process maps of the procurement process pre and post OiC are included in Appendix B for information purposes.

The examination phase, which concluded in November 2016, employed various auditing techniques including interviews, documentation reviews and testing of procurement files^{Footnote 3},direct purchases^{Footnote 4} and acquisition card purchases^{Footnote 5}. Site visits took place at four divisional headquarters to review files and assess practices. Upon completion of the examination phase, the audit team held meetings to validate findings with personnel and debriefed senior management of the relevant findings.

The table below provides a summary of the number, type and dollar value of transactions tested during the audit. Sampling methodology involved a combination of random and judgmental sampling based on data extracts obtained from the TEAM system and Corporate Finance. The sample selection excluded transactions under $500 since in the post OiC context, this was a threshold below which IT purchases were generally considered office supplies.

2.4 Statement of conformance

The audit engagement conforms to the Internal Auditing Standards for the Government of Canada, as supported by the results of the quality assurance and improvement program.

3. Audit findings

The context in which IT procurement is carried out at the RCMP has evolved as a result of the changes brought about by the OiC. Prior to this OiC, most of the RCMP's IT procurement requirements were fulfilled directly by the RCMP. In the post OiC context, most IT goods are procured on the RCMP's behalf. Consequently, demonstrating sound stewardship of resources while meeting operational requirements, and complying with policy requirements can become more complex. *

Paths to success in this area rest upon collaboration amongst stakeholders involved in the procurement of IT goods, an awareness of and willingness to adhere to policy requirements related to procurement of IT goods, monitoring of IT procurement transactions, and mechanisms to address deviations from policy requirements.

Accordingly, we expected the audit would find that:

• RCMP roles and responsibilities for IT procurement are defined, communicated, and understood to support effective IT procurement;
• planning for IT procurement supports effective and efficient results and uses an enterprise approach where applicable;
• IT procurement is conducted in accordance with policy, and contracts are monitored to ensure that the RCMP obtains required IT goods and deficiencies are adequately addressed;
• procurement needs are well defined and appropriately communicated to ensure operational requirements are met in a timely manner.

3.1 IT Procurement Processes

General procurement responsibilities are clearly defined and communicated in the Treasury Board (TB) Contracting Policy, the RCMP Asset Management Manual, the RCMP Financial Management Manual, and the RCMP guide An Introduction to Procurement and Contracting in the RCMP.

Prior to the OiC, DIOs, Unit Commanders, and other individuals had delegated contracting authority for goods under $10K and the DIOs had authority for call ups against SOs up to $20K such that only procurement requests for goods over $10K were processed by Divisional and Corporate Procurement.^{Footnote 6} Procurement under $10K could be completed using a Purchase Order (contract), by ordering directly from the vendor without a contract, or using an acquisition card. Contract Quality Assurance (CQA) was done by Corporate Procurement on procurement officer files, but CQA did not apply to purchases under $10K of any type. *

The DIO role * and providing technical advice and assistance to units did not change post OiC. The DIO remained the point of contact as technical authority for IT procurement but could no longer award contracts. The resulting impact was a loss of control over the type of equipment procured as well as an increase in the timelines for completing procurement.

In response to the OiC, Corporate Procurement in its role as policy centre, reviewed the ordering process established by SSC and determined that submitting a purchase requirement through the SSC portals was substantially similar to submitting a requisition to PWGSC. In accordance with column 39 of the RCMP's Delegation of Authorities Matrix, this action is limited to RCMP procurement authorities.^{Footnote 7} As a result, all IT procurement requests regardless of value were forwarded to Divisional and Corporate Procurement. We were informed through interviews with procurement managers that the procurement officers' workload increased due to the additional transaction volume. Review of transaction volume for IT goods with a purchase order between April 2014 and June 2016 indicated that 1709 of 2452 (70%) transactions during this period were under $10K.^{Footnote 8}

The role of RCMP procurement officers was further complicated by having to determine when the responsibility to award IT contracts for particular requirements fell to SSC and when procurement officers could proceed with the acquisition of equipment. For contracts within SSC's scope, RCMP procurement officers had access to SSC's Request for Acquisition Services portal to order software and licenses and the IT Portal to order workplace devices. Procurement officers had to determine the correct portal through which to submit the request, and whether to request exemptions for the RCMP to procure the IT goods directly if the goods needed were not in inventory on the procurement portals. For purchases within SSC's scope, procurement officers still prepared all pre-contractual documentation and drafted contracts but SSC awarded the contracts. Procurement officers reported spending additional time liaising between the units, the DIO and SSC, and tracking the status of procurement requests.

Communication of Process Changes Post OiC

New processes related to the post OiC context were introduced on an ongoing basis during the first six months of the transition. A significant amount of information was provided by SSC to the RCMP via different channels such as Corporate Procurement, Divisional Procurement, the IM/IT Program and the RCMP-SSC Liaison Team.^{Footnote 9} Information from SSC Procurement was received in Corporate Procurement and disseminated to Divisional Procurement sections through the monthly Procurement manager teleconferences and through regular communication from the CQA Section, with the intent that it be further communicated to all Divisional Procurement officers. Although efforts were made to communicate evolving process changes to Divisional Procurement, such information would have also benefitted other key stakeholders in the IT goods procurement process, including DIOs. Similarly, while information was received by the IM/IT Program and disseminated to DIOs, such information would have also benefitted key stakeholders in Procurement. Procurement officers and DIOs lacked clarity in regard to what items were not within SSC's mandate to procure. Procurement officers questioned whether determining what was in and out of scope should be their role versus a DIO responsibility. Recognizing that post OiC processes were in flux, enhanced coordination across functional lines and interim procedures could have provided steps for Divisional Procurement staff and DIOs to follow to request IT goods from SSC.

Process Changes for Major IT Projects

Major IT projects^{Footnote 10} which often have an IT procurement component are included in the RCMP's corporate plans such as the Investment Plan and the IM/IT Plan. The Investment Plan provides an overview of the planned RCMP investments in assets and acquired services over a five year planning period, and the IM/IT Plan provides a high level view of the IM/IT Program planned investment over a three year period. Procurement activities had a limited impact on major project timelines prior to September 2015 because the RCMP had delegated contracting authority up to $400K for IT goods^{Footnote 11} which resulted in the RCMP having greater control over the procurement process and the flexibility to reassign priorities depending on emerging needs and changing schedules. In the post OiC context, the RCMP's capacity to plan is crucial to the delivery of IT projects on time and on budget, given that requests for services to be delivered by SSC must respect SSC's service intake process, which includes submitting requests prior to specific cut-off dates.

Further, given that the RCMP's ability to execute its major projects and fulfill associated IT procurement needs is impacted by virtue of SSC's role in providing email, network and data services to all 43 partner organizations, the ability of the Force to prioritize its needs is also of importance. Although enterprise prioritization criteria for the selection of major projects were developed by the IM/IT Program, they were not readily adopted by all committees and consistently applied to major projects. Several committees were in place to oversee project implementation such as the Architecture and Initiative Review Board, the CIO Core Management Team, the Strategic Investment and Priority Council – which applies the RCMP prioritization framework to IM/IT investments, the Project Review Board and the Change Advisory Board. While the governance structure for IM/IT project implementation was functional, there was some potential for overlap of mandates and attendance (e.g. the committees identified above all provide a form of strategic oversight and review of project implementation, and require the attendance of IM/IT Program senior management).

During our interviews, IM/IT Program managers emphasized the importance of proper planning and adherence to projects timelines in the post OiC environment. Audit testing was performed to determine whether only those major IT projects identified on a corporate plan were initiated, and whether projects were appropriately tracked and actively monitored. Results indicated that not all projects in the initiation phase could be tracked to the Investment Plan, and also indicated that there are challenges in how the RCMP measures project progress given that schedules and budgets can be re-baselined, establishing new completion dates and budget projections for a given project. Enhancing RCMP project management activities including project prioritization could help focus resources on the Force's priorities while respecting the shared services model of IT service delivery in which the RCMP is a partner.

3.2 Adherence to Policies

The audit examined whether RCMP IT procurement practices complied with TB and RCMP policy requirements. Specifically, audit testing and file reviews assessed whether pre-approval for IT procurement requests was obtained as per the Asset Management Manual Chapter 3.4, whether the RCMP had the required delegated contracting authority to procure IT goods post OiC, and whether commitment of funding as per section 32 of the Financial Administration Act was sufficient for contract costs (Financial Management Manual Chapter 9.2^{Footnote 12}). The audit also assessed whether there were processes in place to identify and correct instances when requirements were not met.

IT Goods Pre-Approval Process

* to reduce instances of security vulnerabilities created by new equipment purchases that may be incompatible with the RCMP network requirements, or may not be centrally and divisionally supported by the IM/IT Program from a maintenance perspective. * Prior to the OiC, upon receiving approval for the acquisition, units were authorized to proceed with their IT equipment.

*

*

Evidence of Appropriate Approval

* We were informed by officials in the IM/IT Program that there were no quality assurance monitoring activities being undertaken to ensure adherence to the requirements of AMM Chapter 3.4. *

*

*

*

*

*

*

*

The audit team also obtained data extracts from Corporate Finance on acquisition card purchases for the period of September 2015 to June 2016 and identified possible IT purchases for this period. The subsequent analysis focused on transactions over $1K. *

*

*

*

We also identified that the current information management tool (Excel spreadsheet) being used by the IM/IT Program to manage IT procurement information made it challenging to aggregate the data for planning, monitoring, and decision-making. There is an opportunity to enhance information management tools and the utilization of information received from divisions to identify trends in the types of equipment purchased as well as opportunities for additional efficiencies (e.g. bulk purchases).

*

*

Adherence to the OiC

In accordance with the OiC, the audit team expected to find that all IT procurement contracts and IT purchases were done by SSC during the period of September 2015 to June 2016. However, interviews and file testing indicated that departments could still procure IT goods using SOs that remained with PWGSC, as well as certain software deemed out of scope by SSC. In addition, SSC provided exemptions on a case by case basis for the RCMP to award contracts.

Determining what IT goods were in and out of scope for the RCMP at the onset of the OiC was challenging for RCMP Procurement and DIO personnel. Through our interviews, many of the DIOs and divisional Procurement Officers^{Footnote 13} highlighted the difficulty in determining what was in and out of scope for the RCMP to procure, advising that following the OiC, and with the intent of adhering to the OiC's requirements, SSC was contacted for every request to confirm whether it was in or out of scope. Determining who had the authority to purchase investigative tools and software as well as policing equipment such as mobile work stations and certain forensic software was particularly challenging.

At the time of the audit, while efforts were being made to provide guidance within functional lines on equipment in and out of scope for the RCMP, greater coordination across functional lines would have helped ensure divisional stakeholders were aware of changes and interpreted information received by SSC in a consistent manner. In addition, we were informed by officials in the IM/IT Program and Corporate Procurement that there were no quality assurance monitoring activities being undertaken to assess compliance with the OiC. The results of our file testing identified 4 out of 115 (3%) out of scope procurement transactions being done by the RCMP without an exemption from SSC. That said, 3 out of the 4 contracts were awarded in early September 2015, following the OiC coming into effect. More noteworthy, 112 out of 131 (85%) direct purchases and 65 out of 95 (68%) of acquisition cards transactions reviewed were identified to be IT goods valued at amounts greater than $500. Since these goods were purchased post OiC, were greater than the $500 authority threshold, and were not identified as exceptions to the OiC, these purchases did not meet the requirements of the OiC (see table 4).

Retroactive Contracting

The Guidelines for the Handling of Retroactive Contracting in the RCMP state that retroactive contracting is a circumstance where a formal procurement vehicle has not been put in place by an appropriately delegated individual, but an agreement has been made and work has been undertaken or goods/services delivered. When this occurs, special procurement documentation must be used to formalise the purchase and satisfy contracting policies.^{Footnote 14} Different types of solutions can be used if retroactive contracting occurred. For example, a Confirming Order can be "issued when purchases are made without a contract to confirm that work has been completed and delivered, and that the Crown has fulfilled all of its obligations under the terms of the contractual agreement."^{Footnote 15} It must be completed before payment can be made and contain the information needed to document the transaction. Pre-contractual work clauses can also be used in contracts for instance where the requirement has not been fully completed but the work has begun without a written agreement. The Guidelines for the Handling of Retroactive Contracting in the RCMP identify that it is Government policy that Retroactive Contracting be avoided given the sensitive nature of these types of transactions and the risks they can pose to an organization.^{Footnote 16}

Interviews with procurement personnel and review of additional documentation identified instances in the post OiC context where there was uncertainty over whether the RCMP had the authority to complete Confirming Orders.

Current RCMP guidelines on retroactive contracting were not updated to reflect the OiC related to IT procurement, and no direction was provided by Corporate Procurement to the Divisions on the process that should be followed when the need for a Confirming Order arises post OiC. Since the RCMP no longer has delegated authority to award contracts related to IT goods, it would benefit the Force to obtain clarification on whether the RCMP has the authority to complete Confirming Orders.

Monitoring and Reporting on Non-Adherence

Addressing instances of non-adherence, when detected, currently involves redress measures such as reminders and remedial training but these are not enforced consistently across divisions. TB Contracting Policy also stipulates that an individual can lose their contracting authority in cases of non-adherence to procurement policies^{Footnote 17}, providing Corporate Procurement with another mechanism to address serious instances of non-adherence.

The Guidelines for the Handling of Retroactive Contracting in the RCMP specifies that Corporate Procurement should follow up with Divisional Procurement Managers on a quarterly basis to review the cases of retroactive contracting and track the frequency of offences. Corporate Procurement is also expected to report cases of Confirming Orders to senior management via monthly reports outlining Retroactive Contracting occurrences and quarterly reports on the status of recommendations and redress carried out by the regions. Corporate Procurement has indicated that this reporting has not been undertaken over the past two years due to competing priorities and resource constraints.

*

Audit testing indicated that there is significant non-adherence to procurement of IT goods under $10K done by non-procurement personnel post OiC. Retroactive contracting processes should be clarified to promote consistent application of policy, ensure that Confirming Orders are done by the proper contract authority, and also to ensure that redress is taken if necessary. Although some statistics are gathered to meet reporting requirements to TB, senior management is not consistently made aware of issues relating to adherence, therefore not allowing opportunities to mediate or sanction as appropriate.

3.3 Effectiveness of Service Delivery

The inability to acquire IT equipment in a timely fashion can pose a risk to the RCMP operationally in terms of progressing on investigations and court disclosure. To measure the effectiveness of service delivery in obtaining IT goods, the audit examined whether procurement needs were well defined and operational requirements were met in a timely manner.

Needs Definition

During audit interviews with procurement officers, we were informed that little time was required to clarify needs during the procurement phase given that DIOs and representatives from the IM/IT Program in the Divisions were effective in assisting units to define their IT needs prior to them submitting a purchase requisition to Procurement. The involvement of DIOs and IM/IT Program personnel in needs definition was reflected in file testing which showed that only 3 out of 50 (6%) of pre OiC procurement files and 8 out of 115 (7%) of post OiC procurement files reviewed had significant changes between the original statement of requirements and the statement of requirements used in the contract.

Through audit interviews, DIOs and their personnel demonstrated a sound understanding of suitable products for the organization in terms of functionality and compatibility * although their interpretation of those varied. * That said, there was a lack of visibility at the DIO level of available product offerings from SSC as DIOs do not have direct access to the procurement portals to obtain this information. This impacted their ability to advise units on the equipment they could procure through SSC and to effectively submit requests to Procurement.

Review of procurement files sampled indicated that units typically received the item that was identified on the purchase requisition. Based on reviewed invoices on file, 47 out of 50 (94%) units purchasing IT goods through Procurement pre OiC obtained the product they requested on the Purchase Requisition while 59 out of 72 (82%) units received the product requested post OiC when the contract was awarded by SSC.^{Footnote 18}

There was little documented evidence in procurement files sampled regarding post contract issues such as units not receiving the product in accordance with the contract, pricing discrepancies or service delivery issues. However, DIOs maintained separate client files that contained evidence of post-contract issues indicating that units did not always obtain what they required post OiC. More generally, DIOs experienced frustration with the inability to order specific brands and models of equipment that were known to be compatible with the RCMP's IT infrastructure and highlighted instances when they had to modify equipment ordered through SSC after determining that it was not meeting RCMP requirements.^{Footnote 19}For instances where a good received is not in accordance with contract terms, the good should not be accepted and Corporate Procurement should be advised so that remedies within the terms and conditions of the contract can be applied. In addition, documenting post-contract issues more consistently in Procurement or DIO files would allow the RCMP to quantify costs and issues associated with the shared services model of delivery for IT procurement.

Timeliness of Procurement

While RCMP units obtained the equipment they needed to perform their duties in a majority of cases, increased processing time post OiC was highlighted as an issue and supported by our file testing. Using the procurement files reviewed, the audit team measured the average timelines from the date a procurement request was received by Procurement to the date the goods were delivered to units pre and post OiC. A second analysis was done to measure the timeline between Initiation Date and Contract Award to isolate the procurement timeline from post-contract issues.

While the procurement timelines between the Initiation Date and Delivery Date increased slightly post OiC for the selected sample, the main difference post OiC was the increased processing time between Initiation Date and Contract Award. The average number of days from procurement initiation to contract award increased by 16 calendar days from pre OiC to post OiC when SSC was the contracting authority (see table 5).

** Contracts awarded by SSC for which the RCMP did preparatory work up to contract award.

Note: The average number of days from procurement initiation to contract award pre OiC was 21 calendar days compared to 37 calendar days post OiC, a difference of 16 calendar days.

Analysis performed highlighted two main reasons for the increased timelines. A significant increase in transaction volume was caused by the RCMP not having any authority to procure IT goods under $10K with the new OiC, and having to forward requests through the procurement portals via Corporate and Divisional Procurement.^{Footnote 20}There were also additional steps required of the RCMP in order to submit procurement requests, such as deciding which procurement portal to use, providing justifications for exceptions to generic equipment available in shared inventory, and reviewing contracts drafted on behalf of the RCMP.

Assessing timeliness post OiC highlighted opportunities for potential efficiencies, especially as it pertains to the RCMP's decision to only allow procurement officers to submit requests to SSC. As previously identified, DIOs with the exception of national headquarters were responsible for the procurement of IT goods under $10K pre OiC. If appropriate from a risk and administrative perspective, this role could be reinstituted as a way to relieve current pressures reported by Corporate and Divisional Procurement staff and Divisional IM/IT units.

Although units continue to define their IT equipment needs with the assistance of IM/IT Program personnel, timeliness of equipment delivery has been a challenge post OiC. While the time spent on a file by Divisional Procurement and SSC respectively could not be allocated, awareness of overall timelines for procurement highlighted that streamlining the process to accelerate placing orders to SSC could add value and benefit the Force as a whole.

4. Recommendations

1. The Chief Financial and Administrative Officer in consultation with the Chief Information Officer, should assess existing IT procurement authorities, roles, responsibilities, and processes in the post OiC context, and update RCMP procurement policies and guidelines as necessary.
2. The Chief Financial and Administrative Officer should: * and take follow-up action, as appropriate.
3. *
4. *

5. Conclusion

The audit concludes that RCMP units have been working well with DIO personnel to clearly define IT requirements for procurement decisions to meet ongoing operational needs. Additionally, controls put in place to ensure that procurement officers confirm that requests for IT goods are approved by DIO personnel prior to initiating procurement are working as intended.

Opportunities for improvement exist in a few areas. The Force would benefit from assessing existing procurement authorities and responsibilities in the post OiC context, and updating RCMP policies and guidelines related to the procurement of IT goods, including the IT goods pre-approval process and retroactive contracting. Additionally, * would serve to strengthen adherence to policy and OiC requirements across the Force.

Appendix A – Audit objective and criteria

Appendix B – Process Maps of Procurement Processes

Pre OiC Process: Requirements under $10K processed by individuals with delegated authority

Pre OiC Process: Requirements over $10K processed by Divisional Procurement Offices

Post OiC: All requirements to SSC via Divisional / Corporate Procurement regardless of value

Vérification des acquisitions de technologie de l’information (TI)

Vérification des acquisitions de technologie de l'information (TI)

Rapport épuré

Février 2017

Table des matières

1. Acronymes et abréviations
2. Sommaire
3. Réponse de la gestion
4. 1. Contexte
5. 2. Objectif, portée, méthode
   • 2.1 Objectif
   • 2.2 Portée
   • 2.3 Méthode
   • 2.4 Énoncé de conformité
6. 3. Constatations
   • 3.1 Processus d'acquisition de TI
   • 3.2 Conformité des politiques
   • 3.3 Efficacité de la prestation de services
7. 4. Recommandations
8. 5. Conclusion
9. Annexe A – Objectif et critères de vérification
10. Annexe B – Schéma du processus d'acquisition

Acronymes et abréviations

AQC

Assurance de la qualité des contrats

DPI

Dirigeant principal de l'Informatique

GI

Gestion de l'information

MGA

Manuel de la gestion de l'actif

MGF

Manuel de la gestion des finances

ODI

Officier divisionnaire de l'informatique

OP

Offre permanente

PVAR

Plan de vérification axé sur les risques

SIO

Services informatiques organisationnels

SPAC

Services publics et Approvisionnement Canada

SPC

Services partagés Canada

TI

Technologie de l'information

TPSGC

Travaux publics et Services gouvernementaux Canada

Sommaire

La gestion de l'information (GI) et la technologie de l'information (TI) contribuent à la capacité de la GRC de s'occuper de ses priorités opérationnelles. Doter le personnel de la GRC du matériel de TI de pointe lui permet de suivre l'évolution de la criminalité technologique. Parce qu'elle est le service de police national du Canada, la GRC doit compter sur des systèmes de TI compatibles avec ceux de ses partenaires policiers et de l'appareil judiciaire. Aussi, des pratiques efficaces d'acquisition de TI contribuent à mettre à sa disposition du matériel de TI qui répond à ses besoins opérationnels et qui illustre la saine gérance des ressources.

En 2012, Services partagés Canada (SPC) a été mandaté pour fournir des services relatifs au courriel, aux centres de données et aux réseaux à 43 organismes partenaires, parmi lesquels la GRC. Le 1er septembre 2015, un décret est entré en vigueur, étendant le mandat de SPC à la prestation de services liés à la technologie de l'information des utilisateurs finaux. Cette mesure a dépouillé les 43 organismes partenaires de SPC du pouvoir de signer des marchés pour des biens de TI et l'a confié en totalité à SPC. La présente vérification porte sur les responsabilités de la GRC à l'égard des acquisitions de TI.

L'objectif de la vérification est d'évaluer si les pratiques d'acquisition de TI de la GRC satisfont ses besoins opérationnels et si elles sont conformes aux politiques et aux règles gouvernementales en matière d'acquisition. La vérification vise l'acquisition de biens de TI pendant la période allant du 1er avril 2014 au 30 juin 2016.

La vérification conclut que les groupes de la GRC travaillent bien avec le personnel des officiers divisionnaires de l'informatique (ODI) pour définir les besoins aux fins de décision d'acquisition, de manière à répondre aux besoins opérationnels réguliers. Par ailleurs, les contrôles mis en place pour obliger les agents des acquisitions à confirmer avant d'entreprendre l'acquisition que les demandes de biens de TI sont approuvées par le personnel de l'ODI fonctionnent comme prévu.

Certains aspects présentent des possibilités d'amélioration. La GRC gagnerait à évaluer ses pouvoirs et responsabilités relatifs aux acquisitions en contexte post-décret et à mettre à jour ses politiques et lignes directrices en matière d'acquisition de biens de TI, * et ses contrats rétroactifs. Aussi, * favoriseraient un meilleur respect des politiques et des exigences du décret dans l'ensemble de l'organisation.

La réponse de la gestion incluse dans le présent rapport témoigne de sa détermination à donner suite aux conclusions et recommandations découlant de la vérification. La direction élabore d'ailleurs un plan d'action détaillé à cette fin. Lorsque le plan sera approuvé, la Vérification interne de la GRC en surveillera la mise en œuvre et procédera, au besoin, à une vérification de suivi.

Réponse de la gestion

Gestion générale et Contrôle

La vérification des acquisitions de technologie de l'information (TI) a mis en évidence la possibilité de renforcer la planification et l'acquisition de TI à la GRC, surtout dans le contexte où par décret, le mandat confié à Services partagés Canada (SPC) a été étendu à l'approvisionnement en appareils technologiques pour le lieu de travail.

SPC travaille à élaborer des options pour déléguer les pouvoirs et n'avoir qu'à approuver au besoin. Une fois connue la portée de la délégation, la Gestion générale examinera et révisera les politiques et procédures internes en conséquence, en étroite collaboration avec le dirigeant principal de l'information.

La Gestion générale accueille les conclusions de la vérification qui serviront à renforcer encore davantage la prestation de services d'acquisition et de passation de marchés et à améliorer ses politiques et son programme d'assurance de la qualité des contrats fondé sur les risques.

La Gestion générale s'engage à élaborer un plan d'action détaillé qui comprendra un calendrier et des jalons précis auxquels la GRC se tiendra.

Dennis Watters
Dirigeant principal intérimaire des Finances et de l'Administration

Services de police spécialisés (SPS)

Les SPS accueillent les conclusions et les recommandations de la Vérification interne de la GRC. Nous lui sommes reconnaissants de la considération et du soutien offerts au personnel du Programme de GI-TI tout le long de l'exercice.

*

Il faut collaborer avec SPC et avec Services publics et Approvisionnement Canada (SPAC) pour rationaliser le processus afin que les délais d'acquisition de TI soutiennent les opérations policières. *

Le Programme de GI-TI, en collaboration avec le dirigeant principal des Finances et de l'Administration de la GRC, se penchera sur la recommandation d'appliquer des activités de surveillance de l'assurance de la qualité, *

Joe Oliver, commissaire adjoint,
Sous-commissaire suppléant aux Services de police spécialisés

1. Contexte

La gestion de l'information (GI) et la technologie de l'information (TI) contribuent à la capacité de la GRC de s'occuper de ses priorités opérationnelles. Doter le personnel de la GRC du matériel de TI de pointe lui permet de suivre l'évolution de la criminalité technologique. Parce qu'elle est le service de police national du Canada, la GRC doit compter sur des systèmes de TI compatibles avec ceux de ses partenaires policiers et de l'appareil judiciaire. Aussi, des pratiques efficaces d'acquisition de TI contribuent à mettre à sa disposition du matériel de TI qui répond à ses besoins opérationnels et qui illustre la saine gérance des ressources.

À la Gendarmerie, l'acquisition de matériel de TI était décentralisée. En effet, non seulement le personnel des Acquisitions, mais aussi les officiers divisionnaires de l'informatique (ODI), les chefs de service et d'autres avaient le pouvoir délégué de passer des marchés pour se procurer des biens et des services de TI. Avant 2015, les ODI, les chefs de service et autres fondés de pouvoir pouvaient passer des marchés d'acquisition de biens de TI de moins de 10 K$ et les ODI pouvaient passer une commande subséquente à une offre permanente jusqu'à concurrence de 20 K$, de sorte que seules les demandes d'achat de biens de plus de 10 K$ étaient traitées par les Acquisitions, divisionnaires et générales. *

En 2011, souhaitant améliorer l'efficacité, la fiabilité et la sécurité de son infrastructure de TI, le gouvernement a créé Services partagés Canada (SPC) afin de rationaliser la TI, de réduire les dépenses dans le secteur de la TI, de limiter le gaspillage et de réduire les chevauchements.^{Footnote 1}En 2012, SPC a reçu le mandat de fournir des services de courriel, de centres de données et de réseaux à 43 organismes partenaires, dont la GRC.

Le 1er septembre 2015, un décret est entré en vigueur par lequel le mandat des SPC a été étendu à la prestation de services liés à la technologie de l'information des utilisateurs finaux.^{Footnote 2}Ce décret a dépouillé les 43 organisations partenaires de SPC, dont la GRC, du pouvoir de passer des marchés pour des biens de TI et l'a délégué exclusivement à SPC. Déjà en 2012, une partie des responsabilités d'acquisition avaient été transférées de Travaux publics et Services gouvernementaux Canada (TPSGC) à SPC, mais certains ministères comptaient toujours sur TPSGC pour l'acquisition de biens et de services liés à la TI, et TPSGC continuait de gérer certains instruments d'acquisition (soit les marchés, les offres permanentes et les arrangements en matière d'approvisionnement) pour l'achat de biens et de services de TI. Cette situation donnait lieu au chevauchement des efforts de TPSGC et de SPC. Le décret visait donc à rendre plus efficace le processus d'acquisition et à uniformiser la stratégie pour favoriser l'intégrité de la chaîne d'approvisionnement et peut-être augmenter les économies en injectant de la cohésion dans le pouvoir d'achat du gouvernement.

Depuis le décret, la GRC est toujours responsable de planifier ses acquisitions et de définir ses besoins de TI, mais elle n'assume plus entièrement l'octroi des marchés pour l'acquisition de TI. L'acquisition de TI à la Gendarmerie passe en grande partie par les Acquisitions, générales ou divisionnaires, qui transmettent les demandes d'achat à SPC. *

Les actuelles responsabilités de la GRC en matière d'acquisition de TI se répartissent entre les acteurs suivants :

• Relevant du sous-commissaire aux Services de police spécialisés et dirigé par le dirigeant principal de l'information (DPI), le Programme de GI-TI, qui fait office de centre de décision, a la responsabilité de fournir une orientation stratégique et des politiques en matière de GI-TI et de gérer l'exécution des grands projets de GI-TI. *
• Relevant du dirigeant principal des Finances et de l'Administration et dirigées par le directeur général des Acquisitions et des Marchés, les Acquisitions à la Direction générale sont responsables d'élaborer les politiques nationales d'acquisition, de conseiller le personnel divisionnaire des Acquisitions, et de planifier, de gérer et de fournir des services centralisés d'acquisition et de marchés aux groupes du secteur de la DG.
• Le personnel divisionnaire des Acquisitions est responsable d'aider les groupes et les détachements pour l'acquisition de matériel, y compris les biens et services de TI.

Le plan de vérification axé sur les risques (PVR) approuvé par le commissaire pour les années 2015-2018 prévoit une vérification des acquisitions de TI. L'inclusion de cette vérification au PVR fait suite à des travaux antérieurs menés par le Bureau du vérificateur général sur le vieillissement des systèmes de technologie de l'information (2010), qui mettaient en lumière l'augmentation de la demande de services de GI-TI, le vieillissement des systèmes actuels dont l'entretien requiert des investissements importants, et la nécessité de renforcer l'infrastructure actuelle.

2. Objectif, portée et méthode

2.1 Objectif

L'objectif de la vérification est d'évaluer si les pratiques d'acquisition de TI de la GRC satisfont ses besoins opérationnels et si elles sont conformes aux politiques et aux règles gouvernementales en matière d'acquisition.

2.2 Portée

La vérification a porté sur les responsabilités de la GRC en matière d'acquisition de TI. La vérification a donc examiné l'acquisition de biens de TI, notamment le matériel ordinaire (ordinateurs de bureau, portables, scanneurs, etc.), les systèmes de TI achetés dans le cadre de grands projets de TI et les achats de matériel spécialisé de TI à des fins opérationnelles.

La vérification n'a pas évalué l'acquisition de services de TI comme les marchés de services professionnels et l'acquisition de matériel de nature délicate puisque ces aspects font l'objet de vérifications distinctes inscrites au PVR 2015-2018. La vérification n'a pas non plus porté sur l'acquisition de matériel et de systèmes radio.

La période visée par la vérification couvrait du 1er avril 2014 au 30 juin 2016, afin d'englober une période pré- et une période post-décret.

2.3 Méthode

La planification de la vérification a été effectuée en juillet 2016. Durant cette phase, l'équipe de vérification a tenu des entrevues, procédé à une revue générale des modalités en vigueur et examiné les politiques, les directives et les procédures pertinentes ainsi que les résultats d'examens antérieurs.

Les critères et tests de vérification ont été élaborés à partir des politiques d'acquisition du gouvernement du Canada et des politiques et guides d'acquisition de la GRC. Les objectifs et critères de la vérification peuvent être consultés à l'annexe A. Les schémas des processus d'acquisition pré- et post-décret sont reproduits à l'annexe B, à titre informatif.

La phase d'examen, terminée en novembre 2016, a consisté à appliquer diverses techniques de vérification, dont des entrevues, l'examen de la documentation et des tests de vérification des dossiers d'acquisition^{Footnote 3},des achats directs^{Footnote 4}et des achats par carte d'achat^{Footnote 5}. L'équipe s'est rendue dans les quartiers généraux de quatre divisions pour examiner les dossiers et évaluer les pratiques. À l'issue de la phase d'examen, l'équipe de vérification a tenu des réunions afin de valider ses constatations auprès du personnel et a présenté les conclusions pertinentes à la haute direction.

Le tableau ci-dessous résume le nombre, le genre et la valeur des transactions contrôlées par la vérification. L'échantillonnage tenait à la fois du hasard et du jugement exercé à partir de données extraites du système TEAM et obtenues des Finances. Ont été exclues de l'échantillon les transactions de moins de 500 $ puisque depuis le décret, cette somme correspond au seuil sous lequel un achat de TI est habituellement considéré comme « fournitures de bureau ».

2.4 Énoncé de conformité

La mission de vérification est conforme aux normes de vérification interne du gouvernement du Canada, comme en font foi les résultats du programme d'assurance et d'amélioration de la qualité.

3. Constatations

Le contexte dans lequel se fait l'acquisition de TI à la GRC a évolué depuis les changements mis en place par le décret. Avant le décret, la GRC procédait elle-même aux acquisitions de TI dont elle avait besoin; depuis le décret, ses biens de TI sont presque tous achetés pour son compte. Par conséquent, assurer la saine gérance des ressources tout en répondant aux besoins opérationnels et en se conformant aux exigences des politiques peut s'avérer complexe. *

Le succès en la matière repose sur la collaboration entre les parties à l'acquisition de biens de TI, sur la connaissance des exigences des politiques relatives à l'acquisition de biens de TI et sur la volonté de les respecter, au contrôle des transactions d'acquisition de TI et aux mécanismes en place pour composer avec les déviations aux exigences des politiques.

Par conséquent, nous nous attendions à faire les constatations suivantes :

• Les rôles et responsabilités de la GRC en acquisition de TI sont définis, communiqués et compris, au soutien efficace de l'acquisition de TI;
• La planification des acquisitions de TI soutient des résultats efficaces et efficients et utilise une stratégie d'entreprise au besoin;
• L'acquisition de TI se fait dans le respect des politiques et les marchés sont contrôlés afin que la GRC obtienne les biens de TI dont elle a besoin et que les lacunes soient correctement comblées;
• Les besoins d'acquisition sont bien définis et communiqués afin que les besoins opérationnels soient satisfaits en temps voulu.

3.1 Processus d'acquisition de TI

Les responsabilités générales en matière d'acquisition sont clairement définies et communiquées dans la Politique sur les marchés du Conseil du Trésor (CT), dans le Manuel de la gestion de l'actif de la GRC, dans le Manuel de la gestion des finances de la GRC, et dans le guide Introduction à la politique d'acquisition et de marchés de la GRC.

Avant le décret, les ODI, les chefs de service et autres fondés de pouvoir pouvaient passer des marchés d'acquisition de biens de TI de moins de 10 K$ et les ODI pouvaient passer une commande subséquente à une OP jusqu'à concurrence de 20 K$, de sorte que seules les demandes d'achat de biens de plus de 10 K$ étaient traitées par les Acquisitions, générales et divisionnaires.^{Footnote 6}Pour une acquisition de moins de 10 K$, on pouvait soit remplir un bon de commande (marché), commander directement du fournisseur sans marché, ou utiliser une carte d'achat. Les Acquisitions procédaient à l'assurance de la qualité des contrats (AQC) dans les dossiers des agents des acquisitions, mais il ne se faisait aucune forme d'AQC sur les achats inférieurs à 10 K$. *

L'ODI a gardé une bonne part de ses responsabilités d'avant le décret. Il doit toujours * offrir des conseils et de l'aide techniques aux groupes. Il demeure l'autorité technique pour les acquisitions de TI. Mais il ne peut plus passer de marchés, d'où une perte de contrôle sur le type de matériel acheté et l'allongement des délais pour conclure une acquisition.

Compte tenu du décret, les Acquisitions, à titre de centre de décision, ont examiné la procédure de commande mise en place par SPC et déterminé que de soumettre une demande d'achat au portail de SPC ne différait pas en profondeur de soumettre une commande à TPSGC. On voit dans la colonne 39 de la matrice de la délégation de pouvoirs de la GRC que ces pouvoirs sont réservés aux autorités des Acquisitions de la GRC.^{Footnote 7}Par conséquent, toutes les demandes d'achat de TI, quelle que soit la valeur, ont été transmises aux Acquisitions, divisionnaires et générales. Nous avons appris dans nos entrevues avec les gestionnaires des Acquisitions que ce volume de transactions supplémentaires a alourdi la charge de travail des agents des acquisitions. L'examen du volume de transactions pour des biens de TI à l'aide d'un bon de commande entre avril 2014 et juin 2016 a révélé que 1709 des 2452 transactions (70 pour 100) pendant cette période étaient pour une valeur inférieure à 10 K$.^{Footnote 8}

En plus du volume, une autre étape s'est ajoutée au travail des agents des acquisitions de la GRC : il leur fallait dorénavant déterminer s'il revenait à SPC d'octroyer un marché de TI pour des besoins particuliers, ou s'ils pouvaient eux-mêmes procéder à l'acquisition du matériel. Lorsqu'il fallait s'en remettre à SPC, les agents des acquisitions de la GRC avaient accès au portail des demandes de services d'acquisition pour commander des logiciels et des licences, et au portail de TI pour commander des appareils pour le milieu de travail. Les agents des acquisitions devaient déterminer à quel portail ils devaient envoyer la demande, et s'il fallait demander une exemption pour que la GRC puisse se procurer les biens de TI directement s'ils n'étaient pas dans l'inventaire des portails d'acquisition. Même pour les achats qui relevaient des SPC, les agents des acquisitions devaient remplir tous les papiers pré-contractuels et ébaucher les marchés, bien que leur octroi ait été confié à SPC. Les agents des acquisitions ont dû consacrer beaucoup de temps à communiquer tour à tour avec les groupes, les ODI et SPC et à faire le suivi des demandes d'achat.

Communication des changements de processus après le décret

Les nouvelles procédures sont entrées en vigueur graduellement dans les six mois de transition après l'entrée en vigueur du décret. SPC a communiqué beaucoup d'information à la GRC par différents intermédiaires, notamment les Acquisitions générales, les Acquisitions divisionnaires, le Programme GI-TI et l'équipe de liaison GRC-SPC.^{Footnote 9}L'information des Acquisitions de SPC reçue aux Acquisitions générales a été communiquée aux services divisionnaires des Acquisitions lors des téléconférences mensuelles des gestionnaires des Acquisitions et dans des communiqués réguliers de la section de l'AQC, en présumant que de là l'information parviendrait ensuite à tous les agents divisionnaires des acquisitions. Malgré les efforts faits pour communiquer les changements de procédures aux Acquisitions divisionnaires, d'autres intéressés au processus d'acquisition des biens de TI, notamment les ODI, n'en ont pas bénéficié. De même, l'information reçue au Programme de GI-TI a été diffusée aux ODI, mais pas nécessairement à d'autres intéressés aux Acquisitions. Les agents des acquisitions et les ODI ne savaient pas clairement quels articles devaient faire l'objet d'une acquisition sans passer par SPC. Les agents des acquisitions se demandaient s'il n'était pas plutôt de la responsabilité de l'ODI de déterminer ce qui relevait ou non de SPC. Tout en reconnaissant que les procédures d'après décret n'étaient pas complètement fixées, il faut aussi reconnaître qu'une meilleure coordination entre les secteurs fonctionnels et l'établissement de procédures de transition auraient permis au personnel divisionnaire des Acquisitions et aux ODI de connaître les étapes à suivre pour demander des biens de TI à SPC.

Changements de procédures pour les grands projets de TI

Les grands projets de TI,^{Footnote 10}qui comportent souvent l'acquisition de TI, figurent dans les plans organisationnels de la GRC, comme le Plan d'investissement et le Plan de GI-TI. Le Plan d'investissement donne un aperçu des investissements que la GRC prévoit faire dans les biens et les services acquis sur un horizon de cinq ans, et le Plan de GI-TI donne un aperçu des investissements prévus dans le Programme de GI-TI sur trois ans. Les activités d'acquisition avaient peu d'incidence sur les échéanciers des grands projets avant septembre 2015, parce que la GRC avait un pouvoir délégué de passer des marchés d'une valeur de 400 K$ pour des biens de TI,^{Footnote 11}de sorte qu'elle avait davantage de contrôle sur le processus d'acquisition et qu'elle pouvait remanier ses priorités selon l'urgence des besoins et le réaménagement des calendriers. Depuis le décret, la planification est devenue cruciale à la GRC pour la livraison des projets de TI dans les temps et les budgets, puisqu'il faut maintenant tenir compte du processus de réception des demandes de SPC, qui comporte des dates butoirs fixes, pour transmettre les demandes de services attendus de SPC.

Par ailleurs, la capacité de la GRC d'exécuter ses grands projets et de satisfaire les besoins d'acquisition de TI qu'ils comportent est à la merci du rôle de SPC de fournir des services de courriel, de réseaux et de centres de données aux 43 organismes partenaires qu'ils servent, de sorte que sa capacité de prioriser ses besoins est d'une grande importance. Bien que le Programme de GI-TI ait élaboré des critères de priorisation organisationnelle pour la sélection des grands projets, ceux-ci n'ont pas été adoptés instantanément par tous les comités ni appliqués uniformément aux grands projets. Plusieurs comités étaient chargés de superviser la mise en œuvre des projets, comme le conseil d'examen de l'architecture et des initiatives, l'équipe de gestion du programme du DPI, le conseil des investissements et des priorités stratégiques (qui applique le cadre de priorisation de la GRC aux investissements en GI-TI), le conseil d'examen de projet et le conseil consultatif sur les changements. Bien que la structure de gouvernance pour la mise en œuvre des projets de GI-TI ait été fonctionnelle, il y avait un risque de chevauchement des mandats et des membres (les comités susnommés offraient tous une forme de supervision et d'examen stratégique de la mise en œuvre des projets et nécessitaient la présence de hauts gestionnaires du Programme de GI-TI).

Dans nos entrevues, les gestionnaires du Programme de GI-TI ont insisté sur l'importance de bien planifier les projets et de respecter les échéanciers en contexte post-décret. Des tests de vérification ont servi à déterminer si seuls les grands projets de TI inscrits aux plans organisationnels avaient été entrepris et si un suivi adéquat en avait été fait. Il en ressort que ce ne sont pas tous les projets en phase d'initiation qui figuraient au Plan d'investissement et qu'il est difficile pour la GRC d'en mesurer les progrès, parce qu'on peut en refaire le calendrier et les budgets à tout moment, fixer de nouvelles échéances et en revoir les projections budgétaires. Renforcer les activités de gestion de projet à la GRC, y compris pour prioriser les projets, aiderait à concentrer les ressources de la GRC sur ses priorités autant qu'à respecter le modèle de services partagés qui régit la prestation de services de TI dont la GRC est partenaire.

3.2 Conformité des politiques

La vérification visait à examiner si les pratiques d'acquisition de TI de la GRC étaient conformes aux exigences des politiques du CT et de la GRC. Les tests de vérification et les examens de dossiers ont permis d'évaluer si l'approbation préalable des demandes d'achat de TI a été obtenue conformément au chapitre 3.4 du Manuel de la gestion de l'actif, si la GRC avait le pouvoir délégué de passer des marchés afin d'acheter des biens de TI après le décret, et si l'engagement de fonds conformément à l'article 32 de la Loi sur la gestion des finances publiques suffisait pour couvrir les coûts du marché (chapitre 9.2 Manuel de gestion des finances)^{Footnote 12}La vérification a aussi évalué s'il y avait en place des processus pour déceler les situations où les exigences n'ont pas été respectées et pour les corriger.

Processus d'approbation préalable pour des biens de TI

* afin d'exposer le moins possible le réseau de la GRC aux risques que présenterait le raccordement de matériel acheté qui ne soit pas compatible avec ses exigences, ou qui ne serait pas soutenu par le Programme de GI-TI, à l'échelle nationale ou divisionnaire, en termes d'entretien. * Avant le décret, sur réception de l'approbation, les groupes pouvaient procéder à l'achat du matériel de TI approuvé.

*

*

Preuve d'approbation

* Des représentants du Programme de GI-TI nous ont affirmé qu'il ne se faisait aucune activité d'assurance de la qualité pour garantir l'adhésion aux exigences du chapitre 3.4 du MGA. *

*

*

*

*

*

*

*

L'équipe de vérification a obtenu des Finances des extraits de données sur les transactions par cartes d'achat pour la période de septembre 2015 à juin 2016 et y a relevé de possibles achats de TI. L'analyse subséquente s'est concentrée sur les transactions de plus de 1 K$. *

*

*

*

Nous avons aussi noté que l'outil de gestion de l'information actuellement utilisé par le Programme du GI-TI (tableur Excel) pour gérer l'information d'acquisition de TI ne facilite pas la consolidation des données aux fins de planification, de surveillance et de prise de décisions. Il est possible d'améliorer les outils de gestion de l'information et l'utilisation des renseignements transmis par les divisions afin de dégager des tendances dans le type d'équipement qu'on se procure, ainsi que des occasions d'économies supplémentaires (p. ex. achat en gros).

*

Conformité au décret

Étant donné le décret, l'équipe de vérification s'attendait à ce que tous les marchés d'acquisition de TI et tous les achats de TI aient été faits par SPC entre septembre 2015 et juin 2016. Toutefois, nos entrevues et tests des dossiers nous ont révélé que les ministères pouvaient toujours se procurer des biens de TI en recourant aux offres permanentes qu'avait toujours TPSGC, ainsi que certains logiciels qui échappaient à l'action de SPC. Par ailleurs, SPC a, à l'occasion, accordé des exemptions à la GRC pour octroyer des marchés.

Il a été difficile pour le personnel des Acquisitions et des ODI de la GRC de déterminer quels biens de TI relevaient ou non de la GRC dans les semaines qui ont suivi l'adoption du décret. En entrevue, de nombreux ODI et agents divisionnaires des acquisitions^{Footnote 13}ont fait valoir ce point, précisant que dès l'entrée en vigueur du décret, soucieux d'en respecter les exigences, ils ont communiqué avec SPC pour chaque demande, pour se faire dire si elle relevait de la GRC ou de SPC. Il a été particulièrement difficile d'établir qui avait le pouvoir d'acheter les outils et logiciels d'enquête et l'équipement policier, comme les postes de travail mobiles et certains logiciels judiciaires.

Au moment de la vérification, on s'efforçait à l'échelle des secteurs fonctionnels de communiquer quels biens relevaient et ne relevaient pas des pouvoirs de la GRC, mais il aurait fallu plus de coordination entre les secteurs fonctionnels pour aider les intéressés dans les divisions à comprendre les changements et à interpréter l'information reçue de SPC de manière uniforme. D'autre part, des représentants du Programme de GI-TI et des Acquisitions nous ont dit qu'il ne se faisait aucune activité d'assurance de la qualité afin d'évaluer la conformité au décret. Nos tests des dossiers nous ont révélé 4 transactions d'acquisition sur 115 (3 pour 100) réalisées par la GRC sans une exemption de SPC, bien qu'elles n'aient pas relevé d'elle. Cela dit, 3 de ces 4 marchés ont été octroyés au début de septembre 2015, juste après l'entrée en vigueur du décret. Mentionnons surtout que 112 achats directs sur 131 (85 pour 100) et que 62 transactions par carte d'achat sur 95 (68 pour 100) examinés concernaient des biens de TI d'une valeur supérieure à 500 $. Puisque ces biens ont été achetés après le décret, qu'ils dépassaient le seuil des 500 $ et qu'ils n'étaient pas exemptés par le décret, ces achats ne respectaient pas les exigences du décret (voir le tableau 4).

Contrats rétroactifs

Les Lignes directrices sur la manipulation des contrats rétroactifs à la GRC expliquent que le contrat rétroactif est une circonstance où un véhicule d'acquisition officiel n'a pas été mis en place par une personne dûment déléguée et une entente a été conclue, des travaux entrepris ou des biens/services prodigués. Lorsqu'on se trouve dans une telle situation, des documents spéciaux d'acquisition doivent être utilisés pour officialiser l'achat et satisfaire aux politiques en matière de contrats.^{Footnote 14}On peut appliquer différentes solutions aux situations nécessitant un contrat rétroactif. Par exemple, la confirmation de commande est un « document d'acquisition qui est émis afin de confirmer que les travaux ont été effectués et livrés et que l'État a rempli toutes ses obligations conformément aux modalités de l'entente contractuelle. »^{Footnote 15}Une confirmation de commande doit être terminée avant que le paiement puisse être effectué et on doit y trouver l'information nécessaire pour documenter la transaction. On peut aussi utiliser des clauses sur les travaux précontractuels, par exemple lorsque la commande n'a pas été entièrement remplie mais que les travaux ont débuté en l'absence d'une entente écrite. Les Lignes directrices sur la manipulation des contrats rétroactifs à la GRC précisent que la politique gouvernementale conseille d'éviter les contrats rétroactifs en raison de la nature délicate des transactions de ce genre et des risques qu'elles posent pour l'organisation.^{Footnote 16}

En entrevue avec le personnel des Acquisitions et en examinant des pièces supplémentaires, nous avons pris connaissance de situations où, en contexte post-décret, il n'était pas clair que la GRC avait le pouvoir de préparer une confirmation de commande.

Les lignes directrices qu'utilise la GRC en matière de contrats rétroactifs n'ont pas été mises à jour pour rendre compte de l'effet du décret sur l'acquisition de biens de TI et les Acquisitions n'ont pas fourni d'orientation aux divisions sur la procédure à suivre lorsqu'il faut recourir à une confirmation de commande depuis l'entrée en vigueur du décret. Puisque la GRC n'a plus le pouvoir délégué d'octroyer des marchés relatifs aux biens de TI, la Gendarmerie aurait avantage à se faire confirmer si elle a le pouvoir de préparer une confirmation de commande.

Surveillance et signalement de non-conformité

Pour le moment, un incident de non-conformité détecté donne lieu à des mesures de redressement comme des rappels et une formation d'appoint, mais ces mesures ne sont pas appliquées uniformément dans toutes les divisions. La Politique sur les marchés du CT prévoit qu'une personne peut perdre le pouvoir de passer des marchés si elle ne se conforme pas aux politiques d'acquisition^{Footnote 17}, ce qui fournit aux Acquisitions un mécanisme de plus pour régler les cas graves de non-conformité.

Les Lignes directrices sur la manipulation des contrats rétroactifs à la GRC prévoient que les Acquisitions fassent un suivi trimestriel auprès des gestionnaires régionaux des Acquisitions pour examiner les dossiers comportant des contrats rétroactifs et pour faire le suivi de la fréquence des manquements. Les Acquisitions sont censées signaler à la haute direction les cas de confirmation de commande dans des rapports mensuels et faire des rapports trimestriels de l'avancement des recommandations et des mesures de redressement appliquées dans les régions. Les Acquisitions avouent ne pas avoir fait de tels rapports depuis deux ans, faute de ressources et en raison de priorités en concurrence.

*

Les tests de la vérification indiquent un degré assez élevé de non-conformité en acquisition de biens de TI de moins de 10 K$ par du personnel ailleurs qu'aux Acquisitions, depuis le décret. Il y aurait lieu de clarifier le processus de contrat rétroactif afin de promouvoir l'application uniforme de la politique, de veiller à ce que les confirmations de commande soient faites par le fondé de pouvoir en matière de marchés et de prendre les mesures de redressement qui s'imposent. Bien qu'on recueille des statistiques pour rendre au CT les comptes attendus, la haute direction n'est pas toujours informée des problèmes de non-conformité, ce qui lui fait manquer des occasions de négocier ou de sanctionner, au besoin.

3.3 Efficacité de la prestation de services

L'incapacité de la GRC de se procurer rapidement du matériel de TI peut poser un risque à ses opérations, que ce soit dans les progrès dans ses enquêtes ou dans sa divulgation de la preuve. Afin de mesurer l'efficacité de la prestation de services pour obtenir des biens de TI, la vérification a examiné les besoins d'acquisition pour voir s'ils étaient bien définis et s'il était satisfait aux besoins opérationnels rapidement.

Définition des besoins

En entrevue avec les agents des acquisitions, nous avons appris qu'il fallait peu de temps pour clarifier les besoins en phase d'acquisition, étant donné que les ODI et les représentants du Programme de GI-TI dans les divisions aident efficacement les groupes à préciser leurs besoins de TI avant de transmettre une demande d'achat aux Acquisitions. La participation des ODI et du personnel du Programme de GI-TI à la définition des besoins se reflétait dans les dossiers dont l'examen a montré que seulement 3 des 50 (6 pour 100) dossiers d'acquisition pré-décret et 8 des 115 (7 pour 100) dossiers d'acquisition post-décret examinés avaient nécessité des changements importants entre le premier énoncé des besoins et l'énoncé des besoins inclus au marché.

En entrevue, les ODI et les membres de leurs équipes ont manifesté une bonne compréhension des produits qui conviennent à l'organisation en termes de fonctionnalité et de compatibilité * bien que leur interprétation donne lieu à des variations. * Cela dit, au niveau des ODI, les produits offerts par SPC ne sont pas suffisamment visibles, parce que les ODI n'ont pas un accès direct aux portails des acquisitions pour y trouver l'information. Cette lacune les empêche de conseiller les groupes sur le matériel qu'ils pourraient se procurer par l'entremise de SPC et de transmettre efficacement les demandes aux Acquisitions.

L'examen des dossiers d'acquisition échantillonnés indique que les groupes reçoivent habituellement l'article indiqué dans la demande d'achat. Selon l'examen des factures en dossier, 47 des 50 (94 pour 100) groupes qui ont acheté des biens de TI par l'entremise des Acquisitions avant le décret ont obtenu le produit demandé dans la demande d'achat, et 59 des 72 (82 pour 100) groupes ont reçu le produit commandé post-décret lorsque la commande a été traitée par SPC.^{Footnote 18}

On a trouvé dans les dossiers d'acquisition échantillonnés peu de preuves de problèmes post-contractuels, par exemple un groupe qui n'aurait pas reçu le produit conforme au marché, des écarts de prix ou des problèmes de livraison et de service. Cependant, les ODI tiennent des dossiers de client distincts où sont consignés les problèmes post-contractuels, qui montrent que depuis le décret, les groupes n'ont pas toujours obtenu ce qu'ils demandaient. Régulièrement, les ODI sont frustrés de ne pas pouvoir commander des marques et des modèles précis dont ils savent qu'ils sont compatibles avec l'infrastructure de TI de la GRC et de devoir parfois modifier le matériel commandé par l'entremise de SPC après avoir constaté qu'il ne satisfaisait pas aux exigences de la GRC.^{Footnote 19}Ainsi, lorsqu'un bien reçu n'est pas conforme aux termes du marché, il ne faudrait pas l'accepter, il faudrait en aviser les Acquisitions afin de faire appliquer les termes du marché. Par ailleurs, documenter de façon plus régulière dans les dossiers des Acquisitions ou de l'ODI les problèmes post-contractuels permettrait à la GRC de quantifier les coûts et les problèmes que pose le modèle de prestation de services partagés en acquisitions de TI.

Rapidité d'acquisition

Bien que les groupes de la GRC obtiennent le matériel dont ils ont besoin pour faire leur travail la plupart du temps, ils déplorent l'attente plus longue depuis le décret, ce que nous avons pu confirmer. En examinant les dossiers d'acquisition, l'équipe de vérification a mesuré l'attente moyenne entre la date de réception de la demande d'achat aux Acquisitions et la date de livraison des biens aux groupes, pré- et post-décret. Une seconde analyse a été faite pour mesurer le délai entre la date d'initiation et l'octroi du marché uniquement, afin de détacher les délais imputables aux Acquisitions de tout ce qui peut survenir post-marché.

Pour l'échantillon sélectionné, on a constaté depuis le décret un léger allongement du délai d'acquisition mesuré de la date d'initiation à la date de livraison, dont l'explication se trouve surtout dans le délai entre la date d'initiation et l'octroi du marché. Il faut en moyenne compter 16 jours civils de plus post-décret que pré-décret entre l'initiation et l'octroi du marché, lorsque SPC agit comme pouvoir contractant (voir le tableau 5).

** Marchés octroyés par SPC pour lesquels la GRC avait fait le travail préparatoire jusqu'à l'octroi du marché.

Nota : Le nombre moyen de jours écoulés entre l'initiation de l'acquisition et l'octroi du marché était de 21 jours civils avant le décret et de 37 jours civils après le décret, une différence de 16 jours civils.

Notre analyse a fait ressortir deux raisons principales pour l'allongement des délais. D'une part, le volume de transactions a fortement augmenté puisque la GRC n'avait plus le pouvoir de faire l'acquisition de biens de TI de moins de 10 K$ après l'entrée en vigueur du décret et qu'elle a dû transmettre toutes ses demandes aux portails de SPC par l'entremise des Acquisitions, générales et divisionnaires.^{Footnote 20}Des étapes se sont aussi ajoutées à la GRC avant la transmission des demandes d'achat : décider quel portail utiliser, justifier le choix d'un article à l'extérieur du matériel générique offert dans l'inventaire partagé, examiner les marchés rédigés pour le compte de la GRC.

L'évaluation des délais post-décret a mis en lumière de possibles gains d'efficacité. Par exemple, la GRC avait décidé de confier aux seuls agents des acquisitions le rôle de transmettre des demandes à SPC. Comme on l'a déjà vu, les ODI, sauf à la Direction générale, avaient la responsabilité des acquisitions de biens de TI de moins de 10 K$ avant le décret. S'il était convenable de le faire du point de vue du risque et de l'administration, on pourrait leur redonner ce rôle et ainsi réduire la pression dénoncée par le personnel des Acquisitions, générales et divisionnaires et par les groupes divisionnaires de GI-TI.

Même si les groupes continuent de définir leurs besoins de matériel de TI avec l'aide du personnel du Programme de GI-TI, les délais de fourniture du matériel sont longs depuis le décret. S'il nous a été impossible d'établir combien de temps était consacré aux dossiers par les Acquisitions et par SPC respectivement, il reste que le délai global de traitement pourrait être amélioré par une rationalisation du processus afin d'accélérer l'envoi des commandes à SPC, ce qui serait à l'avantage de la Gendarmerie.

4. Recommandations

1. Le dirigeant principal des Finances et de l'Administration, de concert avec le dirigeant principal de l'Information, devrait évaluer les actuels pouvoirs, rôles, responsabilités et processus liés à l'acquisition de TI dans le contexte post-décret et mettre à jour au besoin les politiques et lignes directrices de la GRC applicables aux acquisitions.
2. Le dirigeant principal des Finances et de l'Administration devrait * et prendre les mesures de suivi qui s'imposent.
3. *
4. *

5. Conclusion

La vérification conclut que les groupes de la GRC travaillent bien avec le personnel de l'ODI pour définir les besoins de TI aux fins de décision d'acquisition, de manière à répondre aux besoins opérationnels réguliers. Par ailleurs, les contrôles mis en place pour obliger les agents des acquisitions à confirmer avant d'entreprendre l'acquisition que les demandes de biens de TI sont approuvées par le personnel de l'ODI fonctionnent comme prévu.

Certains aspects présentent des possibilités d'amélioration. La GRC gagnerait à évaluer ses pouvoirs et responsabilités relatifs aux acquisitions en contexte post-décret et à mettre à jour ses politiques et lignes directrices en matière d'acquisitions de biens de TI, y compris ses processus d'approbation préalable de biens de TI et ses contrats rétroactifs. Aussi, * favoriseraient un meilleur respect des politiques et des exigences du décret dans l'ensemble de l'organisation.

Annexe A - Objectif et critères de vérification

Annexe B – Schéma du processus d'acquisition

Avant le décret : Besoins de moins de 10 K$ traités par les fondés de pouvoir

Avant le décret : Besoins de plus de 10 K$ traités par les agents des acquisitions divisionnaires

Après le décret : Toutes les demandes sont transmises par les Acquisitions aux SPC, quelle que soit la valeur

Évaluation de l'indemnité de recrutement des cadets - Sommaire

Services nationaux d'évaluation des programmes
Vérification interne, Évaluation et Examen
Gendarmerie royale du Canada

le 3 mars 2017

Au sujet du programme

L'indemnité de recrutement des cadets (IRC) a été adoptée en 2008 pour soutenir la stratégie nationale de recrutement au moyen du versement d'une indemnité de 500 $ par semaine aux cadets, pour les six mois que dure le Programme de formation des cadets à la Division Dépôt, à Regina, en Saskatchewan.

Objet de l'évaluation

Pour évaluer l'efficacité et l'efficience de l'IRC à partir de faits, les évaluateurs ont examiné des données et des documents, mené des sondages auprès de cadets et de membres réguliers et organisé des entretiens avec des cadets, des recruteurs et des employés de la GRC de différents coins du pays. L'évaluation a porté sur les exercices 2008-2009 à 2014-2015.

Constatations

Entre 2008-2009 et 2014-2015, l'indemnité a été versée à 8 029 cadets, à hauteur de 61,4 millions de dollars, soit en moyenne 1 147 cadets et 8,8 millions de dollars par année.

Capacité concurrentielle

La GRC doit demeurer un employeur concurrentiel parmi les services de police référentiels, surtout dans l'Ouest, d'où proviennent la moitié de ses recrues, et où les cadets d'autres services de police sont souvent des employés salariés à plein temps.

Recrutement

Depuis l'introduction de l'IRC en 2008-2009, la GRC a atteint en grande partie ses objectifs généraux de recrutement. En ce qui a trait à l'âge, à l'origine ethnique et au sexe, le profil des postulants n'a quasiment pas changé depuis la mise en œuvre de l'indemnité.

Demandes d'emploi et inscriptions

Les bénéficiaires de l'IRC étaient divisés sur la question de savoir si l'indemnité avait ou non influencé leur décision de postuler à la GRC. L'IRC a cependant permis à des postulants de se présenter à la Division Dépôt, puisque la moitié de ceux qui l'ont touchée ont indiqué qu'ils ne seraient pas ou peut-être pas allés à Regina sans elle. Les réponses des femmes, des membres de minorités visibles et des Autochtones ne se démarquaient pas des autres, ce qui semble indiquer un effet neutre du point de vue de l'équité en matière d'emploi. L'IRC a atténué les obstacles financiers pour se rendre à la Division Dépôt et aidé à soulager le stress financier des cadets, surtout chez ceux qui ont plus de 30 ans, ceux qui ont des enfants et ceux qui ont des obligations financières.

Versements et recouvrements

L'IRC est versée selon les procédures et les règles établies. Il existe des processus uniformes pour identifier les cadets et membres stagiaires qui ne respectent pas leur engagement. Au besoin, des ordonnances de remboursement sont préparées, comme prévu. Il existe un manque d'uniformité et des lacunes dans les politiques en ce qui a trait à la création de comptes débiteurs pour le remboursement, l'imposition d'intérêts pour une dette non soldée et le transfert des comptes en souffrance aux fins de recouvrement.

Recommandations

Pour conserver à la GRC sa capacité concurrentielle et pour aplanir les difficultés que pose le recouvrement de l'IRC, les évaluateurs recommandent trois mesures :

• La GRC devrait demander l'autorisation de continuer d'offrir l'IRC ou une forme semblable de soutien financier aux cadets.
• Un processus devrait être élaboré afin de réévaluer périodiquement le montant versé aux cadets, en fonction de l'évolution du marché du travail, des besoins des cadets et de la capacité de la GRC de payer.
• Les rôles, responsabilités, politiques et processus financiers régissant le remboursement de l'indemnité devraient être renforcés, clarifiés et documentés.

Pour de plus amples renseignements ou pour voir le rapport dans son intégralité, visitez notre site Web http://www.rcmp-grc.gc.ca/aud-ver/index-fra.htm.

Date modified:

1969-12-31