Vérification des acquisitions de technologie de l’information (TI)

Vérification des acquisitions de technologie de l'information (TI)

Rapport épuré

Février 2017

Table des matières

  1. Acronymes et abréviations
  2. Sommaire
  3. Réponse de la gestion
  4. 1. Contexte
  5. 2. Objectif, portée, méthode
  6. 3. Constatations
  7. 4. Recommandations
  8. 5. Conclusion
  9. Annexe A – Objectif et critères de vérification
  10. Annexe B – Schéma du processus d'acquisition

Acronymes et abréviations

AQC
Assurance de la qualité des contrats
DPI
Dirigeant principal de l'Informatique
GI
Gestion de l'information
MGA
Manuel de la gestion de l'actif
MGF
Manuel de la gestion des finances
ODI
Officier divisionnaire de l'informatique
OP
Offre permanente
PVAR
Plan de vérification axé sur les risques
SIO
Services informatiques organisationnels
SPAC
Services publics et Approvisionnement Canada
SPC
Services partagés Canada
TI
Technologie de l'information
TPSGC
Travaux publics et Services gouvernementaux Canada

Sommaire

La gestion de l'information (GI) et la technologie de l'information (TI) contribuent à la capacité de la GRC de s'occuper de ses priorités opérationnelles. Doter le personnel de la GRC du matériel de TI de pointe lui permet de suivre l'évolution de la criminalité technologique. Parce qu'elle est le service de police national du Canada, la GRC doit compter sur des systèmes de TI compatibles avec ceux de ses partenaires policiers et de l'appareil judiciaire. Aussi, des pratiques efficaces d'acquisition de TI contribuent à mettre à sa disposition du matériel de TI qui répond à ses besoins opérationnels et qui illustre la saine gérance des ressources.

En 2012, Services partagés Canada (SPC) a été mandaté pour fournir des services relatifs au courriel, aux centres de données et aux réseaux à 43 organismes partenaires, parmi lesquels la GRC. Le 1er septembre 2015, un décret est entré en vigueur, étendant le mandat de SPC à la prestation de services liés à la technologie de l'information des utilisateurs finaux. Cette mesure a dépouillé les 43 organismes partenaires de SPC du pouvoir de signer des marchés pour des biens de TI et l'a confié en totalité à SPC. La présente vérification porte sur les responsabilités de la GRC à l'égard des acquisitions de TI.

L'objectif de la vérification est d'évaluer si les pratiques d'acquisition de TI de la GRC satisfont ses besoins opérationnels et si elles sont conformes aux politiques et aux règles gouvernementales en matière d'acquisition. La vérification vise l'acquisition de biens de TI pendant la période allant du 1er avril 2014 au 30 juin 2016.

La vérification conclut que les groupes de la GRC travaillent bien avec le personnel des officiers divisionnaires de l'informatique (ODI) pour définir les besoins aux fins de décision d'acquisition, de manière à répondre aux besoins opérationnels réguliers. Par ailleurs, les contrôles mis en place pour obliger les agents des acquisitions à confirmer avant d'entreprendre l'acquisition que les demandes de biens de TI sont approuvées par le personnel de l'ODI fonctionnent comme prévu.

Certains aspects présentent des possibilités d'amélioration. La GRC gagnerait à évaluer ses pouvoirs et responsabilités relatifs aux acquisitions en contexte post-décret et à mettre à jour ses politiques et lignes directrices en matière d'acquisition de biens de TI, * et ses contrats rétroactifs. Aussi, * favoriseraient un meilleur respect des politiques et des exigences du décret dans l'ensemble de l'organisation.

La réponse de la gestion incluse dans le présent rapport témoigne de sa détermination à donner suite aux conclusions et recommandations découlant de la vérification. La direction élabore d'ailleurs un plan d'action détaillé à cette fin. Lorsque le plan sera approuvé, la Vérification interne de la GRC en surveillera la mise en œuvre et procédera, au besoin, à une vérification de suivi.

Réponse de la gestion

Gestion générale et Contrôle

La vérification des acquisitions de technologie de l'information (TI) a mis en évidence la possibilité de renforcer la planification et l'acquisition de TI à la GRC, surtout dans le contexte où par décret, le mandat confié à Services partagés Canada (SPC) a été étendu à l'approvisionnement en appareils technologiques pour le lieu de travail.

SPC travaille à élaborer des options pour déléguer les pouvoirs et n'avoir qu'à approuver au besoin. Une fois connue la portée de la délégation, la Gestion générale examinera et révisera les politiques et procédures internes en conséquence, en étroite collaboration avec le dirigeant principal de l'information.

La Gestion générale accueille les conclusions de la vérification qui serviront à renforcer encore davantage la prestation de services d'acquisition et de passation de marchés et à améliorer ses politiques et son programme d'assurance de la qualité des contrats fondé sur les risques.

La Gestion générale s'engage à élaborer un plan d'action détaillé qui comprendra un calendrier et des jalons précis auxquels la GRC se tiendra.

Dennis Watters
Dirigeant principal intérimaire des Finances et de l'Administration

Services de police spécialisés (SPS)

Les SPS accueillent les conclusions et les recommandations de la Vérification interne de la GRC. Nous lui sommes reconnaissants de la considération et du soutien offerts au personnel du Programme de GI-TI tout le long de l'exercice.

*

Il faut collaborer avec SPC et avec Services publics et Approvisionnement Canada (SPAC) pour rationaliser le processus afin que les délais d'acquisition de TI soutiennent les opérations policières. *

Le Programme de GI-TI, en collaboration avec le dirigeant principal des Finances et de l'Administration de la GRC, se penchera sur la recommandation d'appliquer des activités de surveillance de l'assurance de la qualité, *

Joe Oliver, commissaire adjoint,
Sous-commissaire suppléant aux Services de police spécialisés

1. Contexte

La gestion de l'information (GI) et la technologie de l'information (TI) contribuent à la capacité de la GRC de s'occuper de ses priorités opérationnelles. Doter le personnel de la GRC du matériel de TI de pointe lui permet de suivre l'évolution de la criminalité technologique. Parce qu'elle est le service de police national du Canada, la GRC doit compter sur des systèmes de TI compatibles avec ceux de ses partenaires policiers et de l'appareil judiciaire. Aussi, des pratiques efficaces d'acquisition de TI contribuent à mettre à sa disposition du matériel de TI qui répond à ses besoins opérationnels et qui illustre la saine gérance des ressources.

À la Gendarmerie, l'acquisition de matériel de TI était décentralisée. En effet, non seulement le personnel des Acquisitions, mais aussi les officiers divisionnaires de l'informatique (ODI), les chefs de service et d'autres avaient le pouvoir délégué de passer des marchés pour se procurer des biens et des services de TI. Avant 2015, les ODI, les chefs de service et autres fondés de pouvoir pouvaient passer des marchés d'acquisition de biens de TI de moins de 10 K$ et les ODI pouvaient passer une commande subséquente à une offre permanente jusqu'à concurrence de 20 K$, de sorte que seules les demandes d'achat de biens de plus de 10 K$ étaient traitées par les Acquisitions, divisionnaires et générales. *

En 2011, souhaitant améliorer l'efficacité, la fiabilité et la sécurité de son infrastructure de TI, le gouvernement a créé Services partagés Canada (SPC) afin de rationaliser la TI, de réduire les dépenses dans le secteur de la TI, de limiter le gaspillage et de réduire les chevauchements.Footnote 1En 2012, SPC a reçu le mandat de fournir des services de courriel, de centres de données et de réseaux à 43 organismes partenaires, dont la GRC.

Le 1er septembre 2015, un décret est entré en vigueur par lequel le mandat des SPC a été étendu à la prestation de services liés à la technologie de l'information des utilisateurs finaux.Footnote 2Ce décret a dépouillé les 43 organisations partenaires de SPC, dont la GRC, du pouvoir de passer des marchés pour des biens de TI et l'a délégué exclusivement à SPC. Déjà en 2012, une partie des responsabilités d'acquisition avaient été transférées de Travaux publics et Services gouvernementaux Canada (TPSGC) à SPC, mais certains ministères comptaient toujours sur TPSGC pour l'acquisition de biens et de services liés à la TI, et TPSGC continuait de gérer certains instruments d'acquisition (soit les marchés, les offres permanentes et les arrangements en matière d'approvisionnement) pour l'achat de biens et de services de TI. Cette situation donnait lieu au chevauchement des efforts de TPSGC et de SPC. Le décret visait donc à rendre plus efficace le processus d'acquisition et à uniformiser la stratégie pour favoriser l'intégrité de la chaîne d'approvisionnement et peut-être augmenter les économies en injectant de la cohésion dans le pouvoir d'achat du gouvernement.

Depuis le décret, la GRC est toujours responsable de planifier ses acquisitions et de définir ses besoins de TI, mais elle n'assume plus entièrement l'octroi des marchés pour l'acquisition de TI. L'acquisition de TI à la Gendarmerie passe en grande partie par les Acquisitions, générales ou divisionnaires, qui transmettent les demandes d'achat à SPC. *

Les actuelles responsabilités de la GRC en matière d'acquisition de TI se répartissent entre les acteurs suivants :

  • Relevant du sous-commissaire aux Services de police spécialisés et dirigé par le dirigeant principal de l'information (DPI), le Programme de GI-TI, qui fait office de centre de décision, a la responsabilité de fournir une orientation stratégique et des politiques en matière de GI-TI et de gérer l'exécution des grands projets de GI-TI. *
  • Relevant du dirigeant principal des Finances et de l'Administration et dirigées par le directeur général des Acquisitions et des Marchés, les Acquisitions à la Direction générale sont responsables d'élaborer les politiques nationales d'acquisition, de conseiller le personnel divisionnaire des Acquisitions, et de planifier, de gérer et de fournir des services centralisés d'acquisition et de marchés aux groupes du secteur de la DG.
  • Le personnel divisionnaire des Acquisitions est responsable d'aider les groupes et les détachements pour l'acquisition de matériel, y compris les biens et services de TI.

Le plan de vérification axé sur les risques (PVR) approuvé par le commissaire pour les années 2015-2018 prévoit une vérification des acquisitions de TI. L'inclusion de cette vérification au PVR fait suite à des travaux antérieurs menés par le Bureau du vérificateur général sur le vieillissement des systèmes de technologie de l'information (2010), qui mettaient en lumière l'augmentation de la demande de services de GI-TI, le vieillissement des systèmes actuels dont l'entretien requiert des investissements importants, et la nécessité de renforcer l'infrastructure actuelle.

2. Objectif, portée et méthode

2.1 Objectif

L'objectif de la vérification est d'évaluer si les pratiques d'acquisition de TI de la GRC satisfont ses besoins opérationnels et si elles sont conformes aux politiques et aux règles gouvernementales en matière d'acquisition.

2.2 Portée

La vérification a porté sur les responsabilités de la GRC en matière d'acquisition de TI. La vérification a donc examiné l'acquisition de biens de TI, notamment le matériel ordinaire (ordinateurs de bureau, portables, scanneurs, etc.), les systèmes de TI achetés dans le cadre de grands projets de TI et les achats de matériel spécialisé de TI à des fins opérationnelles.

La vérification n'a pas évalué l'acquisition de services de TI comme les marchés de services professionnels et l'acquisition de matériel de nature délicate puisque ces aspects font l'objet de vérifications distinctes inscrites au PVR 2015-2018. La vérification n'a pas non plus porté sur l'acquisition de matériel et de systèmes radio.

La période visée par la vérification couvrait du 1er avril 2014 au 30 juin 2016, afin d'englober une période pré- et une période post-décret.

2.3 Méthode

La planification de la vérification a été effectuée en juillet 2016. Durant cette phase, l'équipe de vérification a tenu des entrevues, procédé à une revue générale des modalités en vigueur et examiné les politiques, les directives et les procédures pertinentes ainsi que les résultats d'examens antérieurs.

Les critères et tests de vérification ont été élaborés à partir des politiques d'acquisition du gouvernement du Canada et des politiques et guides d'acquisition de la GRC. Les objectifs et critères de la vérification peuvent être consultés à l'annexe A. Les schémas des processus d'acquisition pré- et post-décret sont reproduits à l'annexe B, à titre informatif.

La phase d'examen, terminée en novembre 2016, a consisté à appliquer diverses techniques de vérification, dont des entrevues, l'examen de la documentation et des tests de vérification des dossiers d'acquisitionFootnote 3,des achats directsFootnote 4et des achats par carte d'achatFootnote 5. L'équipe s'est rendue dans les quartiers généraux de quatre divisions pour examiner les dossiers et évaluer les pratiques. À l'issue de la phase d'examen, l'équipe de vérification a tenu des réunions afin de valider ses constatations auprès du personnel et a présenté les conclusions pertinentes à la haute direction.

Le tableau ci-dessous résume le nombre, le genre et la valeur des transactions contrôlées par la vérification. L'échantillonnage tenait à la fois du hasard et du jugement exercé à partir de données extraites du système TEAM et obtenues des Finances. Ont été exclues de l'échantillon les transactions de moins de 500 $ puisque depuis le décret, cette somme correspond au seuil sous lequel un achat de TI est habituellement considéré comme « fournitures de bureau ».

Tableau 1 : Contrôle des dossiers d'acquisition, achats directs et transactions par carte d'achat
Nombre de transactions contrôlées pré-décret Valeur Nombre de transactions contrôlées post-décret Valeur
Dossiers d'acquisition 50 1 056 354 $ 115 1 916 354 $
Achats directs 123 571 393 $ 131 418 223 $
Transactions par carte d'achat Aucun test effectué sur des transactions pré-décret 95 459 310 $
Total pour la période visée 173 1 627 747 $ 341 2 793 887 $
Totalité de l'échantillon (pré- et post-décret) 514 transactions contrôlées 4 421 634 $ en transactions contrôlées

2.4 Énoncé de conformité

La mission de vérification est conforme aux normes de vérification interne du gouvernement du Canada, comme en font foi les résultats du programme d'assurance et d'amélioration de la qualité.

3. Constatations

Le contexte dans lequel se fait l'acquisition de TI à la GRC a évolué depuis les changements mis en place par le décret. Avant le décret, la GRC procédait elle-même aux acquisitions de TI dont elle avait besoin; depuis le décret, ses biens de TI sont presque tous achetés pour son compte. Par conséquent, assurer la saine gérance des ressources tout en répondant aux besoins opérationnels et en se conformant aux exigences des politiques peut s'avérer complexe. *

Le succès en la matière repose sur la collaboration entre les parties à l'acquisition de biens de TI, sur la connaissance des exigences des politiques relatives à l'acquisition de biens de TI et sur la volonté de les respecter, au contrôle des transactions d'acquisition de TI et aux mécanismes en place pour composer avec les déviations aux exigences des politiques.

Par conséquent, nous nous attendions à faire les constatations suivantes :

  • Les rôles et responsabilités de la GRC en acquisition de TI sont définis, communiqués et compris, au soutien efficace de l'acquisition de TI;
  • La planification des acquisitions de TI soutient des résultats efficaces et efficients et utilise une stratégie d'entreprise au besoin;
  • L'acquisition de TI se fait dans le respect des politiques et les marchés sont contrôlés afin que la GRC obtienne les biens de TI dont elle a besoin et que les lacunes soient correctement comblées;
  • Les besoins d'acquisition sont bien définis et communiqués afin que les besoins opérationnels soient satisfaits en temps voulu.

3.1 Processus d'acquisition de TI

La GRC peut améliorer sa façon de communiquer et de s'adapter aux processus mis en place depuis le décret par lequel les biens de TI sont acquis pour son compte.

Les responsabilités générales en matière d'acquisition sont clairement définies et communiquées dans la Politique sur les marchés du Conseil du Trésor (CT), dans le Manuel de la gestion de l'actif de la GRC, dans le Manuel de la gestion des finances de la GRC, et dans le guide Introduction à la politique d'acquisition et de marchés de la GRC.

Avant le décret, les ODI, les chefs de service et autres fondés de pouvoir pouvaient passer des marchés d'acquisition de biens de TI de moins de 10 K$ et les ODI pouvaient passer une commande subséquente à une OP jusqu'à concurrence de 20 K$, de sorte que seules les demandes d'achat de biens de plus de 10 K$ étaient traitées par les Acquisitions, générales et divisionnaires.Footnote 6Pour une acquisition de moins de 10 K$, on pouvait soit remplir un bon de commande (marché), commander directement du fournisseur sans marché, ou utiliser une carte d'achat. Les Acquisitions procédaient à l'assurance de la qualité des contrats (AQC) dans les dossiers des agents des acquisitions, mais il ne se faisait aucune forme d'AQC sur les achats inférieurs à 10 K$. *

L'ODI a gardé une bonne part de ses responsabilités d'avant le décret. Il doit toujours * offrir des conseils et de l'aide techniques aux groupes. Il demeure l'autorité technique pour les acquisitions de TI. Mais il ne peut plus passer de marchés, d'où une perte de contrôle sur le type de matériel acheté et l'allongement des délais pour conclure une acquisition.

Compte tenu du décret, les Acquisitions, à titre de centre de décision, ont examiné la procédure de commande mise en place par SPC et déterminé que de soumettre une demande d'achat au portail de SPC ne différait pas en profondeur de soumettre une commande à TPSGC. On voit dans la colonne 39 de la matrice de la délégation de pouvoirs de la GRC que ces pouvoirs sont réservés aux autorités des Acquisitions de la GRC.Footnote 7Par conséquent, toutes les demandes d'achat de TI, quelle que soit la valeur, ont été transmises aux Acquisitions, divisionnaires et générales. Nous avons appris dans nos entrevues avec les gestionnaires des Acquisitions que ce volume de transactions supplémentaires a alourdi la charge de travail des agents des acquisitions. L'examen du volume de transactions pour des biens de TI à l'aide d'un bon de commande entre avril 2014 et juin 2016 a révélé que 1709 des 2452 transactions (70 pour 100) pendant cette période étaient pour une valeur inférieure à 10 K$.Footnote 8

En plus du volume, une autre étape s'est ajoutée au travail des agents des acquisitions de la GRC : il leur fallait dorénavant déterminer s'il revenait à SPC d'octroyer un marché de TI pour des besoins particuliers, ou s'ils pouvaient eux-mêmes procéder à l'acquisition du matériel. Lorsqu'il fallait s'en remettre à SPC, les agents des acquisitions de la GRC avaient accès au portail des demandes de services d'acquisition pour commander des logiciels et des licences, et au portail de TI pour commander des appareils pour le milieu de travail. Les agents des acquisitions devaient déterminer à quel portail ils devaient envoyer la demande, et s'il fallait demander une exemption pour que la GRC puisse se procurer les biens de TI directement s'ils n'étaient pas dans l'inventaire des portails d'acquisition. Même pour les achats qui relevaient des SPC, les agents des acquisitions devaient remplir tous les papiers pré-contractuels et ébaucher les marchés, bien que leur octroi ait été confié à SPC. Les agents des acquisitions ont dû consacrer beaucoup de temps à communiquer tour à tour avec les groupes, les ODI et SPC et à faire le suivi des demandes d'achat.

Communication des changements de processus après le décret

Les nouvelles procédures sont entrées en vigueur graduellement dans les six mois de transition après l'entrée en vigueur du décret. SPC a communiqué beaucoup d'information à la GRC par différents intermédiaires, notamment les Acquisitions générales, les Acquisitions divisionnaires, le Programme GI-TI et l'équipe de liaison GRC-SPC.Footnote 9L'information des Acquisitions de SPC reçue aux Acquisitions générales a été communiquée aux services divisionnaires des Acquisitions lors des téléconférences mensuelles des gestionnaires des Acquisitions et dans des communiqués réguliers de la section de l'AQC, en présumant que de là l'information parviendrait ensuite à tous les agents divisionnaires des acquisitions. Malgré les efforts faits pour communiquer les changements de procédures aux Acquisitions divisionnaires, d'autres intéressés au processus d'acquisition des biens de TI, notamment les ODI, n'en ont pas bénéficié. De même, l'information reçue au Programme de GI-TI a été diffusée aux ODI, mais pas nécessairement à d'autres intéressés aux Acquisitions. Les agents des acquisitions et les ODI ne savaient pas clairement quels articles devaient faire l'objet d'une acquisition sans passer par SPC. Les agents des acquisitions se demandaient s'il n'était pas plutôt de la responsabilité de l'ODI de déterminer ce qui relevait ou non de SPC. Tout en reconnaissant que les procédures d'après décret n'étaient pas complètement fixées, il faut aussi reconnaître qu'une meilleure coordination entre les secteurs fonctionnels et l'établissement de procédures de transition auraient permis au personnel divisionnaire des Acquisitions et aux ODI de connaître les étapes à suivre pour demander des biens de TI à SPC.

Changements de procédures pour les grands projets de TI

Les grands projets de TI,Footnote 10qui comportent souvent l'acquisition de TI, figurent dans les plans organisationnels de la GRC, comme le Plan d'investissement et le Plan de GI-TI. Le Plan d'investissement donne un aperçu des investissements que la GRC prévoit faire dans les biens et les services acquis sur un horizon de cinq ans, et le Plan de GI-TI donne un aperçu des investissements prévus dans le Programme de GI-TI sur trois ans. Les activités d'acquisition avaient peu d'incidence sur les échéanciers des grands projets avant septembre 2015, parce que la GRC avait un pouvoir délégué de passer des marchés d'une valeur de 400 K$ pour des biens de TI,Footnote 11de sorte qu'elle avait davantage de contrôle sur le processus d'acquisition et qu'elle pouvait remanier ses priorités selon l'urgence des besoins et le réaménagement des calendriers. Depuis le décret, la planification est devenue cruciale à la GRC pour la livraison des projets de TI dans les temps et les budgets, puisqu'il faut maintenant tenir compte du processus de réception des demandes de SPC, qui comporte des dates butoirs fixes, pour transmettre les demandes de services attendus de SPC.

Par ailleurs, la capacité de la GRC d'exécuter ses grands projets et de satisfaire les besoins d'acquisition de TI qu'ils comportent est à la merci du rôle de SPC de fournir des services de courriel, de réseaux et de centres de données aux 43 organismes partenaires qu'ils servent, de sorte que sa capacité de prioriser ses besoins est d'une grande importance. Bien que le Programme de GI-TI ait élaboré des critères de priorisation organisationnelle pour la sélection des grands projets, ceux-ci n'ont pas été adoptés instantanément par tous les comités ni appliqués uniformément aux grands projets. Plusieurs comités étaient chargés de superviser la mise en œuvre des projets, comme le conseil d'examen de l'architecture et des initiatives, l'équipe de gestion du programme du DPI, le conseil des investissements et des priorités stratégiques (qui applique le cadre de priorisation de la GRC aux investissements en GI-TI), le conseil d'examen de projet et le conseil consultatif sur les changements. Bien que la structure de gouvernance pour la mise en œuvre des projets de GI-TI ait été fonctionnelle, il y avait un risque de chevauchement des mandats et des membres (les comités susnommés offraient tous une forme de supervision et d'examen stratégique de la mise en œuvre des projets et nécessitaient la présence de hauts gestionnaires du Programme de GI-TI).

Dans nos entrevues, les gestionnaires du Programme de GI-TI ont insisté sur l'importance de bien planifier les projets et de respecter les échéanciers en contexte post-décret. Des tests de vérification ont servi à déterminer si seuls les grands projets de TI inscrits aux plans organisationnels avaient été entrepris et si un suivi adéquat en avait été fait. Il en ressort que ce ne sont pas tous les projets en phase d'initiation qui figuraient au Plan d'investissement et qu'il est difficile pour la GRC d'en mesurer les progrès, parce qu'on peut en refaire le calendrier et les budgets à tout moment, fixer de nouvelles échéances et en revoir les projections budgétaires. Renforcer les activités de gestion de projet à la GRC, y compris pour prioriser les projets, aiderait à concentrer les ressources de la GRC sur ses priorités autant qu'à respecter le modèle de services partagés qui régit la prestation de services de TI dont la GRC est partenaire.

3.2 Conformité des politiques

Il faut faire davantage pour mettre en place des mesures de contrôle afin de garantir le respect des exigences des politiques en matière d'acquisition de biens de TI, y compris pour que le Programme de GI-TI soit informé des achats de TI.

La vérification visait à examiner si les pratiques d'acquisition de TI de la GRC étaient conformes aux exigences des politiques du CT et de la GRC. Les tests de vérification et les examens de dossiers ont permis d'évaluer si l'approbation préalable des demandes d'achat de TI a été obtenue conformément au chapitre 3.4 du Manuel de la gestion de l'actif, si la GRC avait le pouvoir délégué de passer des marchés afin d'acheter des biens de TI après le décret, et si l'engagement de fonds conformément à l'article 32 de la Loi sur la gestion des finances publiques suffisait pour couvrir les coûts du marché (chapitre 9.2 Manuel de gestion des finances)Footnote 12La vérification a aussi évalué s'il y avait en place des processus pour déceler les situations où les exigences n'ont pas été respectées et pour les corriger.

Processus d'approbation préalable pour des biens de TI

* afin d'exposer le moins possible le réseau de la GRC aux risques que présenterait le raccordement de matériel acheté qui ne soit pas compatible avec ses exigences, ou qui ne serait pas soutenu par le Programme de GI-TI, à l'échelle nationale ou divisionnaire, en termes d'entretien. * Avant le décret, sur réception de l'approbation, les groupes pouvaient procéder à l'achat du matériel de TI approuvé.

*

*

Preuve d'approbation

* Des représentants du Programme de GI-TI nous ont affirmé qu'il ne se faisait aucune activité d'assurance de la qualité pour garantir l'adhésion aux exigences du chapitre 3.4 du MGA. *

*

*

*

*

*

*

*

L'équipe de vérification a obtenu des Finances des extraits de données sur les transactions par cartes d'achat pour la période de septembre 2015 à juin 2016 et y a relevé de possibles achats de TI. L'analyse subséquente s'est concentrée sur les transactions de plus de 1 K$. *

*

*

*

Nous avons aussi noté que l'outil de gestion de l'information actuellement utilisé par le Programme du GI-TI (tableur Excel) pour gérer l'information d'acquisition de TI ne facilite pas la consolidation des données aux fins de planification, de surveillance et de prise de décisions. Il est possible d'améliorer les outils de gestion de l'information et l'utilisation des renseignements transmis par les divisions afin de dégager des tendances dans le type d'équipement qu'on se procure, ainsi que des occasions d'économies supplémentaires (p. ex. achat en gros).

*

Conformité au décret

Étant donné le décret, l'équipe de vérification s'attendait à ce que tous les marchés d'acquisition de TI et tous les achats de TI aient été faits par SPC entre septembre 2015 et juin 2016. Toutefois, nos entrevues et tests des dossiers nous ont révélé que les ministères pouvaient toujours se procurer des biens de TI en recourant aux offres permanentes qu'avait toujours TPSGC, ainsi que certains logiciels qui échappaient à l'action de SPC. Par ailleurs, SPC a, à l'occasion, accordé des exemptions à la GRC pour octroyer des marchés.

Il a été difficile pour le personnel des Acquisitions et des ODI de la GRC de déterminer quels biens de TI relevaient ou non de la GRC dans les semaines qui ont suivi l'adoption du décret. En entrevue, de nombreux ODI et agents divisionnaires des acquisitionsFootnote 13ont fait valoir ce point, précisant que dès l'entrée en vigueur du décret, soucieux d'en respecter les exigences, ils ont communiqué avec SPC pour chaque demande, pour se faire dire si elle relevait de la GRC ou de SPC. Il a été particulièrement difficile d'établir qui avait le pouvoir d'acheter les outils et logiciels d'enquête et l'équipement policier, comme les postes de travail mobiles et certains logiciels judiciaires.

Au moment de la vérification, on s'efforçait à l'échelle des secteurs fonctionnels de communiquer quels biens relevaient et ne relevaient pas des pouvoirs de la GRC, mais il aurait fallu plus de coordination entre les secteurs fonctionnels pour aider les intéressés dans les divisions à comprendre les changements et à interpréter l'information reçue de SPC de manière uniforme. D'autre part, des représentants du Programme de GI-TI et des Acquisitions nous ont dit qu'il ne se faisait aucune activité d'assurance de la qualité afin d'évaluer la conformité au décret. Nos tests des dossiers nous ont révélé 4 transactions d'acquisition sur 115 (3 pour 100) réalisées par la GRC sans une exemption de SPC, bien qu'elles n'aient pas relevé d'elle. Cela dit, 3 de ces 4 marchés ont été octroyés au début de septembre 2015, juste après l'entrée en vigueur du décret. Mentionnons surtout que 112 achats directs sur 131 (85 pour 100) et que 62 transactions par carte d'achat sur 95 (68 pour 100) examinés concernaient des biens de TI d'une valeur supérieure à 500 $. Puisque ces biens ont été achetés après le décret, qu'ils dépassaient le seuil des 500 $ et qu'ils n'étaient pas exemptés par le décret, ces achats ne respectaient pas les exigences du décret (voir le tableau 4).

Tableau 4 : Conformité au décret
Type de transaction Nombre total de transactions examinées effectuées après le décret Transactions effectuées par la GRC à l'extérieur de son champ d'action
Dossiers d'acquisition 115 (valeur totale 1,9 M$) 4 (3 %) (valeur totale 62 K$)
Achats directs 131 (valeur totale 418 K$) 112 (85 %) (valeur totale 386 K$)
Cartes d'achat 95 (valeur totale 459 K$) 65 (68 %) (valeur totale 322 K$)
Total 341 (valeur totale 2,8 M$) 181 (53 %) (valeur totale 770 K$)

Contrats rétroactifs

Les Lignes directrices sur la manipulation des contrats rétroactifs à la GRC expliquent que le contrat rétroactif est une circonstance où un véhicule d'acquisition officiel n'a pas été mis en place par une personne dûment déléguée et une entente a été conclue, des travaux entrepris ou des biens/services prodigués. Lorsqu'on se trouve dans une telle situation, des documents spéciaux d'acquisition doivent être utilisés pour officialiser l'achat et satisfaire aux politiques en matière de contrats.Footnote 14On peut appliquer différentes solutions aux situations nécessitant un contrat rétroactif. Par exemple, la confirmation de commande est un « document d'acquisition qui est émis afin de confirmer que les travaux ont été effectués et livrés et que l'État a rempli toutes ses obligations conformément aux modalités de l'entente contractuelle. »Footnote 15Une confirmation de commande doit être terminée avant que le paiement puisse être effectué et on doit y trouver l'information nécessaire pour documenter la transaction. On peut aussi utiliser des clauses sur les travaux précontractuels, par exemple lorsque la commande n'a pas été entièrement remplie mais que les travaux ont débuté en l'absence d'une entente écrite. Les Lignes directrices sur la manipulation des contrats rétroactifs à la GRC précisent que la politique gouvernementale conseille d'éviter les contrats rétroactifs en raison de la nature délicate des transactions de ce genre et des risques qu'elles posent pour l'organisation.Footnote 16

En entrevue avec le personnel des Acquisitions et en examinant des pièces supplémentaires, nous avons pris connaissance de situations où, en contexte post-décret, il n'était pas clair que la GRC avait le pouvoir de préparer une confirmation de commande.

Les lignes directrices qu'utilise la GRC en matière de contrats rétroactifs n'ont pas été mises à jour pour rendre compte de l'effet du décret sur l'acquisition de biens de TI et les Acquisitions n'ont pas fourni d'orientation aux divisions sur la procédure à suivre lorsqu'il faut recourir à une confirmation de commande depuis l'entrée en vigueur du décret. Puisque la GRC n'a plus le pouvoir délégué d'octroyer des marchés relatifs aux biens de TI, la Gendarmerie aurait avantage à se faire confirmer si elle a le pouvoir de préparer une confirmation de commande.

Surveillance et signalement de non-conformité

Pour le moment, un incident de non-conformité détecté donne lieu à des mesures de redressement comme des rappels et une formation d'appoint, mais ces mesures ne sont pas appliquées uniformément dans toutes les divisions. La Politique sur les marchés du CT prévoit qu'une personne peut perdre le pouvoir de passer des marchés si elle ne se conforme pas aux politiques d'acquisitionFootnote 17, ce qui fournit aux Acquisitions un mécanisme de plus pour régler les cas graves de non-conformité.

Les Lignes directrices sur la manipulation des contrats rétroactifs à la GRC prévoient que les Acquisitions fassent un suivi trimestriel auprès des gestionnaires régionaux des Acquisitions pour examiner les dossiers comportant des contrats rétroactifs et pour faire le suivi de la fréquence des manquements. Les Acquisitions sont censées signaler à la haute direction les cas de confirmation de commande dans des rapports mensuels et faire des rapports trimestriels de l'avancement des recommandations et des mesures de redressement appliquées dans les régions. Les Acquisitions avouent ne pas avoir fait de tels rapports depuis deux ans, faute de ressources et en raison de priorités en concurrence.

*

Les tests de la vérification indiquent un degré assez élevé de non-conformité en acquisition de biens de TI de moins de 10 K$ par du personnel ailleurs qu'aux Acquisitions, depuis le décret. Il y aurait lieu de clarifier le processus de contrat rétroactif afin de promouvoir l'application uniforme de la politique, de veiller à ce que les confirmations de commande soient faites par le fondé de pouvoir en matière de marchés et de prendre les mesures de redressement qui s'imposent. Bien qu'on recueille des statistiques pour rendre au CT les comptes attendus, la haute direction n'est pas toujours informée des problèmes de non-conformité, ce qui lui fait manquer des occasions de négocier ou de sanctionner, au besoin.

3.3 Efficacité de la prestation de services

Il est possible de rationaliser le processus et de gagner en efficacité lorsque la GRC demande que des biens de TI soient achetés en son nom.

L'incapacité de la GRC de se procurer rapidement du matériel de TI peut poser un risque à ses opérations, que ce soit dans les progrès dans ses enquêtes ou dans sa divulgation de la preuve. Afin de mesurer l'efficacité de la prestation de services pour obtenir des biens de TI, la vérification a examiné les besoins d'acquisition pour voir s'ils étaient bien définis et s'il était satisfait aux besoins opérationnels rapidement.

Définition des besoins

En entrevue avec les agents des acquisitions, nous avons appris qu'il fallait peu de temps pour clarifier les besoins en phase d'acquisition, étant donné que les ODI et les représentants du Programme de GI-TI dans les divisions aident efficacement les groupes à préciser leurs besoins de TI avant de transmettre une demande d'achat aux Acquisitions. La participation des ODI et du personnel du Programme de GI-TI à la définition des besoins se reflétait dans les dossiers dont l'examen a montré que seulement 3 des 50 (6 pour 100) dossiers d'acquisition pré-décret et 8 des 115 (7 pour 100) dossiers d'acquisition post-décret examinés avaient nécessité des changements importants entre le premier énoncé des besoins et l'énoncé des besoins inclus au marché.

En entrevue, les ODI et les membres de leurs équipes ont manifesté une bonne compréhension des produits qui conviennent à l'organisation en termes de fonctionnalité et de compatibilité * bien que leur interprétation donne lieu à des variations. * Cela dit, au niveau des ODI, les produits offerts par SPC ne sont pas suffisamment visibles, parce que les ODI n'ont pas un accès direct aux portails des acquisitions pour y trouver l'information. Cette lacune les empêche de conseiller les groupes sur le matériel qu'ils pourraient se procurer par l'entremise de SPC et de transmettre efficacement les demandes aux Acquisitions.

L'examen des dossiers d'acquisition échantillonnés indique que les groupes reçoivent habituellement l'article indiqué dans la demande d'achat. Selon l'examen des factures en dossier, 47 des 50 (94 pour 100) groupes qui ont acheté des biens de TI par l'entremise des Acquisitions avant le décret ont obtenu le produit demandé dans la demande d'achat, et 59 des 72 (82 pour 100) groupes ont reçu le produit commandé post-décret lorsque la commande a été traitée par SPC.Footnote 18

On a trouvé dans les dossiers d'acquisition échantillonnés peu de preuves de problèmes post-contractuels, par exemple un groupe qui n'aurait pas reçu le produit conforme au marché, des écarts de prix ou des problèmes de livraison et de service. Cependant, les ODI tiennent des dossiers de client distincts où sont consignés les problèmes post-contractuels, qui montrent que depuis le décret, les groupes n'ont pas toujours obtenu ce qu'ils demandaient. Régulièrement, les ODI sont frustrés de ne pas pouvoir commander des marques et des modèles précis dont ils savent qu'ils sont compatibles avec l'infrastructure de TI de la GRC et de devoir parfois modifier le matériel commandé par l'entremise de SPC après avoir constaté qu'il ne satisfaisait pas aux exigences de la GRC.Footnote 19Ainsi, lorsqu'un bien reçu n'est pas conforme aux termes du marché, il ne faudrait pas l'accepter, il faudrait en aviser les Acquisitions afin de faire appliquer les termes du marché. Par ailleurs, documenter de façon plus régulière dans les dossiers des Acquisitions ou de l'ODI les problèmes post-contractuels permettrait à la GRC de quantifier les coûts et les problèmes que pose le modèle de prestation de services partagés en acquisitions de TI.

Rapidité d'acquisition

Bien que les groupes de la GRC obtiennent le matériel dont ils ont besoin pour faire leur travail la plupart du temps, ils déplorent l'attente plus longue depuis le décret, ce que nous avons pu confirmer. En examinant les dossiers d'acquisition, l'équipe de vérification a mesuré l'attente moyenne entre la date de réception de la demande d'achat aux Acquisitions et la date de livraison des biens aux groupes, pré- et post-décret. Une seconde analyse a été faite pour mesurer le délai entre la date d'initiation et l'octroi du marché uniquement, afin de détacher les délais imputables aux Acquisitions de tout ce qui peut survenir post-marché.

Pour l'échantillon sélectionné, on a constaté depuis le décret un léger allongement du délai d'acquisition mesuré de la date d'initiation à la date de livraison, dont l'explication se trouve surtout dans le délai entre la date d'initiation et l'octroi du marché. Il faut en moyenne compter 16 jours civils de plus post-décret que pré-décret entre l'initiation et l'octroi du marché, lorsque SPC agit comme pouvoir contractant (voir le tableau 5).

Tableau 5 : Échéancier entre l'initiation et l'octroi du marché
Avant le décret (marchés de la GRC) Depuis le décret (marchés de la GRC – Exemptions SPC) Depuis le décret (marchés SPC**)
Jusqu'à 14 jours 54 % (27/50) 49 % (21/43) 24 % (17/72)
Entre 15 et 28 jours 20 % (10/50) 16 % (7/43) 21 % (15/72)
Plus de 29 jours 22 % (11/50) 33 % (14/43) 54 % (39/72)
Délai inconnu 4 % (2/50) 2 % (1/43) 1 % (1/72)

** Marchés octroyés par SPC pour lesquels la GRC avait fait le travail préparatoire jusqu'à l'octroi du marché.

Nota : Le nombre moyen de jours écoulés entre l'initiation de l'acquisition et l'octroi du marché était de 21 jours civils avant le décret et de 37 jours civils après le décret, une différence de 16 jours civils.

Notre analyse a fait ressortir deux raisons principales pour l'allongement des délais. D'une part, le volume de transactions a fortement augmenté puisque la GRC n'avait plus le pouvoir de faire l'acquisition de biens de TI de moins de 10 K$ après l'entrée en vigueur du décret et qu'elle a dû transmettre toutes ses demandes aux portails de SPC par l'entremise des Acquisitions, générales et divisionnaires.Footnote 20Des étapes se sont aussi ajoutées à la GRC avant la transmission des demandes d'achat : décider quel portail utiliser, justifier le choix d'un article à l'extérieur du matériel générique offert dans l'inventaire partagé, examiner les marchés rédigés pour le compte de la GRC.

L'évaluation des délais post-décret a mis en lumière de possibles gains d'efficacité. Par exemple, la GRC avait décidé de confier aux seuls agents des acquisitions le rôle de transmettre des demandes à SPC. Comme on l'a déjà vu, les ODI, sauf à la Direction générale, avaient la responsabilité des acquisitions de biens de TI de moins de 10 K$ avant le décret. S'il était convenable de le faire du point de vue du risque et de l'administration, on pourrait leur redonner ce rôle et ainsi réduire la pression dénoncée par le personnel des Acquisitions, générales et divisionnaires et par les groupes divisionnaires de GI-TI.

Même si les groupes continuent de définir leurs besoins de matériel de TI avec l'aide du personnel du Programme de GI-TI, les délais de fourniture du matériel sont longs depuis le décret. S'il nous a été impossible d'établir combien de temps était consacré aux dossiers par les Acquisitions et par SPC respectivement, il reste que le délai global de traitement pourrait être amélioré par une rationalisation du processus afin d'accélérer l'envoi des commandes à SPC, ce qui serait à l'avantage de la Gendarmerie.

4. Recommandations

  1. Le dirigeant principal des Finances et de l'Administration, de concert avec le dirigeant principal de l'Information, devrait évaluer les actuels pouvoirs, rôles, responsabilités et processus liés à l'acquisition de TI dans le contexte post-décret et mettre à jour au besoin les politiques et lignes directrices de la GRC applicables aux acquisitions.
  2. Le dirigeant principal des Finances et de l'Administration devrait * et prendre les mesures de suivi qui s'imposent.
  3. *
  4. *

5. Conclusion

La vérification conclut que les groupes de la GRC travaillent bien avec le personnel de l'ODI pour définir les besoins de TI aux fins de décision d'acquisition, de manière à répondre aux besoins opérationnels réguliers. Par ailleurs, les contrôles mis en place pour obliger les agents des acquisitions à confirmer avant d'entreprendre l'acquisition que les demandes de biens de TI sont approuvées par le personnel de l'ODI fonctionnent comme prévu.

Certains aspects présentent des possibilités d'amélioration. La GRC gagnerait à évaluer ses pouvoirs et responsabilités relatifs aux acquisitions en contexte post-décret et à mettre à jour ses politiques et lignes directrices en matière d'acquisitions de biens de TI, y compris ses processus d'approbation préalable de biens de TI et ses contrats rétroactifs. Aussi, * favoriseraient un meilleur respect des politiques et des exigences du décret dans l'ensemble de l'organisation.

Annexe A - Objectif et critères de vérification

Objectif : Ce mandat doit évaluer si les pratiques d'acquisition de TI de la GRC satisfont ses besoins opérationnels et si elles sont conformes aux politiques et aux règles gouvernementales en matière d'acquisition.

Critère 1 : Les rôles et les responsabilités de la GRC en acquisition de TI sont définis, communiqués et compris, au soutien efficace de l'acquisition de TI.

Critère 2 : La planification des acquisitions de TI soutient des résultats efficaces et efficients et elle utilise une stratégie d'entreprise au besoin.

Critère 3 : Les besoins d'acquisition sont bien définis et communiqués afin que les besoins opérationnels soient satisfaits en temps voulu.

Critère 4 : L'acquisition de TI se fait dans le respect des politiques et les marchés sont contrôlés afin que la GRC obtienne les biens de TI dont elle a besoin et que les lacunes soient correctement comblées.

Annexe B – Schéma du processus d'acquisition

Avant le décret : Besoins de moins de 10 K$ traités par les fondés de pouvoir

Avant le décret : Besoins de moins de 10 K$ traités par les fondés de pouvoir
  1. Le groupe définit ses besoins, souvent avec l'aide de l'ODI
  2. *
  3. *
  4. L'ODI/fondé de pouvoirs achète les biens de TI de moins de 10 K$ :
    • bon de commande (obtient un prix, dresse le marché)
    • achat direct (obtient une facture du fournisseur)
    • carte d'achat
  5. Le groupe reçoit les biens, en atteste la réception (art. 34 de la Loi sur la gestion des finances publiques) et envoie les factures aux Opérations comptables pour paiement
  6. Paiement par les Opérations comptables des factures et relevés de carte d'achat sur attestation conforme à l'art. 34 pour moins de 10 K$ *

Avant le décret : Besoins de plus de 10 K$ traités par les agents des acquisitions divisionnaires

Avant le décret : Besoins de plus de 10 K$ traités par les agents des acquisitions divisionnaires
  1. Le groupe définit ses besoins, souvent avec l'aide de l'ODI
  2. *
  3. *
  4. Demande d'achat envoyée à la boîte de courriel générique des Acquisitions avec le formulaire 4041 (Demande de biens, de services et de construction)
  5. Demande confiée à un agent des acquisitions – l'agent des acquisitions en informe le groupe client
  6. Besoins de biens de TI d'au plus 400 K$ : Les Acquisitions clarifient les besoins, déterminent le mode d'acquisition qui convient, obtiennent des prix, rédigent un marché, en transmettent un exemplaire au groupe et font le suivi jusqu'à la réception des biens
  7. Besoins de biens de TI de plus de 400 K$ : Les Acquisitions transmettent la demande d'achat à TPSGC lorsqu'elle dépasse leur pouvoir de dépenser, préparent les papiers (p. ex. les prix) et transmettent au groupe un exemplaire du marché reçu de TPSGC
  8. Le groupe atteste la réception des biens conformément à l'art. 34 et envoie à l'agent des acquisitions une copie de l'attestation
  9. Si les biens reçus posent problème, l'agent des acquisitions communique avec le fournisseur pour trouver une solution

Après le décret : Toutes les demandes sont transmises par les Acquisitions aux SPC, quelle que soit la valeur

Après le décret : Toutes les demandes sont transmises par les Acquisitions aux SPC, quelle que soit la valeur
  1. Le groupe définit ses besoins, souvent avec l'aide de l'ODI
  2. *
  3. *
  4. Demande d'achat envoyée à la boîte de courriel générique des Acquisitions avec le formulaire 4041
  5. Demande confiée à un agent des acquisitions – l'agent des acquisitions en informe le groupe client
  6. Les Acquisitions clarifient le besoin, déterminent s'il est du ressort de SPC
    • Si c'est inclut dans la portée du SPC, passez à l'étape 7.
    • Si c'est hors de la portée du SPC, passez à l'étape 9.
  7. Du ressort de SPC : L'agent des acquisitions détermine le portail où transmettre la demande d'achat (le choix du mauvais portail entraîne des retards et la transmission d'une nouvelle commande); rédige les documents, ébauche le marché et envoie la commande
  8. L'agent des acquisitions communique avec SPC et fait le suivi jusqu'à l'octroi du marché par SPC (demande une copie du marché s'il ne l'a pas reçue de SPC). Passez à l'étape 10.
  9. Pas du ressort de SPC ou exemption obtenue de SPC : L'agent des acquisitions détermine le mode d'acquisition qui convient, obtient des prix, rédige un marché, en transmet un exemplaire au groupe et fait le suivi jusqu'à la réception des biens
  10. L'agent des acquisitions communique avec le groupe client de la GRC et fait le suivi de la commande jusqu'à la réception des biens
  11. Le groupe atteste la réception des biens conformément à l'art. 34 et envoie à l'agent des acquisitions une copie de l'attestation (habituellement)
  12. En cas de problème, l'agent des acquisitions communique avec SPC qui devra trouver une solution avec le fournisseur
Date de modification :