Rapports annuels au parlement

La Loi sur l'accès à l'information donne aux citoyens canadiens et aux personnes présentes au Canada le droit d'accès aux documents de l'administration fédérale. Quant à la Loi sur la protection des renseignements personnels, elle accorde à ces mêmes personnes le droit d'accès aux renseignements personnels qui les concernent détenus par le gouvernement, et à la protection de ces renseignements d'une utilisation et d'une communication non autorisées.

Les rapports annuels expliquent en quoi la GRC met en application la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels.

Si vous souhaitez obtenir une copie d'un rapport antérieur, veuillez envoyer une demande à : ATIPB@rcmp-grc.gc.ca.

Rapports annuels

• Rapport annuel au parlement 2021-2022 sur la Loi sur l'accès à l'information
• Rapport annuel au parlement 2021-2022 de la GRC sur l'administration de la Loi sur la protection des renseignements personnels
• Rapport annuel au parlement 2020-2021 sur la Loi sur l'accès à l'information
• Rapport annuel au parlement 2020-2021 de la GRC sur l'administration de la Loi sur la protection des renseignements personnels

Présenter une demande en vertu de la Loi sur l'accès à l'information

On this page

• Avant de présenter une demande d'accès à l'information
• Présenter une demande en ligne
• Conseils pour présenter une demande
• Exemples de dossiers généraux
• Coût
• Retards
• Présenter une demande par courriel ou par la poste
• Que se passe-t-il après avoir présenté une demande?
• Que recevrez-vous après le traitement de votre demande?
• Demande d'information émanant de tiers
• Plaintes

Le but de la Loi sur l'accès à l'information est de conférer aux citoyennes et citoyens canadiens, aux résidentes et résidents permanents du Canada et à toutes les personnes physiques et morales présentes au Canada le droit de consulter les documents généraux qui relèvent d'une institution gouvernementale fédérale. Tous les documents du gouvernement peuvent faire l'objet d'une demande en vertu de la Loi sur l'accès à l'information. Elle ne prévoit aucune disposition obligeant les institutions à créer de nouveaux documents ou à répondre à des questions précises.

Si vous voulez demander des documents contenant des renseignements personnels à votre sujet, une demande faite en vertu de la Loi sur la protection des renseignements personnels est le moyen le plus efficace étant donné qu'aucun coût ne s'y rattache et qu'une équipe spécialisée de la GRC traite ces demandes à l'interne. Si toutefois vous choisissez plutôt de demander des documents contenant des renseignements personnels à votre sujet en vertu de la Loi sur l'accès à l'information (ce qui vous coûtera 5 $), vous devrez fournir la même information que s'il s'agissait d'une demande en vertu de la Loi sur la protection des renseignements personnels.

Avant de présenter une demande d'accès à l'information

Avant de présenter une demande d'accès à l'information, vous pouvez faire une recherche dans les sommaires des demandes d'accès à l'information pour voir si l'information que vous cherchez se trouve dans des documents qui ont déjà été communiqués par le gouvernement du Canada.

Le Portail du gouvernement ouvert contient des demandes d'accès à l'information déjà remplies qui pourraient vous être utiles

Présenter une demande en ligne

Le moyen le plus facile de présenter une demande consiste à utiliser le service de demande d'accès à l'information et de protection des renseignements personnels (AIPRP) en ligne. C'est facile et pratique. Ce service vous permet de présenter des demandes de renseignements en ligne au lieu d'avoir à imprimer, à numériser et à envoyer un formulaire par courriel ou par la poste.

Le portail du gouvernement du Canada précise l'information que vous devez avoir en main avant de présenter votre demande.

Conseils pour présenter une demande

Vous devez fournir suffisamment de détails sur les documents que vous souhaitez obtenir pour permettre à un(e) employé(e) d'expérience de la GRC de les trouver sans trop de difficultés. Par exemple :

• fournir une description claire et détaillée de l'information que vous cherchez;
• préciser la plage de dates et l'endroit (vous pouvez aussi indiquer les groupes, les détachements ou les divisions qui détiennent les documents);
• séparer vos demandes de façon à ce qu'il n'y qu'une seule demande.

Exemples de documents généraux :

Voici quelques renseignements non personnels pouvant être demandés :

• Notes de service, notes d'information
• Courriels
• Factures, budgets
• Ordres du jour de réunions
• Dossiers d'enquête
• Rapports de renseignements
• Rapports de vérification

Certains renseignements peuvent ne pas être diffusés pour protéger certains intérêts. Par exemple :

• Information sur la sécurité nationale et les méthodes d'application de la loi de nature délicate
• Secrets industriels
• Renseignements protégés par le secret professionnel de l'avocat
• Renseignements personnels
• Avis aux ministres

Coût

Des frais de demande de 5 $ s'appliquent. Veuillez inclure votre paiement sous forme d'argent comptant, de chèque ou de mandat (libellé à l'ordre du Receveur général du Canada) avec votre demande.

Retards

La Sous-direction de l'accès à l'information et de la protection des renseignements personnels (AIPRP) de la GRC se heurte encore à des obstacles qui retardent les réponses aux demandes présentées en vertu de la Loi sur l'accès à l'information. Malgré nos obligations prévues par la loi, certaines réalités nous empêchent de répondre en moins de 30 jours.

Les délais peuvent être attribuables :

• aux besoins opérationnels qui peuvent exiger la réaffectation de membres et d'employés de la GRC (par exemple, des catastrophes naturelles comme des incendies de forêt ou des inondations, des enquêtes importantes et des événements majeurs);
• au fait que la GRC dépend encore grandement des processus papier et que des dossiers n'ont pas été numérisés;
• aux recherches approfondies qui sont requises (plus de 750 emplacements dans l'ensemble du Canada);
• aux effets à long terme de la pandémie de COVID-19.

Afin de contribuer à rationaliser votre demande, essayez d'être aussi circonscrit et précis que possible. Les responsables de l'AIPRP peuvent vous aider à aller à l'essentiel de ce que vous demandez afin que vous puissiez obtenir l'information demandée le plus rapidement possible.

La GRC reconnaît l'importance de respecter les délais prescrits et c'est pourquoi nous remanions actuellement notre programme. Nous réglerons ces problèmes en :

• consacrant des ressources à l'amélioration des délais de réponse;
• modernisant les politiques et les procédures du programme pour améliorer l'efficacité opérationnelle;
• • mettant en place des campagnes de formation et de sensibilisation des employés afin qu'ils comprennent l'obligation de répondre dans les prescrits.

Apprenez-en plus sur les efforts que nous déploierons au cours des cinq prochaines années dans la stratégie de modernisation et le plan d'action.

Présenter une demande par courriel ou par la poste

Si vous ne pouvez pas faire une demande en ligne, vous pouvez remplir le formulaire Demande d'accès à l'information (document PDF) de la GRC et envoyez-le par courriel au atipb@rcmp-grc.gc.ca ou la poste à l'adresse ci-dessous. Si vous ne pouvez pas télécharger ou imprimer le formulaire, vous pouvez envoyer une lettre qui indique clairement que votre demande est faite en vertu de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnel et qui décrit ce qui suit :

• Les documents que vous cherchez. Il faut donner le plus de précisions possible;
• La méthode préférée pour recevoir les documents (copies envoyées par voie électronique ou par la poste);
• Votre adresse de courriel ou votre numéro de téléphone en cas de questions;
• Votre nom, adresse, ville, province ou territoire et code postal.

Postez votre formulaire ou votre lettre à l'adresse suivante :

Sous-direction de l'accès à l'information et de la protection des renseignements personnels de la GRC
73, promenade Leikin, arrêt postal 61
Ottawa (Ontario) K1A 0R2

Que se passe-t-il après avoir présenté une demande?

Combien de temps faudra-t-il pour recevoir l'information?

• Les demandes sont traitées dans l'ordre dans lequel elles sont reçues. Nous recevons chaque jour un grand nombre de demandes et nous avons un arriéré important.
• Après avoir présenté une demande, la Sous-direction de l'AIPRP de la GRC à Ottawa ouvre un dossier et détermine où les dossiers pertinents peuvent se trouver. On communique avec des employés de partout au pays et on leur demande de fournir des documents, selon la demande.
• La Sous-direction de l'AIPRP peut aussi demander une prolongation du délai s'il faut plus de temps pour recueillir l'information. La prolongation peut être accordée si elle est justifiée.
• Lorsqu'on leur en fait la demande, les employés de la GRC doivent chercher tous les documents pertinents, ce qui peut comprendre des fichiers électroniques, des notes consignées dans un calepin, des courriels, des messages texte, etc. puis les fournir à la Sous-direction de l'AIPRP à Ottawa aux fins de traitement.
• La Sous-direction de l'AIPRP peut tenir d'autres consultations, soit au sein de la GRC, soit avec des partenaires externes, selon les besoins.
• Tous les documents présentés sont par la suite examinés par la Sous-direction de l'AIPRP et les exemptions ou les exclusions sont appliquées, conformément à la Loi sur l'accès à l'information et à la Loi sur la protection des renseignements personnels. La Sous-direction de l'AIPRP transmettra ensuite les documents au demandeur.

Que recevrez-vous après le traitement de votre demande?

Une fois les documents traités, les demandeurs reçoivent ce qui suit :

• tous les documents qui peuvent être rendus publics et qui concernent votre demande;
• une lettre de réponse officielle qui cite toute exemption ou exclusion appliquée durant le traitement de votre demande, votre droit de présenter une plainte et le processus qui s'applique, ainsi que les coordonnées de l'analyste qui a traité votre demande au cas où vous auriez des questions à poser.

Demandes de renseignement de tiers

Si vous demandez des renseignements qui appartiennent à un tiers, vous devez présenter une lettre de consentement qui énonce clairement que vous avez droit de recevoir ces renseignements. Par tiers, on entend aussi un conjoint ou une conjointe ou une personne à charge qui pourrait aussi être impliquée dans les renseignements demandés. Sans cette approbation, la loi interdit à la GRC de transmettre des documents; il est par conséquent essentiel d'inclure cette lettre dans votre demande initiale pour nous aider à la traiter.

Plaintes

Toute personne qui s'adresse à un bureau d'AIPRP pour obtenir de l'information a le droit de déposer une plainte relativement à un des aspects de sa demande.

Voici des exemples :

• Satisfaction : La personne n'est pas satisfaite de la réponse obtenue de la GRC.
• Recherche incomplète/dossiers manquants : Ce ne sont pas tous les dossiers demandés qui ont été fournis.
• Retard : Le délai de 30 jours est expiré et la personne n'a pas reçu de réponse définitive.
• Exemptions/exclusions : Les dossiers ont été retenus en totalité ou en partie par l'institution.

Complaints concerning the processing of your information requests are to be submitted to the Information Commissioner within 60 days of receipt of the response letter. Should you decide to proceed with this right, your notice of complaint is to be addressed to:

Commissariat à l'information du Canada
30, rue Victoria, 7e étage
Gatineau (Québec) K1A 1H3
https://www.oic-ci.gc.ca/fr/deposer-une-plainte

Should you have a complaint about how the RCMP collected, used, disclosed, retained and/or disposed of personal information, it should be directed to the Privacy Commissioner. Complaints related to privacy and privacy requests are to be addressed to:

Commissariat à la protection de la vie privée
30, rue Victoria
Gatineau (Québec) K1A 1H3
Déposer une plainte officielle concernant la protection de la vie privée - Commissariat à la protection de la vie privée

Making a request under the Access to Information Act

On this page

• Before making a request for information
• Submit your request online
• Tips for submitting your request
• Examples of general records
• Cost
• Delays
• Make a request by email or mail
• What happens once you make your request
• What you will receive after processing your request
• Requests for third-party information
• Complaints

The purpose of the Access to Information Act is to provide a right of access to general records under the control of a federal government institution to Canadian citizens, permanent residents, or any individual or corporation present in Canada. All government records may be requested under the Access to Information Act. It does not make provisions for institutions to create new records or to answer specific questions.

If you are looking to access your own personal information ,a Privacy Act request is the more effective route as there is no cost, and there is a dedicated team to process these requests within the RCMP. However, if you choose to request your personal information under the Access to Information Act cost $5) instead of the Privacy Act, you will need to provide the same information as for a Privacy Act request.

Before making a request for information

Before making an access to information request, you can search the summaries of access to information requests for records that have already been released by the Government of Canada to see if you can find what you are looking for there.

Visiting the government's Open Government Portal for previously completed Access to Information requests.

Submit your request online

The easiest way to submit a request is by using the Access to Information and Privacy (ATIP) Online Request service. It's fast and convenient. This service allows you to make online requests for information instead of having to print, scan, mail or email a paper form.

The Government of Canada's online portal lists the information you should have on hand before submitting your request.

Tips for submitting for your request

You must include enough information about the records you wish to access to allow an experienced employee of the RCMP, with reasonable effort, to find the records being requested. For example:

• provide a clear and detailed description of the information you are looking for
• give a date range and location (you can also include the units, detachments and/or divisions that hold the records)
• separate your requests so that it's a single request

Examples of general records

Some non-personal information that can be requested includes:

• memoranda, briefing notes
• emails
• invoices, budgets
• meeting agendas
• investigation files
• intelligence reports
• audit reports

Some documents may not be released to protect certain interests. For example:

• information on national security and sensitive law enforcement methods
• trade secrets
• solicitor-client privilege
• personal information
• advice to Ministers

Cost

There is a $5.00 application fee. Please include payment by cash, cheque or money order (payable to the Receiver General of Canada) with your request.

Delays

The RCMP's Access to Information and Privacy (ATIP) Branch continues to face challenges that result in response delays to requests submitted under the Access to Information Act. Despite our legislative responsibilities, certain realities prevent us from responding in under 30 days.

Delays can be due to:

• operational requirements that call for RCMP members and employees to be redeployed (for instance, natural disasters like wildfires and flooding, significant investigations, and major events, to name just a few)
• the fact that the RCMP still relies heavily on paper-based processes, with records that have not be digitized
• the extensive search required (more than 750 locations throughout Canada)
• the long term effects of the COVID-19 pandemic.

To help streamline your request, try and be as focused and precise as possible. ATIP officials are here to help you get to the core of what you are requesting, in order to assist you to get the information you are requesting as quickly as possible.

The RCMP recognizes the importance of complying with legislated timelines. That is why we are currently overhauling our program and addressing these issues by:

• devoting resources to improve the timeliness of responses
• modernizing policies and procedures within the program to enhance operational efficiency
• expanding training and awareness campaigns for personnel to ensure they understand the obligation to respond within legislated timeframes.

Read the details of our efforts for the next five years in the modernization strategy and action plan.

Make a request by email or mail

If you can't make a request online, you can complete the RCMP's Access to Information Request Form and email it to atipb@rcmp-grc.gc.ca or mail it to the address below. If you can't download or print the form, you may also submit a letter clearly indicating that your request is being made under the Access to Information Act and describe the following:

• The records you are seeking. Be as specific as possible.
• Your preferred method of receiving the records (copies sent electronically or by mail).
• Your email address or telephone number in case we need clarification.
• Your name, street address, city or town, province or territory and postal code.

Mail your form or letter to:

RCMP Access to Information and Privacy Branch
73 Leikin Drive, Mail Stop #61
Ottawa, Ontario, K1A 0R2

What happens once you make your request

How long will it take to receive information?

• Requests are handled in the order in which they are received. We receive a large number of requests on a daily basis and have a significant backlog.
• Once you make your request, the RCMP's ATIP Branch in Ottawa opens a file and identifies where relevant records may be located. Employees located across the country are contacted and asked to provide material, depending on the request.
• The ATIP Branch may also request an extension if more time is needed to collect the information. It can be granted provided the extension is justified.
• Once tasked, RCMP employees must search for all relevant material, which can include electronic files, notebook entries, emails, text messages, etc., and supply them to the ATIP Branch in Ottawa for processing.
• The ATIP Branch may conduct additional consultations, either within the RCMP or with external partners, as needed.
• All of the submitted material is then reviewed by the ATIP Branch, and exemptions and/or exclusions are applied, as outlined by the Access to Information Act and the Privacy Act. The ATIP Branch will then release the material to the requester.

What will you receive after processing your request

After the materials have been processed, requesters receive the following:

• any releasable documents relevant to your request
• a formal response letter citing any exemptions or exclusions applied during the processing of your request, your right to make a complaint and the relevant process, and contact information for the analyst who processed your request should you have any additional questions or concerns.

Requests for third-party information

If you are requesting information that belongs to a third-party, a consent letter clearly stating that you are entitled to receive this information is required. This would also include a spouse, or dependent who may also be involved in the requested information. Without this approval, the RCMP is prohibited by law to release the records so including this as part of your initial request is essential to help us process your request.

Complaints

Anyone requesting information from an ATIP office has the right to file a complaint on any aspect of their request.

Examples can include:

• Satisfaction: Are not satisfied with the response they received from the RCMP.
• Incomplete search/missing records: Not all of the requested records were provided.
• Delay: The 30-day time period has elapsed and a final response has not been received.
• Exemptions/exclusions: The records were entirely or partially withheld by the institution.

Complaints concerning the processing of your information requests are to be submitted to the Information Commissioner within 60 days of receipt of the response letter. Should you decide to proceed with this right, your notice of complaint is to be addressed to:

Office of the Information Commissioner of Canada
30 Victoria Street, 7th Floor
Gatineau, Quebec K1A 1H3

Should you have a complaint about how the RCMP collected, used, disclosed, retained and/or disposed of personal information, it should be directed to the Privacy Commissioner. Complaints related to privacy and privacy requests are to be addressed to:

Office of the Information Commissioner of Canada
30 Victoria Street
Gatineau, Quebec K1A 1H3
File a formal privacy complaint - Office of the Privacy Commissioner of Canada

Access to Information and Privacy

What type of information are you requesting?

Important

• Online request: Using the online request service in a convenient way to get requests submitted more quickly and easily, while simplifying the application process. Apply online to save time and postage.
• Personal information: Any information that may identify an individual is considered personal information. Even if an individual's name is not used, we are dealing with personal information if we can accumulate enough information to identify someone.
• Obtaining consent: You must obtain the written consent (permission) of any individual whose personal information you are requesting. In the case of a deceased person, you must provide a death certificate.
• Accessing information: Making a request to access information under either Act does not guarantee that you will receive all the information or records you have requested. The RCMP takes into account privacy and security considerations, among other elements, when reviewing requests. This may prevent us from releasing certain information.

Contact us

The RCMP's Access to Information and Privacy (ATIP) Branch responds to requests made under the Access to Information Act or the Privacy Act for information held by the RCMP.

If you have questions about your request or would like more information, please contact us at:

Email: atipb@rcmp-grc.gc.ca
Phone: 1-855-629-5877 or 613-843-6800

Related links

• Office of the Information Commissioner of Canada
• Office of the Privacy Commissioner of Canada
• Access to Information Act
• Privacy Act

Accès à l'information et protection des renseignements personnels

Quel type de renseignements souhaitez-vous obtenir?

Important

• Demande en ligne : Utiliser le service de demande en ligne est une façon pratique de soumettre les demandes facilement et rapidement, tout en simplifiant le processus de demande. Soumettez votre demande en ligne aujourd'hui, et gagnez du temps et économisez les frais postaux.
• Renseignements personnels : Toute information susceptible d'identifier une personne est considérée comme un renseignement personnel. Même si le nom de la personne n'est pas indiqué, s'il est possible de recueillir suffisamment d'information pour l'identifier, il s'agit de renseignements personnels.
• Obtention du consentement : Vous devez obtenir le consentement écrit (autorisation) de toute personne au sujet de laquelle vous demandez des renseignements personnels. Si la personne est décédée, vous devez fournir un certificat de décès.
• Accès à l'information : Le fait de présenter une demande en vertu de l'une ou l'autre de ces lois ne garantit pas que vous recevrez toute l'information ou tous les documents demandés. Lorsqu'elle étudie les demandes de ce genre, la GRC tient notamment compte de considérations relatives à la sécurité et à la protection de la vie privée qui peuvent l'empêcher de communiquer certains renseignements.

Communiquez avec nous

La Sous-direction de l'accès à l'information et de la protection des renseignements personnels (AIPRP) de la GRC répond aux demandes présentées en vertu de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels relativement à des informations détenues par la GRC.

Si vous avez des questions au sujet de votre demande ou si vous désirez obtenir de plus amples renseignements, voici les coordonnées à utiliser pour nous joindre :

Courriel : atipb@rcmp-grc.gc.ca
Téléphone : 1-855-629-5877 ou 613-843-6800

Liens connexes

• Commissariat à l'information du Canada
• Commissariat à la protection de la vie privée du Canada
• Loi sur l'accès à l'information
• Loi sur la protection des renseignements personnels

Audit of Information Technology (IT) Procurement

Vetted Report

February 2017

Table of contents

1. Acronyms and abbreviations
2. Executive summary
3. Management's response to the audit
4. 1. Background
5. 2. Objective, scope and methodology
   • 2.1 Objective
   • 2.2 Scope
   • 2.3 Methodology
   • 2.4 Statement of conformance
6. 3. Audit findings
   • 3.1 IT Procurement Processes
   • 3.2 Adherence to Policies
   • 3.3 Effectiveness of Service Delivery
7. 4. Recommendations
8. 5. Conclusion
9. Appendix A – Audit Objective and Criteria
10. Appendix B – Process Maps of Procurement Processes

Acronyms and abbreviations

AMM

Asset Management Manual

CIO

Chief Information Officer

CQA

Contract Quality Assurance

DIO

Divisional Information Management/Information Technology Officer

ECS

Enterprise Computing Services

FMM

Financial Management Manual

IM

Information Management

IT

Information Technology

OiC

Order in Council

PWGSC

Public Works and Government Services Canada

RBAP

Risk-Based Audit Plan

SO

Standing Offer

SSC

Shared Services Canada

Executive summary

Information management (IM) and information technology (IT) play an important role in enabling the RCMP to meet its operational priorities. Providing RCMP personnel with updated IT equipment allows them to keep abreast with evolving technological crime. As Canada's national police force, it is also important that the RCMP's IT systems be compatible and consistent with its law enforcement and criminal justice partners. Accordingly, effective IT procurement practices help to ensure that IT equipment acquired meets the RCMP's operational needs and demonstrates sound stewardship of resources.

In 2012, Shared Services Canada (SSC) was mandated to provide services related to email, data centres and networks to 43 partner organizations including the RCMP. On September 1, 2015, an Order in Council (OiC) came into effect extending SSC's mandate for the provision of services related to end-user information technology. This removed contracting authority for IT goods from SSC's 43 partner organizations and delegated full contracting authority for IT goods to SSC. This audit focused on the RCMP's accountabilities with respect to IT procurement.

The objective of this audit was to assess whether the RCMP's IT procurement practices meet operational needs, and comply with government procurement regulations and policy. The audit scope included the procurement of IT goods completed during the period of April 1, 2014 to June 30, 2016.

The audit concludes that RCMP units have been working well with Divisional IM/IT Officer (DIO) personnel to clearly define IT requirements for procurement decisions to meet ongoing operational needs. Additionally, controls put in place to ensure that procurement officers confirm that requests for IT goods are approved by DIO personnel prior to initiating procurement are working as intended.

Opportunities for improvement exist in a few areas. The Force would benefit from assessing existing procurement authorities and responsibilities in the post OiC context, and updating RCMP policies and guidelines related to the procurement of IT goods, including the * and retroactive contracting. Additionally, * would serve to strengthen adherence to policy and OiC requirements across the Force.

The management responses included in this report demonstrate the commitment from senior management to address the audit findings and recommendations. A detailed management action plan is currently being developed. Once approved, RCMP Internal Audit will monitor its implementation and undertake a follow-up audit if warranted.

Management's response to the audit

Corporate Management and Comptrollership:

The Audit of Information Technology (IT) Procurement has highlighted opportunities to further strengthen the planning and acquisition of IT within the RCMP, particularly in light of the Order in Council extending Shared Services Canada's (SSC) mandate for the provision of workplace technology devices.

SSC is working to establish options to enable the authority to delegate and will seek approvals as required. Once the extent of the delegation is known, Corporate Management will review and revise internal policies and procedures as necessary. Corporate Management will do this in close collaboration with the Chief Information Officer.

Corporate Management welcomes the audit findings as a mechanism to further strengthen the delivery of procurement and contracting services and to further enhance its policy suite, and risk-based quality assurance programs.

Corporate Management commits to developing a detailed action plan which will include specific timelines and milestones to which the RCMP will adhere.

Dennis Watters
Acting Chief Financial and Administrative Officer

Specialized Policing Services (SPS):

SPS accepts the RCMP's Internal Audit findings and recommendations. We appreciate the consideration and support provided to the IM/IT Program personnel during the course of this process.

*

There is a requirement to work with SSC and Public Services and Procurement Canada to streamline the procurement process to ensure timeliness of IT procurement in support of Policing Operations. *

The IM/IT Program, in collaboration with the RCMP Chief Financial and Administrative Officer, will address the recommendation to ensure quality assurance monitoring activities are being used, *

Assistant Commissioner Joe Oliver
Acting Deputy Commissioner, Specialized Policing Services

1. Background

Information management (IM) and information technology (IT) play an important role in enabling the RCMP to meet its operational priorities. Providing RCMP personnel with updated IT equipment allows them to keep abreast with evolving technological crime. As Canada's national police force, it is also important that the RCMP's IT systems be compatible and consistent with its law enforcement and criminal justice partners. Accordingly, effective IT procurement practices help to ensure that IT equipment acquired meets the RCMP's operational needs and demonstrates sound stewardship of resources.

Procurement of IT equipment has traditionally been decentralized across the Force, whereby in addition to Procurement personnel, Divisional IM/IT Officers (DIOs), Unit Commanders and other individuals with delegated contracting authority could acquire IT goods and services. Prior to 2015, DIOs, Unit Commanders, and other individuals had delegated contracting authority for goods under $10K and the DIOs had authority for call ups against Standing Offers (SOs) up to $20K such that only procurement requests for goods over $10K were processed by Divisional and Corporate Procurement. *

In 2011, Shared Services Canada (SSC) was created in an effort to improve the efficiency, reliability and security of the Government's IT infrastructure. The intent in establishing SSC was to streamline IT, reduce expenditures in the area of IT, limit waste and reduce duplication.^{Footnote 1}In 2012, SSC was mandated to provide services related to email, data centres and networks to 43 partner organizations including the RCMP.

On September 1, 2015, an Order in Council (the OiC) came into effect extending SSC's mandate for the provision of services related to end-user information technology.^{Footnote 2} This removed contracting authority for IT goods from SSC's 43 partner organizations, including the RCMP, and delegated full contracting authority for IT goods to SSC. Although in 2012, partial procurement responsibilities had been transferred from Public Works and Government Services Canada (PWGSC) to SSC, some departments continued to depend on PWGSC for the procurement of IT-related goods and services, and PWGSC continued to manage and maintain procurement instruments (i.e. contracts, SOs and supply arrangements) related to the purchase of IT goods and services. This situation resulted in duplication of effort between PWGSC and SSC. The intent of the OiC was to increase efficiencies in the procurement process, ensure a consistent approach to supply chain integrity and potentially increase savings opportunities by having cohesive government buying power.

Post OiC, the RCMP is still accountable for procurement planning and defining IT needs, but the RCMP is no longer fully engaged in the contract award processes of IT procurement. Most of the IT procurement for the Force is channeled through Corporate and Divisional Procurement, who liaise with SSC on procurement requests. *

Current RCMP responsibilities related to IT procurement continue to involve the following stakeholders.

• Reporting to the Deputy Commissioner, Specialized Policing Services and led by the Chief Information Officer (CIO), the IM/IT Program, acting as a policy center, is responsible for providing strategic direction and policy on IM and IT as well as managing the execution of major IM/IT projects. *
• Reporting to the Chief Financial and Administrative Officer and led by the Director General Procurement and Contracting, Corporate Procurement at national headquarters is responsible for developing national procurement policies and providing advice to Divisional Procurement personnel as well as planning, managing and delivering centralized procurement and contracting services for units in the national headquarters area.
• Divisional Procurement personnel are responsible for assisting units and detachments with the acquisition of equipment including IT goods and services.

The Commissioner-approved 2015-2018 Risk-Based Audit Plan (RBAP) includes an Audit of IT Procurement. The inclusion of this audit in the RBAP follows prior audit work performed by the Office of the Auditor General on the of Aging IT Systems (2010), which highlighted the increasing demands for IM/IT services, the aging of current systems that require significant investment to maintain, and requirements to enhance existing infrastructure.

2. Objective, scope, methodology and statement of conformance

2.1 Objective

The objective of the engagement is to assess whether the RCMP's IT procurement practices meet operational needs, and comply with government procurement regulations and policy.

2.2 Scope

The audit focused on the RCMP's accountabilities with respect to IT procurement. As part of this, the audit considered the procurement of IT goods including routine equipment (desktop computers, laptops, scanners, etc.), IT systems procured as part of larger IT projects and purchases of specialized IT equipment for operational purposes.

The audit did not assess the procurement of IT services such as the contracting of professional services and the procurement of sensitive equipment since these topics are addressed by other audit engagements included in the 2015-2018 RBAP. The audit also excluded the procurement of radio equipment and systems.

The time period examined for audit testing purposes was April 1, 2014 to June 30, 2016 to reflect the pre and post OiC periods.

2.3 Methodology

Planning for the audit was completed in July 2016. In this phase, the audit team conducted interviews, process walkthroughs and examined relevant policies, directives, procedures and results of previous audit work performed.

Sources used to develop audit criteria and audit tests included Government of Canada procurement policies and RCMP procurement policies and guides. The audit objective and criteria are available in Appendix A. Process maps of the procurement process pre and post OiC are included in Appendix B for information purposes.

The examination phase, which concluded in November 2016, employed various auditing techniques including interviews, documentation reviews and testing of procurement files^{Footnote 3},direct purchases^{Footnote 4} and acquisition card purchases^{Footnote 5}. Site visits took place at four divisional headquarters to review files and assess practices. Upon completion of the examination phase, the audit team held meetings to validate findings with personnel and debriefed senior management of the relevant findings.

The table below provides a summary of the number, type and dollar value of transactions tested during the audit. Sampling methodology involved a combination of random and judgmental sampling based on data extracts obtained from the TEAM system and Corporate Finance. The sample selection excluded transactions under $500 since in the post OiC context, this was a threshold below which IT purchases were generally considered office supplies.

2.4 Statement of conformance

The audit engagement conforms to the Internal Auditing Standards for the Government of Canada, as supported by the results of the quality assurance and improvement program.

3. Audit findings

The context in which IT procurement is carried out at the RCMP has evolved as a result of the changes brought about by the OiC. Prior to this OiC, most of the RCMP's IT procurement requirements were fulfilled directly by the RCMP. In the post OiC context, most IT goods are procured on the RCMP's behalf. Consequently, demonstrating sound stewardship of resources while meeting operational requirements, and complying with policy requirements can become more complex. *

Paths to success in this area rest upon collaboration amongst stakeholders involved in the procurement of IT goods, an awareness of and willingness to adhere to policy requirements related to procurement of IT goods, monitoring of IT procurement transactions, and mechanisms to address deviations from policy requirements.

Accordingly, we expected the audit would find that:

• RCMP roles and responsibilities for IT procurement are defined, communicated, and understood to support effective IT procurement;
• planning for IT procurement supports effective and efficient results and uses an enterprise approach where applicable;
• IT procurement is conducted in accordance with policy, and contracts are monitored to ensure that the RCMP obtains required IT goods and deficiencies are adequately addressed;
• procurement needs are well defined and appropriately communicated to ensure operational requirements are met in a timely manner.

3.1 IT Procurement Processes

General procurement responsibilities are clearly defined and communicated in the Treasury Board (TB) Contracting Policy, the RCMP Asset Management Manual, the RCMP Financial Management Manual, and the RCMP guide An Introduction to Procurement and Contracting in the RCMP.

Prior to the OiC, DIOs, Unit Commanders, and other individuals had delegated contracting authority for goods under $10K and the DIOs had authority for call ups against SOs up to $20K such that only procurement requests for goods over $10K were processed by Divisional and Corporate Procurement.^{Footnote 6} Procurement under $10K could be completed using a Purchase Order (contract), by ordering directly from the vendor without a contract, or using an acquisition card. Contract Quality Assurance (CQA) was done by Corporate Procurement on procurement officer files, but CQA did not apply to purchases under $10K of any type. *

The DIO role * and providing technical advice and assistance to units did not change post OiC. The DIO remained the point of contact as technical authority for IT procurement but could no longer award contracts. The resulting impact was a loss of control over the type of equipment procured as well as an increase in the timelines for completing procurement.

In response to the OiC, Corporate Procurement in its role as policy centre, reviewed the ordering process established by SSC and determined that submitting a purchase requirement through the SSC portals was substantially similar to submitting a requisition to PWGSC. In accordance with column 39 of the RCMP's Delegation of Authorities Matrix, this action is limited to RCMP procurement authorities.^{Footnote 7} As a result, all IT procurement requests regardless of value were forwarded to Divisional and Corporate Procurement. We were informed through interviews with procurement managers that the procurement officers' workload increased due to the additional transaction volume. Review of transaction volume for IT goods with a purchase order between April 2014 and June 2016 indicated that 1709 of 2452 (70%) transactions during this period were under $10K.^{Footnote 8}

The role of RCMP procurement officers was further complicated by having to determine when the responsibility to award IT contracts for particular requirements fell to SSC and when procurement officers could proceed with the acquisition of equipment. For contracts within SSC's scope, RCMP procurement officers had access to SSC's Request for Acquisition Services portal to order software and licenses and the IT Portal to order workplace devices. Procurement officers had to determine the correct portal through which to submit the request, and whether to request exemptions for the RCMP to procure the IT goods directly if the goods needed were not in inventory on the procurement portals. For purchases within SSC's scope, procurement officers still prepared all pre-contractual documentation and drafted contracts but SSC awarded the contracts. Procurement officers reported spending additional time liaising between the units, the DIO and SSC, and tracking the status of procurement requests.

Communication of Process Changes Post OiC

New processes related to the post OiC context were introduced on an ongoing basis during the first six months of the transition. A significant amount of information was provided by SSC to the RCMP via different channels such as Corporate Procurement, Divisional Procurement, the IM/IT Program and the RCMP-SSC Liaison Team.^{Footnote 9} Information from SSC Procurement was received in Corporate Procurement and disseminated to Divisional Procurement sections through the monthly Procurement manager teleconferences and through regular communication from the CQA Section, with the intent that it be further communicated to all Divisional Procurement officers. Although efforts were made to communicate evolving process changes to Divisional Procurement, such information would have also benefitted other key stakeholders in the IT goods procurement process, including DIOs. Similarly, while information was received by the IM/IT Program and disseminated to DIOs, such information would have also benefitted key stakeholders in Procurement. Procurement officers and DIOs lacked clarity in regard to what items were not within SSC's mandate to procure. Procurement officers questioned whether determining what was in and out of scope should be their role versus a DIO responsibility. Recognizing that post OiC processes were in flux, enhanced coordination across functional lines and interim procedures could have provided steps for Divisional Procurement staff and DIOs to follow to request IT goods from SSC.

Process Changes for Major IT Projects

Major IT projects^{Footnote 10} which often have an IT procurement component are included in the RCMP's corporate plans such as the Investment Plan and the IM/IT Plan. The Investment Plan provides an overview of the planned RCMP investments in assets and acquired services over a five year planning period, and the IM/IT Plan provides a high level view of the IM/IT Program planned investment over a three year period. Procurement activities had a limited impact on major project timelines prior to September 2015 because the RCMP had delegated contracting authority up to $400K for IT goods^{Footnote 11} which resulted in the RCMP having greater control over the procurement process and the flexibility to reassign priorities depending on emerging needs and changing schedules. In the post OiC context, the RCMP's capacity to plan is crucial to the delivery of IT projects on time and on budget, given that requests for services to be delivered by SSC must respect SSC's service intake process, which includes submitting requests prior to specific cut-off dates.

Further, given that the RCMP's ability to execute its major projects and fulfill associated IT procurement needs is impacted by virtue of SSC's role in providing email, network and data services to all 43 partner organizations, the ability of the Force to prioritize its needs is also of importance. Although enterprise prioritization criteria for the selection of major projects were developed by the IM/IT Program, they were not readily adopted by all committees and consistently applied to major projects. Several committees were in place to oversee project implementation such as the Architecture and Initiative Review Board, the CIO Core Management Team, the Strategic Investment and Priority Council – which applies the RCMP prioritization framework to IM/IT investments, the Project Review Board and the Change Advisory Board. While the governance structure for IM/IT project implementation was functional, there was some potential for overlap of mandates and attendance (e.g. the committees identified above all provide a form of strategic oversight and review of project implementation, and require the attendance of IM/IT Program senior management).

During our interviews, IM/IT Program managers emphasized the importance of proper planning and adherence to projects timelines in the post OiC environment. Audit testing was performed to determine whether only those major IT projects identified on a corporate plan were initiated, and whether projects were appropriately tracked and actively monitored. Results indicated that not all projects in the initiation phase could be tracked to the Investment Plan, and also indicated that there are challenges in how the RCMP measures project progress given that schedules and budgets can be re-baselined, establishing new completion dates and budget projections for a given project. Enhancing RCMP project management activities including project prioritization could help focus resources on the Force's priorities while respecting the shared services model of IT service delivery in which the RCMP is a partner.

3.2 Adherence to Policies

The audit examined whether RCMP IT procurement practices complied with TB and RCMP policy requirements. Specifically, audit testing and file reviews assessed whether pre-approval for IT procurement requests was obtained as per the Asset Management Manual Chapter 3.4, whether the RCMP had the required delegated contracting authority to procure IT goods post OiC, and whether commitment of funding as per section 32 of the Financial Administration Act was sufficient for contract costs (Financial Management Manual Chapter 9.2^{Footnote 12}). The audit also assessed whether there were processes in place to identify and correct instances when requirements were not met.

IT Goods Pre-Approval Process

* to reduce instances of security vulnerabilities created by new equipment purchases that may be incompatible with the RCMP network requirements, or may not be centrally and divisionally supported by the IM/IT Program from a maintenance perspective. * Prior to the OiC, upon receiving approval for the acquisition, units were authorized to proceed with their IT equipment.

*

*

Evidence of Appropriate Approval

* We were informed by officials in the IM/IT Program that there were no quality assurance monitoring activities being undertaken to ensure adherence to the requirements of AMM Chapter 3.4. *

*

*

*

*

*

*

*

The audit team also obtained data extracts from Corporate Finance on acquisition card purchases for the period of September 2015 to June 2016 and identified possible IT purchases for this period. The subsequent analysis focused on transactions over $1K. *

*

*

*

We also identified that the current information management tool (Excel spreadsheet) being used by the IM/IT Program to manage IT procurement information made it challenging to aggregate the data for planning, monitoring, and decision-making. There is an opportunity to enhance information management tools and the utilization of information received from divisions to identify trends in the types of equipment purchased as well as opportunities for additional efficiencies (e.g. bulk purchases).

*

*

Adherence to the OiC

In accordance with the OiC, the audit team expected to find that all IT procurement contracts and IT purchases were done by SSC during the period of September 2015 to June 2016. However, interviews and file testing indicated that departments could still procure IT goods using SOs that remained with PWGSC, as well as certain software deemed out of scope by SSC. In addition, SSC provided exemptions on a case by case basis for the RCMP to award contracts.

Determining what IT goods were in and out of scope for the RCMP at the onset of the OiC was challenging for RCMP Procurement and DIO personnel. Through our interviews, many of the DIOs and divisional Procurement Officers^{Footnote 13} highlighted the difficulty in determining what was in and out of scope for the RCMP to procure, advising that following the OiC, and with the intent of adhering to the OiC's requirements, SSC was contacted for every request to confirm whether it was in or out of scope. Determining who had the authority to purchase investigative tools and software as well as policing equipment such as mobile work stations and certain forensic software was particularly challenging.

At the time of the audit, while efforts were being made to provide guidance within functional lines on equipment in and out of scope for the RCMP, greater coordination across functional lines would have helped ensure divisional stakeholders were aware of changes and interpreted information received by SSC in a consistent manner. In addition, we were informed by officials in the IM/IT Program and Corporate Procurement that there were no quality assurance monitoring activities being undertaken to assess compliance with the OiC. The results of our file testing identified 4 out of 115 (3%) out of scope procurement transactions being done by the RCMP without an exemption from SSC. That said, 3 out of the 4 contracts were awarded in early September 2015, following the OiC coming into effect. More noteworthy, 112 out of 131 (85%) direct purchases and 65 out of 95 (68%) of acquisition cards transactions reviewed were identified to be IT goods valued at amounts greater than $500. Since these goods were purchased post OiC, were greater than the $500 authority threshold, and were not identified as exceptions to the OiC, these purchases did not meet the requirements of the OiC (see table 4).

Retroactive Contracting

The Guidelines for the Handling of Retroactive Contracting in the RCMP state that retroactive contracting is a circumstance where a formal procurement vehicle has not been put in place by an appropriately delegated individual, but an agreement has been made and work has been undertaken or goods/services delivered. When this occurs, special procurement documentation must be used to formalise the purchase and satisfy contracting policies.^{Footnote 14} Different types of solutions can be used if retroactive contracting occurred. For example, a Confirming Order can be "issued when purchases are made without a contract to confirm that work has been completed and delivered, and that the Crown has fulfilled all of its obligations under the terms of the contractual agreement."^{Footnote 15} It must be completed before payment can be made and contain the information needed to document the transaction. Pre-contractual work clauses can also be used in contracts for instance where the requirement has not been fully completed but the work has begun without a written agreement. The Guidelines for the Handling of Retroactive Contracting in the RCMP identify that it is Government policy that Retroactive Contracting be avoided given the sensitive nature of these types of transactions and the risks they can pose to an organization.^{Footnote 16}

Interviews with procurement personnel and review of additional documentation identified instances in the post OiC context where there was uncertainty over whether the RCMP had the authority to complete Confirming Orders.

Current RCMP guidelines on retroactive contracting were not updated to reflect the OiC related to IT procurement, and no direction was provided by Corporate Procurement to the Divisions on the process that should be followed when the need for a Confirming Order arises post OiC. Since the RCMP no longer has delegated authority to award contracts related to IT goods, it would benefit the Force to obtain clarification on whether the RCMP has the authority to complete Confirming Orders.

Monitoring and Reporting on Non-Adherence

Addressing instances of non-adherence, when detected, currently involves redress measures such as reminders and remedial training but these are not enforced consistently across divisions. TB Contracting Policy also stipulates that an individual can lose their contracting authority in cases of non-adherence to procurement policies^{Footnote 17}, providing Corporate Procurement with another mechanism to address serious instances of non-adherence.

The Guidelines for the Handling of Retroactive Contracting in the RCMP specifies that Corporate Procurement should follow up with Divisional Procurement Managers on a quarterly basis to review the cases of retroactive contracting and track the frequency of offences. Corporate Procurement is also expected to report cases of Confirming Orders to senior management via monthly reports outlining Retroactive Contracting occurrences and quarterly reports on the status of recommendations and redress carried out by the regions. Corporate Procurement has indicated that this reporting has not been undertaken over the past two years due to competing priorities and resource constraints.

*

Audit testing indicated that there is significant non-adherence to procurement of IT goods under $10K done by non-procurement personnel post OiC. Retroactive contracting processes should be clarified to promote consistent application of policy, ensure that Confirming Orders are done by the proper contract authority, and also to ensure that redress is taken if necessary. Although some statistics are gathered to meet reporting requirements to TB, senior management is not consistently made aware of issues relating to adherence, therefore not allowing opportunities to mediate or sanction as appropriate.

3.3 Effectiveness of Service Delivery

The inability to acquire IT equipment in a timely fashion can pose a risk to the RCMP operationally in terms of progressing on investigations and court disclosure. To measure the effectiveness of service delivery in obtaining IT goods, the audit examined whether procurement needs were well defined and operational requirements were met in a timely manner.

Needs Definition

During audit interviews with procurement officers, we were informed that little time was required to clarify needs during the procurement phase given that DIOs and representatives from the IM/IT Program in the Divisions were effective in assisting units to define their IT needs prior to them submitting a purchase requisition to Procurement. The involvement of DIOs and IM/IT Program personnel in needs definition was reflected in file testing which showed that only 3 out of 50 (6%) of pre OiC procurement files and 8 out of 115 (7%) of post OiC procurement files reviewed had significant changes between the original statement of requirements and the statement of requirements used in the contract.

Through audit interviews, DIOs and their personnel demonstrated a sound understanding of suitable products for the organization in terms of functionality and compatibility * although their interpretation of those varied. * That said, there was a lack of visibility at the DIO level of available product offerings from SSC as DIOs do not have direct access to the procurement portals to obtain this information. This impacted their ability to advise units on the equipment they could procure through SSC and to effectively submit requests to Procurement.

Review of procurement files sampled indicated that units typically received the item that was identified on the purchase requisition. Based on reviewed invoices on file, 47 out of 50 (94%) units purchasing IT goods through Procurement pre OiC obtained the product they requested on the Purchase Requisition while 59 out of 72 (82%) units received the product requested post OiC when the contract was awarded by SSC.^{Footnote 18}

There was little documented evidence in procurement files sampled regarding post contract issues such as units not receiving the product in accordance with the contract, pricing discrepancies or service delivery issues. However, DIOs maintained separate client files that contained evidence of post-contract issues indicating that units did not always obtain what they required post OiC. More generally, DIOs experienced frustration with the inability to order specific brands and models of equipment that were known to be compatible with the RCMP's IT infrastructure and highlighted instances when they had to modify equipment ordered through SSC after determining that it was not meeting RCMP requirements.^{Footnote 19}For instances where a good received is not in accordance with contract terms, the good should not be accepted and Corporate Procurement should be advised so that remedies within the terms and conditions of the contract can be applied. In addition, documenting post-contract issues more consistently in Procurement or DIO files would allow the RCMP to quantify costs and issues associated with the shared services model of delivery for IT procurement.

Timeliness of Procurement

While RCMP units obtained the equipment they needed to perform their duties in a majority of cases, increased processing time post OiC was highlighted as an issue and supported by our file testing. Using the procurement files reviewed, the audit team measured the average timelines from the date a procurement request was received by Procurement to the date the goods were delivered to units pre and post OiC. A second analysis was done to measure the timeline between Initiation Date and Contract Award to isolate the procurement timeline from post-contract issues.

While the procurement timelines between the Initiation Date and Delivery Date increased slightly post OiC for the selected sample, the main difference post OiC was the increased processing time between Initiation Date and Contract Award. The average number of days from procurement initiation to contract award increased by 16 calendar days from pre OiC to post OiC when SSC was the contracting authority (see table 5).

** Contracts awarded by SSC for which the RCMP did preparatory work up to contract award.

Note: The average number of days from procurement initiation to contract award pre OiC was 21 calendar days compared to 37 calendar days post OiC, a difference of 16 calendar days.

Analysis performed highlighted two main reasons for the increased timelines. A significant increase in transaction volume was caused by the RCMP not having any authority to procure IT goods under $10K with the new OiC, and having to forward requests through the procurement portals via Corporate and Divisional Procurement.^{Footnote 20}There were also additional steps required of the RCMP in order to submit procurement requests, such as deciding which procurement portal to use, providing justifications for exceptions to generic equipment available in shared inventory, and reviewing contracts drafted on behalf of the RCMP.

Assessing timeliness post OiC highlighted opportunities for potential efficiencies, especially as it pertains to the RCMP's decision to only allow procurement officers to submit requests to SSC. As previously identified, DIOs with the exception of national headquarters were responsible for the procurement of IT goods under $10K pre OiC. If appropriate from a risk and administrative perspective, this role could be reinstituted as a way to relieve current pressures reported by Corporate and Divisional Procurement staff and Divisional IM/IT units.

Although units continue to define their IT equipment needs with the assistance of IM/IT Program personnel, timeliness of equipment delivery has been a challenge post OiC. While the time spent on a file by Divisional Procurement and SSC respectively could not be allocated, awareness of overall timelines for procurement highlighted that streamlining the process to accelerate placing orders to SSC could add value and benefit the Force as a whole.

4. Recommendations

1. The Chief Financial and Administrative Officer in consultation with the Chief Information Officer, should assess existing IT procurement authorities, roles, responsibilities, and processes in the post OiC context, and update RCMP procurement policies and guidelines as necessary.
2. The Chief Financial and Administrative Officer should: * and take follow-up action, as appropriate.
3. *
4. *

5. Conclusion

The audit concludes that RCMP units have been working well with DIO personnel to clearly define IT requirements for procurement decisions to meet ongoing operational needs. Additionally, controls put in place to ensure that procurement officers confirm that requests for IT goods are approved by DIO personnel prior to initiating procurement are working as intended.

Opportunities for improvement exist in a few areas. The Force would benefit from assessing existing procurement authorities and responsibilities in the post OiC context, and updating RCMP policies and guidelines related to the procurement of IT goods, including the IT goods pre-approval process and retroactive contracting. Additionally, * would serve to strengthen adherence to policy and OiC requirements across the Force.

Appendix A – Audit objective and criteria

Appendix B – Process Maps of Procurement Processes

Pre OiC Process: Requirements under $10K processed by individuals with delegated authority

Pre OiC Process: Requirements over $10K processed by Divisional Procurement Offices

Post OiC: All requirements to SSC via Divisional / Corporate Procurement regardless of value

Vérification des acquisitions de technologie de l’information (TI)

Vérification des acquisitions de technologie de l'information (TI)

Rapport épuré

Février 2017

Table des matières

1. Acronymes et abréviations
2. Sommaire
3. Réponse de la gestion
4. 1. Contexte
5. 2. Objectif, portée, méthode
   • 2.1 Objectif
   • 2.2 Portée
   • 2.3 Méthode
   • 2.4 Énoncé de conformité
6. 3. Constatations
   • 3.1 Processus d'acquisition de TI
   • 3.2 Conformité des politiques
   • 3.3 Efficacité de la prestation de services
7. 4. Recommandations
8. 5. Conclusion
9. Annexe A – Objectif et critères de vérification
10. Annexe B – Schéma du processus d'acquisition

Acronymes et abréviations

AQC

Assurance de la qualité des contrats

DPI

Dirigeant principal de l'Informatique

GI

Gestion de l'information

MGA

Manuel de la gestion de l'actif

MGF

Manuel de la gestion des finances

ODI

Officier divisionnaire de l'informatique

OP

Offre permanente

PVAR

Plan de vérification axé sur les risques

SIO

Services informatiques organisationnels

SPAC

Services publics et Approvisionnement Canada

SPC

Services partagés Canada

TI

Technologie de l'information

TPSGC

Travaux publics et Services gouvernementaux Canada

Sommaire

La gestion de l'information (GI) et la technologie de l'information (TI) contribuent à la capacité de la GRC de s'occuper de ses priorités opérationnelles. Doter le personnel de la GRC du matériel de TI de pointe lui permet de suivre l'évolution de la criminalité technologique. Parce qu'elle est le service de police national du Canada, la GRC doit compter sur des systèmes de TI compatibles avec ceux de ses partenaires policiers et de l'appareil judiciaire. Aussi, des pratiques efficaces d'acquisition de TI contribuent à mettre à sa disposition du matériel de TI qui répond à ses besoins opérationnels et qui illustre la saine gérance des ressources.

En 2012, Services partagés Canada (SPC) a été mandaté pour fournir des services relatifs au courriel, aux centres de données et aux réseaux à 43 organismes partenaires, parmi lesquels la GRC. Le 1er septembre 2015, un décret est entré en vigueur, étendant le mandat de SPC à la prestation de services liés à la technologie de l'information des utilisateurs finaux. Cette mesure a dépouillé les 43 organismes partenaires de SPC du pouvoir de signer des marchés pour des biens de TI et l'a confié en totalité à SPC. La présente vérification porte sur les responsabilités de la GRC à l'égard des acquisitions de TI.

L'objectif de la vérification est d'évaluer si les pratiques d'acquisition de TI de la GRC satisfont ses besoins opérationnels et si elles sont conformes aux politiques et aux règles gouvernementales en matière d'acquisition. La vérification vise l'acquisition de biens de TI pendant la période allant du 1er avril 2014 au 30 juin 2016.

La vérification conclut que les groupes de la GRC travaillent bien avec le personnel des officiers divisionnaires de l'informatique (ODI) pour définir les besoins aux fins de décision d'acquisition, de manière à répondre aux besoins opérationnels réguliers. Par ailleurs, les contrôles mis en place pour obliger les agents des acquisitions à confirmer avant d'entreprendre l'acquisition que les demandes de biens de TI sont approuvées par le personnel de l'ODI fonctionnent comme prévu.

Certains aspects présentent des possibilités d'amélioration. La GRC gagnerait à évaluer ses pouvoirs et responsabilités relatifs aux acquisitions en contexte post-décret et à mettre à jour ses politiques et lignes directrices en matière d'acquisition de biens de TI, * et ses contrats rétroactifs. Aussi, * favoriseraient un meilleur respect des politiques et des exigences du décret dans l'ensemble de l'organisation.

La réponse de la gestion incluse dans le présent rapport témoigne de sa détermination à donner suite aux conclusions et recommandations découlant de la vérification. La direction élabore d'ailleurs un plan d'action détaillé à cette fin. Lorsque le plan sera approuvé, la Vérification interne de la GRC en surveillera la mise en œuvre et procédera, au besoin, à une vérification de suivi.

Réponse de la gestion

Gestion générale et Contrôle

La vérification des acquisitions de technologie de l'information (TI) a mis en évidence la possibilité de renforcer la planification et l'acquisition de TI à la GRC, surtout dans le contexte où par décret, le mandat confié à Services partagés Canada (SPC) a été étendu à l'approvisionnement en appareils technologiques pour le lieu de travail.

SPC travaille à élaborer des options pour déléguer les pouvoirs et n'avoir qu'à approuver au besoin. Une fois connue la portée de la délégation, la Gestion générale examinera et révisera les politiques et procédures internes en conséquence, en étroite collaboration avec le dirigeant principal de l'information.

La Gestion générale accueille les conclusions de la vérification qui serviront à renforcer encore davantage la prestation de services d'acquisition et de passation de marchés et à améliorer ses politiques et son programme d'assurance de la qualité des contrats fondé sur les risques.

La Gestion générale s'engage à élaborer un plan d'action détaillé qui comprendra un calendrier et des jalons précis auxquels la GRC se tiendra.

Dennis Watters
Dirigeant principal intérimaire des Finances et de l'Administration

Services de police spécialisés (SPS)

Les SPS accueillent les conclusions et les recommandations de la Vérification interne de la GRC. Nous lui sommes reconnaissants de la considération et du soutien offerts au personnel du Programme de GI-TI tout le long de l'exercice.

*

Il faut collaborer avec SPC et avec Services publics et Approvisionnement Canada (SPAC) pour rationaliser le processus afin que les délais d'acquisition de TI soutiennent les opérations policières. *

Le Programme de GI-TI, en collaboration avec le dirigeant principal des Finances et de l'Administration de la GRC, se penchera sur la recommandation d'appliquer des activités de surveillance de l'assurance de la qualité, *

Joe Oliver, commissaire adjoint,
Sous-commissaire suppléant aux Services de police spécialisés

1. Contexte

La gestion de l'information (GI) et la technologie de l'information (TI) contribuent à la capacité de la GRC de s'occuper de ses priorités opérationnelles. Doter le personnel de la GRC du matériel de TI de pointe lui permet de suivre l'évolution de la criminalité technologique. Parce qu'elle est le service de police national du Canada, la GRC doit compter sur des systèmes de TI compatibles avec ceux de ses partenaires policiers et de l'appareil judiciaire. Aussi, des pratiques efficaces d'acquisition de TI contribuent à mettre à sa disposition du matériel de TI qui répond à ses besoins opérationnels et qui illustre la saine gérance des ressources.

À la Gendarmerie, l'acquisition de matériel de TI était décentralisée. En effet, non seulement le personnel des Acquisitions, mais aussi les officiers divisionnaires de l'informatique (ODI), les chefs de service et d'autres avaient le pouvoir délégué de passer des marchés pour se procurer des biens et des services de TI. Avant 2015, les ODI, les chefs de service et autres fondés de pouvoir pouvaient passer des marchés d'acquisition de biens de TI de moins de 10 K$ et les ODI pouvaient passer une commande subséquente à une offre permanente jusqu'à concurrence de 20 K$, de sorte que seules les demandes d'achat de biens de plus de 10 K$ étaient traitées par les Acquisitions, divisionnaires et générales. *

En 2011, souhaitant améliorer l'efficacité, la fiabilité et la sécurité de son infrastructure de TI, le gouvernement a créé Services partagés Canada (SPC) afin de rationaliser la TI, de réduire les dépenses dans le secteur de la TI, de limiter le gaspillage et de réduire les chevauchements.^{Footnote 1}En 2012, SPC a reçu le mandat de fournir des services de courriel, de centres de données et de réseaux à 43 organismes partenaires, dont la GRC.

Le 1er septembre 2015, un décret est entré en vigueur par lequel le mandat des SPC a été étendu à la prestation de services liés à la technologie de l'information des utilisateurs finaux.^{Footnote 2}Ce décret a dépouillé les 43 organisations partenaires de SPC, dont la GRC, du pouvoir de passer des marchés pour des biens de TI et l'a délégué exclusivement à SPC. Déjà en 2012, une partie des responsabilités d'acquisition avaient été transférées de Travaux publics et Services gouvernementaux Canada (TPSGC) à SPC, mais certains ministères comptaient toujours sur TPSGC pour l'acquisition de biens et de services liés à la TI, et TPSGC continuait de gérer certains instruments d'acquisition (soit les marchés, les offres permanentes et les arrangements en matière d'approvisionnement) pour l'achat de biens et de services de TI. Cette situation donnait lieu au chevauchement des efforts de TPSGC et de SPC. Le décret visait donc à rendre plus efficace le processus d'acquisition et à uniformiser la stratégie pour favoriser l'intégrité de la chaîne d'approvisionnement et peut-être augmenter les économies en injectant de la cohésion dans le pouvoir d'achat du gouvernement.

Depuis le décret, la GRC est toujours responsable de planifier ses acquisitions et de définir ses besoins de TI, mais elle n'assume plus entièrement l'octroi des marchés pour l'acquisition de TI. L'acquisition de TI à la Gendarmerie passe en grande partie par les Acquisitions, générales ou divisionnaires, qui transmettent les demandes d'achat à SPC. *

Les actuelles responsabilités de la GRC en matière d'acquisition de TI se répartissent entre les acteurs suivants :

• Relevant du sous-commissaire aux Services de police spécialisés et dirigé par le dirigeant principal de l'information (DPI), le Programme de GI-TI, qui fait office de centre de décision, a la responsabilité de fournir une orientation stratégique et des politiques en matière de GI-TI et de gérer l'exécution des grands projets de GI-TI. *
• Relevant du dirigeant principal des Finances et de l'Administration et dirigées par le directeur général des Acquisitions et des Marchés, les Acquisitions à la Direction générale sont responsables d'élaborer les politiques nationales d'acquisition, de conseiller le personnel divisionnaire des Acquisitions, et de planifier, de gérer et de fournir des services centralisés d'acquisition et de marchés aux groupes du secteur de la DG.
• Le personnel divisionnaire des Acquisitions est responsable d'aider les groupes et les détachements pour l'acquisition de matériel, y compris les biens et services de TI.

Le plan de vérification axé sur les risques (PVR) approuvé par le commissaire pour les années 2015-2018 prévoit une vérification des acquisitions de TI. L'inclusion de cette vérification au PVR fait suite à des travaux antérieurs menés par le Bureau du vérificateur général sur le vieillissement des systèmes de technologie de l'information (2010), qui mettaient en lumière l'augmentation de la demande de services de GI-TI, le vieillissement des systèmes actuels dont l'entretien requiert des investissements importants, et la nécessité de renforcer l'infrastructure actuelle.

2. Objectif, portée et méthode

2.1 Objectif

L'objectif de la vérification est d'évaluer si les pratiques d'acquisition de TI de la GRC satisfont ses besoins opérationnels et si elles sont conformes aux politiques et aux règles gouvernementales en matière d'acquisition.

2.2 Portée

La vérification a porté sur les responsabilités de la GRC en matière d'acquisition de TI. La vérification a donc examiné l'acquisition de biens de TI, notamment le matériel ordinaire (ordinateurs de bureau, portables, scanneurs, etc.), les systèmes de TI achetés dans le cadre de grands projets de TI et les achats de matériel spécialisé de TI à des fins opérationnelles.

La vérification n'a pas évalué l'acquisition de services de TI comme les marchés de services professionnels et l'acquisition de matériel de nature délicate puisque ces aspects font l'objet de vérifications distinctes inscrites au PVR 2015-2018. La vérification n'a pas non plus porté sur l'acquisition de matériel et de systèmes radio.

La période visée par la vérification couvrait du 1er avril 2014 au 30 juin 2016, afin d'englober une période pré- et une période post-décret.

2.3 Méthode

La planification de la vérification a été effectuée en juillet 2016. Durant cette phase, l'équipe de vérification a tenu des entrevues, procédé à une revue générale des modalités en vigueur et examiné les politiques, les directives et les procédures pertinentes ainsi que les résultats d'examens antérieurs.

Les critères et tests de vérification ont été élaborés à partir des politiques d'acquisition du gouvernement du Canada et des politiques et guides d'acquisition de la GRC. Les objectifs et critères de la vérification peuvent être consultés à l'annexe A. Les schémas des processus d'acquisition pré- et post-décret sont reproduits à l'annexe B, à titre informatif.

La phase d'examen, terminée en novembre 2016, a consisté à appliquer diverses techniques de vérification, dont des entrevues, l'examen de la documentation et des tests de vérification des dossiers d'acquisition^{Footnote 3},des achats directs^{Footnote 4}et des achats par carte d'achat^{Footnote 5}. L'équipe s'est rendue dans les quartiers généraux de quatre divisions pour examiner les dossiers et évaluer les pratiques. À l'issue de la phase d'examen, l'équipe de vérification a tenu des réunions afin de valider ses constatations auprès du personnel et a présenté les conclusions pertinentes à la haute direction.

Le tableau ci-dessous résume le nombre, le genre et la valeur des transactions contrôlées par la vérification. L'échantillonnage tenait à la fois du hasard et du jugement exercé à partir de données extraites du système TEAM et obtenues des Finances. Ont été exclues de l'échantillon les transactions de moins de 500 $ puisque depuis le décret, cette somme correspond au seuil sous lequel un achat de TI est habituellement considéré comme « fournitures de bureau ».

2.4 Énoncé de conformité

La mission de vérification est conforme aux normes de vérification interne du gouvernement du Canada, comme en font foi les résultats du programme d'assurance et d'amélioration de la qualité.

3. Constatations

Le contexte dans lequel se fait l'acquisition de TI à la GRC a évolué depuis les changements mis en place par le décret. Avant le décret, la GRC procédait elle-même aux acquisitions de TI dont elle avait besoin; depuis le décret, ses biens de TI sont presque tous achetés pour son compte. Par conséquent, assurer la saine gérance des ressources tout en répondant aux besoins opérationnels et en se conformant aux exigences des politiques peut s'avérer complexe. *

Le succès en la matière repose sur la collaboration entre les parties à l'acquisition de biens de TI, sur la connaissance des exigences des politiques relatives à l'acquisition de biens de TI et sur la volonté de les respecter, au contrôle des transactions d'acquisition de TI et aux mécanismes en place pour composer avec les déviations aux exigences des politiques.

Par conséquent, nous nous attendions à faire les constatations suivantes :

• Les rôles et responsabilités de la GRC en acquisition de TI sont définis, communiqués et compris, au soutien efficace de l'acquisition de TI;
• La planification des acquisitions de TI soutient des résultats efficaces et efficients et utilise une stratégie d'entreprise au besoin;
• L'acquisition de TI se fait dans le respect des politiques et les marchés sont contrôlés afin que la GRC obtienne les biens de TI dont elle a besoin et que les lacunes soient correctement comblées;
• Les besoins d'acquisition sont bien définis et communiqués afin que les besoins opérationnels soient satisfaits en temps voulu.

3.1 Processus d'acquisition de TI

Les responsabilités générales en matière d'acquisition sont clairement définies et communiquées dans la Politique sur les marchés du Conseil du Trésor (CT), dans le Manuel de la gestion de l'actif de la GRC, dans le Manuel de la gestion des finances de la GRC, et dans le guide Introduction à la politique d'acquisition et de marchés de la GRC.

Avant le décret, les ODI, les chefs de service et autres fondés de pouvoir pouvaient passer des marchés d'acquisition de biens de TI de moins de 10 K$ et les ODI pouvaient passer une commande subséquente à une OP jusqu'à concurrence de 20 K$, de sorte que seules les demandes d'achat de biens de plus de 10 K$ étaient traitées par les Acquisitions, générales et divisionnaires.^{Footnote 6}Pour une acquisition de moins de 10 K$, on pouvait soit remplir un bon de commande (marché), commander directement du fournisseur sans marché, ou utiliser une carte d'achat. Les Acquisitions procédaient à l'assurance de la qualité des contrats (AQC) dans les dossiers des agents des acquisitions, mais il ne se faisait aucune forme d'AQC sur les achats inférieurs à 10 K$. *

L'ODI a gardé une bonne part de ses responsabilités d'avant le décret. Il doit toujours * offrir des conseils et de l'aide techniques aux groupes. Il demeure l'autorité technique pour les acquisitions de TI. Mais il ne peut plus passer de marchés, d'où une perte de contrôle sur le type de matériel acheté et l'allongement des délais pour conclure une acquisition.

Compte tenu du décret, les Acquisitions, à titre de centre de décision, ont examiné la procédure de commande mise en place par SPC et déterminé que de soumettre une demande d'achat au portail de SPC ne différait pas en profondeur de soumettre une commande à TPSGC. On voit dans la colonne 39 de la matrice de la délégation de pouvoirs de la GRC que ces pouvoirs sont réservés aux autorités des Acquisitions de la GRC.^{Footnote 7}Par conséquent, toutes les demandes d'achat de TI, quelle que soit la valeur, ont été transmises aux Acquisitions, divisionnaires et générales. Nous avons appris dans nos entrevues avec les gestionnaires des Acquisitions que ce volume de transactions supplémentaires a alourdi la charge de travail des agents des acquisitions. L'examen du volume de transactions pour des biens de TI à l'aide d'un bon de commande entre avril 2014 et juin 2016 a révélé que 1709 des 2452 transactions (70 pour 100) pendant cette période étaient pour une valeur inférieure à 10 K$.^{Footnote 8}

En plus du volume, une autre étape s'est ajoutée au travail des agents des acquisitions de la GRC : il leur fallait dorénavant déterminer s'il revenait à SPC d'octroyer un marché de TI pour des besoins particuliers, ou s'ils pouvaient eux-mêmes procéder à l'acquisition du matériel. Lorsqu'il fallait s'en remettre à SPC, les agents des acquisitions de la GRC avaient accès au portail des demandes de services d'acquisition pour commander des logiciels et des licences, et au portail de TI pour commander des appareils pour le milieu de travail. Les agents des acquisitions devaient déterminer à quel portail ils devaient envoyer la demande, et s'il fallait demander une exemption pour que la GRC puisse se procurer les biens de TI directement s'ils n'étaient pas dans l'inventaire des portails d'acquisition. Même pour les achats qui relevaient des SPC, les agents des acquisitions devaient remplir tous les papiers pré-contractuels et ébaucher les marchés, bien que leur octroi ait été confié à SPC. Les agents des acquisitions ont dû consacrer beaucoup de temps à communiquer tour à tour avec les groupes, les ODI et SPC et à faire le suivi des demandes d'achat.

Communication des changements de processus après le décret

Les nouvelles procédures sont entrées en vigueur graduellement dans les six mois de transition après l'entrée en vigueur du décret. SPC a communiqué beaucoup d'information à la GRC par différents intermédiaires, notamment les Acquisitions générales, les Acquisitions divisionnaires, le Programme GI-TI et l'équipe de liaison GRC-SPC.^{Footnote 9}L'information des Acquisitions de SPC reçue aux Acquisitions générales a été communiquée aux services divisionnaires des Acquisitions lors des téléconférences mensuelles des gestionnaires des Acquisitions et dans des communiqués réguliers de la section de l'AQC, en présumant que de là l'information parviendrait ensuite à tous les agents divisionnaires des acquisitions. Malgré les efforts faits pour communiquer les changements de procédures aux Acquisitions divisionnaires, d'autres intéressés au processus d'acquisition des biens de TI, notamment les ODI, n'en ont pas bénéficié. De même, l'information reçue au Programme de GI-TI a été diffusée aux ODI, mais pas nécessairement à d'autres intéressés aux Acquisitions. Les agents des acquisitions et les ODI ne savaient pas clairement quels articles devaient faire l'objet d'une acquisition sans passer par SPC. Les agents des acquisitions se demandaient s'il n'était pas plutôt de la responsabilité de l'ODI de déterminer ce qui relevait ou non de SPC. Tout en reconnaissant que les procédures d'après décret n'étaient pas complètement fixées, il faut aussi reconnaître qu'une meilleure coordination entre les secteurs fonctionnels et l'établissement de procédures de transition auraient permis au personnel divisionnaire des Acquisitions et aux ODI de connaître les étapes à suivre pour demander des biens de TI à SPC.

Changements de procédures pour les grands projets de TI

Les grands projets de TI,^{Footnote 10}qui comportent souvent l'acquisition de TI, figurent dans les plans organisationnels de la GRC, comme le Plan d'investissement et le Plan de GI-TI. Le Plan d'investissement donne un aperçu des investissements que la GRC prévoit faire dans les biens et les services acquis sur un horizon de cinq ans, et le Plan de GI-TI donne un aperçu des investissements prévus dans le Programme de GI-TI sur trois ans. Les activités d'acquisition avaient peu d'incidence sur les échéanciers des grands projets avant septembre 2015, parce que la GRC avait un pouvoir délégué de passer des marchés d'une valeur de 400 K$ pour des biens de TI,^{Footnote 11}de sorte qu'elle avait davantage de contrôle sur le processus d'acquisition et qu'elle pouvait remanier ses priorités selon l'urgence des besoins et le réaménagement des calendriers. Depuis le décret, la planification est devenue cruciale à la GRC pour la livraison des projets de TI dans les temps et les budgets, puisqu'il faut maintenant tenir compte du processus de réception des demandes de SPC, qui comporte des dates butoirs fixes, pour transmettre les demandes de services attendus de SPC.

Par ailleurs, la capacité de la GRC d'exécuter ses grands projets et de satisfaire les besoins d'acquisition de TI qu'ils comportent est à la merci du rôle de SPC de fournir des services de courriel, de réseaux et de centres de données aux 43 organismes partenaires qu'ils servent, de sorte que sa capacité de prioriser ses besoins est d'une grande importance. Bien que le Programme de GI-TI ait élaboré des critères de priorisation organisationnelle pour la sélection des grands projets, ceux-ci n'ont pas été adoptés instantanément par tous les comités ni appliqués uniformément aux grands projets. Plusieurs comités étaient chargés de superviser la mise en œuvre des projets, comme le conseil d'examen de l'architecture et des initiatives, l'équipe de gestion du programme du DPI, le conseil des investissements et des priorités stratégiques (qui applique le cadre de priorisation de la GRC aux investissements en GI-TI), le conseil d'examen de projet et le conseil consultatif sur les changements. Bien que la structure de gouvernance pour la mise en œuvre des projets de GI-TI ait été fonctionnelle, il y avait un risque de chevauchement des mandats et des membres (les comités susnommés offraient tous une forme de supervision et d'examen stratégique de la mise en œuvre des projets et nécessitaient la présence de hauts gestionnaires du Programme de GI-TI).

Dans nos entrevues, les gestionnaires du Programme de GI-TI ont insisté sur l'importance de bien planifier les projets et de respecter les échéanciers en contexte post-décret. Des tests de vérification ont servi à déterminer si seuls les grands projets de TI inscrits aux plans organisationnels avaient été entrepris et si un suivi adéquat en avait été fait. Il en ressort que ce ne sont pas tous les projets en phase d'initiation qui figuraient au Plan d'investissement et qu'il est difficile pour la GRC d'en mesurer les progrès, parce qu'on peut en refaire le calendrier et les budgets à tout moment, fixer de nouvelles échéances et en revoir les projections budgétaires. Renforcer les activités de gestion de projet à la GRC, y compris pour prioriser les projets, aiderait à concentrer les ressources de la GRC sur ses priorités autant qu'à respecter le modèle de services partagés qui régit la prestation de services de TI dont la GRC est partenaire.

3.2 Conformité des politiques

La vérification visait à examiner si les pratiques d'acquisition de TI de la GRC étaient conformes aux exigences des politiques du CT et de la GRC. Les tests de vérification et les examens de dossiers ont permis d'évaluer si l'approbation préalable des demandes d'achat de TI a été obtenue conformément au chapitre 3.4 du Manuel de la gestion de l'actif, si la GRC avait le pouvoir délégué de passer des marchés afin d'acheter des biens de TI après le décret, et si l'engagement de fonds conformément à l'article 32 de la Loi sur la gestion des finances publiques suffisait pour couvrir les coûts du marché (chapitre 9.2 Manuel de gestion des finances)^{Footnote 12}La vérification a aussi évalué s'il y avait en place des processus pour déceler les situations où les exigences n'ont pas été respectées et pour les corriger.

Processus d'approbation préalable pour des biens de TI

* afin d'exposer le moins possible le réseau de la GRC aux risques que présenterait le raccordement de matériel acheté qui ne soit pas compatible avec ses exigences, ou qui ne serait pas soutenu par le Programme de GI-TI, à l'échelle nationale ou divisionnaire, en termes d'entretien. * Avant le décret, sur réception de l'approbation, les groupes pouvaient procéder à l'achat du matériel de TI approuvé.

*

*

Preuve d'approbation

* Des représentants du Programme de GI-TI nous ont affirmé qu'il ne se faisait aucune activité d'assurance de la qualité pour garantir l'adhésion aux exigences du chapitre 3.4 du MGA. *

*

*

*

*

*

*

*

L'équipe de vérification a obtenu des Finances des extraits de données sur les transactions par cartes d'achat pour la période de septembre 2015 à juin 2016 et y a relevé de possibles achats de TI. L'analyse subséquente s'est concentrée sur les transactions de plus de 1 K$. *

*

*

*

Nous avons aussi noté que l'outil de gestion de l'information actuellement utilisé par le Programme du GI-TI (tableur Excel) pour gérer l'information d'acquisition de TI ne facilite pas la consolidation des données aux fins de planification, de surveillance et de prise de décisions. Il est possible d'améliorer les outils de gestion de l'information et l'utilisation des renseignements transmis par les divisions afin de dégager des tendances dans le type d'équipement qu'on se procure, ainsi que des occasions d'économies supplémentaires (p. ex. achat en gros).

*

Conformité au décret

Étant donné le décret, l'équipe de vérification s'attendait à ce que tous les marchés d'acquisition de TI et tous les achats de TI aient été faits par SPC entre septembre 2015 et juin 2016. Toutefois, nos entrevues et tests des dossiers nous ont révélé que les ministères pouvaient toujours se procurer des biens de TI en recourant aux offres permanentes qu'avait toujours TPSGC, ainsi que certains logiciels qui échappaient à l'action de SPC. Par ailleurs, SPC a, à l'occasion, accordé des exemptions à la GRC pour octroyer des marchés.

Il a été difficile pour le personnel des Acquisitions et des ODI de la GRC de déterminer quels biens de TI relevaient ou non de la GRC dans les semaines qui ont suivi l'adoption du décret. En entrevue, de nombreux ODI et agents divisionnaires des acquisitions^{Footnote 13}ont fait valoir ce point, précisant que dès l'entrée en vigueur du décret, soucieux d'en respecter les exigences, ils ont communiqué avec SPC pour chaque demande, pour se faire dire si elle relevait de la GRC ou de SPC. Il a été particulièrement difficile d'établir qui avait le pouvoir d'acheter les outils et logiciels d'enquête et l'équipement policier, comme les postes de travail mobiles et certains logiciels judiciaires.

Au moment de la vérification, on s'efforçait à l'échelle des secteurs fonctionnels de communiquer quels biens relevaient et ne relevaient pas des pouvoirs de la GRC, mais il aurait fallu plus de coordination entre les secteurs fonctionnels pour aider les intéressés dans les divisions à comprendre les changements et à interpréter l'information reçue de SPC de manière uniforme. D'autre part, des représentants du Programme de GI-TI et des Acquisitions nous ont dit qu'il ne se faisait aucune activité d'assurance de la qualité afin d'évaluer la conformité au décret. Nos tests des dossiers nous ont révélé 4 transactions d'acquisition sur 115 (3 pour 100) réalisées par la GRC sans une exemption de SPC, bien qu'elles n'aient pas relevé d'elle. Cela dit, 3 de ces 4 marchés ont été octroyés au début de septembre 2015, juste après l'entrée en vigueur du décret. Mentionnons surtout que 112 achats directs sur 131 (85 pour 100) et que 62 transactions par carte d'achat sur 95 (68 pour 100) examinés concernaient des biens de TI d'une valeur supérieure à 500 $. Puisque ces biens ont été achetés après le décret, qu'ils dépassaient le seuil des 500 $ et qu'ils n'étaient pas exemptés par le décret, ces achats ne respectaient pas les exigences du décret (voir le tableau 4).

Contrats rétroactifs

Les Lignes directrices sur la manipulation des contrats rétroactifs à la GRC expliquent que le contrat rétroactif est une circonstance où un véhicule d'acquisition officiel n'a pas été mis en place par une personne dûment déléguée et une entente a été conclue, des travaux entrepris ou des biens/services prodigués. Lorsqu'on se trouve dans une telle situation, des documents spéciaux d'acquisition doivent être utilisés pour officialiser l'achat et satisfaire aux politiques en matière de contrats.^{Footnote 14}On peut appliquer différentes solutions aux situations nécessitant un contrat rétroactif. Par exemple, la confirmation de commande est un « document d'acquisition qui est émis afin de confirmer que les travaux ont été effectués et livrés et que l'État a rempli toutes ses obligations conformément aux modalités de l'entente contractuelle. »^{Footnote 15}Une confirmation de commande doit être terminée avant que le paiement puisse être effectué et on doit y trouver l'information nécessaire pour documenter la transaction. On peut aussi utiliser des clauses sur les travaux précontractuels, par exemple lorsque la commande n'a pas été entièrement remplie mais que les travaux ont débuté en l'absence d'une entente écrite. Les Lignes directrices sur la manipulation des contrats rétroactifs à la GRC précisent que la politique gouvernementale conseille d'éviter les contrats rétroactifs en raison de la nature délicate des transactions de ce genre et des risques qu'elles posent pour l'organisation.^{Footnote 16}

En entrevue avec le personnel des Acquisitions et en examinant des pièces supplémentaires, nous avons pris connaissance de situations où, en contexte post-décret, il n'était pas clair que la GRC avait le pouvoir de préparer une confirmation de commande.

Les lignes directrices qu'utilise la GRC en matière de contrats rétroactifs n'ont pas été mises à jour pour rendre compte de l'effet du décret sur l'acquisition de biens de TI et les Acquisitions n'ont pas fourni d'orientation aux divisions sur la procédure à suivre lorsqu'il faut recourir à une confirmation de commande depuis l'entrée en vigueur du décret. Puisque la GRC n'a plus le pouvoir délégué d'octroyer des marchés relatifs aux biens de TI, la Gendarmerie aurait avantage à se faire confirmer si elle a le pouvoir de préparer une confirmation de commande.

Surveillance et signalement de non-conformité

Pour le moment, un incident de non-conformité détecté donne lieu à des mesures de redressement comme des rappels et une formation d'appoint, mais ces mesures ne sont pas appliquées uniformément dans toutes les divisions. La Politique sur les marchés du CT prévoit qu'une personne peut perdre le pouvoir de passer des marchés si elle ne se conforme pas aux politiques d'acquisition^{Footnote 17}, ce qui fournit aux Acquisitions un mécanisme de plus pour régler les cas graves de non-conformité.

Les Lignes directrices sur la manipulation des contrats rétroactifs à la GRC prévoient que les Acquisitions fassent un suivi trimestriel auprès des gestionnaires régionaux des Acquisitions pour examiner les dossiers comportant des contrats rétroactifs et pour faire le suivi de la fréquence des manquements. Les Acquisitions sont censées signaler à la haute direction les cas de confirmation de commande dans des rapports mensuels et faire des rapports trimestriels de l'avancement des recommandations et des mesures de redressement appliquées dans les régions. Les Acquisitions avouent ne pas avoir fait de tels rapports depuis deux ans, faute de ressources et en raison de priorités en concurrence.

*

Les tests de la vérification indiquent un degré assez élevé de non-conformité en acquisition de biens de TI de moins de 10 K$ par du personnel ailleurs qu'aux Acquisitions, depuis le décret. Il y aurait lieu de clarifier le processus de contrat rétroactif afin de promouvoir l'application uniforme de la politique, de veiller à ce que les confirmations de commande soient faites par le fondé de pouvoir en matière de marchés et de prendre les mesures de redressement qui s'imposent. Bien qu'on recueille des statistiques pour rendre au CT les comptes attendus, la haute direction n'est pas toujours informée des problèmes de non-conformité, ce qui lui fait manquer des occasions de négocier ou de sanctionner, au besoin.

3.3 Efficacité de la prestation de services

L'incapacité de la GRC de se procurer rapidement du matériel de TI peut poser un risque à ses opérations, que ce soit dans les progrès dans ses enquêtes ou dans sa divulgation de la preuve. Afin de mesurer l'efficacité de la prestation de services pour obtenir des biens de TI, la vérification a examiné les besoins d'acquisition pour voir s'ils étaient bien définis et s'il était satisfait aux besoins opérationnels rapidement.

Définition des besoins

En entrevue avec les agents des acquisitions, nous avons appris qu'il fallait peu de temps pour clarifier les besoins en phase d'acquisition, étant donné que les ODI et les représentants du Programme de GI-TI dans les divisions aident efficacement les groupes à préciser leurs besoins de TI avant de transmettre une demande d'achat aux Acquisitions. La participation des ODI et du personnel du Programme de GI-TI à la définition des besoins se reflétait dans les dossiers dont l'examen a montré que seulement 3 des 50 (6 pour 100) dossiers d'acquisition pré-décret et 8 des 115 (7 pour 100) dossiers d'acquisition post-décret examinés avaient nécessité des changements importants entre le premier énoncé des besoins et l'énoncé des besoins inclus au marché.

En entrevue, les ODI et les membres de leurs équipes ont manifesté une bonne compréhension des produits qui conviennent à l'organisation en termes de fonctionnalité et de compatibilité * bien que leur interprétation donne lieu à des variations. * Cela dit, au niveau des ODI, les produits offerts par SPC ne sont pas suffisamment visibles, parce que les ODI n'ont pas un accès direct aux portails des acquisitions pour y trouver l'information. Cette lacune les empêche de conseiller les groupes sur le matériel qu'ils pourraient se procurer par l'entremise de SPC et de transmettre efficacement les demandes aux Acquisitions.

L'examen des dossiers d'acquisition échantillonnés indique que les groupes reçoivent habituellement l'article indiqué dans la demande d'achat. Selon l'examen des factures en dossier, 47 des 50 (94 pour 100) groupes qui ont acheté des biens de TI par l'entremise des Acquisitions avant le décret ont obtenu le produit demandé dans la demande d'achat, et 59 des 72 (82 pour 100) groupes ont reçu le produit commandé post-décret lorsque la commande a été traitée par SPC.^{Footnote 18}

On a trouvé dans les dossiers d'acquisition échantillonnés peu de preuves de problèmes post-contractuels, par exemple un groupe qui n'aurait pas reçu le produit conforme au marché, des écarts de prix ou des problèmes de livraison et de service. Cependant, les ODI tiennent des dossiers de client distincts où sont consignés les problèmes post-contractuels, qui montrent que depuis le décret, les groupes n'ont pas toujours obtenu ce qu'ils demandaient. Régulièrement, les ODI sont frustrés de ne pas pouvoir commander des marques et des modèles précis dont ils savent qu'ils sont compatibles avec l'infrastructure de TI de la GRC et de devoir parfois modifier le matériel commandé par l'entremise de SPC après avoir constaté qu'il ne satisfaisait pas aux exigences de la GRC.^{Footnote 19}Ainsi, lorsqu'un bien reçu n'est pas conforme aux termes du marché, il ne faudrait pas l'accepter, il faudrait en aviser les Acquisitions afin de faire appliquer les termes du marché. Par ailleurs, documenter de façon plus régulière dans les dossiers des Acquisitions ou de l'ODI les problèmes post-contractuels permettrait à la GRC de quantifier les coûts et les problèmes que pose le modèle de prestation de services partagés en acquisitions de TI.

Rapidité d'acquisition

Bien que les groupes de la GRC obtiennent le matériel dont ils ont besoin pour faire leur travail la plupart du temps, ils déplorent l'attente plus longue depuis le décret, ce que nous avons pu confirmer. En examinant les dossiers d'acquisition, l'équipe de vérification a mesuré l'attente moyenne entre la date de réception de la demande d'achat aux Acquisitions et la date de livraison des biens aux groupes, pré- et post-décret. Une seconde analyse a été faite pour mesurer le délai entre la date d'initiation et l'octroi du marché uniquement, afin de détacher les délais imputables aux Acquisitions de tout ce qui peut survenir post-marché.

Pour l'échantillon sélectionné, on a constaté depuis le décret un léger allongement du délai d'acquisition mesuré de la date d'initiation à la date de livraison, dont l'explication se trouve surtout dans le délai entre la date d'initiation et l'octroi du marché. Il faut en moyenne compter 16 jours civils de plus post-décret que pré-décret entre l'initiation et l'octroi du marché, lorsque SPC agit comme pouvoir contractant (voir le tableau 5).

** Marchés octroyés par SPC pour lesquels la GRC avait fait le travail préparatoire jusqu'à l'octroi du marché.

Nota : Le nombre moyen de jours écoulés entre l'initiation de l'acquisition et l'octroi du marché était de 21 jours civils avant le décret et de 37 jours civils après le décret, une différence de 16 jours civils.

Notre analyse a fait ressortir deux raisons principales pour l'allongement des délais. D'une part, le volume de transactions a fortement augmenté puisque la GRC n'avait plus le pouvoir de faire l'acquisition de biens de TI de moins de 10 K$ après l'entrée en vigueur du décret et qu'elle a dû transmettre toutes ses demandes aux portails de SPC par l'entremise des Acquisitions, générales et divisionnaires.^{Footnote 20}Des étapes se sont aussi ajoutées à la GRC avant la transmission des demandes d'achat : décider quel portail utiliser, justifier le choix d'un article à l'extérieur du matériel générique offert dans l'inventaire partagé, examiner les marchés rédigés pour le compte de la GRC.

L'évaluation des délais post-décret a mis en lumière de possibles gains d'efficacité. Par exemple, la GRC avait décidé de confier aux seuls agents des acquisitions le rôle de transmettre des demandes à SPC. Comme on l'a déjà vu, les ODI, sauf à la Direction générale, avaient la responsabilité des acquisitions de biens de TI de moins de 10 K$ avant le décret. S'il était convenable de le faire du point de vue du risque et de l'administration, on pourrait leur redonner ce rôle et ainsi réduire la pression dénoncée par le personnel des Acquisitions, générales et divisionnaires et par les groupes divisionnaires de GI-TI.

Même si les groupes continuent de définir leurs besoins de matériel de TI avec l'aide du personnel du Programme de GI-TI, les délais de fourniture du matériel sont longs depuis le décret. S'il nous a été impossible d'établir combien de temps était consacré aux dossiers par les Acquisitions et par SPC respectivement, il reste que le délai global de traitement pourrait être amélioré par une rationalisation du processus afin d'accélérer l'envoi des commandes à SPC, ce qui serait à l'avantage de la Gendarmerie.

4. Recommandations

1. Le dirigeant principal des Finances et de l'Administration, de concert avec le dirigeant principal de l'Information, devrait évaluer les actuels pouvoirs, rôles, responsabilités et processus liés à l'acquisition de TI dans le contexte post-décret et mettre à jour au besoin les politiques et lignes directrices de la GRC applicables aux acquisitions.
2. Le dirigeant principal des Finances et de l'Administration devrait * et prendre les mesures de suivi qui s'imposent.
3. *
4. *

5. Conclusion

La vérification conclut que les groupes de la GRC travaillent bien avec le personnel de l'ODI pour définir les besoins de TI aux fins de décision d'acquisition, de manière à répondre aux besoins opérationnels réguliers. Par ailleurs, les contrôles mis en place pour obliger les agents des acquisitions à confirmer avant d'entreprendre l'acquisition que les demandes de biens de TI sont approuvées par le personnel de l'ODI fonctionnent comme prévu.

Certains aspects présentent des possibilités d'amélioration. La GRC gagnerait à évaluer ses pouvoirs et responsabilités relatifs aux acquisitions en contexte post-décret et à mettre à jour ses politiques et lignes directrices en matière d'acquisitions de biens de TI, y compris ses processus d'approbation préalable de biens de TI et ses contrats rétroactifs. Aussi, * favoriseraient un meilleur respect des politiques et des exigences du décret dans l'ensemble de l'organisation.

Annexe A - Objectif et critères de vérification

Annexe B – Schéma du processus d'acquisition

Avant le décret : Besoins de moins de 10 K$ traités par les fondés de pouvoir

Avant le décret : Besoins de plus de 10 K$ traités par les agents des acquisitions divisionnaires

Après le décret : Toutes les demandes sont transmises par les Acquisitions aux SPC, quelle que soit la valeur

Évaluation de l'indemnité de recrutement des cadets - Sommaire

Services nationaux d'évaluation des programmes
Vérification interne, Évaluation et Examen
Gendarmerie royale du Canada

le 3 mars 2017

Au sujet du programme

L'indemnité de recrutement des cadets (IRC) a été adoptée en 2008 pour soutenir la stratégie nationale de recrutement au moyen du versement d'une indemnité de 500 $ par semaine aux cadets, pour les six mois que dure le Programme de formation des cadets à la Division Dépôt, à Regina, en Saskatchewan.

Objet de l'évaluation

Pour évaluer l'efficacité et l'efficience de l'IRC à partir de faits, les évaluateurs ont examiné des données et des documents, mené des sondages auprès de cadets et de membres réguliers et organisé des entretiens avec des cadets, des recruteurs et des employés de la GRC de différents coins du pays. L'évaluation a porté sur les exercices 2008-2009 à 2014-2015.

Constatations

Entre 2008-2009 et 2014-2015, l'indemnité a été versée à 8 029 cadets, à hauteur de 61,4 millions de dollars, soit en moyenne 1 147 cadets et 8,8 millions de dollars par année.

Capacité concurrentielle

La GRC doit demeurer un employeur concurrentiel parmi les services de police référentiels, surtout dans l'Ouest, d'où proviennent la moitié de ses recrues, et où les cadets d'autres services de police sont souvent des employés salariés à plein temps.

Recrutement

Depuis l'introduction de l'IRC en 2008-2009, la GRC a atteint en grande partie ses objectifs généraux de recrutement. En ce qui a trait à l'âge, à l'origine ethnique et au sexe, le profil des postulants n'a quasiment pas changé depuis la mise en œuvre de l'indemnité.

Demandes d'emploi et inscriptions

Les bénéficiaires de l'IRC étaient divisés sur la question de savoir si l'indemnité avait ou non influencé leur décision de postuler à la GRC. L'IRC a cependant permis à des postulants de se présenter à la Division Dépôt, puisque la moitié de ceux qui l'ont touchée ont indiqué qu'ils ne seraient pas ou peut-être pas allés à Regina sans elle. Les réponses des femmes, des membres de minorités visibles et des Autochtones ne se démarquaient pas des autres, ce qui semble indiquer un effet neutre du point de vue de l'équité en matière d'emploi. L'IRC a atténué les obstacles financiers pour se rendre à la Division Dépôt et aidé à soulager le stress financier des cadets, surtout chez ceux qui ont plus de 30 ans, ceux qui ont des enfants et ceux qui ont des obligations financières.

Versements et recouvrements

L'IRC est versée selon les procédures et les règles établies. Il existe des processus uniformes pour identifier les cadets et membres stagiaires qui ne respectent pas leur engagement. Au besoin, des ordonnances de remboursement sont préparées, comme prévu. Il existe un manque d'uniformité et des lacunes dans les politiques en ce qui a trait à la création de comptes débiteurs pour le remboursement, l'imposition d'intérêts pour une dette non soldée et le transfert des comptes en souffrance aux fins de recouvrement.

Recommandations

Pour conserver à la GRC sa capacité concurrentielle et pour aplanir les difficultés que pose le recouvrement de l'IRC, les évaluateurs recommandent trois mesures :

• La GRC devrait demander l'autorisation de continuer d'offrir l'IRC ou une forme semblable de soutien financier aux cadets.
• Un processus devrait être élaboré afin de réévaluer périodiquement le montant versé aux cadets, en fonction de l'évolution du marché du travail, des besoins des cadets et de la capacité de la GRC de payer.
• Les rôles, responsabilités, politiques et processus financiers régissant le remboursement de l'indemnité devraient être renforcés, clarifiés et documentés.

Pour de plus amples renseignements ou pour voir le rapport dans son intégralité, visitez notre site Web http://www.rcmp-grc.gc.ca/aud-ver/index-fra.htm.

Evaluation of the Cadet Recruitment Allowance (CRA) - Summary

National Program Evaluation Service
Internal Audit, Evaluation and Review
Royal Canadian Mounted Police

March 3, 2017

About the program

The Cadet Recruitment Allowance (CRA) was launched in 2008. The objective of the program is to supplement the RCMP's overall National Recruiting Strategy by offering Cadets a $500 weekly allowance during the six months they are enrolled in the Cadet Training Program at the RCMP Cadet Training Academy in Regina, Saskatchewan (i.e., "Depot").

What we examined

To provide an evidence-based assessment of the efficiency and effectiveness of the CRA, evaluators examined relevant documents, literature, and data; conducted surveys with Cadets and Regular Members; and conducted interviews with Cadets, Recruiters, and RCMP personnel from various parts of Canada. The evaluation covered the period from 2008-09 to 2014-15.

What we found

Between 2008-09 and 2014-15, the CRA was paid to an average of 1,147 Cadets each year for an average annual cost of $8.8 million. The total cost of the CRA during this period was $61.4 million in support of 8,029 Cadets.

Competitiveness

The RCMP needs to ensure it is a competitive employer in the Canadian policing universe, especially in Western Canada where the RCMP draws half of its recruits, and where other police services' Cadets are often full-time, salaried employees.

Recruiting

Since the introduction of the CRA in 2008-09, the RCMP has largely met its overall recruiting targets. From the perspective of age, ethnicity and gender, the profile of applicants has been relatively unchanged since implementation of the allowance.

Applications and enrolments

CRA recipients were divided over whether it influenced their decision to apply to the RCMP. Nonetheless, the CRA played a role in enabling successful applicants to attend Depot, as half of the recruits who received the allowance indicated that they would not, or may not, have attended without it. Responses from women, visible minorities, and Indigenous people were not significantly different from the rest of the population, suggesting that from an employment equity perspective, the CRA is neutral. Furthermore, the CRA decreased financial barriers to attending Depot and reduced the financial stress level of Cadets, especially those over the age of 30, those with children, and those with financial obligations.

Payment and recovery

The CRA has been paid in accordance with documented procedures and rules. Furthermore, there are consistent processes for identifying Cadets and Regular Members within the first two years who do not complete their commitments, and repayment orders are being issued in accordance with the CRA's intent. There are, however, procedural inconsistencies and policy gaps related to the creation of accounts receivables for repayment orders, the collection of interest in cases where the debt is not repaid immediately, and in the sending of derelict accounts for collections.

What we recommend

In order to remain competitive and to address the challenges identified with regard to the recovery of the CRA, evaluators have recommended that the following three actions be taken:

• The RCMP should seek authority to continue offering the CRA, or some comparable form of financial support for Cadets.
• A process should be developed to periodically revisit the amount of financial support offered to Cadets that gives due consideration to changes in the labour market, the needs of Cadets, and the RCMP's ability to pay.
• The financial policies, processes, roles and responsibilities governing the repayment of the allowance should be strengthened, clarified, and documented.

For more information or to view the full report, please visit our website at http://www.rcmp-grc.gc.ca/aud-ver/index-eng.htm.

Erreur de soumission

Désolé, nous n'avons pas pu recevoir votre message.

Cela peut être dû à une erreur interne ou un problème avec les données saisies dans le formulaire. Veuillez soumettre à nouveau le formulaire de commentaires. Si le problème persiste, veuillez communiquer avec le détachement de la GRC le plus proche.

Date modified:

1969-12-31