Rapport de vérification
Audit des données de l’information préalable sur les expéditions commerciales dans le mode aérien
Octobre 2018

Ce document est disponible en format (PDF 1.4 Mo) [aide sur les fichiers PDF]

Note :
[*] Un astérisque indique que des renseignements de nature délicate ont été supprimés en vertu de la Lois sur l’accès à l’information et de la Loi sur la protection des renseignements personnels.

Table des matières

1.0 Introduction

1. L’Agence des services frontaliers du Canada (ASFC/l’Agence) doit faciliter le commerce légitime et interdire l’entrée des marchandises inadmissibles au Canada. Au cours de l’exercice 2016-2017, 4,4 millions d’expéditions aériennes sont arrivées au Canada et l’ASFC a traité un total de 17,3 millions d’expéditions commerciales dans tous les modes. Dans le cadre de sa priorité visant à « Sécuriser la frontière de façon stratégique », une des initiatives consiste à recueillir des données commerciales préalables afin d’évaluer les risques que présentent les marchandises avant leur arrivée à la frontière.

2. Le programme Information préalable sur les expéditions commerciales (IPEC) a été lancé dans le cadre du Plan d’action des douanes et de l’Accord sur la frontière commune en avril 2004 et a été mis en œuvre en juillet 2006 pour le mode aérien. Il exige que les transporteurs aériens et les agents d’expédition transmettent des données par voie électronique à l’ASFC quatre heures avant l’arrivée au Canada ou au moment du décollage, selon la durée du vol. Au moment de l’audit, l’ASFC ne vérifiait pas la conformité des agents d’expédition en raison de problèmes liés à la technologie de l’information (TI).

3. La Loi sur les douanes et le Règlement sur la déclaration des marchandises importées établissent le temps nécessaire, la manière et la personne qui est tenue d’envoyer l’IPEC pour les importations commerciales (y compris le fret en transit ou le fret restant à bord et pour les moyens de transport entrant ou en transit au Canada). Le Document sur les exigences à l’égard des clients du commerce électronique (DECCE) définit l’exigence pour les données de l’IPEC. Pour transmettre des données de l’IPEC, les transporteurs doivent obtenir un code de transporteur auprès de l’ASFC.

4. La réception de données avant l’arrivée permet à l’ASFC de gérer plus efficacement les marchandises à risque élevé, de déterminer les menaces pour la santé et la sécurité avant l’arrivée des marchandises au Canada et de simplifier et rendre plus efficace le processus à la frontière pour les marchandises à faible risque. Lorsque les données ne satisfont pas aux exigences, l’Agence peut choisir de régler la situation avec le transporteur, d’imposer une sanction, de mettre en œuvre un plan d’action pour remédier au problème de non-conformité ou de suspendre l’autorisation du transporteur de déplacer des marchandises commerciales. Une fois qu’une sanction est imposée, les transporteurs peuvent contester la validité de la sanction auprès de l’ASFC.

5. La Plateforme du commerce électronique des douanes (PCED), le Système de soutien de la mainlevée accélérée des expéditions commerciales (SSMAEC) et TITAN sont trois systèmes existants de TI que l’ASFC utilise pour recevoir, stocker et évaluer les données de l’IPEC. La criticité opérationnelle de ces systèmes a été reconnue dans le plan de la TI de l’ASFC de 2018-2021 et les systèmes ont été désignés comme étant des applications vieillissantes qui seront mises hors service.

6. Au moment de l’audit, quatre directions générales de l’ASFC participaient au programme de l’IPEC. La Direction générale des programmes est responsable de l’élaboration et de la mise à jour des politiques pour le programme de l’IPEC et de l’administration des codes de transporteur. Lorsque l’IPEC est transmise, la Direction générale des opérations procède à l’évaluation des risques liés aux marchandises commerciales et à l’examen des expéditions à risque élevé. Il incombe tant à la Direction générale des opérations qu’à la Direction générale des programmes de relever les cas de non-conformité avec les politiques. La Direction des recours de la Direction générale des services intégrés, au nom du ministre, examine les appels interjetés à la suite de l’imposition de sanctions et gère tous les litiges associés devant la Cour fédérale. Enfin, la Direction générale de l’information, des sciences et de la technologie est responsable de la gestion des systèmes de TI qui appuient le processus d’évaluation du risque commercial. Depuis l’achèvement de cet audit, l’ASFC a entrepris une restructuration organisationnelle qui s’est soldée par une nouvelle structure et de nouveaux noms pour les directions générales. Pour le présent rapport, nous utiliserons les noms en place au moment de l’audit pour les observations et les constatations et les nouveaux noms pour les recommandations et les réponses de la direction.

2.0 Importance de l'audit

7. Les transporteurs et les agents d’expéditionNote de bas de page 1 transmettent les données de l’IPEC par voie électronique à l’ASFC. L’obtention de données exactes en temps opportun est importante pour l’Agence, car les agents de ciblage de la Direction générale des opérations utilisent les données pour évaluer si les marchandises représentent un risque élevé avant leur arrivée à la frontière. [*] L’Agence compte de plus en plus sur les données alors qu’elle s’efforce de mettre en œuvre la vision du Renouvellement de l’ASFC qui consiste à tirer parti de la technologie et des renseignements pour accélérer la circulation des marchandises légitimes en relevant le fret à risque élevé avec plus de précision.

8. L’objectif de l’audit consistait à s’assurer qu’un cadre de contrôle de la gestion et des systèmes est en place afin que la réception des données de l’IPEC dans le mode aérien respecte les politiques et que ces données sont de qualité suffisante pour permettre à l’ASFC de réaliser une évaluation efficace des risques avant l’arrivée des marchandises commerciales.

9. L’audit portait notamment sur le cadre de contrôle de la gestion en place visant à assurer la qualité et l’intégrité des données pour le processus d’évaluation du risque dans le secteur commercial dans le mode aérien. Elle ciblait également l’efficacité des systèmes qui sont en place pour appuyer la réception des données de l’IPEC soumises par voie électronique à l’ASFC. L’audit visait à évaluer les données de l’IPEC dans le mode aérien soumises d’avril 2016 à novembre 2017. Cependant, les limites liées à l’accès à des données archivées ont empêché l’équipe d’audit de compléter toutes les procédures prévues dans la portée.

10. L’audit ne portait pas sur le processus de ciblage, les processus opérationnels liés à la mainlevée des marchandises, les renvois pour examen, les examens secondaires, les examens des moyens de transport et la collecte des droits et des taxes sur les marchandises importées, car ces aspects ont déjà été abordés dans de précédents travaux d’assurance pour lesquels des plans d’action de la direction de l’ASFC ont été élaborés.

3.0 Énoncé de conformité

11. La présente vérification a été menée conformément aux Procédures obligatoires régissant l’audit interne au sein du gouvernement du Canada, comme le confirment les résultats du programme d’assurance et d’amélioration de la qualité. La stratégie et les méthodes de vérification étaient conformes aux Normes internationales pour la pratique professionnelle de l’audit interne, telles qu'elles ont été définies par l'Institut des vérificateurs internes et les Procédures obligatoires régissant l’audit interne au sein du gouvernement du Canada, comme l'exige la Directive sur l’audit interne du Conseil du Trésor.

4.0 Opinion de l'équipe de l'audit

12. L’Agence a établi certains aspects du cadre de contrôle de la gestion, mais des améliorations doivent être apportées à la gestion de la non-conformité, à la planification, au suivi et à l’établissement de rapports concernant l’IPEC ainsi qu’à la gestion des applications de technologie de l’information qui appuient le processus d’évaluation du risque dans le secteur commercial. Les améliorations peuvent contribuer à s’assurer que des données exhaustives sont obtenues en temps opportun et que les ressources sont utilisées pour procéder à des évaluations du risque avant l’arrivée des marchandises commerciales.

5.0 Principales constatations

13. Des politiques ont été établies pour l’IPEC dans le mode aérien et sont conformes à la législation et à la réglementation.

14. Les processus pour déceler la non-conformité et gérer les transporteurs non conformes devraient être améliorés pour s’assurer que l’ASFC obtient des données de l’IPEC exhaustives en temps opportun.

15. L’Agence continuera à utiliser les anciennes applications de TI à l’appui de l’IPEC dans le mode aérien à court et à moyen termes. Des améliorations sont requises pour gérer le contrôle de l’accès des utilisateurs au SSMAEC et pour s’assurer qu’il y a une piste de vérification pour les changements urgents apportés aux systèmes.

16. L’orientation stratégique pour l’IPEC, y compris la détermination des priorités et des risques, n’est pas définie. À l’exception de rapports sur les sanctions imposées, les résultats liés à l’IPEC ne font pas l’objet d’un suivi ou de rapports et l’ampleur de la non-conformité en ce qui a trait à l’IPEC n’est pas connue. Un plan précis pour l’avenir des systèmes de TI à l’appui de l’IPEC est requis pour mettre pleinement en œuvre la vision de l’Agence pour un modèle efficace de conformité fondée sur les risques.

6.0 Résumé des recommandations

17. Les six recommandations suivantes ont été formulées à la suite de l’audit :

7.0 Réponse de la direction

Réponse de la direction
Les vice-présidents de la Direction générale du secteur commercial et des échanges commerciaux ainsi que de la Direction générale de l’information, des sciences et de la technologie sont déterminés à mettre en place des processus et des systèmes efficaces afin que l’ASFC puisse évaluer efficacement les risques avant l’arrivée des marchandises commerciales. C’est pourquoi nous sommes d’accord avec les conclusions du rapport d’audit et acceptons les six recommandations. Les vice-présidents de la Direction générale du secteur commercial et des échanges commerciaux ainsi que de la Direction générale de l’information, des sciences et de la technologie, en collaboration avec le vice-président de la Direction générale du renseignement et de l’exécution de la loi, continueront à mettre en œuvre les changements requis pour améliorer l’évaluation du risque des marchandises commerciales arrivant dans le mode aérien. Plusieurs initiatives ont déjà été entreprises pour donner suite aux recommandations de l’audit.

8.0 Constatations de l'audit

8.1 Politiques liées à l’IPEC

18. La Loi sur les douanes et le Règlement sur la déclaration des marchandises importées établissent le temps nécessaire, la manière et la personne qui est tenue d’envoyer à l’ASFC les données de l’IPEC sur les importations de fret commercial, y compris les marchandises en transit, le fret restant à bord et les moyens de transport qui entrent ou qui transitent au Canada. Il est important de communiquer les mises à jour des politiques pour s’assurer que les exigences en matière de conformité sont bien expliquées et que les intervenants comprennent leurs responsabilités. Notre audit a évalué si des politiques internes ont été élaborées, révisées, mises à jour et communiquées pour s’assurer que les données de l’IPEC reçues dans le mode aérien sont conformes à la législation et à la réglementation.

19. Nous avons constaté que les politiques de l’ASFC et les exigences liées à l’IPEC étaient clairement définies et conformes à la législation et à la réglementation. La Direction générale des programmes a défini les exigences relatives à l’exhaustivité des données dans le DECCE et a mis en œuvre un processus pour gérer les codes de transporteur. Les mises à jour apportées aux politiques et aux procédures sont également définies et les changements sont communiqués aux intervenants à l’aide de divers types de produits tels que des courriels, des bulletins opérationnels et des avis des douanes.

8.2 Exhaustivité des données et transmission en temps opportun

20. Les agents de ciblage utilisent les données de l’IPEC pour procéder à des évaluations du risque avant l’arrivée. La Loi sur les douanes exige que l’IPEC soit véridique, exacte et complète et le Règlement sur la déclaration des marchandises importées précise le moment de la déclaration. Les marchandises considérées à risque élevé pour la santé et la sécurité des Canadiens sont renvoyées afin que les agents des services frontaliers (ASF) travaillant dans les aéroports puissent les examiner. La transmission en temps opportun et l’exhaustivité des données sont essentielles, car la décision de renvoyer une expédition en vue d’un examen ou d’autoriser le déplacement des marchandises est prise en fonction des données transmises. Le DECCE précise les exigences que doivent respecter les transporteurs pour chaque champ de données lors de la transmission de l’IPEC.

21. Nous avons sélectionné 14 champs de données obligatoires à évaluer, en fonction de leur importance pour le travail des agents de ciblage. Dans un échantillon de 60 fichiers de fret sélectionnés au hasard, nous avons trouvé 25 fichiers non conformes, car l’information fournie ne satisfaisait pas à une ou plusieurs exigences définies dans le DECCE. Même si tous les champs fournissaient des données, 22 des 25 fichiers ont été considérés comme incomplets pour l’exécution d’une évaluation approfondie du risque. Les champs de données les plus problématiques étaient liés au nom de rue et à l’adresse de l’expéditeur, au code postal de l’expéditeur et à la description des marchandises. Les exemples de non-conformité observés étaient : l’information n’est pas inscrite dans le champ appropriée, le code postal ne correspond pas au format prescrit dans le DECCE et la description des marchandises est insuffisante. Les contrôles actuels des systèmes sont liés au nombre de caractères permis pour les champs. Puisqu’il s’agit de champs de texte libre, le contrôle du système n’améliore pas la conformité en ce qui a trait à la qualité de l’information fournie.

22. La réception des données en temps opportun est importante, car les agents de ciblage créent un ordre de priorité pour leur charge de travail en fonction de l’arrivée prévue des vols. [*]

23. L’audit a examiné la transmission en temps opportun des données de l’IPEC sur le fret aérien pour évaluer si les transporteurs respectent les échéances. L’équipe d’audit s’est butée à un problème lors de l’exécution de cette procédure à l’aide des données transmises durant la période visée par la portée, car elle a appris que lorsque les données de l’IPEC sont archivées dans les systèmes de l’ASFC pendant plus de 120 jours, l’horodatage des transactions (heure et minutes de la transaction) ne peut plus être récupéré dans les systèmes. Compte tenu de cette limite, un échantillon aléatoire plus récentNote de bas de page 2 de 60 fichiers a été sélectionné pour nos procédures.

24. Nous avons constaté que 55 des 60 fichiers avaient été transmis à l’ASFC en temps opportun. Une transmission ne comportait pas la date et l’heure de départ. L’équipe d’audit n’a donc pas pu évaluer si la transmission avait été effectuée en temps opportun. Les quatre autres fichiers étaient non conformes, car il s’agissait de vols de moins de quatre heures où les données ont été transmises après le départ. Lorsque les données ne sont pas reçues en temps opportun, les marchandises peuvent arriver au Canada avant d’avoir fait l’objet d’une évaluation du risque. Ce fut le cas pour deux des quatre transmissions de l’IPEC qui n’avaient pas été reçues en temps opportun.

25. En résumé, la réception de données incomplètes ou tardives crée des difficultés sur le plan opérationnel. [*]

26. Les préoccupations liées à l’exhaustivité des données et à leur transmission en temps opportun sont abordées dans la recommandation 1 du présent rapport.

8.3 Détermination des cas de non-conformité de l’IPEC et imposition de sanctions

Détermination des cas de non-conformité

27. La détermination et la gestion des cas de non-conformité sont importantes pour l’Agence, car l’exhaustivité des données et leur transmission en temps opportun ne peuvent être améliorées que si les transporteurs sont informés qu’ils ne se conforment pas aux exigences pour l’IPEC et corrigent la situation pour les futures transmissions.

28. À l’heure actuelle, la détermination des cas de non-conformité est une responsabilité que se partagent les agents de ciblage au Centre national de ciblage (CNC), les agents des services frontaliers de la Direction générale des opérations et l’Unité de la conformité des transporteurs (UCT) de la Direction générale des programmes :

29. Compte tenu de la détermination limitée des cas de non-conformité par les trois groupes, l’ampleur de la non-conformité de l’IPEC est inconnue.

Imposition de sanctions et appels

30. L’ASFC a recours au Régime de sanctions administratives pécuniaires pour corriger la non-conformité et ultimement améliorer la qualité des données et leur transmission en temps opportun. Le Document-maître des infractions décrit toutes les sanctions qui peuvent être imposées aux clients commerciaux, notamment aux importateurs, aux exportateurs, aux courtiers, aux exploitants d’entrepôts et de boutiques hors taxes, aux transporteurs et aux agents d’expédition ou à leurs représentants.

31. Le tableau 1 présente les cinq sanctions liées aux données de l’IPEC qui ont été examinées dans le cadre de l’audit.

Tableau 1

Sanction Description
C378 Une personne a omis de soumettre l’information prescrite préalable à l’arrivée ou celle du préchargement relative au fret et/ou moyen de transport.
C379 Une personne a omis de soumettre à l’Agence l’information préalable dans le délai prescrit ou la manière prescrite.
C380 Une personne a omis de se conformer à un avis émis par l'ASFC en ce qui concerne les marchandises à bord ou censées être à bord du moyen de transport.
C381 Une personne a omis d’informer l'Agence, dans les délais prescrits et sans retard, de toute correction aux informations préalables à l’arrivée ou à celles du préchargement transmis à l'Agence.
C382 Une personne a soumis les informations prescrites par le Règlement sur la déclaration des marchandises importées qui n'étaient pas vraies, exactes et complètes.

32. Pendant la période visée par l’audit, les ASF et le personnel de l’UCT étaient autorisés à imposer des sanctions relatives à l’IPEC. Le 1er juin 2018, la direction du programme a re-centralisé l’imposition de sanctions relatives à l’IPEC au sein de l’UCT afin d’améliorer la gestion des transporteurs non conformes et d’uniformiser l’approche utilisée pour l’imposition de sanctions.

33. Nous avons examiné un échantillon aléatoire de 30 sanctions liées à l’IPEC imposées à des transporteurs afin d’évaluer si le montant, le type et le niveau des sanctions étaient appropriés. Aucun écart n’a été relevé pour les sanctions imposées.

34. Les transporteurs peuvent porter en appel les sanctions imposées s’ils croient qu’elles ne sont pas justifiées. La Direction des recours détermine en fin de compte si les sanctions imposées sont confirmées ou annulées. Nous avons examiné des appels liés à l’IPEC afin de comprendre les motifs des appels et la décision qui en a résulté.

35. L’Agence a reçu 22 appels liés aux sanctions imposées pour l’IPEC pendant la période visée par l’audit. La Direction des recours a confirmé 14 de ces cas et en a annulé 8 pour diverses raisons, notamment le manque de documentation à l’appui, l’imposition d’une mauvaise sanction ou une panne des systèmes de l’ASFC au moment de la transmission de l’IPEC, ce qui a empêché de transmettre les données en temps opportun.

36. Outre l’imposition d’une sanction, il existe d’autres moyens d’encourager les transporteurs à se conformer aux exigences, allant de la sensibilisation à l’imposition de sanctions. La Direction générale des programmes a élaboré la Stratégie relative à la conformité dans le secteur commercial en 2015, afin de fournir des renseignements généraux sur la gestion de la conformité des intervenants dans le secteur commercial. Cependant, aucune ligne directrice détaillée établissant un continuum clair des mesures requises en fonction du niveau de non-conformité n’a été élaborée. De ce fait, il y a un risque que les transporteurs ne soient pas tous pénalisés de façon uniforme, ce qui peut créer des inégalités au sein de l’industrie.

Recommandation 1 : Le vice-président de la Direction générale des échanges commerciaux, en collaboration avec la Direction générale du renseignement et de l’exécution de la loi, devrait mettre à jour sa stratégie relative à la conformité dans le secteur commercial et élaborer et mettre en œuvre des lignes directrices claires et détaillées pour gérer la non-conformité des transporteurs relativement à l’IPEC.

Réponse de la direction

Le vice-président de la Direction générale des échanges commerciaux est d’accord avec la recommandation et fera en sorte, en collaborant avec la Direction générale du renseignement et de l’exécution de la loi, que la Stratégie relative à la conformité dans le secteur commercial soit mise à jour et que des lignes directrices claires et détaillées soient élaborées et mises en œuvre pour gérer la non-conformité des transporteurs relativement à l’IPEC.

8.4 Systèmes de technologie de l’information

37. La PCED, le SSMAEC et TITAN sont trois applications de TI que l’ASFC utilise pour recevoir, stocker et évaluer des données de l’IPEC. Leur criticité opérationnelle a été reconnue dans le Plan de TI de l’ASFC de 2018-2021. [*] TITAN et la majorité du SSMAEC devaient être mis hors service avec la mise en œuvre du Manifeste électronique. À l’heure actuelle, les fonctionnalités prévues dans le Manifeste électronique n’ont pas été entièrement stabilisées, et il n’y pas d’échéances claires pour le remplacement et la mise hors service des applications. De plus, même si l’analyse et la planification ont été amorcées, les plans pour le remplacement de la PCED ne sont pas définis en raison d’un manque de financement.

38. Notre évaluation comprenait un examen des contrôles des trois applications pour s’assurer que les bonnes personnes ont accès aux données, que les systèmes sont sécuritaires et stables et que l’intégrité des données a été préservée lors du passage des données dans les différents systèmes.

Contrôles d’accès

39. Des contrôles de l’accès des utilisateurs peuvent contribuer à s’assurer que seules les personnes qui doivent avoir accès aux données, les modifier ou les sauvegarder peuvent le faire. La section 16.4.3 de la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information exige que l’accès des utilisateurs soit revu de façon périodique. Le tableau 2 présente le nombre d’utilisateurs pour chaque système, par type de compte. L’équipe a noté que 632 comptes génériques existaient pour le SSMAEC. Les comptes génériques ne peuvent pas être associés à un utilisateur en particulier et ne permettent donc pas la responsabilisation des mesures effectuées dans le système.

Tableau 2

Applications Accès privilégié Accès ordinaire Comptes génériquesNote de bas de page 4
PCED 13 87Note de bas de page 5 s.o.
SSMAEC 80 18 971 632
TITAN 84 2 147 s.o.
Source : SSMAEC (Services d’applications opérationnelles – février 2018),
TITAN (Portefeuille commercial – octobre 2017) et
PCED (Services d’entreprise – janvier 2018).

40. Nous avons sélectionné un échantillon aléatoire de 40 utilisateurs ayant un accès ordinaire et de 10 utilisateurs ayant un accès privilégiéNote de bas de page 6 pour le SSMAEC et TITAN afin d’évaluer si les utilisateurs étaient des employés de l’ASFC. Les observations de l’équipe d’audit sont conformes aux faiblesses relevées dans les évaluations de la menace et des risques (EMR) effectuées en 2011 pour chaque système. Comme lors des EMR, nous avons constaté que les responsables des applications ne contrôlent pas régulièrement l’accès et que, par conséquent, bon nombre des utilisateurs faisant partie de l’échantillon n’étaient pas actuellement des employés de l’ASFC. Il convient de souligner que 7 utilisateurs sur 10 ayant un accès privilégié au SSMAEC visés par l’examen n’étaient plus des employés de l’ASFC. Le tableau 3 présente les résultats de chaque système, pour les utilisateurs ayant un accès ordinaire ou un accès privilégié.

Tableau 3

Systèmes Utilisateurs ayant un accès privilégié Utilisateurs ayant un accès ordinaire
Employé de l’ASFC N’est pas actuellement un employé de l’ASFC Employé de l’ASFC N’est pas actuellement un employé de l’ASFC
SSMAEC 3/10 7/10 15/40 25/40
TITAN 8/10 2/10 31/40 9/40

41. Nous avons également évalué tous les utilisateurs de la PCED et n’avons relevé aucune lacune en ce qui a trait à l’accès ordinaire et à l’accès privilégié. Les responsables de l’application accordent un accès aux nouveaux utilisateurs pour une période de six mois et procèdent à un contrôle semi-annuel de l’accès des utilisateurs de la PCED par la suite, ce qui contribue à s’assurer que l’accès est approprié.

42. Nous avons examiné si les rôles et les droits connexes accordés aux utilisateurs dans les trois systèmes étaient raisonnables par rapport à leurs fonctions. Les rôles des utilisateurs accordés dans TITAN et la PCED étaient raisonnables. Même si 51 des 66 rôles relevés dans le SSMAEC se trouvant dans la liste des utilisateurs étaient documentés, 15 rôles et les droits d’accès connexes ne l’étaient pas. Par conséquent, nous ne pouvions pas évaluer le caractère raisonnable de l’accès au SSMAEC.

43. Même si des faiblesses ont été relevées dans l’accès des utilisateurs, des contrôles compensatoires sont en place pour protéger le réseau et les applications contre un accès non autorisé, comme le verrouillage de l’accès au réseau lorsque le profil d’un utilisateur est inactif et la prestation d’un accès à l’ordinateur central uniquement aux utilisateurs figurant dans le système. De plus, l’Agence a commencé à mettre en œuvre l’application Évaluation et certification de l’accès en octobre 2017, qui exige que les gestionnaires revoient les permissions de leurs employés pour s’assurer que leur accès aux systèmes est approprié. TITAN s’inscrit dans ce processus.

Recommandation 2 : Le vice-président de la Direction générale de l’information, des sciences et de la technologie (DGIST), en collaboration avec les directions générales des Échanges commerciaux ainsi que du Renseignement et de l’exécution de la loi, devrait revoir les mesures de contrôle pour l’accès au SSMAEC, notamment les comptes expirés, l’identification des utilisateurs génériques et les documents sur les rôles concernant l’accès des utilisateurs.

Réponse de la direction

En accord. Le vice-président de la DGIST, en collaboration avec la Direction générale des échanges commerciaux et la Direction générale du renseignement et de l’exécution de la loi, examinera le SSMAEC, notamment les comptes expirés, l’identification des utilisateurs génériques et les documents sur les rôles concernant l’accès des utilisateurs.

À la suite de cet examen, le vice-président de la DGIST, en collaboration avec la Direction générale des échanges commerciaux et la Direction générale du renseignement et de l’exécution de la loi, établira une stratégie pour faire expirer les comptes de SSMAEC, déterminera quand l’identification des utilisateurs génériques peut être autorisée et consignera par écrit les rôles concernant l’accès des utilisateurs du SSMAEC.

Contrôles de sécurité

44. La Méthode de contrôle de la gestion de la sécurité a été établie à l’ASFC pour s’assurer que des mesures de sécurité de base sont mises en œuvre avant que des systèmes soient mis sur le réseau.

45. Puisque les trois applications sont des systèmes qui existaient avant la Méthode de contrôle de la gestion de la sécurité, nous avons constaté qu’elles avaient été évaluées en fonction d’anciens processus et que des recommandations avaient été formulées par la sécurité de la TI pour améliorer la sécurité de l’information des applications. Cependant, la documentation à l’appui de la clôture de ces recommandations n’était pas disponible. [*] Lors de l’audit, nous avons appris que des normes avaient depuis été établies pour améliorer la conservation des documents.

Mises à jour des applications, correctifs et séparation des tâches

46. La méthode de gestion des mises à jour et la méthode de gestion des opérations, ainsi que les procédures à l’appui, exigent que les changements apportés aux applications soient approuvés et mis à l’essai. Les approbations, intégrées dans les processus, doivent préserver la séparation des tâches entre l’élaboration et la production de l’application.

47. Nous avons examiné la documentation pour un échantillon de huit changements à liés la PCED, au le SSMAEC et à TITAN. Dans l’ensemble, les mises à jour sont conformes aux processus ministériels. Cependant, dans le cas des deux changements urgents examinés, l’approbation n’avait pas été documentée. Les approbations auraient été accordées verbalement ou par messages textes. Puisque le document sur les procédures pour les changements urgents ne précise pas si une approbation verbale ou écrite est acceptable, l’approbation de tous les changements urgents n’a pas pu être démontrée.

Recommandation 3 : Le vice-président de la DGIST devrait examiner les procédures relatives aux changements d’urgence aux systèmes de TI pour préciser que suffisamment de documents doivent être conservés afin de prouver l’approbation des changements.

Réponse de la direction

En accord. Le vice-président de la DGIST s’assurera que les procédures relatives aux changements d’urgence aux systèmes de TI sont examinées et qu’elles sont modifiées au besoin pour que suffisamment de documents soient conservés afin de prouver l’approbation des changements.

Intégrité des données

48. Une fois que l’ASFC les a reçues, les données de l’IPEC sont transmises à partir de la PCED, en passant par le SSMAEC et TITAN. Un échantillon aléatoire de 30 transactions a été contrôlé afin d’évaluer si l’intégrité des données avait été préservée lors de la transmission. Aucune lacune n’a été relevée dans l’intégrité des données transmises entre la PCED, le SSMAEC et TITAN.

49. La PCED et le SSMAEC ont également des règles de validation des données, lesquelles évaluent les données pour s’assurer qu’elles respectent certains paramètres et pour éviter les erreurs de syntaxes (comme un nombre incorrect de caractères ou les exigences alphanumériques). Nous avons contrôlé quatre règles de validation pour évaluer si elles fonctionnaient comme prévu.

50. Nous avons constaté que trois des quatre règles de validation examinées fonctionnaient efficacement. Une règle de validation, conçue pour s’assurer que les codes postaux américains respectent les paramètres appropriés, ne fonctionnait pas comme prévu; elle avait été élaborée, mais n’avait pas été mise en production. [*]

8.5  Planification stratégique, suivi et rapports

51. La gestion efficace des fonds publics dépend de la collecte de données fiables et est appuyée par une planification, un suivi et une production de rapports efficacesNote de bas de page 7. L’audit a examiné si des plans étaient en place pour appuyer l’orientation stratégique de l’IPEC et si un suivi et une production de rapports étaient en place.

Planification stratégique

52. Pendant des années, dans le cadre d’Objectif 2020, de la Modernisation frontalière et, plus récemment, du Renouvellement de l’ASFC, l’Agence a communiqué le désir de créer un modèle de conformité fondé sur le risque où la technologie et les renseignements seront utilisés afin d’accélérer la circulation des personnes et des marchandises légitimes et de déterminer plus précisément les marchandises à risque élevé ou inconnu en vue d’un examen plus poussé. L’utilisation de l’analyse des données constitue également une priorité clé orientant la vision de l’IPEC, car elle permettra aux agents de ciblage de tirer davantage profit de l’information, comme les renseignements, pour prendre la décision de renvoyer le fret en vue d’un examen. Cette approche sera plus exhaustive et efficace que les pratiques actuelles.

53. Cependant, cette vision dépend de la mise en œuvre complète de fonctionnalités précises liées au Manifeste électronique. [*] Au moment de l’audit, ces fonctionnalités étaient en suspens en raison d’un manque de financement et aucun plan stratégique n’avait été élaboré pour décrire les priorités, les activités et les échéances connexes pour expliquer de quelle façon la vision de l’IPEC serait réalisée.

54. [*]

55. Sans un plan clair et des ressources suffisantes pour le mettre en œuvre, l’Agence ne peut pas apporter les changements nécessaires pour réaliser sa vision pour l’évaluation du risque dans le secteur commercial.

Recommandation 4 : Le vice-président de la DGIST, en collaboration avec les directions générales des Échanges commerciaux et du Renseignement et de l’exécution de la loi, devrait établir et mettre en œuvre un plan pour stabiliser les initiatives et les applications commerciales nécessaires pour évaluer et traiter efficacement les données de l’IPEC.

Réponse de la direction

En accord. Le vice-président de la DGIST, en collaboration avec la Direction générale des échanges commerciaux et la Direction générale du renseignement et de l’exécution de la loi, établira et mettra en œuvre un plan pour stabiliser les initiatives et applications commerciales nécessaires pour évaluer et traiter efficacement les données de l’IPEC.

À la suite de la mise en œuvre de ce plan, le vice-président de la DGIST, en collaboration avec la Direction générale des échanges commerciaux et la Direction générale du renseignement et de l’exécution de la loi, établira une stratégie pour stabiliser les applications commerciales afin de traiter efficacement les données de l’IPEC et d’en évaluer efficacement les risques.

Recommandation 5 : Le vice-président de la Direction générale des échanges commerciaux, en collaboration avec la DGIST, devrait élaborer et mettre en œuvre un plan stratégique pour établir la vision de l’Agence concernant l’IPEC dans le mode aérien. Ce plan devrait comprendre une stratégie pour régler les lacunes en matière d’intégrité du programme qui sont liées aux problèmes actuels entourant les systèmes de TI de l’IPEC.

Réponse de la direction

Le vice-président de la Direction générale des échanges commerciaux est d’accord avec la recommandation et veillera à ce que la Direction générale des échanges commerciaux, en collaboration avec la DGIST et d’autres secteurs au besoin, élabore un plan stratégique pour l’IPEC dans le mode aérien. Le plan stratégique comprendra les éléments pour se pencher sur l’intégrité du programme relativement aux problèmes des systèmes de TI.

Suivi et rapports

56. L’audit a évalué si la direction recevait régulièrement des rapports sur le suivi des tendances, des enjeux, des résultats et du rendement des activités liées à l’IPEC.

57. Dans le cadre du Sommaire du rendement de l’Agence, la Direction générale des programmes présente des résultats trimestriels sur les volumes de sanctions imposées, les résultats des appels, les renvois et le rendement de l’ASFC par rapport à la norme de service de trois jours pour la délivrance des codes de transporteur. Même si les résultats sur le rendement n’étaient pas établis en fonction de chaque mode au moment de l’audit, la Direction générale des programmes a commencé à présenter les résultats pour les principaux indicateurs de rendement internes en fonction de chaque mode en juin 2018.

58. Le CNC de la Direction générale des opérations effectue un suivi proactif du rendement des données de l’IPEC. Des rapports mensuels sont établis sur la non-conformité concernant l’IPEC dans le mode aérien. Le CNC a récemment commencé à analyser les données pour comparer l’information fournie dans les documents de mainlevée, une source d’information liée à la déclaration en détail des marchandises, aux données de l’IPEC transmises plus tôt dans le cadre du processus. Cette analyse vise à démontrer et à quantifier les avantages de l’obtention de données sur la mainlevée avant l’arrivée afin de mieux éclairer l’évaluation du risque pour le ciblage.

59. Même si l’Agence a établi des capacités pour surveiller et rendre compte des activités liées à l’IPEC, elle n’a pas mis de mesures ou de rapports en place sur la qualité globale des données et les résultats des différentes mesures prises pour la gestion de la non-conformité liée aux données de l’IPEC. La direction du programme ne peut donc pas être informée des tendances, des risques, des résultats et du rendement du programme de l’IPEC et ni apporter les ajustements qui s’imposent.

Recommandation 6 : Le vice-président de la Direction générale des échanges commerciaux devrait mettre en place une surveillance et une reddition de compte régulières du rendement de l’IPEC pour fournir à la direction du programme de l’information en temps opportun pour la prise de décisions.

Réponse de la direction

La Direction générale des échanges commerciaux est d’accord pour élaborer une stratégie de mesure du rendement permettant de recueillir des données sur le rendement pour la surveillance du programme et la gestion de l’IPEC dans le mode aérien. Cela comprendra l’examen des données disponibles et des priorités et l’élaboration d’indicateurs de rendement ainsi que leur inclusion dans le Sommaire du rendement de l’Agence.

Annexe A – À proposs de l'audit

Objectif et portée de l'audit

L’objectif de l’audit consistait à s’assurer qu’un cadre de contrôle de la gestion et des systèmes sont en place afin que la réception de l’information préalable sur les expéditions commerciales (IPEC) dans le mode aérien respecte les politiques et soit de qualité suffisante pour permettre à l’ASFC de réaliser une évaluation efficace des risques des marchandises commerciales avant leur arrivée.

L’audit portait sur le cadre de contrôle de la gestion en place en vue d’assurer la qualité et l’intégrité des données du programme IPEC dans le mode aérien. Il visait également l’efficacité des systèmes en place pour appuyer la réception des données de l’IPEC soumises par voie électronique à l’ASFC. L’audit portait sur les données de l’IPEC dans le mode aérien soumises d’avril 2016 à novembre 2017.

Un audit des données de l’information préalable sur les expéditions commerciales dans le mode aérien – Qualité et intégrité des données dans les systèmes a été approuvé par le Comité de vérification de l’Agence dans le cadre du Plan de vérification axé sur les risques de 2017-2022.

Évaluation des risques

Une évaluation préliminaire des risques a été réalisée lors de la phase de planification afin de cerner les secteurs susceptibles de présenter des risques ainsi que de déterminer les priorités de l’audit. Parmi les activités d’évaluation des risques, on compte notamment des entrevues avec les principaux intervenants du programme de l’IPEC – mode aérien, l’examen des documents pertinents and une analyse préliminaire des données de l’IPEC. À la lumière de cette évaluation, les principaux risques suivants ont été relevés :

Systèmes de l’IPEC

Conformité avec les lois et les politiques

Qualité des données de l’IPEC transmises (ponctualité et intégralité)

Surveillance et établissement de rapports

Approche et méthode

Les méthodes et les techniques suivantes ont été utilisées pendant la phase d’examen de l’audit :

Critères de l'audit

Les critères de l’audit sont conformes au Cadre de responsabilisation de gestion du gouvernement, le cadre des Contrôles de gestion de base et de Critères de vérification, établis par le Bureau du contrôleur général et le Committee of Sponsoring Organizations of the Treadway Commission (COSO) et les Principles of Effective Internal Control and Control Objectives for Information and Related Technologies (COBIT).

Compte tenu des observations préliminaires de la phase de planification, les critères suivants ont été choisis pour l’audit :

Secteurs d'intérêt Critères de vérification

1. Systèmes TI – Contrôles des applications, durabilité, intégrité et sécurité des données

1.1 Les applications ont été examinées adéquatement pour valider les contrôles de sécurité, et les contrôles d’accès et la séparation des tâches sont appropriés.

1.2 Des versions des applications et des correctifs sont mis en œuvre et vérifiées conformément aux processus ministériels.

1.3 Les contrôles de validation PCED et SSMAEC sont examinés périodiquement et l’intégrité des données contenues dans l’information du processus IPEC est préservée entre PCED, SSMAEC et TITAN.

1.4 La planification et l’orientation stratégiques liées aux systèmes IPEC ont été définies pour régler la question de l’infrastructure vieillissante.

2. Conformité à la législation, aux règlements et aux procédures

2.1 Les politiques de l’ASFC sur l’IPEC sont élaborées, examinées, mises à jour et communiquées pour veiller à ce que le programme IPEC – mode aérien respecte les lois et les règlements.

2.2 Un mécanisme efficace qui permet de déterminer et de gérer la non-conformité est en place et est appuyé par des ressources qualifiées.

2.3 Le Régime de sanctions administratives pécuniaires est en place et permet de déterminer, de valider, d’imposer et de surveiller les sanctions imposées aux transporteurs fautifs.

2.4 Des codes de transporteur sont émis, validés et révoqués selon les lois et des mécanismes de surveillance sont en place pour veiller à la bonne gestion des exigences relatives à l’identification du transporteur.

3. Qualité des données

3.1 Les données de l’IPEC transmises par les transporteurs sont complètes et opportunes pour permettre l’exécution des activités de ciblage.

3.2 La planification et l’orientation stratégiques pour le programme IPEC – mode aérien ont été définies, documentées, mises en œuvre et communiquées pour assurer l’amélioration de la qualité des données et la réussite du programme.

4. Surveillance et établissement de rapports

4.1 Un processus de surveillance et d’établissement de rapports est en place pour permettre d’informer la haute direction au sujet des tendances, des enjeux, des résultats et du rendement du programme IPEC – mode aérien.

Annexe B – Liste des sigles

ASF
Agent des services frontaliers
ASFC
Agence des services frontaliers du Canada
CNC
Centre national de ciblage
DECCE
Document sur les exigences à l’égard des clients du commerce électronique
DGIST
Direction générale de l’information, des sciences et de la technologie
EMR
Évaluations de la menace et des risques
IPEC
Information préalable sur les expéditions commerciales dans le mode aérien
PCED
Plateforme du commerce électronique des douanes
SSMAEC
Systèmes de soutien de la mainlevée accélérée des expéditions commerciales
TI
technologie de l’information
UCT
Unité de la conformité des transporteurs
Date modified: