Audit des contrôles de facturation du fournisseur de services dans le cadre de l’Initiative de transformation des services de courriel
Rapport d’audit final
Bureau de la vérification et de l’évaluation
Septembre 2017
Période d’examen de septembre 2016 à décembre 2016
Sommaire
Points examinés
Le présent audit avait pour but de fournir à Services partagés Canada (SPC) une assurance raisonnable quant à l’exactitude des rapports de facturation présentés par le fournisseur de services dans le cadre de l’Initiative de transformation des services de courriel (ITSC).
La portée de l’audit englobait les contrôles et les processus de facturation du fournisseur de services, y compris tous les dossiers et les systèmes à l’appui de la facturation de l’ITSC entre le 1er février 2015 et le 31 juillet 2016.
L’audit portait sur quatre principaux points du processus de facturation :
- rapports concernant la boîte de réception;
- services de gestion BlackBerry;
- cibles des niveaux de service;
- processus d’approbation des demandes de changement.
Importance
Dans le cadre de l’approche pangouvernementale en matière de technologie de l’information, SPC s’est vu confier le mandat de l’ITSC, dont le but consiste à consolider et à moderniser les services de courriel en remplaçant 63 systèmes de messagerie électronique différents dans 43 organismes partenaires par un seul système de courriel. En vertu de l’ITSC, un contrat a été attribué à un fournisseur de services; le contrat précise les divers services, les dispositions, les exigences, l’énoncé des travaux et les prix des services.
SPC compte sur le fournisseur de services pour obtenir des données relatives aux factures et aux rapports reçus, et l’exactitude et l’exhaustivité des données reçues pour vérifier les factures suscitent des inquiétudes en raison du montant élevé et de l’impact de la valeur du contrat. Par conséquent, SPC a invoqué son droit d’effectuer un audit afin de cerner les problèmes et d’obtenir une meilleure vue d’ensemble de l’exactitude des processus, des contrôles et des données de facturation du fournisseur de services en lien avec l’ITSC.
Constatations
Dans le cadre de l’audit, nous avons constaté que SPC et le fournisseur de services travaillaient de concert pour trouver une solution aux divergences concernant les rapports sur les comptes courriel et des comptes de gestion de l’identité (c.-à-d. la première étape de la création d’un compte d’utilisateur pour permettre la génération d’une boîte de réception).
Un dialogue constant entre SPC et le fournisseur de services tout au long de cet audit, de même que l’analyse effectuée par l’équipe de l’ITSC de SPC, a permis de cerner et de corriger les divergences dans les rapports BlackBerry.
Nous avons constaté que le processus utilisé par le fournisseur de services pour le calcul des cibles de niveau de service produisait des données exactes. Toutefois, les périodes de conservation des données brutes devraient être convenues entre SPC et le fournisseur de services.
Bien que nous ayons constaté qu’en général, un processus efficace de gestion du changement est en place, SPC et le fournisseur de services devraient définir et documenter les changements se trouvant dans la portée du travail continu de migration des courriels, et les changements à présenter au Comité consultatif sur les changements aux fins d’approbation.
Sharon Messerschmidt
Dirigeante principale de la vérification et de l’évaluation
Contexte
Dans le cadre de l’approche pangouvernementale en matière de technologie de l’information, Services partagés Canada (SPC) s’est vu confier le mandat de l’Initiative de transformation des services de courriel (ITSC), dont le but consiste à consolider et moderniser les services de courriel en remplaçant 63 systèmes de messagerie électronique différents dans 43 organismes partenaires par un seul système de courriel. Dans le cadre de l’ITSC, un contrat a été attribué à un fournisseur de services pour une solution de service courriel, des services de messagerie répartis et une méthode de gestion des appareils mobiles. Le contrat comprend les éléments suivants : exigences contractuelles applicables, énoncé des travaux détaillé et prix pour tous les services.
Pour toutes les transactions financières contractuelles, en vertu de la Loi sur la gestion des finances publiques, de la Directive sur la vérification des comptes du Conseil du Trésor, et du processus de gestion financière de SPC :
- les pouvoirs délégués doivent certifier que les travaux ont été accomplis, ou que les biens ou les services ont été fournis;
- que le contrat ou l’accord sur les modalités a été comblé, y compris le prix, la quantité, et la qualité;
- que les transactions sont exactes avant le paiement.
Pour assurer l’attestation relative au contrat d’ITSC, SPC dépendait des renseignements fournis par le fournisseur de services afin de vérifier l’exactitude des données à l’appui des factures. SPC a soulevé des questions en ce qui concerne l’exactitude des données fournies par le fournisseur de services, et de la complexité des processus de facturation, on a décidé qu’il fallait réaliser un audit des contrôles de l’intégrité des données du fournisseur de services en lien avec les factures de l’ITSC afin de fournir à SPC une assurance quant à l’exactitude des factures et des données.
SPC avait précédemment demandé au fournisseur de services de lui fournir une attestation de ses contrôles internes sur le processus de facturation; cependant, l’attestation présentée a été jugée insuffisante pour les besoins de SPC. Étant donné ce fait, d’autres problèmes de facturation, et le fait que SPC devait obtenir l’assurance de l’exactitude des données liées à la facturation, aux contrôles et aux processus liés à l’ITSC, SPC a invoqué son droit d’effectuer un audit du fournisseur de services, conformément au contrat.
Dans le cadre du processus de facturation établi, une facture mensuelle et un fichier de facturation détaillé qui comprend les données détaillées de chaque élément de l’ITSC sont fournis à SPC. Ce fichier comprend les éléments suivants : renseignements détaillés concernant les frais encourus par SPC par élément (mensuels et uniques), les montants dus au fournisseur de services, et les données brutes à l’appui de la facture. Un portail Web de prestation de services a été créé pour la préparation de rapports, la gestion des comptes et les demandes de services. SPC peut accéder aux rapports préparés par le fournisseur de services par le biais du portail et s’en servir pour effectuer le rapprochement du fichier de facturation détaillé avec les factures.
Afin d’évaluer le niveau de service offert à SPC, des cibles de niveau de service ont été définies dans le contrat pour évaluer l’assurance, le rendement et la prestation des services du fournisseur de services par rapport à des cibles particulières. Lorsqu’une cible de niveau de service n’est pas atteinte, le fournisseur doit accorder un crédit à SPC; la méthode de calcul des crédits est indiquée dans le contrat et d’autres précisions sont données dans un document sur la méthodologie. Ces crédits peuvent être d’une grande valeur, et SPC dépendait entièrement du fournisseur de services pour les données sur l’atteinte de ces cibles. Par conséquent, la direction de SPC voulait s’assurer de l’exactitude des données reçues quant aux données cibles actuelles et au calcul des cibles de niveau de service.
Objectif
Le présent audit avait pour but de donner au président de SPC une assurance raisonnable quant à l’exactitude des rapports de facturation soumis par le fournisseur de services de courriel du gouvernement du Canada.
Portée
La portée de l’audit englobait les contrôles et les processus de facturation du fournisseur de services, y compris tous les dossiers et les systèmes à l’appui de la facturation de l’ITSC entre le 1er février 2015 et le 31 juillet 2016.
L’audit portait sur quatre points principaux :
- rapports concernant la boîte de réception;
- services de gestion BlackBerry;
- cibles de niveau de service;
- processus d’approbation des demandes de changement.
Méthodologie
Durant l’audit, le Bureau de la vérification et de l’évaluation a :
- interviewé des employés de SPC et du fournisseur de services;
- effectué des examens des systèmes;
- examiné des documents pertinents, comme le contrat de l’ITSC, les documents sur la méthodologie et le guide de gestion des services;
- fait l’analyse des données.
Le travail mené sur le terrain pour les besoins de cet audit a été achevé en grande partie en décembre 2016.
Énoncé de conformité
Le présent audit respecte les Normes relatives à la vérification interne au sein du gouvernement du Canada, comme le confirment les résultats du programme d’assurance et d’amélioration de la qualité de SPC.
Des procédures suffisantes et appropriées ont été suivies, et des données probantes ont été recueillies afin de soutenir l’exactitude des conclusions de l’audit. Les constatations et les conclusions de l’audit étaient basées sur une comparaison des conditions qui existaient au moment de l’audit selon des critères établis convenus avec la direction.
Les constatations et les conclusions s’appliquent uniquement à l’entité examinée ainsi qu’à la portée et à la période visées par l’audit.
Constatations détaillées et recommandations
Rapports concernant la boîte de réception
Nous nous attendions à ce que les renseignements sur les rapports concernant la boîte de réception dans le fichier de facturation détaillé (c.-à-d. les données détaillées et les montants dus, y compris les numéros et les types de boîtes de réception) et les rapports à l’appui soient précis.
En ce qui concerne les boîtes de réception, SPC a remarqué plusieurs problèmes avec le rapport fourni par le fournisseur de services pour permettre à SPC de valider les données pour les boîtes de réception et les services de gestion de l’identité (c.-à-d. les services liés à l’étape initiale de création d’un compte d’utilisateur pour permettre la génération d’une boîte de réception). Une analyse de la période entre août 2015 et octobre 2015 révèle un écart marqué entre les données figurant dans les rapports à l’appui et les fichiers de facturation détaillés (de l’ordre de 39 % à 78 %); par conséquent, il n’était pas possible d’effectuer un rapprochement entre les rapports et les fichiers de facturation détaillés. Ainsi, SPC n’était pas d’accord avec les frais facturés pour les services de boîte de réception et de gestion de l’identité.
Nous avons constaté que tout au long de cet audit, SPC et le fournisseur de services avaient collaboré activement pour trouver une solution aux divergences dans les rapports. Des demandes de changement ont été mises en oeuvre pour ajouter un identifiant unique dans le rapport et le fichier de facturation détaillé afin que SPC puisse effectuer le rapprochement entre les données des deux documents. Le rapport sur les comptes de gestion de l’identité a également été amélioré en y ajoutant de nouveaux attributs pour des rapports plus détaillés, ainsi que l’automatisation du processus de facturation.
Dans le contrat relatif à l’ITSC, il existe trois types de comptes de boîte de réception (utilisateur, ressource et générique), chacun ayant un nombre précis de boîtes de réception avant que s’ensuivent des coûts supplémentaires. Cela étant dit, le serveur du fournisseur de services ne reconnaissait pas l’un des types de comptes, et n’était pas en mesure de se connecter à l’outil principal de la base de données. Cela a causé des erreurs entre ce qu’a commandé SPC et les services facturés. Dans plusieurs cas, SPC a été facturé pour les comptes utilisateur plutôt que le nombre de comptes génériques commandés.
Cette situation pourrait entraîner un impact exponentiel sur SPC puisqu’il y aura une augmentation du volume de comptes. Si ce problème de transposition de comptes continue, SPC risque de surpasser le nombre de boîtes de réception permis par type en vertu du contrat, et se voir facturer des frais par erreur. Bien que SPC et le fournisseur de services travaillent de concert pour résoudre les erreurs de compte pendant la période de l’audit, les erreurs pouvaient seulement être corrigées manuellement.
Recommendation 1
Le sous-ministre adjoint, Réseau et utilisateurs finaux, devrait en concert avec le fournisseur de services, développer et mettre en oeuvre une solution pour résoudre la transposition des comptes pour s’assurer que les types de boîtes de réception (utilisateur, ressource et générique) soient identifiées et comptabilisées de manière précise.
Rapport sur les services de gestion BlackBerry
Nous nous attendions à ce que les renseignements fournis dans le fichier de facturation détaillé et les rapports à l’appui pour les services de gestion BlackBerry soient exacts.
SPC a soulevé des inexactitudes concernant les rapports BlackBerry et le rapprochement des données entre les rapports obtenus par SPC par l’entremise du portail de services et le fichier de facturation détaillé. Ces problèmes concernent les numéros d’identité personnels et les doublons de numéros de téléphone, les codes et les incohérences dans les rapports. Nous avons constaté que les rapports à l’appui pour les services de gestion BlackBerry étaient raisonnablement exacts lorsqu’on en faisait le rapprochement avec le fichier de facturation détaillé. Bien qu’ils ne concordaient pas parfaitement, nous ne nous attendions pas à une concordance à 100 % en raison des différences dans les délais de présentation des rapports et des mises à jour quotidiennes des renseignements sur les serveurs Exchange de BlackBerry. De plus, il est possible qu’il se produise encore des doublons à l’avenir puisque certains utilisateurs ne suppriment pas leurs comptes antérieurs lorsqu’ils reçoivent un nouvel appareil, ce qui provoque des doublons de numéros de téléphone et de numéros d’identité personnels.
Nous avons constaté que le dialogue constant entre SPC et le fournisseur de services pendant le déroulement de cet audit, ainsi que l’analyse effectuée par l’équipe de l’ITSC de SPC, ont permis de cerner et de corriger ces divergences. La cause principale de ces divergences était des omissions dans le fichier de facturation détaillé. Dorénavant, un rapport à jour du portail de service sera utilisé, ce qui permettra d’effectuer en moins de temps et de façon plus précise la validation des données de BlackBerry.
Cibles de niveau de service
Nous nous attendions à ce que les renseignements fournis dans le fichier de facturation détaillé et les rapports à l’appui pour les cibles de niveau de service soient exacts.
En fonction des tests de l’audit, nous avons constaté que le processus utilisé par le fournisseur de services pour calculer les cibles de niveau de service produisait des données exactes. Des rapprochements de données ont été effectués entre le rapport fourni à SPC et les registres de données brutes, et aucun écart n’a été constaté. Les détails indiqués dans les documents sur la méthodologie des cibles de niveau de service soumis par le fournisseur de services sont fidèles aux examens effectués et aux résultats obtenus pendant l’audit.
Cela étant dit, nous avons constaté que les registres de données brutes concernant les cibles de niveau de service étaient conservés pendant trois mois sur les serveurs du fournisseur de services. Un cycle de suppression hebdomadaire automatisé dans le processus supprime des serveurs toutes les données brutes datant de plus de trois mois.
Selon les pratiques exemplaires de l’industrie, les données brutes sont généralement conservées pendant une période de six mois lorsque leur conservation est effectuée à l’interne par une organisation. Les données recueillies par un fournisseur de services concernant les services qu’il a rendus à un client sont généralement conservées pendant un an. Étant donné que tous les crédits relatifs aux cibles de niveau de service appliqués à un fichier de facturation détaillé concernent des données datant de deux mois, il pourrait y avoir des répercussions (p. ex. litige ou délai d’exécution trop court) pour SPC si l’organisation désire examiner des données antérieures qui ne sont plus disponibles.
Recommendation 2
Le sous-ministre adjoint, Réseau et utilisateurs finaux, devrait discuter des périodes de conservation des données brutes avec le fournisseur de services afin de veiller à ce que les données soient gardées pendant une période raisonnable répondant aux besoins du Ministère.
Processus d’approbation de demande de changement
Nous nous attendions à ce que le processus d’approbation des demandes de changement du fournisseur de services fasse l’objet de mesures de contrôle appropriées qui fonctionnent de la façon prévue.
SPC craignait que le fournisseur de services ait mis en oeuvre une demande de changement rejetée par SPC.
L’équipe d’audit a examiné le processus documenté d’approbation des demandes de changement. Dans le cadre du processus de gestion du changement, le Comité consultatif sur le changement (qui comprenait les membres pertinents de SPC) a appuyé l’autorisation des changements et facilité la gestion des changements dans l’évaluation et l’établissement de la priorité des changements.
En ce qui concerne la demande de changement en question, nous n’avons constaté aucune dérogation par rapport au processus d’approbation des demandes de changement, et la modification n’a pas été mise en oeuvre après que la demande a été rejetée par SPC. Le problème découlait d’une augmentation temporaire d’affectations mises en oeuvre par le fournisseur de services afin de minimiser les effets opérationnels avant de trouver une solution permanente. SPC considérait que l’augmentation nécessitait une demande de gestion du changement, alors que le fournisseur de services considérait qu’elle faisait partie des travaux de migration.
Une meilleure communication entre le fournisseur de services et SPC aurait pu prévenir ce problème, car chaque équipe aurait été tenue informée de la situation au cours du processus de changement. D’autres précisions et discussions avec le fournisseur de services pourraient permettre d’éviter des problèmes du même genre à l’avenir.
Recommendation 3
Si les migrations des courriels se poursuivent, le sous-ministre adjoint, Réseau et utilisateurs finaux, devrait définir et documenter les changements qui se trouvent dans la portée du travail continu de migration des courriels, et les changements à présenter au Comité consultatif sur les changements aux fins d’approbation.
Conclusion
En raison des écarts dans les rapprochements, SPC avait des inquiétudes concernant l’exactitude des factures et des données détaillées des factures reçues du fournisseur de services. Compte tenu de la valeur élevée du contrat et du fait que SPC compte exclusivement sur le fournisseur de services pour obtenir les données relatives aux factures, un audit des processus d’établissement de rapports et des contrôles liés aux factures de l’ITSC a été demandé pour donner à la direction de SPC une assurance quant à l’exactitude des données utilisées pour la facturation détaillée. L’audit était axé sur quatre principaux points du processus de facturation : les rapports concernant la boîte de réception, les services de gestion BlackBerry, les cibles des niveaux de service, et le processus d’approbation des demandes de changement.
Tout au long de cet audit, nous avons constaté que SPC et le fournisseur de services collaboraient pour trouver une solution aux divergences dans les rapports concernant la boîte de réception et les rapports sur la gestion de l’identité. S’il y a une augmentation du volume de comptes, SPC risque de dépasser l’allocation des boîtes de réception et de se voir facturer des frais par erreur si les serveurs transforment par inadvertance des comptes génériques en comptes d’utilisateur.
En général, nous avons constaté que le processus utilisé par le fournisseur de services pour calculer les cibles de niveau de service produisait des données précises. Des rapprochements de données ont été effectués entre le rapport fourni à SPC et les registres de données brutes, et aucun écart n’a été constaté. Nous avons remarqué que les périodes de conservation des données utilisées étaient moins que les pratiques exemplaires qui indiquent généralement des périodes de conservation de six mois à un an. Ces périodes pourraient avoir des répercussions opérationnelles sur le rapprochement des données, compte tenu du court délai d’exécution fourni à SPC.
Le fournisseur de services dispose d’un processus documenté de gestion des changements, inclut les membres pertinents de SPC, et fonctionne à titre de contrôle approprié, comme prévu. Il y avait cependant un malentendu concernant les actions pouvant faire partie des travaux continus de migration, et celles devant suivre le processus de demande de changement. Des précisions et des communications supplémentaires avec le fournisseur de services concernant ce problème aideraient à clarifier les diverses interprétations concernant ce qui fait partie des travaux continus de migration.
Les recommandations de l’audit devraient être abordées, avant de poursuivre des migrations à nouveau puisque cela préviendra la répétition de ces problèmes, ainsi que des frais supplémentaires et du travail de la part de SPC.
Réponse et plans d’action de la direction
Recommendation 1
Le sous-ministre adjoint, Réseau et utilisateurs finaux, devrait en concert avec le fournisseur de services, développer et mettre en oeuvre une solution pour résoudre la transposition des comptes pour s’assurer que les types de boîtes de réception (utilisateur, ressource et générique) soient identifiées et comptabiliser de façon précis.
| Plan d’action de la direction | Poste responsable de la mesure | Date d’achèvement |
|---|---|---|
| Les processus de bureau de service et de gestion des problèmes établis ont été suivis pour déceler cet enjeu. Ils ont ensuite été examinés dans le cadre des réunions hebdomadaires des opérations entre les Opérations de courriel de SPC et le fournisseur de services, où une demande de changement opérationnel a été générée par le fournisseur de services. La demande de changement a été mise à l’essai et approuvée par les Opérations de courriel de SPC, pour ensuite être mise en oeuvre le 8 décembre 2016. | Directeur général, Secteur des services de courriel | 8 décembre 2016 |
Recommendation 2
Le sous-ministre adjoint, Réseau et utilisateurs finaux, devrait discuter des périodes de conservation des données brutes avec le fournisseur de services afin de veiller à ce que les données soient gardées pendant une période raisonnable répondant aux besoins du Ministère.
| Plan d’action de la direction | Poste responsable de la mesure | Date d’achèvement |
|---|---|---|
| SPC a confirmé au fournisseur de services la nécessité que les données brutes relatives aux factures soient gardées pour effectuer la vérification des factures, par conséquent SPC a transmis au fournisseur de services une demande de changement reliée à la mise en oeuvre de la période de conservation (DCR-325) qui aboutira à un changement au contrat. Le fournisseur de services avait dû fournir à SPC une estimation des coûts et un plan de réalisation pour examen. | Directeur général, Secteur des services de courriel | juin 2018 |
Recommendation 3
Avant de poursuivre des migrations à nouveau, le sous-ministre adjoint, Réseau et utilisateurs finaux, devrait définir et documenter les changements qui se trouvent dans la portée du travail continu de migration des courriels, et les changements à présenter au Comité consultatif sur les changements aux fins d’approbation.
| Plan d’action de la direction | Poste responsable de la mesure | Date d’achèvement |
|---|---|---|
|
Le « Guide de gestion des services » a été mis à jour de manière plus détaillée afin de décrire tous les types de changement, leur catégorisation, et les approbations requises pour chacun. SPC et le fournisseur tiennent des réunions conjointes hebdomadaires du Comité consultatif sur les changements où tous les changements sont examinés et approuvés, s’ils sont convenables. SPC détient le droit de veto dans le cadre de ce Comité consultatif sur les changements. Ces processus sont suivis assidument depuis leur création et leur documentation. De plus, le « Guide du gestionnaire de service – Gestion du changement » est mis à jour lorsqu’un changement normal considéré à titre de changement courant. Non seulement le « Guide du gestionnaire de service – Gestion du changement » documente la façon dont cela est géré, mais il joue le rôle de « catalogue » afin de documenter chacun des changements normaux ayant été promus à la catégorie de changement courant. De plus, l’historique des révisions du document est tenu à jour en conséquence. |
Directeur général, Secteur des services de courriel | 22 mars 2017 |
Annexe A – Critères d’audit
Les critères suivants ont servi à effectuer l’audit :
- les renseignements fournis dans le fichier de facturation détaillé et les rapports à l’appui pour les rapports sur la boîte de réception sont exacts;
- les renseignements fournis dans le fichier de facturation détaillé et les rapports à l’appui pour les services de gestion BlackBerry sont exacts;
- les renseignements fournis dans le fichier de facturation détaillé et les rapports à l’appui des cibles de niveau de service sont exacts;
- le processus d’approbation des demandes de changement du fournisseur de services dispose des mesures de contrôle appropriées et fonctionne comme il se doit.
Détails de la page
- Date de modification :