Vérification de l'intégration des systèmes d'application et de gouvernance de la GI/TI
Date : Novembre 2013
Projet no 13-47
Format PDF (198 Ko, 36 pages)
Table des matières
Acronymes
AADNC |
Affaires autochtones et Développement du Nord Canada |
---|---|
CNA |
Comité des normes d'architecture |
EGD |
Équipe de gestion de la direction |
DPF |
Dirigeant principal des finances |
DPI |
Dirigeant principal de l'information |
CDGMO |
Comité des DG chargé de la mise en œuvre et des opérations |
COM |
Comité des opérations du Ministère |
AE |
Architecture d'entreprise |
SGI SEFPN |
Système de gestion de l'information des Services à l'enfance et à la famille des Premières Nations |
GI |
Gestion de l'information |
DGGI |
Direction générale de la gestion de l'information |
AINC |
Affaires indiennes et du Nord Canada |
TI |
Technologie de l'information |
CGIT |
Comité de gérance de l'information et de la technologie |
CRG |
Cadre de responsabilisation de gestion |
PE |
Protocole d'entente |
SNSAR |
Système national de suivi des ajouts aux réserves |
BGP |
Bureau de gestion du projet |
CGPP |
Cadre de gestion des portefeuilles de projets |
SPC |
Services partagés Canada |
SCT |
Secrétariat du Conseil du Trésor du Canada |
Résumé
Contexte
L’investissement dans la gestion de l’information et les technologies de l’information (GI/TI) d’Affaires autochtones et Développement du Nord Canada (appelé « AADNC » ou « le Ministère »), sert à appuyer les Autochtones et les résidants du Nord, les programmes stratégiques et les activités opérationnelles au sein du Ministère.
Au cours de l’exercice 2011-2012, des ressources et du personnel rattachés à la prestation des services relatifs au courrier électronique, aux centres de données et aux réseaux ont été transférés par plus de 40 ministères gouvernementaux, dont AADNC, à Services partagés Canada (SPC) dans le cadre d’une solution pangouvernementale du Gouvernement du Canada. Outre ces services, la Direction générale de la gestion de l’information (DGGI) du Secteur du dirigeant principal des finances fournit des services et des solutions de GI/TI à l’échelle du Ministère. La DGGI s’efforce de fournir à AADNC un environnement de GI/TI optimisé, harmonisé, stable et sécurisé.
La DGGI disposait d’un budget de 41,1 M$ et ses dépenses s’élevaient à 40,4 M$ en 2012-2013. Les prévisions de dépenses de la Direction générale pour 2013-2014 étaient de 43,5 M$ en date du 30 septembre 2013. Elle compte 220 équivalents temps plein répartis dans cinq directions.
La DGGI est dirigée par le dirigeant principal de l’information (DPI) du Ministère qui, conformément à la Directive sur la gestion des technologies de l’information du Conseil du Trésor du Canada, est responsable de la gouvernance, de la planification et des stratégies de TI. À leur plus simple expression, ces responsabilités consistent essentiellement à promouvoir des régimes de TI solides en établissant des structures de gouvernance efficaces, en intégrant la planification au niveau global de l’organisation et en alignant les stratégies avec celles du gouvernement fédéral. En outre, comme il est défini à la section 5.2 de la Politique sur la gestion de l’information d’AADNC, le DPI, en tant que principal responsable de la gestion de l’information désigné par le sous-ministre conformément à la section 6.1.7 de la Politique sur la gestion de l’information du Conseil du Trésor, est le principal responsable pour ce qui est de la coordination, de la promotion et de la direction de la gestion de l’information au sein du Ministère.
Les constatations des vérifications internes antérieures qui s’échelonnent de 2008 jusqu’à 2011, comme celles de l’étude préliminaire de la gouvernance de la GI/TI menée en 2011, indiquaient que la gouvernance de la GI/TI doit être améliorée à AADNC. Au cours des dernières années, le Ministère a investi dans des processus de gouvernance sous la direction de nouveaux dirigeants et a prévu, dans sa stratégie de GI/TI 2012-2015, d’améliorer la gouvernance de la GI/TI, la gestion de l’information d’entreprise et la gestion des portefeuilles de projets, en procédant à l’élaboration à long terme d’une architecture d’entreprise intégrée aux opérations.
Le Secteur de la vérification et de l’évaluation d’AADNC a prévu effectuer une vérification de l’intégration des systèmes d’application et de gouvernance de la GI/TI dans le Plan de vérification axé sur les risques 2013-2014 à 2015-2016 approuvé par le sous-ministre le 27 février 2013.
Objectif et portée de la vérification
L’objectif de la vérification consistait à évaluer la pertinence et l’efficacité des structures, des processus et des contrôles de gouvernance de la GI/TI mis en place pour appuyer une gestion efficace des ressources de GI/TI, y compris l’intégration dans les principaux systèmes d’application de GI/TI d’AADNC. La portée de la vérification couvrait ce qui suit :
- un examen des organes de gouvernance et des processus décisionnels en place pour établir les priorités parmi les projets et initiatives de GI et de TI, et les recommander ou approuver leur financement;
- un examen des rôles et des responsabilités ainsi que des pouvoirs délégués en tenant compte du rôle de Services partagés Canada; et,
- une évaluation de la pertinence de la planification aux fins de l’intégration des systèmes d’application.
La portée couvrait la période qui s’échelonne du 1er avril 2011 au 30 juin 2013. Les contrôles ont été rajustés pour se concentrer sur des périodes plus récentes. Les travaux de vérification sur le terrain ont été effectués à l’administration centrale, et couvraient deux régions. La Colombie-Britannique et l’Ontario ont participé au processus de vérification au moyen de questionnaires et de téléconférences.
La vérification comprenait un échantillon détaillé de projets fondés sur la GI/TI d’AADNC afin d’évaluer leur conformité au Cadre de gestion des portefeuilles de projets (CGPP). Pour chaque projet sélectionné, l’équipe de vérification a obtenu et évalué la documentation relative au projet qui appuie la conformité aux exigences du CGPP.
Énoncé de conformité
La vérification de l’intégration des systèmes d’application et de gouvernance de la GI/TI respecte les normes de vérification interne du gouvernement du Canada tel que le démontre les résultats du programme d’amélioration et d’assurance de la qualité.
Points forts observés
Les points forts suivants relatifs aux structures, aux processus et aux contrôles de gouvernance de la GI/TI ont été observés :
- Un cadre pour le Comité de gouvernance de la GI/TI définit clairement la relation entre les différents comités de gouvernance de la GI/TI. Les principaux organes décisionnels définis dans le cadre ont bel et bien été mis sur pied et dotés de mandats, et réunissaient des membres de partout au Ministère et disposaient d’un calendrier de réunions régulières.
- La stratégie de GI/TI 2012-2015 a été élaborée et approuvée. Un plan de GI/TI 2013 a été élaboré et prévoit plusieurs initiatives pour mettre en œuvre la stratégie au cours de la période de 2012-2013 à 2016-2017. Ce plan est actualisé sur une base annuelle. En outre, en 2012, on a effectué une évaluation des risques pour le Secteur du dirigeant principal des finances (DPF), notamment les risques pour la GI/TI, et elle a été intégrée à la planification.
- Il existe une gamme de politiques et de directives en matière de GI/TI, et, sauf pour celles qui sont encore en version préliminaire, elles sont conformes aux exigences énoncées dans les politiques et directives en matière de GI/TI connexes du Secrétariat du Conseil du Trésor du Canada. Des politiques et des directives ont été publiées au cours des deux dernières années afin d’améliorer la surveillance des projets et des dépenses en matière de GI/TI à l’échelle du Ministère.
- Un Cadre de gestion des portefeuilles de projets (CGPP) a été élaboré, documenté et approuvé pour servir de gouvernance des projets. Les tests d’un échantillon de projets montrent que les exigences du CGPP ont été respectées, à quelques exceptions près. Le CGPP favorise l’intégration des systèmes d’application en exigeant l’exécution d’une évaluation de la mesure dans laquelle les systèmes, les données et les règles opérationnelles sont réutilisés dans le cadre du livrable « Analyse des options ».
- La structure organisationnelle de la DGGI est documentée, et précise clairement les rôles et les responsabilités.
- Les progrès des principales initiatives de la DGGI sont surveillés et contrôlés dans le cadre de l’exercice de production des rapports trimestriels du secteur du DPF.
Conclusion
D’une façon générale, les structures, les processus et les contrôles de gouvernance de la GI/TI en place pour appuyer une gestion efficace des ressources de GI/TI, y compris l’intégration aux principaux systèmes d’application de GI/TI d’AADNC, sont efficaces et appropriés. Certains points à améliorer ont été cernés dans les domaines suivants : gouvernance de la gestion de l’information, intégration des priorités ministérielles à la stratégie et au plan de GI/TI; directives et politiques de GI/TI, documentation et application des exigences du Cadre de gestion des portefeuilles de projets; mise en œuvre de l’Architecture d’entreprise à l’appui de l’intégration des applications et surveillance des dépenses en GI/TI dans les régions et les secteurs.
Recommandations
La vérification a permis de cerner les domaines où les processus et pratiques de contrôle de la gestion pourraient être améliorés, et a donné lieu à la formulation des recommandations suivantes :
- Le dirigeant principal de l’information devrait renforcer la gouvernance et l’orientation stratégique liées à la gestion de l’information en établissant ou en améliorant les principaux éléments suivants :
- Élaborer et approuver un plan de GI/TI en harmonie avec les priorités cernées dans la stratégie de GI/TI du Ministère, y compris des initiatives classées par ordre de priorité pour l’horizon de planification de cinq ans. Il pourrait faire partie d’un plan de GI/TI intégré ou d’un plan de GI distinct, mais il est essentiel de préciser l’orientation en matière de GI. L’ébauche de stratégie opérationnelle en GI devrait être retirée pour éviter toute confusion en disposant à la fois d’une stratégie de GI/TI et d’une stratégie de GI distincte.
- S’assurer que les politiques et les directives requises en matière de GI sont finalisées et approuvées et qu’elles sont communiquées à tous les employés concernés du Ministère. Il est prioritaire de satisfaire aux exigences du SCT, en particulier à la Directive sur la tenue de documents, pour laquelle la conformité est exigée d’ici mars 2015.
- S’assurer que la GI est un point permanent à l’ordre du jour des réunions des comités de gouvernance pour surveiller la mise en œuvre des politiques et des directives de GI ainsi que les progrès des principales initiatives de GI dans les limites du plan approuvé.
- Le dirigeant principal de l’information devrait poursuivre le processus amorcé récemment qui consiste à mobiliser les secteurs et les régions dans le cadre de l’exercice d’établissement des plans d’investissement quinquennaux afin de faciliter l’intégration de la stratégie et des plans de GI/TI à la planification des investissements du Ministère. Outre les projets approuvés par le Comité des opérations dans le cadre du plan d’investissement du Ministère, qui comprend les projets uniquement d’une valeur supérieure à 1 million de dollars, ces résultats devraient être intégrés aux mises à jour annuelles du plan de GI/TI afin de s’assurer que celui-ci demeure cohérent par rapport aux priorités générales du Ministère et pour permettre à la Direction générale de la gestion de l’information d’effectuer une planification des ressources de manière appropriée.
- Le dirigeant principal de l’information devrait établir une fonction centralisée pour gérer l’ensemble des politiques et directives de GI et de TI afin de s’assurer qu’elles sont surveillées depuis l’étape d’élaboration initiale jusqu’à l’achèvement et à l’approbation, et pour s’assurer que seules les politiques et directives approuvées sont publiées sur le site intranet de la Direction générale de la gestion de l’information. Cette fonction centralisée devrait déterminer à quel moment les politiques et les directives doivent faire l’objet d’un examen en fonction d’un calendrier établi ou lorsque les exigences du SCT sont modifiées, et surveiller le processus de mise à jour. Un processus de communication devrait être mis en place pour communiquer les exigences issues de l’ensemble des politiques et directives nouvelles ou modifiées, de façon constante, à l’ensemble des personnes responsables de leur mise en œuvre.
- Le dirigeant principal de l’information devrait améliorer la documentation relative au Cadre de gestion des portefeuilles de projets (CGPP) et s’y conformer en prenant les mesures suivantes :
- clarifier les exigences pour les facteurs relatifs à la gestion de l’information dans le CGPP, y compris la façon dont elles seront documentées et surveillées dans le cadre du processus d’approbation par borne;
- élaborer, approuver et publier, dans le site intranet de la Direction générale de la gestion de l’information, un document qui décrit clairement les exigences actuelles aux fins d’approbation par les organes de gouvernance à chaque étape du processus d’avancement par borne du CGPP;
- préciser les exigences du CGPP pour les projets qui nécessitent l’approbation du Conseil du Trésor étant donné que ces projets devraient suivre le processus de gouvernance de projet défini et approuvé par le Ministère;
- s’assurer d’exécuter la procédure de clôture de projet officielle telle que définie dans le CGPP, en tenant compte des leçons apprises et de leur mise en œuvre.
- Le dirigeant principal de l’information devrait s’assurer que les initiatives de l’Architecture d’entreprise (AE) sont mises en œuvre selon les priorités et mises à contribution pour améliorer l’intégration des systèmes d’application dans les investissements de projet futurs. Plus précisément, les calendriers devraient être confirmés et des ressources devraient être affectées aux principales initiatives qui ont été cernées pour 2012-2013, à savoir, l’élaboration d’une stratégie d’AE et l’intégration de l’AE dans le CGPP, car elles sont les assises des initiatives à venir. En outre, le Comité des normes d’architecture devrait être rétabli et reprendre ses fonctions pour s’acquitter de son rôle en tant qu’organe de gouvernance en s’assurant que les investissements en GI/TI sont conformes aux normes approuvées en matière de technologie et aux initiatives d’architecture d’entreprise (c.-à-d., le mandat actuel est défini, la composition est confirmée et les réunions régulières ont été amorcées).
- Le dirigeant principal de l’information devrait s’assurer que les secteurs et les régions communiquent des renseignements suffisamment détaillés dans l’analyse annuelle des dépenses en GI/TI, en particulier l’information relative aux projets/initiatives de GI/TI entrepris, afin de surveiller de manière efficace la conformité aux politiques ministérielles exigeant l’approbation préalable de l’ensemble des dépenses de GI/TI. Une fois que ces renseignements supplémentaires auront été rassemblés et évalués, toute indication de non-conformité aux exigences en matière d’approbation préalable devrait donner lieu à un examen et, selon l’importance du cas, des mesures correctives devraient être prises, par exemple, sous la forme d’un suivi direct auprès de la région/du secteur ou en portant la question en amont à l’attention des comités de gouvernance.
Réponse de la direction
La direction est d’accord avec les constatations et a accepté les recommandations formulées dans le rapport et élaboré un plan d’action de la direction pour faire le suivi. Le plan d’action de la direction a été intégré au présent rapport.
1. Contexte
L’investissement dans la gestion de l’information et les technologies de l’information (GI/TI) d’Affaires autochtones et Développement du Nord Canada sert à appuyer les Autochtones et les résidants du Nord, les programmes stratégiques et les activités opérationnelles au sein du Ministère.
Au cours de l’exercice 2011-2012, des ressources et du personnel rattachés à la prestation des services relatifs au courrier électronique, aux centres de données et aux réseaux ont été transférés par plus de 40 ministères gouvernementaux, dont AADNC, à Services partagés Canada (SPC) dans le cadre d’une solution pangouvernementale du Gouvernement du Canada. Outre ces services, la Direction générale de la gestion de l’information (DGGI) du Secteur du dirigeant principal des finances fournit des services et des solutions de GI/TI à l’échelle du Ministère. La DGGI s’efforce de fournir à AADNC un environnement de GI/TI optimisé, harmonisé, stable et sécurisé.
La DGGI disposait d’un budget de 41,1 M$ et ses dépenses s’élevaient à 40,4 M$ en 2012-2013. Les prévisions de dépenses de la Direction générale pour 2013-2014 étaient de 43,5 M$ en date du 30 septembre 2013. Elle compte sur 220 équivalents temps plein répartis en six directions. La Direction générale de la gestion de l’information est organisée tel qu’illustré ci-dessous :
La DGGI est dirigée par le dirigeant principal de l’information (DPI) du Ministère qui, conformément à la Directive sur la gestion des technologies de l’information du Conseil du Trésor du Canada, est responsable de la gouvernance, de la planification et des stratégies de TI. À leur plus simple expression, ces responsabilités consistent essentiellement à promouvoir des régimes de TI solides en établissant des structures de gouvernance efficaces, en intégrant la planification au niveau global de l’organisation et en alignant les stratégies avec celles du gouvernement fédéral. En outre, comme il est défini à la section 5.2 de la Politique sur la gestion de l’information d’AADNC, le DPI, en tant que principal responsable de la gestion de l’information désigné par le sous-ministre conformément à la section 6.1.7 de la Politique sur la gestion de l’information du Conseil du Trésor, est le principal responsable pour ce qui est de la coordination, de la promotion et de la direction de la gestion de l’information au sein du Ministère.
Les constatations des vérifications internes antérieures qui s’échelonnent de 2008 jusqu’à 2011, comme celles de l’étude préliminaire de la gouvernance de la GI/TI menée en 2011, indiquaient que la gouvernance de la GI/TI doit être améliorée à AADNC. Au cours des dernières années, le Ministère a investi dans des processus de gouvernance sous la direction de nouveaux dirigeants et a prévu, dans sa stratégie de GI/TI 2012-2015, d’améliorer la gouvernance de la GI/TI, la gestion de l’information d’entreprise et la gestion des portefeuilles de projets, en procédant à l’élaboration à long terme d’une architecture d’entreprise intégrée aux opérations.
Contrairement aux avantages réalisés par l’Architecture d’entreprise et les systèmes intégrés au chapitre d’une efficacité accrue du renvoi aux niveaux hiérarchiques en amont, d’une productivité accrue et d’une meilleure information aux fins de la prise de décision, l’approche plus fragmentée suivie par le passé en matière d’investissements dans la TI, qui a donné lieu à des systèmes disparates, présente des défis en matière de maintenance et compromet la prestation des programmes et la communication efficiente et efficace de l’information à des fins de prise de décision.
Dans le contexte élargi du gouvernement du Canada, la demande croissante en matière de services efficaces et modernes tend vers une solution gouvernementale des TI. La stratégie de modernisation des TI du gouvernement implique en partie la normalisation et la consolidation des services administratifs des applications et une capacité de gestion électronique des dossiers utilisée par l’ensemble du Gouvernement du Canada.
À AADNC, bon nombre de systèmes ont évolué sur des périodes différentes et/ou sont élaborés pour répondre à divers besoins opérationnels du Ministère et besoins fonctionnels des secteurs de programme d’AADNC. Selon l’orientation donnée par le gouvernement, certains systèmes actuellement utilisés à AADNC sont en phase de transition ou transiteront vers de nouveaux systèmes à l’échelle gouvernementale. Les systèmes du Ministère sont nombreux, notamment : le Système de gestion des ressources humaines (PeopleSoft qui sera mis à jour lors de la parution de la version 9.1 du gouvernement); OASIS (Oracle, qui fait la transition au SAP, conformément à l’orientation du gouvernement); le Système de gestion de l’information - subventions et contributions (SGISC, autrefois PTPNI que Santé Canada va adopter et que AADNC va héberger); le Système global de gestion intégrée des documents (SGGID qui va évoluer en GCDocs); un nouveau Système d’information sur l’éducation (SIE); un nouveau Système de gestion de l’information des Services à l’enfance et à la famille des Premières Nations (SGI SEFPN); le Système d’inscription des Indiens; le Système national de suivi des ajouts aux réserves (SNSAR); le Système de contrôle du registre des terres indiennes (SCRTI); et, Netlands, pour ne nommer que ceux-ci. Au moment où a été élaborée la stratégie de GI/TI 2012-2015, le Ministère disposait de 76 applications centrales et de 88 applications régionales.
2. Objectif et portée de la vérification
2.1 Objectif de la vérification
L’objectif de la vérification consistait à évaluer la pertinence et l’efficacité des structures, des processus et des contrôles de gouvernance de la GI/TI mis en place pour appuyer une gestion efficace des ressources de GI/TI, y compris l’intégration dans les principaux systèmes d’application de GI/TI d’AADNC.
2.2 Portée de la vérification
La portée de la vérification couvrait ce qui suit :
- un examen des organes de gouvernance et des processus décisionnels en place pour établir les priorités parmi les projets et initiatives de GI et de TI, et les recommander ou approuver leur financement;
- un examen des rôles et des responsabilités ainsi que des pouvoirs délégués en tenant compte du rôle de Services partagés Canada; et,
- une évaluation de la pertinence de la planification aux fins de l’intégration des systèmes d’application.
La portée couvrait la période qui s’échelonne du 1er avril 2011 au 30 juin 2013. Les contrôles ont été rajustés pour se concentrer sur des périodes plus récentes.
La vérification comprenait un échantillon détaillé de projets fondés sur la GI/TI d’AADNC afin d’évaluer leur conformité au Cadre de gestion des portefeuilles de projets (CGPP). Pour chaque projet sélectionné, l’équipe de vérification a obtenu et évalué la documentation relative au projet qui appuie la conformité aux exigences du CGPP.
Les travaux de vérification sur le terrain ont été effectués à l’administration centrale, et couvraient deux régions. Les régions de la Colombie-Britannique et de l’Ontario ont participé au processus de vérification au moyen de questionnaires et de téléconférences.
3. Démarche et méthodologie
La vérification de l’intégration des systèmes d’application et de gouvernance de la GI/TI a été prévue et exécutée conformément aux exigences de la Politique sur la vérification interne du Conseil du Trésor et respectait les Normes pour la pratique professionnelle de la vérification interne de l’Institut des vérificateurs internes. L’équipe de vérification a examiné des données probantes pertinentes et suffisantes, et obtenu de l’information en quantité suffisante pour offrir un niveau d’assurance raisonnable à l’appui de la conclusion de la vérification.
Les principales techniques de vérification utilisées étaient les suivantes :
- Entrevues avec du personnel et des membres clés de la direction de la DGGI ainsi qu’avec le personnel responsable de la GI et de la TI dans deux régions.
- Analyse de la documentation pertinente traitant de la gouvernance, de la planification stratégique, des politiques et directives, de la gestion de portefeuilles de projets, de la surveillance des initiatives de GI/TI, de la conformité aux exigences du Conseil du Trésor et des dépenses en GI/TI dans les régions et les secteurs.
- Passages en revue et évaluation de la conception des principaux contrôles sélectionnés.
- Tests détaillés d’un échantillon de projets aux étapes 5 et 6 du CGPP pour vérifier la conformité aux principales exigences du CGPP.
- Analyse des constatations obtenues lors des entrevues, analyses documentaires et tests détaillés.
3.1 Sélection des projets aux fins des sondages détaillés
En août 2013, le Bureau de gestion du projet (BGP) a fourni une liste de l’ensemble des projets par étape (les bornes 1 à 7 sont définies dans le CGPP). Les projets actifs sont les projets aux bornes 4 (Charte de projet) à 6 (Solution complète) du CGPP. Selon la population totale desservie par 15 projets actifs, trois ont été sélectionnés aux fins de tests détaillés. Les projets ont été sélectionnés en utilisant les critères de sélection axés sur les risques suivants :
- les étapes 5 et 6, pour s’assurer que chaque projet peut être contrôlé par rapport à un nombre suffisant de livrables clés;
- selon différentes variations de coûts – un à plus de quatre millions de dollars, un entre un et quatre millions de dollars et un de moins d’un million de dollars; et,
- représentatifs de différents secteurs.
À l’aide des critères ci-dessus, les projets suivants ont été sélectionnés :
- Système de gestion de l’information des Services à l’enfance et à la famille des Premières Nations (SGI SEFPN);
- Système de désignation sur carte électronique du Nunavut; et,
- Accès des Premières Nations au Système national de suivi des ajouts aux réserves (SNSAR).
3.2 Sélection des régions aux fins des contrôles par sondage
Le personnel régional de GI et de TI ne relève pas directement du DPI, mais plutôt du directeur régional, Services ministériels. Deux bureaux régionaux ont donc été sélectionnés pour faire l’objet de la vérification afin de confirmer les contrôles de la gouvernance de la GI/TI dans les régions et pour comprendre la portée des projets de GI/TI entrepris dans ces régions. Le tableau ci-dessous fournit des données financières pour 2012-2013 et indique le nombre de demandes par région. À la lumière de ces renseignements, on a sélectionné la Colombie-Britannique en raison du niveau élevé de dépenses en GI/TI et du grand nombre de demandes, et l’Ontario a été sélectionné car il s’agit d’une région où les dépenses en GI/TI sont modérées ainsi que le nombre de demandes qu’elle reçoit. L’information relative chacune des régions a été compilée au moyen de questionnaires, d’entrevues téléphoniques et de demandes de documentation à l’appui.
Région | Nombre de demandes en 20131 |
Dépenses en GI/TI en 2012-2013 (en milliers de dollars) (tous les montants proviennen du système de gestion des finances) |
|
---|---|---|---|
Technologie de l'information |
Gestion de l'information | ||
Atlantique | 0 | 354 $ | 169 $ |
Québec | 9 | 728 $ | 654 $ |
Ontario | 10 | 843 $ | 572 $ |
Manitoba | 2 | 242 $ | 590 $ |
Saskatchewan | 2 | 619 $ | 427 $ |
Alberta | 0 | 799 $ | 494 $ |
Colombie-Britannique | 26 | 1,344 $ | 772 $ |
Nunavut | 3 | 0 $ | 148 $ |
Territoires du Nord-Ouest | 13 | 0 $ | 1 455 $ |
Yukon | 1 | 0 $ | 0 $ |
Total | 66 | 4 929 $ | 5 281 $ |
1 Les chiffres ont été obtenus de l'inventaire des demandes par région, par demandes, tenu par le Bureau du directeur principal, Services stratégiques de l'entreprise.
4. Conclusion
D’une façon générale, les structures, les processus et les contrôles de gouvernance de la GI/TI mis en place pour appuyer une gestion efficace des ressources de GI/TI, y compris l’intégration aux principaux systèmes d’application de GI/TI d’AADNC, sont efficaces et appropriés. Certains points à améliorer ont été cernés dans les domaines suivants : gouvernance de la gestion de l’information, intégration des priorités ministérielles à la stratégie et au plan de GI/TI; directives et politiques de GI/TI, documentation et application des exigences du Cadre de gestion des portefeuilles de projets; mise en œuvre de l’Architecture d’entreprise à l’appui de l’intégration des applications et surveillance des dépenses en GI/TI dans les régions et les secteurs.
5. Observations et recommandations
À l’aide d’une combinaison de données probantes compilées au moyen de l’examen de la documentation, d’analyses et d’entrevues, chaque critère de vérification a été évalué par l’équipe de vérification et une conclusion a été tirée par rapport à chaque critère de vérification. Lorsqu’on a relevé un écart important entre le critère de vérification et la pratique observée, le risque que représente cet écart a été évalué et utilisé pour tirer une conclusion et pour documenter les recommandations destinées aux efforts d’amélioration.
Les observations concernent les pratiques de gestion considérées comme exemplaires et celles devant être améliorées. Des mesures correctives ont été recommandées et accompagnent les observations des domaines de gestion nécessitant une amélioration.
5.1. Gouvernance et orientation stratégique
5.1.1 Organes de gestion et de surveillance
Pour déterminer si des organes de surveillance et de gestion efficaces ont été mis sur pied et s’acquittent de leur mandat correctement à l’égard des initiatives de GI/TI, l’équipe de vérification a déterminé si :
- Les comités de gouvernance de la GI/TI ont été mis sur pied;
- Les mandats et la composition de ces comités ont été définis; et,
- Des réunions régulières ont eu lieu et les comptes rendus de décisions/procès-verbaux des réunions ont été conservés.
Nous avons observé qu’un cadre des comités de gouvernance de la GI/TI a été élaboré en 2011, et que celui-ci établit clairement la relation entre les différents comités de GI/TI, à savoir :
Il a été constaté que les principaux organes décisionnels définis dans le cadre avaient été mis sur pied, notamment le Comité des opérations du Ministère (COM), le Comité des DG chargé de la mise en œuvre et des opérations (CDGMO) et le Comité de gérance de l’information et de la technologie (CGIT). Pour chacun de ces comités, des mandats avaient été définis et approuvés, y compris la composition des comités, faisant intervenir des membres de l’ensemble du Ministère. Il a été observé que la composition du CGIT réunit des directeurs régionaux des Services ministériels et le CDGMO inclus le directeur général du Secteur des opérations régionales, qui assure la participation des régions aux activités de gouvernance de la GI/TI. Un examen portant sur une période de six mois s’échelonnant de janvier à juin 2013 a révélé que des réunions avaient été tenues de façon régulière, que l’on avait effectué le suivi des présences, et produit des comptes rendus des discussions, y compris un suivi des mesures à prendre.
Le mandat du CGIT définit les responsabilités précises, tant en matière de TI qu’en matière de GI, y compris la tenue de consultations et la formulation de recommandations dans ces domaines à l’intention du CDGMO et, au besoin, du COM. Un examen des comptes rendus de direction des réunions du CGIT et du CDGMO révèle toutefois que l’accent a été mis sur la TI alors que l’on a rarement discuté des points relatifs à la GI. À sa réunion de juillet 2013, le CDGMO a reconnu qu’il s’agissait d’un domaine où des améliorations étaient requises et il a pris des mesures afin de déterminer la meilleure façon de faire progresser la réalisation des priorités en matière de GI et de les appuyer. Il s’agira d’un point clé à améliorer, car le Ministère doit actuellement mettre en œuvre des initiatives de GI cruciales, à savoir, établir la conformité en matière de tenue de documents et la mise en œuvre de GCDocs.
Bien que la mise sur pied de Services partagés Canada ne change pas la gouvernance globale de la GI/TI, les rôles, responsabilités et processus particuliers en cette matière continuent d’évoluer entre SPC et le Ministère, et les procès-verbaux examinés révèlent que des mises à jour de SPC ont été présentées de façon régulière.
L’examen d’un échantillon de comités tactiques de la DGGI, notamment l’Équipe de gestion de la direction (EGD) et le Comité des normes d’architecture (CNA), a révélé que l’EGD se réunissait sur une base régulière et tenait des comptes rendus des décisions. Dans le cas du CNA, les réunions n’avaient pas été tenues de façon régulière et le dernier compte rendu des discussions datait d’octobre 2012. Le directeur des Services stratégiques de l’entreprise, qui est le président du CNA, a fait savoir que le CNA était en cours de restructuration afin d’améliorer son efficacité, et qu’il était notamment doté d’un mandat et d’une composition révisés. Comme il est indiqué dans le cadre du Comité de gouvernance de la GI/TI, le CNA devrait jouer un rôle important pour s’assurer que « les investissements en GI/TI sont conformes aux normes approuvées pour le Ministère pour ce qui est de la conception de l’infrastructure, de la gestion du matériel, des logiciels et de l’information ainsi qu’aux investissements politiques et stratégiques du gouvernement du Canada ». Voir la section 5.2.2 qui traite plus en profondeur du CNA.
5.1.2 Plans stratégiques et tactiques
La vérification a voulu déterminer si des plans stratégiques et tactiques en matière de GI/TI avaient été établis et mis en oeuvre.
Nous avons observé que les principales activités de planification ont été mises en œuvre. La stratégie de GI/TI 2012-2015 a été élaborée et approuvée par le COM en février 2012. La stratégie décrit la vision, l’orientation stratégique et la stratégie de mise en œuvre de la DGGI. Un plan de GI/TI 2013 a ensuite été élaboré et celui-ci prévoit plusieurs initiatives pour mettre en œuvre la stratégie au cours de la période 2012-2013 à 2016-2017, y compris des initiatives liées à la planification de la transition à SPC. Le plan est mis à jour chaque année. En outre, une évaluation des risques formelle du secteur du DPF, notamment des risques en matière de GI/TI, a été effectuée en 2012 et elle a été intégrée à l’exercice de planification des activités 2013-2014 du secteur du DPF.
La stratégie de GI/TI identifie comme fondamentale la réalisation « de plans de GI/TI approuvés dans le cadre du cycle de planification organisationnelle et directement aux objectifs ministériels et pangouvernementaux » qui concordent avec les exigences du SCT telles qu’elles sont définies dans la Politique sur la gestion des technologies de l’information du SCT qui, en retour, a été adoptée par le Ministère. Cependant, à ce jour, aucun processus structuré n’a été mis en place pour veiller à cette harmonisation lors de l’exercice d’élaboration du plan de GI/TI. Cet aspect est reconnu comme un point à améliorer par la direction de la DGGI, et nous avons été avisés par le DPI que le SCT exigera également que cet alignement du plan de TI soit soumis au SCT d’ici le 31 mars 2014. En conséquence, le DPF a communiqué une lettre d’appel intégrée en septembre 2013 à l’ensemble des secteurs et des régions en vue de l’établissement d’un plan d’investissement et d’approvisionnement en matière de GI/TI, y compris des modèles pour l’établissement d’initiatives précises accompagnées d’estimations des coûts graduellement moins précises pour chacune des cinq années. Les réponses sont attendues à la fin d’octobre 2013 et seront utilisées aux fins de la planification des ressources en matière de GI/TI et de l’établissement des plans de GI/TI, car ils fourniront de l’information aux fins de la planification de l’ensemble des projets prévus. Ces plans de GI/TI doivent aussi être élaborés dans le contexte du plan d’investissements général du Ministère qui a été approuvé par le COM et qui prévoit des projets d’une valeur supérieure à un million de dollars.
Même si la stratégie de GI/TI a été élaborée dans le but d’intégrer les composantes de GI et de TI, une ébauche séparée de la « stratégie de gestion de l’information organisationnelle 2010 à 2015 » existe également, comme l’ébauche du plan tactique en matière de GI 2013-2014 à 2015-2016, qui prévoit 30 initiatives particulières de GI. Nous avons été avisés par le DPI que la stratégie de GI/TI devrait avoir préséance sur l’ébauche de stratégie opérationnelle en GI, et qu’un plan de GI/TI consolidé sera élaboré en cours d’exercice. Outre le renouvellement des outils de GI, le plan de GI/TI 2013 actuel ne prévoit aucune initiative de GI, contrairement aux 30 initiatives que prévoit l’ébauche du plan tactique en GI. Pour l’heure, on ne connaît pas encore quelles initiatives prioritaires en matière de GI ont été approuvées, à qui la responsabilité de chacune d’elles a été confiée et si des progrès sont en cours.
La planification entre la DGGI et les secteurs a été améliorée grâce à l’élaboration de protocoles d’entente (PE) en 2013-2014 entre la DGGI et chaque secteur pour confirmer le financement destiné aux activités de développement de système et de maintenance. Les protocoles d’entente traitent des frais supplémentaires qui seront engagés pendant l’année pour le soutien opérationnel et le développement d’applications qui ne sont pas financées avec le financement de base, y compris tous les frais relatifs aux licences et au matériel/logiciels supplémentaires connexes. Les coûts relatés dans les protocoles d’entente visent uniquement les coûts incrémentiels rattachés au recrutement d’entrepreneurs et ne comprennent pas le recouvrement du temps consacré par les employés de la DGGI. Il s’agit de la deuxième année du processus d’établissement de protocoles d’entente, et l’on a observé une amélioration par rapport à l’année précédente, à savoir que les PE sont conclus par secteur plutôt que sur la base des demandes individuelles.
5.1.3 Politiques et directives
Les politiques et les directives définissent l’orientation du Ministère dans les domaines de la GI et de la TI. En examinant les politiques et les directives, l’équipe de vérification a voulu déterminer si :
- Les politiques et les directives pour les domaines clés de la GI et de la TI ont été élaborées et approuvées;
- Les politiques et les directives ont fait l’objet de mises à jour et d’examens réguliers; et,
- Les politiques et les directives ont été communiquées efficacement aux parties concernées.
À la lumière de l’examen des politiques et directives de GI et de TI fourni par la direction de la DGGI, nous avons observé que dans l’ensemble, les politiques et les directives couvrent tous les domaines prévus et sauf pour celles qui sont encore à l’état d’ébauche, elles sont en harmonie avec les exigences établies dans les politiques et directives de GI et de TI connexes du Secrétariat du Conseil du Trésor (SCT). Nous avons relevé trois directives d’AADNC encore en version préliminaire : la Directive sur la tenue de documents, la Directive sur l'échange d'information et la Directive sur l'intendance des données. Une comparaison des exigences de l’ébauche de la Directive sur la tenue de documents d’AADNC à celle de la directive correspondante du SCT a relevé trois domaines requis par le SCT, mais qui ne sont pas inclus dans l’ébauche de la Directive sur la tenue de documents du Ministère : effectuer une évaluation des risques des ressources ayant une valeur opérationnelle, établir des taxonomies ou des structures de classification des ressources ayant une valeur opérationnelle et la communication aux employés des risques liés à la mauvaise tenue des documents. Étant donné que les ministères doivent être conformes à la Directive sur la tenue de documents du SCT d’ici mars 2015, il est important qu’AADNC finalise sa directive et la publie pour que toutes les activités de conformité connexes puissent être définies et que la mise en œuvre puisse être planifiée de façon appropriée.
Le processus d’examen et de mise à jour des politiques et directives de GI et de TI est actuellement informel et manque d’uniformité. Nous avons été informés par la direction que les politiques et les directives sont examinées à l’interne tous les trois ans, et lorsque le SCT publie de nouvelles politiques ou directives ou modifie celles existantes. Dans le cadre de nos contrôles par sondage, nous avons relevé des exemples de politiques qui auraient dû être examinées à la lumière de ces critères, mais qui ne l’ont pas été, notamment la Politique sur la gestion de l’information d’AADNC (datée d’octobre 2008) et le Cadre de gestion de la sécurité d’AINC (daté de juillet 2008 et qui renferme l’énoncé de politique sur la sécurité des TI). Ces deux exemples illustrent des documents qui n’ont pas été mis à jour au cours des cinq dernières années, alors que les documents correspondants du SCT ont été mis à jour depuis 2008. Par ailleurs, un examen récent des politiques, directives et normes existantes effectué par la DGGI a révélé que plusieurs documents existants n’étaient pas classés dans la bonne catégorie, comme politique, comme directive ou comme norme.
Les politiques et les directives de GI/TI sont publiées sur la page intranet de la DGGI pour que les employés concernés puissent s’y rapporter. Nous avons observé que certaines directives de GI/TI qui n’avaient pas encore été achevées avaient aussi été publiées, notamment l’ébauche de la Directive sur la tenue de documents d’AADNC, et une ébauche de la Directive pour les services de courrier et de livraison par messager d’AADNC. En outre, la Directive sur la gestion des portefeuilles de projets de GI/TI d’AADNC qui a été approuvée et qui est entrée en vigueur le 1er novembre 2012 est publiée sur la page de gestion de projet du site intranet de la DGGI, alors que les modifications apportées n’ont pas été approuvé dans la table des matières et que la mention « ébauche » est inscrite en filigrane.
Le Ministère a récemment publié deux nouveaux documents fondamentaux liés à la gestion de la GI/TI – la Politique sur la gestion des TI d’AADNC et la Directive sur les autorisations d’approvisionnement de GI/TI d’AADNC – qui établissent les exigences relatives à l’approbation du DPI pour l’ensemble des mécanismes d’approvisionnement et architectures liées à la GI/TI, et précisent les codes financiers pour ces activités d’approvisionnement. Nous avons été informés que le seul moyen de communication de ces éléments à l’échelle du Ministère était les comptes rendus des discussions des comités de gouvernance responsables de l’approbation, et que les membres des comités étaient ensuite responsables de diffuser le message plus largement. Cette politique et cette directive sont appliquées sans retenue à l’échelle du Ministère, y compris à l’ensemble des gestionnaires de programme et de projet et à l’ensemble des gestionnaires de centres de responsabilité qui fournissent des codes financiers pour ces éléments. Un manque de communication appropriée et cohérente des attentes à l’égard des personnes touchées peut entraîner des répercussions négatives sur le taux de conformité.
Recommandations
- Le dirigeant principal de l’information devrait renforcer la gouvernance et l’orientation stratégique liées à la gestion de l’information en établissant ou en améliorant les principaux éléments suivants :
- Élaborer et approuver un plan de GI/TI en harmonie avec les priorités cernées dans la stratégie de GI/TI du Ministère, y compris des initiatives classées par ordre de priorité pour l’horizon de planification de cinq ans. Il pourrait faire partie d’un plan de GI/TI intégré ou d’un plan de GI distinct, mais il est essentiel de préciser l’orientation en matière de GI. L’ébauche de stratégie opérationnelle en GI devrait être retirée pour éviter toute confusion en disposant à la fois d’une stratégie de GI/TI et d’une stratégie de GI distincte.
- S’assurer que les politiques et les directives requises en matière de GI sont finalisées et approuvées et qu’elles sont communiquées à tous les employés concernés du Ministère. Il est prioritaire de satisfaire aux exigences du SCT, en particulier à la Directive sur la tenue de documents, pour laquelle la conformité est exigée d’ici mars 2015.
- S’assurer que la GI est un point permanent à l’ordre du jour des réunions des comités de gouvernance pour surveiller la mise en œuvre des politiques et des directives de GI ainsi que les progrès des principales initiatives de GI dans les limites du plan approuvé.
- Le dirigeant principal de l’information devrait poursuivre le processus amorcé récemment qui consiste à mobiliser les secteurs et les régions dans le cadre de l’exercice d’établissement des plans d’investissement quinquennaux afin de faciliter l’intégration de la stratégie et des plans de GI/TI à la planification des investissements du Ministère. Outre les projets approuvés par le Comité des opérations dans le cadre du plan d’investissement du Ministère, qui comprend les projets uniquement d’une valeur supérieure à 1 million de dollars, ces résultats devraient être intégrés aux mises à jour annuelles du plan de GI/TI afin de s’assurer que celui-ci demeure cohérent par rapport aux priorités générales du Ministère et pour permettre à la Direction générale de la gestion de l’information d’effectuer une planification des ressources de manière appropriée.
- Le dirigeant principal de l’information devrait établir une fonction centralisée pour gérer l’ensemble des politiques et directives de GI et de TI afin de s’assurer qu’elles sont surveillées depuis l’étape d’élaboration initiale jusqu’à l’achèvement et à l’approbation, et pour s’assurer que seules les politiques et directives approuvées sont publiées sur le site intranet de la Direction générale de la gestion de l’information. Cette fonction centralisée devrait déterminer à quel moment les politiques et les directives doivent faire l’objet d’un examen en fonction d’un calendrier établi ou lorsque les exigences du SCT sont modifiées, et surveiller le processus de mise à jour. Un processus de communication devrait être mis en place pour communiquer les exigences issues de l’ensemble des politiques et directives nouvelles ou modifiées, de façon constante, à l’ensemble des personnes responsables de leur mise en œuvre.
5.2. Développement, acquisition et intégration des systèmes d’application
5.2.1 Gestion des portefeuilles de projets
Un Cadre de gestion des portefeuilles de projets (CGPP) a été élaboré et documenté basé sur les orientations du SCT pour assurer la gouvernance des projets fondés sur la GI/TI. Le CGPP comporte sept bornes, ou points décisionnels, dans le cycle de vie d’un projet :
- Borne 1 – Alignement stratégique
- Borne 2 – Approche de projet
- Borne 3 – Analyse de rentabilisation
- Borne 4 – Charte de projet
- Borne 5 – Plan et exigences
- Borne 6 – Solution complète
- Borne 7 – Utilisation/retrait
Le CGPP prévoit des exigences relatives à l’approbation des comités de gouvernance à chaque borne et différents livrables de projet sont précisés pour chaque borne afin d’obtenir les approbations requises. Depuis sa mise en œuvre initiale en 2010, le CGPP a été amélioré en 2011 afin d’exiger une évaluation des possibilités en fonction de leur taille, de la complexité et du risque, et de simplifier le processus pour celles à plus faible risque. Le CGPP original et ses améliorations ont été approuvés par les comités de gouvernance, dont le COM. Les documents et gabarits du CGPP sont publiés sur le site intranet de la DGGI. La Directive sur la gestion des portefeuilles de projets de GI/TI d’AADNC a été publiée et est entrée en vigueur le 1er novembre 2012; elle établit le mécanisme de gouvernance pour appuyer l’adhésion au CGPP.
Notre examen du portefeuille de projet et les sondages détaillés d’un échantillon de trois projets actifs révèlent que les exigences du CGPP ont été respectées, sauf dans les domaines suivants :
- Les exigences relatives à l’intégration de la GI dans les processus du CGPP manquent de clarté. Il existe un document portant sur la GI au service de la gestion de projet, mais il s’agit d’une ébauche, même si elle est datée de 2011. Les éléments probants d’une évaluation et d’une intégration des exigences en matière de GI pour l’ensemble des trois projets contrôlés n’étaient pas disponibles. Dans le cas d’un projet – système de désignation sur carte électronique du Nunavut – un accord sur la tenue de documents a été préparé, mais rien n’indique qu’il a été approuvé. Dans les autres cas, même s’il y a eu intervention de la GI, celle-ci semblait informelle et aucun élément probant n’était disponible.
- La Charte du projet SGI SEFPN n’a pas été approuvé par le promoteur ou le Comité directeur du projet. Au lieu de passer par le processus d’approbation par étapes des projets selon la norme ministérielle, la direction a soumis le projet au organisme central pour approbation. Bien que la direction générale n’ait pas obtenu l’approbation de la Charte de projet par le promoteur ou le Comité directeur du projet, la Charte du projet a été approuvée selon le processus du organisme central.
- Même si le processus d’approbation par borne par les organes de gouvernance est une composante clé du CGPP, nous avons été incapables de retracer la documentation actuelle qui précise clairement quel organe de gouvernance est responsable des approbations à chaque borne, pour chacun des processus long et court du CGPP.Note de bas de page 1 Les exigences actuelles relatives aux approbations par borne étaient uniquement disponibles en effectuant le suivi des modifications approuvées par le COM en mars 2011, et en tenant compte des clarifications fournies par le Bureau de gestion du projet (BGP) qui a indiqué que seuls les processus longs et courts avaient été mis en œuvre. Une présentation datée de juin 2013 préparée par un gestionnaire des relations avec la clientèle comprenait les exigences actuelles, mais cette présentation n’était pas accessible de façon générale même au sein du BGP.
- L’étape de clôture du projet n’est pas respectée, même s’il s’agit d’une exigence de la borne 7. Selon la liste des projets obtenue du BGP, 15 projets se trouvant à la borne 7 devaient être clos, certains depuis 2010. La clôture de projet est une étape importante pour la documentation des leçons apprises et de leur mise en oeuvre.
Nous avons été informés que certaines demandes avaient été élaborées à l’extérieur de la CGPP, même si aucun projet actuel n’avait été cité. Le Ministère a récemment publié une Politique sur la gestion des technologies de l’information qui est entrée en vigueur le 1er janvier 2013 et qui exige que tous les projets comportant une composante de GI/TI soient préapprouvés par le DPI. En outre, comme il a été indiqué précédemment, le secteur du DPF a récemment lancé un appel concerté à tous les secteurs et à toutes les régions en vue d’obtenir de l’information sur les plans d’investissements quinquennaux. La combinaison de ces deux initiatives devrait empêcher et prévenir les écarts au CGPP à l’avenir, bien que l’efficacité n’ait pas encore été démontrée.
Recommandation
4. Le dirigeant principal de l’information devrait améliorer la documentation relative au Cadre de gestion des portefeuilles de projets (CGPP) et s’y conformer en prenant les mesures suivantes :
- clarifier les exigences pour les facteurs relatifs à la gestion de l’information dans le CGPP, y compris la façon dont elles seront documentées et surveillées dans le cadre du processus d’approbation par borne;
- élaborer, approuver et publier, dans le site intranet de la Direction générale de la gestion de l’information, un document qui décrit clairement les exigences actuelles aux fins d’approbation par les organes de gouvernance à chaque étape du processus d’avancement par borne du CGPP;
- préciser les exigences du CGPP pour les projets qui nécessitent l’approbation du Conseil du Trésor étant donné que ces projets devraient suivre le processus de gouvernance de projet défini et approuvé par le Ministère;
- s’assurer d’exécuter la procédure de clôture de projet officielle telle que définie dans le CGPP, en tenant compte des leçons apprises et de leur mise en œuvre.
5.2.2 Intégration des systèmes d’application
Il a été déterminé que l’intégration des systèmes d’application constitue un problème au sein du Ministère, car certaines applications existantes ont été développées en vase clos, ce qui a généré des lacunes dans le partage des données et éventuellement un manque d’uniformité des données entre les différentes applications. Depuis la mise en œuvre du CGPP en 2010, l’intégration des systèmes d’application a été appuyée par les exigences des bornes 2 et 3 du CGPP – Approche de projet et Analyse de rentabilisation – où une évaluation de la mesure dans laquelle les systèmes, les données et les règles opérationnelles sont réutilisés et requis dans le cadre du livrable « Analyse des options ». Par ailleurs, pour favoriser l’intégration, des normes technologiques ont été définies et on a mis en place une base de données regroupant les « éléments de données communs », même s’il a été relevé que cette base de données se limitait seulement à huit éléments de données, notamment des éléments comme la bande, la réserve et le conseil tribal. En outre, certaines initiatives comme les améliorations apportées au stockage de données en 2013 pour qu’il inclue les données relatives aux services d’éducation, à l’enfance et à la famille contribuent à réaliser la priorité ministérielle d’améliorer l’information aux fins de la prise de décision.
Afin de faciliter une intégration et une réutilisabilité accrue de l’information à l’avenir, la stratégie de GI/TI considère que le passage à l’Architecture d’entreprise (AE) est un catalyseur clé et « le fondement des processus fondamentaux qui favorisent l’intégration opérationnelle au niveau approprié au chapitre du développement des solutions de GI/TI ». Par conséquent, le plan de GI/TI 2013 répertorie plusieurs initiatives axées sur l’AE, commençant en 2012-2013 et s’échelonnant sur le cycle de planification quinquennal. Cependant, les principales initiatives d’AE relevées pour 2012-2013, qui comprenaient l’élaboration d’une stratégie d’AE et l’intégration de l’AE au CGPP, n’ont pas été mises en œuvre en raison de problèmes de ressources. Les initiatives d’AE pour 2013-2014 et les années subséquentes devaient prendre appui sur les initiatives de 2012-2013, de sorte qu’elles seront maintenant retardées.
En 2012, le Ministère a retenu les services de la société Gartner Consulting pour évaluer le portefeuille d’application et les applications en fonction de leur valeur opérationnelle, de leur état technique et des coûts d’entretien. Il s’agit de renseignements judicieux aux fins d’une éventuelle rationalisation du portefeuille d’application, en vue d’éliminer les applications qui représentent une plus faible valeur et qui sont susceptibles de présenter des problèmes techniques ou d’entraîner des coûts de soutien relativement élevés. L’information relative au portefeuille d’application est maintenant disponible sous forme d’outil à des fins d’évaluation, et celui-ci peut être utilisé à l’appui de l’initiative d’AE.
En outre, comme il en est question à la section 5.1.1, le CNA est actuellement inactif, mais il demeure l’organisme responsable de faire respecter les normes technologiques et devrait participer à la mise en œuvre de l’AE.
Recommandation
5. Le dirigeant principal de l’information devrait s’assurer que les initiatives de l’Architecture d’entreprise (AE) sont mises en œuvre selon les priorités et mises à contribution pour améliorer l’intégration des systèmes d’application dans les investissements de projet futurs. Plus précisément, les calendriers devraient être confirmés et des ressources devraient être affectées aux principales initiatives qui ont été cernées pour 2012-2013, à savoir, l’élaboration d’une stratégie d’AE et l’intégration de l’AE dans le CGPP, car elles sont les assises des initiatives à venir. En outre, le Comité des normes d’architecture devrait être rétabli et reprendre ses fonctions pour s’acquitter de son rôle en tant qu’organe de gouvernance en s’assurant que les investissements en GI/TI sont conformes aux normes approuvées en matière de technologie et aux initiatives d’architecture d’entreprise (c.-à-d., le mandat actuel est défini, la composition est confirmée et les réunions régulières ont été amorcées).
5.3. Surveillance et responsabilisation
5.3.1 Rôles et responsabilités
Pour évaluer la responsabilisation, nous avons déterminé si la structure organisationnelle de la DGGI était documentée, et accompagnée d’une affectation claire des rôles et des responsabilités. Nous avons aussi examiné si les rôles et les responsabilités définis par les exigences du SCT avaient été clairement définis au sein de la DGGI.
Nous avons constaté que la structure organisationnelle de la DGGI est présentée dans un organigramme qui date d’avril 2013 et qui a été approuvé par le DPI et le DPF. On nous a aussi informés que la structure de la Direction des services stratégiques d’entreprise, présentée dans l’organigramme, fait l’objet d’une révision afin de refléter plus précisément certains des domaines prioritaires de la Direction générale, dont la mise en œuvre de l’architecture d'entreprise, mais par ailleurs, elle est à jour. En ce qui a trait aux TI, les rôles et les responsabilités indiqués dans l’organigramme ont été mis en comparaison avec les huit champs de travail de la TI définis par le SCT, et ils semblaient être clairement affectés à une direction. Dans le cas de la GI, les exigences de la Directive sur les rôles et responsabilités en matière de gestion de l’information du SCT ont été examinées et il a été constaté que les rôles des spécialistes de la GI étaient en harmonie avec les rôles et les responsabilités assignés au sein de la direction de la GI. Le DPI a été désigné en tant que principal responsable de représenter l’administrateur général dans les discussions avec le SCT sur les questions liées à la GI et à la TI, comme il est prévu dans la Politique sur la gestion des technologies de l’information du Ministèreet la Politique sur la gestion de l’information, respectivement.
5.3.2 Surveillance et responsabilisation
Nous avons examiné si les principales activités de surveillance et de responsabilisation étaient réalisées dans les domaines suivants :
- Les initiatives prévues dans le plan de GI/TI;
- Le portefeuille de projets fondé sur la GI/TI; et,
- Les dépenses en GI/TI dans les régions et les secteurs.
La surveillance de la conformité avec la stratégie de GI/TI et les initiatives prévues dans le plan de GI/TI est effectuée de façon officieuse dans le cadre des réunions mensuelles du DPI avec chacun de ses directeurs et de façon officielle dans le cadre de l'exercice de production des rapports trimestriels du secteur du DPF. Un examen du rapport trimestriel du secteur du DPF pour l’exercice 2012-2013 révèle que les principales initiatives de la DGGI inscrites dans le plan de GI/TI ont fait l’objet d’un suivi sur une base trimestrielle et les résultats ont été compilés. Lorsque les livrables trimestriels n’avaient pas été produits, le rapport en précisait les raisons et prévoyait des mesures correctives, dont le suivi a été effectué lors du trimestre subséquent. Font exception à cette observation les principales initiatives relatives à l'architecture d'entreprise qui, selon le DPI, ont été laissées en plan pour 2012-2013 étant donné qu’aucune ressource n’était disponible pour les faire progresser à cette époque.
Bien que le cadre de responsabilisation de gestion (CRG) de rapports représente également un outil de contrôle clé, le SCT a adopté dans le cadre de l'élaboration des rapports du CRG une approche différente, basée sur le risque. Des domaines de gestion à risques élevés ou prioritaires ont été sélectionné pour évaluer les ministères. En conséquence, les ministères n'ont pas été tenus d'établir des rapports par rapport aux domaines du CRG reliés à la GI ou à la TI au cours des trois derniers exercices.
La DGGI a aussi récemment présenté un outil de production de rapports sur le portefeuille de projets au CDGMO et au COM, et la première présentation au CDGMO a eu lieu en mai 2013 et celle au COM est prévue à la fin d’octobre. Cette initiative a été mise en œuvre en réponse à une préoccupation exprimée par les organes de gouvernance, à savoir, que les projets étaient approuvés par l’entremise des comités de gouvernance, mais qu’ils sont ensuite gérés, pendant les étapes d’élaboration et de mise en œuvre, par les comités directeurs de projets sans autre surveillance de la part des comités de haute gouvernance. En conséquence, on a mis en œuvre un processus pour surveiller de plus près l’état d’avancement du portefeuille de projets, prévoyant que des rapports de portefeuilles soient produits pour le CDGMO sur une base semestrielle, même si l’on prévoit qu’ils seront éventuellement produits sur une base trimestrielle. La fréquence des rapports au COM reste encore à confirmer. Un examen de la présentation effectuée en mai au CDGMO a révélé qu’elle comprenait un sommaire du portefeuille de projets selon l’état (actif, en attente, etc.), par borne, par résultat stratégique et par secteur de programme. Les comptes rendus de discussions connexes du CDGMO font état de discussions approfondies sur les domaines du portefeuille pour lesquels des améliorations ont été demandées afin de gérer les domaines de risque de façon prospective.
La Politique sur la gestion des TI d’AADNC, qui est entrée en vigueur le 1er janvier 2013 et la Directive sur les autorisations d’approvisionnement de GI-TI d’AADNC, entrée en vigueur le 31 mars 2012, ont été publiées pour accroître la surveillance des dépenses en GI/TI dans les secteurs et les régions en exigeant une approbation préalable du DPI pour l'ensemble des dépenses de GI/TI, ainsi qu’un code financier commun pour permettre un suivi constant des dépenses en GI/TI. L’une des principales activités mises en œuvre pour surveiller la conformité à ces instruments est l'examen des dépenses en matière de GI/TI actuellement en cours, qui avait été au départ entrepris suite à l'exigence du Conseil du Trésor, mais qui sera utilisé à des fins de surveillance interne resserrée. L'examen des dépenses en GI/TI exige que chaque secteur et chaque région produisent un rapport sur les dépenses effectuées en GI/TI en 2012-2013, y compris les dépenses salariales et non salariales, classées en cinq catégories, nommément : informatique répartie, développement et maintenance d'applications et de bases de données, informatisation de la production et des opérations, télécommunications, sécurité des TI. Ces données devraient être compilées sur une base annuelle.
Si l’exercice de contrôle des dépenses en GI/TI se veut un outil de surveillance efficace pour déterminer si tous les projets entrepris par les régions et les secteurs ont reçu une approbation préalable comme il se doit, il faudra compiler des renseignements supplémentaires sur chaque projet particulier entrepris dans chacune de ces catégories. Le modèle de rapports actuel permet de rassembler des renseignements dans chaque catégorie selon le type de dépenses, y compris les dépenses salariales, le matériel, les logiciels, etc., mais aucun renseignement quant aux initiatives ou aux projets précis qui justifie ces montants. Par exemple, nos contrôles menés dans la région de la C.-B. révèle qu'environ 159 000 $ ont été dépensés pour un projet pour un «petit » client, dont le seul élément probant fourni par la région pour démontrer l’approbation du Directeur des services stratégiques d’entreprise est un courriel daté de février 2013, qui approuvait le remplacement d’ordinateurs de bureau seulement, et qui a été envoyé après la mise en œuvre du projet. L’analyse des dépenses en GI/TI actuelles ne permet pas de dégager des renseignements probants sur ce projet. Nous reconnaissons qu’il s'agit de la première année où les directives et politiques connexes sont en vigueur, et que l’examen des dépenses est actuellement en cours, et que le point de mire actuel des efforts vise la présentation des montants des dépenses au SCT pour le 15 octobre 2013. En conséquence, une analyse plus approfondie des renseignements financiers et du suivi par le DPI de toute indication d’activité de dépenses inhabituelle ou éventuellement non autorisée devra être effectuée.
Recommandation
6. Le dirigeant principal de l’information devrait s’assurer que les secteurs et les régions communiquent des renseignements suffisamment détaillés dans l’analyse annuelle des dépenses en GI/TI, en particulier l’information relative aux projets/initiatives de GI/TI entrepris, afin de surveiller de manière efficace la conformité aux politiques ministérielles exigeant l’approbation préalable de l’ensemble des dépenses de GI/TI. Une fois que ces renseignements supplémentaires auront été rassemblés et évalués, toute indication de non-conformité aux exigences en matière d’approbation préalable devrait donner lieu à un examen et, selon l’importance du cas, des mesures correctives devraient être prises, par exemple, sous la forme d’un suivi direct auprès de la région/du secteur ou en portant la question en amont à l’attention des comités de gouvernance.
6. Plan d'action de la direction
Recommandations | Réponse de la direction/mesures de suivi | responsable (titre) | Date de mise en œuvre prévue |
---|---|---|---|
1. Le dirigeant principal de l'information devrait renforcer la gouvernance et l'orientation stratégique liées à la gestion de l'information en établissant ou en améliorant les principaux éléments suivants : | Dirigeant principal de l'information | ||
|
Le directeur de la DGIM, en collaboration avec le DPI, d'autres directeurs de la DGGI et les membres du CGIT et du CDGMO, élaborera et approuvera un plan de GI en harmonie avec les priorités cernées dans la Stratégie de GI/TI du Ministère, y compris les initiatives classées par ordre de priorité pour l'horizon de planification de cinq ans. | 30 juin 2014 | |
L'ébauche de la Stratégie de GI d'entreprise sera éliminée. | 30 novembre 2013 | ||
|
La Directive sur la tenue de documents d'AADNC et la Directive sur la gestion des courriels seront examinées, mises à jour et approuvées. | 30 janvier 2014 | |
Tous les instruments de politique approuvés seront communiqués à l'ensemble des employés par l'entremise de L'Express d'AADNC. | 31 mars 2014 | ||
Tous les instruments de politique de GI/TI seront classés par ordre de priorité dans une liste à des fins d'examen, de mise à jour et d'approbation dans le cadre de l'examen et de la mise à jour du cycle de vie. | 31 mars 2014 | ||
Un processus d'examen de mise à jour du site intranet sera achevé afin d'éliminer les ébauches d'instruments de politique et de s'assurer que seules les versions officielles/finales sont disponibles. | 15 décembre 2013 | ||
|
Les ordres du jour des prochaines réunions de l'équipe de direction de la DGGI ainsi que des comités de gouvernance de la GI/TI (p. ex. CGIT) seront examinés et mis à jour pour s'assurer que certains points relatifs à la GI font l'objet de discussions au moins une fois par mois, et que les questions sont portées hiérarchiquement en amont au besoin, au CDGMO et au COM. | 15 décembre 2013 | |
2. Le dirigeant principal de l'information devrait poursuivre le processus amorcé récemment qui consiste à mobiliser les secteurs et les régions dans le cadre de l'exercice d'établissement des plans d'investissement quinquennaux afin de faciliter l'intégration de la stratégie et des plans de GI/TI à la planification des investissements du Ministère. Outre les projets approuvés par le Comité des opérations dans le cadre du plan d'investissement du Ministère, qui comprend les projets uniquement d'une valeur supérieure à 1 million de dollars, ces résultats devraient être intégrés aux mises à jour annuelles du plan de GI/TI afin de s'assurer que celui-ci demeure cohérent par rapport aux priorités générales du Ministère et pour permettre à la Direction générale de la gestion de l'information d'effectuer une planification des ressources de manière appropriée | L'appel annuel pour les initiatives de GI/TI continuera d'être inclus dans tous les appels pour les plans d'investissement. | Dirigeant principal de l'information | 31 mars 2014 |
Les résultats seront inclus dans les mises à jour au plan de GI/TI au niveau tactique. | 31 mars 2014 | ||
3. Le dirigeant principal de l'information devrait établir une fonction centralisée pour gérer l'ensemble des politiques et directives de GI et de TI afin de s'assurer qu'elles sont surveillées depuis l'étape d'élaboration initiale jusqu'à l'achèvement et à l'approbation, et pour s'assurer que seules les politiques et directives approuvées sont publiées sur le site intranet de la Direction générale de la gestion de l'information. Cette fonction centralisée devrait déterminer à quel moment les politiques et les directives doivent faire l'objet d'un examen en fonction d'un calendrier établi ou lorsque les exigences du SCT sont modifiées, et surveiller le processus de mise à jour. Un processus de communication devrait être mis en place pour communiquer les exigences issues de l'ensemble des politiques et directives nouvelles ou modifiées, de façon constante, à l'ensemble des personnes responsables de leur mise en œuvre. | Le bureau du DPI :
|
Dirigeant principal de l'information | 15 novembre 2013 |
|
15 novembre 2013 | ||
|
15 novembre 2013 | ||
|
31 mars 2014 | ||
|
31 mars 2014 | ||
4. Le dirigeant principal de l'information devrait améliorer la documentation relative au Cadre de gestion des portefeuilles de projets (CGPP) et s'y conformer en prenant les mesures suivantes : | Dirigeant principal de l'information | ||
|
Le dirigeant principal de l'information créera des exigences en avant-plan et en arrière-plan du cadre qui indiqueront les considérations et les exigences en matière de gestion de l'information pour chaque borne du CGPP. | 1er février 2014 | |
|
Le directeur des services stratégiques de GI/TI d'entreprise élaborera un document qui décrit clairement les exigences actuelles pour l'approbation par les organes de gouvernance à chacune des bornes du processus du CGPP. | 1er février 2014 | |
Une fois approuvé, le document sera publié sur le site intranet. | 28 février 2014 | ||
|
Le directeur des SSE produira un document précisant les exigences du CGPP pour les projets qui nécessitent l'approbation du Conseil du Trésor afin de s'assurer que les exigences relatives aux bornes du CGPP sont connues pour les projets qui nécessitent une approbation du SCT. | 1er mars 2014 | |
|
Le DPI, en collaboration avec le CGIT et le CDGMO, mettra à jour les documents et les cadres de GI/TI pour s'assurer que les procédures officielles de clôture de projets sont menées à bien. | 1er février 2014 | |
5. Le dirigeant principal de l'information devrait s'assurer que les initiatives de l'Architecture d'entreprise (AE) sont mises en œuvre selon les priorités et mises à contribution pour améliorer l'intégration des systèmes d'application dans les investissements de projet futurs. Plus précisément, les calendriers devraient être confirmés et des ressources devraient être affectées aux principales initiatives qui ont été cernées pour 2012-2013, à savoir, l'élaboration d'une stratégie d'AE et l'intégration de l'AE dans le CGPP, car elles sont les assises des initiatives à venir. En outre, le Comité des normes d'architecture devrait être rétabli et reprendre ses fonctions pour s'acquitter de son rôle en tant qu'organe de gouvernance en s'assurant que les investissements en GI/TI sont conformes aux normes approuvées en matière de technologie et aux initiatives d'architecture d'entreprise (c.-à-d., le mandat actuel est défini, la composition est confirmée et les réunions régulières ont été amorcées). | Le directeur des SSE, en collaboration avec tous les directeurs de la DGGI :
|
Dirigeant principal de l’information | 31 mars 2014 |
6. Le dirigeant principal de l'information devrait s'assurer que les secteurs et les régions communiquent des renseignements suffisamment détaillés dans l'analyse annuelle des dépenses en GI/TI, en particulier l'information relative aux projets/initiatives de GI/TI entrepris, afin de surveiller de manière efficace la conformité aux politiques ministérielles exigeant l'approbation préalable de l'ensemble des dépenses de GI/TI. Une fois que ces renseignements supplémentaires auront été rassemblés et évalués, toute indication de non-conformité aux exigences en matière d'approbation préalable devrait donner lieu à un examen et, selon l'importance du cas, des mesures correctives devraient être prises, par exemple, sous la forme d'un suivi direct auprès de la région/du secteur ou en portant la question en amont à l'attention des comités de gouvernance. | Le DPI élaborera et mettra en œuvre des processus et des activités de surveillance de la conformité pour s'assurer du caractère approprié des dépenses effectuées à l'extérieur de la DGGI. | Dirigeant principal de l'information | 30 avril 2014 |
Annexe A : Critères de vérification
Afin d'assurer le niveau d'assurance approprié pour répondre aux objectifs de la vérification, les critères suivants ont été définis pour atteindre cet objectif :
Critères de vérification
1. Gouvernance et orientation stratégique
1.1 Des organes de surveillance et de gestion efficaces en matière de GI et de TI ont été mis sur pied et s'acquittent de leur mandat.
1.2 Des plans stratégiques et tactiques en matière de GI/TI sont élaborés et mis en œuvre.
1.3 Des politiques et des directives ont été élaborées pour les principaux domaines de GI et de TI, ont reçu les approbations appropriées et ont été communiquées de manière efficace
1.4 Les risques rattachés à la GI et à la TI ont été cernés et documentés de même que les réponses aux risques et les stratégies d'atténuation.
1.5 Des accords ont été documentés et approuvés entre la DGGI et les secteurs pour confirmer le financement destiné aux activités de développement, d'acquisition et de maintenance des systèmes.
2. Développement, acquisition et intégration des systèmes d'application
2.1 Un Cadre de gestion des portefeuilles de projets a été défini pour gérer les projets de GI/TI.
2.2 Le Ministère se conforme au Cadre de gestion des portefeuilles de projets
2.3 Le cadre de développement et d'acquisition de systèmes traite explicitement des opportunités d'intégration des systèmes aux étapes clés.
3. Surveillance et responsabilisation
3.1 Les progrès par rapport aux stratégies et aux plans de GI et de TI sont surveillés et consignés dans des rapports, et des mesures correctives sont prises, au besoin.
3.2 Des processus et des procédures ont été mis en place pour déterminer et surveiller la conformité aux principales exigences du Conseil du Trésor et autres exigences du gouvernement du Canada liées à la GI et à la TI.
3.3 La surveillance des dépenses des régions et de l'administration centrale dans la GI/TI est exercée conformément à la Politique sur la gestion des technologies de l'information et à la Directive relative à l'achat de ressources de GI-TI sur une base périodique et les éléments inhabituels sont investigués.
Annexe B : Réglementation, politiques et directives pertinentes
Les sources autorisées suivantes ont été examinées et ont servi de base à cette vérification :
- Politique sur la gestion de l’information d’AADNC
- Directive sur les autorisations en matière d’achat de produits et de services de GI/TI d’AADNC
- Directive sur la gestion du portefeuille de projets de la GI/TI d’AADNC
- Directive sur la tenue de documents d’AADNC
- Directive sur l'échange d'information d’AADNC
- Directive sur l'intendance des données d’AADNC
- Cadre de gestion de portefeuille d’AADNC
- Cadre de gestion de la sécurité d’AINC
- Politique sur la gestion de l'information du CT
- Politique sur la gestion des technologies de l’information du CT
- Directive sur la gestion des technologies de l’information du CT
- Directive sur les rôles et responsabilités en matière de gestion de l'information du CT
- Directive sur la tenue de documents du CT