Vérification de l'intégration des systèmes d'application et de gouvernance de la GI/TI

5.1.1 Organes de gestion et de surveillance

Pour déterminer si des organes de surveillance et de gestion efficaces ont été mis sur pied et s’acquittent de leur mandat correctement à l’égard des initiatives de GI/TI, l’équipe de vérification a déterminé si :

• Les comités de gouvernance de la GI/TI ont été mis sur pied;
• Les mandats et la composition de ces comités ont été définis; et,
• Des réunions régulières ont eu lieu et les comptes rendus de décisions/procès-verbaux des réunions ont été conservés.

Nous avons observé qu’un cadre des comités de gouvernance de la GI/TI a été élaboré en 2011, et que celui-ci établit clairement la relation entre les différents comités de GI/TI, à savoir :

Équivalent textuel de la figure 2

La Figure 2 illustre les rapports entre les différents comités de GI/TI. Le diagramme présente les interrelations entre chaque comité en utilisant des lignes continues (directes) et des lignes pointillées (fonctionnelles) et divise les comités en trois groupes, selon leur orientation : stratégique, tactique et fonctionnel. En partant du niveau fonctionnel, le niveau le plus bas des trois, on trouve le Comité consultatif des changements (CCC). Le CCC relève directement du Comité des normes d'architecture (CNA), qui est situé au niveau tactique. Au niveau tactique, le CNA reçoit directement des informations de la Direction générale de la gestion de l'information (DGGI)/Équipe de gestion de la direction (EGD). Le CNA reçoit de l'information des comités directeurs de projet et du Comité de gérance de l'information et de la technologie (CGIT) et leur fournit de l'information. Les comités directeurs de projet reçoivent de l'information fonctionnelle de la Direction générale de la gestion de l'information (DGGI)/Équipe de gestion de la direction (EGD) et du Comité de gérance de l'information et de la technologie (CGIT) et fournit de l'information fonctionnelle au Comité des DG chargé de la mise en œuvre et des opérations (CDGMO), situé au niveau stratégique, en plus de recevoir de l'information directement du CNA. Le Comité de gérance de l'information et de la technologie reçoit de l'information directe des comités de GI/TI régionaux et sectoriels en plus de recevoir de l'information directe du CNA et de l'information fonctionnelle des comités directeurs de projet. Le CGIT relève directement du CDGMO, qui se trouve au niveau stratégique. Le CDGMO relève directement du Comité des opérations du Ministère, le comité du niveau le plus élevé au niveau stratégique.

Il a été constaté que les principaux organes décisionnels définis dans le cadre avaient été mis sur pied, notamment le Comité des opérations du Ministère (COM), le Comité des DG chargé de la mise en œuvre et des opérations (CDGMO) et le Comité de gérance de l’information et de la technologie (CGIT). Pour chacun de ces comités, des mandats avaient été définis et approuvés, y compris la composition des comités, faisant intervenir des membres de l’ensemble du Ministère. Il a été observé que la composition du CGIT réunit des directeurs régionaux des Services ministériels et le CDGMO inclus le directeur général du Secteur des opérations régionales, qui assure la participation des régions aux activités de gouvernance de la GI/TI. Un examen portant sur une période de six mois s’échelonnant de janvier à juin 2013 a révélé que des réunions avaient été tenues de façon régulière, que l’on avait effectué le suivi des présences, et produit des comptes rendus des discussions, y compris un suivi des mesures à prendre.

Le mandat du CGIT définit les responsabilités précises, tant en matière de TI qu’en matière de GI, y compris la tenue de consultations et la formulation de recommandations dans ces domaines à l’intention du CDGMO et, au besoin, du COM. Un examen des comptes rendus de direction des réunions du CGIT et du CDGMO révèle toutefois que l’accent a été mis sur la TI alors que l’on a rarement discuté des points relatifs à la GI. À sa réunion de juillet 2013, le CDGMO a reconnu qu’il s’agissait d’un domaine où des améliorations étaient requises et il a pris des mesures afin de déterminer la meilleure façon de faire progresser la réalisation des priorités en matière de GI et de les appuyer. Il s’agira d’un point clé à améliorer, car le Ministère doit actuellement mettre en œuvre des initiatives de GI cruciales, à savoir, établir la conformité en matière de tenue de documents et la mise en œuvre de GCDocs.

Bien que la mise sur pied de Services partagés Canada ne change pas la gouvernance globale de la GI/TI, les rôles, responsabilités et processus particuliers en cette matière continuent d’évoluer entre SPC et le Ministère, et les procès-verbaux examinés révèlent que des mises à jour de SPC ont été présentées de façon régulière.

L’examen d’un échantillon de comités tactiques de la DGGI, notamment l’Équipe de gestion de la direction (EGD) et le Comité des normes d’architecture (CNA), a révélé que l’EGD se réunissait sur une base régulière et tenait des comptes rendus des décisions. Dans le cas du CNA, les réunions n’avaient pas été tenues de façon régulière et le dernier compte rendu des discussions datait d’octobre 2012. Le directeur des Services stratégiques de l’entreprise, qui est le président du CNA, a fait savoir que le CNA était en cours de restructuration afin d’améliorer son efficacité, et qu’il était notamment doté d’un mandat et d’une composition révisés. Comme il est indiqué dans le cadre du Comité de gouvernance de la GI/TI, le CNA devrait jouer un rôle important pour s’assurer que « les investissements en GI/TI sont conformes aux normes approuvées pour le Ministère pour ce qui est de la conception de l’infrastructure, de la gestion du matériel, des logiciels et de l’information ainsi qu’aux investissements politiques et stratégiques du gouvernement du Canada ». Voir la section 5.2.2 qui traite plus en profondeur du CNA.

5.1.2 Plans stratégiques et tactiques

La vérification a voulu déterminer si des plans stratégiques et tactiques en matière de GI/TI avaient été établis et mis en oeuvre.

Nous avons observé que les principales activités de planification ont été mises en œuvre. La stratégie de GI/TI 2012-2015 a été élaborée et approuvée par le COM en février 2012. La stratégie décrit la vision, l’orientation stratégique et la stratégie de mise en œuvre de la DGGI. Un plan de GI/TI 2013 a ensuite été élaboré et celui-ci prévoit plusieurs initiatives pour mettre en œuvre la stratégie au cours de la période 2012-2013 à 2016-2017, y compris des initiatives liées à la planification de la transition à SPC. Le plan est mis à jour chaque année. En outre, une évaluation des risques formelle du secteur du DPF, notamment des risques en matière de GI/TI, a été effectuée en 2012 et elle a été intégrée à l’exercice de planification des activités 2013-2014 du secteur du DPF.

La stratégie de GI/TI identifie comme fondamentale la réalisation « de plans de GI/TI approuvés dans le cadre du cycle de planification organisationnelle et directement aux objectifs ministériels et pangouvernementaux » qui concordent avec les exigences du SCT telles qu’elles sont définies dans la Politique sur la gestion des technologies de l’information du SCT qui, en retour, a été adoptée par le Ministère. Cependant, à ce jour, aucun processus structuré n’a été mis en place pour veiller à cette harmonisation lors de l’exercice d’élaboration du plan de GI/TI. Cet aspect est reconnu comme un point à améliorer par la direction de la DGGI, et nous avons été avisés par le DPI que le SCT exigera également que cet alignement du plan de TI soit soumis au SCT d’ici le 31 mars 2014. En conséquence, le DPF a communiqué une lettre d’appel intégrée en septembre 2013 à l’ensemble des secteurs et des régions en vue de l’établissement d’un plan d’investissement et d’approvisionnement en matière de GI/TI, y compris des modèles pour l’établissement d’initiatives précises accompagnées d’estimations des coûts graduellement moins précises pour chacune des cinq années. Les réponses sont attendues à la fin d’octobre 2013 et seront utilisées aux fins de la planification des ressources en matière de GI/TI et de l’établissement des plans de GI/TI, car ils fourniront de l’information aux fins de la planification de l’ensemble des projets prévus. Ces plans de GI/TI doivent aussi être élaborés dans le contexte du plan d’investissements général du Ministère qui a été approuvé par le COM et qui prévoit des projets d’une valeur supérieure à un million de dollars.

Même si la stratégie de GI/TI a été élaborée dans le but d’intégrer les composantes de GI et de TI, une ébauche séparée de la « stratégie de gestion de l’information organisationnelle 2010 à 2015 » existe également, comme l’ébauche du plan tactique en matière de GI 2013-2014 à 2015-2016, qui prévoit 30 initiatives particulières de GI. Nous avons été avisés par le DPI que la stratégie de GI/TI devrait avoir préséance sur l’ébauche de stratégie opérationnelle en GI, et qu’un plan de GI/TI consolidé sera élaboré en cours d’exercice. Outre le renouvellement des outils de GI, le plan de GI/TI 2013 actuel ne prévoit aucune initiative de GI, contrairement aux 30 initiatives que prévoit l’ébauche du plan tactique en GI. Pour l’heure, on ne connaît pas encore quelles initiatives prioritaires en matière de GI ont été approuvées, à qui la responsabilité de chacune d’elles a été confiée et si des progrès sont en cours.

La planification entre la DGGI et les secteurs a été améliorée grâce à l’élaboration de protocoles d’entente (PE) en 2013-2014 entre la DGGI et chaque secteur pour confirmer le financement destiné aux activités de développement de système et de maintenance. Les protocoles d’entente traitent des frais supplémentaires qui seront engagés pendant l’année pour le soutien opérationnel et le développement d’applications qui ne sont pas financées avec le financement de base, y compris tous les frais relatifs aux licences et au matériel/logiciels supplémentaires connexes. Les coûts relatés dans les protocoles d’entente visent uniquement les coûts incrémentiels rattachés au recrutement d’entrepreneurs et ne comprennent pas le recouvrement du temps consacré par les employés de la DGGI. Il s’agit de la deuxième année du processus d’établissement de protocoles d’entente, et l’on a observé une amélioration par rapport à l’année précédente, à savoir que les PE sont conclus par secteur plutôt que sur la base des demandes individuelles.

5.1.3 Politiques et directives

Les politiques et les directives définissent l’orientation du Ministère dans les domaines de la GI et de la TI. En examinant les politiques et les directives, l’équipe de vérification a voulu déterminer si :

• Les politiques et les directives pour les domaines clés de la GI et de la TI ont été élaborées et approuvées;
• Les politiques et les directives ont fait l’objet de mises à jour et d’examens réguliers; et,
• Les politiques et les directives ont été communiquées efficacement aux parties concernées.

À la lumière de l’examen des politiques et directives de GI et de TI fourni par la direction de la DGGI, nous avons observé que dans l’ensemble, les politiques et les directives couvrent tous les domaines prévus et sauf pour celles qui sont encore à l’état d’ébauche, elles sont en harmonie avec les exigences établies dans les politiques et directives de GI et de TI connexes du Secrétariat du Conseil du Trésor (SCT). Nous avons relevé trois directives d’AADNC encore en version préliminaire : la Directive sur la tenue de documents, la Directive sur l'échange d'information et la Directive sur l'intendance des données. Une comparaison des exigences de l’ébauche de la Directive sur la tenue de documents d’AADNC à celle de la directive correspondante du SCT a relevé trois domaines requis par le SCT, mais qui ne sont pas inclus dans l’ébauche de la Directive sur la tenue de documents du Ministère : effectuer une évaluation des risques des ressources ayant une valeur opérationnelle, établir des taxonomies ou des structures de classification des ressources ayant une valeur opérationnelle et la communication aux employés des risques liés à la mauvaise tenue des documents. Étant donné que les ministères doivent être conformes à la Directive sur la tenue de documents du SCT d’ici mars 2015, il est important qu’AADNC finalise sa directive et la publie pour que toutes les activités de conformité connexes puissent être définies et que la mise en œuvre puisse être planifiée de façon appropriée.

Le processus d’examen et de mise à jour des politiques et directives de GI et de TI est actuellement informel et manque d’uniformité. Nous avons été informés par la direction que les politiques et les directives sont examinées à l’interne tous les trois ans, et lorsque le SCT publie de nouvelles politiques ou directives ou modifie celles existantes. Dans le cadre de nos contrôles par sondage, nous avons relevé des exemples de politiques qui auraient dû être examinées à la lumière de ces critères, mais qui ne l’ont pas été, notamment la Politique sur la gestion de l’information d’AADNC (datée d’octobre 2008) et le Cadre de gestion de la sécurité d’AINC (daté de juillet 2008 et qui renferme l’énoncé de politique sur la sécurité des TI). Ces deux exemples illustrent des documents qui n’ont pas été mis à jour au cours des cinq dernières années, alors que les documents correspondants du SCT ont été mis à jour depuis 2008. Par ailleurs, un examen récent des politiques, directives et normes existantes effectué par la DGGI a révélé que plusieurs documents existants n’étaient pas classés dans la bonne catégorie, comme politique, comme directive ou comme norme.

Les politiques et les directives de GI/TI sont publiées sur la page intranet de la DGGI pour que les employés concernés puissent s’y rapporter. Nous avons observé que certaines directives de GI/TI qui n’avaient pas encore été achevées avaient aussi été publiées, notamment l’ébauche de la Directive sur la tenue de documents d’AADNC, et une ébauche de la Directive pour les services de courrier et de livraison par messager d’AADNC. En outre, la Directive sur la gestion des portefeuilles de projets de GI/TI d’AADNC qui a été approuvée et qui est entrée en vigueur le 1er novembre 2012 est publiée sur la page de gestion de projet du site intranet de la DGGI, alors que les modifications apportées n’ont pas été approuvé dans la table des matières et que la mention « ébauche » est inscrite en filigrane.

Le Ministère a récemment publié deux nouveaux documents fondamentaux liés à la gestion de la GI/TI – la Politique sur la gestion des TI d’AADNC et la Directive sur les autorisations d’approvisionnement de GI/TI d’AADNC – qui établissent les exigences relatives à l’approbation du DPI pour l’ensemble des mécanismes d’approvisionnement et architectures liées à la GI/TI, et précisent les codes financiers pour ces activités d’approvisionnement. Nous avons été informés que le seul moyen de communication de ces éléments à l’échelle du Ministère était les comptes rendus des discussions des comités de gouvernance responsables de l’approbation, et que les membres des comités étaient ensuite responsables de diffuser le message plus largement. Cette politique et cette directive sont appliquées sans retenue à l’échelle du Ministère, y compris à l’ensemble des gestionnaires de programme et de projet et à l’ensemble des gestionnaires de centres de responsabilité qui fournissent des codes financiers pour ces éléments. Un manque de communication appropriée et cohérente des attentes à l’égard des personnes touchées peut entraîner des répercussions négatives sur le taux de conformité.

5.2.1 Gestion des portefeuilles de projets

Un Cadre de gestion des portefeuilles de projets (CGPP) a été élaboré et documenté basé sur les orientations du SCT pour assurer la gouvernance des projets fondés sur la GI/TI. Le CGPP comporte sept bornes, ou points décisionnels, dans le cycle de vie d’un projet :

• Borne 1 – Alignement stratégique
• Borne 2 – Approche de projet
• Borne 3 – Analyse de rentabilisation
• Borne 4 – Charte de projet
• Borne 5 – Plan et exigences
• Borne 6 – Solution complète
• Borne 7 – Utilisation/retrait

Le CGPP prévoit des exigences relatives à l’approbation des comités de gouvernance à chaque borne et différents livrables de projet sont précisés pour chaque borne afin d’obtenir les approbations requises. Depuis sa mise en œuvre initiale en 2010, le CGPP a été amélioré en 2011 afin d’exiger une évaluation des possibilités en fonction de leur taille, de la complexité et du risque, et de simplifier le processus pour celles à plus faible risque. Le CGPP original et ses améliorations ont été approuvés par les comités de gouvernance, dont le COM. Les documents et gabarits du CGPP sont publiés sur le site intranet de la DGGI. La Directive sur la gestion des portefeuilles de projets de GI/TI d’AADNC a été publiée et est entrée en vigueur le 1er novembre 2012; elle établit le mécanisme de gouvernance pour appuyer l’adhésion au CGPP.

Notre examen du portefeuille de projet et les sondages détaillés d’un échantillon de trois projets actifs révèlent que les exigences du CGPP ont été respectées, sauf dans les domaines suivants :

• Les exigences relatives à l’intégration de la GI dans les processus du CGPP manquent de clarté. Il existe un document portant sur la GI au service de la gestion de projet, mais il s’agit d’une ébauche, même si elle est datée de 2011. Les éléments probants d’une évaluation et d’une intégration des exigences en matière de GI pour l’ensemble des trois projets contrôlés n’étaient pas disponibles. Dans le cas d’un projet – système de désignation sur carte électronique du Nunavut – un accord sur la tenue de documents a été préparé, mais rien n’indique qu’il a été approuvé. Dans les autres cas, même s’il y a eu intervention de la GI, celle-ci semblait informelle et aucun élément probant n’était disponible.
• La Charte du projet SGI SEFPN n’a pas été approuvé par le promoteur ou le Comité directeur du projet. Au lieu de passer par le processus d’approbation par étapes des projets selon la norme ministérielle, la direction a soumis le projet au organisme central pour approbation. Bien que la direction générale n’ait pas obtenu l’approbation de la Charte de projet par le promoteur ou le Comité directeur du projet, la Charte du projet a été approuvée selon le processus du organisme central.
• Même si le processus d’approbation par borne par les organes de gouvernance est une composante clé du CGPP, nous avons été incapables de retracer la documentation actuelle qui précise clairement quel organe de gouvernance est responsable des approbations à chaque borne, pour chacun des processus long et court du CGPP.^{Note de bas de page 1} Les exigences actuelles relatives aux approbations par borne étaient uniquement disponibles en effectuant le suivi des modifications approuvées par le COM en mars 2011, et en tenant compte des clarifications fournies par le Bureau de gestion du projet (BGP) qui a indiqué que seuls les processus longs et courts avaient été mis en œuvre. Une présentation datée de juin 2013 préparée par un gestionnaire des relations avec la clientèle comprenait les exigences actuelles, mais cette présentation n’était pas accessible de façon générale même au sein du BGP.
• L’étape de clôture du projet n’est pas respectée, même s’il s’agit d’une exigence de la borne 7. Selon la liste des projets obtenue du BGP, 15 projets se trouvant à la borne 7 devaient être clos, certains depuis 2010. La clôture de projet est une étape importante pour la documentation des leçons apprises et de leur mise en oeuvre.

Nous avons été informés que certaines demandes avaient été élaborées à l’extérieur de la CGPP, même si aucun projet actuel n’avait été cité. Le Ministère a récemment publié une Politique sur la gestion des technologies de l’information qui est entrée en vigueur le 1er janvier 2013 et qui exige que tous les projets comportant une composante de GI/TI soient préapprouvés par le DPI. En outre, comme il a été indiqué précédemment, le secteur du DPF a récemment lancé un appel concerté à tous les secteurs et à toutes les régions en vue d’obtenir de l’information sur les plans d’investissements quinquennaux. La combinaison de ces deux initiatives devrait empêcher et prévenir les écarts au CGPP à l’avenir, bien que l’efficacité n’ait pas encore été démontrée.

5.2.2 Intégration des systèmes d’application

Il a été déterminé que l’intégration des systèmes d’application constitue un problème au sein du Ministère, car certaines applications existantes ont été développées en vase clos, ce qui a généré des lacunes dans le partage des données et éventuellement un manque d’uniformité des données entre les différentes applications. Depuis la mise en œuvre du CGPP en 2010, l’intégration des systèmes d’application a été appuyée par les exigences des bornes 2 et 3 du CGPP – Approche de projet et Analyse de rentabilisation – où une évaluation de la mesure dans laquelle les systèmes, les données et les règles opérationnelles sont réutilisés et requis dans le cadre du livrable « Analyse des options ». Par ailleurs, pour favoriser l’intégration, des normes technologiques ont été définies et on a mis en place une base de données regroupant les « éléments de données communs », même s’il a été relevé que cette base de données se limitait seulement à huit éléments de données, notamment des éléments comme la bande, la réserve et le conseil tribal. En outre, certaines initiatives comme les améliorations apportées au stockage de données en 2013 pour qu’il inclue les données relatives aux services d’éducation, à l’enfance et à la famille contribuent à réaliser la priorité ministérielle d’améliorer l’information aux fins de la prise de décision.

Afin de faciliter une intégration et une réutilisabilité accrue de l’information à l’avenir, la stratégie de GI/TI considère que le passage à l’Architecture d’entreprise (AE) est un catalyseur clé et « le fondement des processus fondamentaux qui favorisent l’intégration opérationnelle au niveau approprié au chapitre du développement des solutions de GI/TI ». Par conséquent, le plan de GI/TI 2013 répertorie plusieurs initiatives axées sur l’AE, commençant en 2012-2013 et s’échelonnant sur le cycle de planification quinquennal. Cependant, les principales initiatives d’AE relevées pour 2012-2013, qui comprenaient l’élaboration d’une stratégie d’AE et l’intégration de l’AE au CGPP, n’ont pas été mises en œuvre en raison de problèmes de ressources. Les initiatives d’AE pour 2013-2014 et les années subséquentes devaient prendre appui sur les initiatives de 2012-2013, de sorte qu’elles seront maintenant retardées.

En 2012, le Ministère a retenu les services de la société Gartner Consulting pour évaluer le portefeuille d’application et les applications en fonction de leur valeur opérationnelle, de leur état technique et des coûts d’entretien. Il s’agit de renseignements judicieux aux fins d’une éventuelle rationalisation du portefeuille d’application, en vue d’éliminer les applications qui représentent une plus faible valeur et qui sont susceptibles de présenter des problèmes techniques ou d’entraîner des coûts de soutien relativement élevés. L’information relative au portefeuille d’application est maintenant disponible sous forme d’outil à des fins d’évaluation, et celui-ci peut être utilisé à l’appui de l’initiative d’AE.

En outre, comme il en est question à la section 5.1.1, le CNA est actuellement inactif, mais il demeure l’organisme responsable de faire respecter les normes technologiques et devrait participer à la mise en œuvre de l’AE.

5.3.1 Rôles et responsabilités

Pour évaluer la responsabilisation, nous avons déterminé si la structure organisationnelle de la DGGI était documentée, et accompagnée d’une affectation claire des rôles et des responsabilités. Nous avons aussi examiné si les rôles et les responsabilités définis par les exigences du SCT avaient été clairement définis au sein de la DGGI.

Nous avons constaté que la structure organisationnelle de la DGGI est présentée dans un organigramme qui date d’avril 2013 et qui a été approuvé par le DPI et le DPF. On nous a aussi informés que la structure de la Direction des services stratégiques d’entreprise, présentée dans l’organigramme, fait l’objet d’une révision afin de refléter plus précisément certains des domaines prioritaires de la Direction générale, dont la mise en œuvre de l’architecture d'entreprise, mais par ailleurs, elle est à jour. En ce qui a trait aux TI, les rôles et les responsabilités indiqués dans l’organigramme ont été mis en comparaison avec les huit champs de travail de la TI définis par le SCT, et ils semblaient être clairement affectés à une direction. Dans le cas de la GI, les exigences de la Directive sur les rôles et responsabilités en matière de gestion de l’information du SCT ont été examinées et il a été constaté que les rôles des spécialistes de la GI étaient en harmonie avec les rôles et les responsabilités assignés au sein de la direction de la GI. Le DPI a été désigné en tant que principal responsable de représenter l’administrateur général dans les discussions avec le SCT sur les questions liées à la GI et à la TI, comme il est prévu dans la Politique sur la gestion des technologies de l’information du Ministèreet la Politique sur la gestion de l’information, respectivement.

5.3.2 Surveillance et responsabilisation

Nous avons examiné si les principales activités de surveillance et de responsabilisation étaient réalisées dans les domaines suivants :

• Les initiatives prévues dans le plan de GI/TI;
• Le portefeuille de projets fondé sur la GI/TI; et,
• Les dépenses en GI/TI dans les régions et les secteurs.

La surveillance de la conformité avec la stratégie de GI/TI et les initiatives prévues dans le plan de GI/TI est effectuée de façon officieuse dans le cadre des réunions mensuelles du DPI avec chacun de ses directeurs et de façon officielle dans le cadre de l'exercice de production des rapports trimestriels du secteur du DPF. Un examen du rapport trimestriel du secteur du DPF pour l’exercice 2012-2013 révèle que les principales initiatives de la DGGI inscrites dans le plan de GI/TI ont fait l’objet d’un suivi sur une base trimestrielle et les résultats ont été compilés. Lorsque les livrables trimestriels n’avaient pas été produits, le rapport en précisait les raisons et prévoyait des mesures correctives, dont le suivi a été effectué lors du trimestre subséquent. Font exception à cette observation les principales initiatives relatives à l'architecture d'entreprise qui, selon le DPI, ont été laissées en plan pour 2012-2013 étant donné qu’aucune ressource n’était disponible pour les faire progresser à cette époque.

Bien que le cadre de responsabilisation de gestion (CRG) de rapports représente également un outil de contrôle clé, le SCT a adopté dans le cadre de l'élaboration des rapports du CRG une approche différente, basée sur le risque. Des domaines de gestion à risques élevés ou prioritaires ont été sélectionné pour évaluer les ministères. En conséquence, les ministères n'ont pas été tenus d'établir des rapports par rapport aux domaines du CRG reliés à la GI ou à la TI au cours des trois derniers exercices.

La DGGI a aussi récemment présenté un outil de production de rapports sur le portefeuille de projets au CDGMO et au COM, et la première présentation au CDGMO a eu lieu en mai 2013 et celle au COM est prévue à la fin d’octobre. Cette initiative a été mise en œuvre en réponse à une préoccupation exprimée par les organes de gouvernance, à savoir, que les projets étaient approuvés par l’entremise des comités de gouvernance, mais qu’ils sont ensuite gérés, pendant les étapes d’élaboration et de mise en œuvre, par les comités directeurs de projets sans autre surveillance de la part des comités de haute gouvernance. En conséquence, on a mis en œuvre un processus pour surveiller de plus près l’état d’avancement du portefeuille de projets, prévoyant que des rapports de portefeuilles soient produits pour le CDGMO sur une base semestrielle, même si l’on prévoit qu’ils seront éventuellement produits sur une base trimestrielle. La fréquence des rapports au COM reste encore à confirmer. Un examen de la présentation effectuée en mai au CDGMO a révélé qu’elle comprenait un sommaire du portefeuille de projets selon l’état (actif, en attente, etc.), par borne, par résultat stratégique et par secteur de programme. Les comptes rendus de discussions connexes du CDGMO font état de discussions approfondies sur les domaines du portefeuille pour lesquels des améliorations ont été demandées afin de gérer les domaines de risque de façon prospective.

La Politique sur la gestion des TI d’AADNC, qui est entrée en vigueur le 1er janvier 2013 et la Directive sur les autorisations d’approvisionnement de GI-TI d’AADNC, entrée en vigueur le 31 mars 2012, ont été publiées pour accroître la surveillance des dépenses en GI/TI dans les secteurs et les régions en exigeant une approbation préalable du DPI pour l'ensemble des dépenses de GI/TI, ainsi qu’un code financier commun pour permettre un suivi constant des dépenses en GI/TI. L’une des principales activités mises en œuvre pour surveiller la conformité à ces instruments est l'examen des dépenses en matière de GI/TI actuellement en cours, qui avait été au départ entrepris suite à l'exigence du Conseil du Trésor, mais qui sera utilisé à des fins de surveillance interne resserrée. L'examen des dépenses en GI/TI exige que chaque secteur et chaque région produisent un rapport sur les dépenses effectuées en GI/TI en 2012-2013, y compris les dépenses salariales et non salariales, classées en cinq catégories, nommément : informatique répartie, développement et maintenance d'applications et de bases de données, informatisation de la production et des opérations, télécommunications, sécurité des TI. Ces données devraient être compilées sur une base annuelle.

Si l’exercice de contrôle des dépenses en GI/TI se veut un outil de surveillance efficace pour déterminer si tous les projets entrepris par les régions et les secteurs ont reçu une approbation préalable comme il se doit, il faudra compiler des renseignements supplémentaires sur chaque projet particulier entrepris dans chacune de ces catégories. Le modèle de rapports actuel permet de rassembler des renseignements dans chaque catégorie selon le type de dépenses, y compris les dépenses salariales, le matériel, les logiciels, etc., mais aucun renseignement quant aux initiatives ou aux projets précis qui justifie ces montants. Par exemple, nos contrôles menés dans la région de la C.-B. révèle qu'environ 159 000 $ ont été dépensés pour un projet  pour un «petit » client, dont le seul élément probant fourni par la région pour démontrer l’approbation du Directeur des services stratégiques d’entreprise est un courriel daté de février 2013, qui approuvait le remplacement d’ordinateurs de bureau seulement, et qui a été envoyé après la mise en œuvre du projet. L’analyse des dépenses en GI/TI actuelles ne permet pas de dégager des renseignements probants sur ce projet. Nous reconnaissons qu’il s'agit de la première année où les directives et politiques connexes sont en vigueur, et que l’examen des dépenses est actuellement en cours, et que le point de mire actuel des efforts vise la présentation des montants des dépenses au SCT pour le 15 octobre 2013. En conséquence, une analyse plus approfondie des renseignements financiers et du suivi par le DPI de toute indication d’activité de dépenses inhabituelle ou éventuellement non autorisée devra être effectuée.