Secrétariat du Conseil du Trésor du Canada
Symbole du gouvernement du Canada

ARCHIVÉ - Vérification interne horizontale de la gestion des actifs des technologies de l'information dans les petits ministères et organismes

Avertissement Cette page a été archivée.

Information archivée dans le Web

Information archivée dans le Web à des fins de consultation, de recherche ou de tenue de documents. Cette dernière n’a aucunement été modifiée ni mise à jour depuis sa date de mise en archive. Les pages archivées dans le Web ne sont pas assujetties aux normes qui s’appliquent aux sites Web du gouvernement du Canada. Conformément à la Politique de communication du gouvernement du Canada, vous pouvez demander de recevoir cette information dans tout autre format de rechange à la page « Contactez-nous ».



Vérification interne horizontale de la gestion
des actifs des technologies de l'information
dans les petits ministères et organismes

Avril 2010



Table des matières



Sommaire exécutif

L'objectif de la vérification était de déterminer si les structures de gestion et de contrôle en place dans les petits ministères et organismes (PMO) constituent un cadre efficace de  gestion des actifs de technologie de l'information (TI). Nous avons également examiné les politiques et les lignes directrices connexes fournies aux PMO par le Secrétariat du Conseil du Trésor du Canada (SCT).

Pourquoi est-ce important?

Le gouvernement du Canada affecte un montant considérable de son budget annuel aux biens et services liés à la TI. En outre, la TI constitue un volet essentiel de la stratégie du gouvernement visant à relever les défis que posent l'augmentation de la productivité et l'amélioration des services au public, au bénéfice des citoyens, des entreprises, des contribuables et des employés. C'est pourquoi il importe de s'assurer que des structures pertinentes sont mises en place pour gérer les biens liés aux TI et les risques qui s'y rattachent, l'acquisition de ces biens et le contrôle de leur rendement. La présente vérification vise à fournir une telle assurance.

Principales constatations

Les PMO ont établi des structures de gouvernance qui cadrent avec la taille et la portée de leurs activités liées aux TI. Nous avons constaté que la plupart des PMO menaient des activités de planification des investissements de TI à court terme, mais de nombreux PMO visés par notre vérification n'avaient pas élaboré de plans à long terme, comme l'exige la Directive sur la gestion des technologies de l'information du Secrétariat du Conseil du Trésor. Néanmoins, compte tenu de la taille et de la portée des activités liées aux TI dans certains PMO, le respect des exigences de la directive dans ce domaine peut être plus exigeant que la valeur ajoutée qu'il apporte. Ainsi, le SCT, organisme central chargé d'établir la politique sur les TI, peut travailler avec les PMO pour déterminer si les politiques actuelles liées à la TI correspondent aux risques liés à la gestion des actifs de TI auxquels sont aux prises les PMO.

Nous avons constaté des preuves que les PMO ont pris en compte le budget requis pour l'acquisition d'actifs de TI durant le cycle de planification budgétaire annuel. Par contre, de nombreux PMO n'ont pas pu prouver qu'ils établissaient en ordre de priorités leurs acquisitions de TI prévues en se fondant sur le cycle de vie des actifs ou d'autres risques. En conséquence, nous ne pouvons pas donner l'assurance que les PMO ont dépensé leur budget de technologie pour acheter des produits de TI ayant la plus grande priorité sur les plans des risques ou des besoins opérationnels ou qu'ils ont remplacé des produits uniquement lorsque cela s'avérait nécessaire et non avant la fin de leur durée de vie utile.

La Politique sur la gestion des technologies de l'information exige que les ministères et les organismes utilisent des actifs et des services de TI partagés, le cas échéant et au besoin; toutefois, certains obstacles législatifs et autres découragent les PMO de se conformer à cette politique. Un groupe de travail du Bureau du contrôleur général du Canada (BCG) travaille actuellement sur la résolution de ces difficultés ainsi que d'autres questions connexes. Néanmoins, nous avons constaté qu'un des PMO avait adopté un modèle de partage d'actifs de TI avec un grand ministère.

La plupart des PMO ne mesuraient pas le rendement de leurs actifs de TI, comme l'exige le Cadre de politique de gestion de la technologie de l'information. Aucun des PMO n'avait établi de cibles et d'indicateurs appropriés, conditions préalables de base à la mesure du rendement. Nous avons remarqué que le SCT a élaboré quelques indicateurs de rendement préliminaires en consultation avec les PMO. Cependant, ces indicateurs n'ont pas été communiqués de manière officielle aux parties intéressées dans les PMO. Par conséquent, nous n'avons observé aucune preuve que les PMO visés par notre vérification les utilisaient.

Conclusion

Dans l'ensemble, nous sommes satisfaits que, compte tenu de la taille et de la portée des activités menées dans les PMO visés par notre vérification, les structures de gestion et de contrôle qui y sont instaurées fournissent un cadre efficace pour la gestion des actifs de TI.

Énoncé d'assurance

La vérification a été effectuée conformément aux Normes relatives à la vérification interne pour le gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de la vérification interne.[1]


Brian M. Aiken CIA, CFE
Contrôleur général adjoint
Secteur de la vérification interne, Bureau du contrôleur général du Canada

Contexte

La Politique sur la vérification interne du Conseil du Trésor exige que le contrôleur général effectue des vérifications horizontales dans les petits ministères et organismes (PMO). Ces vérifications servent à évaluer les risques qui transcendent les ministères afin de présenter des rapports sur l'état de la gouvernance, des processus de contrôle et de la gestion des risques à l'échelle du gouvernement. Le présent rapport présente les résultats de la Vérification interne horizontale de la gestion des actifs des technologies de l'information dans les petits ministères et organismes. Diverses politiques et directives du Conseil du Trésor, qui sont brièvement présentées dans les paragraphes qui suivent, guident les pratiques de gestion des actifs des technologies de l'information (TI).

La Politique sur la gestion des technologies de l'information a pour objectifs de promouvoir l'utilisation efficiente et efficace des TI à l'appui des priorités gouvernementales et de l'exécution des programmes, d'accroître la productivité et d'améliorer les services au public. L'atteinte de ces objectifs doit déboucher sur des rôles et des responsabilités clairement énoncés pour la gestion des TI au gouvernement du Canada, sur un recours accru aux actifs et services de TI communs ou partagés et sur une meilleure gestion des TI dans l'ensemble du gouvernement, de manière à ce qu'elle appuie l'exécution des programmes et optimise les ressources.

Le Cadre de politique sur la gestion des actifs et services acquis, entre autres, décrit les principaux principes de gestion des actifs, notamment l'utilisation d'une approche en regard du cycle de vie lors de la planification des acquisitions telles que les biens liés à la TI.

La Directive sur la gestion des technologies de l'information établit les exigences précises en matière de gouvernance et de gestion des TI et souligne la nécessité de disposer d'un plan des TI à long terme (cinq ans) intégré au plan d'investissement ministériel qui est examiné et mis à jour annuellement.

La Politique de planification des investissements – Actifs et services acquis exige que les ministères et les organismes élaborent des plans d'investissement qui cadrent avec leur orientation stratégique et prennent en considération le rendement des actifs (y compris les coûts et les risques).

Les PMO du gouvernement fédéral sont extrêmement différents les uns des autres, à divers points de vue, notamment en ce qui concerne leur structure organisationnelle et leur taille, leur budget, la nature de leur travail et leurs relations avec les grands ministères. Le budget des PMO ne dépasse pas les 300 millions de dollars par année, tandis que les dépenses de personnel brutes représentent environ 65 p. 100 des dépenses. Le total de leurs équivalents temps plein varie de 10 à 500 employés. Ces facteurs contribuent à la nature des systèmes et des contrôles financiers mis en œuvre par les PMO à des fins de prise de décisions et de responsabilisation.

Objectifs, portée et approche de vérification

Objectifs et portée

L'objectif de la présente vérification était de déterminer si les structures de gestion et de contrôle en place dans les PMO constituent un cadre efficace pour la gestion des actifs de TI.

La présente vérification a porté sur les systèmes et pratiques de gestion des actifs de TI en place dans un échantillon de PMO en décembre 2009. Elle se concentre sur les structures de gouvernance des TI, les processus de planification de l'acquisition d'actifs de TI, la mesure dans laquelle les PMO ont saisi les possibilités de partager des actifs et des services de TI avec d'autres organismes et les processus utilisés pour mesurer le rendement de leurs actifs de TI. Nous avons aussi examiné les mesures prises et les lignes directrices fournies par le SCT aux PMO à cet égard.

Approche de vérification

L'équipe de vérification se composait de vérificateurs internes du Secteur de la vérification interne du BCG et la vérification s'est effectuée en trois étapes.

Première étape – Planification

Pour que la vérification soit axée principalement sur les secteurs de risque pertinents, nous avons analysé le contexte de la gestion des actifs de TI au gouvernement du Canada en suivant les étapes suivantes :examen des principales politiques et directives pangouvernementales relatives à la TI; entrevues avec des cadres supérieurs des TI du SCT (organisme central du gouvernement chargé de concevoir et de mettre en œuvre les politiques du Conseil du Trésor) et de Travaux publics et Services gouvernementaux Canada (TPSGC) (principal fournisseur de services communs de TI du gouvernement et agent d'approvisionnement central du gouvernement); analyse documentaire des principaux risques et contrôles de gestion des actifs de TI; analyse des systèmes et des pratiques de gestion des actifs de TI en place dans deux PMO; examen des pratiques exemplaires décrites dans le cadre Control Objectives for Information Technology (CobiT). Nous avons également discuté de notre vérification avec des employés du Bureau du vérificateur général participant à la vérification des systèmes de TI vieillissants afin de nous assurer que notre travail ne chevauche pas le travail de vérification d'autres fournisseurs d'assurance. L'annexe A présente les critères qui ont guidé notre vérification.

Pour construire l'échantillon d'organismes en vue de notre vérification, nous avons analysé les résultats de l'évaluation annuelle des pratiques de gestion des TI dans les ministères, la participation antérieure des PMO à d'autres vérifications horizontales et les dépenses des PMO individuels. Cet exercice nous a permis de veiller à ce que notre échantillon final se fonde sur des facteurs liés au rendement et aux dépenses et comprend un éventail d'organismes. En conséquence de cette analyse, nous avons retenu onze PMO. L'annexe B présente la liste des organismes constituant notre échantillon.

Deuxième étape – Examen

Nous avons commencé cette étape en tenant des entrevues avec le personnel chargé de la gestion des actifs de TI dans les PMO retenus. Nous avons ensuite examiné les documents à l'appui afin de corroborer les renseignements recueillis lors des entrevues, notamment des plans de TI ou d'investissement des ministères, des plans d'acquisition d'actifs de TI, des organigrammes, des descriptions de travail, des rapports de gestion du rendement et de l'inventaire des actifs de TI.

Des fiches de renseignements ont été préparées sur chaque PMO et ont été approuvées par ceux-ci avant que l'équipe de vérification commence à rédiger le rapport.

Le BCG a interviewé des représentants du SCT qui s'occupent de la gestion des actifs de TI dans l'ensemble du gouvernement. Il a aussi examiné les documents et les outils qui aident les PMO à gérer leurs actifs de TI, notamment les politiques et les lignes directrices.

De plus, le BCG a consulté des représentants de TPSGC pour comprendre le rôle de leur organisation comme fournisseur de services de TI communs et pour vérifier les faits relatifs à son mandat. Toutefois, TPSGC n'a pas été inclus dans la portée de la vérification.

Troisième étape – Rapport

Après l'étape d'examen détaillé de la vérification, nous avons regroupé nos constatations, afin de dégager tout problème horizontal. Enfin, nous avons rédigé notre rapport final de vérification interne horizontale.



Constatations détaillées et recommandations

Première constatation : Structures de gouvernance et planification des TI

Dans la plupart des PMO, les structures de gouvernance de la gestion des TI étaient raisonnablement conçues et mises en œuvre.

Contexte

Une structure de gouvernance bien définie est une condition préalable, qui permet à un organisme d'investir efficacement dans ses ressources de TI. Un plan de TI à long terme est tout aussi important. Il établit les objectifs des TI, assure que les investissements cadrent avec les objectifs ministériels et pangouvernementaux et réduit la probabilité d'investir dans des actifs de technologie non prioritaires. Lorsque les objectifs des investissements de TI sont guidés par une stratégie pour les TI dans l'ensemble de l'organisme, les risques d'acquérir des technologies incompatibles ou injustifiables sont réduits.

Nous avons examiné les rôles et les responsabilités des comités de gouvernance des TI des PMO visés par notre vérification afin de déterminer s'ils étaient pertinents. Nous avons également examiné des plans des TI ministériels pour déterminer s'ils étaient liés aux plans d'activités ministériels et aux objectifs pangouvernementaux. Enfin, nous avons évalué les plans de TI ministériels pour en établir la durée dans les années à venir.

Structures de gouvernance

Les PMO ont établi des structures de gouvernance qui cadrent avec la taille et la portée de leurs activités liées aux TI. La plupart d'entre eux avaient un comité composé de membres de la direction des TI et de la direction générale chargé d'examiner et d'approuver les investissements de TI. Dans la plupart des PMO, on avait confié officiellement à un titulaire d'un poste supérieur la responsabilité de gérer les actifs de TI.

Planification à long terme des TI

La Directive sur la gestion des technologies de l'information exige que tous les ministères et organismes élaborent des plans de TI à long terme ayant un horizon minimum de cinq ans. Elle exige également que ces plans cadrent avec les objectifs opérationnels ministériels afin d'accroître la probabilité que les investissements de TI soient avantageux pour les PMO.

Même si nous avons constaté que la plupart des PMO menaient des activités de planification à court terme des TI, un grand nombre ont été incapables de prouver qu'ils avaient mené des activités de planification à long terme. En outre, les plans de TI de nombreux parmi eux ne pouvaient pas prouver la façon dont les investissements de TI proposés appuieraient les objectifs ministériels et pangouvernementaux. Nous avons remarqué que, pour certains PMO, les TI n'étaient pas un élément principal de leur mandat central. Dans d'autres PMO, l'investissement de TI était relativement faible. En conséquence, un grand nombre de PMO géraient les TI au jour le jour, ce qui entraînait le manque général de planification à long terme des TI constaté dans ces organismes.

Compte tenu de la taille et de la portée des actifs de TI dans certains PMO, le respect des exigences des politiques pangouvernementales dans ce domaine peut être plus exigeant que la valeur ajoutée qu'il apporte. La prise de décisions en matière de conformité aux politiques fondées sur les risques peut convenir à ce domaine. La Directive sur la gestion des technologies de l'information et les instruments de politique connexes ne traitent pas de cette question.

Recommandation

1.   En collaboration avec les PMO, le SCT devrait déterminer si les politiques pangouvernementales sur les TI qui régissent la gestion des TI dans les PMO sont à la mesure des risques liés à la gestion des TI dans les PMO.

Deuxième constatation : Planification des acquisitions de TI

La plupart des PMO n'établissaient pas en ordre de priorités leurs acquisitions d'actifs de TI. En outre, les preuves de partage des actifs de TI par les PMO étaient limitées.

Contexte

La planification efficace des acquisitions d'actifs de TI assure que les investissements appuient les objectifs de l'organisme et que les fonds alloués à la technologie sont affectés aux actifs qui sont les plus importants pour ses opérations. La planification doit intégrer une approche de cycle de vie concernant les actifs de TI, qui tient compte, par exemple, des risques associés à une décision de remplacer un actif vieillissant ou de prolonger sa vie. Dans l'exercice de planification, il y aurait lieu d'envisager l'idée de partager les actifs de TI, le cas échéant, là où c'est possible.

Nous avons examiné les plans à long terme d'acquisition d'actifs de PMO afin de déterminer s'ils étaient liés à leurs plans d'activité, et nous avons évalué la mesure dans laquelle les PMO avaient établi en ordre de priorités leurs acquisitions d'actifs de TI prévues. Nous avons déterminé si les PMO avaient pris en considération le cycle de vie des actifs de TI dans leur processus de planification et si ce dernier prenait en compte les risques pour les TI. Enfin, nous avons évalué dans quelle mesure les PMO avaient envisagé de partager des actifs et des services de TI avec d'autres organismes lors de la planification de leurs acquisitions d'actifs de TI.

Planification et établissement de l'ordre des priorités des acquisitions d'actifs de TI.

Nous avons constaté que les PMO avaient planifié en quelque sorte leurs acquisitions d'actifs de TI. La majeure partie de ce travail s'est effectué dans le cadre du cycle de planification budgétaire annuelle, lorsque les PMO ont établi leurs besoins en infrastructure de TI et planifié leurs acquisitions d'actifs de TI de l'exercice suivant.

Nous avons constaté que la plupart des PMO de notre échantillon n'avaient pas établi en ordre de priorités leurs acquisitions d'actifs de TI prévues. Certains d'entre eux ne pouvaient pas prouver qu'ils avaient pris en compte le cycle de vie des actifs lors de la planification des acquisitions d'actifs de TI. D'autres ont été incapables de prouver que leur plan d'acquisition d'actifs de TI tenait compte des risques liés à toute décision de remplacer un actif donné. En conséquence, nous n'avons aucune assurance que les PMO ont consacré les fonds qu'ils ont alloués aux TI à des actifs de TI de grande priorité ou qu'ils ont remplacé des produits uniquement lorsque cela s'avérait nécessaire et non avant la fin de leur durée de vie utile.

La principale raison de ces lacunes en matière de planification des acquisitions d'actifs de TI est que la plupart des services de TI dans les PMO ne fournissent qu'une estimation des coûts des acquisitions d'actifs de TI prévues à leur service financier, aux fins de l'établissement du budget annuel. Même si cette approche indique le montant des fonds à réserver pour acquérir des actifs, elle n'indique pas les actifs de TI précis que l'organisme acquerra avec ces fonds et si ces actifs sont de la plus grande priorité sur le plan des risques ou des besoins opérationnels.

Partage des actifs et des services de TI.

Nous avons constaté que la majorité des PMO visés par notre vérification envisageaient une infrastructure des TI partagée au cas par cas. Il y avait peu de preuves de partage réel des actifs de TI. De manière générale, chaque PMO avait établi sa propre infrastructure en parallèle avec celles d'autres organismes. Les infrastructures parallèles offrent une possibilité de rationalisation ou de partage qui devrait être saisie.

Il existe des obstacles au partage interministériel.

Nous avons noté un certain nombre d'obstacles au partage interministériel des actifs et des services de TI.

Des obstacles législatifs, par exemple, qui empêchent les ministères de partager des actifs avec d'autres ministères ou de leur fournir des services. En outre, les lois sur la protection des renseignements personnels peuvent interdire le partage de renseignements. Un groupe de travail au BCG travaille actuellement sur la résolution de ces deux problèmes.

Les PMO et le fournisseur de services de TI communs ont indiqué qu'il existe certains obstacles à l'utilisation de services et d'actifs partagés offerts par le fournisseur de services communs. D'abord et avant tout, il peut être plus onéreux pour un PMO d'adopter une solution de partage d'actifs ou de services offerte par le fournisseur de services communs que d'élaborer sa propre solution. En outre, comme chaque PMO définit différemment les services de TI et affecte les coûts des actifs aux services selon son propre modèle, il peut s'avérer difficile de comparer les coûts de réalisation de travaux de TI au sein d'un ministère à ceux d'un modèle de services partagés. Enfin, certains PMO se préoccupent du fait que les niveaux de service peuvent baisser s'ils doivent utiliser une solution partagée plutôt qu'une solution interne.

La portée de la présente vérification ne comprenait pas une évaluation de la validité des préoccupations ci-dessus. Néanmoins, il faut s'attaquer à ces problèmes afin de déterminer s'ils découragent les PMO d'envisager des solutions d'actifs et de services de TI partagées.

Pratique exemplaire en matière de partage d'actifs de TI.

Nous avons remarqué qu'un PMO avait organisé ses services de technologie afin de réduire la redondance des ressources et des actifs de TI en utilisant des actifs de TI partagés. Ce PMO en particulier a signé un protocole d'entente avec un grand ministère pour recevoir des services de TI, et il a un crédit partagé pour les dépenses de TI avec ce ministère. Il participe au cycle de planification des TI du grand ministère, et il fait connaître ses propres objectifs. En vertu de cette entente, le grand ministère possède et gère tous les actifs et toutes les ressources de TI « d'appui » (par exemple, des serveurs, des logiciels d'appui, une infrastructure LAN et WAN et du personnel de TI) autres que les ordinateurs de bureau. En conséquence, le PMO ne doit maintenir ni ces actifs de TI ni le personnel connexe. Cette entente élimine le dédoublement d'actifs et de ressources de TI pour le PMO.

Nous avons considéré que cette entente était une pratique exemplaire. Elle transfère la gestion d'une activité qui n'est pas une compétence de base du PMO à une tierce partie, tout en mettant en place un mécanisme pour s'assurer que le niveau de service demeure aussi élevé que si ces activités étaient menées à l'interne. Le PMO et le grand ministère élaborent actuellement une entente sur les niveaux de service (ENS) pour rendre cette entente officielle.

Recommandations

2.   Les PMO devraient s'assurer que leurs plans d'acquisitions de TI répondent aux points considérés comme prioritaires pour ce qui est des risques, du cycle de vie des actifs ou des besoins opérationnels.

3.   Le SCT devrait recenser et éliminer les obstacles qui limitent le partage d'actifs et de services de TI par les PMO, au besoin. Cette activité devrait comprendre un examen des infrastructures parallèles qui offrent des possibilités de rationalisation ou de partage.

Troisième constatation : Processus de suivi

La plupart des PMO ne disposaient pas d'indicateurs pour mesurer le rendement de leurs actifs de TI.

Contexte

Pour s'assurer que les actifs de TI apportent le maximum de valeur à l'organisme, les PMO doivent savoir, par exemple, si des actifs de TI sont sous-utilisés ou surutilisés, le taux d'échec et si les cibles de coûts sont atteintes. Le suivi et la mesure du rendement de ces aspects de TI et d'autres encore fournissent des renseignements utiles que les PMO peuvent utiliser pour recenser et traiter les secteurs à problèmes. En outre, ils fournissent des renseignements sur lesquels un PMO peut fonder des décisions concernant les acquisitions futures de TI.

La bonne gérance exige qu'un organisme effectue le suivi de ses actifs de TI pour vérifier où ils se trouvent et leur état. L'extrant de systèmes de suivi des actifs peut également donner des signes avant-coureurs qu'il manque des actifs. Il faut également effectuer le suivi des licences d'utilisation de logiciels parce que les organismes ont une obligation juridique de respecter leurs conditions.

Nous avons examiné le processus utilisé pour mesurer le rendement des actifs de TI. Nous avons vérifié si les PMO avaient défini des indicateurs de rendement financier et non financier ainsi que la mesure dans laquelle ils mesuraient le rendement par rapport à ces indicateurs et en présentaient des rapports. Nous avons tenu des entrevues avec la haute direction des PMO pour comprendre la façon dont s'effectuait le suivi des actifs. Enfin, nous avons examiné les rapports d'inventaire afin de trouver des preuves de l'existence d'un système de suivi des licences d'utilisation de logiciels.

Suivi des actifs

La plupart des PMO avaient des processus de suivi et de comptabilisation de leurs actifs de TI. En outre, la plupart des PMO faisaient périodiquement un inventaire de leur matériel et de leurs logiciels pour assurer la reddition de compte et la conformité aux ententes de licence d'utilisation de logiciels.

Non-conformité à la politique de mesure du rendement des TI.

La majorité des PMO n'étaient pas en mesure de prouver qu'ils disposaient d'un processus adéquat de mesure du rendement des actifs de TI et de présentation de rapports connexes, comme l'exige le Cadre stratégique pour l'information et la technologie. Aucun des PMO n'avait un objectif défini, des cibles de rendement (financier ou non financier) quantitatif, comme les dépassements de coûts, les niveaux de service et les temps d'indisponibilité. Certains PMO avaient pris en compte des données subjectives et qualitatives comme le point de vue des utilisateurs sur le rendement de leurs ordinateurs d'une journée à l'autre, lors de la prise de décisions sur l'acquisition d'actifs de TI. Toutefois, de telles données peuvent ne pas donner des renseignements utiles à la prise de décisions car elles sont subjectives, et elles ne fournissent qu'un tableau partiel du rendement d'un actif.

Justification de la non-conformité à la politique de mesure du rendement des TI.

Les raisons de ne pas mesurer le rendement de la TI variaient. Certains PMO nous ont dit que leur faible utilisation des actifs de TI ne justifie pas un processus complet de suivi et de mesure du rendement des TI. D'autres ont fait remarquer qu'ils avaient des priorités conflictuelles plus importantes que la mesure du rendement des TI. Toutefois, en l'absence d'une forme de mesure objective du rendement, la capacité de prendre des décisions éclairées sur la gestion des actifs de TI est entravée.

Le SCT a élaboré quelques indicateurs de rendement préliminaires en consultation avec les PMO pour les actifs de TI. Cependant, ils n'ont pas été communiqués de manière officielle aux parties intéressées dans les PMO. Par conséquent, nous n'avons constaté aucune preuve que les PMO visés par notre vérification les utilisaient.

Recommandation

4. Les PMO devraient élaborer des processus de mesure du rendement des TI pour s'assurer qu'ils disposent de renseignements objectifs à l'appui de leurs décisions en matière de gestion des TI.

5. Le SCT devrait faire en sorte que les indicateurs de rendement qui ont été élaborés pour les TI soient communiqués de manière appropriée aux parties chargées de recueillir les données et de mesurer le rendement.

Plans d'action de la direction

Les constatations et les recommandations de la vérification ont été présentées au SCT et  aux onze PMO visés par la vérification.

Le Secteur de la vérification interne du BCG a demandé au SCT et aux PMO visés par la vérification de préparer des plans d'action de la direction détaillés donnant suite aux recommandations présentées dans le rapport.

Le Secteur de la vérification interne du BCG fera un suivi des plans d'action de la direction proposés par les PMO et le dirigeant de la vérification du SCT fera un suivi des plans d'action de la direction proposés par le SCT. L'objectif de ce suivi est de vérifier si les plans d'action de la direction ont été mis en œuvre de telle manière que les risques sous-jacents sont contrôlés. Les comités de vérification respectifs recevront régulièrement des rapports sur les mesures prises dans les organisations ayant mis en place un plan d'action de la direction.

On encourage les administrateurs généraux des PMO non visés par la portée de la présente vérification à tenir compte des résultats de la présente vérification horizontale interne et à préparer des plans d'action de la direction, s'il y a lieu.



Annexe A : Critères de vérification

Critère Sous-critère
Des structures de gouvernance des TI sont en place pour fournir une orientation stratégique en matière de gestion des actifs de TI.
  1. Les rôles et les responsabilités sont définis et communiqués (p. ex., leadership, contrôle des acquisitions, contrôle et surveillance).
  2. Les politiques et les procédures sont définies et communiquées (c.-à-d., attentes en matière de risques, normes d'acquisition et orientation technologique).
  3. Les plans des TI ministériels sont liés aux plans stratégiques ministériels et aux initiatives pangouvernementales (p. ex., services partagés) et prévoient des calendriers à court et à long terme.
Des processus sont en place pour planifier l'acquisition d'actifs de TI.
  1. Les plans d'acquisition d'actifs sont classifiés et reliés au plan global des TI.
  2. Les plans d'acquisition d'actifs de TI tiennent compte des cycles de vie et des risques.
  3. Les plans d'acquisition d'actifs de TI sont regroupés dans chaque ministère pour limiter les coûts et simplifier la configuration.
  4. Les plans d'acquisition d'actifs de TI tiennent compte des services partagés offerts par des fournisseurs de services communs et des services partagés avec d'autres ministères.
Des processus de surveillance sont en place pour surveiller le rendement des actifs de TI.
  1. Le ministère a établi un processus de contrôle du rendement des actifs, y compris des indicateurs de rendement financiers et non financiers pour les acquisitions et l'entretien.
  2. Des systèmes de suivi des actifs sont en place pour assurer la gestion de l'inventaire, notamment des licences d'utilisation des logiciels.


Annexe B : Ministères et organismes inclus dans la mission de vérification

Petits ministères et organismes

  1.   Bureau du commissaire du Centre de la sécurité des télécommunications
  2.   Centre canadien d'hygiène et de sécurité au travail
  3.   Commissariat à la magistrature fédérale Canada
  4.   Commission des relations de travail dans la fonction publique
  5.   Conseil canadien des relations industrielles
  6.   Conseil des produits agricoles du Canada
  7.   Conseil d'examen du prix des médicaments brevetés Canada
  8.   Greffe du Tribunal des revendications particulières du Canada
  9.   Office national du film
  10.   Secrétariat des conférences intergouvernementales canadiennes
  11.   Tribunal de la protection des fonctionnaires divulgateurs Canada

Organisme central

1. Secrétariat du Conseil du Trésor du Canada

Fournisseur de services communs inclus dans la vérification à titre de source d'information sur les rôles et les responsabilités en regard de la gestion des actifs de TI

1. Travaux publics et Services gouvernementaux Canada

Annexe C : Classement des recommandations

Le tableau ci-dessous présente les recommandations et le niveau de priorité qui leur a été attribué en fonction de leur importance relative et de leur possibilité de stimuler le changement à long terme et de réduire les risques dans l'ensemble du gouvernement.

Recommandations Priorité
1. En collaboration avec les PMO, le SCT devrait déterminer si les politiques pangouvernementales sur les TI qui régissent la gestion des TI dans les PMO sont à la mesure des risques liés à la gestion des TI dans les PMO. Élevée
2. Les PMO devraient s'assurer que leurs plans d'acquisitions de TI répondent aux points considérés comme prioritaires pour ce qui est des risques, du cycle de vie des actifs ou des besoins opérationnels. Moyenne
3. Le SCT devrait recenser et éliminer les obstacles qui limitent le partage d'actifs et de services de TI par les PMO, au besoin. Cette activité devrait comprendre un examen des infrastructures parallèles, qui offrent des possibilités de rationalisation ou de partage. Élevée
4. Les PMO devraient élaborer des processus de mesure du rendement des TI pour s'assurer qu'ils disposent de renseignements objectifs à l'appui de leurs décisions en matière de gestion des TI. Moyenne
5. Le SCT devrait faire en sorte que les indicateurs de rendement qui ont été élaborés pour les TI soient communiqués de manière appropriée aux parties chargées de recueillir les données et de mesurer le rendement. Moyenne

Annexe D : Liens aux cadres, politiques et lignes directrices


[1]. Le Bureau du contrôleur général n'a subi aucune évaluation externe au cours des cinq dernières années, et il n'a pas fait l'objet d'une surveillance continue ou d'évaluations internes périodiques de son activité de vérification interne horizontale qui permettraient de confirmer sa conformité aux normes.