Secrétariat du Conseil du Trésor du Canada
Symbole du gouvernement du Canada

ARCHIVÉ - Vérification interne horizontale de la gestion des actifs des technologies de l'information dans les grands ministères et organismes

Avertissement Cette page a été archivée.

Information archivée dans le Web

Information archivée dans le Web à  des fins de consultation, de recherche ou de tenue de documents. Cette dernière n’a aucunement été modifiée ni mise à  jour depuis sa date de mise en archive. Les pages archivées dans le Web ne sont pas assujetties aux normes qui s’appliquent aux sites Web du gouvernement du Canada. Conformément à  la Politique de communication du gouvernement du Canada, vous pouvez demander de recevoir cette information dans tout autre format de rechange à  la page « Contactez-nous Â».

Sommaire exécutif

La vérification visait à déterminer si les structures de gestion et de contrôle en vigueur dans les organismes centraux et les grands ministères et organismes (GMO) fournissent un cadre efficace permettant de prendre des décisions liées aux technologies de l'information (TI) à l'échelle gouvernementale et à l'échelle ministérielle respectivement.

Pourquoi est-ce important?

Le gouvernement du Canada affecte une partie considérable de son budget annuel aux actifs et services de TI. En outre, les TI sont un élément essentiel de la stratégie du gouvernement pour relever les défis que présentent l'augmentation de la productivité et l'amélioration des services au public au profit des citoyens, des entreprises, des contribuables et des employés. C'est pourquoi il est important de savoir dans quelle mesure les structures appropriées sont en place pour gérer les actifs de TI et les risques inhérents, pour faire l'acquisition de ces actifs et pour surveiller leur rendement. Cette vérification vise à fournir cette assurance.

Principales constatations

Le Secrétariat du Conseil du Trésor du Canada (SCT) a défini les rôles et les responsabilités en ce qui a trait à la gestion des actifs des technologies de l'information, en fournissant des politiques, des directives et des lignes directrices qui énoncent clairement les attentes en matière de gestion des actifs des TI, à l'échelle ministérielle et pangouvernementale. Les GMO ont mis en place les structures de gouvernance appropriées pour superviser la gestion de leurs actifs de TI, et ont élaboré des plans à long terme pour ces actifs qu'ils ont intégré à leurs stratégies et orientations ministérielles et pangouvernementales. Néanmoins, le SCT pourrait assurer le suivi des plans d'investissement des GMO, ce qui lui permettrait de déterminer les possibilités de mettre en place des solutions de services communs ou partagés qui sont avantageuses à l'échelle pangouvernementale.

Le SCT, en consultation avec les ministères, a défini les objectifs et les résultats escomptés de sa politique de gestion des actifs des TI, dont le recours aux services communs ou aux services partagés lorsqu'ils existent et que cette option convient. Toutefois, il n'a pas repéré les occasions pour les GMO de partager leurs actifs et leurs services de TI. Plus particulièrement, le soutien central pour aider les ministères à réaliser les avantages escomptés a été limité. Au moment où la présente vérification était effectuée, on disposait d'un nombre limité d'éléments démontrant que le SCT avait essayé de déterminer s'il était possible de réaliser des économies ou de tirer d'autres avantages du partage d'actifs et de services de TI. De plus, le SCT n'a pas encore pris en compte certaines questions telles que le coût, la qualité des services et les aspects législatifs qui font obstacle à l'utilisation des biens et des services de TI communs et partagés. Par contre, le Bureau du contrôleur général du SCT travaille présentement sur l'élimination de certains de ces obstacles.

La plupart des GMO ont mis au point des processus de planification de leurs actifs de TI en fonction des risques, de la gestion du cycle de vie et des possibilités de regrouper leurs besoins d'acquisition internes. Par contre, peu de GMO ont été en mesure de prouver qu'ils ont tenu compte des actifs et des services communs et partagés dans leur planification à long terme.

Les indicateurs de rendement ministériels et pangouvernementaux pour la gestion des actifs des TI ne sont pas encore tout à fait au point. Le SCT, avec le support des GMO, a élaboré des indicateurs de rendement pangouvernementaux initiaux, mais il ne s'en est pas encore servi pour évaluer dans quelle mesure les actifs de TI ministériels s'harmonisaient aux objectifs ministériels et pangouvernementaux et contribuaient à leur atteinte. La plupart des GMO ont élaboré des indicateurs de base pour mesurer le rendement de leurs actifs de TI, mais ce processus en était toujours aux premières étapes de leur élaboration au moment où nous avons mené notre vérification. Nous avons noté que la plupart des ministères avaient fait peu de travaux pour recueillir les données qui leur permettraient, à terme, de rédiger leurs rapports à la lumière des indicateurs de rendement pangouvernementaux qui étaient en voie d'élaboration.

La plupart des GMO n'ont pas confirmé périodiquement l'existence de leurs actifs de TI ou que le nombre de copies de logiciels utilisées respectait les accords de licences. Sans vérification du matériel de TI et des logiciels, les GMO ne peuvent donner l'assurance qu'ils satisfont à toutes les exigences contractuelles et comptables, dont les accords de licences, ce qui expose le gouvernement du Canada à d'éventuels risques financiers et risques de poursuites.

Conclusion

De façon générale, nous avons constaté que le SCT et les ministères se sont dotés de structures de gestion et de contrôle qui constituent un cadre adéquat pour la prise de décisions concernant les TI, tant à l'échelle du gouvernement qu'au sein des ministères. Nous avons toutefois relevé des points à améliorer, par exemple, les possibilités d'examiner plus attentivement les avantages d'adopter des solutions pangouvernementales, l'amélioration des rapports sur le rendement ainsi que la consignation et la vérification des biens en matériel et en logiciels de TI. Ces possibilités nous ont amenés à formuler les recommandations qui figurent dans le présent rapport.

Énoncé d'assurance

La vérification a été effectuée conformément aux Normes relatives à la vérification interne pour le gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de la vérification interne.[1]


Brian M. Aiken CIA, CFE
Contrôleur général adjoint
Secteur de la vérification interne, Bureau du contrôleur général du Canada

Contexte

La Politique sur la vérification interne du Conseil du Trésor exige que le contrôleur général effectue des vérifications horizontales dans les grands ministères et organismes (GMO). Ces vérifications servent à évaluer les risques qui transcendent les ministères afin de présenter des rapports sur l'état de la gouvernance, des processus de contrôle et de la gestion des risques à l'échelle du gouvernement. Le présent rapport présente les résultats de la Vérification interne horizontale de la gestion des actifs des technologies de l'information dans les grands ministères et organismes. Diverses politiques et directives du Conseil du Trésor, qui sont brièvement présentées dans les paragraphes qui suivent, guident les pratiques de gestion des actifs des technologies de l'information (TI).

La Politique sur la gestion des technologies de l'information a pour objectifs de promouvoir l'utilisation efficiente et efficace des TI à l'appui des priorités gouvernementales et de l'exécution des programmes, d'accroître la productivité et d'améliorer les services au public. L'atteinte de ces objectifs doit déboucher sur des rôles et des responsabilités clairement énoncés pour la gestion des TI au gouvernement du Canada, sur un recours accru aux actifs et services de TI communs ou partagés et sur une meilleure gestion des TI dans l'ensemble du gouvernement, de manière à ce qu'elle appuie l'exécution des programmes et optimise les ressources.

La politique établit aussi les rôles et les responsabilités des gestionnaires des TI :

Les administrateurs généraux ont pour rôle d'assurer l'efficacité de la gestion des TI dans leurs ministères respectifs. Ils ont également comme responsabilités de prendre des décisions d'investissement éclairées en matière de TI, d'assurer l'intégration complète du plan d'investissement de TI au plan d'activités du ministère, d'avoir recours aux actifs et services de TI communs ou partagés lorsqu'ils sont offerts et que cela convient, et de fournir une mesure permanente du rendement des TI.

Quant au SCT, il a pour rôle de définir l'orientation stratégique pangouvernementale pour les TI, en consultation avec les administrateurs généraux, afin de diriger des initiatives qui déboucheront sur des solutions d'application pangouvernementale, et de mettre en œuvre les orientations pangouvernementales avec les organismes de services communs ou de services partagés.

Le Cadre de politique sur la gestion des actifs et services acquis établit l'orientation de la gestion des actifs dans le but d'optimiser les ressources. Le Cadre précise que l'optimisation des ressources tient compte des processus décisionnels et administratifs intégrés à l'échelle pangouvernementale et ministérielle à cette fin. Il précise aussi que les systèmes, les processus et l'information de gestion servent de fondement à la gestion du rendement et à l'affectation des coûts. Il donne également un aperçu des principes de l'approche fondée sur le cycle de vie pour gérer les actifs.

Objectifs, portée et approche de vérification

Objectifs et portée

La vérification visait à déterminer si les pratiques de gestion au gouvernement du Canada assuraient une gouvernance et un contrôle efficaces des actifs de TI. Nous avons cherché plus précisément à déterminer si les structures de gestion et de contrôle en vigueur dans les organismes centraux et les GMO s'avèrent un cadre efficace permettant de prendre des décisions liées aux technologies de l'information (TI) à l'échelle gouvernementale et à l'échelle ministérielle respectivement.

Nous avons examiné les structures utilisées par le SCT et les ministères pour gérer leurs occasions d'investissement et les risques connexes de même que pour établir leurs priorités en matière de dépenses. Nous avons évalué dans quelle mesure ils avaient recours aux actifs et aux services de TI communs ou partagés. Nous avons aussi examiné les processus ministériels qui servent à étoffer les futurs plans d'acquisitions de TI. Nous avons évalué les procédures de surveillance du rendement des actifs de TI et celles que les ministères appliquent pour se conformer aux accords de licence d'utilisation des logiciels dans leurs systèmes. Enfin, nous avons examiné la fréquence à laquelle les ministères vérifiaient leur inventaire d'actifs de TI.

La portée de la vérification englobe les pratiques de gestion des actifs des TI à l'échelle pangouvernementale qui étaient en place dans les GMO en décembre 2009. La vérification visait les systèmes et les pratiques servant à la gouvernance, à la gestion et à la supervision du matériel de TI et des logiciels.

Approche de vérification

La vérification a été menée en trois étapes.

Première étape – Planification

Pour nous assurer que la vérification porte sur les risques et les mécanismes de contrôle appropriés, nous avons mené une analyse de l'environnement de la gestion des actifs des TI au gouvernement du Canada. Cette analyse comprenait un examen des principales politiques et directives d'application pangouvernementale liées aux TI; des entrevues avec les cadres supérieurs des TI dans les GMO, au SCT (l'organisme central responsable de la conception et de la mise en œuvre des politiques du Conseil du Trésor) et à Travaux publics et Services gouvernementaux Canada (TPSGC), le principal fournisseur de services de TI au gouvernement et l'agent d'approvisionnement central du gouvernement; un examen de la littérature sur les risques et les mécanismes clés associés à la gestion des actifs des TI et un examen des pratiques exemplaires énoncées dans le cadre Control Objectives for Information and related Technology (CobiT®). Au cours de la vérification, nous avons également discuté avec des personnes du Bureau du vérificateur général du Canada qui participent à la vérification des systèmes des TI vieillissants afin de nous assurer que notre démarche porte sur d'autres risques de TI au gouvernement. Voir l'annexe A présente les critères qui ont guidé notre vérification.

Pour échantillonner les organisations visées par notre vérification, nous avons analysé l'environnement de gestion des actifs des TI dans tous les GMO en nous fondant sur les évaluations ‫‫– dans leur Cadre de responsabilisation de gestion (CRG) – de l'efficacité de la gestion des technologies de l'information et sur les données sur leurs dépenses annuelles de TI. Cette démarche nous a permis d'arrêter notre sélection en fonction du rendement et des facteurs de dépenses et d'inclure une gamme d'organisations. Au terme de cette analyse, nous avons retenu huit GMO. L'annexe B pour présente la liste des organisations constituant notre-échantillon.

Deuxième étape – Examen

La fonction de vérification interne de chaque GMO de notre échantillon exécutait l'étape d'examen de la vérification dans son organisation respective. Le Bureau du contrôleur général du Canada (BCG) fournissait les questionnaires d'entrevue et fixait les exigences de l'examen documentaire. Il a interviewé les responsables de la gestion des actifs des TI dans les GMO au sujet de leurs pratiques de gestion de leurs actifs de TI et a examiné la documentation à l'appui.

Le BCG a mené un examen détaillé du SCT sous forme d'entrevues avec les responsables de la gestion, à l'échelle pangouvernementale, des actifs de TI et d'un examen des documents et des outils aidant les GMO à gérer leurs actifs de TI, dont les politiques et les documents d'orientation. 

De plus, le BCG a consulté le TPSGC dans le but de comprendre le rôle de celui-ci comme fournisseur commun de services de TI et de vérifier certains éléments de son mandat. TPSGC n'est cependant pas visée par la présente évaluation.

Troisième étape – Rapport

Au terme de l'étape de l'examen détaillé de la vérification, le BCG a rencontré les responsables des fonctions de vérification interne des GMO échantillonnés pour regrouper leurs constatations et dégager tout enjeu horizontal. Il a également effectué une évaluation de la qualité de l'examen des vérifications menées dans chaque GMO pour s'assurer qu'ils exécutaient tous uniformément les tâches du programme. Enfin, le BCG a formulé ses constatations à partir des résultats de son examen détaillé dans les GMO et au SCT.