Secrétariat du Conseil du Trésor du Canada
Symbole du gouvernement du Canada

ARCHIVÉ - Vérification interne horizontale de la gestion des actifs des technologies de l'information dans les petits ministères et organismes

Avertissement Cette page a été archivée.

Information archivée dans le Web

Information archivée dans le Web à  des fins de consultation, de recherche ou de tenue de documents. Cette dernière n’a aucunement été modifiée ni mise à  jour depuis sa date de mise en archive. Les pages archivées dans le Web ne sont pas assujetties aux normes qui s’appliquent aux sites Web du gouvernement du Canada. Conformément à  la Politique de communication du gouvernement du Canada, vous pouvez demander de recevoir cette information dans tout autre format de rechange à  la page « Contactez-nous Â».

Constatations détaillées et recommandations

Première constatation : Structures de gouvernance et planification des TI

Dans la plupart des PMO, les structures de gouvernance de la gestion des TI étaient raisonnablement conçues et mises en œuvre.

Contexte

Une structure de gouvernance bien définie est une condition préalable, qui permet à un organisme d'investir efficacement dans ses ressources de TI. Un plan de TI à long terme est tout aussi important. Il établit les objectifs des TI, assure que les investissements cadrent avec les objectifs ministériels et pangouvernementaux et réduit la probabilité d'investir dans des actifs de technologie non prioritaires. Lorsque les objectifs des investissements de TI sont guidés par une stratégie pour les TI dans l'ensemble de l'organisme, les risques d'acquérir des technologies incompatibles ou injustifiables sont réduits.

Nous avons examiné les rôles et les responsabilités des comités de gouvernance des TI des PMO visés par notre vérification afin de déterminer s'ils étaient pertinents. Nous avons également examiné des plans des TI ministériels pour déterminer s'ils étaient liés aux plans d'activités ministériels et aux objectifs pangouvernementaux. Enfin, nous avons évalué les plans de TI ministériels pour en établir la durée dans les années à venir.

Structures de gouvernance

Les PMO ont établi des structures de gouvernance qui cadrent avec la taille et la portée de leurs activités liées aux TI. La plupart d'entre eux avaient un comité composé de membres de la direction des TI et de la direction générale chargé d'examiner et d'approuver les investissements de TI. Dans la plupart des PMO, on avait confié officiellement à un titulaire d'un poste supérieur la responsabilité de gérer les actifs de TI.

Planification à long terme des TI

La Directive sur la gestion des technologies de l'information exige que tous les ministères et organismes élaborent des plans de TI à long terme ayant un horizon minimum de cinq ans. Elle exige également que ces plans cadrent avec les objectifs opérationnels ministériels afin d'accroître la probabilité que les investissements de TI soient avantageux pour les PMO.

Même si nous avons constaté que la plupart des PMO menaient des activités de planification à court terme des TI, un grand nombre ont été incapables de prouver qu'ils avaient mené des activités de planification à long terme. En outre, les plans de TI de nombreux parmi eux ne pouvaient pas prouver la façon dont les investissements de TI proposés appuieraient les objectifs ministériels et pangouvernementaux. Nous avons remarqué que, pour certains PMO, les TI n'étaient pas un élément principal de leur mandat central. Dans d'autres PMO, l'investissement de TI était relativement faible. En conséquence, un grand nombre de PMO géraient les TI au jour le jour, ce qui entraînait le manque général de planification à long terme des TI constaté dans ces organismes.

Compte tenu de la taille et de la portée des actifs de TI dans certains PMO, le respect des exigences des politiques pangouvernementales dans ce domaine peut être plus exigeant que la valeur ajoutée qu'il apporte. La prise de décisions en matière de conformité aux politiques fondées sur les risques peut convenir à ce domaine. La Directive sur la gestion des technologies de l'information et les instruments de politique connexes ne traitent pas de cette question.

Recommandation

1.   En collaboration avec les PMO, le SCT devrait déterminer si les politiques pangouvernementales sur les TI qui régissent la gestion des TI dans les PMO sont à la mesure des risques liés à la gestion des TI dans les PMO.

Deuxième constatation : Planification des acquisitions de TI

La plupart des PMO n'établissaient pas en ordre de priorités leurs acquisitions d'actifs de TI. En outre, les preuves de partage des actifs de TI par les PMO étaient limitées.

Contexte

La planification efficace des acquisitions d'actifs de TI assure que les investissements appuient les objectifs de l'organisme et que les fonds alloués à la technologie sont affectés aux actifs qui sont les plus importants pour ses opérations. La planification doit intégrer une approche de cycle de vie concernant les actifs de TI, qui tient compte, par exemple, des risques associés à une décision de remplacer un actif vieillissant ou de prolonger sa vie. Dans l'exercice de planification, il y aurait lieu d'envisager l'idée de partager les actifs de TI, le cas échéant, là où c'est possible.

Nous avons examiné les plans à long terme d'acquisition d'actifs de PMO afin de déterminer s'ils étaient liés à leurs plans d'activité, et nous avons évalué la mesure dans laquelle les PMO avaient établi en ordre de priorités leurs acquisitions d'actifs de TI prévues. Nous avons déterminé si les PMO avaient pris en considération le cycle de vie des actifs de TI dans leur processus de planification et si ce dernier prenait en compte les risques pour les TI. Enfin, nous avons évalué dans quelle mesure les PMO avaient envisagé de partager des actifs et des services de TI avec d'autres organismes lors de la planification de leurs acquisitions d'actifs de TI.

Planification et établissement de l'ordre des priorités des acquisitions d'actifs de TI.

Nous avons constaté que les PMO avaient planifié en quelque sorte leurs acquisitions d'actifs de TI. La majeure partie de ce travail s'est effectué dans le cadre du cycle de planification budgétaire annuelle, lorsque les PMO ont établi leurs besoins en infrastructure de TI et planifié leurs acquisitions d'actifs de TI de l'exercice suivant.

Nous avons constaté que la plupart des PMO de notre échantillon n'avaient pas établi en ordre de priorités leurs acquisitions d'actifs de TI prévues. Certains d'entre eux ne pouvaient pas prouver qu'ils avaient pris en compte le cycle de vie des actifs lors de la planification des acquisitions d'actifs de TI. D'autres ont été incapables de prouver que leur plan d'acquisition d'actifs de TI tenait compte des risques liés à toute décision de remplacer un actif donné. En conséquence, nous n'avons aucune assurance que les PMO ont consacré les fonds qu'ils ont alloués aux TI à des actifs de TI de grande priorité ou qu'ils ont remplacé des produits uniquement lorsque cela s'avérait nécessaire et non avant la fin de leur durée de vie utile.

La principale raison de ces lacunes en matière de planification des acquisitions d'actifs de TI est que la plupart des services de TI dans les PMO ne fournissent qu'une estimation des coûts des acquisitions d'actifs de TI prévues à leur service financier, aux fins de l'établissement du budget annuel. Même si cette approche indique le montant des fonds à réserver pour acquérir des actifs, elle n'indique pas les actifs de TI précis que l'organisme acquerra avec ces fonds et si ces actifs sont de la plus grande priorité sur le plan des risques ou des besoins opérationnels.

Partage des actifs et des services de TI.

Nous avons constaté que la majorité des PMO visés par notre vérification envisageaient une infrastructure des TI partagée au cas par cas. Il y avait peu de preuves de partage réel des actifs de TI. De manière générale, chaque PMO avait établi sa propre infrastructure en parallèle avec celles d'autres organismes. Les infrastructures parallèles offrent une possibilité de rationalisation ou de partage qui devrait être saisie.

Il existe des obstacles au partage interministériel.

Nous avons noté un certain nombre d'obstacles au partage interministériel des actifs et des services de TI.

Des obstacles législatifs, par exemple, qui empêchent les ministères de partager des actifs avec d'autres ministères ou de leur fournir des services. En outre, les lois sur la protection des renseignements personnels peuvent interdire le partage de renseignements. Un groupe de travail au BCG travaille actuellement sur la résolution de ces deux problèmes.

Les PMO et le fournisseur de services de TI communs ont indiqué qu'il existe certains obstacles à l'utilisation de services et d'actifs partagés offerts par le fournisseur de services communs. D'abord et avant tout, il peut être plus onéreux pour un PMO d'adopter une solution de partage d'actifs ou de services offerte par le fournisseur de services communs que d'élaborer sa propre solution. En outre, comme chaque PMO définit différemment les services de TI et affecte les coûts des actifs aux services selon son propre modèle, il peut s'avérer difficile de comparer les coûts de réalisation de travaux de TI au sein d'un ministère à ceux d'un modèle de services partagés. Enfin, certains PMO se préoccupent du fait que les niveaux de service peuvent baisser s'ils doivent utiliser une solution partagée plutôt qu'une solution interne.

La portée de la présente vérification ne comprenait pas une évaluation de la validité des préoccupations ci-dessus. Néanmoins, il faut s'attaquer à ces problèmes afin de déterminer s'ils découragent les PMO d'envisager des solutions d'actifs et de services de TI partagées.

Pratique exemplaire en matière de partage d'actifs de TI.

Nous avons remarqué qu'un PMO avait organisé ses services de technologie afin de réduire la redondance des ressources et des actifs de TI en utilisant des actifs de TI partagés. Ce PMO en particulier a signé un protocole d'entente avec un grand ministère pour recevoir des services de TI, et il a un crédit partagé pour les dépenses de TI avec ce ministère. Il participe au cycle de planification des TI du grand ministère, et il fait connaître ses propres objectifs. En vertu de cette entente, le grand ministère possède et gère tous les actifs et toutes les ressources de TI « d'appui » (par exemple, des serveurs, des logiciels d'appui, une infrastructure LAN et WAN et du personnel de TI) autres que les ordinateurs de bureau. En conséquence, le PMO ne doit maintenir ni ces actifs de TI ni le personnel connexe. Cette entente élimine le dédoublement d'actifs et de ressources de TI pour le PMO.

Nous avons considéré que cette entente était une pratique exemplaire. Elle transfère la gestion d'une activité qui n'est pas une compétence de base du PMO à une tierce partie, tout en mettant en place un mécanisme pour s'assurer que le niveau de service demeure aussi élevé que si ces activités étaient menées à l'interne. Le PMO et le grand ministère élaborent actuellement une entente sur les niveaux de service (ENS) pour rendre cette entente officielle.

Recommandations

2.   Les PMO devraient s'assurer que leurs plans d'acquisitions de TI répondent aux points considérés comme prioritaires pour ce qui est des risques, du cycle de vie des actifs ou des besoins opérationnels.

3.   Le SCT devrait recenser et éliminer les obstacles qui limitent le partage d'actifs et de services de TI par les PMO, au besoin. Cette activité devrait comprendre un examen des infrastructures parallèles qui offrent des possibilités de rationalisation ou de partage.

Troisième constatation : Processus de suivi

La plupart des PMO ne disposaient pas d'indicateurs pour mesurer le rendement de leurs actifs de TI.

Contexte

Pour s'assurer que les actifs de TI apportent le maximum de valeur à l'organisme, les PMO doivent savoir, par exemple, si des actifs de TI sont sous-utilisés ou surutilisés, le taux d'échec et si les cibles de coûts sont atteintes. Le suivi et la mesure du rendement de ces aspects de TI et d'autres encore fournissent des renseignements utiles que les PMO peuvent utiliser pour recenser et traiter les secteurs à problèmes. En outre, ils fournissent des renseignements sur lesquels un PMO peut fonder des décisions concernant les acquisitions futures de TI.

La bonne gérance exige qu'un organisme effectue le suivi de ses actifs de TI pour vérifier où ils se trouvent et leur état. L'extrant de systèmes de suivi des actifs peut également donner des signes avant-coureurs qu'il manque des actifs. Il faut également effectuer le suivi des licences d'utilisation de logiciels parce que les organismes ont une obligation juridique de respecter leurs conditions.

Nous avons examiné le processus utilisé pour mesurer le rendement des actifs de TI. Nous avons vérifié si les PMO avaient défini des indicateurs de rendement financier et non financier ainsi que la mesure dans laquelle ils mesuraient le rendement par rapport à ces indicateurs et en présentaient des rapports. Nous avons tenu des entrevues avec la haute direction des PMO pour comprendre la façon dont s'effectuait le suivi des actifs. Enfin, nous avons examiné les rapports d'inventaire afin de trouver des preuves de l'existence d'un système de suivi des licences d'utilisation de logiciels.

Suivi des actifs

La plupart des PMO avaient des processus de suivi et de comptabilisation de leurs actifs de TI. En outre, la plupart des PMO faisaient périodiquement un inventaire de leur matériel et de leurs logiciels pour assurer la reddition de compte et la conformité aux ententes de licence d'utilisation de logiciels.

Non-conformité à la politique de mesure du rendement des TI.

La majorité des PMO n'étaient pas en mesure de prouver qu'ils disposaient d'un processus adéquat de mesure du rendement des actifs de TI et de présentation de rapports connexes, comme l'exige le Cadre stratégique pour l'information et la technologie. Aucun des PMO n'avait un objectif défini, des cibles de rendement (financier ou non financier) quantitatif, comme les dépassements de coûts, les niveaux de service et les temps d'indisponibilité. Certains PMO avaient pris en compte des données subjectives et qualitatives comme le point de vue des utilisateurs sur le rendement de leurs ordinateurs d'une journée à l'autre, lors de la prise de décisions sur l'acquisition d'actifs de TI. Toutefois, de telles données peuvent ne pas donner des renseignements utiles à la prise de décisions car elles sont subjectives, et elles ne fournissent qu'un tableau partiel du rendement d'un actif.

Justification de la non-conformité à la politique de mesure du rendement des TI.

Les raisons de ne pas mesurer le rendement de la TI variaient. Certains PMO nous ont dit que leur faible utilisation des actifs de TI ne justifie pas un processus complet de suivi et de mesure du rendement des TI. D'autres ont fait remarquer qu'ils avaient des priorités conflictuelles plus importantes que la mesure du rendement des TI. Toutefois, en l'absence d'une forme de mesure objective du rendement, la capacité de prendre des décisions éclairées sur la gestion des actifs de TI est entravée.

Le SCT a élaboré quelques indicateurs de rendement préliminaires en consultation avec les PMO pour les actifs de TI. Cependant, ils n'ont pas été communiqués de manière officielle aux parties intéressées dans les PMO. Par conséquent, nous n'avons constaté aucune preuve que les PMO visés par notre vérification les utilisaient.

Recommandation

4. Les PMO devraient élaborer des processus de mesure du rendement des TI pour s'assurer qu'ils disposent de renseignements objectifs à l'appui de leurs décisions en matière de gestion des TI.

5. Le SCT devrait faire en sorte que les indicateurs de rendement qui ont été élaborés pour les TI soient communiqués de manière appropriée aux parties chargées de recueillir les données et de mesurer le rendement.

Plans d'action de la direction

Les constatations et les recommandations de la vérification ont été présentées au SCT et  aux onze PMO visés par la vérification.

Le Secteur de la vérification interne du BCG a demandé au SCT et aux PMO visés par la vérification de préparer des plans d'action de la direction détaillés donnant suite aux recommandations présentées dans le rapport.

Le Secteur de la vérification interne du BCG fera un suivi des plans d'action de la direction proposés par les PMO et le dirigeant de la vérification du SCT fera un suivi des plans d'action de la direction proposés par le SCT. L'objectif de ce suivi est de vérifier si les plans d'action de la direction ont été mis en œuvre de telle manière que les risques sous-jacents sont contrôlés. Les comités de vérification respectifs recevront régulièrement des rapports sur les mesures prises dans les organisations ayant mis en place un plan d'action de la direction.

On encourage les administrateurs généraux des PMO non visés par la portée de la présente vérification à tenir compte des résultats de la présente vérification horizontale interne et à préparer des plans d'action de la direction, s'il y a lieu.