Audit de la gouvernance des technologies de l’information (Projet AU1601)
TABLE DES MATIÈRES
SOMMAIRE
INTRODUCTION
La gouvernance des technologies de l’information (TI) « fait partie intégrante de la gouvernance de l’organisation et elle comprend des structures et des processus organisationnels et d’exercice du leadership qui font en sorte que les TI de l’organisation appuient la réalisation des stratégies et l’atteinte des objectifs de l’organisation »Note de bas de page 1. L’objectif principal d’un cadre solide de gouvernance des TI est de veiller à ce que les investissements dans la gestion de l’information et des TI produisent une valeur commerciale et d’atténuer les risques qui sont associés aux TI, telles que les menaces à la cybersécurité et un mauvais alignement des TI et des priorités opérationnelles.
Dans la réalisation de son mandat de favoriser le développement et l’utilisation responsables des ressources naturelles du Canada et la compétitivité des produits tirés de celles-ci, Ressources naturelles Canada (RNCan) est fortement tributaire de divers systèmes et processus de TI. De plus, la création de Services partagés Canada (SPC) en août 2011 a elle-même entraîné des problèmes dans le domaine de la gouvernance des TI, étant donné que SPC est devenu responsable de la gestion, de la maintenance et de la protection des réseaux, des centres de données et de l’infrastructure de courriel de RNCan.
Compte tenu de l’importance des TI pour le mandat de RNCan, les complexités liées à son modèle informatique décentralisé et sa dépendance par rapport aux réseaux de SPC, la gouvernance des TI a toujours été considérée comme un risque pour la capacité de RNCan à atteindre ses objectifs organisationnels. C’est dans ce contexte que l’audit de la gouvernance des TI a été inclus dans le Plan d’audit axé sur les risques du Ministère et approuvé par le sous-ministre le 12 mars 2015. Cet audit constitue une base pour la poursuite des travaux décrits dans le Plan d’audit axé sur les risques du Ministère au cours des trois prochaines années.
L’objectif de l’audit est de fournir une assurance raisonnable que RNCan dispose d’une structure de gouvernance des TI adéquate pour appuyer la gestion des TI dans l’ensemble du Ministère.
POINTS FORTS
Le Ministère a établi une structure de gouvernance des TI selon laquelle les parties prenantes des TI dans le Ministère se réunissent régulièrement dans différentes structures de comités pour discuter de questions liées aux TI. De plus, le Ministère a été cité pour sa contribution à l’orientation des TI au gouvernement du Canada, compte tenu de sa participation active aux initiatives centrales de TI, et le Ministère tient des réunions régulières avec SPC pour surveiller le rendement et mettre de l’avant des points à améliorer.
DOMAINES À AMÉLIORER
Les possibilités d’amélioration suivantes ont été relevées au cours de l’audit :
- Développer une vision et des priorités stratégiques des TI pour guider les efforts de planification des TI;
- Mettre en place un cadre de mesure du rendement et un processus de gestion des risques des TI afin de renforcer les efforts de planification des TI;
- Faire concorder les investissements avec les priorités et les normes opérationnelles convenues pour le Ministère;
- Harmoniser les processus permettant de désigner les activités, projets et investissements liés aux TI;
- Élaborer des critères pour hiérarchiser les projets;
- Assurer un échange plus efficace d’information entre les comités existants de TI;
- Rendre la structure de l’organisation du dirigeant principal de l’information (DPI) conforme aux exigences changeantes d’habilitation opérationnelle.
SPC joue un rôle important dans la gestion de l’infrastructure de TI de RNCan. Nous encourageons la direction de RNCan à se demander ce que SPC peut faire pour soutenir la structure de gouvernance des TI de RNCan et les efforts déployés pour remédier aux points faibles.
CONCLUSION DE L’AUDIT INTERNE ET OPINION
Même si les éléments essentiels d’une structure de gouvernance sont en place, y compris des comités de TI aux niveaux ministériel et sectoriel, dans l’ensemble, la Direction de l’audit conclut que la structure de gouvernance des TI de RNCan ne permet pas d’appuyer pleinement la gestion efficace des TI. La direction doit intervenir pour assurer que le Ministère prenne une approche intégrée à l’égard de la gestion des TI afin de pouvoir régler rapidement les problèmes cernés.
ÉNONCÉ DE CONFORMITÉ
Selon mon jugement professionnel en tant que dirigeant principal de l’audit, je suis d’avis que l’audit est conforme aux normes d’audit du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité
Christian Asselin, CPA, CA, CMA, CFE
Dirigeant principal de l’audit
10 mars 2016
REMERCIEMENTS
L’équipe d’audit aimerait remercier tous ceux qui ont contribué à ce projet et, plus particulièrement, les employés qui ont fait part de leurs observations et de leurs commentaires dans le cadre du présent audit.
INTRODUCTION
La gouvernance des TI « fait partie intégrante de la gouvernance de l’organisation et elle comprend des structures et des processus organisationnels et d’exercice du leadership qui font en sorte que les TI de l’organisation appuient la réalisation des stratégies et l’atteinte des objectifs de l’organisation »Note de bas de page 2. L’objectif principal d’un cadre solide de gouvernance des TI est de veiller à ce que les investissements dans la gestion de l’information et les technologies de l’information produisent une valeur commerciale et d’atténuer les risques qui sont associés aux TI, telles que les menaces à la cybersécurité et un mauvais alignement des TI et des priorités opérationnelles.
La gouvernance des TI devrait être considérée comme la façon dont les TI créent de la valeur dans le cadre de la stratégie globale de gouvernance d’entreprise de l’organisation, et non pas comme une discipline à part entière. En adoptant une telle approche, tous les intervenants sont tenus de participer au processus de prise de décision. Cela crée une acceptation partagée de la responsabilité relativement aux systèmes critiques et permet d’assurer que les décisions concernant les TI sont prises de façon à remplir les besoins de l’organisation avec efficacité. Comme la gouvernance des TI fait partie intégrante de la gouvernance d’entreprise, elle devrait être considérée comme une responsabilité partagée entre la direction de l’organisation, les chefs opérationnels à l’échelle du Ministère et la fonction de TI.
Dans la réalisation de son mandat de favoriser le développement et l’utilisation responsables des ressources naturelles du Canada et la compétitivité des produits tirés de celles-ci, Ressources naturelles Canada (RNCan) est fortement tributaire de divers systèmes et processus de TI. Ces systèmes permettent au Ministère de procéder à l’innovation scientifique dans tous les secteurs des ressources naturelles dans 18 principaux centres satellites de sciences et de technologie, laboratoires et installations partout au Canada. Avec ses bureaux et laboratoires partout au pays, RNCan a principalement géré ses activités de TI au moyen d’une approche décentralisée.
De plus, la création de SPC en août 2011 a elle-même entraîné des problèmes dans le domaine de la gouvernance des TI relativement à RNCan. Dans le cadre du mandat de regroupement, de normalisation et de rationalisation de la prestation des services de courriel, de centres de données et de réseau au sein du gouvernement du Canada, la responsabilité de l’infrastructure de TI de RNCan a été transférée à SPC à l’instar de celle de 42 autres ministères. À la suite de ces changements, SPC est devenu responsable de gérer et de maintenir l’infrastructure du réseau, qui comprend, entre autres, du matériel informatique, les télécommunications (voix et données), les sauvegardes du système, ainsi que les éléments de sécurité des TI tels que les pare-feu, les systèmes de détection des intrusions et les routeurs.
Considérant l’importance des TI pour le mandat de RNCan, les complexités liées à son modèle informatique décentralisé et sa dépendance par rapport aux réseaux de SPC, on a entrepris durant l’automne 2014 une série de consultations concernant les TI au sein du Ministère. Ces consultations ont été menées par la Direction de l’audit dans le cadre de l’exercice annuel de planification de l’audit; elles comprenaient des discussions avec la haute direction dans tous les secteurs et avec le dirigeant principal de l’information (DPI). À la suite de cet exercice, la gouvernance des TI a été régulièrement désignée comme un risque fondamental pour la capacité de RNCan d’atteindre ses objectifs organisationnels.
Par conséquent, l’audit de la gouvernance des TI a été inclus dans le Plan d’audit axé sur les risques du Ministère et approuvé par le sous-ministre le 12 mars 2015. Cet audit peut également constituer une base pour la poursuite des travaux décrits dans le Plan d’audit axé sur les risques du Ministère au cours des trois prochaines années.
CONTEXTE
- La gouvernance des TI à RNCan est essentiellement réalisée par les comités suivants :
- Le Comité exécutif (COMEX) : Ce comité, présidé par le sous-ministre et regroupe tous les sous-ministres adjoints des secteurs, établit l’orientation stratégique et les priorités du Ministère et surveille la coordination avec les organismes du portefeuille. D’autres comités chargés de fonctions spécifiques, comme la transformation opérationnelle, le renouvellement des ressources humaines ou la gestion des urgences, soutiennent le COMEX.
- Comité de la transformation opérationnelle (CTO) : le mandat du CTO est de transformer les processus de gestion internes qui optimisent l’utilisation des ressources humaines, financières, immobilières et de GI-TI, et d’améliorer la résilience et l’adaptabilité de RNCan. Il est présidé par le sous-ministre délégué.
- Comité d’examen des projets et de l’architecture – Gestion de la technologie de l’information (CEPA GTI) : le mandat du CEPA GTI est de fournir une surveillance et une orientation aux services et pratiques de GTI afin de veiller à une prestation efficace et efficiente du mandat du Ministère et à l’atteinte de ses résultats stratégiques énoncés dans l’architecture des activités de programme de RNCan. Ce comité de directeurs généraux (DG) est coprésidé par le DPI et par le DG du secteur des minéraux et des métaux. Il rend des comptes au CTO.
- Sous-comités du CEPA GTI : cela comprend le Comité d’examen de l’architecture (CEA), le groupe de travail sur la gestion de l’information (GTGI), le Comité de gouvernance des sites Web et le groupe de travail sur l’information scientifique (GTIS).
- Comités de TI propres aux secteurs : certains secteurs au sein de RNCan ont leurs propres comités de gouvernance des TI, notamment le Service canadien des forêts (SCF), le Secteur des sciences de la Terre (SST), et le Secteur des minéraux et des métaux (SMM).
- D’autres comités, comme le Comité de planification et de rapports (CPR – qui examine les projets, y compris les projets axés sur les TI), et le Conseil d’examen des investissements (qui examine les investissements, y compris les investissements en TI).
Un autre comité des TI, regroupant les SMA, a été créé en septembre 2015 pour soutenir le CEPA GTI dans son rôle d’élaborer un plan de TI plus intégré et global. Ce comité est composé de quatre sous-ministres adjoints et des coprésidents du CEPA GTI.
Autorité fonctionnelle pour la TI au sein du Ministère, le DPI est le directeur général de la Direction du dirigeant principal de l’information et de la sécurité (DDPIS), qui relève du sous-ministre adjoint du secteur de la gestion et des services intégrés (SGSI). En 2013-2014, RNCan a dépensé environ 43,4 millions de dollarsNote de bas de page 3 en TI et employé 215 employés dans la catégorie CS (informatique), sur un effectif total de 3 832 employés. Sur les 215 employés CS, 126 travaillaient au sein de la DDPIS, tandis que 89 étaient dans divers secteurs de RNCan.
OBJECTIF DE L’AUDIT
L’objectif de l’audit est de fournir une assurance raisonnable que RNCan dispose d’une structure de gouvernance des TI adéquate pour appuyer la gestion des TI dans l’ensemble du Ministère
Plus précisément, le document évalue la mesure dans laquelle :
- Un cadre de gouvernance des TI approprié est en place pour appuyer la transparence et la prise de décision fondée sur les risques associés aux activités de TI;
- La stratégie de TI cadre avec la stratégie opérationnelle ministérielle et le plan d’investissement;
- La stratégie de TI est mise en œuvre de façon efficace au moyen de décisions claires concernant l’attribution des ressources et d’attentes précises, de même que d’une évaluation et d’un suivi du rendement;
- La stratégie de TI tient adéquatement compte des exigences en matière de direction et de politique des TI à l’échelle du gouvernement.
Les critères d’audit sont présentés dans l’Annexe A.
FACTEURS PRIS EN CONSIDÉRATION LORS DE L’AUDIT
Une approche fondée sur les risques a servi à établir les objectifs, la portée et la démarche utilisés pour cette mission d’audit. Voici un résumé des principaux risques potentiels qui ont été pris en considération :
- La structure de gouvernance actuelle des TI ne permettrait pas à RNCan de repérer les synergies et de gérer les risques et les problèmes de TI à l’échelle du Ministère, y compris la cybersécurité, et d’assurer un lien avec SPC.
- Une structure de gouvernance décentralisée des TI peut augmenter, à l’échelle régionale, le risque d’incohérence par rapport aux politiques, directives et pratiques générales des TI, pouvant ainsi exposer le Ministère à divers risques de sécurité informatiques, en plus du risque de non-conformité avec les politiques gouvernementales.
- La planification des TI pourrait ne pas être bien intégrée et alignée avec les processus de planification d’entreprise et de planification de l’investissement de l’organisation dans son ensemble.
- Les projets axés sur les TI (besoin de nouveau matériel ou besoin d’entretien) risquent de ne pas être correctement hiérarchisés, ce qui serait nécessaire pour assurer l’affectation efficace des ressources de TI en alignement clair avec les objectifs généraux de l’organisation.
- Il peut y avoir un manque de clarté entre les rôles, les obligations et les responsabilités en matière de gouvernance des TI entre les secteurs et le DDPIS.
- Les projets et les décisions d’investissement (p. ex. les mémoires au CT) peuvent ne pas intégrer des considérations (p. ex. impact sur l’infrastructure actuelle, coût d’entretien et conformité avec les politiques, architectures et normes ministérielles) en temps opportun.
- La gestion des risques de TI peut ne pas être pleinement intégrée aux processus plus généraux de gestion des risques de l’organisation.
- Les mesures de rendement formelles et significatives des TI liées aux résultats et à la conformité à la stratégie et aux priorités de RNCan peuvent ne pas avoir été établies, ce qui limite la capacité de la direction à surveiller l’efficacité des TI et à prendre les mesures correctives nécessaires.
- Les TI peuvent ne pas mesurer le coût total des projets basés sur les TI, ce qui entraîne des analyses coûts-avantages imprécises et limite la capacité de gestion des TI à prendre des décisions efficaces touchant l’investissement dans les TI.
PORTÉE ET MÉTHODOLOGIE
La portée de l’audit comprenait un examen des plans stratégiques et opérationnels, des structures de gouvernance des TI, de la supervision des projets basés sur les TI, des mécanismes de gouvernance des TI, de la conformité aux plans opérationnels et d’investissement et des mécanismes de gouvernance. L’audit portait sur les activités pertinentes à partir du 1er avril 2014 au 30 septembre 2015.
Les activités de gestion de l’information (GI) n’ont pas été évaluées dans le cadre de cet audit. Un audit distinct de la gestion de la GI de RNCan aura lieu.
L’audit comprenait les liens et les communications entre SPC et RNCan relativement aux processus de gouvernance des TI, mais non l’examen direct des activités de SPC.
La méthodologie de l’audit, définie en fonction de la Politique sur la vérification interne et des Normes relatives à la vérification interne au sein du gouvernement du Canada du Conseil du Trésor (CT), comprenait :
- Réaliser des entrevues avec le personnel clé concernant les activités de TI du Ministère et des modèles de gouvernance connexes;
- L’examen des documents clés, y compris les plans de TI, structures des comités, procès-verbaux, politiques et directives pertinentes;
- Un examen détaillé de l’information et de la documentation de planification, du suivi, du rendement et des rapports des activités liées aux TI;
- La production de rapports sur les résultats et les constatations.
CRITÈRES
Les critères d’audit ont été élaborés surtout à l’aide du cadre des objectifs de contrôle de l’information et des technologies connexes (COBIT) de l’Association des professionnels de la vérification et du contrôle des systèmes d’information (ISACA), ainsi que des politiques, procédures et directives connexes pertinentes du CT et de RNCan. Veuillez consulter l’annexe A pour prendre connaissance des critères d’audit détaillés.
CONSTATATIONS ET RECOMMANDATIONS
Gouvernance des TI et planification stratégique des TI
Constatation générale
Le modèle de gouvernance actuel des TI est décentralisé, ce qui a une incidence sur l’efficacité du processus décisionnel en matière d’investissement en TI; la sécurité des TI; et les coûts d’entretien. Le Ministère a besoin d’une vision et de priorités stratégiques ministérielles convenues en matière de TI qui cadrent avec les priorités opérationnelles ministérielles; les normes communes et l’architecture ministérielle. Le CEPA GTI, comité exécutif de la haute direction coprésidé par le DPI, s’est concentré sur des questions plus techniques et ses représentants sectoriels, qui ont reçu le mandat de représenter leur secteur, n’ont pas assisté aux réunions de façon assidue. La direction de RNCan devrait envisager formellement de faire participer SPC aux réunions du CEPA GTI à titre d’observateur. Ceci reflète un défi plus large en raison de l’absence d’un accord de niveau de service entre RNCan et SPC, problème qui a été mis en lumière lors d’un audit interne précédent à RNCan.
Le plan de TI actuel n’est pas exhaustif et ne contient toujours pas les éléments clés attendus d’un tel plan. Ces éléments comprennent l’établissement de l’ordre de priorité des projets et activités selon les priorités ministérielles; la détermination du nombre de ressources de TI requises pour appuyer les projets et activités définis; l’établissement adéquat des coûts des projets et activités de TI; un cadre de mesure du rendement et un processus de gestion des risques de TI.
Observations pertinentes
Gouvernance des TI
Le modèle de gouvernance actuel des TI est décentralisé, puisque les priorités et investissements opérationnels basés sur les TI sont principalement situés dans les secteurs. Un modèle décentralisé est intrinsèquement plus sensible aux besoins des utilisateurs, mais il est plus enclin à des incohérences et arrive moins bien à tirer parti des synergies qu’un modèle de gouvernance de TI plus centralisé.
Dans ce contexte, la structure de gouvernance actuelle des TI semble refléter les structures de gouvernance plus larges du Ministère. Afin de permettre au Ministère de tirer parti des avantages de son modèle décentralisé, il devrait toutefois travailler à réduire les limitations inhérentes au modèle.
Plus précisément, aborder l’application inégale des décisions d’investissement en TI qui mènent à une infrastructure informatique décentralisée, non normalisée, complexe, coûteuse à entretenir et à faire évoluer et protéger contre les menaces de cybersécurité. En outre, les instruments de politique de TI du gouvernement du Canada nécessitent une autorité ministérielle responsable de la gouvernance, de la planification et des stratégies de TI.
Une stratégie ministérielle est nécessaire pour assurer l’utilisation la plus efficace des ressources de TI. Alors que les décisions d’investissement en TI peuvent appartenir aux secteurs et ne sont pas la seule autorité du DPI ministériel, les décisions doivent être prises dans un cadre qui garantit une utilisation efficace des ressources en TI. Plus précisément, les ressources devraient être affectées de manière à réduire au minimum la duplication et à créer des synergies, qui reflètent les décisions conformes aux normes communes et qui aboutissent à une architecture d’entreprise permettant des synergies au sein de l’infrastructure informatique du Ministère afin de mieux le protéger contre les menaces de cybersécurité. Il n’existe pas de telles politiques ou normes de TI.
La DDIPS travaille actuellement sur un cadre pour classer les systèmes en systèmes opérationnels, d’entreprise ou d’innovation. Le but de ce cadre est de définir des attentes de contrôle progressives. Les systèmes utilisés pour l’innovation conserveraient le degré de souplesse nécessaire, mais seraient séparés des autres systèmes sur l’infrastructure partagée de TI pour restreindre l’exploitation de leurs contrôles plus limités afin de compromettre les systèmes commerciaux et opérationnels qui doivent être disponibles et sécurisés pour des raisons opérationnelles. Une fois mis en œuvre, le cadre devrait fournir à RNCan l’équilibre approprié entre la souplesse et le contrôle.
Les personnes interrogées ont reconnu et compris que le CEPA GTI, en tant que comité de niveau du directeur général (DG) coprésidé par le DPI, pourrait être le comité approprié permettant d’assurer la gouvernance des TI et la planification des TI du Ministère. Cela a été un défi à ce jour, mais une bonne part des discussions du CEPA GTI au cours des deux dernières années portaient sur la mise en œuvre des initiatives gouvernementales, telles que l’Initiative de transformation du courriel, le système de gestion de l’information GCDocs et la consolidation des centres de données. Même si le CEPA GTI est un comité exécutif de haut niveau, il a surtout mis l’accent sur les questions et les initiatives techniques, ce qui influence sa capacité à définir la vision et les objectifs stratégiques du Ministère en matière de TI, y compris une prise de décision mieux coordonnée en matière de planification des TI et d’investissement dans les TI. Ce phénomène a été aggravé par le fait que les participants aux réunions du CEPA GTI n’ont pas toujours été au niveau de DG et sont limités dans leur capacité à prendre des décisions au nom de leurs secteurs.
Comme de nombreuses initiatives gouvernementales ont récemment été mises en œuvre, le CEPA GTI peut commencer à concentrer davantage ses efforts sur le développement d’une vision plus stratégique des TI et sur la définition des objectifs stratégiques du Ministère. Un comité intérimaire des sous-ministres adjoints (SMA) a récemment été créé pour apporter un soutien au CEPA GTI dans ce rôle. Cet audit a révélé que l’existence d’un comité des SMA pour soutenir le CEPA GTI pourrait être bénéfique, car bon nombre de personnes interrogées, dont beaucoup étaient membres du CEPA GTI, ont mentionné un manque de clarté à l’égard des rôles, des responsabilités et des obligations de gouvernance des TI. Cela dit, comme le comité de TI des SMA venait tout juste d’être créé, son rôle n’était pas clair pour l’équipe d’audit.
RNCan compte beaucoup sur SPC pour l’organisation des services de gestion de l’infrastructure de TI. La réalisation d’une vision et d’objectifs stratégiques établis de TI exigera la pleine participation et collaboration de SPC. Par conséquent, il est fortement recommandé que la direction de RNCan fasse formellement intervenir SPC dans sa structure de gouvernance de TI. Cela pourrait notamment prendre la forme d’un rôle d’observateur au CEPA GTI, ou d’autres moyens par lesquels SPC peut mieux apprécier la vision de RNCan à l’égard des TI, les objectifs stratégiques en la matière et les investissements planifiés en TI, et mieux faire concorder ses activités de planification avec les impacts potentiels sur l’infrastructure de TI.
En raison de la dépendance de RNCan sur SPC, une composante essentielle de la structure de gouvernance des TI du Ministère exige de la clarté entourant les services qu’il peut attendre de SPC, lesquels doivent être définis par un accord de niveau de service (ANS) formel. L’audit a révélé qu’il n’y a toujours pas d’ANS formel contenant des normes de service détaillées relatives aux services que SPC fournit à RNCan. Cela se voit déjà comme un problème dans l’audit interne 2014 de RNCan sur les mesures de contrôle de la reprise après sinistre des applications essentielles à la mission. Plus précisément, l’audit 2014 avait noté qu’un ANS était nécessaire pour assurer une structure de gouvernance adéquate afin de soutenir la continuité des TI, en particulier pour les applications critiques dans le cas d’une catastrophe imprévue. Même si la recommandation a été faite par l’équipe d’audit à ce moment-là pour résoudre ce problème, la haute direction de RNCan nous a informés que SPC hésitait à signer un ANS formel.
Planification stratégique des TI
En 2012, RNCan a préparé un document intitulé « Plan stratégique de la GTI » pour 2013-2018. Alors que la période de cinq ans couverte par le plan n’a pas expiré, il ne reflétait pas de manière adéquate les besoins en GTI de l’ensemble du Ministère, et il ressortait clairement des entrevues d’audit que ce n’était plus considéré comme pertinent par les parties prenantes des TI à RNCan. Plus précisément, le Plan stratégique de la GTI pour 2013-2018 portait sur les priorités de l’organisation du DPI, par opposition aux priorités en matière de GTI du Ministère dans son ensemble. Par exemple, alors que les « besoins sectoriels » ont été désignés comme une priorité, on n’a ni cerné ni abordé les besoins sectoriels réels et les priorités informatiques par rapport aux stratégies opérationnelles.
Cette limitation de la portée du Plan stratégique de la GTI pour 2013-2018 montre bien la situation de la gouvernance et de la planification des TI au Ministère, puisque celles-ci sont décentralisées et à brève échéance, et qu’elles portent sur des initiatives distinctes en TI. Lors de l’examen des procès-verbaux des CEPA GTI et autres comités de gouvernance de TI, par exemple, il a été observé que les discussions étaient essentiellement axées sur la communication de mises à jour, et les réunions constituent une tribune pour discuter des risques et des problèmes d’initiatives ministérielles de TI en particulier, comme la mise en œuvre de GCDocs (un système de gestion électronique des documents et dossiers), l’Initiative de transformation des services de courriel et d’autres initiatives de SPC en matière de TI. Au CEPA GTI, les discussions stratégiques concernant les priorités et la planification à long terme des TI demeurent rares et portent sur des questions ponctuelles.
Au début de 2015, le Secrétariat du Conseil du Trésor (SCT) a demandé que les ministères fournissent une liste d’initiatives clés en TI pour l’aider à planifier et hiérarchiser les activités pangouvernementales et permettre également aux ministères de tirer parti de la liste des initiatives de TI afin de lancer leurs propres exercices de planification des TI. En plus de la demande du SCT, diverses pressions internes et externes ont donné l’impulsion à la création d’un plan de TI plus complet pour le Ministère. Par exemple, l’infrastructure informatique du Ministère est maintenant gérée par SPC, ce qui nécessite une liaison avec une entité et un processus centralisé. De même, les menaces de cybersécurité aux organisations du secteur public et privé constituent des risques graves qui doivent être atténués. En outre, les faiblesses d’une infrastructure informatique décentralisée et non normalisée exposent davantage le Ministère à ces types de menaces en raison de l’absence de contrôle central.
En réponse à la demande du SCT, RNCan a récemment élaboré un nouveau plan de TI pour 2015-2018. Le projet de plan de TI 2015-2018 contient une liste d’une cinquantaine d’initiatives ou de projets de TI qui varient considérablement quant à leur budget annuel (de 5 K$ à 6,9 M$), leur type (transformation ou maintenance) et leur degré d’achèvement. Plus précisément, ces initiatives et projets de TI comprennent des solutions technologiques pour soutenir les initiatives et programmes opérationnels des ministères; améliorer les mesures de sécurité; établir des initiatives de sites Web connexes; et prendre des mesures de soutien ou de mise à jour liées à des activités administratives.
Une lacune du projet de Plan de TI 2015-2018 est que les initiatives de TI ne sont ni hiérarchisées ni chiffrées, et que la liste d’initiatives n’est pas forcément exhaustive, puisque les activités de TI sont souvent le fruit d’une réflexion a posteriori pour les nouveaux programmes ou projets. L’absence d’un plan plus robuste entrave également la capacité du Ministère à déterminer si RNCan a la capacité et les ressources de TI suffisantes pour répondre à ses objectifs informatiques et exigences opérationnelles et pour connaître la meilleure façon d’affecter les ressources limitées en TI selon les priorités du Ministère.
Même si elle est conforme à la demande du SCT d’avoir une liste complète des initiatives de TI, l’approche actuelle de planification se fait le plus souvent de bas en haut, essayant de faire l’inventaire des activités et ressources de TI à l’échelle du Ministère. Une approche plus stratégique qui met l’accent sur « l’habilitation opérationnelle des TI », traduisant les priorités opérationnelles du Ministère en une vision des TI et en des priorités stratégiques produirait un plan de TI plus robuste et efficace. Plus précisément, la vision et les priorités stratégiques des TI pourraient servir de guide et de critères pour :
- établir des critères convenus qui permettent la hiérarchisation des activités informatiques dans une perspective de « valeur d’entreprise »;
- tenir compte des risques et de l’impact de ne pas atteindre les objectifs fixés, en fonction des priorités du Ministère;
- envisager la meilleure façon d’affecter les ressources informatiques opérationnelles ou sectorielles en fonction des priorités du Ministère;
- développer un ensemble de capacités stratégiques opérationnelles et l’architecture des TI à l’appui;
- élaborer des mesures et des cibles pour évaluer le rendement par rapport à l’atteinte des objectifs définis dans le plan, et appliquer les mesures correctives requises en temps opportun.
Compte tenu de l’importance stratégique de la tâche, il serait approprié pour le CEPA GTI d’engager pleinement le CTO et la haute direction dans la définition de la vision et des priorités stratégiques du Ministère en matière de TI. Cela reviendrait à donner une orientation et une autorité importantes au CEPA GTI en vue d’élaborer un plan de TI plus robuste basé sur une vision claire et des objectifs stratégiques.
Hiérarchisation des projets basés sur les TI
Comme nous l’avons mentionné précédemment, il n’y a pas de critères pour hiérarchiser les projets basés sur les TI dans le projet de Plan de TI pour 2015-2018. Le Comité d’examen de l’architecture (CEA), un sous-comité du CEPA GTI, a récemment été chargé d’élaborer des critères pour hiérarchiser les activités informatiques. L’établissement de ces critères est important pour harmoniser les investissements en TI avec les objectifs opérationnels d’une manière qui est plus cohérente, objective et justifiable, et pour permettre l’affectation des ressources aux activités de TI en fonction des besoins et priorités opérationnels. Une fois en place, approuvés et appliqués, les critères devraient permettre des discussions plus cohérentes et objectives sur les hiérarchisations du projet et l’allocation des ressources d’une manière qui répond efficacement aux besoins opérationnels de l’organisation.
RISQUE ET INCIDENCE
Le manque de clarté de la vision et des priorités stratégiques en matière de TI aggrave le risque que les investissements ministériels en TI ne concordent pas avec les objectifs opérationnels du Ministère. Compte tenu de la dépendance importante sur les TI, ce manque pourrait réduire considérablement la capacité du Ministère à répondre à ses priorités qui exigent l’intervention des TI.
Par ailleurs, en l’absence de critères formels pour hiérarchiser les activités de TI, il existe un risque que les ressources de TI ne soient pas attribuées en fonction des besoins opérationnels, ce qui entraînerait un mauvais alignement avec les priorités stratégiques. Cela augmente également le risque que les décisions d’investissement en TI ne soient pas en harmonie, empêchant le Ministère de tirer parti des synergies, de gérer les coûts de l’appui technique et de la maintenance des TI et de se protéger efficacement contre les menaces de cybersécurité.
RECOMMANDATIONS
- Le Comité de transformation opérationnelle, coprésidé par le sous-ministre délégué et le sous-ministre adjoint, Secteur de la gestion et des services intégrés (SMA-SGSI), devrait définir la vision, la stratégie et l’orientation pour une gestion cohérente des technologies de l’information (TI) à l’échelle du Ministère, y compris la configuration des capacités stratégiques opérationnelles et une architecture de TI à l’appui.
- Le Comité d’examen des projets et de l’architecture – Gestion de la technologie de l’information (CEPA GTI), en collaboration avec le Comité de la transformation opérationnelle (CTO), devrait assurer l’harmonisation des décisions d’investissement de TI prises au sein du Ministère avec les priorités et les normes ministérielles communes, ainsi qu’avec une architecture ministérielle.
- Les SMA des secteurs doivent veiller à ce que les représentants désignés pour le CEPA GTI soient présents de façon régulière, à ce qu’ils aient le pouvoir de représenter leurs secteurs et à ce qu’ils occupent tous des postes de directeur général (ou l’équivalent).
- Le comité exécutif doit veiller à l’établissement d’un plan de TI plus complet comprenant les éléments clés manquants.
- Le CEPA GTI doit veiller à l’établissement de critères afin d’établir l’ordre de priorité des projets en fonction de leur valeur opérationnelle relative.
- Le SMA-SGSI doit, en collaboration avec le Dirigeant principal de l'information, demander à Services partagés Canada (SPC) de conclure une entente officielle pour mettre en place des protocoles opérationnels, notamment des engagements en matière de prestation de services (de SPC à RNCan).
RÉPONSE, PLAN D’ACTION DE LA DIRECTION ET ÉCHÉANCIER
La direction est d’accord. En réponse à la recommandation 1, un plan opérationnel de TI pour 2016-2017 sera mis au point avec une vision de haut niveau, de direction et de stratégie en TI alignées sur les priorités d’affaires, et identifiant les capacités opérationnelles nécessaires : 31 mai 2016
Une stratégie de GTI pour 2017-2020 sera également mise au point, y compris un examen des stratégies de GI et de TI du gouvernement du Canada : 31 octobre 2016
Responsables : Les coprésidents du CEPA GTI travailleront avec le comité afin d’élaborer le plan opérationnel de TI et la stratégie de GTI, y compris leur examen et leur approbation, respectivement par le comité exécutif et le comité de transformation opérationnelle.
La direction est d’accord. En réponse à la recommandation 2, afin d’assurer un meilleur alignement des décisions d’investissement en TI avec les priorités du Ministère :
Des représentants de la Direction du dirigeant principal de l’information et de la sécurité (DDPIS) siégeront aux comités de gouvernance de TI du secteur : 30 juin 2016
Les secteurs prépareront des plans opérationnels de TI pour les faire approuver par leurs SMA afin d’assurer la conformité avec les priorités du Ministère : 31 décembre 2016
Le Comité d’examen de l’architecture élaborera des normes communes et une architecture ministérielle : 31 mars 2017
Responsables : Coprésidents du CEPA GTI
La direction est d’accord. En réponse à la recommandation 3, la composition du CEPA GTI sera confirmée et les rôles et responsabilités de celui-ci et de ses membres seront examinés par rapport aux autres comités, à savoir le Comité d’examen de l’architecture et le Comité de transformation opérationnelle, ainsi que relativement aux responsabilités de Services partagés Canada. Le CEPA GTI renouvellera l’invitation à Services partagés Canada à participer à ses réunions afin d’assurer une présence régulière : 30 juin 2016
Responsables : Coprésidents du CEPA GTI, SMA de secteurs
La direction est d’accord. En réponse à la recommandation 4, un plan de TI plus complet sera mis au point comme suit :
Création d’un cadre de gestion de projet qui définit le processus d’admission de projet de TI, le rôle du CEPA GTI et de la DDPIS dans l’approbation des projets et le suivi de leur situation, ainsi que l’allocation et la capacité des ressources de projet : 30 septembre 2016
Élaboration d’un modèle de coût informatique qui prend en considération la totalité des coûts, y compris les coûts salariaux de SPC et de RNCan : 31 octobre 2016
Création et mise à jour annuelle d’un plan opérationnel de TI intégrant une vision, une stratégie et une orientation triennale ministérielle approuvée, conformément aux priorités opérationnelles, ainsi qu’un plan pour veiller à la disponibilité des capacités opérationnelles nécessaires. Le plan opérationnel de TI sera approuvé par le Comité exécutif : 31 mars 2017
Responsables : Coprésidents du CEPA GTI
La direction est d’accord. En réponse à la recommandation 5, les membres du CEPA GTI ont élaboré des critères de hiérarchisation des projets de TI et les ont utilisés pour classer les projets en ordre de priorité lors de leur deuxième atelier de TI, le 24 novembre.
Responsables : Coprésidents du CEPA GTI
Échéancier : Terminé
La direction est d’accord. En réponse à la recommandation 6, le SMA-SGSI et le dirigeant principal de l’information collaboreront avec SPC pour définir et fixer des protocoles d’exploitation et des engagements pour la livraison des services.
Responsables : SMA-SGSI, dirigeant principal de l’information
Échéancier : 31 mars 2017
Détermination des projets axés sur les TI
Constatation générale
Les activités, les projets et les investissements liés aux TI à l’échelle du Ministère sont présentement compilés conformément au plan de TI du Ministère. Ces activités ne cadrent toutefois pas toujours avec les activités semblables de collecte de renseignements liées à la préparation de rapports sur un projet, à la planification des investissements et à la préparation de présentations au CT. L’audit a aussi révélé une occasion de préciser et de renforcer le rôle de la DDPIS lors de l’examen des présentations au CT, par rapport à son présent rôle de réviseur fonctionnel.
Observations pertinentes
Détermination des projets axés sur les TI
Les processus de gestion et de surveillance des projets à RNCan ont évolué constamment au cours des dernières années. Alors que certains mécanismes de contrôle ont été ajoutés, la gestion de projet demeure essentiellement décentralisée au sein du Ministère, et le secteur ou la direction qui dirige un projet reste responsable de la gouvernance et du succès de celui-ci.
Les projets, dont ceux qui sont axés sur les TI et qui nécessitent une présentation au CT, doivent passer par un processus défini qui est dirigé par le Centre d’expertise de RNCan relativement au CT. Le processus comprend des consultations internes avec de nombreux réviseurs fonctionnels à la grandeur de RNCan, y compris la DDPIS. Le rôle du réviseur fonctionnel consiste à fournir des commentaires sur la présentation, mais il n’en comprend pas l’approbation officielle comme c’est le cas du dirigeant principal des finances (DPF), qui doit ajouter son attestation à toutes les présentations au CT. Si la DDPIS ne participe pas au début de ce processus, les présentations au CT relativement aux projets axés sur les TI risquent de ne pas refléter fidèlement les besoins en TI, les coûts et les ressources nécessaires. Certains répondants ont décrit des situations de ce genre, qui ont entraîné la présentation d’une demande de financement incomplète et inférieure au montant réellement nécessaire.
Coordination de la gestion de projet
Le bureau de gestion des projets (BGP) de RNCan finalise actuellement les modifications du cadre de gestion de projet (CGP) de RNCan. Les modifications visent à mieux comprendre quels projets doivent faire l’objet de rapports aux comités de surveillance ministériels à cause de leur classification, de leur envergure et de leur risque, complexité ou visibilité, et elles permettront de faire concorder les processus opérationnels avec cette nouvelle approche. Selon leur classification, les projets doivent faire l’objet de rapports trimestriels, semestriels ou annuels au comité de la planification et de la production de rapports de RNCan, lequel regroupe des directeurs généraux. Grâce à ce processus, vingt-deux projets ont jusqu’à présent été repérés, dont certains comprennent des projets axés sur les TI.
Le bureau de la planification des investissements (BPI) de RNCan dresse également une liste des investissements devant être déclarés (généralement pour des investissements de plus d’un million de dollars, dont certains peuvent être placés dans les TI). Cela tient compte des exigences de la Politique de planification des investissements du SCT – Actifs et services acquis.
Toutefois, on ne décerne pas une concordance exacte entre les processus de présentation du BGP, du BPI et du CT, et la liste des activités et investissements de TI qui est en cours de préparation pour le plan de TI 2015-2018. De même, il ne semble pas y avoir de points de contrôle dans les processus de présentation du BGP, du BIP et du CT pour aider le CEPA GTI à rester au courant des projets ou investissements qui peuvent également exiger la mobilisation des TI.
RISQUE ET INCIDENCE
Si la liste des activités, projets et investissements en TI qui est préparée pour le plan de TI et la surveillance du CEPA GTI n’est pas conforme aux processus connexes pour les rapports de gestion de projets, la planification des investissements et la préparation de présentations au CT, il y a un risque accru que les projets ne mentionnent pas correctement les besoins et les ressources en matière de TI et que les efforts de planification s’en trouvent dédoublés.
RECOMMANDATIONS
- Le Comité d’examen des projets et de l’architecture – Gestion de la technologie de l’information (CEPA GTI) et le Comité de planification et des rapports doivent veiller à ce que leurs comités respectifs intègrent la liste des activités, des projets et des investissements de TI préparée pour le plan de TI aux processus de gestion de projet et de planification d’investissement du Ministère.
- Les sous-ministres adjoints (SMA) des secteurs, en collaboration avec le dirigeant principal des finances, doivent mobiliser la Direction du dirigeant principal de l’information et de la sécurité (DDPIS) au début de toutes les activités du secteur (p. ex. préparation des présentations au Conseil du Trésor, des mémoires au Cabinet) afin d’aider à déterminer si elles nécessitent une habilitation ou un soutien des TI, et ce, afin que les exigences et les ressources, y compris le soutien requis de la part des fournisseurs de services, soient dûment définis et planifiés.
RÉPONSE, PLAN D’ACTION DE LA DIRECTION ET ÉCHÉANCIER
La direction est d’accord. En réponse à la recommandation 7, la liste des activités, projets et investissements de TI à prendre en considération dans le plan de TI sera présentée au comité de la planification et la production de rapports afin de maximiser l’intégration avec les autres activités de planification de Ressources naturelles Canada, en particulier le plan d’activités intégré, le plan d’investissement et les rapports de projet. Les grands projets de TI devant faire l’objet de rapports au Secrétariat du Conseil du Trésor (SCT) sont déjà inclus dans les rapports de projet trimestriels du Ministère : 28 février 2017
Responsables : coprésidents du CEPA GTI; coprésidents du comité de planification et de production de rapports
La direction est d’accord. En réponse à la recommandation 8, l’élaboration d’un plan opérationnel annuel de TI permettra au DPI de se tenir au courant des besoins en TI du Ministère. L’intervention du DPI sera demandée pour l’élaboration de nouveaux programmes afin que les coûts connexes soient bien définis. En outre, le représentant de la DDPIS doit siéger aux comités sectoriels de gouvernance de la GTI : 31 mars 2016
Responsables : sous-ministres adjoints et dirigeants principaux des finances du secteur
Communication entre les comités
Constatation générale
Divers comités contribuent à la gouvernance des TI au sein du Ministère, ce qui complique l’échange systématique des renseignements, des recommandations et des décisions entre les comités. De plus, des comités sectoriels de gouvernance des TI existent dans trois des cinq secteurs qui dépendent largement de l’habilitation des TI; et les représentants de la DDPIS ne participent pas régulièrement aux réunions.
De plus, le Groupe de travail sur l’information scientifique n’a pas de mandat précis pour assurer la clarté des rôles et responsabilités et la prestation de services durables. L’établissement d’un tel mandat est d’autant plus essentiel compte tenu de l’importance de l’information scientifique pour donner suite aux priorités ministérielles.
Observations pertinentes
Comme il a été indiqué dans la section consacrée à la description du contexte, de nombreux comités ministériels s’occupent de la gouvernance des TI. Le CEPA GTI est le comité de haut niveau dédié aux questions de GTI. Le CEPA GTI comporte un certain nombre de sous-comités qui traitent de sujets particuliers liés à la gestion de l’information, à l’architecture d’entreprise, au Web et à l’information scientifique. En examinant les procès-verbaux du CEPA GTI et de ses sous-comités, il a été constaté qu’il n’y avait aucun processus systématique pour assurer un échange efficace d’information, de recommandations et de décisions entre eux. Plus précisément, les discussions et les recommandations qui sont produites par les sous-comités ne sont pas régulièrement présentées au CEPA GTI, et vice versa, et les procès-verbaux des réunions ne sont pas diffusés ou rendus accessibles aux membres des comités afin de veiller à l’harmonisation de leurs travaux.
À cet égard, l’un des sous-comités du CEPA GTI, le groupe de travail sur l’information scientifique (GTIS) a été formé pour aider RNCan à mieux comprendre ses besoins scientifiques en la matière et à savoir comment y répondre efficacement, aussi bien de façon interne que par l’entremise de SPC. Le GTIS, qui se réunit depuis l’automne 2014, a été reconnu comme un élément important pour aider le Ministère à établir les besoins en TI pour soutenir le mandat de ce dernier. Néanmoins, le comité n’a toujours pas été doté d’un mandat officiel, et la structure de gouvernance du GTIS n’a pas été définitivement établie, ce qui comprend les exigences de communication des activités et des progrès au CEPA GTI.
De plus, certains secteurs ont créé des comités de gouvernance des TI. Plus précisément, le Secteur des minéraux et des métaux, le Secteur des sciences de la Terre et le Service canadien des forêts ont tous des comités sectoriels de TI. Ceci est considéré comme une bonne pratique pour les secteurs qui comptent beaucoup sur la TI pour mener leurs activités. L’équipe d’audit a repéré des possibilités d’établir de tels comités au sein du Secteur de l’innovation et de la technologie énergétique et du Secteur de l’énergie.
En ce qui concerne les comités sectoriels existants de TI, l’équipe d’audit a remarqué que la participation de la DDPIS, l’autorité fonctionnelle des TI au sein du Ministère, à ces comités était irrégulière voire nulle. Toutefois, la participation d’un haut fonctionnaire de la DDPIS à ces comités, peut-être à titre de coprésident, permettrait d’améliorer les communications avec les secteurs en ce qui concerne leurs priorités et défis opérationnels particuliers. Une meilleure compréhension pourrait aider à activer ces priorités grâce aux perspectives de TI et de discuter d’une utilisation rationnelle des ressources de TI conformément aux orientations du Ministère et du gouvernement du Canada.
RISQUE ET INCIDENCE
Si l’information, les recommandations et les décisions ne sont pas régulièrement échangées entre les comités de gouvernance des TI, il se pose un risque accru que l’information pertinente ne soit pas échangée entre eux. De même, si un haut fonctionnaire représentant la DDPIS ne participe pas régulièrement aux comités sectoriels de gouvernance des TI, il y a un plus grand risque que les activités de TI des secteurs et du Ministère ne concordent plus. Enfin, si le mandat du GTIS n’est pas formalisé, les groupes de travail risquent de ne pas atteindre leurs objectifs.
RECOMMANDATIONS
- Le SMA du Secteur de l’innovation et de la technologie de l’énergie (SMA SITE), le SMA du Secteur de la gestion des affaires publiques et du portefeuille (SGAPP) et le SMA du Secteur de l’énergie (SE) doivent veiller à ce que des comités de TI soient formés au sein de leurs secteurs respectifs afin de faciliter les discussions et la coordination des activités de TI dans l’ensemble du Ministère.
- Les présidents des comités liés aux TI des secteurs, en collaboration avec le dirigeant principal de l’information (DPI), doivent établir des processus communs qui garantissent :
- un échange systématique de renseignements entre les comités de TI axés sur la gouvernance;
- la participation d’un représentant principal de la Direction du dirigeant principal de l’information et de la sécurité (DDPIS) aux réunions des comités sectoriels de gouvernance des TI;
- l’officialisation des mandats des comités sectoriels de TI afin d’assurer leur harmonisation avec les ordres du jour et les plans stratégiques ministériels.
- Le groupe de travail sur l’information scientifique, en collaboration avec les autres membres du comité, doit officialiser le mandat du groupe de travail sur l’information scientifique.
RÉPONSE, PLAN D’ACTION DE LA DIRECTION ET ÉCHÉANCIER
La direction est d’accord. En réponse à la recommandation 9, le SE, le SITE et le SGAPP ajouteront la planification des TI en tant que point permanent à leurs réunions du Comité de la haute direction une fois tous les deux mois. La DDPIS participera aux réunions afin de faciliter une meilleure communication et de contribuer à la coordination des activités de TI à l’échelle du Ministère : 31 mars 2016
Positions responsables :
- Directeur général (DG), Énergie et sécurité, Secteur de l’énergie;
- DG, Énergie pour CANMET, Secteur de l’innovation et de la technologie de l’énergie;
- DG, Secteur de la gestion des affaires publiques et du portefeuille;
- Dirigeant principal de l’information, Secteur de la gestion et des services intégrés.
La direction est d’accord. En réponse à la recommandation 10, des processus communs seront mis en place et pris en compte dans le mandat des comités sectoriels de TI : 31 octobre 2016
Responsables : membres intéressés du CEPA GTI ou présidents des comités sectoriels de TI et DPI
La direction est d’accord. En réponse à la recommandation 11, le mandat du groupe de travail sur l’information scientifique (GTIS) sera formalisé et comprendra un lien hiérarchique formel au CEPA GTI : 30 juin 2016
Responsable : président du GTIS
Évolution de l’organisation du DPI
Constatation générale
Les organisations du DPI à l’échelle du gouvernement fédéral sont confrontées à un changement de paradigme qui les amène à passer de leaders techniques à facilitatrices stratégiques opérationnelles. Maintenant que les diverses initiatives d’envergure, comme GCDocs, les téléphones VoIP et la transformation des services de courriel, ont toutes été mises en place à l’échelle du gouvernement, il est temps de revoir la structure de l’organisation du DPI de RNCan pour qu’elle devienne une facilitatrice et une partenaire stratégiques opérationnelles.
Observations pertinentes
Le rôle du DPI au sein du gouvernement fédéral est à un point tournant. Les dirigeants du SCT en parlent comme d’un changement de paradigme : le DPI devient un facilitateur d’affaires stratégique. Au lieu d’être un spécialiste technique, il est un leader du numérique et un partenaire d’affaires. Le changement a pris une plus forte impulsion en août 2011, avec la création de SPC, qui a permis aux DPI de se concentrer moins sur le leadership technique et davantage sur l’habilitation des activités opérationnelles.
Dans tous les ministères, les DPI ont dû commencer à fournir des solutions techniques centralisées pour permettre au gouvernement d’adopter des solutions d’entreprise telles que l’Initiative de transformation des services de courriel, GCDocs et le regroupement des centres de données. De telles initiatives ont pris beaucoup de temps et d’énergie et ont limité la capacité de l’organisation à mettre en œuvre les changements rendus nécessaires par ce changement de paradigme.
Maintenant que ces initiatives centrales sont en voie d’être achevées, le moment serait bien choisi pour que les organisations revoient le rôle de leurs organisations de DPI et les restructurent au besoin pour répondre aux nouvelles exigences en matière d’habilitation des activités opérationnelles. Le DPI du gouvernement a déclaré que le succès de l’organisation du DPI de l’avenir se concentrera moins sur les compétences en développement d’applications et davantage sur des aptitudes solides en analyse, architecture, intégration de systèmes, mises à l’essai et gestion de projets. Il mettra à profit les services du secteur privé qui sont rentables et peuvent s’adapter avec agilité à un milieu en constante évolution. En conséquence, les organisations de DPI seront moins grandes et seront dotées d’un plus grand nombre de cadres supérieurs à mesure que les administrations publiques se tournent vers l’acquisition stratégique d’applications et services en vente libre pour stimuler le rendement des activités opérationnelles. L’objectif de ces organisations de DPI de moindre envergure ne sera plus le développement d’applications, mais l’analyse opérationnelle et la gestion des relations, et leurs ensembles de compétences devront également évoluer pour soutenir les dirigeants principaux de l’information dans leurs nouvelles fonctions.
La DDPIS de RNCan a indiqué qu’une révision de sa structure organisationnelle était en cours. Un examen organisationnel complet était au-delà de la portée du présent audit, mais on peut noter que dans sa structure actuelle, il n’existe aucune fonction dédiée à la planification ministérielle des TI. De plus, l’évolution des compétences en développement d’applications vers l’analyse, l’architecture et l’intégration des besoins sectoriels n’a pas encore eu lieu à la DDPIS.
RISQUE ET INCIDENCE
Si la structure organisationnelle de la DDPIS à RNCan n’est pas examinée et que les attentes par rapport à cette fonction ne sont pas clairement établies par la haute direction, elle risque de ne pas évoluer du rôle de leader technique à celui de facilitateur d’affaires et de partenaire qui contribue à part entière à la réalisation des objectifs stratégiques du Ministère.
RECOMMANDATION
- Le sous-ministre, en collaboration avec le Comité exécutif, devrait examiner les attentes de RNCan par rapport à la Direction du dirigeant principal de l’information et de la sécurité (DDPIS) et adapter la structure en conséquence.
RÉPONSE, PLAN D’ACTION DE LA DIRECTION ET ÉCHÉANCIER
La direction est d’accord. En réponse à la recommandation 12, le sous-ministre et le sous-ministre adjoint, Secteur de la gestion et des services intégrés (SMA SGSI) effectueront un examen du rôle de la DDPIS et introduiront les ajustements nécessaires pour optimiser son rôle de facilitateur d’affaires stratégique : 31 mars 2017
Responsable : SMA SGSI
ANNEXE A – CRITÈRES D’AUDIT
L’objectif du présent audit est de fournir une assurance raisonnable que RNCan dispose d’une structure de gouvernance des TI appropriée pour appuyer la gestion des TI dans l’ensemble du Ministère.
Le tableau ci-dessous contient les sous-objectifs de l’audit et les critères d’audit mis en correspondance avec les cinq processus de gouvernance des TI (fonctions Évaluer, Diriger et Surveiller [EDS]) du cadre COBIT 5 (www.isaca.org) :
- EDS01 – Assurer l’établissement et l’entretien du cadre de gouvernance
- EDS02 – Assurer la réalisation des avantages
- EDS03 – Assurer l’optimisation des risques
- EDS04 – Assurer l’optimisation des ressources
- EDS05 – Assurer la transparence des parties prenantes
Sous-objectifs de l’audit | Critères d’audit |
---|---|
1. Un cadre de gouvernance des TI approprié est en place pour appuyer la transparence et la prise de décision fondée sur les risques associés aux activités de TI. | Gouvernance
1.1 Un cadre adéquat de gouvernance et des organismes appropriés de contrôle des TI ont été créés et implantés pour mettre à profit les synergies et assurer la prise en charge efficace des risques ministériels des TI, tels que la cybersécurité. 1.2 Les rôles et responsabilités liés aux TI, les liens avec SPC et l’information scientifique sont clairement définis et communiqués. 1.3 La structure organisationnelle et la capacité des ressources humaines sont appropriées et propices à répondre aux objectifs de RNCan en matière de TI et à ses exigences opérationnelles. |
2. La stratégie de TI cadre avec la stratégie opérationnelle ministérielle et le plan d’investissement. | Planification des TI
2.1 Les exigences en matière de TI dans le plan d’activité ont été établies à l’issue de consultations auprès des parties prenantes concernées au sein de RNCan. 2.2 Un plan-stratégie de TI a été élaboré en conformité avec le plan opérationnel, et il est mis en œuvre, suivi et fait l’objet de rapports aux comités de la haute direction en temps opportun. Investissements et budgets des TI 2.3 Un processus a été mis en place pour que les décisions d’investissement en TI (spécifiques aux TI ou axées sur les TI) soient dûment approuvées, hiérarchisées et coordonnées. 2.4 Un budget de TI est officiellement approuvé et mis en œuvre; il tient compte des priorités des investissements en TI au sein du Ministère et comprend les coûts permanents du fonctionnement et de l’entretien de l’infrastructure de TI. |
3. La stratégie de TI est mise en œuvre de façon efficace au moyen de décisions claires concernant l’attribution des ressources et d’attentes précises, de même que d’une évaluation et d’un suivi du rendement. | Surveillance et approvisionnement du projet
3.1 Un cadre de surveillance des projets axés sur les TI est établi pour veiller à la bonne hiérarchisation, supervision et coordination de tous les projets (nouvelles exigences et projets d’entretien). 3.2 Les initiatives de TI et les ressources connexes sont classées par priorité et s’harmonisent avec les stratégies globales et celles de TI; elles tiennent compte adéquatement des coûts, des avantages, des dépendances et des solutions de rechange. 3.3 Des mesures et objectifs appropriés de rendement des TI ont été définis et approuvés. 3.4 Un processus de suivi du rendement des TI permet d’évaluer le rendement des TI et de surveiller la contribution des TI aux activités. |
4. La stratégie de TI tient adéquatement compte des exigences en matière de direction et de politique des TI à l’échelle du gouvernement. | Exigences de la politique
4.1 La stratégie de TI de RNCan tient correctement compte de l’orientation pangouvernementale en matière de TI. 4.2 La stratégie de TI de RNCan répond aux exigences de la politique. |
Détails de la page
- Date de modification :