Archivé — Gouvernance de la technologie de l'information

Le 7 avril 2009

Conseillé le 30 avril 2009 par le Comité ministérielle de vérification pour l'approbation du Député ministre
Approuvé par le Député ministre le 1 mai 2009


Table des matières


1.0 Sommaire

1.1 Introduction

En 2007, Industrie Canada a canalisé ses efforts sur le renforcement de la gouvernance et de la supervision de la technologie de l'information (TI) au sein du Ministère — documentation des processus, clarification des responsabilités et institutionnalisation de la gestion de projets.

Le principal objectif de la gouvernance de la TI 2.0 est d'assurer que le Ministère est bien placé pour satisfaire aux exigences des révisions apportées au Cadre de responsabilisation de gestion du Conseil du Trésor et à la Loi sur la gestion des finances publiques et des nouvelles politiques du Conseil du Trésor sur la TI, la sécurité de la TI, la gestion de l'information et la gestion de projets. La gouvernance de la TI devrait également accroître la rigueur au chapitre de la réalisation des bénéfices et du rendement du capital investi.

La gouvernance de la TI 2.0 (la structure actuelle du comité de gouvernance de la TI) et la mise sur pied du Centre de gestion de projet (CGP) ont obtenu l'approbation du Comité de gestion en août et en septembre 2007 respectivement. Les trois comités qui soutiennent la gouvernance de la TI 2.0 sont les suivants :

  1. Le Comité de gestion stratégique de la TI (CGSTI), qui est chargé de l'affectation des travaux et des investissements en TI, en plus d'examiner et d'approuver la stratégie et les politiques en matière de TI. Il est composé des sous-ministres adjoints de quatre secteurs, de l'agent principal de l'information (API) et de l'agent principal des finances.
  2. Le Comité de supervision des projets (CSP), qui est responsable de la surveillance continue des projets de TI. Il est composé de cadres du niveau de directeur général.
  3. Le Comité sur les normes et l'architecture de TI (CNA - TI), qui met en place la stratégie, les normes et les politiques ministérielles ayant trait à l'architecture de la TI. Il est composé de gestionnaires ayant des compétences en TI.

Le CSP et le CNA - TI sont des organismes de gouvernance indépendants, mais complémentaires. Le CGSTI constituera un forum d'intervention lorsque le président de l'un ou l'autre de ces comités aura besoin de soutien additionnel.

La présente vérification avait pour objectif de donner l'assurance que les rôles, les responsabilités et les obligations redditionnelles en matière de technologie de l'information sont clairs et que l'établissement de rapports est conforme aux politiques, directives, procédures et plans pertinents.

La vérification portait sur l'actuelle gouvernance de la TI au sein du Ministère, entre autres les processus de gouvernance, de gestion des risques et de contrôle interne en place.

1.2 Principales constatations

La gouvernance de la TI 2.0 représente un progrès considérable pour Industrie Canada. Dans l'ensemble, le Ministère reconnaît la nécessité d'assurer la gouvernance de la TI et les participants au processus ont conscience de son utilité. Les initiatives qui suivent sont considérées comme les principaux succès à l'heure actuelle :

  • l'élaboration d'un plan ministériel en matière de TI dans le but de gérer les dépenses en TI;
  • l'instauration d'une discipline en matière de gestion de projet afin de permettre la surveillance des projets de TI (en ce qui a trait aux coûts, à la portée et au calendrier);
  • le recensement des possibilités de collaboration entre les projets de TI ayant des exigences similaires;
  • la prestation de soutien à la gestion de projet;
  • l'élaboration récente et l'approbation, par le sous-ministre, d'un plan stratégique ministériel en matière de TI.

La présente vérification a donné lieu aux constatations suivantes :

Gouvernance

1. La gouvernance de la TI exercée par le Comité de gestion stratégique de la TI est plus axée sur l'aspect du fonctionnement et des projets que sur l'aspect stratégique.

2. Les mesures du rendement ne sont pas établies assez clairement pour assurer que la gouvernance de la TI obtient les résultats voulus.

Contrôle interne

3. Il n'existe aucun lien clair entre le Plan annuel de la TI et le Plan d'investissement à long terme du Ministère.

Gestion des risques

4. Les risques globaux pour l'efficacité de la gouvernance de la TI 2.0 ne sont pas officiellement recensés, évalués et atténués.

1.3 Recommandations

Gouvernance

1. Le sous-ministre adjoint, Services axés sur le marché et les petites entreprises (SMA, SAMPE) devrait s'assurer que le Comité de gestion stratégique de la TI fonctionne à un niveau stratégique.

2. Le SMA, SAMPE devrait s'assurer que des mesures du rendement sont établies afin de démontrer que la gouvernance de la TI obtient les résultats voulus.

Contrôle interne

3. L'agent principal de l'information devrait s'assurer que tous les projets importants de TI sont clairement pris en compte dans le Plan d'investissement à long terme du Ministère.

Gestion des risques

4. Le SMA, SAMPE, en collaboration avec le Comité de gestion stratégique de la TI, devrait s'assurer que les risques globaux pour l'efficacité de la gouvernance de la TI 2.0 sont officiellement recensés, évalués, soumis à un groupe responsable et atténués.

1.4 Énoncé d'assurance

Selon mon jugement professionnel en tant que dirigeant principal de la vérification, les procédures de vérification suivies et les éléments probants recueillis sont appropriés et suffisants pour appuyer l'exactitude de l'opinion énoncée dans le présent rapport. Cette opinion se fonde sur une comparaison des conditions qui existaient au moment de la vérification, par rapport aux critères de vérification préétablis. Elle vise uniquement les entités examinées et le champ d'étude décrit dans le présent rapport.

1.5 Opinion de vérification

Selon moi, la gouvernance de la TI à Industrie Canada comporte plusieurs secteurs de risques, notamment de faibles risques liés aux processus de gouvernance, de contrôle et de gestion des risques.

line
Bill Merklinger
Dirigeant principal de la vérification, Industrie Canada
line
Date

2.0 À propos de la vérification

2.1 Contexte

En 2007, Industrie Canada (IC) a canalisé ses efforts sur le renforcement de la gouvernance et de la supervision de la technologie de l'information (TI) au sein du Ministère — documentation des processus, clarification des responsabilités et institutionnalisation de la gestion de projets.

Le principal objectif de la gouvernance de la TI 2.0 est d'assurer que le Ministère est bien placé pour satisfaire aux exigences des révisions apportées au Cadre de responsabilisation de gestion du Conseil du Trésor et à la Loi sur la gestion des finances publiques et des nouvelles politiques du Conseil du Trésor sur la TI, la sécurité de la TI, la gestion de l'information et la gestion de projets. La gouvernance de la TI devrait également accroître la rigueur au chapitre de la réalisation des bénéfices et du rendement du capital investi.

La gouvernance de la TI 2.0 (la structure actuelle du comité de gouvernance de la TI) et la mise sur pied du Centre de gestion de projet (CGP) ont obtenu l'approbation du Comité de gestion en août et en septembre 2007 respectivement. Les trois comités qui soutiennent la gouvernance de la TI 2.0 sont les suivants :

  1. Le Comité de gestion stratégique de la TI (CGSTI), qui est chargé de l'affectation des travaux et des investissements en TI, en plus d'examiner et d'approuver la stratégie et les politiques en matière de TI. Il est composé des sous-ministres adjoints de quatre secteurs, de l'agent principal de l'information (API) et de l'agent principal des finances.
  2. Le Comité de supervision des projets (CSP), qui est responsable de la surveillance continue des projets de TI. Il est composé de cadres du niveau de directeur général.
  3. Le Comité sur les normes et l'architecture de TI (CNA - TI), qui met en place la stratégie, les normes et les politiques ministérielles ayant trait à l'architecture de la TI. Il est composé de gestionnaires ayant des compétences en TI.

Le CSP et le CNA - TI sont des organismes de gouvernance indépendants, mais complémentaires. Le CGSTI constituera un forum d'intervention lorsque le président de l'un ou l'autre de ces comités aura besoin de soutien additionnel.

Le budget total de la TI au sein du Ministère pour l'exercice 2008-2009 se chiffre à 93 millions de dollars (y compris l'Office de la propriété intellectuelle du Canada, le Bureau du surintendant des faillites Canada et Corporations Canada). Si l'on ne tient pas compte de ces organismes, les dépenses s'élèvent à 61 millions de dollars.

2.2 Objectif de la vérification

La présente vérification avait pour objectif de donner l'assurance que les rôles, les responsabilités et les obligations redditionnelles en matière de technologie de l'information sont clairs et que l'établissement de rapports est conforme aux politiques, directives, procédures et plans pertinents.

2.3 Portée de la vérification

La vérification portait sur l'actuelle gouvernance de la TI au sein du Ministère, entre autres les processus de gouvernance, de gestion des risques et de contrôle interne en place.

2.4 Méthode

La vérification sur le terrain a été menée entre septembre et novembre 2008. Dans le cadre de la vérification, des documents ont été examinés, des entrevues ont été menées avec des personnes clés et tous les projets de TI présentés au CGSTI et au CSP ont été passés en revue. L'équipe de vérification a notamment mené à bien les activités suivantes :

  • des entrevues avec des membres des trois comités de gouvernance de la TI ainsi que divers gestionnaires de projets et employés de soutien du Centre de gestion de projet (CGP);
  • un examen de la documentation relative à chaque projet ayant été présenté au CGSTI et au CSP;
  • un examen de la documentation;
  • un classement des risques inhérents aux projets selon les catégories de risques fournies par le Centre de gestion de projet.

3.0 Constatations et recommandations

3.1 Introduction

Les sections qui suivent renferment les constatations détaillées issues de la vérification de la gouvernance de la TI effectuée dans l'ensemble du Ministère. Ces constatations reposent sur les éléments probants et sur l'analyse de la planification et de la vérification détaillée qui ont été effectuées.

3.2 Gouvernance

Constatation no 1 : Le CGSTI est davantage axé sur le fonctionnement que sur la stratégie.

La gouvernance de la TI exercée par le Comité de gestion stratégique de la TI est plus axée sur l'aspect du fonctionnement et des projets que sur l'aspect stratégique.

Le succès de la gouvernance de la TI à Industrie Canada repose sur la capacité des comités ministériels à s'acquitter efficacement de leurs rôles respectifs. En vertu du mandat qui lui a été confié, le CGSTI est chargé de l'orientation stratégique de l'investissement dans la TI à Industrie Canada.

Lorsqu'il a amorcé ses activités, il y a un an, le CGSTI devait en premier lieu élaborer et approuver un plan annuel en matière de TI pour le Ministère. Il a ainsi intégré avec succès les plans de TI pour chaque secteur et unité opérationnelle, et veillé au respect des limites de dépenses en TI; il a recensé et approfondi les possibilités de collaboration entre les initiatives ou au sein de celles-ci, et veillé à ce que les initiatives soient en lien avec l'architecture des activités de programme du Ministère et les priorités de chaque secteur et unité opérationnelle. Par la suite, les membres du CGSTI se sont penchés sur des projets de TI individuels qui approchaient le stade de la conception.

Certains membres du CGSTI se sont dits préoccupés par le fait que la discussion au cours des rencontres du comité était trop axée sur les questions opérationnelles (sur les projets), au détriment de l'orientation stratégique du Ministère en matière de TI. Certains ont indiqué que cette situation contribue à la diminution de la participation des membres. Il est possible que la forte proportion de membres suppléants accroisse la difficulté du CGSTI à fournir une orientation stratégique pour l'investissement en TI.

Recommandation no 1 :

Le sous-ministre adjoint, Services axés sur le marché et les petites entreprises (SMA, SAMPE) devrait s'assurer que le Comité de gestion stratégique de la TI fonctionne à un niveau stratégique.

Constatation no 2 : Les mesures du rendement ne sont pas clairement établies.

Les mesures du rendement ne sont pas établies assez clairement pour assurer que la gouvernance de la TI obtient les résultats voulus.

Une structure efficace de gouvernance de la TI doit établir clairement les mesures du rendement afin d'assurer l'atteinte des résultats voulus.

S'il ne semble exister aucune mesure du rendement en ce qui a trait à la gouvernance de la TI, les documents sur les projets examinés font état de certains avantages ou résultats escomptés des initiatives — par exemple, « réduction des coûts d'entretien ou de soutien », « amélioration de l'intégrité et de la sécurité de données », « meilleur rendement du capital investi » ou « amélioration du service à la clientèle ». Dans la plupart des cas, ces avantages n'étaient pas exprimés en des termes pouvant être quantifiés ou mesurés, ou de façon à pouvoir évaluer les progrès réalisés. C'est pourquoi il n'était généralement pas possible de mesurer le rendement des projets, sauf en ce qui a trait au coût, à la portée et au calendrier.

En l'absence de mesures du rendement clairement établies, il est difficile de savoir comment le Ministère déterminera si la présente version de la gouvernance de la TI atteint ses objectifs.

Recommandation no 2 :

Le SMA, SAMPE devrait s'assurer que des mesures du rendement sont établies afin de démontrer que la gouvernance de la TI obtient les résultats voulus.

3.3 Contrôle interne

Constatation no 3 : Le Plan d'investissement à long terme est incomplet.

Il n'existe aucun lien clair entre le Plan annuel de la TI et le Plan d'investissement à long terme du Ministère.

Le Plan d'investissement à long terme (PILT) du Ministère fournit le contexte pour la prise de décisions sur les niveaux de financement appropriés pour l'approbation des programmes d'immobilisations ministériels et des projets individuels.

Comme il est mentionné dans la Politique du Conseil du Trésor sur les plans d'investissement à long terme, « le plan d'investissement à long terme (PILT) constituera pour les ministères un outil pour la gestion globale des projets et des immobilisations nécessaires à l'exécution de leurs programmes ». Le PILT assure une grande visibilité des investissements importants ainsi que la disponibilité des fonds pour les projets et initiatives pluriannuels. Il est important d'inclure tous les projets d'importance (projets pluriannuels ou projets de plus de 250 000 $) dans le PILT du Ministère afin de s'assurer que leur financement est pris en compte dans les budgets et disponible pour ces investissements dans la TI.

On a constaté que sur les 16 projets pluriannuels en TI d'une valeur estimée à plus de 250 000 $ mentionnés dans le portefeuille des projets de TI de 2008-2009, sept n'étaient pas inclus dans la version actuelle du PILT du Ministère. Des projets importants peuvent échapper au suivi budgétaire s'ils ne sont pas inclus dans le PILT.

Recommandation no 3 :

L'agent principal de l'information devrait s'assurer que tous les projets importants de TI sont clairement pris en compte dans le Plan d'investissement à long terme du Ministère.

3.4 Gestion des risques

Constatation no 4 : Risques pour l'efficacité de la gouvernance de la TI 2.0

Les risques globaux pour l'efficacité de la gouvernance de la TI 2.0 ne sont pas officiellement recensés, évalués et atténués.

Le recensement et la surveillance des risques qui pourraient entraver l'atteinte des objectifs constituent une importante mesure de contrôle de gestion. Une surveillance et une analyse adéquates afin de s'assurer que les risques relevés sont évalués d'un point de vue organisationnel et systémique témoignent de l'efficacité de la gouvernance de la TI et contribuent à accroître le succès des initiatives individuelles en matière de TI.

Bien que certains membres du CGSTI aient laissé entendre que le succès de la gouvernance de la TI 2.0 pourrait être menacé, aucun effort ne semble avoir été fait pour définir de façon formelle les risques globaux pour la gouvernance de la TI au sein du Ministère. Les problèmes à l'origine du remaniement de la gouvernance de la TI 1.0 ont été pris en compte dans l'élaboration de la version 2.0, mais la surveillance du risque de voir les mêmes problèmes émerger dans le système actuel de gouvernance de la TI n'a pas été entreprise.

Nous avons constaté que les risques étaient évalués de façon ponctuelle, pour chaque projet. Ils ne sont pas liés aux risques organisationnels et ne permettent pas de mettre au jour des risques systémiques pour l'efficacité globale de la structure actuelle de gouvernance de la TI.

L'absence d'évaluation adéquate des risques au niveau organisationnel pourrait nuire à l'efficacité de la gouvernance de la TI 2.0 ainsi qu'au recensement et à l'atténuation des risques organisationnels ou systémiques. Si les risques globaux pour l'efficacité de la gouvernance de la TI 2.0 ne sont pas officiellement recensés, évalués et atténués, le risque est d'autant plus grand que la gouvernance de la TI 2.0 ne fonctionne pas de façon optimale.

Recommandation no 4 :

Le SMA, SAMPE, en collaboration avec le Comité de gestion stratégique de la TI, devrait s'assurer que les risques globaux pour l'efficacité de la gouvernance de la TI 2.0 sont officiellement recensés, évalués, soumis à un groupe responsable et atténués.

Progrès considérable

Dans l'ensemble, le Ministère reconnaît la nécessité d'assurer la gouvernance de la TI et les participants au processus ont conscience de son utilité. Les initiatives qui suivent sont considérées comme les principaux succès à l'heure actuelle :

  • l'élaboration d'un plan ministériel en matière de TI dans le but de gérer les dépenses en TI;
  • l'instauration d'une discipline en matière de gestion de projet afin de permettre la surveillance des projets de TI (en ce qui a trait aux coûts, à la portée et au calendrier);
  • le recensement des possibilités de collaboration entre les projets de TI ayant des exigences similaires;
  • la prestation de soutien à la gestion de projet;
  • l'élaboration récente et l'approbation, par le sous-ministre, d'un plan stratégique ministériel en matière de TI.

Annexe A : Critères de vérification détaillés

Gouvernance

  • Les organismes de surveillance ont communiqué clairement le mandat, y compris les rôles ayant trait à la gouvernance, à la gestion des risques et au contrôle.
  • L'organisation a clairement défini et communiqué des orientations et des objectifs stratégiques en matière de TI en harmonie avec son mandat.
  • Les milieux externe et interne sont surveillés afin d'obtenir de l'information qui pourrait signaler la nécessité de réévaluer les objectifs, les politiques et l'environnement de contrôle de l'organisation.
  • Les organismes de surveillance demandent et reçoivent des renseignements suffisants, complets, à jour et exacts à l'appui du fonctionnement et de l'administration du comité.
  • L'organisation a mis en place des plans et des objectifs opérationnels pour lui permettre d'atteindre ses objectifs stratégiques.
  • La direction a recensé des mesures du rendement appropriées, en lien avec les résultats voulus.
  • Les pouvoirs, responsabilités et obligations redditionnelles sont clairs et ont été communiqués.

Gestion des risques

  • La direction recense les risques qui pourraient nuire à l'atteinte de ses objectifs.
  • La direction évalue les risques qu'elle a recensés.
  • La direction répond de façon officielle aux risques qu'elle a recensés.

Contrôle interne

  • Les contrôles basés sur les risques et les politiques et lignes directrices ministérielles clairement établies sont en harmonie avec les politiques gouvernementales.
  • Un budget suffisamment détaillé est établi en temps opportun.
  • L'organisation favorise, au besoin, les possibilités de collaboration afin d'améliorer le service à la clientèle.
  • Les actifs sont gérés selon un cycle de vie.
  • La direction réattribue les ressources de façon à faciliter l'atteinte des objectifs ou des résultats.
  • La planification des ressources humaines s'harmonise avec la planification stratégique et organisationnelle.

Annexe B : Plan d'action de la gestion

Plan d'action de la gestion
Recommandation (page et section) Intervention prévue ou élément justifiant l'absence d'intervention par suite de la recommandation Responsable Date d'achèvement prévue Date d'achèvement révisée État actuel

Le sous-ministre adjoint, Services axés sur le marché et les petites entreprises (SMA, SAMPE) devrait s'assurer que le Comité de gestion stratégique de la TI fonctionne à un niveau stratégique.

  • Faire participer le CGSTI aux discussions concernant le mandat et les objectifs.

Marie-Josée Thivierge

Premier trimestre de 2009-2010

 

En cours

Le SMA, SAMPE devrait s'assurer que des mesures du rendement sont établies afin de démontrer que la gouvernance de la TI obtient les résultats voulus.

  • Recenser les indicateurs de rendement et les objectifs du mandat du CGSTI.
  • Évaluer les réalisations.

Rick Rinholm

  • Premier trimestre de 2009-2010
  • Évaluation en cours
 

En cours

L'agent principal de l'information devrait s'assurer que tous les projets importants de TI sont clairement pris en compte dans le Plan d'investissement à long terme du Ministère.

  • Intégrer la planification des projets de TI en 2009-2010 et les besoins en information du PILT (modèles) pour assurer l'uniformité entre les projets de TI et le PILT.
  • Définir le processus de partage de l'information entre l'API et le SFCA, y compris l'utilisation de modèles communs, d'ordres internes et de rapports sur le portefeuille de projets de TI.

Rick Rinholm

Terminé

 

Nouveaux processus établis.

Formulaire d'avant-projet et lignes directrices et formulaire d'analyse justificative élaborés.

Rapport du portefeuille de projets de TI conçu pour le PILT aux fins d'utilisation par le SFCA.

Le SFCA est en train de promouvoir l'utilisation des ordres internes pour effectuer le suivi des coûts des projets.

Le SMA, SAMPE, en collaboration avec le Comité de gestion stratégique de la TI, devrait s'assurer que les risques globaux pour l'efficacité de la gouvernance de la TI 2.0 sont officiellement recensés, évalués, soumis à un groupe responsable et atténués.

  • Examiner le document intitulé High Level Risk Assessment (daté de juillet 2007) et mettre à jour les plans de gestion des risques et les stratégies d'atténuation originales, y compris le recours à des cadres ou outils officiels (modèles de stabilisation, COBIT, etc.).
  • Analyser les risques recensés, notamment les évaluations des probabilités et des incidences.
  • Élaborer un plan de gestion des risques axé sur des risques précis.

Marie-Josée Thivierge

  • Plan de gestion des risques — Premier trimestre de 2009-2010
  • Évaluation et contrôle en cours
 

En cours

Date de modification :