ARCHIVÉ - Guide pour la continuité des opérations en regard du problème de l'an 2000
Cette page a été archivée.
Information archivée dans le Web
Information archivée dans le Web à  des fins de consultation, de recherche ou de tenue de documents. Cette dernière n’a aucunement été modifiée ni mise à  jour depuis sa date de mise en archive. Les pages archivées dans le Web ne sont pas assujetties aux normes qui s’appliquent aux sites Web du gouvernement du Canada. Conformément à  la Politique de communication du gouvernement du Canada, vous pouvez demander de recevoir cette information dans tout autre format de rechange à  la page « Contactez-nous ».
Cadre amélioré pour la gestion des projets de technologie de l'information
Cap sur le prochain millénaire au gouvernement : Guide pour la continuité des opérations en regard du problème de l'an 2000
Le 14 octobre 1998
Bureau de dirigeant principal de l'information
Secrétariat du Conseil du Trésor du Canada
Préface
Historique
Le gouvernement fédéral, comme la plupart des organisations des secteurs publics et privés, est confronté au problème occasionné par l'arrivée de l'an 2000(1). En effet, de nombreux systèmes comportant des dates ont été conçus de manière à ne tenir compte que de deux caractères au lieu de quatre pour indiquer l'année. À moins que des changements ne soient apportés à ces systèmes avant l'arrivée du nouveau millénaire, beaucoup d'incompatibilités causées par des dates erronées se produiront.
Le problème de l'an 2000 pourrait avoir des conséquences négatives très profondes, allant même jusqu'à causer l'interruption complète des activités de certaines organisations. Il pourrait avoir des répercussions importantes sur la capacité de ces organisations à fournir leurs produits et services. Au gouvernement fédéral, cette situation pourrait avoir des répercussions hautement indésirables sur les Canadiens, ainsi que sur le pays et son économie. Plus particulièrement, ces problèmes pourraient se traduire par un traitement erroné des données ou un « déni de services gouvernementaux » lorsque les systèmes tomberont en panne.
Par conséquent, le Secrétariat du Conseil du Trésor du Canada a mis sur pied un projet visant à s'attaquer au problème de l'an 2000 à l'échelle du gouvernement. Un bureau de projet a donc été créé pour amorcer le processus d'abord, puis pour faciliter et surveiller la conversion des éléments d'actif en appui aux fonctions essentielles à la mission du gouvernement fédéral. Une évaluation préliminaire de l'incidence du problème de l'an 2000 au gouvernement a révélé que 48 fonctions essentielles pourraient être touchées par ce problème.
Selon la dernière évaluation des progrès(2) réalisés par le gouvernement pour résoudre le problème de l'an 2000, il resterait encore beaucoup de travail à accomplir avant l'an 2000. Vu l'état d'avancement actuel du projet, les ministères doivent considérer la possibilité que des programmes ou des services gouvernementaux seront touchés par les pannes attribuées au problème de l'an 2000. Dans ce contexte, le SCT prend l'initiative en recommandant aux ministères :
- D'évaluer ce qui pourrait mal tourner;
- D'élaborer des plans d'urgence selon les besoins;
- De s'assurer que les ministères disposent d'un cadre approprié pour faire face aux crises occasionnées directement ou indirectement par le problème de l'an 2000; et
- D'élaborer des plans de reprise complète des opérations, suivant leur interruption en raison du problème de l'an 2000.
En particulier, le SCT fournit aux ministères le présent guide consacré à la continuité des opérations, lequel accroîtra la capacité du gouvernement à faire face aux conséquences négatives potentielles du problème de l'an 2000.
Raison d'être du guide?
Ce guide a été créé dans le but :
- d'aider les ministères à gérer les risques liés à leurs projets de l'an 2000 pour qu'ils continuent à fournir sans interruption leurs programmes et leurs services aux Canadiens, et ce malgré les pannes occasionnées par le problème de l'an 2000;
- d'aider les ministères à identifier les problèmes pouvant empêcher la continuité des opérations et à se préparer adéquatement pour affronter les crises découlant du problème de l'an 2000; et
- d'aider le Secrétariat du Conseil du Trésor (SCT) à s'assurer que les ministères sont prêts à faire face aux conséquences négatives potentielles du problème de l'an 2000, et que le gouvernement est conscient des risques et des conséquences possibles si ce problème n'est pas résolu.
Objet du guide
L'objet de ce document est de présenter à tous les ministères un ensemble d'activités uniformes et normalisées visant à assurer la continuité des opérations. Ce guide aidera le gouvernement à mettre en œuvre ces activités et contribuera ainsi à augmenter ses chances de succès pour vaincre le problème de l'an 2000.
Remerciement
Le SCT désire remercier les participants suivants pour leur contribution au présent document :
- Godcharles Goulet Fournier Conseils Inc. pour avoir élaboré ce guide;
- le ministère des Anciens combattants Canada pour avoir initié cette démarche;
- l'Institut de génie logiciel (Software Engineering Institute) pour nous avoir permis d'utiliser leur documentation sur la gestion du risque;
- les ministères suivants pour avoir mis à notre disposition certains de leurs processus existants : Pêches et Océans Canada, Agriculture et Agro-alimentaire Canada, Travaux publics et Services gouvernementaux Canada et Développement des ressources humaines Canada; et
- Magellan Engineering Consultants Inc. pour leur contribution au guide dans les domaines des interveutins d'urgence et de la reprise des opérations.
1.0 Introduction
1.1 Pourquoi mettre l'accent sur la continuité des opérations?
Comme pour tous les projets de cette nature, de cette taille et de cette complexité, le projet de l'an 2000 s'accompagne d'une bonne dose d'incertitudes et d'imprévus attribuables à l'environnement en perpétuelle évolution dans lequel nous vivons, ainsi que d'événements indésirables découlant des activités correctives réalisées par les ministères. La plupart des gens s'accordent pour dire que, dans les circonstances, une gestion du risque continue profiterait aux ministères. En effet, quel ministère ne voudrait pas cerner les problèmes éventuels assez tôt pour avoir le temps de s'y attaquer et ainsi contribuer au succès des initiatives qu'il a entreprises pour contrer le problème de l'an 2000?
Le gouvernement est optimiste quant à sa capacité à résoudre le problème de l'an 2000 avec succès. Mais c'est aux gestionnaires du gouvernement qu'incombe la responsabilité morale, sociale, opérationnelle et légale d'envisager la possibilité de ne pouvoir mener à terme leurs activités de conversion. Les gestionnaires concernés par le problème de l'an 2000 devraient accorder une importance primordiale à la continuité des activités opérationnelles. La planification de mesures d'urgence placera ces gestionnaires dans une situation qui leur permettra de traverser de façon proactive et positive une crise éventuelle provoquée par une interruption des activités relativement au problème de l'an 2000. Un cadre préétabli de contrôle et de communication efficaces, appliqué au moyen de scénarios réalistes, fournira également aux gestionnaires des outils inestimables pour traverser ces crises éventuelles.
C'est pourquoi il est crucial que la continuité des opérations soit une priorité pour tous les ministères.
1.2 Concepts et définitions de la continuité des opérations
Afin de bien situer le processus de la continuité des opérations proposé par ce guide par rapport à d'autres processus similaires appliqués à l'échelle gouvernementale ou nationale, et en comparaison aux activités de conversion qui sont effectuées dans les ministères, nous aimerions communiquer aux lecteurs les concepts fondamentaux de notre processus appuyés de quelques définitions élémentaires. Sur le plan conceptuel, le processus de continuité des opérations du SCT peut être illustré par le schéma de la figure 1 ci-après.
PF = Priorité des fonctions CÉA = Correspondance des éléments
Figure 1 – Schéma du processus de continuité des opérations
Le processus de continuité des opérations commence avec la création d'une structure de gouvernance qui donnera une orientation au processus et qui s'assurera que les décisions sont prises en temps utile. La structure de gouvernance s'étend depuis le niveau du contrôle et de la planification, auquel les ressources sont mobilisées et affectées aux activités de conversion, jusqu'à l'autorité ministérielle (au niveau des ministères), auquel des décisions d'une grande importance sont prises concernant la continuité des opérations. Les deux aspects de l'organisation, soit technique et fonctionnel, sont représentés et leurs propres objectifs s'ajoutent au processus. L'équipe technique vise la conformité à l'an 2000 avant cette échéance, alors que le personnel fonctionnel a pour but d'assurer la continuité des opérations. Ce guide concerne plutôt à l'aspect fonctionnel de l'organisation, mais reconnaît que la réalisation des objectifs du personnel fonctionnel dépend fortement de la capacité du personnel technique d'atteindre les siens. Le côté technique de l'organisation joue donc un rôle important dans l'exécution et le succès du processus de continuité des opérations
Le processus de continuité des opérations couvre les trois étapes identifiées dans le contexte du présent guide.
- Prévention : Au cours de cette étape, les organisations identifient les risques qui peuvent avoir des répercussions sur la continuité de leurs opérations, évaluent les propriétés importantes des risques et déterminent quelle intervention adopter afin de réduire leur vulnérabilité à l'interruption de leurs opérations.
- Préparation : L'étape de la préparation vise à établir des plans pour s'attaquer aux risques et à surveiller les progrès des travaux de conversion et du plan de continuité des opérations; et
- Intervention : Cette étape commence lorsqu'une crise se produit et s'étend jusqu'au rétablissement des opérations de l'organisation.
Le processus de continuité des opérations se divise ensuite en quatre volets, notamment :
- Gestion du risque : La gestion du risque est un processus continu qui comporte des méthodes et des outils pour identifier, analyser, planifier, suivre et contrôler des événements
indésirables possibles qui pourraient avoir des répercussions négatives sur les objectifs de l'organisation. Il est important de noter que bien que l'objectif du processus de continuité soit de prévenir
ou de réduire les interruptions de services relatives au problème de l'an 2000, il faut également se pencher sur les risques techniques parce que, souvent, ils constituent la cause fondamentale de ces
interruptions. La gestion du risque fournit un contexte structuré favorisant une prise de décisions proactive afin :
- d'évaluer de façon continue ce qui pourrait tourner mal;
- de déterminer à quels risques il est important de s'attaquer; et
- de mettre en œuvre des stratégies visant à atténuer ces risques.
- Planification de mesures d'urgences : La planification de mesures d'urgence représente le volet du processus de continuité des opérations au cours duquel un ministère tente d'établir avec précision les types de crises qui sont les plus susceptibles de se produire et se prépare à y faire face. Le processus de planification de mesures d'urgence concerne généralement les risques jugés inacceptables ou nécessitant des mesures de réduction importantes. Il a pour objectif d'identifier et d'aborder autant d'incertitudes et de risques que possible pour que les ministères soient en mesure de garder un contrôle sur leurs activités lorsque survient une crise. Le processus englobe entre autres des scénarios de prévention de crises, des plans d'urgence, des plans d'intervention et des plans de reprise des opérations;
- Intervention d'urgence : L'intervention d'urgence est un ensemble d'activités qui permet d'atténuer les effets d'une situation de crise. Ces activités comprennent la notification, l'évaluation, la planification, l'action et la terminaison. En général, l'intervention d'urgence nécessitera l'application de plans d'urgence afin de stabiliser ou d'atténuer une situation de crise et empêcher qu'elle ne s'aggrave. Elle requiert la participation tant de l'autorité ministérielle que de l'autorité directe ainsi que celle du personnel à l'échelon du contrôle et de la planification (Équipe d'intervention d'urgence) qui est habituellement responsable des actions visant à stabiliser la crise;
- Reprise des opérations : Généralement, ce volet caractérise les actions amorcées suite à la stabilisation d'une situation de crise. La reprise des opérations demande la participation de l'Équipe de gestion des situations d'urgence, mais les efforts sont axés sur la reprise des opérations et le rétablissement des activités courantes plutôt que sur la crise elle-même.
Ces quatre volets forment un ensemble d'étapes communes qui amènent les organisations à se rendre compte que des pannes causées par le problème de l'an 2000 sont possibles, jusqu' à la reprise des activités après une situation de crise. Le processus intégré du SCT s'inspire de la méthode de gestion du risque continue élaborée par l'Institut de génie logiciel. Par conséquent, bien qu'il semble différent d'un processus de continuité des opérations standard à l'échelon inférieur (au niveau de l'étape), il répond aux exigences du gouvernement, se fonde sur des connaissances solides et cadre parfaitement avec des processus similaires implantés à l'échelle nationale. Ces étapes sont les suivantes :
- Établir une gouvernance;
- Identifier;
- Analyser;
- Planifier;
- Suivre; et
- Contrôler.
1.3 Processus du SCT en six étapes pour la continuité des opérations
Le SCT préconise un processus en six étapes pour assurer la continuité des opérations. Ce processus s'inspire des travaux effectués par l'Institut de génie logiciel sur la gestion du risque continue et incorpore la planification de mesures d'urgence, l'intervention en cas de crise et la reprise des opérations. La figure 2 ci-dessous illustre les composantes fondamentales de ce processus.
- Identify = identifier
- Analyze = analyser
- Plan = planifier
- Track = suivre
- Control = contrôler
- Communicate = communiquer
Figure 2 – Processus intégré pour assurer la continuité des opérations
Description des étapes pour assurer la continuité des opérations :
- Établir une gouvernance. La première étape de l'implantation d'un processus visant la continuité des opérations consiste à mettre sur pied une structure de gouvernance qui dirigera ce processus, notamment en identifiant et en mobilisant les ressources des ministères, en obtenant l'engagement des membres de la structure de gouvernance et en les invitant à participer activement au processus. Cette structure ne devrait pas être distincte de la structure de gouvernance des projets de l'an 2000 qui existe dans les ministères, mais plutôt y être intégrée;
- Identifier. Les ministères doivent identifier les risques associés au problème de l'an 2000 qui pourraient avoir des répercussions sur leurs capacités à assurer la continuité des opérations. Ils doivent également déterminer les risques qui échappent à leur contrôle et qui doivent être référés au SCT (questions ayant un impact sur l'ensemble du gouvernement, p. ex., l'infrastructure publique) ou partagés avec leurs partenaires et leurs fournisseurs;
- Analyser. Les ministères doivent convertir les renseignements sur le risque, recueillis au cours de l'étape « Identifier », en des données favorisant la prise de décisions. En plus de déterminer les propriétés du risque, telles que la probabilité, les répercussions, la source et l'intervention, ils doivent associer ces données aux éléments d'actif et aux fonctions de gestion. Cette analyse permettra aux ministères de comprendre clairement les répercussions possibles du risque sur la continuité des opérations et de prendre les mesures appropriées pour faire face au risque;
- Planifier. Une fois que les risques ont été identifiés et analysés, les ministères peuvent ensuite affecter des ressources à la gestion des risques identifiés ou à l'élaboration de plans d'urgence pour les fonctions de gestion touchées de façon importante par les risques. Ils devraient aussi préparer des plans pour intervenir en cas de crise et pour assurer la reprise des opérations à la suite d'une crise.
- Suivre. Afin d'assurer le suivi continu des risques, notamment le risque d'interruption des opérations, les ministères doivent mettre en œuvre les stratégies élaborées à l'étape précédente et surveiller les écarts qui peuvent se créer par rapport à ces plans. Ils doivent également continuer de suivre l'évolution des activités de conversion pour détecter les nouveaux risques possibles.
- Contrôler. Lorsque un ou plusieurs risques se concrétisent ou que survient une panne due au problème de l'an 2000, les ministères doivent en limiter les répercussions négatives et acheminer toute demande de décision au niveau approprié de la structure de gouvernance. Si les répercussions négatives ne peuvent être enrayées, il faut alors appliquer des plans et des procédures d'urgence à la fonction de gestion qui est touchée. Dans certains cas, une intervention structurée devra être effectuée et des mesures de contrôle implantées. L'étape du contrôle concerne également les activités de reprise des opérations.
Un élément implicite mais extrêmement important sous-tend toute la méthode : la communication de l'information concernant la possibilité de ne pas terminer les activités de conversion et les solutions pour résoudre les problèmes. Pour assurer le succès du processus visant la continuité des opérations, il est essentiel que l'information sur les risques, les plans d'urgence, les plans d'intervention en cas de crise et les plans de reprise des opérations soit communiquée ouvertement et franchement dans les ministères, ainsi qu'entre ceux-ci, leurs partenaires et le SCT.
1.4 Possibilités et obstacles
S'atteler à la tâche, à l'aide de ce guide, sera probablement l'un des plus grands défis qu'auront à relever les organisations qui ne connaissent pas de processus pour assurer la continuité des opérations. Les ministères font parfois preuve d'une certaine inertie face aux nouvelles méthodes. À cela s'ajoutent d'autres obstacles potentiels. Le tableau suivant récapitule certains de ces obstacles et offre des solutions de haut niveau permettant de les aborder.
| Obstacles | Solutions |
|---|---|
| Engagement insuffisant de la part de la haute direction |
|
| Financement insuffisant |
|
| Obstacles organisationnels |
|
| Manque de connaissances |
|
1.5 Mode d'emploi du guide
Le présent guide est organisé et présenté de façon à faciliter le repérage des exigences du SCT en matière de processus visant la continuité des opérations et à optimiser l'efficacité des personnes qui essaient de satisfaire à ces exigences. Le document, qui met en relief le processus pour la continuité des opérations, comporte huit chapitres, soit l'introduction, six chapitres présentant chacune des étapes et la conclusion. Les procédures nécessaires pour une implantation efficace de ces éléments se trouvent dans les annexes qui se trouvent dans une reliure séparée.
Des références au Continuous Risk Management Guidebook de l'Institut de génie logiciel (IGL) parsèment ce guide, d'une part, parce que le SCT approuve entièrement la méthode de Gestion du risque continue de l'Institut et, d'autre part, parce que nous voulions limiter la taille du guide. Les ministères qui désirent un exemplaire du CRM Guidebook de l'IGL sont priés de communiquer avec David Holmes, au 957-2530. Le logo illustré ci-dessous est placé devant les éléments - activités ou méthodes - provenant ou s'inspirant de ce document.
2.0 Établir une structure de gouvernance
Les ministères doivent s'assurer que le processus de continuité des opérations soit soutenu par une structure de gouvernance solide qui peut donner des orientations et prendre des décisions pour faire suite à des demandes qui émergent du processus. Non seulement une structure de gouvernance inadéquate fera-t-elle obstacle au succès des efforts consacrés à la continuité des opérations, mais elle aura aussi des répercussions sur leur efficacité.
2.1 Composition de la structure de gouvernance
La première étape de l'implantation d'un processus visant la continuité des opérations consiste à mettre sur pied la structure de gouvernance appropriée qui dirigera ce processus, notamment en identifiant et en mobilisant les ressources des ministères, en obtenant l'engagement des membres de la structure de gouvernance et en les invitant à participer activement au processus. Cette structure ne devrait pas être distincte de la structure de gouvernance des projets de l'an 2000 qui existe dans les ministères, mais plutôt y être intégrée. Néanmoins, les éléments suivants qui caractérisent généralement une structure de gouvernance solide devraient être abordés à l'étape de l'établissement de cette structure :
- En règle générale, la structure de gouvernance devrait amener les organisations fonctionnelles (côté opérations) et les organisations techniques (côté conformité) à converger;
- La structure de gouvernance devrait comprendre trois niveaux de gestion :
- l'autorité ministérielle, qui correspond au niveau du sous-ministre adjoint. Généralement, le sous-ministre, qui se situe au point de convergence, est responsable en définitive du rendement des deux côtés de la gouvernance;
- l'autorité directe, qui correspond normalement au niveau du directeur général, du directeur et du gestionnaire de projet; et
- la planification et le contrôle, qui correspondent aux personnes responsables des fonctions de gestion et aux chefs de projet de l'an 2000 en ce qui concerne les activités courantes de conversion et de suivi du projet;
- À cette structure se greffent les responsabilités et les rôles qui devraient être clairement définis du point de vue de la continuité des opérations, notamment la responsabilité de décider des mesures que le ministère doit prendre par rapport aux risques; et
- La responsabilité de la poursuite des activités devrait incomber au personnel chargé de la fonction, alors que celle de la conversion des éléments d'actif devrait revenir au personnel technique de l'organisation. Les comités ne devraient servir qu'à conseiller et à établir, si possible, un consensus.
La figure 3 illustre la structure de gouvernance. Les autres sections présentent des renseignements supplémentaires concernant les activités à réaliser pour établir une structure de gouvernance.
Figure 3 – Structure de gouvernance pour assurer la continuité des opérations
2.2 Établir une structure de gouvernance
Processus
Cette première étape vise à déterminer les intervenants majeurs du processus de continuité des opérations. Comme dans la structure de gouvernance illustrée à la figure 3, les ministères devraient désigner des représentants clés tant du côté fonctionnel que du côté technique de l'organisation.
Résultats attendus
Au terme de cette activité, une structure de gouvernance formée d'intervenants clés identifiés à tous les échelons de l'organisation aura été créée.
2.3 Élaborer un plan de continuité des opérations
Processus
Cette activité consiste à fournir des renseignements précis sur l'approche des ministères concernant l'implantation de ce guide. Elle devrait servir à répondre aux questions fondamentales : quoi, où, quand et comment.
Nota : À ce jour, on a uniquement demandé aux ministères de mettre au point leurs plans de gestion du risque. Ces plans devront être améliorés et inclure les éléments nouveaux de ce guide.
Résultats attendus
Ce processus permettra de concevoir un plan de continuité des opérations qui comprendra des renseignements précis sur l'approche des ministères concernant l'implantation de ce guide. Un exemple de table des matières est présenté à l'annexe A.
2.4 Obtenir un engagement
Processus
Des problèmes liés à la continuité des opérations surgiront bien avant l'an 2000 et les membres de la structure de gouvernance devront s'engager à les résoudre. L'objet de cette activité consiste à obtenir de ces intervenants qu'ils s'engagent à soutenir le processus défini dans le plan et qu'ils s'adaptent aux besoins du ministère en ce qui regarde la prise rapide de décisions, un cadre et des orientations stratégiques ainsi qu'une stratégie de surveillance.
Résultats attendus
Cette activité consiste à produire une nouvelle charte de projet qui identifie clairement les membres de la gouvernance et précise leurs rôles et leurs responsabilités concernant le processus de continuité des opérations. L'un des points les plus importants de la nouvelle charte réside dans la responsabilité du membre de la structure de gouvernance quant aux mesures que prendra son organisation pour faire face à certains risques. Par exemple, la décision finale d'élaborer et d'exécuter des plans d'urgence devrait revenir aux membres de la structure de gouvernance du côté fonctionnel de l'organisation.
La charte devrait englober les grandes lignes du plan de continuité des opérations, notamment les engagements en matière de ressources (humaines et financières) pris à l'égard du processus. Un exemple de charte de projet est présenté à l'annexe B.
2.5 Impliquer la structure de gouvernance
Processus
L'objet de cette activité consiste à mettre au point des moyens pour assurer la participation continue des membres de la gouvernance.
Résultats attendus
Les résultats attendus dans le cadre de cette activité sont les suivants :
- des réunions mensuelles du Comité directeur;
- les procès-verbaux de ces réunions, incluant la liste des personnes présentes;
- des listes de risques révisés;
- des rapports de situation; et
- des plans révisés.
2.6 Techniques et outils
Le tableau 2 résume les techniques et les outils employés pour cette étape. On trouvera des précisions à ce sujet dans les annexes ou dans les documents cités.
| activité | techniques et outils |
|---|---|
| Établir une structure de gouvernance | Pas d'outil particulier |
| Élaborer un plan de continuité des opérations | Exemple de plan de continuité des opérations (Annexe A) |
| Obtenir un engagement | Exemple de charte de projet (Annexe B) |
| Obtenir la participation de la structure de gouvernance |
|
3.0 Identifier
Pour être en mesure d'entreprendre le processus de continuité des opérations et de le faire progresser en y ajoutant des renseignements essentiels, les ministères doivent identifier les risques qui peuvent avoir une incidence sur la réalisation des objectifs techniques (conformité) et fonctionnels (continuité des opérations). Des risques non clairement identifiés peuvent conduire à la mise en application d'un processus non défini et empêcher les ministères d'intervenir adéquatement en cas de crise.
3.1 Processus
Note : L'activité d'identification des risques est inspirée de l'étape « Identifier » de l'IGL [CRM Guidebook, chapitre 4, page 27].
L'objet de l'étape d'identification des risques, en plus de contribuer à assurer la continuité des opérations, consiste à repérer les risques qui peuvent avoir une incidence sur la capacité d'un ministère à convertir ses éléments d'actif vulnérables au problème de l'an 2000, avant qu'ils ne deviennent des problèmes. L'identification des risques est notamment effectuée au moyen d'un questionnaire taxinomique et de l'information détaillée qu'on trouve dans les fiches de renseignements sur le risque. Par la suite, ces renseignements seront intégrés à l'étape de l'analyse du risque au cours de laquelle les propriétés du risque seront déterminées et documentées.
3.2 Circulation des données
Figure 4 – Circulation des données – Étape Identifier
Les données suivantes sont nécessaires.
Données
| Entrée de données | Description |
|---|---|
| Taxinomie de l'an 2000 | La taxinomie de l'an 2000 est l'outil principal d'identification des risques. Elle consiste en une série de questions qui mettent en relief les points importants d'un projet de l'an 2000. |
| Fonctions en ordre de priorité | Une décomposition fonctionnelle est d'abord effectuée pour aider à identifier les risques en permettant aux participants de les associer à des fonctions de gestion (à moins que le risque ne soit de niveau élevé, ayant ainsi une incidence sur tous les aspects du projet). Une liste de fonctions en ordre de priorité aidera à analyser et à coter les risques ou à considérer des activités liées à la continuité des opérations. |
| Correspondance des actifs | La correspondance des actifs consiste essentiellement en une liste d'éléments d'actif (vulnérables ou non) qui soutiennent une fonction de gestion. L'établissement de cette liste contribue à l'identification des risques en permettant aux participants de les associer à des éléments d'actifs précis (à moins que le risque ne soit élevé, ayant ainsi une incidence sur tous les aspects du projet) |
Résultats attendus
Les documents produits au terme de cette étape sont les suivants :
- Une série de fiches de renseignements sur le risque pouvant être utilisées pour documenter chaque risque;
- Un document comprenant une liste de fonctions en ordre de priorité et une table de correspondance des éléments d'actif; et
- Des outils existants pour assurer la continuité des opérations, comme des plans d'urgence, des plans d'intervention d'urgence et des plans de reprise des opérations.
3.3 Techniques et outils
Le tableau 4 résume les techniques et outils employés au cours de cette étape. On trouvera des précisions à ce sujet dans les annexes ou dans les documents cités.
| Activité | Techniques et outils |
|---|---|
| Mettre les fonctions en ordre de priorité | |
| Établir la correspondance des éléments d'actifs | |
| Identifier | |
| Identifier les outils ou documents existants consacrés à la continuité des opérations |
|
3.4 Lignes directrices et conseils
Voici des lignes directrices et des conseils qui peuvent faciliter la réalisation de cette étape.
- Faire participer tous les intervenants à l'étape d'identification des risques;
- S'assurer de la participation de la structure de gouvernance tôt dans le processus, car la plupart des organisations n'ont pas encore assimilé les principes d'établissement des priorités des fonctions, et des décisions devront être prises sans tarder;
- Énoncer les risques dans des termes neutres, en tenant compte du fait que les risques en question peuvent entraîner des répercussions négatives sur le projet de l'an 2000 et/ou sur les objectifs du ministère pour assurer la continuité des opérations;
- Identifier les risques périodiquement, soit à la fin de chaque étape, phase ou activité importante;
- Identifier des responsables pour les fonctions et les éléments d'actif. Les responsables de fonctions sont généralement chargés d'assurer la continuité de leurs fonctions respectives. Les responsables d'éléments d'actif sont souvent ceux et celles qui seront chargés de superviser ou d'effectuer la conversion de ces éléments d'actif;
- Demander aux responsables des fonctions d'évaluer leurs fonctions respectives au moyen des critères de criticité du SCT et de préparer une première liste. Soumettre les résultats à un groupe ou utiliser une technique d'évaluation par paires pour confirmer l'ordre définitif;
- S'assurer que l'énoncé de risque et les renseignements explicatifs sont rédigés de façon claire et objective;
- Se servir des modèles de gestion existants du ministère comme point de départ pour créer un modèle de gestion adapté à ce processus;
- Se concentrer sur la mission de l'an 2000 : l'important n'est pas d'avoir un modèle de gestion parfait, mais une liste de fonctions de gestion qui peuvent être associées à des éléments d'actif et confiées à un responsable;
- Accorder plus d'importance à couvrir toutes les fonctions de gestion plutôt qu'aux détails (profondeur de la décomposition);
- Laisser les responsables des fonctions de gestion effectuer une première correspondance des éléments d'actif; utiliser des groupes, notamment du personnel technique, pour faire valider ces correspondances;
- Mettre d'abord l'accent sur l'identification du plus grand nombre d'éléments d'actif possible; vous pourrez ensuite vous pencher davantage sur les détails au fur et à mesure que les conversions avancent; et
- Demander la participation de personnel du contentieux pour déterminer la responsabilité juridique des ministères.
4.0 Analyser
Afin de prendre des décisions réfléchies concernant les mesures possibles à entreprendre pour assurer la continuité des opérations, le personnel de la structure de gouvernance doit bien comprendre que le ministère est exposé à des risques et à l'interruption de ses opérations. Des propriétés du risque bien définies permettent de mieux saisir cet aspect de la situation. Elles peuvent être obtenues en analysant les risques identifiés à l'étape précédente. Le fait de ne pas comprendre les conséquences négatives des risques engendrés par le problème de l'an 2000 peut empêcher les ministères de faire face aux crises possibles de façon proactive et de réduire l'incidence de ces crises sur leurs programmes et leurs services.
4.1 Processus
Note : L'activité d'analyse des risques est inspirée de l'étape « Analyser » de l'IGL [CRM Guidebook, chapitre 5, page 37].
Les ministères doivent convertir les renseignements sur le risque, recueillis au cours de l'étape « Identifier », en des données favorisant la prise de décisions. En plus de déterminer les propriétés du risque, tels que la probabilité, les répercussions, le délai, la source, l'intervention et le degré de priorité, les ministères doivent associer ces données aux éléments d'actifs et aux fonctions.
- Répercussions : Les répercussions sur les activités du projet de l'an 2000 et la continuité des opérations dans l'éventualité où le risque se concrétise;
- Délai : La période au cours de laquelle le risque pourrait se concrétiser;
- Source : La source du risque;
- Intervention : L'intervention du ministère à l'égard du risque;
- Priorité : L'ordre de priorité accordé au risque au sein du ministère
Cette analyse permettra aux ministères de comprendre clairement les répercussions possibles du risque sur la continuité des opérations et de prendre les mesures appropriées pour faire face au risque.
Ces données peuvent être recueillies au moyen d'atelier réunissant des membres du personnel fonctionnel et technique ou d'autres moyens décrits dans le présent document. L'étape de l'analyse du risque sera renforcée par la définition des besoins en matière de continuité des opérations et l'évaluation de la capacité des ministères dans ce domaine.
4.2 Circulation des données
Figure 5 – Circulation des données – Étape « Analyser »
Les données suivantes sont nécessaires :
Données
| Entrée de données | Description |
|---|---|
| Fiche(s) de renseignements sur le risque | Fiches de renseignements sur le risque comme à l'étape « Identifier », incluant les énoncés du risque et le contexte. |
| Document de priorités des fonctions et de correspondances des éléments d'actif | Comprend une liste de fonctions de gestion en ordre de priorité, établie en fonction de critères de criticité, et une correspondance entre les fonctions essentielles et les éléments d'actif. |
| Outils existants pour la continuité des opérations | Liste d'outils et de documents créés dans le passé pour assurer la continuité des opérations. Par exemple, des plans de reprise des activités et des plans antisinistres qui devraient être utilisés dans le cadre de l'étape d'analyse. |
Résultats attendus
Les documents produits au terme de cette étape sont les suivants :
- Fiches de renseignements sur le risque, incluant les propriétés du risque (probabilité, répercussions, délai, source, intervention, degré de priorité et stratégie de gestion du risque);
- Rapport d'évaluation du risque; et
- Énoncé des besoins pour la continuité des opérations et évaluation de la capacité d'application. Cette évaluation devrait être un énoncé écrit des besoins pour conduire les activités menant à la continuité des opérations déterminés en fonction des résultats de l'analyse du risque. Il devrait également comprendre une évaluation de la capacité des ministères à réagir aux interruptions d'activités.
4.3 Techniques et outils
Le tableau 6 résume les techniques et les outils employés pour cette étape. On trouvera des précisions à ce sujet dans les annexes ou dans les documents cités.
| Activité | Techniques et outils |
|---|---|
| Analyser |
|
| Évaluation du risque |
|
| Énoncé des besoins en matière de continuité des opérations et évaluation de la capacité d'application |
|
4.4 Lignes directrices et conseils
Voici des lignes directrices et des conseils qui peuvent faciliter la réalisation de cette étape.
- Combiner les étapes d'identification et d'analyse des risques pour optimiser le temps des participants aux activités;
- Faire une analyse quanitative d'abord et supporter les gros éléments de risque avec des analyses plus quantitatives;
- Se concentrer sur les risques majeurs;
- Exécuter l'analyse du risque par la tenue d'un atelier réunissant les participants clés du projet de l'an 2000 afin de communiquer une vision à l'échelle du ministère, particulièrement en ce qui concerne l'aspect « Intervention »;
- Reconnaître les risques qui se sont matérialisés et qui sont maintenant devenus des problèmes. Ceci entraînera suffisamment de visibilité pour faire en sorte que ces problèmes soient abordés; et
- Rassembler tout document pouvant contenir des mesures visant la reprise des opérations, comme des procédures normalisées, des manuels d'exploitation, des consignes d'entretien, etc.;
5.0 Planifier
Afin d'établir une norme à laquelle peuvent être mesurés les progrès réalisés par les ministères en matière de continuité des opérations, des plans doivent être développés et mis en œuvre. Omettre d'élaborer ces plans peut avoir des répercussions importantes sur le degré de préparation des ministères pour affronter des situations d'urgence.
5.1 Processus
Note : L'activité de planification est inspirée de l'étape « Planifier » de l'IGL [CRM Guidebook, chapitre 6, page 53].
Les trois premières étapes terminées, les ministères peuvent ensuite élaborer des plans pour s'attaquer aux risques et assurer le maintien des opérations. Deux plans doivent être élaborés :
- Plan d'action contre le risque. Ce plan portera sur les risques connus et contiendra des stratégies précises pour aborder les risques; et
- Plan de préparation pour la continuité des opérations. Ce plan couvre tous les éléments nécessaires pour intervenir et se remettre en cas de crise. Il comporte des plans de conformité et de mesures d'urgence, lesquels ont été conçus pour s'attaquer à des situations ou à des risques particuliers; des scénarios d'urgence pour faire des liens entre les situations de risque possibles; des plans d'intervention d'urgence et des plans de reprise des activités.
Ces plans devraient être développés par les membres de la structure de gouvernance affectés aux diverses parties du processus de continuité des opérations (c'est-à-dire le plan d'action, la planification de mesures d'urgence, la gestion de crises et la reprise des activités).
Le processus à adopter consiste à fournir les renseignements identifiés dans le gabarit correspondant, et plus particulièrement à mobiliser les ressources pour mettre ces plans en application.
L'objet de cette démarche est de déterminer quelles mesures devraient être prises, le cas échéant, pour atténuer le risque identifié. La planification de mesures de réduction du risque répond aux questions suivantes :
| Question | Explication |
|---|---|
|
La responsabilité doit être déterminée pour chaque élément de risque. |
|
Une approche ou une stratégie doivent être élaborées pour s'attaquer à l'élément de risque identifié. |
|
Il faut décider des mesures à prendre et prévoir leur portée. |
Les plans d'action qui résultent de cette démarche devront ensuite être mis en œuvre en fonction des responsabilités attribuées.
L'objet du plan de préparation pour la continuité des opérations est d'aborder tous les éléments nécessaires pour intervenir et rétablir les opérations quand survient une crise. Essentiellement, ce plan répond également à des questions fondamentales comme celles énoncées dans le tableau suivant :
| Question | Explication |
|---|---|
|
Les ministères doivent concevoir des plans de conformité de même que des plans d'intervention d'urgence dans tous les secteurs qui sont vulnérables. |
|
Les ministères doivent tenter de prévoir des scénarios de crise possibles afin de mettre au point des mesures d'intervention efficaces pour y faire face. |
|
Les ministères doivent déterminer ce qui doit être fait pour reprendre le cours normal des opérations après avoir affronté une situation de crise ou appliqué un plan d'urgence. |
Ces deux plans font l'objet d'exemples.
5.2 Circulation des données
Figure 6 – Circulation des données – étape « Planifier »
Les données suivantes sont nécessaires :
Données
| Entrée de données | Description |
|---|---|
| Fiche(s) de renseignements sur le risque | Renseignements sur le risque obtenus au cours de l'étape « Analyser ». |
| Rapport d'évaluation du risque | Contient des renseignements sur le risque ainsi que d'autres données comme les observations et les problèmes. |
| Énoncé des besoins pour la continuité des opérations et évaluation de la capacité d'application | Renseignements obtenus au cours de l'étape « Analyser » qui fait état des besoins en matière de planification des mesures d'urgence. |
Résultats attendus
Les documents produits au terme de cette étape sont les suivants :
- Fiches de renseignements sur le risque à jour, incluant des données relatives au plan d'action pour réduire le risque; et
- Plan de préparation pour la continuité des opérations, contenant des scénarios en cas de crise, des plans d'urgence, un plan d'intervention et un plan de reprise des opérations.
5.3 Techniques et outils
Le tableau 10 résume les techniques et outils employés pour cette étape. On trouvera des précisions à ce sujet dans les annexes ou dans les documents cités.
| Activité | Techniques et outils |
|---|---|
| Planifier | |
| Élaborer un plan de préparation pour la continuité des opérations |
|
5.4 Lignes directrices et conseils
Voici des lignes directrices et des conseils qui peuvent faciliter la réalisation de cette étape.
- Planifier en fonction des risques importants d'abord (ceux qui sont susceptibles de se produire dans un avenir rapproché et d'entraîner des répercussions importantes);
- Planifier efficacement (garder en tête la rentabilité des plans proposés);
- Faire en sorte que les plans d'action s'attaquent à la source du risque;
- Veiller à ce que les intervenants majeurs soient présents et participent à la démarche de planification;
- Appliquer les plans d'action en temps opportun pour contrôler les risques de manière efficace;
- Informer les membres de la structure de gouvernance de la stratégie de réduction du risque et des plans d'action (conformément aux fiches actualisées de renseignements sur le risque); et
S'assurer que les efforts consacrés à l'élaboration de plans d'urgence soient proportionnels au degré d'exposition de chacune des fonctions (c.-à-d. plus le degré d'exposition est élevé, plus l'effort consacré à la planification d'urgence sera important).
6.0 Suivre
Les ministères doivent accroître leur capacité d'évaluer le risque de façon continue et rédiger des rapports sur les progrès des plans de continuité des opérations et des activités de conversion. Des rapports de situation produits dans le cadre de cette étape, feront avancer le processus pour la continuité des opérations et contribueront à déclencher les mesures de gestion appropriées, comme l'application de plans d'urgence, la déclaration d'une situation de crise ou la reprise d'une fonction de gestion. Un suivi inadéquat peut mener à des mesures dépourvues d'efficacité ou à une grande confusion, causant éventuellement des interruptions dans les opérations.
6.1 Processus
Note : L'activité de suivi est
inspirée de l'étape
« Suivre » de l'IGL [CRM Guidebook,
chapitre 7,
page 73].
L'étape du suivi consiste à rassembler des renseignements sur les progrès des activités de conversion et des plans d'action et à intégrer les problèmes et les risques détectés au processus pour la continuité des opérations. D'autres indicateurs qui pourraient mener à l'application d'interventions d'urgence devraient aussi faire l'objet d'un suivi. Cette activité offre aux ministères un contexte organisé leur permettant :
- d'évaluer de façon continue les aspects qui pourraient mal tourner;
- de déterminer à quels risques il est important de s'attaquer, et quels risques pourraient avoir des conséquences négatives sur la continuité de leurs opérations; et
- de mettre en œuvre des stratégies visant à atténuer ces risques.
Cette étape est généralement fondée sur des mécanismes de communication existants tels que des rapports d'avancement de projets, de gestion du risque continue, de vérification et de validation et d'assurance de la qualité. L'objectif de l'étape du suivi comporte deux volets :
- Premièrement, les ministères doivent s'assurer que les plans élaborés à l'étape précédente sont mis en œuvre conformément aux objectifs définis; et
- Deuxièmement, les ministères doivent suivre de près les problèmes et les risques pour déclencher les plans d'action de la gestion, ainsi que tout autre indicateur pouvant mener à l'application d'interventions d'urgence.
6.2 Circulation des données
Figure 7 – Circulation de données – Étape « Suivre »
Les données suivantes sont nécessaires.
Données
| Entrée de données | Description |
|---|---|
| Fiche(s) de renseignements sur le risque | Renseignements obtenus au cours de l'étape « Planifier », incluant les plans d'action. |
| Plan de préparation pour la continuité des opérations | Renseignements obtenus au cours de l'étape « Planifier », incluant les procédés à mettre en œuvre. |
Résultats attendus
Les documents produits au terme de cette étape sont les suivants :
- Fiche(s) de renseignements sur le risque révisée, incluant l'état du risque;
- Rapports de situation (verbaux et/ou écrits); et
- Plans actualisés.
6.3 Techniques et outils
Le tableau 12 résume les techniques et outils employés pour cette activité. On trouvera des précisions à ce sujet dans les annexes ou dans les documents cités.
| Activité | Techniques et outils |
|---|---|
| Suivre |
|
6.4 Lignes directrices et conseils
Voici des lignes directrices et des conseils qui peuvent faciliter la réalisation de cette étape.
- Établir une méthode efficace de collecte de données en utilisant comme tremplin les activités courantes de collecte de données dans les divers projets de l'an 2000;
- S'assurer que la mise en œuvre des plans d'action et la fermeture des risques sont identifiés et documentés adéquatement;
- S'assurer que des rapports de situation sont produits dans les délais et fournir des renseignements sur les risques;
- Utiliser des outils automatisés pour trouver des documents existants (plans, rapports de situation, FRR, etc.) et des jalons clés.
7.0 Contrôler
En réponse aux écarts qui peuvent survenir par rapport aux plans ou aux situations de risque, les ministères doivent entreprendre des mesures qui redresseront la situation en bout de ligne et permettront la reprise normale des opérations. L'étape du contrôle comporte tous les aspects du processus nécessaires pour atteindre cet objectif, notamment : des plans d'urgence, d'intervention en situation de crise et de reprise des opérations. L'étape du contrôle prévoit une méthode ordonnée et structurée pour rétablir la situation après une crise. Les ministères non préparés sont susceptibles de voir une situation de crise se prolonger et d'être confrontés à l'interruption complète de certaines fonctions.
7.1 Processus
Note : L'activité de contrôle est inspirée de l'étape « Contrôle » de l'IGL [CRM Guidebook, chapitre 8, page 91].
L'étape du contrôle est liée de près au processus de prise de décision de la structure de gouvernance et consiste principalement à amorcer des plans d'intervention préparés au préalable, à des situations prévisibles, ainsi qu'à appliquer un cadre décisionnel organisé à des événements imprévus. L'objectif visé par l'étape du contrôle du risque est de prendre des décisions éclairées, rapides et efficaces concernant les crises, les pannes et les risques relatifs au problème de l'an 2000.
7.2 Circulation de données
Figure 8 – Circulation de données – Étape « Contrôler »
Les données suivantes sont nécessaires :
Données
| Entrée de données | Description |
|---|---|
| Rapports de situation | Comprend l'état d'avancement de la mise en œuvre des plans pour la continuité des opérations ainsi que l'état du risque. |
| Fiche(s) de renseignements sur le risque | Renseignements obtenus au cours des étapes précédentes; les fiches comprennent l'état du risque. |
| Plans actualisés | Version actualisée des plans définis à l'étape « Planifier ». |
Résultats attendus
Les documents produits au terme de cette étape sont les suivants :
- Comptes rendus de décisions comme les suivantes : nouvelle planification, fermeture, recours aux mesures d'urgences ou poursuite du suivi;
- Leçons apprises; et
- Fiche(s) de renseignements sur le risque, incluant des décisions prises à l'égard du risque.
7.3 Techniques et outils
Le tableau 14 résume les techniques et outils employés pour cette étape. On trouvera des précisions à ce sujet dans les annexes ou dans les documents cités.
| Activité | Techniques et outils |
|---|---|
| Contrôler |
|
7.4 Lignes directrices et conseils
Voici des lignes directrices et des conseils qui peuvent faciliter la réalisation de cette étape.
- Prendre des décisions éclairées en fonction des mesures et des indicateurs répertoriés dans les fiches de renseignements sur le risque;
- Documenter toutes les leçons apprises; et
- Documenter les raisons qui ont conduit à fermer un risque.
8.0 Conclusion
8.1 Prochaines étapes
Ce guide représente seulement une des méthodes utilisées pour accroître la capacité du gouvernement à faire face au défi de l'an 2000 et à assurer le fonctionnement continu de ses fonctions essentielles de gestion. L'objet de ce guide consiste à encourager les ministères à mettre en œuvre un processus de continuité des opérations au sein de leur organisation. Ce guide contient une structure mettant en relief les principales activités qui devraient être réalisées.
Tous les ministères devraient maintenant adapter à leurs besoins spécifiques les étapes décrites dans le présent guide et mettre en oeuvre un processus de continuité des opérations s'appliquant à leurs projets de l'an 2000.
Au niveau de l'administration fédérale, le SCT sera à même de confirmer que le gouvernement est prêt à affronter les situations de crise relatives au problème de l'an 2000. Il pourra aussi aider les ministères lorsqu'ils seront confrontés à des problèmes et à des risques touchant l'ensemble du gouvernement.
8.2 Conclusion
La mise en oeuvre de méthodes reconnues par l'industrie comme celles présentées dans ce guide offre la possibilité aux ministères d'adopter des solutions éprouvées qui augmenteront leur capacité à gérer leurs projets de l'an 2000 tout en contribuant à la résolution du problème de l'an 2000.
Notes au bas de la page :
(1) Ce problème est accentué par le fait que l'an 2000 est une année bissextile « supplémentaire », car elle comporte un 29 février. [Retour]
(2) Rapport Braiter/Westcott sur l'État de préparation pour l'an 2000, février 1998. [Retour]
Annexe A - Table des matières Exemple de plan de continuité des opérations
Le plan de continuité des opérations devrait comprendre au minimum les éléments suivants, sans en exclure d'autres :
RÉSUMÉ
1. INTRODUCTION
Détermine où se situe le guide pour la
continuité des opérations dans le projet de l'an 2000
du ministère.
1.1 Contexte
1.2 Objet
1.3 Portée
1.4 Aperçu du processus de continuité des
opérations (résumé de ce guide)
1.5 Références
2. VOLETS DU PROCESSUS DE CONTINUITÉ DES
OPÉRATIONS
Résume l'approche du ministère pour implanter les
divers volets du processus décrit dans le guide.
2.1 Gestion du risque continue
2.2 Planification de mesures d'urgence
2.3 Intervention en cas de crise
2.4 Reprise des opérations
3. ORGANISATION ET RESPONSABILITÉS
Détermine les intervenants clés qui participeront
à l'implantation du Guide ainsi que leurs rôles et
leurs responsabilités ( Grille d'attribution des
responsabilités).
3.1 Structure de gouvernance
3.2 Responsabilités des intervenants clés dans le
cadre de la continuité des opérations en regard du
projet de l'an 2000.
3.3 Structure de gouvernance du processus de continuité des
opérations
3.3.1 Réunions
3.3.2 Communications
4. MÉTHODES, TECHNIQUES ET OUTILS
Désigne les méthodes, techniques et outils choisis
par le ministère pour appliquer le processus.
4.1 Grille d'adaptation du processus de continuité des
opérations du SCT
4.2 Mise à jour du plan
Annexe B - Table des matières Exemple de charte de projet
La charte de projet devrait comprendre au minimum les éléments suivants, sans en exclure d'autres :
RÉSUMÉ
1. INTRODUCTION
1.1 Contexte
1.2 Objet
1.3 Portée
1.4 Références
2. APERÇU DE L'APPROCHE
2.1 Activités consacrées à assurer la
continuité des opérations
2.2 Aperçu de la mise en oeuvre
2.3 Principaux points de repère
3. ORGANISATION ET RESPONSABILITÉS
3.1 Structure de gouvernance
3.2 Responsabilités des intervenants clés dans le
cadre de la continuité des opérations en regard du
projet de l'an 2000.
3.3 Structure de gouvernance du processus de continuité des
opérations
3.3.1 Réunions
3.3.2 Communications
4. BESOINS EN RESSOURCES
4.1 Besoins en ressources humaines
4.2 Besoins en ressources financières
4.3 Autres besoins
5. APPROBATION
Annexe C - Méthode de décomposition fonctionnelle
1. Comment décomposer une fonction principale en modèle de gestion
Afin de contribuer au processus de continuité des opérations, les ministères doivent d'abord élaborer un modèle de gestion, qui précise avec exactitude toutes les fonctions réalisées par l'organisation en les présentant dans une structure arborescente (schéma en arbre) qui fait ressortir les relations hiérarchiques entre les fonctions (on peut aussi utiliser des modèles présentés par alinéas).
2. Élaborer un modèle de gestion
2.1 Méthode
L'objet de cette méthode est de décomposer la fonction principale du ministère en sous-fonctions jusqu'au point où on peut attribuer chacune des sous-fonctions à un unique responsable (se référer aux lignes directrices et conseils additionnels pour plus de renseignements).
2.2 Résultats attendus
Au terme de cette activité, on obtiendra un modèle de gestion ou une décomposition fonctionnelle, qui précisera avec exactitude toutes les fonctions réalisées par l'organisation, lesquelles seront présentées dans une structure arborescente faisant ressortir les relations hiérarchiques entre les fonctions. En voici un exemple :
Figure C-1 – Exemple de décomposition fonctionnelle
3. Techniques et outils
Le tableau ci-dessous résume les techniques et les outils employés pour cette activité. On trouvera des précisions à ce sujet dans les documents de référence.
| Activité | Techniques et outils |
|---|---|
| Effectuer la décomposition des fonctions | Pas d'outil particulier. Cette technique est expliquée dans bon nombre de méthodes de développement de systèmes et d'établissement de modèles. |
4. Lignes directrices et conseils
Voici des lignes directrices et des conseils qui peuvent faciliter la réalisation de cette activité.
- Les fonctions sont des « actions » ou des « activités » qui sont effectuées en vue de fournir un service ou un produit (p. ex., collecte de données, analyse de données et production de rapports);
- Les fonctions sont généralement décrites au moyen d'un verbe et d'un complément ou d'un nom suivi d'un complément de nom (p. ex., payer les employés, versement de prestations, etc.);
- La méthode de décomposition fonctionnelle permettra de subdiviser les fonctions principales en sous-fonctions jusqu'au niveau le plus bas. À cette fin, on a souvent recours à la structure organisationnelle (utilisez votre organigramme pour vous aider à effectuer la décomposition de vos fonctions);
- Pour bien des ministères, le niveau de décomposition pratique le plus bas sera celui dont une seule personne pourra être responsable et dont toutes les sous-fonctions déterminées à partir d'une fonction principale utilisent les mêmes éléments d'actif (c'est-à-dire que lorsque vous aurez déterminé que le prochain niveau de décomposition désigne des fonctions qui utilisent le même élément d'actif, cessez la décomposition). Une autre façon de savoir si vous avez atteint le niveau de décomposition pratique le plus bas est de vérifier si la criticité (incidence d'une fonction donnée sur les opérations du gouvernement ou du ministère) de toutes les sous-fonctions est égale à celle de la fonction principale;
- Servez-vous des modèles de gestion actuels du ministère;
- Concentrez-vous sur la mission de l'an 2000 : l'important n'est pas d'avoir un modèle de gestion parfait, mais une liste de fonctions qui peuvent être associées à des éléments d'actif et confiées à une personne ou à une organisation responsable;
- Accordez plus d'importance à la couverture de toutes les fonctions plutôt qu'aux détails (profondeur de la décomposition); et
- Impliquez la structure de gouvernance rapidement pour obtenir l'approbation de la décomposition fonctionnelle.
Annexe D - Méthode d'établissement de priorité des fonctions de gestion
1. Comment établir l'ordre de priorité des fonctions de gestion
Pour être en mesure d'établir les priorités, les ministères doivent d'abord élaborer un modèle de gestion, qui précise toutes les fonctions exécutées par l'organisation (Annexe C – Méthode de décomposition fonctionnelle). Après avoir attribué un identificateur à chacune des fonctions, on peut procéder à l'établissement des priorités selon des critères déterminés à l'avance. Dans le cadre du projet de l'an 2000, les ministères devraient employer les critères du SCT, lesquels permettent de classer les fonctions particulières au gouvernement selon qu'elles sont plus ou moins essentielles à la mission de l'organisation (conformément aux critères du SCT, plus la cote de priorité est élevée, plus la fonction est essentielle à la mission).
2. Coter les fonctions
2.1 Objet
L'objet de cette activité consiste à attribuer une cote à chacune des fonctions qui se situent au niveau le plus bas du modèle de gestion selon les critères de criticité du SCT afin d'établir un ordre de priorité. On dresse ensuite une liste de ces fonctions, laquelle servira de cadre de référence pour mener les activités consacrées à assurer la continuité des opérations.
La cote finale d'une fonction donnée est obtenue en procédant de la façon suivante :
- À l'aide des critères énumérés dans la section D-1, les fonctions doivent être cotées selon la probabilité qu'elles ont d'entraîner les répercussions identifiées. Par exemple, la fonction « Payer les employés » peut obtenir une cote faible selon les critères relatifs à la sécurité et à l'environnement. Par contre, elle pourrait se voir attribuer la cote élevée si l'on considère son incidence sur le bien-être économique des Canadiens et le moral des employés;
- L'échelle suivante est proposée pour
attribuer une cote à chaque fonction selon les
critères déterminés : Faible = 1 Moyenne
= 3 Élevée = 5
Les cotes 2 et 4 sont des valeurs intermédiaires. La cote 0 est employée lorsque la fonction n'a aucune incidence sur un secteur donné (sécurité, environnement, etc.) Guide pour la continuité des opérations en regard du problème de l'an 2000 - Pour coter une fonction, les participants devraient se demander : « Est-ce que la probabilité des répercussions pour une fonction donnée est faible, moyenne ou élevée? » Ils doivent ensuite attribuer une cote entre 1 et 5 selon leur jugement personnel (ce procédé tient compte des notions de risque car le facteur de pondération représente l'incidence alors que la cote indique la probabilité); et
- On applique le facteur de pondération à la cote finale attribuée à une fonction dans une catégorie donnée. Par exemple, si la cote finale de la catégorie « Incidence sur les Canadiens » s'élève à 25, cette cote sera multipliée par 5 pour inclure le facteur de pondération attribué à cette catégorie. Les cotes de chaque catégorie associée à un critère sont alors additionnées pour obtenir la cote globale d'une fonction donnée.
2.2 Résultats attendus
Au terme de cette activité, une liste de fonctions de gestion classées en ordre de priorité sera produite.
3. Techniques et outils
Le tableau ci-dessous résume les techniques et les outils employés pour cette activité. On trouvera des précisions à ce sujet dans les sections qui en traitent.
Tableau D-1 : Techniques et outils pour classer les fonctions de gestion
|
Activité |
Techniques et outils |
|---|---|
| Coter les fonctions de gestion |
|
4. Lignes directrices et conseils
Voici des lignes directrices et des conseils qui peuvent faciliter la réalisation de cette activité.
- Demander aux responsables de coter leurs fonctions respectives selon les critères déterminés et faire appel à des groupes pour confirmer l'ordre définitif;
- Organiser des sous-groupes de travail pour tous les secteurs fonctionnels afin de dresser la liste finale; et
- S'assurer de la participation de la structure de gouvernance tôt dans le processus pour prendre des décisions sans tarder, car la plupart des organisations ne sont pas suffisamment familiarisées avec les principes d'établissement de priorités des fonctions.
Section D-1 : Critères du SCT
Le tableau ci-dessous présente les critères recommandés par le Secrétariat du Conseil du Trésor pour évaluer les fonctions de gestion. Les facteurs de pondération vont de 5 (élevé) à 1 (bas).
Tableau D-2 – Critères d'évaluation des fonctions essentielles à la mission
|
Critère |
Poids |
Définition |
|---|---|---|
| Incidence sur les Canadiens |
5 |
Une fonction essentielle à la
mission de l'administration fédérale (EMAF)
a été définie comme : un service offert
ou une fonction accomplie par un ministère ou un autre
organisme du gouvernement fédéral :
|
|
Incidence sur la santé des Canadiens ou sur leur environnement. Exemples de fonctions : inspection des aliments, gestion et essais de médicaments, et autres fonctions reliées au portefeuille de « Santé Canada ». | |
|
Incidence sur la sécurité des Canadiens. Exemples de fonctions : recherche et sauvetage, application de la loi, services correctionnels et autres fonctions reliées au portefeuille du Solliciteur général du Canada. Les fonctions relatives à la défense sont également prises en compte dans ce critère. | |
|
Incidence sur la situation économique des Canadiens. Exemples de fonctions : celles reliées au receveur général, aux pensions, à l'aide sociale, et autres fonctions qui procurent des avantages économiques aux Canadiens. | |
|
Incidence sur l'environnement au Canada. Exemples de fonctions : celles reliées à Environnement Canada et aux groupes d'intervention environnementale de Pêches et Océans. | |
| Incidence sur les obligations |
3 |
Dans le présent guide, une
fonction essentielle à la mission de l'administration
fédérale (EMAF) a été
définie comme : un service offert ou une fonction
accomplie par un ministère ou un autre organisme du
gouvernement fédéral :
|
|
Explicite | |
|
Explicite | |
|
Explicite | |
|
Au sein du gouvernement fédéral | |
|
Provincial, régional, et municipal | |
|
Explicite | |
| Incidence sur les employés |
1 |
|
|
Explicite | |
|
Explicite | |
|
Explicite | |
| Incidence financière |
1 |
|
|
Impact sur le gouvernement fédéral dans les secteurs où les revenus et dépenses d'exploitation seront touchés ou les coûts augmentés | |
|
Explicite |
Section D-2 : Exemple de liste de fonctions en ordre de priorité
| NI* | Code | Fonction | Cote relative | Cote brute | Catégorie |
|---|---|---|---|---|---|
| 5.1.2 | SAR | Détection des appels de détresse | 1 | 169 | BMAF |
| 5.1.5 | SAR | Coordination de la recherche et du sauvetage | 0,99 | 168 | BMAF |
| 5.1.4 | SAR | Planification de la recherche et du sauvetage | 0,98 | 166 | BMAF |
| 3.1.1 | SCTM | Détection des appels de détresse de sécurité et intervention | 0,94 | 159 | BMAF |
| 3.1.2 | SCTM | Intervention suite aux appels | 0,94 | 159 | BMAF |
| 3.1.3 | SCTM | Analyse de la situation | 0,94 | 159 | BMAF |
| 3.1.4 | SCTM | Signalement aux autorités compétentes | 0,94 | 159 | BMAF |
| 3.1.5 | SCTM | Coordination du processus d'information | 0,94 | 159 | BMAF |
| 3.1.8 | SCTM | Réception des renseignements sur la sécurité provenant de l'extérieur | 0,94 | 159 | BMAF |
| 3.1.9 | SCTM | Diffusion des renseignements sur la sécurité | 0,94 | 159 | BMAF |
| 5.1.1 | SAR | Prises de mesures pour que les ressources assistent les SAR | 0,82 | 139 | BMAF |
| 2.2.2 | SNM | Fourniture d'aides électroniques à la navigation | 0,80 | 135 | BMAF |
| 5.2.2 | SAR | Conduite d'opérations d'intervention environnementale | 0,79 | 133 | BMAF |
| 5.3.2 | IE | Pratique des plans d'urgence d'intervention environnementale | 0,79 | 133 | BMAF |
| 2.1.3 | SNM | Prévision et contrôle des débordements | 0,77 | 130 | BMAF |
| 2.1.4 | SNM | Prévision des niveaux d'eaux | 0,77 | 130 | BMAF |
| 4.2.2 | DEG | Renseignements sur la navigation dans les glaces (cartes) | 0,77 | 130 | BMAF |
| 4.4.1 | DEG | Suivi de l'état des glaces | 0,77 | 130 | BMAF |
| 4.4.2 | DEG | Déglaçage pour lutter contre les inondations | 0,77 | 130 | BMAF |
*NI : numéro d'identification
Annexe E - Exemple de document de priorité des fonctions et de correspondance des actifs
Table des matières
Le document de priorité des fonctions et de correspondance des actifs devrait comprendre au minimum les éléments suivants, sans en exclure d'autres :
RÉSUMÉ
1. INTRODUCTION
1.1 Contexte
1.2 Objet
1.3 Portée
1.4 Définitions
1.5 Références
2. MÉTHODE
3. RÉSULTATS DE L'ÉTABLISSEMENT DE PRIORITÉ DES FONCTIONS DE GESTION
3.1 Observations
3.2 Résultats d'ensemble
4. RÉSULTATS DE L'ÉTABLISSEMENT DE CORRESPONDANCE DES ACTIFS
4.1 Observations
4.2 Résultats d'ensemble
ANNEXES :
Annexe 1 - Critères de criticité
Annexe 2 - Résultats de la décomposition fonctionnelle
Annexe 3 - Liste des fonctions de gestion en ordre de priorité
Annexe 4 - Résultats de l'établissement de correspondance des actifs
Annexe F - Méthode d'établissement de correspondances
1. Comment établir des correspondances entre éléments d'actif et fonctions
Pour être en mesure de déterminer clairement quels travaux de conversion sont nécessaires à la poursuite des activités, les ministères doivent associer les éléments d'actif vulnérables au problème de l'an 2000 à chacune des fonctions. Cette démarche permet de mieux comprendre les liens entre les risques relatifs aux travaux de conversion et les risques affectant les activités du ministère et leurs répercussions.
2. Établir des correspondances entre éléments d'actif et fonctions
2.1 Objet
L'objet de cette démarche consiste à associer les éléments d'actif aux fonctions particulières qu'ils soutiennent. Il vaut mieux regrouper les éléments d'actif par catégorie pour faciliter l'établissement des correspondances. Les catégories suivantes sont recommandées :
- Logiciels (logiciels fournis par un tiers, applications et systèmes d'exploitation, etc.);
- Réseaux (inclut tout le matériel entre les cartes de communication de chaque terminal - réseau local (LAN), réseau métropolitain (MAN), réseau à grande distance (WAN), autocommutateur privé (PBX) - notamment, le matériel de commutation privée; exclut les unités de traitement telles que PC, serveurs et ordinateurs centraux);
- Équipement technique des immeubles (systèmes d'alimentation électrique, de sécurité et de conditionnement d'air, ascenseurs et autres installations techniques);
- Autres organismes (autres administrations gouvernementales, ministères, incluant les organisations faisant partie du processus d'approvisionnement des ministères ainsi que les services d'achat et le contentieux);
- Matériel (unités de traitement telles que PC, serveurs et ordinateurs centraux);
- Services publics (téléphone, électricité, poste, etc.);
- Flottes et parcs (avions, navires, automobiles, etc.); et
- Systèmes intégrés (incluant la fabrication et les processus de contrôle; l'équipement de transport et de navigation [avions, trains, navires, feux de circulation, contrôle de la circulation aérienne, etc.]; les systèmes de bureautique et l'équipement portatif [télécopieurs, photocopieurs, téléviseurs, téléphones cellulaires, etc.]; appareils médicaux [stimulateurs cardiaques, systèmes de suivi, radiographie, etc.]; équipement de laboratoire).
2.2 Résultats attendus
Au terme de cette démarche, on obtiendra des diagrammes « cause-effet », qui établissent les liens entre les éléments d'actif et les fonctions. Les ministères se serviront de ces diagrammes pour mettre en correspondance les activités de conversion et les fonctions qu'ils gèrent. Un exemple de diagramme cause-effet créé suivant les catégories énumérées au point 2.1 est illustré ci-après.
Figure F-1 – Diagramme « cause-effet »
3. Documenter les correspondances
3.1 Objet
L'objet de cette démarche consiste à documenter, avec clarté et concision, les résultats de l'exercice d'établissement des correspondances réalisé à l'aide des diagrammes cause-effet décrits au point précédent.
3.2 Résultats attendus
Au terme de cette démarche, un tableau comportant les éléments suivants sera produit :
- Le nom de la fonction;
- Le responsable de la fonction (et son numéro de téléphone); et
- Les éléments d'actif identifiés pour chacune des catégories (logiciels, réseaux, équipement technique des immeubles, autres organismes, matériel, services publics, flottes et parcs, et systèmes intégrés).
4. Techniques et outils
Le tableau ci-dessous résume les techniques et les outils employés pour cette activité. On trouvera des précisions à ce sujet dans les annexes ou les documents cités.
Tableau F-1 – Techniques et outils pour établir des correspondances
Activité |
Techniques et outils |
|---|---|
| Établir des correspondances entre éléments d'actif et fonctions | Analyse des causes et des effets (CRM Guidebook, chapitre A-8, page 301) |
| Documenter les correspondances | Exemple d'un tableau de correspondance à la section F-1 de cette annexe. |
5. Lignes directrices et conseils
Voici des lignes directrices et des conseils qui peuvent faciliter la réalisation de cette activité.
- Laisser les responsables de fonction préparer le premier tableau de correspondances. Faire valider ces premiers diagrammes cause-effet par des groupes comprenant des spécialistes techniques;
- Se concentrer en premier lieu sur l'identification du plus grand nombre d'éléments d'actif possible; ajouter ensuite des détails au fur et à mesure que les conversions avancent; et
- Identifier les responsables d'éléments d'actif ou de catégorie d'éléments. Dans la plupart des cas, ces personnes seront désignées pour superviser la conversion de ces éléments d'actif.
Section F-1 : Exemple de correspondances entre éléments d'actif et fonctions
Le tableau ci-dessous est présenté à titre d'exemple seulement. Les titres des colonnes représentent les catégories illustrées à la figure F-1. Chaque colonne contient une liste détaillée des éléments d'actif pour une fonction donnée.
Tableau F-2 – Exemple d'un tableau obtenu suivant l'activité de correspondances des actifs
| NI : 5.1.2 | |||
|---|---|---|---|
| Nom de la fonction : Détection des signaux de détresse (responsable de la fonction) | |||
Logiciel |
Matériel |
Réseaux |
Services |
|
|
|
|
Equipment technique - immeubles |
Flottes |
Autres organismes |
Autres causes |
|
|
|
|
| NI : 5.1.5 | |||
|---|---|---|---|
| Nom de la fonction : Coordination de recherche et sauvetage (responsable de la fonction) | |||
| Logiciel | Matériel | Réseaux | Services |
|
|
|
|
| Equipment technique - immeubles | Flottes | Autres organismes | Autres causes |
|
|
||
| NI : 5.1.4 | |||
|---|---|---|---|
| Nom de la fonction : Planification pour recherche et sauvetage (responsable de la fonction) | |||
Logiciel |
Matériel |
Réseaux |
Services |
|
|
|
|
Equipment technique - immeubles |
Flottes |
Autres organismes |
Autres causes |
|
|
||
Annexe G - Procédure détaillée — étape « Identifier »
Aperçu de la procédure
L'identification des risques inhérents à un projet doit se faire périodiquement, chaque fois qu'on atteint un jalon ou une étape, et/ou de façon continue tout au long du projet. Le tableau suivant indique les étapes à suivre pour identifier les risques.
Tableau G-1 – Identification du risque à une étape précise
| étapes d'identification du risque | Description | Responsable |
|---|---|---|
| 1. Déterminer les participants aux ateliers et aux entrevues | Le gestionnaire du projet de l'an
2000 doit tenir des ateliers avec divers groupes formés de
participants de même niveau qui sont engagés dans le
projet de l'an 2000 et qui doivent identifier les risques
possibles. Ce sont généralement les groupes
suivants :
En complément aux ateliers, le gestionnaire du projet de l'an 2000 doit aussi mener des entrevues auprès de certains dirigeants participant au projet de l'an 2000. Ces entrevues se font généralement avec les personnes suivantes :
|
Gestionnaire du projet de l'an 2000 |
| 2. établir le calendrier des ateliers et des entrevues d'identification des risques | En général, l'atelier sur l'identification des risques dure 3 heures,
alors qu'une entrevue peut durer de 30 minutes à 2 heures.
Le calendrier devrait être établi avant le début de l'activité. |
Gestionnaire du projet de l'an 2000 |
| 3. Adapter le questionnaire taxinomique du risque du SCT | Le questionnaire du SCT fondé sur la taxinomie du risque (voir Annexe H) doit être adapté pour refléter les secteurs d'activité des participants et pour respecter la durée prévue des ateliers ou des entrevues. | Gestionnaire du projet de l'an 2000 |
| 4. Mener les ateliers et les entrevues | Mener les ateliers et les entrevues sur l'identification du risque consiste à :
|
Gestionnaire du projet de l'an 2000 |
| 5. établir une liste de risques | à partir des notes prises
pendant les ateliers et les entrevues, recenser les risques qui
sont ressortis à plusieurs reprises ou qui font consensus,
et dresser une liste de risques.
Pour chaque risque identifié, il est important d'avoir :
|
Gestionnaire du projet de l'an 2000 |
Nota : La responsabilité attribuée au gestionnaire du projet de l'an 2000 peut être déléguée à d'autres membres de l'organisation, y compris la vérification.
Tableau G-2 – étapes à suivre pour identifier les risques de façon continue
|
étapes d'identification du risque |
Description |
Responsable |
|---|---|---|
| 1. Créer une fiche de renseignements sur le risque | Quiconque peut identifier un nouveau
risque et le consigner sur une fiche de renseignements sur le
risque (Annexe I). Pour chaque
risque, il est important de rédiger :
|
Participant au projet de l'an 2000 (programmeur, testeur, gestionnaire d'application, personne-ressource de la fonction, etc.) |
| 2. Examiner le risque | Les fiches de renseignements sur le risque doivent être acheminées au Bureau de projet de l'an 2000 pour qu'il examine les risques qui y sont consignés. | Participant au projet de l'an 2000 (programmeur, testeur, gestionnaire d'application, personne-ressource de la fonction, etc.) |
| 3. Acheminer la fiche de renseignements sur le risque au responsable du risque et aux fonctions concernées | Après avoir examiné et validé le risque, le Bureau de projet doit l'acheminer à son responsable ainsi qu'aux responsables des fonctions concernées par le risque (s'il ne s'agit pas de la même personne) afin de déclencher des mesures d'urgence, si nécessaire. | Bureau de projet de l'an 2000 |
Nota : La responsabilité attribuée au gestionnaire du projet de l'an 2000 peut être déléguée à d'autres membres de l'organisation, y compris la vérification
Annexe H - Taxinomie de l'an 2000
1. Introduction
1.1 Contexte
Le Bureau de projet de l'an 2000 du Secrétariat du Conseil du Trésor du Canada tient à ce que les ministères et organismes fédéraux dont les fonctions de gestion sont essentielles à la mission de l'administration fédérale identifient, rapportent et gèrent les risques dans le cadre du projet de l'an 2000.
Pour les aider à déterminer ces risques, la taxinomie de l'an 2000 du SCT constitue un cadre de classification complet et structuré. Elle pourra être utilisée comme norme dans les ministères pour identifier les risques.
1.2 Objet
Cette annexe a pour objet de décrire et de documenter la taxinomie de l'an 2000 du SCT que les ministères peuvent utiliser pour déterminer les risques associés aux fonctions de gestion essentielles à la mission de l'administration fédérale (EMAF) et essentielles à la mission des ministères (EMM). Les ministères peuvent utiliser leur propre taxinomie en s'assurant toutefois que tous les secteurs de risque identifiés par la taxinomie de l'an 2000 du SCT soient abordés.
1.3 Portée
Le document comprend une description de l'utilisation de la taxinomie de l'an 2000, le questionnaire taxinomique de l'an 2000, une description des éléments d'information du questionnaire et des conseils.
1.4 Références
Le présent document renvoie aux ouvrages suivants :
- Secrétariat du Conseil du Trésor du Canada, Cap sur le prochain millénaire au gouvernement : Guide pour la continuité des opérations en regard du problème de l'an 2000, octobre 1998.
- Software Engineering Institute, Continuous Risk Management Guide, Carnegie Mellon University, Pittsburgh, Pennsylvanie, 1996. La taxinomie de l'an 2000 s'inspire des principes de cette publication du Software Engineering Institute (SEI), et plus particulièrement des annexes intitulées « Taxinomie-Based Questionnaire » (Annexe A-32) et « Taxinomie-Based Questionnaire (TBQ) Interviews (Annexe A-33) ».
- Secrétariat du Conseil du Trésor du Canada, Fiche de renseignements sur le risque de l'an 2000 (FRR), octobre 1998. La FRR sert à consigner l'information sur les risques identifiés au cours de l'évaluation des risques réalisée à l'aide de la taxinomie de l'an 2000. Un exemple de FRR est fourni à l'annexe I.
- U.S. General Accounting Office, Year 2000 Computing Crisis, GAO/AIMD-10.1.14, septembre 1997. On a vérifié l'exhaustivité de la taxinomie de l'an 2000 en la comparant à la GAO Year 2000 Program Assessment Checklist.
- Department of Information Technology, California 2000 Program Guide, Californie, novembre 1996. On a vérifié l'exhaustivité de la taxinomie de l'an 2000 en la comparant à l'approche de la Californie à l'égard du projet de l'an 2000 tirée du California 2000 Program Guide.
- SCT, Guide de planification des mesures d'urgence relatif aux systèmes essentiels à la mission de l'administration fédérale pour l'an 2000, projet, avril 1998. La validité de la taxinomie de l'an 2000 a été vérifiée en la comparant au questionnaire figurant dans cette publication du SCT.
- The MITRE Corporation, Year 2000 Certification Process, http://www.mitre.org/research/y2k/docs. L'exhautivité de la taxinomie de l'an 2000 a été vérifiée en la comparant au processus de certification établi par MITRE Corporation.
1.5 Glossaire
Le glossaire suivant a pour objet de préciser certains termes utilisés dans le cadre de la taxinomie de l'an 2000.
| Élément d'actif : | S'entend de tout ce qui peut être touché par le problème de l'an 2000, par exemple :
|
|---|---|
| Fonctions de gestion essentielles à la mission : | Les fonctions de gestion essentielles à la mission de l'administration fédérale sont celles qui ont une incidence élevée sur les Canadiens, les opérations du gouvernement et/ou ses employés. Le niveau de criticité peut être déterminé suivant certains critères fournis à l'annexe D. Dans le présent guide, les fonctions abordées appartiennent à deux catégories : fonctions essentielles à la mission à l'échelle de l'administration fédérale et fonctions essentielles à la mission à l'échelle du ministère. |
| Horizon des événements : | Date limite à laquelle on s'attend à ce qu'un élément d'actif soit touché par l'impact du problème de l'an 2000 (date qui peut devancer l'an 2000). |
| Conforme à l'an 2000 : | Signifie que l'élément d'actif traite correctement les données relatives à la date et à l'heure (incluant mais n'excluant pas le calcul, la comparaison et le traitement séquentiel) qui se situent entre le moment présent et la fin du XXIe siècle, y compris les calculs dans les années 1999 et 2000 et les années bissextiles. |
2. Taxinomie de l'an 2000
2.1 Comment procéder
Le Guide pour la continuité des opérations du SCT [Référence a.] contient des sections décrivant les activités d'évaluation et d'analyse des risques dans le cadre des projets de l'an 2000.
Le principal outil utilisé pour déterminer les risques dans le cadre des projets de l'an 2000 est la taxinomie de l'an 2000, illustrée dans le schéma ci-dessous. Il s'agit d'un questionnaire, utilisé dans le contexte d'ateliers ou d'entrevues, qui met en relief les aspects importants du cycle de vie d'un projet de l'an 2000 dont il faut tenir compte pour éviter que des problèmes surviennent. L'information recueillie grâce aux activités d'évaluation et d'analyse des risques doit être consignée dans des fiches de renseignements sur le risque du SCT [Référence c.].
Figure H-1 – Activité d'évaluation des risques
Communicate = communiquer
Identify = identifier
Analyze = analyser
Plan = planifier
Track = suivre
Control = contrôler
2.1.1 Participants à l'atelier ou à
l'entrevue
La taxinomie de l'an 2000 du SCT peut être
utilisée au cours d'un atelier de 3 heures ou d'une
entrevue d'une demi-heure avec les intervenants de projets,
c'est-à-dire avec des ressources comme le personnel des
bureaux de projet de l'an 2000, dont le gestionnaire de
projet, des praticiens, des membres du comité directeur, le
directeur du projet de l'an 2000, le champion du projet,
d'autres cadres supérieurs (SMA et SM), des gestionnaires de secteurs
d'activité (et leur personnel) et des gestionnaires de
secteurs techniques (y compris le personnel responsable des
applications, de l'infrastructure, des installations, etc.).
2.1.2 Adaptation
La taxinomie de l'an 2000 du SCT prend la forme
d'un questionnaire exhaustif conçu pour identifier les
risques inhérents au problème de l'an 2000 dans
le contexte d'une évaluation (identification et analyse) du
risque. En théorie, toutes les questions de ce document
devraient être posées, mais il peut arriver que
certaines ne concernent pas tous les participants (ou ne
s'appliquent pas à certaines étapes du cycle de
vie du projet de l'an 2000).
Pour faciliter l'adaptation du questionnaire à l'auditoire, un indicateur a été associé à chaque question précisant si elle est obligatoire (réponse nécessaire) ou adaptable. Le questionnaire peut aussi être adapté en fonction du groupe de personnes interrogées. En général, le questionnaire est adapté comme suit :
- Les questions de la section 1.1 — Processus relatifs au cycle de vie du projet de l'an 2000 — s'adressent à la plupart des intervenants;
- les questions des sections 1.2 à 1.5 et 2.1 — Processus techniques/gestion du projet — s'adressent principalement aux gestionnaires des services techniques et au personnel du bureau de projet de l'an 2000; et
- les questions à partir de la section 2.2 — Gestion des activités/gestion des programmes — s'adressent généralement aux gestionnaires des différents secteurs d'activité et aux cadres supérieurs.
Pour adapter les questions à l'auditoire, un autre moyen consiste à déterminer qui sont les intervenants du projet de l'an 2000 de votre organisation (comme au point 2.1.1). Il suffit d'ajouter d'autres colonnes correspondant aux types d'intervenants, et de cocher les cases vis-à-vis les questions à leur poser (comme dans l'exemple ci-dessous). Les questions qui se recoupent et qui sont posées à divers intervenants sont considérées comme acceptables; elles permettent d'obtenir différents points de vue sur un sujet donné.
| Nos | Ques- tion | O | N | NSP | SO | Interve- nant A |
Interve- nant B |
Interve- nant C |
Interve- nant D |
|---|---|---|---|---|---|---|---|---|---|
| 1.1.1 | 4 | 4 | |||||||
| 1.1.2 | 4 | 4 | 4 | ||||||
| 1.1.3 | 4 | 4 | |||||||
| 1.1.4 | 4 | 4 | 4 | ||||||
| 1.1.5 | 4 | 4 | 4 | ||||||
| . . . |
4 | 4 | |||||||
| N | 4 | 4 | 4 |
Figure H-2 – Exemple d'adaptation des questions et de ciblage des intervenants
2.1.3 Pendant l'atelier ou l'entrevue
Pendant l'atelier ou l'entrevue sur l'évaluation
des risques relatifs au problème de l'an 2000, il
convient de poser aux participants les questions de la taxinomie de
l'an 2000 du SCT afin de susciter la discussion et de
déterminer s'il existe un risque dans le secteur
concerné. Le facilitateur de l'atelier ou de l'entrevue
devrait également tenter d'associer les risques aux
fonctions de gestion du ministère.
En général, il faut procéder de la façon suivante :
- Poser une question;
- Obtenir une réponse à la question, c'est-à-dire :
-
i) Oui – Réponse positive, signifiant qu'il n'y a pas de risque associé au secteur ou à l'aspect abordé dans la question;
ii) Non – Réponse négative, signifiant qu'il peut exister un certain risque associé au secteur ou à l'aspect abordé dans la question. Il faut noter les risques pouvant entraîner des répercussions négatives, ainsi que toute information contextuelle;
iii) Ne sait pas – Réponse incertaine signifiant qu'il peut exister un risque associé au secteur ou à l'aspect abordé dans la question. Il faudra poursuivre la recherche au-delà de l'atelier ou de l'entrevue pour déterminer s'il y a effectivement un risque;
iv) Sans objet – Cette réponse signifie que la question ne s'applique pas et donc qu'il n'y a pas de risque associé au secteur ou à l'aspect abordé dans la question. S'assurer que la question et le contexte sont bien compris (voir le point c, ci-dessous).
- Poser les sous-questions pour s'assurer que le contexte est bien compris;
- Il peut arriver que le facilitateur doive poursuivre l'évaluation du risque au-delà de la question. Il doit donc avoir une connaissance approfondie du projet de l'an 2000 afin d'être en mesure de réagir en pareille situation; et
- Consigner l'énoncé du risque et toute information contextuelle sur le risque (voir la sous-section suivante).
2.1.4 Consignation des risques
Les risques mis en relief au cours de
l'activité d'identification du risque devraient
être consignés sur une fiche de renseignements sur le
risque de l'an 2000 du SCT [Référence c.],
qui constitue le principal outil pour conserver des renseignements
sur le risque.
2.2 Questionnaire de la taxinomie de l'an 2000
Les questions de la taxinomie de l'an 2000 du SCT figurent à l'addendum 1 de cette annexe.
2.3 Définition des éléments d'information du questionnaire de la taxinomie de l'an 2000
Le tableau suivant est une description des éléments d'information (titres des colonnes) de la taxinomie de l'an 2000 du SCT.
Tableau H-1 : Définition des éléments d'information du questionnaire
Description |
|
|---|---|
| Adaptation | Il y a deux indicateurs possibles relativement à l'adaptation de la taxinomie de l'an 2000 du SCT.
|
| Question |
Le première question de la colonne est la question principale, par opposition aux sous-questions (s'il y en a). C'est elle qui sert à déterminer les risques dans une phase particulière du cycle de vie d'un projet de l'an 2000 ou à une étape de gestion. Les sous-questions NE SONT PAS considérées comme faisant partie de la question principale; elles servent plutôt à la situer dans un contexte. |
| Oui | Réponse positive qui signifie qu'il n'y a pas de risque en ce qui concerne le sujet de la question. |
| Non | Réponse négative qui signifie qu'il peut y avoir un certain risque en ce qui concerne le sujet de la question. |
| Ne sait pas | Réponse incertaine signifiant qu'il peut y avoir un risque en ce qui concerne le sujet de la question. |
| Sans objet | Signifie que la question ne s'applique pas et donc qu'il n'y a pas de risque. |
| Observations | Une observation est considérée comme une information contextuelle sur un risque identifié. Des observations peuvent être formulées à la suite de discussions concernant les sous-questions. |
2.4 Lignes directrices et conseils
Voici des lignes directrices et des conseils visant à faciliter l'utilisation du questionnaire taxinomique de l'an 2000 durant le processus d'évaluation du risque :
- Les ateliers d'identification des risques devraient être composés de groupes de pairs ayant un intérêt commun, par exemple le personnel du bureau de projet de l'an 2000, des praticiens, les membres du comité directeur du projet de l'an 2000, les gestionnaires des secteurs d'activité (et leur personnel) et les gestionnaires des secteurs techniques (y compris le personnel responsable des applications, de l'infrastructure, des installations, etc.);
- Pour un rendement optimal, il est préférable que les ateliers comprennent 10 participants ou moins;
- Les entrevues relatives à l'identification des risques sont généralement menées auprès de cadres supérieurs, comme les directeurs de projet de l'an 2000, le champion du projet et d'autres cadres supérieurs (SMA, SM);
- Une fois que la taxinomie de l'an 2000 du SCT a été adaptée, il faut s'assurer qu'un intervenant du projet de l'an 2000 réponde à toutes les autres questions;
- Pour assurer une compréhension commune des risques, on peut poser des questions analogues à différents groupes d'intervenants; et
- Les risques doivent être formulés de façon objective, après s'être assurer qu'il existe une incidence négative éventuelle sur les objectifs de continuité des opérations.
Addendum 1 à l'annexe H - Taxinomie de l'an 2000
Adapt- |
Question |
Oui |
Non |
Ne sait pas |
Sans objet |
Obser- |
|---|---|---|---|---|---|---|
| 1. Processus relatifs au cycle de vie du projet de l'an 2000 | ||||||
| 1.1 Sensibilisation/ Inventaire |
||||||
O |
1.1.1 Le problème de l'an 2000 compte-t-il parmi les priorités de votre organisation?
|
|||||
O |
1.1.2 Le niveau de sensibilisation de l'ensemble de votre organisation reflète-t-il le niveau de priorité qui doit être accordé aux activités du projet de l'an 2000? | |||||
O |
1.1.3 Votre organisation a-t-elle un plan/une stratégie de communication au sujet du problème de l'an 2000?
|
|||||
O |
1.1.4 Votre organisation a-t-elle identifié toutes les fonctions essentielles à sa mission?
|
|||||
O |
1.1.5 Votre organisation a-t-elle évalué les répercussions éventuelles du problème de l'an 2000 sur les fonctions essentielles à sa mission?
|
|||||
O |
1.1.6 Votre organisation a-t-elle identifié les éléments d'actif qui soutiennent ses fonctions? Voici quelques exemples d'éléments d'actif :
|
|||||
O |
1.1.7 Dans l'inventaire de votre organisation, les actifs sont-ils classés en ordre de priorité?
|
|||||
O |
1.1.8 Existe-t-il une banque de données contrôlée de l'information sur l'inventaire des actifs?
|
|||||
O |
1.1.9 Le nombre d'éléments d'actif est-il resté le même depuis la fin de la réalisation de l'inventaire? | |||||
O |
1.1.10 A-t-on clairement identifié les responsables des fonctions et des actifs?
|
|||||
| 1.2 Évaluation (analyse/conception) | ||||||
O |
1.2.1 A-t-on précisé les exigences de conformité à l'an 2000 pour tous les types d'actifs?
|
|||||
O |
1.2.2 A-t-on établi et approuvé une norme pour les dates?
|
|||||
O |
1.2.3 Les ressources affectées à l'évaluation ont-elles reçu la formation nécessaire sur les techniques et les instruments d'évaluation, et connaissent-elles bien les actifs à évaluer? | |||||
O |
1.2.4 Votre organisation a-t-elle déterminé le nombre d'éléments d'actif vulnérables au problème de l'an 2000? | |||||
O |
1.2.5 Votre organisation a-t-elle déterminé l'horizon des événements relativement aux pannes éventuelles causées par le problème de l'an 2000 pour tous les actifs vulnérables (la date pourrait être antérieure à l'an 2000)? | |||||
O |
1.2.6 A-t-on déterminé l'ampleur/ l'impact du problème de l'an 2000 pour chaque élément d'actif ou type d'actifs?
|
|||||
O |
1.2.7 Les éléments d'actifs sont-ils consignés avec exactitude? Comprennent-ils :
|
|||||
O |
1.2.8 A-t-on fait un tri (réparation, refonte, remplacement ou mise au rancart) des actifs? | |||||
O |
1.2.9 Ce tri a-t-il été approuvé par la haute direction? | |||||
O |
1.2.10 Les techniques et les outils de conversion ont-ils été identifiés pour les différents types d'actifs?
|
|||||
A |
1.2.11 Dans le cas des actifs à remplacer, a-t-on demandé aux fournisseurs pressentis de livrer des produits adaptés à l'an 2000? | |||||
A |
1.2.12 A-t-on défini et résolu les problèmes relatifs aux partenaires électroniques (p. ex. exigences d'entrée/ sortie électronique)?
|
|||||
A |
1.2.13 Dans le cas des actifs faisant appel à des sources de données externes (comme les logiciels d'application), a-t-on défini une stratégie de conversion des données?
|
|||||
A |
1.2.14 Dans le cas des actifs informatiques, l'infrastructure existante pourra-t-elle absorber la charge supplémentaire des activités de conversion à l'an 2000? | |||||
A |
1.2.15 Dans le cas des actifs informatiques, les changements de l'environnement de production (matériel, logiciels et réseaux) ont-ils été cernés, et en a-t-on calculé le coût? | |||||
O |
1.2.16 A-t-on identifié et résolu les problèmes relatifs à la réaction des fournisseurs appelés à livrer des produits adaptés à l'an 2000?
|
|||||
O |
1.2.17 S'est-on servi des résultats de l'évaluation pour évaluer/confirmer les prévisions de l'effort nécessaire et le budget? | |||||
A |
1.2.18 A-t-on demandé aux fournisseurs quelle est leur stratégie d'adaptation à l'an 2000 vis-à-vis de leurs propres fournisseurs (problèmes relatifs au processus d'approvisionnement)? | |||||
O |
1.2.19 Est-ce que les documents existants dans le domaine de la continuité des opérations ont été rassemblés (p. ex. plans de reprise des opérations, plans antisinistres, etc.)? Si oui, sont-ils à jour? | |||||
O |
1.2.20 La capacité de votre organisation à assurer la continuité des opérations a-t-elle été évaluée? Si oui, est-ce que des lacunes ont été identifiées et les a-t-on comblées? | |||||
O |
1.2.21 Est-ce que des scénarios applicables en cas de crise ont été identifiés et documentés? | |||||
| 1.3 Rénovation (construction) | ||||||
A |
1.3.1 Les ressources affectées aux activités de rénovation ont-elles reçu la formation nécessaire pour maîtriser les techniques et les outils de rénovation, et connaissent-elles les actifs à rénover? | |||||
O |
1.3.2 Votre organisation peut-elle préciser le nombre d'actifs convertis (réparés ou remplacés) à ce jour? | |||||
O |
1.3.3 Dans le cas des actifs à remplacer, a-t-on commandé de nouvelles versions adaptées à l'an 2000?
|
|||||
O |
1.3.4 A-t-on déterminé et résolu les problèmes relatifs aux activités de rénovation?
|
|||||
A |
1.3.5 Votre organisation a-t-elle prévu des programmes de transition et des filtres pour pouvoir traiter les données non conformes?
|
|||||
O |
1.3.6 La documentation suivante est-elle mise à jour dans le cadre des activités de rénovation?
|
|||||
O |
1.3.7 A-t-on fait des essais d'unités/d'éléments (le cas échéant)? | |||||
O |
1.3.8 A-t-on déterminé et résolu les problèmes relatifs à la conformité à l'an 2000 dans le cas des fournisseurs et des partenaires?
|
|||||
O |
1.3.9 Les normes sont-elles respectées? | |||||
A |
1.3.10 A-t-on préparé des plans de retrait graduel des actifs qui devaient être mis au rancart?
|
|||||
O |
1.3.11 A-t-on prévu des mesures d'urgence pour les fonctions de gestion?
|
|||||
| 1.4 Validation (essais) | ||||||
O |
1.4.1 A-t-on précisé les types de ressources nécessaires pour les activités de validation (utilisateurs, ressources des activités/des fonctions et ressources techniques)? | |||||
O |
1.4.2 Les ressources sont-elles suffisantes pour qu'il soit possible de faire des essais? | |||||
O |
1.4.3 Fera-t-on des essais fonctionnels complets ou seulement des essais d'adaptation à l'an 2000? | |||||
O |
1.4.4 A-t-on généré, recueilli ou converti des données sur les essais (le cas échéant, dans le cas d'actifs comme les logiciels d'application), pour étayer les activités de validation? | |||||
O |
1.4.5 Utilise-t-on des outils/de l'équipement d'essai automatisés?
|
|||||
O |
1.4.6 A-t-on prévu suffisamment de temps pour que les activités d'essai soient effectuées? | |||||
O |
1.4.7 A-t-on recours à un système de suivi et de rapports sur les problèmes rencontrés dans le projet de l'an 2000?
|
|||||
O |
1.4.8 Le processus de correction (le protocole utilisé pour résoudre les problèmes constatés) à l'étape de la validation a-t-il été correctement déterminé et noté?
|
|||||
O |
1.4.9 La certification des actifs adaptés à l'an 2000 est-elle un processus d'approbation en bonne et due forme? | |||||
| 1.5 Mise en œuvre | ||||||
O |
1.5.1 A-t-on prévu la formation de la clientèle en ce qui concerne le problème de l'an 2000, dans le contexte de la mise en œuvre des systèmes nouveaux ou modifiés? | |||||
O |
1.5.2 Les mesures d'urgence en vue de la remise en état des actifs sont-elles toutes prêtes à appliquer?
|
|||||
O |
1.5.3 A-t-on constaté des conflits entre les opérations courantes et les activités de maintenance? |
Adaptation |
Question |
Oui |
Non |
Ne sait pas |
Sans objet |
Obser- |
|---|---|---|---|---|---|---|
| 2. Gestion | ||||||
| 2.1 Processus techniques/de gestion du projet | ||||||
O |
2.1.1 Existe-t-il une charte du projet de l'an 2000?
|
|||||
O |
2.1.2 Existe-t-il un plan de gestion du projet?
|
|||||
O |
2.1.3 Le plan de gestion du projet de l'an 2000 est-il fondé sur un cycle de vie ou sur une approche approuvés par l'industrie, avec des activités structurées? | |||||
O |
2.1.4 Existe-t-il des plans (ou des ensembles de tâches) pour les activités de l'an 2000, en ce qui concerne les actifs? | |||||
O |
2.1.5 Le budget du projet de l'an 2000 a-t-il été entièrement approuvé, jusqu'à sa mise en œuvre?
|
|||||
O |
2.1.6 Existe-t-il un bureau de gestion du projet de l'an 2000 (BGP)?
|
|||||
O |
2.1.7 A-t-on confié à un gestionnaire la responsabilité de définir et d'atteindre les objectifs du projet de l'an 2000 (convertir les actifs vulnérables au problème de l'an 2000 de façon à assurer la continuité des activités au-delà de l'an 2000 en respectant les prévisions budgétaires et les échéances)?
|
|||||
O |
2.1.8 Existe-t-il un comité de direction du projet de l'an 2000?
|
|||||
O |
2.1.9 Les intervenants coopèrent-ils efficacement? | |||||
O |
2.1.10 Le calendrier des travaux est-il réaliste en ce qui concerne les fonctions de gestion et les actifs essentiels à la mission?
|
|||||
O |
2.1.11 A-t-on prévu des étapes auxquelles le projet doit être évalué et où la direction décidera de son avenir, en prenant des mesures correctives au besoin? | |||||
O |
2.1.12 Existe-t-il un plan de vérification du projet de l'an 2000? | |||||
O |
2.1.13 Le plan du projet de l'an 2000 a-t-il été mis à jour pour refléter les résultats constatés au cours de la phase précédente de son cycle de vie?
|
|||||
O |
2.1.14 Fait-on régulièrement des examens internes du projet avec l'aide des responsables des catégories d'actifs et les équipes de conversion, pour évaluer les progrès et les difficultés? | |||||
O |
2.1.15 Votre organisation évalue-t-elle les progrès effectifs en les comparant aux activités prévues (dans le calendrier des travaux) du projet de l'an 2000?
|
|||||
O |
2.1.16 Produit-on fréquemment des rapports de progrès?
|
|||||
O |
2.1.17 Le budget et le calendrier des travaux sont-ils stables (et non sans cesse modifiés)? | |||||
O |
2.1.18 Le budget et les objectifs à atteindre à moyen terme sont-ils respectés? | |||||
O |
2.1.19 A-t-on déterminé les facteurs critiques du succès du projet de l'an 2000?
|
|||||
O |
2.1.20 A-t-on établi et approuvé une stratégie des ressources humaines? | |||||
O |
2.1.21 Les besoins en ressources humaines pour chaque phase ont-ils été prévus?
|
|||||
O |
2.1.22 Votre organisation a-t-elle réaffecté ses ressources au projet de l'an 2000 quand on le lui a demandé? | |||||
O |
2.1.23 Avez-vous accès aux ressources qu'il faut quand vous en avez besoin?
|
|||||
O |
2.1.24 A-t-on déterminé, réservé ou acquis tous les systèmes, tous les outils et toutes les installations nécessaires pour chaque phase?
|
|||||
O |
2.1.25 A-t-on conclu tous les marchés d'acquisition des ressources nécessaires (ressources humaines, ressources informatiques, installations, etc.)? | |||||
A |
2.1.26 Les marchés sont-ils valables au-delà de l'an 2000? | |||||
O |
2.1.27 Ajoute-t-on des garanties d'adaptation à l'an 2000 dans les marchés de biens et de services (le cas échéant)? | |||||
O |
2.1.28 Applique-t-on un processus établi de gestion des risques (avec des pratiques, des techniques et des outils reconnus)? | |||||
O |
2.1.29 Établit-on et met-on en œuvre des plans d'action pour gérer les risques identifiés dans le cadre du projet de l'an 2000? | |||||
O |
2.1.30 Assure-t-on le suivi et la supervision du projet?
|
|||||
A |
2.1.31 Assure-t-on la gestion de la sous-traitance?
|
|||||
O |
2.1.32 Veille-t-on à l'assurance de la qualité?
|
|||||
O |
2.1.33 Assure-t-on la gestion de la configuration?
|
|||||
O |
2.1.34 Existe-t-il une organisation de gestion des crises ? Si oui, a-t-elle reçu une formation et a-t-elle été mise à l'essai à l'aide de scénarios? | |||||
O |
2.1.35 Un centre des opérations en temps de crise a-t-il été mis sur pied? Cette organisation a-t-elle un porte-parole désigné pour informer les utilisateurs finals (client?) dans les situations de crise? |
|||||
O |
2.1.36 Existe-t-il un plan de continuité des opérations pour votre organisation? Est-ce qu'il prévoit des activités de gestion du risque, de planification d'urgence, d'intervention en cas de crise et de reprise des opérations? | |||||
O |
2.1.37 Est-ce qu'un cadre supérieur a été désigné pour diriger l'équipe de gestion des crises? Cette personne est-elle au courant de ses responsabilités? |
|||||
| 2.2 Gestion des activités/des programmes | ||||||
O |
2.2.1 Des projets de développement ou d'amélioration des systèmes sont-ils en cours?
|
|||||
O |
2.2.2 A-t-on conçu des plans pour réduire les initiatives qui ne sont pas liées au problème de l'an 2000, jusqu'à ce que celui-ci soit résolu ou sous contrôle? | |||||
O |
2.2.3 Fait-on un suivi du degré de perturbation des opérations et des niveaux de service ou de production? | |||||
O |
2.2.4 Le contexte dans lequel les activités se déroulent a-t-il été évalué afin de déterminer si des contraintes pourraient avoir des répercussions sur la mise en œuvre du projet de l'an 2000?
|
|||||
O |
2.2.5 Votre organisation a-t-elle évalué de quoi elle est légalement responsable dans le contexte du problème de l'an 2000 si ses activités devaient être interrompues?
|
|||||
O |
2.2.6 Avez-vous parlé de votre plan de l'an 2000 avec le représentant des services juridiques de votre organisation? | |||||
O |
2.2.7 Le représentant des services juridiques de votre organisation fait-il une évaluation des risques juridiques? | |||||
O |
2.2.8 Votre organisation a-t-elle un plan d'action juridique? |
Annexe I - Fiche de renseignements sur le risque
1. Introduction
1.1 Contexte
Le Bureau de projet de l'an 2000 du Secrétariat du Conseil du Trésor du Canada tient à ce que les ministères et organismes fédéraux dont les fonctions de gestion sont essentielles à la mission de l'administration fédérale identifient, rapportent et gèrent les risques dans le cadre du projet de l'an 2000.
Afin d'uniformiser la présentation des renseignements sur le risque relativement au problème de l'an 2000, une fiche de renseignements sur le risque (FRR) a été créée. Tous les renseignements pertinents ayant trait aux risques pourront y être consignés.
1.2 Objet
Le présent document a pour objet de définir et de décrire la v de l'an 2000 du SCT que les ministères et organismes fédéraux devront utiliser pour consigner les renseignements sur les risques associés aux fonctions de gestion essentielles à la mission de l'administration fédérale (EMAF) et essentielles à la mission de leurs ministères/organisme (EMM/O).
1.3 Portée
Le document comprend une description de la FRR associés à l'an 2000, un gabarit de FRR, une définition de chaque élément d'information et des exemples de FRR contenant des données.
1.4 Références
- Secrétariat du Conseil du Trésor du Canada, Cap sur le prochain millénaire au gouvernement : Guide pour la continuité des opérations en regard du problème de l'an 2000, octobre 1998.
- Software Engineering Institute, Continuous Risk Management Guide, Carnegie Mellon University, Pittsburgh, Pennsylvanie, 1996. La FRR de l'an 2000 s'inspire des principes de cette publication du Software Engineering Institute's (SEI), et plus particulièrement de l'annexe A-27;
- Secrétariat du Conseil du Trésor du Canada, Taxonomie de l'an 2000, octobre 1998.
La FRR de l'an 2000 est l'outil conçu pour consigner l'information sur les risques identifiés au cours de l'évaluation des risques à l'aide de la Taxonomie de l'an 2000.
2. Fiche de renseignements sur le risque de l'an 2000
2.1 Description de la fiche de renseignements sur le risque(FRR)
Le Guide pour la continuité des opérations du Secrétariat du Conseil du Trésor [Référence a.] contient une section qui décrit de façon détaillée comment effectuer l'évaluation des risques dans le cadre des projets de l'an 2000. L'évaluation des risques englobe les étapes « Identifier » et « Analyser » de la méthode de gestion du risque continue élaborée par le SEI.
Les renseignements recueillis au cours de l'évaluation des risques doivent être consignés et présentés dans la FRR de l'an 2000. Cette fiche sera l'instrument majeur de consignation et de gestion des renseignements sur le risque et le principal produit résultant de l'activité d'évaluation des risques telle qu'illustrée dans le schéma ci-dessous.
Figure I-1 – Activité d'évaluation des risques
Communicate = communiquer
Identify = identifier
Analyze = analyser
Plan = planifier
Track = suivre
Control = contrôler
La FRR de l'an 2000 comprend cinq sections :
- Renseignements sur l'évaluation du risque;
- Renseignements sur la gestion du risque;
- Renseignements sur les activités;
- Renseignements sur l'état; et
- Renseignements sur le plan d'action à l'égard du risque.
Il faut obligatoirement remplir les quatre premières sections pour se conformer aux exigences du SCT en matière de rapport. L'annexe comprend également une description des types de renseignements qui doivent figurer dans le FRR. Le section 5 de la FRR est facultative; elle est offerte à titre d'indication pour le ministère ou l'organisme, lesquels peuvent s'en servir pour concevoir et mettre en œuvre leurs activités de gestion du risque.
2.2 Modèle de FRR de l'an 2000
Ce modèle est considéré comme la FRR de l'an 2000 approuvée par le SCT.
| Ministère / organisme: | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1. Renseignements sur l'évaluation du risque | |||||||||||||
| Rang : | Id. du risque : | Identifié le : | |||||||||||
| Énoncé du risque : | |||||||||||||
| Contexte : | |||||||||||||
| Probabilité : | |||||||||||||
| Impact sur le projet : (répercussions) | |||||||||||||
| Délai : | |||||||||||||
| Source : | |||||||||||||
| Intervention : | Renvoyé à un niveau plus élevé : |
Autre _______________ ¨
SCT ¨ SM ¨ SMA ¨ Com. dir. ¨ |
|||||||||||
| 2. Renseignements sur la gestion du risque | |||||||||||||
| Confiée à : | Date d'exécution du plan d'action : | ||||||||||||
| Aperçu de la stratégie de gestion du risque : | |||||||||||||
| Indicateurs/symboles de matérialisation du risque : | Méthode de collecte : | ||||||||||||
| 3. RENSEIGNEMENTS SUR LES OPÉRATIONS | |||||||||||||
| Fonction(s) : | Criticité |
Administration fédérale ¨
Ministère/organisme ¨ |
|||||||||||
| Incidence sur les opérations : | |||||||||||||
| Plan d'urgence : | |||||||||||||
| Déclencheur : | |||||||||||||
| 4. RENSEIGNEMENTS SUR L'ÉTAT | |||||||||||||
| État : | Date de l'état : | ||||||||||||
| Approbation : | Date de fermeture : | ||||||||||||
| Raison de la fermeture : | |||||||||||||
| Ministère/organisme : | |||||||||
| Rang : | Id. du risque : | Identifié le : | |||||||
| 5. RENSEIGNEMENTS SUR LE PLAN D'ACTION À L'ÉGARD DU RISQUE | |||||||||
| Mesures | Responsabilité | Date cible | Date d'exécution | ||||||
| Notes : | |||||||||
2.3 Définition des éléments d'information de la FRR de l'an 2000
Ce tableau décrit les éléments d'information contenus dans la FRR de l'an 2000 du SCT.
|
Nom du champ |
Définition |
|---|---|
| Section 1. Renseignements sur l'évaluation du risque | |
| Ministère/organisme | Ministère ou organisme fédéral faisant état des risques à l'égard de son projet de l'an 2000. |
| Rang | Rang ou ordre de priorité attribué au risque, exprimé par un symbole numérique (de 1 à « N »). Ce rang devrait refléter celui que le ministère/l'organisme accorde au risque au moment où il est signalé. |
| Id. du risque | Identificateur du risque, généralement une combinaison de la catégorie et d'un numéro séquentiel (p. ex., Gestion-001). |
| Identifié le | Date à laquelle le risque a été identifié. |
| Énoncé du risque | Explication de la situation ou des circonstances inquiétantes ou causant une incertitude en raison de la possibilité d'une perte ou d'un résultat indésirable en ce qui concerne les objectifs de conformité et de continuité des opérations. [Pour des renseignements sur la façon de rédiger un énoncé du risque, voir le document de référence 2, partie 2, chapitre 4, section 2, p.31.] |
| Contexte | Renseignements connexes qui précisent le risque. On les recueille généralement au moment où le risque est identifié. |
| Probabilité |
Possibilité que le risque se concrétisera. Sa valeur exacte est fonction du type d'analyse utilisé. On recommande une description qualitative, comme suit.
|
| Impact sur le projet (Répercussions) |
Perte ou résultat indésirable pour le projet si le risque se réalise. Préciser l'une des trois valeurs suivantes :
|
| Délai |
Limite de temps à l'intérieur de laquelle le risque se produira ou des mesures devront être prises. Préciser une des valeurs suivantes.
|
| Source |
Cause du risque. Préciser l'une des valeurs suivantes.
|
| Intervention |
Façon du ministère/de l'organisme de réagir au risque. Préciser l'une des valeurs suivantes.
|
| Renvoyé à un niveau plus élevé |
Préciser que le risque est confié à une autre organisation/un autre niveau de gestion, par exemple :
|
| Section 2. Renseignements sur la gestion du risque | |
| Confiée à | Nom de la personne responsable de la mitigation du risque au ministère/dans l'organisme. |
| Date d'exécution du plan d'action | Date à laquelle les activités précisées dans le plan d'action conçu pour mitiger le risque doivent avoir été réalisées. |
| Aperçu de la stratégie de gestion du risque | Description succincte de la stratégie choisie pour gérer le risque, avec son orientation générale, compte tenu de la source du risque et de l'intervention. Généralement, seules les interventions consistant à « éviter » ou à « contrôler » le risque supposent des plans d'action. Pour « accepter » le risque, il n'est pas nécessaire de le gérer, puisque le ministère/l'organisme a décidé d'en accepter les conséquences éventuelles. Transférer/renvoyer le risque implique une intervention de la partie à laquelle on le renvoie. |
| Indicateurs/symboles de matérialisation du risque | Signe quelconque faisant clairement savoir aux intervenants dans le projet de l'an 2000 que le risque se matérialise et qu'il cause des difficultés ou un problème. Ce signe devrait faire partie des renseignements régulièrement recueillis sur les progrès. |
| Méthode de collecte | Moyen utilisé pour recueillir les indicateurs/symboles décrits dans la zone précédente. |
| Section 3. Renseignements sur les opérations | |
| Fonction(s) | Activité(s) identifiée(s) comme essentielles à la mission de l'administration fédérale par le SCT ou comme essentielles à celle du ministère/de l'organisme par ces derniers. Le risque peut s'appliquer à plus d'une fonction. |
| Criticité | Degré auquel la fonction exposée au risque en question est essentielle à la mission. La criticité est définie en fonction des critères du SCT. Il n'y a que deux choix possibles : l'administration fédérale et le ministère/organisme. |
| Impact sur les opérations | Impact du risque sur le maintien de la fonction (à ne pas confondre avec l'« Impact sur le projet », un des champs de la section 1). |
| Plan d'urgence | Renvoie, le cas échéant, au plan d'urgence élaboré pour la fonction. Le plan devrait prévoir les procédures qui rétabliront la fonction essentielle à la mission (ou relanceront un actif qu'elle utilise), advenant la concrétisation d'un risque associé au problème de l'an 2000. |
| Déclencheur | Élément décisif pour entreprendre la mise en œuvre d'un plan/d'une procédure d'urgence. Il s'agit généralement d'un « événement » ou d'un « seuil critique » indiquant que le risque s'est matérialisé et/ou qu'il est devenu un problème. |
| Section 4. Renseignements sur l'état | |
| État |
Il n'y a que deux valeurs possibles :
|
| Date de l'état | Date où le dernier rapport d'état a été fourni ou établi. |
| Approbation | Signature approuvant les stratégies de mitigation ou la fermeture du dossier du risque par la personne dont le nom figure dans la case correspondant à « Confiée à » de la section 2 de la FRR. |
| Date de fermeture | Date à laquelle le dossier du risque a été fermé. |
| Raison de la fermeture | Raison pour laquelle on a décidé de fermer le dossier du risque. |
| Section 5. Renseignements sur le plan d'action à l'égard du risque | |
| Mesures | Série d'actions à exécuter pour mitiger le risque. Les mesures doivent être compatibles avec la stratégie de mitigation du risque. |
| Responsabilité | Nom de la personne chargée de prendre une mesure. Cette personne peut être la même pour toutes les mesures, et aussi celle dont le nom figure dans la case « Confiée à » de la section 2, mais il peut aussi s'agir de quelqu'un qui a été chargé de s'occuper des mesures, mais qui relève de la personne responsable de la gestion du risque. |
| Date cible | Date à laquelle la mesure doit être prise. |
| Date d'exécution | Date à laquelle la mesure entreprise a été réalisée. |
| Notes |
Champ réservé aux notes (facultatives).
Peut servir à préciser les ressources nécessaires à la mise en œuvre du plan d'action à l'égard du risque. |
2.4 Exemples de FRR de l'an 2000 contenant des données
2.4.1 Exemple A - Risque pour l'organisation/pour le projet
La FRR de l'an 2000 suivante figure ici à titre d'EXEMPLE SEULEMENT. Le risque en question est basé sur un scénario imaginaire selon lequel un ministère X a identifié un risque de financement insuffisant du projet de l'an 2000.
| Ministère/ organisme : |
Ministère X |
||||||||||||
| 1. RENSEIGNEMENTS SUR L'ÉVALUATION DU RISQUE | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Rang : | 2 | Id. du risque : | Financement insuffisant | Identifié le : | 5 janv. 1998 | ||||||||
| Énoncé du risque : | |||||||||||||
|
Il est possible que le financement des activités du projet de l'an 2000 au-delà de mars 1998 ne soit pas approuvé à temps pour que les activités liées au projet soient menées à bien dans les délais prévus.
Par conséquent, des activités du projet de l'an 2000 risquent de ne pas avoir lieu, ce qui aurait des répercussions sur le calendrier des travaux du projet. |
|||||||||||||
| Contexte : | |||||||||||||
|
On prépare actuellement la présentation au Conseil du Trésor pour obtenir le financement nécessaire; elle devrait être envoyée le 10 mars 1998.
Au 5 janvier 1998, on n'avait terminé la conversion d'aucun des actifs vulnérables au problème de l'an 2000. |
|||||||||||||
| Probabilité : | Élevée | ||||||||||||
| Impact sur le projet : | Élevé | ||||||||||||
| Délai : | Court | ||||||||||||
| Source : | Manque de contrôle | ||||||||||||
| Intervention : | Éviter | Renvoyé à un niveau plus élevé : |
Autre _______________¨
SCT ¨ SM ¨ SMA ¨ Com. dir. n |
||||||||||
| 2. RENSEIGNEMENTS SUR LA GESTION DU RISQUE | |||||||||||||
| Confiée à : | Date d'exécution du plan d'action : | ||||||||||||
| M. Y | 20 mars 1998 | ||||||||||||
| Aperçu de la stratégie de gestion du risque : | |||||||||||||
| La stratégie de gestion du risque est conçue pour obtenir le contrôle budgétaire. | |||||||||||||
| Indicateurs/symboles de matérialisation du risque : | Méthode de collecte : | ||||||||||||
|
1. Retards
2. Impossibilité d'avoir recours à la sous-traitance |
1. Calendrier des travaux/rapports des progrès
2. Demandes pour embaucher des sous-traitants pas approuvées |
||||||||||||
| 3. RENSEIGNEMENTS SUR LES OPÉRATIONS | |||||||||||||
| Ministère/organisme: | Ministère X | ||||||||||||
| Fonction(s) : | Toutes celles qui font appel à des actifs vulnérables au problème de l'an 2000 | Criticité |
Administration fédérale n
Ministère/organisme n |
||||||||||
| Impact sur les opérations : |
Les pannes des actifs vulnérables causées par le problème de l'an 2000 interrompront les opérations des fonctions suivantes, qui sont essentielles à la mission de l'administration fédérale et du ministère :
|
||||||||||||
| Plan d'urgence : |
Plan d'urgence du ministère X
|
||||||||||||
| Déclencheur : |
|
||||||||||||
| 4. RENSEIGNEMENTS SUR L'ÉTAT | |||||||||||||
| État : | Date de l'état : | ||||||||||||
| Ouvert | 21 janvier 1998 | ||||||||||||
| Approbation : | Date de fermeture : | ||||||||||||
| Signature de M. Y | |||||||||||||
| Raison de la fermeture : | |||||||||||||
| Ministère/ organisme : |
Ministère X |
||||||||
| Rang : | 2 | Id. du risque : | Financement insuffisant | Identifié le : | 5 janv. 1998 | ||||
| 5. RENSEIGNEMENTS SUR LE PLAN D'ACTION À L'ÉGARD DU RISQUE | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| Mesures | Responsabilité | Date cible | Date d'exécution | ||||||
|
1. Préparer la présentation au Conseil du Trésor pour obtenir plus d'argent |
M. Y | 5 février 1998 | |||||||
|
2. Faire signer la présentation au Conseil du Trésor par les cadres supérieurs, puis la lui faire parvenir |
M. Y | 20 février 1998 | |||||||
|
3. Obtenir l'autorisation du Conseil du Trésor |
M. Y | 20 mars 1998 | |||||||
| Notes: | |||||||||
| Il a été décidé que MM. A et B travailleraient exclusivement à ce projet afin que la présentation à l'intention du Conseil du Trésor puisse lui être envoyée le 20 février, plutôt que le 10 mars 1998. | |||||||||
2.4.2 Exemple B - Risque technique
La FRR de l'an 2000 suivante figure ici à titre d'EXEMPLE SEULEMENT. Le risque en question est basé sur un scénario imaginaire selon lequel un ministère X a identifié un risque résultant de l'impossibilité d'obtenir une version adaptée à
l'an 2000 de l'« Équipement A ».
| Ministère/ organisme: |
Ministère X |
||||||||||||
| 1. RENSEIGNEMENTS SUR L'ÉVALUATION DU RISQUE | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Rang : | 3 | Id. du risque : | L« 'Équipement A » n'est pas conforme à l'an 2000 | Identifié le : | 12 avril 1998 | ||||||||
| Énoncé du risque : | |||||||||||||
|
L'« Équipement A » du fournisseur A risque de devoir être mis au rancart, puisque celui-ci est incapable de fournir des précisions ou des plans pour le faire certifier conforme à l'an 2000.
L'« Équipement A » existant risque par conséquent de ne pas être certifié conforme à l'an 2000. |
|||||||||||||
| Contexte : | |||||||||||||
|
On a constaté que l'« Équipement A » est vulnérable au problème de l'an 2000 pendant la phase d'évaluation du projet de l'an 2000. Le fournisseur A n'a pas répondu à notre lettre lui réclamant une déclaration de conformité an 2000 pour une version future de cet
« Équipement A ».
L'« Équipement A » est utilisé pour la fonction « Assurer le service C ». |
|||||||||||||
| Probabilité : | Élevée | ||||||||||||
| Impact sur le projet : | Élevé | ||||||||||||
| Délai : | Moyen | ||||||||||||
| Source : | Manque d'information | ||||||||||||
| Intervention : | Éviter | Renvoyé à un niveau plus élevé : |
Autre _______________¨
SCT ¨ SM ¨ SMA ¨ Com. dir. ¨ |
||||||||||
| 2. RENSEIGNEMENTS SUR LA GESTION DU RISQUE | |||||||||||||
| Confiée à : | Date d'exécution du plan d'action : | ||||||||||||
| M. Z | |||||||||||||
| Aperçu de la stratégie de gestion du risque : | |||||||||||||
| La stratégie de gestion du risque est conçue pour nous permettre de mieux connaître l'aptitude du fournisseur A à livrer une version conforme an 2000 de l'« Équipement A ». | |||||||||||||
| Indicateurs/symboles de matérialisation du risque : | Méthode de collecte : | ||||||||||||
| 1. Retard de la conversion à l'an 2000 de l'« Équipement A ». | 1. Calendrier des travaux/rapports des progrès | ||||||||||||
| 3. RENSEIGNEMENTS SUR LES OPÉRATIONS | |||||||||||||
| Fonction(s) : | « Assurer le service C » | Criticité |
Administration fédérale ¨
Ministère/organisme n |
||||||||||
| Impact sur les opérations : | Une panne de l'« Équipement A » causée par le problème de l'an 2000 réduira la fonction « Assurer le service C » à 25 % de sa capacité. | ||||||||||||
| Plan d'urgence : |
Plan d'urgence du ministère X
1. Rétablir la fonction « Assurer le service C » — Procédure d'urgence 10.2.5-002 |
||||||||||||
| Déclencheur : |
1. Si une version conforme an 2000 de l'« Équipement A » n'est pas disponible d'ici au |
||||||||||||
| 4. RENSEIGNEMENTS SUR L'ÉTAT | |||||||||||||
| État : | Date de l'état : | ||||||||||||
| Ouvert | 12 avril 1998 | ||||||||||||
| Approbation : | Date de fermeture : | ||||||||||||
| Signature de M. Z | |||||||||||||
| Raison de la fermeture : | |||||||||||||
| Ministère/ organisme: | Ministère X | ||||||||
| Rang : | 3 | Id. du risque : | Équipement non conforme à l'an 2000 | Identifié le : | 12 avril 1998 | ||||
| 5. RENSEIGNEMENTS SUR LE PLAN D'ACTION À L'ÉGARD DU RISQUE | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| Mesures | Responsabilité | Date cible | Date d'exécution | ||||||
|
1. Tenter une deuxième fois de communiquer avec le fournisseur A |
M. Z | 10 mai 1998 | |||||||
|
2. Faire une analyse des possibilités d'obtenir d'autres équipements ou d'en substituer à l'« Équipement A » |
M. Z | 1er juin 1998 | |||||||
|
3. Choisir un équipement de remplacement ou en substituer à l'« Équipement A » |
M. Z | 1er juillet 1998 | |||||||
|
4. Intégrer l'équipement de remplacement ou en substituer à l'« Équipement A » |
M. Z | 2 oct. 1998 | |||||||
|
5. Vérifier si l'équipement de remplacement ou l'équipement substitué à l'« Équipement A » est vulnérable au problème de l'an 20000 |
M. Z | 10 janv. 1999 | |||||||
|
6. Certifier/valider l'équipement de remplacement ou l'équipement substitué à l'« Équipement A » conforme an 2000 |
M. Z | 3 février 1999 | |||||||
| Notes: | |||||||||
| Aucune | |||||||||
| Ministère/ Organisme | Ministère X | |||||||||||
| 1. RENSEIGNEMENTS SUR L'ÉVALUATION DU RISQUE | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Rang : | 4 | Id. du risque : | Incapacité de verser des prestations | Identifié le : | 8 oct. 1998 | |||||||
| Énoncé du risque : | ||||||||||||
|
Il est possible que les prestations à l'intention des personnes admissibles ne soient pas versées au-delà de janvier 2000.
Ce risque aurait une incidence sur le bien-être économique de milliers de Canadiens. |
||||||||||||
| Contexte : | ||||||||||||
|
Le ministère X verse des prestations à plus de un million de Canadiens dans le cadre du Programme Y. Ces prestations représentent la source principale de revenus d'un grand nombre de ces personnes et leur sont donc essentielles.
Le ministère X dépend de plusieurs partenaires pour verser ces prestations et n'a présentement aucun contrôle sur la progression de leurs travaux consacrés à résoudre le problème de l'an 2000. |
||||||||||||
| Probabilité : | Moyenne | |||||||||||
| Impact sur le projet : | Élevé | |||||||||||
| Délai : | Court | |||||||||||
| Source : | Manque de contrôle | |||||||||||
| Intervention : | Éviter | Renvoyé à un niveau plus élevé : |
Autre _______________¨
SCT ¨ SM n SMA ¨ Com. dir. ¨ |
|||||||||
| 2. RENSEIGNEMENTS SUR LA GESTION DU RISQUE | ||||||||||||
| Confiée à : | Date d'exécution du plan d'action : | |||||||||||
| M. Y | 15 nov. 1998 | |||||||||||
| Aperçu de la stratégie de gestion du risque : | ||||||||||||
| La stratégie de gestion du risque a pour objectif d'obtenir le contrôle sur certains partenaires clés en officialisant leur engagement à verser des prestations au moyen d'accords juridiques spéciaux. | ||||||||||||
| Indicateurs/symboles de matérialisation du risque : | Méthode de collecte : | |||||||||||
|
1. Écarts dans les plans des partenaires en question
2. Plaintes de non-versements de la part des bénéficiaires |
1. Rapports de progrès
2. Plaintes au ministère |
|||||||||||
| 3. RENSEIGNEMENTS SUR LES OPÉRATIONS | ||||||||||||
| Fonction(s) : | Verser des prestations | Criticité |
Administration fédérale n
Ministère/organisme ¨ |
|||||||||
| Impact sur les opérations : | Incapacité de verser des prestations | |||||||||||
| Plan d'urgence : | Émettre des chèques manuellement et les faire parvenir aux bénéficiaires par un service spécial de messageries. | |||||||||||
| Déclencheur : |
1. Indication évidente que certains partenaires ne seront pas prêts.
2. Plaintes de la part des bénéficiaires. |
|||||||||||
| 4. RENSEIGNEMENTS SUR L'ÉTAT | ||||||||||||
| État : | Date de l'état : | |||||||||||
| Ouvert | 14 oct. 1998 | |||||||||||
| Approbation : | Date de fermeture : | |||||||||||
| Signature de M. Y | ||||||||||||
| Raison de la fermeture : | ||||||||||||
Annexe J - Exemple de liste de risques
La liste ci-dessous contient l'information suivante sur le risque :
- Identificateur du risque;
- Énoncé du risque; et
- Contexte.
La définition des éléments de données caractérisant le risque se trouve à l'annexe I - Fiche de renseignements sur le risque.
Tableau J-1 – Liste de risques
Id. |
Énoncé du risque |
Contexte |
|---|---|---|
| Planification d'urgence | Il y a un risque que les plans d'urgence ne soient pas prêts dans certaines organisations parce que cette activité semblait moins urgente que celles consacrées au problème de l'an 2000 et aux opérations courantes. . | Dans le contexte du projet de l'an 2000, un plan d'urgence identifie les mesures à prendre afin d'assurer la continuité d'une fonction. |
| L'absence de plans d'urgence peut résulter en l'inhabileté à rétablir certaines fonctions ce qui peut entraîner des conséquences sur le plan social, juridique et politique | Lors des sessions de travail et durant l'évaluation des risques, plusieurs discussions ont porté sur les plans antisinistres et les plans de reprise des activités. Par contre, il y a eu très peu d'échanges au sujet de la planification de mesures d'urgence relatives au problème de l'an 2000. | |
| Planification des ressources humaines | Il y a un risque que le ministère « X » n'ait pas les ressources humaines nécessaires pour réaliser les activités de conversion à l'an 2000. Ce risque est mis en évidence par les pertes en ressources humaines du gouvernement en faveur de l'entreprise privée, et la dépendance importante du gouvernement envers celle-ci. | Au mois de juillet 1997, les actions
suivantes avaient été exécutées :
Le Bureau de projet de l'an 2000 a rédigé et diffusé une demande de proposition visant la conversion des systèmes à l'an 2000; |
| Les conséquences de ce risque se traduisent par un retard dans le calendrier de conversion et la possibilité que certaines conversions ne soient pas terminées avant l'an 2000. |
|
|
|
||
| Activités opérationnelles | Les activités opérationnelles peuvent détourner l'attention et les priorités au détriment des efforts consacrés au problème de l'an 2000, entraînant du coup une demande supplémentaire en ressources humaines du même type que celles requises pour l'an 2000. Le recours possible à l'impartition ajoute un élément nouveau à une situation déjà fort complexe. | Plusieurs projets sont présentement en développement, tels les projets « X », « Y » et « Z ». |
| Les conséquences de ce risque consistent, entre autres, en un besoin croissant en ressources humaines et la possibilité que certaines conversions ne soient pas terminées avant l'an 2000. |
Annexe K - Exemple d'outils existants pour la continuité des opérations
Les outils ou documents existants en matière de continuité des opérations peuvent comprendre des :
- Plans de reprise des opérations;
- Plans antisinistres;
- Procédures d'utilisation normalisées (peuvent inclure certains éléments relatifs à la continuité des opérations);
- Manuels d'utilisation (peuvent inclure certains éléments relatifs à la continuité des opérations);
- Inventaires (incluant des bibliothèques de bandes magnétiques);
- Documents faisant état de leçons apprises suite à des situations de crise;
- Listes de personnel (y compris des listes de numéros de téléphone à jour);
- Listes d'installations (y compris les adresses, les numéros de téléphone, le nom de personnes-ressources, etc.);
- Renseignements ministériels;
- Conventions de services d'urgence;
- Listes des clients principaux ;
- Listes de matériel et de fournitures pour le PRO;
- Listes d'applications de technologie de l'information;
- Listes d'équipement de technologie de l'information;
- Listes d'équipement de bureau;
- Listes d'autres types d'équipement;
- Listes des fournisseurs principaux;
- Listes des personnes-ressources principales/secondaires de l'équipe;
- Registres de stockage hors place / de documents essentiels; et
- Registres des incidents.
Annexe L - Procédure détaillée – étape « Analyser »
Aperçu de la procédure
L'analyse du risque fait suite à l'étape d'identification du risque et vise à recueillir de l'information pouvant aider à prendre des décisions à l'égard du risque dans le cadre du projet de l'an 2000. Le tableau suivant indique les étapes à suivre pour analyser les risques. Une procédure détaillée pour analyser et déterminer les besoins en matière de planification de mesures d'urgence est proposée à l'annexe N.
|
Étapes de l'analyse |
Description |
Responsable |
||
|---|---|---|---|---|
| 1. Tenir un atelier d'analyse du risque. | Créer un groupe
d'intervenants ayant participé à divers ateliers
d'identification du risque pour mener un atelier visant
à analyser chaque risque.
Ce genre d'atelier peut également être tenu pour le personnel du BP de l'an 2000 seulement. |
Gestionnaire du projet de l'an 2000 | ||
|
Durant l'atelier d'analyse
du risque, préciser les propriétés suivantes
pour chaque risque :
Probabilité : élevée, moyenne ou faible (veuillez vous référer à l'annexe I – Fiche de renseignements sur le risque – pour obtenir plus d'information) |
Gestionnaire du projet de l'an 2000 | ||
|
Durant l'atelier d'analyse
du risque, déterminer la source de chaque risque selon les
catégories suivantes :
|
Gestionnaire du projet de l'an 2000 | ||
|
Durant l'atelier d'analyse
du risque, déterminer quelle intervention adopter parmi les
suivantes pour chaque risque :
|
Gestionnaire du projet de l'an 2000 | ||
|
Durant l'atelier d'analyse
du risque, établir le rang ou l'ordre de
priorité du risque au moyen de l'une des
méthodes suivantes :
À titre indicatif, les risques dont la probabilité et l'impact sont « faibles » devraient être exclus de l'exercice d'établissement des priorités. Pour réaliser une gestion efficace du risque, il est important de s'attaquer aux risques moyens et élevés. |
Intervenants du projet de l'an 2000 (Personnes ressources du BP et autres personnes au sein du ministère) | ||
|
Le gestionnaire du projet de l'an 2000 approuve les risques identifiés dans la liste définitive des risques. | Gestionnaire du projet de l'an 2000 | ||
|
Une fois que les risques sont approuvés, consigner chacun d'eux sur une fiche de renseignements (se référer à l'annexe I). Chaque fiche de renseignements sur le risque servira de référence pour faciliter la gestion des risques identifiés. | Gestionnaire du projet de l'an 2000 |
Nota : La responsabilité attribuée au gestionnaire du projet de l'an 2000 peut être déléguée à d'autres membres de l'organisation, y compris la vérification
Annexe M - Table des matières - Exemple de rapport d'évaluation du risque
Un rapport d'évaluation du risque devrait inclure les points suivants en accord avec les section 3 (Identifier) et 4 (Analyser) du guide.
TABLE DES MATIÈRES
RÉSUMÉ
1. INTRODUCTION
1.1 Contexte
1.2 But
1.3 Portée
1.4 Objets
1.5 Références
2. MÉTHODE
3. RÉSULTATS DE L'ÉVALUATION DES RISQUES
3.1 Sommaire de l'évaluation des risques
3.2 Observations
3.3 Problèmes
3.4 Évaluation
détaillée des risques
3.5 Types de sources
3.5.1 Source des risques
3.5.2 Résultats de l'analyse des sources de
risque
3.6 Types d'intervention
3.6.1 Interventions à l'égard des
risques
3.6.2 Résultats de l'analyse des interventions
à l'égard des risques
4. STRATÉGIES DE GESTION DES RISQUES
4.1 Risques à accepter
4.2 Stratégies d'évitement
4.3 Stratégies de contrôle
4.4 Stratégies de
transfert
5. CONCLUSION
5.1 Prochaine étape
5.2 Conclusion
ANNEXES
Annexe A – Participants à l'évaluation
des risques
Annexe B – Résultats du classement comparatif des
risques
Annexe C – Grille d'évaluation du risque
détaillée (ERD)
Annexe N - Définition des besoins en matière de continuité des opérations - Procédure détaillée
Aperçu de la procédure
Pour assurer la continuité des opérations, il est essentiel de déterminer à quel moment et à quel endroit les plans d'urgence devront être conçus et mis en œuvre. Le tableau ci-après présente les étapes à suivre pour aider les ministères à déterminer ces besoins. Cette procédure devrait être effectuée au cours de l'étape « Analyser ».
| Étapes | Description | Responsable |
|---|---|---|
| 1. Effectuer une analyse des répercussions sur les opérations | À l'aide de la liste de priorité des fonctions essentielles à la mission, de la correspondance des éléments d'actif (étape « Identifier ») et des fiches de renseignements sur le risque (étape « Analyser »), effectuer une analyse des répercussions sur les opérations. Il pourrait être nécessaire d'obtenir des renseignements du bureau du projet/programme de l'an 2000 sur les progrès réalisés pour que les éléments d'actif soient conformes à l'an 2000. | Responsable de la fonction |
| Pour chaque fonction de gestion essentielle à la mission, | ||
| a. Est-ce qu'un risque a été associé à la fonction ou à l'un de ses éléments d'actif? | ||
|
||
|
||
| b. Y a-t-il des éléments d'actif liés à cette fonction qui peuvent être touchés par le problème de l'an 2000 en plus de ceux identifiés au cours de l'évaluation des risques? | ||
|
||
|
||
| c. Est-ce que le ou les éléments d'actif vulnérables au problème de l'an 2000 sont essentiels (ou considérés comme importants) pour la prestation des services de la fonction (ou pour la prestation d'un service minimal acceptable)? | ||
|
||
|
||
| 2. Préparer un plan d'urgence de haut niveau pour l'ensemble de la fonction? | Pour chaque fonction associée à un risque connu (étape 1-a) ou comportant des éléments d'actif vulnérables (étape 1-c), préparer un plan d'urgence pour faire face à une panne éventuelle (peut être appliqué à l'ensemble de la fonction, ou se limiter à un élément d'actif ou à une combinaison d'éléments). | Responsable de la fonction |
| Facteurs à considérer à cette étape : | ||
| 1. Quel est le niveau de fonctionnalité requis pour maintenir un niveau de service acceptable? | ||
| 2. Quel est le niveau minimal acceptable de fonctionnalité pour l'élément d'actif? | ||
| 3. Est-ce que tous les éléments d'actif appartenant à la catégorie sont essentiels à la fonction ou est-ce que seulement une partie pourrait suffire à assurer un niveau minimal de service? | ||
| 4. Quel type de plan d'urgence sera mis en place : manuel, semi-informatisé ou informatisé? | ||
| 5. Calendrier de mise en œuvre | ||
|
||
|
||
|
||
|
||
|
||
| 3. Surveiller les progrès | Pour chaque fonction essentielle à la mission et élément d'actif correspondant : | Responsable de la fonction |
| a. Craint-on qu'il y ait des écarts par rapport au calendrier, des retards successifs, etc.? | ||
|
||
|
||
| b. Est-ce que la situation a évolué de façon telle qu'il faudrait mettre en œuvre le plan d'urgence? | ||
|
||
|
||
| 4. Surveiller les activités de gestion du risque continue | Pour chaque fonction essentielle à la mission et élément d'actif correspondant : a. Est-ce que, d'après les indicateurs sur les fiches de renseignements, un ou des risques sont en train de se concrétiser? | Responsable de la fonction |
|
||
|
||
| b. A-t-on identifié de nouveaux risques? | ||
|
||
|
||
| 5. Passer en revue les rapports de vérification et de validation | Pour chaque fonction essentielle à la mission et élément d'actif correspondant : a. Est-ce que les rapports de vérification et de validation font craindre qu'une fonction ou qu'un élément d'actif ne sera pas prêt pour l'an 2000? | Responsable de la fonction |
|
||
|
||
| b. Est-ce que la situation a évolué de façon telle qu'il faudrait mettre en œuvre le plan d'urgence? | ||
|
||
|
Annexe O - Procédure détaillée – étape « Planifier »
Aperçu de la procédure
L'étape « Planifier » consiste à préparer divers documents de planification ayant des points communs, soit des plans d'action, des plans d'intervention d'urgence et des plans de préparation pour assurer la continuité des opérations. Le tableau suivant indique les étapes à suivre pour élaborer des plans d'action en rapport avec les risques identifiés. Des tables des matières sont fournis pour les autres plans à titre d'exemples.
| Étapes de planification | Description | Responsable |
|---|---|---|
| 1. Tenir un atelier de planification sur le risque. | Identifier les intervenants majeurs du projet de l'an 2000 pour qu'ils participent à un atelier visant à élaborer des plans d'action pour atténuer les risques identifiés. | Gestionnaire du projet de l'an 2000 |
| 2. Déterminer qui est responsable du risque | Répondre à la
question « À qui appartient le
risque? »
Examiner chaque risque consigné dans les fiches de renseignements sur le risque (FRR) pour en évaluer la validité et pour déterminer si le BP de l'an 2000 en est responsable. |
Gestionnaire du projet de l'an 2000 |
| À l'aide du schéma de détermination de la responsabilité (CRM Guidebook, chapitre 6, partie 2), se demander pour chaque risque : | ||
| a. Est-ce que le BP de l'an 2000 est responsable de gérer ce risque? | ||
|
||
|
||
| b. L'organisation fonctionnelle est-elle responsable de gérer ce risque? | ||
|
||
|
||
| 3. Analyser le risque et déterminer la méthode à utiliser pour le gérer. | Répondre à la
question « Comment pouvons-nous
l'aborder? »
Pour chaque risque dont le BP de l'an 2000 (ou une autre organisation – voir étape 2, b) est responsable, vérifier si le risque est bien compris, puis déterminer la méthode appropriée pour l'aborder. |
Gestionnaire du projet de l'an 2000 |
| À l'aide du schéma de détermination de la méthode (CRM Guidebook, chapitre 6, partie 2), se demander pour chaque risque : | ||
| a. Est-ce que le BP de l'an 2000 comprend le risque et celui-ci est-il décrit clairement dans la fiche de renseignements sur le risque? | ||
|
||
|
||
| b. Le BP est-il en mesure d'accepter le risque sans intervenir pour diminuer ou contrôler sa probabilité et ses répercussions (cette question permet de valider l'aspect « Intervention » de la fiche de renseignements sur le risque)? | ||
|
||
|
||
| c. Le BP de l'an 2000 peut-il faire quoi que ce soit à propos de ce risque? A-t-il besoin d'intervenir? | ||
|
||
|
||
| 4. Élaborer des plans d'action | Réponse à la
question « Quelles mesures doit-on prendre et quelle
sera leur étendue? »
Pour chaque risque dont le BP de l'an 2000 est responsable et qui doit être mitiger (évitement) ou surveiller (contrôle) (selon l'issue de l'étape 3 - c), élaborer diverses stratégies visant à y faire face. Cette activité peut être réalisée au moyen d'un remue-méninges. |
Gestionnaire du projet de l'an 2000 |
| Après avoir réalisé cette activité, choisir la meilleure stratégie (ou une combinaison de celles-ci), c'est-à-dire celle qui réduira au minimum la probabilité de concrétisation du risque, de même que ses répercussions négatives. La stratégie privilégiée doit alors être élaborée en précisant un plan d'action pour chaque risque. | ||
| Le plan d'action consiste en une série de mesures qui aideront le BP de l'an 2000 ou la ressource ministérielle à mettre en œuvre la stratégie de mitigation. | ||
| Le plan d'action doit accompagner la fiche de renseignements sur le risque. | ||
| 5. Désigner un responsable du risque au sein du BP de l'an 2000 | Pour chaque risque nécessitant un plan d'action (qu'il appartienne au BP de l'an 2000, ou qu'il ait été transféré à un ministère ou à une autre organisation, comme le SCT), désigner un responsable du risque. Cette personne devra assurer un suivi de l'état de chaque risque, produire des rapports à ce sujet et accomplir d'autres tâches (l'élaboration de plans d'action, par exemple). | Gestionnaire du projet de l'an 2000 |
| 6. Faire en sorte que des plans d'action soient élaborés. | Pour chaque risque
délégué à un ministère ou
transféré à une organisation, le BP de
l'an 2000 doit s'assurer que des plans d'action sont
élaborés dans le cas des risques à
éviter ou à contrôler.
Comme un risque délégué ou transféré peut encore avoir des répercussions négatives sur le projet de l'an 2000, le Bureau de projet doit continuer d'assurer un suivi des activités qui sont consacrées à le mitiger. |
Responsable du risque |
| 7. Mettre en œuvre les plans d'action | Pour chaque plan d'action
élaboré et pour lequel une stratégie de
mitigation du risque (ou d'évitement) était
nécessaire, chaque responsable doit mettre en œuvre les
mesures de la fiche de renseignements avant
l'échéance fixée.
Les activités de mise en œuvre feront l'objet d'un suivi et d'une surveillance afin de déceler tout problème pouvant se produire. |
Responsable du risque |
Nota : La responsabilité attribuée au gestionnaire du projet de l'an 2000 peut être déléguée à d'autres membres de l'organisation, y compris la vérification.
Annexe P - Table des matières — Exemple de plan d'urgence
Un plan d'intervention d'urgence devrait inclure les éléments suivants en accord avec la section 5 (Planifier) du guide.
TABLE DES MATIÈRES
RÉSUMÉ
1. INTRODUCTION
1.1 Contexte
1.2 Objet
1.3 Portée
1.4 Public
1.5 Lien avec d'autres plans/rapports
2. ORGANISATION
2.1 Structure de gouvernance
2.2 Intervenants clés dans la planification des mesures d'urgence pour l'an 2000
3. RÉSULTATS D'ANALYSE DE L'EXPOSITION
3.1 Évaluation de la capacité d'application des mesures d'urgence
3.2 Établissement des priorités des fonctions de gestion
3.3 Évaluation des risques
3.4 Besoins en matière de mesures d'urgence
4. APERÇU DE L'ACTIVITÉ DE PLANIFICATION DES MESURES D'URGENCE
4.1 Gérer le risque de façon continue
4.2 Élaborer des scénarios à appliquer en cas de crise
4.3 Concevoir un plan d'urgence
4.4 Concevoir un plan d'intervention en cas de crise
4.5 Rétablir les opérations
5. FORMATION RELATIVE AUX PLANS D'URGENCE
5.1 Objectifs
5.2 Besoins
5.3 Activités
6. ESSAI DES PLANS D'URGENCE
6.1 Objectifs
6.2 Besoins
6.3 Activités
7. MISE À JOUR DU PLAN D'URGENCE
7.1 Objectifs
7.2 Besoins
7.3 Activités
ANNEXE
Annexe A – Mesures d'urgence pour les fonctions essentielles à la mission
|
FICHE DE RENSEIGNEMENTS SUR LE PLAN D'URGENCE |
|||||
| Ministère/Organisme : | |||||
| 1. Identification du plan d'urgence | |||||
|
Nom de la procédure :
Id. de la procédure : |
Fonction de gestion touchée (Conséquence) :
Id. de la fonction de gestion : |
||||
|
Description de la panne du système/ de l'actif (défaillance d'un élément ou de l'ensemble des actifs) :
|
Déclencheur 1 : | ||||
| Déclencheur 2 : | |||||
| Niveau maximal acceptable de dégradation : | |||||
| Délai maximal acceptable avant la reprise des opérations : | |||||
|
Criticité de la mission :
Administration fédérale r Ministère/organisme r Autre r |
Examens :
Contentieux : r Cabinet du sous-ministre : r |
||||
|
Autorité fonctionnelle (nom) :
Numéro de téléphone : |
Responsable de l'actif (nom) :
Numéro de téléphone : |
||||
| 2. Plans d'urgence | |||||
Procédures d'urgence : (Les responsables des procédures d'urgence peuvent adjoindre une description détaillée de leur procédure.)
|
|||||
|
Principales ressources logistiques : (Emplacement d'outils, du guides, de fournitures et/ou de ressources relatifs à la procédure d'urgence)
|
|||||
|
Procédures d'intervention en cas de crise : (Mesures extraordinaires appliquées uniquement en cas de crise)
|
|||||
|
Procédures de reprise des opérations : (Mesures entreprises pour rétablir le cours normal des opérations)
|
|||||
| 3. Cycle de vie du plan d'urgence : | |||||
| Fréquence de la formation : | Fréquence des essais : | Fréquence de la mise à jour : | |||
| Date de la dernière formation : | Date du dernier essai : | Date de la dernière mise à jour : | |||
| Approbation: | Approbation: | Approbation: | |||
| État de la version (Ébauche ou version finale) : | |||||
| Approbation : | |||||
| Date: | Emplacement du fichier : | ||||
Annexe Q - Procédure détaillée - Exemple de scénario en cas de crise
Cette procédure contribue à la réalisation de l'activité définie à la section 4.2 du plan d'urgence.
Tableau Q-1 – Procédure détaillée d'un scénario en cas de crise
|
Étape |
Description |
Marche à suivre |
| Étape 1 | Déterminer les points vulnérables (Identification des obstacles / Évaluation des risques) |
|
| Étape 2 | Préparer une liste des risques en fonction des priorités et des événements à conséquences majeures |
|
| Étape 3 | Évaluer les capacités |
|
| Étape 4 | Déterminer les objectifs d'un programme de prévention, de préparation et d'intervention (PPI) |
|
| Étape 5 | Préparer un plan d'intervention en cas de crise (dans le cadre du programme PPI élaborer) |
|
| Étape 6 | Élaborer des scénarios |
Avant de mettre le scénario en application :
|
|
Simulation de scénarios (durée prévue : de 4 à 6 semaines)
|
||
|
Exercices (scénarios) (durée prévue : de 6 à 22 semaines)
|
||
Déterminer les objectifs et les points à examiner
|
Annexe R - Table des matières - Modèle de plan d'intervention en cas de crise
Ce document constitue le développement de la section 4.4 du plan de mesures d'urgence
TABLE DES MATIÈRES
RÉSUMÉ
1. PLAN D'INTERVENTION EN CAS DE CRISE – MANDAT
1.1 Définition des objectifs à atteindre en cas de
crise
1.2 Soutien de la direction
1.3 Définition du mandat
1.4 Introduction au plan
1.5 Approbation
2. PLAN D'INTERVENTION EN CAS DE CRISE – ÉVALUATION DU RISQUE / LISTE DE SCÉNARIOS CRÉDIBLES
2.1 Identification des risques
2.2 Niveaux de sécurité à atteindre
2.3 Évaluation des risques
2.4 Réduction et contrôle des risques
3. PLAN D'INTERVENTION EN CAS DE CRISE – ORGANISATION DE L'INTERVENTION
3.1 Organisation au niveau de la direction
3.2 Organisation de l'équipe d'intervention
d'urgence
3.3 Intégration des différents volets (reprise des
opérations, équipes d'intervention, information
publique...)
3.4 Liste des personnes-ressources de l'équipe
d'intervention
3.5 Organisation de l'équipe d'intervention -
Chef de l'équipe
3.6 Liste de personnes-ressources de l'équipe
3.7 Centre de gestion de crise : emplacement, carte des ressources
et fournitures
4. PLAN D'INTERVENTION EN CAS DE CRISE – ÉTAPES DU PLAN D'INTERVENTION
4.1 Seuils de crise et responsabilités en cas
d'alerte
4.2 Activités d'évaluation et de
planification
4.3 Application
5. PLAN D'INTERVENTION EN CAS DE CRISE – ÉVALUATION APRÈS LA CRISE
5.1 Suivi
5.2 Autopsie
5.3 Rapports
6. PLAN D'INTERVENTION EN CAS DE CRISE – PLAN DE COMMUNICATION
6.1 Listes des principales personnes-ressources
6.2 Listes des personnes-ressources secondaires
6.3 Relations avec les médias
7. PLAN D'INTERVENTION EN CAS DE CRISE – CONSIDÉRATIONS LÉGALES ET FINANCIÈRES
8. PLAN D'INTERVENTION EN CAS DE CRISE – PLAN DE FORMATION
8.1 Évaluation
8.2 Méthode
8.3 Programme d'assurance de la qualité
8.4 Exercices (scénarios)
8.5 Répétitions (scénarios)
Annexe S - Table des matières - Exemple de plan de reprise des opérations
Ce document constitue le développement de la section 4.5 du plan d'urgence.
TABLE DES MATIÈRES
1. INTRODUCTION AU PLAN DE REPRISE DES OPÉRATIONS
1.1 Approbation/ Mises à jour
1.2 Renseignements ministériels
1.3 Liste de scénarios
2. PLANIFICATION DE LA REPRISE DES OPÉRATIONS
2.1 Politique relative au Plan de reprise des opérations
(PRO)
2.2 Mandat du PRO
2.3 Points à considérer dans
l'élaboration du PRO
2.4 Options du PRO
2.5 Structure organisationnelle du PRO
Rôles et responsabilités
organisationnels
Équipe de gestion des crises
Équipes chargées du rétablissement de la
production ministérielle
Équipe chargée de l'administration
Équipe chargée de l'équipement
technologique
Autres équipes fonctionnelles
2.6 Programme d'essais et de mise à jour des scénarios du PRO
3. PROCÉDURES D'UTILISATION NORMALISÉES DU PRO
3.1 Activation
3.2 Lignes directrices en matière de communication / de
notification
3.3 Centre de contrôle
4. MESURES DE RÉTABLISSEMENT
4.1 Diagramme de fonctionnement du PRO (notification,
évaluation, planification, mise en oeuvre, fermeture)
4.2 Tâches de l'équipe de gestion de crises
4.3 Tâches de l'équipe d'administration
4.4 Tâches de l'équipe de gestion de
l'équipement technologique
4.5 Tâches de l'équipe de rétablissement
de la production
5. DOCUMENTS DE RÉFÉRENCE EN APPUI AU PRO
| Annexe A | - Renseignements ministériels | ||
| Annexe B | - Plans de localisation des installations | ||
| Annexe C | - Conventions de services d'urgence | ||
| Annexe D | - Liste des clients principaux | ||
| Annexe E | - Liste de matériel et de fournitures pour le PRO | ||
| Annexe F | - Liste d'application de technologie de l'information | ||
| Annexe G | - Liste d'équipement de technologie de l'information | ||
| Annexe H | - Liste d'équipement de bureau | ||
| Annexe I | - Liste d'autre équipement | ||
| Annexe J | - Liste du personnel du ministère | ||
| Annexe K | - Liste des fournisseurs principaux | ||
| Annexe L |
|
||
| Annexe M | - Registre de stockage hors place / de documents essentiels | ||
| Annexe N | - Registre des incidents | ||
| Annexe O | - Liste de l'inventaire critique (basée sur les scénarios) |
Annexe T - Procédure détaillée — étape « Suivre »
Aperçu de la procédure
Le suivi devrait commencer dès le début de la mise œuvre des plans d'action du risque. Le tableau suivant indique les étapes permettant de faire le suivi.
Tableau T-1 – Procédure détaillée pour effectuer le suivi
|
Étapes de suivi du risque |
Description |
Responsable |
||
|
Chaque responsable d'un risque doit recueillir les données sur le risque selon les indicateurs consignés dans la fiche de renseignements sur le risque. | Responsable du risque | ||
| Cette collecte de renseignements s'applique à tous les risques qui doivent être évités ou contrôlés, tel qu'indiqué dans la fiche de renseignements sur le risque. | ||||
| Des données sur les progrès doivent aussi être recueillies au moyen des rapports de progrès du Bureau de projet. | ||||
|
Les renseignements sur le risque et les progrès obtenus à l'étape no 1 doivent être analysés en fonction des limites établies relativement aux plans d'intervention. Les nouveaux renseignements peuvent être comparés aux précédents afin de déterminer si le risque est en train de se concrétiser ou s'il y a des écarts par rapport aux plans. | Responsable du risque | ||
|
Le gestionnaire du projet de l'an 2000 doit vérifier auprès des responsables des risques si leurs plans respectifs sont mis en application et respectent les échéanciers. | Gestionnaire du projet de l'an 2000 | ||
|
À partir des renseignements de l'étape no 2 (dans les FRR) et de l'étape no 3, préparer ou mettre à jour le rapport de situation sur le risque (c.-à-d. le niveau d'exposition à l'interruption des opérations). Le rapport doit indiquer l'état des risques et des plans de façon simple, concise et exacte pour que ces renseignements soient utilisés aux réunions du Bureau de projet et du Comité directeur du projet de l'an 2000. | Gestionnaire du projet de l'an 2000 | ||
|
L'état des risques et des problèmes doit être discuté à la réunion du gestionnaire du projet de l'an 2000 et/ou à la réunion du Comité directeur. | Gestionnaire du projet et responsable du risque |
Nota : La responsabilité attribuée au gestionnaire du projet de l'an 2000 peut être déléguée à d'autres membres de l'organisation, y compris la vérification.
Annexe U - Procédure détaillée — étape « Contrôler »
Aperçu de la procédure
Le contrôle du risque s'effectue lorsqu'on a identifié des écarts par rapport au niveau du risque et aux plans élaborés à l'étape « Planifier ». Le tableau suivant indique les étapes permettant d'assurer le contrôle du risque.
Tableau U-1 – Procédure détaillée pour contrôler le risque
|
Étapes du contrôle |
Description |
Responsable |
||
|
Le gestionnaire du projet de l'an 2000, le responsable du risque et les responsables des plans doivent analyser les rapports de situation produits à l'étape « Suivre »pour déterminer les tendances, les écarts ou les anomalies. Pour ce faire, ils peuvent utiliser un modèle d'analyse cause-effet. | Gestionnaire du projet de l'an 2000 | ||
| Cette étape doit permettre de bien comprendre l'état de chaque risque et de chaque plan pour déterminer quelles mesures doivent être prises. | ||||
|
À partir des renseignements obtenus grâce à l'analyse, le gestionnaire du projet doit choisir l'une des mesures suivantes : | Gestionnaire du projet de l'an 2000 | ||
|
||||
|
||||
|
||||
|
||||
| Chaque fois qu'un problème ne peut être résolu, il faut le renvoyer à un autre niveau de gestion en respectant la structure de gouvernance. | ||||
|
Mettre à exécution la décision de « contrôle » adoptée à l'étape no 2 ci-dessus. | Gestionnaire du projet de l'an 2000 ou autre responsable du risque |
Nota : La responsabilité attribuée au gestionnaire du projet de l'an 2000 peut être déléguée à d'autres membres de l'organisation, y compris la vérification.