ARCHIVÉ - Vérification interne horizontale de la gestion des actifs des technologies de l'information dans les petits ministères et organismes

Cette page a été archivée.

Sommaire exécutif

L'objectif de la vérification était de déterminer si les structures de gestion et de contrôle en place dans les petits ministères et organismes (PMO) constituent un cadre efficace de  gestion des actifs de technologie de l'information (TI). Nous avons également examiné les politiques et les lignes directrices connexes fournies aux PMO par le Secrétariat du Conseil du Trésor du Canada (SCT).

Pourquoi est-ce important?

Le gouvernement du Canada affecte un montant considérable de son budget annuel aux biens et services liés à la TI. En outre, la TI constitue un volet essentiel de la stratégie du gouvernement visant à relever les défis que posent l'augmentation de la productivité et l'amélioration des services au public, au bénéfice des citoyens, des entreprises, des contribuables et des employés. C'est pourquoi il importe de s'assurer que des structures pertinentes sont mises en place pour gérer les biens liés aux TI et les risques qui s'y rattachent, l'acquisition de ces biens et le contrôle de leur rendement. La présente vérification vise à fournir une telle assurance.

Principales constatations

Les PMO ont établi des structures de gouvernance qui cadrent avec la taille et la portée de leurs activités liées aux TI. Nous avons constaté que la plupart des PMO menaient des activités de planification des investissements de TI à court terme, mais de nombreux PMO visés par notre vérification n'avaient pas élaboré de plans à long terme, comme l'exige la Directive sur la gestion des technologies de l'information du Secrétariat du Conseil du Trésor. Néanmoins, compte tenu de la taille et de la portée des activités liées aux TI dans certains PMO, le respect des exigences de la directive dans ce domaine peut être plus exigeant que la valeur ajoutée qu'il apporte. Ainsi, le SCT, organisme central chargé d'établir la politique sur les TI, peut travailler avec les PMO pour déterminer si les politiques actuelles liées à la TI correspondent aux risques liés à la gestion des actifs de TI auxquels sont aux prises les PMO.

Nous avons constaté des preuves que les PMO ont pris en compte le budget requis pour l'acquisition d'actifs de TI durant le cycle de planification budgétaire annuel. Par contre, de nombreux PMO n'ont pas pu prouver qu'ils établissaient en ordre de priorités leurs acquisitions de TI prévues en se fondant sur le cycle de vie des actifs ou d'autres risques. En conséquence, nous ne pouvons pas donner l'assurance que les PMO ont dépensé leur budget de technologie pour acheter des produits de TI ayant la plus grande priorité sur les plans des risques ou des besoins opérationnels ou qu'ils ont remplacé des produits uniquement lorsque cela s'avérait nécessaire et non avant la fin de leur durée de vie utile.

La Politique sur la gestion des technologies de l'information exige que les ministères et les organismes utilisent des actifs et des services de TI partagés, le cas échéant et au besoin; toutefois, certains obstacles législatifs et autres découragent les PMO de se conformer à cette politique. Un groupe de travail du Bureau du contrôleur général du Canada (BCG) travaille actuellement sur la résolution de ces difficultés ainsi que d'autres questions connexes. Néanmoins, nous avons constaté qu'un des PMO avait adopté un modèle de partage d'actifs de TI avec un grand ministère.

La plupart des PMO ne mesuraient pas le rendement de leurs actifs de TI, comme l'exige le Cadre de politique de gestion de la technologie de l'information. Aucun des PMO n'avait établi de cibles et d'indicateurs appropriés, conditions préalables de base à la mesure du rendement. Nous avons remarqué que le SCT a élaboré quelques indicateurs de rendement préliminaires en consultation avec les PMO. Cependant, ces indicateurs n'ont pas été communiqués de manière officielle aux parties intéressées dans les PMO. Par conséquent, nous n'avons observé aucune preuve que les PMO visés par notre vérification les utilisaient.

Conclusion

Dans l'ensemble, nous sommes satisfaits que, compte tenu de la taille et de la portée des activités menées dans les PMO visés par notre vérification, les structures de gestion et de contrôle qui y sont instaurées fournissent un cadre efficace pour la gestion des actifs de TI.

Énoncé d'assurance

La vérification a été effectuée conformément aux Normes relatives à la vérification interne pour le gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de la vérification interne.^[1]

Contexte

La Politique sur la vérification interne du Conseil du Trésor exige que le contrôleur général effectue des vérifications horizontales dans les petits ministères et organismes (PMO). Ces vérifications servent à évaluer les risques qui transcendent les ministères afin de présenter des rapports sur l'état de la gouvernance, des processus de contrôle et de la gestion des risques à l'échelle du gouvernement. Le présent rapport présente les résultats de la Vérification interne horizontale de la gestion des actifs des technologies de l'information dans les petits ministères et organismes. Diverses politiques et directives du Conseil du Trésor, qui sont brièvement présentées dans les paragraphes qui suivent, guident les pratiques de gestion des actifs des technologies de l'information (TI).

La Politique sur la gestion des technologies de l'information a pour objectifs de promouvoir l'utilisation efficiente et efficace des TI à l'appui des priorités gouvernementales et de l'exécution des programmes, d'accroître la productivité et d'améliorer les services au public. L'atteinte de ces objectifs doit déboucher sur des rôles et des responsabilités clairement énoncés pour la gestion des TI au gouvernement du Canada, sur un recours accru aux actifs et services de TI communs ou partagés et sur une meilleure gestion des TI dans l'ensemble du gouvernement, de manière à ce qu'elle appuie l'exécution des programmes et optimise les ressources.

Le Cadre de politique sur la gestion des actifs et services acquis, entre autres, décrit les principaux principes de gestion des actifs, notamment l'utilisation d'une approche en regard du cycle de vie lors de la planification des acquisitions telles que les biens liés à la TI.

La Directive sur la gestion des technologies de l'information établit les exigences précises en matière de gouvernance et de gestion des TI et souligne la nécessité de disposer d'un plan des TI à long terme (cinq ans) intégré au plan d'investissement ministériel qui est examiné et mis à jour annuellement.

La Politique de planification des investissements – Actifs et services acquis exige que les ministères et les organismes élaborent des plans d'investissement qui cadrent avec leur orientation stratégique et prennent en considération le rendement des actifs (y compris les coûts et les risques).

Les PMO du gouvernement fédéral sont extrêmement différents les uns des autres, à divers points de vue, notamment en ce qui concerne leur structure organisationnelle et leur taille, leur budget, la nature de leur travail et leurs relations avec les grands ministères. Le budget des PMO ne dépasse pas les 300 millions de dollars par année, tandis que les dépenses de personnel brutes représentent environ 65 p. 100 des dépenses. Le total de leurs équivalents temps plein varie de 10 à 500 employés. Ces facteurs contribuent à la nature des systèmes et des contrôles financiers mis en œuvre par les PMO à des fins de prise de décisions et de responsabilisation.

Objectifs, portée et approche de vérification

Objectifs et portée

L'objectif de la présente vérification était de déterminer si les structures de gestion et de contrôle en place dans les PMO constituent un cadre efficace pour la gestion des actifs de TI.

La présente vérification a porté sur les systèmes et pratiques de gestion des actifs de TI en place dans un échantillon de PMO en décembre 2009. Elle se concentre sur les structures de gouvernance des TI, les processus de planification de l'acquisition d'actifs de TI, la mesure dans laquelle les PMO ont saisi les possibilités de partager des actifs et des services de TI avec d'autres organismes et les processus utilisés pour mesurer le rendement de leurs actifs de TI. Nous avons aussi examiné les mesures prises et les lignes directrices fournies par le SCT aux PMO à cet égard.

Approche de vérification

L'équipe de vérification se composait de vérificateurs internes du Secteur de la vérification interne du BCG et la vérification s'est effectuée en trois étapes.

Première étape – Planification

Pour que la vérification soit axée principalement sur les secteurs de risque pertinents, nous avons analysé le contexte de la gestion des actifs de TI au gouvernement du Canada en suivant les étapes suivantes :examen des principales politiques et directives pangouvernementales relatives à la TI; entrevues avec des cadres supérieurs des TI du SCT (organisme central du gouvernement chargé de concevoir et de mettre en œuvre les politiques du Conseil du Trésor) et de Travaux publics et Services gouvernementaux Canada (TPSGC) (principal fournisseur de services communs de TI du gouvernement et agent d'approvisionnement central du gouvernement); analyse documentaire des principaux risques et contrôles de gestion des actifs de TI; analyse des systèmes et des pratiques de gestion des actifs de TI en place dans deux PMO; examen des pratiques exemplaires décrites dans le cadre Control Objectives for Information Technology (CobiT). Nous avons également discuté de notre vérification avec des employés du Bureau du vérificateur général participant à la vérification des systèmes de TI vieillissants afin de nous assurer que notre travail ne chevauche pas le travail de vérification d'autres fournisseurs d'assurance. L'annexe A présente les critères qui ont guidé notre vérification.

Pour construire l'échantillon d'organismes en vue de notre vérification, nous avons analysé les résultats de l'évaluation annuelle des pratiques de gestion des TI dans les ministères, la participation antérieure des PMO à d'autres vérifications horizontales et les dépenses des PMO individuels. Cet exercice nous a permis de veiller à ce que notre échantillon final se fonde sur des facteurs liés au rendement et aux dépenses et comprend un éventail d'organismes. En conséquence de cette analyse, nous avons retenu onze PMO. L'annexe B présente la liste des organismes constituant notre échantillon.

Deuxième étape – Examen

Nous avons commencé cette étape en tenant des entrevues avec le personnel chargé de la gestion des actifs de TI dans les PMO retenus. Nous avons ensuite examiné les documents à l'appui afin de corroborer les renseignements recueillis lors des entrevues, notamment des plans de TI ou d'investissement des ministères, des plans d'acquisition d'actifs de TI, des organigrammes, des descriptions de travail, des rapports de gestion du rendement et de l'inventaire des actifs de TI.

Des fiches de renseignements ont été préparées sur chaque PMO et ont été approuvées par ceux-ci avant que l'équipe de vérification commence à rédiger le rapport.

Le BCG a interviewé des représentants du SCT qui s'occupent de la gestion des actifs de TI dans l'ensemble du gouvernement. Il a aussi examiné les documents et les outils qui aident les PMO à gérer leurs actifs de TI, notamment les politiques et les lignes directrices.

De plus, le BCG a consulté des représentants de TPSGC pour comprendre le rôle de leur organisation comme fournisseur de services de TI communs et pour vérifier les faits relatifs à son mandat. Toutefois, TPSGC n'a pas été inclus dans la portée de la vérification.

Troisième étape – Rapport

Après l'étape d'examen détaillé de la vérification, nous avons regroupé nos constatations, afin de dégager tout problème horizontal. Enfin, nous avons rédigé notre rapport final de vérification interne horizontale.