Mai 2010
Page précédente | Table des matières | Page suivante
Cette vérification faisait partie du plan ministériel de vérification et d’évaluation pour l'exercice 2009-2010, qui a été approuvé par le sous-ministre en mai 2009 à la recommandation du Comité consultatif de vérification externe.
La vérification portait sur un secteur à risque élevé soulevé par le dirigeant principal de l'information (DPI) au cours d'entretiens qui ont eu lieu pendant la préparation du plan de vérification. Le DPI a exprimé des inquiétudes à propos de notre capacité de traiter des activités du Ministère liées à la gestion de l'information (GI) et à la technologie de l'information (TI) parce qu'il est difficile de saisir toute l'ampleur et la portée des activités réalisées dans les secteurs de programme.
Les travaux préalables à l'enquête ont été effectués entre avril et juillet 2009. Le programme de vérification a été préparé et approuvé en août 2009, et les travaux sur le terrain ont été réalisés de septembre à décembre 2009.
Le Bureau de gestion du changement du Secrétariat du Conseil du Trésor et le Conseil des dirigeants principaux de l'information ont mis sur pied trois modèles « génériques » pour la prestation des services de TI au sein du gouvernement du Canada, soit pour les gros, les moyens et les petits ministères et organismes. Ces trois modèles ont en commun des services de TI centralisés et assurés par des employés qui relèvent d'un DPI. Dans le présent rapport, ils sont désignés sous le nom de « modèles avec DPI ».
En 2005, Environnement Canada a entamé un processus de transformation des services de TI, d'un modèle très décentralisé à un modèle centralisé, et a créé une nouvelle Direction générale du dirigeant principal de l'information. Pour réaliser cette transformation, le Ministère a nommé un DPI et adopté un modèle modifié pour les gros ministères et organismes. Le Comité exécutif de gestion du Ministère a appuyé la création de cette organisation et son mandat en 2007.
En vertu de l'ancien modèle, les services de TI étaient assurés et dirigés d'une façon très décentralisée. Chaque programme et région disposait de sa propre méthode de prestation de services et stratégie de gouvernance. Le modèle modifié devait être axé sur une prestation centralisée des services de TI, par la Direction générale du dirigeant principal de l'information, et comporter des services spécialisés dont la direction est centralisée, mais qui sont offerts dans les programmes. Ce nouveau modèle devait également appuyer l'objectif du Ministère de mettre en place des services nationaux plutôt que d'offrir des services régionaux comme c'était le cas avant la transformation.
Bien que le modèle avec DPI élaboré par le Conseil du Trésor soit fondé sur la prestation de services centralisés, dans un ministère à vocation scientifique comme Environnement Canada, l'exécution des programmes dans un environnement informatique en temps réel nécessite souvent le soutien d'employés de TI hautement spécialisés. Ces compétences ne peuvent généralement être offertes par des employés de TI moins spécialisés. Par exemple, les développeurs qui peuvent créer des algorithmes dans un environnement de programmation en temps réel, comme ceux qui offrent des services de modélisation climatique et météorologique, sont très peu nombreux.
La modification du modèle avec DPI avait pour but de permettre à ces employés hautement spécialisés de demeurer dans les secteurs de programme tout en étant dirigés sur le plan fonctionnel par le DPI. Par conséquent, de nombreux employés qui avaient été intégrés à des secteurs de programme avant 2005 ont été mutés dans la nouvelle Direction générale du dirigeant principal de l'information, y compris la plupart de ceux qui offraient les services de TI traditionnels. Par ailleurs, de nombreux employés spécialisés sont demeurés dans leur secteur de programme afin d'y recevoir des directives et d'y offrir leurs services.
Dans le présent rapport de vérification, les activités de développement en TI qui sont réalisées dans les secteurs de programme et qui requièrent des compétences spécialisées sont désignées sous le nom d'activités spécialisées en TI, et les employés qui les réalisent sont appelés employés en TI intégrés.
L'évaluation du cadre de responsabilisation de gestion d'Environnement Canada pour l'exercice 2006-2007 a révélé que le DPI ne supervisait directement que 80 % du groupe CS (systèmes d'ordinateurs), ce qui a soulevé des questions quant à la gouvernance du 20 % restant dans les secteurs de programme. Cette situation a été classée comme une « possibilité d'amélioration » quant au niveau d'engagement ministériel dans la gestion de la TI.
Les travaux réalisés durant l'enquête préliminaire ont confirmé que cette observation était toujours valable. À l'aide de renseignements provenant du Système d'information sur la gestion des ressources humaines, nous avons constaté que 16 % des postes pourvus pour le groupe CS étaient à l'extérieur de la Direction générale du dirigeant principal de l'information. Dans le but d'obtenir un portait plus exact des activités spécialisées en TI, il a été nécessaire de tenir compte des employés qui réalisent des activités liées à la TI, mais qui ne font par partie du groupe CS. Même en tenant compte de ces derniers, l'estimation du nombre d'employés intégrés demeure raisonnable.
La plus récente ronde d'évaluation du cadre de responsabilisation de gestion a mis en évidence deux autres secteurs où il existait des possibilités d'amélioration dans le domaine de l'intendance. La planification de la continuité des activités et la gestion de la sécurité en matière de TI représentent des secteurs préoccupants pour le Secrétariat du Conseil du Trésor, car un ministère ne peut protéger les ressources ni continuer à fournir les services dont il ne connait pas l'existence.
Étant donné que les activités spécialisées en TI nécessitent un investissement important, la gouvernance de ces activités est essentielle pour assurer la sécurité des ressources ministérielles et la continuité des services essentiels qui y sont associés. Puisque ces deux secteurs ont récemment fait l'objet d'une autre vérification, ils ont été abordés brièvement dans la présente vérification. Cependant, en raison de la nature très spécialisée des compétences requises pour ce type d'activités, le recrutement et la conservation des employés intégrés, y compris la planification de la relève, deviennent des facteurs très importants pour assurer la continuité des services offerts par ces employés. Pour cette raison, la planification de la relève a été prise en considération de façon particulière durant la vérification.
Au cours de l'enquête préliminaire, l'un des cadres supérieurs a formulé des inquiétudes sur la connaissance de la portée et la nature des données scientifiques du Ministère. Cette question a soulevé un doute quant à savoir si les employés comprenaient tous que les données créées ou recueillies par le Ministère sont la propriété de la Couronne. L'approche « publier ou périr » des scientifiques a également été discutée puisqu'elle peut mener certains d'entre eux à s'approprier les données qu'ils recueillent plutôt que de reconnaître qu'elles appartiennent à la Couronne.
Pour tenir compte de cette inquiétude, la portée de la vérification a été élargie de façon à inclure la gouvernance des données découlant d'activités spécialisées en TI à Environnement Canada. Cependant, puisqu'une vérification est prévue au cours de l'exercice 2010-2011 sur la gouvernance de la gestion de l'information, nous avons décidé de nous limiter à la gouvernance des données scientifiques qui ont été créées ou recueillies par le Ministère et qui appartiennent à la Couronne. Toutefois, nous sommes conscients que les activités liées à la TI ne sont pas réalisées en vase clos et que celles liées à la GI forment une partie des quatre domaines d'activités relevés par le Bureau du contrôleur général en matière de TI.
Un autre indicateur qui a fait l'objet d'une « possibilité d'amélioration » dans les évaluations du cadre de responsabilisation de gestion pour 2006 et 2007 est la mesure de la valeur tirée des investissements dans la TI. La nouvelle directive du Conseil du Trésor sur la gestion des technologies de l'information met davantage l'accent sur cette exigence en attribuant aux DPI la responsabilité de surveiller et de mesurer le rendement au chapitre de la gestion de la TI à l'aide d'indicateurs de rendement ministériels et gouvernementaux. Dans le cadre des discussions à cet égard, nous nous sommes penchés sur la façon dont les activités spécialisées en TI sont rapportées au DPI de façon à ce qu'il puisse respecter les exigences de surveillance énoncées dans cette directive.
L'objectif de cette vérification consiste à s'assurer que la gouvernance des activités spécialisées en TI ainsi que la gestion des risques et les contrôles qui appuient cette gouvernance au sein d'Environnement Canada sont adéquats et suffisants.
Elle porte sur les activités spécialisées en TI dans le contexte de la gouvernance générale des activités du Ministère liées à la TI. Par ailleurs, la GI a été abordée, mais uniquement en ce qui concerne la gestion des données qui sont recueillies et tenues à jour par des ressources spécialisées en TI ou qui se trouvent dans les systèmes conçus par celles-ci. Une enquête a été menée sur la gouvernance des employés intégrés, puisque la qualité de cette gouvernance reflète celle pour les applications et les actifs.
La portée de la vérification était nationale; des entretiens ont eu lieu avec des employés de la région de la capitale nationale et de certains bureaux régionaux.
La vérification a été réalisée selon les normes relatives à la vérification interne au sein du gouvernement du Canada et le Cadre international de référence des pratiques professionnelles de l'Institut des vérificateurs internes. Les méthodes suivantes ont été utilisées :
Les critères qui définissent nos attentes pour cette vérification s'appuient sur le cadre COBIT 4.1 (Control Objectives for Information and related Technology) pour la gouvernance en matière de TI. Ces critères se trouvent à l'annexe 1 ci-dessous.
COBIT est un cadre reconnu à l'échelle internationale pour la gouvernance en matière de TI. Il met l'accent sur les processus nécessaires à la réalisation des activités liées à la TI, y compris les fonctions de GI. Dans une annexe de son cadre stratégique de gestion financière, le Conseil du Trésor a adopté COBIT dans les termes suivants :
« Les cadres de contrôle pour la technologie de l'information (TI) relativement au contrôle interne exercé sur les rapports financiers…. sont une structure de contrôle adéquate pour la technologie de l'information (TI) relativement aux contrôles internes ministériels exercés sur les rapports financiers et les procédures de sécurité d'accès. Le Conseil du Trésor stipule que ces cadres de TI devraient inclure à tout le moins :
Dans le profil du cadre des programmes des services de TI du gouvernement du Canada, le Conseil du Trésor appuie le cadre COBIT en indiquant :
« COBIT fournit un modèle de référence des pratiques exemplaires de l'industrie pour les procédés communs de gouvernance et de gestion de la TI dans quatre groupes : planifier et organiser, acquérir et mettre en œuvre, livrer et soutenir, surveiller et évaluer. La Bibliothèque de l'infrastructure de la TI (ITIL™) fournit un cadre des procédés communs de TI pour les procédés de prestation et de soutien des services (cadre de gestion des services de TI). »5
Cette vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de la vérification interne et à la Politique sur la vérification interne du Conseil du Trésor du Canada.
Selon notre jugement professionnel, on a utilisé un nombre suffisant de procédures appropriées et réuni suffisamment d’éléments de preuve pour étayer l'exactitude des conclusions énoncées dans le présent rapport. Celles-ci sont fondées sur une comparaison des situations existantes au moment de la vérification par rapport aux critères de vérification.
4 Rapport du Comité supérieur sur l'examen du cadre de gestion financière du gouvernement, annexe E-3 (www.tbs-sct.gc.ca/fm-gf/ktopics-dossiersc/gapr-pcrg/framework-cadre/framework-cadre12-fra.asp).
5 Profil des services de la technologie de l'information du GC, chapitre 3.0 (www.tbs-sct.gc.ca/cio-dpi/webapps/technology/profil/profil04-fra.asp).
Page précédente | Table des matières | Page suivante