Audit de la gouvernance en gestion de l’information et technologie de l’information
Affaires mondiales Canada
Bureau du dirigeant principal de l’audit
Date de dépôt
Septembre 2018
Table des matières
Sommaire
Portée
L’audit visait à fournir l’assurance que les structures, les mécanismes, les responsabilités et les ressources en matière de gouvernance sont en place pour assurer la gestion efficace de la gestion de l’information et la technologie de l’information (GI/TI) dans l’ensemble du Ministère, et que les structures de gouvernance garantissent la responsabilisation en matière de GI/TI.
L’audit portait sur les activités de gouvernance en matière de GI/TI réalisées durant les exercices 2016 2017 et 2017 2018 ayant une incidence sur la gestion de la GI/TI à l’administration centrale et dans les missions.
Importance
La GI/TI est essentielle afin de permettre aux grandes organisations de mener leurs activités efficacement et d’offrir des services utiles. Toutes les fonctions d’une organisation sont touchées par l’évolution rapide des innovations en GI/TI. L’environnement de GI/TI à Affaires mondiales Canada (le Ministère) est complexe; il englobe l’administration centrale et les bureaux régionaux au Canada ainsi que le réseau canadien de 178 missions dans 110 pays du monde. Ce réseau héberge 31 organisations partenaires dans ses missionsFootnote 1.
La gouvernance de GI/TI fait partie intégrante de la gouvernance à l’échelle de l’organisation et elle exige un rôle de chef de file et des structures organisationnelles pour s’assurer que la GI/TI au Ministère appuie les stratégies et les objectifs de l’organisation et lui permet d’en élargir la portéeFootnote 2.
Pendant l’exercice 2016-2017, les dépenses du Ministère dans la réalisation d’activités et l’élaboration de projets de GI/TIFootnote 3ont été d’environ 120 millions de dollars.
Constatations
L’audit a permis de constater que les structures, les mécanismes et les ressources de gouvernance et la responsabilisation à cet égard sont en place pour surveiller la GI/TI dans l’ensemble du Ministère. Cependant, des faiblesses ont été cernées dans les domaines suivants : la conception du cadre de gouvernance et le fonctionnement des organes de surveillance; la surveillance des projets de GI/TI; la communication avec les ministères partenaires au sujet des exigences en GI/TI; le suivi du rendement lié aux services fournis et des renseignements portant sur les capacités des ressources humaines.
Points en particulier à améliorer :
- Il n’existe pas d’organe de surveillance de la haute direction voué à la GI/TI.
- Les mandats des organes de surveillance ministériels et les organes de surveillance de la GI/TI en particulier se chevauchent.
- Certains organes de surveillance de la GI/TI ne fonctionnent pas comme prévu, entre autres en raison de leur inactivité et de la faible participation, ce qui entraîne des problèmes liés au rendement.
- Les projets de GI/TI ne sont pas tous conformes aux mêmes mécanismes de surveillance de la mise en œuvre des projets.
- Une tribune de communication officielle n’a pas été mise en place pour permettre à AMC et à Services partagés Canada (SPC) de discuter des exigences et des difficultés en matière de GI/TI avec les ministères partenaires.
- Les organes de surveillance de GI/TI reçoivent trop peu de renseignements pour effectuer une surveillance efficace du rendement des services ministériels de GI/TI et du degré de capacité des ressources humaines en GI/TI.
Recommandations
Compte tenu des conclusions, l’équipe de l’audit a émis les recommandations suivantes :
- Le sous-ministre adjoint (SMA) du Secteur de la planification ministérielle, de la finance et de la TI (SCM) devrait mettre sur pied un comité directeur de GI/TI à l’échelle des SMA qui aurait le mandat de donner une orientation stratégique et de prendre des décisions en matière de GI, de TI et de gestion des données. Le SMA de SCM devrait également modifier le mandat du Comité stratégique de GI/TI pour que celui-ci soit chargé d’examiner et de recommander les plans, les investissements et les politiques de GI/TI ainsi que de surveiller le rendement en matière de GI/TI.
- Le SMA de SCM devrait rendre obligatoire l’assujettissement de tous les projets axés sur la GI/TI au processus ministériel d’évaluation initiale des projets et à la méthode de gestion des projets approuvée par le dirigeant principal de l’information (DPI) en vue d’assurer la cohérence dans le développement et l’intégration d’applications.
- Le SMA de SCM devrait rencontrer régulièrement les SMA concernés des principaux ministères partenaires dans le réseau international ainsi que les responsables de SPC pour discuter des initiatives et des enjeux de GI/TI dans les missions à l’étranger.
- Le SMA de SCM devrait s’assurer de la production de rapports réguliers sur le rendement lié aux services et la capacité des ressources humaines à l’intention de l’organe de gouvernance propre à la GI/TI au plus haut niveau.
Énoncé de conformité
Selon mon jugement professionnel en tant que dirigeant principal de l’audit, le présent audit a été mené conformément aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes et conformément à la politique et à la directive du Conseil du Trésor sur l’audit interne, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité. Les procédés d’audit appliqués et les éléments de preuve recueillis sont suffisants et appropriés pour appuyer l’exactitude des constatations et la conclusion formulée dans ce rapport, et pour fournir le niveau d’assurance que procure un audit. Les constatations et la conclusion reposent sur une comparaison entre les conditions qui existaient au moment de l’audit et les critères d’audit préétablis convenus avec la direction. Elles s’appliquent uniquement à l’entité examinée ainsi qu’à la portée et à la période visées par l’audit.
Dirigeant principal de l’audit
1. Contexte
L’audit de la gouvernance de la gestion de l’information et de la technologie de l’information (GI/TI) est intégré au Plan d’audit axé sur le risque 2017-2020 d’Affaires mondiales Canada, qui a été recommandé par le Comité ministériel d’audit et approuvé par le sous-ministre le 8 mai 2017.
Le Cadre stratégique pour l’information et la technologie du Conseil du Trésor (CT) définit la gestion de l’information comme étant une « discipline qui oriente et appuie une gestion efficace et efficiente de l’information au sein d’un organisme, depuis l’étape de la planification et de l’élaboration des systèmes jusqu’à celle de l’élimination de l’information ou de sa conservation à long terme » et la technologie de l’information comme étant « tout équipement ou système qui sert à l’acquisition, le stockage, la manipulation, la gestion, le déplacement, le contrôle, l’affichage, la commutation, les échanges, la transmission ou la réception automatiques de données ou d’information. Elle englobe la conception, le développement, l’installation et la mise en œuvre de systèmes et d’applications informatiques visant à répondre à des besoins opérationnels. »
Le Cadre stratégique pour l’information et la technologie vise à fournir « les principes directeurs pour assurer de saines pratiques de gestion de l’information et de la technologie dans l’ensemble du gouvernement » ainsi qu’à donner « le contexte stratégique de la Politique sur la gestion de l’information et la Politique sur la gestion des technologies de l’information ». Aux termes de ce cadre stratégique, l’administrateur général est responsable de la gestion efficace de l’information et des technologies à l’échelle du Ministère, de la mise en œuvre efficace des décisions en matière d’investissements, de gestion de l’information et de la technologie, et de la mesure soutenue du rendement en ce qui a trait à la gestion de l’information et de la technologieFootnote 4. Aux termes de la Politique sur la gestion des technologies de l’information du CT, mise à jour le 1er avril 2018, les administrateurs généraux sont chargés d’assurer la gouvernance et la surveillance efficace et efficiente au sein de leurs ministères, y compris les décisions relatives aux investissements en matière de TI, la gestion courante, la conformité avec la Politique, les normes et les directives et l’évaluation du rendement. En ce qui a trait aux investissements, la Politique précise également que les administrateurs généraux sont chargés de veiller à ce que le plan d’investissement ministériel de la TI soit intégré aux plans d’activités généraux du ministère.
La gouvernance en GI/TI fait partie intégrante de la gouvernance de l’organisation. Elle comprend un leadership et des structures et processus opérationnels qui veillent à ce que la GI/TI des organisations appuie les stratégies et les objectifs organisationnels et lui permette d’en élargir la portéeFootnote 5. La GI/TI est essentielle aux activités et à l’exécution des programmes d’Affaires mondiales Canada ainsi qu’aux programmes internationaux de ses ministères et organismes partenaires. L’environnement de GI/TI du Ministère est complexe; il comprend l’administration centrale et les bureaux régionaux au Canada de même que le réseau canadien composé de 178 missions dans 110 pays du monde entier. Ce réseau accueille 31 organisations partenaires en co-occupation dans ses missionsFootnote 6. Conjointement, le Ministère et SPC appuient l’infrastructure mondiale de GI/TI qui dessert le réseau canadien des missionsFootnote 7. Les dépenses de GI/TI du Ministère pour l’exercice 2016-2017 ont été d’environ 120 millions de dollars dans la réalisation d’activités et l’élaboration de projets de GI/TIFootnote 8.
La structure de GI/TI du Ministère vise à mobiliser la haute direction d’AMC et les ministères et organismes partenaires pour établir l’orientation des investissements en GI/TI, superviser les systèmes, services et projets essentiels des missions et mettre en place des politiques et des normes de services de GI/TI à l’échelle de l’organisationFootnote 9. Elle se compose de neuf principaux comités qui couvrent trois niveaux de gouvernance (voir l’annexe B, Figure 1), en plus de comités de niveau inférieur (voir l’annexe B, Figure 2) et de groupes de travail ponctuels qui appuient les principaux comités. (Consultez l’annexe C pour une description du cadre de gouvernance)
Le SMA de SCM est responsable de la fonction de GI/TI du Ministère. Il occupe maintenant le rôle de DPI et s’acquitte de ses responsabilités. Entre autres, ces responsabilités incluent la gouvernance de l’environnement ministériel de GI/TI et la prise de décisions opérationnelles liées aux services ministériels de GI/TIFootnote 10. Les responsabilités centrales relatives à la fonction de DPI sont gérées par l’intermédiaire de la Direction générale de la GI/TI (SID). Le poste de directeur général de SID était vacant depuis septembre 2017 et des employés de SID remplissaient ce rôle de façon intérimaire par rotation, mais un nouveau directeur général permanent de SID a été nommé en juillet 2018.
Actuellement, SID fait l’objet d’un processus de transformation afin d’accroître sa valeur opérationnelle, de se centrer davantage sur les clients, de se doter d’un effectif hautement qualifié et ayant une grande capacité d’adaptation et d’établir une prestation de services de GI/TI modernes.
2. Observations et recommandations
2.1 Cadre de gouvernance en GI/TI
Organes de surveillance
Conception de la structure de gouvernance
L’équipe de l’audit s’attendait à trouver une structure de gouvernance de la GI/TI intégrée à la structure de gouvernance ministérielle et comprenant des organes de gouvernance internes pour appuyer la surveillance de la GI/TI ainsi que des rôles, des responsabilités et des obligations consignés et communiqués. L’équipe de l’audit s’attendait également à ce qu’un organe de surveillance soit en place pour fournir une orientation et une surveillance stratégiques sur la GI, la TI et les données, étant donné leur nature évolutive et leur importance fondamentale dans les activités.
L’équipe a constaté qu’une structure de gouvernance de GI/TI était en place à divers niveaux au Ministère. À l’échelon sous le Conseil exécutif, on a constaté que les organes ministériels de surveillance de niveau 2 suivants avaient des responsabilités liées à la GI/TI :
- Le Comité de gestion ministérielle (CGM) est chargé d’approuver des documents de planification du Ministère, d’examiner des initiatives de GI/TI du point de vue de la gestion ministérielle et de fournir un leadership, une orientation stratégique et une surveillance ministériels à l’égard de la GI/TI. Son rôle inclut l’examen du plan annuel de TI;
- Le Comité de gestion des ressources (CGR) est chargé de superviser la concordance de la planification des investissements, y compris des ressources de GI/TI, en fonction des priorités ministérielles et de fournir un leadership, une orientation stratégique et une surveillance de l’harmonisation des ressources financières et non financières et des ressources humaines avec les priorités ministérielles. Il se charge également de l’examen du plan annuel de TI;
- Le Comité directeur des SMA sur la sécurité a pour objectif de fournir une orientation et une surveillance stratégique et intégrée en matière de sécurité et de protéger les renseignements et les biens.
Sous cet échelon se trouvent les comités de niveau 3, qui sont axés sur la GI/TI en particulier. Parmi ceux-ci, mentionnons le Comité de stratégie en GI/TI (CSG), le Conseil de la gouvernance de l’information et des données (CGID) et le Comité des directeurs généraux sur la sécurité, dont relèvent des comités et des groupes spécialisés de GI/TI.
- Le CSG est un comité de GI/TI à l’échelon des directeurs généraux responsable de l’examen et de l’approbation ou du rejet des plans stratégiques et des instruments de politiques liés à la GI/TI ainsi que de l’évaluation, de l’établissement de priorités, de l’approbation ou du rejet et de la surveillance des nouveaux investissements de GI/TI (projets). Son rôle comprend l’examen du processus annuel d’établissement des priorités parmi les projets et du plan de TI.
- Le CGID est un comité à l’échelon des directeurs généraux, mis sur pied en tant qu’organe stratégique faisant autorité pour l’examen des plans et des instruments de politiques en vue de superviser les données, les connaissances et les activités de renseignements de même que la mise en œuvre de la stratégie de GI et les priorités du gouvernement du Canada. Le Groupe consultatif de gestion des connaissances et de gestion de l’information (GCGCGI) et le Groupe consultatif de la gestion des données (GCGD) relèvent du CGID en vue de fournir une tribune aux parties prenantes du milieu des affaires et aux praticiens des données pour discuter de la gestion des données, de l’information et des connaissances opérationnelles.
- Le Comité des directeurs généraux sur la sécurité veille à ce qu’une approche intégrée soit adoptée dans la mise en œuvre de mesures d’atténuation fondées sur le risque pour protéger la sécurité des employés, des activités, du milieu physique et de la GI/TI. Ce comité est responsable de formuler des recommandations sur les politiques au niveau opérationnel au sujet de questions de sécurité complexes ou exceptionnelles liées à la GI/TI et à leur mise en œuvre. La GI/TI est un point permanent à l’ordre du jour de ce comité. Le Comité relève du Comité directeur des SMA sur la sécurité.
D’après le mandat des comités mentionnés précédemment, l’équipe de l’audit a constaté qu’un cadre de gouvernance a été établi et intégré en partie dans la structure de gouvernance ministérielle, et que les mandats, les membres, les rôles et responsabilités et la fréquence des réunions de ces comités sont consignés et communiqués.
Cependant, l’audit a permis d’observer que le CSG et le CGID partagent certaines responsabilités, particulièrement en ce qui a trait à la surveillance de la planification stratégique de la GI et à l’établissement de politiques connexes. En plus d’un dédoublement dans le mandat, on a aussi remarqué que lorsque le CGID a été actif pour la dernière fois, huit de ses membres faisaient également partie du CSG, ce qui représente un tiers des membres du CSG. Cette situation a entraîné un chevauchement de la gouvernance relative aux questions propres à la GI/TI.
L’audit a permis de découvrir qu’en 2017-2018, le CSG de niveau 3 se limitait à prendre des décisions pour approuver le plan de TI, l’établissement de priorités parmi les projets, et des politiques. Puisque le plan de TI est également déposé devant le CGR et le CGM en vue d’assurer une approche coordonnée et holistique dans l’affectation des ressources ministérielles qui s’harmonise aux priorités opérationnelles du Ministère, il est peu clair si l’étape d’approbation par le CSG est nécessaire. Le chevauchement des mandats de ces organes n’offre pas un processus de prise de décisions efficace.
En plus d’un certain chevauchement des mandats et de la prise de décisions, l’audit a permis de constater que le cadre de gouvernance ne comportait pas d’organe de surveillance à l’échelon de la haute direction voué à donner une orientation stratégique à la GI/TI. De façon semblable au Comité directeur des SMA sur la sécurité, cet organe offrirait une tribune pour permettre aux hauts cadres de discuter des exigences, des stratégies et des investissements en matière de GI/TI afin de faciliter la cohérence et l’harmonisation des activités avec les priorités ministérielles. Sans un tel organe, il existe un risque que des données, des renseignements et des technologies ne reçoivent pas une orientation stratégique suffisante pour appuyer les besoins collectifs du Ministère de manière cohérente et optimale.
Fonctionnement des organes de surveillance
L’équipe de l’audit a observé un certain nombre de problèmes liés au fonctionnement de multiples comités, y compris l’inactivité, la mise sur pied incomplète et l’absentéisme.
En particulier, les principaux comités liés à la GI étaient inactifs au moment de l’audit, entre autres le CGID et ses comités de niveau 4, le GCGD et le GCGCGI. Plus particulièrement, au cours de l’exercice 2017-2018, le CGID et le GCGD se sont réunis deux fois, et le GCGCGI, trois fois. De plus, les dernières réunions ont eu lieu en juin 2017. Même si l’on a observé des preuves de discussions périodiques sur la GI au sein du CSG et la présentation de certaines questions importantes au CGM à des fins d’orientation, il existe un risque que la GI ne fasse pas l’objet d’une surveillance adéquate.
En ce qui concerne le CSG, l’équipe de l’audit a constaté que la participation de membres du Comité représentant les secteurs d’activités était faible. D’après le rapport de présence dans les comptes rendus du Comité, le quorum des membres n’a été atteint que deux fois dans les dix réunions tenues en 2017‑2018. Il y a aussi des cas où des décisions ont été prises au cours de réunions sans quorum. De plus, des délégués de membres du comité sont souvent présents à ces réunions, puisque certains membres envoient toujours des délégués. La faible participation des membres aux réunions réduit l’efficacité du Comité dans l’accomplissement de son mandat. Les personnes interrogées ont indiqué que la nature et le contenu des sujets discutés lors des réunions sont complexes et difficiles à suivre pour les personnes qui n’ont pas certaines connaissances fondamentales en GI/TI, ce qui peut entraîner un manque de participation de la part des parties prenantes du milieu des affaires lors des réunions et compliquer davantage la question de la participation. L’équipe de l’audit a observé que plus de 90 % (soit 36 sur 39) des points à l’ordre du jour des réunions du CSG étaient inscrits à titre de renseignement ou de mise à jour, et que les membres qui représentent un secteur d’activités n’avaient pas présenté de points à l’ordre du jour. Ensemble, ces constatations montrent ce comité dans un rôle plutôt passif.
Étant donné que les principaux comités de GI/TI à l’échelon des directeurs généraux étaient inactifs ou éprouvaient des difficultés liées à l’absentéisme et à la faible participation, en plus des chevauchements pour ce qui est des mandats et des membres, l’équipe de l’audit a observé que la structure de gouvernance ne fonctionnait pas de manière optimale, puisque certains rôles et responsabilités n’étaient pas remplis. Par conséquent, le Ministère court le risque d’assurer une surveillance inefficace des activités de GI/TI.
Orientation, planification et politiques stratégiques en matière de GI/TI
L’équipe de l’audit s’attendait à voir des mécanismes de gouvernance en place pour établir l’orientation stratégique des activités de GI/TI, en harmonie avec les priorités du Ministère et du gouvernement du Canada. Cette orientation stratégique se refléterait dans la planification et les documents d’orientation de la GI/TI, lesquels seraient intégrés dans la planification des activités ministérielles et tiendraient compte de l’affectation des ressources de GI/TI. Elle s’attendait également à ce que des politiques et des procédures directrices en matière de GI/TI complètes et à jour soient en place.
Au cours d’un examen des documents de planification stratégique du Ministère et d’entrevues avec la direction de SID, l’équipe de l’audit s’est aperçue que les priorités stratégiques de GI/TI étaient harmonisées avec les priorités du Ministère et du gouvernement du Canada et qu’elles se reflétaient dans les principaux documents de planification du Ministère. Par exemple, le plan de TI d’AMC de 2018 à 2021 comprend l’harmonisation des priorités opérationnelles définies dans le plan ministériel 2018‑2019 ainsi que les priorités et les mesures stratégiques du gouvernement du Canada cernées dans le plan stratégique du gouvernement du Canada pour la GI et la TI de 2017 à 2021. Le plan de TI renfermait des considérations liées aux finances et aux ressources humaines, y compris la ventilation par catégorie de dépenses et secteur de programmes. Le document actuel d’orientation en matière de GI, soit la Stratégie de GI 2014-2017, a été prolongé et demeurera en place jusqu’en 2018-2019 et il définit les priorités et les initiatives du gouvernement du Canada et du Ministère. Cependant, cette stratégie risque de devenir désuète et non conforme aux priorités après sa prolongation en 2018. La direction de SID a indiqué qu’elle prévoyait remplacer cette stratégie, probablement par un plan numérique intégré de GI/TI. L’équipe de l’audit a noté que le processus de planification de la GI/TI comportait une étape pour sonder les SMA du Ministère afin de recueillir leurs commentaires sur les priorités, même si, comme on l’a mentionné précédemment, il n’existe pas de comité directeur de GI/TI à l’échelon des SMA voué à fournir une orientation stratégique et des priorités au processus de planification de la GI/TI.
L’audit a permis de constater que le Ministère se conforme aux exigences liées à la GI/TI énoncées dans les politiques, les normes, les directives et les lignes directrices du gouvernement du Canada, y compris l’établissement d’une stratégie pour améliorer la GI, la mise en œuvre d’un processus d’évaluation en fonction des objectifs de la politique de GI et l’examen et l’évaluation périodiques des services de TI fournis aux parties prenantes. L’équipe a observé que des principes et des politiques étaient en place pour appuyer la prise de décisions. De plus, l’équipe de l’audit a observé que le Ministère avait diverses anciennes politiques qui sont en attente d’une mise à jour, une fois qu’un nouvel ensemble de politiques de TI du CT sera publié, en vue d’assurer l’harmonisation des politiques ministérielles avec les orientations du CT.
Prise de décisions
L’équipe de l’audit s’attendait à ce que les décisions de gouvernance en matière de GI/TI soient prises de manière uniforme et en temps voulu.
Les principales décisions de GI/TI prises par les organes de surveillance comprennent l’examen et l’approbation du plan de TI et de la stratégie de GI, l’établissement de priorités en matière d’investissements et l’élaboration de politiques de GI/TI.
L’équipe s’est aperçue que le plan de TI de 2018 à 2021 avait été examiné et approuvé par le CSG, qui est conforme à son mandat, bien que la décision ait été prise au cours d’une réunion sans quorum. Le plan de TI a ensuite été soumis au CGM à des fins d’approbation pour fournir un leadership et une orientation stratégique au Ministère, et au CGR pour effectuer une surveillance au sujet de l’harmonisation de la planification des investissements en fonction des priorités ministérielles. Au bout du compte, le plan de TI de 2018 à 2021 a été officiellement approuvé par le sous-ministre des Affaires étrangères.
L’équipe de l’audit s’attendait à ce que les organes de gouvernance de GI/TI d’AMC accordent la priorité aux projets et aux investissements en GI/TI. La planification de projets de GI/TI découle d’un processus d’évaluation initiale ascendant, dans lequel des projets de TI sont proposés ou des difficultés opérationnelles liées à la GI/TI sont cernées par les secteurs et présentées à SID. Ce processus d’évaluation initiale aide à déterminer quels projets doivent être mis en œuvre en priorité. AMC a un processus permettant d’établir la priorité entre les projets qui repose sur le Cadre d'établissement des priorités de TI normalisé du gouvernement du Canada prescrit par le Secrétariat du Conseil du Trésor (SCT). Ce cadre classe les projets réalisables en utilisant les facteurs du gouvernement du Canada à 85 % (entre autres l’harmonisation avec les priorités du gouvernement du Canada, le soutien d’un service essentiel et la réalisation d’avantages) et ceux du Ministère à 15 % (entre autres l’alignement sur le mandat du Ministère et le règlement d’un problème constant de GI/TI). C’est SID qui mène ce processus d’établissement de priorités parmi les projets, et le processus d’attribution des notes (y compris les facteurs du Ministère) et la liste finale des projets prioritaires est présentée au CSG à des fins d’approbation. La liste des projets prioritaires est incluse dans le plan annuel de TI, qui établit les priorités parmi les projets du Ministère pour ce dernier et SPC. Ce processus est nécessaire puisqu’il y a toujours plus de projets cernés (soit 77 dans le plan triennal de 2018 à 2021) qu’il n’y a de capacité pour les réaliser.
Comme dans le cas du plan de TI de 2018 à 2021, l’équipe de l’audit a constaté que l’évaluation initiale des projets et l’établissement de priorités parmi ceux-ci pour 2018-2019 avaient été approuvés par le CSG, bien que ce soit à l’occasion d’une réunion où le quorum n’avait pas été atteint. Comme on l’a observé, les projets mis en priorité sont inclus dans le plan annuel de TI, qui est également examiné et approuvé par le CGM et le CGR. Bien que ces deux comités aient examiné le plan de TI, rien ne permet de conclure qu’un examen détaillé des résultats du processus d’établissement des priorités parmi les projets a eu lieu au sein de ces organes. L’audit a aussi permis de constater que la marge de manœuvre des organes de surveillance ne permet guère de remettre en question et de rajuster l’ordre final de priorité des projets, puisqu’il est fourni selon une méthode prescrite par le gouvernement du Canada. Les personnes interrogées sont préoccupées par le fait que cette méthode ne tient pas suffisamment compte des besoins opérationnels du Ministère, ce qui pose certaines difficultés dans l’harmonisation des investissements en TI avec ces besoins.
En ce qui concerne les décisions sur les politiques en matière de GI/TI, l’équipe de l’audit a constaté qu’en 2017-2018, le CSG avait approuvé une politique sur l’utilisation d’un seul appareil mobile au cours d’une réunion où le quorum avait été atteint.
L’audit a permis de s’apercevoir que la surveillance des problèmes opérationnels de GI/TI gérés par SID, qui représente la majorité des dépenses du Ministère en GI/TI, est effectuée par le Comité des opérations de GI/TI, qui se compose de membres de la haute direction de SID. Ce comité a pour but d’assurer une prestation uniforme et efficace des services et du soutien, en veillant à l’examen, à la discussion, à la recommandation, à la résolution des problèmes et à l’approbation ou au rejet des demandes d’opérations courantes de GI/TI d’AMC inhabituelles. Un examen des comptes rendus du Comité des opérations a permis de constater que ce groupe prend régulièrement des décisions.
Fonctionnement global des organes de surveillance
Compte tenu du chevauchement des mandats et des prises de décision en matière de GI/TI entre les organes de surveillance ministériels et les organes de niveau 3 de GI/TI, il y a un risque que le cadre de gouvernance ne soit pas conçu pour être efficace, et étant donné que les organes de niveau 3 ne fonctionnent pas comme prévu, il y a un risque que le cadre ne soit pas efficace à l'heure actuelle. Il n'est pas clair que le CSG soit un organe de prise de décision, car les quelques décisions du CSG font double emploi avec celles des comités de niveau supérieur. Compte tenu du temps et des ressources considérables investis dans le fonctionnement des comités de niveau 3, il n'est pas clair que l'investissement apporte une valeur ajoutée significative. Un organe de gouvernance davantage axé sur la surveillance des services et des investissements en GI/TI, ainsi que sur l'examen et l'approbation des politiques et des plans de GI/TI, pourrait être mieux placé pour ajouter de la valeur aux comités de niveau 2 et à la fonction GI/TI, compte tenu de ces constatations et de celles qui sont présentées plus loin dans le présent rapport.
Comme nous l'avons déjà mentionné dans le rapport, le cadre de gouvernance ne comprend pas de comité directeur de la GI/TI au niveau des SMA se consacrant à fournir une vision stratégique et cohérente de l'orientation des opérations et des investissements en GI/TI. Cette lacune expose la GI/TI au risque de ne pas obtenir suffisamment d'orientation stratégique et cohérente ni d'établissement des priorités. Tout comme le Comité directeur des SMA sur la sécurité, cet organe pourrait travailler en étroite coordination avec le CGM et le CGR pour favoriser une prise de décision efficace au niveau de la haute direction en matière de GI, de TI et de données qui s'harmonise avec les priorités d’AMC. Cet organe pourrait alors être appuyé par un comité opérationnel de niveau 3, tel que le CSG, pour travailler à la mise en œuvre de la vision stratégique.
Recommandation 1 :
Le SMA de la Planification ministérielle, des Finances et de la TI devrait établir un comité directeur de la GI/TI au niveau des SMA chargé de fournir une orientation stratégique et de prendre des décisions en matière de GI, de TI et de gestion des données. Le SMA de la Planification ministérielle, des Finances et de la TI devrait également modifier le mandat du Comité stratégique de GI/TI afin d'examiner et de recommander des plans, des investissements et des politiques de GI/TI et de surveiller le rendement de la GI/TI.
2.2 Surveillance et gouvernance des projets/investissements en GI/TI
L'équipe d’audit s'attendait à ce que des mécanismes de gouvernance et de surveillance soient en place pour les projets et les investissements en GI/TI afin d'assurer une intégration cohérente dans l'environnement ministériel actuel de la GI/TI, une gestion efficace et une mise en œuvre réussie.
En 2017, AMC a mis en œuvre un cadre qui couvre l'approbation et l'établissement de points de contrôle des projets, appelé la norme sur le cycle de vie de la gestion de projet (NCVGP) de la Direction générale de la GI/TI. En se fondant sur ce processus de gestion de projet en GI/TI affiché sur l'intranet, toutes les initiatives de GI/TI comportent une phase d'amorce, une phase de planification et une phase d'exécution, de surveillance et de contrôle. On s'attend à ce que les projets passent par une série de points de contrôle de la phase du projet en vue de l'achèvement et de la clôture du projet. L'approbation de passer d'un point de contrôle à un autre est supervisée par un comité de surveillance du projet (CSP). De plus, l'équipe d’audit a constaté que la gouvernance au niveau du projet est nécessaire et qu'elle doit comprendre un comité directeur, un parrain de projet, un gestionnaire de projet et des rapports sur les produits livrables.
L'équipe d’audit a observé que le projet de Système des contrôles à l’exportation et à l’importation (SCEI II) du volet Commerce a actuellement sa propre structure de gouvernance de projet mise en œuvre afin de régler les problèmes importants du projet. Depuis son lancement en 2012, le projet a connu de graves problèmes de gestion, notamment une mauvaise détermination de la portée du projet, le dépassement des fonds disponibles, le dépassement des autorisations ministérielles de dépenser et le lancement sans autorité stratégique, ce qui a été autorisé en raison de défaillances dans la gestion, la surveillance et la gouvernance du projet. En raison de ces défis et de la complexité du projet, la gouvernance actuelle du projet est vaste, avec des organes de surveillance qui comprennent des représentants du SCT et de SPC ainsi que des mises à jour périodiques au niveau des sous-ministres. Trois membres de la direction de SID font partie du comité directeur du projet, et le DG de SID est membre du Comité supérieur d'examen, qui prend les décisions d'approbation des points de contrôle. Les personnes interrogées ont indiqué que la vaste portée du projet nécessite une stratégie de gouvernance indépendante à l'extérieur de la NCVGP, car elle est trop vaste et complexe pour être supervisée et gérée au moyen des mécanismes de gouvernance et de gestion de SID. Les mesures de rendement du SCEI II sont toutefois incluses dans le tableau de bord du projet fourni au CSG.
L’audit a également permis de constater que le Secteur de la Plateforme internationale (ACM) met en œuvre des projets et des investissements en TI autofinancés, qui ne passent pas par le processus de réception des projets et d'établissement des priorités et qui peuvent ne pas suivre la NCVGP, à moins que des ressources de SID ou de SPC ne soient nécessaires. Ces projets suivent une méthodologie d'exécution de projet propre à chaque secteur, bien qu'ils soient toujours inclus dans la liste annuelle des projets de SID à des fins de visibilité et de suivi. Ils sont cependant gérés à l’interne au sein d'ACM par le personnel informatique interne et les chefs de projet. Ces projets ne suivent pas les points d'entrée des projets et les points d'approbation des projets de la NCVGP et, par conséquent, ne bénéficient pas des conseils spécialisés du Conseil d'examen de l'architecture d'entreprise (CEAE) de SID concernant le choix d'une solution de GI/TI, ni de l'expertise ou de l'expérience des membres du CSP en ce qui concerne la mise en œuvre des projets.
Selon la Directive du SCT sur la gestion de la technologie de l'information, le DPI est responsable de la coordination et de la direction de la TI. Ainsi, le fait que les projets progressent automatiquement sans que l'organisation de la TI décide s'ils sont viables peut mener à des systèmes ponctuels, à la mise au point de systèmes non conformes aux priorités du gouvernement du Canada, à des coûts d'entretien non planifiés, à des investissements dans des systèmes existants qui devraient être remplacés par de nouvelles solutions, ainsi qu'à un cloisonnement accru des systèmes. De plus, la mise en œuvre de projets ministériels de GI/TI dans le cadre de différents processus de gouvernance et cadres de prestation peut entraîner un manque de cohérence avec la démarche ministérielle à l'élaboration et à la mise en œuvre d'applications de GI/TI, ce qui rend la gestion de l'information et de l'architecture d'entreprise et la rationalisation des applications plus difficiles. Ce dernier point est mis en évidence par une récente évaluation par une tierce partie du portefeuille des applications d’AMC qui a évalué la maturité de l'organisation des applications du Ministère comme étant « ponctuelle », en deçà du point de référence pour le gouvernement.
Recommandation 2 :
Le SMA de la Planification ministérielle, des Finances et de la TI devrait exiger que tous les projets axés sur la GI/TI soient assujettis au processus d’évaluation initiale des projets du Ministère et à la méthodologie de gestion de projet approuvée par le DPI afin d'assurer la cohérence dans l'élaboration et l'intégration des applications.
2.3 Risques et dépendances
Gestion du risque
L'équipe d’audit s'attendait à ce que la gestion des risques liés à la GI/TI soit intégrée aux processus de gestion des risques et aux cadres de contrôle du Ministère, de sorte que ces risques clés et les contrôles connexes soient officiellement déterminés, que des stratégies de gestion des risques soient élaborées et que les progrès réalisés dans le cadre de ces stratégies fassent l'objet d'un suivi.
L'équipe d’audit a constaté que les risques liés à la GI/TI sont intégrés aux processus de gestion des risques et aux cadres de contrôle du Ministère. Par exemple, le profil de risque du Ministère (PRM) pour 2017-2018 comprend les risques liés à la GI/TI : Cybermenaces et alignement de la gestion des ressources en GI/TI sur les besoins ministériels. Le PRM énonce les principaux facteurs de risque, les mesures d'atténuation et d'intervention et les groupes responsables des interventions. Le plan d'entreprise intégré, le plan de TI et la Stratégie de GI sont tous alignés sur le PRM et comprennent les réponses aux risques et les mesures d'atténuation de ces risques, ainsi que les rapports sur les progrès réalisés dans le cadre de ces mesures. De plus, l'équipe d’audit a cerné un certain nombre de mécanismes en place pour que les programmes et les missions communiquent les risques opérationnels en GI/TI à SID au niveau opérationnel. Il s'agit notamment des relations avec les clients de SIE auprès des groupes de portefeuille, des plans d'activités de Strategia à partir des missions et des consultations proactives avec les clients sur les programmes et les missions de SID.
Communication avec d’autres ministères
L'équipe d’audit s'attendait à trouver des mécanismes de gouvernance, ou forums, en place entre AMC et Services partagés Canada (SPC) dans le but de partager les attentes, les exigences, les priorités et les défis concernant les services de GI/TI fournis par SPC. De plus, l'équipe d’audit s'attendait à constater l'existence de forums de communication officiels entre AMC et les ministères partenaires qui comptent sur les services de GI/TI fournis par AMC et SPC dans le réseau des missions à l'étranger. L'objectif de ces forums serait de discuter des exigences, des plans et des défis concernant l'utilisation de l'infrastructure de TI partagée, du réseau, du matériel et des logiciels dans les missions à l'étranger.
L'équipe d’audit a constaté que des mécanismes ont été établis pour qu’AMC et SPC communiquent les attentes et les exigences en matière de services, et qu'ils fonctionnent comme prévu. De multiples forums officiels de gouvernance ont été mis sur pied à divers niveaux, des gestionnaires à une réunion annuelle entre les CDM adjoints. Ces forums établis et gérés par SPC comprennent :
- Une réunion annuelle avec les sous-ministres pour la tenue de séances d'information et de discussions sur la situation opérationnelle de SPC, les priorités du gouvernement du Canada ainsi que les initiatives, les projets et les défis d’AMC/SPC.
- Des réunions trimestrielles des SMA coprésidées par le DPF d’AMC et le SMA de SPC avec le mandat de fournir une orientation stratégique pour les services de GI/TI à la plateforme internationale et de mettre en évidence les défis et les enjeux importants.
- Des réunions mensuelles de partenariat au niveau des DG, coprésidées par le DG de SID d’AMC, ont lieu pour discuter des mises à jour des projets prioritaires, des mises à jour sur la prestation de services et des initiatives planifiées et en cours (y compris les achats d'infrastructure). Les mesures à prendre sont consignées et font l'objet d'un suivi actif.
- Des réunions hebdomadaires avec les gestionnaires de SPC et d’AMC pour examiner les enjeux opérationnels.
D'après les entrevues et l'examen de l'ordre du jour et des procès-verbaux des comités, ces forums se réunissent comme prévu, en présence de représentants clés de SPC et d’AMC, et les deux parties soulèvent des points à l'ordre du jour. Ces mécanismes donnent à AMC l'occasion de communiquer les attentes et les exigences du Ministère en ce qui concerne la prestation de services de SPC et de recevoir de l'information de SPC sur l'état de ces services et un appui. En plus des forums gérés par SPC susmentionnés, les représentants de SPC assistent régulièrement aux principaux comités de gouvernance de la sécurité en GI/TI d’AMC, y compris au Comité stratégique de GI/TI et au Comité de sécurité des DG.
En ce qui concerne la communication avec les ministères partenaires, l'équipe d’audit a constaté qu'il n'existe aucun forum officiel consacré à la GI/TI où AMC peut discuter des plans et des besoins avec les ministères partenaires. En outre, l'équipe d’audit a été informée qu'un ministère partenaire clé avait récemment mis en œuvre une application de gestion des cas qui utilisait une grande partie de la bande passante partagée, ce qui a considérablement ralenti la vitesse du réseau dans certaines missions et a eu des répercussions négatives sur les opérations d’AMC. En l'absence d'un mécanisme permettant à ce ministère partenaire de partager les plans de GI/TI, comme la configuration d'une nouvelle application, AMC n'a pas eu l'occasion de cerner et d’examiner les effets négatifs potentiels sur l'infrastructure partagée. Sans mécanisme de communication efficace, comme les réunions trimestrielles des SMA entre AMC et SPC, il y a un risque que des problèmes de ce genre continuent de se produire et d'avoir un effet négatif sur les opérations des utilisateurs du réseau international partagé.
Recommandation 3 :
Le SMA de la Planification ministérielle, des Finances et de la TI devrait rencontrer régulièrement les SMA pertinents des principaux ministères partenaires du réseau international, ainsi que des représentants de SPC, afin de discuter des initiatives et des défis en matière de GI/TI dans les missions à l'étranger.
2.4 Suivi
L'équipe d’audit s'attendait à ce que les organes de surveillance de la GI/TI reçoivent suffisamment d'information pour suivre les progrès de la mise en œuvre des projets, le rendement des services et de l’appui en GI/TI, ainsi que suffisamment d'information pour surveiller la capacité des ressources humaines en GI/TI, y compris les compétences et les besoins de formation.
Le suivi des projets est effectué par le CSG au moyen d'un tableau de bord mensuel qui rend compte de l'état des projets actifs en GI/TI, y compris d’un certain nombre d'indicateurs clés relatifs à la santé et au rendement des projets (budget, portée et calendrier). Cependant, le tableau de bord du projet n'est prévu que pour des discussions trimestrielles lors des réunions et ne dispose que de dix minutes à l'ordre du jour. Les participants au CSG ont indiqué qu'il n'y a pas toujours assez de temps pour des questions ou des discussions plus détaillées.
L'équipe d’audit a constaté que les organes de surveillance reçoivent peu d'information pour surveiller le rendement des services de GI/TI. Les renseignements fournis se limitent aux projets en cours et aux services d'assistance technique. Le CSG reçoit les résultats du sondage annuel sur la satisfaction de la clientèle concernant le rendement du service d'assistance en GI/TI, en fournissant des mesures de la satisfaction de la clientèle, tant au Canada qu'à l'étranger. À part ce point, il n'y a pas d'autres renseignements réguliers sur le rendement des services de GI/TI fournis aux organes de surveillance.
La direction a informé l'équipe d’audit que le programme de transformation de SID élaborera un nouvel ensemble de mesures du rendement de la GI/TI qui seront alignées sur le modèle de prestation de services en évolution. Une fois mis en œuvre, SID s'attend à ce que les données par rapport à ces indicateurs soient recueillies et à ce qu'elles fassent l'objet de rapports réguliers par l'entremise du cadre de gouvernance.
En ce qui concerne les exigences en matière de RH, l'information communiquée aux organes de surveillance se limite à l'examen annuel du plan de TI, qui décrit à un niveau élevé la planification des RH pour la fonction des TI, et comprend des détails sur les niveaux de ressources requis, les compétences et l'alignement des capacités sur les priorités et les initiatives de recrutement. De plus, l'équipe d’audit a constaté que deux comités internes de la Direction générale, le Comité de gestion de la DG en GI/TI et le Comité des opérations en GI/TI, ont présenté des besoins et des activités en matière de ressources humaines, bien qu'il ne s'agisse pas d'un point permanent.
L'un des produits livrables du programme de transformation de la GI/TI est l'élaboration d'une stratégie de gestion des talents qui alignera les compétences, la formation et le recrutement sur un modèle de service axé sur le client en évolution. Ces travaux seront essentiels pour répondre aux besoins relatifs aux capacités à mesure que les services de GI/TI évoluent à un moment où, comme la direction l'a indiqué, le gouvernement du Canada doit faire face à des défis en matière de recrutement et de maintien en poste de ressources spécialisées en GI/TI en raison de la concurrence du secteur privé. Afin de s'assurer que les organes de contrôle reçoivent une information adéquate sur la capacité en ressources humaines par rapport aux objectifs à atteindre, ils devraient recevoir des mises à jour régulières sur les progrès réalisés par rapport aux besoins énoncés dans la stratégie de gestion des talents, une fois qu'elle aura été élaborée et mise en œuvre.
L'équipe d’audit a constaté que les organes de surveillance ne reçoivent pas régulièrement d'information sur le rendement des services de GI/TI, comme des rapports sur les normes de service ou sur les repères, ou d'information sur les exigences en matière de ressources humaines, comme les rapports sur les lacunes particulières en matière de capacités. Sans information régulière sur le rendement de la prestation des services et sur la capacité des ressources humaines, les organes de surveillance ne seront pas en mesure de surveiller efficacement les progrès par rapport aux objectifs et aux priorités de la GI/TI en matière de prestation de services.
Recommandation 4 :
Le SMA de la Planification ministérielle, des Finances et de la TI devrait veiller à ce que des rapports réguliers sur l’information sur le rendement des services et la capacité des ressources humaines soient présentés au plus haut niveau de l'organe de gouvernance propre à la GI/TI.
3. Conclusion
L’audit a permis de constater que les structures de gouvernance, les mécanismes, la reddition de comptes et les ressources sont en place pour surveiller la GI/TI à l’échelle du Ministère. Toutefois, des faiblesses ont été relevées dans les domaines suivants : conception du cadre de gouvernance et du fonctionnement des organes de surveillance; surveillance des projets de GI/TI; communication avec les ministères partenaires au sujet des exigences en matière de GI/TI; surveillance de l'information sur le rendement des services et la capacité des ressources humaines.
Annexe A : à propos de l’audit
Objectif
L’audit visait à fournir l’assurance que les structures, les mécanismes, les responsabilités et les ressources en matière de gouvernance sont en place pour assurer la gestion efficace de la GI/TI dans l’ensemble du Ministère, et que les structures de gouvernance garantissent la responsabilisation en matière de GI/TI.
Portée
L’audit portait sur les activités de gouvernance en matière de GI/TI réalisées durant les exercices 2016‑2017 et 2017‑2018 ayant une incidence sur la gestion de la GI/TI à l’administration centrale et dans les missions. L’audit a permis d’examiner les aspects suivants :
- le cadre de gouvernance en matière de GI/TI et les organismes de surveillance;
- l’élaboration de stratégies et de plans de GI/TI et la gestion du risque;
- les processus et les procédures de prise de décisions;
- la surveillance des investissements et des projets de GI/TI;
- le renforcement des capacités en ressources humaines pour ce qui est de la GI/TI;
- la surveillance et l’établissement de rapports relatifs à la GI/TI.
Critères
Les critères qui suivent ont été élaborés après une évaluation des risques détaillée.
- Un cadre de gouvernance en GI/TI et des organismes de surveillance sont établis pour l’établissement d’une orientation et d’objectifs stratégiques en GI/TI.
- Des processus et des procédures de prise de décisions en matière de gouvernance de la GI/TI sont établis.
- Les risques et les dépendances en matière de GI/TI sont évalués, et les processus et les stratégies d’atténuation adéquates sont en place.
- Les activités de GI/TI sont surveillées activement par les organismes de surveillance de la GI/TI.
Approche et méthode
L'audit a été mené conformément à la politique et à la directive sur l'audit interne du Conseil du Trésor et aux Normes internationales pour la pratique professionnelle de l'audit interne de l'Institut des auditeurs internes. En vertu de ces normes, l’audit doit être planifié et effectué de manière à obtenir une assurance raisonnable que l’objectif de l’audit est atteint.
Afin de formuler des conclusions sur les critères qui précèdent, les méthodes suivantes ont été utilisées dans la collecte de données probantes
- relever et examiner les règlements, politiques, directives et lignes directrices pertinentes en matière de gouvernance de la GI/TI;
- examiner et analyser les renseignements financiers et non financiers sur les projets de GI/TI;
- examiner la documentation pertinente liée aux organismes de surveillance de la GI/TI;
- procéder à des révisions des processus et des systèmes de gouvernance de la GI/TI, et évaluer l'efficience et l'efficacité des structures organisationnelles et de leurs décisions;
- mener des entrevues avec des représentants du Ministère;
- procéder à d'autres essais d'audit, au besoin.
Annexe B : cadre de gouvernance de la GI/TI
Figure 1 : Structure de gouvernance documentée de la GI/TI – structure sommaire
Version texte
Cette image présente le cadre de gouvernance de la GI/TI aux échelons supérieurs d'Affaires mondiales Canada. Tout de suite après le ministre, l’échelon le plus élevé est celui du sous-ministre. Le comité de niveau 1 à l’appui du sous-ministre est l’Assemblée exécutive. Les comités de niveau 2 comprennent le Comité de gestion des ressources, le Comité de gestion ministérielle et le Comité directeur des sous-ministres adjoints sur la sécurité. Ces comités de niveau 2 relèvent de l’Assemblée exécutive. Les comités de niveau 3 comprennent les suivants : le Comité de stratégie en GI/TI, qui relève du Comité de gestion des ressources, le Conseil de la gouvernance de l’information et des données, qui rend compte auprès du Comité de gestion ministérielle, et le Comité des DG sur la sécurité, qui relève du Comité directeur des sous-ministres adjoints sur la sécurité. Il existe également un comité de niveau 2, le Comité de gouvernance conjointe d'Affaires mondiales Canada/Services partagés Canada, auquel rend compte un comité de niveau 3, le Comité sur le partenariat entre Affaires mondiales Canada et Services partagés Canada.
La structure de gouvernance documentée d’AMC comprend le « Comité des DG sur la sécurité de la GI/TI ». L’équipe chargée de l’audit croit comprendre que ce comité est, depuis juillet 2017, intégré au « Comité des DG sur la sécurité » – la structure de gouvernance ministérielle disponible n’avait pas encore été modifiée pour tenir compte de ce changement.
Figure 2 : Structure de gouvernance documentée de la GI/TI – structure entière
Version texte
Cette image présente toute la structure du cadre de gouvernance de la GI/TI à Affaires mondiales Canada. L’échelon le plus élevé compte les quatre sous-ministres; l’Assemblée exécutive relève directement d’eux. Il s’agit d’un organe de gouvernance ministérielle, et quatre autres organes semblables sont de sa responsabilité. Il s’agit du Comité de gestion des ressources, du Comité de gestion ministérielle, du Comité de gouvernance des sous-ministres adjoints d’Affaires mondiales Canada et de Services partagés Canada, et du Comité directeur des sous-ministres adjoints sur la sécurité. On compte un organe de gouvernance de la Direction générale de la GI/TI qui relève du Comité de gestion des ressources, soit le Comité de stratégie en GI/TI. Le Comité de stratégie en GI/TI rend également compte auprès du Comité de gestion ministérielle. Sous le Comité de stratégie en GI/TI se trouve le Comité de gestion de la Direction générale de la GI/TI, ainsi que le Conseil d’examen de l’architecture, qui est un sous-groupe du Comité de gestion de la Direction générale de la GI/TI. Trois organes de gouvernance de la Direction générale de la GI/TI relèvent du Comité de gestion de la Direction générale de la GI/TI: le Comité des opérations de GI/TI, le Conseil d’examen de l’architecture d’entreprise et le Comité de surveillance des projets de GI/TI. Directement sous le Comité des opérations de GI/TI se trouve le Conseil consultatif sur le changement. Sous le Comité de gestion ministérielle, on compte également le Comité de stratégie en GI/TI. Le Comité de stratégie en GI/TI comme le Comité de stratégie en GI/TI sont composés de membres du ministère. Sous le Comité de stratégie en GI/TI, on trouve le Groupe consultatif de la gestion des données et le Groupe consultatif sur la gestion des connaissances. De ce groupe relève le Groupe de travail sur l’initiative relative à la Directive sur le gouvernement ouvert, qui n’est pas encore pleinement établi. Le Conseil de gestion de l’information, qui n’est pas non plus pleinement établi, relève du Groupe consultatif sur la gestion des connaissances. La Réunion du partenariat Services partagés Canada - Ministère des Affaires étrangères, du Commerce et du Développement (MAECD) + est un autre organe de gouvernance de la Direction générale de la GI/TI. Pour revenir aux organes de gouvernance ministérielle, le prochain au tableau est le Comité de gouvernance des sous-ministres adjoints de Services partagés Canada et Affaires Mondiales Canada. On trouve ensuite le Comité directeur des sous-ministres adjoints sur la sécurité. À ce dernier rend compte le Comité des DG sur la sécurité de la GI/TI, dont les participants proviennent de la DG de la GI/TI, de la DG de la sécurité et de la gestion des urgences et de la DG des services partagés. Sous la supervision de la DG de la GI/TI et de la DG de la sécurité et de la gestion des urgences se trouve le Comité responsable de l’accréditation au MAECD, qui est un organe de gouvernance de la DG de la GI/TI. Finalement, on trouve le Forum des conseillers principaux en sécurité de GI/TI Services partagés Canada –MAECD, qui relève du Comité responsable de l’accréditation au MAECD et de Services partagés Canada.
Source : Portail sur la gouvernance de la GI/TI sur le Wiki d’AMC (Wiki@international) était en anglais seulement pendant l’audit. La traduction des termes utilisés dans cette figure est présentée ci-bas :
Anglais | Français |
DFATD IM/IT Governance Framework | Cadre de gouvernance de la GI/TI du MAECD |
DM4 | SM4 |
Executive Board | Conseil d’administration |
RMC | CGR |
CMC | CGM |
SSC GAC ADM Governance Committee | Comité de gouvernance des SMA de SPC et AMC |
ADM Steering Committee on Security | Comité directeur des SMA sur la sécurité |
ISC* | CSG* |
IDGC* | CGID |
SSC-DFATD + Partnership Meeting | Réunion du partenariat SPC-MAECD + |
DG IM/IT Security Committee | Comité des DG sur la sécurité de la GI/TI |
BMC | CGDG |
ARB | CEA |
OPS | COG |
EAR | CEAI |
POC | CSP |
CAB | CCC |
DMAG* | GCGD* |
OGDIWG* | GTIDGO* |
KIMAG* | GCGCGI* |
IMC | CGI |
DAAC | CRAM |
SSAF | FCPS |
ARB: Architecture Review Board (subset of BMC) | CEA : Conseil d’examen de l’architecture (sous-groupe du CGDG) |
BMC: IM/IT Bureau Management Committee | CGDG : Comité de gestion de la Direction générale de la GI/TI |
CAB: Change Advisory Board | CCC : Conseil consultatif sur le changement |
CMC: Corporate Management Committee | CGM : Comité de gestion ministérielle |
DAAC: DFATD Accreditation Authority Committee | CRAM : Comité responsable de l’accréditation au MAECD |
DMAG: Data Management Advisory Group | GCGD : Groupe consultatif sur la gestion des données |
EAR: IM/IT Enterprise Architecture Review | CEAI : Conseil d’examen de l’architecture intégrée de la GI/TI |
IDGC: Information and Data Governance Council | CGID : Conseil de gouvernance de l’information et des données |
IMAG: Information Management Advisory Group | GCGI : Groupe consultatif sur la gestion de l’information |
ISC: IM/IT Strategy Committee | CSG : Comité de stratégie en GI/TI |
KMAG: Knowledge Management Advisory Group | GCGC : Groupe consultatif sur la gestion des connaissances |
OGDIWG: Open Government Directive Initiative Working Group | GTIDGO : Groupe de travail sur l’initiative relative à la Directive sur le gouvernement ouvert |
OPS: IM/IT Operations Committee | COG : Comité des opérations de GI/TI |
POC: IM/IT Project Oversight Committee | CSP : Comité de surveillance des projets de GI/TI |
RMC: Resource Management Committee | CGR : Comité de gestion des ressources |
SSAF: SSC–DFATD IM/IT Security Senior Advisors Forum | FCPS : Forum des conseillers principaux en sécurité de GI/TI SPC–MAECD |
Diagram Legend | Légende du diagramme |
OGD membership | Membres d’autres ministères |
Departmental membership | Membres du Ministère |
Corporate Governance Body | Organe de gouvernance organisationnel |
Security Governance Body | Organe de gouvernance de la sécurité |
IM/IT Bureau Governance Body | Organe de gouvernance de la Direction générale de la GI/TI |
Not yet fully established | Pas encore entièrement établi |
Resource Responsible | Ressource responsable |
Other Governance Structures: | Autres structures de gouvernance : |
IM Governance Structure: IB# 5968438 | Structure de gouvernance en matière de GI : IB no |
Security Governance Structure IB# 6361992 | Structure de gouvernance en matière de sécurité IB no 6361992 |
IB# 5864849 | IB no 5864849 |
Last Edited: 2018-16-04 | Dernière mise à jour : 2018-04-16 |
Annexe C : Organismes de surveillance de la GI/TI
Comités de niveau 1
Conseil exécutif – Présidé par le sous-ministre des Affaires étrangères, le Conseil exécutif est l'organisme décisionnel principal du Ministère. Il assure la gouvernance, l'orientation stratégique et la prise de décision générales pour appuyer les sous-ministres dans l'atteinte des résultats stratégiques d'Affaires mondiales Canada (AMC). Il s'agit également d'une tribune importante pour la participation des cadres supérieurs. Les présidents des comités de niveau 2 présenteront les points relatifs à la GI/TI afin d’obtenir une décision ou une orientation stratégique, au besoin.Footnote 11
Comités de niveau 2
Comité de gestion des ressources (CGR) – Présidé par le sous-ministre, Politique stratégique (PFM), ce comité a pour objectif d'assurer le leadership, ainsi que de fournir une orientation, des conseils et une surveillance stratégiques sur l'harmonisation des ressources financières, non financières et en matière de ressources humaines avec les priorités ministérielles. The committee is to oversee the alignment of investment planning against departmental priorities including IM/IT resources.Footnote 12
Comité de gestion ministérielle (CGM) – Présidé par le SMA, Ressources humaines (HCM), ce comité a pour objectif d'assurer un leadership, ainsi que de fournir une orientation, des conseils et une surveillance stratégiques en matière de gestion intégrée du Ministère, y compris en ce qui a trait à la GI/TI, de même que la gestion et la viabilité du réseau des missions du Ministère (au Canada et à l'étranger). Le Comité travaille à favoriser la cohérence et l’intégration de toutes les pratiques de gestion au sein du Ministère. Le CGM examine les initiatives de GI/TI d’un point de vue de gestion ministérielle.Footnote 13
Comité directeur des SMA sur la sécurité – Présidé par le SMA, Sécurité internationale et affaires politiques (IFM), ce comité a pour but de fournir une orientation stratégique et intégrée, ainsi que des conseils et une surveillance pour permettre au Ministère de remplir en totalité ses obligations en matière de santé, de sûreté et de sécurité envers le personnel du gouvernement du Canada et de protéger l'information et les biens du gouvernement du Canada dans la réalisation du mandat du Ministère, au Canada et à l'étranger.Footnote 14
Comités de niveau 3
Comité de stratégie en GI/TI (CSG) – Présidé par le DPI et le DG, Service des délégués commerciaux – Opérations (BTD), ce comité a un rôle stratégique dans l’approbation des plans stratégiques reliés à la TI et des instruments politiques, et il joue un rôle directeur lors de l’établissement des priorités ainsi que l’approbation de nouvelles possibilités d’investissements notables en GI/TI et de celles qui doivent être financées par le CGR. Le CSG doit rendre des comptes au CGR sur les investissements en matière de GI/TI, et au besoin au CGM.Footnote 15
Conseil de la gouvernance de l'information et des données (CGID) – Coprésidé par le DPI et un DG du Bureau des droits de la personne, des libertés et de l’inclusion (IOD), le CGID a pour but de fournir une orientation et une surveillance stratégiques sur la gestion des données, des connaissances et de l'information à l'échelle du Ministère. Il est chargé de fournir des conseils sur les enjeux à cet égard au CGM et au CGR. Ce comité est inactif depuis juin 2017.
Comité des DG sur la sécurité – Coprésidé par l'agent de sécurité du Ministère (CSD) et le DG de Gouvernance et intendance (ARD), ce comité a pour but d'assurer l'adoption d'une approche intégrée et coordonnée à la mise en place de mesures d'atténuation fondées sur les risques portant sur la sécurité du personnel, des opérations, physique et en matière de GI/TI. The Committee is to make recommendations on operational matters, including in the implementation of the Departmental Security Plan.Footnote 16 (L'ancien Comité des DG sur la sécurité de la GI/TI a été fusionné à ce comité en mars 2017.)
Comités de niveau inférieur à 3 (liste partielle)
Comité de gestion de la Direction générale de la GI/TI (CGDG) – Présidé par le DPI, ce comité a pour but de prendre des décisions concernant la planification stratégique de la GI/TI, de l’orientation stratégique, des priorités corporatives et de l’attribution et de la gestion des ressources.Footnote 17
Comité des opérations de GI/TI (OPS) – Présidé par le DPI adjoint et le directeur exécutif de SIE, ce comité a pour but d'assurer une prestation uniforme, efficiente et efficace des services opérationnels et de soutien, en veillant à l’exécution des activités (examen, discussion, recommandation, résolution des problèmes, approbation ou rejet des requêtes inhabituelles, etc.) jugées essentielles aux opérations courantes de GI/TI d’AMC. Footnote 18
Conseil d'examen de l'architecture intégrée (CEAI) – Coprésidé par le DG de SID et le directeur exécutif de SIA, ce conseil a pour but de regrouper la collectivité élargie de l’AI, au sein de la Direction générale de la GI/TI, afin d’offrir de l'orientation stratégique, de déterminer les normes et de soutenir la prestation des services de la GI/TI, en examinant et en appuyant des architectures de solutions nécessaires à l’obtention des résultats ministériels et à la stimulation de l’innovation.Footnote 19
Comité de surveillance des projets (POC) – Présidé par le DPI, ce comité a pour but d'examiner et d'approuver ou de reporter les demandes d’initiative ministérielles pour les projets de GI/TI durant la phase de planification de l'initiative. Il assure également la réalisation efficace de projets de GI/TI par l’entremise d’approbations, de directives, de résolutions et d’examens de la santé des projets tout au long du cycle de vie des projets, notamment en accroissant au maximum les avantages produits par le projet. Il est également chargé de favoriser et d’appuyer la philosophie de gestion de projet, la méthodologie, les normes et la réussite du projet.Footnote 20
Groupe consultatif de la gestion des données (GCGD) – Coprésidé par le directeur exécutif de SIIB et le directeur adjoint de SWE, ce groupe a pour but de cerner les enjeux, les possibilités et les liens en ce qui a trait aux données d'intérêt commun ainsi qu'aux dépôts et sources de données, et ce, pour procéder à des recherches et à des analyses et valider l'information requise pour appuyer les opérations, la planification, la gestion du rendement et le processus décisionnel fondé sur des faits. Il a également le mandat de formuler des recommandations de résolutions visant à garantir la valeur et à faire en sorte que les changements relatifs aux données n’aient pas d’incidence négative sur les activités, ainsi que de former des groupes de travail formés d’experts en la matière chargés de fournir des directives et des recommandations concernant la gestion des changements relatifs à la planification stratégique, tactique et opérationnelle. Le groupe vise également à favoriser la connaissance des répercussions des changements et à faire en sorte que les données soient alignées sur la stratégie de GI à l’échelle du Ministère ainsi qu’à connaître et à appliquer le cadre stratégique du gouvernement du Canada et les pratiques exemplaires et les innovations de l’industrie concernant la gestion de l’information et des données.Footnote 21 Ce comité est inactif depuis juin 2017.
Groupe consultatif de la gestion des connaissances et de l'information (GCGCI) – Coprésidé par le directeur de PVA et le directeur exécutif de SII, ce groupe a pour but de fournir des conseils sur les activités de gestion des connaissances et de l'information à AMC, y compris sur les politiques, les processus, les outils, les produits, la planification, la reddition de comptes, les services et les communications. Ce comité est inactif depuis juin 2017.
Comité de l’autorité d’accréditation du Ministère (CAAM) – Présidé en alternance par des membres du CAAM à SID, ce comité a pour but d’équilibrer les risques et les besoins organisationnels posés par le fonctionnement des systèmes de TI, y compris ceux élaborés et possédés par AMC, fournis par SPC ou d’autres ministères, et fournis par des tierces parties.Footnote 22
Comités interministériels
Outre la structure interne d'AMC, la gouvernance de la GI/TI sollicite la contribution des comités interministériels.
Comité de gouvernance conjoint AMC/SPC – Ce comité interministériel de SMA a pour but de mettre en évidence les besoins et les difficultés relatives aux infrastructures de la TI à l'échelle internationale et d'explorer les possibilités de renforcer les services internationaux de GI/TI pour assurer la viabilité et tirer profit des avantages des nouvelles technologies.Footnote 23
Comité du partenariat SPC/AMC – Ce comité interministériel a pour but de permettre au DPI et à l’équipe de direction en matière de GI/TI d’AMC d’échanger des idées dans des domaines d’intérêt commun, et ce, avec le chargé de compte de SPC et le gestionnaire exécutif de la prestation des servicesFootnote 24>
Annexe D : Plan d’action de la gestion
Recommandations issues de l’audit | Plan d’action de la gestion | Secteur responsable | Date d’achèvement prévu | |
|
| SCM | Juillet 2019 | |
| SCM - SID | Juillet 2019 | ||
| SID | Décembre 2018 | ||
| SID | Avril 2019 | ||
|
| SCM | Septembre 2019 | |
| SCM | Novembre 2019 | ||
| SID | Décembre 2019 | ||
|
| SCM – SID
| Novembre 2018 | |
| SCM | Décembre 2018 | ||
|
| SCM - SID | Septembre 2019 | |
| SCM | Octobre 2019 | ||
Annexe E : Acronymes
AMC | Affaires mondiales Canada |
CT | Conseil du Trésor |
CVGP | Norme sur le cycle de vie de la gestion de projet de GI/TI |
DPF | Dirigeant principal des finances |
DPI | Dirigeant principal de l’information |
GI | Gestion de l’information |
GI/TI | Gestion de l’information/Technologie de l’information |
PIA | Plan intégré des activités |
PRO | Profil de risque organisationnel |
RH | Ressources humaines |
SCEI II | Système des contrôles à l’exportation et à l’importation II |
SCM | Secteur de la planification ministérielle, des finances, et des technologies de l’information |
SCT | Secrétariat du Conseil du Trésor |
SID | Direction générale de la gestion et de l’information et de la technologie |
SMA | Sous-ministre adjoint |
SPC | Services partagés Canada |
TI | Technologie de l’information |