Vérification des contrôles généraux liés à la technologie de l’information Phase I – gouvernance de la TI
Table des matières
- Présentation
- Contexte
- Objectif et portée de la vérification
- Méthodologie
- Énoncé de conformité
- Constatations de vérification et recommandations
- Structure de gouvernance
- Politiques, procédures et directives en matière de TI
- Gestion des risques liés à la gouvernance de la TI
- Gestion du portefeuille d'applications et de l'architecture d'entreprise
- Conclusion
- Annexe A – Réponse et plan d'action de la direction
- Annexe B – Documents de référence (liste non exhaustive)
Présentation
Contexte
1. Le rôle de la technologie de l'information (TI) au gouvernement fédéral est en train de changer. En effet, le dirigeant principal de l'information (DPI) du gouvernement du Canada a fait valoir, dans le Plan stratégique de la TI du gouvernement du Canada 2016-2020, que le rôle de la TI, autrefois axé sur les fonctions administratives et la prestation de services, deviendra dorénavant celui d'un partenaire stratégique et opérationnel proposant des innovations en TI pour répondre aux besoins opérationnels des organisations.
2. Dans ce contexte, la prestation des services de TI à la Commission de la fonction publique du Canada (CFP) a beaucoup changé au cours des 2 derniers exercices financiers. En 2015, l'embauche d'un nouveau DPI a entraîné des changements importants à la Direction des services de technologie de l'information (DSTI). Il y a eu plusieurs mesures de dotation à tous les échelons, notamment pour nommer des superviseurs, des gestionnaires et des cadres. De plus, la DSTI a été déplacée au sein de l'organisation : le 1er novembre 2017, elle est passée de la Direction générale des services et de l'innovation au Secteur des affaires ministérielles dans le cadre d'un changement global de gouvernance visant à mieux aligner les ressources sur les besoins liés au mandat et à la vision de la CFP.
3. Les fonctionnaires de la DSTI collaborent avec la haute direction de la CFP afin de faciliter la réalisation des différents mandats, et ce, en s'ajustant à un environnement opérationnel et de la TI en constante évolution. La DSTI se veut une organisation professionnelle dynamique, un partenaire stratégique dans la mise en œuvre de solutions opérationnelles innovantes. C'est à elle qu'il incombe de déployer et de gérer une infrastructure de TI réactive, moderne, adaptable, flexible et sûre. La Direction fournit aussi un éventail complet de services de gestion de l'information à l'organisation. Enfin, le DPI et le personnel de la DSTI apportent une contribution importante aux initiatives et innovations d'envergure en matière de TI au gouvernement du Canada.
4. La phase I de la présente vérification porte sur la gouvernance de la TI, que l'Institut des auditeurs internes définit comme étant l'ensemble des structures et des modalités d'orientation et d'organisation qui font en sorte que la fonction informatique de l'entreprise appuie les stratégies et les objectifs organisationnels. Aussi, faut-il gérer les opérations et les projets de TI en fonction des objectifs organisationnels et de façon à favoriser l'harmonisation de la prestation des services de TI avec les programmes. Ainsi, il est important que les structures de gouvernance de la TI facilitent l'intégration de l'informatique au cadre de gouvernance organisationnel.
5. La structure de gouvernance de la TI à la CFP compte 8 comités dont les niveaux de responsabilité sont de 2 natures : stratégique et opérationnel. Les comités stratégiques sont les principaux organes décisionnels de la CFP pour tout ce qui touche les opérations, dont les dépenses en TI. Les comités opérationnels encadrent quant à eux l’échange et l’analyse d’information et formulent des avis et des recommandations.
6. Les comités stratégiques sont le Comité exécutif de gestion (CEG) – principale instance décisionnelle pour les opérations de la CFP – et le Comité de gestion de l’information et de la technologie de l’information (CGITI). Le mandat du CGITI est de faciliter la prise de décision du CEG relativement aux projets de GI/TI en servant de tribune chargée d’examiner, d’évaluer et de recommander des stratégies, des plans et des priorités liés aux initiatives de TI. De plus, les réunions du Secteur des affaires ministérielles permettent au DPI d’avoir des discussions stratégiques sur la TI au sujet de questions opérationnelles et de gouvernance avec le vice-président et l’équipe de gestion. Le DPI est aussi invité à la Réunion de la Commission pour y donner des présentations sur l’état de la TI en général et sur certains projets au besoin.
7. Les comités opérationnels sont le Comité d’examen des projets, le Comité de gestion de la direction, le Groupe d’affaires et de la TI/GI sur les opérations, le Comité d’examen de l’architecture (CEA), et le Comité consultatif sur le changement (CCC). D’autres comités sont créés, au besoin, pour faire avancer les initiatives de TI de la CFP.
8. En février 2016, le CEG a approuvé une augmentation du crédit budgétaire de la DSTI pour accroître les capacités de façon provisoire (une période de 3 ans) afin de rattraper le retard technique en TI et créer une culture d’innovation dans l’organisation. Au cours de l’exercice 2017-2018, la CFP a alloué environ 12,5 M$ à la DSTI en soutien à la gestion des programmes et à la prestation des services. En date du 1er janvier 2018, 90 employés (excluant les étudiants et les employés occasionnels) travaillaient à la DSTI pour gérer et offrir des services de TI à la CFP.
Objectif et portée de la vérification
9. L'objectif général était de déterminer l'existence et l'efficacité des contrôles généraux liés à la technologie de l'information (CGTI) au sein de la DSTI à la CFP. Pour la phase I en particulier, il s'agissait de vérifier si un cadre de contrôle de gestion adéquat était en place pour régir les opérations de TI et atténuer les risques.
10. La vérification des CGTI a été menée en 2 phases. La phase I portait sur la gouvernance de la TI, et la phase II, sur les contrôles internes en place concernant les opérations de TI, la TI et la sécurité physique, le développement de systèmes et la gestion du changement, ainsi que la continuité des opérations. Le rapport de vérification de la phase II sera présenté à la réunion de juin 2018 du Comité de vérification interne.
11. La portée de la phase I englobe les éléments liés à la gouvernance de la TI en place pour les exercices 2016-2017 et 2017-2018. Elle exclut les contrôles relatifs à la gestion de l'information, qui ont été évalués dans le cadre d'une vérification interne précédente effectuée en 2014-2015. Les contrôles liés à la TI concernant les systèmes de rapports financiers ont aussi été exclus parce qu'ils ont fait l'objet d'un examen interne à la fin de 2016-2017.
Méthodologie
12. Les procédures de vérification suivantes ont été appliquées :
- entrevues avec la direction de la CFP ainsi que certains membres des comités de gouvernance de la TI et du personnel
- révisions structurées des processus clés
- examen et analyse des documents
- schématisation des processus
Énoncé de conformité
13. La vérification est conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance de la qualité et d’amélioration.
Constatations de vérification et recommandations
Structure de gouvernance
14. Critère : On s’attendait à ce que les rôles et les responsabilités de la structure de gouvernance soient bien définis et répondent aux exigences du Conseil du Trésor (voir l’annexe B). La CFP devait aussi avoir mis en place des processus adéquats pour gérer la relation avec Services partagés Canada (SPC).
15. Conclusion : La CFP a établi un cadre de gouvernance de la TI qui fait partie de la structure de gouvernance organisationnelle globale. Les rôles et les responsabilités des comités ont été décrits dans leurs mandats respectifs. Les processus mis en place pour gérer la relation avec SPC sont adéquats, mais il est possible de faire mieux. Les 2 possibilités d’amélioration qui ont été décelées consistent à vérifier si le mandat du comité d’examen répond aux attentes actuelles et à évaluer la mise en œuvre de l’entente avec SPC afin que la CFP ne coure aucun risque.
Structure de gouvernance de la TI
16. Une structure de gouvernance de la TI composée de 8 comités a été mise en place et approuvée par le président de la CFP. Les rôles et les responsabilités de chaque comité sont documentés. Dans la documentation figurent notamment le nom des membres, les mandats et la fréquence des réunions.
17. Les comités opérationnels concentrent surtout leurs efforts sur l'examen des aspects techniques et architecturaux de la TI ainsi que sur les projets principalement axés sur la TI ou qui comportent un volet de TI. Ces comités conseillent les présentateurs et formulent des recommandations à l'intention des comités stratégiques pour la prise de décisions.
18. Au chapitre de la gouvernance stratégique, le CGITI a participé à l'élaboration du Plan stratégique pour la gestion de l'information et la technologie de l'information de 2017-2020, qui prévoyait l'affectation des ressources, la gestion du risque et l'harmonisation de la TI avec les grands objectifs stratégiques de la CFP. Le CEG a approuvé le plan ainsi que les ressources allouées à la DSTI pour soutenir la prestation des services de TI à la CFP.
19. De plus, le CEG effectue un exercice annuel d’établissement des priorités afin d’évaluer le financement requis pour soutenir efficacement la gestion de la TI à la CFP. En mars 2018, la retraite du CEG visait à finaliser les budgets des secteurs pour l’exercice 2018-2019, notamment en vue d’approuver le budget de TI pour la CFP et les projets qui recevront du financement en fonction des priorités fixées en matière de TI.
20. La vérification a permis de constater des lacunes qui nuisent au fonctionnement de la structure de gouvernance de la TI. Le rôle de certains comités n’était pas précis, et certains mandats n’avaient pas été mis à jour. De plus, la diffusion d’information, l’analyse, les décisions et les recommandations des comités de gouvernance n’ont pas toujours été jugées suffisantes pour soutenir les processus décisionnels.
21. L’équipe de vérification a aussi été informée que la valeur ajoutée des comités stratégiques n’était parfois pas pleinement réalisée, parce que trop d’attention était portée à des décisions opérationnelles ou techniques détaillées qui devraient plutôt être prises par un comité opérationnel ou par le DPI directement. Par exemple, certains procès-verbaux et documents de comité ne définissaient ou ne justifiaient pas suffisamment l’approche recommandée pour certains éléments. Il est donc possible d’améliorer la coordination des activités liées à l’information des comités ainsi que la préparation des procès-verbaux en soutien des processus décisionnels. Cette observation s’avère particulièrement pertinente en raison des nombreuses embauches effectuées au cours de la dernière année à la DSTI, du niveau opérationnel aux paliers de gestion.
22. Recommandation 1 : Il est recommandé que le DPI travaille avec le CGITI et les présidents des comités de gouvernance pour examiner et mettre à jour (au besoin) les mandats des comités afin de s’assurer qu’ils répondent aux besoins actuels. Cette évaluation devrait porter sur la façon dont les procès-verbaux sont préparés afin que soient précisés les questions examinées, les conseils formulés et les attentes en vue de la prochaine étape d’examen du comité.
Gestion de la relation avec SPC
23. La Loi sur Services partagés Canada établit que la CFP doit faire appel à SPC en tant que fournisseur de services de TI. La relation entre la CFP et SPC repose sur 2 grands volets : la direction administrative et les activités opérationnelles. Pour la direction administrative, des réunions bimensuelles CFP-SPC permettent au DPI et aux directeurs de la DSTI de rencontrer leurs homologues de SPC pour discuter d’initiatives stratégiques et de questions opérationnelles plus vastes. L’un des objectifs de ces réunions est de voir à ce que les travaux prévus au budget soient effectués dans les délais impartis afin d’éviter que des fonds approuvés restent inutilisés.
24. Pour la gestion des activités opérationnelles, des réunions sont tenues à intervalles réguliers avec des membres de l’équipe sous la supervision de la Division de la gestion des services et de l’ingénierie des solutions de TI et de l’équipe de gestion de l’infrastructure et des opérations. Ces réunions permettent à SPC de planifier ses services en fonction des enjeux, des changements et des besoins opérationnels de la CFP. De plus, SPC et la CFP communiquent régulièrement, au besoin.
25. Dans l’entente du 15 mars 2017 signée par les présidents de la CFP et de SPC sont décrits les rôles et les responsabilités de chaque organisation, la structure de gouvernance, les attentes quant au rendement et à la prestation des services de TI ainsi que les mécanismes de règlement des différends. L’équipe de vérification a été informée par les fonctionnaires de la DSTI que la relation avec SPC est généralement adéquate et fonctionne comme il est prévu.
26. La DSTI doit évaluer les services de TI fournis par SPC pour déterminer s'ils sont appropriés. On a avisé l'équipe de vérification que la CFP ne recevait pas d'indicateurs concernant la prestation des services de SPC, conformément aux dispositions prévues dans l'entente. Ainsi, la CFP n'a reçu ni le tableau de bord de données sur les mesures de rendement concernant la prestation des services de SPC, ni l'information dont elle a besoin pour voir à ce que les systèmes de TI soient utilisés de façon acceptable. Cet aspect est important, du fait que la CFP est tenue de surveiller l'utilisation des systèmes de TI par ses employés conformément aux politiques du Conseil du Trésor, ce qui est possible seulement si SPC lui fournit les données requises. Des employés de la CFP risquent d'utiliser les systèmes de manière inappropriée, et la DSTI serait alors incapable d'exercer une surveillance adéquate et de régler la situation.
27. Afin de gérer les risques dans cette situation, les fonctionnaires de la DSTI ont mis en place des contrôles compensatoires pour obtenir certaines données permettant d'examiner les services obtenus de SPC. Par exemple, les fonctionnaires de la DSTI ont établi des relations avec leurs collègues de SPC dans le cadre de réunions conjointes, et ils obtiennent ainsi de l'information et des données. Selon ce que l'équipe de vérification a appris, la CFP risque de ne pas recevoir le soutien nécessaire de SPC pour les nouveaux projets de développement. Cette situation pourrait avoir une grande incidence sur d'importants projets de TI éventuels de la CFP ayant une portée pangouvernementale.
28. Recommandation 2 : Il est recommandé que la DSTI effectue un examen de tous les livrables prévus dans l’entente avec SPC et rende compte au CEG des résultats sur le rendement et des risques possibles pour la CFP concernant la prestation des services de TI ainsi que la communication de données et d’information en soutien des décisions du DPI de la CFP.
Politiques, procédures et directives en matière de TI
29. Critère : La CFP devait avoir adopté des politiques, des procédures et des directives en matière de TI qui tiennent compte des exigences des politiques du Conseil du Trésor.
30. Conclusion : La CFP a mis en place des politiques, des procédures et des directives qui favorisent l’utilisation uniforme de la TI conformément aux exigences des politiques du CT. Plusieurs politiques et directives n’ont pas été mises à jour récemment. Le DPI attend la publication du nouveau cadre stratégique sur la TI du Conseil du Trésor pour déterminer dans quelle mesure les politiques internes de la CFP devront être renouvelées, actualisées ou annulées.
Politiques et procédures sur la TI
31. Par le passé, la CFP a élaboré une série de politiques et de documents d'orientation internes sur la TI pour appuyer et compléter les politiques et les directives du CT. La vérification a permis de constater que certaines politiques internes n'avaient pas été mises à jour récemment. Par exemple, les politiques internes liées à la sécurité de la TI et à la gouvernance de la TI n'ont pas changé depuis 2011. Selon l'approche adoptée récemment à la CFP, ces politiques sont revues et actualisées seulement si un changement ou une mise à jour est nécessaire.
32. Le DPI a informé l'équipe de vérification que les fonctionnaires du CT revoyaient et mettaient à jour toutes les politiques et directives connexes sur la TI; c'est pourquoi la DSTI doit prévoir un examen détaillé de l'ensemble de ses politiques et documents d'orientation après la publication des nouvelles politiques du CT. À la DSTI, les employés de la CFP adhèrent aux politiques en matière de TI du CT et ne prévoient des directives supplémentaires à la CFP qu'au besoin (par exemple, la procédure de la CFP pour voyager avec un BlackBerry qui couvre la perte ou le vol d'appareils mobiles).
33. Le DPI présente des rapports annuels et périodiques au Secrétariat du Conseil du Trésor (SCT) du Canada relativement au respect des exigences des politiques de TI à la CFP. Chaque année, le SCT évalue le rendement opérationnel et les politiques de TI de la CFP à l’aide du Cadre de responsabilisation de gestion (CRG).
Gestion des risques liés à la gouvernance de la TI
34. Critère : La CFP devait avoir prévu un processus efficace de gestion des risques liés à la gouvernance de la TI.
35. Conclusion : La CFP a mis en place des processus efficaces pour gérer et atténuer les risques liés à la TI concernant l’atteinte des objectifs organisationnels. Les descriptions de certains processus de gestion du risque opérationnel de la DSTI sont incomplètes, parce qu’il aurait fallu y trouver des risques précis et les stratégies d’atténuation prévues par la Direction. Toutefois, les risques opérationnels sont signalés aux réunions des Comités de gestion du secteur pendant les discussions bilatérales entre le DPI et le vice-président et dans les rapports trimestriels sur les risques et les problèmes du secteur présentés au Bureau du vice-président. De plus, des processus efficaces sont en place pour gérer les risques liés à la TI dans le contexte d’un projet, notamment par l’entremise des comités de gouvernance.
Gestion des risques liés à la gouvernance de la TI
36. Le processus annuel de planification intégrée des activités de la CFP prévoit une évaluation des risques visant à cerner et à classer les risques organisationnels ainsi qu'à définir les stratégies d'atténuation possibles. Ces risques figurent dans le Registre des risques et le Plan intégré des activités de la CFP. Pour l'exercice 2017-2018, l'un des risques organisationnels signalés était le suivant : pendant que la CFP adapte ses ressources en fonction de l'orientation du gouvernement du Canada pour une consolidation accrue des systèmes et du soutien, elle risque de voir sa capacité de fonctionnement et ses systèmes actuels entravés. Des stratégies de réponse au risque ont été définies pour atténuer ce risque important. Tout au long de l'année, le DPI évalue les progrès par rapport aux principaux livrables liés à la TI du Plan intégré des activités et fait des bilans trimestriels des résultats. De plus, le DPI doit évaluer la mise en œuvre de mesures d'atténuation en réponse aux risques organisationnels et rendre compte des progrès.
37. Bien que la DSTI participe aux discussions générales sur les risques organisationnels, une approche officielle documentée pour cerner les risques propres à la Direction afin d'aider efficacement les propriétaires fonctionnels à atteindre les objectifs liés à la TI, et les stratégies d'atténuation possibles n'a pas été décrite. Voici certains exemples de risques opérationnels en matière de TI qui ne sont pas répertoriés dans les documents sur les risques organisationnels : gestion des ressources, mandats et processus décisionnels des comités concernant la TI, la relation avec SPC et la capacité d'innovation.
38. Pour les projets de TI et les projets ayant un volet de TI, les processus en place à la CFP permettaient de définir, de gérer et d'élaborer efficacement des stratégies d'atténuation visant à réduire les chances que les risques cernés se concrétisent ou à en limiter les répercussions, le cas échéant. Ainsi, la vérification a permis de constater que les risques posés par des projets de TI étaient gérés efficacement au cas par cas.
39. Recommandation 3 : Il est recommandé que la DSTI décrive officiellement les processus d'analyse, de signalement et de surveillance afin de préciser les rouages de la gestion du risque à la DSTI et vérifier l'efficacité des stratégies d'atténuation proposées qui ont été mises en œuvre.
Gestion du portefeuille d'applications et de l'architecture d'entreprise
40. Critère : On s'attendait à ce que la CFP ait adopté un cadre de gestion du portefeuille d'applications et de l'architecture d'entreprise permettant d'harmoniser ses activités avec la TI.
41. Conclusion : Les fonctions de gestion du portefeuille d'applications et de l'architecture d'entreprise de la CFP visent à améliorer l'harmonisation de la TI avec les activités pour rattraper le retard technique attribuable aux anciens systèmes. On a constaté que le portefeuille d'applications actuel de la CFP est surdimensionné par rapport à la taille de la CFP. Il serait possible de revoir et de mettre à jour les documents du processus d'architecture d'entreprise à l'aide de l'investissement approuvé par le CEG du programme d'architecture d'entreprise.
Architecture d’entreprise
42. Le Comité d'examen de l'architecture (CEA) – anciennement le Comité d'examen technique (CET) – est un comité consultatif composé de gestionnaires de la DSTI. Il est responsable de la surveillance du Comité consultatif sur le changement (CCC), en soutien de l'architecture d'entreprise (AE), et de la formulation des recommandations en matière d'architecture au Comité de gestion de la Division.
43. La vérification a permis de relever que des documents importants – soit les mandats du CEA et du CCC, les Lignes directrices sur le cycle de gestion de la TI, le Cadre de gouvernance de projets, le Cadre de gouvernance de la sécurité de la CFP et la Méthode de mise hors service des systèmes – n'ont pas été mis à jour récemment afin qu'aucune ambiguïté ne soit créée par la transformation du CET en CEA. Selon la vérification, des chevauchements ou des lacunes pourraient exister dans la répartition des responsabilités liées aux approbations du calendrier de diffusion ou les processus en place pour soutenir l'exercice des responsabilités liées aux modalités de l'analyse si la modification de l'architecture comporte des aspects de sécurité.
44. L'équipe de vérification a été informée que pendant la transition du CEA – qui est passé d'un organe décisionnel à un organe consultatif – des membres ont eu du mal à comprendre leurs rôles et responsabilités. La transition fait en sorte que les membres du CEA devront se concentrer sur la formulation de conseils, ce qui exige que les questions soient analysées selon une perspective horizontale et globale et que les membres du comité soient en mesure d'adopter un point de vue à la fois opérationnel et stratégique pour formuler des observations à valeur ajoutée.
45. De plus, le CEA ne peut pas toujours remplir sa fonction consultative efficacement en raison des processus liés à la préparation de documents, particulièrement pour les documents relatifs aux projets. L'absence de normes précises sur la production de documents est exacerbée par le roulement relativement élevé au sein du comité. L'équipe de vérification a appris que le projet de mise en œuvre du programme d'architecture d'entreprise, qui devait se terminer en 2019, pourrait porter sur certains éléments de la normalisation des documents produits.
46. Des fonctionnaires de la DSTI ont élaboré des processus de façon ponctuelle pour atténuer certaines des préoccupations mentionnées ci-dessus. Toutefois, aucun processus révisé n'a été consigné ou schématisé. Sans une documentation appropriée, des procédures prévues risquent de ne pas être comprises ou suivies, ce qui pourrait avoir une incidence sur les processus d'examen de l'architecture et les décisions des membres du CEA. On a informé l'équipe de vérification que le projet visant à mettre en œuvre un programme d'architecture d'entreprise solide a été approuvé par le CEG en mars 2017 et qu'il est en cours.
Gestion du portefeuille d'applications
47. En janvier 2018, plus de 200 applications étaient installées sur les ordinateurs des employés de la CFP, et bon nombre d'entre elles l'étaient sans que la DSTI ne les ait autorisées ou n'en soit informée. Selon la vérification, la DSTI a lancé des initiatives visant à rationaliser le nombre d'applications utilisées à la CFPl, dont l'adoption de mesures ne permettant que l'installation de logiciels approuvés pour les appareils fonctionnant sous Windows 10 (depuis le déploiement de Windows 10) ainsi que l'obligation de soumettre les logiciels commerciaux prêts à l'emploi à l'approbation du CCC avant leur installation dans l'organisation.
48. Recommandation 4 : Il est recommandé que la DSTI continue d'examiner les principales politiques et directives sur l'architecture d'entreprise afin de s'assurer qu'elles sont à jour et facilitent la gestion efficace de l'architecture d'entreprise à la CFP.
Conclusion
49. Globalement, la CFP a prévu un cadre de surveillance de gestion adéquat pour régir les activités de TI et atténuer les risques organisationnels liés aux projets de TI. Un cadre de gouvernance de la TI est en place et fait partie de la structure de gouvernance globale de la CFP. Les processus prévus pour gérer la relation avec SPC sont adéquats, mais pourraient être améliorés. Les politiques, les procédures et les directives en matière de TI de la CFP favorisent l'utilisation uniforme de la TI et respectent les exigences du Conseil du Trésor. Le DPI attend la publication du nouveau cadre stratégique sur la TI du Conseil du Trésor pour déterminer dans quelle mesure les politiques internes de la CFP devront être renouvelées, actualisées ou annulées. L'approbation par le CEG d'une capacité accrue provisoire de 3 ans pour la DSTI en 2016 permettra à l'organisation de rattraper son retard technique pour réduire les risques opérationnels ainsi que d'amorcer des projets novateurs. Enfin, les fonctions de gestion du portefeuille d'applications et de l'architecture d'entreprise sont axées sur l'amélioration de la TI, soit l'harmonisation des activités et l'élimination du retard technique de la CFP.
50. Le rapport mentionne 4 points à améliorer. Le premier concerne l'examen des mandats des comités existants pour voir s'ils répondent aux attentes actuelles. Le deuxième touche l'évaluation de la mise en œuvre de l'entente avec SPC visant à éliminer les risques possibles pour la CFP. La description officielle par la DSTI de ses processus d'évaluation et d'atténuation des risques liés à la prestation de services de TI constitue un troisième aspect à examiner. Enfin, il est possible d'améliorer les documents sur les processus d'architecture d'entreprise. Quatre recommandations sont formulées dans le présent document pour améliorer ces 4 points.
Annexe A – Réponse et plan d’action de la direction
| Recommandations | Réponse de la gestion et mesures proposées | BPR | Échéance |
|---|---|---|---|
| 1. Il est recommandé que le DPI travaille avec le CGITI et les présidents des comités de gouvernance pour examiner et mettre à jour (au besoin) les mandats des comités afin de s'assurer qu'ils répondent aux besoins actuels. Cette évaluation devrait porter sur la façon dont les procès-verbaux sont préparés afin que soient précisés les questions examinées, les conseils formulés et les attentes en vue de la prochaine étape d'examen du comité. | La direction accepte cette recommandation. Le mandat du Comité d'examen des projets (CEP) est revu au cours du T4 de 2017-2018 et sera approuvé par le CGITI pendant le T1 de 2018-19. Le mandat du CGITI a été revu par un groupe de travail au T3 de 2017-2018 et est prêt à être approuvé. Les mandats du Comité consultatif sur le changement, du Comité d'examen de l'architecture, du Comité de gestion de la Direction et du Comité de gestion élargi de la Direction sont à revoir et à mettre à jour au besoin. Les mandats seront présentés et approuvés au sein des comités respectifs. Les recueils de décisions du Comité consultatif sur le changement, du Comité d'examen de l'architecture, du Comité de gestion de la Direction et du Comité de gestion élargi de la Direction doivent être uniformisés dans le cadre du projet sur les processus et les normes. |
DSTI | T1 2018-2019 |
| 2. Il est recommandé que la DSTI effectue un examen de tous les livrables prévus dans l'entente avec SPC et rende compte au CEG des résultats sur le rendement et des risques possibles pour la CFP concernant la prestation des services de TI ainsi que la communication de données et d'information en soutien des décisions du DPI de la CFP. | La direction accepte cette recommandation. Un examen des attentes liées à la prestation de services par SPC par rapport à l'entente conclue sera réalisé, et les résultats figureront dans le rapport du T1 au CEG en plus des faits saillants concernant les principaux livrables de SPC. |
DSTI | T2 2018-2019 |
| 3. Il est recommandé que la DSTI décrive officiellement les processus d'analyse, de signalement et de surveillance afin de préciser les rouages de la gestion du risque à la DSTI et vérifier l'efficacité des stratégies d'atténuation proposées qui ont été mises en œuvre. | La direction accepte cette recommandation. Les risques opérationnels sont documentés dans les mises à jour trimestrielles que présente le Secteur des affaires ministérielles au CEG. D'autres documents officiels sur l'analyse des risques opérationnels, les rapports et la surveillance seront élaborés dans le cadre du projet sur les normes et les processus approuvé par le CEG pour 2018-2019. |
DSTI | T4 2018-2019 |
| 4. Il est recommandé que la DSTI continue d'examiner les principales politiques et directives sur l'architecture d'entreprise afin de s'assurer qu'elles sont à jour et facilitent la gestion efficace de l'architecture d'entreprise à la CFP. | La direction accepte cette recommandation. Le programme d'architecture d'entreprise de la CFP doit se poursuivre en 2018-2019. Comme un grand nombre de logiciels ne sont pas harmonisés avec les futures normes d'architecture d'entreprise, le CEG offrira son appui de sorte que le portefeuille d'applications soit rationalisé afin d'optimiser son efficacité et sa rentabilité. |
DSTI | T4 2018-2019 |
Annexe B – Documents de référence (liste non exhaustive)
- Renseignements sur le référentiel de gouvernance COBIT 5, Information Systems Audit and Control Association
- Global Technology Audit Guides (GTAG), Institut des auditeurs internes
- Cadre stratégique pour l’information et la technologie, Conseil du Trésor du Canada
- Politique sur l’audit interne, Conseil du Trésor du Canada
- Politique sur la sécurité du gouvernement, Conseil du Trésor du Canada
- Politique sur la gestion des technologies de l’information, Conseil du Trésor du Canada
- Directive sur la gestion des technologies de l'information, Conseil du Trésor du Canada
- Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information, Conseil du Trésor du Canada
- Norme sur l’interopérabilité du Web, Conseil du Trésor du Canada
- Les 10 mesures de sécurité des TI visant à protéger les réseaux Internet et l’information du gouvernement du Canada, Centre de la sécurité des télécommunications
Détails de la page
- Date de modification :