Vérification du cadre de gouvernance de la gestion de l’information

Sommaire

L’information — et la façon dont elle est planifiée, recueillie, gérée, diffusée et mise à profit ainsi que la façon d’en disposer — se situe au cœur même de chaque programme ministériel de Citoyenneté et Immigration Canada (CIC). Une gouvernance efficace de la gestion de l’information (GI) est essentielle pour réaliser les objectifs du Ministère.

Fondé sur une analyse des facteurs de risque ministériels et une consultation de la haute direction, le Plan de vérification axé sur les risques (PVAR) 2010-2011 de la Direction générale de la vérification interne et de la responsabilisation (DGVIR) de CIC indiquait la nécessité de procéder à la vérification du cadre de gouvernance de la GI. Cette vérification a eu lieu du mois de juillet au mois de décembre 2010, et sa phase d’examen, d’octobre à novembre 2010. La DGVIR a eu recours, pour sa réalisation, aux services du Centre de gestion publique (CGP).

La vérification visait à évaluer :

  • la structure de gouvernance de la GI;
  • les processus de gestion des risques liés à la GI;
  • les contrôles de gestion et opérationnels qui soutiennent la GI.

Structure de gouvernance de la GI

Dans l’ensemble, la structure de gouvernance, les mécanismes et les ressources requises sont en place à CIC pour soutenir la gestion de l’information tout au long de son cycle de vie. Le Comité de responsabilisation de gestion (CoRG) a approuvé le Plan stratégique de GI 2010-2013. Ce document comprend les éléments clés concernant la GI (par exemple, les buts et objectifs ainsi que les facteurs stratégiques), mais pourrait être amélioré par l’ajout d’éléments qui définiraient mieux les orientations stratégiques de CIC en matière de GI. En outre, il serait possible de prévoir dans le processus décisionnel la réalisation de consultations de même que la participation des principales parties intéressées.

Recommandations

La Direction générale de la gestion et des technologies de l’information (DGGTI) devrait :

  • améliorer l’actuel Plan stratégique de GI, en élaborant des normes de GI, une stratégie de mesure du rendement de la GI et un plan de ressources humaines en GI;
  • veiller à ce que ce Plan stratégique de GI soit présenté au Comité exécutif du Ministère pour examen et approbation. Cela assurerait sa visibilité dans tout l’organisme, en plus d’amener les cadres supérieurs à appuyer les efforts déployés pour faire connaître et encourager les comportements sensibles à la GI.

Processus de gestion des risques liés à la GI

Le Plan stratégique de GI 2010-2013 comprend une évaluation des risques, mais les stratégies d’atténuation des risques qui y sont énoncées pourraient être améliorées. De plus, la Direction de la gestion de l’information n’approuve pas actuellement les mandats des projets de gestion de l’information et technologie de l’information (GI-TI), étape qui garantirait un examen approprié des risques et de leurs incidences. Un renforcement de la gestion des risques liés à la GI procurerait à la haute direction toute l’information concernant les risques dont elle a besoin pour modifier ses priorités et affecter ses ressources de façon appropriée.

Recommandations

La DGGTI devrait :

  • améliorer l’actuel Plan stratégique de GI en dressant un plan détaillé d’atténuation des risques;
  • veiller à ce que, dans le cas de toutes les initiatives de GI-TI, le processus d’approbation des mandats de projet prévoie l’approbation des mandats par le directeur de la Gestion de l’information.

Contrôles de gestion et contrôles opérationnels

Malgré les moyens de contrôle en place et les rôles et responsabilités clairement définis, le cadre de contrôle de gestion relatif à la GI pourrait être amélioré à certains chapitres. En gardant le cap sur l’adoption du SGDDI au lieu de privilégier des outils de GI spécifiques pour chaque direction générale, en gérant les renseignements secrets ou classifiés et en établissant des autorisations de disposition de documents, on renforcera le cadre de contrôle global et on atténuera les risques liés à la GI et les risques opérationnels.

Recommandations

La DGGTI devrait :

  • rechercher les causes fondamentales du manque d’intérêt envers le SGDDI, afin de dresser et de mettre en œuvre un plan correctif;
  • établir les possibilités d’entreposage central et de suivi des documents qui ne sont pas stockés dans le SGDDI en raison de leur classification de sécurité;
  • s’assurer que les exigences des PE régissant l’échange de renseignements s’harmonisent avec les politiques et procédures de CIC en matière de GI, et appliquer des mesures afin que les partenaires participant à l’échange de renseignements adhèrent aux politiques de CIC régies par ces PE;
  • continuer d’établir des calendriers de conservation pour garantir le respect des exigences de BAC, et veiller au suivi de la conformité à ces calendriers.

Conclusion

Dans l’ensemble, CIC réussit de plus en plus à faire en sorte que la structure de gouvernance, la gestion des risques et les contrôles opérationnels et de gestion dans le domaine de la GI fournissent un soutien efficace tout au long du cycle de vie de l’information. La présente vérification a permis de trouver des moyens d’améliorer le cadre de gouvernance de la GI de CIC. Voir le plan d’action de la direction qui en résulte à l’annexe C.

Détails de la page

Date de modification :