Audit de la modernisation des subventions et contributions

Examen de la conception à mi-parcours et de la pré-mise en œuvre de la solution d’entreprise en ligne

Bureau de la dirigeante principale de la vérification

Avril 2016

This publication is also available in English.

© Sa Majesté la Reine du chef du Canada, 2016.

N° de catalogue : CH6-39/2016F-PDF

ISBN :978-0-660-05695-1

Table des matières

Sommaire

Les ministères et les organismes fédéraux ont recours à des programmes de subventions et de contributions (S et C) qui leur permettent de remplir leurs mandats respectifs. Chaque année, le ministère du Patrimoine canadien (PCH) investit en moyenne un milliard de dollars dans les programmes de S et C, ce qui représente plus de 80 % de son budget annuel. La solution d’entreprise en ligne (SEL) relative à l’Initiative de modernisation des subventions et contributions (IMSC) vise à permettre au Ministère de moderniser son approche en matière de prestation des programmes de S et C et d’assurer un service à la clientèle impeccable. La mise en œuvre de la SEL-IMSC est un élément important du Plan d’action pour la modernisation des subventions et contributions (PAMSC).

Grâce à cette solution en ligne, PCH est à l’avant-garde parmi les ministères qui administrent des programmes de S et C; par ailleurs, d’autres ministères ont montré de l’intérêt pour l’initiative en cours. La mise en œuvre du projet de la SEL-IMSC devrait donner lieu aux résultats suivants :

  1. augmentation de la satisfaction du client;
  2. accroissement de l’efficience opérationnelle;
  3. amélioration de la production de rapports sur le rendement.

Le présent audit visait à s’assurer que le projet de mise en œuvre de la SEL-IMSC suit son cours afin de mettre en place un système, des processus et des contrôles qui permettront d’atteindre les objectifs énoncés dans le PAMSC, notamment l’amélioration des relations avec les clients, l’accroissement de l’efficience des processus opérationnels dans les divers programmes, et l’amélioration de la mesure du rendement et de la production de rapports sur le rendement.

Cette audit visait les activités relatives au développement et à la pré-mise en œuvre du système visé par l’administration centrale et les bureaux régionaux et couvrait la période du 1er avril 2014 à la date de l’achèvement substantiel des travaux d’audit.

L’équipe d’audit a observé un certain nombre de contrôles efficaces et de pratiques exemplaires pour la gouvernance du projet, la gestion des risques et les contrôles internes, y compris les éléments suivants :

  • PCH dispose d’une structure de gouvernance bien conçue qui fonctionne comme prévu. La documentation est constamment rassemblée afin de soutenir les réunions et les décisions.
  • La détermination des risques est considérée comme l’une des forces du projet.
  • Les registres des risques, les tableaux de bord sur les projets ainsi que d’autres documents à l’appui sont souvent présentés pendant les réunions lorsque cela est pertinent.
  • L’assistance est nombreuse aux réunions des comités et des groupes de travail.
  • Le projet dispose de processus et de procédures fiables afin de recueillir des commentaires.
  • Un Cadre de mesure de rendement du PAMSC a été élaboré et approuvé.
  • Un système de contrôle a été mis en place afin de s’assurer que les lacunes sont cernées, consignées et corrigées.

L’équipe d’audit a cerné des possibilités d’amélioration en ce qui touche certaines pratiques et certains processus de gestion, lesquelles sont abordées plus en détail dans les recommandations énoncées dans le corps du rapport.

Opinion et conclusion de l’audit

Compte tenu des conclusions de l’audit, nous estimons que le projet de mise en œuvre de la SEL repose sur une structure de gouvernance viable et que les risques sont gérés de façon appropriée. Il y aurait lieu d’apporter des améliorations particulières afin de permettre à l’équipe du projet et au comité directeur d’effectuer la mise en œuvre, d’atteindre les objectifs du projet, de mesurer le rendement et d’en assurer le suivi.

Énoncé de conformité

Je déclare, selon mon jugement professionnel en tant que dirigeante principale de la vérification, que cet audit a été mené conformément aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes et aux Normes relatives à la vérification interne au sein du  gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité. Les procédures d’audit et les éléments de preuve recueillis sont suffisants et appropriés pour appuyer l’exactitude des constatations et la conclusion formulée dans le présent rapport. Les constatations et la conclusion reposent sur une comparaison entre les circonstances qui existaient au moment de l’audit et les critères d’audit préétablis convenus avec la direction. Elles s’appliquent uniquement à l’entité examinée, ainsi qu’à la portée et à la période visées par l’audit.

Original signé par

__________________________________________________

Natalie M. Lalonde

Dirigeante principale de la vérification

Bureau de la dirigeante principale de la vérification

Ministère du Patrimoine canadien

Membres de l’équipe d’audit

Dylan Edgar, Gestionnaire d’audit

Avec l’aide de ressources externes

1. Contexte

L’autorisation de l’audit découle du Plan d’audit pluriannuel axé sur les risques de 2015-2016 à 2017-2018 qui a été recommandé par le comité ministériel de vérification et approuvé par le sous ministre en mars 2015. Les ministères et les organismes fédéraux ont recours à des programmes de subventions et de contributions (S et C) qui leur permettent de remplir leurs mandats respectifs. Chaque année, le ministère du Patrimoine canadien (PCH) investit en moyenne un milliard de dollars dans les programmes de S et C, ce qui représente plus de 80 % de son budget annuel. La solution d’entreprise en ligne (SEL) relative à l’Initiative de modernisation des subventions et contributions (IMSC) vise à permettre au Ministère de moderniser son approche en matière de prestation des programmes de S et C et d’assurer un service à la clientèle impeccable même s’il dispose de ressources réduites. Grâce à cette solution en ligne, PCH est à l’avant-garde parmi les ministères qui administrent des programmes de S et C; par ailleurs, d’autres ministères ont montré de l’intérêt pour l’initiative en cours.

La mise en œuvre de la SEL-IMSC est un élément important du Plan d’action pour la modernisation des subventions et contributions (PAMSC). La stratégie du PAMSC est décrite dans le graphique suivant :

Stratégie de modernisation de Patrimoine canadien

Stratégie de modernisation de Patrimoine canadien – version texte

Vision

PCH assure la prestation des subventions et contributions de façon efficiente, efficace et moderne, ce qui facilite l’accès des clients à nos programmes et services.

Stratégie

Utiliser des technologies et des processus de pointe pour :

  • Moderniser la prestation des programmes
  • Améliorer l’expérience des clients
  • Présenter des résultats positifs aux Canadiens

Relations améliorées auprès des clients

  • Respecter nos engagements en matière de service
  • Répondre aux besoins des clients
  • Interagir avec les clients en ligne
  • Continuer d’améliorer le service
  • Revoir la façon de communiquer les décisions

Processus opérationnel normalisé

  • Favoriser une approche axée sur les risques à l’égard de la prestation de programmes
  • Améliorer l`efficience des processus
  • Offrir en temps opportune le soutien et la formation au personnel de programme
  • Clarifier les rôles et responsabilités

Mesure du rendement améliorée

Obtenir la bonne information afin de présenter le portrait de PCH au niveau de son rendement par les moyens suivants :

  • Automatiser, renforcer et rationaliser la collecte de données sur le rendement
  • Recueillir des données communes sur le rendement pour l’ensemble de PCH

Principes directeurs

  • Promouvoir l’amélioration continue
  • Équilibrer les risques et les résultats
  • Réduire le fardeau administratif
  • Favoriser l’innovation
  • Offrir un service axé sur la clientèle

La mise en œuvre de la SEL-IMSC devrait donner lieu aux résultats suivants :

  1. Augmentation de la satisfaction du client: La satisfaction des clients devrait augmenter à la suite de la mise en œuvre d’une plateforme de prestation de services en ligne qui nous permettra de répondre à la demande croissante pour ce type de service, de faciliter l’accès aux programmes de S et C, de simplifier l’interaction avec la clientèle et de nous assurer de maintenir un niveau de transparence adéquat en ce qui touche les processus internes en permettant notamment aux demandeurs de suivre leur dossier sans avoir besoin de s’adresser au personnel des programmes.
  2. Accroissement de l’efficience opérationnelle: Selon une étude des temps et mouvements réalisée à l’interne, les agents des programmes allouent 60 % de leur temps au traitement des demandes; il serait donc avantageux pour eux de disposer d’un mode de prestation de services en ligne. À titre d’exemple, la mise en œuvre d’une plateforme de prestation de services en ligne nous permettra de nous assurer que les demandes sont dûment remplies avant d’être présentées; en outre, les clients pourront évaluer l’état de leur dossier de S et C tout au long de son cycle de vie.
  3. Amélioration de la production des rapports sur le rendement: Les bénéficiaires des programmes devraient pouvoir rédiger des rapports simples et rationnels axés sur les mesures principales qui répondent aux exigences du Ministère en matière de performance.

2. Objectif

Le présent audit visait à s’assurer que le projet de mise en œuvre de la SEL-IMSC suit son cours afin de mettre en place un système, des processus et des contrôles qui permettront d’atteindre les objectifs énoncés dans le PAMSC, notamment l’amélioration des relations avec les clients, l’accroissement de l’efficience des processus opérationnels dans les divers programmes, et l’amélioration de la mesure du rendement et de la production de rapports sur le rendement.

3. Portée

Cette audit visait les activités relatives au développement et à la pré-mise en œuvre du système visé par l’administration centrale et les bureaux régionaux et couvrait la période du 1er avril 2014 à la date de l’achèvement substantiel des travaux d’audit.

Les sous-objectifs et les critères de l’audit ont été précisés par l’équipe d’audit, après une évaluation des contrôles de gestion de base et une évaluation des risques pour la gestion de la SEL-IMSC. L’audit était axé sur la gestion du projet de développement du système et son harmonisation avec l’orientation du gouvernement du Canada.

4. Approche et méthode

L’équipe d’audit tient à souligner l’ouverture et la transparence dont a fait preuve l’équipe du projet de mise en œuvre de la SEL-IMSC, qui lui a permis d’accéder librement à ses répertoires de fichiers électroniques et l’a tenue au courant des progrès concernant l’utilisation et les fichiers tests de la SEL-IMSC.

La méthodologie de l’audit comprend notamment :

  • L’examen de la documentation, des lignes directrices et procédures, des réalisations attendues du système, des plans d’essais, des politiques et des lois qui se rapportent au projet;
  • La collecte de données par l’entremise d’entrevues et d’observations effectuées avec le personnel du projet et les clients aux fins d’examen des processus, procédures et pratiques;
  • L’examen d’un échantillon d’essais des systèmes et la détermination des lacunes afin de confirmer l’efficacité des principaux contrôles internes.

5. Constatations et recommandations

Les constatations et les recommandations concernant l’audit de la modernisation des S et C font l’objet de la présente section. Les constatations sont fondées sur les données recueillies lors de l’examen et de l’analyse de la documentation, des tests et des entrevues effectués pour chacun des critères d’audit. L’annexe A contient un résumé des constatations et des conclusions présentées pour chacun des critères évalués par l’équipe d’audit. Les constatations revêtant une importance mineure, présentant de faibles risques ou ayant une incidence négligeable ont été transmises verbalement à l’entité faisant objet de l’audit ou précisées dans une lettre à l’intention de la direction.

5.1 Gouvernance

La gouvernance est la composante de contrôle interne qui exige d’établir des organismes de surveillance clés au sein de l’organisation et permet de s’assurer qu’un mandat clair est défini en ce qui touche les rôles et les responsabilités, les responsabilisations et le pouvoir décisionnel, et qu’il est documenté dans une charte de projet officielle.

Structure de gouvernance

Le projet de mise en œuvre de la SEL dispose d’une structure de gouvernance bien conçue qui fonctionne comme prévu. La documentation est constamment rassemblée afin de soutenir les réunions et les décisions.

La structure de gouvernance pour le projet est efficace. Les comités sont formés de représentants adéquats qui assistent régulièrement aux réunions. Les membres des comités sont conscients de leurs responsabilités et de leurs obligations. La structure de gouvernanceNote de bas de page 1 pour le projet est représentée ci-dessous :

Gouvernance du PAMSC – version texte

La prise de décision se fait en premier lieu par le Comité Exécutif. En deuxième lieu, par le Comité des programmes et des politiques (volet professionnel); le CPIMRE et le Comité des finances; ainsi que le Comité des ressources humaines et des services opérationnels (volet technique). En dernier lieu, par le Comité directeur du PAMSC.

L’engagement et conseil se font en premier lieu par le Dirigeant de pillier (Équipe de projet). En deuxième lieu, par le Comité consultatif en G et S; Groupe de travail des DG et par le Bureau du projet pour la Modernisation (BGPMSC ).

Les comités et le groupe de travail tiennent des réunions régulièrement afin de soutenir la fonction du comité ou de l’équipe (le comité directeur du projet tient des réunions mensuelles; le Bureau de gestion du projet et l’équipe du projet se réunissent chaque semaine ou deux fois par mois; et les membres du groupe de travail du directeur général du programme se rencontrent au besoin); en outre, ils rédigent et transmettent les documents liés à ces réunions, notamment des ordres du jour et des rapports de décisions. Les rapports de décisions permettent de consigner des renseignements détaillés sur les points discutés et les questions soulevées lors des réunions, ainsi que les décisions prises et les mesures de suivi requises.

La structure de gouvernance en place au sein de PCH en ce qui touche la SEL lui permet d’exercer une surveillance adéquate, de prendre part aux processus décisionnels et de gestion des risques et de soutenir et renforcer la surveillance en vue de la mise en œuvre du projet. Cela dit, étant donné que le directeur général et le sous ministre adjoint siègent au comité directeur du PAMSC, des gains d’efficacité seraient réalisés en élevant ce comité au niveau 2.

Harmonisation avec les priorités du Ministère et des organismes centraux

La SEL est conforme aux exigences du Ministère et des organismes centraux pertinentes.

L’équipe d’audit a déterminé que le projet était conforme aux exigences du Ministère et des organismes centraux pertinents. Cela est attribuable à la tenue de réunions fréquentes avec des organismes centraux et d’autres ministères, notamment le Secrétariat du Conseil du Trésor (SCT), le ministère de la Diversification de l’économie de l’Ouest et le ministère de la Justice. De plus, la SEL est clairement lié aux exigences de la Politique sur les services du Conseil du Trésor (CT) et d’autres politiques existantes au sein du CT. Les protocoles d’entente avec le SCT sont présentement sous examen afin de s’assurer de maintenir cette harmonisation.

L’harmonisation avec les priorités du Ministère et du CT est l’un des facteurs clés d’un projet réussi; elle permet également de s’assurer de l’utilisation efficace des ressources et de l’harmonisation organisationnelle à l’échelle de PCH et du gouvernement du Canada.Cela est particulièrement important compte tenu du caractère de la SEL, car il est question de mettre en œuvre des solutions uniformisées à l’échelle du gouvernement en ce qui touche les S et C. En travaillant en étroite collaboration avec le SCT et d’autres ministères, PCH a atténué le risque que la SEL ne soit pas conforme aux mandats élargis du gouvernement concernant l’utilisation de la SEL.

Gestion de la rétroaction et du changement

Le projet dispose de processus et de procédures fiables afin de recueillir des commentaires; toutefois, il est nécessaire d’avoir une stratégie du changement robuste afin de répondre aux inquiétudes et aux préoccupations des employés touchés.

L’équipe du projet utilise des processus et des pratiques fiables pour recueillir les commentaires des clients, notamment les techniques et les moyens de communication suivants : les visites régionales, les appels téléphoniques et les enquêtes. Elle a également fourni de la rétroaction claire à ses clients et aux autres ministères et communiqué avec eux en temps opportun. Le succès des activités de mobilisation et de collecte de commentaires est en partie attribuable à la vision et à la stratégie intégrée de l’équipe de projet; par ailleurs, deux des trois piliers du plan d’action du projet, soit l’amélioration des relations avec les clients et le processus opérationnel normalisé, sont axés sur la participation à grande échelle.

Bien que les processus et les pratiques liés aux commentaires soient fiables, l’équipe d’audit a conclu que les améliorations relatives à la gestion du changement devraient être plus significatives. Le PAMSC comprend des activités de gestion du changement; toutefois, il ne prévoit aucune stratégie en la matière. L’équipe d’audit a également constaté qu’aucune structure de répartition du travail n’avait été mise au point concernant la gestion du changement. Cette structure devait permettre de répondre aux inquiétudes et aux préoccupations des employés des programmes, qui devront apporter des changements à leur façon de travailler à la suite de la mise en œuvre de la SEL. En outre, il faudrait élaborer une stratégie de communication afin de déterminer quelle incidence la modernisation des S et C et la SEL auront sur la prestation des programmes qui s’y rattachent à l’avenir.

Des mécanismes efficaces pour inciter les employés et les autres ministères à émettre des commentaires et procéder à leur collecte sont en place; cependant, il y a un risque que la faiblesse concernant la gestion efficace du changement amène une résistance par rapport à la mise en œuvre efficace du projet. Étant donné la nature et la portée du projet, il est essentiel que les utilisateurs y adhèrent pour assurer sa réussite.

Recommandation

  1. La dirigeante principale de la transformation et de l’information doit mettre en œuvre une stratégie complète de gestion du changement et de communication pour le PAMSC, y compris les répercussions de la SEL.

5.2 Gestion des risques

Dans l’ensemble, le cadre de gestion des risques mis en place pour la SEL est robuste.

La gestion des risques est la composante de contrôle interne qui consiste à établir et à maintenir un cadre et un processus efficaces afin de déterminer, d’analyser et de gérer les risques pertinents liés à l’atteinte des objectifs.

Les membres de l’équipe de projet ont indiqué que le cadre de gestion des risques était robuste. Le cadre vise à fournir la structure et les outils pour s’assurer d’avoir recensé et géré tous les risques liés au projet. Cela se fait principalement au moyen du registre des risques tenu par le Bureau de projet du PAMSC. Les registres des risques sont présentés et passés en revue à toutes les réunions du Bureau de gestion de projet du PAMSC et de l’équipe de projet. Les trois principaux risques ou problèmes recensés sont inclus dans le tableau de bord de la direction et présentés au comité directeur du PAMSC.

Le fait de disposer d’un cadre de gestion du risque d’entreprise officiel et d’approches documentées afin de gérer ces risques permet d’atténuer le risque de ne pas surmonter les difficultés et les obstacles liés au projet. Le fait de signaler les risques régulièrement au moyen du registre des risques et du tableau de bord du projet permet d’atténuer le risque que les décideurs ne soient pas conscients ou au courant des risques liés au projet.

En ce qui touche la SEL, l’équipe d’audit a conclu que des pratiques de gestion des risques étaient en place et qu’elles fonctionnaient efficacement.

5.3 Contrôle interne

En général, le contrôle interne est défini comme un processus qui, relevant de la direction d’une organisation et d’autres employés, permet de fournir une assurance raisonnable en ce qui touche l’atteinte des objectifs.

Mise à l’essai du système de sécurité

Au moment de l’audit, le système de sécurité n’avait toujours pas été mis à l’essai.

Le système de sécurité constitue une responsabilité partagée par P PCH et SPC. PCH est chargé de la sécurité des applications, et SPC est responsable de la sécurité des couches réseau, du système d’exploitation et de la plateforme des solutions de TI.

Dans le cadre du projet de mise en œuvre de la SEL, PCH a eu recours aux services d’un expert en sécurité afin d’élaborer la spécification de l’architecture et de la conception de la sécurité pour le système afin de s’assurer de la mise en œuvre des contrôles techniques requis dans le contexte où l’ensemble de la solution est adaptée aux exigences en matière de confidentialité, d’intégrité et d’accessibilité du système. La spécification de la conception de la sécurité a permis de déterminer quels sont les contrôles requis pour l’ensemble des couches de la solution de TI; cependant, elle est surtout axée sur les contrôles qui doivent être mis en œuvre sur la couche application. La spécification de la conception de la sécurité a été ajoutée aux exigences énoncées dans la demande de proposition effectuée en vue de choisir une SEL et d’en faire l’acquisition.

Un processus d’évaluation et d’autorisation de la sécurité a été mis en place afin de s’assurer que les contrôles techniques identifiés dans la spécification de l’architecture et de la conception de la sécurité ont été mis en œuvre et qu’ils fonctionnent comme prévu. À la fin de l’audit, l’élément de preuve présenté pour confirmer la mise en œuvre de contrôles particuliers consiste en une « attestation » selon laquelle les contrôles en question ont effectivement été mis en œuvre et sont conformes à la spécification de l’architecture et de la conception de la sécurité; par contre, l’« attestation » ne comprenait pas les résultats des tests permettant de confirmer que les contrôles qui ont été mis en œuvre fonctionnent comme prévu. L’élément de preuve présenté dans l’attestation a été accepté avec un Plan d’amélioration de la sécurité, lequel a permis la mise à l’essai des contrôles à la suite du lancement. En s’appuyant sur l’élément de preuve présenté dans l’attestation et sur le Plan d’amélioration de la sécurité, la dirigeante principale de l’information a émis une autorisation d’exploitation provisoire pour un an.

SPC est responsable de la mise en œuvre des contrôles de sécurité des couches réseau, du système d’exploitation et des couches physiques.PCH a exigé que la SEL soit mise en œuvre dans un environnement Protégé B.SPC a fourni un environnement et confirmé qu’il répondait aux exigences de la cote Protégé B. En revanche, il n’a pas fourni et ne fournira aucune preuve de tests afin de valider cette information.

Les tests des exigences est essentiel, car ils permettent de garantir l’intégrité du système. Étant donné qu’aucun test n’a été effectué pour l’application SEL-IMSC, il se pourrait qu’elle comporte des lacunes sur le plan de la sécurité, lesquelles sont susceptibles de compromettre l’exactitude et la confidentialité des renseignements en ce qui touche les demandes d’admission aux programmes et d’exposer les renseignements exclusifs des employés et des clients à des personnes non autorisées qui œuvrent au sein et à l’extérieur du Ministère. Bien qu’un processus d’évaluation et d’autorisation de la sécurité ait fourni les preuves confirmant la mise en œuvre des contrôles requis, ces contrôles doivent être mis à l’essai pour s’assurer qu’ils fonctionnent comme prévu. En conséquence, il se peut que les contrôles de sécurité ne fonctionnement pas adéquatement et que le système soit vulnérable aux infractions à la sécurité ou qu’il offre des fonctionnalités non souhaitées.

Recommandation

  1. La dirigeante principale de la transformation et de l’information doit :
    1. Accorder la priorité à terminer les tests des contrôles de sécurité et des contrôles opérationnels de la SEL;
    2. Chercher à obtenir une assurance formelle de SPC concernant l’infrastructure du réseau et du centre de données qui supportent l’application.

Passage à l’exploitation et à l’entretien

La planification du passage de la mise en œuvre à l’exploitation et à l’entretien continu du système doit être élaborée.

Le cycle de vie de la SEL permet aux programmes d’être intégrés au cours de plusieurs exercices. Au moment de l’audit, un des programmes de S et C, le Fonds du Canada pour la formation dans le secteur des arts, avait été intégré, et trois autres programmes devaient l’être avant la fin de l’exercice 2015-2016. Les exigences en matière de soutien des programmes qui utilisent déjà la SEL sont passées à l’étape de l’exploitation et de l’entretien, alors que d’autres programmes nécessitant un ensemble d’exigences de service différent doivent toujours être mis en œuvre.

Au moment de l’audit, le personnel des TI de la Direction de la dirigeante principale de l’information (DDPI) soutenait à la fois le programme intégré et ceux qui continuaient d’utiliser les anciennes applications. L’équipe d’audit a observé que les coûts et les ressources liés à l’exploitation et à l’entretien de la SEL n’ont pas tous été définis.

Toutefois, la DDPI a élaboré une stratégie de formation pour ses ressources en TI en ce qui concerne la SEL. De plus, comme le prévoyait le contrat conclu avec l’entrepreneur externe, celui-ci a transmis ses connaissances aux membres du personnel des TI de PCH en leur offrant une formation officielle et en interagissant régulièrement avec eux. L’équipe actuellement responsable de l’entretien du Système de gestion de l’information des S et C du Ministère a également été invitée à s’initier aux nouvelles technologies liées au projet; ce sont donc des employés temporaires, des entrepreneurs et des étudiants qui effectuent leurs tâches courantes.Malgré ces mesures positives, la distinction n’est pas évidente entre l’élaboration, l’intégration, l’exploitation, l’entretien, les ressources, les outils et les procédures.

Si on ne parvient pas à distinguer clairement ces éléments, il existe un risque accru que les clients intégrés qui en sont à l’étape de l’exploitation et de l’entretien continuent d’effectuer leurs demandes auprès des ressources qui les ont aidés lors de l’exercice d’intégration.Il se peut que les ressources qui se consacrent à l’élaboration et à la mise en œuvre éprouvent de la confusion en ce qui touche la priorité des tâches à effectuer et que cela ait une incidence sur le calendrier d’intégration.

Recommandation

  1. La dirigeante principale de la transformation et de l’information doit élaborer un plan dans lequel les rôles et les responsabilités sont clairement définis afin de soutenir les programmes à mesure qu’ils sont intégrés et pour passer en mode d’exploitation et d’entretien continu.

Conclusion générale

Le principal objectif de cet audit était de s’assurer que le projet de mise en œuvre de la SEL suivait son cours afin de mettre en place un système, des processus et des contrôles qui permettront d’atteindre les objectifs énoncés dans le PAMSC, notamment l’amélioration des relations avec les clients, l’accroissement de l’efficience des processus opérationnels des divers programmes, et l’amélioration de la mesure du rendement et de la production de rapports sur le rendement. Compte tenu des constatations de l’audit, nous estimons que le projet de mise en œuvre de la SEL repose sur une structure de gouvernance viable et que les risques sont gérés de façon appropriée. Comme il est mentionné dans les sections ci-dessus, il y aurait lieu d’apporter des améliorations particulières afin de permettre à l’équipe du projet et au comité directeur d’effectuer la mise en œuvre, de mesurer le rendement et d’en assurer le suivi de façon efface.

Annexe A – Critères d’audit

Les conclusions tirées pour chacun des critères d’audit utilisés dans le cadre de l’audit ont été formulées en fonction des définitions suivantes :

Catégorisation numérique de la conclusion

Conclusion relative aux critères d’audit

Définition de la conclusion

1

Bien contrôlé

  • Bien géré, aucune faiblesse importante constatée.
  • Efficace.

2

Contrôlé

  • Bien géré, mais certaines améliorations sont nécessaires.
  • Efficace.

3

Problèmes modérés

Certains problèmes modérés nécessitent l’attention de la direction (au moins un des deux critères suivants doit être satisfait) :

  • faiblesses en matière de contrôle, mais l’exposition au risque est limitée, car la probabilité d’occurrence du risque n’est pas élevée;
  • faiblesses en matière de contrôle, mais l’exposition au risque est limitée, car l’incidence du risque n’est pas élevée.

4

Améliorations importantes requises

Des améliorations importantes doivent être apportées (au moins un des trois critères suivants doit être satisfait) :

  • des redressements financiers s’imposent à l’égard de certains postes ou domaines ou du Ministère;
  • des lacunes en matière de contrôle entraînent une exposition grave au risque;
  • des lacunes importantes sont observées dans la structure de contrôle globale.

Remarque : Chaque critère d’audit qui est classé « 4» doit immédiatement être communiqué à la dirigeante principale de la vérification et au directeur général concerné ou à un niveau plus élevé pour la prise de mesures correctives.

Sous-objectif de l’audit 1 : et leur bon fonctionnement afin d’assurer l’atteinte des objectifs du projet.

Numéro du critère

Critères d’audit

Conclusion

1.1

La haute direction et les organismes de surveillance reçoivent des renseignements suffisants, complets et exacts pour éclairer la prise de décisions.

1

1.2

Les procédures de développement du système, les lignes directrices et les pratiques d’évaluation du projet SEL-IMSC sont appliquées de manière uniforme au sein du projet et elles s’harmonisent aux exigences ministérielles et à celles d’autres organismes centraux concernés.

1

1.3

Les résultats et la mesure du rendement sont documentés (modifiés au besoin), surveillés activement, communiqués aux échelons appropriés et pris en compte dans la prise de décisions.

2

1.4

La direction du projet SEL-IMSC alloue des ressources pour faciliter l’atteinte des objectifs et résultats.

2

Sous-objectif de l’audit 2 : Garantir la mise en place des principaux contrôles concernant la détermination, la surveillance, la gestion et l’atténuation des risques et leur bon fonctionnement pour assurer le rendement financier et opérationnel du projet SEL-IMSC.

Numéro du critère

Critères d’audit

Conclusion

2.1

Les essais à l’égard du système de sécurité et des contrôles opérationnels sont rigoureux et dûment vérifiés.

3

2.2

Les lacunes relatives aux applications du projet SEL-IMSC sont cernées et comblées avant que d’autres programmes adoptent ces applications.

1

2.3

Les résultats escomptés font l’objet de suivis et de communications de façon régulière et appuient le processus décisionnel de la direction.

1

Sous-objectif de l’audit 3 : Garantir que le projet SEL-IMSC est géré conformément aux politiques, aux lignes directrices et aux attentes pertinentes de PCH et des organismes centraux.

Numéro du critère

Critères d’audit

Conclusion

3.1

La direction du projet SEL-IMSC exécute des activités de surveillance indépendantes pour contrôler et garantir la qualité de la gestion des risques et de la diligence raisonnable pour la prise de décisions au sujet des risques.

1

3.2

Des processus et des pratiques liés aux initiatives de changement et à l’obtention de commentaires (intervenants, direction et employés) sont en place et sont communiqués correctement et à temps.

2

3.3

La technologie de l’information et les systèmes du projet SEL-IMSC font l’objet d’une gestion tout au long de leur cycle de vie et sont protégés adéquatement.

3

3.4

Le projet SEL- IMSC dispose d’une approche formelle en matière de gestion des connaissances et des talents pour veiller à ce que PCH ait l’expertise interne nécessaire pour favoriser l’avancement de la SEL.

1

Annexe B – Plan d’action de la direction

Audit de l’Initiative de modernisation des subventions et des contributions (IMSC) : examen de la conception à mi-parcours et de la prémisse en œuvre de la solution d’entreprise en ligne.

Recommandation

Mesures

Responsabilité

Date cible

  1. La dirigeante principale de la transformation et de l’information doit devrait mettre en œuvre une stratégie complète de gestion du changement et de communication pour le PAMSC, y compris les répercussions de la SEL.

Recommandation approuvée, mais certaines précisions sont nécessaires.

La gestion du changement est intégrée à la conception du projet de la SEL. Toutefois, d’autres transformations des S et C ont eu lieu.

L’équipe du PAMSC élaborera une stratégie de gestion du changement et de communications à grande échelle pour veiller à ce que la direction, le personnel du programme et les clients comprennent bien les répercussions entraînées par la nouvelle façon de faire les choses.

Dirigeante principale de la transformation et de l’information

Fin du premier trimestre de 2016-2017

  1. La dirigeante principale de la transformation et de l’information doit :
  1. Accorder la priorité à terminer les tests des contrôles de sécurité et des contrôles opérationnels de la SEL;
  1. Chercher à obtenir une assurance formelle de SPC concernant l’infrastructure du réseau et du centre de données qui supportent l’application.

Recommandation approuvée, mais une mise en garde doit être faite. La mise en œuvre de la recommandation A) est sur la bonne voie d’après le calendrier de projet.

  1. La mise à l’essai du système sera achevée conformément au plan d’amélioration des mesures de sécurité présenté aux termes du processus d’évaluation de sécurité et d’autorisation.
  2. Il n’est pas dans la pratique de SPC de présenter des preuves de la mise à l’essai ou de l’évaluation des menaces et des risques des environnements sous sa direction. La DDPI continuera de rencontrer régulièrement SPC pour discuter des questions opérationnelles, notamment la sécurité de la TI.

Directrice principale, PAMSC;

directeur, Solutions d’affaires intégrées,

Sécurité de la TI, DDPI

Fin du quatrième trimestre de 2015-2016

Fin du deuxième trimestre de 2016-2017

3. La dirigeante principale de la transformation et de l’information doit élaborer un plan dans lequel les rôles et les responsabilités sont clairement définis afin de soutenir les programmes à mesure qu’ils sont intégrés et pour passer en mode d’exploitation et d’entretien continu.

Recommandation approuvée et mise en œuvre commencée.

Certains aspects du projet, comme le soutien pour les systèmes déjà en place et le soutien aux clients sont déjà offerts par les ressources opérationnelles.

La planification de la transition de tous les aspects vers un état opérationnel ou en maintenance est en cours depuis novembre 2015 dans le cadre de l’élaboration de l’analyse de rentabilité du PAMSC, et se poursuivra jusqu’au deuxième trimestre de 2016-2017.

Le plan établira clairement les rôles et les responsabilités nécessaires pour soutenir les programmes une fois qu’ils seront en fonction, et indiquera les sources potentielles de financement opérationnel continu, plutôt que les sources de financement du projet.

Directrice principale, PAMSC;

directrice, Centre d’expertise;

directeur, Solutions d’affaires intégrées

Fin de l’exercice 2015-2016 au deuxième trimestre de 2016-2017

Annexe C – Glossaire des sigles et des termes

Sigles

CT

Conseil du Trésor

DDPI

Direction de la dirigeante principale de l’information

FCFSA

Fonds du Canada pour la formation dans le secteur des arts (programme)

IMSC

Initiative de modernisation des subventions et contributions

PAMSC

Plan d’action pour la modernisation des subventions et contributions

PCH

Patrimoine canadien

S et C

Subventions et contributions

SCT

Secrétariat du Conseil du Trésor du Canada

SEL

Solution d’entreprise en ligne

SPC

Services partagés Canada

Termes

1. Le Comité des finances a les responsabilités suivantes:

  • Examiner le plan opérationnel du projet.
  • Formuler des recommandations au Comité exécutif à l’égard des niveaux de financement pour le projet.
  • Examiner les éléments livrables prévus et réels ainsi que les jalons pour une année donnée.
  • Examiner la valeur du projet pour PCH.
  • Examiner les résultats du projet sur le plan des économies.

2. Comité exécutif – Composé des sous-ministres adjoints du Ministère. Il établit l’orientation stratégique de PCH; favorise une compréhension commune des questions de gestion des S et C; examine et approuve les initiatives et les investissements majeurs ainsi que les politiques; et examine l’état et le budget des projets ministériels d’envergure.

3. Le Comité des ressources humaines et des services opérationnels a les responsabilités suivantes:

  • Confirmer l’orientation technique du projet.
  • Approuver au besoin les versions et la formation sur les versions.
  • Assurer le soutien de communications relatives au projet.

4. Le Comité de la planification intégrée, de la mesure du rendement et de l’évaluation (CPIMRE) a les responsabilités suivantes :

  • Veiller à ce que les fonctions de planification de base, de présentation de rapports, de mesure du rendement, de gestion du risque intégrée et d’évaluation contribuent ensemble à un processus de saine gouvernance d’entreprise, permet de présenter une position ministérielle logique et facilitent le cycle de gestion stratégique pour PCH.
  • Examiner les stratégies pour assurer l’accès aux données sur le rendement.
  • Examiner le modèle logique du projet et le plan de mesure des résultats.
  • Examiner les rapports sur le rendement du projet, conformément aux directives du comité directeur du projet.

5. Équipe de projet duPAMSC – L’équipe de projet du PAMSC agit à titre de responsable opérationnel du PAMSC. Il lui incombe de surveiller les résultats énoncés dans le modèle logique du projet du PAMSC et d’en rendre compte. L’équipe de projet assure la coordination des efforts dans l’ensemble des piliers. L’équipe est également chargée de surveiller les risques liés au projet, notamment ceux relatifs à l’intégration du projet au sein de PCH, et de répondre aux questions ou de les transmettre à l’échelon approprié. Il lui incombe aussi d’apporter les mises à jour et les recommandations dans la structure de gouvernance de PCH. L’équipe de projet coordonne d’autres équipes, qui à leur tour alimentent l’équipe de projet, notamment le comité consultatif sur les S et C, le Groupe de travail des directeurs et directeurs généraux sur les S et C et le Bureau de gestion du projet de modernisation des S et C.

6. Bureau de gestion du projet de modernisation des SetC – Les travaux du Bureau de gestion du projet de modernisation s’articulent autour de la modernisation des solutions de TI de PCH à l’appui des objectifs du PAMSC. Ses membres se réunissent chaque semaine en petits sous groupes pour effectuer les tâches suivantes :

  • Améliorer la planification et l’établissement de calendriers.
  • Surveiller régulièrement l’état d’avancement des travaux en fonction des échéances et des éléments livrables.
  • Examiner une mise à jour sur le projet à chaque rencontre.
  • Cerner les risques et travailler à la gestion et à l’atténuation des risques.
  • Relever, préciser et résoudre des questions.
  • Faire le suivi des mesures et assurer la communication entre les sous groupes de l’équipe au niveau opérationnel.
  • Superviser la gestion du changement.

7. Comité directeur du PAMSC – Le Comité directeur du PAMSC est responsable de l’examen, de l’approbation et de la direction du PAMSC, y compris :

  • les initiatives du projet ayant une incidence sur les relations avec les clients, comme la vision du service à la clientèle, le protocole de service et la solution en ligne pour les S et C;
  • la modernisation des processus opérationnels, notamment les gains d’efficacité qui permettent de réduire le temps de traitement des dossiers de S et C, tant pour les agents de programme que pour les clients de PCH;
  • une mesure améliorée du rendement des S et C qui respecte les exigences du Conseil du Trésor, notamment des initiatives qui réduisent le fardeau administratif imposé aux clients, veillent à ce que les rapports présentés aux clients respectent les résultats stratégiques de PCH, simplifient les travaux d’établissement de rapport sur le rendement du programme et simplifient le regroupement de données ministérielles en vue des rapports sur le rendement du Ministère.

L’objectif du Comité est d’offrir une tribune qui lui permette le plus efficacement de consulter, de discuter, de faire le point, de fournir des conseils stratégiques et, au besoin, de prendre des décisions au sujet de l’IMSC afin d’en concrétiser la vision, de veiller à ce que ses résultats soient examinés et atteints et d’en assurer la gestion efficace et efficiente.

8. Le Comité sur les programmes et les politiques a les responsabilités suivantes :

  • Approuver la vision et les orientations du projet.
  • Habiliter les initiatives stratégiques nécessaires, notamment en établissant les priorités.
  • Assurer la surveillance du projet et formuler des conseils à l’appui du projet, notamment en approuvant la portée du projet et les modifications au modèle de prestation de services.
  • Examiner et approuver le budget du projet et les principaux jalons dans le cadre de la planification annuelle.
  • Formuler des conseils en matière de relations avec les clients par l’entremise du protocole et des normes de service du Ministère.
  • Aborder, comme le recommande le Comité directeur du PAMSC, les questions intergouvernementales.
  • Appuyer les communications relatives au projet.

En tant que tribune ministérielle permettant aux directeurs généraux de mener des discussions, des débats et des consultations sur des questions stratégiques horizontales, le Comité sur les programmes et les politiques permet de résoudre des questions sur les politiques et les programmes ou de gérer des risques qui touchent directement les résultats du projet de PAMSC.

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :