ARCHIVÉE - Rapport de vérification définitif - Vérification de la gestion des accords de niveau des services de la technologie de l'information (TI)
Mars 2011
Table des matières
Sommaire
L'Initiative du partage des services de technologie de l'information est une approche coordonnée à l'échelle du gouvernement pour la gestion plus efficace des services de la technologie de l'information (TI). Travaux publics et Services gouvernementaux Canada (TPSGC) a été chargé de créer une organisation de services de la TI partagés pour le gouvernement du Canada. Depuis 2005, Santé Canada a pris un rôle de leadership en devenant un Ministère de Vague 1 travaillant en partenariat avec TPSGC pour démontrer le résultat positif du partage des services de la TI. En 2007, Santé Canada a signé une entente de partenariat avec TPSGC pour participer activement à la conception et à l'élaboration de « l'Initiative sur les services partagés ». Le partenariat initial en 2007 a été documenté dans l'Accord exécutif sur l'impartition stratégique, qui donnait un aperçu des principes de services partagés à réaliser. La deuxième phase de transfert des services de la TI comprenait le transfert de services de l'environnement DCE. Vers la fin février 2008, Santé Canada et TPSGC ont convenu d'une stratégie de l'environnement DCE globale, d'une structure de gouvernance et d'une « validation des principes » pour l'application électronique/bureautique.
En 2008, Santé Canada a également réalisé « l'initiative Prochaines étapes » afin d'établir le modèle actuel d'entreprise pour la TI, créant une concentration accrue sur l'intendance et un plus grand développement du modèle des services partagés. La troisième phase de l'initiative sur les services partagés était les Centres des services de données. Cela a entraîné un partenariat avec TPSGC pour les opérations des Centres de données et la gestion du réseau. Plus tard en 2008, il a été convenu d'utiliser un protocole d'entente comme document cadre pour mieux saisir le partenariat stratégique entre les deux ministères. Actuellement, il existe 27 accords de niveau de service approuvés et 5 sont en négociations. Pendant l'exercice de 2009-2010, les services impartis représentaient des dépenses totales de 36 millions de dollars. Même si elles sont des composantes principales de l'infrastructure, les applications et le soutien sont fournies par TPSGC. Santé Canada est toujours responsable de l'intégrité, de la sécurité et du contrôle d'accès pour ses systèmes.
L'objectif de la vérification était d'évaluer les accords de niveau des services de technologie de l'information, quand un autre ministère fournit de tels services à Santé Canada, relativement à la manière dont ils sont régis, gérés pour les risques, contrôlés et surveillés.
La structure de gouvernance de la TI à Santé Canada est composée de divers organes essentiels de surveillance de la GI/TI. La structure de gouvernance fournit bien un forum de discussions, un service, une définition, une affectation et une clarification des rôles, des responsabilités, des pouvoirs et des responsabilisations.
Les accords de services sont alignés à la fois avec la Direction canadienne des services partagés, et à la stratégie de Santé Canada pour la TI du Ministère. L'intendance des ressources de GI/TI est aussi déterminée comme étant vitale pour les activités du Ministère en garantissant que la TI assure l'optimisation des ressources et que les services partagés répondent aux résultats escomptés pour un service efficace au client à l'appui de la prestation des programmes du Ministère. Santé Canada continue à évaluer les services qu'il fournit à travers l'initiative sur les services partagés de la TI pour optimiser les services qu'il offre ainsi que pour devenir un meilleur partenaire de service.
Un examen des protocoles d'entente, des accords de niveau de service, des accords de recouvrement et des chartes de projet de Santé Canada indique que les définitions des rôles, des responsabilités, des responsabilisations et des pouvoirs sont précisées pour les services et les réalisations attendues. Parmi les 27 accords pour 2010-2011, cinq sont encore en négociation, six mois après le début de l'exercice. Une note positive est l'accord récemment négocié sur les services d'entreposage gérés qui a permis une réduction importante des coûts par rapport à l'année dernière. Tant TPSGC que Santé Canada continuent à se rencontrer pour optimiser l'offre de services et mettre en œuvre des modifications dans les ententes permettant des objectifs de service plus clairs et des améliorations du service au client.
Depuis la création des services partagés de la TI, la Direction des services de gestion de l'information (DSGI) a eu des succès dans la mise au point et l'évolution des contrôles opérationnels nécessaires pour la gestion des services partagés de la TI qui augmentent. Pour la plupart, les services partagés de la TI que possède le Ministère respectent les exigences des activités même si la mise en œuvre de l'Outil habilitant d'entreprise (OHE) et le vendeur ainsi que TPSGC continuera d'enquêter. Pendant ce temps, Santé Canada continue à tirer avantage des fonctionnalités du Web 2.0 a soulevé des questions de stabilité/d'interopérabilité du produit, ce qui a retardé l'achèvement du déploiement du OHE. La métrologie et les rapports de rendement des services partagés de Santé Canada ne sont pas aussi forts qu'ils pourraient être et la DSGI devrait travailler avec le mandataire de service.
Après cinq ans de participation active à l'Initiative sur les services partagés du gouvernement du Canada, il est opportun pour le Ministère d'évaluer le coût total du cycle de vie de chaque entente selon les leçons apprises à ce jour. Une stratégie progressiste devrait être élaborée pour identifier autres services de la TI qui pourraient être fournis par TPSGC en plus d'identifier ceux qui pourraient être fournis sur place ou par une autre initiative de partage interministériel. La stratégie devrait être bien documentée et quantifiée avec une analyse approfondie des activités pour démontrer les économies à gagner grâce à chaque mécanisme de prestation choisi et devrait respecter l'orientation du gouvernement du Canada sur les services partagés de la TI.
Enfin, le Ministère devrait mettre au point la comptabilité (à la fois les biens étiquetés pour Santé Canada et les coûts « partagés » qui s'y rattachent) pour l'initiative Oracle Beehive selon le protocole d'entente signé.
La direction souscrit aux trois recommandations et a élaboré un plan d'action qui servira à renforcer les pratiques de gestion pour le processus d'accord de niveau des services partagés de la TI.
1. Introduction
1.1 Contexte
Services externes fournis
- Centres de données
- Ordinateurs de bureau
- Télécommunications
- Hébergement d'application
- Protection d'infrastructure
- Gestion de réseau
- Gestion des biens
- Services d'assistance
- Voie de communication protégée
- Gestion du contenu
L'Initiative sur les services partagés de la technologie de l'information est une approche coordonnée à l'échelle gouvernementale pour la gestion plus efficace des services de la TI. Travaux publics et Services gouvernementaux Canada (TPSGC) a été chargé de créer une organisation de services partagés de la TI pour le gouvernement du Canada. Depuis 2005, Santé Canada a pris un rôle de leadership en devenant un Ministère de Vague 1 travaillant en partenariat avec TPSGC pour démontrer le résultat positif du partage des services de la TI. En 2007, Santé Canada a signé une entente de partenariat avec TPSGC pour participer activement à la conception et à l'élaboration de « l'Initiative sur les services partagés ». Le partenariat initial en 2007 a été documenté dans l'accord entre exécutifs sur l'impartition stratégique, qui donnait un aperçu des principes de services partagés à réaliser. La deuxième phase de transfert des services de la TI comprenait le transfert de services de l'environnement DCE. Vers la fin février 2008, Santé Canada et TPSGC ont convenu d'une stratégie de l'environnement DCE globale, d'une structure de gouvernance et d'une « validation des principes » pour l'application électronique/bureautique.
Au cours de l'année 2008, Santé Canada a également réalisé « l'initiative Prochaines étapes » afin d'établir le modèle actuel d'entreprise pour la TI créant une concentration accrue sur l'intendance et un plus grand développement du modèle de services partagés. La troisième phase de l'initiative sur les services partagés était les Centres des services de données. Cela a entraîné un partenariat avec TPSGC pour les opérations des Centres de données et la gestion du réseau. Plus tard en 2008, il a été convenu d'utiliser un protocole d'entente comme document cadre pour mieux saisir le partenariat stratégique entre les deux ministères. Même si elles sont des composantes principales de l'infrastructure de la TI, les applications et le soutien de la TI sont fournies par TPSGC. Santé Canada demeure responsable de l'intégrité, de la sécurité et du contrôle d'accès pour ses systèmes.
Le partenariat initial de 2007 a été documenté dans l'Accord exécutif sur l'impartition stratégique (AEIS) et en 2008 un PE a été signé afin d'établir un partenariat pour les services partagés. Les premiers services impartis comprenaient le soutien d'ordinateur de bureau, un centre service de données et un traitement distribué ainsi que la gestion du réseau. En 2008, Santé Canada a réalisé « l'initiative Prochaines étapes » afin d'établir le modèle actuel d'entreprise pour la TI, créant une concentration accrue sur l'intendance et un plus grand développement du modèle de services partagés. Actuellement, il existe 27 accords de niveau de service approuvés ou en négociation. Pendant l'exercice de 2009-2010, les services associés représentaient des dépenses totales de 36 millions de dollars au sein de la Direction des services de gestion de l'information. (Voir Annexe B)
Comme le nombre des services généraux de la TI utilisés augmente, on prévoit que le gouvernement réalisera des activités plus efficaces et plus rentables par l'économie d'échelle et la normalisation; des responsabilisations plus claires; un prise de décision opportune basée sur une information de gestion cohérente et des niveaux de service communs et plus conséquents dans tout le gouvernement.
1.2 Objectif de la vérification
L'objectif de la vérification était d'évaluer les accords de niveau des services de technologie d'information, quand un autre ministère fournit de tels services à Santé Canada. Les accords de niveau des services ont été évalués relativement à la manière dont ils sont régis, gérés pour les risques, contrôlés et surveillés.
1.3 Portée et méthode
La portée de la vérification comprenait les activités de services partagés de l'exercice 2009-10 et de l'année en cours. La vérification examinait l'exécution des accords de niveau des services afin de déterminer : à quel point ils atteignent les exigences du Ministère conformément aux stipulations contractuelles, aux conditions et aux réalisations attendues; s'ils sont conformes aux normes de Santé Canada en matière de prestation de service et de sécurité; et s'ils sont mesurés pour le rendement et que les résultats de ces mesures sont communiqués régulièrement à la haute direction. La phase de l'enquête de la vérification a concentré ses efforts de sondage détaillé sur un échantillon choisi parmi six accords impartis. Ces accords représentaient ensembles 88 pour cent des dépenses en services partagés de la TI pour 2009-10. Les critères formant la base pour l'échantillon choisi sont :
- L'importance relative - accords de la plus haute valeur
- La longévité - accords de plus longue durée
- La sécurité de la TI - accord ayant une incidence sur la posture de sécurité du Ministère
1.4 Énoncé d'assurance
Selon le jugement professionnel du Dirigeant Principal de la vérification, des procédures suffisantes et convenables ont été suivies et la preuve a été réunie pour appuyer l'exactitude des conclusions de la vérification. Les constatations et la conclusion de la vérification sont basées sur une comparaison des conditions qui existaient à la date de la vérification aux critères établis en accord avec la direction. De plus, la preuve a été réunie conformément aux Normes de vérification interne pour le gouvernement du Canada et aux Normes internationales pour les méthodes professionnelles de vérification interne.
2. Constatations, recommandations et réponses de la direction
2.1 Gouvernance
2.1.1 Comités de direction
Critère de vérification : Des comités de direction sont en place afin de fournir l'autorité, la responsabilité et la responsabilisation pour les décisions concernant les services partagés de la TI.
La gouvernance devrait être la fondation d'une responsabilisation claire, d'une transparence améliorée et d'une gestion financière saine. Des pratiques, des mécanismes et des outils efficaces de gestion facilitent les responsabilités ministérielles et fournissent une approche équilibrée à la gestion du risque et au contrôle interne.
La structure de gouvernance de la TI à Santé Canada est composée de divers organes essentiels de surveillance de la GI/TI : le Comité exécutif de la gestion; son sous-comité sur les opérations; et le comité exécutif de la Direction des services de gestion de l'information. De plus, il existe le Comité de la gestion des services partagés de la TI et le Conseil des services partagés de la TI interministériel au niveau exécutif. Pendant la période de la vérification, le conseil de responsabilisation de la gestion de l'information fournissait la surveillance pour l'utilisation des services partagés de la TI par le Ministère à l'exception de l'un des nouveaux accords de services de Santé Canada : L'Outil habilitant d'entreprise qui est régi tel que décrit ci-dessous.
Outil habilitant d'entreprise (OHE)
L'OHE offre les derniers outils des médias sociaux
grâce à des espaces virtuels de travail, à des mesures
instantanées, à des wikis et à des blogs. C'est la
réponse de Santé Canada au Web 2.0.
L'OHE est le nouvel Outil habilitant d'entreprise de Santé Canada, une plate-forme basée sur la technologie « Beehive » d'Oracle. Selon le protocole d'entente et la charte de projet pour l'environnement DCE / Outil habilitant d'entreprise (DCE/OHE), une structure de gouvernance interministérielle a été établie pour refléter le partenariat entre Travaux publics et Services gouvernementaux Canada (TPSGC) et Santé Canada. Il y a un comité directeur de sous-ministres adjoints et un groupe de travail de directeurs généraux. Les comités sont composés de membres émérites comme un sous-ministre adjoint dans le domaine de programmes de Santé Canada, le contrôleur ministériel et le dirigeant principal de l'information, ainsi que le Secrétariat du Conseil du Trésor du Canada et des membres de TPSGC. La gouvernance interministérielle pour le DCE/OHE relève en fin de compte du Comité exécutif de gestion de Santé Canada.
2.1.2 Orientation stratégique
Critère de vérification : Les accords de niveau des services sont alignés sur les stratégies et les orientations de la TI de Santé Canada.
Les accords de services partagés de la TI sont alignés à la fois avec l'orientation et la Politique sur la technologie de l'information du gouvernement du Canada, et la stratégie propre de Santé Canada pour la TI du Ministère. L'intendance des ressources de GI/TI est aussi déterminée comme étant vitale pour les activités du Ministère en garantissant que la TI continue d'assurer l'optimisation des ressources et que les services partagés répondent aux résultats escomptés pour un service efficace au client à l'appui de la prestation des programmes de Santé Canada. Pour réaliser efficacement ses plans ministériels, la direction des Services de gestion de l'information (DSGI) doit mesurer et gérer le rendement réel des procédés opérationnels d'une manière hautement coordonnée. Afin d'appuyer les cadres supérieurs dans leur responsabilité de l'efficacité des systèmes de contrôle interne, une justification pour répondre aux besoins opérationnels et de réunions et une analyse d'avantage des coûts établissent normalement la base pour la mesure permanente du rendement.
Dans la Vérification de la gouvernance de la GI/TI déposée auprès du Comité ministériel de vérification en décembre 2009, la DSGI a fait remarquer dans sa réponse de la direction que les études coûts/avantages pour les services de soutien d'ordinateur de bureau, le Bureau de service national et l'entreposage ont été effectuées avant les accords de niveau des services. De plus, pour assurer des prix équitables et des meilleures pratiques en matière de services, la DSGI signale qu'elle a utilisé les points de repère industriels de Gartner pour négocier ces accords. Les points de repère Gartner sont des standards de TI reconnus à l'échelle internationale, qui comparent les coûts et les ressources nécessaires pour exécuter les activités de TI d'une portée déterminée avec une cohorte d'organisations similaires.
En plus de ces études initiales, la DSGI a déclaré dans sa réponse de la direction que vers mars 2010 elle entreprendrait des examens de fin d'année pour tous les accords de niveau des services (ANS) afin d'assurer des avantages et des réductions de coûts. Cependant, elle ne l'a fait que pour le Bureau de service national et l'entreposage. La DSGI a signalé qu'à la mi-année, un examen a été effectué et, en conséquence, l'accord pour le Bureau de service national a été prolongé avec les réductions de coût prévues; l'accord pour l'entreposage a été réduit considérablement de 6,7 M$ à 4 M$.
Une étude récente des coûts du Bureau d'assistance menée par la DSGI a déterminé qu'il n'y avait pas de réduction de coûts évidente en comparant la prestation de ce service entre l'arrangement existant des services partagés de la TI, utilisant une entreprise privée, et la réalisation du service à l'interne tout compte fait. En conséquence, la DSGI a pris la décision de poursuivre son partenariat stratégique avec TPSGC, le mandataire des services partagés. Cependant, pour plusieurs autres accords de niveau des services, ce genre d'analyse globale n'a pas encore été effectuée.
Santé Canada devrait continuer à évaluer et à examiner les options de prestation des services par l'entremise de son partenaire des services partagés de la TI, en comparaison avec les services fournis à l'interne.
Santé Canada devrait continuer à évaluer et examiner les options de fournir des services par le biais de son partenaire en services partagés de la TI par rapport aux services fournis à l'interne. Par exemple, en faisant la comparaison des options, Santé Canada devrait tenir compte des autres avantages de la sous-traitance à part des coûts directs tels que : la réduction des frais généraux, les dépenses en capital minimales, la charge sur la gestion causée par les problèmes de processus de tous les jours réduite, l'accès aux compétences spécialisées, la réduction de la dotation et de la formation à être complétées.
Recommandation 1
Il est recommandé que le sous-ministre adjoint de la Direction générale des services de gestion élabore un plan stratégique global pour les accords de niveau des services de la TI qui devrait être appuyé par des justifications pour chaque accord. Le plan devrait être déposé auprès du Comité exécutif pour considération et approbation.
Réponse de la direction
Santé Canada a effectué l'examen et a préparé la justification pour les services de réseau intégrés gérés, les services d'entreposage gérés et les services de centre de données. Chaque service a été évalué ou le sera sur sa définition du service, ses niveaux, ses rapports sur le rendement et ses crédits pour le rendement insuffisant.
Un examen de la stratégie des services partagés de la TI de Santé Canada est en cours pour assurer que les services fournis à SC sont rentables et/ou qu'ils ont de la valeur. Le centre d'intérêt essentiel est l'analyse du Catalogue des services partagés pour examiner tous les services fournis afin de déterminer ceux qui peuvent influer sur l'exécution des programmes de Santé Canada.
Une récente étude de Gartner a démontré que, en moyenne, les organisations gouvernementales de grande taille dépensent 5 pour cent de leurs budgets totaux sur les TI. En comparaison, Santé Canada dépense 3.9 pour cent de son budget total sur les TI. Ceci est dû en partie à l'Initiative des services partagés. En outre, une comparaison récente des coûts budgétaires totaux pour la région de la capitale nationale démontre que Santé Canada est bien inférieur au coût moyen de 13 300$ par utilisateur par rapport au coût normalisé du gouvernement du Canada de 15 300$ par utilisateur.
2.1.3 Relation mandataire-direction
Critère de vérification : La relation mandataire-direction doit être officialisée, avec un procédé permettant de documenter les incidents et un procédé pour résoudre les différends.
La relation mandataire-direction est officialisée par un accord négocié et signé; dans le cas du DCE/OHE, il y a un arrangement commercial créé par un protocole d'entente pour le déploiement et le soutien du logiciel. Au sein de la DSGI, des réunions sont tenues régulièrement avec les représentants des mandataires ainsi qu'avec les cadres supérieurs. Des réunions au niveau opérationnel se déroulent de façon hebdomadaire ou au besoin lorsque l'insistance pour la résolution des incidents et des problèmes est exigée. En plus de réunions régulières, il existe une ligne de contact directe entre le gestionnaire des relations avec la clientèle de TPSGC et le gestionnaire des services partagés de SC. Sur une base annuelle les cadres supérieurs de Santé Canada et de TPSGC revoient le portefeuille du Ministère et un sondage auprès de la clientèle est complété pour TPSGC ainsi qu'une section de commentaires officielle exigeant de l'information concernant l'expérience du client.
L'un des forums essentiels pour la gestion des relations avec les fournisseurs est la réunion hebdomadaire de Gestion des affaires et Services partagés, où les rapports d'état sont présentés sur les services partagés de la TI. Pendant ces réunions, on détermine les lacunes du niveau des services, mais les procédures sur la manière de les résoudre varient. Même s'il y a quelques comptes rendus des réunions et des plans d'action, il n'existe pas de système central d'information officialisé qui suit régulièrement les incidents reliés aux accords de niveau des services. Ces dossiers devraient fournir une information suffisante pour permettre à la direction de prévoir le nombre de questions par accord de niveau de service, l'opportunité de la résolution de la question et l'âge des questions non résolues. Une analyse annuelle peut alors fournir un meilleur soutien aux niveaux réels des services reçus et aider la direction dans la négociation pour le renouvellement ou le soutien de l'analyse de rentabilisation pour une solution de rechange. (Voir Recommandation 2)
2.1.4 Accords signés
Critère de vérification : Les accords de niveau des services sont déterminés, approuvés et signés selon les exigences et les capacités de la TI.
Un accord de niveau des services détermine généralement le service à rendre, le niveau du service fourni, la portée des arrangements pour le travail, la métrologie, les hypothèses, les coûts, le calendrier et la facturation et les responsabilités de gestion du contrat et du mandataire. Les modalités sont approuvées selon un processus de négociation, cependant, Santé Canada fait remarquer qu'il a été difficile d'avoir ses propres clauses, niveaux de service ou métrologie de rendement.
Un examen des protocoles d'entente, des accords de niveau des services, des accords sur le recouvrement et des chartes de projet des ministères a fait remarquer que les définitions des rôles, des responsabilités, des responsabilisations et des pouvoirs pour les services et les réalisations attendues sont indiquées. L'examen a bien révélé que cinq sur 27 accords de niveau des services pour 2010-2011 n'ont pas encore été approuvés. Ces accords de niveau des services sont actuellement en négociation entre les parties. La question en litige : l'absence de description de services détaillés, des niveaux de services définis et acceptés et des rapports mensuels sur le rendement. Cependant, il y a des progrès et les deux parties continuent à défendre leur position. Dans le cadre de ces négociations, Santé Canada demande l'information requise pour assurer que les services répondent aux exigences opérationnelles, que les niveaux de service répondent aux attentes des clients et que le service est effectué au niveau convenu. À l'aide de cette information, Santé Canada peut effectuer une décision opérationnelle informée quant à la valeur des services fournis ainsi que sélectionner des services partagés supplémentaires qui mettront à profit la prestation des programmes de Santé Canada. Comme le DCE/OHE est un service en évolution, la portée, la responsabilisation et l'établissement des prix pour l'accord de niveau des services sont à l'examen par TPSGC.
On signale qu'il faut plus de sept mois environ pour négocier un accord de niveau des services ainsi que pour obtenir l'information requise par Santé Canada, ce qui explique pourquoi ceux-ci ont souvent expiré pendant que les services continuent à être fournis. Les prestataires des services partagés de la TI et Santé Canada continuent à se rencontrer pour réduire les coûts des accords et mettre en œuvre des changements dans les accords entraînant des cibles de service plus claires et améliorant le service aux clients dans de nombreux cas. Des 27 accords pour 2010-11, cinq d'entre eux sont encore en négociation, six mois après le début de l'exercice financier.
Les résultats des six accords échantillonnés et analysés dans le cadre des examens pour la vérification montrent que la moitié de ces accords sont en négociation pour 2010-2011 (Voir Recommandation 1).
|
Services partagés de la
TI
|
État de l'accord
|
Date de début /
Date de fin |
Coûts réels
2009-2010
|
Prévisions 2010-2011
|
Note
|
|---|---|---|---|---|---|
| Outil habilitant d'entreprise (OHE) / Environnement (DCE) | Désengagement de la négociation | 2008/10/08 à non déterminé |
13 580 336 $ | 2 394 398 $ | 1 |
| Services d'entreposage gérés | Signé 2009/02/16 Re-négocié pour 2010-2011 |
2008/04/01 à 2011/03/31 |
6 951 000 $ | 4 000 000 $ | 2 |
| Services téléphoniques gérés | Signé 2008/09/22 | 2008/04/01 à 2013/03/31 |
5 367 211 $ | 4 738 749 $ | |
| Services de réseaux convergents | Négociation | 2010/04/01 à 2013/03/31 | 3 856 164 $ | 3 641 282 $ | |
| Service de dépannage de bureau des services | Négociation | 2010/04/01 à 2011/03/31 |
1 687 910 $ | 1 687 910 $ | |
| Antivirus et anti pourriel gérés | Signé 2008/10/16 | 2008/04/01 à 2011/03/31 |
569 723 $ | 360 123 $ | |
| Note 1 : Les services pour 2010-2011 concernent l'hébergement du centre de données pour application alors que l'année précédente, ils étaient reliés aux activités de développement du système. L'année 2010/2011 est soumise à une réduction majeure puisque le logiciel n'a pas fourni la fonctionnalité requise. Note 2 : Santé Canada a négocié un prix fixe d'entreposage pour 2010/2011 de 4M$. Santé Canada a demandé que TPSGC ré-évalue son offre de service et réduise ses prix pour mieux refléter l'établissement des prix de l'industrie. Santé Canada participe actuellement à un groupe de travail avec TPSGC pour mettre au point le service. Le rapatriement est une option, mais pas l'option préférée. |
|||||
Santé Canada continue d'encourager ses partenaires à fournir l'information demandée afin d'effectuer des décisions opérationnelles informées au sujet des services et à livrer le niveau le plus élevé de rendement pendant qu'il continue à recevoir des services sans accords pré-négociés, ce qui pourrait entraîner une situation où une option plus efficace n'aurait pas pu être mise en œuvre.
2.2 Gestion du risque
Critère de vérification : Les contrôles de gestion du risque déterminent et atténuent continuellement les risques reliés à la capacité des tiers de fournir un service efficace d'une manière sûre et efficiente.
La gestion du risque pour les services partagés de la TI constitue grandement un risque opérationnel. L'initiative est complexe et comporte des risques inhérents qui doivent être bien gérés; comme la dépendance de TPSGC en tant que le mandataire de services essentiels de mission de soutien. Pour atténuer les risques externes, la pratique générale consiste à soumettre les services partagés de la TI à une évaluation indépendante dont le rapport serait mis à la disposition de Santé Canada. Comme c'était le cas avec l'OHE, deux vérifications indépendantes de validation et de vérification ont été effectuées par KPMG et à la fois Santé Canada et l'organisation des services partagés de la TI en ont reçu les résultats.
Ces programmes ont des exigences particulières pour les mandataires de service qui gèrent les données du client et se concentrent beaucoup sur la conformité, la sécurité et l'accès. Comme Santé Canada essaie d'avoir des états financiers vérifiés, le vérificateur externe peut nécessiter une assurance supplémentaire sur les contrôles de la TI entourant la mise en cause de l'organisation des services partagés.
En général, même si la sécurité est mentionnée dans les accords sur le niveau des services, on indique que la DSGI ne reçoit pas assez de preuves que les normes de sécurité sont en conformité. Ces preuves pourraient entraîner une évaluation pertinente de l'évaluation de la menace et des risques, une analyse de répercussion sur les opérations, une évaluation de répercussion sur la vie privée, une évaluation de vulnérabilité, des tests de sécurité, des évaluations du produit, des auto-évaluations, des vérifications et/ou des examens de sécurité. Toute décision sur la sécurité prise par d'autres ministères peut avoir une répercussion sur Santé Canada, même si le Ministère aussi est obligé de respecter ou de dépasser les mêmes normes minimales de sécurité. Ainsi, le Ministère demeure responsable de la sécurité des programmes et des services sous son autorité.
Un exemple où les contrôles pourraient être renforcés et les risques mieux gérés résident dans le projet DCE/OHE. Selon les politiques du Conseil du Trésor, Santé Canada devrait avoir des systèmes ou des services certifiés et accrédités avant d'en approuver le fonctionnement. L'objectif de la certification est de s'assurer que les exigences, les contrôles et les garanties fonctionnent comme ils doivent, alors que l'accréditation signifie que la direction a autorisé le fonctionnement du système et accepté le risque résiduel d'exploiter le système d'après la preuve de certification.
L'une des réalisations attendues incluses dans l'accord sur le recouvrement pour le DCE/OHE était l'achèvement d'un Rapport de certification et d'accréditation. Le rapport, produit par une organisation indépendante acceptée, mentionnait les risques et les questions litigieuses qui auraient dû être présentés à Santé Canada et atténués avant l'intégration du DCE/BEE dans la production. Enfin, le Rapport sur la certification et l'accréditation était daté du 1er juin 2010 alors que le DCE/OHE a été introduit en mars 2010 et l'équipe de vérification était incapable de trouver une « autorisation provisoire de fonctionner » de mars 2010 à juin 2010, ce qui aurait permis à la direction d'avoir la possibilité de mieux comprendre et accepter des risques particuliers avant que le système soit introduit. (Voir Recommandation 2)
2.3 Contrôles internes
2.3.1 Contrôles internes
Critère de vérification : Des contrôles internes pour gérer les accords de niveau des services sont en place.
Depuis la création des services partagés de la TI, la Direction des services de gestion de l'information (DSGI) a réussi à préparer et à mettre au point les contrôles opérationnels nécessaires à la gestion du nombre des services partagés de la TI qui ne cesse d'augmenter. Pour 2010-2011, il y a 27 accords de niveau des services qui sont approuvés ou en négociation. La gestion de cette activité est extrêmement importante puisqu'un bon nombre de ces accords en place pour les services de la TI couvrent des « systèmes essentiels de mission » - systèmes sur lesquels Santé Canada compte chaque jour pour accomplir ses activités. Plus encore, le coût de ces services pour le Ministère est d'environ 32,2 millions de dollars par an.
La responsabilité de la gestion des services partagés de la TI est partagée avec la DSGI. Relevant du dirigeant principal de l'information, le Centre des services de l'informatique et du réseau est responsable de la gestion globale des accords de niveau des services, alors que l'Unité de la gestion des affaires et des services partagés agit en tant que « point de contact unique » et gère les accords de services partagés. L'un des accords du Ministère de niveau des services, l'Environnement DCE / l'Outil habilitant d'entreprise (OHE), est géré par la Division des services bureautiques d'automatisation puisque cette activité de service consiste en un projet pluriannuel de mise en œuvre du logiciel et qu'elle est soumise à un différent cadre de contrôle de gouvernance et de gestion.
Il existe également des responsabilités de spécialistes en la matière et de propriétaires d'entreprises assumées au sein d'autres secteurs de la DSGI. Par exemple, la Division des services d'entreprise agit comme une extension du Bureau du dirigeant principal de l'information en fournissant des services administratifs de coordination dans toutes les divisions de la DSGI.
Des entrevues avec l'équipe de gestion de la DSGI ont mentionné qu'elle suit généralement les meilleures pratiques de la Librairie de l'infrastructure de la technologie de l'information pour la gestion du niveau des services et qu'elle a mis au point des indicateurs essentiels de rendement. La Librairie de l'infrastructure de la technologie de l'information donne des descriptions détaillées d'un certain nombre de pratiques importantes de la TI et fournit des listes de vérification, des tâches et des procédures exhaustives que toute organisation de la TI peut adapter à ses besoins.
La DSGI détermine, sollicite, évalue, surveille et gère les négociations pour les accords de niveau des services. Des spécialistes en la matière examineront chaque accord avant de présenter un accord nouveau ou renouvelé pour approbation définitive par le dirigeant principal de l'information. Pour régler les obligations financières du Ministère, des examens de facture sont effectués avant d'être présentées pour approbation selon l'article 34 de la Loi sur la gestion des finances publiques (LGFP) par le directeur exécutif de la DSGI. Les règlements sont faits selon le Processus de règlement interministériel, et un apurement total des paiements est entrepris de façon semestrielle et annuelle par la Division de la gestion des affaires et services partagés.
Ces processus administratifs essentiels demandent le respect des exigences législatives et réglementaires pertinentes, et la surveillance de la conformité des contrats impartis et du rendement pour chaque contrat en satisfaisant les exigences d'affaires déclarées. Il s'agit de mesures des activités en cours, d'examens par la direction, d'approbations des accords de niveau des services et d'établissement de rapports par TPSGC et Santé Canada.
Même si de nombreux éléments de bonnes pratiques étaient observés dans le cadre de contrôle de gestion du niveau des services, d'autres ne sont pas documentés puisqu'il n'existe pas de politique ou de lignes directrices pour déterminer et appuyer les activités de gestion des services partagés de la TI. Considérant que ces services représentent le tiers du budget de la DSGI, la Direction bénéficierait de documenter officiellement le cadre de contrôle de la gestion aligné avec la Librairie de l'infrastructure de la technologie de l'information (LITI). La LITI a été élaborée par le Bureau du commerce du gouvernement au Royaume-Uni et est l'approche de gestion des services de la TI la plus largement acceptée car elle fournit un ensemble cohérent d'orientation quant aux meilleures pratiques provenant des secteurs publiques et privés à travers le monde. Elle décrit l'organisation des ressources de la gestion des services de la TI afin d'offrir une valeur commerciale et des documents, par exemple, les attentes en matière : des processus, des fonctions, de gestion de la sécurité, de gestion du risque, de gestion du changement et de la surveillance du rendement des accords de services.
L'officialisation du cadre de contrôle interne pour les services partagés de la TI fournirait une durabilité à long terme des bonnes pratiques mises au point par la DSGI au fil des ans tout en réduisant les risques identifiés dans la section précédente. Le cadre de contrôle interne devrait aussi comprendre une assurance raisonnable que le mandataire de services répond aux exigences de contrôle et de sécurité de Santé Canada.
Recommandation 2
Il est recommandé que le sous-ministre adjoint de la Direction générale des services de gestion officialise un cadre de contrôle interne pour la gestion des accords de niveau des services.
Réponse de la direction
Santé Canada dispose actuellement de contrôles internes pour gérer les niveaux de service de la TI fournis. Ces contrôles comportent la surveillance des accords sur les services (état des documents et engagements financiers), l'accord de niveau des services (ANS), la liste de surveillance de la qualité des documents, et les examens de rendement du niveau des services selon l'accord fourni par le mandataire de service.
Cependant, Santé Canada travaillera avec TPSGC et s'efforcera d'améliorer le cadre de contrôle actuel en mettant en œuvre les piliers pertinents du cadre de la Librairie d'infrastructure de technologie de l'information afin de réaliser des services de TI améliorés, une réduction des coûts, un rehaussement de la satisfaction des clients par l'entremise d'une approche plus professionnelle à la prestation de service, une meilleure productivité, une utilisation améliorée des compétences et de l'expérience et une meilleure livraison de service aux tiers.
2.3.2 Procédés de gestion
Critère de vérification : Santé Canada examine régulièrement les accords de niveau des services pour s'assurer qu'ils sont efficaces pour répondre aux exigences opérationnelles actuelles, et que les changements des exigences sont incorporés.
Les procédés de gestion du niveau des services à la DSGI ont été soumis à des améliorations continues au fil des ans. Même si un système intégré officiel de mesure n'est pas maintenu, les accords de niveau des services sont ré-évalués sur une base empirique pour assurer l'alignement de la TI aux objectifs opérationnels. Actuellement en 2010-2011, le centre d'intérêt principal réside dans les réductions de prix ou de la valeur, entraînant des analyses et des mesures pour considérer la mise en œuvre de services partagés supplémentaires. (Voir Recommandation 1)
La vérification des résultats d'échantillonnage des opérations a indiqué que, les traitements des opérations pour le paiement étaient généralement conformes aux exigences de certification de l'article 34. Cependant, l'une des mesures importantes que le Ministère pourrait prendre pour renforcer les traitements consisterait à tenir à jour une documentation suffisante et appropriée comme preuve que les services ont bien été reçus conformément aux accords de niveau des services. Une piste de vérification comportant des indicateurs de services reçus aiderait à corroborer des allégations que ces documents ont été examinés avant d'effectuer la certification selon l'article 34. Santé Canada paie peut-être selon les accords sur le niveau des services, mais ne reçoit peut-être pas tous les services prévus par ces accords. (Voir Recommandation 2)
En grande partie, les services partagés de la TI que le Ministère emploie sont conformes à ses exigences, à l'exception d'une certaine fonctionnalité dans l'offre de DCE/OHE. En août 2010, en raison de problèmes d'instabilité de produit et de questions d'interopérabilité entre les calendriers de Microsoft Outlook et Lotus Notes, les cadres supérieurs ont décidé de suspendre une partie de l'initiative (l'utilisation de l'OHE pour le courriel/calendrier) jusqu'à ce que les modifications convenables soient effectuées au système afin que Lotus Notes puisse coexister. L'OHE continue d'être l'outil de choix Web 2.0 du Ministère pour les utilisateurs partout.
Santé Canada a fait un investissement dans le réaménagement de son environnement DCE dont l'OHE a demeuré la pierre angulaire du début. Le partenariat, tel qu'il est défini dans le protocole d'entente et signé en 2008, stipulait que Santé Canada et TPSGC « partageraient les coûts » reliés au déploiement et à l'exploitation du produit. Santé Canada a acheté le matériel pour le projet et le partenaire des services partagés de la TI a investi dans les cycles architecturaux et techniques pour construire l'infrastructure du OHE pour le Ministère. Ces ressources de matériel et de logiciel sont déployées dans les locaux de TPSGC et gérés par celui-ci. Actuellement, le Ministère est en train de déterminer l'inventaire et sa valeur pour les biens marqués sur le compte de Santé Canada en préparation pour un transfert officiel des actifs à Santé Canada.
Recommandation 3
Il est recommandé que le sous-ministre adjoint de la Direction générale des services de gestion prépare une « liste de matériaux » pour le projet DCE/OHE, et un accord sur le recouvrement conforme au protocole d'entente.
Réponse de la direction
La liste de matériaux actuelle a été préparée en partenariat avec TPSGC par un rapprochement direct des factures aux étiquettes des actifs. Une liste complète des actifs ayant des étiquettes de Santé Canada a été identifiée et des options pour le transfert des actifs de TPSGC sont à l'étude par le Bureau des services financiers de la direction générale (BSFDG). Une fois la méthode de transfert identifiée, le BSFDG calculera la valeur actuelle des actifs moins la dévalorisation subie cette exercice et un accord de recouvrement pour l'équipement qui n'est plus nécessaire sera produit et envoyé à Santé Canada.
2.4 Surveillance du rendement
Critère de vérification : Un processus établi surveille la prestation de service pour s'assurer que le mandataire continue à respecter l'accord et que le rendement est concurrentiel avec les autres mandataires et les conditions du marché.
L'accord de niveau du service de dépannage du bureau des services offre les meilleurs rapports disponibles sur ses activités. La direction va jusqu'à contester les chiffres clés fournis par TPSGC sur le rendement en redéfinissant le taux de succès pour résolution de premier niveau. Quant aux autres accords de niveau des services, quelques mesures de surveillance et de rendement existent bien, cependant, elles ne sont souvent pas normalisées dans toutes les lignes commerciales, et il peut donc être difficile de les interpréter et de les mesurer.
Les rapports sur les services fournis n'appuient pas nécessairement les objectifs des activités de Santé Canada puisqu'ils sont générés pour démontrer la conformité avec la métrologie des accords de niveau des services sans démontrer obligatoirement la valeur des activités. Ainsi, Santé Canada a une équipe séparée pour la surveillance et l'établissement des rapports concernant les services. L'unité des opérations crée souvent sa propre succession de rapports pour surveiller les services partagés de la TI en tentant d'améliorer ces services. (Voir Recommandation 2)
3. Conclusion
Santé Canada continue à jouer un rôle de leadership solide dans l'Initiative du gouvernement du Canada sur les services partagés de la TI. Même si sa participation de cinq ans à cet arrangement a été conséquente, le Ministère doit continuellement rechercher la valeur auprès de TPSGC, évaluer les possibilités d'améliorer le service, et réduire les coûts. Par ailleurs, l'examen constant des offres de service du mandataire doit se poursuivre afin de comparer le coût total de la réalisation à l'interne à celui des services partagés. Ce genre d'examen se prêtera également à l'exécution de modifications sur la manière dont le Ministère fournit ses services aux clients en utilisant les services partagés.
La stratégie devrait être bien documentée et quantifiée avec une analyse des conditions commerciales comprenant les coûts totaux pour démontrer les économies à réaliser par chaque mécanisme de fourniture choisi. La stratégie devrait être transparente pour que les cadres supérieurs puissent prendre les décisions nécessaires concernant la prestation des services de la TI.
Le partenariat entre Santé Canada et TPSGC est considéré comme étant un succès ainsi que le prouvent les résultats réalisés à ce jour et les efforts de collaboration entre les deux organisations dans l'établissement de la portée et de la planification des activités subséquentes. Comme le stipule le protocole d'entente du 16 octobre 2008, le succès à ce jour, associé à un engagement continu par les deux parties, confirme le fait de croire qu'un partenariat continuera à être un succès à l'avenir.
Annexe A - Champs d'enquête et critères de vérification
|
Champ d'enquête
|
Critères
|
|
|---|---|---|
| 1 | Gouvernance : Autorité, responsabilité et responsabilisation Degré auquel l'autorité, la responsabilité et la responsabilisation sur la prestation de service d'infrastructure de la TI sont clairement articulées et comprises d'une façon cohérente pour les parties intéressées. Orientation stratégique et opérationnelle Des processus de gestion de la TI sont en place pour établir une orientation stratégique, préparer des plans opérationnels, déterminer des objectifs et des priorités, et communiquer avec les partenaires. |
1.1 Des comités directeurs sont en place afin de fournir l'autorité, la responsabilité et la responsabilisation pour les décisions reliées aux services partagés de la TI. 1.2 Les accords de niveau des services sont alignés avec les stratégies et les orientations de la TI à Santé Canada. 1.3 La relation mandataire-direction doit être officialisée, avec un procédé permettant de documenter les incidents et un procédé pour résoudre les différends. 1.4 Les accords de niveau des services sont définis, approuvés et signés selon les exigences et les capacités de la TI. |
| 2 | Risque : Degré auquel l'analyse est officiellement effectuée et auquel les parties intéressées sont impliquées dans l'évaluation du risque et déterminent si l'analyse du risque est cohérente et alignée avec le risque de groupe à Santé Canada. |
2.1 Les contrôles de gestion du risque par le client déterminent et atténuent continuellement les risques reliés à la capacité des tiers de fournir un service efficace d'une manière sûre et efficace. |
| 3 | Contrôles : Contrôles en place pour permettre à Santé Canada de surveiller le rendement dans la prestation de service d'infrastructure de la TI, y compris l'existence de mesures de rendement et d'espérances du service. |
3.1 Des contrôles internes permettant de gérer les accords de niveau des services sont en place. 3.2 Santé Canada examine régulièrement les accords de niveau des services afin de s'assurer qu'ils sont efficaces dans le respect des exigences actuelles du Ministère et que les changements à ces exigences sont pris en considération. |
| 4 | Surveillance : Degré auquel la direction et les organes de surveillance demandent/reçoivent régulièrement une information suffisante, complète, opportune et exacte pour permettre la surveillance efficace des objectifs, des plans, de stratégies et des résultats. |
4.1 Un processus établi surveille la livraison pour s'assurer que le tiers mandataire continue à respecter les accords et que le rendement est concurrentiel avec les autres mandataires et les conditions du marché. |
Annexe B - Liste des services essentiels de TI impartis
|
Liste des services essentiels de TI de Santé Canada impartis
1
|
Dépenses
Exercice 2009/101 |
|---|---|
| Outil habilitant d'entreprise (OHE) / (c.-à-d. : Environnement DCE) L'Outil habilitant d'entreprise (OHE) met en avant un éventail d'outils de collaboration, y compris des espaces de travail virtuels. L'espace de travail virtuel est utile en ce qu'il offre aux employés des outils permettant de partager plus efficacement l'un avec l'autre les compétences, les idées, et les connaissances et de construire dessus. Il peut aider à simplifier les projets et les opérations. |
13 580 337 $ |
| Services d'entreposage gérés Accord sur la maintenance pour l'équipement de réseautage et le soutien d'un réseau étendu (WAN) ainsi que pour le remplacement et les services de soutien sur place. |
6 951 000 $ |
| Services de télécommunication gérés Gestion des lignes téléphoniques et des boîtes vocales, y compris l'expertise en la matière pour les télécommunications vocales. |
5 367 211 $ |
| Services de réseaux convergents Fourniture de télécommunications pour le réseau étendu (WAN) de Santé Canada. |
3 856 164 $ |
| Service de dépannage du bureau des services Fourniture de soutien de service de dépannage pour les services de niveau 1 (triage). |
1 687 910 $ |
| Services du réseau des voies de communication protégées Fourniture d'une liaison de réseau sûre, spécialisée entre les services d'une voie sûre et les données de Santé Canada hébergées au Centre de données de Macdonald Cartier (CDMC). |
1 011 940 $ |
| Services de gestion des installations - Colocation Prestation de services pour soutenir la plate-forme architecturale et l'équipement aux centres de données de Macdonald Cartier et de Place du Portage (CDMC & CDPDP). |
690 607 $ |
| Services de sécurité de la TI, mur pare-feu et anti-pourriel Prestation de services pour fournir des garanties de sécurité péri métrique au réseau de Santé Canada. |
569 723 $ |
| Service de réseau métropolitain partagé Prestation de service pour transport de données à grande vitesse de réseau entre CDMC pour distribution de trafic du réseau, et les quatre interrupteurs centraux de Stat. |
518 396 $ |
| Gestion interne des titres Prestation de services pour l'autorité de certification employant l'Infrastructure à clés privées (ICP). |
454 720 $ |
| Tous les autres services de TI impartis | 1 234 281 $ |
| Dépenses totales pour les 12 mois terminés le 31 mars 2010 | 35 922 289 $ |
Détails de la page
- Date de modification :