Audit de la planification des technologies de l'information (TI)

Juin 2014

Table des matières

• Sommaire
• A - Introduction
  • 1. Contexte
  • 2. Objectif de l'audit
  • 3. Portée de l'audit
  • 4. Approche de l'audit
  • 5. Énoncé de conformité
• B - Constatations, recommandations et réponses de la direction
  • 1. Gouvernance
    • 1.1 Surveillance
    • 1.2 Rôles et responsabilités
    • 1.3 Structure de planification des TI
  • 2. Gestion des risques
    • 2.1 Planification des risques associés aux TI
  • 3. Contrôles internes
    • 3.1 Processus de planification des TI
    • 3.2 Harmonisation avec les initiatives et les priorités du gouvernement du Canada
    • 3.3 Contenu du plan de TI
    • 3.4 Surveillance et rapports
• C - Conclusion
• Annexe A - Champs d'enquête précis et critères
• Annexe B - Grille d'évaluation
• Annexe C - Gouvernance pour la planification des TI

Version traduite. En cas de divergence entre le présent texte et le texte anglais, la version anglaise a préséance.

Sommaire

Les technologies de l'information (TI) sont au cœur de presque tous les aspects des activités de Santé Canada (le Ministère) et de l'Agence de la santé publique du Canada (l'Agence). Les investissements du Ministère et de l'Agence représentent environ 81 millions de dollars par année et comprennent plus de 2 000 bases de données et applications opérationnelles dont le soutien et la maintenance sont assurés par des ressources internes et des ressources contractuelles.

La Directive sur la gestion des technologies de l'information (la Directive du SCT) du Secrétariat du Conseil du Trésor (SCT), qui est entrée en vigueur le 1er avril 2009, définit les exigences relatives aux plans ministériels de TI. Le Guide de préparation du plan ministériel de TI 2014-2015 (le Guide du SCT) fournit un ensemble de directives détaillées concernant expressément le plan de 2014-2015. L'objectif de cet audit consistait à évaluer l'efficacité du cadre de contrôle de gestion, en vigueur pendant l'exercice 2013-2014, qui vise à soutenir la planification des TI dans le cadre du partenariat du Ministère et de l'Agence ainsi qu'à assurer le respect des directives et des politiques du SCT.

L'audit a été effectué conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de l'audit interne. Des procédures suffisantes et appropriées ont été suivies et des preuves ont été recueillies pour attester de l'exactitude des conclusions de l'audit.

L'audit a permis de conclure que le cadre de contrôle de gestion pour la planification des TI du Ministère et de l'Agence nécessite des améliorations modérées. Il a également permis de relever que, bien que des organismes de surveillance soient en place pour gouverner le processus de planification des TI au sein du Ministère et de l'Agence, il serait utile pour les organisations de veiller à ce que ces organismes de surveillance fonctionnent comme prévu, ce qui comprend, notamment, la tenue appropriée des comptes rendus de décisions. En outre, les rôles et les responsabilités associés aux processus de planification des TI doivent être clairement définis et communiqués.

Quoique plusieurs processus de planification soient en place qui produisent des informations relatives aux TI, il n'existe aucun processus organisationnel de planification des TI officiel et consigné qui a été approuvé par la direction et qui est soutenu par des politiques. Un processus officiel, consigné et approuvé contribuerait à assurer l'exécution et la communication des plans de TI par le Ministère et l'Agence. Des risques ont été relevés à divers niveaux au sein du Ministère et de l'Agence. On ignore toutefois comment ces risques seront cernés dans le processus de planification des TI et présentés dans le plan de TI.

Malgré qu'il y ait des différences entre la façon dont le Ministère et l'Agence structurent et effectuent la planification opérationnelle et des investissements, les processus de planification opérationnelle et des investissements devraient néanmoins être en mesure de fournir les informations requises afin d'établir les plans de TI exigés par la Directive du SCT. L'élaboration d'un processus de planification des TI qui intègre pleinement la planification opérationnelle et des investissements du Ministère et de l'Agence permettrait de renforcer le processus de planification des TI.

Le Ministère et l'Agence ont des plans qui comportent des priorités et des initiatives de TI du gouvernement du Canada. Ensemble, ces documents couvrent la plupart des initiatives et des priorités du gouvernement du Canada qui figurent dans le Guide du SCT et la Directive du SCT.

Les plans de TI du Ministère et de l'Agence exigés par la Directive du SCT n'ont toujours pas été produits. Bien que le cycle de planification produise des plans ayant une incidence importante sur les TI, on note l'absence d'un portrait global des TI au sein du Ministère et de l'Agence.

La direction a remis au Comité de surveillance du partenariat une mise à jour du plan stratégique de GI/TI de 2012-2015. La direction mesure le rendement réel par rapport aux résultats prévus des projets du Plan d'investissement et des activités du Plan opérationnel. Comme les plans de TI n'ont pas encore été élaborés, des mesures connexes n'ont pas encore été mises en place.

Les améliorations recommandées pour le cadre de contrôle de gestion visant la planification des TI sont notamment une définition et une communication claires des rôles et des responsabilités associés au processus opérationnel de planification des TI; l'élaboration d'un processus de planification des TI qui est entièrement intégré aux processus de planification opérationnelle et des investissements; la production de plans de TI pour le Ministère et l'Agence, conformément à la Directive du SCT et au Guide du SCT, ce qui comprend la détermination des risques et l'élaboration de mesures du rendement appropriées.

La direction est d'accord avec les trois recommandations et a remis un plan d'action qui permettra d'améliorer la planification des TI et la conformité aux politiques et aux directives du SCT.

A - Introduction

1. Contexte

Les technologies de l'information (TI) favorisent et soutiennent l'exécution des programmes, l'innovation, la productivité, la rentabilité ainsi que la prise de décisions éclairées à tous les niveaux, et permettent d'améliorer les services fournis au public.

Les services de TI sont essentiels sur le plan stratégique pour accroître la productivité du gouvernement et améliorer les services au public au profit des citoyens, des entreprises, des contribuables et des employés. La planification des TI vise à permettre à la direction de prendre des décisions en matière d'investissements de façon plus rapide et flexible, tout en veillant à ce que les investissements correspondent aux orientations et aux objectifs organisationnels.

La Directive sur la gestion des technologies de l'information (la Directive du SCT) du Secrétariat du Conseil du Trésor (SCT), qui est entrée en vigueur le 1^er avril 2009, définit les exigences relatives aux plans ministériels de TI à l'aide d'une table des matières. Le Guide de préparation du plan ministériel de TI 2014-2015 (le Guide du SCT) fournit une orientation détaillée concernant expressément le plan de 2014-2015.

De plus, selon une présentation récente au Conseil du dirigeant principal de l'Information (Conseil du DPI)^{note de bas de page 1}, le plan exigé par la directive couvrira, à l'avenir, à la fois la gestion de l'information (GI) et les TI. L'utilisation des plans de TI exigés admet qu'il existe d'autres plans ayant des composantes de TI importantes.

Importance de la planification des TI

La Directive du SCT définit l'importance de la planification des TI ainsi que les exigences auxquelles les ministères et les agences doivent satisfaire pour se conformer à celle-ci. Le gouvernement du Canada consacre 4,7 milliards de dollars par année aux technologies de l'information.

Les TI sont essentielles à l'exécution des programmes et à la prestation des services de Santé Canada (le Ministère) et de l'Agence de la santé publique du Canada (l'Agence). La réussite des programmes du Ministère et de l'Agence dépend d'une gestion et d'une surveillance appropriées des investissements en TI et des biens de TI. En cette période où les attentes en matière de prestation de service sont toujours plus grandes et où les compressions budgétaires sont de plus en plus importantes, le soutien et l'habilitation opérationnels du Ministère et de l'Agence nécessitent des services de TI souples, fiables et adaptables. Les investissements du Ministère et de l'Agence représentent environ 81 millions de dollars par année, y compris approximativement 18 millions de dollars provenant de l'Agence, qui sont consacrés aux services internes liés à la GI/TI, et comprenant plus de 2 000 bases de données et applications opérationnelles dont le soutien et la maintenance sont assurés par des ressources internes et des ressources contractuelles.

Structure de prestation des services de TI

Dans le cadre du programme de transformation des activités découlant de la mise en œuvre du budget fédéral de 2012, la Direction de la GI/TI de l'Agence et la Direction des services de gestion de l'information (DSGI) du Ministère ont regroupé la prestation de leurs services sous un partenariat de services partagés unique. La DSGI, qui relève du sous-ministre adjoint, Direction générale des services de gestion, gère et élabore les stratégies, les politiques, l'infrastructure et les solutions en matière de GI/TI, et maintient l'effectif qualifié nécessaire à la prestation de services ainsi qu'à l'exécution des programmes du Ministère et de l'Agence.

Plus précisément, la DSGI gère et élabore des stratégies, des politiques et l'infrastructure; elle propose des solutions touchant l'espace de travail, les processus opérationnels automatisés et la gestion des TI; elle fournit des renseignements organisationnels; et elle assure la liaison avec les clients internes et externes. De plus, la DSGI fournit un soutien informatique et les services de sécurité des TI pour le Ministère et l'Agence afin d'assurer l'utilisation efficace de la GI/TI dans le cadre de la prestation des services et de l'exécution des programmes. Enfin, la DSGI fournit des services de GI/TI à la région de la capitale nationale et aux bureaux régionaux du Canada. Pour l'année financière 2013-2014, la direction comptait 536 postes équivalents temps plein, représentant un budget salarial de 32 millions de dollars.

Figure 1 : La structure de prestation des services de TI

La planification des TI relève du dirigeant principal de l'information (DPI). Le DPI a les responsabilités suivantes : 1) élaborer, mettre en œuvre ou soutenir un processus de planification efficace des TI du Ministère et de l'Agence qui est intégré au processus général de planification organisationnelle du Ministère et de l'Agence et qui suit le processus de planification des investissements pour appuyer les activités, favoriser la transformation et orienter les décisions en matière de TI; 2) concevoir un plan de TI et rédiger un rapport d'étape en matière de TI en fonction du plan établi et le soumettre à la Direction du dirigeant principal de l'information (DDPI) du SCT, sur demande; 3) au besoin, communiquer avec les intervenants du Ministère et de l'Agence ainsi que les intervenants externes, et les mobiliser afin de veiller à ce que le plan de TI soit conforme pour appuyer les activités du Ministère et de l'Agence et les orientations stratégiques pangouvernementales.

Planification des TI dans le cadre du partenariat

En 2012, la DSGI a établi un plan stratégique en matière de GI/TI pour la période 2012-2015 qui énonce la vision, les objectifs et les buts stratégiques pour l'exécution efficace et le soutien des projets de GI/TI au sein du Ministère et de l'Agence. Ce plan comporte six grands objectifs : 1) établir une approche organisationnelle pour la gestion de la GI/TI; 2) assurer une prestation de services souple et adaptée aux besoins; 3) limiter et réduire les risques associés au vieillissement des TI; 4) mettre en œuvre un modèle de prestation de services partagés axés sur le client; 5) faciliter la prise de décisions au moyen de veille stratégique; 6) soutenir et stimuler une main-d'œuvre compétente axée sur le savoir. Il a été créé afin de soutenir et de compléter le Plan stratégique de la GI ainsi que le Plan stratégique de gestion des ressources humaines de la Direction des services de gestion de l'information.

En juin 2012, le Ministère et l'Agence ont signé une entente de partenariat de services partagés concernant la prestation de services administratifs organisationnels, dont les services de TI. Cette entente énonce les responsabilités et les engagements précis de chaque partie. L'annexe C décrit de façon plus détaillée la structure de gouvernance établie pour la gestion de ce cadre.

Le SCT a déterminé des changements importants à apporter dans le domaine des TI, y compris la transformation des services de courriel, la modernisation et le regroupement des centres de données, ainsi que la mise à jour de la technologie utilisée dans le milieu de travail. Ces changements seront dirigés par le fournisseur de services d'infrastructure des TI du gouvernement du Canada, Services partagés Canada (SPC). Les ministères et les agences devront tenir compte des initiatives du SCT ainsi que des plans de travail de SPC dans le cadre de l'élaboration de leur plan de TI. La DSGI consigne et gère les petits investissements en TI qui ne font pas partie du processus d'établissement du Plan d'investissement (PI). La dirigeante principale de l'information travaille actuellement à l'élaboration des plans de TI dans le cadre du partenariat, tel qu'il est précisé dans la Directive du SCT touchant le Ministère et l'Agence.

2. Objectif de l'audit

L'objectif de cet audit consistait à évaluer l'efficacité du cadre de contrôle de gestion qui vise à soutenir la planification des TI dans le cadre du partenariat du Ministère et de l'Agence, ainsi qu'à assurer le respect des directives et des politiques du Secrétariat du Conseil du Trésor.

3. Portée de l'audit

L'audit portait sur la gouvernance, la gestion des risques et les contrôles internes liés au processus de la planification des TI au sein du Ministère et de l'Agence pendant l'année financière 2013-2014. Voici les principales activités ainsi que les principaux processus et résultats examinés :

• intégration et harmonisation du processus de planification des TI en fonction des processus de planification des investissements et de planification opérationnelle du Ministère et de l'Agence;
• architecture organisationnelle et fonctionnement du Conseil d'examen de l'architecture (CEA) relativement à la planification des TI;
• intégration et harmonisation de la planification des TI en fonction des plans organisationnels du Ministère et de l'Agence, des plans d'investissement et des initiatives du gouvernement du Canada;
• plan d'activités du fournisseur de services externes, Services partagés Canada.

Le Bureau de la vérification et de la responsabilisation du portefeuille (BVRP) mène actuellement un audit sur la gestion des projets. La gestion des projets de TI ne fait donc pas partie du présent audit.

4. Approche de l'audit

L'audit a permis d'examiner les pratiques de gouvernance, de gestion des risques et de contrôle associées à la fonction de la planification des TI au sein du Ministère et de l'Agence, et de les comparer à un ensemble de critères d'audit prédéfinis. L'approche adoptée s'articulait entre autres autour des éléments suivants : un examen de la documentation, des politiques, des normes, des lignes directrices, des cadres et des processus opérationnels; des entrevues et des observations; des enquêtes; des essais et des analyses.

Les critères d'audit, décrits à l'annexe A, proviennent de sources clés, notamment la Politique sur la gestion des technologies de l'information et la Directive sur la gestion des technologies de l'information du Secrétariat du Conseil du Trésor, le Profil des services de technologie de l'information (TI) du gouvernement du Canada, l'« Information Technology Infrastructure Library » (ITIL), le « Global Technology Audit Guide de l'Institute of Internal Auditors », le CoBiT 4.1 (Objectifs de contrôle de l'information et des technologies associées) de l'Association des professionnels de l'audit et du contrôle des systèmes d'information, le « Val IT Framework » et « The Open Group Architecture Framework » (TOGAF).

5. Énoncé de conformité

Selon le jugement professionnel du dirigeant principal de l'audit, des procédures suffisantes et appropriées ont été suivies, et des preuves ont été recueillies pour attester de l'exactitude de la conclusion de l'audit. Les constatations et les conclusions de l'audit se fondent sur une comparaison des conditions qui existaient au moment de l'audit et des critères convenus avec la direction. De plus, les preuves ont été rassemblées conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de l'audit interne. L'audit est conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme en témoignent les résultats du programme de l'assurance de la qualité et de l'amélioration.

B - Constatations, recommandations et réponses de la direction

1. Gouvernance

1.1 Surveillance

Critère d'audit : Des organismes de surveillance efficaces sont créés pour gérer le processus de planification des TI au sein du Ministère et de l'Agence.

La gouvernance est essentielle pour permettre l'élaboration, la discussion et l'approbation des plans de TI visant les besoins et les risques opérationnels qui doivent recevoir l'aval de la direction. Une solide structure de gouvernance favorise une gérance prudente des ressources publiques dans le cadre de l'exécution du mandat de l'organisme.

La surveillance de la planification des TI se raccorde à ce qui existe actuellement dans le domaine de la planification opérationnelle et des investissements. La gouvernance est nécessaire tant au sein du Ministère que de l'Agence pour la production, l'approbation et la gestion des plans opérationnels et d'investissement. Les partenaires ont mis sur pied des structures distinctes de planification opérationnelle et d'investissement qui contribuent à la définition, à l'approbation, à la surveillance et à l'exécution des tâches de chaque organisation.

Au Ministère, les projets de gestion de l'information/technologies de l'information (GI/TI) sont classés selon la taille, les répercussions sur les activités, les ressources nécessaires, et ainsi de suite. Les investissements complexes de grande envergure figurent dans le plan d'investissement et font l'objet d'examens plus approfondis par la direction au moyen d'un processus de validation officiel^{note de bas de page 2} géré par la Direction générale du dirigeant principal des finances (DGDPF). Un processus comprenant cinq points de contrôle est utilisé pour les projets de plus d'un million de dollars, alors que les projets entre 250 000 dollars et un million de dollars sont assujettis à trois points de contrôle. Le Cadre de gestion des projets^{note de bas de page 3} au ministère utilise un processus de validation qui est soumis à une surveillance par le sous-comité du CE sur les finances, la planification des investissements et la transformation (CE-FPIT), le Comité des directeurs généraux sur la planification des investissements (DG-PI) et le Comité exécutif (CE). Le CE-FPIT est un forum pour réviser les finances, l'investissement et la transformation des projets et initiatives. Le DG-PI surveille les risques et stratégies ainsi que les considérations horizontalement, identifie les exigences des activités communes liées aux projets et services comme la GI/TI, et examine la performance des investissements.

La Direction de la gouvernance, de la planification et de l'établissement de rapports (DGPER) à l'Agence gère les processus d'investissements et de planification. L'Agence fonde son processus de points de contrôle^{note de bas de page 4} pour les projets sur l'approche du Ministère (génération des idées, initiation des projets, planification des projets, exécution des projets et clôture des projets). Pour l'Agence, les projets sont généralement validés par le Comité de la science, de la politique et de la gestion (CSPG) avant d'être approuvé par le CE. Le CSPG est un forum de discussion qui formule des recommandations à l'intention du CE relativement à la gestion et à l'intégration des activités ayant trait aux politiques, à la gestion, aux sciences et à la recherche.

De plus, le Ministère et l'Agence ont signé une entente de services partagés qui touche les services internes, dont les services de GI/TI. Cette entente est soumise à une structure de gouvernance conjointe représentant les deux partenaires (Comité exécutif du Portefeuille (CEP) et Comité exécutif du Portefeuille - Services internes [CEP-SI])^{note de bas de page 5}.

L'Entente du partenariat des services partagés précise que certains secteurs, dont les services de GI/TI fournis par la Direction des services de gestion de l'information (DSGI), doivent être partagés entre les partenaires. Qui plus est, la DSGI doit continuer à faire partie du Ministère, et les critères relatifs au partage doivent être transparents et équitables. Le CEP doit surveiller l'entente du partenariat et prendre les décisions touchant les services partagés. Des groupes de travail sont créés par le CEP afin d'aborder la planification, l'établissement des priorités et la coordination de chacun des secteurs fonctionnels et secteurs de programmes visés par le partenariat. Le mandat du CEP-SI indique que le comité doit évaluer la mise en œuvre des programmes, des politiques et des directives de l'organisme central ayant une incidence horizontale et formuler des recommandations à cet égard; recommander et approuver les plans, les priorités et les investissements liés aux services internes; effectuer le suivi des questions précises que lui soumet le CEP; et encourager la communication des pratiques exemplaires parmi les directions générales et les régions. Le sous-ministre adjoint (SMA) de la Direction générale des services de gestion (DGSG), copréside le CEP-SI.

Cette structure de surveillance conjointe rend le processus plus complexe, compte tenu du nombre d'acteurs, du nombre d'organismes distincts et du chevauchement partiel des rôles et des responsabilités. Par exemple, le plan stratégique de GI/TI de 2012-2015 du Ministère et de l'Agence a d'abord été présenté au Comité exécutif de planification des investissements (CE-PI) de Santé Canada en mars 2013 aux fins d'examen. Le mandat de ce comité consiste à veiller à ce que les investissements concordent avec les stratégies ministérielles, y compris dans le secteur de la GI/TI. Le comité a appuyé le plan et a fait part de ses commentaires concernant l'amélioration de celui-ci à la présente dirigeante principale de l'information (la DPI). Le plan a ensuite été présenté au CEP en avril 2013 aux fins d'examen et d'approbation. Le comité a donné son aval aux principaux concepts et objectifs du plan et a demandé à la DPI de poursuivre les consultations auprès des clients afin de peaufiner le plan, puis de faire état des progrès selon la structure de gouvernance des services partagés. Toutefois, aucune mention d'approbation officielle du plan ne figure dans le compte rendu des décisions du CEP. Il convient de noter que, dans le cadre du processus de planification des TI, la DPI s'est engagée à présenter une mise à jour du plan dans un délai de six mois; cette mise à jour a été présentée au CEP-SI en octobre 2013.

L'une des responsabilités du CEP-SI consiste à recommander et approuver les investissements, les priorités et les plans liés aux services internes (c'est-à-dire les priorités en matière de GI/TI). Nous nous attendions donc à ce que le plan soit présenté à ce comité aux fins de discussion et d'appui avant qu'il soit présenté au CEP aux fins d'approbation. L'audit a également permis d'observer que les membres du CEP-SI sont souvent choisis au niveau du directeur ou d'autres représentants, ce qui limite potentiellement le rôle du comité en ce qui a trait à la planification, à l'établissement des priorités et à la coordination. Un examen interne du mandat du CEP-SI réalisé en décembre 2013 a proposé plusieurs possibilités d'amélioration de l'efficacité du comité.

La gouvernance est complexe tant au sein du Ministère que de l'Agence et la transition vers le partenariat complet des services internes partagés prendra du temps. Les changements à apporter à la gouvernance reposent également sur les processus de planification opérationnelle et de planification des investissements. De plus, SPC et le SCT demandent un processus de planification organisationnelle intégré, ce qui aura une incidence sur le contexte et le contenu de tout plan de TI. Comme la prestation des services de TI est soumise à une entente de services partagés, les plans de TI qui en découlent doivent faire l'objet d'une surveillance appropriée pour être jugée acceptable par les partenaires.

En conclusion, bien que des organismes de surveillance soient en place pour gouverner le processus de planification des TI au sein du Ministère et de l'Agence, il serait bon pour les organisations de veiller à ce que ces organismes de surveillance mènent leurs activités comme prévu, ce qui comprend notamment la tenue appropriée des comptes rendus de décisions.

1.2 Rôles et responsabilités

Critère d'audit : Les rôles et les responsabilités dans le cadre du processus de planification des TI sont définis et communiqués de manière efficace.

La clarté des rôles dans le cadre de la planification des TI est essentielle pour garantir l'élaboration de plans complets qui répondent aux besoins opérationnels et scientifiques des partenaires de services partagés. Les rôles sont bien définis en ce qui concerne la planification opérationnelle et la planification des investissements au sein du Ministère et au sein de l'Agence; la Directive du SCT attribue clairement le rôle de la planification des TI au DPI. Dans le cas du Ministère, la planification des TI est bien intégrée aux processus de planification opérationnelle et de planification des investissements, et les rôles connexes sont attribués en conséquence. Dans le cas de l'Agence, la planification des TI n'est pas intégrée comme il se doit, et les rôles concernant la planification des TI ne sont pas bien définis. En outre, aucun examen des répercussions découlant de la nécessité d'un plan de TI sur les rôles actuels n'a été mené. Le Ministère et l'Agence doivent préciser les rôles liés à la planification des TI.

Le processus de planification des investissements du Ministère a défini les rôles et responsabilités du promoteur de projet, de la Direction générale du dirigeant principal des finances (DGDPF), des comités exécutifs ainsi que de la DSGI. La DSGI joue un rôle clé tout au long du processus pour les projets en PI ayant besoin d'une solution en TI. Les documents sur le processus de PI du Ministère traitent de la gouvernance (c'est-à-dire, structure des comités et processus opérationnels généraux). Le promoteur de projet doit obtenir la confirmation du financement et de la validation selon le processus de PI du Ministère. Au Ministère, le processus de planification opérationnelle relève des directions générales. La DGSG doit recueillir les données fonctionnelles (par exemple, ressources humaines, TI et biens immobiliers) servant à la production du plan opérationnel de la DGSG. La Direction de la planification et des pratiques générales de gestion (Direction générale du contrôleur ministériel) est responsable du processus de planification intégrée du Ministère. Elle fournit un outil de collecte de données ainsi qu'un cadre de gestion de ces données. La Direction de la planification, de l'intégration et des services de gestion (DPISG) de la DGSG joue un rôle de coordination entre la DSGI et les autres directions générales ainsi qu'entre le Ministère et l'Agence.

À l'Agence, le sous-ministre adjoint de la Direction générale de la politique stratégique, de la planification et des affaires internationales (DGPSPAI) dirige la planification. La DGPER à l'Agence est chargée de la gestion des projets, de la planification opérationnelle et des investissements et oriente les interventions des directions générales. L'Agence a utilisé des lettres d'appel pour répondre aux besoins en matière de GI/TI liés aux processus de planification opérationnelle et des investissements de 2014-2015. Les informations pertinentes de l'Agence sont soumises au processus de planification opérationnelle du Ministère afin d'aider la DGSG à compléter son plan opérationnel. La DSGI joue un rôle important dans ce processus.

Selon la Directive du SCT, le rôle de la planification des TI est attribué au DPI. Au sein de la DSGI, le directeur de la planification stratégique veille à la planification des TI pour le Ministère et l'Agence, y compris les plans stratégiques, l'estimation des coûts des projets d'investissement comportant un volet de GI/TI, la réponse de la direction au plan opérationnel et le plan de TI exigé par la Directive du SCT. Le personnel de la DSGI chargé de la participation des clients assure la liaison entre les directions générales et la DSGI. Une équipe chargée de la participation des clients, composée de dix équivalents temps plein, offre un soutien à l'Agence. Cette équipe veille notamment à aider les propriétaires fonctionnels à cerner leurs besoins opérationnels. Toutefois, le rôle de l'équipe chargée de la participation des clients dans le contexte du processus de la planification des TI n'est pas bien défini.

Il est clair que la DSGI joue un rôle en ce qui a trait aux processus de planification opérationnelle et des investissements pour le Ministère. Cependant, dans le cas de l'Agence, ce rôle n'est pas aussi bien défini. Dans le cadre de la fonction de planification globale, la Direction de la planification stratégique de la DSGI précise les rôles et les responsabilités. Les documents dans lesquels sont consignés ces rôles et ces responsabilités ne sont pas encore finalisés, validés ou approuvés.

L'orientation concernant l'architecture d'entreprise de la Direction du dirigeant principal de l'information (DPPI) donnera lieu à la création d'un Conseil d'examen de l'architecture d'entreprise (CEAE), qui jouera un rôle dans la planification, l'élaboration et le déploiement de solutions de GI/TI touchant le gouvernement du Canada. Il est entendu que les ministères et les agences devront mettre en œuvre une mesure semblable. Le CEAE effectuera l'examen et l'évaluation du volet architectural des investissements en TI par rapport à l'orientation en matière des TI du gouvernement du Canada. L'incidence de l'architecture d'entreprise sur la planification des TI n'est pas encore bien définie. De plus, les rôles associés à la planification des TI dépassent maintenant les limites du Ministère et de l'Agence. SPC a annoncé son intention de produire un plan d'entreprise des TI en demandant à ses partenaires de collaborer activement à ses initiatives.

Compte tenu de la complexité de la gouvernance entourant la planification (investissements, opérationnelle, direction générale, fonctions des TI et agence centrale) les rôles sont également complexes et les interfaces sont toujours en cours d'élaboration. Bien que la DSGI reconnaisse la nécessité de déterminer et de définir les rôles et les responsabilités dans le processus de planification des TI, ces renseignements ne sont toujours pas consignés de façon officielle. Les rôles et les responsabilités associés au processus de planification des TI doivent être clairement définis et communiqués.

Recommandation 1

Il est recommandé que le sous-ministre adjoint, Direction générale des services de gestion, en collaboration avec le dirigeant principal des finances, Direction générale du dirigeant principal des finances, Santé Canada, et le sous-ministre adjoint, Direction générale de la politique stratégique, de la planification et des affaires internationales, Agence de la santé publique du Canada, veillent à ce que les rôles et les responsabilités associés au processus de planification des TI soient clairement définis et communiqués.

Réponse de la direction

1.3 Structure de planification des TI

Critère d'audit : Le processus de planification des TI est approuvé par la direction et soutenu par des politiques et des directives.

Il est important d'avoir en place un processus officiel approuvé, puisque celui-ci permet la production uniforme d'un plan de TI complet que la direction peut appuyer. Quoique des processus et des pratiques de planification soient en place, il n'existe aucun processus distinct qui aborde la production de plans de TI, y compris les plans de TI découlant de la Directive du SCT. Comme aucune source faisant autorité ne décrit clairement comment se rattachent tous ces éléments, il convient de consulter différents documents, dont les processus de planification opérationnelle et des investissements et les présentations du centre (DDPI et SPC) aux ministères partenaires.

On note l'utilisation de pratiques pour l'exécution du plan d'investissement et du plan opérationnel au sein du Ministère. Les documents du Ministère relatif au cadre de planification des investissements indiquent clairement la fonction des divers comités de gouvernance qui prennent part à la planification des investissements du Ministère et décrivent la différence entre les projets réalisés dans le cadre du plan des investissements et les autres projets. Le cadre de planification des investissements, en date de novembre 2012, est le dernier document officiel sur le processus. Des changements seront apportés après avril 2014 découlant du fait que la pratique ne correspond plus aux documents. Ces changements devraient comprendre une rationalisation des données, le changement de nom des comités, une réduction des redondances et l'adaptation dans une certaine mesure de la méthode d'établissement des coûts.

L'Agence est dotée d'une structure de gouvernance pour la planification des investissements et suit le Guide de planification des investissements du SCT, qu'elle a adapté à son organisation. Les éléments clés du Cadre de gestion des projets de l'Agence (comme la définition du projet, la gouvernance, l'approbation du projet et les processus d'approbation pour le financement) sont en processus de mise à jour.

On a relevé des documents sur le processus de planification opérationnelle du Ministère, qui sont accessibles à partir d'un outil de planification Web. L'utilisation de cet outil n'a pas été observée à l'Agence, car le Guide de planification opérationnelle de l'Agence fait mention de fonctions habilitantes, y compris les TI, mais ne mentionne aucun processus précis. La phase de planification opérationnelle commence généralement par l'envoi d'une lettre d'appel et se termine par l'approbation du plan opérationnel de la DGSG, l'allocation budgétaire initiale requise et la confirmation des nouveaux investissements ainsi que des changements apportés aux investissements existants. Comme les directions générales réalisent la première étape de cette planification, elles ont tendance à transmettre leur propre gabarit pour la collecte de renseignements sur la planification. Les données sont saisies dans des gabarits en format Microsoft Word ou Excel, sont classées par ordre de priorité au sein des directions générales, puis sont versées dans le Système intégré de planification et de présentation de l'information sur le rendement (SIPPIR). Il s'agit d'un outil propre au Ministère, qui sert à consigner les projets et les gérer une fois approuvés. Il est jugé inadéquat d'établir des rapports fondés sur le SIPPIR, et les planificateurs de la DGSG utilisent Excel pour répondre aux demandes de la direction avant de consigner les renseignements dans le SIPPIR.

En ce qui concerne la DSGI, la planification des TI commence par une orientation et des initiatives en matière des TI provenant de l'organisme central (DDPI et SPC), auxquelles on doit ajouter les activités de TI liées au programme. Une fois que les commentaires sur le plan opérationnel de la DSGI sont prêts à être présentés à la DGSG, la DSGI rencontre tous les planificateurs des directions générales du Ministère et de l'Agence pour déterminer si des exigences importantes en matière de TI ont été omises. Cette pratique ne fait partie d'aucun processus officiel, et elle a été utilisée pour la première fois cette année par les directions générales de l'Agence. Aucun document sur ces processus n'a été créé pour le moment.

Quoique des processus et des pratiques de planification soient en place qui fournissent des informations relatives aux TI, il n'existe aucun processus organisationnel de planification des TI officiel et consigné qui a été approuvé par la direction et qui est étayé par les politiques. L'établissement d'un processus officiel accompagné des documents connexes approuvés par la direction (directions générales, DGSG et Agence) permettrait de garantir l'exécution et la communication des plans de TI par le Ministère et l'Agence (voir la recommandation 2).

2. Gestion des risques

2.1 Planification des risques associés aux TI

Critère d'audit : Les risques associés aux TI sont cernés, évalués et utilisés dans le cadre du processus de planification des TI pour la préparation des plans de TI.

Le risque est un élément important de la gestion au sein du Ministère et de l'Agence. À cet égard, le Ministère et l'Agence créent un Profil de risque ministériel (PRM), une évaluation des risques dans le cadre du processus d'approbation des projets du Plan d'investissement, et préparent des documents sur le plan opérationnel traitant des risques. Bien que les risques ministériels touchent principalement la santé des Canadiens et non les activités internes des organisations (y compris les TI), les directions générales doivent tenir compte des risques à l'échelon des directions générales dans leur plan opérationnel, ce qui peut être directement en lien avec les TI. La DSGI a souligné certains risques dans ses commentaires concernant le Plan opérationnel de la DGSG. Bien que la Directive du SCT et le Guide du SCT indiquent les types de risques qui doivent être pris en compte, on ignore encore quels risques en matière de TI seront traités dans le Plan de TI.

La structure des risques de l'Agence prévoit la production périodique d'un PRM. Les risques organisationnels de l'Agence visent surtout les risques pour la santé des Canadiens, et non les risques ministériels au sein du Ministère et de l'Agence. Le PRM 2013-2015 de l'Agence indique que la haute direction a pris la décision de ne pas inclure certains types de risques dans ce document. Par exemple, l'Agence considère maintenant les services axés sur les activités internes (c'est-à-dire, valeurs et éthique, ressources humaines, TI, etc.) comme des facilitateurs plutôt que des risques indépendants dans le PRM. Cela signifie que ces « risques » seront surveillés par un autre moyen. Ainsi, même si la prestation des services de TI était intégrée dans l'évaluation de la capacité de l'Agence, elle n'est pas traitée directement comme un risque. Toutefois, la capacité et les compétences en matière de TI peuvent être observées dans presque toutes les mesures de traitement des risques, c'est-à-dire, qu'elle fournit la technologie nécessaire pour déceler et gérer les risques.

Le PRM du Ministère comprend une hiérarchie des risques aux niveaux des opérations, de l'organisation et des programmes et projets. Ce sont les directions générales qui sont chargées de la mise en œuvre de la réponse au risque, laquelle est consignée dans le PRM et dans les registres des risques ministériels, qui forment une base de données contenant des renseignements sur la gestion des risques. La DGSG a cerné deux risques qui ont une incidence sur la prestation des services de TI.

1. Des risques sont associés au maintien des niveaux de service à la suite de l'adoption du modèle des services partagés par le Ministère et l'Agence.
2. Des risques sont associés au maintien de la capacité et à la durabilité des pratiques et des procédures de gestion de l'information.

Le PRM indique les sources de risque pour chaque risque susmentionné, dont le changement des structures de gouvernance; le manque de clarté quant aux rôles et aux responsabilités; d'autres initiatives de transformation déjà amorcées (par exemple, gouvernement ouvert, Services partagés Canada) qui exercent une pression supplémentaire sur l'organisation qui subit des changements importants; les activités de réorganisation internes ayant des répercussions sur le personnel et les fonctions; les différentes politiques et les différents mécanismes de gouvernance et de gestion de l'information qui sont propres à l'organisation; les différents niveaux de compréhension, de savoir-faire et de capacité en matière de gestion de l'information; les volumes accrus de données numériques; et l'absence d'outils pangouvernementaux.

Les principales organisations exposées aux risques sont ensuite recensées aux échelons des directions générales et des directions. D'une certaine façon, chaque direction générale a son propre profil de risque. Les risques ne sont pas cernés expressément pour le plan de TI, mais plutôt dans le cadre de la planification opérationnelle des directions générales. L'organisation de la planification des TI réagit aux risques de la DGSG, mais la capacité d'exécution des projets était considérée comme ne relevant pas de la compétence de l'autorité chargée de la planification. Dans la table des matières du plan de TI proposée, on trouve une section sur l'analyse du risque de TI; toutefois, ce n'est pas toutes les personnes interviewées qui savaient exactement comment les risques associés aux TI étaient reconnus dans les plans de TI, tout en reconnaissant que la demande prévue dans la planification dépasse toujours la capacité de prestation des services de TI requise du Ministère et de l'Agence.

La Directive du SCT et le Guide du SCT exigent une évaluation des risques de TI (c'est-à-dire, la capacité en matière de ressources humaines et financières ainsi qu'en technologie, de gouvernance et de contrôle) dans le cadre du processus d'exécution du plan de TI. Bien que les documents de planification et les documents connexes sur les risques soulignent un certain nombre de risques à différents échelons du Ministère et de l'Agence, les liens entre ces risques et le degré de traitement de ces risques dans le cadre d'initiatives et de projets précis ne sont pas bien définis.

À titre d'exemple, les documents de planification énoncent des mesures qui comprennent la mise en œuvre prioritaire de la Stratégie sur le vieillissement des TI de la DSGI, mais le risque que présente l'obsolescence des TI pour les activités existantes n'y est pas indiqué. Au cours des entrevues, on a appris que l'obsolescence des TI était perçue comme l'une des principales considérations pour le Ministère et l'Agence, et qu'elle s'étend à l'établissement des priorités en matière de TI, notamment dans le cadre du processus de planification des investissements. De plus, la mise en œuvre de la gestion du portefeuille des applications, qui servira également à traiter l'obsolescence des TI au sein du Ministère et de l'Agence, est prévue dans le plan opérationnel de la DGSG pour le prochain exercice. Bien que l'obsolescence des TI soit abordée, on ne connaît pas avec exactitude l'ampleur du problème, et l'audit ne permet pas de confirmer que ce problème sera traité à l'échelle de l'organisation du Ministère et de l'Agence.

Des risques ont été relevés à divers niveaux au sein du Ministère et de l'Agence. On ignore toutefois comment ces risques seront cernés dans le processus de planification des TI et présentés dans les plans de TI (voir la recommandation 3).

3. Contrôles internes

3.1 Processus de planification des TI

Critère d'audit : Le processus de planification des TI est intégré au processus ministériel général de planification organisationnelle et de planification des investissements, et appuie les résultats stratégiques du Ministère et de l'Agence.

Un processus de planification des TI qui est intégré aux processus ministériels généraux de planification organisationnelle et de planification des investissements permettra d'appuyer les activités, de favoriser la transformation et d'orienter les décisions en matière de TI. L'intégration des TI à ces processus nécessite la participation à des consultations avec les responsables des programmes afin de déterminer les exigences en matière de TI pour répondre aux besoins des programmes et d'établir les priorités dans les processus ministériels de planification. Les processus de planification opérationnelle et de planification des investissements devraient engendrer le flux d'information nécessaire à l'élaboration des plans de TI exigés par la Directive du SCT afin d'appuyer les résultats stratégiques du Ministère et de l'Agence.

La structure complexe de gouvernance et de l'organisation, les divers comités (points décisionnels), la multitude de flux d'information pour les investissements et les projets de TI ainsi que les nombreux intervenants ne provenant pas du Portefeuille sont tous des éléments qui ont une incidence sur l'intégration de la planification des TI. Néanmoins, l'intégration de la planification des TI aux processus de planification opérationnelle et de planification des investissements du Ministère est importante. On note toutefois une intégration moindre entre l'Agence et la planification des TI dans le cadre du partenariat. Le nouveau plan de TI ne fait toujours pas partie du processus de planification, mais sera un sous-produit de cet effort. La façon dont sera effectuée cette intégration n'a pas encore été entièrement élaborée ni consignée.

Dans le cas du Ministère, les TI sont intégrées, étant donné que de nombreux projets d'investissement importants concernent expressément les TI ou comportent un volet important de TI. De plus, au Ministère, le processus de planification des investissements fait en sorte que les projets d'envergure sont consignés, classés par ordre de priorité et présentés à la direction aux fins de décision. La DSGI participe aux premières étapes de ces projets ministériels afin d'aider les parraineurs et les promoteurs des directions générales à estimer la durée, les coûts et l'affectation des ressources. Cette interaction ajoutée à chaque point de contrôle aide à bien déterminer des solutions de planification des investissements. Les processus de planification des investissements de l'Agence sont distincts de ceux du Ministère. La plupart des investissements en TI de l'Agence sont fonction des priorités du gouvernement du Canada et sont réalisés par la DSGI, de sorte qu'ils constituent des services acquis pour l'Agence. Rien n'indique que la DSGI a participé dans la même mesure à la définition des projets d'investissement de l'Agence. Bien que le seuil établi pour les projets provenant de la planification des investissements (PI) soit de 1 million de dollars pour le Ministère et l'Agence, le Ministère a décidé de traiter tous les projets de plus de 250 000 $ comme des projets de PI. Dans le cas de l'Agence, alors que les projets en TI sont planifiés à l'intérieur de la PI, les projets de TI (de moins d'un million de dollars) ne sont pas décrits dans la même mesure.

L'intégration entre la planification des TI et la planification opérationnelle au sein du Ministère est importante. Tous les directeurs de la DSGI formulent des commentaires à l'égard du plan opérationnel de la direction, qui sont ensuite introduits dans le Plan opérationnel de la DGSG. Les initiatives importantes sont consignées à partir du processus de planification des investissements et des principales priorités qui nécessitent une réponse du Ministère. Pour que le Plan opérationnel de la DGSG soit complet, toutes les exigences en matière de TI doivent être établies. Pour ce faire, les plans opérationnels des directions générales de toute l'organisation doivent être complets. Afin de faciliter l'achèvement du plan opérationnel de la DGSG, les planificateurs de la DGSG organisent des réunions comptant la participation des responsables de la DSGI et des directions générales du Ministère ainsi que d'autres fournisseurs de services internes au cours desquelles les besoins opérationnels des directions générales sont examinés. Cette année, plus de temps était prévu au calendrier pour que la DSGI puisse consigner toutes les exigences. Quoique l'Agence ait adopté cette pratique, cette dernière n'était pas bien comprise par tous les participants, étant donné qu'elle était utilisée pour la première fois. La façon dont cette pratique d'examen approfondi est menée n'est pas encore consignée.

Cependant, le processus de planification des TI n'est pas encore pleinement intégré aux autres processus de planification au sein du Ministère et de l'Agence. À titre d'exemple :

• Les directions générales de Santé Canada entrent les projets de TI approuvés par le sous-ministre adjoint dans un outil de planification ministériel exploité par la DGDPF. La DSGI utilise cet outil pour obtenir les renseignements aux fins de planification. Le SIPPIR est la source de données utilisée pour consigner les projets et les gérer. Toutefois, comme l'utilisation du SIPPIR n'est pas obligatoire, toutes les directions générales du Ministère ne l'utilisent pas forcément. En outre, l'Agence n'utilise pas ce système.
• Le Guide de planification opérationnelle de l'Agence (V4.1) indique que les directions générales doivent fournir des renseignements complets sur la planification en temps opportun afin que les groupes de services partagés ou de services internes puissent les aider à faire leur travail, et que les plans doivent faire l'objet d'un examen par les groupes de services partagés ou de services internes. Toutefois, il est indiqué dans un autre document sur l'état des plans opérationnels de l'Agence que les renseignements sur les besoins en matière de GI/TI sont recueillis par l'équipe de la GI/TI dans le cadre d'un autre processus pour la période de planification 2013-2014. Par conséquent, la GI/TI ne sera pas entièrement intégrée au processus de planification opérationnelle 2013-2014 de l'Agence. Il existe donc un écart entre les directions générales de l'Agence et la DSGI pour ce qui est des méthodes utilisées pour consigner les renseignements sur les TI aux fins de planification.

Les planificateurs de la DSGI ont indiqué qu'ils souhaitaient avoir un plan de TI triennal continu qui, une fois publié, pourrait être reporté d'une année à l'autre pour la période de trois ans en question. Cette tâche nécessitera de nouvelles sources de données qui permettront de consigner les dépenses non engagées par la DPI et les activités touchant les TI au sein du Ministère et de l'Agence. Ces nouvelles sources de données n'ont pas encore été précisées ni consignées.

De plus, il est clair que la DSGI, en tant que Bureau de première responsabilité pour la planification des TI du Ministère et de l'Agence, présente un certain nombre de problèmes qui peuvent avoir une incidence sur la capacité de l'unité de planification à créer le plan de TI. À titre d'exemple :

• La DPI n'a toujours pas accès à toutes les dépenses liées aux TI du Ministère et de l'Agence. Les pratiques et les processus de planification actuels n'assurent le suivi que pour les dépenses et les activités qui relèvent de la compétence de la DPI. La création de ce nouveau flux de données nécessitera la collaboration de la DSGI et des secteurs d'activité.
• La capacité de la DSGI est établie par la haute direction et la DPI doit planifier en conséquence. Toutefois, l'environnement des TI du gouvernement comprend des initiatives stratégiques sur lesquelles ni le Ministère ni l'Agence n'ont de réel pouvoir. Maintenir l'équilibre entre les limites de la capacité de la DSGI et les exigences des organismes centraux, du Ministère et de l'entreprise entraîne des difficultés en ce qui concerne la planification des TI du Ministère et de l'Agence.

Pour conclure, même s'il existe des différences entre la façon dont chaque organisation structure et effectue la planification opérationnelle et la planification des investissements, ces deux processus doivent engendrer le flux d'information nécessaire pour l'élaboration des plans de TI exigés par la Directive du SCT en vue d'appuyer les résultats stratégiques du Ministère et de l'Agence. Il existe toutefois un écart entre la façon dont le Ministère et l'Agence consignent les projets de TI. L'élaboration d'un processus de planification des TI entièrement intégré aux processus de planification opérationnelle et des investissements du Ministère et de l'Agence permettrait de renforcer la planification des TI.

Recommandation 2

Il est recommandé que le sous-ministre adjoint, Direction générale des services de gestion, en collaboration avec le dirigeant principal des finances, Direction générale du dirigeant principal des finances, Santé Canada, et le sous-ministre adjoint, Direction générale de la politique stratégique, de la planification et des affaires internationales, Agence de la santé publique du Canada, élaborent pour le Ministère et l'Agence un processus de planification des TI qui est entièrement intégré aux processus de planification opérationnelle et des investissements des deux organisations.

Réponse de la direction

3.2 Harmonisation avec les initiatives et les priorités du gouvernement du Canada

Critère d'audit : Le processus de planification des TI permet d'assurer que les plans de TI élaborés sont harmonisés avec les priorités ministérielles et pangouvernementales en matière de TI, la technologie et les services communs et partagés, lorsque ceux-ci sont disponibles et pertinents.

Les initiatives du gouvernement du Canada et le modèle de prestation des services de SPC auront désormais une incidence sur les plans de TI du Portefeuille. Le nouveau guide sur la planification des TI fournit une courte liste des priorités essentielles du gouvernement qui doivent faire partie du plan de 2014-2015. Les documents de planification actuels couvrent la plupart des initiatives et des priorités en matière de TI des organismes centraux.

Le récent Guide du SCT précise qu'une série de priorités du gouvernement du Canada doit être prise en compte lors de la création du plan. Ce plan n'a pas encore été élaboré par le Ministère et l'Agence. Toutefois, selon un examen des plans existants et de l'ébauche des plans futurs, la plupart de ces priorités sont prises en compte dans une certaine mesure. SPC a présenté un processus à ses partenaires à l'aide duquel il devrait pouvoir créer une feuille de route unique pour ses partenaires et lui. Le cycle de planification 2013-2014 pour la période allant de 2014-2015 à 2016-2017 signifie que le plan de TI vise maintenant une période de trois ans et est harmonisé avec l'échéancier de planification de SPC.

La DDPI défend maintenant une approche visant la mise en œuvre d'une architecture d'entreprise à l'échelle du gouvernement du Canada axée principalement sur les secteurs qui relèvent de la compétence du gouvernement du Canada, soit les ressources humaines, les finances, les subventions et contributions, la gestion des documents et la sécurité. La DDPI s'attend toutefois à ce que les partenaires ministériels mettent en œuvre une architecture d'entreprise et des processus du Conseil d'examen de l'architecture servant à acheminer les projets des PI. De plus, elle s'attend à ce que les partenaires participent aux activités centrales du Conseil d'examen de l'architecture.

Jusqu'à présent, la DSGI a reconnu ces initiatives centrales dans les plans opérationnels et a participé à la coordination avec SPC. D'autres travaux seront réalisés afin de satisfaire aux exigences du nouveau Guide du SCT, qui énumère les principales initiatives à mettre en œuvre.

Le Ministère et l'Agence ont des plans qui comprennent des priorités et des initiatives de TI du gouvernement du Canada. En outre, ces documents doivent couvrir la plupart des initiatives et des priorités du gouvernement du Canada qui figurent dans le Guide du SCT et la Directive du SCT.

3.3 Contenu du plan de TI

Critère d'audit : Le plan de TI (ou tout document de planification équivalent) définit les orientations ministérielles ainsi que les stratégies et les activités connexes en matière de TI, y compris les dépenses prévues, la capacité des ressources humaines et l'affectation des ressources, les échéanciers et l'harmonisation avec l'architecture de la technologie. Le plan de TI décrit également les nouveaux projets et les nouvelles initiatives ainsi que les améliorations importantes apportées aux projets et aux services existants, la maintenance prévue des systèmes importants, les risques et les activités de TI.

Au moment de l'audit, les planificateurs de la DSGI travaillaient à l'élaboration des plans de TI exigés par la Directive du SCT et prévoyaient les achever avant le 31 mai 2014. Le Ministère et l'Agence élaboraient ces plans pour la première fois, malgré le fait que la Directive du SCT est entrée en vigueur en 2012. Bien qu'il existe d'autres plans de TI portant sur des éléments semblables et parfois pertinents, ces documents ne sont pas aussi complets que celui exigé par la Directive du SCT.

Les ministères et les agences devaient préparer un plan de TI annuel à compter du 31 mars 2012. Ni le Ministère ni l'Agence n'a préparé de plan de TI correspondant à celui exigé par la Directive du SCT. La DSGI souligne l'absence d'une lettre d'appel et d'un gabarit de rapports émis par le SCT ou la DDPI pendant les années où aucun plan n'a été préparé. La DDPI a envoyé une lettre d'appel le 26 mars 2014, demandant aux ministères d'utiliser le Guide du SCT pour l'élaboration d'un plan de TI. Aucune lettre semblable n'avait été envoyée les années précédentes.

Le Guide du SCT précise que la structure et le format du plan sont mis à jour dans ce document. De plus, la mise à jour de la Directive du SCT est prévue pour le prochain exercice. La DSGI utilisera les exigences les plus récentes (en outre, le Guide du SCT) pour la guider dans l'élaboration du plan de TI.

Le Ministère et l'Agence ont des plans qui définissent les priorités en matière de TI. Ensemble, ces documents couvrent la plupart des exigences du Guide du SCT relativement au plan de TI. Voici les résultats de l'examen des plans, des stratégies et des documents d'information existants.

• Les commentaires de la DSGI concernant le Plan opérationnel de la DGSG de 2014-2015 contiennent bon nombre des éléments qui devraient figurer dans le plan de TI. Toutefois, au moment de l'audit, il manquait certains renseignements demandés. Par exemple, les informations complètes sur les dépenses approuvées en TI ne seront disponibles que plus tard dans l'exercice financier. De plus, comme des listes d'initiatives et de jalons sont souvent les seuls documents disponibles, certaines explications ne sont pas mentionnées, telles qu'une description exhaustive des risques en matière de TI et des mesures précises prévues pour les traiter.
• La DSGI a élaboré un plan stratégique en matière de GI/TI qui énonce la vision de la direction ainsi que les buts stratégiques et les objectifs pour la prestation efficace des services de TI au cours des trois prochaines années. Une mise à jour récente de ce plan stratégique fait état des résultats découlant du plan stratégique en matière de TI et de la stratégie en matière de GI. Ce document n'est pas conforme au format prévu dans la Directive du SCT et dans le Guide du SCT^{note de bas de page 6} pour un plan de TI. De plus, la DSGI a fait plusieurs présentations au CEP-SI sur une gamme de sujets comme le portrait de la GI/TI^{note de bas de page 7}, la gestion du portefeuille des applications^{note de bas de page 8}, la feuille de route pour Lotus Notes^{note de bas de page 9} et la planification des TI du gouvernement du Canada^{note de bas de page 10}.
• Dans le cas du Ministère, bon nombre des projets de PI d'envergure concernent expressément les TI ou comportent un volet important de TI. Les investissements en TI prévus sont de 128,3 millions de dollars (de 2011-2012 à 2015-2016). Le PI de l'Agence est le résultat d'initiatives conjointes mises en œuvre par la DSGI. On ne sait pas exactement si ces initiatives sont gérées dans le cadre de la gouvernance conjointe ou par la direction de chacune des parties qui s'inspire simplement de la gouvernance. Bien qu'aucun projet du PI lié au programme de l'Agence ne soit indiqué, des besoins opérationnels liés aux TI, comme l'amélioration des systèmes de surveillance, sont notés.

Les plans de TI du Ministère et de l'Agence exigés par la Directive du SCT n'ont toujours pas été produits. Bien que le cycle de planification produise des plans ayant une incidence importante sur les TI, on note l'absence d'un portrait global des TI au sein du Ministère et de l'Agence. En outre, aucune discussion n'a été tenue jusqu'à présent sur les défis auxquels est confrontée la DPI relativement à l'élaboration de ce plan de TI.

Recommandation 3

Il est recommandé que le sous-ministre adjoint, Direction générale des services de gestion, produise des plans de TI pour Santé Canada et l'Agence de la santé publique du Canada, conformément à la Directive sur la gestion des technologies de l'information du SCT et au Guide de préparation du plan ministériel de TI 2014-2015 du SCT, lesquels doivent comprendre l'identification des risques ainsi que l'établissement de mesures du rendement appropriées.

Réponse de la direction

3.4 Surveillance et rapports

Critère d'audit : La direction mesure le rendement réel par rapport aux résultats escomptés, apporte les modifications nécessaires et fait un rapport sur les progrès accomplis par rapport aux priorités du Ministère et de l'Agence.

Les indicateurs de rendement et les mesures du progrès à l'égard des objectifs établis ne peuvent être utilisés qu'après la production du plan. Comme les plans de TI n'ont pas encore été produits, les mesures visent les plans opérationnels, les plans d'investissement et les projets individuels. Les projets du PI font l'objet d'une surveillance étroite. Des activités de TI, de même que les objectifs et les mesures s'y rattachant, sont mentionnées dans le plan opérationnel de la DGSG. Les projets de TI faisant l'objet de contraintes relativement au PI sont gérés à l'aide d'outils de la DSGI.

Tous les investissements font l'objet de rapports de rendement périodiques des deux partenaires. Les rapports au cours de l'exercice comprennent l'examen des indicateurs d'état des investissements au moyen du processus de rapports sur les écarts financiers (REF), qui sont aussi indiqués dans le tableau de bord mensuel présenté à la direction. En ce qui concerne les projets du PI, les principales mesures sont l'échéancier, le coût et la portée des projets. Les tableaux de bord sont préparés à l'intention des cadres des directions générales et, dans certains cas, à l'intention du CEP-SI. Les tableaux de bord revêtent différents formats et contiennent des renseignements semblables, mais différents.

Le Cadre de gestion de projet de la DSGI présente les attentes minimales relatives à la gestion de projet de la DSGI pour chaque gestionnaire de projet. Tous les gestionnaires de projet de la DSGI et les ressources qui participent à un projet approuvé doivent se conformer à ce cadre. L'examen des tableaux de bord de projets nous a permis de constater une amélioration marquée depuis 2011, offrant à la direction un nombre beaucoup plus important d'éléments en fonction desquels ils peuvent fonder leur prise de décisions. Des mesures semblables sont utilisées pour les projets de moins de 250 000 $ de la DSGI.

Comme il a été mentionné précédemment, dans le cadre du processus de planification des TI, la DPI s'est engagée à présenter une mise à jour du plan stratégique de GI/TI au CEP-SI dans un délai de six mois; cette mise à jour a été présentée en octobre 2013.

Aucune mesure de rendement à l'égard du plan de TI n'a été élaborée. Toutefois, le plan opérationnel comprend des mesures de rendement, et le plan d'investissement des deux partenaires prévoit des échéanciers et des produits livrables pour chaque projet. En l'absence d'un plan de TI officiel, le plan opérationnel de la DGSG constitue le document de planification liée aux TI le plus pertinent. La DSGI devra donc utiliser des indicateurs de rendement provenant d'autres documents de planification opérationnelle. Comme les plans de TI du Ministère et de l'Agence n'ont pas encore été élaborés, des mesures connexes n'ont pas encore été mises en place (voir la recommandation 3).

C - Conclusion

Dans l'ensemble, le cadre de contrôle pour la planification des TI du Ministère et de l'Agence nécessite des améliorations modérées.

La prestation des services de TI fait l'objet d'une entente de services partagés. Par conséquent, les plans de TI doivent faire l'objet d'une surveillance appropriée pour être jugés acceptables par les partenaires. Bien que des organismes de surveillance soient en place pour gérer le processus de planification des TI au sein du Ministère et de l'Agence, il serait bon pour les organisations de veiller à ce que ces organismes de surveillance fonctionnent comme prévu; ce qui comprend, notamment, la tenue appropriée des comptes rendus de décisions.

Bien que la Direction générale des services de gestion (DSGI) reconnaisse la nécessité de déterminer et de définir les rôles et les responsabilités dans le processus de planification des TI, ces renseignements ne sont toujours pas consignés de façon officielle. Les rôles et les responsabilités associés au processus de planification des TI doivent être clairement définis et communiqués.

Quoique plusieurs processus de planification soient en place qui produisent des informations relatives aux TI, il n'existe aucun processus organisationnel de planification des TI officiel et consigné qui a été approuvé par la direction et qui est étayé par des politiques. L'établissement d'un processus officiel accompagné des documents connexes approuvé par la direction permettrait de garantir l'exécution et la communication des plans de TI par le Ministère et l'Agence. Des risques ont été relevés à divers niveaux au sein du Ministère et de l'Agence. On ignore toutefois comment ces risques seront cernés dans le processus de planification des TI et présentés dans le plan de TI.

Malgré qu'il y ait des différences entre la façon dont le Ministère et l'Agence structurent et effectuent la planification opérationnelle et des investissements, les processus de planification opérationnelle et des investissements devraient être en mesure de fournir les informations requises afin d'établir les plans de TI exigés par la Directive du SCT. L'élaboration d'un processus de planification des TI qui intègre pleinement la planification opérationnelle et des investissements du Ministère et de l'Agence permettrait de renforcer le processus de planification des TI.

Le Ministère et l'Agence ont des plans qui comprennent des priorités et des initiatives de TI du gouvernement du Canada. Ensemble, ces documents traitent de la plupart des initiatives et des priorités du gouvernement du Canada qui figurent dans le Guide de préparation du plan ministériel de TI de 2014-2015 (le Guide du SCT) du Secrétariat du Conseil du Trésor (SCT) et la Directive sur la gestion des technologies de l'information (la Directive du SCT) du SCT.

Les plans de TI du Ministère et de l'Agence exigés par la Directive du SCT n'ont toujours pas été réalisés. Bien que le cycle de planification produise des plans ayant une incidence importante sur les TI, on note l'absence d'un portrait global des TI au sein du Ministère et de l'Agence.

La direction a remis au Comité de surveillance du partenariat une mise à jour du plan stratégique de la GI/TI de 2012-2015. La direction mesure le rendement réel par rapport aux résultats prévus des projets du plan d'investissement et des activités du plan opérationnel. Comme les plans de TI n'ont pas encore été élaborés, des mesures connexes n'ont pas encore été mises en place.

On constate qu'il existe certains domaines à améliorer, qui permettront de renforcer collectivement le cadre de contrôle de gestion à l'appui de la planification des TI au sein du Ministère et de l'Agence.

Annexe A - Champs d'enquête précis et critères

Sources d'information :

• Association des professionnels de la vérification et du contrôle des systèmes d'information - CoBit 4.0, 4.1.
• Association des professionnels de la vérification et du contrôle des systèmes d'information - Val IT.
• Directive sur la gestion des technologies de l'information du Secrétariat du Conseil du Trésor.
• Politique sur la gestion des technologies de l'information du Secrétariat du Conseil du Trésor.
• Guide de vérification de la technologie globale de l'Institut des vérificateurs internes, juillet 2007.
• Profil des services de technologie de l'information (TI) du gouvernement du Canada.
• Information Technology Infrastructure Library.

Annexe B - Grille d'évaluation

Annexe C - Gouvernance pour la planification des TI

Comité exécutif du partenariat : Le Comité exécutif du partenariat (CEP) travaille de concert avec les comités exécutifs du Ministère et de l'Agence. Le CEP est chargé de la détermination des lignes directrices et de la surveillance des éléments se rattachant aux services partagés entre les organisations. Il est coprésidé par l'administrateur général de l'Agence et le sous-ministre du Ministère. Les membres sont des fonctionnaires des services internes et des sous-ministres adjoints (SMA) de programmes sélectionnés provenant des deux organisations. Le CEP est soutenu par plusieurs groupes de travail qui sont créés pour assurer un leadership et l'orientation à l'égard de points précis.

Comité exécutif de Santé Canada : Le Comité exécutif (CE) est l'organe de prise de décisions, de détermination des lignes directrices et de surveillance le plus élevé au Ministère. Le CE est présidé par le sous-ministre.

Comité exécutif de l'Agence de la santé publique du Canada : Le Comité exécutif (CE) est l'organe de prise de décisions, de détermination des lignes directrices et de surveillance le plus élevé à l'Agence. Il est présidé par l'administrateur en chef de la santé publique.

Comité exécutif du partenariat - Services internes : Le Comité exécutif du partenariat - Services internes (CEP-SI) est un sous-comité essentiel pour la Direction générale des services de gestion (DGSG). Le CEP-SI est chargé d'évaluer la mise en œuvre des programmes, des politiques et des directives de l'organisme central ayant une incidence horizontale et de formuler des recommandations à cet égard et de recommander et approuver les investissements, les priorités et les plans liés aux services internes (c'est-à-dire les priorités en matière de GI/TI). Ce comité est coprésidé par le SMA de la DGSG et le SMA de la Direction générale de la prévention et du contrôle des maladies infectieuses de l'Agence de la santé publique du Canada. Le SMA de la DGSG est un participant actif au sein des comités exécutifs respectifs du Ministère et de l'Agence, où sont abordées les politiques et les initiatives propres à chaque client. Au Ministère, les processus de gestion financière et du cycle de la planification de la DGSG sont intégrés; toutefois, le rôle de la DGSG comprend notamment l'harmonisation de ses services, stratégies et pratiques avec ceux des deux partenaires, dans la mesure du possible.

Structure de gouvernance interne

Comité exécutif de la Direction générale : Le Comité exécutif de la Direction générale (CEDG), présidé par le SMA, est un organisme central de prise de décisions chargé de la gestion stratégique des responsabilités principales de la direction générale. Le CEDG est chargé de la gestion stratégique des fonctions et des travaux internes de la direction générale, y compris la planification opérationnelle, la gérance et la responsabilisation financières et l'exécution des programmes. Le rôle du CEDG est comme suit :

• diffuser l'information afin de sensibiliser tous les fonctionnaires du Ministère et de l'Agence aux processus opérationnels des programmes, aux délibérations concernant les politiques et aux enjeux organisationnels touchant la DGSG, de même qu'aux travaux de la direction générale visant les secteurs fonctionnels, et ce, afin de faire progresser et de soutenir les priorités organisationnelles des deux organisations;
• examiner les initiatives clés et les confirmer;
• planifier, orienter et surveiller l'atteinte des priorités stratégiques opérationnelles de la DGSG.

Comité exécutif de la Direction des services de gestion de l'information (CE-DSGI) : Ce comité est responsable de la gestion stratégique de la direction. Le CE-DSGI est composé du dirigeant principal de l'information et de ses directeurs exécutifs.