Audit du système de la composante de gestion des dépenses

Bureau de la vérification interne et de l'évaluation
Rapport final
Approuvé : le 3 décembre 2014

Table des matières

Énoncé de conformité

Le Bureau de la vérification interne et de l'évaluation a procédé à l'audit du système de la composante de gestion des dépenses. Cet audit répond aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme en témoignent les résultats du programme d'assurance et d'amélioration de la qualité du Bureau.

Résumé

Contexte

Le Secteur de la gestion des dépenses (SGD) du Secrétariat du Conseil du Trésor du Canada (le « Secrétariat ») apporte son soutien aux différentes fonctions entourant le budget, notamment la présentation d'une vision pangouvernementale des données de gestion des dépenses dans le cadre du processus budgétaire annuel, la prestation de conseils sur la gestion de la réserve, la préparation du Budget principal des dépenses et du Budget supplémentaire des dépenses en vue de leur dépôt devant la Chambre des communes, ainsi que la gestion du processus menant à l'obtention des mandats spéciaux du gouverneur général.^{Note de bas de page 1}

Avant 2012, le SGD faisait appel à plusieurs systèmes de technologie de l'information (TI) afin de recueillir l'information nécessaire au soutien des fonctions entourant le budget. Ces systèmes n'étaient pas intégrés, sans compter qu'ils étaient difficiles à maintenir et qu'ils ne répondaient pas aux besoins changeants du rôle que représentent les fonctions entourant le budget. Le coût de maintenance annuel de ces systèmes a été estimé à 1,55 million de dollars, et selon les attentes, un système de rechange devrait réduire ce coût à 0,785 million de dollars par année.

Le Secrétariat a donc conçu et mis en œuvre la composante de gestion des dépenses (CGD), un système de TI intégré, entre les mois de septembre 2010 et de juin 2013. La mise en œuvre de la CGD a été effectuée à l'aide du SAP Système de planification des ressources de l'entreprise (SAP PRE). Le système avait été conçu de manière à prendre en charge l'ensemble du « modèle budgétaire » du SGD, qui englobe la notion de « cadre des affectations », incluant la saisie, la gestion et les rapports touchant les autorisations de financement, les sources de financement, les niveaux de référence, les présentations au Conseil du Trésor, les budgets des dépenses, l'approvisionnement, les affectations et les mandats spéciaux du gouverneur général. Le système de la CGD est entré en production au moment prévu, soit en mai 2012, permettant ainsi au SGD de l'utiliser afin de respecter les échéances prescrites pour la production du Budget principal des dépenses de 2013-2014.

Puisque le système de la CGD joue un rôle de premier plan dans le mandat principal du Secrétariat touchant le budget et lors de l'examen des audits dont les systèmes existants ont déjà fait l'objet, un audit du système était prévu dans le Plan de vérification axé sur les risques 2012-2015 du Secrétariat.

Objectifs et portée

L'audit visait à évaluer le caractère adéquat de la conception du système et de l'efficacité de sa mise en œuvre afin d'appuyer les exigences opérationnelles, ainsi qu'à évaluer l'adéquation et l'efficacité des activités de conversion des données. L'audit portait plus précisément sur les éléments suivants :

Les principaux produits livrables, incluant la définition des exigences opérationnelles et le processus employé afin de modifier la portée ou les exigences opérationnelles;
La fonctionnalité du système afin d'appuyer les exigences opérationnelles définies;
Les activités de conversion des données visant à transférer les données requises dans le système de la CGD;
Les rapports administratifs requis;
Les renseignements archivés à partir des systèmes existants afin de répondre aux besoins à venir en matière d'information.

L'audit couvrait la période du projet de mise en œuvre du système, soit de septembre 2010 à juin 2013. La documentation relative aux activités et au système qui était disponible en juillet 2013 a été également examinée.

L'examen des activités de gestion de projet n'était pas prévu. Au cours de la phase de planification de l'audit, l'équipe d'audit s'est penchée sur les documents de gestion de projet et a cerné des éléments probants ayant trait aux problèmes recensés lors d'audits antérieurs. L'équipe d'audit estime qu'un examen plus détaillé à ce chapitre n'aurait rien apporté de plus au Secrétariat.

Constatations principales et conclusion

L'audit nous a permis de conclure, avec un degré d'assurance raisonnable, que le concept du système de la CGD est adéquat et conforme aux exigences opérationnelles définies. Le système a également fait l'objet d'une mise en œuvre efficace.

Les principales constatations sont les suivantes :

Des méthodologies standard employées dans l'industrie de la TI, incluant le document du Secrétariat intitulé Guide de l'établissement de points de contrôle pour les projets axés sur la TI, ont été utilisées afin d'encadrer la configuration et la mise en œuvre du système de la CGD.
Les utilisateurs finaux du SGD ont participé à toutes les étapes du processus d'élaboration afin de s'assurer qu'on répondait à leurs besoins.
Les exigences opérationnelles ont été définies, énoncées et converties en documents de conception détaillés, et ce, dans le cadre d'une approche structurée.
Des documents de formation ont été préparés et les utilisateurs finaux du SGD ont suivi une formation suffisante afin de pouvoir utiliser le système de la CGD pour atteindre les objectifs opérationnels.

Même si, dans l'ensemble, les résultats de l'audit étaient positifs, certaines faiblesses ont été constatées sur le plan de la documentation. En particulier :

Les fichiers de projet du système étaient répartis entre plusieurs serveurs, sur GCDocs, ainsi que dans les fichiers de courriel de plusieurs personnes. Certains documents qui faisaient partie des produits livrables importants n'ont pas été conservés.
La documentation consacrée à la planification des activités de conversion des données n'était pas suffisamment détaillée et omettait certains éléments importants nécessaires. Cette limite que présentait la documentation empêchait l'équipe d'audit de garantir le caractère adéquat et l'efficacité des activités de conversion des données. Cependant, après avoir tenu compte des nombreux facteurs d'atténuation en place, l'équipe d'audit n'était aucunement préoccupée par la précision des données converties.

Deux recommandations ont été formulées en vue d'atténuer les risques du système actuel et d'appuyer les efforts de développement du système.

Réponse de la direction

Le Secrétariat a élaboré une réponse et un plan d'action de la direction, lesquels sont disponibles à l'annexe A. Le Bureau de la vérification interne et de l'évaluation est satisfait, puisque la mise en place de ces mesures permettra de s'attaquer aux problèmes recensés.

1. Introduction

Avant 2012, le SGD faisait appel à plusieurs systèmes de technologie de l'information (TI) afin de recueillir l'information nécessaire au soutien des fonctions entourant le budget. Ces systèmes n'étaient pas intégrés, sans compter qu'ils étaient difficiles à maintenir et qu'ils ne répondaient pas aux besoins changeants du rôle que représentent les fonctions entourant le budget. Le Secrétariat a donc conçu et mis en œuvre la composante de gestion des dépenses (CGD), un système de TI intégré, entre les mois de septembre 2010 et de juin 2013.

1.1 Organisations

Deux principaux groupes ont participé à l'élaboration et à la mise en œuvre du système de la CGD. Le SGD est l'utilisateur final du système de la CGD, alors que la Direction de la gestion de l'information et de la technologie du Secteur des services ministériels (DGIT-SSM) devait collaborer avec les responsables du SGD afin de concevoir et de mettre en œuvre le système de la CGD.

Une équipe de base du projet de la CGD regroupait des membres des deux groupes.

Utilisateurs finaux du SGD

Le SGD regroupe les fonctions qui appuient et consolident le rôle du Secrétariat en tant que service du budget, incluant la responsabilité touchant l'ensemble du système de gestion des dépenses du gouvernement.

La Division des stratégies et des prévisions des dépenses, qui fait partie du SGD, appuie le rôle du service du budget dans les domaines suivants :

Présentation d'une vision pangouvernementale des données de gestion des dépenses dans le cadre du processus budgétaire annuel;
Prestation de conseils sur la gestion de la réserve;
Préparation du Budget principal des dépenses et du Budget supplémentaire des dépenses en vue de leur dépôt devant la Chambre des communes;
Gestion du processus menant à l'obtention des mandats spéciaux du gouverneur général.

Le groupe des politiques et des systèmes de la Division des stratégies et des prévisions des dépenses agissait à titre de principal représentant des utilisateurs finaux du SGD dans le cadre du projet de la CGD. Le groupe représentait le mécanisme d'examen des travaux réalisés dans le cadre du projet. De plus, il fournissait des renseignements de nature qualitative sur les enjeux et participait aux discussions et à l'approbation de tout changement concernant la fonctionnalité opérationnelle nécessaire. Le groupe des politiques et des systèmes était chargé d'élaborer le matériel de formation, sans compter qu'il a formé les utilisateurs finaux du SGD sur le système de la CGD.

Développeurs du système

La Division du développement des applications et de l'administration des données et des bases de données de la DGIT-SSM était le groupe chargé de collaborer avec le SGD relativement à la conception et à la mise en œuvre du système de la CGD. Les membres de cette division possédaient une expérience dans le soutien et la maintenance des systèmes existants et, par conséquent, une expertise touchant les exigences opérationnelles du SGD. Grâce à leurs connaissances et à leurs compétences, il a été plus facile de concevoir la fonctionnalité des applications et de produire les rapports.

La DGIT-SSM demeure responsable du soutien continu du système de la CGD.

1.2 Système de la composante de gestion des dépenses

La CGD est un système de TI intégré qui fait appel au Système de planification des ressources de l'entreprise de SAP (SAP PRE) afin d'aider les utilisateurs finaux du SGD à s'acquitter de leurs responsabilités ayant trait aux fonctions entourant le budget. La mise en œuvre de la version 6.0 du système de SAP PRE a permis d'intégrer totalement le « modèle de budget » du SGD, incluant la notion de « cadre des affectations », qui comprend la saisie, la gestion et les rapports touchant les autorisations de financement, les sources de financement, les niveaux de référence, les présentations au Conseil du Trésor, les budgets des dépenses, l'approvisionnement, les affectations et les mandats spéciaux du gouverneur général.

Le système de la CGD remplace les systèmes existants qui ne sont pas intégrés, à savoir le Système d'information sur la gestion des dépenses (SIGD) et les systèmes XPONENT.

Les systèmes XPONENT avaient permis d'automatiser le Budget supplémentaire des dépenses, le Rapport sur l'état des dépenses, le contrôle des affectations et les mandats spéciaux du gouverneur général. Les systèmes XPONENT ont été conçus il y a environ 20 ans et étaient devenus extrêmement instables et difficiles à maintenir. Combinés aux exigences changeantes du bureau du budget du Secrétariat et à l'interprétation selon laquelle le soutien des fournisseurs à la version de SAP PRE utilisée afin de mettre en œuvre le SIGD devait prendre fin en 2013, ces facteurs ont justifié la mise en œuvre du système de la CGD. Le Secrétariat a donc lancé le projet de la CGD afin de développer et mettre en œuvre le nouveau système. Ce système devait :

Présenter la fonctionnalité que le SGD avait cernée et appuyer les responsabilités du Secrétariat au regard du service du budget;
Réduire les coûts de fonctionnement et d'entretien continus;
Adopter une version de SAP PRE bénéficiant de l'appui du fournisseur.

Le projet de la CGD était doté d'un budget de 2,9 millions de dollars sur une période de trois ans afin de répondre aux exigences opérationnelles et d'assurer la fonctionnalité du système. D'après l'estimation contenue dans la proposition du projet, le coût de maintenance annuel allait diminuer pour passer de 1,55 million de dollars à 0,785 million de dollars suivant l'abandon des systèmes existants, l'opérationnalisation du système de la CGD et la centralisation de l'infrastructure de soutien au sein de la DGIT-SSM.

Les responsables du SGD et de la DGIT-SSM considéraient ce projet comme étant réussi sur les plans de la fonctionnalité, de la mise en œuvre et du respect des limites budgétaires. Les deux groupes ont également précisé que les économies ont été supérieures à celles prévues.

2. Détails de l'audit

2.1 Pouvoirs

L'audit du système de la CGD fait partie du Plan de vérification axé sur les risques 2012-2015 approuvé par le Secrétariat.

2.2 Objectifs et portée

Voici quels étaient les objectifs de l'audit :

Évaluer le caractère adéquat de la conception du système et de l'efficacité de sa mise en œuvre pour appuyer les exigences opérationnelles;
Évaluer le caractère adéquat et l'efficacité des activités de conversion des données.

L'audit a permis d'examiner les activités spécifiques suivantes du projet de la CGD :

Les principaux produits livrables, incluant la définition des exigences opérationnelles et le processus employé afin de modifier la portée ou les exigences opérationnelles;
La fonctionnalité du système à l'appui des exigences opérationnelles définies;
Les activités de conversion des données visant à transférer les données requises dans le système de la CGD;
Les rapports administratifs requis;
Les renseignements archivés à partir des systèmes existants afin de répondre aux besoins à venir en matière d'information.

Exclusions de la portée

L'audit n'incluait pas les aspects suivants :

Gestion de projet

Au cours de la phase de planification, l'équipe d'audit a revu la documentation portant sur le projet de la CGD, comme les documents ayant trait à la gestion de projet (incluant la proposition du projet, la charte du projet, les cadres d'élaboration du projet, les plans du projet, les rapports d'étape, ainsi que le suivi des problèmes). L'examen a révélé que les activités de gestion de projet ont permis de pallier les faiblesses identifiées lors des audits antérieurs du processus de gestion de projet et du SIGD.^{Note de bas de page 2} L'équipe d'audit considère qu'un examen des activités de gestion de projet n'aurait rien apporté de plus au Secrétariat.

Reprise après sinistre

Au cours de la phase de planification de l'audit, une évaluation de la sécurité des TI et des contrôles pour la reprise après sinistre a été faite dans le cadre d'un projet conjoint réalisé sous l'égide de Services partagés Canada, qui détient les serveurs utilisés par le Secrétariat et qui est responsable des plans de reprise après sinistre. Cette évaluation, qui a permis d'examiner le risque entourant la reprise après sinistre, fut ensuite remplacée par un audit interne coordonné entre le Secrétariat et Services partagés Canada au sujet de la sécurité des TI. L'audit coordonné débuta le 11 juillet 2014, alors que les contrôles internes entourant la reprise après sinistre étaient examinés dans le cadre de la phase de planification.

Soutien à la CGD après la mise en œuvre

Le système de la CGD a été mis en œuvre en vue d'une utilisation dans un environnement de production en mai 2012. L'équipe d'audit a tenu compte du nombre de demandes de changement touchant la fonctionnalité du système qui avaient été soumises depuis mai 2012 afin de déterminer la conformité aux exigences opérationnelles originales. Cependant, le soutien continu relatif à l'environnement de production de la CGD a été considéré comme hors de la portée de l'audit.

2.3 Approche et méthodologie

L'approche et la méthodologie de l'audit étaient à la fois axées sur les risques et conformes aux Normes relatives à la vérification interne au sein du gouvernement du Canada. En vertu de ces normes, l'audit doit être planifié et réalisé de manière à s'assurer raisonnablement que ses objectifs soient atteints.

L'audit comportait différents essais et procédures jugés nécessaires afin de procurer une telle assurance, notamment :

Un examen des lois, des politiques et des procédures en vigueur, ainsi que des autres renseignements ayant trait aux principaux produits livrables découlant des processus de mise en œuvre des applications de TI;
Un examen de la documentation du projet, des approbations, des documents d'acceptation par l'utilisateur, ainsi que du matériel de formation ayant trait aux exigences fonctionnelles et opérationnelles et aux exigences techniques du système;
Des entrevues avec les membres de la direction et le personnel des principaux groupes d'intervenants au sein du SGD et de la DGIT-SSM;
Des revues générales^{Note de bas de page 3} ayant pour but d'observer les processus et les contrôles entourant la configuration, l'essai et la mise en œuvre de l'application dans l'environnement de production.

La phase d'examen s'est déroulée de juin 2013 à février 2014.

2.4 Champs d'enquête

L'audit comportait deux champs d'enquête :

La conception et la mise en œuvre du système de la CGD sont conformes aux exigences opérationnelles définies et répondent aux besoins des utilisateurs;
L'intégrité des données fut préservée tout au long des activités de conversion du SIGD au système de la CGD.

Les critères d'audit provenaient de la version 4.1 des objectifs de contrôle de l'information et des technologies associées (COBIT4.1), ainsi que du document Critères de vérification liés au Cadre de responsabilisation de gestion : outil à l'intention des vérificateurs internes.

Les critères d'audit servant à analyser chaque champ d'enquête sont présentés à l'annexe B.

3. Résultats de l'audit

Pour faciliter la présentation des constatations ayant trait aux divers critères identifiés dans les champs d'enquête, ce rapport catégorise et présente les résultats de l'audit en faisant appel à une approche thématique. Quatre thèmes représentent les forces connexes à la mise en œuvre du système de la CGD, alors que deux thèmes représentent les possibilités d'amélioration. Les constatations découlant de tous les critères de l'audit ont été abordées dans les thèmes, et des références correspondant à chacun des thèmes sont faites dans les notes en bas de page.

3.1 Forces

3.1.1 Utilisation de méthodologies uniformisées

Des méthodologies standard employées dans l'industrie de la TI, incluant le document du Secrétariat intitulé Guide de l'établissement de points de contrôle pour les projets axés sur la TI, ont été utilisées afin d'encadrer la configuration et la mise en œuvre du système de la CGD.

L'équipe d'audit s'attendait à ce que le projet repose sur les méthodologies standard de l'industrie des TI afin d'encadrer la mise en œuvre du système de la CGD pour s'assurer que :

Le projet réponde aux exigences de l'utilisateur final du SGD;
Des approbations sont reçues au regard des principales décisions et des produits livrables clés;
Le système est configuré conformément aux pratiques exemplaires et aux normes en matière d'architecture interne.

La méthodologie accélérée de SAP a été utilisée, laquelle correspond à la méthodologie standard qui a été élaborée afin de mettre en œuvre le système SAP PRE. Cette méthodologie a aidé l'équipe de projet à mettre en œuvre le système SAP PRE de manière efficace, parce qu'elle assurait le respect des étapes essentielles au développement et le concours des utilisateurs finaux du SGD. La méthodologie impliquait le recours à des modèles favorables au maintien de l'attention sur l'utilisateur final et à la communication fréquente entre le groupe des utilisateurs finaux du SGD et la DGIT-SSM. Le recours à des modèles standard a également favorisé l'uniformité, augmenté la qualité globale des documents et réduit la complexité, le temps et le coût de création des documents.

La méthodologie accélérée de SAP a permis de valider les exigences opérationnelles dès le commencement du projet. Même si un processus de gestion des changements avait été défini, aucun changement n'était exigé du côté des exigences opérationnelles au cours de la mise en œuvre.

Le document du Secrétariat intitulé Guide de l'établissement de points de contrôle pour les projets axés sur la TI, un modèle d'établissement de points de contrôle qui assure le respect des normes internes en matière d'architecture, a été utilisé afin de surveiller l'évolution du projet.

La méthodologie de gestion du projet de TI reposait sur l'outil JIRA de suivi des problèmes et des projets de la DGIT-SSM. Cet outil a permis à l'équipe de suivre les bogues du système. De plus, il a facilité le suivi des problèmes et le processus de gestion des changements du système. La fonctionnalité de l'outil relative au flux des travaux a permis de suivre la conclusion et l'approbation des étapes des activités principales du projet avant « l'entrée en service ».^{Note de bas de page 4} Cette fonctionnalité est venue atténuer le risque que des tâches essentielles du projet ne soient pas parachevées avant la date d'entrée en service.

3.1.2 Participation itérative des utilisateurs

Les utilisateurs finaux du SGD ont participé à toutes les étapes du processus d'élaboration afin de s'assurer que leurs besoins sont satisfaits.

L'équipe d'audit s'attendait à ce que les commentaires des utilisateurs finaux du SGD servent dans le cadre du développement de l'application de la CGD, ce qui contribuerait à mieux harmoniser la fonctionnalité avec les exigences opérationnelles, ainsi qu'à assurer la satisfaction globale des utilisateurs par rapport au produit final.

Le développement agile, une technique itérative et incrémentielle de développement d'applications qui repose sur la rétroaction continue de la part des utilisateurs, a été utilisé pendant le projet. Cette approche axée sur l'utilisateur encourageait la communication avec les utilisateurs finaux du SGD et l'implication de ces derniers pour s'assurer que l'application répondait aux exigences opérationnelles définies. Des séances avec les utilisateurs étaient organisées afin de valider la fonctionnalité des applications sur le plan conceptuel, et de recueillir des commentaires au sujet des démonstrations de la fonctionnalité détaillée de l'application. Cette approche a contribué à un soutien actif du projet de la part de la haute direction du SGD et des utilisateurs finaux du SGD.

Un environnement de pré-production de l'application, appelé « bac à sable », a permis aux utilisateurs finaux du SGD de se familiariser avec l'application au cours de la période de développement. Cet environnement a permis de recueillir des commentaires inestimables sur la façon d'harmoniser la fonctionnalité du système avec les exigences opérationnelles détaillées et il a favorisé l'adhésion des utilisateurs.

Cette approche axée sur l'utilisateur visait avant tout à faire participer les utilisateurs finaux du SGD et à assurer des communications efficaces avec ces derniers afin de maximiser la valeur des produits livrables du projet. Cette approche a également réduit le risque de délais imprévus ou de déception des utilisateurs face à une application qui ne répondait pas à leurs exigences sur le plan opérationnel.

3.1.3 Identification et mise en œuvre des exigences opérationnelles

Les exigences opérationnelles ont été définies, articulées et converties en documents de conception de haut niveau en faisant appel à une approche structurée.

Il est espéré que les exigences opérationnelles soient définies, énoncées et converties en documents de conception de haut niveau.

Les exigences opérationnelles du système de la CGD ont été consignées dans un document officiel qui leur est consacré et dans lequel on présentait un survol des processus opérationnels, ainsi que les détails des exigences relatives à chaque secteur des processus opérationnels. Une évaluation de la solution optimale, réalisée par l'équipe de projet, est venue confirmer la mesure dans laquelle la solution SAP PRE répondait aux exigences opérationnelles en ce qui concerne la fonctionnalité requise pour appuyer les responsabilités du Secrétariat en rapport avec le service du budget.

L'équipe d'audit a constaté que les documents de conception démontraient en quoi le système était configuré afin d'appuyer les exigences opérationnelles. En particulier :

Les activités opérationnelles étaient jumelées à la fonctionnalité de SAP PRE;
Les exigences d'utilisation du système identifiaient également les exigences techniques;
Les documents portant sur la décision de déployer les trousses de mise en valeur présentaient clairement les grandes lignes des facteurs fonctionnels et techniques permettant d'accroître la fonctionnalité;
Les documents relatifs à la conception de haut niveau des objets opérationnels pertinents étaient jumelés aux objets SAP.

Des approches claires et structurées en matière d'identification et d'évaluation des solutions de TI sont essentielles à l'identification et à la définition des exigences opérationnelles, ainsi qu'à la conversion de ces exigences en une conception à la fois efficace et adéquate de solutions automatisées.

L'équipe d'audit a constaté que les documents essentiels élaborés en appui au projet démontraient la façon dont les exigences opérationnelles ont été définies et mises en œuvre lors de la conception du système de la CGD.

3.1.4 Formation des utilisateurs

Des documents de formation ont été préparés et les utilisateurs finaux du SGD ont suivi une formation suffisante afin de pouvoir utiliser le système de la CGD pour atteindre les objectifs opérationnels.

Il est espéré qu'une documentation de formation soit élaborée afin d'aider les utilisateurs finaux du SGD à utiliser correctement le système. Il est espéré également que les utilisateurs finaux suivent la formation appropriée qui leur permettrait d'atteindre les objectifs opérationnels.

Les utilisateurs finaux du SGD, qui faisaient partie de l'équipe de projet, ont élaboré le matériel de formation et formé les autres utilisateurs finaux du SGD sur la façon d'utiliser le nouveau système de la CGD. Au cours du projet, on a élaboré près de 48 documents décrivant les étapes détaillées sur la façon de saisir les données principales, de consigner les transactions, d'exécuter les rapports et d'effectuer des recherches dans le système. Ces documents ont été partagés avec l'ensemble du groupe des utilisateurs finaux du SGD dans le cadre des séances de formation.

En raison de la taille limitée du groupe d'utilisateurs à former, aucun plan de formation officiel n'a été préparé et aucun suivi de la participation des utilisateurs aux séances de formation n'a été effectué. Les utilisateurs finaux du SGD ont participé à certaines séances de formation qui étaient conçues pour les aider dans le cadre de leurs fonctions opérationnelles.

L'élaboration et la maintenance des documents destinés aux utilisateurs finaux pour s'assurer que ceux-ci tiennent compte des processus actuels sont essentielles afin de les aider à utiliser correctement le système. De plus, on réduit ainsi le risque d'erreurs lors de la saisie des données ou de réglage inadéquats des paramètres au regard des rapports utilisés afin de procéder aux analyses et pour étayer les décisions. Depuis la mise en œuvre du système, les utilisateurs finaux du SGD ont précisé que la mise à jour et l'amélioration des procédures du système se faisaient au fur et à mesure de l'amélioration du système et des processus. Les utilisateurs finaux du SGD ont précisé qu'une formation additionnelle a été offerte après les séances de formation initiales. Ils ont également déclaré que des méthodes de formation différentes étaient mises en œuvre, incluant une formation ad hoc et une formation individuelle, en plus d'organiser des séances hebdomadaires de questions et réponses, ainsi qu'une séance d'appoint au début de chaque exercice de préparation du Budget des dépenses.

L'équipe d'audit a constaté que les documents de formation étaient bien élaborés. Ces documents avaient une configuration standard et comportaient des tableaux décrivant les éléments de données qu'il convient d'inscrire dans le système, ainsi que des captures d'écran accompagnées de commentaires visant à aider les utilisateurs finaux du SGD à utiliser le système de la CGD.

3.2 Possibilités d'amélioration

3.2.1 Gestion de l'information relative au projet

Les fichiers de projet du système étaient répartis entre plusieurs serveurs, sur GCDocs, ainsi que dans les fichiers de courriel de plusieurs personnes. Certains documents qui faisaient partie des produits livrables importants n'ont pas été conservés. Il n'existait aucun dépôt central réservé aux documents du projet.

L'équipe d'audit s'attendait à ce que les documents destinés à faciliter la définition des besoins, la prise des décisions et la réalisation des activités d'élaboration et de mise en œuvre du système de la CGD soient conservés dans un dépôt central. Une fois le projet achevé, les principaux documents considérés comme des sources d'information du projet présentant une valeur sur le plan opérationnel sont identifiés et conservés dans un lieu central accessible aux employés de TI qui en ont besoin afin d'assurer le soutien continu du système de la CGD.

L'équipe d'audit a remarqué que les fichiers du projet étaient conservés sur des serveurs situés à divers endroits, incluant les répertoires communs au sein de la DGIT-SSM et du SGD, les fichiers de courriel des diverses personnes, ainsi que GCDocs, qui est le dépôt des documents officiels du Secrétariat.

Les fichiers du projet contenaient une quantité énorme de documents, incluant les documents de gestion de projet, les documents consacrés aux exigences opérationnelles officielles, les maquettes des rapports, ainsi que les caractéristiques techniques des rapports soumis à l'examen de l'équipe d'audit. Cette dernière a d'ailleurs constaté les faiblesses suivantes concernant la documentation :

Il n'existait aucune preuve des commentaires des utilisateurs finaux du SGD sur les différentes séances qui avaient été organisées afin de valider les concepts et la fonctionnalité du système;
Les résultats et les approbations des tests de réception des utilisateurs finaux du SGD n'étaient pas disponibles;
Les caractéristiques fonctionnelles représentant les exigences détaillées des utilisateurs finaux du SGD pour chaque rapport et chaque recherche sur la CGD n'étaient pas documentées et conservées au cours du projet;
Les activités de validation des données démontrant que l'intégrité des données était préservée tout au long du processus de conversion n'étaient pas disponibles;
Il en est de même du document final approuvé précisant que l'utilisateur avait accepté la conversion des données et la configuration du système.

La conservation des documents essentiels du projet dans un lieu central permet d'atténuer le risque de perte de documents lors du départ d'un employé et permet de donner suite aux nouvelles demandes de changement et de procéder aux mises à niveau du système sans perturber la conception souhaitée du système. Les changements apportés au système ou aux rapports, sans connaître l'intention de la fonctionnalité prévue, peuvent entraîner des problèmes d'intégrité des données susceptibles de compromettre la capacité de l'entreprise de prendre des décisions à partir de l'information stockée dans le système.

Recommandations

Il est recommandé que le secrétaire adjoint du SSM, en collaboration avec le secrétaire adjoint du SGD, élabore les caractéristiques fonctionnelles pour chaque fonction du processus de rapport et de recherche nécessaire^{Note de bas de page 5} dans le système de la CGD et classe les caractéristiques fonctionnelles approuvées à l'aide de la maquette de rapport et des caractéristiques techniques contenues dans les fichiers de documentation du système intégré.

Niveau de priorité : Moyen

Il est recommandé que le secrétaire adjoint du SSM identifie les sources d'information du projet qui présentent une valeur sur le plan opérationnel, dont les documents de conversion, ainsi que les exigences du projet, les caractéristiques, les autorisations de modification et les preuves d'acceptation des clients. Ces ressources devraient être stockées et tenues à jour de manière à faciliter la maintenance continue du système de la CGD.

Niveau de priorité : Moyen

3.2.2 Planification de la conversion des données

La documentation consacrée à la planification des activités de conversion des données n'était pas suffisamment détaillée et omettait certains éléments importants et nécessaires.

L'équipe d'audit s'attendait à ce qu'un plan de conversion des données soit en place pour s'assurer d'identifier et d'aborder tous les risques et les activités critiques. À son tour, un tel plan ferait en sorte que la conversion des données à partir des systèmes existants vers le nouveau système de la CGD réponde vraisemblablement aux normes d'intégrité des données et qu'on pourrait s'y fier lors de la production des rapports et de la prise de décisions.

Les documents du plan de conversion des données étaient dépourvus d'éléments essentiels qui auraient dû s'y trouver en vertu d'un plan de qualité ou une norme organisationnelle. Les documents actuels permettaient d'identifier les données critiques, et les détails sur les éléments de données à migrer y sont présentés. Les exigences relatives aux essais fonctionnels et techniques y étaient également énoncées. Cependant, la documentation ne décrivait pas convenablement le processus de conversion prévu.

En particulier :

Aucune évaluation des risques du projet en rapport avec l'essai de conversion des données n'a été préparée;
Les critères de réussite de chaque phase d'essai de conversion des données n'étaient pas clairement formulés;
Aucune mesure corrective n'avait été définie advenant le non-respect des critères de réussite;
Il n'existait aucun signe de plan de secours ou de reprise.

Les entrevues ont révélé que les utilisateurs finaux du SGD étaient consultés fréquemment au cours du processus de conversion. Les représentants de la DGIT-SSM et les utilisateurs finaux du SGD faisant partie de l'équipe du projet ont déclaré que la conversion des données ne présentait aucun problème.

L'équipe d'audit n'a pu valider l'intégrité des données au cours du processus de conversion en raison des limites que présentait la documentation détaillée sur les plans de la planification et de l'essai. Cependant, les facteurs suivants ont permis d'atténuer les risques de problèmes en ce qui concerne l'intégrité des données :

Les utilisateurs finaux du SGD ont participé à la phase de planification, sans compter qu'ils ont été consultés à maintes reprises au cours du processus de conversion.
Une approche axée sur la collaboration a été employée afin de mobiliser la DGIT-SSM et les utilisateurs finaux du SGD. Ces personnes, incluant les membres de l'équipe de conversion, possédaient des connaissances et des compétences poussées au sujet des activités et des processus opérationnels.
Les explications fournies par la DGIT-SSM et le SGD en ce qui concerne les processus de traitement des activités de conversion des données étaient suffisamment détaillées pour convaincre l'équipe d'audit du très faible risque d'erreur dans les données. Ces explications comprenaient une description des mesures de traitement et de contrôle des erreurs mises en place afin d'empêcher le transfert de données erronées dans le système de la CGD.
Le premier cycle de production du Budget principal des dépenses et du Budget supplémentaire des dépenses A avait fait l'objet d'un processus détaillé de rapprochement des renseignements sur le solde d'ouverture réalisé par les utilisateurs finaux du SGD pour s'assurer que celui-ci était identique aux renseignements déjà publiés. Ce processus est demeuré conforme aux processus de rapprochement exécutés régulièrement lors de la publication de tous les documents budgétaires issus des systèmes antérieurs.
Suivant la production du Budget principal des dépenses de 2013-2014, cinq Budgets supplémentaires des dépenses ont été publiés en plus du Budget principal des dépenses de 2014-2015. Chacune de ces publications a été soumise à l'examen minutieux des ministères et des organismes fédéraux pour s'assurer de la précision de leurs renseignements. Le SGD a précisé qu'il n'avait reçu aucune information faisant état d'erreurs dans les publications.

Les utilisateurs finaux du SGD se sont dits satisfaits de l'intégralité et de la précision des données transférées à partir du SIGD existant.

L'équipe d'audit considère qu'aucune recommandation ne s'impose en raison des facteurs atténuants qui sont évoqués ci-dessus et de la confiance des utilisateurs finaux du SGD à l'égard du processus de rapprochement visant à atténuer le risque d'erreurs de conversion des données.

3.3 Conclusion générale

L'équipe d'audit en est venue à la conclusion, avec un degré d'assurance raisonnable, que la conception du système de la CGD est adéquate et conforme aux exigences opérationnelles définies. Le système a également fait l'objet d'une mise en œuvre efficace.

Le SGD et la DGIT-SSM considèrent qu'il s'agit là d'un projet réussi sur le plan de la fonctionnalité, de la réduction des coûts et de la mise en œuvre.

Même si, dans l'ensemble, les résultats de l'audit étaient positifs, certaines faiblesses ont été constatées au chapitre de la documentation. En particulier :

Les fichiers de projet du système étaient répartis entre plusieurs serveurs, sur GCDocs, ainsi que dans les fichiers de courriel de plusieurs personnes. Certains documents qui faisaient partie des produits livrables importants n'ont pas été conservés.
La documentation consacrée à la planification des activités de conversion des données n'était pas suffisamment détaillée et omettait certains éléments importants et nécessaires. Cette limite que présentait la documentation empêchait l'équipe d'audit de garantir le caractère adéquat et l'efficacité des activités de conversion des données. Cependant, après avoir tenu compte des nombreux facteurs d'atténuation en place, l'équipe d'audit n'était aucunement préoccupée par la précision des données converties.

Deux recommandations ont été formulées en vue d'atténuer les risques du système actuel et d'appuyer les efforts de développement du système.

L'équipe d'audit a également identifié des domaines de pratiques exemplaires dont elle a informé la direction.

Annexe A : Réponse de la direction

Recommandation 1

Il est recommandé que le secrétaire adjoint du SSM, en collaboration avec le secrétaire adjoint du SGD, élabore les caractéristiques fonctionnelles pour chaque fonction du processus de rapport et de recherche nécessaire^{Note de bas de page 6} dans le système de la CGD et classe les caractéristiques fonctionnelles approuvées à l'aide de la maquette de rapport et des caractéristiques techniques contenues dans les fichiers de documentation du système intégré.

Niveau de priorité : Moyen

Réponse de la direction

Nous sommes d'accord avec la recommandation. Actuellement, les deux secteurs font appel à l'application JIRA, laquelle comporte des liens menant aux caractéristiques fonctionnelles, aux maquettes et aux caractéristiques techniques dans le but de procéder à une gestion précise et uniforme de la configuration du système.

Mesure de gestion	Échéance	Responsable
La Direction de la gestion de l'information et de la technologie (DGIT) et le SGD compléteront les caractéristiques fonctionnelles correspondant à la version actuelle du système.	30 septembre 2015	DGIT, Directeur des applications

Recommandation 2

Niveau de priorité : Moyen

Réponse de la direction

Nous sommes d'accord avec la recommandation.

Mesure de gestion	Échéance	Responsable
Tous les documents opérationnels pertinents du système de la CGD seront réunis et conservés dans le dossier GCDocs du SGD.	31 décembre 2014	DGIT, Directeur des applications

Annexe B : Critères d'audit

En vertu des résultats de la phase de planification, il a été déterminé que l'audit allait porter sur deux champs d'enquête :

Champ d'enquête 1 : La conception et la mise en œuvre du système de la CGD sont conformes aux exigences opérationnelles définies et répondent aux besoins des utilisateurs.

Critères d'audit^{Note de bas de page 7}

1.1 Les principaux produits livrables du projet de la CGD avaient été approuvés par les représentants opérationnels et de TI concernés.
1.2 Le projet est resté axé sur l'utilisateur opérationnel en déterminant les exigences opérationnelles et en alignant ces dernières avec les besoins et les commentaires des utilisateurs finaux.
1.3 Les intervenants concernés ont approuvé un document officiel consacré aux exigences opérationnelles. Ce document a fait l'objet d'une surveillance et de rapports tout au long du projet.
1.4 Les exigences fonctionnelles et techniques couvrant l'ensemble des besoins opérationnels ont été recensées, classées selon leur priorité et acceptées par les intervenants concernés.
1.5 Les exigences opérationnelles ont été converties en caractéristiques de conception de haut niveau aux fins du développement de logiciels pour être ensuite approuvées et signées par la direction.
1.6 Les exigences détaillées relatives aux applications des logiciels de conception et des logiciels techniques ont été préparées, alors que les critères d'acceptation des exigences ont été définis avant d'être approuvés par les intervenants concernés.
1.7 Le logiciel d'application obtenu a été configuré et mis en œuvre afin d'atteindre les objectifs opérationnels.
1.8 L'état des différentes exigences au cours des étapes d'élaboration et de mise en œuvre a fait l'objet d'un suivi, les activités en cours ont été communiquées de manière appropriée, et les changements apportés aux exigences ont été approuvés au moyen d'un processus établi de gestion des changements.
1.9 La CGD est configurée de manière à produire des rapports complets et précis.
1.10 Les utilisateurs finaux ont suivi une formation suffisante afin de pouvoir utiliser la CGD pour atteindre les objectifs opérationnels.^{Note de bas de page 8}

Champ d'enquête 2 : L'intégrité des données a résisté aux activités de conversion du Système d'information sur la gestion des dépenses au système de la CGD.

Critères d'audit

2.1 Un plan adéquat de conversion des données a été établi et respecté.
2.2 Un niveau adéquat d'essai de conversion des données (et d'activités connexes) a été réalisé, et les intervenants concernés ont approuvé les résultats.
2.3 Les propriétaires des processus opérationnels et les intervenants de TI ont évalué de manière efficace le résultat du processus de conversion des données pour s'assurer que l'intégrité des données avait été préservée et que l'essai s'était déroulé de la façon prévue dans le plan d'essai.

Notes de bas de page

Note de bas de page 1

Les mandats spéciaux du gouverneur général sont obtenus lors de la dissolution du Parlement en raison d'une élection. Les mandats permettent d'établir et de maintenir les contrôles des affectations par rapport aux dépenses approuvées.

Retour à la référence de note de bas de page 1

Note de bas de page 2

Les audits antérieurs avaient été réalisés par le Groupe de vérification interne du Secrétariat (Vérification de la gestion des projets, 2003; Vérification de l'élaboration du Système d'information sur la gestion des dépenses [SIGD], 2005), ainsi que par le Bureau du vérificateur général du Canada (Les grands projets de technologies de l'information, 2006 et 2011).

Retour à la référence de note de bas de page 2

Note de bas de page 3

Une revue générale est un type d'essai d'audit qu'on réalise afin de suivre une transaction ou une cause depuis sa création jusqu'à la conclusion définitive afin de pouvoir mesurer la fiabilité des contrôles internes.

Retour à la référence de note de bas de page 3

Note de bas de page 4

L'expression « entrée en service » fait référence à la date à laquelle un système de TI est intégré à l'environnement de production alors que les utilisateurs finaux commencent à l'utiliser.

Retour à la référence de note de bas de page 4

Note de bas de page 5

Le SGD devrait déterminer les rapports et les recherches nécessaires, soit ceux qu'il utilise dans l'actuel système de la CGD. On ne procéderait pas à l'élaboration de caractéristiques fonctionnelles pour les rapports et les recherches qu'on a élaborés, mais qu'on a cessé d'utiliser ou dont le SGD n'a plus besoin.

Retour à la référence de note de bas de page 5

Note de bas de page 6

Le SGD devrait déterminer les rapports et les recherches nécessaires, soit ceux qu'il utilise dans l'actuel système de la CGD. Il ne serait pas nécessaire d'élaborer des caractéristiques fonctionnelles pour les rapports et les recherches qui ont été élaborés, mais qui ne sont plus utilisés ou dont le SGD n'a plus besoin.

Retour à la référence de note de bas de page 6

Note de bas de page 7

À l'origine, les critères d'audit comprenaient l'examen de la conversion des renseignements archivés à partir des autres systèmes existants (XPONENT) afin d'aider ainsi à répondre aux besoins futurs en matière d'information. Après que l'équipe d'audit a confirmé qu'on ne devrait procéder à aucune conversion des données ou à l'élaboration d'aucun rapport afin de reproduire les rapports archivés, ce critère d'évaluation n'a fait l'objet d'aucune évaluation au cours de la phase d'examen. Le SGD a identifié les rapports pertinents nécessaires en provenance des systèmes actuels, de sorte qu'on a numérisé ces rapports pour ensuite les intégrer à un dépôt afin de pouvoir les utiliser en fonction des besoins.

Retour à la référence de note de bas de page 7

Note de bas de page 8

La formation des utilisateurs a été identifiée comme un critère d'audit distinct après l'émission de la note de service consacrée à l'étude préliminaire. Cette formation était identifiée à l'origine dans le cadre du critère d'audit 1.7. Cela a facilité le processus d'examen.

Retour à la référence de note de bas de page 8

© Sa Majesté la Reine du chef du Canada, représentée par le président du Conseil du Trésor, [2015],
[ISBN : 978-0-660-25677-1]

Détails de la page

Date de modification :: 2015-01-27