Audit de la gouvernance de la gestion de l’information et technologie de l’information

L’Audit de la gouvernance de la gestion de l’information et de la technologie de l’information (GI-TI) a été réalisé dans le cadre du Plan d’audit axé sur les risques (PAAR) 2018-2020 du Service correctionnel du Canada (SCC). Le présent audit est lié à la priorité organisationnelle du SCC visant des « pratiques de gestion efficaces et efficientes qui reflètent un leadership axé sur les valeurs » et au risque organisationnel selon lequel le SCC pourrait ne pas « être en mesure de s’adapter au profil complexe et diversifié de la population de délinquants ».

La gouvernance de la GI-TI fait partie intégrante de la gouvernance de l’organisation et elle comprend des structures et des processus organisationnels et d’exercice du leadership qui font en sorte que la fonction de GI-TI de l’organisation appuie et améliore les stratégies et les objectifs de l’organisation^{Note de bas de page 2}. L’objectif principal d’un solide cadre de gouvernance de la GI-TI est de veiller à ce que les investissements dans la GI-TI permettent aux projets de produire une valeur commerciale et d’atténuer les risques associés à la GI-TI, tels que le mauvais alignement de la GI-TI et des priorités opérationnelles.

La gouvernance de la GI-TI devrait être considérée comme la façon dont la GI-TI apporte une valeur ajoutée à la stratégie globale de gouvernance de l’organisation, et non comme une discipline à part entière^{Note de bas de page 3}. L’adoption d’une telle approche fait en sorte que tous les intervenants des programmes, des services et de la GI-TI sont tenus de participer au processus de prise de décisions. Cela favorise l’acceptation partagée de la responsabilité relative aux systèmes essentiels qui soutiennent les activités, en plus de permettre de s’assurer que les décisions concernant la GI-TI sont prises de façon à concrétiser efficacement le mandat et les priorités de l’organisation. Comme la gouvernance de la GI-TI fait partie intégrante de la gouvernance organisationnelle globale, elle devrait être considérée comme une responsabilité partagée entre la direction de l’organisation et la fonction de GI-TI.

Le SCC a retenu les services professionnels du cabinet Samson en vue de la réalisation de l’audit, de janvier à août 2019.

Bien qu’aucune loi ne touche directement la gouvernance de la GI-TI au SCC, les lois suivantes influent sur la prestation des services de GI-TI au sein du gouvernement fédéral : la Loi sur la gestion des finances publiques, la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels.

Les politiques suivantes guident la gouvernance de la GI-TI dans le gouvernement fédéral du Canada : Politique sur la gestion de l’information du Secrétariat du Conseil du Trésor (SCT); Politique sur la gestion des technologies de l’information du SCT; Politique sur la planification et la gestion des investissements du SCT; Directive sur la gestion des projets axés sur la TI.

Il convient de noter que le Bureau du dirigeant principal de l’information (DDPI) du SCT met actuellement la dernière main à une initiative de renouvellement des politiques dans le cadre de laquelle la Politique sur la gestion des technologies de l’information, la Politique sur la gestion de l’information et la Politique sur les services ont été fusionnées en vue de créer l’ébauche de la nouvelle Politique sur les services et le numérique, qui jette les bases de la transformation numérique du gouvernement. La Politique sur la sécurité du gouvernement, qui porte entre autres sur la gestion de la sécurité de la TI, a aussi été renouvelée récemment.

Les directives, stratégies et procédures pertinentes du SCC comprennent notamment le plan d’activités organisationnel, le profil de risque de l’organisation, la Stratégie de données, la Directive de la commissaire sur la sécurité en matière de technologie de l’information, le plan stratégique des Services de gestion de l’information (SGI) et d’autres directives liées à la GI-TI.

Le SCC dépend de plus en plus des services de GI-TI pour soutenir et améliorer la prestation de ses programmes, interventions et services, dont le but premier est d’aider les délinquants à devenir des citoyens respectueux des lois et des membres actifs de la société.

Par exemple, dans son Rapport sur les résultats ministériels de 2017-2018, le SCC définit six priorités organisationnelles, notamment :

• La gestion en toute sécurité des délinquants admissibles durant leur transition de l’établissement à la collectivité et lorsqu’ils sont sous surveillance.
• La prestation d’interventions efficaces et en temps opportun pour répondre aux besoins en santé mentale des délinquants.
• Des pratiques de gestion efficaces et efficientes qui reflètent un leadership axé sur les valeurs dans un environnement en évolution.

Les SGI jouent un rôle crucial en fournissant du soutien en matière de technologie et d’information à l’appui de la totalité des priorités organisationnelles, y compris celles qui sont énoncées ci-dessus, soutien qui prend la forme d’information essentielle requise aux programmes pour garantir la concrétisation de ces priorités. Les SGI assurent en outre la tenue à jour et l’amélioration des outils de gestion de l’information et de technologie de l’information qui permettent de rationaliser et de moderniser la façon dont les ressources du SCC s’acquittent de leurs tâches quotidiennes.

Le rayonnement des SGI est vaste dans l’ensemble de l’organisation. Ils soutiennent en effet 18 000 employés du SCC et 500 employés de la Commission des libérations conditionnelles du Canada (CLCC), dont 80 % travaillent dans des unités opérationnelles sur le terrain. Les SGI assurent le soutien technique de plus de 23 000 postes de travail informatiques dont environ 60 % sont utilisés pour soutenir les délinquants dans le cadre des efforts de formation et de réhabilitation. Plus de 80 % du mandat de l’organisation est axé sur les activités de fonctionnement, c’est-à-dire les dépenses quotidiennes pour maintenir le fonctionnement de l’infrastructure de la TI. Les SGI soutiennent donc la structure de TI qui permet au SCC de mener ses activités. En 2017-2018, les dépenses d’exploitation liées à la GI-TI se sont chiffrées à 73 millions de dollars pour l’ensemble du SCC. De cette somme, 68 millions de dollars ont été dépensés par les SGI. Quant aux dépenses d’immobilisation visant la GI-TI, elles ont totalisé quelque 18 millions de dollars supplémentaires. En janvier 2019, l’effectif des SGI comptait 626 personnes, dont 49 % travaillent dans les régions.

Les SGI soutiennent la mise en œuvre et la gestion d’une multitude d’applications et de services au SCC, depuis l’infrastructure de données et de réseau (pour le compte de Services partagés Canada (SPC)), jusqu’à la gestion des cas et l’objectif plus général du Système de gestion des délinquants (SGD), un système de gestion des opérations correctionnelles quotidiennes qui est essentiel à la mission fondamentale du Service. Cela comprend des outils pour permettre aux délinquants d’avoir accès à des médecins et aux membres de leur famille, ainsi que des capacités de point de vente pour soutenir les ventes dans les cantines, sans oublier un vaste réseau d’échange de renseignements regroupant des douzaines d’organisations du secteur de la sécurité publique et de partenaires du système de justice pénale.

Du point de vue de la GI, le SCC se concentre sur l’élaboration d’un solide programme de gestion intégrée de l’information pour gérer les ressources d’information qui viendront appuyer les investissements à l’égard des données et des analyses en vue d’améliorer les résultats opérationnels.

Le SCC est dirigé par une commissaire qui est chargée de la gestion de ses activités et de ses opérations. Cette commissaire est appuyée par un Comité de direction, composé des cadres supérieurs de l’ensemble du SCC. Située à Ottawa, l’administration centrale du SCC est chargée de l’élaboration des politiques de l’organisme, tandis que les cinq administrations régionales gèrent la mise en œuvre de toutes les politiques et initiatives aux échelons régionaux et opérationnels. Les secteurs de l’administration centrale sont responsables de la surveillance et de la coordination à l’échelle nationale des opérations en établissement et dans la collectivité; des services de santé; des délinquantes; des politiques stratégiques; de la planification; de la mesure du rendement; des services internes; ainsi que de la gestion des installations.

Le Comité de direction du SCC comprend six sous-comités chargés de fournir une analyse stratégique, de donner des conseils horizontaux et de formuler des recommandations à l’intention des responsables de secteurs et au Comité de direction sur des enjeux qui cadrent avec les priorités organisationnelles du SCC. Chacun de ces six sous-comités doit cerner les éléments clés touchant son thème et analyser les tendances, les défis, les lacunes et les pratiques exemplaires.

Un examen du cadre de gouvernance de la GI-TI existant a été effectué en 2016. À l’époque, la surveillance des projets de GI-TI était assurée par le Comité consultatif sur la gestion de l’information et des technologies (CCGIT). De nature principalement informationnelle, ce comité présentait des comptes rendus des projets de GI-TI sans toutefois prendre de décisions, et ses principaux membres affichaient un faible taux de participation.

Cet examen a donné lieu à une proposition visant la création d’une nouvelle structure de gouvernance. Celle-ci prévoyait la mise sur pied d’un nouveau comité de transformation de la GI-TI (CTGI-TI) formé de membres à l’échelon des sous-ministres adjoints et prévoyant une surveillance stratégique, ainsi que l’établissement de nouveaux comités de gouvernance au niveau des directeurs généraux et des gestionnaires chargés de prendre des décisions aux points de contrôle afin d’influer plus fortement sur les projets de GI-TI qui sont entrepris et menés jusqu’au terme de leur cycle de vie. La structure des comités est décrite ci-dessous.

La gouvernance de la GI-TI du SCC est principalement assurée par le CTGI-TI, un sous-comité du Comité de direction qui donne des conseils stratégiques et assure la gouvernance relativement à la GI-TI. Le Comité recommande des mesures à approuver, les classe par ordre de priorité et oriente les initiatives de GI-TI pour s’assurer de répondre aux attentes du SCC concernant les solutions de GI-TI, d’atténuer les risques en la matière, d’obtenir le meilleur rapport qualité-prix pour répondre à la demande et d’avoir une architecture de GI-TI pouvant exécuter la stratégie organisationnelle. Le CTGI-TI est présidé par le sous-commissaire principal et le commissaire adjoint, services corporatifs (dirigeant principal des finances). Le commissaire adjoint, secteur des opérations et programmes correctionnels, remplace le président si l’un des deux présidents ne peut être présent.

Le CTGI-TI est soutenu par un comité des directeurs généraux (CDGGI-TI) présidé par le DPI et chargé de s’acquitter des fonctions de gouvernance relatives aux questions qui lui sont confiées par le CTGI-TI. De plus, le CDGGI-TI offre, à l’échelon des directeurs généraux, une plate-forme qui permet d’examiner, d’analyser et d’approuver des points touchant le domaine de la GI-TI. Il est également chargé de déterminer si un point ou un enjeu du domaine de la GI-TI doit être soumis au palier supérieur, c’est-à-dire au CTGI-TI. Dans le cadre des débats sur les questions d’architecture intégrée, le CDGGI-TI agit à titre de conseil d’examen de l’architecture intégrée pour le SCC.

Le Comité de gestion de la GI-TI (CGGI-TI) est l’organe de gouvernance et de prise de décisions au niveau du DPI et des directeurs des SGI pour le domaine de la GI-TI. Chargé de l’élaboration, de la mise à disposition et du soutien des produits et services de GI-TI fournis par les SGI, ce comité assure également la gouvernance et la prise de décisions relatives aux investissements opérationnels et aux immobilisations qui lui ont été confiés par le CTGI-TI ou le CDGGI-TI.

Ces comités s’appuient quant à eux sur divers sous-comités, tels que le comité d’examen des projets, le Comité chargé de l’architecture, des normes et de la gouvernance des données en matière de GI-TI et le Comité de gestion de la GI-TI.

L’annexe B présente une représentation graphique de la structure des comités de gouvernance.

Dans le PAAR 2018-2020, le présent audit était considéré comme une priorité et un domaine à haut risque pour le SCC. Les motifs à cet égard comprennent notamment ce qui suit :

• La gouvernance étant la pierre d’assise sur laquelle se fondent les décisions relatives à l’affectation des ressources. Elle a des répercussions en aval sur les activités de GI-TI.
• Les risques en la matière comprennent la dépendance à l’égard de SPC, la gouvernance et l’établissement des priorités, l’analyse des opérations d’évaluation initiale et des activités d’exploitation, le financement opérationnel et la mesure du rendement.
• La mise en place, au début de 2018, d’un nouveau comité de gouvernance -CTGI-TI -et d’un processus d’établissement de points de contrôle pour les projets.
• L’incidence de la réinitialisation continue de l’ensemble des politiques de la DDPI du SCT, ainsi que les possibilités, pour le SCC, de gagner en maturité dans les nouveaux domaines mis en lumière par la DDPI, soit le numérique et l’infonuagique.

Qui plus est, à l’automne 2018, le Secteur de la vérification interne a terminé une évaluation des risques touchant la GI-TI pour déterminer quels étaient les principaux risques qui pesaient sur l’organisation à ce chapitre. Les résultats de cette évaluation ont permis de déterminer que plusieurs audits devraient être réalisés pour que le SCC atteigne ses objectifs. L’un de ces audits, auquel une priorité élevée a été accordée, porte justement sur la gouvernance de la GI-TI.

Le présent audit avait pour objectif d’évaluer le bien-fondé et l’efficacité des processus de gouvernance de la GI-TI qui ont été mis en place pour cerner, hiérarchiser, surveiller et mesurer les décisions relatives à l’affectation de ressources en matière de GI-TI et en garantir l’harmonisation avec les priorités organisationnelles, ainsi que de confirmer que ces processus soutiennent efficacement la réalisation du mandat du SCC.

Les critères particuliers figurent à l’annexe A.

La portée de l’audit comprenait un examen des plans stratégiques et opérationnels et des structures de gouvernance de la GI-TI, de la surveillance des projets basés sur la GI-TI, de l’harmonisation avec les plans opérationnels et d’investissement, ainsi que des mécanismes de gouvernance. Plus précisément, cet audit a passé en revue les processus liés à la planification stratégique et opérationnelle et au financement de la GI-TI, la surveillance et le classement par ordre de priorité du portefeuille de projets, la gestion du risque et du rendement, de même que la coordination avec SPC.

L’audit a porté sur les activités pertinentes réalisées du 1^er avril 2018 au 29 mars 2019 et se concentrant principalement sur l’administration centrale, cet audit a toutefois évalué la façon dont les perspectives des régions étaient prises en compte au sein de la structure des comités de gouvernance.

Bien qu’elle soit représentée au sein des divers comités de cette structure de gouvernance, la CLCC a été exclue de la portée du présent audit.

De façon globale, les résultats de l’audit ont démontré que des éléments d’un cadre de gouvernance de la GI‑TI ont été mis en place pour cerner, hiérarchiser et surveiller les investissements et les immobilisations axés sur la GI-TI, ainsi que pour en garantir l’harmonisation avec les priorités organisationnelles.

L’audit a permis de constater que les éléments d’un cadre de gouvernance de la GI-TI adéquat ont été mis en place grâce à la création de comités efficaces, ainsi qu’à l’établissement de rôles et de responsabilités clairement définis, et appuient un processus transparent de prise de décisions axées sur le risque en ce qui a trait aux investissements et aux activités de GI-TI. L’audit a cependant relevé les points ci-dessous.

• Bien qu’une proposition concernant la mise en place d’une nouvelle structure de gouvernance de la GI-TI ait été présentée et analysée en octobre 2017, ce n’est qu’en août 2018 que les discussions sur cette nouvelle structure ont officiellement débutées, avec la nouvelle présentation d’une ébauche de cadre de référence, ce qui a retardé la stabilisation et l’efficacité des nouveaux comités.
• Les mandats du CTGI-TI et du CDGGI-TI mentionnent tous deux que ces comités doivent fournir des orientations et des conseils stratégiques dans le domaine de la GI-TI. Aucune discussion n’a toutefois été menée à propos de la surveillance continue des progrès réalisés par rapport aux objectifs stratégiques prévus au Plan stratégique 2017-2020 des SGI et au plan d’activités de la GI-TI. En l’absence de telles discussions, il est impossible de s’assurer que le SCC utilise les ressources de GI-TI de manière efficiente et que les SGI appuient efficacement la réalisation du mandat du SCC.

L’audit a permis de constater que la planification stratégique de la GI-TI tient compte de l’apport de toutes les parties intéressées, cerne les risques, s’aligne sur la stratégie opérationnelle et le plan d’investissement de l’organisation, en plus de respecter l’orientation de l’organisme central. De plus, la mise en œuvre du plan stratégique fait l’objet d’une surveillance et des processus de mesure du rendement sont mis en place. L’audit a cependant relevé les points ci-dessous.

• Au cours de l’élaboration du Plan stratégique 2017-2020 des SGI, d’importantes interactions ont eu lieu avec le personnel des SGI, dont la rétroaction a également été activement sollicitée. L’analyse ne précise toutefois pas si des démarches ont été entreprises auprès des intervenants de haut niveau du SCC qui œuvrent à l’extérieur des SGI ni comment leurs perspectives ont été intégrées au plan stratégique. Ce dernier se concentre donc principalement sur les SGI plutôt que sur les besoins globaux de toute l’organisation en matière de GI-TI.
• Seules 19 des 28 initiatives prévues au plan stratégique sont assorties de résultats escomptés et de produits livrables définis, et le plan ne propose que des mesures qualitatives du rendement pour les 28 initiatives. Ensuite, bien que les SGI disposent d’un bureau des programmes chargé de veiller à la surveillance continue des progrès, aucun rapport sommaire global n’est préparé pour en rendre compte. En l’absence de mesures de rendement et de rapports généraux sur les progrès, il est difficile d’effectuer le suivi du rendement afin de déterminer si les avantages prévus se concrétisent ou si des mesures correctives s’imposent.

L’audit a permis de constater que la hiérarchisation des projets fondés sur la GI-TI est réalisée conformément aux priorités stratégiques du SCC, permet d’en accroître la valeur opérationnelle, respecte la disponibilité des ressources et tient compte des coûts d’exploitation. L’audit a cependant relevé les points ci-dessous.

• Bien que nous ayons observé des similarités entre les critères d’établissement des priorités que les Services techniques et des installations et les SGI appliquent dans le cadre de l’exercice annuel de planification et de hiérarchisation des immobilisations, le SCC ne dispose pas d’une grille commune selon laquelle il évalue tous les projets nécessitant des immobilisations. En outre, les modèles relatifs aux projets d’immobilisation ne comportant pas de section sur les coûts d’exploitation continus, il est impossible de déterminer les coûts du cycle de vie complet des projets proposés. Finalement, même si la liste hiérarchisée des projets de la GI-TI des SGI devait être prête à la fin de novembre 2018, les discussions à ce sujet étaient toujours en cours en février 2019, au moment où le financement des immobilisations des SGI a été approuvé à 22,5 millions de dollars. Lorsque les SGI ont finalement soumis leur plan d’immobilisations au Comité de direction, en avril 2019, le montant indiqué y était supérieur de 7,2 millions de dollars.

Le tableau suivant expose les critères élaborés afin de respecter l’objectif et la portée de l’audit.

L'image ci-dessous décrit la structure des comités responsables de la GI-TI. Au sommet, le Comité de direction, le Comité de direction est présidé par la Commissaire et les membres du comité sont tous les cadres supérieurs du SCC. Sous le Comité de direction, il y a le CTGI-TI, le comité de transformation de la GI / TI coprésidé par le SCP et DPF, et les membres du comité sont un sous-ensemble des membres du Comité de direction. Sous le CTGI-TI, il y a le CDGI-TI, le Comité des directeurs généraux sur la GI / TI présidé par le DPI, et les membres du comité sont les Directeurs généraux de tout le SCC. Finalement, sous la CDGI-TI, il y a le CGGI-TI, le Comité de gestion de la GI / TI présidé par le DPI, et les membres du comité sont la direction des SGI.