Cadre de contrôle de gestion du SPGII

Rapport final - Juin 2009

Table des matières

1. Sommaire

Le Système partagé de gestion de l'information sur les infrastructures (SPGII) est un système bilingue et sécuritaire de gestion de programme, sur le Web, qui permet aux utilisateurs d'enregistrer des projets en ligne, de suivre l'état des projets, et de consulter de l'information sur les avantages et les paiements. Le SPGII est un outil de gestion utilisé par Infrastructure Canada et ses partenaires fédéraux, provinciaux et territoriaux pour exercer une surveillance sur l'ensemble des programmes d'infrastructure en vigueur. Il a été conçu pour fournir des données pour l'enregistrement des projets, et pour suivre l'état des projets, les échéances, les avantages, les paiements, les analyses de la diligence raisonnable et la documentation connexe pendant toute la durée des projets. Il permet également de produire, grâce aux technologies Web, des rapports sur tous les aspects de l'évolution du projet durant son cycle de vie à l'intention d'Infrastructure Canada, des parties prenantes et du grand public.

Les objectifs de la vérification étaient de fournir l'assurance que :

  • des procédures ou des contrôles étaient en place pour atténuer les risques des secteurs du cadre de contrôle de gestion du SPGII qui posent des risques élevés;
  • les recommandations du rapport de vérification interne de 2006 avaient été mises en œuvre.

La vérification a porté sur le cadre de contrôle de gestion qui régit les bases de données opérationnelles, des entrepôts de données d'entreprise et de renseignements d'entreprise du SPGII.

La phase d'examen de la vérification a commencé en février 2009 et s'est terminée au milieu d'avril 2009. L'examen a englobé les activités de gestion pertinentes depuis la vérification précédente de 2006. Les vérificateurs ont utilisé diverses techniques, notamment des entrevues, l'examen de la documentation servant à la gestion, et ont effectué des tests de cheminement des procédures de contrôle avec le personnel responsable de leur exécution.

Nous avons trouvé des preuves de l'existence de bons contrôles de l'intégrité financière et de bons contrôles de la gestion de l'approvisionnement pour ce qui est de l'administration des travaux donnés à contrat par INFC et son fournisseur, CGI. Nous avons constaté également que les contrôles étaient adéquats dans les secteurs suivants :

  • les processus d'information et de communication;
  • la planification de la formation et du renforcement des capacités;
  • la gestion du rendement opérationnel;
  • la surveillance du personnel exercée par la direction.

Cependant, nous avons constaté l'absence de contrôles pour surveiller et évaluer le rendement à l'égard des besoins. Les secteurs suivants étaient dotés de contrôles, mais ceux-ci étaient faibles :

  • les structures de gouvernance et de reddition de comptes;
  • la planification stratégique et opérationnelle;
  • les processus de diffusion et de test des logiciels;
  • le contrôle de la qualité des données;
  • les contrôles informatiques liés à l'architecture de l'information;
  • la planification de la continuité des activités.

Nous avons constaté que quatre des neuf recommandations du rapport de vérification interne de 2006 sur le SPGII avaient entièrement été mises en œuvre. Les recommandations du présent rapport remplacent les recommandations de 2006 qui n'ont pas été mises en œuvre.

Copie originale signée par

La dirigeante principale de la vérification,
Bureau de l'infrastructure du Canada

Date

2. Contexte

Le Système partagé de gestion de l'information sur les infrastructures (SPGII) a été établi en 2001, peu après l'annonce du Programme Infrastructures Canada (PIC), pour aider les organismes de mise en œuvre et Infrastructure Canada à s'acquitter de leurs responsabilités de gestion du PIC et des programmes ultérieurs. Le SPGII est un système d'appui technologique qui aide la direction et les parties prenantes (les municipalités et les agences d'exécution fédérales, provinciales et territoriales) à gérer des milliers de projets qui seront ultérieurement financés au moyen du Programme.

L'administration des divers programmes est organisée en trois secteurs de programme distincts :

  • les programmes dirigés (les grands programmes d'infrastructure lancés par les ministres fédéraux et provinciaux);
  • les programmes reposant sur des demandes (programmes communautaires);
  • les autres programmes de paiements de transfert (le financement est remis directement aux bénéficiaires avant que les dépenses prévues n'aient été effectuées, p. ex. le Fonds de la taxe sur l'essence).

Toutes les demandes sont traitées sur un serveur sur le Web qui fait appel à une seule base de données Oracle. Le serveur contient toutes les applications du SPGII qui utilisent divers schémas (appelés bases de données opérationnelles du SPGII). Le sous-système de rapport du SPGII utilise un entrepôt de données d'entreprise (EDE) sur Oracle qui est mis à jour toutes les nuits à partir des bases de données opérationnelles du SPGII. Récemment, le sous-système de rapport a été modifié pour pouvoir utiliser la suite d'outils d'information de gestion Cognos 8.

La Direction de la gestion de l'information/technologie de l'information (GI-TI) d'Infrastructure Canada a mis en œuvre les principaux processus de gestion à l'appui du Cadre de responsabilisation de gestion. Ces processus comprennent un processus de gestion des risques, les principaux processus de gestion des ressources humaines et les processus détaillés de gestion des contrats. Un nouveau poste de responsable de la sécurité de la technologie de l'information au sein de la Direction vise à assurer le respect de la norme de Gestion de la sécurité des technologies de l'information. Le titulaire de ce poste doit veiller à ce que toutes les applications et les solutions techniques du Ministère soient conçues selon ces normes.

En mai 2005, le Comité de vérification et d'évaluation du Ministère (CVEM) d'INFC a approuvé la réalisation d'une vérification d'assurance du cadre de contrôle de gestion du SPGII dans le contexte du plan de vérification de l'exercice. La vérification a été réalisée en 2005-2006 à partir du cadre de contrôle de gestion élaboré par l'expert-conseil (Interis) selon le modèle des critères de contrôle (CoCo) de l'Institut Canadien des Comptables Agréés. Le rapport de vérification final de mai 2006 contenait 16 recommandations au total; neuf de ces recommandations visaient la gestion du SPGII et des améliorations qui y sont apportées.

En juin 2008, Deloitte s'est vu confier le contrat de fournir une évaluation des risques de la fonction de GI-TI du SPGII. Les évaluateurs ont jugé que la gouvernance, le financement et l'affectation des ressources de la GI-TI, la capacité en ressources humaines, les processus de gestion des projets et, particulièrement, la qualité des données, présentaient des risques élevés. Deloitte a recommandé une vérification du SPGII.

En conséquence, le Comité de vérification du Ministère a approuvé la vérification du SPGII dans son plan de vérification axée sur les risques de 2008-2009. La vérification visait à fournir l'assurance que les risques élevés du cadre de contrôle de gestion étaient atténués et à effectuer un suivi des recommandations de la vérification interne de 2005-2006.

3. Objectifs de la Vérification

Les objectifs de la vérification étaient de fournir l'assurance que :

  • des procédures ou des contrôles étaient en place pour atténuer les risques des secteurs du cadre de contrôle de gestion du SPGII qui posent des risques élevés;
  • les recommandations du rapport de vérification interne de 2006 avaient été mises en œuvre.

4. Étendue de la Vérification

La vérification a porté sur le cadre de contrôle de gestion qui régit les bases de données opérationnelles, des entrepôts de données d'entreprise et de renseignements d'entreprise. L'examen a compris une évaluation de l'atténuation des risques dans dix secteurs du cadre de contrôle de gestion qui avaient été jugés à risque élevé lors de la phase de planification de la vérification. Ces secteurs ont été recensés selon les critères de vérification suivants :

  1. Des structures de gouvernance et de reddition de comptes sont en place pour la gestion du SPGII.
  2. Des processus de planification, d'établissement des priorités et d'affectation des ressources sont en place.
  3. Les processus d'information et de communication, formels et informels, sont adéquats.
  4. Les processus et les méthodes en matière de formation et de renforcement des capacités permettent aux employés d'exécuter leurs tâches, d'atteindre leurs objectifs et de se doter des capacités nécessaires pour répondre aux exigences futures du SPGII.
  5. Les plans de continuité des activités qui reflètent le niveau de risque du SPGII sont complets et à jour et ils ont été testés et communiqués adéquatement aux principales parties prenantes et aux personnes directement touchées.
  6. Des processus de contrôle opérationnel et de gestion de projet sont en place.
  7. Des contrôles de l'intégrité financière et des processus de gestion de l'approvisionnement sont en place pour le SPGII.
  8. Des contrôles relatifs à la technologie de l'information sont en place afin d'assurer l'intégrité et la sécurité de la technologie de l'information, ainsi que l'intégralité, l'exactitude et la disponibilité des données.
  9. Des processus, des méthodes et des outils relatifs à la gestion du rendement et à l'amélioration continue sont en place.
  10. Surveillance de la gestion : Les gestionnaires sont engagés et disponibles. Ils surveillent adéquatement le rendement des employés et leur donnent des directives et un soutien selon la complexité des activités, le niveau de pouvoir délégué aux employés et le niveau de compétences de ceux-ci.

La vérification a aussi porté sur les mesures prises par la direction pour donner suite à 9 des 16 recommandations du rapport de vérification interne de 2006. Les 7 des 16 recommandations qui portaient sur le « Renouvellement du SPGII » ont été exclues du suivi, car la direction n'a pas préparé de plan d'action sur ce volet puisqu'il a été abandonné peu de temps après la vérification interne de 2006.

5. Stratégie de Vérification

La vérification a été effectuée conformément aux Normes de vérification interne du gouvernement du Canada.

La phase d'examen de la vérification a été entreprise en février 2009 et a été achevée au milieu d'avril 2009. L'examen a englobé les activités de gestion pertinentes depuis la vérification précédente de 2006. Les vérificateurs ont utilisé diverses techniques, notamment des entrevues, l'examen de la documentation servant à la gestion, et ont effectué des tests de cheminement des procédures de contrôle avec le personnel responsable de leur exécution.

Les critères utilisés pour évaluer le cadre de contrôle de gestion du SPGII ont été discutés avec le dirigeant principal de l'information qui les a acceptés avant l'exécution des procédés de vérification détaillés.

Les constatations que nous présentons dans le présent rapport découlent de nos évaluations par rapport aux dix critères ci-dessus. Elles ont été regroupées en une série de recommandations sur la gouvernance et les risques de contrôle pour six critères. Nous n'avons pas présenté de recommandations pour les critères 3, 4, 7 et 10, car nous avons estimé que le risque résiduel était faible dans ces secteurs.

Notre évaluation de la mise en œuvre des recommandations présentées dans le rapport de vérification du SPGII de 2006 se trouve à l'annexe A. Notre évaluation de la mise en œuvre de chacune des recommandations repose sur nos constatations pour chacun des critères de vérification.

Aux fins du rapport, nous avons noté les risques résiduels associés à nos constatations et aux recommandations de la vérification précédente de manière subjective selon la connaissance du cadre de contrôle de gestion du SPGII que nous avons acquise au cours de la vérification. Ces critères subjectifs sont les suivants :

Risque élevé – Les menaces ou les possibilités ont une incidence très importante sur les objectifs d'INFC, leur probabilité est grande à court terme et il n'existe aucune mesure d'atténuation ou, s'il en existe, leur effet est incertain.

Risque modéré – Les menaces ou les possibilités ont une incidence importante sur les objectifs d'INFC, leur probabilité est grande à plus long terme et des mesures d'atténuation fiables sont prévues ou prises.

Risque faible – Les menaces ou les possibilités ne comportent pas de risque résiduel significatif pour les objectifs d'INFC.

6. Constatations de la Vérification

6.1 Structures de gouvernance et de reddition de comptes

Observation
Risque modéré

Des processus, des activités et des structures établissant une gouvernance, des objectifs, des rôles et des responsabilités, et des modalités de travail et de rapport clairs étaient en place. Cependant, la participation des utilisateurs internes a diminué au fil du temps et les intéressés n'ont reçu que peu d'orientation stratégique, ce qui a entraîné une diminution de la qualité de la gouvernance et de la reddition de comptes.

Le Comité directeur du SPGII a été établi initialement pour appuyer la prise de décision opérationnelle et stratégique, l'efficience et l'efficacité des activités et l'atténuation des risques. Récemment, le Comité directeur a plutôt servi de tribune de communication avec les partenaires d'exécution fédéraux et les unités utilisatrices internes.

Les obligations redditionnelles des parties prenantes, y compris des partenaires, n'ont pas été clairement définies et communiquées. Les partenaires, les régions, les provinces et les territoires n'avaient pas une compréhension claire de leurs rôles et de leurs responsabilités en ce qui a trait au SPGII. En théorie, toutes les parties prenantes (internes et externes) étaient représentées au sein de l'organe de gouvernance, mais dans les faits, leur participation et leur engagement étaient insuffisants pour assurer la gouvernance. Les secteurs de gestion des programmes ne participaient pas toujours à l'établissement des exigences et des données du SPGII ni n'en assumaient suffisamment les responsabilités, même si le système devait être la principale application pour la gestion des activités des programmes d'INFC. Certes, le rôle du Comité directeur était décrit dans le mandat du Comité, mais les rôles et les responsabilités des diverses parties prenantes du SPGII n'étaient pas clairs. Il faut indiquer précisément aux utilisateurs

  1. qui est responsable de l'établissement des exigences fonctionnelles des systèmes informatiques, et
  2. qui est le « propriétaire » des systèmes informatiques qui appuient l'exécution des programmes.

INFC court le risque que le SPGII ne réponde pas à ses besoins, particulièrement en matière de rapports. Il court le risque que d'autres « outils » (p. ex. des feuilles de calcul Excel) soient utilisés au lieu du SPGII et que l'information communiquée dans les rapports ne corresponde pas à celle du SPGII. Il risque aussi que d'autres parties prenantes, y compris les partenaires, cessent d'utiliser le SPGII.

Recommandation Plan d'action de la direction

1.1 La Direction de la GI-TI devrait présenter au Comité exécutif une proposition visant à préciser le mandat du Comité directeur du SPGII relativement à sa capacité de prendre des décisions, autant stratégiques que tactiques, et de le structurer de manière à ce qu'il puisse remplir son mandat reconfirmé. Lorsque le Comité exécutif aura approuvé le mandat, la Direction de la GI-TI devrait diriger la mise en œuvre.

1.1 Recommandation acceptée. La Direction de la GI-TI mettra à jour le mandat du Comité directeur du SPGII pour qu'il reflète le rôle élargi qui est confié à ses membres. Il sera soumis à l'approbation du Comité exécutif pour qu'il l'appuie. Il soumettra périodiquement au Comité directeur un rapport sur ses activités.
Gestionnaire responsable :

Agent principal de l'information
Échéance :

30 septembre 2009

6.2 Planification stratégique et opérationnelle

Observation
Risque modéré

Il n'y avait pas de plans stratégiques pour définir les ressources nécessaires à l'atteinte des objectifs du SPGII, tenir compte des résultats des évaluations des risques, assurer la gestion du rendement ou fournir des communications et un appui essentiels à la direction pour l'orientation et la surveillance des activités. De plus, il n'y avait pas de plans stratégiques pour permettre aux employés, à CGI et aux principaux partenaires de bien comprendre les priorités et les limites des ressources.

Les processus de planification stratégique et d'établissement des priorités du SPGII ne permettaient pas d'établir les orientations stratégiques, les plans opérationnels, les objectifs et les priorités. L'affectation des ressources financières et humaines et des autres ressources du SPGII n'était pas liée à la planification stratégique. Pour l'essentiel, elle était fonction des initiatives du nouveau Plan d'action économique et était limitée par la capacité et les ressources disponibles.

INFC est très sensible au contexte politique dans lequel ses activités sont menées. La planification stratégique n'était pas bien exécutée. Plusieurs entrevues nous ont amenés à croire que les utilisateurs au sein d'INFC n'avaient pas le temps de travailler avec la Direction de la GI-TI à l'établissement d'une orientation stratégique pour le SPGII. Comme il n'était pas obligatoire d'utiliser le SPGII, certains secteurs peu intéressés par le SPGII ne l'utilisaient pas.

Même si des plans opérationnels avaient été mis en œuvre, ils ne faisaient pas le lien avec la planification stratégique. Les plans opérationnels attribuaient les ressources disponibles de manière à poursuivre les objectifs tactiques à court terme fixés pour le SPGII et appuyaient les gestionnaires pour ce qui est de la direction et de la surveillance des activités. Les plans opérationnels en place donnaient aux employés, à CGI et aux principaux partenaires une compréhension des priorités à court terme d'INFC et des limites des ressources. Cependant, les partenaires ne savaient pas très bien si INFC avait tenu compte, de manière adéquate, de leurs priorités et de leurs ressources. De plus, rien n'indiquait que les utilisateurs et les autres parties prenantes influençaient la planification opérationnelle.

INFC court le risque que le SPGII ne puisse pas répondre aux besoins des utilisateurs et des parties prenantes externes, et qu'il ne procure pas l'information nécessaire, particulièrement sur le rendement des programmes. Il court aussi le risque que les changements nécessaires pour que le SPGII demeure opérationnel ne soient pas apportés et que le système ne devienne désuet et non viable.

INFC risque aussi que les coûts opérationnels n'augmentent au fur et à mesure que la maintenabilité de l'application diminuera en raison de la complexité de la structure des systèmes et du code de programme, de l'intégration des versions multiples des technologies sous-jacentes et de la détérioration de la documentation.

Recommandation Plan d'action de la direction

2.1 La Direction de la GI-TI devrait, en collaboration avec les parties prenantes internes et externes, préparer un plan stratégique pour le SPGII, correspondant à l'orientation stratégique actuelle d'INFC, et le présenter au Comité exécutif pour qu'il l'approuve.

2.1 Recommandation acceptée. Un document d'orientation stratégique pour le SPGII a été rédigé et discuté avec le Comité directeur du SPGII. La version finale du document sera présentée au Comité exécutif d'ici le 30 septembre 2009. Des travaux sur l'architecture de l'information seront ensuite effectués de même qu'une analyse des moyens à mettre en œuvre pour que le SPGII puisse appuyer efficacement la gestion des programmes (voir la recommandation 5.1). Ces travaux permettront de produire un document stratégique final qui sera soumis à l'approbation du Comité exécutif d'ici décembre 2009.
Gestionnaire responsable :

Agent principal de l'information
Échéance :

31 décembre 2009

6.3 Contrôle opérationnel et gestion de projet

Observation
Risque modéré

Des processus et des moyens de contrôle opérationnels permettaient de garantir que toutes les activités opérationnelles étaient réalisées de manière adéquate et conformément aux directives données et aux normes établies. L'environnement de production a toujours été stable. Cependant, les contrôles de la gestion des versions ont été assouplis récemment, ce qui a fait augmenter le risque de corruption de l'environnement. En raison des délais très serrés, les versions des logiciels n'ont pas toujours été testées comme il se doit. Pour les mêmes raisons, la Direction de la GI-TI a signé des renonciations au processus de diffusion avec CGI afin de pouvoir contourner les conditions du contrat. Elle a signé aussi des renonciations aux accords sur les niveaux de service pour ce qui est des produits qui ont récemment été diffusés dans l'environnement de production.

Les contrôles sur la gestion des projets ont été récemment assouplis relativement à la gestion des exigences et aux tests d'acceptation des utilisateurs, ce qui a fait augmenter le risque que les produits diffusés ne répondent pas aux besoins des utilisateurs. Des entrevues avec le personnel ont indiqué que la mise en correspondance des fonctionnalités développées et des exigences des utilisateurs (traçabilité) n'avait pas bien été effectuée pour la plupart des applications. Les délais de développement étant plus courts, il a fallu diminuer le temps consacré aux tests de régression et à la correction des défauts. On n'a donc pas suivi les pratiques exemplaires en matière de gestion de projet ainsi que les normes opérationnelles établies. De plus, des activités de développement essentielles, tel que les tests d'acceptation des utilisateurs, ont été compromises afin de respecter les échéances.

L'organisation court le risque que l'environnement opérationnel global connaisse des difficultés et des pannes puisque des activités essentielles n'ont pas été réalisées ou ne l'ont pas été comme il se doit.

Recommandation Plan d'action de la direction

3.1 La Direction de la GI-TI devrait revoir ses procédures de gestion des versions et établir un processus obligatoire pour protéger l'intégrité des environnements de développement, de test et de production. Toute dérogation à ce processus devrait être autorisée par l'agent principal de l'information.

3.1 Recommandation acceptée. La Direction de la GI-TI présentera des procédures et un processus pour assurer une gestion efficace des versions.
Gestionnaire responsable :

Directeur, Gestion des applications et de l'information
Échéance :

30 septembre 2009
Recommandation Plan d'action de la direction

3.2 La Direction de la GI-TI devrait renforcer le contrôle sur la gestion des exigences en établissant un processus de documentation de la traçabilité des exigences des nouvelles applications et de leurs versions de maintenance.

3.2 Recommandation acceptée. La GI-TI avait établi un processus de gestion des exigences, mais celui-ci sera renforcé pour toutes les versions futures.
Gestionnaire responsable :

Directeur, Gestion des applications et de l'information
Échéance :

30 septembre 2009
Recommandation Plan d'action de la direction

3.3 La Direction de la GI-TI devrait veiller à ce que les gestionnaires compétents des unités utilisatrices touchées d'INFC participent aux tests d'acception des utilisateurs de tous les produits du SPGII avant qu'ils ne soient diffusés dans l'environnement de production et qu'ils les autorisent (approbation).

3.3 Recommandation acceptée. L'obligation qu'a l'utilisateur final d'approuver les tests d'acceptation sera énoncée de manière plus explicite dans la politique d'approbation en vigueur.
Gestionnaire responsable :

Directeur, Gestion des applications et de l'information
Échéance :

30 septembre 2009

6.4 Qualité des données du SPGII

Observation
Risque modéré

Les contrôles sur les activités et les contrôles informatiques n'étaient pas suffisants pour assurer la qualité (validité, intégralité, exactitude et actualité) et la cohérence des données.

Des processus de système et des processus d'application permettaient de contrôler l'intégrité des données (p. ex. sauvegarde et restauration), mais il était difficile d'assurer l'exactitude, l'intégralité et l'actualité par les contrôles d'application, car ces problèmes de qualité découlent surtout de la saisie des données. Les contrôles d'application sur la qualité des données sont limités aux contrôles de validation à la saisie des données et aux rapports d'anomalies.

Au point de saisie des données, les problèmes provenaient surtout de la cohérence de la définition des éléments de données entre les divers programmes et des diverses interprétations, terminologies et utilisations entre les régions. Les unités opérationnelles d'INFC surveillaient avec soin les grands projets et les données sur ceux-ci. Pour les projets surveillés par les partenaires fédéraux et les provinces et les territoires, les données n'étaient généralement pas aussi cohérentes et n'étaient pas mises à jour en temps voulu. Les utilisateurs ne savaient pas trop quelles informations communiquer pour chacun des programmes, ni quelles informations étaient essentielles à l'activité.

Beaucoup d'utilisateurs potentiels au sein d'INFC n'utilisaient pas le SPGII. Par exemple, les employés des Finances ne se fiaient pas à l'information du SPGII pour valider l'information de leurs systèmes financiers.

Parmi tous les programmes d'infrastructure du SPGII, le Fonds de la taxe sur l'essence (FTE) posait particulièrement problème, puisque onze des 13 partenaires provinciaux ou territoriaux n'utilisaient pas régulièrement le SPGII. Les deux autres provinces (la C.-B. et le Manitoba) dépendaient du SPGII et l'utilisaient couramment. Les autres partenaires avaient leurs propres applications ou utilisaient des feuilles de calcul Excel ou des bases de données MS Access, car ils mettaient en doute la qualité des données du SPGII et ne pensaient pas que le SPGII puisse répondre à leurs besoins.

La direction du programme FTE d'INFC ainsi que d'autres secteurs d'INFC se servaient d'outils comme des feuilles de calcul Excel et des bases de données MS Access en plus du SPGII. La mise en œuvre du FTE montre que l'utilisation simultanée du SPGII et d'autres outils de gestion des données fait augmenter le risque de redondance des activités et d'erreurs dans les données sur la mise en œuvre des programmes d'infrastructure.

De plus, les utilisateurs du SPGII étaient peu motivés à mettre à jour le SPGII après l'étape d'approbation des projets, une fois les fonds autorisés. Ils n'étaient jamais tenus de tenir les données à jour dans le SPGII, ce qui fait que les données n'étaient pas à jour ou étaient incomplètes. Nous avons constaté que c'était généralement les données associées avec les dernières étapes des projets, comme la surveillance des projets et les données financières, qui n'étaient pas entrées dans le SPGII. INFC court donc le risque de ne pouvoir communiquer en temps voulu des résultats complets et exacts sur les programmes.

Récemment, une charte sur la qualité des données sur les programmes communautaires a été diffusée et une équipe a été créée et chargée du projet. Dans un premier temps, l'équipe a mis l'accent sur la qualité des données des programmes communautaires afin de déterminer l'ensemble des données essentielles aux activités, d'élaborer des critères de qualité et de bonnes définitions des données, et d'acquérir et d'utiliser des outils pour tester la qualité de l'information. Auparavant, personne n'était responsable, en permanence, de l'analyse et de l'examen de la qualité des données et de leur cohérence.

Recommandation Plan d'action de la direction

4.1 La Direction de la GI-TI devrait proposer qu'une fonction plus officielle de surveillance de la qualité des données du SPGII soit créée dans le contexte de l'initiative ministérielle de gestion de l'information et de la qualité des données. Entre-temps, la Direction de la GI-TI devrait poursuivre son projet spécial sur la qualité des données.

4.1 Recommandation acceptée. La Direction de la GI-TI proposera au Comité exécutif d'approuver la création d'une fonction officielle de surveillance de la qualité des données fondée sur des produits à livrer mesurables et des échéances précises.
Gestionnaire responsable :

Directeur, Gestion des applications et de l'information
Échéance :

30 novembre 2009

6.5 Contrôles informatiques du SPGII

Observation
Risque modéré

Les contrôles informatiques du SPGII assuraient l'intégrité et la sécurité logique du système ainsi que la confidentialité, la disponibilité et l'intégrité de ses actifs d'information (logiciel et données).

Cependant, la Direction de la GI-TI n'avait aucune assurance que les éléments de données du SPGII, déjà surabondants et qui augmentent avec les nouvelles versions, étaient tous nécessaires à la gestion des programmes. Elle n'assurait pas la coordination de la documentation permettant de déterminer quels étaient les éléments les plus essentiels aux activités.

L'application du SPGII a été conçue et mise en œuvre il y a six ans pour un programme et a dépassé sa durée de vie prévue. Étant donné les besoins alors à court terme, les décisions relatives à la conception et au codage avaient été prises rapidement, mais n'étaient pas optimales du point de vue stratégique à long terme. Au cours de la conception du système, les données ont été modélisées en fonction d'un seul programme. Cette conception a été réutilisée et adaptée chaque fois qu'un nouveau programme s'ajoutait au SPGII.

La direction a indiqué qu'elle craignait qu'une partie du code ne devienne de plus en plus désuet et qu'il soit difficile d'en assurer la maintenance, exigeant des ressources spécialisées.

Cette constatation, de même que les problèmes de qualité des données et de gestion des versions que nous avons déjà signalés, sont des symptômes d'une architecture de l'information qui ne répond probablement pas de manière optimale aux besoins actuels. Dans les systèmes, l'architecture de l'information est l'analyse et la conception des données stockées par le SPGII, qui sont axées sur les entités, leurs caractéristiques et leurs interrelations. Elle a trait à la modélisation des données aux fins des bases de données individuelles et aux modèles de données d'entreprise qu'INFC devrait définir pour coordonner la définition des données de plusieurs bases de données.

Recommandation Plan d'action de la direction

5.1 Conformément à l'orientation stratégique de la Direction de la GI-TI, celle-ci devrait diriger la gestion des programmes dans l'examen de l'architecture de l'information du SPGII et juger de son efficacité aux fins de la gestion des programmes.

5.1 Recommandation acceptée. Un examen de l'architecture de l'information du SPGII sera effectué, y compris une analyse pour établir comment le SPGII peut appuyer efficacement la gestion des programmes. Ce document sera créé, discuté au Comité directeur du SPGII et la version finale sera soumise à l'approbation et à l'appui du Comité exécutif.
Gestionnaire responsable :

Agent principal de l'information
Échéance :

31 décembre 2009

6.6 Plan de continuité des activités

Observation
Risque modéré

INFC avait une politique de programme exigeant que toutes les unités participent à l'élaboration, la mise en œuvre, la maintenance et l'essai des Plans de continuité des activités (PCA). Une analyse des répercussions sur les activités (ARA) du SPGII, qui sert de cadre pour le PCA, était en cours, mais n'était pas encore terminée.

Le SPGII n'était pas « essentiel », au sens de la politique du gouvernement du Canada sur les PCA. La documentation sur la gestion des risques du SPGII ne faisait aucune mention de risques et de répercussions en cas de panne du Système. L'interruption de service tolérable a été établie et fixée à sept jours. Nous n'avons pu déterminer si les utilisateurs avaient fixé ou accepté ce temps d'interruption et l'ARA devrait traiter de cet aspect.

L'ARA du Ministère, qui n'a pas encore été approuvée non plus, ne fait pas mention de l'incidence du SPGII sur les activités d'INFC.

L'entrepreneur (CGI) chargé du fonctionnement du SPGII avait un plan de reprise après sinistre (PRS) qui a été préparé conjointement avec la Direction de la GI-TI, conformément aux conditions du contrat, mais ce plan n'avait pas encore été testé. De plus, il est important de veiller à ce que les constatations de l'ARA du SPGII qui ont une incidence sur les exigences en matière de mesures d'urgences, de restauration des données et de reprise des activités soient utilisées pour adapter et mettre à jour le PRS de CGI. Après quoi, le développement du PCA devrait inclure un aspect traitant des dépendances d'affaires au SPGII.

L'organisation risque qu'un incident exige l'activation du PRS. En l'absence de tests adéquats, il est possible que le plan ne soit pas efficace, ce qui pourrait retarder la reprise des activités pendant plus de temps que la période de sept jours prévue au contrat. De plus, sans ARA, l'incidence d'une panne du SPGII sur les utilisateurs n'a pas été suffisamment évaluée et la nécessité d'un plan de reprise des activités en cas d'une interruption de service demeure incertaine.

Recommandation Plan d'action de la direction

6.1 La Direction de la GI-TI, de concert avec CGI, devrait effectuer un test adéquat du plan de reprise après sinistre d'Infrastructure Canada, élaboré par CGI, afin de s'assurer que les procédures du plan permettront la prise des mesures d'urgence, la restauration des données et la reprise des activités du SPGII.

6.1 Recommandation acceptée. Le plan de reprise après sinistre sera testé au cours du présent exercice.
Gestionnaire responsable :

Directeur, Gestion des applications et de l'information
Échéance :

31 mars 2010
Recommandation Plan d'action de la direction

6.2 Le coordinateur ministériel du PCA devrait terminer l'analyse des répercussions sur les activités afin de permettre la mise à jour, en temps opportun, des risques associés à une interruption de service du SPGII et de ses répercussions sur les activités du SPGII ainsi que sur les relations avec les partenaires et leurs attentes.

6.2 Recommandation acceptée. Le coordinateur ministériel du PCA terminera l'analyse des répercussions sur les opérations du SPGII au cours du présent exercice.
Gestionnaire responsable :

Directeur, Finance et administration (coordinateur ministériel du PCA)
Échéance :

31 mars 2010 (pour le PCA)

7. Opinion de Vérification

Cadre de contrôle de gestion du SPGII dans la section 7

À la lumière des constatations de notre vérification, notre opinion est que le cadre de contrôle de gestion du SPGII n'est pas globalement satisfaisant.

Nous avons trouvé des éléments probants de bons contrôles de l'intégrité financière et de bons contrôles de la gestion de l'approvisionnement pour ce qui est de la gestion des travaux effectués conformément au contrat entre INFC et son fournisseur, CGI. Nous avons aussi constaté que les contrôles étaient adéquats dans les secteurs suivants :

  • les processus d'information et de communication;
  • la planification en matière de formation et de renforcement des capacités;
  • la gestion du rendement opérationnel;
  • la surveillance du personnel par la direction.

Cependant, nous avons constaté l'absence de contrôles adéquats pour surveiller et évaluer le rendement en ce qui a trait aux besoins. Les contrôles étaient en place mais faibles dans les secteurs suivants :

  • les structures de gouvernance et de reddition de comptes;
  • la planification stratégique et opérationnelle;
  • les processus de diffusion et de tests des logiciels;
  • les contrôles sur la qualité des données;
  • les contrôles informatiques liés à l'architecture de l'information;
  • la planification de la continuité des activités.

Mise en œuvre des recommandations du rapport de vérification interne de 2006

Nous avons constaté que quatre des neuf recommandations du rapport de vérification de 2006, qui étaient comprises dans l'étendue de la vérification effectuée cette année, avaient été entièrement mises en œuvre. Selon notre évaluation, présentée à l'annexe A, des progrès suffisants ont été accomplis à l'égard des recommandations 2, 3, 4 et 7. Les autres recommandations nécessitent d'autres mesures. Les progrès réalisés pour mettre en œuvre ces recommandations devraient faire l'objet d'un suivi par la Vérification interne d'INFC dans le cadre du suivi des recommandations du présent rapport. Le tableau ci-dessous résume les éléments des recommandations de notre rapport de 2006 qui n'ont pas été mis en œuvre et fait le lien avec les recommandations du présent rapport.

Tableau 1 : Mis-en-œuvre des recommandations du Rapport interne de 2006

Recommandation de la vérification de 2006 Éléments non mis en œuvre Rec. de la vérifi-cation de 2009

1. Que le sous-ministre adjoint, Services ministériels, établisse une nouvelle structure de gouvernance et de responsabilisation, des processus d'établissement des priorités et d'affectation des ressources et un cadre stratégique afin de satisfaire aux exigences de l'environnement plus vaste et plus complexe des activités et des améliorations du SPGII.

Des processus de gouvernance, des activités et des structures établissant clairement les objectifs, les rôles et les responsabilités et des modalités de travail et de rapport adéquats ont été mis en place. Cependant, la direction devrait préciser le mandat du Comité directeur du SPGII, notamment sa capacité de prendre des décisions stratégiques et tactiques sur les activités. Il faudrait établir un mécanisme pour permettre au Comité de remplir son mandat.

1.1

5. Que le directeur, Services des applications, effectue un examen périodique des exigences relatives à la continuité des activités pour s'assurer que les plans de continuité des activités du SPGII soient à jour et visent à répondre adéquatement aux besoins des clients.

L'ARA et le PCA d'INFC ne sont pas encore terminés. De plus, le PRS de l'installation du SPGII chez CGI doit être testé.

6.1
6.2

6. Que le directeur, Services des applications, s'assure que l'on se penche sur les problèmes relatifs au SPGII présentés dans le rapport de l'évaluation à mi-mandat de septembre 2005.

Les recommandations de l'évaluation qui ont trait au SPGII sont présentées à la recommandation 6 à l'annexe A.

Le rapport d'évaluation à mi-mandat du INFC contenait cinq recommandations (voir l'annexe A) sur les améliorations à apporter à la qualité, à la cohérence et au contrôle de la saisie des données, et aux liens avec les systèmes financiers. Ces recommandations n'ont pas été mises en œuvre, mais une nouvelle équipe a été récemment chargée du projet sur la qualité des données et doit s'occuper de ces points. De plus, notre recommandation de réévaluer l'architecture de l'information du SPGII devrait permettre de donner suite aux recommandations 11a et 11c de l'évaluation du INFC, qui porte sur la simplification de la collecte des données et la mise en correspondance des processus de saisie des données.

4.1
5.1

8. Que le directeur, Services des applications, s'assure que l'on continue de se pencher sur les problèmes d'intégrité des données, qu'on les règle et que des rapports d'étape réguliers sur les activités relatives à l'intégrité des données soient présentés aux intervenants concernés.

La recommandation voulant que l'on continue de se pencher sur les problèmes « d'intégrité des données » et qu'on les règle (nous interprétons cela comme des problèmes de « qualité des données ») n'a pas été mise en œuvre comme il se doit. Cependant, nous nous attendons à ce que la nouvelle équipe chargée du projet sur la qualité des données réponde à cette recommandation.

4.1

9. Que le dirigeant principal de l'information définisse et collecte l'information sur le rendement permettant de déterminer la mesure dans laquelle le SPGII appuie efficacement les exigences opérationnelles et fournit de la rétroaction sur le rendement du SPGII dans le cadre du processus de planification.

Il n'y a toujours pas de processus officiel de gestion du rendement pour ce qui est des exigences du SPGII. Nous nous attendons à ce qu'en réponse à notre recommandation de clarifier la gouvernance du SPGII et de préparer un plan stratégique pour le SPGII, ce plan comprenne une définition de l'information sur le rendement pour évaluer dans quelle mesure le SPGII répond efficacement aux exigences des activités. Cette évaluation est essentielle pour appuyer le processus de planification future du SPGII.

1.1
2.1

8. Énoncé d'Assurance

Selon notre jugement professionnel, les procédés de vérification appliqués et les éléments probants recueillis sont suffisants et appropriés pour étayer l'exactitude des constatations présentées dans le rapport. Les constatations sont fondées sur une comparaison des situations existant au moment de la vérification par rapport aux critères de vérification.

Les constatations ne s'appliquent qu'à l'entité examinée. L'étendue de l'examen a été planifiée de manière à fournir un niveau d'assurance raisonnable à l'égard des critères de vérification. Les éléments probants recueillis respectent les normes professionnelles de vérification et sont suffisants pour fournir à la haute direction une preuve des constatations de la vérification interne.

ANNEXE A : SUIVI DES RECOMMANDATIONS DU RAPPORT DE VÉRIFICATION DE 2006

Recommandation de la vérification de 2006 Évaluation Niveau de risque

1. Que le sous-ministre adjoint, Services ministériels, établisse une nouvelle structure de gouvernance et de responsabilisation, des processus d'établissement des priorités et d'affectation des ressources et un cadre stratégique afin de satisfaire aux exigences de l'environnement plus vaste et plus complexe des opérations et des améliorations du SPGII.

Des processus de gouvernance, des activités et des structures établissant clairement les objectifs, les rôles et les responsabilités et des modalités de travail et de rapport adéquats ont été mis en place.

Le Comité directeur du SPGII avait été créé initialement pour appuyer la prise de décision opérationnelle et stratégique, l'efficience et l'efficacité des activités et l'atténuation des risques. Au fil du temps, la participation des membres et les orientations stratégiques données ont diminué, ce qui a réduit la qualité de la gouvernance et de la reddition de comptes.

L'adhésion et l'appui de la part d'INFC et des partenaires étaient insuffisants pour que le SPGII puisse être géré de manière stratégique. Les utilisateurs n'ont pas bien compris que le SPGII était l'application à utiliser pour les activités d'INFC.

Les obligations redditionnelles des parties prenantes, y compris des partenaires, n'ont pas été clairement définies et communiquées.

 Risque modéré

2. Que le dirigeant principal de l'information mette en œuvre des stratégies et des pratiques officielles de gestion des risques qui permettront d'assurer la surveillance continue des risques liés au SPGII au moyen d'un cadre et d'indicateurs de risques et d'atténuer systématiquement ces risques.

Entièrement mise en œuvre.

Des stratégies et des pratiques officielles de gestion des risques ont été mises en œuvre.

 Risque faible

3. Que le directeur, Services des applications, mette en œuvre des mesures visant à améliorer les méthodes de communication au sein de l'équipe du SPGII et entre le SPGII, les partenaires et les parties prenantes au sein d'INFC.

Entièrement mise en œuvre.

Le directeur, Service des applications, a pris des mesures à l'égard des méthodes de communication, notamment :

  • Le Comité directeur du SPGII et le groupe des utilisateurs ont communiqué activement de l'information aux partenaires et aux parties prenantes du SPGII au sein d'INFC. Le principal aspect à améliorer est le fait que la communication de la Direction de la GI-TI à ses partenaires et à ses parties prenantes est principalement unidirectionnelle.
  • Des efforts ont été déployés par un membre de l'équipe interne de TI qui a pour tâche d'établir des relations entre INFC et les utilisateurs internes actifs et potentiels.
  • Une bonne structure de communication (réunions et rapports) a été établie entre l'équipe du SPGII et CGI, l'entrepreneur.
  • Le Coin du SPGII (intranet) contenait des ressources internes, notamment de l'information sur la formation.
  • Le Comité directeur du SPGII a approuvé en septembre 2007 une stratégie de communication pour le SPGII. Elle doit être mise à jour pour que l'on y intègre les changements apportés aux programmes.
 Risque faible

4. Que le directeur, Services des applications, définisse plus clairement et documente les risques du SPGII en ce qui a trait aux ressources humaines et élabore un plan d'action en prenant appui sur les initiatives actuelles en matière de RH afin de contrer ces risques.

Entièrement mise en œuvre.

Un plan stratégique global sur les ressources humaines de la Direction de la GI-TI a été établi en 2006-2007 et mis à jour en 2007-2008. Le plan comprenait les priorités et recensait des mesures et des stratégies clés pour améliorer les méthodes de gestion des ressources humaines. Il comprenait des recommandations pour chacun des résultats clés afin d'améliorer la capacité de la Direction de la GI-TI de maintenir et de gérer ses ressources humaines. Il faudra des efforts et du temps pour mettre en œuvre les diverses recommandations, particulièrement dans le contexte actuel, où la Direction de la GI-TI répond aux besoins du Plan d'action économique.

 Risque faible

5. Que le directeur, Services des applications, effectue un examen périodique des exigences relatives à la continuité des activités pour s'assurer que les plans de continuité des activités du SPGII soient à jour et visent à répondre adéquatement aux besoins des clients.

CGI a préparé, en collaboration avec INFC, un plan de reprise après sinistre (PRS) pour l'organisation. Il contient les éléments minimums décrits dans le contrat avec CGI. Il a été approuvé et transmis en novembre 2008.

Cependant, le plan n'a pas été testé. Il faut tester ce plan pour vérifier si les procédures du plan permettront de mettre en place les mesures d'urgence, de restaurer les données et d'assurer la reprise des activités du SPGII.

Au cours de la vérification, une analyse des répercussions sur les activités du SPGII était en cours. Elle fournira une mise à jour des risques associés à une interruption de service du SPGII et les répercussions d'une telle interruption sur les processus, les relations avec les partenaires et les attentes relatives au SPGII.

 Risque modéré

6. Que le directeur, Services des applications, s'assure que l'on se penche sur les problèmes relatifs au SPGII présentés dans le rapport de l'évaluation à mi-mandat de septembre 2005.

Les recommandations touchant le SPGII sont les suivantes :

  • Rec. 4a : Se servir des initiatives sur la qualité des données du SPGII pour arriver à produire des rapports sur les résultats des projets à l'échelle nationale;
  • Rec. 11a : Simplifier la collecte des données en ne recueillant que les données qui sont essentielles à la surveillance des projets et aux rapports;
  • Rec. 11b : Veiller à ce que les différentes administrations recueillent les mêmes données en documentant les exigences en matière de données et en les diffusant aux responsables de leur collecte et de leur saisie;
  • Rec. 11c : Schématiser les processus utilisés pour la saisie des données dans le SPGII afin de recenser et d'éliminer les pratiques non efficientes dans la collecte des données du SPGII;
  • Rec. 11d : Relier le SPGII aux systèmes financiers.

L'initiative sur la qualité des données du SPGII devrait répondre aux recommandations du rapport d'évaluation à mi-mandat du INFC. Les activités découlant de l'initiative sur la qualité des données du SPGII sont décrites de manière plus approfondie dans la réponse à la recommandation 8. Il faut dire que ces mesures permettront au bout de compte d'améliorer les données sur le INFC, mais que dans un premier temps, elles seront axées sur les programmes communautaires et ensuite sur les données recueillies et utilisées dans le SPGII pour tous les programmes d'infrastructure. Une initiative connexe a été lancée pour examiner l'intégration possible du SPGII et d'un nouveau système financier d'INFC.

Grâce à l'élaboration de processus et de procédures (autorisation des tâches), des contrôles sur les opérations financières relatives aux contrats et la gestion des approvisionnements et des contrats ont été mis en place. Les contrôles sur les opérations financières relatives aux contrats garantissaient que ces opérations étaient exactes, autorisées et valides, que des pistes de vérification étaient conservées et que la Direction de la GI-TI d'INFC effectuait un suivi des changements apportés à l'information.

La Direction de la GI-TI a mis en œuvre une stratégie d'approvisionnement pour cerner les exigences du SPGII et les risques qu'il pose. Elle a établi des processus pour gérer les activités d'approvisionnement qui ont donné lieu au contrat avec CGI. De plus, une stratégie et des processus de gestion du contrat étaient en place.

 Risque modéré

7. Que le directeur, Services des applications, s'assure que l'on se penche sur les problèmes énoncés dans l'évaluation de la vulnérabilité du SPGII et que l'on satisfasse aux exigences en matière de sécurité du SPGII. (Pour l'essentiel, la recommandation visait à rendre le SPGII conforme à la politique du Conseil du Trésor sur la gestion des technologies de l'information (GSTI).

Entièrement mise en œuvre.

Le Projet de nouvel environnement technologique (TRIP) d'Infrastructure, qui a été conçu pour respecter la politique du Conseil du Trésor sur la GSTI, est achevé. Un processus de sécurité et d'accréditation, qui comprenait des mesures de sécurité, a été mis en place pour assurer la migration du SPGII au nouvel environnement technologique à CGI afin de garantir que le volet d'Infrastructure Canada du projet TRIP serait conforme à la politique du Conseil du Trésor sur la GSTI. CGI avait alors effectué une évaluation de la menace et des risques (EMR).

De plus, le contrat avec CGI comportait des exigences de sécurité qui étaient fondées sur la politique du Conseil du Trésor sur la GSTI.		 Risque faible

8. Que le directeur, Services des applications, s'assure que l'on continue de se pencher sur les problèmes d'intégrité des données, qu'on les règle et que des rapports d'étape réguliers sur les activités relatives à l'intégrité des données soient présentés aux intervenants concernés.

Un nouveau plan visant à mettre tout d'abord l'accent sur les programmes de financement communautaire et sur les données du SPGII touchant ces programmes était en cours grâce à la création d'une équipe chargée du projet sur la qualité des données d'INFC. L'équipe rendra compte périodiquement des progrès réalisés pour améliorer la qualité des données au Comité exécutif d'INFC qui a lancé le projet et qui a désigné des membres des divers secteurs d'INFC.

 Risque modéré

9. Que le dirigeant principal de l'information définisse et recueille l'information sur le rendement permettant de déterminer la mesure dans laquelle le SPGII appuie efficacement les exigences opérationnelles et fournit de la rétroaction sur le rendement du SPGII dans le cadre du processus de planification.

Il n'y a toujours pas de processus de gestion du rendement en bonne en due forme pour ce qui est des exigences du SPGII. Il sera impossible de s'attaquer à la gestion du rendement et à l'amélioration continue avant que les problèmes de planification et de gouvernance du SPGII n'aient été réglés, et que les besoins intermédiaires et à long terme n'aient été mieux définis.

La direction a souligné que certains progrès avaient été accomplis pour ce qui est de la participation des clients à la détermination des exigences qui seront ensuite présentées dans le cadre de la conception fonctionnelle des améliorations du SPGII. Une nouvelle politique d'approbation des systèmes a été approuvée lors d'une récente réunion du Comité exécutif. Le rythme accéléré des améliorations à l'appui des nombreux nouveaux programmes d'infrastructure a entraîné une plus grande participation des clients et plus d'échanges avec ceux-ci aux premières étapes de l'élaboration des applications.

Des progrès ont été accomplis également dans la surveillance du rendement et l'information communiquée à ce sujet à l'égard des activités et du développement du SPGII. La surveillance du rendement était exercée officiellement et gérée dans le cadre du contrat avec le fournisseur CGI.

 Risque modéré
Date de modification :