Vérification interne de la gouvernance de la TI

Rapport de vérification
Direction générale de la vérification interne et de la responsabilisation
Citoyenneté et Immigration Canada
Avril 2009

Table des Matières

Résumé
1.0 Introduction
2.0 Contexte
3.0 Objectifs
4.0 Portée
5.0 Méthodologie
6.0 Conclusion
7.0 Observations et recommandations
Annexe A : Aperçu des ressources de la DGGTI
Annexe B : Dépenses de CIC en matière de TI à l’extérieur de la DGGTI
Annexe C : Critères de vérification
Annexe D : Plan d’action de la direction
Annexe E : Calendrier de la vérification

Liste des acronymes

AC: Administration centrale
ASFC: Agence des services frontaliers du Canada
BEP: Bureau d’exécution des projets
BVG: Bureau du vérificateur général
CA: Conseil de l’architecture
CCSP: Comité consultatif supérieur du projet
CEPTI: Comité d’examen des projets de technologie de l’information
CIC: Citoyenneté et Immigration Canada
CNA: Comité des normes d’architecture
COMEX: Comité exécutif
CRG: Cadre de responsabilisation de gestion
CRG: Comité de responsabilisation de gestion
CSC: Comité des services à la clientèle
DG: Directeur général
DGGTI: Direction générale de la gestion et des technologies de l’information
DPI: Dirigeant principal de l’information
ETP: Équivalent temps plein
GI: Gestion de l’information
ISACA: Association des professionnels de la vérification et du contrôle des systèmes d’information
MAECI: Ministère des Affaires étrangères et du Commerce international
MSC: Modernisation des services à la clientèle
OCITC: Objectifs de contrôle dans les domaines de l’information et des technologies connexes
SCT: Secrétariat du Conseil du Trésor
SM: Sous-ministre
SMA: Sous-ministre adjoint
SMGC: Système mondial de gestion des cas
TI: Technologie de l’information

Résumé

Contexte

La gouvernance de la TI devrait porter essentiellement sur la mise en œuvre des changements opérationnels, à un coût abordable, et avec un niveau de risque acceptable. Le plus important facteur pour distinguer les organismes des secteurs tant privé que public dont le rendement est supérieur de ceux dont le rendement est inférieur à la normale est le degré de leadership démontré par les dirigeants d’entreprises et les cadres supérieurs lors de la prise de quelques décisions clés en matière de TI[Note 1]. Il en va de même pour les ministères gouvernementaux qui doivent mettre en œuvre, prendre en charge et tenir à jour des projets et une infrastructure de TI performants pour être en mesure de fournir leurs services au public de manière économique, efficiente et efficace. Le rythme rapide des changements technologiques exige que les décisions relatives à la TI soient prises rapidement, en toute connaissance des risques et des possibilités associés à l’initiative de TI.

CIC assume la responsabilité de sélectionner et de traiter les demandes d’entrée au Canada, sur une base temporaire ou permanente, d’aider les nouveaux arrivants à s’adapter à la société canadienne et à devenir des citoyens. CIC dépend donc largement du flot d’information pour concrétiser ces objectifs au moyen de la TI.

Au sujet de la vérification interne

La vérification a été effectuée de juillet à novembre 2008 et la phase d’examen de la vérification a eu lieu d’octobre à novembre 2008.

Voici les objectifs de la vérification :

Vérifier le caractère adéquat de la structure de gouvernance de la TI à CIC;
Évaluer le degré d’harmonisation et d’intégration entre la stratégie en matière de TI et la stratégie opérationnelle de CIC.

Dans l’ensemble, l’équipe de vérification a constaté la présence d’harmonisation et d’intégration entre la stratégie en matière de TI et la stratégie opérationnelle de CIC, et malgré l’existence de structures et de processus adéquats, la vérification a néanmoins permis de déterminer des possibilités de renforcer la gouvernance de la TI à CIC. Par conséquent, nous avons fait deux recommandations visant à améliorer le processus en place :

Le Ministère résume les projets de TI en cours ainsi que les résultats relatifs au rendement opérationnel dans un tableau de bord significatif présenté régulièrement à la haute direction afin de l’informer, et transmis au COMEX selon les besoins;
Le Ministère met en œuvre la transition prévue vers une approche à l’échelle de CIC en ce qui concerne l’étude détaillée et le financement des investissements en TI, ce qui permet de mieux définir les responsabilités en matière d’examen et d’approbation et d’intégrer une hiérarchie des approbations au processus de décision qui tienne compte des coûts de l’investissement proposé et de l’incidence sur le Ministère.

Même si lors de notre vérification nous nous sommes penchés sur la structure de gouvernance en place en ce qui a trait à la TI, nous tenons à mentionner que bon nombre des concepts et des idées exprimés dans le cadre de notre vérification s’appliquent également à la gestion de projets, en général. Si ces concepts sont mis en œuvre, ils pourraient contribuer à jeter les bases qui permettraient au Ministère de mettre en place un cadre de gouvernance de la gestion de projets à l’échelle de l’organisme qui non seulement engloberait les projets ayant une composante de TI, mais permettrait aussi d’adopter l’orientation plus large requise pour garantir la pleine réalisation des objectifs organisationnels.

1.0 Introduction

Le plan de vérification interne axé sur les risques de la Direction générale de la vérification interne et de la responsabilisation (DGVIR) de CIC comprend notamment la réalisation de vérifications de la gouvernance. Ces vérifications portent principalement sur les cadres de gouvernance et de gestion des risques mis en place. La décision de procéder à la vérification de la gouvernance de la TI a été prise à la suite d’une analyse effectuée par la DGVIR à l’échelle du Ministère, du point de vue de la vérification, des facteurs de risque et en consultation avec la haute direction. Avec la transition vers un nouveau directeur général (DG) de la DGVIR et dirigeant principal de l’information (DPI) à CIC, le moment choisi pour procéder à la vérification nous donne également la possibilité d’évaluer la gouvernance de la TI en place et de travailler tous ensemble au renforcement des structures et des processus clés. Nous tenons à mentionner que depuis l’arrivée du DPI, beaucoup de travail a été fait pour revoir la structure de gouvernance de la TI en place en vue de renforcer les pratiques.

La vérification a été effectuée de juillet à novembre 2008 et la phase d’examen de la vérification a eu lieu d’octobre à novembre 2008.

2.0 Contexte

2.1 Qu’entend-on par gouvernance de la TI?

Comparativement à d’autres aspects de la gouvernance, le concept de gouvernance de la TI est relativement nouveau. La gouvernance de la TI devrait porter essentiellement sur la mise en œuvre des changements opérationnels à un coût abordable et avec un niveau de risque acceptable. En 2001, l’IT Governance Institute a défini la gouvernance de la TI comme étant :

[…] de la responsabilité du conseil d’administration et des cadres de direction. Elle fait partie intégrante de la gouvernance de l’entreprise et est constituée des structures et des processus de leadership et organisationnels qui font en sorte que la TI de l’organisation soutient la stratégie et les objectifs de l’organisation et leur donne de l’ampleur. [Traduction]

Le Rapport de situation sur la gouvernance de la TI publié en 2008 par l’ISACA faisait ressortir qu’il y avait beaucoup de place pour l’amélioration en ce qui concerne l’harmonisation entre la gouvernance de la TI et la gouvernance globale. Une recherche publiée par l’ISACA a montré que la majorité des organisations ne retirent pas le rendement optimal de leurs investissements en TI. Le plus important facteur pour distinguer les organismes des secteurs tant privé que public dont le rendement est supérieur de ceux dont le rendement est inférieur à la normale est le degré de leadership démontré par les dirigeants d’entreprises et les cadres supérieurs lors de la prise de quelques décisions clés en matière de TI. Il en va de même pour les ministères gouvernementaux qui doivent mettre en œuvre, prendre en charge et tenir à jour des projets et une infrastructure de TI performants pour être en mesure de fournir leurs services au public de manière économique, efficiente et efficace.

2.2 À propos du Ministère

Le Ministère est organisé en quatre secteurs sous la direction d’un sous-ministre adjoint (SMA) qui relèvent du sous-ministre (SM) :

Opérations – est responsable de toutes les activités d’exécution des programmes du Ministère;
Politiques stratégiques et de programmes – gère le programme stratégique du Ministère sur le plan national et international et mène à bonne fin les stratégies connexes en matière de politique, de planification et de recherche;
Modernisation des services à la clientèle (MSC) – gère la restructuration du modèle de prestation de services de CIC, établit les priorités en matière d’amélioration des services et dirige les investissements dans les programmes afin d’obtenir les meilleurs résultats possibles pour les clients de CIC;
Services corporatifs – est chargé du programme de gestion de CIC et regroupe les principales fonctions de gestion ministérielle.

Chaque secteur est formé d’un groupe de directions générales qui soutiennent la réalisation des objectifs du secteur, chacune des directions générales étant gérée par un directeur général (DG). Dans son Rapport sur les plans et les priorités de 2008-2009, le Ministère estime que les ressources totales dont il dispose pour réaliser ses activités pour l’exercice visé sont de 1 103,6 millions de dollars et de 3 604 ETP.

2.3 La Direction générale de la gestion et des technologies de l’information

La DGGTI fait partie du secteur de la Modernisation des services à la clientèle (MSC); elle est responsable de la planification, de la construction et de l’exploitation des applications, de l’infrastructure de l’information et des technologies nécessaires pour soutenir la prestation des services et des programmes de CIC pour les Canadiens, les immigrants et les réfugiés, ainsi que de l’administration et de la gestion du Ministère. La DGGTI fournit à la fois les services de gestion de l’information (GI) et ceux de la TI et elle offre son soutien à tous les secteurs d’activité de CIC ainsi qu’à certains secteurs d’activité de l’Agence des services frontaliers du Canada (ASFC).

Tel qu’illustré sur la figure 1 ci-après, la DGGTI est sous la direction du DPI/DG DGGTI qui relève du SMA, MSC qui consulte régulièrement le SM[Note 2] de CIC.

Figure1 : Organigramme de la DGGTI

Organigramme de la Direction de la gestion et des technologies de l’information

Version texte : Organigramme

La DGGTI a mentionné que CIC a engagé le groupe Gartner en 2004 en vue de l’élaboration d’une évaluation d’ensemble de la technologie de l’information au cours de laquelle l’entreprise a procédé à une analyse comparative de secteurs fonctionnels avec un groupe d’homologues mixte. Cette étude a montré que CIC se classait dans le premier quartile du groupe d’homologues sélectionné par rapport au volume de travail. Pour l’exercice 2008-2009, le budget total alloué à la DGGTI était de 75,8 millions de dollars[Note 3] et de 355 ETP[Note 4]. Ces chiffres ne comprennent pas les dépenses régionales en matière de TI. On trouvera à l’Annexe A une répartition plus détaillée des ressources de la DGGTI par direction.

Comme nous venons de le mentionner, les régions engagent des dépenses en matière de TI qui ne sont pas comptabilisées dans le plan de la DGGTI. Les régions intérieures conservent du personnel et assument des dépenses limitées au chapitre de la TI à l’appui de leurs activités régionales. On procède à l’élaboration d’un modèle d’autorité fonctionnelle qui articulera clairement les rôles et les responsabilités du DPI par rapport aux activités régionales en matière de TI. Le Ministère dépend également du MAECI pour fournir un soutien aux employés qui travaillent dans les bureaux à l’étranger. Dans ces circonstances, CIC transfère des fonds au MAECI (régis par un protocole d’entente) à cet égard. De la même manière, l’ASFC transférera des fonds à CIC pour le soutien des services de TI offerts aux employés de l’ASFC par la DGGTI. Les prévisions budgétaires de CIC pour ces dépenses additionnelles figurent à l’Annexe B.

Les dépenses en matière de TI peuvent prendre diverses formes. Ainsi, du point de vue de la gouvernance de la TI, pour simplifier l’analyse, on les répartit en deux groupes : 1) les investissements dans l’infrastructure (p. ex. serveurs et réseaux); et 2) les investissements dans des projets de développement de TI conçus pour répondre à des besoins particuliers. Pour les fins de la présente vérification, nous appelons les investissements à l’échelle de CIC dans l’infrastructure « investissements en TI » et les projets indépendants répondant à des besoins précis « projets de TI ».

Structure de gouvernance de la DGGTI

Le schéma suivant présente les divers comités et conseils qui régissent la DGGTI, au moment de la vérification. Tel qu’illustré ci-après, le lien de gouvernance prédominant entre le DPI/DG DGGTI et les comités de la haute direction réside dans le rapport hiérarchique entre le DPI/DG DGGTI et le SMA du MSC.

Figure 2 : Structure de gouvernance de la DGGTI

Structure de gouvernance de la Direction générale de la gestion des technologies de l’information

Version texte : Structure de gouvernance

Le tableau suivant résume les obligations redditionnelles et les responsabilités de chacun des comités décrits dans la figure ci-dessus ainsi que toutes celles qui avaient une incidence sur la gouvernance de la TI au moment de la vérification.

Tableau 1 – Comités de gouvernance de TI

obligations redditionnelles et les responsabilités de chacun des comités
Titre	Président	Description
Ministériel
Comité exécutif(COMEX)	SM	COMEX est le plus haut centre de décision du Ministère. Il se concentre sur les questions nécessitant une prise de décision et une orientation stratégique, ainsi que sur les enjeux ministériels et horizontaux. En règle générale, les questions soumises à cette instance ont déjà été présentées au Comité de responsabilisation de gestion (CRG) ou au Comité des services à la clientèle (CSC) et approuvées.
Comité de responsabilisation de gestion (CRG)	SMA, Services corporatifs	Le CRG fournit des orientations et des avis sur toutes les questions relatives à la mise en œuvre du programme global de gestion du gouvernement, les priorités de gestion ministérielles ainsi que le Cadre de responsabilisation de gestion (CRG). Deux fois par année, le DPI est invité au CRG afin d’engager l’ensemble de CIC en ce qui concerne l’orientation de la fonction de GI/TI et l’établissement des priorités en matière d’investissements dans la GI/TI.
Modernisation des services à la clientèle (MSC)	SMA, Opérations et SMA, MSC	Le MSC est un comité à la fois stratégique et tactique, chargé d’élaborer une stratégie globale de prestation des services pour CIC et de la recommander au COMEX; il doit en outre déterminer, approuver et, si nécessaire, recommander au COMEX les activités de transformation requises pour assurer la réussite de la stratégie de CIC en matière de prestation des services.
Conseils et comités techniques de la GI/TI
Conseil de l’architecture (CA)	Directeur, Planification et architecture (PAD)	Le CA est un organe du processus décisionnel de la gestion qui fournit des orientations, des avis et des approbations sur toutes les questions relatives à l’architecture d’entreprise, aux stratégies de migration et aux plateformes technologiques.
Comité des normes d’architecture (CNA)	Directeur, Planification et architecture et Directeur, Systèmes corporatifs	Le mandat de ce comité consiste notamment : à réunir de l’information sur les orientations, les principes et les normes relatifs à l’ensemble de l’architecture du gouvernement du Canada; à examiner les principaux cadres, principes et politiques de CIC en matière de GI/TI et à faire des recommandations à ce sujet au Conseil de l’architecture (CA), notamment en ce qui concerne le retrait de produits standards; ainsi qu’à approuver les normes de GI/TI (domaine opérationnel, information/données, techniques et des applications).
Comité d’examen des projets de technologie de l’information (CEPTI)	Directeur, Bureau d’exécution des projets (BEP)	Le CEPTI examine et approuve les chartes de projet, les plans et les échéanciers en ce qui concerne les composantes de GI/TI des projets. Il surveille l’état d’avancement de tous les projets approuvés (rendement des projets par rapport aux plans, raisons expliquant les écarts) et détermine les mesures à prendre pour que les projets soient livrés dans les délais et dans les limites du budget, incluant la conduite d’un examen à mi-chemin du projet, si nécessaire. Le CEPTI procède également à l’examen et à l’approbation de toutes les demandes de modification de la portée, des coûts ou des échéanciers de projets.
SMGC
Comité du sous-ministre sur le projet du SMGC	SM	Le Comité du SM sur le SMGC est un comité consultatif fournissant des avis à CIC et à la direction du Projet du SMGC et qui tire des enseignements susceptibles d’éclairer d’autres projets du gouvernement fédéral dans le futur.
Comité directeur du SMGC	SM	Le COMEX de CIC agit à titre de Comité directeur du Projet du SMGC. Ce groupe est responsable de fournir une surveillance permanente des cadres de direction et une orientation au Projet du SMGC.
Conseil supérieur d’examen du SMGC	DPI	Formé de représentants du SCT et de partenaires (ASFC), ce comité se réunit chaque mois pour discuter de l’état d’avancement, des risques, des questions importantes ainsi que de l’échéancier du projet du SMGC.
Comité consultatif supérieur du projet du SMGC (CCSP)	—	Le CCSP sert de tribune interministérielle à la haute direction en ce qui concerne l’orientation du projet du SMGC, en vue de faciliter la conclusion d’accords entre ministères ainsi que pour résoudre les problèmes interministériels.

Au moment de la vérification, CIC ne disposait pas encore d’une structure de gouvernance de la gestion de projet à l’échelle de l’organisme. De récentes évaluations de CIC effectuées par le SCT dans le cadre du Cadre de responsabilisation de gestion (CRG) ont fait écho à cette observation. Les projets que l’on considère axés sur la TI sont généralement associés à une structure de gouvernance définie qui veille à ce que ces projets s’harmonisent avec les priorités et à ce qu’ils fassent l’objet d’examens réguliers, et qui sert à documenter les décisions. Les projets que l’on ne considère pas comme ayant une composante de TI ont une structure de gouvernance moins définie au sein du ministère et peuvent exister dans tous les aspects des opérations du Ministère, la progression normale étant que des suggestions de changement prennent leur source au sein d’une direction générale pour être ensuite soumises aux approbations requises. Si les suggestions le justifient, elles sont par la suite soumises aux instances supérieures suivant la hiérarchie des comités de gestion de la haute direction. Même si nous soulignons cette dichotomie dans le traitement des projets, et si la présente vérification avait pour centre d’intérêt les projets axés sur la TI, il reste que bon nombre des concepts et des idées exprimés dans le cadre de cette vérification ne s’appliquent pas uniquement à la gestion de projets de TI. Si ces concepts sont mis en œuvre, ils pourraient contribuer à jeter les bases qui permettraient au Ministère de mettre en place un cadre de gouvernance de la gestion de projets à l’échelle de l’organisme qui non seulement engloberait les projets ayant une composante de TI, mais permettrait aussi d’adopter l’orientation plus large requise pour garantir la pleine réalisation des objectifs organisationnels. Nous tenons à mentionner aussi qu’à la suite de notre examen, le Ministère a procédé à des ajustements visant à réaliser précisément ce que nous suggérions grâce à un nouveau comité, le Comité d’examen de projet (CEP), qui a remplacé le CEPTI mentionné dans le tableau ci-dessus. La première réunion de ce nouveau comité a eu lieu en février 2009.

2.4 Contexte environnemental

Externe

Un certain nombre de facteurs environnementaux externes ont une incidence sur la gouvernance de la TI à CIC :

Le rythme des changements technologiques : Le rythme rapide des changements exige que les décisions relatives à la TI soient prises rapidement, en toute connaissance des risques et des possibilités associés à l’initiative de TI;
Les réalités financières : Le climat économique actuel a suscité un examen accru des dépenses discrétionnaires, mais surtout des coûts associés aux projets de TI de grande envergure comme le SMGC;
L’équilibre entre l’innovation et le contrôle sur la TI : CIC souhaite encourager l’innovation dans la manière d’assurer la prestation de ses services, toutefois, dans les cas où cette innovation repose sur la TI, il peut se révéler contraire à l’objectif premier d’exercer un contrôle sur l’environnement de la TI;
L’obsolescence de l’infrastructure : L’infrastructure de la TI devient obsolète au fil du temps. La maintenir à jour, ou ce qu’il est convenu d’appeler la mise à jour en continu, représente un défi pour n’importe quel ministère fédéral, et CIC ne fait pas exception;
Les préoccupations environnementales : La TI crée une importante empreinte environnementale, puisqu’elle est responsable d’environ 2 p. 100 du flux des déchets. Les grands ministères, comme CIC, font l’objet d’un examen encore plus minutieux et de pressions croissantes visant à les inciter à suivre les pratiques associées à la « TI écologique ».

Ces facteurs contribuent à nombre de pressions exercées sur la DGGTI de CIC, et soulignent l’importance d’un cadre de gouvernance de la TI rigoureux pour offrir du leadership et du soutien à la haute direction.

3.0 Objectifs

Voici les objectifs de la vérification :

Vérifier le caractère adéquat de la structure de gouvernance de la TI à CIC;

Évaluer le degré d’harmonisation et d’intégration entre la stratégie en matière de TI et la stratégie opérationnelle de CIC.

4.0 Portée

La portée de cette vérification englobe toutes les activités relatives à la gouvernance de la TI menées à l’administration centrale (AC) durant l’année courante, incluant les structures de gouvernance de la TI et l’harmonisation avec la stratégie opérationnelle.
Il convient de mentionner que, même si le projet du SMGC est d’une grande envergure par rapport au budget global de la DGGTI, il possède également sa propre structure de gouvernance complète et est inclus dans le présent rapport parmi les nombreux autres projets de TI dont la DGGTI assume la responsabilité.

5.0 Méthodologie

Dans le cadre de la vérification, nous avons effectué les activités suivantes :

examen et analyse de la documentation;
entrevues avec la haute direction et certains employés;
entrevues avec des employés de deux ministères fédéraux considérés généralement comme ayant une solide gouvernance de la TI;
étude des pratiques exemplaires et des nouveaux enjeux liés à la gouvernance de la TI.

En conséquence, la vérification a été effectuée conformément à la Politique du gouvernement du Canada sur la vérification interne, ainsi que conformément aux normes de pratique professionnelle de l’Institute of Internal Auditors.

Les critères utilisés pour faire la vérification sont fondés sur les directives applicables du Conseil du Trésor et du BVG, ainsi que sur les cadres de référence de l’industrie (p. ex. COBiT et Val IT). On trouvera à l’Annexe C la liste des critères détaillés utilisés.

6.0 Conclusion

Dans l’ensemble, l’équipe de vérification a constaté l’harmonisation et l’intégration de la stratégie en matière de TI avec la stratégie opérationnelle de CIC, et malgré l’existence de structures et de processus adéquats, la vérification a néanmoins permis de déterminer des possibilités de renforcer la gouvernance de la TI à CIC. Par conséquent, nous avons fait deux recommandations visant à améliorer le processus en place. Il en sera question de façon plus approfondie dans les sections suivantes, et on trouvera un plan d’action de la direction à l’Annexe D.

7.0 Observations et recommandations

7.1 Harmonisation de la planification stratégique de la TI avec la stratégie opérationnelle

Nous nous attendions à ce que la haute direction des opérations et de la TI soit mobilisée à l’égard de l’harmonisation de la planification stratégique de la TI avec les besoins opérationnels actuels et futurs.

L’examen de la documentation de planification a montré que les priorités du plan d’activités de la DGGTI sont harmonisées avec au moins une priorité stratégique de CIC.

La DGGTI a créé un plan stratégique de la GI/TI, mais ce plan n’a pas obtenu l’approbation des cadres supérieurs du Ministère. Par conséquent, le plan d’activités de la DGGTI est le document de planification stratégique de facto de la DGGTI. Les priorités incluses dans le plan d’activités de la DGGTI, de même que les priorités stratégiques de CIC, étaient documentées et à jour. Nous avons également constaté que les priorités du plan d’activités de la DGGTI accompagnaient toutes les priorités stratégiques de CIC étant donné qu’elles sont harmonisées avec au moins une des priorités stratégiques de CIC. De plus, chacune des priorités opérationnelles de la DGGTI visait au moins un projet de TI. En outre, la DGGTI examine chaque année ses activités en vue de respecter les priorités de son plan d’activités.

Dans le cadre de notre évaluation, nous avons également pris connaissance des procès-verbaux des réunions des comités et avons constaté qu’il y avait eu quelques discussions des membres de la haute direction sur des questions de TI; toutefois, les entrevues avec les cadres supérieurs ont révélé un manque de mobilisation de la part de ces derniers en ce qui a trait à la planification stratégique de la TI.

L’examen des procès-verbaux du COMEX a révélé qu’il y avait eu au total vingt réunions durant la période de vérification. Sur ces vingt réunions, cinq ont donné lieu à une discussion relative à la TI ou à la prise d’une décision à cet égard. Pour ce qui est des procès-verbaux du MSC, six discussions et deux décisions relatives à la TI ont été constatées.

Cependant, les entrevues avec les cadres supérieurs ont révélé un manque de mobilisation à l’égard des questions de planification stratégique de la TI ainsi qu’un manque de clarté concernant l’incidence sur les opérations des risques entourant la TI. Les entrevues avec les cadres supérieurs ont également mis en évidence des questions et des préoccupations concernant la vision et les initiatives de la DGGTI telles qu’elles sont mentionnées dans la section sur le Contexte environnemental du présent rapport, par exemple, l’innovation, la TI écologique, et la mise à jour en continu. S’il ne prend pas en charge ces questions contextuelles par l’entremise de la gouvernance des processus de la TI, et s’il ne parvient pas à mobiliser la haute direction, CIC s’expose à ne pas pouvoir réagir adéquatement aux pressions actuelles exercées sur la TI et aux risques opérationnels. On trouvera dans les sections suivantes de ce rapport de plus amples renseignements concernant d’autres aspects de cette observation, notamment en ce qui a trait à la surveillance du rendement et à la prise de décision.

7.2 Surveillance et évaluation du rendement de la TI

Nous nous attendions à trouver que le processus de surveillance et d’évaluation du rendement de la TI de CIC comprenait la définition des indicateurs de rendement pertinents, la production de rapports systématiques et opportuns ainsi que la prise de mesures en temps utile lors de la découverte d’écarts.

Nous avons constaté que la surveillance régulière, le suivi et l’évaluation des mesures de rendement de la TI sont présents à la DGGTI, même s’ils ne sont pas portés à la connaissance de la haute direction.

La DGGTI dispose d’une liste complète de mesures à partir desquelles le rendement de la direction générale est évalué sur le plan tactique. Au total, on a décelé soixante-seize mesures visant à faciliter la collecte de renseignements relatifs au rendement pour des activités planifiées. De plus, la direction générale saisit les mesures de rendement des projets de TI sur une base mensuelle pour les projets en cours. Toutefois, nous avons constaté qu’aucune de ces mesures n’était présentée régulièrement à la haute direction.

Nos entrevues ont mis à jour un manque de communication entre la collecte de mesures de rendement des projets et des activités de TI et la haute direction (p. ex. COMEX). Une analyse des pratiques exemplaires a montré des possibilités d’amélioration en ce qui a trait à l’élaboration d’une stratégie de production de rapports appropriée. Cette stratégie devrait décrire les développements pertinents et atteindre les comités de gouvernance appropriés sur une base régulière. Ce faisant, la haute direction disposerait de meilleurs renseignements sur lesquels s’appuyer pour la prise de décision.

Recommandation 1

Le Ministère résume les projets de TI en cours ainsi que les résultats relatifs au rendement opérationnel dans un tableau de bord significatif présenté régulièrement à la haute direction afin de l’informer, et transmis au COMEX selon les besoins.

Réponse de la direction

D’accord. Direction générale de la gestion et des technologies de l’information va mettre en œuvre un tableau de bord à l’intention de la haute direction concernant les mesures de rendement des projets de TI en cours.

7.3 Coûts de la TI et prise de décision

Nous nous attendions à trouver que la détermination et l’affectation des coûts de la TI étaient bien comprises par la haute direction et permettaient à CIC de prendre des décisions éclairées en ce qui a trait à l’utilisation des services de TI.

Nos entrevues avec les cadres supérieurs ont laissé entendre un manque de clarté, tant du point de vue de la détermination que de l’affectation des coûts de la TI.

L’examen des procès-verbaux durant la période d’examen a montré que le COMEX avait tenu des discussions et rendu une décision concernant le budget et l’affectation des coûts de la DGGTI en une seule occasion. Même si les coûts de la TI de la DGGTI sont affectés conformément au Modèle de gestion des coûts ministériel, les entrevues menées auprès des cadres supérieurs ont révélé un manque de visibilité pour ce qui est de la détermination et de l’affectation des coûts de la TI, incluant ceux de la stratégie de mise à jour en continu de la DGGTI. En effet, les entrevues menées auprès des cadres supérieurs ont mis en évidence le désir de contribuer à prendre des décisions éclairées en matière de TI, en se fondant sur les coûts de la TI, sur ses avantages, sur la stratégie opérationnelle ainsi que sur la politique et les niveaux de service.

La seule réunion sur l’établissement du budget de la DGGTI serait suffisante si les cadres supérieurs en sortaient avec la compréhension et le sentiment d’avoir participé au processus d’établissement du budget de la DGGTI. Malheureusement, il semble que ce ne soit pas le cas. En conséquence de son incapacité à mobiliser les cadres supérieurs dans une mesure appropriée, CIC s’expose à une inadéquation entre les dépenses de la DGGTI et les priorités ministérielles.

On a constaté qu’il y aurait lieu d’accorder un peu d’attention à l’établissement des priorités en ce qui concerne les investissements et les projets de TI. Le mécanisme d’approbation actuel repose sur le financement sectoriel. Nous n’avons trouvé aucun élément probant comme quoi il y aurait eu discussion ou réaffectation de fonds en fonction des objectifs opérationnels ou des risques et des pressions pour l’ensemble du Ministère.

Même si nous avons constaté que les réunions du COMEX et du MSC comprenaient des discussions et la prise de décisions concernant la TI, il n’y a toutefois eu aucune discussion concernant l’établissement des priorités pour les investissements en TI (p. ex. dans l’infrastructure) ou les projets. Les entrevues que nous avons menées ont laissé entendre que les processus et les mécanismes utilisés par CIC pour définir les priorités parmi les investissements et les projets potentiels en TI ne sont pas clairs.

À CIC, les décisions concernant les investissements dans la TI ne sont pas présentées aux organismes décisionnaires supérieurs, ni prises par ces derniers. Au contraire, le mécanisme d’approbation actuel pour un projet de TI proposé dépend dans une large mesure du financement sectoriel, et non de l’incidence que le projet aura sur l’ensemble des buts et des objectifs opérationnels du Ministère. Dans ces circonstances, les directions générales présentent des idées de projets et le projet est étudié en situation isolée par rapport au reste du Ministère.

L’incidence de ces deux approches est que les investissements et les projets susceptibles de contribuer davantage à l’atteinte des objectifs ministériels peuvent ne pas être réalisés au profit d’autres projets et investissements moins importants. Compte tenu que la TI est le principal véhicule du changement et de l’innovation, la mise en œuvre de nouvelles technologies doit adopter un point de vue plus global de l’ensemble du Ministère. Cela est particulièrement vrai pour CIC, parce qu’il dépend dans une large mesure de la TI pour l’exécution de ses programmes. Par conséquent, les deux formes d’innovation doivent être examinées minutieusement en adoptant le point de vue de « ce qui comporte le plus d’avantages pour le Ministère » et, selon leur importance relative, doivent suivre la voie hiérarchique jusqu’au sommet.

De par leur nature, les investissements en TI prennent naissance à l’intérieur même de l’organisme. Mais, il faut définir plus clairement la remontée des dossiers de ces investissements lorsqu’ils dépassent certains seuils afin de s’assurer que le niveau décisionnel approprié prend la décision. À CIC, ces décisions relèvent, dans une large mesure, du palier décisionnel du Conseil technique en GI/TI pour ce qui est des comités. Mais au contraire, les projets de TI devraient être évalués en fonction du point de vue global du Ministère. Compte tenu de la taille de CIC, ce processus peut nécessiter plusieurs étapes d’examen pour les projets de TI, à divers paliers de l’organisme, selon l’envergure et l’impact du projet de TI proposé. À la fin de ce processus révisé, les projets de TI qui sont jugés être les plus avantageux pour l’organisme devraient être mis en œuvre plutôt que ceux pour lesquels l’autorité de parrainage dispose du financement requis. À notre avis, cette approche fournira à la haute direction une meilleure compréhension des risques opérationnels et des pressions associés à ces décisions en matière de financement. Lors de nos discussions avec le personnel de la DGGTI, on a pu confirmer les mérites de cette approche et on a d’ailleurs constaté que c’est un objectif vers lequel on tend déjà.

Recommandation 2

Le Ministère met en œuvre la transition prévue vers une approche à l’échelle de CIC en ce qui concerne l’étude détaillée et le financement des investissements en TI, ce qui permet de mieux définir les responsabilités en matière d’examen et d’approbation et d’intégrer une hiérarchie des approbations au processus de décision qui tienne compte des coûts de l’investissement proposé et de l’incidence sur le Ministère.

Réponse de la direction

D’accord. Direction générale de la gestion et des technologies de l’information va définir et mettre en œuvre un processus à l’échelle de CIC concernant la planification des investissements en TI qui mobilise la haute direction en vue d’examiner et d’approuver les investissements en TI.

7.4 Structure de gouvernance de la TI

Nous nous attendions à trouver un cadre de gouvernance de la TI incluant les structures, les processus, le leadership, les rôles et les responsabilités requis pour que les investissements et les projets de TI soient harmonisés et intégrés avec la gouvernance ministérielle.

Nous avons constaté que des structures de gouvernance de la TI sont en place et harmonisées avec les comités de gouvernance ministérielle.

Comme le démontrent l’examen de l’organigramme de la gouvernance de la DGGTI et l’examen de la documentation, les structures, les processus et les rapports hiérarchiques liés à la gouvernance de la TI sont adéquats. Toutefois, afin que ces structures répondent efficacement aux besoins de l’ensemble du Ministère, il faudrait que l’ensemble des comités de la haute direction du Ministère soient mobilisés comme il convient à l’égard des recommandations qui précèdent.

Annexe A – Aperçu des ressources de la DGGTI

Aperçu des ressources de la Direction générale de la gestion des technologies de l’information

Version texte : Aperçu des ressources

Remarques :
A – Correspond aux services votés
B – Correspond au financement temporaire
Toutes les directions possèdent des ressources consacrées au SMGC, et cette situation ne ressort pas dans les chiffres qui précèdent.

Source des renseignements :

Organigramme de la DGGTI
Chiffres du budget tirés du Plan d’activités de la DGGTI de 2008-2011 pour l’exercice 2008-2009
Les chiffres sur les ETP tirés d’un exposé donnant un aperçu de la DGGTI présenté le 10 juillet 2008 comprennent les employés engagés pour une durée indéterminée, mais excluent tous les autres employés (p. ex. le personnel contractuel)

Annexe B : Dépenses de CIC en matière de TI à l’extérieur de la DGGTI

Dépenses de Citoyenneté et Immigration Canada en matière de technologie de l’information à l’extérieur de la Direction générale de la gestion et des technologies de l’information
Organisme	2006-2007	2007-2008	2008-2009*
Régions intérieures	4 318 928	4 532 343	1 771 051
MAECI	390 000	719 723	340 702
Recouvrement de l’ASFC	3 117 240	3 017 443	1 286 935
Total	7 826 168	8 269 509	3 398 688

* Chiffres au 30 septembre 2008

Annexe C : Critères de vérification

Critère 1 : L’équipe de gestionnaires supérieurs des activités et de la TI est mobilisée en vue d’harmoniser les plans stratégiques de la TI avec les besoins opérationnels actuels et futurs.

Critère 2 : Le processus de surveillance et d’évaluation du rendement de la TI à CIC comprend notamment la définition d’indicateurs de rendement pertinents, la production de rapports systématiques et opportuns ainsi que la prise de mesures en temps utile après la découverte d’écarts.

Critère 3 : La détermination et l’affectation des coûts de la TI sont bien comprises par la haute direction, et permettent à CIC de prendre des décisions éclairées concernant l’utilisation des services de TI.

Critère 4 : Le cadre de gouvernance de la TI comprend notamment les structures, les processus, le leadership ainsi que les rôles et les responsabilités nécessaires pour veiller à ce que les investissements dans la TI soient harmonisés et intégrés à la gouvernance ministérielle.

Annexe D : Plan d’action de la direction

Plan d’action de la direction
#	Recommandations	Plan d’action	Responsable	Date cible pour la mise en œuvre
1.	Le Ministère résume les projets de TI en cours ainsi que les résultats relatifs au rendement opérationnel dans un tableau de bord significatif présenté régulièrement à la haute direction afin de l’informer, et transmis au COMEX selon les besoins.	Mettre en œuvre un ou des tableaux de bord à l’intention de la haute direction concernant les mesures de rendement des projets de TI en cours. Produire un tableau de bord sur le rendement des projets à l’intention du COMEX (premier tableau de bord : en mars 2009, dernier tableau de bord : en juin 2009) Produire un tableau de bord sur le rendement de la TI à l’intention du COMEX (premier tableau de bord : en mars 2009, dernier tableau de bord : en juin 2009)	DPI	D’ici le premier trimestre de 2009–2010
2.	Le Ministère met en œuvre la transition prévue vers une approche à l’échelle de CIC en ce qui concerne l’étude détaillée et le financement des investissements en TI, ce qui permet de mieux définir les responsabilités en matière d’examen et d’approbation et d’intégrer une hiérarchie des approbations au processus de décision qui tienne compte des coûts de l’investissement proposé et de l’incidence sur le Ministère.	Définir et mettre en œuvre un processus à l’échelle de CIC concernant la planification des investissements en TI qui mobilise la haute direction en vue d’examiner et d’approuver les investissements en TI. Produire un processus préliminaire à soumettre à l’examen du COMEX (mars 2009) Obtenir l’approbation du COMEX (juin 2009)	DPI	D’ici le premier trimestre de 2009–2010

Annexe E : Calendrier de la vérification

Planification — De juillet à septembre 2008

Examen — D’octobre à novembre 2008

Ébauche transmise à la direction — Le 30 janvier 2009

Finalisation du plan d’action de la direction — Le 17 février 2009

Approbation par le Comité de vérification — Le 7 avril 2009

Notes en bas de page

[1] ISACA.org. [Retour à note 1]
[2] Au cours de la vérification, certains liens hiérarchiques ont été modifiés, et le SMGC relève dorénavant directement du SMA, MSC par l’entremise d’un gestionnaire général. [Retour à note 2]
[3] Plan d’activités de la DGGTI 2008-2011. [Retour à note 3]
[4] Exposé d’ensemble de la DGGTI, le 10 juillet 2008. [Retour à note 4]