2009-715 Vérification des conventions écrites entre la DGSIT et certaines directions générales (Rapport final)

Le 24 mars 2011

Table des matières

• Points saillants
• Introduction
• Objectif de la vérification
• Énoncé d'assurance
• Observations
  • Contenu et spécificité des conventions écrites
    • La portée et l'ampleur des services fournis aux directions générales clientes sont insuffisantes
  • Identification des systèmes essentiels dans les conventions écrites
    • Aucune mention des systèmes essentiels n'est faite dans les conventions écrites
  • Normes de service et rapports connexes
    • Les niveaux de service déterminés dans les conventions écrites et le rendement par rapport à ces niveaux de service ne sont pas toujours mesurés et signalés
• Conclusion
• Réponse de la gestion
• Recommandations et plan d'action de gestion
• À propos de la vérification

Points saillants

Objet

• i. Les conventions écrites entre un fournisseur de services de technologie de l'information (TI) et son client visent à : définir les rôles et les responsabilités des deux parties; décrire les types de services à fournir, ainsi que les coûts liés à ces services et aux niveaux auxquels les services doivent être fournis; définir le processus d'établissement des rapports et de surveillance des services, des coûts et du rendement par rapport aux niveaux de service. La Direction générale des services d'infotechnologie (DGSIT) de Travaux publics et Services gouvernementaux Canada (TPSGC) offre des services de TI à d'autres directions générales de TPSGC. La nature et la portée de ces services sont établies dans des conventions écrites.

Pertinence

• ii. Les directions générales dépendent des services de TI fournis par la DGSIT pour exécuter leurs programmes et leurs services. L'investissement important des directions générales est géré, en partie, par des conventions écrites pour la prestation de services de TI. Les conventions écrites sont importantes puisqu'elles constituent l'arrangement obligatoire officiel qui aide les fournisseurs de services à gérer les attentes des clients et qui aide les clients à gérer et à mesurer la qualité des services de TI reçus.

Constatations

• iii. Nous avons constaté que des conventions écrites pour les services de TI étaient en place, mais que des améliorations pourraient être apportées pour aider les directions générales clientes à mieux comprendre leurs services et les coûts qui y sont liés, à mieux gérer et mesurer la qualité des services de TI reçus.

• iv. Nous avons constaté que les directions générales étaient chargées de l'élaboration du plan de continuité des activités. Nous avons aussi constaté que les systèmes essentiels du Ministère à l'appui des services essentiels, étaient déterminés par l'entremise du plan de continuité des activités à l'échelle de TPSGC. Cependant, il n'y a pas de liste globale convenue de tous les systèmes essentiels qui est tenue à jour par le Ministère. La DGSIT tient une liste des systèmes essentiels financés pour la reprise après sinistre. Toutefois, les systèmes essentiels aux directions générales qui n'étaient pas financés pour la reprise après sinistre ne figuraient pas sur la liste de la DGSIT. En l'absence de renvois particuliers aux systèmes essentiels des directions générales dans les conventions écrites, une certaine confusion peut exister à savoir si les exigences en matière d'urgence des systèmes essentiels sont couvertes, ou non, par les services de la DGSIT.

• v. Enfin, nous avons constaté que les conventions écrites contenaient peu de niveaux de service. Le rendement par rapport à certains niveaux de service a été surveillé par la DGSIT, mais les résultats n'ont pas été communiqués au client.

Réponse de la gestion

La DGSIT a examiné le rapport et accepte les recommandations relatives à la vérification qui figurent dans le présent document. Elle donnera suite à ces recommandations en complétant la mise en œuvre du plan d'action de gestion ci-joint.

Recommandations et plan d'action de gestion

Recommandation 1 : Le président-directeur général de la Direction générale des services d'infotechnologie, en consultation avec les directions générales clientes, devrait examiner les conventions écrites afin de garantir qu'elles sont suffisamment complètes et  comprennent des définitions détaillées pertinentes des services et des coûts connexes.

• Plan d'action de gestion 1.1 : Créer un groupe de travail sur l'accord sur les niveaux de service (ANS) auquel prendront les directions générales clientes afin d'obtenir leurs commentaires sur les points à améliorer dans l'ANS relativement à l'application.

• Plan d'action de gestion 1.2 : Élaborer le modèle d'ANS standard de 2011-2012 relativement à l'application, qui servira de norme à toutes les directions générales de TPSGC. Ce modèle les aidera à mieux comprendre les niveaux de service et les coûts qui s'y rattachent, en plus d'améliorer la qualité et la quantité des niveaux de service, ainsi que le rendement par rapport aux niveaux de service.

• Plan d'action de gestion 1.3 : Mettre en œuvre le modèle d'ANS standard relativement à l'application de 2011-2012 dans toutes les directions générales de TPSGC.

• Plan d'action de gestion 1.4 : Créer un groupe de travail sur l'Entente avec le client pour le recouvrement des coûts (ECRC) auquel prendront part les directions générales clientes afin d'obtenir leurs commentaires sur les points à améliorer dans les ECRC.

• Plan d'action de gestion 1.5 : Élaborer le modèle d'ECRC standard de modification de l'application de l'exercice 2012-2013 en collaboration avec les directions générales clientes. Ce modèle servira de norme à toutes les directions générales clientes de TPSGC. Il les aidera à mieux comprendre l'incidence des changements sur les niveaux de service et les coûts connexes. Le modèle permettra également d'améliorer la qualité et la quantité des niveaux de service, ainsi que le rendement par rapport aux niveaux de service.

• Plan d'action de gestion 1.6 : Mettre en œuvre le modèle d'ECRC standard de modification de l'application de l'exercice 2012-2013 dans toutes les directions générales de TPSGC.

Recommandation 2 : Le président-directeur général de la Direction générale des services d'infotechnologie, en consultation avec les directions générales clientes, devrait établir une définition convenue des systèmes essentiels à l'appui des services essentiels, tenir une liste de ces systèmes essentiels et s'assurer que tous les systèmes essentiels relevés sont couverts par une convention écrite.

• Plan d'action de gestion 2.1 : Le modèle de l'ANS relativement à l'application sera modifié en vue d'y inclure une définition des systèmes essentiels et le « niveau d'importance » des applications.

• Plan d'action de gestion 2.2 : L'ANS relativement à l'application de 2011-2012 désignera les systèmes essentiels des directions générales et comprendra les services de TI (c.-à-d. du palier 1, 2 ou 3) et les interruptions qui les touchent.

• Plan d'action de gestion 2.3 : La DGSIT tient présentement à jour dans une base de données une liste des applications des directions générales qu'elle prend en charge. Elle mettra cette base de données (SIGO) à jour selon le rapport Continuité opérationnelle et exigences essentielles en matière de TI (COEETI) de 2010 et après avoir reçu l'approbation de la direction générale cliente.

Recommandation 3 : Le président-directeur général de la Direction générale des services d'infotechnologie, en consultation avec les directions générales clientes, devrait améliorer la qualité et la quantité de niveaux de service établis dans les conventions écrites, et s'assurer que le rendement par rapport aux niveaux de service est surveillé et signalé aux directions générales clientes.

• Plan d'action de gestion 3.1 : Élaborer un cadre de gestion des services axés sur la clientèle, en consultation avec les directions générales clientes, afin d'améliorer les niveaux de service et d'établir la fréquence de production des rapports sur la qualité et la quantité des niveaux de service essentiel en fonction des renseignements que détient la DGSIT à l'heure actuelle.

• Plan d'action de gestion 3.2 : Mettre en œuvre le cadre de gestion de services axés sur les clients.

• Plan d'action de gestion 3.3 : Les niveaux de service convenus, qui précisent la fréquence des activités de surveillance et de production de rapports, seront intégrés à la fois aux nouveaux modèles d'ANS relativement à l'application et aux ECRC de modification.

• Plan d'action de gestion 3.4 : Créer un groupe de travail matriciel, auquel prennent par les directions générales clientes, afin d'améliorer la quantité et la qualité des niveaux de service dans l'optique d'intégrer les améliorations apportés aux ANS de l'exercice 2012 – 2013.

• Plan d'action de gestion 3.5 : Élaborer un cadre de mesure du rendement lié aux niveaux de service, qui englobe la surveillance des services fournis et la production de rapports destinés aux directions générales clientes.

Introduction

• 1. Le mandat de Travaux publics et Services gouvernementaux Canada (TPSGC) est d'agir comme organisme de services communs pour les divers ministères et organismes du gouvernement du Canada. En mettant l'accent sur des services de qualité et une saine gérance financière, TPSGC fournit le meilleur rapport qualité-prix en permettant à d'autres ministères et organismes d'assurer la prestation de leurs programmes et de leurs services à la population canadienne.

• 2. En tant que premier organisme fédéral de services communs, il est important pour TPSGC de bien comprendre les besoins de ses clients et d'y répondre. À cette fin, TPSGC a lancé sa stratégie de service à la clientèle en 2010-2011, afin d'améliorer les relations du Ministère avec les clients du gouvernement. Une partie de cette initiative consiste à clarifier les rôles et les attentes du Ministère et de ses clients en établissant un cadre amélioré de conventions avec les organisations clientes. Le cadre vise également à permettre des discussions stratégiques entre les clients et TPSGC. La mise en œuvre du cadre amélioré sera effectuée progressivement à partir de 2010-2011 et se poursuivra en 2011-2012 avec les clients les plus importants du Ministère.

• 3. En plus de fournir des services aux ministères et organismes du gouvernement du Canada, la plupart des directions générales de TPSGC fournissent aussi des services à d'autres directions générales au sein du Ministère. La DGSIT fournit des services de TI à des clients externes et internes à TPSGC. Ces services comprennent : le soutien continu pour les applications opérationnelles; les modifications importantes aux applications existantes ou la mise en œuvre de nouvelles applications; la maintenance et le soutien des services d'infrastructure de TI. La nature et la portée des services fournis à d'autres directions générales de TPSGC sont établies dans des conventions écrites, qui servent à aider les directions générales à gérer leur investissement en TI.

• 4. Les conventions écrites entre la DGSIT et ses clients définissent les rôles et les responsabilités des deux parties, décrivent les types de services à fournir, ainsi que les coûts liés à ces services et aux niveaux auxquels les services doivent être fournis, et définissent le processus d'établissement des rapports et de surveillance des services, des coûts et du rendement par rapport aux niveaux de service. Ces derniers sont la cible des services convenus entre le fournisseur de services de TI et ses clients. Des exemples de normes de service comprennent la disponibilité ou le temps d'arrêt d'une application opérationnelle particulière sur une période précise, la rapidité à laquelle la DGSIT répondra, ou les heures ouvrables pendant lesquelles les services seront fournis.

• 5. Le cadre de gestion des services de TPSGC a été établi par la DGSIT pour fournir aux directions générales un cadre de haut niveau pour les conventions écrites existantes. Des accords de continuité couvrent la gestion, la maintenance, les corrections de programme mineures et les améliorations mineures des applications opérationnelles existantes. Des accords de changement couvrent les modifications importantes des applications existantes, ainsi que l'élaboration de nouvelles applications et de nouveaux services. Les coûts liés aux services décrits dans ces conventions sont payés par les directions générales clientes à la DGSIT.

• 6. De plus, il existe un accord sur les niveaux de service entre la DGSIT et l'ensemble des directions générales clientes pour couvrir la fourniture continue de services de maintenance, de soutien et de mises à niveau de la sécurité pour les services partagés d'infrastructure de TI. Tous les ans, chaque direction générale transfère des fonds à la DGSIT pour les coûts partagés des services de centres de données, des services d'informatique répartie, des services du réseau et des services de sécurité des technologies de l'information (TI). Pour les besoins de cette vérification, les conventions écrites comprennent les accords de continuité, les accords de changement et les accords sur les niveaux de service.

• 7. Il est particulièrement important de disposer de conventions écrites claires pour les services fournis en vue de soutenir les systèmes essentiels, puisque les incidences liées à l'intégrité et à l'exploitation de ces systèmes pourraient avoir des effets importants sur les activités du Ministère. Un système essentiel est défini comme étant un système qui soutient un service considéré comme essentiel. Les services sont tenus pour essentiels lorsque la compromission de leur disponibilité ou de leur intégrité causerait un tort important à la santé, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada.

• 8. La Direction générale de la comptabilité, de la gestion bancaire et de la rémunération (DGCGBR) est la direction générale de TPSGC dont l'investissement en TI, géré en partie par des conventions écrites avec la DGSIT, est le plus important. La DGCGBR dispose également du plus grand nombre de systèmes essentiels soutenus par la DGSIT. L'investissement en TI de la Direction générale des biens immobiliers (DGBI) vient au deuxième rang. Pour 2009-2010, les coûts des services de soutien de l'infrastructure gérés par des accords de continuité se sont élevés à 31,1 millions de dollars pour la DGCGBR et à 21,1 millions de dollars pour la DGBI. Les coûts gérés par des accords de changement pour 2009-2010 pour la DGCGBR s'élevaient à 11,2 millions de dollars, et à 7,3 millions de dollars pour la DGBI. Les coûts totaux des services partagés d'infrastructure de TI gérés par l'entremise de l'accord sur les niveaux de service s'élevaient à 99,1 millions de dollars pour 2009-2010 pour toutes les directions générales clientes.

Objectif de la vérification

• 9. Les objectifs de la vérification visaient à déterminer si des conventions écrites appropriées étaient en place entre certaines directions générales et la DGSIT, et si cette dernière satisfaisait aux exigences des directions générales visées, énoncées dans les conventions écrites.

• 10. La vérification a mis l'accent sur les accords de continuité et de changement entre la DGSIT et deux des directions générales de TPSGC : la DGCGBR et la DGBI. La vérification a également examiné l'accord sur les niveaux de service entre la DGSIT et toutes les autres directions générales de TPSGC. Même si la vérification était exclusivement axée sur les conventions écrites entre la DGSIT et deux directions générales de TPSGC, on s'attendait à ce que les résultats de la présente vérification puissent aussi servir à améliorer les conventions établies avec d'autres directions générales clientes ainsi que des clients à l'extérieur de TPSGC. Un complément d'information sur l'objectif, la portée, l'approche et les critères de la vérification figure à la section « À propos de la vérification » à la fin du présent rapport.

• 11. La vérification portait sur le contenu des conventions écrites. Elle ne visait pas à évaluer la gestion globale des investissements en TI des ministères. Par conséquent, la vérification n'a pas porté sur la façon dont les conventions écrites permettent de gérer les investissements en TI ni sur l'examen des documents et des processus complémentaires mis en place par la DGSIT et les directions générales clientes pour gérer leurs investissements en TI.

Énoncé d'assurance

• 12. La présente vérification a été réalisée conformément aux Normes internationales pour la pratique professionnelle de la vérification interne de l'Institut des vérificateurs internes.

• 13. Des procédures de vérification suffisantes et appropriées ont été suivies et des éléments probants ont été recueillis pour appuyer l'exactitude des constatations et des conclusions énoncées dans le présent rapport et fournir une assurance de niveau de vérification. Les constatations et les conclusions sont fondées sur une comparaison des conditions telles qu'elles existaient alors, aux critères de vérification préétablis qui ont été acceptés par la direction. Les constatations et les conclusions s'appliquent seulement à l'entité examinée ainsi qu'à l'étendue et à la période visées par la vérification.

Observations

Contenu et spécificité des conventions écrites

La portée et l'ampleur des services fournis aux directions générales clientes sont insuffisantes

• 14. Des conventions écrites claires et complètes sont exigées pour éviter les malentendus entre les participants, puisqu'elles permettent aux fournisseurs de services de gérer les attentes des clients et à ces derniers de gérer et de mesurer la qualité des services de TI reçus. Sans un niveau approprié de détail dans ces conventions, et en l'absence de processus et de documents complémentaires, il y a un risque que la DGSIT et les directions générales clientes interprètent différemment les services à fournir, le coût de ces services et si les services sont fournis au niveau prévu.

• 15. Nous nous attendions à ce que les ententes de services fournissent des détails suffisants pour aider les clients à gérer et à mesurer les services reçus.

• 16. Nous avons constaté que, bien que des conventions écrites soient en place, elles manquaient souvent de détails, notamment : une description complète des services à fournir, ce que ces services comprennent, ou le moment où les services doivent être exécutés. Plus précisément, dans les accords de continuité et de changement entre la DGSIT et la DGCGBR, les descriptions des services étaient incomplètes ou non incluses. Par exemple, les accords de changement concernant le Rapport sur la rémunération, la Direction des rapports des comptes publics et centraux (DRCPC) et la Direction des produits financiers et des rapports ne contenaient pas de descriptions des services. En ce qui concerne les exemples précités, nous avons constaté que les clients devaient se fier à des descriptions des services contenues dans d'autres documents internes indépendants des conventions écrites.

• 17. Nous avons constaté que, dans le cas de nombreux services de TI, un seul montant en guise de coût était indiqué dans les conventions écrites, représentant la somme des coûts de tous les services couverts par les conventions. Il n'existait aucune répartition détaillée du montant qui permettrait aux directions générales clientes de comprendre la répartition des coûts entre les services reçus. Les coûts des accords sur les niveaux de service qui sont documentés dans les rapports relatifs aux services de soutien de l'infrastructure indiquent un seul montant pour les coûts des accords sur les niveaux de service, comme les services de télécommunications et les services de reprise après sinistre. Le rapport relatif aux services de soutien de l'infrastructure est présenté tous les ans par la DGSIT à chaque direction générale. Par exemple, le rapport relatif aux services de soutien de l'infrastructure à l'intention du Receveur général (DGCGBR) pour 2008-2009 et 2009-2010 attribuait un seul montant de 2,7 millions de dollars pour les services de reprise après sinistre de la DGCGBR. Ce montant unique figurant dans le rapport relatif aux services de soutien de l'infrastructure n'a pas permis en soi à la DGCGBR d'effectuer une analyse des coûts du montant facturé. La direction générale cliente n'a pas reçu de renseignements adéquats pour justifier les montants facturés chaque année et devait se fier à des documents et processus complémentaires pour déterminer si les montants étaient raisonnables. Le fait que les directions générales doivent consulter différents documents pour vérifier les montants facturés rend le processus moins efficace que si l'information figurait dans un seul document, comme une convention écrite.

• 18. Nous avons constaté en outre que les exigences en matière de sécurité des TI ont été traitées uniquement à un niveau élevé dans l'accord sur les niveaux de service. Il n'existait aucune documentation détaillée dans ces accords sur les exigences particulières en matière de sécurité des systèmes et de protection des renseignements personnels pour ce qui est de la confidentialité, de l'intégrité et de la disponibilité des données gérées par l'entremise de ces conventions écrites. Bien que les exigences en matière de sécurité des TI soient traitées dans d'autres documents, il est important que les conventions écrites précisent des exigences relatives à la sécurité puisque les pratiques de sécurité au niveau du Ministère peuvent être trop générales pour couvrir de façon adéquate toutes les exigences de chaque application. Des dispositions particulières en matière de sécurité et de protection des renseignements personnels devraient être contenues (au moins pour les systèmes essentiels) dans les conventions écrites entre la DGSIT et les directions générales clientes, car les exigences peuvent être différentes pour chaque application.

• 19. Sans des conventions écrites générales, les directions générales clientes doivent se fier à des documents et processus complémentaires pour gérer leur investissement en TI. Cela pourrait donner lieu à un malentendu concernant les services que la DGSIT doit fournir aux directions générales clientes. À l'heure actuelle, l'absence de descriptions claires dans les conventions écrites et de documents et processus complémentaires peut créer des défis pour les gestionnaires des directions générales clientes lorsqu'il s'agit d'effectuer le rapprochement entre les montants facturés par la DGSIT et les services particuliers fournis. Enfin, sans une description claire des exigences de sécurité et des rôles et des responsabilités connexes dans les conventions écrites, il y a un risque que les directions générales clientes puissent ne pas disposer de tous les renseignements requis pour garantir que leurs systèmes sont protégés de façon adéquate. La DGSIT travaille en collaboration avec certaines de ses directions générales clientes pour en arriver à un nouveau modèle d'accord sur les niveaux de service et améliorer les descriptions de service.

Identification des systèmes essentiels dans les conventions écrites

Aucune mention des systèmes essentiels n'est faite dans les conventions écrites

• 20. Un examen de l'analyse des incidences sur les activités a été effectué à l'échelle de toutes les directions générales de TPSGC en 2009 et 2010 afin d'élaborer des plans de continuité des activités pour chaque direction générale. Ces derniers ont été conçus pour mettre en place des stratégies visant la fourniture continue et la reprise en temps opportun des services essentiels, en cas de crise. Une partie du processus comprenait l'identification des services essentiels de chaque direction générale et des systèmes essentiels qui soutiennent ces services. Les directions générales étaient chargées de l'élaboration du plan de continuité des activités, y compris la détermination des services essentiels et des systèmes essentiels qui soutiennent ces services, ainsi que de la stratégie en vue d'assurer le maintien de ces services en cas de crise. La DGSIT devait déterminer, en collaboration avec les directions générales clientes, la technologie nécessaire pour continuer d'assurer les services essentiels, et coordonner cette capacité avec les ressources convenues.

• 21. La tenue d'une liste convenue complète et à jour des systèmes essentiels qui soutiennent des services essentiels est importante, puisque cela permet à la DGSIT et aux directions générales clientes de s'entendre mutuellement sur les systèmes qui doivent être opérationnels en cas de crise. En l'absence d'une liste convenue des systèmes essentiels et de conventions écrites claires sur le niveau des services fournis pour soutenir ces systèmes essentiels, il existe un risque de confusion à savoir si ces systèmes sont couverts en matière de reprise après sinistre.

• 22. Nous nous attendions à ce qu'une liste commune des systèmes essentiels existe pour tous les services essentiels à TPSGC. Nous nous attendions aussi à ce que les conventions écrites entre la DGSIT et les directions générales clientes indiquent si ces systèmes essentiels sont couverts et, le cas échéant, que les exigences qui leur sont associées en cas de crise y soient officiellement consignées.

• 23. Nous avons constaté qu'un certain nombre de services essentiels propres aux directions générales dépendent d'une gamme de systèmes essentiels soutenus par la DGSIT. Bien qu'une liste des systèmes essentiels soit tenue par la DGSIT, elle ne comprend pas tous les systèmes essentiels identifiés dans le cadre de l'examen de l'analyse des incidences sur les activités. La liste des systèmes essentiels tenue par la DGSIT se limite aux systèmes qui disposent d'une solution de reprise après sinistre déterminée et financée.

• 24. Nous avons également constaté que certaines exigences essentielles de systèmes peuvent ne pas être couvertes par une convention écrite, car la direction peut avoir déterminé d'autres approches ou accepté les risques. Nous avons constaté que c'était le cas pour les exigences essentielles du système de gestion des biens immobiliers, un système pancanadien qui soutient un certain nombre de fonctions de gestion des biens et des installations relatives aux immeubles appartenant au gouvernement fédéral et exploités par ce dernier au Canada. Les exigences essentielles liées au système de gestion des biens immobiliers n'étaient pas visées par une convention écrite.

• 25. En l'absence de renvois particuliers aux systèmes essentiels des directions générales dans les conventions écrites, une certaine confusion peut exister à savoir si les exigences en matière d'urgence des systèmes essentiels sont couvertes, ou non, par les services de la DGSIT. Ainsi, les services essentiels connexes peuvent ne pas être le niveau de service exigé pour les soutenir de façon appropriée au cours d'une crise. Par conséquent, dans le cas d'une panne de système, la reprise peut ne pas être traitée de façon opportune, ou le système pourrait ne pas être accessible pendant des périodes indéfinies, ce qui pourrait entraîner l'incapacité de fournir les services essentiels requis.

Normes de service et rapports connexes

Les niveaux de service déterminés dans les conventions écrites et le rendement par rapport à ces niveaux de service ne sont pas toujours mesurés et signalés

• 26. Les niveaux de service aident à définir le rendement attendu du fournisseur de services de TI. Ils servent à mesurer l'atteinte du rendement par rapport aux engagements établis dans les conventions avec les organisations clientes, et à faire rapport.

• 27. La surveillance et les rapports appropriés du rendement par rapport aux niveaux de service sont essentiels, puisqu'ils permettent à la DGSIT et à ses directions générales clientes de déterminer les problèmes liés à la prestation des services et de mesurer l'avancement de l'amélioration des services.

• 28. Nous nous attendions à ce que les niveaux de service soient indiqués pour les services décrits dans les conventions écrites, et que les exigences de rapport contenues dans ces dernières soient utilisées pour aider à la réalisation de la surveillance des niveaux de service.

• 29. Nous avons constaté que peu de niveaux de service étaient compris dans les conventions écrites, et que les exigences précisées en matière de rapports n'étaient pas toujours respectées. Par conséquent, les directions générales clientes devaient se fier aux documents et processus complémentaires pour surveiller l'exécution des services. Dans le cadre de tous les accords de changement, les trois niveaux de service suivants doivent être surveillés et faire l'objet de rapports : le service a-t-il satisfait aux exigences des utilisateurs; le service a-t-il été fourni à temps; le service a-t-il été fourni selon le budget. Ces niveaux de service devaient faire l'objet de rapports trimestriels, mais nous avons constaté que ce n'était pas le cas. D'autres niveaux de service ont été surveillés par la DGSIT, mais les renseignements n'ont pas été fournis aux directions générales clientes, comme exigé. Par exemple, l'accord sur les niveaux de service comprenait des niveaux de service liés à la disponibilité des applications opérationnelles. Ces niveaux de service étaient surveillés par la DGSIT, mais les résultats n'ont pas été communiqués aux directions générales clientes.

• 30. En l'absence de surveillance appropriée des niveaux de service et des rapports connexes, et en l'absence de processus et de documents complémentaires, il y a un risque que la DGSIT et les directions générales clientes puissent ne pas pouvoir évaluer pleinement les services et déterminer si ces derniers ont satisfait aux attentes établies dans les conventions écrites. Cela est particulièrement important pour les gestionnaires des directions générales clientes afin d'attester que les services ont été rendus conformément à la convention. En l'absence de surveillance appropriée des niveaux de service et des rapports connexes dans les conventions écrites, les clients doivent se fier aux processus et documents complémentaires pour évaluer le rendement. Il serait avantageux pour la DGSIT et les directions générales clientes d'avoir une compréhension commune du rendement obtenu au moyen des niveaux de service convenus.

Conclusion

• 31. Des conventions écrites existent entre la DGSIT et les directions générales clientes pour la fourniture de services de TI. Toutefois, les conventions ne comprenaient pas le niveau approprié de renseignements concernant la nature des services, leurs coûts, les rôles et les responsabilités des participants et les exigences en matière de sécurité. Par conséquent, les directions générales clientes doivent se fier aux documents et processus complémentaires pour gérer leur investissement en TI. De plus, tous les systèmes essentiels n'étaient pas couverts de façon particulière dans les conventions écrites. Cela pourrait exposer l'organisation à des risques en cas de crise, puisque certaines directions générales clientes peuvent présumer que les exigences en matière d'urgence de leurs systèmes essentiels sont couvertes par la convention.

• 32. Enfin, il est difficile de tirer des conclusions à savoir si les exigences des directions générales précisées dans les conventions écrites ont été satisfaites par la DGSIT. Peu d'exigences des directions générales, de normes de services et d'exigences en matière de rapports sont précisées dans les conventions écrites. Lorsque les exigences en matière d'établissement de rapports étaient décrites dans une convention, dans la plupart des cas les rapports n'étaient pas fournis aux directions générales clientes.

Réponse de la gestion

La DGSIT a examiné le rapport et accepte les recommandations relatives à la vérification formulées dans les présentes, et donnera suite à ces recommandations en mettant en application le plan d'action de gestion ci-joint.

Recommandations et plan d'action de gestion

Recommandation 1 : Le président-directeur général de la Direction générale des services d'infotechnologie, en consultation avec les directions générales clientes, devrait examiner les conventions écrites afin de garantir qu'elles sont suffisamment complètes et  comprennent des définitions détaillées pertinentes des services et des coûts connexes.

• Plan d'action de gestion 1.1 : Créer un groupe de travail sur l'accord sur les niveaux de service (ANS) auquel prendront les directions générales clientes afin d'obtenir leurs commentaires sur les points à améliorer dans l'ANS relativement à l'application.

• Plan d'action de gestion 1.2 : Élaborer le modèle d'ANS standard de 2011-2012 relativement à l'application, qui servira de norme à toutes les directions générales de TPSGC. Ce modèle les aidera à mieux comprendre les niveaux de service et les coûts qui s'y rattachent, en plus d'améliorer la qualité et la quantité des niveaux de service, ainsi que le rendement par rapport aux niveaux de service.

• Plan d'action de gestion 1.3 : Mettre en œuvre le modèle d'ANS standard relativement à l'application de 2011-2012 dans toutes les directions générales de TPSGC.

• Plan d'action de gestion 1.4 : Créer un groupe de travail sur l'Entente avec le client pour le recouvrement des coûts (ECRC) auquel prendront part les directions générales clientes afin d'obtenir leurs commentaires sur les points à améliorer dans les ECRC.

• Plan d'action de gestion 1.5 : Élaborer le modèle d'ECRC standard de modification de l'application de l'exercice 2012-2013 en collaboration avec les directions générales clientes. Ce modèle servira de norme à toutes les directions générales clientes de TPSGC. Il les aidera à mieux comprendre l'incidence des changements sur les niveaux de service et les coûts connexes. Le modèle permettra également d'améliorer la qualité et la quantité des niveaux de service, ainsi que le rendement par rapport aux niveaux de service.

• Plan d'action de gestion 1.6 : Mettre en œuvre le modèle d'ECRC standard de modification de l'application de l'exercice 2012-2013 dans toutes les directions générales de TPSGC.

Recommandation 2 : Le président-directeur général de la Direction générale des services d'infotechnologie, en consultation avec les directions générales clientes, devrait établir une définition convenue des systèmes essentiels à l'appui des services essentiels, tenir une liste de ces systèmes essentiels et s'assurer que tous les systèmes essentiels relevés sont couverts par une convention écrite.

• Plan d'action de gestion 2.1 : Le modèle de l'ANS relativement à l'application sera modifié en vue d'y inclure une définition des systèmes essentiels et le « niveau d'importance » des applications.

• Plan d'action de gestion 2.2 : L'ANS relativement à l'application de 2011-2012 désignera les systèmes essentiels des directions générales et comprendra les services de TI (c.-à-d. du palier 1, 2 ou 3) et les interruptions qui les touchent.

• Plan d'action de gestion 2.3 : La DGSIT tient présentement à jour dans une base de données une liste des applications des directions générales qu'elle prend en charge. Elle mettra cette base de données (SIGO) à jour selon le rapport Continuité opérationnelle et exigences essentielles en matière de TI (COEETI) de 2010 et après avoir reçu l'approbation de la direction générale cliente.

Recommandation 3 : Le président-directeur général de la Direction générale des services d'infotechnologie, en consultation avec les directions générales clientes, devrait améliorer la qualité et la quantité de niveaux de service établis dans les conventions écrites, et s'assurer que le rendement par rapport aux niveaux de service est surveillé et signalé aux directions générales clientes.

• Plan d'action de gestion 3.1 : Élaborer un cadre de gestion des services axés sur la clientèle, en consultation avec les directions générales clientes, afin d'améliorer les niveaux de service et d'établir la fréquence de production des rapports sur la qualité et la quantité des niveaux de service essentiel en fonction des renseignements que détient la DGSIT à l'heure actuelle.

• Plan d'action de gestion 3.2 : Mettre en œuvre le cadre de gestion de services axés sur les clients.

• Plan d'action de gestion 3.3 : Les niveaux de service convenus, qui précisent la fréquence des activités de surveillance et de production de rapports, seront intégrés à la fois aux nouveaux modèles d'ANS relativement à l'application et aux ECRC de modification.

• Plan d'action de gestion 3.4 : Créer un groupe de travail matriciel, auquel prennent par les directions générales clientes, afin d'améliorer la quantité et la qualité des niveaux de service dans l'optique d'intégrer les améliorations apportés aux ANS de l'exercice 2012 – 2013.

• Plan d'action de gestion 3.5 : Élaborer un cadre de mesure du rendement lié aux niveaux de service, qui englobe la surveillance des services fournis et la production de rapports destinés aux directions générales clientes.

À propos de la vérification

Autorité

La vérification a été approuvée par le Comité de vérification et d'évaluation de TPSGC dans le cadre du Plan de vérification et d'évaluation axé sur les risques de 2009-2014.

Objectif

Les objectifs de la vérification interne étaient de déterminer si :

• des conventions écrites appropriées sont en place entre les directions générales visées et la DGSIT;
• la DGSIT avait satisfait aux exigences des directions générales visées, et énoncées dans les conventions écrites.

Étendue et méthode

La vérification a été réalisée de mai 2009 à août 2010 et couvrait les mois d'avril 2008 à mars 2010. Elle portait sur l'examen des conventions écrites entre la DGSIT et deux directions générales, soit la Direction générale des biens immobiliers (DGBI) et la DGCGBR. Pour cette dernière, la vérification était axée sur les conventions écrites liées aux services du Receveur général et aux services de rémunération de la Direction générale. Les conventions écrites entre la DGSIT et la DGCGBR relatives aux grands projets de l'État n'ont pas été sélectionnées en particulier pour l'examen. L'objectif de la vérification était d'évaluer l'efficacité du processus de convention écrite à satisfaire aux exigences des directions générales visées. Même si la vérification était exclusivement axée sur les conventions écrites entre la DGSIT et deux directions générales de TPSGC, on s'attendait à ce que les résultats de la présente vérification puissent aussi servir à améliorer les conventions établies avec d'autres directions générales clientes ainsi que des clients à l'extérieur de TPSGC.

La vérification portait sur le contenu des conventions écrites. Elle ne visait pas à évaluer la gestion globale des investissements en TI des ministères. Par conséquent, la vérification n'a pas porté sur la façon dont les conventions écrites permettent de gérer l'ensemble des investissements en TI ni sur l'examen des documents et des processus complémentaires mis en place par la DGSIT et les directions générales clientes pour gérer leurs investissements en TI.

La phase de l'enquête comprenait un examen des processus, des procédures et des lignes directrices pertinents aux conventions écrites. Des entrevues préliminaires ont été tenues auprès des principaux employés de la DGSIT, de la DGBI et de la DGCGBR, et une évaluation détaillée des risques a été effectuée afin de déterminer les secteurs du processus de gestion des niveaux de service qui devraient être compris dans la vérification.

Au cours de la phase de l'examen, des entrevues en profondeur ont été réalisées auprès des principaux employés du Ministère. Les processus, les contrôles et les documents pertinents ont été examinés et testés.

En se fondant sur l'analyse des renseignements et des éléments de preuve recueillis, l'équipe de vérification a formulé des observations de vérification, qui ont été confirmées auprès des gestionnaires appropriés.

La vérification a été réalisée conformément aux Normes internationales pour la pratique professionnelle de la vérification interne de l'Institut des vérificateurs internes.

Critères

Les critères utilisés pour tirer des conclusions par rapport aux objectifs de vérification ont été tirés des Objectifs de contrôle dans les domaines de l'information et des technologies connexes (COBIT® 4.1), du cadre de la Bibliothèque d'infrastructure des technologies de l'information (BITI) et de la Politique sur la sécurité du gouvernement de 2009.

Les critères étaient les suivants :

• les conventions écrites comprennent les rôles et les responsabilités définis des directions générales clientes et de la DGSIT, ainsi qu'une description des services, des niveaux de service et des coûts connexes;

• les directions générales disposent de conventions écrites qui couvrent leurs services essentiels qui dépendent des TI;

• les niveaux de service sont définis dans les conventions écrites et font l'objet de rapports par la DGSIT. Les rapports sur l'atteinte des niveaux de service sont fournis aux directions générales.

Fins des travaux de vérification

Les travaux de vérification dans le cadre de la présente vérification étaient essentiellement terminés le 15 août 2010.

Équipe de vérification

La vérification a été réalisée par les membres du Bureau de la vérification et de l'évaluation et un consultant en vérification, sous la supervision du directeur de la vérification interne et sous la direction générale du chef adjoint de la surveillance.

La vérification a été examinée par la fonction d'examen de la qualité du Bureau de la vérification et de l'évaluation.