Vérification de la gouvernance du portefeuille d'applications opérationnelles de Travaux publics et Services gouvernementaux Canada (rapport final)

Vérification de la gouvernance du portefeuille d'applications opérationnelles de Travaux publics et Services gouvernementaux Canada (Rapport final) (PDF, 666Ko)

31 mars 2016

Sur cette page

Sommaire

i. Travaux publics et Services gouvernementaux Canada (TPSGC) est l'une des plus grandes organisations du gouvernement fédéral du Canada. Elle offre des services communs à plus de 100 ministères et organismes fédéraux, qui fournissent des services à la population canadienne. Bon nombre de ces services reposent sur la technologie de l'information (TI); par conséquent, TPSGC compte grandement sur cette dernière.

ii. En 2010, le Bureau du vérificateur général (BVG) a effectué une vérification des systèmes de TI vieillissants de 5 ministères fédéraux, dont TPSGC. Il a constaté que de nombreuses applications et infrastructures de TI vieillissantes utilisées pour fournir des services clés à la population canadienne représentaient des risques qui pourraient toucher la sécurité ou l'opérabilité des applications et des systèmes. Il a également constaté que les applications et les infrastructures de TI devraient être gérées en fonction d'un portefeuille.

iii. En réponse aux recommandations formulées par le vérificateur général, le Secteur du dirigeant principal de l'Information de TPSGC a établi des mesures visant à résoudre les problèmes signalés en ce qui concerne les applications de TI vieillissantes. Ces mesures sont notamment les suivantes : élaborer un cadre de gestion du portefeuille de gestion de l'information et technologie de l'information (GI-TI), améliorer le cadre de gouvernance de la TI, élaborer un plan d'investissement pluriannuel en GI-TI et élaborer un profil de risque ministériel lié à la TI.

iv. En outre, le Secrétariat du Conseil du Trésor du Canada (SCT) a élaboré une stratégie de gestion du portefeuille d'applications pour aider les ministères à gérer leurs applications de TI vieillissantes en fonction d'un portefeuille.

v. À partir de 2014, la Direction générale du dirigeant principal de l'information (DGDPI) a transféré, en collaboration avec les autres directions générales de TPSGC, les responsabilités et les ressources de la plupart des activités d'exécution (de maintenance) à la DGDPI. Ce transfert a fait en sorte que plus de 100 employés ont été mutés et qu'un financement d'environ 23 M $ a été transféré de façon permanente, en plus d'un montant de 11,7 M $ qui est transféré chaque année en raison de facteurs liés à la source de financement (argent lié aux fonds renouvelables, affectations à but spécial, etc.). La Direction générale a également été restructurée afin de mieux s'acquitter de son nouveau mandat et d'améliorer le service à la clientèle. L'exercice 2015 à 2016 est le premier exercice au cours duquel la DGDPI est entièrement opérationnelle en fonction de son nouveau modèle opérationnel, c'est-à-dire en fonction des ressources humaines et financières en place pour appuyer le nouveau modèle de prestation.

vi. Les ressources financières affectées aux investissements dans les fonctions supplémentaires des applications existantes, à l'introduction d'une nouvelle application, ou à l'habilitation de la transformation des affaires par la GI-TI demeurent au sein des directions générales, tout comme les processus décisionnels liés à ces investissements.

vii. Les mesures prises en réponse au rapport du BVG contribuent à la gestion des applications opérationnelles au moyen de la gestion du portefeuille. La DGDPI a partiellement mis en œuvre certains éléments qui tiennent compte de la Stratégie de gestion du portefeuille d'applications du SCT dans le cadre de la gestion de ses applications en fonction d'un portefeuille. Cependant, un certain nombre d'éléments nécessitent des travaux supplémentaires. L'adoption de ces éléments permettrait d'améliorer davantage la gestion du portefeuille, la planification de la GI-TI et la gestion des risques.

viii. Plus important encore, nous avons constaté que les comités de gouvernance ne s'acquittent pas de leur mandat lié à la gestion du portefeuille d'applications opérationnelles de TPSGC. Nous avons également constaté que les renseignements sur le portefeuille d'applications actuel, qui sont recueillis en utilisant les méthodes de gestion du cycle de vie, sont incomplets. De plus, les plans d'action sur la TI vieillissante n'étaient pas disponibles, et les critères d'établissement de l'ordre de priorité des investissements n'ont pas été approuvés avant 2015. Par conséquent, les comités de gouvernance n'étaient pas suffisamment informés pour prendre des décisions d'investissement en GI-TI relatives au portefeuille d'applications opérationnelles, et aucun élément ne permet de prouver que le plan de GI-TI, lié au portefeuille d'applications opérationnelles, est fondé sur les pratiques exemplaires et les priorités les plus élevées afin d'appuyer les décisions ministérielles en matière d'investissement liées au portefeuille d'applications opérationnelles. Enfin, il y a peu d'éléments qui permettent de prouver que les risques liés au portefeuille d'applications opérationnelles sont surveillés de façon appropriée.

ix. En raison de la faiblesse de la gouvernance liée à la gestion du portefeuille d'applications opérationnelles, il n'est pas clair que la planification des investissements en GI-TI et que la gestion du portefeuille sont fondées sur suffisamment de renseignements pour prendre des décisions éclairées.

Réponse de la gestion

La direction a eu l'occasion d'examiner le rapport et est d'accord avec les conclusions et les recommandations de celui-ci. Par ailleurs, elle a élaboré un Plan d'action de la gestion pour donner suite à ces recommandations.

Recommandations et plans d'action de la gestion

Recommandation 1 : Le Dirigeant principal de l'information, Direction générale du dirigeant principal de l'information, devrait mettre à jour et mettre pleinement en œuvre un cadre de gestion du portefeuille de Travaux publics et Services gouvernementaux Canada (TPSGC).

Plan d'action de la gestion 1 : La Direction générale du dirigeant principal de l'information (DGDPI) examinera, mettra à jour et mettra en œuvre la gestion de portefeuille d'applications (GPA) conformément au cadre du Secrétariat du Conseil du Trésor du Canada (SCT). Pour ce faire, les mesures suivantes seront prises :

Recommandation 2 : Le Dirigeant principal de l'information, Direction générale du dirigeant principal de l'information, devrait améliorer la structure de gouvernance qui appuie l'investissement en TI.

Plan d'action de la gestion 2 : La DGDPI s'assurera que les comités de gouvernance de la GI-TI du Ministère sont mis à profit et qu'ils sont au cœur du cadre révisé de planification des investissements en GI-TI et de gestion du portefeuille, ainsi que des processus connexes. Pour ce faire, il faudra relancer la gouvernance de la GI-TI, y compris les mesures suivantes :

Recommandation 3 : Le Dirigeant principal de l'information, Direction générale du dirigeant principal de l'information, devrait fournir des renseignements pertinents, notamment sur les stratégies de maintien et de renouvellement, les feuilles de route sur les applications, et les plans d'action sur la TI vieillissante pour les applications essentielles à la mission, afin d'appuyer le processus décisionnel lié à la planification des investissements et à la gestion.

Plan d'action de la gestion 3 : La DGDPI documentera et communiquera les résultats de l'analyse en cours de la GPA, y compris les résultats de l'approche TIME (tolérer, innover, migrer et éliminer) afin d'appuyer le processus décisionnel lié à la feuille de route sur les applications, à la planification des investissements, ainsi qu'aux stratégies de gestion et d'atténuation des risques. Pour ce faire, les mesures suivantes seront prises :

Recommandation 4 : Le Dirigeant principal de l'information, Direction générale du dirigeant principal de l'information, devrait renforcer les processus de gestion des risques liés au portefeuille d'applications opérationnelles.

Plan d'action de la gestion 4 : La DGDPI se fondera sur des résultats découlant de l'analyse de l'approche TIME pour documenter, publier, et communiquer les investissements et les activités nécessaires liés aux applications opérationnelles existantes à l'appui de la gouvernance et des processus décisionnels. Pour ce faire, les mesures suivantes seront prises :

Introduction

1. Cet engagement figure dans le Plan de vérification et d'évaluation fondé sur les risques 2013 à 2018 de Travaux publics et Services gouvernementaux Canada (TPSGC).

2. En tant que l'une des organisations fédérales les plus importantes au Canada, TPSGC fournit des services communs à plus de 100 ministères et organismes fédéraux qui, en retour, offrent des programmes à la population canadienne.

3. TPSGC repose en grande partie sur la technologie de l'information (TI). Un système de TI comprend l'application opérationnelle et l'infrastructure sur laquelle l'application est exécutée. Services partagés Canada (SPC) est responsable de gérer l'infrastructure du gouvernement du Canada, alors que les ministères sont responsables des applications opérationnelles qu'ils utilisent pour fournir leurs services.

4. Certains de ces systèmes de TI sont vieillissants; il s'agit notamment d'anciennes applications opérationnelles, qui sont généralement soutenues par l'ancienne infrastructure. Ces applications opérationnelles créent des risques précis à l'égard du Ministère, et ceux-ci doivent être gérés. Le renouvellement et la modernisation des systèmes de TI sont des projets qui doivent être planifiés à long terme et dont le budget doit lui aussi être établi à long terme. Les coûts de renouvellement et de modernisation des systèmes de TI sont importants et peuvent nécessiter de nombreuses années de financement. De plus, la mise en œuvre peut prendre 5 ans ou plus.

5. En 2010, le BVG a effectué une vérification des systèmes de TI vieillissants de 5 ministères fédéraux, y compris TPSGC. Cette vérification visait à évaluer l'état des applications et des infrastructures de TI vieillissantes utilisées pour la prestation de programmes et de services clés à la population canadienne. Le BVG définit les systèmes de TI vieillissants comme suit : « l'expression ne renvoie pas seulement à l'âge des systèmes, mais aussi aux facteurs qui ont une incidence sur leur durabilité à long terme, notamment l'accès au soutien logiciel et matériel ainsi qu'aux personnes ayant les connaissances et les compétences requises pour faire en sorte que les systèmes continuent de fonctionner. L'expression renvoie aussi à la mesure dans laquelle un système peut être adapté en fonction de nouveaux besoins organisationnels ou des nouvelles technologies, comme l'accès en ligne 24 heures sur 24, 7 jours sur 7 ».

6. Selon le BVG, bien qu'un nombre important de systèmes de TI du gouvernement du Canada répondent aux besoins actuels, ils deviennent de plus en plus coûteux à exploiter et posent des risques qui pourraient nuire à la sécurité ou restreindre la façon dont le gouvernement mène ses activités. Parmi les risques les plus importants, on compte la possibilité que les systèmes de TI critiques vieillissants puissent simplement ne plus fonctionner, empêchant ainsi le gouvernement de fournir des services clés au public.

7. Selon les résultats obtenus, le BVG a formulé les recommandations suivantes à l'intention de TPSGC :

  1. Recommandation 1.49 : TPSGC devrait adopter une approche axée sur la gestion de portefeuille pour l'ensemble du ministère afin de veiller à cibler les investissements dans les TI actuels et prévus qui favorisent le plus l'atteinte des objectifs opérationnels, avec un niveau de risque acceptable et à un coût raisonnable
  2. Recommandation 1.50 : TPSGC devrait élaborer un plan d'investissement pluriannuel dans les TI qui assure un bon équilibre entre les investissements obligatoires, de soutien et discrétionnaires requis pour appuyer les systèmes en place et améliorer la prestation des services
  3. Recommandation 1.59 : TPSGC devrait élaborer un plan d'action pour chaque risque important lié au vieillissement des systèmes de TI. Les plans devraient comprendre les stratégies précises, les activités clés, les produits livrables et les échéances nécessaires pour gérer ces risques. Cette organisation devrait soumettre des rapports périodiques de ses progrès à la haute direction

8. Lors du rapport du BVG, TPSGC était responsable de gérer à la fois les applications et les infrastructures; c'est pourquoi les résultats et les recommandations visaient les systèmes de TI (c'est-à-dire les applications opérationnelles et l'infrastructure). Cependant, depuis la création de SPC en 2011, le Ministère n'est plus responsable de la composante d'infrastructure des systèmes de TI. Par conséquent, notre vérification portait uniquement sur les responsabilités de TPSGC liées aux applications opérationnelles.

9. En réponse aux recommandations formulées par le BVG, le Bureau de la DGDPI de TPSGC a établi un certain nombre de mesures visant à corriger les problèmes signalés. En voici quelques-unes :

  1. élaborer un cadre de gestion du portefeuille de GI-TI
  2. améliorer son cadre de gouvernance de la TI afin d'assurer la surveillance de l'approche de gestion du portefeuille
  3. élaborer un plan pluriannuel d'investissement en GI-TI
  4. élaborer un profil de risque ministériel lié à la TI, surveiller l'état des risques, et établir des rapports à cet égard

10. Un portefeuille est défini comme un ensemble de biens détenus par une institution. Un portefeuille d'applications peut être considéré comme un ensemble d'applications opérationnelles liées à la TI.

11. En outre, en réponse au rapport du BVG, le Secrétariat du Conseil du Trésor du Canada (SCT) a élaboré, en 2013, la Stratégie de gestion du portefeuille d'applications du gouvernement du Canada (la Stratégie du SCT) ainsi qu'un certain nombre de documents à l'appui, comme le document Gestion du portefeuille d'applications du gouvernement du Canada – Gestion du cycle de vie. Cette stratégie vise à fournir un cadre de gestion du portefeuille de GI-TI afin de prendre des décisions sur les applications qui sont fondées sur les pratiques exemplaires et les priorités les plus élevées du portefeuille d'applications de l'organisation, ainsi qu'à soutenir l'élaboration de plans de gestion des applications appropriés. Elle vise également à aider les ministères à réduire le nombre d'applications et à accroître la conformité de celles-ci aux normes d'architecture d'entreprise.

12. Plus précisément, la Stratégie du SCT appuie la gestion du portefeuille en tenant compte des éléments et des objectifs suivants, qui s'appliquent à l'ensemble du portefeuille d'applications :

  1. La gouvernance des applications consiste en une structure de gouvernance rigoureuse qui assure une orientation et une surveillance relative à la gestion de la TI. Grâce à un partenariat entre le gestionnaire de la TI et le propriétaire de l'application opérationnelle, cette stratégie appuie un partage des responsabilités et des processus décisionnels entre ces groupes. Elle tire parti de l'information sur le portefeuille d'applications, comme la classification du portefeuille, l'évaluation de la TI vieillissante, et la gestion du cycle de vie des applications, qui guide l'établissement de l'ordre des priorités en matière d'applications et la planification des risques, qui est ensuite combinée aux ressources d'investissement disponibles afin d'orienter les décisions en matière d'investissement
  2. L'information sur le portefeuille d'applications alimente le processus décisionnel relatif aux investissements en TI en fournissant des renseignements sur la durabilité et les risques liés aux applications.
    1. La classification du portefeuille est un outil servant à classifier et à attribuer des applications aux portefeuilles en fonction de leurs résultats opérationnels, comme il est défini dans l'architecture d'alignement des programmes (AAP), laquelle constitue le modèle de référence du gouvernement du Canada, conformément à la Politique sur la structure de la gestion, des ressources et des résultats. Le regroupement des investissements par portefeuille favorise une vision à l'échelle du Ministère, ce qui aide la direction à tirer des conclusions sur le caractère approprié du solde du portefeuille et accroît sa capacité à influer sur les décisions en matière d'investissement en fonction de l'ensemble du portefeuille
    2. Les évaluations de la TI vieillissante sont effectuées chaque année afin de déterminer les risques que pourrait présenter la TI vieillissante à l'égard des applications essentielles à la mission, ainsi que les mesures à prendre pour atténuer ces risques. En ce qui concerne les applications à haut risque essentielles à la mission, des plans d'action officiels sur la TI vieillissante devraient être élaborés. Les plans d'action pour la TI vieillissante devraient comprendre une description précise des stratégies, des produits livrables, des échéanciers, des sources de financement et des investissements en TI nécessaires pour soutenir les applications essentielles à la mission. Les évaluations de la TI vieillissante et les plans d'action sur la TI vieillissante permettent de nous assurer que les risques qui menacent les systèmes essentiels à la mission sont gérés de façon appropriée
    3. La gestion du cycle de vie des applications est une évaluation officielle de la valeur technologique et opérationnelle de chaque application, effectuée au moyen d'une méthode de gestion du cycle de vie. La première étape consiste en une évaluation de l'état technique, de la valeur opérationnelle et des coûts de soutien de chaque application (« évaluation selon l'approche TIME »), qui permet de déterminer l'approche de gestion à adopter pour chaque application : tolérer, innover, migrer ou éliminer. Une fois que l'approche de gestion a été déterminée, les stratégies de maintien et de renouvellement et les feuilles de route sur la réduction des applications sont élaborées pour orienter la gestion de chaque application
  3. Les investissements prévus en TI représentent les investissements en applications prévus au cours d'une période de planification de 5 ans, ainsi que les investissements discrétionnaires et non discrétionnaires
  4. Le plan de TI est un plan pluriannuel qui décrit le plan global de GI-TI visant le maintien et le renouvellement de l'ensemble du portefeuille d'applications. Il doit comprendre les sources de financement et les investissements pour une période de 3 ans, en plus d'être intégré au plan d'investissement ministériel. Il doit comprendre le rapport sur les investissements prévus en TI, les stratégies de maintien et de renouvellement, les feuilles de route sur la réduction des applications et les plans d'action sur la TI vieillissante relatifs aux applications essentielles à la mission

13. La figure ci-dessous est un diagramme des principaux domaines du cadre de gestion de portefeuille d'applications à l'échelle du gouvernement du Canada.

Figure 1 : Cadre de gestion de portefeuille d'applications - Description de l'image ci-dessous.

Figure 1 : Cadre de GPA :
SCT – Stratégie de GPA du gouvernement du Canada

Description du Cadre de gestion de portefeuille d'applications

La figure ci-dessous est un diagramme des principaux domaines du cadre de gestion de portefeuille d'applications à l'échelle du gouvernement du Canada.

  • Gestion du portefeuille d'applications
  • Gouvernance
  • Classification du portefeuille
    • Approche axée sur les résultats opérationnels
  • Évaluation de la TI vieillissante
    • Risque et vérification de l'état essentiel à la mission
  • Gestion du cycle de vie
    • Valeur opérationnelle et technologique
  • Investissement prévu
  • Plan de TI (plans d'action et feuilles de route)

Contexte

14. Par le passé, les directions générales de Travaux publics et Services gouvernementaux Canada (TPSGC) agissaient de façon indépendante pour maintenir et moderniser leurs applications. Étant donné que les directions générales contrôlaient une partie importante du financement de la GI-TI, la prise de décisions était souvent effectuée en fonction des exigences qui leur étaient propres, ce qui a donné lieu à des chevauchements, à des îlots isolés de données ministérielles et à un effort important visant à « continuer les opérations » dans le cas des applications qui n'ont pas été financées afin de s'assurer que les applications soient mises à jour de façon continue et régulière.

15. À partir de 2014, la Direction générale du dirigeant principal de l'information (DGDPI) a transféré, en collaboration avec les autres directions générales de TPSGC, les responsabilités et les ressources de la plupart des activités d'exécution (de maintenance) à la DGDPI. Ce transfert a fait en sorte que plus de 100 employés ont été mutés et qu'un financement d'environ 23 M $ a été transféré de façon permanente, en plus d'un montant de 11,7 M $ qui est transféré chaque année en raison de facteurs liés à la source de financement (argent lié aux fonds renouvelables, affectations à but spécial, etc.). La Direction générale a également été restructurée afin de mieux s'acquitter de son nouveau mandat et d'améliorer le service à la clientèle. L'exercice 2015 à 2016 est le premier exercice au cours duquel la DGDPI est entièrement opérationnelle en fonction de son nouveau modèle opérationnel, c'est-à-dire en fonction des ressources humaines et financières en place pour appuyer le nouveau modèle de prestation.

16. Les ressources financières affectées aux investissements dans les fonctions supplémentaires des applications existantes, à l'introduction d'une nouvelle application ou à l'habilitation de la transformation des affaires par la GI-TI demeurent au sein des directions générales, tout comme les processus décisionnels liés à ces investissements.

Objectifs de la vérification

17. Cette vérification vise à déterminer si les mesures prises en réponse au rapport sur les systèmes de TI vieillissants effectuée par le BVG en 2010 aident le Ministère à gérer les applications opérationnelles comme un portefeuille.

18. La vérification était axée sur le cadre de gouvernance et de gestion mis en place par TPSGC pour appuyer la mise en œuvre d'une approche de gestion du portefeuille en fonction d'un cadre de gestion du portefeuille de GI-TI, d'un cadre de gouvernance de la TI, d'un plan de GI-TI et d'un profil de risque lié à la TI.

19. Plus précisément, nous avons examiné le cadre de gestion du portefeuille de GI-TI, le cadre de gouvernance de la TI, le plan de GI-TI, le profil de risque lié à la TI et les stratégies de gestion du cycle de vie des applications du portefeuille d'applications opérationnelles.

20. La portée de la vérification était axée sur les applications opérationnelles existantes et ne tenait pas compte des applications en cours d'élaboration ou des infrastructures de TI.

21. Pour obtenir plus de renseignements sur l'objectif, la portée, l'approche et les critères, voir la section « À propos de la vérification » à la fin du présent rapport.

Énoncé de conformité

22. La vérification est conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme en témoignent les résultats du Programme d'assurance et d'amélioration de la qualité.

23. Des procédures de vérification suffisantes et appropriées ont été suivies, et des données probantes ont été recueillies pour attester l'exactitude des constatations et des conclusions énoncées dans le présent rapport et fournir une assurance de niveau de vérification. Les constatations et les conclusions sont fondées sur la comparaison des conditions existantes au moment de la vérification par rapport aux critères de vérification préétablis acceptés par la direction. Les constatations et les conclusions s'appliquent seulement à l'entité examinée ainsi qu'à la portée et à la période visées par la vérification.

Observations

Le cadre de gestion du portefeuille de gestion de l'information et technologie n'a pas été entièrement mis en œuvre

24. En 2011, la DGDPI a élaboré un cadre ministériel de gestion du portefeuille de GI-TI. L'objectif consistait à fournir une approche de gestion intégrée des investissements en GI-TI comme un portefeuille, à répondre aux exigences de la Politique de planification des investissements du SCT, et à donner suite aux recommandations du rapport de 2010 sur les systèmes de TI vieillissants préparé par le BVG. Le cadre de gestion du portefeuille de GI-TI est fondé sur le VAL IT Framework 2.0, une pratique exemplaire de l'industrie visant à aider les organisations à maximiser la valeur des investissements liés à la TI, et ce, à un coût abordable et à un niveau de risque acceptable.

25. Tel qu'il est indiqué dans l'introduction, en 2013, le SCT a publié la Stratégie de gestion du portefeuille d'applications du gouvernement du Canada, ainsi qu'un certain nombre de documents à l'appui, comme le document Gestion du portefeuille d'applications du gouvernement du Canada – Gestion du cycle de vie.

26. Nous nous attendions à ce que le cadre de gestion du portefeuille de GI-TI de TPSGC reflète les exigences de la Stratégie de gestion du portefeuille d'applications du SCT. Nous nous attendions également à ce que TPSGC gère son portefeuille conformément à la stratégie du SCT.

27. Nous avons toutefois constaté que le cadre de TPSGC n'a pas été mis à jour depuis 2011. Par conséquent, il ne reflète pas les exigences énoncées dans la Stratégie de gestion du portefeuille d'applications du SCT de 2013. Nous avons également observé que le cadre de TPSGC ne reflète pas la nouvelle approche de gestion de la GI-TI du Ministère, y compris le transfert des responsabilités et des fonds des directions générales à la DGDPI pour maintenir les applications de TPSGC.

28. Plus important encore, nous avons constaté que la mise en œuvre de la Stratégie de gestion du portefeuille n'était pas constante puisque la mise en œuvre de certains éléments clés est limitée. Les éléments qui, selon nos observations, comportent les lacunes les plus importantes (gouvernance des applications, gestion du cycle de vie des applications et plan de TI) sont décrits plus en détail aux paragraphes 35 et 46.

29. Combler ces lacunes permettrait au Ministère de gérer le portefeuille d'applications opérationnelles conformément à un cadre de gestion du portefeuille rigoureux, démontrant ainsi que les décisions relatives aux investissements sont prises en fonction des pratiques exemplaires et des priorités les plus élevées du Ministère.

30. Gouvernance des applications. TPSGC a mis sur pied 2 comités de gouvernance pour gérer son portefeuille d'applications opérationnelles. Cependant, nous avons constaté que ces comités ne s'acquittent pas de leur mandat lié au portefeuille d'applications opérationnelles. Ce point est expliqué plus en détail à partir du paragraphe 35.

31. Information sur le portefeuille d'applications. Nous avons constaté qu'un peu d'information est fourni et qu'une certaine analyse est effectuée afin d'orienter la prise de décisions relatives aux investissements en TI. Toutefois, les renseignements importants liés aux systèmes essentiels à la mission et à la gestion du cycle de vie des applications ne sont pas disponibles. Ces lacunes ont une incidence sur la qualité des décisions de planification des investissements en TI et compromettent les activités continues liées au portefeuille d'applications opérationnelles du Ministère.

  1. Classification du portefeuille. Nous avons constaté que le plan d'investissement pluriannuel en GI-TI présente des investissements relatifs aux applications en fonction de l'AAP. Cette approche est conforme au modèle de classification établi dans le cadre de la Stratégie de gestion du portefeuille d'applications du SCT. Cependant, nous avons remarqué que le cadre de gestion du portefeuille de GI-TI de TPSGC n'avait pas encore été mis à jour pour refléter cette exigence
  2. Évaluation de la TI vieillissante. Nous avons constaté qu'au moment de la vérification, TPSGC n'avait pas officiellement approuvé la liste des applications opérationnelles essentielles à la mission qui soutiennent les services essentiels à la mission. Cette approche, y compris la clarification des rôles et des responsabilités visant à déterminer, à confirmer et à approuver une liste d'applications de ce type, n'a pas été élaborée. Aucun plan d'action officiel sur la TI vieillissante n'est en place pour soutenir les applications essentielles à la mission. Sans ce plan pour assurer le renouvellement et l'évolution des systèmes à risque élevé et essentiels à la mission, il est possible que les coûts de maintenance des systèmes ne soient pas économiques. Les systèmes essentiels risquent également de ne plus être en mesure de fournir les services essentiels
  3. Gestion du cycle de vie des applications. Nous avons constaté que les applications ont été évaluées régulièrement en fonction de leur état technique, de leur valeur opérationnelle et de leurs coûts de soutien; des évaluations ont été effectuées en 2012, en 2013 et en 2014. Parmi les dix facteurs recommandés pour évaluer l'état technique, nous avons constaté que seulement 2 (langage de programmation et base de données) étaient utilisés. Nous avons constaté également que la note relative à la valeur opérationnelle était fondée sur une évaluation pondérée de 5 éléments de données : l'efficience et la contribution financière, l'importance opérationnelle, l'utilisation, l'efficacité actuelle et l'efficacité future. Les coûts de soutien calculés comprenaient les coûts permanents liés au matériel, aux logiciels et à la main-d'œuvre. En outre, nous avons observé que les applications ont été classées en adoptant l'approche de gestion planifiée TIME (tolérer, innover, migrer et éliminer). Cependant, nous avons constaté que les stratégies de maintien et de renouvellement, et les feuilles de route sur la réduction des applications n'ont pas été préparées systématiquement. Ce point est expliqué plus en détail à partir du paragraphe 46

32. Investissement prévu en TI. Nous avons constaté que les investissements financiers prévus (discrétionnaires et non discrétionnaires) en matière de TI figurent dans le plan d'investissement pluriannuel en GI-TI, qui a été documenté chaque année à l'exception des versions de 2012 à 2013 et de 2016 à 2017. Les investissements prévus en matière d'applications qui ont été signalés sur une période de planification de 5 ans tiennent compte des investissements discrétionnaires et non discrétionnaires, conformément à la stratégie du SCT.

33. Plan de TI. Nous avons constaté que le plan de GI-TI comprenait les priorités ministérielles ainsi que les investissements financiers prévus pour une période de 3 ans. Cependant, nous avons constaté que ce plan n'était pas orienté par une saine gestion du cycle de vie. Plus précisément, il ne comprend pas systématiquement les stratégies de maintien et de renouvellement ni les feuilles de route sur la réduction des applications relatives au portefeuille d'applications, ou les plans d'action sur la TI vieillissante pour les applications essentielles à la mission. Enfin, en examinant le plan, il est difficile de définir la mesure dans laquelle les renseignements sur la gestion du portefeuille influent sur les décisions relatives aux investissements. Sans une saine gestion du cycle de vie, la planification efficace de la GI-TI est compromise. Ce point est expliqué plus en détail à partir du paragraphe 46.

34. Les améliorations apportées au cadre de gestion du portefeuille de GI-TI aideront à confirmer aux responsables des applications opérationnelles que les investissements en TI du Ministère sont gérés d'une manière à employer les pratiques exemplaires en matière de gestion de portefeuille.

Le cadre de gouvernance de la technologie de l'information n'est pas appliqué conformément au cadre de référence

35. La gestion du portefeuille de GI-TI doit être continue puisque le portefeuille est en constante évolution; de plus, sa réussite dépend d'une responsabilisation partagée. La responsabilisation partagée et le processus décisionnel ne peuvent être réalisés sans assurer une gouvernance rigoureuse des applications entre les directions générales et la DGDPI. La gestion du portefeuille de GI-TI assure l'harmonisation des initiatives, des services et des investissements ministériels relatifs à la GI-TI avec les objectifs stratégiques et opérationnels du Ministère.

36. Jusqu'en 2014 à 2015, le Comité directeur GI-TI du Ministère (CDGM) et le forum des directeurs généraux (DG) formaient les comités de gouvernance établis pour habiliter les stratégies et les services de GI-TI. Les membres de ces comités se réunissaient régulièrement et discutaient des enjeux relatifs au portefeuille d'applications opérationnelles. Les résultats de la gestion du portefeuille de GI-TI ont été présentés au CDGM chaque année, de 2011 à 2013.

37. En 2014 à 2015, 2 nouveaux comités, le Comité directeur des directeurs généraux de la GI-TI (CDDGG) et le Comité directeur GI-TI de TPSGC, ont été formés pour appuyer la gestion du portefeuille de GI-TI et remplacer le CDGM et le forum des DG. Le CDDGG offre aux directions générales et aux régions de TPSGC une tribune qui permet d'établir des directives et des orientations opérationnelles au sujet des stratégies, des investissements et des services du Ministère en matière de GI-TI à l'appui des objectifs stratégiques et opérationnels de ce dernier, ainsi que des priorités du gouvernement du Canada. Le Comité directeur GI-TI de TPSGC est un comité composé de sous-ministres adjoints dont le mandat consiste à diriger, à superviser et à faire progresser le programme stratégique de GI-TI du Ministère. Le Comité directeur  GI-TI de TPSGC s'appuie sur les conseils et les recommandations formulés par le CDDGG et ses comités et groupes de travail de soutien.

38. Le mandat du CDDGG, comme il est défini dans le cadre de référence, nécessite d'assumer les rôles et les responsabilités ci-dessous en ce qui a trait au portefeuille d'applications opérationnelles :

  1. recommander au Comité directeur GI-TI de TPSGC les critères relatifs à la valeur économique et stratégique des investissements en GI-TI et aux principes d'établissement de l'ordre des priorités en matière d'investissements, et superviser l'application de ces principes dans le cadre de l'évaluation des propositions d'investissement et de l'établissement des priorités connexes
  2. se prononcer sur les stratégies et les plans opérationnels du Ministère afin de soutenir l'harmonisation permanente du plan stratégique et du portefeuille de services de la DGDPI avec les priorités et les exigences du Ministère

39. Nous avons conclu que le CDDGG ne s'est pas acquitté de son mandat lié au portefeuille d'applications opérationnelles. D'après notre examen des comptes rendus des décisions, nous n'avons trouvé aucun élément prouvant que le Comité :

  1. a recommandé au Comité directeur GI-TI de TPSGC les critères d'établissement de l'ordre de priorité des investissements liés à la GI-TI, puisque ces critères n'ont pas été approuvés ou mis en œuvre avant avril 2015. Par conséquent, les critères n'ont pas été utilisés pour établir l'ordre de priorité des investissements et le Comité n'a pas effectué le suivi des propositions d'investissement à l'aide des critères
  2. a fourni un aperçu de la gestion du portefeuille de GI-TI. Nous avons constaté que la gestion du portefeuille de GI-TI (liée au portefeuille d'applications opérationnelles) a été présentée seulement 2 fois au cours d'une période de 12 mois. La première fois (avril 2014), l'approche relative à la modernisation de la technologie a été présentée. Un an plus tard (avril 2015), les critères relatifs à l'établissement de l'ordre de priorités des investissements relatifs à la GI-TI ont été présentés et acceptés par le CDDGG. Aucune autre stratégie liée à la gestion du portefeuille d'applications n'a été présentée
  3. s'est appuyé sur d'importants renseignements sur la gestion du cycle de vie ou a été tenu au courant des stratégies d'atténuation des risques liées au portefeuille d'applications opérationnelles, comme il est indiqué plus loin dans le présent document

40. Le mandat du Comité directeur GI-TI de TPSGC, comme il est défini dans le cadre de référence, nécessite d'assumer les rôles et les responsabilités ci-dessous en ce qui a trait au portefeuille d'applications opérationnelles :

  1. déterminer l'orientation stratégique des investissements du Ministère sur le plan de la GI-TI et établir l'ordre de priorité de ses activités en cette matière afin de rationaliser les applications opérationnelles de TPSGC de manière à ce qu'elles soient harmonisées avec ses priorités et ses orientations, de même qu'avec celles du gouvernement
  2. superviser la mise en pratique des principes de l'établissement de l'ordre des priorités en ce qui concerne les propositions d'investissement en GI-TI et voir à ce que ces propositions satisfassent aux critères établis en ce qui touche la valeur économique et stratégique des investissements en GI-TI
  3. approuver l'établissement de l'ordre des priorités des investissements relatifs à la GI-TI recommandé par le CDDGG

41. Nous avons conclu que le Comité directeur GI-TI de TPSGC ne s'est pas acquitté adéquatement de l'ensemble de son mandat lié au portefeuille d'applications opérationnelles. D'après notre examen des comptes rendus des décisions, nous n'avons trouvé aucun élément prouvant que le Comité a :

  1. fourni une orientation stratégique relative aux investissements en GI-TI, permettant ainsi de rationaliser les applications opérationnelles du Ministère
  2. supervisé l'application des principes d'établissement de l'ordre de priorité des propositions d'investissement en GI-TI et s'est assuré que ces propositions répondaient aux critères des valeurs économiques et stratégiques des investissements en GI-TI puisque les critères n'ont pas été approuvés avant avril 2015 et qu'aucune réunion du Comité directeur GI-TI de TPSGC n'a eu lieu depuis avril 2014
  3. approuvé l'établissement de l'ordre de priorité des investissements en GI-TI recommandé par le CDDGG ou l'harmonisation des investissements ministériels en GI-TI des autres directions générales. Principalement en raison du portefeuille d'applications opérationnelles, le Comité directeur GI-TI de TPSGC n'a pas pu répondre aux exigences de son mandat indiquées dans le cadre de référence puisque les conseils et les recommandations formulés par le CDDGG étaient limités et que ce dernier n'a pas présenté l'ordre de priorité des investissements en GI-TI au Comité directeur GI-TI de TPSGC puisqu'il s'agit d'un projet en cours. Cela démontre que l'information essentielle sur le portefeuille d'application utilisée pour influer sur l'établissement de l'ordre de priorité des investissements relatifs aux applications ainsi que la planification des risques à l'échelle de l'entreprise n'est pas gérée de façon adéquate

42. Par conséquent, nous n'avons trouvé aucun élément de preuve qui indique que le CDDGG ou le Comité directeur GI-TI de TPSGC a influé sur la gestion de la GI-TI, la planification des investissements, et la gestion des risques. Plus précisément, les critères d'établissement des priorités n'ont pas été élaborés avant 2015, d'importants renseignements sur la gestion du cycle de vie des applications et les résultats de l'analyse connexe n'ont pas été présentés au Comité, et le rapport sur les risques n'a pas été présenté de façon systématique.

43. Nous avons été informés que de nombreuses discussions bilatérales ont eu lieu entre les cadres supérieurs en dehors des réunions du Comité directeur GI-TI de TPSGC. Les directeurs des relations avec les partenaires et les responsables de la gestion du cycle de vie des produits de la DGDPI tiennent des discussions avec leurs homologues des directions générales. Ces rôles ont été présentés dans le cadre de la restructuration pour mieux répondre aux besoins du nouveau mandat et améliorer le service à la clientèle. De plus, les ententes de service avec les partenaires ont été conclues avec chaque direction générale en précisant les activités de changement et de transformation; les partenaires se sont également engagés à mettre hors service les applications dont la valeur opérationnelle est nulle.

44. Bien que ce modèle contribue à la gestion des responsabilités conjointes entre la DGDPI et les directions générales en ce qui a trait aux applications opérationnelles et appuie la planification des investissements et la mise en œuvre de ces plans, ce dernier ne respecte pas les attentes en matière de gouvernance à l'échelle du Ministère, gouvernance nécessaire à la gestion des applications opérationnelles à titre de portefeuille.

45. Le renforcement du cadre de gouvernance de la TI aidera à appuyer les décisions relatives aux investissements en GI-TI en fonction du portefeuille et fournira une orientation pour les stratégies à long terme qui permettra de respecter les priorités courantes et nouvelles du Ministère.

Les décisions relatives aux investissements consignées dans le plan de gestion de l'information et technologie de l'information  ne sont pas systématiquement fondées sur les méthodes de gestion du cycle de vie des applications et les plans d'action sur la technologie de l'information vieillissante

46. La gestion du cycle de vie des applications, qui commence par une évaluation selon l'approche TIME, comprend l'attribution d'une approche planifiée visant à gérer les applications; de plus, les stratégies de maintien et de renouvellement et les feuilles de route sur la réduction des applications forment une partie importante des renseignements et des analyses qui alimentent le processus de planification de la GI-TI. Ces éléments, en plus des plans d'action sur la TI vieillissante concernant les applications essentielles à la mission et le plan d'investissement pluriannuel en GI-TI de TPSGC, orientent les décisions sur la planification des investissements qui sont prises par le gouvernement et les comités de gouvernance et qui sont prises en compte dans le plan de GI-TI.

47. Comme l'a proposé le gouvernement du Canada, TPSGC a adopté le cadre d'évaluation TIME de Gartner, qui est reconnu par l'industrie, afin d'orienter l'approche prévue pour gérer les applications opérationnelles en fonction de l'état technique, de la valeur opérationnelle et des coûts de soutien. Conformément au modèle TIME de Gartner, l'approche prévue pour gérer chaque application s'inscrit dans l'une des catégories suivantes : tolérer, innover, migrer ou éliminer.

48. Cette approche, qui tient compte de l'état technique et de la valeur opérationnelle, permet, dans le contexte des coûts de soutien, d'évaluer la durée de vie limitée des systèmes de TI qui doivent être maintenus, renouvelés ou éliminés.

49. Ensemble, la gestion du cycle de vie des applications et les plans d'action sur la TI vieillissante permettent d'effectuer une surveillance d'entreprise des applications et permettent aux ministères d'axer leurs efforts sur les stratégies de gestion des applications qui sont économiques et qui appuient la continuité des services. Les stratégies de maintien et de renouvellement, les feuilles de route sur la réduction des applications et les plans d'action sur la TI vieillissante qui visent les applications essentielles à la mission décrivent la stratégie nécessaire pour gérer ces applications opérationnelles de façon périodique.

50. Nous nous attendions à ce que les méthodes de gestion du cycle de vie des applications ainsi que les plans d'action sur la TI vieillissante orientent les décisions relatives aux investissements de façon uniforme. Plus précisément, nous nous attendions à ce que le cycle de vie des applications soit évalué régulièrement sur le plan opérationnel et technologique. De plus, nous nous attendions à ce que les résultats de cette évaluation, ainsi que les stratégies de maintien et de renouvellement, les feuilles de route sur la réduction des applications et les plans d'action sur la TI vieillissante visant les applications essentielles à la mission, soient présentés et fassent l'objet de discussions dans le cadre des réunions des comités de gouvernance afin de fournir des directives et d'orienter les décisions relatives aux investissements. Enfin, nous nous attendions à ce que ces éléments soient pris en compte dans le plan de GI-TI de TPSGC.

51. Comme il a été mentionné précédemment, nous avons constaté que les applications de TPSGC étaient évaluées régulièrement, conformément au cadre d'évaluation TIME, même si ce ne sont pas tous les éléments techniques qui ont été évalués. Toutefois, nous n'avons pas trouvé de stratégies de maintien et de renouvellement, de feuilles de route sur la réduction des applications, ou de plans d'action sur la TI vieillissante visant les applications essentielles à la mission. De plus, nous n'avons trouvé aucun élément permettant de prouver que les résultats de la gestion du cycle de vie ou des plans d'action sur la TI vieillissante ont orienté les comités de gouvernance ou ont été pris en compte dans le plan de GI-TI.

52. D'après les résultats de l'utilisation du cadre d'évaluation TIME, un certain nombre d'applications ont été cernées aux fins d'élimination potentielle. Nous avons constaté que le Ministère a réduit le nombre d'applications opérationnelles dans l'ensemble des directions générales de TPSGC, passant de 441 applications en 2010 à 313 en 2014.

53. Cependant, nous avons également constaté que les 313 applications restantes avaient été modernisées de façon limitée. De ce nombre, 142 ont été cernées aux fins de migration potentielle puisqu'elles demeurent importantes pour fournir des services à grande valeur opérationnelle aux clients internes et externes, et ce, même si elles doivent être mises à jour. Toutefois, nous ne connaissons pas les prochaines étapes qui ont été prévues pour ces applications puisqu'aucune stratégie de maintien et de renouvellement n'a été élaborée.

54. Nous avons aussi constaté que les résultats de l'évaluation TIME ont été présentés aux comités de gouvernance en 2012. Cependant, aucun élément ne permet de prouver que les résultats de l'évaluation subséquente ont été présentés à ces comités en 2013 et en 2014. En outre, les produits livrables clés découlant de la gestion du cycle de vie des applications, comme les stratégies de maintien et de renouvellement, les feuilles de route sur la réduction des applications et les plans d'action sur la TI vieillissante visant les applications essentielles à la mission, n'ont pas été préparés et n'ont pas été présentés aux comités de gouvernance. De plus, aucun élément ne permet de prouver que les résultats de la gestion du cycle de vie sont pris en compte dans le plan de GI-TI.

55. Les renseignements obtenus en utilisant les méthodes de gestion du cycle de vie et les évaluations de la TI vieillissante sont importants pour orienter les comités de gouvernance dans le cadre de leur processus décisionnel relatif aux investissements et pour influer sur la planification de la GI-TI. Sans ces renseignements, les décisions sont prises d'après des renseignements incomplets. L'amélioration des renseignements et des analyses découlant de la gestion du cycle de vie aidera à s'assurer que les décisions relatives aux investissements en TI sont prises en fonction des priorités les plus élevées, et ce, pour l'ensemble du portefeuille.

La gestion des risques liés à la technologie de l'information peut être améliorée en surveillant mieux les stratégies

56. Dans le cadre de son rapport sur les systèmes de TI vieillissants, le BVG a défini les risques liés à la TI vieillissante comme suit :

« risques [qui] peuvent avoir des répercussions sur la sécurité ou limiter la façon dont le gouvernement mène ses activités parce qu'il n'est pas facile d'adapter les systèmes aux nouveaux besoins organisationnels découlant de l'adoption de lois, de règlements ou de normes de l'industrie. Le risque le plus important est qu'un système indispensable vieillissant tombe en panne et empêche le gouvernement d'offrir au public des services essentiels ».

57. Afin de gérer les risques liés à la TI vieillissante, le rapport de vérification recommande que TPSGC élabore un plan d'action pour chaque risque important lié au vieillissement de la TI. Ces plans devaient comprendre des stratégies précises, des activités clés, des produits livrables, et les échéances nécessaires pour gérer ces risques. Les personnes responsables de la gestion de ces plans devaient faire état des progrès à la haute direction sur une base régulière.

58. La réponse de TPSGC comportait 2 volets. Le Ministère a accepté d'actualiser son profil de risque pour valider les risques ministériels, y compris ceux liés aux applications de TI vieillissantes. Il a également accepté de mener un exercice d'établissement du profil de risque propre à la TI pour élaborer un profil de risque ministériel lié à la TI.

59. Bien que TPSGC ait indiqué dans son profil de risque organisationnel de 2012 à 2013 et de 2013 à 2014 que la TI vieillissante constituait un risque important, cette mention a été retirée du profil de risque ministériel de 2014 à 2015 puisqu'il a été déterminé qu'il s'agissait d'un risque opérationnel plutôt que d'un risque à l'échelle du Ministère. Réduire le risque lié aux applications de TI vieillissantes à un niveau opérationnel permet de réduire la visibilité et le niveau de surveillance des comités de gestion, et de réduire la capacité des directions générales à orienter la durabilité à long terme des applications essentielles et des investissements en GI-TI, puisque la nature de ce risque est jugée opérationnelle.

A. Profil de risque lié à la technologie de l'information de Travaux publics et Services gouvernementaux Canada (à l'échelle du Ministère)

60. Conformément à l'engagement pris en réponse au rapport du BVG, nous nous attendions à ce que TPSGC élabore un profil de risque lié à la TI et qu'il le mette à jour régulièrement, notamment en déterminant les risques, en désignant le responsable du risque et en élaborant une stratégie de réponse au risque qui serait surveillée et modifiée au besoin.

61. Nous avons constaté qu'un profil de risque ministériel lié à la TI a été élaboré. Un groupe responsable du profil de risque lié à la TI a été formé; en collaboration avec un comité des directeurs généraux spécial, ce groupe a rencontré et interrogé les membres des directions générales de l'ensemble de TPSGC afin de déterminer les principaux risques relatifs à la TI avec lesquels le Ministère doit composer. En fonction de ces travaux, un profil de risque lié à la TI de TPSGC a été élaboré en 2012 pour déterminer les risques et les réponses aux risques.

62. Cependant, nous avons constaté que les responsables des risques n'ont pas été désignés pour les risques importants et que les rapports sur les réponses aux risques étaient incohérents. Les risques indiqués dans le profil de risque lié à la TI de TPSGC n'ont fait l'objet d'aucun rapport ou suivi officiel. De plus, nous avons constaté que le profil de risque n'avait pas été mis à jour depuis 2012.

B. Profil de risque lié à la technologie de l'information de la Direction générale du dirigeant principal de l'information (à l'échelle de la Direction générale)

63. Selon le Guide de gestion des risques de TPSGC, qui a été élaboré conformément au cadre de gestion des risques du SCT, chaque direction générale doit élaborer un profil de risque dans le cadre de son processus de gestion des risques. Les profils de risque des directions générales doivent indiquer les risques liés à la direction générale, les responsables du risque, les réponses aux risques et les critères visant à évaluer les répercussions des réponses aux risques de la direction générale. L'état des réponses aux risques doit être consigné dans la fiche de rendement du sous-ministre chaque semestre.

64. Nous nous attendions à ce que la DGDPI élabore un profil de risque de la Direction générale qui indique les risques propres aux applications de TI vieillissantes. Nous nous attendions également à ce que le profil de risque indique les responsables du risque, les réponses aux risques et les critères visant à évaluer les répercussions des réponses aux risques de la Direction générale. Enfin, nous nous attendions à ce que l'état des réponses aux risques serait consigné dans la fiche de rendement du sous-ministre chaque semestre.

65. Nous avons constaté que la DGDPI a élaboré un profil de risque lié à la TI qui est mis à jour chaque année. Celui-ci indique les risques liés aux applications de TI vieillissantes. Plus précisément, il y a un risque que l'intégrité des biens et des systèmes vieillissants de TPSGC soit compromise.

66. Les réponses aux risques sont déterminées et les responsables des risques sont affectés à chacune de ces réponses. Cependant, nous avons remarqué que les activités clés, les produits livrables, et les échéanciers n'ont pas été clairement précisés et qu'ils ne sont pas mesurables.

67. Actuellement, les rapports sur les risques liés à la TI vieillissante sont consignés dans la fiche de rendement du sous-ministre et font partie d'une cote groupée. Cette cote évalue le pourcentage d'activités de modernisation de la GI-TI qui ont été achevées au cours de l'exercice financier. Puisque les réponses aux risques ne sont pas mesurables, il n'est pas possible d'évaluer les changements dans les niveaux de risque ou de déterminer si les réponses aux risques ont été réalisées.

68. Par conséquent, les renseignements sur les risques et leur atténuation ne peuvent être communiqués aux comités de gouvernance pour orienter la prise de décisions. De plus, aucun élément ne permet de prouver que les activités de gestion des risques sont prises en compte dans le plan de GI-TI. Les réponses aux risques claires et mesurables qui sont surveillées et qui font l'objet de rapports aident à s'assurer que les risques liés à la TI sont bien gérés et orientent la prise de décisions et la planification de façon appropriée.

Conclusion

69. Nous avons constaté que la DGDPI a pris un certain nombre de mesures en réponse au rapport sur les systèmes de TI vieillissants effectuée par le BVG en 2010 afin d'aider le Ministère à gérer les applications opérationnelles, comme un portefeuille. Cependant, nous avons relevé certains points à améliorer dans la gouvernance et la gestion des applications, ainsi que dans le plan de TI.

70. Pour répondre à l'exigence de la Politique de planification des investissements du SCT et aux recommandations tirées du rapport du BVG, TPSGC a publié un cadre de gestion du portefeuille de GI-TI. Certains progrès ont été réalisés lorsque TPSGC a adopté les méthodes de gestion du portefeuille de GI-TI. Plus récemment, le SCT a élaboré la Stratégie de gestion du portefeuille d'applications. Le cadre de gestion du portefeuille de GI-TI de TPSGC doit être mis à jour pour tenir compte des exigences de la Stratégie de gestion du portefeuille d'applications du SCT. Bien que certains des principaux éléments de la Stratégie de gestion du portefeuille d'applications du SCT aient été mis en œuvre, certaines lacunes importantes liées à la mise en œuvre demeurent, en particulier sur le plan de la gouvernance des applications, de la gestion du cycle de vie, des plans d'action sur la TI vieillissante et de l'élaboration du plan de GI-TI.

71. Les comités de gouvernance jouent un rôle important dans la réussite de la gestion du portefeuille de GI-TI. Le Comité directeur GI-TI de TPSGC et le CDDGG ont été formés pour orienter les stratégies et les services relatifs à la GI-TI. Ces comités ne se sont pas acquittés de leur mandat lié à la gestion du portefeuille des applications opérationnelles, comme il est défini dans leur cadre de référence respectif. La gestion du portefeuille de GI-TI n'a peut-être pas été discutée de façon adéquate par les comités de gouvernance ou ceux-ci n'ont peut-être pas réalisé de progrès à son égard; aucun élément ne permet de prouver que la gestion du portefeuille de la GI-TI a orienté la prise de décisions relatives aux investissements en GI-TI.

72. Les méthodes de gestion du cycle de vie des applications fournissent des renseignements sur l'état du cycle de vie des applications et sur leurs approches de gestion afin d'aider à orienter la prise de décisions. Nous avons constaté que les applications de TPSGC étaient évaluées de façon régulière, selon la méthode d'évaluation TIME. La DGDPI a utilisé les résultats pour regrouper les applications dans son portefeuille et en réduire le nombre. Toutefois, les stratégies de maintien et de renouvellement et les feuilles de route sur la réduction des applications n'ont pas été préparées. Plus important encore, aucun élément ne prouve que les renseignements sur le cycle de vie des applications ou les plans d'action sur la TI vieillissante ont été utilisés pour orienter les décisions relatives aux investissements en GI-TI.

73. Conformément à l'engagement pris en réponse au rapport du BVG, TPSGC a mis à jour son profil de risque organisationnel pour y inclure les applications de TI vieillissantes et a élaboré un profil de risque lié à la TI. Bien que TPSGC ait indiqué dans son profil de risque organisationnel de 2012 à 2013 et de 2013 à 2014 que la TI vieillissante constituait un risque important, cette mention a été retirée du profil de risque organisationnel de 2014 à 2015 puisqu'il a été déterminé qu'il s'agissait d'un risque opérationnel. La classification des risques liés aux applications opérationnelles de TI vieillissantes permet de réduire la surveillance de la gestion de ces risques et, puisque ceux-ci ne font pas l'objet d'une discussion au niveau approprié, cette classification ne peut fournir aux ministères une tribune permettant de gérer la stratégie à long terme ou les investissements en GI-TI pour ces applications de TI vieillissantes.

74. En 2012, TPSGC a élaboré un profil de risque lié à la TI à l'échelle du Ministère qui indiquait les risques et les réponses aux risques. Les rapports sur les risques étaient incompatibles et le profil de risque lié à la TI ne comportait aucun rapport officiel sur les risques ou les réponses aux risques. De plus, ce profil n'a pas été mis à jour depuis sa mise en œuvre. Par conséquent, aucun élément ne permet de prouver que les stratégies d'atténuation des risques sont surveillées ou que la gestion des risques oriente la prise de décisions relatives aux investissements en GI-TI.

75. La DGDPI a élaboré un profil de risque lié à la TI qui est mis à jour chaque année et qui détermine les risques liés aux applications de TI vieillissantes. Les réponses aux risques sont déterminées et les responsables des risques sont affectés à chacune de ces réponses. Cependant, les activités clés, les produits livrables, et les échéanciers n'ont pas été clairement précisés et ne sont pas mesurables. Ainsi, il n'est pas possible d'évaluer les changements dans les niveaux de risque ou de déterminer si les réponses aux risques ont été réalisées. Par conséquent, les renseignements sur les risques et leur atténuation ne peuvent être communiqués aux comités de gouvernance pour orienter la prise de décisions. Les réponses aux risques claires et mesurables qui sont surveillées et qui font l'objet de rapports aident à s'assurer que les risques liés à la TI sont bien gérés et orientent la prise de décisions et la planification de façon appropriée.

Réponse de la gestion

La direction a eu l'occasion d'examiner le rapport et est d'accord avec les conclusions et les recommandations de celui-ci. Par ailleurs, elle a élaboré un Plan d'action de la gestion pour donner suite à ces recommandations.

Recommandations et plan d'action de la gestion

Recommandation 1 : Le Dirigeant principal de l'information, Direction générale du dirigeant principal de l'information, devrait mettre à jour et mettre pleinement en œuvre un cadre de gestion du portefeuille de TPSGC.

Plan d'action de la gestion 1 : La DGDPI examinera, mettra à jour et mettra en œuvre la gestion de portefeuille d'applications (GPA) conformément au cadre du SCT. Pour ce faire, les mesures suivantes seront prises :

Recommandation 2 : Le Dirigeant principal de l'information, Direction générale du dirigeant principal de l'information, devrait améliorer la structure de gouvernance qui appuie l'investissement en TI.

Plan d'action de la gestion 2 : La DGDPI s'assurera que les comités de gouvernance de la GI-TI du Ministère sont mis à profit et qu'ils sont au cœur du cadre révisé de planification des investissements en GI-TI et de gestion du portefeuille, ainsi que des processus connexes. Pour ce faire, il faudra relancer la gouvernance de la GI-TI, y compris les mesures suivantes :

Recommandation 3 : Le Dirigeant principal de l'information, Direction générale du dirigeant principal de l'information, devrait fournir des renseignements pertinents, notamment, sur les stratégies de maintien et de renouvellement, les feuilles de route sur les applications et les plans d'action sur la TI vieillissante pour les applications essentielles à la mission, afin d'appuyer le processus décisionnel lié à la planification des investissements et à la gestion.

Plan d'action de la gestion 3 : La DGDPI documentera et communiquera les résultats de l'analyse en cours de la GPA, y compris les résultats de l'approche TIME (tolérer, innover, migrer et éliminer) afin d'appuyer le processus décisionnel lié à la feuille de route sur les applications, à la planification des investissements, ainsi qu'aux stratégies de gestion et d'atténuation des risques. Pour ce faire, les mesures suivantes seront prises :

Recommandation 4 : Le Dirigeant principal de l'information, Direction générale du dirigeant principal de l'information, devrait renforcer les processus de gestion des risques liés au portefeuille d'applications opérationnelles.

Plan d'action de la gestion 4 : La DGDPI se fondera sur des résultats découlant de l'analyse de l'approche TIME pour documenter, publier et communiquer les investissements et les activités nécessaires liés aux applications opérationnelles existantes à l'appui de la gouvernance et des processus décisionnels. Pour ce faire, les mesures suivantes seront prises :

À propos de la vérification

Pouvoir

Cet engagement figurait dans le Plan de vérification et d'évaluation fondé sur les risques de 2013 à 2018 de Travaux publics et Services gouvernementaux Canada (TPSGC).

Objectif

Cette vérification vise à déterminer si les mesures prises en réponse au rapport sur les systèmes de TI vieillissants effectuée par le BVG en 2010 aident le Ministère à gérer les applications opérationnelles comme un portefeuille.

Portée et approche

La vérification portait sur les activités des 3 derniers exercices, soit de 2012 à 2013 à 2014 à 2015.

La vérification était axée sur le cadre de gouvernance et de gestion mis en place par TPSGC pour appuyer la mise en œuvre d'une approche de gestion du portefeuille en fonction d'un cadre de gestion du portefeuille de GI-TI, d'un cadre de gouvernance de la TI, d'un plan de GI-TI et d'un profil de risque lié à la TI.

La portée de la vérification était axée sur les applications opérationnelles existantes et ne tenait pas compte des applications en cours d'élaboration ou des infrastructures de TI.

Cette vérification a été effectuée conformément aux Normes internationales pour la pratique professionnelle de l'audit interne de l'Institut des vérificateurs internes.

Critères

Les critères de vérification utilisés ont été élaborés en fonction du Rapport du printemps 2010 de la vérificatrice générale du Canada à la Chambre des communes – Le vieillissement des systèmes de technologie de l'information et le cadre Control Objectives for Information and Related Technology (COBIT).

Les critères étaient les suivants :

Travaux de vérification terminés

Les travaux de vérification sur place ont été achevés en grande partie le 20 avril 2015.

Équipe de vérification

La vérification a été effectuée par des membres du Bureau de la vérification et de l'évaluation, sous la supervision du directeur de la Vérification interne et la direction générale du dirigeant principal de la vérification et de l'évaluation.

La vérification a été examinée par la fonction d'évaluation de la qualité du Bureau de la vérification et de l'évaluation.

Signaler un problème ou une erreur sur cette page
Date de modification :