Examen de la gouvernance de Statistique Canada avec Services partagés Canada

18 novembre 2014
Numéro de projet : 80590-83

Sommaire

Le paysage des technologies de l'information (TI) a changé à Statistique Canada depuis 2011. Par suite de la création de Services partagés Canada (SPC), la propriété de l'infrastructure des TI et des télécommunications des TI est passée des 43 ministères et organismes, y compris Statistique Canada, à SPC. Ce changement a donné lieu à une dépendance accrue à l'égard d'un tiers pour la prestation de ces services et a obligé Statistique Canada, et plus particulièrement la Direction des TI, à collaborer avec un fournisseur de service nouvellement établi, afin de maintenir des services des TI stables, tout en gérant le programme de transformation ambitieux énoncé par le SCT et SPC. Même si Statistique Canada reconnaît et appuie le programme de modernisation du gouvernement du Canada, des défis se sont posés, le mandat, les priorités et les échéances de SPC ne correspondant pas nécessairement à ceux de Statistique Canada.

Par suite du transfert du contrôle de ces services à SPC, les risques sont plus grands pour la capacité de Statistique Canada de répondre à ses exigences opérationnelles, y compris le Recensement de 2016. Par ailleurs, l'avènement de SPC a fait augmenter le risque inhérent en rapport avec la sécurité des données statistiques de nature délicate pour Statistique Canada, en tant qu'organisation qui recueille et met à jour des données de nature délicate concernant des personnes et des entreprises. Compte tenu de ces risques, la Division de l'audit interne a mené un examen pour déterminer et évaluer la structure de gouvernance actuellement en place pour gérer et superviser les rapports entre SPC et Statistique Canada.

Les objectifs de cette mission étaient d'examiner de façon proactive le cadre de gouvernance, le programme de gestion des risques et les activités de contrôle en place relativement à la gestion des rapports entre Statistique Canada et SPC, en tant que fournisseur de services d'infrastructure des TI externes, et de soumettre des recommandations à l'examen de la direction, afin d'améliorer le cadre de contrôle de gestion actuel.

Cet examen a été mené par la Division de l'audit interne, en conformité avec la Politique sur la vérification interne du gouvernement du Canada.

Principales constatations

Compte tenu des risques inhérents liés à l'avènement de SPC, un cadre de gouvernance a été établi par Statistique Canada pour superviser les rapports avec SPC, y compris les mécanismes de mesures de suivi progressives. Même si ce cadre de gouvernance est en place et fonctionne bien, il n'est pas documenté officiellement pour que les rôles et responsabilités des deux entités soient compris. À l'intérieur de Statistique Canada, des mécanismes de gouvernance interne ont été améliorés, afin d'assurer une approche efficiente et efficace pour la détermination des enjeux et les mesures de suivi progressives.

Un cadre de gestion des risques a été établi et est mis à jour pour documenter et atténuer de façon proactive, dans la mesure du possible, les risques associés aux responsabilités de SPC quant à la gestion d'éléments clés de l'infrastructure des TI et des systèmes de télécommunications de Statistique Canada.

Même si des cadres de gouvernance et de gestion des risques sont en place pour surveiller les rapports avec SPC, au fur et à mesure que ces rapports évoluent, des processus internes doivent être passés en revue et mis à jour, afin de tenir compte des répercussions des rapports avec SPC sur les processus clés.

Conclusion générale

Statistique Canada a adopté une approche proactive dans sa collaboration avec SPC. La structure de gouvernance, même si elle n'est pas documentée, fait en sorte que Statistique Canada est le mieux placé pour faire entendre sa voix et pour atténuer les risques associés à sa perte de contrôle concernant son infrastructure des TI et ses télécommunications. Des représentants de SPC ont souligné que l'engagement de Statistique Canada et son approche proactive en ce qui a trait à l'examen des enjeux sont considérés comme une pratique exemplaire et ont été utilisés pour des études de cas avec d'autres organismes partenaires.

Conformité aux normes professionnelles

L'examen a été réalisé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA).

L'application de procédures d'audit suffisantes et appropriées et le rassemblement de données appuient l'exactitude des constatations et des conclusions du présent rapport. Les constatations et les conclusions reposent sur une comparaison de la situation prévalant au moment de l'audit avec des critères d'audit préétablis. Les constatations et conclusions s'appliquent à l'entité examinée et pour la portée et la période de référence de l'examen.

Patrice Prud'homme
Dirigeant principal de la vérification

Introduction

Contexte

Services partagés Canada (SPC) a été créé en 2011, avec pour mandat de transformer fondamentalement la façon dont le gouvernement gère son infrastructure des technologies de l'information (TI). Conformément à son mandat, SPC fournit actuellement des services de courriel, de centre de données et de télécommunications à 43 ministères et organismes fédéraux, y compris Statistique Canada. La création de SPC a entraîné le regroupement de ressources humaines, de ressources technologiques et d'actifs de 43 ministères fédéraux. En date d'août 2011, 157 employés des TI ont été transférés de Statistique Canada à SPC, afin de fournir les services mentionnés précédemment.

Le Rapport sur les plans et priorités de SPC pour 2013-2014 souligne que cet organisme continuera de renouveler l'infrastructure des TI du gouvernement du Canada, en mettant l'accent sur l'acquisition d'une solution de courriel unique, l'amélioration de la sécurité des TI dans l'ensemble du gouvernement du Canada, et la finalisation des stratégies de regroupement des centres de données et des réseaux.

SPC a mis l'accent initialement sur la centralisation des services de courriel, des centres de données et des réseaux, ce qui a eu des répercussions particulières pour Statistique Canada. Par suite du transfert du contrôle de ces services à SPC, les risques touchant la capacité de Statistique Canada de répondre à ses besoins opérationnels et de fourniture de services, y compris le Recensement de 2016, sont plus grands. Étant donné que SPC fournit ces services à 43 ministères, Statistique Canada a eu de la difficulté à obtenir l'attention, la réceptivité et la priorité nécessaires de SPC. En outre, l'avènement de SPC a fait augmenter le risque inhérent pour Statistique Canada, en tant qu'organisation qui recueille et met à jour des données confidentielles de nature délicate concernant des personnes et des entreprises, en rapport avec la sécurité des données statistiques de nature délicate.

Compte tenu de ces risques et étant donné que deux années complètes se sont écoulées depuis l'avènement de SPC, la Division de l'audit interne de Statistique Canada a mené une mission d'examen, afin de déterminer et d'évaluer les structures de gouvernance actuellement en place pour gérer et superviser les rapports entre SPC et Statistique Canada. Cet examen a été mené pour évaluer le cadre de gouvernance, les mécanismes de gestion des risques et les activités de contrôle en place à Statistique Canada, avec comme objectif de recommander des possibilités d'amélioration, Statistique Canada tentant d'atteindre ses objectifs stratégiques dans le contexte d'une nouvelle réalité de soutien externe de l'infrastructure des TI.

Objectifs de l'examen

Les objectifs de cette mission étaient d'examiner de façon proactive le cadre de gouvernance, le programme de gestion des risques et les activités de contrôle en place relativement à la gestion des rapports entre Statistique Canada et SPC, en tant que fournisseur externe de services d'infrastructure des TI, et de soumettre des recommandations à l'examen de la direction, afin d'améliorer le cadre de contrôle de gestion actuel.

Portée

La portée de cette mission comprenait un examen :

  • du cadre de gouvernance en place pour gérer les rapports avec SPC;
  • du caractère suffisant et de la pertinence du programme de gestion des risques élaboré pour atténuer les risques associés à l'avènement de SPC; et
  • du caractère approprié des activités de contrôle établies pour veiller à ce que les besoins de Statistique Canada soient comblés, compte tenu des changements de contrôle par rapport à l'infrastructure des TI de Statistique Canada.

La gouvernance, la gestion des risques et les activités de contrôle relatives aux rapports entre Statistique Canada et SPC ont été évaluées selon des données probantes fournies au cours de la période de janvier à avril 2014.

Approche et méthodologie

La mission d'examen comprenait la compréhension des principaux risques associés au transfert de services à SPC et les cadres de contrôle de gouvernance existants, les approches de gestion des risques et les activités de contrôle qui ont été conçues et mis en œuvre pour atténuer les risques déterminés associés à SPC. À cette fin, on a effectué un examen et une analyse exhaustifs de la documentation pertinente, y compris les lignes directrices pertinentes, la gestion des risques et les rapports de rendement, les organigrammes, etc., et on a tenu des entrevues avec les gestionnaires et les employés clés des TI, du programme du recensement, d'autres intervenants de Statistique Canada et, au besoin, des personnes-ressources clés à SPC.

Cet examen a été mené conformément aux Normes relatives de vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA).

Pouvoirs

Cette mission a été menée en vertu des pouvoirs prévus dans le Plan de vérification et d'évaluation fondé sur les risques de 2013-2014 à 2017-2018, approuvé par le Comité ministériel de vérification.

Constatations et considérations pour la direction

Objectifs : Examiner de façon proactive le cadre de gouvernance, le programme de gestion des risques et les activités de contrôle en place relativement à la gestion des rapports entre Statistique Canada et SPC, en tant que fournisseur externe de services d'infrastructure des TI, et soumettre des recommandations, afin d'améliorer le cadre de contrôle de gestion actuel.

Cadre de gouvernance pour superviser les rapports avec SPC

Un cadre de gouvernance a été établi par Statistique Canada pour superviser les rapports avec SPC. Même si ce cadre de gouvernance est en place et fonctionne bien, il n'est pas documenté officiellement, afin de veiller à ce que les rôles et responsabilités des deux entités soient compris.

Des mécanismes de gouvernance interne de Statistique Canada ont été améliorés, afin d'assurer une approche efficiente et efficace pour la détermination des enjeux et les mesures de suivi progressives.

Dans les cas où le fournisseur de service est une entité externe, un cadre de gouvernance robuste est essentiel pour la gestion des rapports. Cette structure de gouvernance devrait être documentée et comporter des mécanismes appropriés pour communiquer les plans et priorités de l'organisation au fournisseur de service et disposer d'une méthode efficace pour les mesures de suivi progressives, afin d'assurer l'atteinte des objectifs opérationnels.

Des organismes de supervision efficaces ont été établis; toutefois, le cadre de gouvernance entre Statistique Canada et Services partagés Canada n'a pas été documenté officiellement

Les gestionnaires de Statistique Canada ont reconnu la nécessité de gérer les rapports avec Services partagés Canada (SPC), afin de travailler efficacement avec la nouvelle organisation et, par conséquent, un cadre de gouvernance officiel a été établi et prévoit que Statistique Canada tienne des réunions régulières avec ses homologues de SPC, afin de discuter des priorités et des exigences et de donner suite de façon proactive aux préoccupations ou aux enjeux.

Des organismes de gouvernance comportant des membres de Statistique Canada et de Services partagés Canada ont été créés à divers niveaux. La structure actuelle prévoit des réunions entre Statistique Canada et Services partagés Canada à plusieurs niveaux. Au niveau des cadres supérieurs, les sous-ministres adjoints des deux entités tiennent des réunions régulières, et les sous-ministres se rencontrent au besoin, pour discuter de l'environnement de risque et des éléments importants des relations entre les deux organismes, y compris les projets critiques et les questions administratives. Le directeur général (DG) du Portefeuille de l'industrie de SPC et le dirigeant principal de l'information (DPI) de Statistique Canada tiennent des réunions mensuelles pour examiner les projets en cours et les enjeux et, au niveau des directeurs, des réunions se tiennent chaque semaine entre le directeur des Technologies de l'information de Statistique Canada et le directeur, Réseau et sécurité, de SPC, ainsi que le directeur de la section des Relations avec les clients (SPC) pour examiner les questions opérationnelles courantes.

Au niveau de travail, Statistique Canada a créé un poste de liaison, pour coordonner et gérer les interactions avec SPC. Un directeur adjoint de la Division des opérations des technologies de l'information a été désigné comme agent de liaison pour Statistique Canada, en avril 2013. Dans ce contexte, il participe aux réunions au niveau opérationnel entre Statistique Canada et SPC et collabore directement avec le gestionnaire des relations avec SPC pour établir la priorité des besoins et résoudre les problèmes, au fur et à mesure qu'ils se posent, ainsi que pour agir comme point de contact unique pour la communication des besoins et des problèmes à SPC.

En outre, pour les projets à grande échelle comme le recensement, des structures de gouvernance au niveau du projet ont été établies. Des équipes de projet intégrées, qui sont constituées d'employés de Statistique Canada et de SPC, rendent compte à un comité de gestion/directeur mixte des progrès et des enjeux liés aux projets. Les préoccupations permanentes sont aussi communiquées à l'agent de liaison de Statistique Canada, en vue d'être résolues dans le cadre de gouvernance plus large de Statistique Canada/Services partagés Canada.

Structure de gouvernance de Statistique Canada et de Services partagés Canada pour la gestion de leurs relations
Niveau des sous-ministres
  • Réunions annuelles et ponctuelles
  • Procès-verbal produit
Sous-ministre adjoint /
statisticien en chef adjoint Services intégrés
  • Toutes les 6 semaines
  • Procès-verbal produit
Directeur général /
dirigeant principal de l'information (Statistique Canada)
  • Mensuelles
  • Registre des points de suivi
Niveau du directeur
  • Hebdomadaires
  • Registre des points de suivi
Opérations – Liaison de Statistique Canada et Opérations
de SPC et gestionnaire des Relations avec les clients de SPC
  • Plusieurs fois par semaine
  • Discussions des enjeux opérationnels émergents
Projets à grande échelle – Agent de liaison de Statistique Canada
et équipes de projet intégrées
  • Sur une base régulière, selon les projets
  • Rapports au Comité directeur

En ce qui a trait aux télécommunications, un processus de gouvernance distinct a été établi. Le directeur de la Division des services de soutien intégrés (DSSI) de Statistique Canada et le chef des Télécommunications de Statistique Canada discutent des questions opérationnelles courantes avec le directeur de la Téléphonie de SPC. De façon plus particulière, le directeur des Services de soutien intégrés de Statistique Canada assure la liaison régulière (bihebdomadaire) avec l'équipe de la téléphonie de SPC, en vue de résoudre les problèmes opérationnels qui se posent. Si des problèmes nécessitent des mesures de suivi progressives, le directeur de la DSSI les abordera dans le cadre des réunions opérationnelles de SPC et de Statistique Canada. Au besoin, la même structure de gouvernance que celle établie pour l'infrastructure des TI sera appliquée aux mesures de suivi progressives additionnelles.

L'examen a permis de noter que certains problèmes se sont posés avec le mécanisme de gouvernance des télécommunications; toutefois, par suite des changements apportés à la représentation de SPC, ce mécanisme semble mieux fonctionner, et les représentants de Statistique Canada croient que les réponses qu'ils ont reçues tiennent compte de l'environnement d'exploitation de Statistique Canada. Pour accroître la visibilité des besoins et des problèmes de télécommunications, la structure de gouvernance en place pour l'infrastructure des TI a été élargie, afin d'inclure les problèmes de téléphonie, et le directeur des Services de soutien intégrés est invité aux réunions opérationnelles hebdomadaires, depuis janvier 2014, en vue de souligner les problèmes de téléphonie ou d'y appliquer des mesures de suivi progressives.

Même si des cadres de gouvernance sont en place pour les TI et la Téléphonie entre Statistique Canada et Services partagés Canada, ils ne sont pas documentés officiellement, et les rôles et responsabilités, protocoles s'appliquant aux mesures de suivi progressives et pouvoirs de prise de décisions n'ont pas été établis formellement entre les deux entités. Par conséquent, il s'est produit des cas où les modifications à l'environnement des TI n'avaient pas reçu une autorisation appropriée et ont nécessité une intervention et un règlement subséquents. En l'absence de documentation officielle, il existe un risque accru que des décisions soient prises relativement aux activités de SPC, sans être autorisées de façon appropriée et sans correspondre aux priorités de l'organisation.

Recours à la structure de gouvernance interne de Statistique Canada pour communiquer les problèmes à SPC et y donner suite

Afin de gérer les relations avec SPC et de répondre à ses besoins et ses attentes, Statistique Canada a amélioré sa structure de comités internes et son processus de mesures de suivi progressives, relativement aux problèmes avec SPC. L'examen a souligné qu'au niveau des cadres supérieurs, le statisticien en chef adjoint (SCA) des Services intégrés peut soumettre les problèmes relatifs à SPC au Conseil exécutif de gestion à Statistique Canada, afin qu'ils soient résolus rapidement.

Parmi les autres comités internes de Statistique Canada qui servent à résoudre les problèmes et à gérer les rapports avec SPC figurent les suivants :

  • Gestionnaires des technologies de l'information de secteur (GTIS) – Les problèmes relatifs aux technologies de l'information et à SPC sont déterminés et abordés dans le cadre des réunions des GTIS. L'agent de liaison de Statistique Canada participe à ces réunions, qui comprennent des points inscrits au registre des problèmes qui doivent être abordés avec SPC dans le cadre des réunions régulières. Ces réunions aident à faire en sorte que les problèmes déterminés soient résolus et que les solutions soient documentées.
  • Comité de l'informatique – Ce comité examine les répercussions des changements effectués par SPC sur les activités de Statistique Canada. Si un problème d'infrastructure survient, un rapport d'incident est produit avec des recommandations; ce rapport est soumis au Comité de l'informatique ou au Comité de coordination de la sécurité pour un contrôle.
  • Comité de l'Architecture opérationnelle du Bureau (AOB) – Ce comité est représenté par la plupart des DG de Statistique Canada et examine les projets de transformation clés. S'il y a des problèmes avec SPC, ils sont soumis au niveau du SCA, afin de s'assurer qu'ils sont portés à l'attention de SPC.

Par ailleurs, un Comité de contrôle de l'infrastructure a été établi, afin d'établir la priorité des demandes à court terme liées à l'infrastructure et devant être traitées par SPC et de les approuver. Même s'il est supervisé par l'agent de liaison de Statistique Canada, ce comité n'a pas de mandat, ni de pouvoirs délégués officiels pour prendre des décisions.

Des comités de gouvernance internes de Statistique Canada ont adopté des processus, afin de faire en sorte que les problèmes relatifs aux TI et aux télécommunications avec SPC soient consignés, résolus et contrôlés.

Considérations pour la direction:

Il est du ressort de la direction de déterminer le caractère approprié des activités de contrôle et de mettre en œuvre des mesures correctives si cela est jugé nécessaire. Les considérations possibles figurant ci‑après ne devraient pas être perçues comme des recommandations officielles, mais elles devraient faciliter les discussions en ce qui a trait à l'adoption d'activités de contrôle interne qui rendent compte des nouvelles réalités des TI et des télécommunications.

  • Le cadre de gouvernance entre Statistique Canada et SPC devrait être documenté officiellement. À long terme, cela devrait être officialisé dans un protocole d'entente (PE) global ou dans une entente sur les niveaux de service (ENS). En l'absence de ces mécanismes améliorés de collaboration, Statistique Canada devrait documenter le cadre de gouvernance et les niveaux connexes de pouvoirs pour la prise de décisions, afin que la gouvernance, les mesures de suivi progressives et les pouvoirs de prise de décisions relatifs à l'infrastructure des TI et aux télécommunications soient communiqués et compris par les intervenants de Statistique Canada.

Gestion des risques

Un cadre de gestion des risques a été établi et fait l'objet d'un contrôle, afin de documenter et d'atténuer de façon proactive les risques associés aux responsabilités de SPC quant à la gestion des éléments clés de l'infrastructure des TI et des systèmes de télécommunications de Statistique Canada.

Un cadre de gestion des risques efficace comprend des pratiques officielles et institutionnalisées de gestion des risques, qui permettent à la direction d'évaluer, d'atténuer et de contrôler les environnements de risque internes et externes.

Le cadre de gestion des risques en place sert à atténuer de façon proactive les risques associés à SPC comme fournisseur externe de services

Statistique Canada a reconnu qu'il existe un risque accru pour l'exécution réussie des programmes, compte tenu de la responsabilité et du contrôle de Services partagés Canada relativement à l'infrastructure des TI et au système de télécommunications de Statistique Canada, ainsi que de la dépendance de l'organisation à l'égard de ces éléments. Au niveau le plus élevé de Statistique Canada, les risques associés aux relations avec SPC figurent dans le Profil de risques organisationnels existant (2012-2014). Ces risques sont plus précisément pris en compte dans le risque no 2 – Perte de réputation et de la confiance du public. Ce risque intégré fait ressortir la menace potentielle accrue de violation de l'infrastructure informatique de Statistique Canada, par suite de la création de SPC. Des plans d'action d'atténuation de niveau élevé ont été déterminés, y compris : l'établissement d'entente sur les niveaux de service (ENS) avec SPC, la coordination avec le carnet de route de l'infrastructure des TI de SPC, afin de veiller à ce que les besoins et les priorités de Statistique Canada soient pris en compte, et le contrôle de l'infrastructure informatique, grâce à des examens de qualité, des évaluations et des plans de continuité des activités.

Au cours de l'examen, d'autres activités de gestion des risques ont été déterminées relativement à la gestion des rapports entre SPC et Statistique Canada. Ces activités comprennent les suivantes :

  • Chaque programme élabore et maintient un registre des risques qui fait partie de l'exercice de planification de risques organisationnels. Le registre des risques de la Direction de l'informatique pour 2013 a fait ressortir que SPC représentait un risque, et plus particulièrement S10 – Interdépendance externe. Des stratégies d'atténuation et des plans d'action particuliers comprennent l'établissement d'un plan de projet SPC-Statistique Canada, afin de gérer le programme de changements à l'échelle du gouvernement (relativement à l'infrastructure des TI) et de faire en sorte que SPC comprenne les priorités de Statistique Canada et les intègre dans les initiatives à l'échelle du gouvernement.
  • Les Services de soutien intégrés produisent un registre des risques, dans le cadre de l'exercice de planification des risques. Étant donné que la propriété des services téléphoniques est passée à SPC, les risques externes ont des répercussions sur le programme des Services de soutien intégrés. Le registre des risques pour 2013 désigne les dépendances externes comme un risque moyen. Toutefois, la seule stratégie d'atténuation précisée pour résoudre les risques associés à SPC est « de mettre en place une ENS de contrat d'entretien de logiciel avec les TI et les personnes-ressources de SPC ».
  • Les risques relatifs au projet qui font intervenir SPC sont documentés et font l'objet de mesures de suivi progressives, dans le cadre de la gouvernance globale du projet. Par exemple, en raison de sa taille et de sa complexité, le projet du recensement comporte son propre registre de risques, dans lequel les risques associés à la dépendance à SPC ont été déterminés. Parmi les autres exemples de risques particuliers propres à un projet figure le Projet d'optimisation des locaux – Milieu de travail 2.0. Les comptes rendus de réunion de l'équipe de projet ont confirmé que les risques et les enjeux (y compris ceux relatifs au rôle de SPC) sont examinés et documentés et font l'objet de mesures de suivi progressives au besoin.
  • Les comptes rendus des réunions du comité des GTIS montrent que les risques associés à l'infrastructure des TI de SPC/Statistique Canada sont mentionnés à l'agent de liaison de Statistique Canada, en vue de leur inclusion dans le registre des problèmes, pour leur examen avec SPC et pour des mesures de suivi progressives au besoin à Statistique Canada.

Tous les problèmes et risques opérationnels courants doivent être communiqués à l'agent de liaison de Statistique Canada. Il s'agit notamment des problèmes liés au projet, à moins que le projet n'ait son propre gestionnaire de projet de SPC (p. ex., le recensement). Toutefois, si un projet a été attribué à un gestionnaire de projet particulier de SPC, il existe un mécanisme à l'intérieur de SPC pour que le gestionnaire des rapports demeure au courant de la situation du projet et des points de discussion avec Statistique Canada, dans le cadre des réunions régulières, au besoin. Pour ce qui est des télécommunications, même s'il existe un point de contact distinct pour les discussions et la résolution des problèmes sur une base quotidienne, la question doit être soumise à l'attention de l'agent de liaison de Statistique Canada, pour le cas où des mesures de suivi progressives seraient nécessaires.

Un point de contact unique pour la documentation, la communication et les mesures de suivi progressives des problèmes relatifs aux rapports avec SPC (c.‑à‑d. l'agent de liaison de Statistique Canada) représente une bonne pratique, qui fait en sorte que la structure de gouvernance existante et que l'approche de gestion des risques fonctionnent comme prévu. L'agent de liaison, de concert avec les programmes, détermine quand et si des mesures de suivi progressives sont nécessaires pour un problème. Cela permet d'avoir une approche uniforme en ce qui a trait aux mesures de suivi progressives.

Activités de contrôle

Les processus opérationnels internes clés n'ont pas été passés en revue ni mis à jour pour tenir compte des répercussions du rôle de SPC comme fournisseur de service externe.

Dans un environnement de contrôle interne approprié, les activités de contrôle devraient être intégrées dans les pratiques opérationnelles, afin de gérer les risques associés aux services fournis par les parties externes, pour s'assurer que l'organisation puisse atteindre ses objectifs stratégiques et opérationnels.

Certains processus internes clés n'ont pas été adaptés pour tenir compte de l'avènement d'un fournisseur externe de service.

Par suite de l'avènement de SPC et de sa responsabilité à l'égard de l'infrastructure des TI et des systèmes de télécommunications en place à Statistique Canada, des processus opérationnels internes ont été touchés et doivent être mis à jour, afin d'inclure la nécessité de tenir compte des processus et des priorités de SPC. L'examen a permis de déterminer les processus suivants dont la révision devrait être envisagée, afin de veiller à ce que l'organisation tienne compte des responsabilités et des pouvoirs transférés à SPC.

Planification à long terme :

Le Processus intégré de planification stratégique (PIPS) est un processus annuel en six étapes, qui commence par un examen des priorités de planification stratégique et se conclut par l'affectation de ressources aux projets approuvés. Généralement, les projets qui découlent de ce processus sont des projets de transformation et comprennent une composante des TI. À l'intérieur de cette composante des TI, des répercussions sur l'infrastructure des TI ou les télécommunications sont probables (p. ex., capacité du serveur) et, par conséquent, ces projets nécessitent la participation de SPC.

Le PIPS n'intègre actuellement pas de mécanisme pour mettre en commun le plan à long terme et les décisions d'investissement avec SPC, en vue de tenir compte des répercussions, de s'aligner sur les priorités du gouvernement du Canada et de prendre en compte des horizons réalistes, compte tenu des initiatives du gouvernement du Canada et des autres ministères gouvernementaux, ainsi que des ressources limitées de SPC. Même si les gestionnaires de Statistique Canada ont noté qu'ils ont fourni aux cadres supérieurs de SPC le plan intégré de Statistique Canada, les représentants du système de gestion des relations avec les clients (GRC) de SPC ont indiqué qu'ils n'ont pas une bonne idée du plan à long terme de Statistique Canada, ce qui limite leur capacité de tenir compte des exigences de Statistique Canada dans leur processus de planification à long terme. Cela augmente le risque que les plans d'investissement, les décisions d'affectation de ressources et les calendriers établis de Statistique Canada pour les projets nécessitant une infrastructure des TI ne soient pas alignées sur les plans et priorités de SPC, ce qui pourrait avoir des répercussions sur la capacité de SPC d'appuyer l'initiative ou de respecter les échéances de projet.

Gestion de projet :

Le Cadre de gestion des projets de l'organisme (CGPO) sert de guide pour la gestion des projets à Statistique Canada et prend la forme d'un ensemble de processus de gestion de projet, de modèles et d'outils normalisés devant être utilisés tout au long du cycle de vie d'un projet, en vue de lancer, de planifier, d'exécuter, de contrôler et de clore un projet. Tous les projets d'une valeur supérieure à 150 000 $ doivent s'aligner sur le CGPO. Tout comme pour le PIPS, la majorité des projets qui suivent ce processus ont une composante des TI et font intervenir un élément de l'infrastructure des TI ou des télécommunications.

À l'heure actuelle, par suite des discussions avec les représentants de la GRC de SPC, ce cadre n'intègre pas le processus de points de contrôle en place avec SPC et n'en tient pas compte. De façon plus particulière, afin que SPC appuie un projet (sous réserve qu'il comporte une infrastructure des TI ou une composante des télécommunications), les données devraient être communiquées le plus tôt possible à SPC, afin de pouvoir être soumises au Comité d'exécution de projet de SPC pour approbation.

SPC a élaboré des modèles devant être utilisés par ses ministères clients pour communiquer leurs besoins, qui continuent d'évoluer et qui font l'objet de changements. Lorsque Statistique Canada avait le contrôle de sa propre infrastructure des TI, il pouvait définir la solution d'infrastructure des TI. Toutefois, SPC s'attend à ce que les clients se limitent à soumettre leurs exigences opérationnelles et à déterminer la solution optimale. Ce changement de processus a eu des répercussions sur le programme du recensement, dont les représentants ont fourni à SPC de la documentation des TI fondée sur ce qu'ils ont utilisé pour le recensement précédent. SPC n'a pas accepté cela et a demandé qu'ils élaborent leurs exigences opérationnelles (conformément aux autres demandes) et que SPC détermine la solution, ce qui entraîne des retards dans le processus.

Si on n'aligne pas le processus existant de gestion de projet/points de contrôle (y compris les outils et les modèles) à Statistique Canada sur le processus de points de contrôle de SPC, on peut s'attendre à ce que des retards se produisent et à ce que des projets mis en veilleuse pendant que SPC soumet la composante des TI des projets à son propre processus d'approbation.

Évaluation des besoins d'infrastructure à court terme :

Conformément à la communication des besoins de planification à long terme de Statistique Canada à Services partagés Canada, SPC a demandé que soient communiqués au moment opportun les besoins d'infrastructure opérationnelle à court terme. Par conséquent, dans le contexte de la gestion opérationnelle des rapports avec SPC, des changements de processus ont été apportés, afin de veiller à ce que des exigences opérationnelles à court terme (un an) uniformes et opportunes soient communiquées à SPC. Pour l'exercice 2014-2015, l'agent de liaison de Statistique Canada a lancé un processus, grâce auquel il a demandé que les exigences opérationnelles de l'année à venir soient déterminées et documentées par tous les gestionnaires de secteur des TI dans un modèle standard. Ce modèle a été consolidé et passé en revue, afin de déterminer les chevauchements. Ce document final est communiqué à SPC à des fins d'information et de planification. Ce changement de processus et la communication des besoins d'infrastructure à court terme ont été notés comme des pratiques exemplaires par SPC.

Outre la communication des besoins à court terme, le processus de demande d'infrastructure en cours d'année (non approuvé précédemment par SPC) a aussi été modifié. Toutes les demandes courantes d'infrastructure sont lancées par l'entremise du portail de Statistique Canada (système de demande de service). Une fois la demande de service déterminée comme un besoin d'infrastructure, elle est automatiquement communiquée à l'agent de liaison de Statistique Canada. Ces demandes sont regroupées et leur priorité est établie par le Comité de contrôle nouvellement établi. Une fois la priorité établie, l'agent de liaison fournit la liste à SPC pour que des mesures soient prises. Les modalités actuelles avec SPC font qu'une demande de service est close avant qu'une nouvelle soit ouverte. Toutefois, si la demande est essentielle, elle sera envoyée à l'agent de liaison, qui la soumettra à SPC pour que des mesures immédiates soient prises. Ce changement de processus pour l'exercice 2014-2015 vient appuyer la capacité de SPC de planifier efficacement et de coordonner les besoins d'infrastructure des ministères partenaires à court terme.

Gestion des incidents/gestion des changements :

Au printemps 2014, Statistique Canada a commencé la mise en œuvre d'un cadre de gestion des incidents liés aux technologies de l'information dans le cas des problèmes relatifs à SPC. Ce cadre repose sur le cadre de 2011 et porte maintenant sur le rôle que SPC joue dans les technologies de l'information. Il vise à uniformiser l'établissement des priorités et les mesures de suivi progressives pour les incidents liés aux TI dans l'organisation, afin de rétablir le niveau de service normal le plus rapidement possible et de réduire les répercussions sur les activités opérationnelles des programmes essentiels à la mission de Statistique Canada et sur les secteurs de service clés. Ce cadre ne comprend pas de problèmes liés aux postes de travail ou à l'entretien des applications et des systèmes existants. Le cadre souligne les rôles et responsabilités de l'équipe du coordinateur des incidents, dont les membres comprennent des représentants des secteurs de programme ainsi que du personnel des TI, qui élabore des plans d'action pour résoudre les incidents. Le directeur de la DOTI est responsable d'assurer un suivi rapide des recommandations.

En ce qui a trait à la gestion des changements touchant les applications des TI, Statistique Canada utilise l'outil JIRA de suivi des changements, des enjeux et des risques. Toutefois, il a été noté pendant les entrevues que les secteurs de programme ont créé leurs propres processus pour déterminer comment et quand cet outil est utilisé ou quand le personnel des TI devrait être consulté. En ce qui a trait aux changements d'infrastructure, SPC a mis en œuvre un Conseil consultatif du changement, et des représentants de programmes de Statistique Canada ont été invités à participer, même s'il a été noté qu'il n'était pas clair si Statistique Canada avait un rôle dans la prise de décisions ou si cela était fait à des fins d'information uniquement.

Par suite de la création de SPC comme point de contact unique pour tous les besoins d'infrastructure, et compte tenu de la nature décentralisée de Statistique Canada, sans processus uniformisés de gestion des changements touchant les TI correspondant aux besoins/processus de SPC, il existe un risque accru que les décisions d'infrastructure soient prises et appliquées sans les pouvoirs appropriés et une évaluation des répercussions sur l'organisation avant la mise en œuvre.

Par ailleurs, l'examen a permis de noter que pour les télécommunications, toutes les demandes de service et tous les problèmes sont envoyés à SPC. Les entrevues ont permis de noter que les responsabilités qui demeurent à Statistique Canada en ce qui a trait aux télécommunications ne sont pas claires. Par conséquent, on ne sait pas clairement quelles demandes devraient faire l'objet d'un suivi par des représentants de Statistique Canada (p. ex., rétablissements de mot de passe pour les boîtes vocales et les téléphones cellulaires) et celles qui nécessitent d'être soumises à SPC.

Possibilités d'amélioration du service

Étant donné que l'avènement de SPC a obligé Statistique Canada à travailler avec un nouveau fournisseur de service, l'amélioration continue est un élément de rapport fructueux. On peut y arriver de différentes façons, y compris grâce à un engagement actif avec le fournisseur de service, ainsi que par la mise en commun des pratiques et des expériences au niveau interne.

Reconnaissant que SPC s'est vu attribuer un mandat important à l'échelle du gouvernement du Canada pour la transformation et que Services partagés Canada appuie 43 ministères, le DPI de Statistique Canada a joué un rôle proactif en se portant volontaire pour participer aux comités du DPI et aux groupes de travail de l'initiative du gouvernement du Canada (p. ex., transformation de réseau, évaluation de la technologie de courriel), afin de faire entendre la voix de Statistique Canada. En tant que participant, le DPI est au fait des décisions qui sont prises à l'égard de ces initiatives et peut déterminer les répercussions possibles sur Statistique Canada.

Même si la structure de gouvernance de Statistique Canada comporte plusieurs points de contact avec des représentants de SPC sur une base permanente, il existe des possibilités d'améliorer les structures de gouvernance actuelles, en prenant connaissance de façon périodique des leçons apprises ou des pratiques exemplaires pour la gestion des relations entre Statistique Canada et SPC, afin que les approches et les techniques qui fonctionnent bien soient connues de tous les secteurs.

Considérations pour la direction :

Il est du ressort de la direction de déterminer le caractère approprié des activités de contrôle et de mettre en œuvre des mesures correctives si cela est jugé nécessaire. Les considérations possibles figurant ci‑après ne devraient pas être perçues comme des recommandations officielles, mais elles devraient faciliter les discussions en ce qui a trait à l'adoption d'activités de contrôle interne qui rendent compte des nouvelles réalités des TI et des télécommunications.

  • Le processus de planification à long terme actuel est passé en revue, afin d'intégrer la prise en compte des répercussions des projets proposés/priorités sur SPC, grâce à la communication et à l'engagement de SPC dans le processus, afin de confirmer que les priorités et les horizons s'alignent sur les attentes et la capacité de SPC.
  • Le CGPO de Statistique Canada est passé en revue et révisé, afin que le processus de points de contrôle existant s'aligne sur celui de SPC, lorsque le projet comporte une composante d'infrastructure des TI. Il s'agit notamment de la détermination précoce d'une composante d'infrastructure des TI, pour que SPC participe le plus tôt possible et puisse entamer son propre processus de points de contrôle, afin de réduire les retards pour les projets de Statistique Canada. Par ailleurs, les lignes directrices de gestion de projet devraient être passées en revue, pour veiller à ce que les besoins d'information/la présentation des exigences de SPC soient pris en compte (p. ex., modèle, niveau de détail), afin d'éviter les inefficiences et les retards.
  • Les processus officiels de gestion des changements des TI à l'échelle de Statistique Canada (y compris la répartition des rôles et responsabilités entre SPC et Statistique Canada) sont définis et mis en œuvre en fonction des processus et des définitions en place à SPC.
  • Le cadre de gouvernance existant intègre un processus officiel, afin de solliciter périodiquement les leçons apprises/pratiques exemplaires à Statistique Canada et à SPC, pour la collaboration et le partage de cette information, afin d'encourager une amélioration continue des rapports.

Annexes

Annexe A : Critères de d'audit
Objectif du contrôle / Contrôles de base / Critères Sous-critères
1) Examiner de façon proactive le cadre de gouvernance, le programme de gestion des risques et les activités de contrôle en place relativement à la gestion des rapports entre Statistique Canada et SPC, en tant que fournisseur externe de services d'infrastructure des TI, et soumettre des recommandations, afin d'améliorer le cadre de contrôle de gestion actuel.
1.1 Des organismes efficaces de supervision sont établis. (G-1) Un cadre de gouvernance officiel est en place pour gérer les rapports avec SPC.
Le cadre de gouvernance officiel est approprié, compte tenu du mandat de Statistique Canada et du rôle de SPC.
Le cadre de gouvernance est communiqué à tous les intervenants de Statistique Canada et est compris par eux.
Des preuves sont en place pour démontrer l'utilisation du cadre de gouvernance existant.
1.2 Les gestionnaires déterminent les risques qui pourraient empêcher l'atteinte des objectifs. (RM-2) Un cadre de gestion des risques a été établi et est mis à jour pour documenter et atténuer de façon proactive les risques associés à la gestion par SPC des éléments clés de l'infrastructure des TI de Statistique Canada.
1.3 Les gestionnaires déterminent et évaluent les contrôles existants qui sont en place pour gérer les risques. (RM-3)

1.4 L'organisation tire parti, dans la mesure du possible, des possibilités de collaboration, afin d'améliorer les services. (CFS-3)
Des processus et des approches clés sont adaptés et révisés pour permettre à Statistique Canada de continuer de réaliser son mandat, tout en se fiant à SPC pour fournir des services d'infrastructure clé des TI.
Annexe B : Acronymes
Acronyme Description
SCA Statisticien en chef adjoint
SMA Sous-ministre adjoint
AOB Architecture opérationnelle du Bureau
DPF Dirigeant principal des finances
DPI Dirigeant principal de l'information
SC Statisticien en chef
CMV Comité ministériel de vérification
DG Directeur général
SM Sous-ministre
CGPO Cadre de gestion des projets de l'organisme
GRC Gestion de la relation avec les clients
GTIS Gestionnaires de technologies de l'information de secteur
GdC Gouvernement du Canada
IIA Institute of Internal Auditors
EPI Équipes de projet intégrées
PIPS Processus intégré de planification stratégique
TI Technologies de l'information
PE Protocole d'entente
AMG Autres ministères gouvernementaux
ENS Entente sur les niveaux de service
SPC Services partagés Canada