Vérification du cycle de vie du développement des systèmes informatiques
Sommaire
Contexte
Comme presque toutes les organisations des secteurs privé et public, le Commissariat aux langues officielles (le Commissariat) nécessite des applications, des outils et une infrastructure de technologie de l’information (TI) pour faciliter l’exécution de son mandat. Il est essentiel que les systèmes d’application du Commissariat soient élaborés et entretenus de manière efficace afin de garantir que ceux-ci répondent aux exigences en permanence. Par conséquent, il est important que des processus efficaces de développement et de maintenance des applications soient en place pour soutenir la mise en œuvre des projets axés sur la TI à l’échelle de l’organisation.
Le développement et la maintenance des applications sont les principaux éléments du cycle de développement des systèmes (CES). Il s’agit d’une méthode officielle d’usage courant pour élaborer ou modifier des systèmes d’application au sein d’une organisation. Une organisation doit établir une méthode du CES appropriée et attribuer la responsabilité de chaque phase du cycle afin que la conception, le développement et la maintenance du système puissent se dérouler sans heurts et avec précision.
Le CES commence par un besoin opérationnel perçu et s’étend à l’étude de faisabilité, la conception et l’élaboration, les analyses, la mise en œuvre, l’acceptation et l’approbation du système, l’examen après la mise en œuvre et la maintenance de l’application et des logiciels d’exploitation de système. Après chaque phase de ce cycle, il faut s’assurer que le système d’application nouveau ou révisé répond aux besoins de l’organisation, que les contrôles internes adéquats sont conformes aux objectifs de la direction et que l’application est correctement mise en œuvre.
Bien que le Commissariat ne soit pas soumis à la surveillance du Secrétariat du Conseil du Trésor du Canada (SCT) comme les autres ministères fédéraux, il est toujours tenu de se conformer à ses politiques. La Politique sur les services et le numérique du SCT (en vigueur depuis le 1er avril 2020) établit des exigences générales selon lesquelles les fonctions de TI des ministères doivent promouvoir la prestation de services et l’efficacité des activités opérationnelles gouvernementales par l’entremise d’une gestion stratégique de l’information et des données gouvernementales et en optimisant la TI. La gestion de ces fonctions est guidée par un engagement à l’égard des principes directeurs et pratiques exemplaires des Normes numériques du gouvernement du Canada : concevoir avec les utilisateurs; effectuer régulièrement des itérations et des améliorations; travailler ouvertement par défaut; utiliser des normes et des solutions ouvertes; gérer les risques en matière de sécurité et de protection des renseignements personnels; intégrer l’accessibilité dès le départ; permettre au personnel d’offrir de meilleurs services; être de bons utilisateurs de données; concevoir des services éthiques; collaborer à grande échelle. Plusieurs domaines de la nouvelle politique sont conformes à la méthode du CES.
Au moment de cette mission de vérification, le Commissariat disposait de deux applications principales qui sont utilisées à l’échelle de l’organisation, soit le serveur de contenu Open Text (système de gestion électronique des documents) et Microsoft Dynamics CRM (système de gestion électronique des dossiers et des cas). Le Commissariat a récemment déterminé que tout nouveau besoin en TI exprimé dans l’ensemble de l’organisation serait d’abord évalué pour décider si les deux principales applications ministérielles susmentionnées pouvaient répondre à ce besoin. Plus précisément, l’ordre de préférence stratégique consiste à utiliser les solutions organisationnelles existantes, à acheter une solution disponible sur le marché (DSM) ou à élaborer une solution personnalisée. Mis à part ces deux applications ministérielles, le Commissariat n’en dispose que de très peu. La grande majorité des projets axés sur la TI définis dans le cadre de l’analyse des besoins en TI pour 2019-2020 étaient liés à la solution de gestion des relations avec la clientèle (GRC) et nécessitent la configuration et l’ajustement d’un module d’application de GRC.
Objectif et portée de la vérification
L’objectif de la vérification était d’évaluer la pertinence et l’efficacité de la gestion par le Commissariat de son CES.
Plus précisément, la vérification visait à déterminer :
- si le Commissariat a mis en œuvre un cadre de contrôle de gestion efficace pour le CES de TI tenant compte de la reddition de comptes, des rôles et responsabilités et de la planification stratégique pour gérer le développement et la maintenance des applications;
- si le Commissariat a mis en œuvre des processus et des mécanismes de contrôle opérationnels efficaces à l’échelle de l’organisation, lesquels comprennent un cadre de gestion des projets de TI et une méthode exhaustive du CES.
La vérification a porté sur les activités et les initiatives réalisées jusqu’en février 2020. Elle s’est penchée sur le cadre de gouvernance actuel, le cadre de gestion des projets et la méthode du CES.
Observations positives
Pendant le déroulement de la vérification, un certain nombre de points forts ont été relevés, notamment :
- une structure et des mécanismes de gouvernance appropriés pour les projets axés sur la TI;
- un cadre officiel de gestion de projet et de changement récemment mis en place comprenant un centre d’expertise en gestion de projet, un sous-comité de révision des projets de GI-TI et un processus de demande de changement du système;
- un processus amélioré de planification et de hiérarchisation des priorités à l’échelle de l’organisation.
Conclusion
Compte tenu de sa petite taille, de sa simplicité relative et de son faible nombre d’applications par rapport aux autres ministères fédéraux, l’équipe de vérification peut conclure que le Commissariat a mis en place un cadre de contrôle de gestion efficace pour le développement et la maintenance des applications. Plus précisément, l’organisation a récemment pris des mesures positives pour améliorer la gouvernance, la planification et l’établissement des priorités, ainsi que la gestion des projets axés sur la TI.
Toutefois, l’attention de la haute direction est nécessaire pour combler certaines lacunes et certains points à améliorer afin d’aider l’organisation à gravir la courbe de maturité. Ces points comprennent la précision et la communication des rôles et responsabilités dans le cadre de la gestion de projet, la mise en place d’un plan d’action réalisable pour répondre aux exigences de la Politique sur les services et le numérique du SCT et l’officialisation d’une méthode du CES adaptée à la taille de l’organisation.
Recommandations
L’équipe de vérification a relevé les aspects à l’égard desquels des améliorations pourraient être apportées, ce qui a donné lieu à la formulation des recommandations suivantes :
- Risque moyen : Il est recommandé que le directeur de la GI-TI élabore un plan d’action pour répondre aux exigences de la Politique sur les services et le numérique du SCT qui s’appliquent au Commissariat. Ce plan devrait comprendre des responsabilités et des calendriers clairs.
- Risque moyen : Il est recommandé que le directeur de la planification, de la vérification et de l’évaluation (PVE) du Centre d’excellence en gestion de projet et du changement définisse et communique clairement les rôles et responsabilités en matière de gestion de projet au sein du Commissariat.
- Risque moyen : Il est recommandé que le directeur de la GI-TI élabore et mette en œuvre une méthode officielle de CES, assortie de rôles et responsabilités clairs, qui soit adaptée à la taille et à la complexité de l’organisation. Il convient ainsi d’envisager l’intégration des exigences de la méthode du CES dans le cadre de gestion des projets et du changement.
1. Contexte
Le commissaire aux langues officielles du Canada est un agent du Parlement et est appuyé par le Commissariat. Le mandat du commissaire lui est conféré par l’article 56 de la Loi sur les langues officielles.
Le commissaire aux langues officielles du Canada a pour mandat de prendre, dans le cadre de sa compétence, toutes les mesures nécessaires à la réalisation des trois grands objectifs de la Loi sur les langues officielles, soit :
- l’égalité du français et de l’anglais au sein du Parlement, du gouvernement du Canada, de l’administration fédérale et des institutions assujetties à la Loi sur les langues officielles;
- le maintien et l’épanouissement des communautés de langue officielle en situation minoritaire au Canada;
- l’égalité du français et de l’anglais dans la société canadienne.
Pour que les trois objectifs de la Loi sur les langues officielles se réalisent, le commissaire aux langues officielles assume les rôles suivants : le rôle d’ombudsman; le rôle de vérificateur; le rôle de liaison; le rôle de vigie; le rôle de promoteur et d’éducateur, le rôle d’intervenant devant les tribunaux et le rôle de rapporteur.
Comme presque toutes les organisations des secteurs privé et public, le Commissariat nécessite des applications, des outils et une infrastructure de TI pour faciliter l’exécution de son mandat. Il est essentiel que les systèmes d’application du Commissariat soient élaborés et entretenus de manière efficace afin de garantir que ceux-ci répondent aux exigences en permanence. Par conséquent, il est important que des processus efficaces de développement et de maintenance des applications soient en place pour soutenir la mise en œuvre des projets axés sur la TI à l’échelle de l’organisation.
Le développement et la maintenance des applications sont les principaux éléments du CES global. Il s’agit d’une méthode officielle d’usage courant pour élaborer ou modifier des systèmes d’application au sein d’une organisation. Une organisation doit établir une méthode du CES appropriée et attribuer la responsabilité de chaque phase du cycle afin que la conception, le développement et la maintenance du système puissent se dérouler sans heurts et avec précision.
Le CES commence par un besoin opérationnel perçu et s’étend à l’étude de faisabilité, la conception et l’élaboration, les analyses, la mise en œuvre, l’acceptation et l’approbation du système, l’examen après la mise en œuvre et la maintenance de l’application et des logiciels d’exploitation de système. Après chaque phase de ce cycle, il faut s’assurer que le système d’application nouveau ou révisé répond aux besoins de l’organisation, que les contrôles internes adéquats sont conformes aux objectifs de la direction et que l’application est correctement mise en œuvre.
Bien que le Commissariat ne soit pas soumis à la surveillance du SCT comme les autres ministères fédéraux, il est toujours tenu de se conformer à ses politiques. La Politique sur les services et le numérique du SCT (en vigueur depuis le 1er avril 2020) établit des exigences générales selon lesquelles les fonctions de TI des ministères doivent promouvoir la prestation de services et l’efficacité des activités opérationnelles gouvernementales par l’entremise d’une gestion stratégique de l’information et des données gouvernementales et en optimisant la TI. La gestion de ces fonctions est guidée par un engagement à l’égard des principes directeurs et pratiques exemplaires des Normes numériques du gouvernement du Canada : concevoir avec les utilisateurs; effectuer régulièrement des itérations et des améliorations; travailler ouvertement par défaut; utiliser des normes et des solutions ouvertes; gérer les risques en matière de sécurité et de protection des renseignements personnels; intégrer l’accessibilité dès le départ; permettre au personnel d’offrir de meilleurs services; être de bons utilisateurs de données; concevoir des services éthiques; collaborer à grande échelle. Plusieurs domaines de la nouvelle politique sont conformes à la méthode du CES.
Au moment de cette mission de vérification, le Commissariat disposait de deux applications principales qui sont utilisées à l’échelle de l’organisation, soit le serveur de contenu Open Text (système de gestion électronique des documents) et Microsoft Dynamics CRM (système de gestion électronique des dossiers et des cas). Le Commissariat a récemment déterminé que tout nouveau besoin en TI exprimé dans l’ensemble de l’organisation serait d’abord évalué pour décider si les deux principales applications ministérielles susmentionnées pouvaient répondre à ce besoin. Plus précisément, l’ordre de préférence stratégique consiste à utiliser les solutions organisationnelles existantes, à acheter une solution disponible sur le marché (DSM) ou à élaborer une solution personnalisée. Mis à part ces deux applications ministérielles, le Commissariat n’en dispose que de très peu. La grande majorité des projets axés sur la TI définis dans le cadre de l’analyse des besoins en TI pour 2019-2020 étaient liés à la solution de GRC et nécessitent la configuration et l’ajustement d’un module d’application de GRC.
Le Commissariat a fait du développement et de la maintenance des applications une priorité et qui a donc été intégrée dans le Plan de vérification et d’évaluation axé sur les risques 2017-2020.
2. À propos de la vérification
2.1 Objectif de la vérification
L’objectif de la vérification était d’évaluer la pertinence et l’efficacité de la gestion par le Commissariat de son CES.
Plus précisément, la vérification a permis de répondre aux questions suivantes :
- si le Commissariat a mis en œuvre un cadre de contrôle de gestion efficace pour le CES de TI tenant compte de la reddition de comptes, des rôles et responsabilités et de la planification stratégique pour gérer le développement et la maintenance des applications;
- si le Commissariat a mis en œuvre des processus et des contrôles opérationnels efficaces à l’échelle de l’organisation, lesquels comprennent un cadre de gestion des projets de TI et une méthode exhaustive du CES.
2.2 Portée
La vérification a porté sur les activités et les initiatives réalisées jusqu’en février 2020. Elle s’est penchée sur le cadre de gouvernance actuel, le cadre de gestion des projets et la méthode du CES.
Les travaux de vérification ont porté sur les activités liées à la TI à l’échelle du Commissariat. Un échantillon d’applications a été sélectionné pour une évaluation des activités de développement ou de maintenance des applications. Cette évaluation a porté sur le cycle complet de développement des systèmes, depuis l’approbation et le financement du projet jusqu’à la mise en œuvre et, enfin, la maintenance. Les applications qui ont fait l’objet d’un échantillonnage ont été sélectionnées en fonction des critères suivants :
- la mise en œuvre de l’initiative pendant la période visée;
- la taille du projet;
- les répercussions sur l’organisation.
3. Approche et méthodologie
Cette vérification s’est déroulée selon une approche et une méthodologie conformes aux Normes internationales pour la pratique professionnelle de la vérification interne de l’Institut des auditeurs internes (IAI) et à la Politique sur la vérification interne du Conseil du Trésor (CT). Ces normes exigent que la vérification soit planifiée et exécutée de manière à obtenir une garantie raisonnable que les objectifs de la vérification sont atteints. La vérification comportait diverses analyses jugées nécessaires pour fournir une telle garantie. Les vérificateurs internes ont exécuté le travail avec le degré d’indépendance et d’objectivité prescrit par les Normes de l’IAI.
La vérification comportait les tâches clés suivantes :
- déterminer et examiner les politiques, directives et lignes directrices pertinentes;
- examiner et analyser les documents pertinents liés au développement de l’application;
- analyser des données;
- mener des entrevues auprès des principaux intervenants;
- passer en revue des processus et systèmes;
- analyser de l’information non financière;
- employer d’autres méthodes pertinentes jugées nécessaires par l’équipe de vérification.
3.1 Critères de vérification
Les critères de vérification suivants ont été fixés pendant la phase d’évaluation des risques et de planification de la vérification. Ils sont principalement tirés du Cadre sur les objectifs de contrôle de l’information et des technologies connexes (COBIT) de l’Association des professionnels de la vérification et du contrôle des systèmes d’information (ISACA), de même que des politiques, procédures et directives pertinentes du CT et du Commissariat. Le déroulement de la vérification sur le terrain et les conclusions générales ont été guidés par ces critères.
Secteur d’intérêt 1 : Cadre de contrôle de gestion
Fournir l’assurance que le Commissariat a mis en œuvre un cadre de contrôle de gestion efficace pour le CES de TI abordant la reddition de comptes, les rôles et responsabilités et la planification stratégique pour gérer le développement et la maintenance des applications.
1.1 Un cadre de gouvernance efficace et des organes de surveillance pour les projets axés sur la TI ont été mis en place pour assurer une orientation et une hiérarchisation suffisantes des projets axés sur la TI conformément à la Politique sur les services et le numérique du SCT.
1.2 Les rôles et responsabilités liés au CES, de même que leur répartition entre la fonction de TI et les directions générales, sont clairement définis et communiqués.
1.3 La hiérarchisation des projets axés sur la TI (tant les nouvelles exigences que celles relatives à la maintenance) est effectuée par le biais d’un processus de planification à l’échelle de l’organisation afin de fournir une orientation stratégique et de veiller à ce que l’affectation des ressources soit comprise.
Secteur d’intérêt 2 : Processus et mécanismes de contrôle opérationnels
Fournir l’assurance que le Commissariat a mis en œuvre des processus et des mécanismes de contrôle opérationnels efficaces dans l’ensemble de l’organisation afin d’atténuer les risques liés au CES.
2.1 Un cadre de gestion de projet a été officiellement défini et mis en œuvre afin d’assurer une exécution cohérente des projets axés sur la TI conformément aux normes numériques et à la Politique sur les services et le numérique du SCT.
2.2 Une méthodologie exhaustive du CES a été élaborée et mise en œuvre afin de veiller à ce que des procédures complètes soient officialisées pour le développement et la maintenance des applications.
4. Résumé des points forts
Pendant le déroulement de la vérification, un certain nombre de points forts ont été relevés, notamment :
- une structure et des mécanismes de gouvernance appropriés pour les projets axés sur la TI;
- un cadre officiel de gestion de projet et de changement récemment mis en place comprenant un centre d’expertise en gestion de projet, un sous-comité de révision des projets de GI-TI et un processus de demande de changement du système;
- un processus amélioré de planification et de hiérarchisation des priorités à l’échelle de l’organisation.
5. Observations et recommandations
5.1 Gouvernance
Observations
L’équipe de vérification s’attendait à ce que le Commissariat dispose d’un cadre de contrôle de gestion approprié afin d’assurer une saine gouvernance du développement et de la maintenance des applications de TI. Il était prévu que la haute direction reçoive régulièrement des renseignements (notamment sur la planification des investissements, l’affectation des ressources, l’établissement des priorités, la gestion du projet et les mesures de rendement) et prenne des décisions relatives aux projets axés sur la TI.
L’équipe de vérification a interrogé les principaux intervenants de l’organisation et a examiné la documentation pertinente de cette dernière (y compris les diagrammes de la structure de gouvernance, les organigrammes, le mandat de l’instance de gouvernance et les comptes rendus de réunions connexes, etc.) et a déterminé que le Commissariat avait bien mis en place une structure de gouvernance efficace et bien conçue pour la surveillance des projets axés sur la TI.
L’équipe de vérification a déterminé que les principaux éléments des projets axés sur la TI étaient présentés, examinés et contrôlés par des instances de gouvernance à responsabilité croissante. Plus précisément, l’équipe de vérification a constaté ce qui suit :
COMEX
La plus haute instance (présidée par le commissaire) et le principal forum pour l’examen des progrès réalisés dans le cadre des initiatives stratégiques et des enjeux liés à la gestion et aux opérations du Bureau du commissaire. Il possède le pouvoir de prendre des décisions en dernier ressort au sein du Ministère quant au plan opérationnel intégré (POI).
Selon l’examen des comptes rendus des réunions des comités, l’équipe de vérification a constaté que le COMEX recevait des projets axés sur la TI, les examinait, en discutait et prenait des décisions à des moments appropriés tout au long de l’année. Le COMEX a également examiné et approuvé le POI et un nouveau cadre de gestion de projet et du changement (CGPC) pendant la période visée par la vérification.
Comité multilatéral
Composé de tous les membres du COMEX, à l’exception du commissaire, ce comité discute des questions opérationnelles qui ne nécessitent pas l’approbation du commissaire.
L’équipe de vérification a noté qu’à l’avenir, au cours de l’exercice 2020-2021, le Comité multilatéral devrait tenir des discussions régulières concernant le POI afin d’examiner les engagements et de s’assurer que les priorités sont toujours appropriées. La direction prévoit inscrire le POI à l’ordre du jour du Comité toutes les six semaines, contrairement aux discussions spéciales qui avaient lieu par le passé.
Comité de planification des investissements
Ce comité a pour mandat de passer en revue le plan d’investissement du Commissariat, lequel comprend des investissements en TI, et d’en recommander l’approbation au commissaire. Il assure également la supervision de l’exécution des projets d’investissement, ainsi que le suivi et les rapports sur la planification et les résultats des investissements conformément aux critères établis.
L’équipe de vérification a examiné les comptes rendus des réunions disponibles pour ce comité et a constaté que des discussions fréquentes et opportunes se tenaient sur les demandes d’investissement en cours et prévues, les affectations de fonds et la gestion des projets relatifs aux projets et initiatives axés sur la TI.
Sous-comité de révision des projets de GI-TI
Fournir des conseils et formuler des recommandations aux secteurs au stade de la conception préliminaire afin de s’assurer que les services de GI-TI sont pris en compte et intégrés dans tous les projets et initiatives relatifs à la TI. Le sous-comité est également chargé d’approuver le déploiement des demandes de changement (DC) du système opérationnel et de veiller à ce que les services et les initiatives de projet de GI-TI soient conformes aux priorités d’exécution et aux besoins du POI du Commissariat, tout en assurant leur hiérarchisation et leur financement.
L’équipe de vérification a examiné les ordres du jour et les comptes rendus des réunions de ce comité et a constaté que la plupart des réunions semblent avoir été axées sur la communication des mises à jour des DC du système aux autres membres du sous-comité.
Comité consultatif des directeurs
Consulter les directeurs sur les politiques, les directives, les procédures, les projets, les initiatives, les stratégies, les rapports ministériels et la planification opérationnelle proposés afin d’aborder les problèmes de l’organisation et de trouver des solutions pour les améliorer, ainsi que pour éclairer et partager des idées et discuter des pratiques exemplaires, des expériences et des défis.
L’équipe de vérification a examiné les ordres du jour et les comptes rendus des réunions de ce comité et a constaté que, pendant la période visée par la vérification, le POI, divers projets axés sur la TI ainsi que le cadre général de gestion des projets ont tous été examinés et fait l’objet de discussions de manière fréquente.
Bien que l’équipe de vérification ait observé un certain chevauchement des points examinés par chaque niveau de comité, cela ne semble pas avoir entraîné une perte importante de temps ou d’efforts de gestion. Toutefois, si le nombre et/ou la complexité du portefeuille d’applications de TI du Commissariat augmentent à l’avenir, la structure et les mécanismes de gouvernance actuels deviendront probablement plus ardus. Compte tenu de la petite taille du Commissariat (environ 170 employés) par rapport aux autres organisations fédérales ainsi que du faible nombre et de la complexité du portefeuille d’applications de TI, les mécanismes de gouvernance semblent convenables.
5.2 Planification et établissement des priorités
Observations
L’équipe de vérification s’attendait à ce que la planification et la hiérarchisation des projets axés sur la TI (tant les nouvelles exigences que celles relatives à la maintenance) soient effectuées dans le cadre d’un processus de planification à l’échelle de l’organisation et qu’une orientation stratégique appropriée soit fournie tout au long de ce processus.
L’équipe de vérification a constaté que le Commissariat avait récemment réalisé des progrès importants dans le cadre de son processus de planification, de hiérarchisation et d’approbation. Grâce à ces améliorations (expliquées plus loin), l’équipe de vérification a déterminé qu’il s’agissait d’un processus approprié pour le contexte du Commissariat.
Grâce à des entretiens avec la haute direction et à l’examen de la documentation de l’organisation, l’équipe de vérification a appris que la haute direction était pleinement consciente des problèmes du passé (mentalité du « premier arrivé, premier servi », surveillance inefficace et inadéquate et harmonisation insuffisante des ressources avec les priorités du Commissariat) et a reconnu la nécessité d’améliorer les pratiques en matière de planification et de hiérarchisation des priorités. Par conséquent, un processus officiel de planification opérationnelle intégrée a été élaboré et mis en œuvre au cours de l’exercice 2019-2020. L’élaboration du POI de 2020-2021 était conforme à ce processus. Afin d’assurer une approche cohérente de l’évaluation des besoins des projets de TI, les critères suivants sont désormais en vigueur :
- le risque lié aux systèmes et aux applications dépourvus de soutien;
- la priorité organisationnelle;
- le nombre de secteurs touchés;
- autre.
En outre, la haute direction a désigné la GRC comme le principal système organisationnel, à moins qu’il ne soit possible de plaider en faveur d’un autre système. Il s’agissait de limiter l’utilisation de nombreux systèmes et applications différents, le cas échéant. Outre la configuration et le perfectionnement des modules de GRC pour répondre aux besoins opérationnels, l’ordre de préférence de la stratégie du Commissariat est le suivant :
- la réutilisation — réutiliser la solution actuelle au sein de l’organisation;
- l’achat — acheter des produits DSM;
- le développement — élaborer une solution personnalisée.
L’équipe de vérification a constaté que le processus annuel d’élaboration du POI est lancé par le secteur de la planification, de la vérification et de l’évaluation (qui relève directement du commissaire adjoint de la Direction générale de la gestion intégrée) qui envoie une lettre d’appel à chaque secteur. Cette lettre demande à tous les directeurs d’examiner Vision 2025, les objectifs de l’organisation et de faire part de leurs activités prévues (y compris les projets axés sur la TI) pour le prochain exercice. Les activités prévues sont ensuite regroupées dans un POI provisoire. À ce stade, le POI provisoire se caractérise par une liste de besoins non financés et est ensuite examiné par le secteur de la planification, de la vérification et de l’évaluation. Après avoir été validé par les directeurs du Commissariat, il est présenté au COMEX aux fins d’examen et d’approbation. Une fois approuvé, le POI constitue une liste d’activités nécessaires approuvées qui sont harmonisées avec les objectifs et les priorités de l’organisation.
La phase suivante du processus consiste à déterminer toutes les activités qui sont considérées comme des projets ou qui nécessitent un financement de la réserve du commissaire. À ce stade, le Centre d’excellence en gestion de projet et du changement et le directeur de la GI-TI évaluent ensemble les activités approuvées en fonction de critères définis afin de déterminer si elles doivent être considérées comme des projets axés sur la TI. Par exemple, la mise en œuvre d’un outil de TI ou la création d’un nouveau processus serait considérée comme un projet, alors qu’une activité en cours ne le serait pas. La liste détaillée des projets axés sur la TI est ensuite présentée au sous-comité de révision des projets de GI-TI aux fins d’examen, d’approbation et d’affectation des ressources.
Bien que le processus révisé soit relativement nouveau pour le Commissariat, l’équipe de vérification a déterminé, grâce à des entretiens avec les principaux intervenants et à un examen de la documentation relative au POI de 2020-2021 (approuvé le 5 février 2020), qu’il semble clair et bien géré. La documentation sur le déroulement du processus d’élaboration du POI comprend des responsabilités claires pour les parties impliquées par le biais d’un processus d’« établissement de points de contrôle » qui peut être facilement compris et respecté. Grâce à l’amélioration de la clarté et de la communication, le nouveau processus réduit le risque d’une affectation des ressources et d’une hiérarchisation des priorités sous-optimales.
5.3 Gestion de projet
Observations
L’équipe de vérification s’attendait à ce que le Commissariat dispose d’un cadre de gestion de projet officiellement défini et mis en œuvre pour assurer la réalisation cohérente des projets axés sur la TI, et qu’un plan d’action soit en place pour l’harmoniser avec la nouvelle Politique sur les services et le numérique du SCT.
À la lumière des entretiens avec les principaux intervenants et de l’examen des documents pertinents, l’équipe de vérification a déterminé qu’avant l’exercice 2019-2020, le Commissariat n’avait pas mis en place un cadre de gestion de projet solide et bien compris. Il était évident que les projets axés sur la TI étaient gérés de manière incohérente, en fonction de leur taille, de leur nature et du personnel impliqué, et que les rôles et responsabilités n’étaient pas clairs. Des problèmes ont notamment été observés en ce qui concerne la définition des besoins des utilisateurs fonctionnels et leur traduction en exigences techniques relatives à la TI. Ces dernières devaient à leur tour être utilisées dans le cadre de l’élaboration d’un mécanisme de passation de marchés approprié pour la réalisation du projet. Plusieurs représentants d’unités opérationnelles ont décrit des situations dans lesquelles ils se sont sentis vulnérables en raison de leur manque de connaissances techniques en matière de TI et du sentiment qu’ils étaient insuffisamment soutenus par la fonction de TI dans le cadre de l’élaboration et la mise en place de mécanismes de passation de marchés appropriés pour la réalisation de projets axés sur la TI. Dans certains cas, comme le projet de système de gestion des cas de litige, cela a occasionné des processus de passation de marchés infructueux et des retards dans la réalisation des projets.
La haute direction du Commissariat était consciente de ces problèmes et avait déjà procédé à un examen de son cadre de gestion de projet bien avant le début du déroulement de la vérification. La documentation examinée a révélé que les projets étaient souvent gérés en silo, ce qui entraînait des incohérences dans les approches et des niveaux variables de réussite des projets. Par la suite, l’organisation a pris des mesures positives importantes pour officialiser la gestion des projets au sein de l’organisation ainsi que pour mettre sur pied une équipe officielle des services de soutien des secteurs d’activité de la TI responsable du portefeuille des applications, laquelle est chargée du développement et de la maintenance de celles-ci. Plus précisément, un nouveau cadre de gestion de projet et du changement (CGPC) officiel a été mis au point, approuvé par le COMEX et mis en œuvre au cours de l’exercice 2019-2020.
En résumé, le nouveau CGPC du Commissariat est une approche en sept phases qui comprend les éléments suivants :
- la réception;
- l’analyse de la planification;
- l’analyse des investissements;
- l’approbation des investissements;
- la planification du projet;
- la réalisation du projet;
- la clôture du projet.
L’équipe de vérification a examiné la documentation relative au CGPC et a constaté qu’il définit clairement ce qui constitue un projet au Commissariat, sépare les projets en quatre catégories en fonction de leur valeur, comprend un processus clair et une approche d’« établissement de points de contrôle » (décrivant les sept phases mentionnées précédemment) pour la durée de vie d’un projet, apporte des précisions au sujet des intervenants du projet et présente un ensemble complet de modèles de gestion de projet couvrant des domaines tels que la proposition d’investissement, les rapports d’étape et le plan de gestion de projet.
Pour soutenir davantage l’amélioration de la gestion de projet, un nouveau Centre d’excellence en gestion de projet a été créé avec pour objectif de conseiller et de soutenir les unités opérationnelles dans leurs activités de gestion de projet. Au moment de la vérification, la nature exacte des conseils et du soutien n’était pas définie. Il existe donc un risque de confusion des rôles et responsabilités entre le Centre d’excellence, la fonction de TI et les unités opérationnelles, ce qui pourrait miner partiellement le nouveau cadre.
En outre, afin de fournir un soutien plus uniforme aux utilisateurs fonctionnels tout au long du cycle de vie des projets axés sur la TI et de promouvoir l’amélioration continue de l’environnement de la TI, le Commissariat est en train de mettre en œuvre un contrat pluriannuel de soutien relatif aux services de TI. Une fois en place, les services comprendront le soutien à l’équipe des services de soutien des secteurs d’activité de la TI dans le cadre de l’analyse des besoins actuels des utilisateurs, la gestion de cas, l’élaboration, le suivi des demandes générales, la gestion de l’information et des documents.
Pour assurer le succès de son nouveau CGPC, le Commissariat devra s’assurer qu’il bénéficie du soutien continu de la haute direction afin de déterminer le ton approprié aux échelons supérieurs. De plus, une attention particulière doit être accordée à l’échange de renseignements à tous les niveaux de l’organisation afin de réduire au minimum le risque de retomber dans un style de gestion de projet plus cloisonné. Il s’agit d’un aspect qui nécessite une habilitation par la structure du comité de gouvernance. Enfin, un facteur clé de succès pour la mise en œuvre d’un nouveau cadre de gestion de projet est de veiller à ce que les employés qui occupent des postes clés dans la gestion de projet reçoivent une formation appropriée en temps opportun dans ce domaine, en particulier lorsqu’il s’agit de la nature généralement technique des projets axés sur la TI.
Dans l’ensemble, l’équipe de vérification a déterminé que le nouveau CGPC était adapté à la taille et au niveau de complexité de l’organisation. Toutefois, l’organisation devra revoir son cadre de travail s’il devient probable que l’environnement de la TI du Commissariat augmente considérablement en ampleur ou en complexité.
Politique sur les services et le numérique du SCT
Le Commissariat a mené une évaluation préliminaire de haut niveau par rapport aux exigences de la nouvelle Politique sur les services et le numérique du SCT (en vigueur depuis le 1er avril 2020). Il convient de noter que la nouvelle politique a une large portée et couvre beaucoup plus d’aspects que ceux qui sont purement liés à la méthode du CES.
L’équipe de vérification a obtenu l’analyse et l’a examinée et a déterminé que la fonction de TI du Commissariat a connaissance des domaines où elle répond déjà aux exigences de la nouvelle politique et de ceux où il faut travailler davantage. L’organisation satisfait déjà aux exigences de la politique liées à la méthode du CES, ou réalise suffisamment de progrès en ce qui concerne celles-ci, telles que la gouvernance des services de TI, la planification et l’établissement de rapports (y compris l’approbation d’un plan ministériel triennal pour la gestion intégrée de la TI), la conception et la prestation de services axés sur les clients et la gestion stratégique de la TI. Toutefois, l’équipe de vérification n’a pas observé d’éléments probants indiquant clairement l’existence d’un plan d’action visant à satisfaire pleinement à toutes les exigences de la politique.
Recommandations
- Risque moyen : Il est recommandé que le directeur de la GI-TI élabore un plan d’action pour répondre aux exigences de la Politique sur les services et le numérique du SCT qui s’appliquent au Commissariat. Ce plan devrait comprendre des responsabilités et des calendriers clairs.
- Risque moyen : Il est recommandé que le Centre d’excellence en gestion de projet et du changement définisse et communique clairement les rôles et responsabilités en matière de gestion de projet au sein du Commissariat.
5.4 Cycle de développement des systèmes
L’équipe de vérification s’attendait à ce que le Commissariat ait élaboré et mis en œuvre une méthode exhaustive du CES afin de s’assurer que les procédures appropriées sont officialisées et respectées pour le développement et la maintenance des applications.
Après avoir examiné la documentation et interrogé les principaux intervenants de la fonction de TI du Commissariat, l’équipe de vérification a appris que l’organisation n’avait pas établi de méthode officielle en ce qui a trait à la surveillance du CES. Il a été expliqué à l’équipe de vérification que la méthode du CES a été officieusement adaptée à chaque projet axé sur la TI et documentée dans des modèles, et ce, en raison de la taille relativement petite de l’organisation et du fait que la majorité de ses travaux de développement d’applications sont effectués sur le système de GRC. En fonction de la disponibilité et de la pertinence des ressources internes, un projet axé sur la TI pourrait être mis en œuvre à l’interne, un autre pourrait être principalement confié à un expert-conseil de l’extérieur (sous la supervision de la fonction de TI du Commissariat) et un troisième pourrait être réalisé par une combinaison d’employés de la TI du Commissariat et d’experts-conseils de l’extérieur. Il est probable que chacun de ces scénarios reposerait sur le même fondement de gestion de projet de base, mais une méthode « globale » quelque peu différente serait adoptée.
La direction était pleinement consciente du fait qu’elle ne disposait pas d’une méthode officielle du CES, comme on pourrait s’y attendre au sein d’un ministère plus vaste et plus complexe. Toutefois, plusieurs des principaux intervenants en matière de gestion estiment que l’approche actuelle, officieuse et plus dynamique fonctionne bien et est adaptée à l’organisation. Par exemple, un des principaux intervenants a déclaré que la fonction de TI du Commissariat lui offrait un meilleur service (la résolution rapide des problèmes relatifs à la TI et les demandes de changement de module de GRC) que celui qu’il obtenait en travaillant au sein d’organisations beaucoup plus grandes. La simplicité relative des applications de TI au Commissariat, combinée à un petit nombre d’ETP, signifie que les unités opérationnelles ne soumettent pas toujours des demandes de billets de TI alambiquées et forment une file d’attente virtuelle pour recevoir le service. Au contraire, certains employés savent qui sont les informaticiens compétents et s’adressent directement à eux pour résoudre rapidement les problèmes. Cela étant dit, la priorité est toujours accordée aux demandes urgentes de billets.
Pour ajouter à ce constat, il convient de noter que le cadre général de développement de la TI est quelque peu normalisé. Récemment, le Commissariat n’a mis en œuvre de nouvelles solutions pour son portefeuille d’applications que par des ajouts à la solution de GRC, c’est-à-dire aucun produit DSM et aucune application élaborée à l’extérieur. Cela permet de réduire le risque éventuel et l’incidence négative qu’entraîne le fait de ne pas disposer d’une méthode de développement et de maintenance entièrement définie du CES, car la liberté sur le plan du développement est limitée par la plateforme de GRC actuelle.
Néanmoins, les personnes interrogées ont noté que, par le passé, une confusion dans les rôles et responsabilités entre les utilisateurs fonctionnels et la fonction de TI avait été constatée. En outre, la dérive de la portée du développement et de la maintenance des systèmes a parfois posé problème, généralement parce que les représentants des unités opérationnelles ne se rendaient pas compte de la quantité de travail supplémentaire qu’un changement de portée perçu comme mineur entraînerait. L’équipe de vérification a déterminé que ce problème peut être attribué à la petite taille de l’organisation, dont la culture rapproche quotidiennement les différents secteurs et permet de créer un environnement très réceptif. Ainsi, les clients sont, d’une manière anecdotique, habitués à obtenir ce qu’ils demandent dans un délai relativement court, sans avoir à passer par un changement officiel de l’analyse des besoins et à comprendre entièrement ce qu’implique un tel changement.
L’équipe de vérification reconnaît les avantages de la position actuelle du Commissariat sur la méthode du CES. Cependant, il est reconnu comme une pratique exemplaire de mettre en place une méthode officielle du CES afin d’avoir des approches uniformes pour l’analyse des besoins opérationnels en matière de TI, les procédures de mise à l’essai (y compris la sécurité et la confidentialité), la promotion des programmes et les exigences de formation, etc. Collectivement, cette uniformité renforcerait probablement la qualité des résultats et contribuerait à améliorer la productivité en limitant les erreurs et le remaniement des projets axés sur la TI.
Le Commissariat a déjà démontré que la mise en œuvre de processus officiels dans la gestion de projet permet d’obtenir un rendement meilleur et plus uniforme au chapitre de la réalisation de projets. Il est probable que l’organisation gagnerait à ce que la même optique soit appliquée à son CES.
Recommandation
- Risque moyen : Il est recommandé que le directeur de la GI-TI élabore et mette en œuvre une méthode officielle de CES, assortie de rôles et responsabilités clairs, qui soit adaptée à la taille et à la complexité de l’organisation. Il convient ainsi d’envisager l’intégration des exigences de la méthode du CES dans le cadre de gestion des projets et du changement.
6. Conclusion
Compte tenu de sa petite taille, de sa simplicité relative et de son faible nombre d’applications par rapport aux autres ministères fédéraux, l’équipe de vérification peut conclure que le Commissariat a mis en place un cadre de contrôle de gestion efficace pour le développement et la maintenance des applications. Plus précisément, l’organisation a récemment pris des mesures positives pour améliorer la gouvernance, la planification et l’établissement des priorités, ainsi que la gestion des projets axés sur la TI.
Toutefois, l’attention de la haute direction est nécessaire pour combler certaines lacunes et certains points à améliorer afin d’aider l’organisation à gravir la courbe de maturité. Ces points comprennent la précision et la communication des rôles et responsabilités dans le cadre de la gestion de projet, la mise en place d’un plan d’action réalisable pour répondre aux exigences de la Politique sur les services et le numérique du SCT et l’officialisation d’une méthode du CES adaptée à la taille de l’organisation.
Annexe A — Évaluation des risques pour les recommandations
| Niveau de risque | Description |
|---|---|
| Élevé | Événement ou activité critique qui se produira très vraisemblablement (80 % ou plus) et qui entraînera très vraisemblablement d’importants dépassements de coûts; des retards dans l’exécution du projet; des erreurs dans les données présentées; l’atteinte partielle des objectifs; une atteinte importante à la réputation ou la perte de la confiance du public. |
| Moyen/élevé | Événement ou activité critique qui se produira vraisemblablement (de 60 % à 80 %) et qui donnera probablement lieu à d’importants dépassements de coût; des retards dans l’exécution du projet; des erreurs dans les données présentées; l’atteinte partielle des objectifs; une atteinte importante à la réputation ou la perte de la confiance du public. |
| Moyen | Événement ou activité notable qui pourrait se produire (de 40 % à 60 %) et qui pourrait donner lieu, dans une certaine mesure, à des dépassements de coût; des retards dans l’exécution du projet; des erreurs dans les données présentées; l’atteinte partielle des objectifs; une situation gênante pour le ministre ou la perte de la confiance des intervenants. |
| Moyen/faible | Événement ou activité qui peut se produire (de 20 % à 40 %) et qui pourrait donner lieu, de façon mineure, à des dépassements de coût; des retards dans l’exécution du projet; l’atteinte partielle des objectifs; une attention médiatique défavorable ou la perte de la confiance du public. Cette catégorie peut aussi comporter un événement qui se produira très vraisemblablement (80 % ou plus), mais qui pourrait donner lieu, de façon superficielle, à des dépassements de coûts; des retards dans l’exécution du projet; des erreurs dans les données présentées; l’atteinte partielle de certains objectifs; une attention médiatique défavorable ou la perte de la confiance du public. La réponse pourrait exiger l’examen ou la modification de certaines activités ou une simple surveillance. |
| Faible | Événement ou activité peu probable (moins de 20 %) et qui pourrait donner lieu, de façon superficielle, à des dépassements de coûts; des retards dans l’exécution du projet; des erreurs dans les données présentées; l’atteinte partielle des objectifs; une attention médiatique défavorable ou la perte de la confiance du public. Une réponse ne sera probablement pas nécessaire, outre une surveillance potentielle. |
Annexe B — Réponse de la direction
Recommendation 1
Risque moyen
Il est recommandé que le directeur de la GI-TI élabore un plan d’action pour répondre aux exigences de la Politique sur les services et le numérique du SCT qui s’appliquent au Commissariat. Ce plan devrait comprendre des responsabilités et des calendriers clairs.
- Réponse de la direction
- La direction accepte la recommandation.
- Dans un premier temps, le directeur de la GI-TI analysera les exigences globales de la nouvelle Politique sur les services et le numérique afin d’évaluer laquelle s’applique au Commissariat avec une estimation du niveau d’effort et de la priorité. Cette première étape et ce rapport doivent être achevés avant la fin du deuxième trimestre, soit le 30 septembre 2020. À partir de là, le Commissariat proposera et lancera un plan d’action et une feuille de route de mise en œuvre d’ici la fin du troisième trimestre, soit le 31 décembre 2020. Ce plan d’action et ce rapport d’étape seront fusionnés avec le plan stratégique triennal en matière de GI-TI actuel du Commissariat avant la fin de l’exercice, comme le prévoit la nouvelle Politique sur les services et le numérique (Planification et production de rapports, point 4.1.2.7) et seront mis à jour chaque année selon la façon dont ils ont été mis en œuvre au cours de l’année précédente.
| Plan d’action | Produits à livrer | Date d’achèvement | Responsables |
|---|---|---|---|
| Analyse des exigences globales de la nouvelle Politique sur les services et le numérique afin d’évaluer laquelle s’applique au Commissariat. | Rapport d’évaluation concernant la Politique sur les services et le numérique du Commissariat | 30 septembre 2020 | Directeur de la GI-TI |
| Évaluation du niveau d’effort, de la priorité et du calendrier des exigences de la nouvelle Politique sur les services et le numérique qui s’appliquent au Commissariat. | Plan d’action sur la Politique sur les services et le numérique du Commissariat | 31 décembre 2020 | Directeur de la GI-TI |
| Fusion du plan d’action avec le rapport d’étape de l’actuel plan stratégique triennal en matière de GI-TI du Commissariat. | Rapport d’étape sur le plan d’action sur la Politique sur les services et le numérique du Commissariat dans le cadre du plan stratégique triennal en matière de GI-TI du Commissariat | 31 mars 2021 | Directeur de la GI-TI |
Recommendation 2
Risque moyen
Il est recommandé que le directeur de la planification, de la vérification et de l’évaluation (PVE) du Centre d’excellence en gestion de projet et du changement définisse et communique clairement les rôles et responsabilités en matière de gestion de projet au sein du Commissariat.
- Réponse de la direction
- La direction accepte la recommandation.
- Intégrera des renseignements sur les rôles et responsabilités dans le programme de formation sur la planification des investissements (qui comprend le cadre de gestion de projet et du changement).
| Plan d’action | Produits à livrer | Date d’achèvement | Responsables |
|---|---|---|---|
| Intégration des renseignements sur les rôles et responsabilités dans le cadre de gestion de projet et du changement. | Présentation révisée de la formation et formation qui sera offerte dans le cadre du programme de formation pour 2020‑2021 | 31 août 2020 | Directeur de la PVE |
Recommendation 3
Risque moyen
Il est recommandé que le directeur de la GI-TI élabore et mette en œuvre une méthode officielle de CES, assortie de rôles et responsabilités clairs, qui soit adaptée à la taille et à la complexité de l’organisation. Il convient ainsi d’envisager l’intégration des exigences de la méthode du CES dans le cadre de gestion des projets et du changement.
- Réponse de la direction
- La direction accepte la recommandation.
- Le directeur de la GI-TI travaillera en collaboration avec le directeur de la PVE pour s’assurer que la méthode du CES est correctement documentée et intégrée dans le cadre de gestion de projet et du changement. Dans le passé, le Commissariat appliquait une approche uniformisée de gestion de projet linéaire où un projet est réalisé en phases distinctes et déplacé étape par étape; c’est ce qu’on appelle la méthode de la chute d’eau. À l’heure actuelle, une nouvelle approche relative au CES fait l’objet d’un projet pilote. Le Commissariat applique la méthode Agile/SCRUM pour les nouveaux projets d’élaboration; la méthode Agile est une itération continue d’élaboration et de réalisation d’analyses, tandis que la méthode Scrum est un processus agile qui vise à fournir la valeur opérationnelle dans les plus brefs délais. D’ici la fin du deuxième trimestre (le 30 septembre 2020), le directeur de la GI-TI dressera un bilan du projet pilote. D’ici la fin du troisième trimestre (le 30 décembre 2020), le directeur de la GI-TI présentera une recommandation concernant la gouvernance de la méthode du CES pour le Commissariat. Une méthode officielle du CES avec des rôles et responsabilités clairs ainsi que l’intégration dans le cadre de gestion de projet et du changement sera achevée d’ici la fin de l’exercice 2020-2021, soit le 31 mars 2021.
| Plan d’action | Produits à livrer | Date d’achèvement | Responsables |
|---|---|---|---|
| Le directeur de la GI-TI tirera des leçons du projet pilote. | Rapport des leçons retenues dans le cadre de la méthode Agile/SCRUM du CES | 30 septembre 2020 | Directeur de la GI-TI |
| Le directeur de la GI-TI présentera une recommandation concernant la gouvernance de la méthode du CES pour le Commissariat. | Recommandation concernant la gouvernance de la méthode du CES | 31 décembre 2020 | Directeur de la GI-TI |
| Achèvement de l’élaboration d’une méthode officielle du CES avec des rôles et responsabilités clairs et de l’intégration dans le cadre de gestion de projet et du changement. | Méthode officielle du CES avec des rôles et responsabilités clairs | 31 mars 2021 | Directeur de la GI-TI |