Audit du cadre de GI/TI pour soutenir la transition vers SPC

Audit du cadre de GI/TI pour soutenir la transition vers SPC
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès
à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI
pour soutenir la transition vers SPC
Mars 2015
7050-66 (CS Ex)
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
Table des matières
Acronymes et abréviations ................................................................................... i
Sommaire des résultats ........................................................................................ ii
Évaluation globale.............................................................................................. ii
Constatations et recommandations.................................................................... ii
1.0 Introduction ..................................................................................................... 1
1.1 Contexte ...................................................................................................... 1
1.2 Justification de l’audit ................................................................................... 3
1.3 Objectif ......................................................................................................... 3
1.4 Étendue ....................................................................................................... 3
1.5 Méthodologie ............................................................................................... 3
1.6 Critères de l’audit ......................................................................................... 4
1.7 Énoncé de conformité .................................................................................. 4
2.0 Constatations et recommandations .............................................................. 5
2.1 Gouvernance liée à la transition des services .............................................. 5
2.2 Gestion des niveaux de services ................................................................. 7
2.3 Gestion des connaissances relatives aux services ...................................... 9
2.4 Gestion intégrée des risques ..................................................................... 11
3.0 Conclusion générale ..................................................................................... 12
Annexe A – Plan d’action de la direction ........................................................ A-1
Annexe B – Critères de l’audit ......................................................................... B-1
Chef – Service d’examen
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
Acronymes et abréviations
ABD
Administration de la base de données
AF
Année financière
BPR
Bureau de première responsabilité
GC
Gouvernement du Canada
GI/TI
Gestion de l’information et technologie de l’information
MDN
Ministère de la Défense nationale
MDN/FAC
Ministère de la Défense nationale et Forces armées canadiennes
SMA(GI)
Sous-ministre adjoint (Gestion de l’information)
SPC
Services partagés Canada
TI
Technologie de l’information
Chef – Service d’examen
i/iv
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
Sommaire des résultats
Le Sous-ministre adjoint (Gestion de l’information)
(SMA(GI)) est l’autorité fonctionnelle de la gestion de
l’information et de la technologie de l’information (GI/TI) au
ministère de la Défense nationale (MDN). Toutefois, la
gestion de la GI/TI au Ministère est répartie entre diverses
organisations outre le SMA(GI). Cette approche décentralisée
de la prestation des services de GI/TI permet à un ministère
de cette envergure et de cette complexité de répondre aux
besoins opérationnels spécifiques en GI/TI de façon souple.
Évaluation globale
Bien que certains aspects des
mécanismes de gouvernance,
de contrôle et de gestion des
risques au sein du cadre de
GI/TI du MDN soient mis en
œuvre ou en voie de l’être, des
améliorations sont encore
nécessaires pour soutenir une
transition efficace de la GI/TI
vers SPC.
Le 4 août 2011, le gouvernement du Canada (GC) a créé un
nouveau ministère, appelé Services partagés Canada (SPC),
pour offrir une infrastructure et des services communs en
GI/TI et pour diminuer les dédoublements entre ministères. Compte tenu du degré d’autonomie
dont disposaient des organisations du MDN relativement à leur infrastructure et services de
GI/TI, le Ministère a eu des difficultés à faire la transition vers l’infrastructure de GI/TI et les
pratiques de gestion des services de TI que SPC tente de mettre en œuvre, et il continue à en
avoir. Depuis que SPC a pris le contrôle de l’infrastructure et services ministériels spécifiques de
GI/TI, le 1er avril 2012, tout retard dans l’intégration entre le Ministère et SPC pourrait avoir des
répercussions sur les opérations courantes du MDN.
Le présent audit a pour objectif d’évaluer si la gouvernance, le contrôle et la gestion des risques
au sein du cadre de GI/TI du MDN soutiennent une transition efficace vers SPC.
Constatations et recommandations
Gouvernance liée à la transition des services. Pour l’essentiel, les rôles et les responsabilités
liés à la transition des services vers SPC n’étaient pas définis aux niveaux opérationnels du
MDN. Le Ministère a travaillé avec SPC pour clarifier son rôle en matière de prestation des
services de GI/TI grâce à des mécanismes officiels, comme les accords et les protocoles, ainsi
que pour tenter d’harmoniser des aspects de son modèle de gestion des services de TI à ceux de
SPC. Bien que le processus de gestion du changement de la GI/TI du MDN comprenne
l’intégration à SPC, les rôles et les responsabilités n’ont pas été officialisés, ce qui crée un risque
de changements non autorisés ou non documentés. La politique actuelle ne définit pas
explicitement les rôles et les responsabilités des organisations décentralisées au sein du MDN
pour gérer leurs propres systèmes et services de GI/TI. En l’absence d’une telle instruction
politique, ce pourrait être plus difficile pour le MDN et le SMA(GI) de planifier, communiquer,
coordonner et mettre en œuvre les objectifs et les initiatives ministériels de GI/TI.
Il est recommandé que le SMA(GI) veille à ce que les rôles et les responsabilités en matière de
GI/TI et que les changements organisationnels soient clairement définis, communiqués et que
leur mise en œuvre soit surveillée.
Gestion des niveaux de services. En l’absence de normes ministérielles concernant la
documentation de renseignements importants sur les services, il y a des incohérences dans la
Chef – Service d’examen
ii/iv
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
structure et la documentation des services examinés. Cela a créé des difficultés pour harmoniser
les services internes à ceux de SPC et mesurer le rendement des services à l’échelle du Ministère.
L’on a cependant remarqué que la plupart des sept unités de prestation de services du MDN qui
ont été examinées avaient effectué la transition vers des outils du bureau de service visant
l’ensemble du MDN pour les demandes services et la gestion des services qui aideraient à
simplifier les services, ou alors elles étaient en voie de la faire.
Durant l’étape liée à l’étendue de l’audit, le SMA(GI) a eu du mal à déterminer les exigences en
matière de niveaux de service, les cibles liées aux niveaux de service, l’évaluation du rendement
et les exigences liées à la production des rapports pour les services à l’échelle du Ministère.
Néanmoins, l’initiative de gestion des services de TI a fait des progrès dans l’élaboration des
cibles liées aux niveaux des services nationaux du MDN. Les exigences et les cibles liées aux
niveaux de service sont importantes puisqu’elles représentent les besoins de la clientèle et les
exigences administratives, et qu’elles donnent la capacité d’effectuer la surveillance du
rendement des services de GI/TI dans tout le Ministère.
Il est recommandé que le SMA(GI) élabore des normes clairement définies en matière de gestion
des niveaux de service de GI/TI et qu’il veille à ce qu’elles fassent l’objet d’une surveillance.
Gestion des connaissances relatives aux services. Le SMA(GI) n’a aucun système permettant
de gérer les données et les renseignements liés à la gestion des services de TI. De plus, l’actuel
modèle décentralisé de prestation des services de GI/TI a fait en sorte que les renseignements sur
les services que détiennent les divers fournisseurs de services de GI/TI du MDN ne sont pas
uniformes, ni faciles d’accès. Par conséquent, il est difficile d’avoir une vue globale de
renseignements ministériels sur la GI/TI qui pourraient aider à la transition vers SPC et servir à
des fins décisionnelles.
Un outil pourrait aider le MDN à gérer les services internes de GI/TI et à faire en sorte que les
services de SPC et du MDN répondent aux besoins de la clientèle : un catalogue des services. Ce
dernier pourrait comprendre des renseignements sur les propriétaires fonctionnels et les unités,
les répercussions des incidents ou des changements sur les activités, les priorités des activités et
les niveaux de service. Bien qu’il y ait un catalogue des services au sein du Ministère, il ne
comprend qu’une description du service et son propriétaire fonctionnel de haut niveau. De plus,
le catalogue des services n’était pas lié à des portefeuilles clients qui définissent lesdits clients et
leurs exigences.
Il est recommandé que le SMA(GI) élabore des stratégies et une orientation de la politique pour
garantir une démarche commune à la consignation, au stockage et au partage des renseignements
sur les services.
Chef – Service d’examen
iii/iv
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
Gestion intégrée des risques. Le Ministère a décrit les risques liés à la transition et les activités
d’atténuation à un niveau très élevé dans certains documents ministériels. Des pratiques
informelles de gestion des risques ont cours au sein du MDN afin de gérer la transition et ses
répercussions sur les activités courantes de GI/TI. Cependant, il n’y avait aucune preuve de
pratiques officielles, cohérentes et uniformes de gestion des risques permettant de cerner,
d’évaluer et de gérer les risques. Ces observations et les améliorations potentielles ont fait l’objet
de discussions avec la direction; on a toutefois jugé qu’aucune recommandation n’était
nécessaire dans le présent rapport.
Nota : Les réponses de la direction aux recommandations du CS Ex figurent à l’annexe A –
Plan d'action de la direction.
Chef – Service d’examen
iv/iv
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
1.0 Introduction
1.1 Contexte
En 2014, l’Équipe de la Défense comptait environ 67 000 militaires et 23 000 employés civils 1.
Les membres de l’Équipe de la Défense travaillent non seulement dans la région de la capitale
nationale, mais aussi à d’autres endroits, comme aux différentes bases et unités au Canada, aux
États-Unis et en Europe, ainsi qu’à d’autres lieux à l’échelle internationale à l’appui des
opérations de déploiement, de missions des alliés et d’exercices d’entraînement interarmées.
Ce genre d’organisation dispersée et en constante évolution présente un défi de GI/TI unique.
Le SMA(GI) agit à la fois comme autorité de la GI/TI au sein du MDN et de fournisseurs de
services de GI/TI (postes de travail, logiciels d’application, réseaux classifiés, etc.) pour les
utilisateurs finaux au Ministère. Grâce à la politique ministérielle, d’autres organisations au sein
du MDN ont aussi reçu l’autorisation de fournir des services de GI/TI, au besoin, ce qui crée un
modèle de services décentralisés.
Par conséquent, diverses organisations au sein du MDN fournissaient nombre de services
semblables au sein de leur organisation respective. Le 4 août 2011, le GC a créé SPC afin de
transformer fondamentalement la façon dont le gouvernement gère son infrastructure de TI 2 et,
ainsi, certains de ces services sont maintenant la responsabilité de SPC.
SPC fournit au MDN l’infrastructure de TI ainsi qu’à 42 autres ministères fédéraux. Le
15 novembre 2011, le GC a annoncé que le contrôle et la supervision d’une partie des budgets,
des gens, des biens et des contrats pour l’infrastructure et les services de TI seraient transférés de
ces ministères à SPC d’ici le 1er avril 2012. Durant l’année financière (AF) 2012-2013, le MDN
a donc transféré à SPC quelque 306 millions de dollars et 761 membres du personnel.
Cette attente relative à la transition vers le modèle de service de SPC au plus tard le
1er avril 2012 a posé tout un défi pour un ministère ayant la taille, la complexité, la répartition
géographique et la structure organisationnelle de GI/TI décentralisée du MDN. Toute tentative
de poursuivre la transition après le 1er avril 2012 aurait dû être réalisée avec des ressources
de GI/TI restreintes, puisque nombre desdites ressources auraient été transférées à SPC à ce
moment.
Compte tenu de l’autorisation accordée aux diverses organisations grâce à la démarche
décentralisée du Ministère, chaque organisation peut avoir sa propre façon de gérer les mêmes
services et systèmes de GI/TI sans que le SMA(GI) en ait une grande visibilité à l’échelle du
Ministère. Par conséquent, une complexité supplémentaire s’est ajoutée puisque SPC a dû faire
l’intégration de multiples organisations fournissant des mêmes services au sein du MDN. La
figure 1 illustre les partenariats entre SPC et le MDN.
1
2
Rapport ministériel sur le rendement, AF 2013-2014. Équivalents temps plein de la Force régulière et civils.
Mandat de SPC (http://www.ssc-spc.gc.ca/pages/mndt-fra.html).
Chef – Service d’examen
1/12
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
TI centrale pour le
gouvernement du
Canada
Rapport final – Mars 2015
SPC
Autorité fonctionnelle
pour la GI/TI au sein du
MDN et des FAC
SMA(GI)
Fournisseurs de
services de GT/TI
ministériels
Fournisseur
de services
no 1
Fournisseur
de services
no 2
Fournisseur
de services n
Figure1. Partenariat entre SPC et le MDN. Le diagramme ci-haut illustre le partenariat entre SPC et les
fournisseurs de services de GI/TI ministériels. SPC fournit des services directs aux fournisseurs de services
de GI/TI de chaque organisation.
Bien que le MDN ait proposé à SPC un document de ségrégation des responsabilités des services
afin de maintenir les niveaux opérationnels de GI/TI au sein du Ministère, la direction a signalé
qu’elle n’était pas encore parvenue à une entente avec SPC. Cela a créé des difficultés dans la
progression de l’intégration des services entre les deux ministères et a nui à la capacité du MDN
à identifier les services de GI/TI nécessitant une intégration avec SPC, à en établir l’ordre de
priorité et à en faire la transition. Au 31 mars 2014, le seul document qui avait été signé par SPC
et le MDN était une entente administrative décrivant la relation courante, en termes généraux,
entre SPC et des organisations partenaires. Bien que l’entente administrative soit la clé de voûte
du cadre de partenariat, des accords spéciaux entre le MDN et SPC, ainsi que le rendement
escompté des services n’ont pas encore été établis.
1.1.1 Initiatives du MDN visant à améliorer la transition vers SPC
Le MDN travaille avec SPC afin d’améliorer l’intégration des services entre les ministères. Par
exemple, le MDN accroît l’information dans son catalogue des services, et il crée une initiative
pour aider à garantir la disponibilité et l’intégrité des principaux services de réseau. La direction
du MDN a affirmé qu’on avait tenu des réunions entre les deux ministères concernant la gestion
des incidents et qu’un gestionnaire des opérations de SPC avait été intégré au sein du MDN afin
d’aider à mieux comprendre les activités et les exigences.
Le MDN a élaboré un document qui décrit les protocoles devant servir à répondre à ses besoins
administratifs. Le MDN a aussi réalisé des progrès pour ce qui est d’identifier les éléments de
sécurité de la TI qui pouvaient être transférés ou partagés entre le MDN et SPC. Enfin, le
SMA(GI) procède à la planification et à l’élaboration des feuilles de route mesurables en GI/TI
pour soutenir les objectifs de sécurité liés à l’informatique et à la TI.
Chef – Service d’examen
2/12
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
1.2 Justification de l’audit
Pendant l’exécution d’une étude de planification du Chef – Service d’examen, qui a été présentée
en mars 2013 au comité ministériel d’audit, la direction du MDN a désigné le modèle de
prestation des services de l’infrastructure de la TI commune du GC comme un secteur de risques.
Plus précisément, on se préoccupait des répercussions du transfert à SPC de certaines
responsabilités en GI/TI. Le plan de vérification axé sur les risques du Chef – Service d’examen
pour les AF de 2013-2014 à 2015-2016 mentionne une vérification du cadre de GI/TI du MDN,
dont l’étendue est axée sur les services interconnectés entre le MDN et SPC.
1.3 Objectif
L’audit a pour objectif d’évaluer si la gouvernance, le contrôle et la gestion des risques à
l’intérieur du cadre de GI/TI du MDN soutiennent une transition efficace vers SPC.
1.4 Étendue
L’audit englobait une évaluation des fonctions ministérielles au sein du MDN liées aux secteurs
de prestation des services de GI/TI qui seraient intégrés à SPC, de l’AF 2011-2012 à
l’AF 2013-2014. La plage de calendrier de l’échantillon des activités des services de GI/TI a été
étendue jusqu’à décembre 2014 afin de valider les résultats des tests.
L’infrastructure classifiée et les services connexes n’ont pas été examinés parce qu’au moment
où l’on a commencé l’audit, il fallait encore déterminer s’ils allaient faire partie de la transition
vers SPC. La sécurité de la GI/TI n’a pas été examinée non plus puisqu’on s’attend à ce qu’elle
fasse l’objet d’audits à venir. Enfin, l’évaluation ne porte pas sur l’examen des stratégies de
prestation des services de SPC ou sur le rendement en la matière.
1.5 Méthodologie
La méthodologie ci-après indiquée a servi à l’exécution de l’audit.
•
•
•
Examen et analyse des politiques et directives pertinentes du GC et du MDN, des plans
d’activités organisationnels, des profils de risques ministériels ainsi que de la
documentation de l’initiative de gestion des services de TI du MDN.
Examen et analyse des différents briefings, rapports, procès-verbaux de réunions de
comités et comptes rendus de groupes de travail.
Entrevues réalisées avec divers intervenants responsables de la gouvernance de la GI/TI
ainsi que de la gestion et de la prestation des services et systèmes de GI/TI.
Chef – Service d’examen
3/12
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
•
•
Rapport final – Mars 2015
Analyse d’un échantillon de 11 demandes de changement 3 approuvées sur 419 afin de
déterminer l’ampleur de la participation de SPC au processus de demande de changement
et de voir si les rôles et responsabilités de SPC concordent avec la politique et les lignes
directrices du MDN.
Échantillon choisi de sept unités de services d’administration de la base de données
(ABD) parmi différents fournisseurs de services afin de déterminer si les activités de
service exécutées étaient uniformes entre les différentes unités de services au sein du
Ministère et si l’information était systématiquement documentée.
1.6 Critères de l’audit
Les critères de l’audit se trouvent à l’annexe B.
1.7 Énoncé de conformité
Les constatations et les conclusions de l’audit figurant dans le présent rapport reposent sur des
preuves d’audit suffisantes et appropriées recueillies par l’application de procédures conformes
aux Normes internationales pour la pratique professionnelle de la vérification interne de
l’Institut des vérificateurs internes. L’audit est donc conforme aux Normes relatives à la
vérification interne au sein du gouvernement du Canada, comme en témoignent les résultats du
programme d’assurance et d’amélioration de la qualité. Les opinions exprimées dans le présent
rapport reposent sur les conditions existant au moment de l’audit et elles ne s’appliquent qu’à
l’entité examinée.
3
Une demande de changement est un document qui sollicite une modification à un système, comme le
déménagement de l’infrastructure de TI, l’approbation d’un nouveau serveur, un accès réseau, etc.
Chef – Service d’examen
4/12
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
2.0 Constatations et recommandations
2.1 Gouvernance liée à la transition des services
Bien qu’il y ait certains éléments de gouvernance de la gestion des services de TI pour soutenir
la transition vers SPC, le MDN n’a pas entièrement élaboré et mis en œuvre un cadre de
gouvernance et de transition des services pour soutenir l’intégration à SPC.
Dans tout milieu de travail, le changement peut s’avérer une entreprise complexe parce qu’elle
présuppose souvent la gestion de l’interrelation des changements entre les personnes, les
processus et la technologie. C’est particulièrement vrai pour la transition de la gestion de
l’infrastructure de TI du MDN vers SPC, compte tenu de la portée du changement. Non
seulement le Ministère devait-il transférer de l’argent, des effectifs et des biens liés au mandat de
SPC, il devait aussi réaliser une transition de ses activités pour s’adapter à la façon dont SPC
gère les services de TI. Cela a été un défi pour le Ministère d’intégrer efficacement ses activités à
un fournisseur de services de TI externe compte tenu des ressources de GI/TI qui lui resteront
après le transfert.
2.1.1 Rôles et responsabilités
À titre de dirigeant principal de l'information pour le
ministère de la Défense nationale et les Forces armées
canadiennes (le MDN et les FAC), le SMA(GI) est
responsable de la gestion des services de TI et il doit
veiller à leur harmonisation avec les objectifs ainsi que
les priorités opérationnels. Durant la transition vers SPC,
toutefois, le Vice-chef de l’état-major de la Défense a
publié une série de directives afin d’aider à garantir la
continuité des services de GI/TI. Cela comprend la
définition des rôles et des responsabilités pour gérer les
composantes de la transition vers SPC. Or, ces rôles et
ces responsabilités n’ont été définis qu’aux niveaux
supérieurs du MDN.
Bonnes pratiques
Le MDN collabore activement avec
SPC dans l’élaboration de la
stratégie du MDN et la gouvernance
pour l’intégration à SPC. Cela
comprenait la mise sur pied de
groupes de travail et le fait d’inviter
SPC à participer en qualité de
membre stratégique de comités
existants.
Les rôles et les responsabilités n’étaient pas explicitement définis dans d’autres documents de
politique ou de directives ou aux niveaux opérationnels du Ministère. Ainsi, six des sept unités
de services d’ABD échantillonnées au sein du MDN n’avaient pas documenté les rôles et les
responsabilités. Les services d’ABD ont été choisis pour l’échantillonnage parce que leur
responsabilité est maintenant partagée entre le MDN et SPC. L’absence de consignation des rôles
et des responsabilités peut créer des difficultés lorsqu’il s’agit de faire connaître à SPC les rôles
et les responsabilités de niveau opérationnel du MDN. Il est important de documenter les rôles et
les responsabilités ainsi que de les faire connaître à SPC afin de fournir des services intégrés aux
utilisateurs finaux.
Bien que SPC participe au processus de contrôle du changement du MDN pour les systèmes de
GI/TI, les politiques et les procédures du MDN ne décrivent pas officiellement les rôles et les
responsabilités de SPC. Il y a un haut degré d’interconnectivité entre des éléments des systèmes
Chef – Service d’examen
5/12
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
de GI/TI. À ce titre, il y a une possibilité que les changements à l’une des composantes nuisent à
d’autres systèmes. Sans définition des rôles et des responsabilités, on court le risque qu’on mette
en œuvre des changements non autorisés ou non documentés qui pourraient avoir des
répercussions imprévues sur d’autres systèmes de GI/TI du MDN.
2.1.2 Communication et stratégie liées à la transition
Il est important de communiquer efficacement le changement organisationnel afin de faire en
sorte que les intervenants comprennent et adoptent les changements. À ce titre, les
communications dans l’ensemble du Ministère doivent être claires, uniformes, opportunes et
ciblées vers les bons destinataires. Les plans officiels des communications pourraient servir à
garantir le succès des communications et l’adhésion des intervenants à l’égard des changements
organisationnels.
Il n’y avait aucune preuve d’un plan de communication
Bonnes pratiques
à l’échelle du Ministère. Bien que diverses organisations
Des directives et lignes directrices
du MDN aient eu leur propre plan de communication
pour l’ensemble du MDN
pour gérer la transition des systèmes et services de TI,
communiquent certaines des
il leur manquait d’importantes composantes. Les plans
attentes ministérielles et tiennent
pourraient comprendre des éléments les objectifs de
compte des problèmes cruciaux liés
communication et les résultats escomptés, des
à la transition des systèmes et des
considérations relatives aux intervenants ainsi que des
services vers SPC.
paramètres de rétroaction (par exemple, le pourcentage
de répondants qui ont une idée claire de ce qui est attendu d’eux durant cette transition des
services). Un plan de communication pour l’ensemble du Ministère pourrait décrire la stratégie
du MDN pour s’harmoniser au modèle de gestion des services de TI de SPC à l’intention des
intervenants.
Pour gérer les activités actuelles et l’efficacité future des services de GI/TI du MDN, le
SMA(GI) a élaboré une proposition de services aux fins d’examen par SPC ainsi qu’une stratégie
visant à harmoniser le modèle de gestion des services de TI du MDN avec celui de SPC. Bien
qu’on ait eu la preuve de plans visant l’intégration aux services de SPC, ils ne comprennent pas
de documents décrivant tous les aspects d’un service de GI/TI et de ses exigences à chaque étape
de son cycle de vie, les processus pour garantir que les ressources du service (comme les
renseignements sur le service, les réseaux, les licences des logiciels, etc.) sont dûment contrôlés,
pas plus qu’ils ne comprenaient des renseignements exacts et fiables sur ces ressources. Sans une
telle documentation, des processus et des renseignements auxquels on peut facilement avoir
accès, la capacité du MDN à comprendre et communiquer les exigences ministérielles globales
en vue de l’intégration à SPC pourrait être limitée.
2.1.3 Conclusion
Durant la transition des systèmes et des services de l’infrastructure de TI vers SPC, le MDN n’a
pas décrit les rôles et les responsabilités des fournisseurs de services, confirmé que les
communications ont été reçues et comprises par les intervenants, ni mis pleinement en œuvre ou
documenté une stratégie exhaustive de gestion des services de TI.
Chef – Service d’examen
6/12
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
Pour l’heure, les lignes directrices politiques sont vagues en ce qui concerne les rôles et les
responsabilités des organisations afin de gérer leurs propres systèmes et services de GI/TI. La
démarche décentralisée de gestion des services de GI/TI, sans orientation politique explicite et
sans surveillance, fait en sorte qu’il est difficile pour le SMA(GI) de planifier, communiquer,
coordonner et mettre en œuvre des objectifs et des initiatives de GI/TI pour l’ensemble du MDN.
Recommandation du CS Ex
1.
Le SMA(GI) devrait veiller à ce que les rôles et les responsabilités en matière de GI/TI
et à ce que les changements organisationnels soient clairement définis, communiqués et à ce que
leur mise en œuvre soit surveillée.
BPR : SMA(GI)
2.2 Gestion des niveaux de services
Le processus de gestion des niveaux de services du MDN n’est pas appuyé par la
documentation nécessaire et les renseignements sur les services pour faire connaître à SPC le
rendement des services escompté par le MDN; toutefois, des mesures ont été prises à cet égard.
La gestion des niveaux de service est le processus servant à garantir que les clients internes
obtiennent les niveaux de service appropriés de leur fournisseur de services de GI/TI. Cela
présuppose de recueillir et de tenir à jour les renseignements sur les services, comme les
exigences des clients relatives aux niveaux de service qui pourraient servir à négocier avec SPC
les attentes liées aux services.
2.2.1 Manque d’uniformité de la documentation des renseignements liés aux services
Il n’y avait aucune preuve de normes ministérielles concernant la documentation les principaux
renseignements sur les services. En l’absence de normes ministérielles, les huit mêmes activités
ont été examinées au sein de sept unités de services d’ABD pour déterminer si les
renseignements sur les services étaient uniformes à l’échelle du Ministère. À titre d’exemple,
lesdites activités pourraient comprendre la création, la mise à jour, la migration, la sauvegarde et
la récupération d’une base de données. Parmi les sept unités de services d'ABD, six ont exécuté
les huit activités, tandis que l’autre unité de service n’en avait exécuté que deux, ce qui donne au
total 50 activités.
L’on s’attendait à ce qu’on trouve des renseignements semblables sur les services d’ABD
documentés et disponibles pour toutes les 50 activités examinées afin de mesurer et de comparer
l’efficacité de la prestation des services dans l’ensemble du Ministère. Parmi ces 50 activités,
25 comptaient des documents pour soutenir le service. Une analyse de cette documentation a
révélé qu’il y avait peu d’uniformité des renseignements sur les services. En l’absence de
politiques sur les normes relatives aux renseignements sur les services, des services peuvent être
conçus et mis en œuvre de façon incohérente. Des renseignements sur les services non uniformes
créent des difficultés lors de l’intégration des services du MDN à ceux de Services partagés
Chef – Service d’examen
7/12
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
Canada puisque SPC vise à obtenir des normes communes et des gains d’efficience dans tous les
ministères.
2.2.2 Renseignements liés aux services
Les cibles des niveaux de service reposent sur les exigences en matière de niveaux de service 4,
lesquelles représentent les exigences du client pour un service de TI particulier. Les fournisseurs
de service peuvent s’en servir pour mesurer le rendement des services et gérer les attentes du
client à l’égard du service en question. Le MDN peut aussi utiliser ces cibles pour négocier les
attentes avec d’autres fournisseurs de service comme SPC.
Parmi l’échantillon de sept unités de services d’ABD examinées, on n’a eu aucune preuve de
renseignements sur les services, comme les exigences sur les niveaux de service, les cibles des
niveaux de service, les évaluations du rendement
ou les exigences en matière de rapports.
Bonnes pratiques
Certains travaux ont été réalisés par
Dans l’ensemble, il était évident, durant l’audit,
l’initiative de gestion des services de TI
que les renseignements sur les services ne
afin d’élaborer des cibles de niveaux de
pouvaient pas servir à évaluer le rendement
service pour les services nationaux du
antérieur des services du MDN. Cela a son
MDN. En outre, on a établi un outil des
importance puisque des cibles de service
bureaux de service pour l’ensemble du
communes et des mesures traditionnelles du
MDN qui pourrait permettre de faire le
rendement des services auraient pu servir à
suivi des délais d’intervention de SPC.
négocier les niveaux de services attendus de SPC.
2.2.3 Conclusion
Les normes requises pour mettre en œuvre certaines composantes clés de la gestion des niveaux
de service, comme la collecte des exigences sur les services et les renseignements, ainsi que la
surveillance du rendement des services au sein du Ministère, n’étaient pas en place. Cela a donné
lieu à des renseignements sur les services non uniformes qui peuvent nuire à la capacité du MDN
à intégrer ses services de TI à ceux de SPC. De plus, le MDN est incapable de mesurer le
rendement des services de GI/TI à l’échelle du Ministère et d’utiliser ces renseignements pour
négocier les niveaux de service avec SPC.
Recommandation du CS Ex
2.
Le SMA(GI) devrait élaborer des normes clairement définies en matière de gestion des
niveaux de service de GI/TI et veiller à ce qu’elles fassent l’objet d’une surveillance.
BPR : SMA(GI)
4
Définition de la Bibliothèque de l’infrastructure des technologies de l’information : Les exigences sur les niveaux
de service reposent sur les objectifs opérationnels du client. Elles servent à négocier des cibles liées aux niveaux de
service convenues entre le fournisseur de services et le client.
Chef – Service d’examen
8/12
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
2.3 Gestion des connaissances relatives aux services
Les stratégies, les systèmes et les processus du MDN qui contribueraient à la gestion efficace
des données, renseignements et connaissances sur les services pour soutenir l’intégration à SPC
n’étaient généralement pas établis.
La gestion des connaissances liées aux services présuppose de mettre en commun les
perspectives, les idées, les expériences et les renseignements, et de les rendre facilement
disponibles et accessibles. Le processus de gestion des connaissances favorise la consignation
des renseignements sur la GI/TI dans un format uniformisé afin qu’ils puissent être facilement
compilés et analysés, ce qui donne lieu à des renseignements ministériels sur la GI/TI plus
actuels, exhaustifs et valides. Si les renseignements sur les services sont structurés et documentés
uniformément et que tous les intervenants concernés peuvent y avoir accès et les partager, le
MDN pourrait réduire les dédoublements des efforts à l’échelle du Ministère. Cela permettrait au
MDN d’avoir une vue d’un service dans l’ensemble du Ministère et de pouvoir réagir plus
efficacement aux nouveaux risques et mieux se conformer aux politiques et à d’autres exigences
juridiques, comme la transition des services et des systèmes vers SPC.
2.3.1 Accessibilité des renseignements liés aux services qui sont conservés
Le SMA(GI) n’a pas établi la gouvernance ou des contrôles pour la gestion des connaissances
relatives aux services au sein du Ministère. Cela comprend la création et la mise en œuvre des
politiques, des processus ou des procédures requises pour tenir à jour les données et les
renseignements sur la GI/TI et les rendre disponibles pour ceux qui en ont besoin à des fins
décisionnelles.
Aussi, le SMA(GI) n’a pas de système qui effectue la gestion des données et des renseignements
liés aux systèmes et services de GI/TI, et il pourrait ne pas avoir accès à ce genre d’information
qui existe chez l’ensemble des fournisseurs de services de GI/TI du MDN. Pendant l’audit, ces
renseignements étaient généralement difficiles à trouver, puisqu’ils étaient soit conservés dans
des ordinateurs personnels ou dans un logiciel ministériel de partage de documents dont les
conventions de nomenclature et les emplacements ne sont pas uniformisés. En outre, les
renseignements qui sont communément utilisés pour gérer les services et les ressources de GI/TI,
comme les renseignements sur les logiciels, la documentation des processus, les exigences en
matière de services et les accords, n’étaient pas toujours disponibles chez les fournisseurs de
service. Ainsi, parmi les sept unités de services d’ABD de l’échantillon, l’information stockée
n’était pas disponible relativement aux exigences et aux cibles en matière de services dans tous
les cas, aux ressources du logiciel de la base de données dans quatre cas et aux processus
documents des services dans quatre cas. Pour régler certains de ces problèmes, le SMA(GI)
prévoit héberger l’information relative au matériel et aux logiciels pour les ressources de TI
courantes au sein du MDN grâce à un outil du bureau de service panministériel récemment mis
en œuvre.
Chef – Service d’examen
9/12
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
2.3.2 Catalogue des services et portefeuille de clients
Le MDN a récemment mis en œuvre un catalogue des
Bonnes pratiques
services 5 aux utilisateurs, des services techniques et des
services de soutien. Toutefois, les renseignements sur ces
Bien que le catalogue des
services ne comportaient qu’une description du service et
services du MDN ne soit pas
de son propriétaire fonctionnel de haut niveau. Un catalogue encore complet, d’importants
des services pourrait comprendre des renseignements sur les travaux et progrès ont été réalisés
responsables fonctionnels et les unités, les répercussions des afin de mettre en œuvre l’offre
incidents ou des changements sur les activités, les priorités
des services communs dans le
opérationnelles et les niveaux de service. À ce titre, pendant
catalogue devant servir à
l’échelle du Ministère.
l’étape d’examen de l’audit, il a été difficile d’établir le lien
entre les services et les fournisseurs de services dans la
région sans avoir à passer par un long processus consistant à communiquer avec des experts en la
matière ou des gestionnaires de la chaîne de commandement. SPC pourrait avoir des difficultés
semblables lorsqu’il doit collaborer avec des fournisseurs de services du MDN.
Le MDN n’avait pas de portefeuille client 6 pour ses services de GI/TI. Un tel portefeuille
permettrait d’établir le lien entre les clients et les services, d’identifier l’autorité décisionnelle
pour les services précis qui sont requis au Ministère ainsi que définir l’utilisation et la valeur de
chaque service. En l’absence de politiques et de normes qui exigent des définitions explicites des
pouvoirs, des rôles et des responsabilités, ainsi que des exigences relatives à la documentation
afin de gérer les services de GI/TI au MDN, il aurait été difficile d’établir un portefeuille client
accessible renfermant ces renseignements. Les liens entre les clients et les renseignements sur les
services permettraient au MDN de mieux comprendre les répercussions des changements à
l’infrastructure de TI de SPC sur les clients du MDN. L’utilisation documentée ainsi que la
valeur des services aux clients permettraient au MDN de mieux établir la priorité des services et
des systèmes ministériels en les harmonisant avec les services de SPC. Ainsi, le SMA(GI) a
commencé à gérer les priorités des solutions de GI/TI requérant des services du MDN et de SPC.
2.3.3 Conclusion
En raison de l’absence de stratégies et de politiques pour la mise à jour et la gestion des
connaissances et des renseignements sur les services de TI, les renseignements sur les services et
les ressources liées aux services n’étaient ni exhaustifs, ni faciles d’accès, ni liés aux
renseignements sur les clients. Ces aspects sont importants si l’on veut déterminer et
communiquer les répercussions des services de SPC sur les fournisseurs de services et les
utilisateurs finaux du MDN.
5
Définition de la Bibliothèque de l’infrastructure des technologies de l’information : Catalogue de services – Base
de données ou document structuré comportant de l’information sur tous les services de TI opérationnels, y compris
ceux qui sont disponibles pour déploiement.
6
Un portefeuille client est une base de données ou un document structuré servant à consigner tous les clients du
fournisseur de services de TI aux fins de gestion des services de TI au Ministère et il présente un profil des clients
qui reçoivent des services du fournisseur de services de GI/TI.
Chef – Service d’examen
10/12
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
Recommandation du CS Ex
3.
Le SMA(GI) devrait élaborer des stratégies et une orientation de la politique pour
garantir une démarche commune à la consignation, au stockage et au partage des renseignements
sur les services.
BPR : SMA(GI)
2.4 Gestion intégrée des risques
Bien que le MDN ait pris en charge les secteurs de risques par le biais de la documentation
ministérielle et des pratiques officieuses, on a discuté d’améliorations potentielles avec la
direction pour officialiser une démarche intégrée de gestion des risques.
La gestion intégrée du risque favorise une démarche systématique, continue et proactive visant à
comprendre, à gérer et à communiquer les risques du point de vue de l’ensemble de
l’organisation, et ce, de manière uniforme et cohérente. Elle devrait soutenir les prises de
décisions stratégiques qui contribuent à l’atteinte des objectifs globaux de l’organisation 7.
Bien que certains documents ministériels désignaient des risques liés à la transition à un haut
niveau ainsi que les activités d’atténuation, il n’y avait aucune preuve de registre des risques
permettant de dresser la liste de tous les risques importants associés à la transition des services
vers SPC, de les classer par catégorie et par ordre et d’en assurer la gestion courante. En
l’absence de renseignements accessibles sur les services provenant d’autres organisations
fournissant des services au sein du MDN, le SMA(GI) ne peut pas réaliser une évaluation des
risques exhaustive relativement à la transition vers SPC.
Néanmoins, on a des preuves que les risques sont gérés de façon informelle. Des organisations et
des gestionnaires du Ministère ont réagi face aux risques au fur et à mesure qu’ils se
manifestaient grâce à leur propre expérience et expertise. Ainsi, on a des preuves de certains
points portant visant à s’attaquer aux risques dans une série de comptes rendus de groupe de
travail et de comités responsables de la gestion de certaines composantes de la transition vers
SPC; toutefois, ces risques ne sont pas toujours énoncés de façon explicite.
Comme le SMA(GI) a pris en charge certains secteurs de risques malgré le fait qu’il ne disposait
pas d’une démarche intégrée de gestion des risques officielle, on a discuté des observations et
des points potentiellement à améliorer avec la direction. On juge donc qu’aucune
recommandation n’est nécessaire dans le présent rapport.
7
Secrétariat du Conseil du Trésor du Canada. Guide de gestion intégrée du risque. http://www.tbs-sct.gc.ca/tbssct/rm-gr/guides/girm-ggirpr-fra.asp.
Chef – Service d’examen
11/12
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
3.0 Conclusion générale
Dans l’ensemble, les mécanismes de gouvernance, de contrôle et de gestion des risques au sein
du cadre de GI/TI du MDN requièrent des améliorations pour accroître l’efficacité des services
de GI/TI et pour faire en sorte que le Ministère est convenablement positionné pour soutenir la
transition efficace vers les services de SPC.
Le MDN utilise une approche décentralisée pour gérer ses systèmes et services de GI/TI. Cette
approche est complexe et, l’absence d’une solide gouvernance et de contrôles a créé des
difficultés lorsqu’il s’agit d’essayer d’intégrer les services ministériels de GI/TI à ceux de SPC.
Le MDN a géré de façon active les complexités administratives et organisationnelles de la
transition des services grâce à divers comités et directives, mais il bénéficierait d’avoir des rôles,
responsabilités et des processus plus clairement définis pour sa propre administration de la
gestion des services de TI. Ce genre de processus comprend l’élaboration et la mise en œuvre
d’approches communes pour consigner, stocker et partager des renseignements sur les services
afin de prendre davantage de décisions plus efficaces concernant les services.
Le Ministère a pu collecter et regrouper des renseignements sur les services grâce à des
demandes de renseignements et à la collaboration avec des clients organisationnels, mais
uniquement aux niveaux supérieurs de l’organisation. Toutefois, des incohérences dans la façon
dont les services sont structurés et documentés et dans les types de renseignements sur les
services recueillis font en sorte qu’il est difficile pour le Ministère de faire connaître à SPC les
exigences actuelles en matière de services ainsi que les renseignements relatifs aux niveaux de
services.
Les documents ministériels désignaient des risques liés à la transition et les activités
d’atténuation connexes à un haut niveau. Toutefois, il n’existait aucun cadre officiel de gestion
des risques intégrée, comprenant un registre des risques, la priorisation des risques et des
stratégies applicables de gestion des risques. Cela a fait l’objet de discussions avec la direction et
l’on a jugé qu’aucune recommandation n’était nécessaire dans le présent rapport.
Les recommandations sont fournies pour améliorer la gouvernance, les contrôles et la gestion des
risques pour soutenir la gestion efficace des services de GI/TI au sein du Ministère ainsi que la
transition des services vers SPC.
Chef – Service d’examen
12/12
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
Annexe A – Plan d’action de la direction
Le CS Ex utilise les critères d’importance suivants pour ses recommandations :
Très élevée – Aucun contrôle n’est en place. On a relevé des problèmes importants qui
auront de graves répercussions négatives sur les activités.
Élevée – Les contrôles sont inadéquats. On a relevé des problèmes importants qui
pourraient avoir des répercussions négatives sur l'atteinte des objectifs opérationnels et
les programmes.
Modérée – Des contrôles sont en place, mais ils ne sont pas suffisamment respectés. On
a relevé des problèmes qui pourraient avoir des répercussions négatives sur l'efficacité et
l'efficience des activités.
Faible – Des contrôles sont en place, mais le degré de conformité varie.
Très faible – Des contrôles sont en place, et la conformité est uniforme.
Gouvernance liée à la transition des services
Recommandation du CS Ex (Importance élevée)
1.
Le SMA(GI) devrait veiller à ce que les rôles et les responsabilités en matière de GI/TI et
à ce que les changements organisationnels soient clairement définis, communiqués et à ce que
leur mise en œuvre soit surveillée.
Mesures de la direction
Le SMA(GI) accepte cette recommandation, et il travaille activement à sa mise en œuvre, tel
qu’indiqué ci-après.
a. Le SMA(GI) effectue présentement une analyse des rôles et des responsabilités au sein de
son organisation. Le rapport qui en découlera décrira en détail les pouvoirs, les
responsabilités et les obligations des rôles des dirigeants principaux de l’information de la
Défense. Une fois terminée, cette analyse sera étendue aux organisations opérationnelles
participant aux activités de transition vers SPC. Celle-ci désignera quels sont les éléments
du SMA(GI) qui seront touchés par la transition, quelles sont leurs responsabilités
actuelles et en quoi celles-ci changeront par suite de la transition des services (dont
l’achèvement est prévu pour l’AF 2015-2016).
b. Le SMA(GI) élabore un protocole de fonctionnement entre le MDN/FAC et SPC dont le
but est de faire en sorte que l’on tienne compte de facteurs précis liés aux activités et aux
programmes qui ont trait aux exigences de fonctionnement uniques du MDN et des FAC.
Cela permettra au MDN et aux FAC ainsi qu’à SPC d’assurer la prestation efficace et
efficiente de leurs propres programmes et services, tout en respectant leurs mandats
respectifs, les exigences juridiques, les obligations politiques et les contrôles de gestion.
Ce protocole établit les ententes de travail mutuellement convenues pour atteindre ce but.
En outre, le protocole comprend un espace réservé pour l’élaboration subséquente
d’accords sur les niveaux de service plus détaillés qui seront élaborés en vertu du cadre du
Chef – Service d’examen
A-1/4
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
protocole et qui définiront davantage la relation entre le MDN et SPC. Le protocole a été
accepté au niveau de l’état-major, entre SPC et le MDN, et il fait maintenant l’objet d’un
examen final (dont l’achèvement est prévu pour l’AF 2015-2016).
BPR : SMA(GI)
Date cible : 31 mars 2016
Gestion des niveaux de services
Recommandation du CS Ex (Importance élevée)
2.
Le SMA(GI) devrait élaborer des normes clairement définies en matière de gestion des
niveaux de service de GI/TI et veiller à ce qu’elles fassent l’objet d’une surveillance.
Mesures de la direction
Le SMA(GI) accepte cette recommandation, et il travaille activement à sa mise en œuvre, tel
qu’indiqué ci-après.
a. L’initiative de gestion des services de TI, sous la responsabilité du Renouvellement de la
Défense, transformera la façon dont les services de TI sont gérés et fournis à l’échelle du
MDN et des FAC, normalisant ainsi les outils et les processus de gestion des services de
TI et produisant une capacité de catalogue des services de TI d’entreprise. L’on obtiendra
un environnement de TI optimisé grâce au regroupement des unités de prestation des
services de TI du MDN et des FAC en 22 Centres régionaux de gestion des services ou
moins, soutenus par un Centre national de gestion des services. Ainsi, le SMA(GI)
parviendra à une meilleure visibilité centrale, à la supervision et aux mécanismes requis
pour exercer efficacement l’autorité fonctionnelle. L’initiative de gestion des services de
TI en cours devrait être arrivée à terme à l’AF 2018-2019.
b. En ce qui concerne plus précisément les normes de gestion des niveaux de service et leur
surveillance, on prendra les mesures ci-après énoncées.
Des produits de gestion des niveaux de service d’entreprise, comme les catalogues des
services de TI, les cibles de niveaux de service, l’entente relative aux niveaux de service
de TI d’entreprise et les modèles d’accords sur les niveaux de service régionaux, seront
mis en œuvre à l’AF 2015-2016, à l’appui du lancement prévu du Centre de gestion des
services régionaux principal et du Centre de gestion des services nationaux.
i.
Au sein du Centre de gestion des services nationaux, la responsabilité à l’égard des
pratiques liées à la gestion des niveaux de service d’entreprise sera établie au
troisième trimestre de l’AF 2015-2016.
ii.
Les processus et les cadres liés à la gestion des niveaux de service pour la
supervision courante, l’intégration et l’évolution des accords de service, le
catalogue des services, les cibles de niveaux de service et les paramètres de
rendement connexes ainsi que la production de rapport commenceront à
Chef – Service d’examen
A-2/4
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
l’AF 2016-2017.
iii.
Tous les éléments qui précèdent continueront d’évoluer, de se transformer et de
s’harmoniser au paysage changeant lorsque les Centres de gestion des services
régionaux seront établis. Les produits de l’état stable seront obtenus d’ici
l’achèvement du projet d’ici l’AF 2018-2019.
BPR : SMA(GI)
Date cible : 31 mars 2019
Gestion des connaissances relatives aux services
Recommandation du CS Ex (Importance élevée)
3.
Le SMA(GI) devrait élaborer des stratégies et une orientation de la politique pour
garantir une démarche commune à la consignation, au stockage et au partage des renseignements
sur les services.
Mesure(s) de la direction
Le SMA(GI) accepte cette recommandation, et il travaille activement à sa mise en œuvre, tel
qu’indiqué ci-après.
a. Le MDN/FAC fera la transition vers une approche commune concernant les rapports, le
stockage et le partage en matière d’information sur la prestation des services grâce à une
amélioration de l’environnement de gestion des services de TI qui permettra de réaliser
ce qui suit :
i.
Regrouper les unités de prestations des services et les équipes de soutien du MDN
et des FAC pour avoir un ensemble comptant au plus 22 Centres de gestion des
services régionaux, lesquels sont appuyés par un modèle organisationnel de TI
simplifié. Tous les Centres de gestion des services régionaux seront sous le contrôle
technique du SMA(GI) en tant qu’autorité nationale de gestion des services
(achèvement prévu pour l’AF 2019-2020). Nota : l’établissement de l’autorité
nationale de gestion des services dépendra de la capacité du SMA(GI) d’obtenir le
personnel nécessaire, ce qui reste à déterminer;
ii.
Définir et cataloguer les services de TI communs à l’échelle de l’organisation
(achèvement prévu à l’AF 2015-2016);
iii.
Ètablir des processus communs et universels de prestation des services de TI
(achèvement prévu à l’AF 2018-2019);
iv.
Mettre en œuvre un ensemble d’outils de soutien commun (achèvement prévu à
l’AF 2015-2016).
Chef – Service d’examen
A-3/4
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
b. Pour les données et les renseignements liés aux activités, le MDN et les FAC ont publié à
DOAD 6001-1 – Tenue de documents, qui exige que des pratiques de gestion des
documents soient employées pour ce type d’information. En ce qui concerne
particulièrement les renseignements sur les services, deux DOAD sont en cours
d’élaboration, et elles portent sur la gestion des services de TI et sur le soutien aux
services de TI.
BPR : SMA(GI)
Date cible : 31 mars 2016 au 31 mars 2020
Chef – Service d’examen
A-4/4
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
Annexe B – Critères de l’audit
Les critères de l’audit ont été évalués en fonction des niveaux suivants :
Niveau d’évaluation et description
Niveau 1 : Satisfaisant
Niveau 2 : A besoin d’améliorations mineures
Niveau 3 : A besoin d’améliorations modérées
Niveau 4 : A besoin de grandes améliorations
Niveau 5 : Insatisfaisant
Gouvernance
1. Critère. Le MDN a élaboré et mis en œuvre un cadre de gouvernance et de transition des
services pour soutenir l’intégration aux services de SPC.
Niveau d’évaluation 4 – Bien qu’il y ait certains éléments de gouvernance de gestion des
services de TI, il y a une disparité entre le pouvoir décentralisé du MDN pour les systèmes de
GI/TI ainsi que la gestion des services et l’orientation politique qui aidera à faire en sorte que
le Ministère puisse coordonner et soutenir l’intégration aux services de SPC.
Contrôle interne
2. Critère. Des stratégies, des systèmes et des processus sont en place pour gérer efficacement
les données, l’information et les connaissances sur les services pour soutenir l’intégration aux
services de SPC.
Niveau d’évaluation 4 – Il était difficile d’obtenir les renseignements sur les services de
GI/TI, qui devaient étayer les décisions portant sur la façon dont le MDN intègre ses services
de GI/TI à SPC.
3. Critère. Un processus est en place, et il est efficace lorsqu’il s’agit d’identifier, de
communiquer et de mesurer la satisfaction à l’égard des exigences relatives aux services de
SPC.
Niveau d’évaluation 2 – Un processus permettant d’identifier, de communiquer et de
mesurer la satisfaction à l’égard des exigences relatives aux services de SPC est en place.
Ce processus pourrait être amélioré en définissant plus clairement les services de GI/TI du
MDN. Comme ce processus requiert des améliorations relativement mineures, on a fait
connaître au SMA(GI) les observations et les recommandations à ce sujet.
4. Critère. Le niveau des services du MDN soutient les services de GI/TI actuels et planifiés
qui s’inscriront dans le mandat des services de SPC afin d’atteindre les cibles convenues et
réalisables.
Chef – Service d’examen
B-1/2
Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.
Audit du cadre de GI/TI pour soutenir la transition vers SPC
Rapport final – Mars 2015
Niveau d’évaluation 4 – Bien que le SMA(GI) ait pris des mesures pour élaborer les
attentes en matière de services communs, la gestion des activités de GI/TI au sein du MDN
n’appuie pas pleinement l’élaboration de cibles convenues et réalisables avec SPC.
Gestion des risques
5. Critère. Les risques relatifs à la transition du MDN vers les services de SPC sont gérés de
façon appropriée.
Niveau d’évaluation 2 – Bien que le SMA(GI) n’ait pas officiellement identifié, évalué et
géré les risques de l’intégration à SPC pour soutenir une prestation efficiente et efficace des
services de GI/TI, il a bel et bien géré les risques de façon informelle grâce à divers comités
de gouvernance et de groupes de travail, et en a tenu compte dans la documentation
ministérielle. Puisque ce processus a besoin d’améliorations mineures, on a fait connaître au
SMA(GI) les observations et les recommandations à ce sujet, lesquelles ne sont pas incluses
dans le présent rapport.
Source des critères
1. Secrétariat du Conseil du Trésor, Critères de vérification liés au Cadre de responsabilisation
de gestion : outil à l’intention des vérificateurs internes (mars 2011)
•
•
•
•
•
•
Référence à : G-3, G-4, G-7
Référence à : AC-3
Référence à : CFS-1, CFS-2, CFS-3, CFS-4, CFS-5
Référence à : LICM-2, LICM-3, LICM-4
Référence à : RP-2, RP-3
Référence à : RM-2, RM-3, RM-4, RM-5, RM-6
2. Bibliothèque de l’infrastructure des technologies de l’information, édition 2011
•
•
•
Stratégie des services
Transition des services
Conception des services
3. Directive sur la gestion des technologies de l’information du Conseil du Trésor
Chef – Service d’examen
B-2/2
Was this manual useful for you? yes no
Thank you for your participation!

* Your assessment is very important for improving the work of artificial intelligence, which forms the content of this project

Related manuals

Download PDF

advertising