Audit de la gestion des biens de technologie de l’information de Services partagés Canada

Rapport d’audit

Bureau de la vérification et de l’évaluation
Juin 2017

Période d’examen du 1er septembre 2014 au 30 septembre 2015

Sommaire

Points examinés

L’objectif de l’audit était d’assurer la justesse des renseignements relatifs à la gestion des biens de technologie de l’information (TI) de Services partagés Canada (SPC), et d’assurer la conformité aux politiques du gouvernement et aux procédures de SPC.

L’étendue de l’audit a porté notamment sur les processus, les outils et les mesures de contrôle de gestion des biens de TI (GBTI) de SPC, y compris l’application de ces processus, outils et contrôles, du 1er septembre 2014 au 30 septembre 2015.

Importance de l’audit

La gestion du cycle de vie des biens de TI consiste en la gestion efficace et efficiente des biens, depuis la définition des besoins jusqu’à l’aliénation des biens. Les biens de TI comprennent les logiciels, le matériel informatique, les grands projets et les services acquis. La GBTI dépend de processus solides et d’outils pour automatiser les processus manuels.

Le Cadre de politique sur la gestion des actifs et services acquis établi par le Conseil du Trésor (CT) oriente la gestion des biens et aide à faire en sorte que la tenue de ces activités optimise les ressources et démontre une saine gérance dans le cadre de l’exécution des programmes. La complexité, la rapidité, la portée et le caractère concurrentiel des initiatives de transformation clés pourraient entraîner des obstacles imprévus à l’égard de la mise en œuvre et des opérations qui pourraient à leur tour affecter la réussite globale de la transformation et de la prestation de services continue, ce qui met davantage l’accent sur l’importance d’avoir des processus et des mesures de contrôle de la GBTI bien établis.

Constatations

Nous avons constaté que SPC avait mis au point un cadre préliminaire pour la gestion « des stocks et l’aliénation » du matériel de SPC (le cadre) et que ce cadre préliminaire et les instruments connexes étaient conformes aux exigences applicables établies dans le Cadre de politique sur la gestion des actifs et services acquis du CT et dans la Politique sur la gestion du matériel du CT. Le cadre et les instruments connexes n’avaient pas été approuvés ni communiqués.

En l’absence d’un cadre de gestion du matériel approuvé et communiqué, nous avons déterminé qu’il y avait une lacune au niveau de la communication des rôles et des responsabilités et de la centralisation de la fonction de GBTI.

Nous avons identifié plusieurs problèmes liés aux processus et aux mesures de contrôle qui ont affecté la capacité de SPC à garantir que tous les biens organisationnels (matériel informatique et logiciels) étaient adéquatement gérés.

Nous avons constaté des lacunes au niveau de l’exactitude et de la suffisance des renseignements disponibles pour soutenir et surveiller la gestion des biens de TI. Il y avait des incohérences dans l’identification des renseignements requis pour la gestion du cycle de vie des biens de TI et des mesures de contrôle en place pour faire en sorte que les renseignements requis soient saisis dans l’outil de suivi approprié.

Nous avons relevé qu’il n’y a aucune surveillance systématique en place pour ce qui est de la gestion générale des biens de TI au sein de SPC.

Patrice Prud’homme
Dirigeant principal de la vérification et de l’évaluation

Contexte

1. Services partagés Canada (SPC) a été créé le 4 août 2011 dans le but de moderniser la façon dont le gouvernement fédéral assure la gestion de son infrastructure de technologie de l’information (TI) afin de mieux soutenir la prestation de programmes et de services à la population canadienne. L’infrastructure de TI qui soutient les programmes et services du gouvernement était vieillissante, vulnérable aux risques liés à la sécurité et inefficace.
2. Le Cadre de politique sur la gestion des actifs et services acquis établi par le Conseil du Trésor (CT) oriente la gestion des biens et a aidé à faire en sorte que la tenue de ces activités optimise les ressources et démontre une saine gérance dans le cadre de l’exécution des programmes. La complexité, la rapidité, la portée et le caractère concurrentiel des initiatives de transformation clés pourraient entraîner des obstacles imprévus à l’égard de la mise en œuvre et des opérations qui pourraient à leur tour affecter la réussite globale de la transformation et de la prestation de services continue, ce qui met davantage l’accent sur l’importance d’avoir des processus et des mesures de contrôle de la gestion des biens de technologie de l’information (GBTI) bien établis.
3. Cet audit a été approuvé par le président de SPC à la suite d’une recommandation du Comité ministériel de vérification et d’évaluation dans le cadre du Plan d’audit 2014-2017 et d’évaluation 2014-2019 fondé sur les risques. La haute direction de SPC a aussi exprimé ses préoccupations concernant le manque de rôles et de responsabilités documentés et communiqués pour la GBTI, les risques associés au transfert des biens existants et le manque de renseignements suffisants, exacts et opportuns sur tous les biens de TI de SPC.
4. La gestion du cycle de vie des biens de TI consiste en la gestion efficace et efficiente des biens, depuis la définition des besoins jusqu’à l’aliénation des biens. Les biens de TI comprennent les logiciels, le matériel informatique, les grands projets et les services acquis. La GBTI dépend de processus solides et d’outils pour automatiser les processus manuels.
5. Biens existants désigne l’équipement ou les biens acquis par une autre organisation gouvernementale ou lui ayant appartenu avant d’être transférés à SPC en 2011, et biens organisationnels réfère aux nouveaux biens et équipements acquis avec les fonds de SPC depuis la création de celui-ci.
6. Une nouvelle structure organisationnelle pour SPC a été adoptée le 1er avril 2015, intitulée « L’avenir de SPC », pour refléter l’accent mis par SPC sur la transition entre l’infrastructure existante et la nouvelle structure organisationnelle de TI. Grâce à la nouvelle structure, on s’assure que les directions générales se chargent de l’ensemble du cycle de vie des services qu’elles proposent. Ce réalignement faisait partie de l’évolution naturelle de SPC et a eu une incidence sur plusieurs groupes, dont la Gestion des actifs de service et de configurations (GASC), qui était responsable, dans une grande mesure, de la fonction de GBTI au sein de SPC et à qui des responsabilités supplémentaires ont été attribuées à la suite du réalignement.
7. Avant le 1er avril 2015, aucun processus ni outil de GBTI normalisé n’était en place pour la gestion du cycle de vie des biens de TI. Suite à la réorganisation, la fonction de GBTI est devenue centralisée sous la charge de la GASC.

Objectif

8. L’objectif de l’audit était d’assurer la justesse de la GBTI au sein de SPC et d’assurer la conformité aux politiques du gouvernement et aux procédures de SPC.

Portée

9. La portée de cet audit englobait notamment les processus, les outils et les mesures de contrôle de GBTI de SPC, y compris l’application de ces processus, outils et contrôles, du 1er septembre 2014 au 30 septembre 2015. Cela comprenait la gestion :
   • de tous les biens de TI de SPC, y compris le matériel informatique et les logiciels
   • des biens existants ainsi que des biens à l’état final. La valeur ajoutée du traitement des problèmes et des risques liés aux biens existants a été étudiée

Méthodologie

10. Durant l’audit, nous avons :
    • réalisé des entretiens avec des directeurs, des gestionnaires et des experts techniques pertinents
    • effectué une revue et un examen des dossiers et des systèmes
    • révisé les documents pertinents, comme les politiques du CT et de SPC, le cadre préliminaire pour la gestion « des stocks et l’aliénation » du matériel de SPC et la documentation des processus et des procédures de SPC
    • effectué une analyse de données en fonction d’extraits provenant de deux systèmes utilisés
11. Le travail mené sur le terrain pour les besoins de cet audit a été achevé en grande partie en octobre 2015.

Énoncé d’assurance

12. Des procédures suffisantes et appropriées ont été suivies, et des données probantes ont été réunies afin de soutenir l’exactitude des conclusions de l’audit. Les constatations et les conclusions de l’audit étaient basées sur une comparaison des conditions qui existaient au moment de l’audit selon des critères établis qui avaient été convenus avec la direction. Cet engagement a été réalisé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de l’audit interne. Une inspection des pratiques professionnelles n’a pas été effectuée.

Constatations détaillées et recommandations

Structure de gouvernance de la gestion des biens de technologie de l’information de Services partagés Canada

13. Nous nous attendions à ce que SPC ait en place une structure de gouvernance permettant de garantir que les biens de TI sont gérés de manière adéquate et conformément aux politiques du gouvernement du Canada et de SPC. De plus, nous nous attendions à ce qu’un cadre de gestion du matériel documenté, approuvé et communiqué soit en place.
14. Nous avons constaté que SPC avait élaboré un cadre préliminaire pour la gestion « des stocks et l’aliénation » du matériel de SPC (le cadre). Le cadre comprenait les instruments suivants :
    • une directive préliminaire pour la gestion « des stocks et l’aliénation » du matériel de SPC
    • une norme préliminaire pour le contrôle des stocks de matériel de SPC
    • une norme préliminaire pour la prise d’inventaire du matériel de SPC
    • une norme préliminaire pour le transfert, le prêt et le don de matériel de SPC
    • une norme préliminaire pour l’aliénation du matériel de SPC
    • une structure de gouvernance de la gestion du matériel
15. Nous avons constaté que le cadre préliminaire et les instruments connexes étaient conformes aux exigences applicables établies dans le Cadre de politique sur la gestion des biens et services acquis du CT et dans la Politique sur la gestion du matériel du CT.
16. Nous nous attendions à ce que les rôles et les responsabilités pour la gestion des biens de TI soient documentés et communiqués. Nous avons constaté que les rôles et les responsabilités pour la gestion des biens de TI étaient documentés dans le cadre préliminaire et dans la directive, les normes et la structure de gouvernance de la gestion du matériel. Toutefois, au moment de cet audit, le cadre n’avait pas encore été approuvé. Une fois approuvé, l’intention était de communiquer le cadre à l’échelle de l’organisation sur le site Web de SPC. Au moment de cet audit, aucun plan de communication n’avait été mis au point.
17. Nous avons constaté que les intervenants avaient été consultés et que des améliorations avaient été apportées au cadre pour refléter les commentaires reçus lors du processus de consultation.
18. Nous avons observé des délais dans la soumission et la présentation du cadre aux fins d’approbation au Conseil de gestion ministérielle, lesquels étaient principalement imputables à la réorganisation et aux consultations auprès de différents intervenants.
19. La Politique sur la gestion du matériel du CT indiquait qu’il incombait aux administrateurs généraux de faire en sorte qu’un cadre de gestion du matériel soit en place pour veiller à ce que le matériel soit géré par les ministères de manière durable et financièrement responsable. Des délais supplémentaires dans l’approbation, la communication et la mise en œuvre du cadre causeraient une non-conformité aux exigences du CT. De plus, l’absence d’une structure de gouvernance documentée et communiquée pour la GBTI pourrait influencer la capacité opérationnelle du Ministère à gérer le cycle de vie de ses biens de TI et entacher sa réputation en tant que gardien responsable des biens de l’État.

Processus relatifs à la gestion du cycle de vie des biens de technologie de l’information

20. Nous nous attendions à ce que SPC ait mis en place des processus pour la gestion du cycle de vie des biens de TI répondant aux politiques et directives applicables. Nous avons constaté que, depuis la réorganisation du 1er avril 2015, SPC a centralisé sa fonction de GBTI sous la responsabilité de la GASC.
21. Nous avons constaté que SPC avait certains processus et mesures de contrôle documentés pour l’achat, la réception, l’étiquetage, la consignation et l’aliénation de ses biens de TI. Toutefois, ces processus étaient en grande partie conçus aux fins d’utilisation au sein de la GASC et ont uniquement été communiqués au groupe par voie interne. Même si la direction de la GASC utilisait ses processus documentés, des mises à jour étaient requises pour refléter les changements organisationnels et les mises à jour générales. Par exemple, les processus d’aliénation devaient faire l’objet de mises à jour pour refléter les types d’aliénation supplémentaires qui n’avaient pas été documentés auparavant. Le guide de l’utilisateur pour l’outil de suivi du Bureau de contrôle d’entreprise (BCE) avait aussi besoin d’être mis à jour pour correspondre à la dernière version du logiciel utilisé.
22. En l’absence d’un cadre de gestion du matériel approuvé et communiqué, nous avons constaté qu’il y avait une lacune au niveau de la communication concernant la centralisation de la fonction de GBTI. Aucune mesure de contrôle n’était en place pour mettre en application la participation de la GASC dans la fonction de GBTI. Par conséquent, les employés de SPC pourraient ne pas être au courant qu’il faut communiquer avec la GBTI à différents points du cycle de vie.
23. Avant la centralisation de la fonction de GBTI, aucun processus ni outil de suivi normalisé n’était en place, ce qui engendrait un manque de visibilité de tous les biens de TI qui ont été transférés à SPC au moment de la création du ministère. Par conséquent, nous avons constaté que SPC ne pouvait pas garantir que tous les biens de TI existants de SPC étaient correctement gérés.
24. Aucune intégration n’a été effectuée entre le système financier (SIGMA) et les outils de suivi des biens de TI (BCE et Asset Manager de HP). La GASC avait documenté un processus manuel aux fins de surveillance de SIGMA relativement aux achats de nouveaux biens de TI puisque rien ne garantissait que la GASC était avisée lorsque de nouveaux biens de TI étaient achetés. En raison de la nature manuelle de ce processus et de la nécessité d’un codage financier adéquat, il y avait un risque que certains des biens de TI récemment achetés n’étaient pas identifiés au cours de ce processus.
25. Nous avons constaté que le processus de SPC pour le suivi des logiciels d’infrastructure (les logiciels du serveur et du réseau se trouvant dans les centres de données) en était à l’étape d’élaboration et que SPC n’était pas en mesure de fournir de l’information sur les logiciels d’infrastructure actuellement en place, y compris le statut des licences achetées ou émises. De plus, même s’il y avait un projet en cours dans le but de cerner et de régler les lacunes concernant certains logiciels de bureau, aucune mesure de contrôle n’était en place pour empêcher SPC de livrer plus de licences de logiciel de bureau que le nombre de licences achetées. Globalement, SPC était incapable de garantir que le cycle de vie de tous ses biens de logiciels était géré de façon appropriée.
26. En ne connaissant pas tous les biens que le Ministère possède (existants et organisationnels), SPC n’est pas en mesure de faire en sorte qu’il gère correctement le cycle de vie de tous ses biens de TI.

Renseignements pour appuyer la gestion du cycle de vie des biens de technologie de l’information

27. Nous nous attendions à ce que SPC dispose de renseignements exacts et suffisants pour appuyer la gestion des biens de TI tout au long de leur cycle de vie. Toutefois, nous avons repéré des problèmes en lien avec l’exactitude et la suffisance des renseignements disponibles pour soutenir la gestion des biens de TI.
28. SPC a utilisé deux différents logiciels pour la gestion du cycle de vie des biens de TI (soit BCE et Asset Manager de HP). Le BCE était utilisé pour faire le suivi des biens ministériels qui comportaient notamment des serveurs, des réseaux, des interrupteurs et du matériel d’infrastructure. Le logiciel Asset Manager de HP était utilisé pour le matériel informatique existant, ainsi que pour les ordinateurs de bureau, les ordinateurs portatifs, les logiciels et d’autres biens de l’utilisateur final.
29. La GASC a déterminé et documenté, à l’aide des règles opérationnelles, quels champs et renseignements étaient requis pour assurer le suivi et la gestion du cycle de vie des biens de TI. Des rapports ont été produits à partir des bases de données du BCE et du logiciel Asset Manager de HP comportant tous les biens de SPC jusqu’au 30 juin 2015. Ces données ont été examinées dans le cadre de l’audit. Nous les avons comparées aux renseignements déterminés comme étant requis par la GASC.
30. Nous avons constaté que certaines mesures de contrôle étaient en place pour faire en sorte que les renseignements nécessaires recueillis soient exacts et suffisants. Toutefois, plusieurs lacunes ont été repérées au niveau des mesures de contrôle, lesquelles ont eu une incidence sur l’exactitude et la suffisance des renseignements saisis dans les deux outils :
    • les règles opérationnelles étaient très générales et ne précisaient pas quels champs précis devaient être remplis dans chaque système (p. ex. les règles opérationnelles indiquent que le champ « Location » est requis, mais bon nombre de champs dans les systèmes comportent des renseignements liés au type d’emplacement)
    • d’autres renseignements déterminés par la GASC comme importants n’étaient pas saisis dans les règles opérationnelles
    • des mesures de contrôle automatisées et appliquées par le système étaient en place pour la collecte de certains renseignements requis, mais pas tous
31. De plus, nous avons cerné des lacunes dans certaines des mesures de contrôle automatisées des outils :
    • des options génériques étaient disponibles dans les champs à menu déroulant requis par le système, comme « Please Select a Value » et « Unknown »
    • Certains champs requis pouvaient être laissés vides
32. Nous avons constaté que les champs relatifs à l’emplacement (p. ex. codes, descriptions, tours, étages et salles) n’étaient pas obligatoires dans le BCE et, même si certains champs relatifs à l’emplacement étaient obligatoires dans le logiciel Asset Manager de HP, dans certains cas, les renseignements combinés des deux systèmes au niveau de l’emplacement ne fournissaient pas de renseignements exacts ou suffisants qui permettraient de déterminer l’emplacement de certains biens.
33. Après avoir déterminé les incohérences ci-dessus concernant les champs relatifs à l’emplacement dans le BCE, nous avons effectué un exercice de validation de l’inventaire à un emplacement de SPC. Nous avons constaté ce qui suit :
    • Parmi les biens qui étaient visibles (p. ex. dans les couloirs et les salles de réunion), 60 biens devaient être étiquetés et faire l’objet d’un suivi dans le système
    • 35 biens (58 %) sur les 60 recensés auraient dû avoir une marque d’inventaire, mais n’en avaient pas ou la marque n’était pas visible
    • Sur les 25 marques d’inventaire que nous avons recensées, 18 étaient des marques de SPC et 6 étaient des marques de Travaux publics et Services gouvernementaux Canada
    • Un seul bien a été trouvé dans BCE et aucun dans le logiciel Asset Manager de HP
34. Ces observations pourraient avoir été dues à une combinaison du moment et d’un manque de fonction de GBTI centralisée lors de la création de SPC. Initialement, SPC n’avait pas sa propre marque d’inventaire, ce qui a causé le marquage de biens à l’aide de marques d’autres ministères (même s’ils étaient considérés comme des biens de SPC). De plus, aucun processus, outil ou mesure de contrôle centralisé n’était en place pour faire le suivi des biens qui étaient marqués, même après que SPC ait reçu ses propres marques d’inventaire.
35. Le manque de visibilité de tous les biens de TI, de même que les lacunes au niveau des processus et des mesures de contrôle, ont fait en sorte que SPC n’était pas en mesure de fournir des renseignements exacts et en quantité suffisante pour surveiller la gestion de tous les biens de TI tout au long de leur cycle de vie.

Surveillance de la gestion des biens de technologie de l’information

36. Nous nous attendions à ce que SPC ait mis en place des mécanismes de surveillance et de compte rendu pour la gestion de ses biens de TI. Le Cadre de politique sur la gestion des actifs et services acquis du CT exigeait que les administrateurs généraux s’assurent que des pratiques étaient en place pour la gestion des biens au sein du ministère et qu’il y avait surveillance de la gestion du matériel et production de rapports connexes.
37. Nous avons constaté que le cadre préliminaire de SPC indiquait que le dirigeant principal de l’information (DPI) était responsable de l’élaboration, de la gestion et de la mise en place d’indicateurs de mesure et d’outils de collecte de données pour les besoins du cadre et aux fins de production de rapports à leur sujet. Toutefois, nous n’avons relevé aucune surveillance systématique effectuée en relation avec la gestion générale des biens de TI au sein de SPC; le DPI prévoyait mettre au point des mesures une fois le cadre approuvé.
38. Un délai dans l’approbation du cadre affectait la mise au point des mesures et des indicateurs et la production de rapports sur ces indicateurs, ce qui nuisait à la capacité de l’administrateur général à surveiller la gestion du matériel au sein de SPC et à produire des rapports connexes, en plus d’engendrer une non-conformité par rapport aux exigences du CT.

Conclusion

39. L’objectif de l’audit était d’assurer la justesse de la GBTI au sein de SPC et d’assurer la conformité aux politiques du gouvernement et aux procédures de SPC.
40. Nous avons constaté que SPC avait mis au point un cadre préliminaire pour la gestion « des stocks et l’aliénation » du matériel de SPC et que ce cadre préliminaire et les instruments connexes étaient conformes aux exigences applicables établies dans le Cadre de la politique sur la gestion des actifs et services acquis du CT et dans la Politique sur la gestion du matériel du CT. Toutefois, il n’a été ni approuvé, ni communiqué.
41. Nous avons constaté que les intervenants avaient été consultés et que des améliorations avaient été apportées au cadre pour refléter les commentaires reçus lors du processus de consultation. Toutefois, les communications concernant les rôles et les responsabilités ainsi que la centralisation de la fonction de GBTI étaient insuffisantes.
42. Nous avons identifié plusieurs problèmes liés aux processus et aux mesures de contrôle qui ont affecté la capacité de SPC à garantir que tous les biens organisationnels (matériel informatique et logiciels) étaient adéquatement gérés. En ne connaissant pas tous les biens que le Ministère possède (existants et organisationnels), SPC n’est pas en mesure de faire en sorte qu’il gère correctement le cycle de vie de tous ses biens.
43. Nous avons constaté des lacunes au niveau de l’exactitude et de la suffisance des renseignements disponibles pour soutenir et surveiller la gestion des biens de TI. Il y avait des incohérences dans l’identification des renseignements requis pour la gestion du cycle de vie des biens de TI et des mesures de contrôle en place pour faire en sorte que les renseignements requis soient saisis dans l’outil de suivi approprié.
44. Nous avons constaté des lacunes au niveau de l’exactitude et de la suffisance des renseignements disponibles pour soutenir et surveiller la gestion des biens de TI. Il y avait des incohérences dans l’identification des renseignements requis pour la gestion du cycle de vie des biens de TI et des mesures de contrôle en place pour faire en sorte que les renseignements requis soient saisis dans l’outil de suivi approprié.

Réponse et plans d’action de la direction

Réponse générale de la direction

La direction accepte toutes les constatations, les conclusions et les recommandations. Des mesures seront prises pour assurer la conformité au Cadre de politique sur la gestion des actifs et services acquis du CT ainsi qu’à la Politique sur la gestion du matériel du CT.

Des rôles et des responsabilités clairement établis seront communiqués parallèlement à la mise en œuvre des instruments de politique interne sur la gestion du matériel (directive et normes) pour ce qui est du contrôle, du dénombrement, du transfert, du prêt, du don et de l’aliénation du matériel.

Bien que des processus et des contrôles existants soient en place, les processus de GBTI de SPC pour tous ses biens de TI seront mis au point et un plan de communication sera mis en œuvre pour informer les employés de SPC ne faisant pas partie de la GASC de leurs rôles et de leurs responsabilités relativement à la GBTI.

Annexe A : Critère d’audit

Les critères suivants ont servi à effectuer l’audit :

1. SPC a mis en place une structure de gouvernance permettant de garantir que les biens de TI sont gérés de manière adéquate et conformément aux politiques du gouvernement du Canada et de SPC.
2. SPC a mis en place des processus pour la gestion du cycle de vie des biens de TI répondant aux politiques et directives applicables.
3. SPC effectue le suivi de ses biens de TI tout au long de leur cycle de vie et a accès à des renseignements exacts et suffisants.

Annexe B : Sigles

Télécharger gratuitement des lecteurs PDF

Pour consulter la version PDF (format de document portable), vous devez avoir un lecteur PDF sur votre ordinateur. Si vous n'en avez pas déjà un, il existe de nombreux lecteurs PDF que vous pouvez télécharger gratuitement ou acheter dans Internet :

• Adobe Reader
• Foxit Reader(disponible en anglais seulement)
• Xpdf (disponible en anglais seulement)
• eXPert PDFReader(disponible en anglais seulement)