Audit de la migration de la charge de travail - 2023
Tables des matières
- Résumé
- A. Introduction
- B. Constatations, recommandations et réponses de la direction
- C. Conclusion
- Annexe A — Secteurs d’intérêt et critères d’audit
- Annexe B — Projets de MCT des vagues 1 et 2
- Annexe C — Priorités concernant les recommandations de l’audit
- Annexe D — Sigles
Autorisation de reproduction
Sauf avis contraire, l’information contenue dans cette publication peut être reproduite, en tout ou en partie et par quelque moyen que ce soit, sans frais et sans autre permission de Services partagés Canada, pourvu qu’une diligence raisonnable soit exercée afin d’assurer l’exactitude de l’information reproduite, que le Titre complet de la publication soit fourni, que Services partagés Canada soit mentionné comme organisme source et que la reproduction ne soit présentée ni comme une version officielle ni comme une copie ayant été faite en collaboration avec le gouvernement du Canada ou avec son consentement.
La reproduction et la distribution à des fins commerciales sont interdites, sauf avec la permission écrite de Services partagés Canada. Pour de plus amples renseignements, veuillez communiquer avec Services partagés Canada à ssc.information.spc@canada.ca.
© Sa Majesté le Roi du chef du Canada, représenté par le ministre responsable de Services partagés Canada, 2023.
Audit de la migration de la charge de travail
ISBN 978-0-660-69316-3
No. de catalogue P118-29/2024F-PDF
Issued also in English under the title:
Audit of Workload Migration
ISBN 978-0-660-69315-6
Cat. No. P118-29/2024E-PDF
Résumé
Le programme de migration de la charge de travail (MCT) a été mis en place en 2018 pour transférer les données et les applications des ministères partenaires des centres de données existants et vieillissants vers des centres de données d’entreprise et/ou les services infonuagiques. Plus de 300 applications essentielles à la mission doivent être transférées vers des services d’entreprise modernes et fiables. Le programme de MCT vise également à consolider les centres de données existants de petite et moyenne taille en centres de données d’entreprise.
Dans l’ensemble, l’équipe d’audit a fait les constatations suivantes :
- Bien que la structure de gouvernance du programme de MCT ait été définie de façon adéquate et communiquée, des possibilités d’amélioration ont été relevées en ce qui concerne la tenue des dossiers, le suivi des mesures à prendre et la surveillance des risques.
- Le programme de MCT disposait de processus de gestion des risques adéquats, à l’exception de l’intégration des risques et de rapports sur les risques à l’intention des comités de gouvernance de MCT. Les processus de gestion des risques ont été mis en œuvre comme conçus.
- Le programme de MCT disposait de processus de gestion du contrôle des changements adéquats et efficaces en ce qui concerne l’identification, l’autorisation et le suivi des changements apportés aux projets.
- Dans l’ensemble, le programme de MCT effectuait la gestion des intervenants internes de manière efficace, mais celle-ci était incohérente en matière d’identification. La gestion des intervenants externes était inefficace en matière d’identification et de mobilisation.
- Les critères de hiérarchisation des projets du programme de MCT, ainsi que les processus d’approbation et d’autorisation étaient définis, mais la documentation relative à l’approbation et à l’autorisation de la hiérarchisation des projets faisait défaut.
- Le programme de MCT disposait de processus de gestion des ressources humaines et financières adéquats et efficaces. Malgré les bonnes pratiques et les efforts déployés, le programme de MCT a tout de même souffert d’une pénurie de ressources qualifiées.
Begonia Lojk, CIA
Dirigeante principale de la vérification et de l’évaluation, Services partagés Canada
A. Introduction
1. Contexte
Le programme de migration de la charge de travail (MCT) soutient la modernisation des applications, une priorité essentielle de Services partagés Canada (SPC) 3.0. Dirigé par la Direction générale de la gestion et de l’exécution de projets (DGGEP), le programme de MCT a été créé en 2018 et est financé jusqu’à l’exercice 2023-2024. La publication de la stratégie numérique « Priorité à l’infonuagique » en 2020 a entraîné une réévaluation de l’orientation et des priorités du programme de MCT.
Le programme de MCT vise à :
- Superviser la migration des données et des applications des ministères partenaires des centres de données existants et vieillissants vers des centres de données d’entreprise (CDE) et/ou des services infonuagiques;
- Lancer des projets et des activités d’habilitation liés aux solutions d’entreprise;
- Fournir des fonds pour la fermeture d’urgence des centres de données (CD) existants de petite et de moyenne taille.
- Fournir les services essentiels habilitants à SPC/SCT afin de migrer les charges de travail envers des solutions modernes.
Pour atteindre ces objectifs, SPC travaille en étroite collaboration avec les ministères partenaires afin de déterminer quelles applications sont les plus à risque et ont les répercussions potentielles les plus élevées sur les services offerts aux Canadiens. La migration de la charge de travail est un processus complexe qui nécessite une coordination entre les directions et les secteurs de service de SPC, ainsi qu’une collaboration avec les ministères partenaires et d’autres intervenants externes.
La DGGEP est chargée de superviser la réalisation de 15 projets de MCT, organisés en vagues (voir annexe B) et gérés par différentes directions à différents stades d’avancement. Au 31 mars 2022, le programme de MCT avait reçu un financement total de 374 millions de dollars et en avait dépensé 367 millions. La réalisation des projets de MCT s’est vue allouer 320 millions de dollars, dont 316 millions ont été dépensés. Le financement total de la MCT est de 578 millions de dollars et se terminera au cours de l’exercice 2023-2024. Au moment de l’audit, sur les 15 projets de MCT, un projet a été achevé et 14 sont à différents stades d’avancement.
En fin de compte, le programme de MCT est essentiel pour moderniser les données et les applications des organisations gouvernementales. En consolidant et en migrant les applications et les données essentielles à la mission des centres de données existants à risque vers des solutions modernes, le programme contribue à garantir que les services essentiels continuent d’être fournis aux Canadiens de manière efficace et efficiente.
2. Justification de l’audit
L’introduction rapide des projets liés à la COVID-19 a temporairement détourné l’attention des priorités de l’organisation, notamment le programme de MCT, ce qui a entraîné des retards de livraison. Compte tenu de l’importance des projets de MCT pour soutenir les priorités stratégiques du gouvernement du Canada (GC) et de SPC, et du risque de défaillance d’une application essentielle du GC, un audit de la MCT a été inclus dans le Plan d’audit axé sur les risques 2021 à 2024.
3. Autorité de l’audit
La mission d’audit a été autorisée par le président en juillet 2021, conformément aux recommandations du comité ministériel d’audit lors de son examen du Plan d’audit axé sur les risques 2021 à 2024
4. Objectif de l’audit
L’objectif de cet audit était de fournir l’assurance que SPC a conçu et mis en œuvre adéquatement des processus pour superviser et gérer le programme et les projets de MCT.
5. Portée
Cet audit a porté sur la gouvernance du programme MCT, les processus de gestion et les activités de gestion de projet pour le portefeuille de projets de MCT actifs et achevés entre le 1er janvier 2018 et le 31 mars 2022. Les principaux domaines du programme de MCT de SPC ayant fait l’objet d’un examen sont les suivants :
| Domaine | Processus |
|---|---|
| Supervision | Supervision des projets et du programme |
| Gestion des risques | Au niveau du projet et du programme |
| Gestion du programme | Hiérarchisation des projets, gestion des intervenants et du contrôle des changements |
| Gestion des ressources | Gestion des ressources financières et humaines |
L’initiative de fermeture des CD et les services de MCT n’étaient pas inclus dans la portée de cette mission, à l’exception de l’usine de la MCT, qui permet d’augmenter l’échelle de mise en œuvre des projets de MCT en fournissant une entente d’approvisionnement, des pratiques normalisées de mise en œuvre de la migration et un soutien dédié. Nous avions exclu de cet audit toutes les activités sous la responsabilité des ministères-partenaires.
6. Méthodologie
L’audit a été mené par les moyens suivants :
- entretiens avec la haute direction et le personnel opérationnel;
- examen des documents; et
- vérification des contrôles.
Un échantillon de quatre projets de MCT a été sélectionné en fonction du stade du projet et du point de contrôle pour les travaux d’audit sur le terrain :
| Nom du projet | Cote de l’ECRP* | Stade | Point de contrôle |
|---|---|---|---|
| MCT du centre de données ████████████████████ de Services publics et Approvisionnement Canada (SPAC) | 2 | Achevé | - |
| MCT du centre de données ██████████ d’Environnement et Changement climatique Canada (ECCC) | 2 | Exécution | 3 |
| MCT des centres de données d’Innovation, Sciences et Développement économique (ISDE) Canada | 2 | Planification | 2 |
| MCT du Centre de données ███████████████████ de Transport Canada (TC) | 2 | Planification | 2 |
(*) ECRP : Évaluation de la complexité et des risques des projets
7. Énoncé de conformité
Cette mission a été effectuée conformément au Cadre de référence international des pratiques professionnelles de l’Institut des auditeurs internes et à la Politique sur l’audit interne du Conseil du Trésor, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité du Bureau de la vérification et de l’évaluation.
B. Constatations, recommandations et réponses de la direction
1. Gouvernance
1.1 La structure de gouvernance de la MCT est définie et communiquée de manière adéquate
L’équipe d’audit s’attendait à ce que le programme de MCT dispose d’une structure de gouvernance adéquatement définie et communiquée pour assurer la supervision, l’orientation, la prise de décision et la gestion des risques.
L’équipe d’audit a évalué la gouvernance du programme de MCT, qui concerne les structures, les systèmes et les pratiques qui définissent les pouvoirs de prise de décision, supervisent la mise en œuvre et rendent compte des performances.
L’équipe d’audit a également évalué si une structure de gouvernance était définie et communiquée aux intervenants et a constaté que le programme de MCT était supervisé de l’extérieur par plusieurs organismes gouvernementaux interministériels (voir Figure 1), notamment :
- le Comité sur les priorités et la planification intégrée des sous-ministres (CPPI des SM);
- le Comité sur les priorités et la planification intégrée des sous-ministres adjoints (CPPI des SMA);
- le Conseil d’examen de l’architecture intégrée du gouvernement du Canada (CEAI du GC);
- le groupe de travail de la MCT et de l’activation du nuage, qui est coprésidé par le directeur général (DG) de la Direction de la gestion du portefeuille de projets (GPP) de SPC et par un représentant du Bureau du dirigeant principal de l’information (BDPI), et qui comprend des membres des ministères partenaires.
Description longue de Structure de gouvernance de la MCT
Le diagramme décrit la structure de gouvernance du programme de migration de la charge de travail (MCT), depuis le groupe de travail sur la migration de la charge de travail jusqu’au Conseil du Trésor (CT) du Canada :
- Le groupe de travail sur la MCT, codirigé par Services partagés Canada (SPC) et le Secrétariat du Conseil du Trésor – Bureau du dirigeant principal de l’information (SCT – BDPI), comprend des membres de SPC, du SCT – BDPI, de Services publics et Approvisionnement Canada (SPAC), du Centre de la sécurité des télécommunications (CST) et des ministères clients qui participent au programme. Le groupe de travail sur la MCT gère la modernisation et la migration de la charge de travail, y compris les phases de découverte, de planification et d’exécution, ainsi que le financement par ordre de priorité (110 millions de dollars) et la gestion du projet.
- Le groupe de travail sur la MCT sollicite les décisions architecturales du Comité d’examen de l’architecture intégrée du gouvernement du Canada (CEAI du GC), l’approbation des priorités par le Comité des sous-ministres adjoints sur les priorités et la planification intégrées (CPPI des SMA), et rend compte au Conseil de gestion du projet (CGP) – composé de représentants de niveau SMA de SPC, du SCT – BDPI et des ministères – sur la gestion du projet et des enjeux.
- Le CEAI du GC fournit de la rétroaction au groupe de travail sur la MCT sur les décisions architecturales, fait rapport au CPPI des SMA sur les décisions architecturales et demande l’approbation du dirigeant principal de l’information (DPI) du GC sur l’établissement des priorités et l’affectation des fonds (reddition de compte).
- Le CGP rend compte au président de SPC, fournit de la rétroaction au groupe de travail sur la MCT sur le projet et les enjeux et, chaque trimestre, rend compte au CPPI des SMA de l’état d’avancement du projet.
- Le CPPI des SMA rend compte au sous-ministre (SM) – CPPI des priorités qu’il a approuvées.
- Le SM – CPPI fournit de la rétroaction au dirigeant principal de l’information du GC sur l’approbation de l’ordre de priorité et conseille le secrétaire du Conseil du Trésor sur l’approbation de l’ordre de priorité.
- Le DPI du GC approuve l’établissement des priorités et l’affectation des fonds.
- Le secrétaire du CT du Canada conseille le CT du Canada.
À l’interne, le Forum de supervision du programme de MCT (au niveau des directeurs principaux) et le Comité directeur du programme de MCT (au niveau des directeurs généraux) ont tous deux été créés en avril 2021 pour prendre des décisions stratégiques, soutenir les progrès en cours et superviser le programme de MCT. Le Forum de supervision du programme de MCT, responsable de la direction et de la supervision tactiques, est présidé par le directeur principal du programme de MCT au sein de la Direction de GPP et compte parmi ses membres divers intervenants, notamment des représentants de la Direction des projets relatifs aux services de centres de données (DPSCD), de la Direction générale relative aux services de centres de données (DGSCD) et de la Direction générale des services de réseaux et de sécurité (DGSRS). Le Comité directeur de la MCT, qui supervise la prise de décision stratégique, est présidé par le DG — GPP et comprend des membres d’autres directions de la DGGEP et d’autres directions générales, y compris la DGSCD et la DGSRS.
Le Forum de supervision et le Comité directeur de la MCT ont tous deux un mandat qui définit leurs missions, leurs rôles, leurs responsabilités, leurs membres et leur fonctionnement. Les mandats des comités ont été approuvés par leurs membres respectifs. De plus, le processus de contrôle des projets de SPC offre un autre niveau de supervision par l’intermédiaire du Conseil de gestion de projet (CGP) et du Conseil de gestion interne, des investissements et des finances (CGIIF). L’équipe du programme de MCT a également fourni des mises à jour trimestrielles au CGIIF.
La structure de gouvernance du programme de MCT a été communiquée aux intervenants internes et externes par l’approbation et l’autorisation de documents liés à la MCT et a été diffusée par le biais du programme de MCT et des présentations de projets. Les chartes des projets faisant partie de l’échantillon ont été communiquées au propriétaire de l’entreprise, au promoteur du projet, aux DGs de la DGGEP, au gestionnaire du projet et au CGP, et ont été approuvées par ceux-ci dans le cadre du processus de contrôle. Les représentants des ministères partenaires ont été invités à participer aux réunions du CGP au cours desquelles les chartes de leurs projets respectifs ont été déposées.
1.2 es comités de gouvernance du programme de MCT se réunissent régulièrement pour prendre des décisions en temps opportun et les résultats sont communiqués aux intervenants concernés
L’équipe d’audit s’attendait à ce que les comités de gouvernance du programme et des projets de MCT se réunissent régulièrement pour prendre des décisions en temps opportun et assurer le contrôle et la supervision, et à ce que leurs décisions soient consignées et communiquées aux intervenants concernés.
L’équipe d’audit a évalué le fonctionnement des comités de gouvernance du programme de MCT, en déterminant s’ils se réunissaient régulièrement, s’ils documentaient et communiquaient leurs décisions, et s’ils assuraient le suivi des mesures à prendre. L’équipe a constaté que le Comité directeur de la MCT s’était réuni tous les trimestres et que le Forum de supervision de la MCT avait tenu six réunions. Bien que le Forum de supervision a approuvé un compte rendu des décisions (CRD), une seule ébauche de CRD a été préparée pour les cinq autres réunions qui ont eu lieu. Malgré que les mandats des comités prévoient des responsabilités en matière de gestion des risques, le Forum de supervision n’a discuté des risques qu’une seule fois et le Comité directeur n’en a pas discuté du tout.
Causes et répercussions
Les lacunes dans la tenue des dossiers, le suivi des mesures à prendre et les discussions sur la gestion des risques au niveau de la gouvernance démontrent que la structure de gouvernance n’est pas arrivée à maturité et l’absence d’exigences opérationnelles en matière de gestion des risques. Cela pourrait conduire à un manque d’orientation et de responsabilisation, ainsi qu’à une gestion inefficace des risques pour le programme de MCT, et avoir des répercussions sur la capacité du programme de MCT à atteindre ses objectifs.
Recommandation 1
Priorité modérée
Le sous-ministre adjoint de la Direction générale de la gestion et de l’exécution de projets devrait élaborer et mettre en œuvre des processus pour s’assurer que le Forum de supervision et le Comité directeur de la MCT tiennent des registres de suivi des décisions sur les mesures à prendre et assurent la supervision de la gestion des risques.
Réponse de la direction
La direction est d’accord.
La procédure du Secrétariat de la MCT a été établie pour mieux définir les responsabilités/exigences liées à la gestion des comités de gouvernance de la MCT par le BGP (Bureau de gestion de projet). Cela comprend la mise en œuvre de l’outil améliorations continues risques, actions, problèmes et décisions de gouvernance intégrée (AC-RAID) de la MCT afin de surveiller efficacement les risques, les actions, les problèmes et les décisions; le suivi des mesures à prendre est effectué toutes les deux semaines avec les BPR (Bureau de première responsabilité).
En outre, le BGP de la MCT a apporté des modifications à la procédure CI-RAID, qui impose désormais de communiquer les risques/problèmes liés à la MCT à la gouvernance interne du programme (comité d’habilitation au niveau du directeur, forum de supervision du directeur principal, comité directeur du DG, conseil d’examen du SMA.
Enfin, des améliorations seront apportées à la tenue des dossiers grâce à un meilleur processus de gestion de l’information (en cours).
2. Gestion des risques
2.1 La MCT dispose de processus de gestion des risques adéquats et définis
L’équipe d’audit s’attendait à ce que le programme et les projets de la MCT disposent de processus de gestion des risques définis comprenant l’identification, l’évaluation, la réponse, l’attribution de responsabilités, la production de rapports, la surveillance, la clôture et l’intégration des risques.
L’équipe d’audit a évalué les processus de gestion des risques en place pour le programme et les projets de MCT. Le programme de MCT disposait d’un cadre et de directives claires en matière de gestion des risques qui décrivaient le processus d’identification, d’évaluation, de réponse, d’attribution de responsabilités, de production de rapports, de surveillance et de clôture des risques. Le système d’amélioration continue — risques, actions, problèmes et décisions (AC-RAPD) a été utilisé pour consigner les risques et les problèmes rencontrés. Au niveau du projet, les processus de gestion des risques ont été définis dans le processus de gestion des risques des projets de SPC et comprennent l’identification, l’évaluation, la réponse, la surveillance et le contrôle. Toutefois, le processus de clôture des risques n’était pas défini au niveau du projet. Le processus de production de rapports des risques était documenté dans les directives relatives à la gestion des risques et des problèmes, qui déterminent les destinataires et les outils de communication pour faire rapport sur les risques. Le Forum de supervision de la MCT était chargé d’identifier, de traiter et de transmettre les risques au Comité directeur de la MCT, tandis que ce dernier était chargé d’approuver et d’autoriser les stratégies d’atténuation des risques. Il s’est toutefois avéré que la production de rapport sur les risques aux comités de gouvernance n’était pas obligatoire, mais qu’elle était seulement requise « au besoin ».
L’équipe d’audit a constaté que l’intégration des risques entre le programme et les projets de MCT n’était pas bien définie. Bien que certains risques correspondaient en ce qui concerne le thème général (par exemple, financement, affectation des ressources), il n’existait pas de lien clair entre les risques au niveau du projet et les risques au niveau du programme. Ce manque d’intégration a été révélé, car sur les 22 risques associés aux projets susceptibles d’avoir des répercussions sur le programme, seuls 12 de ces risques (55 %) ont été inclus dans le registre des risques du programme de MCT.
Causes et répercussions
Le fait que les processus organisationnels de gestion des risques ne sont pas arrivés à maturité et l’absence d’un processus formel d’intégration des risques ont eu comme conséquence que certains risques relevés au niveau du projet n’ont pas été pris en compte dans la gestion des risques du programme de MCT, et vice versa. De plus, les exigences en matière de production de rapports des risques aux comités de gouvernance étaient insuffisantes, entraînant des lacunes en matière de production de rapports des risques.
L’absence d’un processus défini d’intégration des risques et les exigences insuffisantes en matière de production de rapports des risques aux comités de gouvernance pourraient se traduire par des pratiques de gestion des risques inefficaces. Cela pourrait limiter la vision globale des risques associés au programme par la haute direction et pourrait entraîner une mauvaise prise de décision et une utilisation inefficace des ressources. Les lacunes en matière de production de rapports des risques pourraient également entraîner une gestion inadéquate des risques des projets. Plusieurs projets pourraient ainsi être exposés à des risques semblables, mais faire l’objet de résolutions différentes. Cela pourrait entraîner des retards, des changements inutiles de la portée et une augmentation des coûts du programme de MCT.
Recommandation 2
Priorité élevée
Le sous-ministre adjoint de la Direction générale de la gestion et de l’exécution des projets devrait définir et mettre en œuvre :
- Un processus d’intégration des activités de gestion des risques du programme et des projets de MCT afin d’assurer une vision globale des risques;
- Un processus de production de rapports périodiques des risques au Forum de supervision et au Comité directeur de la MCT.
Réponse de la direction
La direction est d’accord.
La fonction d’assurance qualité (AQ) du Bureau de gestion de projet (BGP) de MCT a été mise en place pour examiner le rapport sur les risques/problèmes du projet de la MCT de façon hebdomadaire et de l’intégrer ensuite dans le journal AC-RAPD du programme, le cas échéant, en fonction de l’incidence globale sur le programme.
De plus, le bureau de soutien des projets /Projets relatifs aux services de centres de données ont été invités à participer aux réunions mensuelles du CI-RAID (après les projets de MCT du point de contrôle 2) afin d’améliorer la visibilité des risques et des problèmes associés aux projets.
Enfin, les risques et les problèmes associés aux programmes et aux projets sont en cours d’intégration dans Power BI afin d’améliorer la gestion et l’harmonisation.
2.2 Les processus de gestion des risques de la MCT sont mis en œuvre de manière efficace
L’équipe d’audit s’attendait à ce que le programme et les projets de MCT mettent en œuvre efficacement les processus de gestion des risques ayant été définis.
L’équipe d’audit a évalué la mise en œuvre des processus de gestion des risques définis pour le programme et les projets de MCT. L’équipe d’audit a examiné le registre des risques du programme de MCT (journal AC-RAPD) et a constaté que les pratiques en matière de risques et de problèmes étaient conformes aux exigences du processus de gestion des risques tels que l’identification, l’évaluation, la réponse, l’attribution de responsabilité, la surveillance, la mise à jour et la production de rapports. L’équipe d’audit a confirmé que le registre des risques du programme de MCT était conforme aux processus définis.
Pour les projets de MCT, l’équipe d’audit a évalué le plan de gestion des risques et le plan de gestion du projet et a constaté qu’ils avaient été approuvés et qu’ils répondaient aux exigences définies en matière d’identification, d’analyse, de réponse, d’attribution de responsabilité et de production de rapports. L’examen des éléments comportant un risque élevé pour trois projets (ECCC, ISDE et SPAC) a démontré qu’ils répondaient tous aux exigences définies en matière de gestion des risques. Sur les 23 risques liés à ces projets, 17 (74 %) répondaient aux exigences en matière de production de rapports des risques. De plus, l’équipe d’audit a évalué l’inclusion des questions relatives à la complexité des projets et à l’évaluation des risques ayant une note de 5 figurant dans les registres des risques associés aux projets et a constaté que 12 des 13 questions (92 %) étaient incluses.
3. Gestion du programme
3.1 La MCT dispose de processus de gestion du contrôle des changements adéquats et efficaces
L’équipe d’audit s’attendait à ce que les projets de MCT disposent d’un processus de gestion des changements clair et efficace. La gestion des changements englobe les méthodes et les procédures utilisées pour gérer les changements susceptibles d’avoir une incidence sur un projet et ses résultats.
Pour évaluer le processus de gestion des changements, l’équipe d’audit a examiné la documentation et les procédures de contrôle des changements de SPC, a évalué les demandes de changement hautement prioritaires des projets échantillonnés et a mené des entretiens avec les équipes de gestion de projet et les intervenants.
L’équipe d’audit a également constaté ce qui suit :
- Les demandes de changement (DC) concernant les coûts, la portée, le calendrier et les avantages attendus devaient être autorisées par le CGP, et nécessitaient également l’autorisation du CGIIF pour tout changement lié aux coûts.
- Le Guide des opérations a défini le processus de contrôle des changements, y compris les exigences relatives aux DC, les rôles et responsabilités des intervenants et les autorités d’autorisation. Le modèle de DC fourni par le Centre d’excellence en gestion de projets de SPC disposait de procédures et d’instructions détaillées.
- Les quatre projets échantillonnés disposaient de processus de contrôle des changements dans leur plan de gestion de projet (PGP) qui couvraient les mises à jour des artéfacts et de la documentation du projet, le classement des priorités, les catégories et le pouvoir d’autorisation des DC par les gestionnaires de projet, conformément au Guide des opérations.
- D’autres aspects de la gestion du contrôle des changements ont été abordés dans les chartes de projet respectives, notamment les imprévus liés aux changements, les réinitialisations des références, les pouvoirs d’autorisation des DC au niveau de la gouvernance, la gestion des DC par l’intermédiaire du système de portefeuille d’entreprise, ainsi que les rôles et responsabilités des gestionnaires de projet.
- Les gestionnaires de projet ont utilisé le système de portefeuille d’entreprise pour consigner les DC et stocker les documents connexes.
Les trois DC hautement prioritaires qui ont été examinées comportaient des descriptions, des justifications, des avantages, des coûts et des incidences claires. Deux d’entre elles ont été autorisées par le CGP, tandis que la troisième a fait l’objet d’une autorisation conditionnelle, mais l’équipe d’audit n’a pas pu obtenir de preuves attestant que la condition avait été remplie. Les DC ont été transmises aux intervenants et autorisées par le CGP, et les changements autorisés ont été inclus dans la mise à jour des artéfacts du projet.
Une approche administrative a été mise en œuvre pour autoriser les DC à faible risque (moins de 10 % de changement) afin d’alléger la charge de travail du projet et des comités de gouvernance. Les changements qui n’affectent pas la portée, le calendrier ou le budget, y compris les changements liés aux tâches ou aux ressources, peuvent être autorisés par le gestionnaire de projet, le promoteur ou le Comité directeur s’ils n’ont pas d’incidence sur le chemin critique. Toutefois, certaines personnes interrogées étaient préoccupées par la période de 6 à 8 semaines consacrée à l’autorisation des DC.
3.2 La MCT dispose de processus efficaces de gestion des intervenants internes et externes
L’équipe d’audit s’attendait à ce que les projets de MCT disposent de processus de gestion des intervenants qui comportent des pratiques claires pour la gestion des intervenants internes et externes et la communication avec eux.
L’équipe d’audit a examiné les plans de gestion des intervenants des projets échantillonnés afin de déterminer s’ils étaient approuvés et s’ils contenaient des informations complètes sur l’identification des outils de communication, l’identification, l’analyse et la classification des intervenants.
L’équipe d’audit a constaté que les projets de MCT disposaient de la documentation appropriée pour les processus de gestion des intervenants, conformément au Guide des opérations. Le plan de gestion des communications et des intervenants (PGCI) était soit un document autonome, soit inclus dans le PGP, et tous les projets disposaient d’un modèle de matrice de communication; toutefois, l’équipe d’audit a relevé des cas où les intervenants n’avaient pas tous été identifiés. Seule la matrice de communication du projet de SPAC comprenait une liste des principaux intervenants externes, tandis que les matrices de communication des autres projets ne comprenaient que les intervenants internes. Pendant les entretiens, les équipes de gestion de projet et les intervenants n’ont pas soulevé de problèmes associés au partage d’informations et aux mises à jour du projet, mais ont mentionné que certaines difficultés avaient été rencontrées pour l’identification des intervenants internes. L’équipe d’audit a également constaté que la préparation précoce d’un document autonome du PGCI constituait une pratique exemplaire, car celui-ci permettait la mobilisation hâtive des intervenants clés; toutefois, le Guide des opérations et le modèle de PGCI ne disposaient pas d’orientations claires ni de pratiques exemplaires en matière d’identification des intervenants et de communication avec ces derniers.
Causes et répercussions
Le Guide des opérations et le modèle de PGCI du projet ne disposaient pas d’orientation sur la mobilisation des intervenants. Les gestionnaires de projet n’ont pas reçu d’instructions claires ni de pratiques exemplaires en matière d’identification des intervenants et de communication avec ces derniers. Cela a entraîné des pratiques incohérentes.
L’incapacité d’identifier et d’obtenir la participation de tous les intervenants concernés, qui sont essentiels à l’exécution efficace du projet, peut entraîner des malentendus entre les deux parties et se traduire par des stratégies de communication inefficaces, des retards dans le projet, des dépassements de coûts ou de mauvaises relations avec les intervenants.
Recommandation 3
Priorité élevée
Le sous-ministre adjoint de la Direction générale de la gestion et de l’exécution des projets devrait définir et mettre en œuvre les exigences et des outils normalisés pour la gestion des intervenants internes et externes, y compris des exigences en matière de temps opportun et de mobilisation pour les projets de MCT, et ce afin d’assurer une mobilisation constante des intervenants.
Réponse de la direction
En accord avec la recommandation de mettre en place des outils normalisés pour la gestion des intervenants.
Cela sera abordé par le biais de la Stratégie et les Plans de communication de la MCT qui sont actuellement en développement et en amélioration continue. De plus, la gouvernance renouvelée de la MCT/Modernisation des Applications mise en place par le dirigeant principal de l’information du Gouvernement du Canada sera mise à profit pour améliorer l'engagement et les pratiques de gestion des intervenants, ce qui inclura également la représentation des partenaires.
3.3 La MCT dispose d’un processus efficace de hiérarchisation des projets
L’équipe d’audit s’attendait à ce que le programme de MCT dispose d’un processus efficace de hiérarchisation des projets documenté, autorisé et mis en œuvre. Un tel processus permet une allocation des ressources et une exécution des projets efficaces pour atteindre les objectifs du programme de MCT.
L’équipe d’audit a examiné la documentation relative aux critères de sélection des projets et a mené des entretiens avec les équipes de gestion des projets et les intervenants afin de déterminer si les critères de sélection étaient définis et mis en œuvre.
L’équipe d’audit a constaté que le programme de MCT disposait d’un processus défini de hiérarchisation des projets documenté, autorisé et mis en œuvre. Le processus de hiérarchisation a été ████████████████████ approuvé par diverses instances de gouvernance interministérielles, notamment le groupe de travail sur la MCT et l’activation du nuage, le CEAI du GC, le CPPI des SMA et le CPPI des SM. Le dirigeant principal de l’information du gouvernement du Canada (DPI du GC) était chargé d’autoriser la hiérarchisation des projets et l’affectation des fonds. Les projets ont été classés par ordre de priorité en fonction de critères de sélection comprenant des facteurs tels que les centres de données présentant un risque de défaillance et une valeur opérationnelle élevée.
L’équipe d’audit a également constaté que la liste des centres de données prioritaires ████████████████████ a été modifiées ████████████████████. L’équipe d’audit n’a pas pu obtenir la preuve de l’approbation du CPPI des SM et de l’autorisation du CEAI du GC pour la nouvelle hiérarchisation des projets.
Causes et répercussions
La gestion de l’information est particulièrement complexe lorsque l’information est générée et conservée en dehors de SPC. Il n’existait pas de processus défini pour conserver les preuves du processus de hiérarchisation et de l’approbation et de l’autorisation des critères. Il est essentiel que la documentation officielle sur la hiérarchisation des projets soit conservée comme preuve des autorisations, car de tels documents peuvent être demandés par des intervenants internes ou externes. Le fait de ne pas conserver les documents essentiels peut être considéré comme une mauvaise gestion et peut entraîner une perte de confiance et des lacunes en matière de responsabilisation et d’intendance.
Recommandation 4
Priorité modérée
Le sous-ministre adjoint de la Direction générale de la gestion et de l’exécution des projets devrait définir et mettre en œuvre des processus permettant de documenter et de conserver l’approbation et l’autorisation de la hiérarchisation des projets de MCT.
Réponse de la direction
La direction est d’accord.
La gouvernance renouvelée de la MCT et de l’AppMod a été récemment approuvée par le DPI du GC, ce qui comprendra un nouveau processus simplifié pour la hiérarchisation et le lancement des projets. La mise en œuvre est en cours pour inclure un processus et une structure de gestion de l’information documentés.
4 Gestion des ressources
4.1 La MCT dispose de processus de gestion des ressources humaines et financières adéquats et efficaces.
L’équipe d’audit s’attendait à ce que le programme de MCT dispose d’un processus de planification, d’organisation, de direction et de contrôle des ressources humaines et financières permettant d’atteindre les objectifs et les réussites du programme et des projets de MCT dans le respect de l’échéancier et du budget. La gestion des ressources du projet comprend des processus permettant d’identifier, d’acquérir et de gérer les ressources nécessaires à la bonne réalisation du projet.
L’équipe d’audit a examiné les processus de gestion de projet de SPC et la documentation pertinente relative aux projets de MCT, et a mené des entretiens avec les équipes de gestion de projet et les intervenants afin d’évaluer l’efficacité et l’adéquation des activités de gestion des ressources du programme de MCT.
Ressources financières
Jusqu’au 31 mars 2022, le programme de MCT a reçu un financement total de 374 millions de dollars et a dépensé 367 millions de dollars. Le financement devrait se poursuivre jusqu’à l’exercice 2023-2024 pour un total de 578 millions de dollars.
Le financement de la MCT ████████████████████ avec un financement ████████████████████ respectivement.
Sur les 374 millions de dollars reçus à ce jour, 320 millions ont été affectés à l’exécution des projets de MCT et le reste du budget de MCT a été affecté aux services de MCT, aux fermetures de centres de données et aux services internes (316 millions des 320 millions affectés aux projets de MCT ont été dépensés pour l’exécution de projets).
Les difficultés rencontrées par le programme de MCT lors de l’identification des compétences appropriées associées aux problèmes de chaîne d’approvisionnement liés à la pandémie de COVID-19, au changement de priorités de SPC et à l’état de préparation des partenaires ont entraîné un réaménagement des fonds alloués au programme de MCT qui ont été utilisés au cours des exercices suivants, comme le montre le tableau ci-dessous (en millions) :
| ███████████/année : | 2019-2020 | 2020-2021 | 2021-2022 | 2022-2023 | 2023-2024 | 2024-2025 |
|---|---|---|---|---|---|---|
| █ | █ | █ | █ | █ | █ | █ |
| █ | █ | █ | █ | █ | █ | █ |
Remarque : Les montants réaménagés sont indiqués entre parenthèses et les montants alloués aux années suivantes sont indiqués sans parenthèses..
Estimation des coûts
L’estimation des coûts est le processus d’assemblage et de prévision des coûts d’un projet au cours de son cycle de vie. Cela permet aux gestionnaires de projets et de programmes de prévoir les dépenses futures afin de réduire la probabilité de dépassement de budget.
Les PGP et les chartes de projet de tous les projets échantillonnés décrivaient les calculs et les estimations des coûts du projet et définissaient les hypothèses relatives aux coûts. Les chartes de projet de deux des trois projets échantillonnés postérieurs au point de contrôle 2, ainsi que l’analyse de rentabilité détaillée de l’autre projet postérieur au point de contrôle 2, documentaient les hypothèses de coûts susceptibles d’avoir une incidence sur le projet et ses résultats.
L’équipe d’audit a constaté que les écarts entre les coûts prévus et les coûts réels étaient rapportés dans les rapports sur la valeur acquise et faisaient l’objet d’une discussion mensuelle. De plus, les conseillers en gestion financière ont rapproché les chiffres du Blackbook et de SIGMA et le conseiller en gestion des coûts a examiné les données financières du programme de MCT devant être présentées trimestriellement au CGIIF.
Ressources humaines
Les besoins en ressources humaines des projets de MCT sont remplis à l’interne selon le processus d’autorisation de tâches et de financement (ATF) et à l’externe par les accords d’approvisionnement.
Les ATF sont préparés après l’approbation du point de contrôle 2 par le CGP, mises à jour par le biais des DC autorisées par le CGP et constituent « une entente entre la DGGEP et les secteurs de service pour obtenir un engagement en matière de ressources et confirmer les livrables du projet, y compris les coûts et les échéanciers associés ».
Le Guide des opérations décrit l’utilisation de l’ATF, notamment en ce qui concerne la détermination des ressources, l’affectation et l’autorisation de l’ATF. L’équipe d’audit a constaté que les projets échantillonnés avaient préparé les ATF et obtenu les approbations pour celles-ci à partir du point de contrôle 2 et pour chaque exercice financier par la suite.
L’usine de la MCT a été créée en 2018 pour aider à résoudre les problèmes liés aux ressources limitées en faisant appel à des experts tiers de la MCT. L’usine de la MCT a permis d’augmenter l’échelle de mise en œuvre des projets de MCT en fournissant une entente d’approvisionnement, des pratiques normalisées de mise en œuvre de la migration et un soutien dédié. Toutefois, les personnes interrogées ont fait part de leurs difficultés à collaborer avec des ressources tierces et à obtenir l’approbation de leur travail, invoquant un manque de compétences. Le programme de MCT connaissant donc toujours des problèmes liés à la disponibilité des ressources.
Surveillance des ressources
La surveillance des ressources est importante pour s’assurer que le programme et les projets de MCT sont mis en œuvre en respectant les limites des ressources allouées et en évitant les dépenses excessives et les pénuries de ressources.
L’équipe d’audit a constaté que les pratiques de surveillance des ressources du programme de MCT étaient conformes aux exigences du Guide des opérations (p. ex., autorisation du CGP par le biais d’une DC pour un écart de 10 % de la portée, échéancier et budget). Cette surveillance préventive a été mise en place pour restreindre et limiter les ressources allouées afin qu’elles ne dépassent pas les seuils définis.
C. Conclusion
Dans l’ensemble, SPC a conçu et mis en œuvre de manière adéquate les processus de supervision et de gestion du programme et des projets de MCT.
Des possibilités d’amélioration ont également été relevées.
Le programme de MCT disposait de processus adéquats et efficaces de contrôle des changements et de gestion des ressources, bien qu’il ait réaménagé des fonds alloués en raison de facteurs externes. Bien que la structure de gouvernance de la MCT ait été adéquatement définie et communiquée, la tenue des dossiers, le suivi des actions et la surveillance des risques étaient insuffisants. Les processus de gestion des risques étaient définis et mis en œuvre, à l’exception des processus d’intégration des risques (programme par rapport aux projets) et de production de rapports des risques aux comités de gouvernance, qui n’étaient pas définis.
La gestion des intervenants internes était efficace dans l’ensemble; la gestion des intervenants externes était inefficace en termes d’identification et de mobilisation.
Enfin, les critères de hiérarchisation et les processus d’approbation et d’autorisation étaient définis, mais la documentation relative à l’approbation et à l’autorisation de la hiérarchisation des projets faisait défaut.
Annexe A — Secteurs d’intérêt et critères d’audit
| Secteur d’intérêt | Critères d’audit |
|---|---|
| Secteur d’intérêt 1 : Gouvernance | |
| Gouvernance | 1.1 La structure de gouvernance de la MCT est définie et communiquée de manière adéquate. 1.2 Les comités de gouvernance de la MCT se réunissent régulièrement pour prendre des décisions en temps opportun et les résultats sont communiqués aux intervenants concernés. |
| Secteur d’intérêt 2 : Gestion du risque | |
| Processus de gestion des risques | 2.1 La MCT dispose de processus de gestion des risques adéquats. 2.2 Les processus de gestion des risques de la MCT sont mis en œuvre de manière efficace. |
| Secteur d’intérêt 3 : Gestion de programme | |
| Gestion du contrôle des changements | 3.1 La MCT dispose de processus de gestion du contrôle des changements adéquats et efficaces au niveau du programme et des projets. |
| Gestion des intervenants | 3.2 La MCT dispose de processus efficaces de gestion des intervenants internes et externes. |
| Hiérarchisation des projets | 3.3 La MCT dispose d’un processus efficace de hiérarchisation des projets. |
| Secteur d’intérêt 4 : Gestion des ressources | |
| Processus de gestion des ressources | 4.1 La MCT dispose de processus de gestion des ressources humaines et financières adéquats et efficaces. |
Annexe B — Projets de MCT des vagues 1 et 2
| Vague | Nom du projet | État |
|---|---|---|
| 1 | MCT du centre de données existant de la promenade de ██████████ de Services publics et Approvisionnement Canada | Achevée |
| MCT du centre de données existant ██████████ d’Environnement et Changement climatique Canada | Active | |
| MCT du centre de données existant du ministère de la Défense nationale | ||
| Migration de l’Agence du revenu du Canada/Agence des services frontaliers du Canada | ||
| MCT du centre de données ██████████ de Ressources naturelles Canada | ||
| MCT de Statistique Canada ██████████ | ||
| 2 |
MCT des centres de données existants d’Innovation, Sciences et Développement économique Canada | |
| MCT des centres de données existants de l’Agence canadienne d’inspection des aliments | ||
| MCT des centres de données ██████████ du Bureau du Conseil privé | ||
| MCT du site de récupération des données ██████████ correctionnel Canada | ||
| MCT d’Affaires mondiales Canada ██████████ | ||
| MCT du centre de données ██████████ | ||
| MCT du Centre de données ██████████ de Transports Canada | ||
| Centre d’analyse des opérations et déclarations financières du Canada — Reprise après sinistre | Prévue | |
| MCT des centres de données ██████████ d’Emploi et Développement social Canada |
Annexe C — Priorités concernant les recommandations de l’audit
Le Bureau de la vérification et de l’évaluation accorde une note d’évaluation aux recommandations relatives à la mobilisation interne pour indiquer la priorité de chaque recommandation à la haute direction. Cette évaluation correspond à l’exposition au risque attribué aux observations indiquées dans l’audit et aux conditions sous-jacentes à la recommandation et selon le contexte organisationnel.
| Évaluation | Explication |
|---|---|
| Priorité ÉLEVÉE |
|
| Priorité MODÉRÉE |
|
| Priorité FAIBLE |
|
Annexe D — Sigles
| Sigle | Signification |
|---|---|
| AQ | Assurance de la qualité |
| ATF | Autorisation de tâches et de financement |
| BDPI | Bureau du dirigeant principal de l’information |
| BGP | Bureau de gestion de projet |
| BPR | Bureau de première responsabilité |
| CDE | Centres de données d’entreprise |
| CEAI du GC | Comité d’examen de l’architecture intégrée du gouvernement du Canada |
| CGIIF | Conseil de gestion interne, des investissements et des finances |
| CGP | Conseil de gestion de projet |
| CI-RAID | Amélioration continue — Risques, actions, problèmes et décisions |
| CPPI des SM | Comité sur les priorités et la planification intégrée des sous-ministres |
| CPPI des SMA | Comité sur les priorités et la planification intégrée des sous-ministres adjoints |
| CRD | Comptes rendus des décisions |
| CT | Conseil du Trésor |
| DC | Demande de changement |
| DG | Directeur général |
| DGGEP | Direction générale de la gestion et de l’exécution des projets |
| DGSCD | Direction générale des services des centres de données |
| DGSRS | Direction générale des services de réseaux et de sécurité |
| DPI du GC | Dirigeant principal de l’information du gouvernement du Canada |
| DPSCD | Direction des projets relatifs aux services de centres de données |
| ECCC | Environnement et Changement climatique Canada |
| ECRP | Évaluation de la complexité et des risques des projets |
| GC | Gouvernement du Canada |
| GPP | Gestion du portefeuille de projets |
| ISDE | Innovation, Science et Développement économique Canada |
| MCT | Migration de la charge de travail |
| PGCI | Plan de gestion des communications et des intervenants |
| PGP | Plan de gestion de projet |
| SPAC | Services publics et Approvisionnement Canada |
| SPC | Services partagés Canada |
| TC | Transports Canada |
Détails de la page
- Date de modification :