Vérification des technologies de l’information - Mai 2016
Division de la vérification interne
Rapport de vérification final
Sur la recommandation du Comité ministériel de vérification, soumis pour approbation au directeur des poursuites pénales le 3 mai 2016.
Approuvé par le directeur des poursuites pénales le 5 mai 2016.
Table des matières
- 1.0 Sommaire
- 2.0 Introduction
- 3.0 Observations et Recommandations
- 4. Conclusion
- 4.0 Plan d’action de la direction
- Annexe A – Secteurs d’intérêt et critères de vérification
- Annexe B – Liste des sigles
1.0 Sommaire
1.1 Objectif de la vérification
L’objectif de la présente vérification était d’évaluer la pertinence et l’efficacité des structures de gouvernance et des processus et contrôles qui soutiennent la gestion des ressources de technologie de l’information (TI), et d’assurer le respect de la Politique et de la Directive sur la gestion des technologies de l’information du Conseil du Trésor (CT).
La vérification a porté sur les structures de gouvernance et les processus de planification stratégique en matière de TI, ainsi que sur les relations avec le prestataire de services généraux (PSG) et le fournisseur de services du gouvernement du Canada (FSGC). La vérification a été réalisée entre octobre 2015 et février 2016. La vérification a comporté des entrevues auprès des responsables des TI, des membres du Comité sur la technologie et la gestion de l’information (CTGI) et des représentants du PSG et du FSGC, ainsi qu’un examen et une analyse des documents de TI pertinents.
1.2 Conclusion de la vérification
Dans l’ensemble, la vérification a relevé l’existence de questions présentant un risque modéré pour la TI, dans les domaines de la gouvernance de la TI, des rôles et des responsabilités en matière de TI, de la planification de la TI, des rapports des fournisseurs de services en TI, des politiques en matière de TI et du respect de celles-ci.
1.3 Sommaire des constatations
Voici les points forts observés lors de la vérification :
- Le Comité sur la technologie et la gestion de l’information (CTGI) sert de tribune pour discuter les enjeux opérationnels ponctuels en matière de TI.
- Les rôles et les responsabilités du Service des poursuites pénales du Canada (SPPC), du PSG et du FSGC sont clairs.
- Un processus est en place, à l’échelle de l’organisation, pour gérer les risques en matière de TI.
- Les relations entre le PSG et le FSGC s’améliorent.
- Le site intranet du SPPC contient des informations utiles en matière de TI pour les employés.
Le présent rapport comprend les recommandations suivantes, adressées à la directrice adjointe des poursuites pénales, Direction des poursuites réglementaires et économiques, et de la gestion (DAPP, DPREG), et impliquant la participation du directeur de la Division des services de l’administration (DSA) :
- Revoir le rôle et la structure de l’organisation du dirigeant principal de l’information (DPI), et apporter les changements organisationnels nécessaires pour répondre aux attentes du CT à l’égard d’un tel rôle.
- Revoir le mandat et le fonctionnement du CTGI.
Le rapport comprend aussi des recommandations adressées au DPI :
- Établir un processus pour mettre à jour le plan des TI afin qu’il respecte les exigences de la Directive sur la gestion des technologies de l’information du CT et qu’il réponde aux besoins actuels des intervenants à l’échelle de l’organisation.
- Demander que les ententes de service conclues par le SPPC avec le PSG et le FSGC incluent des mesures de rendement pour les services rendus.
- Poursuivre l’examen des politiques en matière de TI afin de déterminer si le SPPC doit se doter de politiques qui lui sont propres et établir une distinction claire entre les exigences relatives aux politiques en matière de TI et les conseils à cet égard.
- Fournir de la formation aux employés et les encourager à respecter les exigences des politiques en matière de TI.
1.4 Énoncé d’assurance
Selon mon jugement professionnel, en qualité de dirigeante principale de la vérification du SPPC, j’estime que les procédures de vérification qui ont été menées sont suffisantes et adéquates, et que les éléments de preuve recueillis attestent l’exactitude de la conclusion de la vérification présentée dans le rapport. Les constatations et la conclusion de la vérification reposent sur une comparaison des conditions, qui prévalaient au moment de la vérification, et des critères de vérification préétablis et approuvés par la direction du SPPC. Les constatations et la conclusion ne concernent que l’entité examinée. Les éléments de preuve ont été recueillis conformément à la politique, aux directives et aux normes du CT sur la vérification interne.
J’apprécie la coopération et l’aide fournies à l’équipe de vérification par le personnel du SPPC.
Julie Betts
Dirigeante principale de la vérification
2.0 Introduction
2.1 Contexte
Aperçu de l’Unité de la gestion de l’information et de la technologie de l’information pour 2014-2015Note de bas de page 1
| Salaires ($) | F et E ($) | Total ($) | ÉTP |
|---|---|---|---|
| 871 566 | 2 376 965 | 3 248 531 | 10,37 |
En 2014-2015, l’Unité de la gestion de l’information (GI) et de la technologie de l’information (TI) comprenait 10,37 ÉTP. Toutefois, en raison de départs récents, l’Unité ne compte actuellement que 7,5 ÉTP. L’Unité, présentement dirigée par le gestionnaire de la GI/TI et dirigeant principal de l’information (DPI), fait partie de la Division des services de l’administration (DSA) au sein de la DPREG.
L’Unité fournit à l’interne des services de gestion et de soutien des TI, et autres services connexes, et dépend fortement des fournisseurs de services pour la prestation des services de TI. Le SPPC a conclu un protocole d’entente (PE) avec le prestataire de services généraux (PSG) pour la prestation de divers services, dont ceux des TI. Le SPPC exploite aussi l’infrastructure de TI fournie par le fournisseur de services du gouvernement du Canada (FSGC) avec qui il a conclu de nombreuses ententes pour des services de télécommunications et d’autres services afférents à la TI. En plus des services de base, services de courriels et services de fichiers et d’impression, le SPPC utilise diverses applications, dont iCase – une application Web qui soutient la gestion des cas, la comptabilisation du temps et l’établissement de rapports opérationnels; et GCDocs – un système de gestion des documents et des dossiers électroniques.
La Division de la vérification interne a procédé à la vérification des technologies de l’information conformément au Plan de vérification fondé sur les risques 2015-2018 du SPPC approuvé par le directeur des poursuites pénales le 26 mars 2015.
2.2 Objectifs et portée
L’objectif de la présente vérification était d’évaluer la pertinence et l’efficacité des structures de gouvernance et des processus et contrôles qui soutiennent la gestion des ressources de TI; et d’assurer le respect de la Politique et de la Directive sur la gestion des technologies de l’information du CT.
La vérification a porté sur les structures de gouvernance et les processus de planification stratégique en matière de TI, ainsi que sur les relations avec le PSG et le FSGC.
2.3 Méthodologie
La vérification a été effectuée conformément aux pratiques de vérification généralement reconnues et dans le respect de la Politique sur la vérification interne du CT.
La méthodologie de la vérification a comporté :
- des entrevues menées auprès de la direction des TI, des membres du CTGI et des représentants du PSG et du FSGC;
- l’examen et l’analyse des politiques, pratiques et procédures établies en matière de TI et des documents de conformité connexes;
- l’examen et l’analyse des documents liés à la gouvernance de la TI, comme le mandat et les procès-verbaux de réunions du comité;
- l’examen et l’analyse des documents liés à la planification de la TI, à l’évaluation des risques en matière de TI et à la mesure du rendement; et
- l’examen et l’analyse des ententes conclues avec les fournisseurs de services de TI et leurs évaluations de rendement.
La vérification a été réalisée entre octobre 2015 et février 2016.
3.0 Observations et Recommandations
3.1 Gouvernance de la TI
Le CTGI sert de tribune pour discuter les enjeux opérationnels ponctuels en matière de TI. Cependant, le comité ne s’étant pas réuni régulièrement, les discussions de niveau stratégique n’ont pas eu lieu. De plus, la composition du Comité ne cadre pas entièrement avec son mandat.
Les vérificateurs s’attendaient à trouver des structures de gouvernance des TI capables d’élaborer une stratégie et une vision en matière de TI, et d’assurer la surveillance en temps opportun des investissements en TI.
La vérification a révélé que le CTGI, le principal organe de gouvernance du SPPC en matière de TI, est un organe non décisionnel qui a pour mandat d’assurer la surveillance de la TI, de la GI et de la gestion du savoir (GS), et de formuler des recommandations au Conseil exécutif (CE), le comité supérieur à qui le CTGI rend compte.
Discussions au sein du comité
La vérification a révélé que le CTGI sert de tribune pour discuter les enjeux opérationnels ponctuels en matière de TI, comme l’utilisation des clés USB et la répartition des imprimantes. Toutefois, bien qu’un élément important du mandat du CTGI consiste à formuler des recommandations au CE en matière de vision, d’orientation et de stratégie en TI; l’on a constaté que le CE n’a pas bénéficié des conseils du CTGI dans sa prise de décisions. En outre, le CTGI n’a communiqué aucune information au Comité consultatif supérieur (CCS), comme le prévoit son mandat. Enfin, bien que le Comité de mesure du rendement (CMR) soit responsable de la surveillance des questions portant sur iCase; la vérification a révélé qu’il n’y avait pas d’échange d’information entre le CTGI et le CMR.
Conformément à son mandat, le CTGI doit se réunir tous les trimestres, mais ces dernières années, il ne s’est réuni qu’une ou deux fois par année.
Le fait que CTGI ne respecte pas pleinement son mandat, lequel consiste à se réunir régulièrement et à formuler des recommandations au CE en matière de vision, d’orientation et de stratégie en TI, augmente le risque que le CE ne dispose pas des renseignements dont il a besoin pour élaborer les vision et stratégie des TI, ce qui pourrait entraîner le désalignement des investissements en TI et faire en sorte qu’il soit plus difficile de combler les besoins en TI des intervenants. De même, le non partage d’information entre le CTGI, le CCS et le CMR, accroit le risque de désalignement entre les comités et les investissements en TI.
Composition
Il a également été observé que le président actuel du comité, le gestionnaire de la GI/TI et DPI, est le membre ayant le moins d’ancienneté au sein du comité, ce qui peut compliquer la direction des travaux du comité. Les entrevues ont révélé que le rôle du gestionnaire est axé sur les questions relatives aux TI. Si c’est le cas, ce gestionnaire pourrait être moins apte à présider un comité dont le mandat englobe la TI, la GI et la GS, et augmentait le risque que le CTGI ne puisse pas remplir efficacement son mandat.
Recommandation
- La DAPP, DPREG, en collaboration avec le directeur de la DSA, devrait revoir le mandat et le fonctionnement du CTGI.
3.2 Rôles et responsabilités
Les rôles et responsabilités du SPPC et des fournisseurs de services sont clairs; mais la plupart des descriptions de travail du SPPC liées aux TI sont dépassées. L’organisation ne dispose pas d’une capacité de planification stratégique en matière de TI et le rôle actuel du DPI ne cadre pas avec les attentes du Secrétariat du Conseil du Trésor (SCT).
Les vérificateurs espéraient constater que les rôles et responsabilités liées à la TI étaient clairement définis et communiqués.
La vérification a révélé que les rôles et les responsabilités du SPPC et des fournisseurs de services étaient clairs et bien documentés. Le FSGC est responsable de la gestion de l’infrastructure des TI (réseaux et centres de données), alors que le PSG fournit les divers services de soutien à la TI décrits dans le PE.
Le gestionnaire de la GI/TI assume présentement le rôle de DPI. La Politique sur la gestion des technologies de l’information du CT (section 6.1.6) prévoit : « Qu’un haut fonctionnaire soit désigné pour représenter le ministère dans le cadre de discussions avec le Secrétariat du Conseil du Trésor du Canada au sujet de la présente Politique. »
Bien que l’ancienneté des fonctionnaires ne soit pas mentionnée dans la politique, les DPI, qui sont désignés dans les ministères de la taille du SPPC, occupent un poste de classification EX. Soulignons toutefois que ces organisations, de même taille, n’ont pas recours à des fournisseurs de services en TI dans la même mesure que le SPPC, et qu’elles sont dotées, conséquemment, d’organisations internes des TI plus importantes.
Le SCT a publié le profil des DPI et d’autres documents qui établissent clairement les nouvelles attentes relatives au DPI d’un ministère du gouvernement fédéral, en tant que « facilitateur opérationnel »
, passant du rôle de fournisseur de services à celui de partenaire opérationnel stratégique et d’agent d’innovation. Ce virage s’est accentué avec la création d’un FSGC qui a pris en charge la gestion technique de l’infrastructure de TI, permettant ainsi aux DPI de concentrer leurs efforts sur l’habilitation opérationnelle et la planification stratégique. À l’heure actuelle, le rôle du DPI du SPPC ne cadre pas avec les nouvelles attentes du SCT concernant le profil des DPI.
La plupart des descriptions de travail du SPPC liées aux TI sont dépassées et ne tiennent pas compte de l’évolution des responsabilités depuis la création du FSGC ni des changements organisationnels au niveau des TI au sein du SPPC. De même, les responsabilités en matière de planification stratégique de la TI ne sont pas associées spécifiquement à aucune des descriptions de travail existantes, et l’entente de gestion du rendement (EGR) du directeur de la DSA, de qui relève l’organisation du DPI, ne contient actuellement aucun objectif stratégique lié à la TI.
Si l’attribution du rôle de DPI et la fonction de l’organisation du DPI ne cadrent pas avec les attentes du SCT, il y a un risque accru que l’organisation du DPI ne puisse soutenir adéquatement les objectifs opérationnels, et qu’elle soit considérée comme étant non conforme aux instruments de politique du CT. Si les descriptions de travail des postes en TI sont périmées, il y a un plus grand risque que les rôles soient imprécis et que les tâches soient exécutées de manière inefficace et inefficiente.
Recommandation
- La DAPP, DPREG, en collaboration avec le directeur de la DSA et la Direction générale des ressources humaines, devrait revoir le rôle du DPI, ainsi que la structure de son organisation, en actualisant notamment les descriptions de travail liées aux TI et les objectifs relatifs à la TI, dans les EGR.
3.3 Planification de la TI
Le plan de TI du SPPC n’a pas été mis à jour depuis 2014-2015. Il ne cadre pas avec la Politique sur la gestion des technologies de l’information du CT et n’est pas soutenu par des mesures du rendement adéquates.
Les vérificateurs s’attendaient à ce qu’un processus de planification de la TI, encadrant des processus adéquats de gestion des risques et de mesure du rendement associés aux TI, soit en place pour déterminer et prioriser des investissements en matière de TI compatibles avec les objectifs stratégiques de l’organisation.
La vérification a révélé que le plan des TI du SPPC a été mis à jour pour la dernière fois en novembre 2013, en prévision de l’exercice 2014-2015. Le plan présente un tableau des dépenses en GI/TI, le budget total consacré à la GI et aux TI et une liste des projets envisagés pour 2014-2015, mais ne comprend pas plusieurs des éléments énumérés à l’annexe B de la Directive sur la gestion des technologies de l’information du CT, soit définir une stratégie de TI, décrire les investissements prévus sur cinq ans, catégoriser l’affectation des ressources en TI et établir les mesures de rendement de TI.
La vérification a aussi révélé qu’il n’existe aucun processus pour recueillir les commentaires des intervenants sur leurs besoins actuels et futurs (par l’entremise du CTGI ou d’autres moyens) et faire en sorte que le plan tienne compte des priorités opérationnelles de l’organisation, ainsi que des besoins actuels et futurs des intervenants à l’échelle de l’organisation.
Il a été constaté que le processus de gestion des risques organisationnels du SPPC tient compte, entre autres, des risques liés aux TI. Plus précisément, le Profil de risque de l’organisation pour l’exercice 2014-2015 contient un risque lié à la gestion et technologie de l’information. Le processus de gestion des risques prévoit la surveillance du risque au moyen de plans d’action et de rapports d’activités annuels présentés au CE et au Comité ministériel de vérification.
Si aucun plan stratégique des TI ni visions des TI ne sont mis en place, il y a un risque accru que les investissements en TI servant à appuyer la réalisation des objectifs de l’organisation ne soient pas cernés ou qu’ils ne s’harmonisent pas aux besoins des intervenants.
Recommandation
- Le DPI devrait établir un processus pour mettre à jour le plan de TI pour qu’il soit conforme aux exigences de la Directive sur la gestion des technologies de l’information du CT et tienne compte des besoins des intervenants à l’échelle de l’organisation.
3.4 Fournisseurs de services en TI
Les relations avec les fournisseurs de services en TI s’améliorent. Elles sont gérées dans le cadre de réunions régulières, informelles et bilatérales. Les rapports de rendement des fournisseurs pourraient être améliorés. Il serait aussi possible de relancer les autres clients pour renforcer les demandes faites au FSGC.
Les vérificateurs s’attendaient à constater l’existence d’un processus adéquat, avec les fournisseurs de services, en vue de fixer des attentes mesurables en matière de service; que le rendement des fournisseurs était mesuré régulièrement; et que les lacunes en matière de rendement étaient réglées en temps opportun.
La vérification a révélé que les relations avec le PSG sont régies par un PE et gérées dans le cadre de réunions régulières, informelles et bilatérales. Des discussions sur le rendement du PSG sont aussi tenues lors du renouvellement annuel du PE. Des modifications peuvent alors être apportées afin de mieux traduire les besoins et le rendement des parties. Le responsable de la gestion de la TI du SPPC et le représentant du PSG ont tous deux confirmé que ces réunions ont contribué à améliorer les relations.
Le PE, conclu avec le PSG, ne prévoit actuellement pas de niveaux de service formels outre que chaque partie s’est convenu de veiller à fournir des services à l’autre partie de la même manière que pour les services internes. Bien que l’établissement de niveaux de service formels dépasse probablement l’esprit du PE, il a été constaté que le PSG a déjà défini des niveaux de service interne avec son propre fournisseur de services, pour des services qui comprennent la prestation des services de soutien en matière de TI au SPPC. Toutefois, le SPPC ne jouit actuellement d’aucun de ces niveaux de service.
De la même façon, les relations avec le FSGC sont régies par diverses ententes et gérées dans le cadre de réunions régulières, informelles et bilatérales. Le responsable de la gestion de la TI du SPPC et le représentant du FSGC ont tous deux confirmé que ces réunions ont contribué à améliorer les relations. Certaines des ententes contiennent des clauses indiquant que le FSGC doit présenter des rapports de rendement au SPPC; or, jusqu’à maintenant, le SPPC ne les a pas demandés officiellementNote de bas de page 2.
En plus des réunions bilatérales, le SPPC assiste aux réunions du FSGC avec les chefs de la TI des autres clients du FSGCNote de bas de page 3 afin de discuter de sujets d’intérêt commun, notamment l’engagement en matière de niveaux de service. Le Rapport du vérificateur général du Canada de l’automne 2015 sur les Services partagés en technologies de l’information a d’ailleurs mis en relief les défis du FSGC associés à l’établissement d’attentes en matière de services avec ses partenaires et la réalisation de ces attentes. Il y a une opportunité, pour le SPPC, de profiter des réunions des chefs de la TI et des intérêts communs des clients, pour renforcer les demandes faites au FSGC de s’engager à respecte les niveaux de service attendus.
Si des ententes sur les niveaux de service ne sont pas établis et si l’on n’obtient pas de rapports sur le rendement, il est alors laborieux de mesurer le rendement des fournisseurs de services et donc plus difficile de mettre en œuvre des mesures correctives.
Recommandation
- Le DPI devrait demander que les ententes de services, conclues par le SPPC avec le PSG et le FSGC, contiennent des mesures de rendement pour les services rendus.
3.5 Politiques en matière de TI et conformité
L’intranet du SPPC contient des lignes directrices utiles en matière de TI pour les employés, mais on ne peut dire clairement si ce sont des exigences issues de politiques ou de simples suggestions au personnel. Une certaine sensibilisation sur les TI est assurée aux employés, mais aucune formation formelle sur les exigences des politiques relatives aux TI n’est dispensée. Aucune surveillance formelle de la conformité aux politiques de TI n’est effectuée.
Les vérificateurs s’attendaient à constater que les politiques et directives du SPPC en matière de TI étaient élaborées conformément aux politiques du CT, que le respect des exigences des politiques de TI était surveillée régulièrement et que des mesures correctives étaient prises en temps opportun.
La vérification a révélé que la section sur la TI du site intranet du SPPC contient plusieurs pages de conseils sur des sujets comme les comptes réseau, la sécurité des TI, le matériel informatique et les logiciels, le télétravail et autres sujets connexes. Ces conseils permettent aux employés de mieux saisir comment gérer la technologie dans le cadre de leur travail. Il est difficile d’établir si ces indications sont des exigences issues de politiques auxquelles les employés doivent se soumettre ou de simples conseils à prendre en considération. La seule politique formelle mentionnée sur intranet, la Politique sur l’utilisation acceptable des dispositifs et des réseaux du CT est sur le site du PSG.
Les entrevues ont démontré que le SPPC n’a pas établi ses propres politiques en matière de TI et que l’organisation examinait actuellement les politiques du CT et du PSG en vue de déterminer s’il devrait élaborer des politiques ou des lignes directrices additionnelles. Les vérificateurs ont examiné les renseignements présentement sur le site intranet et constaté des lacunes au titre de la sécurité des TI liées à la divulgation électronique.
Les employés sont sensibilisés, de temps à autre, à l’existence des informations en matière de TI sur l’intranet, par le biais de bulletins. Par ailleurs, une simulation d’hameçonnage est en cours auprès des employés, afin de promouvoir les pratiques relatives à la sécurité des TI; cependant aucune formation ou orientation sur les exigences actuelles des politiques du SCT, du PSG ou du SPPC n’a été fournie aux employés, et le respect, par le personnel, des exigences énoncées dans les politiques, n’est pas contrôlé à tous les niveaux.
Si les exigences des politiques en matière de TI ne sont pas définies clairement et si aucune formation n’est offerte aux employés, il existe un risque accru que les employés ne respectent pas ces exigences. Si le SPPC n’établit pas ses propres exigences en matière de TI, alors que c’est justifié de le faire, il y a un risque accru que ces exigences, y compris celles ayant trait à la gestion des divulgations électroniques, ne soient pas respectées.
Recommandations
- Le DPI devrait continuer d’examiner les politiques en matière de TI pour déterminer si le SPPC doit se doter de ses propres politiques (p. ex. politique sur la sécurité des TI), et établir une distinction claire entre les exigences relatives aux politiques en matière de TI et les conseils à cet égard.
- Le DPI devrait offrir de la formation et promouvoir le respect des exigences des politiques en matière de TI auprès des employés.
4. Conclusion
La Division de la vérification interne a évalué la pertinence et l’efficacité des structures de gouvernance et des processus et contrôles qui soutiennent la gestion des ressources de TI et assurent le respect de la Politique et de la Directive sur la gestion des technologies de l’information du CT. Dans l’ensemble, la vérification a relevé l’existence de questions présentant un risque modéré pour la TI, dans les domaines de la gouvernance de la TI, des rôles et des responsabilités en matière de TI, de la planification de la TI, des rapports des fournisseurs de services en TI, des politiques en matière de TI et du respect de celles-ci.
4.0 Plan d’action de la direction
| Recommandation | Niveau de risque | Réponse et plan d’action de la direction | Bureau de première responsabilité | Calendrier du projet |
|---|---|---|---|---|
| 1. La DAPP, DPREG, en collaboration avec le directeur de la DSA, devrait revoir le mandat et le fonctionnement du CTGI. | Modéré | La direction accepte de revoir le mandat et les modalités de fonctionnement du CTGI. | DAPP, DPREG Directeur, DSA | Fin du T4 – 2016-2017 |
| 2. La DAPP, DPREG, en collaboration avec le directeur de la DSA et la Direction générale des ressources humaines, devrait revoir le rôle du DPI, ainsi que la structure de son organisation, en actualisant notamment les descriptions de travail liées aux TI et les objectifs relatifs à la TI dans les EGR. | Modéré | La direction accepte de revoir le rôle et la structure de la TI au sein du SPPC. Un tel examen inclurait la révision des descriptions de travail et l’établissement d’objectifs pour le personnel spécialiste des TI dans leur EGR. | DAPP, DPREG Directeur, DSA | Les objectifs des EGR seront fixés au T1; l’examen devrait être terminé d’ici la fin du T4 – 2016-2017 |
| 3. Le DPI devrait établir un processus pour mettre à jour le plan de TI pour qu’il soit conforme aux exigences de la Directive sur la gestion des technologies de l’information du CT et tienne compte des besoins des intervenants à l’échelle de l’organisation. | Élevé | La direction accepte de mettre à jour le plan de TI, conformément aux politiques en place et aux besoins du SPPC. | DPI | Fin du T2 2016-2017 |
| 4. Le DPI devrait demander que les ententes de services, conclues par le SPPC avec le PSG et le FSGC, contiennent des mesures de rendement pour les services rendus. | Modéré | Avant de signer toute nouvelle entente de service, la direction accepte de demander aux fournisseurs de services d’y ajouter des mesures de rendement. | DPI | En cours |
| 5. Le DPI devrait continuer d’examiner les politiques en matière de TI pour déterminer si le SPPC doit se doter de ses propres politiques (p. ex. politique sur la sécurité des TI), et établir une distinction claire entre les exigences relatives aux politiques en matière de TI et les conseils à cet égard. | Modéré | La direction accepte d’examiner les politiques de TI des organismes centraux et des fournisseurs de services afin de déterminer si elles s’appliquent au SPPC. La page de TI sur iNet sera réorganisée afin d’établir une distinction claire entre les exigences relatives aux politiques en matière de TI et les conseils à cet égard. |
DPI | Examen continu des politiques. La revue d’iNet sera effectuée d’ici le T4 de 2016-2017 |
| 6. Le DPI devrait offrir de la formation et promouvoir le respect des exigences des politiques en matière de TI auprès des employés. | Modéré | La formation offerte par l’École de la fonction publique du Canada sur les politiques en matière de TI sera obligatoire pour tous les employés. | DPI | La formation obligatoire devra être suivie d’ici le T1 2017‑2018 |
Annexe A – Secteurs d’intérêt et critères de vérification
Les secteurs d’intérêt sont les grands thèmes qui décrivent les domaines jugés, au cours de l’étape de la planification, les plus rentables au regard de la présente vérification. Chaque secteur d’intérêt s’accompagne d’une série de critères de vérification qui servent à évaluer la conformité et le caractère adéquat des pratiques.
| Secteurs d’intérêt | Critères de vérification |
|---|---|
| 1. Gouvernance de la TI |
1.1 Les structures de gouvernance de la TI s’attachent à définir les stratégies et vision en matière de TI, et assurent une surveillance en temps opportun des investissements en TI. |
| 1.2 Les rôles et responsabilités liées à la TI sont clairement définis et communiqués. | |
| 2. Planification de la TI | 2.1 Un processus de planification de la TI est en place pour cerner et prioriser les investissements en TI afin qu’ils cadrent avec les objectifs stratégiques de l’organisation. |
| 2.2 Le processus de planification de la TI est appuyé par des processus adéquats de gestion des risques de TI et de mesure du rendement. | |
| 3. Fournisseurs de services de TI | 3.1 Un processus adéquat est en place, avec les fournisseurs de service en TI, pour définir des attentes mesurables de service. Le rendement des fournisseurs est mesuré régulièrement et les lacunes en matière de rendement sont réglées en temps opportun. |
| 4. Politiques en matière de TI et conformité | 4.1 Des politiques et des directives en matière de TI ont été élaborés conformément aux politiques du CT. |
|
4.2 Le respect des exigences des politiques de TI est surveillée régulièrement et des mesures correctives sont prises en temps opportun. |
Annexe B – Liste des sigles
- CCS
- Comité consultatif supérieur
- CE
- Conseil exécutif
- CMR
- Comité de mesure du rendement
- CT
- Conseil du Trésor
- CTGI
- Comité sur la technologie et la gestion de l’information
- CTI
- Chefs de la technologie de l’information
- DAPP
- Directrice adjointe des poursuites pénales
- DPI
- Dirigeant principal de l’information
- DPREG
- Direction des poursuites réglementaires et économiques, et de la gestion
- DSA
- Division des services de l’administration
- EGR
- Entente de gestion du rendement
- ÉTP
- Équivalent temps plein
- F et E
- Fonctionnement et entretien
- FSGC
- Fournisseur de services du gouvernement du Canada
- GI
- Gestion de l’information
- GS
- Gestion du savoir
- PE
- Protocole d’entente
- PSG
- Prestataire de services généraux
- SCT
- Secrétariat du Conseil du Trésor
- SPPC
- Service des poursuites pénales du Canada
- TI
- Technologie(s) de l’information
- Date de modification :