Vérification ciblée de la gestion des biens de TI

Mars 2018

Sommaire

Contexte

La technologie de l’information (TI) joue un rôle essentiel au sein du gouvernement du Canada en appuyant la prestation efficace des services; en permettant la communication entre les ministères, les citoyens et d’autres pays; en promouvant l’ouverture et la transparence; et en accroissant l’accessibilité des programmes et des services aux Canadiennes et Canadiens.

La Politique sur la gestion du matériel de 2006 du Conseil du Trésor (CT) énonce que les biens matériels doivent être gérés par les ministères d’une manière durable et responsable sur le plan financier, afin de soutenir l’exécution rentable et efficace des programmes gouvernementaux. De plus, la Politique et Directive sur la gestion des technologies de l’information de 2009 du CT définissent la gestion des biens de TI comme un ensemble de pratiques efficaces et efficientes qui appuient une prise de décisions rentable et stratégique et qui permettent de répondre aux exigences du Ministère relatives à l’exécution de programmes. Les biens de TI sont intangibles (p. ex. licences d’utilisation du logiciel) et tangibles (p. ex. ordinateurs) dont la durée de vie dépasse une année.

Le Plan stratégique de la technologie de l’information du gouvernement du Canada 2016-2020 fournit aux ministères et organismes une orientation sur la prise de décisions et l’établissement de priorités de TI afin qu’ils puissent élaborer leurs plans individuels. Il souligne que les bonnes méthodes doivent être axées sur une approche de gouvernance renforcée ainsi que sur des pratiques, des processus et des outils de gestion de la TI évolués et mettre l’accent sur l’innovation et la durabilité.

La gestion des biens de TI à Sécurité publique Canada

La TI est un bien stratégique et un élément clé du mandat et des objectifs des programmes de Sécurité publique Canada. Au Ministère, les activités et les services de TI sont assurés par la Direction générale du dirigeant principal de l’information (DGDPI). Celle-ci est chargée de gérer l’ensemble des travaux et des ressources de TI en collaboration avec Services partagés Canada (SPC).

En 2016-2017, l’inventaire des biens de TI de Sécurité publique Canada comptait 1 245 ordinateurs portatifs, 186 tablettes, 860 ordinateurs et 2 248 écrans. Dans la stratégie de gestion des biens de TI de 2016, une approche évolutive a été proposée pour fournir un ordinateur portatif à chaque employé. L’approche prévoit augmenter le nombre d’ordinateurs portatifs à 1 600 et réduire le nombre d’ordinateurs à un minimum de 86, qui sont requis pour les applications informatiques de haute performance et les besoins particuliers. Conformément à son plan ministériel de TI de 2014-2017, Sécurité publique Canada a budgétisé une somme approximative de 11 433 000 $ pour les TI, dont un montant de 2 249 000 $ accordé aux biens matériels.

Comme complément aux politiques et aux directives du CT, le document de 2015 de Sécurité publique Canada intitulé, Gestion des biens de TI : Politique sur la gestion du cycle de vie des ordinateurs personnels, prévoit l’exigence d’un système de gestion des biens de TI (GBTI) permettant de consigner et de suivre les biens matériels de TI, et décrit le processus de gestion des biens tout au long de leur cycle de vie.

Objectif et portée de la vérification

L’objectif de la vérification était de fournir l’assurance raisonnable que les contrôles de gestion des biens de TI pour les ordinateurs portatifs et les tablettes sont en place et qu’elles sont efficacesNote de bas de page1.

La vérification portait notamment sur les éléments suivants :

La vérification n’a pas évalué les éléments suivants :

Sommaire des constatations

Opinion du vérificateur

Des améliorations doivent être apportées  aux processus et procédures de gestion des biens de TINote de bas de page2 afin de protéger de façon efficace et efficiente les ordinateurs portatifs et les tablettes. Même si les principaux contrôles ministériels de gestion des biens de TI sont en place et sont conformes aux politiques et directives du CT, il existe des moyens de les renforcer de façon à accroître l’intégrité de l’inventaire des biens de TI ainsi que la surveillance et la production de rapports à cet égard.

Recommandation

1. Le sous-ministre adjoint du Secteur de la gestion ministérielle devrait évaluer les procédures et les processus qui sont conformes aux politiques connexes du CT. Ceux-ci comprennent :

  1. déterminer les mesures du rendement et les exigences en matière de rapport afin d’appuyer la prise de décisions et la gestion des biens de TI; et
  2. mettre en place des contrôles efficaces de la gestion des biens de TI afin d’assurer la cohérence et l’exactitude de l’inventaire des biens de TI.

Réponse de la gestion

Les principales mesures à prendre par la direction pour donner suite aux recommandations et aux constatations découlant de la vérification, ainsi que les délais associés, se trouvent dans la section du rapport intitulée, Réponse et plan d’action de la direction.

Membres de l’équipe de vérification interne

Remerciements

L’équipe de la vérification interne tient à remercier tous ceux qui ont fourni des conseils et de l’aide au cours de la vérification.

1. Introduction

1.1 Contexte

La technologie de l’information (TI) joue un rôle essentiel au sein du gouvernement du Canada en appuyant la prestation efficace des services; en permettant la communication entre les ministères, les citoyens et d’autres pays; en promouvant l’ouverture et la transparence; et en accroissant l’accessibilité des programmes et des services aux Canadiennes et Canadiens. La prise de décisions éclairées à l’égard des investissements, des coûts et des risques liés aux biens de TI est essentielle à l’exécution réussie des plans et des priorités du gouvernement.

La Politique sur la gestion du matériel de 2006 du CT énonce que les biens matériels doivent être gérés par les ministères d’une manière durable et responsable sur le plan financier, afin de soutenir l’exécution rentable et efficace des programmes gouvernementaux. Pour ce faire, il est nécessaire de disposer d’un système d’information de gestion pour tenir des données complètes et précises qui tienne compte du cycle de vie entier de tous les biens et qui appuie la prise de décisions opportunes en matière de gestion.

De plus, la Politique et Directive sur la gestion des technologies de l’information de 2009 du CT définissent la gestion des biens de TI comme un ensemble de pratiques efficaces et efficientes qui appuient une prise de décision rentable et stratégique et qui permettent de répondre aux exigences du Ministère relatives à l’exécution de programmes. Les biens de TI sont intangibles (p. ex. licences d’utilisation du logiciel) et tangibles (p. ex. ordinateurs) dont la durée de vie dépasse une année.

Le gouvernement du Canada a publié le Plan stratégique de la TI pour 2016-2020 dans lequel il décrit les principales activités qui permettront de garantir des services de TI sûrs, fiables, adaptés et novateurs. Ce Plan fournit aux ministères et organismes une orientation sur la prise de décision et l’établissement de priorités de TI afin qu’ils puissent élaborer leurs plans individuels. En particulier, le Plan indique que les bonnes méthodes doivent être axées sur une approche de gouvernance renforcée ainsi que sur des pratiques, des processus et des outils de gestion de la TI évolués et mettre l’accent sur l’innovation et la durabilité.

La gestion des biens de TI à Sécurité publique Canada

La TI est un bien stratégique et un élément clé du mandat et des objectifs des programmes de Sécurité publique Canada. Au Ministère, les activités et les services de TI sont assurés par la Direction du dirigeant principal de l’information (DDPI). Celle-ci est chargée de gérer l’ensemble des travaux et des ressources de TI en collaboration avec Services partagés Canada (SPC).

À la DDPI, la prestation de services de TI est assurée par services d’activation (SA), qui effectue la gestion des biens et des appareils, traite les demandes de déménagement et de réparation et assure la coordination avec SPC pour l’élimination des biens.

Répartition des biens de TI

En 2016-2017, l’inventaire des biens de TI de Sécurité publique comptait 1 245 ordinateurs portatifs, 186 tablettes, 860 ordinateurs de bureau et 2 248 écrans.

Dans le cadre de la stratégie de gestion des biens de TI de 2016, une approche évolutive a été proposée afin de fournir un ordinateur portatif à chaque employé. L’approche prévoit augmenter le nombre d’ordinateurs portatifs à 1 600 et réduire le nombre d’ordinateurs de bureau à un minimum de 86, ce qui est requis pour les applications informatiques de haute performance et les besoins particuliers. Dans son plan ministériel de TI de 2014-2017, Sécurité publique Canada prévoit un financement approximatif de 11 433 000 $ pour la TI, dont un montant de 2 249 000 $ pour les biens matériels.

Comme complément aux politiques et aux directives du CT, Sécurité publique Canada a élaboré un document intitulé, Gestion des biens de TI : Politique sur la gestion du cycle de vie des ordinateurs personnels, qui met l’accent sur l’importance de prendre en compte les coûts totaux et qui décrit le processus de gestion des biens pendant toute la durée de leur cycle de vie. Cette politique mentionne aussi que les biens seront gérés à l’aide d’un système de gestion des biens de TI (GBTI), qui permet d’enregistrer et de suivre l’utilisation du matériel de TI.

La gestion des biens de TI consiste en un ensemble de pratiques qui appuient la prise de décisions stratégiques et la réduction des coûts et des risques. La gestion des biens de TI comprend six étapes.

  1. Planification : Harmoniser les besoins en TI aux exigences opérationnelles déterminées.
  2. Financement : Déterminer les fonds requis pour répondre aux besoins en matière de TI du Ministère.
  3. Approvisionnement : Adopter une méthode d’approvisionnement économique (c.-à-d. rabais pour  volume) pour l’achat de biens.
  4. Gestion : Assurer le suivi et la surveillance de l’utilisation des biens.
  5. Mise hors service : Déterminer les biens de TI désuets qui ne peuvent pas être réutilisés.
  6. Élimination : Retirer et détruire les disques durs des biens mis hors service avant de les envoyer au programme Ordinateurs pour les écoles d’Industrie Canada.

1.2 Objectif de la vérification

L’objectif de la vérification était de fournir une assurance raisonnable que les contrôles de gestion des biens de TI pour les ordinateurs portatifs et les tablettes sont en place et qu’ils sont efficacesNote de bas de page3.

1.3 Portée et méthode de la vérification

La portée de la vérification comprenait :

La vérification n’a pas évalué les éléments suivants :

Les méthodes d’évaluation suivantes ont été utilisées :

1.4 Opinion du vérificateur

Des améliorations doivent être apportées Note de bas de page4 aux processus et procédures de gestion des biens de TI afin de protéger de façon efficace et efficiente les ordinateurs portatifs et les tablettes. Même si les principaux contrôles ministériels de gestion des biens de TI sont en place et sont conformes aux politiques et directives du CT, il existe des moyens de les renforcer de façon à accroître l’intégrité de l’inventaire des biens de TI de même que la surveillance et la production de rapports à cet égard.

1.5 Énoncé d’assurance et de conformité

Des procédures de vérification suffisantes et appropriées ont été exécutées, avec les éléments probants appropriés, pour étayer l’exactitude de l’opinion formulée dans le présent rapport. L’opinion repose sur un examen des situations recensées au moment de la vérification en fonction de critères de vérification établis au préalable et approuvés par la direction. L’opinion s’applique uniquement à l’entité examinée, compte tenu de la portée de la vérification, telle qu’elle est indiquée dans le présent document. Les éléments probants ont été recueillis conformément à la Politique et à la Directive du Conseil du Trésor en matière de vérification interne. La présente vérification respecte les Normes relatives à la vérification interne au sein du gouvernement du Canada, comme le confirment les résultats du programme d’assurance et d’amélioration de la qualité. Les procédures utilisées respectent les normes professionnelles de l’Institut des auditeurs internes. Les éléments de preuve réunis sont suffisants pour convaincre la haute direction du bien-fondé de l’opinion découlant de la vérification interne.

2. Constatations, recommandations et réponses de la direction

2.1 Une structure de gouvernance des TI est en place; toutefois, les données sur le rendement et les rapports ne suffisent pas pour appuyer la prise de décision et la gestion des biens de TI

La gouvernance est la combinaison de processus et de structures mis en œuvre par les cadres supérieurs pour informer, diriger, gérer et surveiller les activités de l’organisation en vue de l’atteinte de ses objectifs. La Directive sur la gestion des TI de 2009 exige que le dirigeant principal de l’information (DPI) mette en œuvre une structure de gouvernance des TI au Ministère qui :

Afin de gérer ses produits et services, Sécurité publique Canada a mis sur pied deux comités de gouvernance : le Comité de gestion des directeurs généraux (CGDG) et le Comité de gestion ministériel (CGM). Comme son mandat l’indique, le CGDG est l’organisme de gouvernance chargé d’élaborer le cadre décisionnel et de favoriser l’excellence en gestion et les meilleures pratiques à l’échelle du Ministère. Il est aussi responsable de la gestion globale des TI. Pendant la durée de la vérification (d’avril 2016 à janvier 2018), le CGDG s’est réuni 33 fois et a discuté de TI durant sept de ces réunions. En particulier, le compte rendu des décisions du CGDG indique que le plan de TI ministériel a été présenté à deux reprises, que le Comité a discuté une seule fois de la gestion des appareils mobiles, des contrôles d’accès aux TI, du groupe de travail sur la sécurité des TI et de l’inventaire des appareils mobiles, et que la stratégie de gestion des biens de TI a été présentée en 2016-2017.

Le CGM, présidé par le sous-ministre et le sous-ministre adjoint, est responsable de la gestion générale, financière et liée aux ressources humaines (RH). Le CGM s’est réuni 38 fois au cours de la même période. Notre examen des comptes rendus du Comité révèle que six sujets liés aux TI ont été présentés. Ceux-ci incluent des présentations sur  : le plan ministériel de TI, le réseau secret Dragon, les coûts associées  aux tablettes et aux cellulaires, une discussion sur les pressions en matière de gestion des biens de TI d’inclure les besoins en évolution continue, les résultats du Cadre de responsabilisation de gestion (CRG) et une mise à jour sur le Système de gestion des documents et des dossiers électroniques (GCDocs) du gouvernement du Canada et la migration des téléphones cellulaires. Bien que le CGDG et le CGM aient affirmé s’engager envers l’objectif d’un appareil par employé établi par les TI et qu’ils aient reconnu la nécessité d’établir un modèle de financement annuel pour soutenir la planification efficace à long terme des biens de TI, ils n’ont pas pris de décision définitive quant au budget à affecter ou aux prochaines étapes. Bien que la structure de gouvernance de SP soit établie, les personnes interrogées ont indiqué que les exigences de rendement et de production de rapports liés à la gestion des TI manquent de clarté.

La Directive sur la gestion des TI du CT requiert aussi que le DPI prépare un plan ministériel de TI qui aborde les aspects stratégique, tactique et opérationnel des TI. Le plan porte sur la gouvernance, les activités de TI, les mesures du rendement et la gestion des risques. Il reflète les priorités ministérielles et décrit les investissements prévus, y compris les services acquis, pour les cinq ans à venir dans les domaines suivants :

Pour suivre le rythme des changements technologiques, le DPI du Ministère doit passer en revue et mettre à jour chaque année le plan ministériel de TI. En plus de la Politique et de la Directive, le CT a publié un guide visant à appuyer les ministères dans la préparation de leur plan de TI. Bien que la Directive définisse le plan quinquennal exigé, l’orientation recommande un plan triennal.

Lors de la revue de la documentation document, l’équipe de vérification évalué les plans ministériels de TI2014-2017 et 2017-2020 qui respectent la longueur recommandée par le guide. Les plans comprennent les priorités ministérielles, les priorités et risques en matière de GI/TI ainsi que les projets prévus et les coûts qui y sont associés. L’équipe de vérification a remarqué dans les deux plans une priorité exigeant que SP travaille avec SPC à l’utilisation de centres de données regroupés pour les nouvelles initiatives et le regroupement des biens de TI existants. En outre, le plan ministériel de TI 2017-2020 indique que la gestion du cycle de vie des biens de TI (mise à jour continuelle des TI) occupe la 8e place (sur 14) en ce qui concerne les priorités liées à ce cycle de planification. Bien que les deux plans de TI de SP incluent la majorité des éléments exigés, ils n’établissent pas clairement la structure de gouvernance liée aux TI ni ne fournissent de mise à jour des progrès par rapport aux engagements précédents.

En plus de la Politique de gestion des TI, la Politique sur la gestion du matériel de 2006 exige la mise en place d’un système d’information de gestion du matériel afin de permettre la cueillette et la production de données complètes et exactes sur les biens matériels, d’intégrer un calendrier de prise d’inventaire axé sur le risque et de soutenir la prise de décisions éclairées et opportunes en matière de gestion du matériel. En examinant les documents, l’équipe de vérification a constaté que des normes de service étaient établies pour les demandes liées à de nouveaux utilisateurs et le déménagement de bureaux.

Les personnes interrogées ont indiqué l’existence d’une capacité technologique pour recueillir des données sur le rendement et les biens, par exemple des diagnostics pour consulter les dossiers de connexions d’utilisateur et confirmer les activités liées aux biens et les principaux utilisateurs. Toutefois, comme un seul ETP est officiellement affecté à la gestion des biens, la surveillance et la cueillette de données sur le rendement sont effectuées ponctuellement. À l’heure actuelle, l’évaluation du Cadre de responsabilisation de gestion est la principale raison de production de rapports sur les TI. L’évaluation de 2017-2018 comprenait 34 questions qui visaient les pratiques et mécanismes en place pour la tenue de dossiers, les données ouvertes, le plan ministériel de TI, les dépenses en TI, les RH, la durabilité des applications essentielles à la mission, la liste de toutes les applications prises en charge et leur cycle de vie, les ententes de niveau de service ainsi qu’un système de suivi et d’intervention pour les incidents liés aux appareils technologiques au travail.

En décembre 2016, une approche pluriannuelle de mise à jour continue a été présentée au CGM dans le cadre de la stratégie de gestion des biens de TI. L’analyse menée pour l’élaboration de l’approche de mise à jour continue a tenu compte du stock de biens de TI et du coût moyen d’acquisition. Bien qu’il dépende de SPC pour l’achat de nouveaux ordinateurs portatifs, SP a sélectionné l’option la plus pratique pour assurer l’efficacité et l’économie. 

Même si SP a établi une structure de gouvernance pour la gestion des TI et est en conformité aux politiques  du CT,  cette vérification a permis de  constater que les données et rapports sur le rendement ne suffisent pas à soutenir la gestion des biens de TI et la prise de décision.

2.2 Les principaux contrôles de gestion des ordinateurs portatifs et des tablettes sont mis en œuvre. Il y a cependant lieu d’en améliorer leur efficacité et leur efficience

Selon la Politique sur la gestion des TI de 2009 du CT, le DPI ministériel est responsable de mettre en place et de maintenir des pratiques et processus de gestion des TI efficaces et efficients, en accordant la priorité à la gestion des biens de TI, au catalogue de services de TI et à l’établissement des coûts et des prix des services de TI. Comme mentionné précédemment, la Politique sur la gestion du matériel de 2006 exige la mise en place d’un système d’information de gestion du matériel afin de permettre la cueillette et la production de données complètes et exactes sur les biens matériels (immobilisations, stocks et matériel utilisé), d’intégrer un calendrier de prise d’inventaire axé sur le risque et de soutenir la prise de décisions éclairées et opportunes en matière de gestion du matériel.

En plus des politiques et directives du CT, SP a mis en œuvre la politique Gestion des biens de TI : Politique sur la gestion du cycle de vie des ordinateurs personnels, en 2015 et, en 2016, la procédure sur le cycle de vie de la gestion des appareils technologiques en milieu de travail. Ces documents internes établissent et décrivent la gestion des biens tout au long de leur cycle de vie, tout en mettant l’accent sur l’importance des coûts totaux. La politique interne exige aussi l’utilisation du système de Gestion des biens de TI (GBTI) pour consigner les biens de TI et en faire le suivi.

Le SA de la DDPI a fourni à l’équipe de vérification les flux de travail de la gestion des biens de TI de SP pour le déploiement, la réception et la gestion des biens. Toutefois, durant l’examen, l’équipe d’ vérification a appris que tous les flux de travail sont désuets et doivent être mis à jour. Selon la liste de biens de GBTI, le Ministère administre un certain nombre de tablettes, comme des iPad, des PlayBook et Surface Pro. Même si l’équipe a appris que les tablettes étaient progressivement éliminées, leur garantie étant expirée, elle n’a obtenu ni politique, ni procédure, ni processus visant la gestion de tablettes actuelles ou futures.

Le SA comprend clairement les processus et les procédures. Toutefois, l’efficacité des contrôles de gestion des biens de TI dépend des employés actuels et de leurs compétences. Outre l’absence de processus et procédures documentés et à jour, aucune formation officielle n’est offerte aux nouveaux employés. Les personnes interrogées ont indiqué que les nouveaux employés et les étudiants sont formés en cours d’emploi.

À l’heure actuelle, il existe un équivalent temps plein (ETP) appuyé par des étudiants et chargé de recueillir, d’étiqueter, de consigner et de surveiller les biens de TI de l’inventaire de SP. Le SA veille à ce que la gestion des biens de TI soit effectuée en temps opportun en attribuant des biens, tels que les ordinateurs portatifs et les tablettes, à un numéro de bureau précis avant que les nouveaux employés n’entrent en fonction. Étant donné que les renseignements sur les employés ne sont pas disponibles dans le système de GBTI avant la date officielle de leur entrée en fonction et l’ouverture de leur compte de TI, le nom des employés est associé aux biens ultérieurement.

Bien que la gestion des biens de TI soit centralisée au sein de l’administration centrale de SP à Ottawa, les employés de la DGDPI sont tenus de visiter les bureaux régionaux afin de mettre à jour l’inventaire des biens de TI dans le système de GBTI annuellement. Dans le but de minimiser le risque de perte de biens de TI, la procédure sur le cycle de vie de la gestion des appareils technologiques en milieu de travail exige une confirmation annuelle des biens de TI. Selon les personnes interrogées, un inventaire physique a été réalisé en 2015-2016, ainsi qu’au cours de la vérification. Dans le cadre de l’inventaire physique, une visite doit être effectuée à tous les bureaux de SP afin de localiser le bien de TI, de numériser et confirmer son étiquette et de mettre à jour les données de l’inventaire.

Les renseignements du système de GBTI comprennent le numéro d’étiquette, le numéro de série, le type, l’état par rapport au cycle de vie et l’emplacement du bien, ainsi que le nom de l’employé auquel il est attribué. Afin de distinguer les différents bureaux de SP, le SA a mis au point des règles d’affectation de noms pour chaque bâtiment. Les données ont révélé que l’inventaire des biens de TI manque d’intégrité en raison de renseignements manquants ou incohérents. Plus particulièrement, l’équipe de vérification t a déterminé que les règles d’affectation de noms étaient appliquées de façon incohérente et que les noms de plusieurs employés associés aux biens de l’inventaire étaient manquants.

L’intégrité de l’inventaire des biens de TI a été évaluée par l’entremise d’un échantillon de 32 tablettes et de 188 ordinateurs portatifs situés à Ottawa. L’échantillon comprenait des biens situés dans les cinq étages à bureaux qui n’avaient pas encore été mis à jour dans le cadre de l’inventaire physique du programme, qui était en cours lors de la vérification.

L’équipe de vérification a réalisé deux analyses :

Ces analyses cherchaient à déterminer l’exactitude des renseignements sur le système GBTI, particulièrement les renseignements liés à :

Trois ordinateurs portatifs et trois tablettes sélectionnés dans le système de GBTI étaient consignés comme étant situés dans les zones d’accès réservé SIGINT (renseignements d’origine électromagnétique) (ZARS). Toutefois, les appareils sans fil sont interdits dans ces zones. L’équipe de vérification n’a trouvé aucun ordinateur portatif ni aucune tablette dans les ZARS lors de ses visites.

Ordinateurs portatifs : L'équipe de vérification a évalué 171 des 188 ordinateurs portables échantillonnés. En raison de limitations telles que les bureaux vides, les arrangements de télétravail et les congés prolongés des employés, l'équipe de vérification n'a pas été en mesure de terminer l'évaluation des 17 ordinateurs portables restants. Les résultats des portables évalués ont démontré que, dans tous les immeubles d'Ottawa, les principales incohérences relevées dans l'inventaire étaient l'emplacement des biens (64 ordinateurs portables sur 171) et le nom de l'employé (44 ordinateurs portables sur 171).

Tablettes : Alors que l'équipe de vérification a échantillonné 32 tablettes, le test complet a été effectué sur 25. Pour 7 des 32 tablettes échantillonnées, l'équipe de vérification n'a pas pu effectuer les tests assignés en raison des bureaux vides et des congés prolongés des employés. Les résultats des tablettes évaluées ont démontré que l'information contenue dans l'inventaire était inexacte, l'emplacement incorrect étant le plus répandu, soit 23 sur 25 tablettes. De plus, 23 des 25 tablettes ont des étiquettes d'inventaire qui ne correspondaient pas à l'inventaire.

Local d’entreposage : Les biens de TI peuvent être entreposés dans différents endroits au Ministère. Dans le but de vérifier l'exactitude de l’inventaire des biens entreposés, la vérification a évalué un échantillon de 16 ordinateurs portatifs situés dans le local d’entreposage au sous-sol. Les résultats ont révélé que les renseignements liés à l’étiquette, au modèle et au numéro de série contenus dans le système de GBTI étaient exacts. Cependant, l’emplacement de 6 des 16 ordinateurs portatifs dans l’inventaire était incorrect.

Tout au long des procédures d’analyse, l’équipe de vérification a observé que les règles d’affectation de noms étaient appliquées de façon incohérente au sein du système de GBTI. Plus particulièrement, d’autres recherches doivent être effectuées dans le système afin de déterminer l’emplacement exact d’un bien. Bien qu’un système de gestion du matériel soit en place afin de permettre la collecte de données sur les biens matériels, certaines améliorations sont nécessaires en vue de garantir son intégrité à l’aide de mises à jour en temps opportun.

Recommandation :

1. Le sous-ministre adjoint du Secteur de la gestion ministérielle devrait réviser les procédures et les processus qui sont conformes aux politiques connexes du CT. Ceux-ci comprennent :

  1. déterminer les mesures du rendement et les exigences en matière de rapport afin d’appuyer la prise de décisions et la gestion des biens de TI; et
  2. mettre en place des contrôles efficaces de la gestion des biens de TI afin d’assurer la cohérence et l’exactitude de l’inventaire des biens de TI.

2.3 Conclusion générale

SP a une structure de gouvernance ainsi que des politiques et pratiques internes définies qui sont conformes à laPolitique sur la gestion des technologies de l’information et à la Politique sur lagestion du matériel du CT. Toutefois, certaines améliorations sont nécessaires afin de garantir l’efficacité et l’efficience des contrôles et des processus liés à la gestion des biens de TI, et de combler les lacunes en matière de surveillance et de collecte d’information sur le rendement aux fins de prise de décisions.

2.4 Réponse de la direction et plan d’action

Recommandation

Mesures planifiées

Date d’achèvement visée

Le sous-ministre adjoint du Secteur de la gestion ministérielle devrait réviser les procédures et les processus qui sont conformes aux politiques connexes du CT. Ceux-ci comprennent:

  1. déterminer les mesures du rendement et les exigences en matière de rapport afin d’appuyer la prise de décisions et la gestion des biens de TI; et

 

  1. Identifier et confirmer les indicateurs de rendement avec la haute direction.

30 juin 2018

  1. Rapports trimestriels sur les indicateurs de rendement et l’état d’avancement présentés à la haute direction.

30 septembre 2018

  1. mettre en place des contrôles efficaces de la gestion des biens de TI afin d’assurer la cohérence et l’exactitude de l’inventaire des biens de TI.

 

  1. Compléter l’inventaire physique en faisant la réconciliation entre l’inventaire matériel et l’inventaire du système de gestion des biens de TI (virtuel) pour s’assurer que les deux concordent.

30 septembre 2018

  1. Développer une approche de surveillance continue qui reflète un échantillonnage adéquat des actifs informatiques.

30 septembre 2018

  1. Revoir les processus et procédures internes conformément aux politiques du conseil du trésor

30 juin 2018

  1. Produire des outils de communication afin de s'assurer que le personnel suit les processus de gestion des biens.

30 septembre 2018

Annexe A : Critères de vérification

Les critères de vérification suivants sont utilisés pour évaluer l’efficacité des  contrôles de gestion des biens de TI en place pour les ordinateurs portatifs et les tablettes.

Critères de vérification

Critère 1 :

Une structure de gouvernance appropriée est en place pour la gestion des biens de TI et fonctionne de façon efficace et efficiente.

  • SP a une structure de gouvernance en place qui inclue les responsabilités pour la gestion globale de la TI.
  • Les comités de gouvernance ont des mandats approuvés et les comptes rendus de décisions documentés qui comprennent des discussions sur la gestion des actifs de TI, comme les pressions liées à la gestion des actifs de TI et les besoins d’amélioration.
  • Le plan ministériel de TI et les résultats du CRG étaient les seuls rapports régulièrement présentés aux comités.

Critère 2 : 

Les politiques, pratiques et processus internes de gestion des biens de TI de SP sont conformes aux politiques et normes pertinentes du CT.

  • Les politiques, pratiques et processus à SP sont généralement conformes aux politiques du CT. Par contre, des améliorations peuvent être apportées en matière de rapports et relatif aux mesures de rendement.
  • Les politiques, pratiques et processus internes n’étaient pas à jour, ni communiqués aux employés afin d’assurer  une cohérence.

Critère 3 :

Les processus et les contrôles de gestion des biens de TI de SP sont conçus adéquatement et fonctionnent de façon efficace et efficiente.

  • Alors que les actifs échantillonnés ont été marqués et suivis, l'inventaire des actifs informatiques n'était pas complet et à jour.
  • Les tests comprenaient la vérification de cinq champs d'information (emplacement, numéro d'inventaire, modèle d'actif, numéro de série et nom d'employé assigné) :
    • Les principales inexactitudes ont été trouvées dans l'emplacement (64 ordinateurs portables sur 171) et le nom de l'employé (44 ordinateurs portables sur 171).
    • Les principales inexactitudes pour les tablettes étaient l'emplacement (23 sur 25 comprimés) et l'étiquette de l'actif (23 sur 25).

Critère 4 :

L’information sur le rendement de la gestion des biens de TI est recueillie de façon appropriée et est utilisée pour éclairer la prise de décisions.

  • Autre qu’un inventaire physique qui a été réalisé pendant la vérification, il n’y a pas d’éléments probants pour soutenir qu’il y a une surveillance continue des de la gestion des biens de TI.
  • A part l’information contenue dans le rapport des résultats du CRG, l’information sur le rendement n’était pas recueillie pour appuyer la prise de décisions.
  • Bien que le SA soit capable de fournir la collecte d’information aux fins de prise de décisions, les entrevues démontrent que les rapports sont produits irrégulièrement.

Annexe B : Échelle d’opinion de la direction générale de la vérification interne et de l’évaluation

Voici l’échelle d’opinion des vérificateurs de la Direction générale de la vérification interne et de l’évaluation, qui sert à évaluer l’importance de l’ensemble des constatations et des conclusions des vérificateurs.

Classement de l’opinion du vérificateur

Définition

Bien contrôlé

  • Bien géré, aucune faiblesse importante constatée
  • Efficace

Amélioration mineure

  • Bien géré, mais certaines améliorations sont nécessaires
  • Efficace

Améliorations requises

Des améliorations doivent être apportées (au moins un des critères suivants doit être respecté) :

  • faiblesses en matière de contrôle, mais l’exposition au risque est limitée, car la probabilité que le risque survienne n’est pas élevée;
  • faiblesses en matière de contrôle, mais l’exposition au risque est limitée, car l’incidence du risque n’est pas élevée.

Améliorations importantes requises

Des améliorations importantes doivent être apportées (au moins un des critères suivants doit être respecté) :

  • des redressements financiers s’imposent à l’égard de certains postes ou domaines ou du Ministère;
  • des lacunes en matière de contrôle entraînent une exposition grave au risque;
  • des lacunes importantes sont présentes dans la structure de contrôle globale.

Notes

  1. 1

    Les critères de vérification figurent à l’annexe A.

  2. 2

    L’échelle d’évaluation de l’opinion de l’équipe de vérification figure à l’Annexe C.

  3. 3

    Les critères de vérification figurent à l’annexe A.

  4. 4

    L’échelle d’évaluation de l’opinion du vérificateur se trouve à l’annexe B.

Date de modification :