Printemps 2010 — Rapport de la vérificatrice générale du Canada

Chapitre 1 — Le vieillissement des systèmes de technologie de l’information

Points saillants

Introduction

Risques liés aux systèmes de technologie de l’information
Objet de la vérification

Observations et recommandations

Détermination des risques au sein des organisations

Les organisations ont cerné des risques importants liés au vieillissement des systèmes

Gestion des risques au sein des organisations

Les méthodes de gestion des risques de certaines organisations doivent être améliorées de façon notable

Surveillance des risques au sein des organisations

La surveillance des risques est incomplète

Stratégie de financement pour faire face aux risques

Les plans d’investissement ministériels doivent reposer sur une stratégie de financement

Détermination et gestion des risques par le Secrétariat du Conseil du Trésor du Canada

La Direction du dirigeant principal de l’information connaît depuis plus de dix ans les risques importants liés au vieillissement des systèmes de technologie de l’information
La Direction du dirigeant principal de l’information n’assume pas pleinement son rôle de chef de file

Conclusion

À propos de la vérification

Annexe — Tableau des recommandations

Pièces :

1.1 — Aperçu des principaux facteurs qui incitent les organisations à moderniser les systèmes de TI vieillissants

1.2 — Exemples de facteurs qui peuvent aider à déceler les problèmes de durabilité des systèmes de technologie de l’information

1.3 — Organisations évaluées en fonction des principaux critères

Points saillants

Objet

L’expression « vieillissement des systèmes de technologie de l’information (TI) » ne renvoie pas seulement à l’âge des systèmes, mais aussi aux facteurs qui ont une incidence sur leur durabilité à long terme, notamment l’accès au soutien logiciel et matériel ainsi qu’aux personnes ayant les connaissances et les compétences requises pour faire en sorte que les systèmes continuent de fonctionner. L’expression renvoie aussi à la mesure dans laquelle un système peut être adapté en fonction de nouveaux besoins organisationnels ou des nouvelles technologies, comme l’accès en ligne 24 heures sur 24, 7 jours sur 7.

Le Secrétariat du Conseil du Trésor du Canada, par l’intermédiaire de sa Direction du dirigeant principal de l’information, est responsable d’établir les grandes orientations stratégiques du gouvernement fédéral en matière de TI, en consultation avec les administrateurs généraux des ministères. La Direction est aussi chargée de déterminer les domaines pouvant engendrer d’importants avantages à l’échelle du gouvernement et de diriger des initiatives menant à des solutions pour l’ensemble du gouvernement. Les chiffres les plus récents (2005) indiquent que les ministères et les organismes dépensent environ cinq milliards de dollars par année en TI.

Nous avons examiné cinq des organisations gouvernementales responsables des dépenses les plus importantes en TI, c’est-à-dire l’Agence du revenu du Canada, Travaux publics et Services gouvernementaux Canada, Ressources humaines et Développement des compétences Canada, la Gendarmerie royale du Canada et Citoyenneté et Immigration Canada, afin de déterminer si ces organisations ont cerné et géré adéquatement les risques liés au vieillissement des systèmes de TI. Nous avons aussi vérifié si le Secrétariat du Conseil du Trésor du Canada, et en particulier sa Direction du dirigeant principal de l’information, avait déterminé si le vieillissement des systèmes de TI constitue un domaine important pour le gouvernement et dans quelle mesure il avait assumé son rôle de chef de file dans l’élaboration de solutions d’ensemble pour gérer les risques connexes.

Nous avons aussi examiné trois grands systèmes qui fournissent des services essentiels aux Canadiens — le Programme d’assurance-emploi, le système d’administration des déclarations de revenus et de prestations et le Système normalisé des paiements — afin de déterminer comment les organisations responsables ont géré les risques liés au vieillissement des systèmes de TI qui soutiennent ces services. Le Programme d’assurance-emploi a traité plus de 3,1 millions de demandes et versé plus de 16,3 milliards de dollars aux prestataires en 2008-2009. Le système d’administration des déclarations de revenus et de prestations a traité plus de 27 millions de déclarations de revenus et de prestations de particuliers, ce qui représente des revenus de 166 milliards de dollars, et a aussi distribué 17 milliards de dollars en prestations et en crédits en 2008-2009. Le Système normalisé des paiements est le principal système qu’utilise le gouvernement pour émettre des paiements, tels que les prestations de la Sécurité du revenu, du Régime de pensions du Canada et de l’Assurance-emploi. Il a émis plus de 250 millions de paiements en 2008. Dans environ 60 % des cas, ces paiements constituent l’unique revenu ou la principale source de revenu des personnes qui les reçoivent.

Les travaux de vérification menés aux fins du présent chapitre ont été pour l’essentiel terminés le 30 novembre 2009.

Pertinence

Le gouvernement fédéral dépend dans une large mesure des systèmes de TI pour fournir des programmes et des services aux Canadiens. Ces systèmes fonctionnent, mais beaucoup d’entre eux font appel à des applications dépassées qui tournent sur une infrastructure âgée. Ces systèmes risquent de tomber en panne, et une telle panne aurait de multiples et graves conséquences. Dans le pire des cas, le gouvernement ne pourrait plus exercer ses activités et servir les Canadiens. Même les applications qui répondent aux besoins organisationnels actuels peuvent être difficiles et coûteuses à exploiter et ne pas être assez souples pour permettre une adaptation rapide aux changements.

Le renouvellement et la modernisation des systèmes de TI ne sont pas l’affaire d’un jour. Ces activités doivent être planifiées et les dépenses qu’elles entraînent doivent être budgétées à long terme. Le coût du renouvellement et de la modernisation des systèmes de TI est considérable. Le financement de ces activités peut exiger des années, et leur mise en œuvre peut s’échelonner sur cinq ans ou plus. Faute d’investissements suffisants et octroyés en temps utile pour moderniser ou remplacer les systèmes vieillissants, la capacité des ministères et des organismes à fournir des services aux Canadiens est menacée.

Constatations

  • Les cinq organismes que nous avons examinés considèrent que le vieillissement des systèmes de TI pose un risque important, et la plupart d’entre eux le jugent suffisamment important pour l’inclure dans leur profil de risques organisationnels. Ils affirment que sans une intervention rapide, les systèmes pourraient ne plus répondre aux besoins opérationnels actuels et futurs.
  • La Direction du dirigeant principal de l’information du Secrétariat du Conseil du Trésor du Canada sait que le vieillissement des systèmes de TI pose problème, mais elle ne l’a pas officiellement reconnu en tant que domaine important pour le gouvernement. Elle n’a pas non plus évalué le problème dans une perspective gouvernementale, ni cherché de solutions en collaboration avec les ministères et organismes. Malgré l’ampleur du financement qui sera probablement nécessaire pour renouveler les systèmes désuets à l’échelle du gouvernement — total estimé à 2 milliards de dollars dans trois des cinq organisations seulement — la Direction du dirigeant principal de l’information n’a pas préparé d’orientations stratégiques ni de plan d’ensemble pour aborder le problème à l’échelle du gouvernement.
  • Citoyenneté et Immigration Canada, Travaux publics et Services gouvernementaux Canada et Ressources humaines et Développement des compétences Canada ont pris certaines mesures pour gérer les risques relatifs au vieillissement de leurs systèmes de TI, mais il reste encore beaucoup à faire. L’Agence du revenu du Canada et la Gendarmerie royale du Canada sont plus avancées. En effet, ces organismes ont recensé les risques importants associés à leurs anciens systèmes et dressé un plan d’investissement pluriannuel qui décrit les travaux en cours et futurs et en établit la priorité. D’après leurs premières estimations, le coût des travaux est élevé et les ressources dont ils disposent ne leur permettent pas pour le moment de faire les investissements qui s’imposent.

Réaction des organisations. Les organisations acceptent toutes nos recommandations. Leurs réponses détaillées suivent chacune de nos recommandations tout au long du chapitre.

Introduction

1.1 Les Canadiens s’attendent à recevoir de nombreux services de la part du gouvernement, par exemple le traitement des déclarations de revenus des particuliers, le versement de prestations et de rentes de retraite, et la protection des renseignements personnels. Les technologies de l’information constituent à présent un élément essentiel de la prestation des services pour le gouvernement. Une vaste gamme de systèmes de technologie de l’information (TI) appuient les activités du gouvernement, depuis plusieurs décennies dans le cas de certains systèmes. Cependant, l’expression « vieillissement des systèmes de technologie de l’information » désigne davantage que l’âge des systèmes. De nombreux systèmes âgés de dix ans ou plus ont été conçus pour être continuellement mis à niveau. Ils fonctionnent et devraient pouvoir continuer à fonctionner encore un certain temps.

Risques liés aux systèmes de technologie de l’information

1.2 Aux fins de la présente vérification, l’expression « vieillissement des systèmes de technologie de l’information » renvoie à une infrastructure et à des applications qui, même si elles répondent aux besoins actuels, deviennent de plus en plus coûteuses à utiliser et peuvent poser certains risques. Ces risques peuvent avoir des répercussions sur la sécurité ou limiter la façon dont le gouvernement mène ses activités parce qu’il n’est pas facile d’adapter les systèmes aux nouveaux besoins organisationnels découlant de l’adoption de lois, de règlements ou de normes de l’industrie. Le risque le plus important est qu’un système indispensable vieillissant tombe en panne et empêche le gouvernement d’offrir au public des services essentiels, tels que le versement des remboursements de l’impôt sur le revenu et l’émission des chèques de l’assurance-emploi et de pension. Ces risques pourraient s’appliquer à n’importe quel système de TI, mais ils menacent avant tout les vieux systèmes. La pièce 1.1 présente quelques-uns des principaux facteurs qui incitent les organisations à moderniser leurs systèmes vieillissants.

Pièce 1.1 — Aperçu des principaux facteurs qui incitent les organisations à moderniser les systèmes de TI vieillissants

Facteur Description
Pénurie de main d’œuvre qualifiée Peu d’employés et de sous-traitants possèdent les compétences et les connaissances requises pour utiliser les anciens langages de programmation et les anciennes structures de code source.
Soutien assuré par les fournisseurs Les fournisseurs peuvent ne plus être en affaires ou ne plus offrir de service pour les vieux produits.
Conformité aux règlements Il peut être difficile de mettre à niveau les systèmes périmés pour les adapter aux nouvelles lois, aux nouveaux règlements et aux nouvelles normes de l’industrie.
Frais d’entretien Les coûts augmentent pour diverses raisons : les vieux systèmes sont très complexes et difficiles à entretenir; il y a peu de fournisseurs de service; les pièces sont rares et souvent très coûteuses.
Accès aux données Au fur et à mesure que les structures de données vieillissent, il devient plus difficile d’extraire et d’analyser l’information.
Satisfaction des attentes des clients Les anciens systèmes ne peuvent pas être modifiés pour prendre en charge les technologies modernes et répondre à des attentes comme l’accès en tout temps et aux exigences liées au flux du travail.
Sécurité Les systèmes traditionnels* ne peuvent pas toujours être modifiés afin de devenir conformes aux exigences en matière de sécurité (p. ex. complexité des mots de passe)
Initiatives d’écologisation des TI Les vieux systèmes de TI sont habituellement peu économes en énergie et sont difficiles à modifier de façon à réduire leur impact environnemental.
Reprise des activités après un sinistre Plus le système est vieux, plus la récupération des données après un sinistre est ardue.
*Systèmes traditionnels — Technologie, systèmes informatiques ou programmes d’application désuets qui continuent d’être en usage même s’il existe maintenant des technologies plus modernes ou des méthodes plus efficientes.

1.3 En 1999, le gouvernement a constaté que la détérioration ou la désuétude du matériel et des logiciels qui ne peuvent pas être mis à niveau, ou qui n’ont pas été mis à niveau, de façon à répondre à ses besoins ou pour offrir ses services représentait un problème de taille. En 2005, une étude du Secrétariat du Conseil du Trésor du Canada a révélé que le gouvernement n’investissait pas suffisamment dans du matériel et des logiciels récents.

1.4 La situation du Canada n’est pas unique. En effet, le rapport d’une enquête menée en 2008 auprès des dirigeants principaux de l’information des gouvernements d’État américains indiquait que la modernisation de l’infrastructure et des systèmes de TI vieillissants représentait un défi important sur les plans financier, technique et de la gestion de programmes aux États-Unis. Il mentionnait également qu’à défaut d’investir dans la modernisation ou le remplacement des systèmes en place, les gouvernements d’État risquaient de ne plus pouvoir fonctionner comme des organisations modernes ni servir leurs citoyens.

Objet de la vérification

1.5 La vérification avait pour objet de déterminer dans quelle mesure les cinq organisations choisies, c’est-à-dire Citoyenneté et Immigration Canada, l’Agence du revenu du Canada, Ressources humaines et Développement des compétences Canada, Travaux publics et Services gouvernementaux Canada et la Gendarmerie royale du Canada, avaient adéquatement cerné et géré les risques que pose le vieillissement des systèmes de TI. La vérification a ciblé trois systèmes vieillissants d’importance cruciale afin d’établir si les organisations qui les utilisent ont cerné et géré ces risques. Enfin, nous avons vérifié si le Secrétariat du Conseil du Trésor du Canada, et en particulier sa Direction du dirigeant principal de l’information, avait déterminé si le vieillissement des TI représente un enjeu important pour l’ensemble du gouvernement, et la mesure dans laquelle il avait contribué, par ses directives ou son leadership, à la recherche de solutions à l’échelle gouvernementale.

1.6 Dans le cadre de la vérification, nous avons sondé 40 dirigeants principaux de l’information de ministères et d’organismes fédéraux qui, ensemble, effectuent plus de 95 % des dépenses en TI du gouvernement. Nous voulions évaluer l’état de l’infrastructure et des systèmes de TI vieillissants et obtenir une vue d’ensemble des risques qu’ils présentent ainsi qu’une idée de l’ampleur de ces risques. Plus particulièrement, nous avons évalué les risques que posent les systèmes essentiels vieillissants pour la prestation des services du gouvernement. Tous ces dirigeants principaux, sans exception, ont répondu au sondage. Les résultats appuient nos observations de vérification détaillées, qui sont présentées plus loin dans le chapitre.

1.7 La section intitulée À propos de la vérification, à la fin du chapitre, fournit d’autres détails sur l’objectif, l’étendue, la méthode et les critères de la vérification.

Observations et recommandations

Détermination des risques au sein des organisations

1.8 La détermination des risques constitue la première étape de toute évaluation des risques. Une évaluation des risques liés aux systèmes de technologie de l’information vise à établir un lien clair entre les risques cernés et leurs répercussions possibles sur les activités du ministère ou de l’organisme. La probabilité que ces risques se matérialisent doit aussi être établie. À cet égard, il importe que la haute direction dispose d’une évaluation de la durabilité des systèmes de TI essentiels. Dans le domaine des TI, on parle alors souvent de bilan de santé. La pièce 1.2 donne des exemples de critères que la direction peut appliquer pour détecter les problèmes qui pourraient nuire aux activités organisationnelles.

Pièce 1.2 — Exemples de facteurs qui peuvent aider à déceler les problèmes de durabilité des systèmes de technologie de l’information

Facteurs externes

  • modifications réglementaires ou législatives
  • modification des normes de l’industrie (p. ex. Association canadienne des paiements)
  • modification de l’environnement de contrôle (p. ex. politiques du Conseil du Trésor)
  • obligations contractuelles (p. ex. délivrance de licences de logiciels)

Facteurs liés à l’âge des systèmes

  • systèmes comportant du matériel ou des logiciels qui ne sont plus pris en charge
  • incompatibilité entre le matériel et les logiciels
  • matériel et logiciels qui ne sont plus pris en charge par le ministère, et long délai d’approvisionnement

Facteurs liés aux niveaux de service

  • mauvaise performance
  • disponibilité réduite
  • service non fiable
  • capacité réduite
  • coûts d’exploitation plus élevés

Source : Adapté du processus d’évaluation de l’état de l’infrastructure de TI de la société Great West Life

1.9 Selon la Directive sur la gestion des technologies de l’information du Conseil du Trésor, les ministères sont tenus de préparer annuellement un plan de TI qui détermine les risques relatifs aux TI, prend en compte les priorités ministérielles et décrit les investissements prévus dans les TI pour au moins les cinq années suivantes.

1.10 Nous nous attendions à ce que les organisations que nous avons examinées aient cerné dans leur plan les risques liés au vieillissement de leurs systèmes de TI, en se basant sur des facteurs semblables à ceux figurant à la pièce 1.2.

1.11 Nous avons examiné cinq des organisations gouvernementales les plus importantes, pour ce qui est de leurs dépenses en TI, afin de déterminer si elles avaient cerné de manière satisfaisante les risques liés au vieillissement de leurs systèmes de TI. L’Agence du revenu du Canada, Travaux publics et Services gouvernementaux Canada et Ressources humaines et Développement des compétences Canada sont de très grands ministères; la Gendarmerie royale du Canada et Citoyenneté et Immigration Canada, malgré leur plus petite taille, dépendent aussi beaucoup des TI.

1.12 Nous avons examiné trois systèmes de TI afin de déterminer dans quelle mesure les organisations qui les utilisent avaient cerné les risques que pose leur vieillissement. Ces systèmes sont les suivants : le système d’administration des déclarations de revenus et de prestations à l’Agence du revenu du Canada, le Programme d’assurance-emploi à Ressources humaines et Développement des compétences Canada et le Système normalisé des paiements à Travaux publics et Services gouvernementaux Canada.

Les organisations ont cerné des risques importants liés au vieillissement des systèmes

1.13 La pièce 1.3 résume nos critères d’examen, y compris la détermination des risques, ainsi que les résultats pour chaque organisation examinée.

Pièce 1.3 — Organisations évaluées en fonction des principaux critères

Organisations Critères
Détermination des risques associés au vieillissement des TI Gestion des risques associés au vieillissement des TI Surveillance continue des risques associés au vieillissement des TI
Citoyenneté et Immigration Canada De nombreux systèmes et pratiques sont en place. Des améliorations sont encore requises. Certains systèmes et pratiques sont en place. Des améliorations importantes sont requises. De nombreux systèmes et pratiques sont en place. Des améliorations sont encore requises.
Agence du revenu du Canada La plupart des systèmes et des pratiques sont en place. Des améliorations mineures pourraient encore être apportées. La plupart des systèmes et des pratiques sont en place. Des améliorations mineures pourraient encore être apportées. La plupart des systèmes et des pratiques sont en place. Des améliorations mineures pourraient encore être apportées.
Ressources humaines et Développement des compétences Canada La plupart des systèmes et des pratiques sont en place. Des améliorations mineures pourraient encore être apportées. De nombreux systèmes et pratiques sont en place. Des améliorations sont encore requises. De nombreux systèmes et pratiques sont en place. Des améliorations sont encore requises.
Travaux publics et Services gouvernementaux Canada La plupart des systèmes et des pratiques sont en place. Des améliorations mineures pourraient encore être apportées. Certains systèmes et pratiques sont en place. Des améliorations importantes sont requises. De nombreux systèmes et pratiques sont en place. Des améliorations sont encore requises.
Gendarmerie royale du Canada La plupart des systèmes et des pratiques sont en place. Des améliorations mineures pourraient encore être apportées. La plupart des systèmes et des pratiques sont en place. Des améliorations mineures pourraient encore être apportées. De nombreux systèmes et pratiques sont en place. Des améliorations sont encore requises.

Most systems and practices in place. Minor improvements could still be made. La plupart des systèmes et des pratiques sont en place. Des améliorations mineures pourraient encore être apportées.

Many systems and practices in place. Improvements still required. De nombreux systèmes et pratiques sont en place. Des améliorations sont encore requises.

Some systems and practices in place. Significant improvements required. Certains systèmes et pratiques sont en place. Des améliorations importantes sont requises.

1.14 Nous avons constaté que les cinq organisations examinées avaient toutes déterminé les risques associés au vieillissement de leurs systèmes de TI qui présentent un risque notable pour leurs activités. Elles ont signalé que ces risques étaient importants dans leurs stratégies et leurs plans de TI respectifs. La haute direction de chaque organisation a donc été informée de ces risques. Citoyenneté et Immigration Canada, l’Agence du revenu du Canada, Ressources humaines et Développement des compétences Canada et Travaux publics et Services gouvernementaux Canada ont jugé que certains de ces risques étaient suffisamment importants pour être élevés au rang de risques organisationnels. La Gendarmerie royale du Canada n’a pas inclus le vieillissement des TI dans ses risques organisationnels.

1.15 Nous avons constaté que les méthodes que les organisations choisies utilisaient, ou qu’elles comptaient utiliser, pour déterminer les risques étaient généralement conformes à la Politique sur la gestion des risques du Conseil du Trésor.

1.16 Agence du revenu du Canada. L’Inventaire des risques organisationnels de 2009 de l’Agence recensait 14 risques principaux; deux d’entre eux avaient trait au vieillissement des TI. Le premier risque porte sur 141 applications nationales difficiles à maintenir car l’Agence abandonne graduellement la plateforme de base de données ou le langage de programmation et ne s’en servira plus pour les nouvelles applications. Le deuxième risque a trait au vieillissement de l’un des centres de données qui abrite les principaux systèmes de l’Agence. Ce centre de données ne pourra plus répondre aux besoins à long terme de l’Agence en matière de service parce qu’il est situé dans un vieux complexe construit il y a 40 ans, qui n’a pas été conçu pour loger un centre de données. L’âge et l’emplacement du centre ainsi que d’autres facteurs représentent un risque important.

1.17 Système d’administration des déclarations de revenus et de prestations. Le système d’administration des déclarations de revenus et de prestations de l’Agence du revenu du Canada permet d’administrer la principale source de revenus du Canada, des provinces et des territoires. Il permet aussi de déterminer l’admissibilité des Canadiens aux prestations et aux crédits d’impôt qui sont versés chaque année. Le système actuel a été mis en place dans les années 1970. En 2008-2009, l’Agence a traité plus de 27 millions de déclarations de revenus et de prestations, dont 56 % avaient été transmises électroniquement. Au cours de ce même exercice, le système d’administration des déclarations de revenus et de prestations a enregistré des revenus de 166 milliards de dollars et distribué 91 millions de paiements versés de façon continue (prestations et crédits) d’une valeur totale de plus de 17 milliards de dollars.

1.18 Depuis 2007, l’Agence a cerné les risques importants liés à la durabilité des applications et du matériel, de même qu’à la souplesse et à l’adaptabilité des nombreux systèmes fonctionnant en liaison avec le système d’administration des déclarations de revenus et de prestations. L’Agence a évalué la probabilité et l’incidence de ces risques en se fondant sur des indicateurs qualitatifs (subjectifs) et quantitatifs (objectifs) ainsi que sur l’expérience acquise par la direction, en utilisant son Cadre de gestion intégrée du risque. Elle a ainsi pu recenser la modernisation du système d’administration des déclarations de revenus et de prestations comme l’un des trois premiers investissements essentiels à faire, et l’intégrer à son plan d’investissement stratégique.

1.19 Le profil de risque de l’Agence indique que le manque de durabilité — la capacité de continuer à faire fonctionner les applications (logiciels) et l’infrastructure (matériel) et à répondre aux exigences opérationnelles — constitue un risque important pour les systèmes de TI vieillissants. Même si les documents transmis par la Direction générale de l’informatique n’indiquent pas expressément de problèmes de durabilité relativement au système d’administration des déclarations de revenus et de prestations, ils permettent d’établir un lien direct entre ce risque et le système.

1.20 Travaux publics et Services gouvernementaux Canada. Le profil de risque de 2008 de Travaux publics et Services gouvernementaux Canada recensait 12 risques principaux qui pourraient nuire à l’atteinte des objectifs du Ministère. Plusieurs directions générales de Travaux publics et Services gouvernementaux Canada ont signalé des problèmes liés à des systèmes désuets qui ont entraîné des répercussions défavorables sur leurs programmes, notamment une baisse de productivité, l’incapacité de répondre aux besoins organisationnels et l’augmentation du temps et des coûts nécessaires à la recherche d’information. Le profil indiquait que la capacité de l’infrastructure de gestion de l’information / de technologie de l’information à répondre aux besoins constituait le quatrième risque en importance pour le Ministère, d’après la probabilité de perturbation des activités du Ministère et l’impact qu’aurait une telle perturbation.

1.21 Travaux publics et Services gouvernementaux Canada a aussi mentionné dans son profil de risque de 2008 que certains systèmes de TI désuets, comme les systèmes de paye et de pensions, menaçaient de s’effondrer, et que les spécialistes de la rémunération quittaient le Ministère pour cette raison. Le Ministère a lancé de nouveaux projets pour moderniser ces deux systèmes. Nous n’avons pas examiné ces systèmes.

1.22 Système normalisé des paiements. Travaux publics et Services gouvernementaux Canada exploite le Système normalisé des paiements du receveur général. Le Système a été introduit en 1995 afin de remplacer 37 systèmes distincts d’émission de chèques. Il traite tous les paiements du receveur général et produit plus de 250 millions de paiements chaque année. Environ 60 % des paiements totaux constituent l’unique ou la principale source de revenus des prestataires. Les programmes les plus essentiels sont la Sécurité de la vieillesse, le Régime de pensions du Canada et l’assurance-emploi.

1.23 Le Système normalisé des paiements répond actuellement aux normes de service et aux besoins organisationnels malgré une hausse de 30 % du volume de paiements traités au cours des dix dernières années. Au fil des ans, le système fonctionne bien et il répond aux besoins des clients. Le Ministère surveille la performance du système, mais il n’a pas fait d’analyse officielle de sa durabilité afin d’établir le moment où il atteindra la fin de sa vie utile. Cette analyse permettrait d’évaluer la capacité du système à répondre aux besoins futurs.

1.24 Ressources humaines et Développement des compétences Canada. Le profil de risque de 2009 du Ministère faisait mention de six risques principaux. En raison de la hausse de la demande pour les services ministériels attribuable au ralentissement économique actuel et des technologies existantes qui approchent de la fin de leur vie utile, le Ministère admet qu’il est fort probable que son infrastructure des TI ne pourra pas soutenir l’exécution de ses programmes de base, par exemple l’assurance-emploi. Le Ministère a aussi précisé que le manque de financement permanent pour le renouvellement de l’infrastructure de TI constituait un risque important.

1.25 La plus grande partie de l’infrastructure actuelle ne fait plus l’objet d’un soutien de la part des fabricants; en conséquence, les contrats de maintenance sont onéreux. Ainsi, on ne trouve plus de fournisseurs ni de fabricants de pièces pour le système de chauffage, de ventilation et de conditionnement d’air du centre de données de Montréal, qui a plus de 16 ans. La Direction générale de l’innovation, de l’information et de la technologie a donc dépensé, au cours de l’année écoulée, 152 000 $ en contrats de réparations et de maintenance afin de conserver la capacité de refroidissement dans ce centre. De plus, le manque de fonds pour remplacer le matériel existant a été établi comme l’une des principales causes de l’accroissement du risque d’interruption majeure du service.

1.26 Programme d’assurance-emploi. Le Programme d’assurance-emploi repose sur un ensemble hautement décentralisé de systèmes et d’applications, dont certains remontent aux années 1980. Plus de 24 applications sont utilisées pour traiter une demande de prestation d’assurance-emploi, depuis sa réception jusqu’au paiement. De ce nombre, 12 auraient une importance capitale. Les statistiques indiquent qu’en 2008-2009 les systèmes ont permis de traiter plus de 3,1 millions de demandes de prestations d’assurance-emploi, d’effectuer 24 millions d’opérations de paiement et de verser des prestations se chiffrant à 16,3 milliards de dollars.

1.27 Depuis trois ans, la Direction générale de l’innovation, de l’information et de la technologie a déterminé des risques liés au vieillissement du matériel et des applications des systèmes essentiels au soutien du Programme d’assurance-emploi et au traitement des prestations destinées aux Canadiens. La Direction générale a utilisé le Cadre de gestion intégrée du risque du Ministère pour évaluer la probabilité et l’impact de ces risques, et elle les a jugés suffisamment importants pour les intégrer au profil de risque du Ministère.

1.28 Nous avons constaté que les indicateurs servant à évaluer la probabilité et l’impact ou les conséquences potentiels des risques étaient surtout des indicateurs qualitatifs et qu’on avait utilisé peu d’indicateurs quantitatifs. Une bonne information quantitative donne du poids à l’évaluation faite des impacts potentiels et s’avère aussi utile pour classer les risques et les projets par ordre de priorité. Par exemple, le Programme de renouvellement d’infrastructure et le projet de modernisation des applications, tous deux mis en place pour faire face aux risques liés au vieillissement des systèmes de TI, ont été reportés. Ces projets n’ont reçu qu’un financement partiel étant donné qu’ils doivent faire l’objet d’une analyse plus poussée. Pareille analyse devrait traiter de questions telles que les implications et les risques découlant de l’inaction et comprendre des analyses de rentabilisation.

1.29 Citoyenneté et Immigration Canada. Le profil de risque de 2008 du Ministère décrit 13 principaux secteurs de risque et les classe par ordre de priorité. Le secteur de risque appelé « Maintenance des systèmes et de l’infrastructure de GI / TI » s’applique directement aux systèmes de TI vieillissants. Selon Citoyenneté et Immigration Canada, la désuétude, la redondance et la complexité de son infrastructure et de ses systèmes traditionnels posent un risque pour la sécurité et les activités du Ministère.

1.30 Ainsi, le Système de soutien des opérations des bureaux locaux, un système qui a 29 ans, est essentiel au programme d’immigration national. On estime qu’il présente un risque élevé car le langage de programmation n’est plus enseigné et les employés qui le connaissent partent à la retraite. Il est également très difficile, voire même impossible, d’intégrer cette application aux systèmes plus récents.

1.31 Le Cadre de gestion intégrée du risque de Citoyenneté et Immigration Canada date de 2002. Le service de vérification interne en a fait un examen en 2008 et a recommandé d’améliorer la gouvernance et les énoncés d’incidences et de mieux intégrer les risques à l’échelle du Ministère. Le Ministère a donc décidé de préparer un nouveau Cadre de gestion intégrée du risque. Ce document était encore à l’état d’ébauche au moment de notre vérification.

1.32 Gendarmerie royale du Canada. La Gendarmerie royale du Canada a récemment élaboré un profil de risque organisationnel comprenant 12 risques principaux. Ce profil ne cible pas les systèmes de TI vieillissants; toutefois, la Gendarmerie royale du Canada a établi que ces systèmes posaient un risque suffisamment grand pour les inclure dans son dernier plan d’investissement dans les TI. Les systèmes radio constituent un bon exemple, parce qu’ils font appel à une technologie plus ancienne non adaptée aux besoins actuels en matière de sécurité et de protection de la vie privée. Selon la Gendarmerie royale du Canada, ces systèmes augmentent le risque pour la police et la sécurité publique et pourraient entraîner des blessures ou des décès.

1.33 Sondage auprès des dirigeants principaux de l’information. Lors du sondage que nous avons mené auprès des dirigeants principaux de l’information de différentes organisations gouvernementales, nous avons posé la question suivante : « Les systèmes de TI vieillissants représentent-ils un risque important pour votre organisme ou votre ministère? ». Les dirigeants principaux de l’information de sept des dix ministères et organismes qui dépensaient le plus pour les TI, dont quatre des cinq organisations examinées, ont répondu par l’affirmative.

Gestion des risques au sein des organisations

1.34 Selon la Politique de planification des investissements du Conseil du Trésor, les ministères doivent adopter une approche de gestion de portefeuille au moment de déterminer le juste équilibre entre les investissements nécessaires pour appuyer les activités en cours et ceux nécessaires pour améliorer l’efficience et l’efficacité de leurs programmes. Cette approche permet de garantir que les organisations ciblent les investissements en TI actuels et prévus qui favorisent le plus l’atteinte des objectifs organisationnels, avec un niveau de risque acceptable et à un coût raisonnable. Cette politique est maintenant mise en application progressivement dans tout le gouvernement.

1.35 Les systèmes et les pratiques qui appuient la gestion de portefeuille sont notamment les suivants :

  • un plan d’investissement stratégique pluriannuel;
  • de l’information sur le portefeuille actuel des actifs de TI, y compris la durabilité et les risques;
  • des catégories et des objectifs bien définis pour le portefeuille;
  • des critères d’évaluation servant à choisir les investissements.

Dans le cas des TI, une approche de gestion de portefeuille consiste à examiner tous les actifs de TI — vieillissants et autres — avant de fixer des priorités pour leur modernisation. Cette approche permet d’établir l’ordre de priorité des projets et de trouver un juste équilibre entre les investissements visant la mise en place d’un ou de plusieurs nouveaux systèmes et les investissements visant la maintenance des systèmes en place.

1.36 Nous avons vérifié si les organisations retenues avaient évalué les risques posés par le vieillissement de leurs systèmes de TI, et si elles concevaient et mettaient en œuvre des stratégies rentables pour prévenir, atténuer ou éliminer ces risques. Nous nous attendions à ce que les organisations qui investissent beaucoup dans les TI aient appliqué une approche de gestion de portefeuille au moment d’établir leurs priorités pour gérer les risques liés aux systèmes de TI.

Les méthodes de gestion des risques de certaines organisations doivent être améliorées de façon notable

1.37 Nous avons constaté que l’Agence du revenu du Canada et la Gendarmerie royale du Canada avaient évalué les risques liés au vieillissement de leurs systèmes de TI et qu’elles avaient adopté des stratégies pour gérer ces risques à l’aide de leur plan d’investissement. Ces deux organisations étaient les seules, parmi les cinq examinées, à avoir appliqué une méthode de gestion de portefeuille. Les trois autres organisations, à savoir Citoyenneté et Immigration Canada, Travaux publics et Services gouvernementaux Canada et Ressources humaines et Développement des compétences Canada, n’avaient pas de plan d’investissement ministériel axé sur le portefeuille pour gérer les risques liés au vieillissement de leurs systèmes de TI.

1.38 Agence du revenu du Canada. L’Agence a récemment créé le Programme de durabilité des applications dans le but d’évaluer l’état de ses grands systèmes. Ce nouveau processus annuel permet d’obtenir différentes mesures pertinentes aux applications du portefeuille et fait ressortir les secteurs problématiques et les tendances à corriger au sein de l’Agence. En 2008, cette dernière a présenté à son Comité de gestion, son plan d’investissement visant à améliorer la durabilité au cours des dix prochaines années.

1.39 Système d’administration des déclarations de revenus et de prestations. La haute direction de l’Agence du revenu du Canada a convenu qu’il fallait accorder la priorité aux risques importants liés au vieillissement de son système d’administration des déclarations de revenus et de prestations. Dans son plan d’investissement stratégique, l’Agence indique qu’elle disposera de sommes suffisantes pour restructurer deux systèmes prioritaires de l’impôt sur le revenu faisant partie de son portefeuille d’actifs de TI — le système d’administration des déclarations de revenus et de prestations et le système de déclaration de renseignements et de revenus des fiducies — sous réserve que les travaux s’échelonnent sur une période pouvant atteindre dix ans. Comme la modernisation du système d’administration des déclarations de revenus et de prestations pourrait nécessiter jusqu’à 70 % des fonds disponibles, il est peu probable que l’Agence aura vraiment les ressources financières voulues pour s’engager à l’égard de ces deux projets prioritaires, sans compter les divers autres investissements requis pour assurer la durabilité de ses activités au cours de la même période. L’Agence devra faire des choix difficiles afin d’atteindre un équilibre satisfaisant entre les différentes priorités dans son portefeuille, et ce, sans compromettre l’intégrité de ses programmes et services essentiels en matière de fiscalité. Le plan actuel énumère 19 grands projets d’investissement qui seront interrompus après 2018, à moins que des fonds additionnels ne soient engagés.

1.40 Gendarmerie royale du Canada. La Gendarmerie royale du Canada a adopté une approche de gestion axée sur le portefeuille pour préparer son dernier plan d’investissement. Elle a harmonisé son portefeuille de TI avec ses objectifs stratégiques. Le plan d’investissement dans les TI décrit le portefeuille de TI en termes d’état et de demande des actifs, de capacité et de risques. Il fait aussi le lien entre la stratégie d’investissement dans les TI et les initiatives stratégiques visant les principaux actifs de TI.

1.41 Ressources humaines et Développement des compétences Canada. Le Ministère a conçu son premier plan d’investissement à long terme en 2008. Ce plan décrivait de manière générale les priorités les plus importantes en matière d’investissements en TI. Cependant, l’analyse ne fournissait pas de précisions sur le portefeuille d’actifs de TI, comme les critères de durabilité et d’évaluation servant au classement des différents investissements.

1.42 Depuis, le Ministère a mis à jour son plan d’investissement à long terme, mais l’analyse demeure incomplète. Lors de notre examen des stratégies cernées pour la gestion des risques liés au vieillissement des systèmes de TI, nous avons constaté que la Direction générale de l’innovation, de l’information et de la technologie n’avait pas effectué d’analyse afin d’obtenir l’assurance que ces stratégies sont les plus rentables par rapport aux autres options ou solutions. La haute direction reconnaît que les systèmes de TI vieillissants présentent des risques importants, mais elle a mis en question les moyens cernés pour gérer ces risques et, dans certains cas, ne les a pas approuvés.

1.43 Outre le Programme de renouvellement d’infrastructure, qui a fait l’objet d’une analyse très détaillée, le plan d’investissement mis à jour n’établit pas d’ordre de priorité pour les autres projets prévus pour les prochaines années, et il ne donne pas de vue d’ensemble des actifs du portefeuille qui précise les échéances, les coûts et les priorités. Le Ministère doit brosser un tableau complet de tous les investissements requis dans les TI, y compris ceux engagés par les directions de programme, et de leur priorité relative. Sans cette information, il est difficile de déterminer comment le Ministère pourra garantir que ses systèmes, dont ceux qui appuient le Programme d’assurance-emploi, pourront continuer de fonctionner sans avoir constamment besoin de financement d’urgence.

1.44 La Direction générale de l’innovation, de l’information et de la technologie a aussi qualifié de risque important l’harmonisation des TI et des activités du Ministère dans son registre de risques de 2009-2010. Ce sont les projets actuels axés sur les TI qui montrent le mieux les répercussions d’un décalage entre les opérations ministérielles et les TI, car le succès de ces projets repose sur des buts communs et des exigences bien définies. En outre, le secteur des opérations du Ministère ne s’engage pas suffisamment à l’égard des problèmes de TI qui ont une incidence sur ses programmes. Le Ministère a réagi au cours de l’année écoulée en introduisant un processus de gestion des investissements pour faire face à ce risque et a formé un comité de cadres supérieurs pour superviser ce processus.

1.45 Programme d’assurance-emploi. Comme nous l’avons déjà mentionné, la Direction générale de l’innovation, de l’information et de la technologie a indiqué que le vieillissement de l’infrastructure et les applications traditionnelles représentent des risques importants pour le Programme d’assurance-emploi. Deux grands projets ont été conçus pour faire face à ces risques. Le premier est le Programme de renouvellement d’infrastructure, dont le coût estimatif s’élève à 214 millions de dollars sur une période de cinq ans. Selon la Direction générale, ce programme est nécessaire pour faire en sorte que les technologies correspondent aux exigences opérationnelles en vue de répondre aux besoins et aux attentes des Canadiens. Le second projet, le projet de modernisation des applications, cible le risque que présente le nombre important d’applications traditionnelles fabriquées sur mesure qui sont devenues désuètes et difficiles à maintenir. Lors de notre vérification, ce projet se trouvait encore à l’étape préliminaire; une évaluation complète des applications devait encore être réalisée, de même que l’élaboration d’un plan d’action. Selon la Direction générale, ce projet devrait coûter entre 100 et 150 millions de dollars sur une période de quatre ans.

1.46 Citoyenneté et Immigration Canada. La Direction générale de la gestion et des technologies de l’information prépare un plan d’activités annuel dans lequel elle mesure les risques liés aux TI. Ce plan comprend une liste de projets hautement prioritaires, mais la haute direction a déclaré qu’il fallait améliorer les méthodes utilisées en vue de raffiner encore l’établissement des priorités. Citoyenneté et Immigration Canada a procédé à un examen détaillé de son infrastructure de TI; en revanche, le Ministère n’a pas revu ses applications de façon aussi approfondie. Il n’a pas utilisé une approche axée sur la gestion de portefeuille, qui prend en compte l’interdépendance des actifs de TI. Pour le moment, le Ministère n’a pas non plus de plan d’investissement dans les TI.

1.47 Travaux publics et Services gouvernementaux Canada. Le Ministère gère actuellement son infrastructure de TI de façon centrale, alors que les applications d’entreprise sont gérées par les différentes directions générales.

1.48 Travaux publics et Services gouvernementaux Canada ne dresse pas de plan d’investissement ministériel dans les TI ayant un horizon de plus d’un an. Sans un tel plan, le Ministère ne peut pas dire avec certitude quels actifs de TI doivent être remplacés. De plus, il ne gère pas ses investissements dans les TI comme un portefeuille. Nous avons toutefois relevé certains éléments de planification des investissements, tels que le dénombrement des actifs de l’infrastructure de TI et l’établissement des priorités, des échéances et des coûts relativement au remplacement des actifs. Le Ministère a aussi dressé des plans de gestion pour faire face à un risque qu’il avait déterminé relativement au vieillissement de ses systèmes de TI. Par contre, lorsque nous avons examiné les plans, ceux-ci ne contenaient ni échéancier précis, ni coûts estimatifs pour gérer et atténuer ce risque. Il n’existe pas non plus de plan d’investissement officiel pour pallier l’insuffisance de financement des systèmes de TI vieillissants du Ministère. Travaux publics et Services gouvernementaux Canada a lancé certaines initiatives pour remplacer les actifs de TI vieillissants, mais n’avait pas de plan d’investissement officiel à l’échelle du Ministère pour corriger la situation.

1.49 Recommandation. Citoyenneté et Immigration Canada, Ressources humaines et Développement des compétences Canada et Travaux publics et Services gouvernementaux Canada devraient adopter une approche axée sur la gestion de portefeuille pour l’ensemble du ministère afin de veiller à cibler les investissements dans les TI actuels et prévus qui favorisent le plus l’atteinte des objectifs opérationnels, avec un niveau de risque acceptable et à un coût raisonnable.

Réponse de Citoyenneté et Immigration Canada. Recommandation acceptée. Des travaux sont déjà en cours, dans le cadre du processus de planification intégrée des activités de 2010-2011, afin d’élaborer une approche axée sur le portefeuille à l’échelle du Ministère pour les investissements dans les TI. Le Ministère prévoit que le processus sera entièrement mis en place pour le cycle de planification de 2011-2012.

Réponse de Ressources humaines et Développement des compétences Canada. Recommandation acceptée. Le Ministère continuera de renforcer la mise en œuvre de son approche de gestion de portefeuille afin de se rapprocher d’un niveau de maturité optimal.

Réponse de Travaux publics et Services gouvernementaux Canada. Recommandation acceptée. Même si le Ministère a déjà mis en place de nombreux éléments, il reconnaît les avantages d’élaborer un cadre de gestion du portefeuille de TI qui appuiera une approche de gestion de portefeuille pour l’infrastructure des TI et les applications opérationnelles. Le plan sera achevé d’ici juin 2010 et sera mis en œuvre au cours de l’année qui suit.

Le Ministère apportera également des améliorations à son Cadre de gouvernance de la TI afin d’assurer la surveillance de l’approche de gestion du portefeuille. Le Cadre respectera les structures de financement propres au Ministère. Plus précisément, il appuiera la gouvernance des systèmes de TI au sein des programmes dont les modèles de financement comprennent des fonds renouvelables à recouvrement intégral des coûts, des services partagés à recouvrement intégral des coûts et des services communs financés à partir du budget d’exploitation général.

Grâce à son approche actuelle de gestion des investissements en TI, le Ministère a géré avec succès divers projets de transformation opérationnelle axée sur les TI. Le Ministère a obtenu un financement du Conseil du Trésor pour des projets en soumettant des analyses de rentabilisation qui faisaient état de stratégies de gestion des risques. Plus précisément, le Ministère a reçu un financement totalisant 412 millions de dollars pour deux projets de modernisation essentiels et a lui-même financé un investissement de 50 millions de dollars pour d’autres initiatives. Enfin, le financement garanti de 29 millions de dollars du Conseil du Trésor, accordé au Ministère pour l’amélioration des infrastructures en TI, ainsi que l’investissement de 9 millions de dollars réalisé par le Ministère s’intègrent dans le plan quinquennal de renouvellement continu de 61 millions de dollars.

1.50 Recommandation. Citoyenneté et Immigration Canada, Ressources humaines et Développement des compétences Canada et Travaux publics et Services gouvernementaux Canada devraient élaborer un plan d’investissement pluriannuel dans les TI qui assure un bon équilibre entre les investissements obligatoires, de maintien et discrétionnaires requis pour appuyer les systèmes en place et améliorer la prestation des services.

Réponse de Citoyenneté et Immigration Canada. Recommandation acceptée. Le Ministère possède déjà un plan d’investissement pluriannuel pour l’infrastructure des TI et ajoutera un volet applications pour créer un plan d’investissement intégré pluriannuel. Le plan indiquera les investissements obligatoires, discrétionnaires et de maintien pour permettre le respect des exigences opérationnelles. Le Ministère prévoit que le travail sera achevé au cours des deux prochaines années.

Réponse de Ressources humaines et Développement des compétences Canada. Recommandation acceptée. Le Ministère travaille actuellement à réviser son plan d’investissement pluriannuel, lequel sera terminé en 2010. Ce plan portera particulièrement sur le cycle de vie économique complet des biens de TI et sur l’établissement de mesures quantitatives du rendement afin d’améliorer l’évaluation des risques liés aux biens de technologie du Ministère. Ce plan présentera également une analyse stratégique des options et des scénarios d’investissement fondés sur les sources de financement disponibles.

Réponse de Travaux publics et Services gouvernementaux Canada. Recommandation acceptée. Le Ministère rassemblera les divers éléments de planification existants à partir desquels il produira un plan d’investissement pluriannuel intégré en gestion de l’information et technologie de l’information (GI-TI), qui inclura tous les investissements en matière de TI. Les investissements seront classés comme suit :

  • un portefeuille des biens comprenant les investissements obligatoires et les investissements de maintien;
  • un portefeuille de projets en innovation et en transformation organisationnelle comprenant des investissements discrétionnaires;
  • un portefeuille client, lequel présente une perspective propre à une direction générale de tous les investissements en TI.

En plus de l’information portant sur les portefeuilles, le plan d’investissement en GI-TI fournira un mécanisme permettant d’évaluer les besoins communs en TI de l’ensemble du Ministère afin de veiller à obtenir le meilleur rapport qualité-prix des investissements en TI, tout en prenant en considération la disponibilité probable du financement. Ce plan sera mis à jour annuellement pour tenir compte des décisions d’investissement antérieures, des nouveaux besoins opérationnels et du vieillissement de l’infrastructure et des applications. Ce plan sera élaboré en conformité avec la Politique sur la gestion des technologies de l’information du Conseil du Trésor, et une première version sera achevée d’ici mars 2010.

Ce plan d’investissement détaillé en GI-TI complétera le plan d’investissement intégré que le Ministère travaille à élaborer, en conformité avec la Politique de planification des investissements — Actifs et services acquis du Conseil du Trésor, dont la première version sera présentée au Secrétariat du Conseil du Trésor d’ici la fin mars 2010. Le plan d’investissement intégré fournira un aperçu à l’échelle du Ministère des activités de planification des investissements qui visent les biens immobiliers, le matériel et les technologies de l’information.

Surveillance des risques au sein des organisations

1.51 Conformément à la Politique sur la gestion des risques du Conseil du Trésor, nous nous attendions à ce que les gestionnaires responsables de la protection des actifs de TI et de la gestion des risques liés au vieillissement des systèmes de TI examinent les activités d’atténuation et de gestion des risques au sein de leur organisation. En agissant de la sorte, ils obtiendraient l’assurance que les actifs de TI sont protégés comme il se doit et qu’ils peuvent être réparés ou remplacés, tout en respectant la tolérance de l’organisation à l’égard des pertes.

1.52 Nous avons vérifié si les organisations sélectionnées surveillaient activement les risques qui avaient été déterminés et évalués relativement au vieillissement des systèmes de TI. Nous nous attendions à ce que ces organisations se soient dotées de plans d’action comprenant des stratégies précises, des activités clés, des produits à livrer et des échéances pour gérer ces risques. Nous nous attendions également à ce qu’elles aient informé régulièrement la haute direction des progrès réalisés.

La surveillance des risques est incomplète

1.53 Nous avons constaté que la haute direction de l’Agence du revenu du Canada était au courant des risques liés au vieillissement des systèmes de TI et que les gestionnaires surveillaient les activités permanentes de l’Agence visant à contenir ces risques. Nous avons constaté que la surveillance des activités d’atténuation et de gestion des risques par Citoyenneté et Immigration Canada, Ressources humaines et Développement des compétences Canada, Travaux publics et Services gouvernementaux Canada et la Gendarmerie royale du Canada était incomplète.

1.54 Agence du revenu du Canada. Le Comité de gestion et le Comité de gestion des ressources et des investissements de l’Agence passent périodiquement en revue tous les principaux risques et projets d’investissement afin de s’assurer que l’Agence affecte ses ressources aux activités et aux projets prioritaires. Le Plan d’action de l’Agence axé sur le risque décrit les stratégies particulières, les activités clés, les produits à livrer et les échéances des initiatives visant à contrer chacun des risques organisationnels figurant dans l’Inventaire des risques organisationnels de l’Agence.

1.55 Citoyenneté et Immigration Canada. Au cours de l’année écoulée, le Ministère a mis en place un processus trimestriel officiel de surveillance de ses principaux risques organisationnels et des principaux risques liés à ses activités. Il n’a cependant pas de plans d’action officiels axés sur les risques. Le Ministère met actuellement au point des indicateurs de rendement pour améliorer la surveillance et la gestion des principaux risques de son profil de risque organisationnel.

1.56 Gendarmerie royale du Canada. La Gendarmerie royale du Canada surveille les risques à l’aide d’un processus de gestion intégrée des risques et d’un registre des risques organisationnels. Les risques propres au vieillissement des systèmes de TI se trouvent dans le registre des risques du Secteur du dirigeant principal de l’information. Ce registre contient une information structurée par projet ou par portefeuille, y compris de nombreux indicateurs tels que l’évaluation du risque, son état actuel, son ou ses impacts, la méthode d’atténuation et le chargé de la gestion du risque. Pour valider l’évaluation de ses risques, le Secteur du dirigeant principal de l’information a formé un comité d’examen stratégique en septembre 2008. Ce comité est chargé de déterminer les nouveaux risques posés par les TI et de fournir des recommandations, des avis stratégiques et une orientation à l’État-major supérieur. Il n’a toutefois pas encore commencé à signaler à l’État-major supérieur les principaux risques posés par les systèmes de TI.

1.57 Ressources humaines et Développement des compétences Canada. Pour répondre à une vérification interne de son Cadre de gestion intégrée du risque, le Ministère exige maintenant que toutes les directions générales, y compris la Direction générale de l’innovation, de l’information et de la technologie, préparent un rapport d’étape sur les risques. Le Ministère a aussi mis sur pied un comité supérieur chargé d’approuver sa stratégie actualisée de gestion des risques et de surveiller sa mise en œuvre. La Direction générale de l’innovation, de l’information et de la technologie n’a pas encore d’indicateurs de rendement clés pour l’aider à surveiller les progrès réalisés à l’égard des stratégies d’atténuation des risques liés au vieillissement des systèmes de TI. La Direction générale a créé un comité supérieur chargé de superviser la surveillance des risques; il n’existe toutefois aucun compte rendu ou rapport de décision, de sorte qu’il a été impossible d’établir si la supervision exercée donnait des résultats satisfaisants.

1.58 Travaux publics et Services gouvernementaux Canada. Dans le cadre du processus de planification annuel et semestriel, le Ministère soumet à son agent principal de gestion des risques des stratégies d’atténuation des risques pour chacune de ses directions générales afin qu’il les examine. Il les transmet aussi à d’autres comités supérieurs pour examen. Nous avons cependant constaté que les indicateurs de risque et de rendement quantitatifs clés servant à évaluer les progrès réalisés en matière d’atténuation des risques pourraient être améliorés, tout comme les évaluations indépendantes. De tels indicateurs clés aideraient le Ministère à déterminer la mesure dans laquelle le risque lié aux TI, et en particulier au vieillissement des systèmes de TI, a diminué.

1.59 Recommandation. Ressources humaines et Développement des compétences Canada, Travaux publics et Services gouvernementaux Canada, Citoyenneté et Immigration Canada et la Gendarmerie royale du Canada devraient élaborer un plan d’action pour chaque risque important lié au vieillissement des systèmes de TI. Leur plan devrait comprendre les stratégies précises, les activités clés, les produits à livrer et les échéances nécessaires pour gérer ces risques. Ces organisations devraient soumettre des rapports périodiques de leurs progrès à la haute direction.

Réponse de Ressources humaines et Développement des compétences Canada. Recommandation acceptée. Le Ministère met présentement à jour son registre des risques ministériels et il continuera de suivre de près les progrès concernant les stratégies d’atténuation et d’en faire part à la haute direction.

Réponse de Travaux publics et Services gouvernementaux Canada. Recommandation acceptée. Le Ministère se servira de l’exercice d’élaboration du profil de risque opérationnel, lancé en décembre 2009 et se terminant en mars 2010, de même que du profil de risque organisationnel mis à jour, afin de valider les risques de l’organisation, y compris ceux qui se rattachent au vieillissement des systèmes de TI et de leurs applications, et de déterminer les nouveaux risques importants au sein du Ministère.

De plus, un exercice portant sur la détermination du profil des risques propres à la TI sera réalisé avec le Comité directeur de la GI-TI ministérielle afin de dresser le profil de risque en matière de TI du Ministère. Chaque risque relevé en matière de TI sera évalué et mis en ordre de priorité par le Comité directeur. On nommera un responsable pour la gestion de chacun des risques et cette personne participera à l’élaboration des stratégies d’atténuation des risques appropriées. Pour chacune des stratégies d’atténuation des risques, on précisera les principaux résultats attendus et les calendriers s’y rapportant, et on établira des indicateurs pour mesurer le succès de chacune d’entre elles. La mise en œuvre de ces stratégies fera l’objet de suivis et de modifications, au besoin. Un rapport de l’état d’avancement et de la réussite de leur mise en œuvre sera présenté à la haute direction, par l’entremise du Comité directeur de la GI-Ti ministérielle et du Comité de gestion du sous-ministre. Travaux publics et Services gouvernementaux Canada terminera la mise en œuvre du processus d’ici l’hiver 2011.

Réponse de Citoyenneté et Immigration Canada. Recommandation acceptée. Au cours des deux prochaines années, le Ministère élaborera un plan d’action pour chacun des risques importants liés aux systèmes de TI vieillissants. Le plan comprendra des stratégies précises, des activités et des calendriers de gestion des risques. De plus, on fera rapport aux cadres supérieurs sur les progrès réalisés, et ce, sur une base trimestrielle.

Réponse de la Gendarmerie royale du Canada. Recommandation acceptée. L’organisation établira des stratégies précises, les activités clés, les produits à livrer et les échéances nécessaires pour gérer ces risques. Depuis janvier 2010, les risques informatiques importants qui sont associés au vieillissement des systèmes sont signalés dans le registre des risques organisationnels, conformément à la Politique sur la gestion des risques du Conseil du Trésor. Des mises à jour trimestrielles seront effectuées relativement à la gestion des risques.

Stratégie de financement pour faire face aux risques

1.60 Nous avons déjà indiqué qu’aux termes de la Politique de planification des investissements — Actifs et services acquis du Conseil du Trésor, les ministères sont tenus de dresser un plan d’investissement qui tient compte des priorités ministérielles et qui décrit les investissements prévus sur une période d’au moins cinq ans. L’élaboration et l’approbation d’un plan d’investissement ne suffisent pas pour faire face aux risques que présente le vieillissement des systèmes. Nous nous attendions à ce que les organisations aient préparé un plan qui définit des options d’investissement. Nous nous attendions aussi à ce que les organisations aient présenté des stratégies de financement indiquant les sources de financement les plus probables au cours de la période de planification quinquennale.

Les plans d’investissement ministériels doivent reposer sur une stratégie de financement

1.61 Nous avons constaté que les sources de financement mentionnées dans les plans d’investissement ministériels de l’Agence du revenu du Canada, de Ressources humaines et Développement des compétences Canada et de la Gendarmerie royale du Canada n’étaient pas suffisantes pour mener à bien toutes les initiatives devant permettre de gérer les risques associés au vieillissement des systèmes de TI, tels que cernés dans leurs plans de TI respectifs. Comme nous l’avons déjà souligné, Citoyenneté et Immigration Canada et Travaux publics et Services gouvernementaux Canada n’avaient pas de plan d’investissement pluriannuel.

1.62 L’Agence du revenu du Canada était la seule organisation à avoir préparé un plan d’investissement pluriannuel présentant des options d’investissement. Elle était aussi la seule organisation à avoir défini des priorités de financement qui tiennent compte des sources de financement les plus probables au cours de la période de planification quinquennale.

1.63 Dans notre rapport de vérification sur la gestion des investissements dans les TI à l’Agence du revenu du Canada, déposé en décembre 2008, nous avions constaté que le tiers environ des applications nationales de l’Agence, dont la moitié environ étaient jugées indispensables à l’accomplissement de son mandat, représentaient un risque parce qu’elles n’étaient pas durables à long terme. Le Bureau du vérificateur général avait notamment recommandé que l’Agence du revenu du Canada termine l’élaboration de son plan d’investissement stratégique pluriannuel et consigne des critères d’évaluation clairs pour le classement en ordre de priorité et la sélection des investissements de TI dans le portefeuille.

1.64 L’Agence a suivi cette recommandation et a instauré un processus plus officiel pour planifier et établir l’ordre de priorité de ses grands projets d’investissement stratégique. Ce processus était centré sur l’élaboration d’un plan d’investissement stratégique comportant une perspective pluriannuelle des investissements actuels et futurs dans les grands projets.

1.65 Dans son plan d’investissement stratégique, l’Agence du revenu du Canada a prévu au total 55 investissements, au coût estimatif de 1,8 milliard de dollars sur dix ans. Après évaluation, la haute direction a ramené ce nombre à 24 investissements essentiels, au coût approximatif de 1,24 milliard de dollars pour la même période. L’Agence dispose de 410 millions de dollars pour financer ces investissements au cours des dix prochaines années. Il lui faut donc trouver 830 millions de dollars. La haute direction de l’Agence a établi que le fait de ne pas procéder à ces investissements critiques pour remplacer les systèmes de TI vieillissants poserait un risque inacceptable pour la continuité des activités de l’Agence. Au moment de notre vérification, l’Agence n’avait pas encore obtenu les fonds manquants.

1.66 En 2008, Ressources humaines et Développement des compétences Canada a préparé son premier plan d’investissement à long terme. Un comité supérieur du Ministère a supervisé sa préparation afin de veiller à ce que les stratégies d’investissement correspondent à l’orientation générale et aux priorités du Ministère. Les priorités d’investissement découlant de ce processus ont été évaluées et classées en ordre de priorité afin de dresser un plan de financement global. Ces investissements ont été jugés nécessaires pour que le Ministère puisse poursuivre ses activités et atteindre les cibles minimales en matière de résultats, ainsi que développer sa capacité en vue de respecter ses priorités futures. Cette liste d’investissements comporte 20 projets et initiatives, au coût estimatif de 947,4 millions de dollars sur cinq ans. Étant donné que le niveau de financement de base actuel du Ministère est de 424 millions de dollars sur cinq ans, l’estimation susmentionnée représente une insuffisance de fonds de 523,4 millions de dollars. La haute direction a tenu des discussions sur le plan d’investissement à long terme de 2008, mais n’a pas approuvé les projets, l’approche ni les besoins de financement.

1.67 Ressources humaines et Développement des compétences Canada a depuis mis à jour son plan d’investissement à long terme initial et y a intégré des renseignements détaillés sur le renouvellement de l’infrastructure de TI. Cependant, le Ministère n’a pas classé par ordre de priorité ses projets d’application dans le plan à jour, ni inclus de stratégie de financement actualisée. Sans une telle information, les besoins complets du Ministère en matière de financement à long terme pour faire face aux risques relatifs au vieillissement des systèmes de TI demeurent vagues.

1.68 Le dernier plan d’investissement de la Gendarmerie royale du Canada a été préparé en 2009 afin de respecter la nouvelle Politique de planification des investissements du Conseil du Trésor. Les investissements mentionnés dans le plan ont été revus pour faire en sorte que les ressources soient affectées en fonction des besoins de l’organisation. La difficulté pour la Gendarmerie royale du Canada consiste à maintenir le financement requis pour ses opérations tout en investissant dans les grands systèmes essentiels à sa mission. Les besoins de financement des TI ont été fixés à 1,257 milliard de dollars sur cinq ans. Étant donné que le niveau de financement de base actuel se chiffre à 637 millions de dollars sur cinq ans, la Gendarmerie royale du Canada doit trouver les 620 millions de dollars manquants. L’organisation n’a pas encore établi de priorités pour ses besoins d’investissement en vue de l’élaboration d’une stratégie de financement globale pour son portefeuille de TI.

1.69 Dans les trois organisations examinées qui disposent d’un plan d’investissement, soit l’Agence du revenu du Canada, Ressources humaines et Développement des compétences Canada et la Gendarmerie royale du Canada, nous avons constaté une insuffisance de financement importante qui pourrait contraindre ces organisations à ne pas faire tous les investissements nécessaires pour moderniser leurs systèmes d’information et leur infrastructure technologique indispensables. L’insuffisance de fonds, pour ces trois organisations seulement, s’élèverait à 2 milliards de dollars. Nous n’avons pas vérifié, ni tenté de vérifier, l’exactitude des propositions d’investissement incluses dans ces plans d’investissement ministériels. Cependant, l’insuffisance de fonds montre que l’enjeu est important pour les organisations qui assument la responsabilité de maintenir et d’améliorer quelques-uns des systèmes d’information les plus complexes et les plus indispensables du gouvernement du Canada. Nous avons aussi constaté qu’à l’exception de l’Agence du revenu du Canada, ces organisations avaient préparé des propositions de financement pour limiter, projet par projet, les risques liés au vieillissement des systèmes de TI. L’Agence du revenu du Canada est la seule organisation à avoir soumis une proposition complète de financement à long terme en vue d’investir de façon continue dans la modernisation de l’ensemble de son portefeuille de systèmes d’information et de ressources technologiques.

1.70 Il convient de noter que des 40 dirigeants principaux de l’information interrogés dans le cadre de notre sondage, 28 ont affirmé que le manque de financement était de loin le principal obstacle à la modernisation de leurs systèmes de TI vieillissants. Les dirigeants principaux de l’information de 8 des 10 plus gros ministères ont indiqué que la recherche de financement constituait leur plus grand défi.

1.71 Recommandation. Ressources humaines et Développement des compétences Canada et la Gendarmerie royale du Canada devraient préparer une stratégie de financement appropriée. Cette stratégie devrait présenter des options d’investissement ou des scénarios qui tiennent compte des sources de financement les plus probables au cours de la période de planification quinquennale.

Réponse de Ressources humaines et Développement des compétences Canada. Recommandation acceptée. Le Ministère examinera son modèle de gouvernance dans l’ensemble de l’organisation pour s’assurer que des processus adéquats sont en place pour les priorités en matière de TI. Il se penchera sur sa stratégie de financement et sur une affectation équilibrée des ressources à divers projets de technologie.

Réponse de la Gendarmerie royale du Canada. Recommandation acceptée. Le dernier plan d’investissement de l’organisation a été établi en 2009 afin de respecter la nouvelle Politique de planification des investissements du Conseil du Trésor. Les investissements en TI prévus dans le plan seront réexaminés et mis à jour tous les trois mois pour veiller à ce que les ressources soient allouées en fonction des besoins de la Gendarmerie royale du Canada. Les investissements en TI seront classés selon les priorités fonctionnelles établies par le Conseil d’examen stratégique du secteur du dirigeant principal de l’information.

Détermination et gestion des risques par le Secrétariat du Conseil du Trésor du Canada

1.72 Les administrateurs généraux sont responsables envers leurs ministres respectifs et le Conseil du Trésor de la gestion des actifs et des services acquis dans leur organisation, y compris des technologies de l’information, mais ils ne peuvent pas toujours faire face seuls aux risques liés au vieillissement des systèmes de TI. À lui seul, un ministère ou un organisme ne peut appliquer bon nombre des méthodes auxquelles on a ordinairement recours pour moderniser ces systèmes, comme les services communs et partagés. En réalité, il incombe à la Direction du dirigeant principal de l’information du Secrétariat du Conseil du Trésor du Canada d’assurer un leadership central ainsi que la coordination nécessaire à l’application de ces méthodes.

1.73 Selon la Politique sur la gestion des technologies de l’information, le Secrétariat du Conseil du Trésor du Canada doit définir et mettre en œuvre les grandes orientations stratégiques en matière de TI pour l’ensemble du gouvernement. Il doit notamment déterminer les domaines qui peuvent présenter d’importants avantages pour l’ensemble du gouvernement ou qui sont particulièrement importants pour celui-ci. Le Secrétariat est également chargé de diriger les initiatives nécessaires à l’élaboration de solutions à l’échelle du gouvernement.

1.74 Nous nous attendions à ce que la Direction du dirigeant principal de l’information ait déterminé si le vieillissement des systèmes de TI essentiels pose des risques importants pour l’ensemble du gouvernement. La Direction aurait dû établir et mettre en œuvre, en collaboration avec les ministères et organismes, des orientations stratégiques pertinentes pour l’ensemble du gouvernement; elle aurait dû aussi piloter les initiatives nécessaires pour la gestion de ces risques. Nous avons examiné si le Secrétariat du Conseil du Trésor du Canada, et particulièrement sa Direction du dirigeant principal de l’information, avait déterminé si le vieillissement des systèmes de TI constitue une question d’importance pour le gouvernement dans son ensemble. Nous avons aussi vérifié dans quelle mesure le Secrétariat avait fourni une orientation ou fait preuve de leadership dans l’élaboration d’initiatives pangouvernementales visant à gérer les risques connexes.

La Direction du dirigeant principal de l’information connaît depuis plus de dix ans les risques importants liés au vieillissement des systèmes de technologie de l’information

1.75 Nous avons constaté que de nombreux ministères et organismes fédéraux, tout comme la Direction du dirigeant principal de l’information, avaient déterminé au cours des dix dernières années que le vieillissement (aussi appelé usure progressive ou détérioration) représentait un risque et avaient signalé que le vieillissement des systèmes de TI essentiels posait des risques importants à l’échelle du gouvernement. Cette constatation a été communiquée à la Direction du dirigeant principal de l’information de diverses façons, comme l’indiquent les paragraphes qui suivent.

1.76 En 1999, la Direction du dirigeant principal de l’information a déterminé que l’usure progressive des immobilisations de TI constituait un enjeu horizontal et l’a décrite comme la détérioration ou la désuétude du matériel et des logiciels qui ne peuvent pas être mis à niveau pour répondre aux exigences opérationnelles, ou qui ne l’ont pas été, ou qui peuvent présenter un risque pour le respect des normes minimales de prestation de services. La Direction avait alors indiqué qu’il fallait atténuer ce risque.

1.77 Les résultats d’un sondage sur l’état des TI au gouvernement du Canada, communiqués dans les études du Comité d’examen des dépenses en 2004, mettaient en lumière les risques associés au vieillissement des systèmes de TI. Ces risques comprenaient l’absence d’investissement continu et cohérent dans l’infrastructure et l’absence de renouvellement de l’infrastructure, ainsi que l’incapacité des systèmes vieillissants de répondre aux nouvelles exigences, tant législatives qu’opérationnelles. Aussi en 2004, Citoyenneté et Immigration Canada a obtenu une partie du financement accordé par le gouvernement fédéral pour régler les problèmes de détérioration, ce qui devait lui permettre de s’attaquer aux problèmes de vieillissement des systèmes de TI qui se posaient à l’époque.

1.78 En 2005, le Secrétariat du Conseil du Trésor du Canada a publié un rapport intitulé Stratégies pour l’amélioration de la TI et de sa gestion, Examen des services de technologie de l’information, qui présentait les résultats d’une évaluation de l’état des TI au gouvernement fédéral. Il y faisait observer, entre autres, qu’en comparaison avec d’autres organisations semblables, le gouvernement du Canada n’investissait pas suffisamment dans du matériel et des outils logiciels récents.

1.79 Ces dernières années, un nombre toujours grandissant d’organisations ont préparé des profils de risque d’après le Cadre de gestion intégrée du risque du Secrétariat du Conseil du Trésor du Canada. Ils ont recensé plusieurs risques liés au vieillissement des systèmes de TI et les ont documentés. Ainsi, Ressources humaines et Développement des compétences Canada a noté de telles préoccupations dans de nombreux documents soumis au Secrétariat, y compris son profil de risque pour les trois dernières années. D’autres organisations comme Travaux publics et Services gouvernementaux Canada, Citoyenneté et Immigration Canada, la Gendarmerie royale du Canada et l’Agence du revenu du Canada ont aussi soumis des documents soulignant le besoin de mettre à jour et de moderniser leurs systèmes de TI. De plus, lors d’une recherche sur un site Web du gouvernement du Canada, nous avons trouvé de nombreuses mentions de risques et de problèmes de durabilité liés aux actifs de TI vieillissants dans les ministères fédéraux.

1.80 Par ailleurs, en février 2009, le Comité consultatif sur la fonction publique nommé par le Premier ministre a signalé que les systèmes de TI actuellement en place étaient inadéquats, compte tenu de l’objectif du gouvernement de créer un milieu de travail novateur et efficient. Le Comité reconnaît que les investissements requis pour moderniser les systèmes de TI se font attendre depuis trop longtemps, mais il comprend que le gouvernement hésite à aborder cette question vu l’ampleur potentielle des investissements requis.

La Direction du dirigeant principal de l’information n’assume pas pleinement son rôle de chef de file

1.81 Le vieillissement des systèmes de TI est considéré comme un risque important, et nous nous attendions donc à ce que la Direction du dirigeant principal de l’information ait assumé son rôle de chef de file à l’égard de la gestion de ce risque dans l’ensemble du gouvernement. Ce rôle consiste à définir les orientations stratégiques à l’échelle du gouvernement au moyen d’un plan d’action officiel axé sur l’atteinte des objectifs. La Direction est chargée d’établir et de mettre en œuvre les orientations stratégiques en matière de TI à l’échelle du gouvernement; c’est pourquoi nous nous attendions à ce qu’elle ait conçu une stratégie des TI qui préciserait :

  • une vision;
  • les secteurs d’importance;
  • les risques connexes visés par les orientations stratégiques pour les TI;
  • les étapes clés, les produits à livrer, les résultats mesurables et les avantages;
  • l’attribution de la responsabilité de surveiller et de communiquer les progrès.

1.82 La Direction du dirigeant principal de l’information a déjà pris certaines initiatives ayant un lien indirect avec le vieillissement des systèmes de TI. Par exemple, elle a fourni aux organisations des indications sur la façon de déterminer les risques clés et de présenter des rapports à cet égard. La Direction a fourni ces indications par le truchement de politiques, de normes, de lignes directrices, d’outils et d’autres moyens. Elle a communiqué avec la communauté des TI au moyen d’outils électroniques, tels que le courrier électronique et le réseautage social, et de rencontres officielles et non officielles.

1.83 La Direction du dirigeant principal de l’information a présenté des exposés sur les tendances en technologie de l’information à l’occasion de différentes activités tenues au cours des dernières années. Ces exposés témoignent clairement du fait que la Direction était consciente des risques liés au vieillissement des systèmes de TI et connaissait des solutions envisageables pour l’ensemble du gouvernement. Dans un de ces exposés, elle a mentionné que l’absence d’investissement continu et cohérent dans l’infrastructure de TI et l’absence de renouvellement de cette infrastructure constituaient un des six moteurs de changement au gouvernement du Canada. Cela dit, la Direction n’a pas établi officiellement d’orientations stratégiques depuis 1999.

1.84 La Direction n’a pas systématiquement recueilli ni analysé d’information afin d’évaluer la nature, l’étendue et les répercussions des risques liés au vieillissement des systèmes de TI au gouvernement. Actuellement, la Direction n’a pas de stratégie de TI pour l’ensemble du gouvernement qui définisse la vision pour les TI, les orientations stratégiques, les priorités et des plans de travail précisant les étapes clés et les besoins en ressources.

1.85 La Direction n’a pas évalué l’ampleur ni l’urgence du financement requis pour régler le problème du vieillissement des systèmes de TI au cours des prochaines années. Comme nous l’avons indiqué précédemment, le déficit à combler, pour seulement trois organisations, à savoir Ressources humaines et Développement des compétences Canada, la Gendarmerie royale du Canada et l’Agence du revenu du Canada, se chiffrerait à environ 2 milliards de dollars. Compte tenu de l’importance des investissements nécessaires pour faire face aux risques que pose le vieillissement des systèmes de TI, une telle analyse donnerait à la Direction une vue d’ensemble des investissements immédiats et à long terme requis pour s’attaquer à la question.

1.86 Recommandation. La Direction du dirigeant principal de l’information du Secrétariat du Conseil du Trésor du Canada devrait assumer son rôle de chef de file en recueillant et en analysant l’information pertinente permettant d’évaluer l’état des systèmes de TI vieillissants à l’échelle du gouvernement. La Direction devrait préparer un rapport faisant état de son évaluation et des estimations de coûts connexes pour l’ensemble du gouvernement. Elle devrait également, en consultation avec les administrateurs généraux, dresser un plan définissant les orientations stratégiques pour les TI au gouvernement en vue d’atténuer, de façon durable, les risques liés aux systèmes de TI vieillissants.

Réponse du Secrétariat du Conseil du Trésor du Canada. Recommandation acceptée. Le Secrétariat est d’accord, mais souligne que ce n’est pas lui qui formule les besoins en matière de financement et d’investissements, ni pour les ministères et organismes, ni pour le gouvernement; les besoins actuels et futurs en matière d’investissements, tout comme les décisions qui s’y rapportent, sont établis par les ministres et par le Cabinet, ainsi que par les administrateurs généraux en fonction de leurs responsabilités.

En consultation avec les administrateurs généraux et la collectivité des dirigeants principaux de l’information, la Direction du dirigeant principal de l’information du Secrétariat préparera un rapport sur l’état des systèmes de TI vieillissants qui représentent un risque matériel pour le gouvernement. La Direction générale établira aussi une orientation stratégique en matière de systèmes de TI pour le gouvernement du Canada, ainsi que des directives connexes qui aideront les ministères et organismes à effectuer la mise à niveau continue des systèmes de TI névralgiques. L’orientation stratégique établie en collaboration avec la collectivité des dirigeants principaux de l’information aidera les ministères et organismes à définir les priorités en matière d’investissements en TI, y compris en ce qui concerne les systèmes de TI vieillissants qui ont une incidence matérielle pour le gouvernement.

L’évaluation des systèmes de TI vieillissants sera terminée d’ici avril 2011. L’établissement de l’orientation stratégique et des directives connexes pour la mise à niveau continue des systèmes de TI névralgiques sera terminée d’ici mars 2012, et les ministères et organismes seront encouragés à mettre les directives en œuvre à compter de l’exercice 2012-2013.

Conclusion

1.87 Les cinq organisations que nous avons examinées, c’est-à-dire l’Agence du revenu du Canada, Travaux publics et Services gouvernementaux Canada, Ressources humaines et Développement des compétences Canada, la Gendarmerie royale du Canada et Citoyenneté et Immigration Canada, ont cerné les risques liés au vieillissement de leurs systèmes de technologie de l’information et pris certaines mesures pour les gérer.

1.88 Nous avons constaté que, au cours des dix dernières années, les ministères et les organismes, de même que la Direction du dirigeant principal de l’information du Secrétariat du Conseil du Trésor du Canada, étaient conscients des risques associés au vieillissement des systèmes de TI. Malgré cela, la Direction du dirigeant principal de l’information n’a pas fourni d’orientations stratégiques depuis 1999. Le Secrétariat du Conseil du Trésor du Canada, par l’intermédiaire de la Direction du dirigeant principal de l’information, devrait jouer son rôle de chef de file et concevoir une stratégie officielle des TI pour l’ensemble du gouvernement. Pareille stratégie permettrait de fournir des orientations stratégiques et une estimation globale en vue de répondre de façon durable aux besoins d’investissement actuels et futurs du gouvernement.

1.89 La gestion des risques que présente le vieillissement des systèmes de TI pourrait être grandement améliorée dans plusieurs des organisations que nous avons examinées. Nous avons constaté que leur gestion des risques présentait des lacunes importantes.

  • Des cinq organisations que nous avons examinées, seule l’Agence du revenu du Canada pouvait démontrer qu’elle avait bien cerné, géré et limité les risques importants associés au vieillissement de ses systèmes d’information. Elle a préparé un plan d’investissement stratégique pluriannuel afin de gérer son portefeuille d’investissements dans les TI. L’Agence a établi qu’elle avait un manque à gagner important pour pouvoir effectuer des investissements essentiels; si ces investissements ne sont pas réalisés, les activités de l’Agence pourraient être compromises.
  • La Gendarmerie royale du Canada a préparé de nombreux documents, dont un plan d’investissement quinquennal, qui recensent plusieurs problèmes concernant le vieillissement des systèmes de TI. L’organisation n’a pas encore déterminé ses besoins prioritaires en matière d’investissements en vue d’élaborer une stratégie de financement globale pour son portefeuille de TI.
  • Travaux publics et Services gouvernementaux Canada ne gère pas ses investissements dans les TI selon une approche axée sur le portefeuille. Les différentes directions générales du Ministère établissent l’ordre de priorité de ces investissements à l’aide de leurs propres critères. Le Ministère n’a pas préparé de plan d’investissement pluriannuel en matière de TI pour l’ensemble de l’organisation.
  • Ressources humaines et Développement des compétences Canada a conçu son premier plan d’investissement à long terme. Ce plan recense par ordre de priorité les principaux investissements du Ministère dans les technologies de l’information. Le Ministère doit poursuivre l’élaboration des critères d’évaluation devant servir à établir l’ordre de priorité des investissements en TI.
  • Citoyenneté et Immigration Canada reconnaît la nécessité d’évaluer l’ensemble de son portefeuille d’actifs de TI et de préparer un plan d’investissement qui ne vise pas simplement la durabilité de l’infrastructure actuelle. Le Ministère doit encore préparer un plan d’investissement selon une approche de gestion de portefeuille pour bien équilibrer ses investissements dans les TI.

1.90 Deux des trois systèmes que nous avons examinés, à savoir le système d’administration des déclarations de revenus et de prestations et le Programme d’assurance-emploi, présentent des risques importants liés au vieillissement des systèmes de TI. Si ces risques ne sont pas écartés, le niveau de risque global deviendra inacceptable et la distribution des prestations d’assurance-emploi ou l’établissement des cotisations de l’impôt sur le revenu des particuliers pourraient s’en trouver perturbés.

À propos de la vérification

Tous les travaux de vérification dont traite le présent chapitre ont été menés conformément aux normes pour les missions de certification établies par l’Institut Canadien des Comptables Agréés. Même si le Bureau a adopté ces normes comme exigences minimales pour ses vérifications, il s’appuie également sur les normes et pratiques d’autres disciplines.

Objectif

La vérification avait pour objectif de déterminer si les organisations retenues avaient adéquatement cerné les risques relatifs au vieillissement des systèmes de technologie de l’information essentiels et si elles géraient ces risques.

Étendue et approche

Nous avons effectué les tâches suivantes pour examiner la mesure dans laquelle le gouvernement du Canada détermine et gère les risques associés au vieillissement de ses systèmes de TI à l’échelle de l’administration fédérale :

  • Nous avons vérifié la mesure dans laquelle le Secrétariat du Conseil du Trésor du Canada et les cinq organisations gouvernementales retenues avaient cerné et géré les risques liés aux TI mentionnés ci-dessus. Ces cinq organisations étaient les suivantes : l’Agence du revenu du Canada, Travaux publics et Services gouvernementaux Canada, Ressources humaines et Développement des compétences Canada, la Gendarmerie royale du Canada et Citoyenneté et Immigration Canada. Ces cinq organisations ont satisfait aux critères de sélection suivants :
    • Elles fournissent des services importants aux Canadiens.
    • Ce sont des organisations qui utilisent largement les systèmes de TI pour assurer la prestation de leurs services.
    • Elles consacrent des sommes importantes aux TI et sont confrontées à des risques liés aux TI, notamment des risques liés au vieillissement des systèmes de TI.
  • Nous avons aussi examiné trois systèmes essentiels des organisations retenues : le Programme d’assurance-emploi de Ressources humaines et Développement des compétences Canada, le système d’administration des déclarations de revenus et de prestations de l’Agence du revenu du Canada et le Système normalisé des paiements de Travaux publics et Services gouvernementaux Canada. Nous avons choisi ces systèmes parce qu’ils sont au cœur de la prestation de services essentiels aux Canadiens, notamment le traitement et le calcul de l’impôt des particuliers et des entreprises, de même que le versement de prestations de retraite et d’autres prestations liées au revenu. Toute panne de ces systèmes indispensables aurait des répercussions directes sur les entreprises et sur la vie des Canadiens.
  • Enfin, nous avons sondé les dirigeants principaux de l’information de 40 organisations gouvernementales membres du Conseil des dirigeants principaux de l’information du Secrétariat du Conseil du Trésor du Canada. Ensemble, ces organisations effectuent des dépenses en TI représentant plus de 95 % des dépenses fédérales dans le domaine. Le sondage avait pour objet de déterminer l’état de l’infrastructure et des systèmes de TI vieillissants du gouvernement fédéral. Plus précisément, il visait à établir une vue d’ensemble représentative des risques que pose le vieillissement des systèmes de TI indispensables pour la prestation des services gouvernementaux. Les résultats nous ont aussi donné un aperçu des méthodes particulières utilisées par les ministères et les organismes gouvernementaux pour moderniser les systèmes et l’infrastructure de TI. Le taux de réponse au sondage a été de 100 %.

Notre approche comprenait des entrevues avec les représentants du Secrétariat du Conseil du Trésor du Canada et des cinq organisations sélectionnées, l’analyse de divers documents (politiques et lignes directrices) et des rencontres avec les employés et les gestionnaires qui interviennent dans la gestion générale des risques ou dans la gestion des risques associés aux TI. En plus des travaux que nous avons effectués aux administrations centrales, nous nous sommes rendus dans les centres de données et d’appels de Ressources humaines et Développement des compétences Canada situés à Montréal.

Critères

Voici les critères qui ont permis de mener cette vérification ainsi que leurs sources.

Critères Sources

Nous nous attendions à ce que les organismes centraux aient déterminé si le vieillissement des systèmes de TI essentiels pose un risque à l’échelle du gouvernement.

  • Conseil du Trésor, Politique sur la gestion des technologies de l’information, section 8, 2007

Nous nous attendions à ce que les organismes centraux aient, selon les besoins, fourni une orientation ou mené des initiatives pour trouver des solutions pangouvernementales visant à faire face aux risques que pose le vieillissement des systèmes essentiels.

  • Conseil du Trésor, Politique sur la gestion des technologies de l’information, section 8, 2007
  • Conseil du Trésor, Politique de planification des investissementsActifs et Services acquis, section 6.2, 2007
  • Conseil du Trésor, Stratégie de mise en œuvre de la Politique de planification des investissements — Actifs et Services acquis
  • Conseil du Trésor, Politique sur la gestion des projets, section 6.1, 2007
  • Conseil du Trésor, Directive sur la gestion des technologies de l’information, section 8.1, 2009

Nous nous attendions à ce que les organisations retenues aient cerné adéquatement les risques liés au vieillissement des systèmes de TI.

  • Conseil du Trésor, Politique de planification des investissements — Actifs et Services acquis, sections 3.4 et 6.2, 2007
  • Conseil du Trésor, Politique sur la gestion des risques : Annexe B, Phase 1, 2001
  • Conseil du Trésor, Cadre de gestion intégrée du risque : Élément 1 : Élaborer le profil de risque de l’organisation
  • IT Governance Institute, Val IT Framework 2.0 — IM4: Develop full life-cycle costs and benefits (en anglais seulement)
  • IT Governance Institute, COBIT 4.1, PO9.3: Event identification; PO9.4: Risk assessment; PO9.5: Risk response (en anglais seulement)

Nous nous attentions à ce que les organisations retenues aient géré adéquatement les risques liés au vieillissement des systèmes de TI.

  • Conseil du Trésor, Politique de planification des investissements  — Actifs et Services acquis, sections 3.4 et 6.2, 2007
  • Conseil du Trésor, Politique sur la gestion des risques : Annexe B, Phases 2 et 3, 2001
  • Conseil du Trésor, Cadre de gestion intégrée du risque : Élément 3 : Pratiquer une gestion intégrée du risque
  • IT Governance Institute, Val IT Framework 2.0, VG5.3: Define reporting methods and techniques; PM5.1: Monitor and report on investment portfolio performance; PM6.1: Optimise investment portfolio performance; IM4: Develop full life-cycle costs and benefits (en anglais seulement)
  • IT Governance Institute, COBIT 4.1, PO9.1: IT Risk management framework; PO9.5: Risk response; PO9.6: Maintenance and monitoring of a risk action plan. (en anglais seulement)

Nous nous attendions à ce que les organisations retenues aient cerné adéquatement les risques liés aux systèmes de TI essentiels sélectionnés.

  • Conseil du Trésor, Politique de planification des investissements — Actifs et Services acquis, sections 3.4 et 6.2, 2007
  • Conseil du Trésor, Politique sur la gestion des risques : Annexe B, Phase 1, 2001
  • Conseil du Trésor, Cadre de gestion intégrée du risque : Élément 1 : Élaborer le profil de risque de l’organisation
  • IT Governance Institute, Val IT Framework 2.0 — IM4: Develop full life-cycle costs and benefits (en anglais seulement)
  • IT Governance Institute, COBIT 4.1, PO9.3: Event identification; PO9.4: Risk assessment; PO9.5: Risk response. (en anglais seulement)

Nous nous attendions à ce que les organisations retenues aient cerné adéquatement les risques liés aux systèmes de TI essentiels sélectionnés.

  • Conseil du Trésor, Politique de planification des investissements — Actifs et Services acquis, sections 3.4 et 6.2, 2007
  • Conseil du Trésor, Politique sur la gestion des risques : Annexe B, Phases 2 et 3, 2001
  • Conseil du Trésor, Cadre de gestion intégrée du risque : Élément 3 : Pratiquer une gestion intégrée du risque
  • IT Governance Institute, Val IT Framework 2.0, VG5.3 Define reporting methods and techniques; PM5.1: Monitor and report on investment portfolio performance; PM6.1: Optimise investment portfolio performance; IM4: Develop full life-cycle costs and benefits (en anglais seulement)
  • IT Governance Institute, COBIT 4.1, PO9.1: IT Risk management framework; PO9.5: Risk response; PO9.6: Maintenance and monitoring of a risk action plan (en anglais seulement)

La direction a examiné les critères de vérification et elle a reconnu leur validité.

Période visée par la vérification

La vérification a porté sur la période allant de 2007 à 2009. Certains documents examinés qui étaient pertinents pour la période visée par la vérification remontaient jusqu’à 1999. Les travaux de vérification dont il est question dans le présent chapitre ont été pour l’essentiel terminés le 30 novembre 2009.

Équipe de vérification

Vérificatrice générale adjointe : Nancy Y. Cheng
Directeur principal : Richard Brisebois
Premier directeur : Tony Brigandi

Directeurs : Bernard Battistin
Greg Boyd
Marie-Claude La Salle

Simon Couvrette
Violaine Guillerm
Jessica L. Perkins

Pour obtenir de l’information, veuillez joindre la Direction des communications en composant le 613-995-3708 ou le 1-888-761-5953 (sans frais).

Annexe — Tableau des recommandations

Les recommandations formulées au chapitre 1 sont présentées ici sous forme de tableau. Le numéro du paragraphe où se trouve la recommandation apparaît en début de ligne. Les chiffres entre parenthèses correspondent au numéro des paragraphes où le sujet de la recommandation est abordé.

Recommandation Réponse
Gestion des risques au sein des organisations

1.49 Citoyenneté et Immigration Canada, Ressources humaines et Développement des compétences Canada et Travaux publics et Services gouvernementaux Canada devraient adopter une approche axée sur la gestion de portefeuille pour l’ensemble du ministère afin de veiller à cibler les investissements dans les TI actuels et prévus qui favorisent le plus l’atteinte des objectifs opérationnels, avec un niveau de risque acceptable et à un coût raisonnable.
(1.34-1.48)

Réponse de Citoyenneté et Immigration Canada. Recommandation acceptée. Des travaux sont déjà en cours, dans le cadre du processus de planification intégrée des activités de 2010-2011, afin d’élaborer une approche axée sur le portefeuille à l’échelle du Ministère pour les investissements dans les TI. Le Ministère prévoit que le processus sera entièrement mis en place pour le cycle de planification de 2011-2012.

Réponse de Ressources humaines et Développement des compétences Canada. Recommandation acceptée. Le Ministère continuera de renforcer la mise en œuvre de son approche de gestion de portefeuille afin de se rapprocher d’un niveau de maturité optimal.

Réponse de Travaux publics et Services gouvernementaux Canada. Recommandation acceptée. Même si le Ministère a déjà mis en place de nombreux éléments, il reconnaît les avantages d’élaborer un cadre de gestion du portefeuille de TI qui appuiera une approche de gestion de portefeuille pour l’infrastructure des TI et les applications opérationnelles. Le plan sera achevé d’ici juin 2010 et sera mis en œuvre au cours de l’année qui suit.

Le Ministère apportera également des améliorations à son Cadre de gouvernance de la TI afin d’assurer la surveillance de l’approche de gestion du portefeuille. Le Cadre respectera les structures de financement propres au Ministère. Plus précisément, il appuiera la gouvernance des systèmes de TI au sein des programmes dont les modèles de financement comprennent des fonds renouvelables à recouvrement intégral des coûts, des services partagés à recouvrement intégral des coûts et des services communs financés à partir du budget d’exploitation général.

Grâce à son approche actuelle de gestion des investissements en TI, le Ministère a géré avec succès divers projets de transformation opérationnelle axée sur les TI. Le Ministère a obtenu un financement du Conseil du Trésor pour des projets en soumettant des analyses de rentabilisation qui faisaient état de stratégies de gestion des risques. Plus précisément, le Ministère a reçu un financement totalisant 412 millions de dollars pour deux projets de modernisation essentiels et a lui-même financé un investissement de 50 millions de dollars pour d’autres initiatives. Enfin, le financement garanti de 29 millions de dollars du Conseil du Trésor, accordé au Ministère pour l’amélioration des infrastructures en TI, ainsi que l’investissement de 9 millions de dollars réalisé par le Ministère s’intègrent dans le plan quinquennal de renouvellement continu de 61 millions de dollars.

1.50 Citoyenneté et Immigration Canada, Ressources humaines et Développement des compétences Canada et Travaux publics et Services gouvernementaux Canada devraient élaborer un plan d’investissement pluriannuel dans les TI qui assure un bon équilibre entre les investissements obligatoires, de maintien et discrétionnaires requis pour appuyer les systèmes en place et améliorer la prestation des services.
(1.34-1.48)

Réponse de Citoyenneté et Immigration Canada. Recommandation acceptée. Le Ministère possède déjà un plan d’investissement pluriannuel pour l’infrastructure des TI et ajoutera un volet applications pour créer un plan d’investissement intégré pluriannuel. Le plan indiquera les investissements obligatoires, discrétionnaires et de maintien pour permettre le respect des exigences opérationnelles. Le Ministère prévoit que le travail sera achevé au cours des deux prochaines années.

Réponse de Ressources humaines et Développement des compétences Canada. Recommandation acceptée. Le Ministère travaille actuellement à réviser son plan d’investissement pluriannuel, lequel sera terminé en 2010. Ce plan portera particulièrement sur le cycle de vie économique complet des biens de TI et sur l’établissement de mesures quantitatives du rendement afin d’améliorer l’évaluation des risques liés aux biens de technologie du Ministère. Ce plan présentera également une analyse stratégique des options et des scénarios d’investissement fondés sur les sources de financement disponibles.

Réponse de Travaux publics et Services gouvernementaux Canada. Recommandation acceptée. Le Ministère rassemblera les divers éléments de planification existants à partir desquels il produira un plan d’investissement pluriannuel intégré en gestion de l’information et technologie de l’information (GI-TI), qui inclura tous les investissements en matière de TI. Les investissements seront classés comme suit :

  • un portefeuille des biens comprenant les investissements obligatoires et les investissements de maintien;
  • un portefeuille de projets en innovation et en transformation organisationnelle comprenant des investissements discrétionnaires;
  • un portefeuille client, lequel présente une perspective propre à une direction générale de tous les investissements en TI.

En plus de l’information portant sur les portefeuilles, le plan d’investissement en GI-TI fournira un mécanisme permettant d’évaluer les besoins communs en TI de l’ensemble du Ministère afin de veiller à obtenir le meilleur rapport qualité-prix des investissements en TI, tout en prenant en considération la disponibilité probable du financement. Ce plan sera mis à jour annuellement pour tenir compte des décisions d’investissement antérieures, des nouveaux besoins opérationnels et du vieillissement de l’infrastructure et des applications. Ce plan sera élaboré en conformité avec la Politique sur la gestion des technologies de l’information du Conseil du Trésor, et une première version sera achevée d’ici mars 2010.

Ce plan d’investissement détaillé en GI-TI complétera le plan d’investissement intégré que le Ministère travaille à élaborer, en conformité avec la Politique de planification des investissements — Actifs et services acquis du Conseil du Trésor, dont la première version sera présentée au Secrétariat du Conseil du Trésor d’ici la fin mars 2010. Le plan d’investissement intégré fournira un aperçu à l’échelle du Ministère des activités de planification des investissements qui visent les biens immobiliers, le matériel et les technologies de l’information.

Surveillance des risques au sein des organisations

1.59 Ressources humaines et Développement des compétences Canada, Travaux publics et Services gouvernementaux Canada, Citoyenneté et Immigration Canada et la Gendarmerie royale du Canada devraient élaborer un plan d’action pour chaque risque important lié au vieillissement des systèmes de TI. Leur plan devrait comprendre les stratégies précises, les activités clés, les produits à livrer et les échéances nécessaires pour gérer ces risques. Ces organisations devraient soumettre des rapports périodiques de leurs progrès à la haute direction.
(1.51-1.58)

Réponse de Ressources humaines et Développement des compétences Canada. Recommandation acceptée. Le Ministère met présentement à jour son registre des risques ministériels et il continuera de suivre de près les progrès concernant les stratégies d’atténuation et d’en faire part à la haute direction.

Réponse de Travaux publics et Services gouvernementaux Canada. Recommandation acceptée. Le Ministère se servira de l’exercice d’élaboration du profil de risque opérationnel, lancé en décembre 2009 et se terminant en mars 2010, de même que du profil de risque organisationnel mis à jour, afin de valider les risques de l’organisation, y compris ceux qui se rattachent au vieillissement des systèmes de TI et de leurs applications, et de déterminer les nouveaux risques importants au sein du Ministère.

De plus, un exercice portant sur la détermination du profil des risques propres à la TI sera réalisé avec le Comité directeur de la GI-TI ministérielle afin de dresser le profil de risque en matière de TI du Ministère. Chaque risque relevé en matière de TI sera évalué et mis en ordre de priorité par le Comité directeur. On nommera un responsable pour la gestion de chacun des risques et cette personne participera à l’élaboration des stratégies d’atténuation des risques appropriées. Pour chacune des stratégies d’atténuation des risques, on précisera les principaux résultats attendus et les calendriers s’y rapportant, et on établira des indicateurs pour mesurer le succès de chacune d’entre elles. La mise en œuvre de ces stratégies fera l’objet de suivis et de modifications, au besoin. Un rapport de l’état d’avancement et de la réussite de leur mise en œuvre sera présenté à la haute direction, par l’entremise du Comité directeur de la GI-Ti ministérielle et du Comité de gestion du sous-ministre. Travaux publics et Services gouvernementaux Canada terminera la mise en œuvre du processus d’ici l’hiver 2011.

Réponse de Citoyenneté et Immigration Canada. Recommandation acceptée. Au cours des deux prochaines années, le Ministère élaborera un plan d’action pour chacun des risques importants liés aux systèmes de TI vieillissants. Le plan comprendra des stratégies précises, des activités et des calendriers de gestion des risques. De plus, on fera rapport aux cadres supérieurs sur les progrès réalisés, et ce, sur une base trimestrielle.

Réponse de la Gendarmerie royale du Canada. Recommandation acceptée. L’organisation établira des stratégies précises, les activités clés, les produits à livrer et les échéances nécessaires pour gérer ces risques. Depuis janvier 2010, les risques informatiques importants qui sont associés au vieillissement des systèmes sont signalés dans le registre des risques organisationnels, conformément à la Politique sur la gestion des risques du Conseil du Trésor. Des mises à jour trimestrielles seront effectuées relativement à la gestion des risques.

Stratégie de financement pour faire face aux risques

1.71 Ressources humaines et Développement des compétences Canada et la Gendarmerie royale du Canada devraient préparer une stratégie de financement appropriée. Cette stratégie devrait présenter des options d’investissement ou des scénarios qui tiennent compte des sources de financement les plus probables au cours de la période de planification quinquennale.
(1.60-1.70)

Réponse de Ressources humaines et Développement des compétences Canada. Recommandation acceptée. Le Ministère examinera son modèle de gouvernance dans l’ensemble de l’organisation pour s’assurer que des processus adéquats sont en place pour les priorités en matière de TI. Il se penchera sur sa stratégie de financement et sur une affectation équilibrée des ressources à divers projets de technologie.

Réponse de la Gendarmerie royale du Canada. Recommandation acceptée. Le dernier plan d’investissement de l’organisation a été établi en 2009 afin de respecter la nouvelle Politique de planification des investissements du Conseil du Trésor. Les investissements en TI prévus dans le plan seront réexaminés et mis à jour tous les trois mois pour veiller à ce que les ressources soient allouées en fonction des besoins de la Gendarmerie royale du Canada. Les investissements en TI seront classés selon les priorités fonctionnelles établies par le Conseil d’examen stratégique du secteur du dirigeant principal de l’information.

Détermination et gestion des risques par le Secrétariat du Conseil du Trésor du Canada

1.86 La Direction du dirigeant principal de l’information du Secrétariat du Conseil du Trésor du Canada devrait assumer son rôle de chef de file en recueillant et en analysant l’information pertinente permettant d’évaluer l’état des systèmes de TI vieillissants à l’échelle du gouvernement. La Direction devrait préparer un rapport faisant état de son évaluation et des estimations de coûts connexes pour l’ensemble du gouvernement. Elle devrait également, en consultation avec les administrateurs généraux, dresser un plan définissant les orientations stratégiques pour les TI au gouvernement en vue d’atténuer, de façon durable, les risques liés aux systèmes de TI vieillissants.
(1.72-1.85)

Réponse du Secrétariat du Conseil du Trésor du Canada. Recommandation acceptée. Le Secrétariat est d’accord, mais souligne que ce n’est pas lui qui formule les besoins en matière de financement et d’investissements, ni pour les ministères et organismes, ni pour le gouvernement; les besoins actuels et futurs en matière d’investissements, tout comme les décisions qui s’y rapportent, sont établis par les ministres et par le Cabinet, ainsi que par les administrateurs généraux en fonction de leurs responsabilités.

En consultation avec les administrateurs généraux et la collectivité des dirigeants principaux de l’information, la Direction du dirigeant principal de l’information du Secrétariat préparera un rapport sur l’état des systèmes de TI vieillissants qui représentent un risque matériel pour le gouvernement. La Direction générale établira aussi une orientation stratégique en matière de systèmes de TI pour le gouvernement du Canada, ainsi que des directives connexes qui aideront les ministères et organismes à effectuer la mise à niveau continue des systèmes de TI névralgiques. L’orientation stratégique établie en collaboration avec la collectivité des dirigeants principaux de l’information aidera les ministères et organismes à définir les priorités en matière d’investissements en TI, y compris en ce qui concerne les systèmes de TI vieillissants qui ont une incidence matérielle pour le gouvernement.

L’évaluation des systèmes de TI vieillissants sera terminée d’ici avril 2011. L’établissement de l’orientation stratégique et des directives connexes pour la mise à niveau continue des systèmes de TI névralgiques sera terminée d’ici mars 2012, et les ministères et organismes seront encouragés à mettre les directives en œuvre à compter de l’exercice 2012-2013.

 

Version PDF

Pour consulter la version PDF (format de document portable), vous devez avoir un lecteur PDF sur votre ordinateur. Si vous n’en avez pas déjà un, il existe de nombreux lecteurs PDF que vous pouvez télécharger gratuitement ou acheter dans Internet :