Vérification de la gestion de l'information

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Le 13 mai 2010

Préparée par le Centre de gestion publique Inc.

1.0 Sommaire

La gestion de l'information fait partie intégrante des activités quotidiennes du Commissariat à la protection de la vie privée (CPVP), et de nombreux outils et systèmes de gestion de l'information entrent dans le processus décisionnel de la direction.

L'objectif de la vérification était de déterminer l'efficacité de la structure de gouvernance, des processus de gestion du risque ainsi que des contrôles de gestion et de fonctionnement qui sont en place pour appuyer la gestion de l'information au CPVP. La vérification a porté sur les principales activités liées à la gestion de l'information au CPVP, y compris les demandes de renseignements, les enquêtes, les vérifications, les examens, les évaluations des facteurs relatifs à la vie privée (EFVP), les activités de communication et de sensibilisation auprès de la population, la recherche, l'élaboration de politiques, les affaires parlementaires et les activités liées aux litiges.

Les principales constatations et recommandations qui découlent de la vérification se classent en trois grands thèmes, qui reflètent les critères utilisés lors du travail sur le terrain, qui a été effectué pendant les mois de juillet et d'août 2009.

Rapports sur le rendement

La plupart des données sur le rendement du CPVP sont tirées des tableaux de bord mensuels (services fournis au public), des rapports trimestriels (données internes) et du cadre de mesure du rendement (CMR), qui appuie le résultat stratégique du CPVP voulant que le droit des individus à la vie privée soit protégé.

Principales constatations

  • Il n'existe aucune formation officielle et consignée par écrit sur l'utilisation des outils de rapports sur le rendement. Les documents à l'appui des tableaux de bord ne décrivent pas les renseignements utiles tels que les systèmes sources, les sources externes reconnues ainsi que les exigences, les processus et les échéances liés à la collecte de données. Aucun cadre de référence n'a été élaboré pour les rapports trimestriels. De plus, Gestion intégrée ne dispose ni des documents sources ni du mandat pour réaliser un véritable examen de la qualité.

Recommandations

  • La direction doit poursuivre l'élaboration d'un cadre de référence officiel pour les rapports trimestriels.
  • Les gestionnaires des directions, en collaboration avec Gestion intégrée, doivent élaborer un cadre de référence propre à chaque direction pour les tableaux de bord. Ce cadre de référence définirait divers éléments, notamment les processus détaillés, les exigences en matière d'information ainsi que les responsabilités liés aux tableaux de bord.
  • La direction doit élaborer et offrir aux employés une formation officielle sur les mécanismes et les outils sur le rendement pertinents pour le CPVP, par exemple les tableaux de bord mensuels et les rapports trimestriels.

Exigences opérationnelles

Les principales activités du CPVP sont les demandes de renseignements et les enquêtes, qui reposent toutes deux sur des dossiers de cas. Le CPVP tient des dossiers à la fois électroniques et papier. En plus de ses principales activités, le Commissariat utilise de l'information essentiellement électronique pour gérer ses projets et communiquer avec ses partenaires.

Principales constatations

  • Pendant que se déroulait la vérification, le CPVP procédait au remplacement de son système de gestion des plaintes, l'Application d'enquête intégrée (AEI), par le nouveau Système de gestion des cas (SGC). La mise en place du SGC s'est terminée après le travail sur le terrain réalisé dans le cadre de la vérification, mais avant la publication du rapport. La vérification a donc porté sur la planification du projet et sur les exigences pour le nouveau système.During the course of the audit the OPC was in the process of replacing its existing case management system, the Integrated Investigation Application (IIA), with the new Case Management System (CMS). Implementation of the CMS was Terminé after the completion of the audit fieldwork but prior to the issuance of this audit report, and as such the audit focused on project planning and requirements for the new system.
  • Les vérificateurs ont relevé qu'aucun document officiel ne consignait les évaluations du risque et les activités de planification de suivi de la conversion, même si ces processus ont eu lieu.

Recommandations

  • La direction doit élaborer une stratégie officielle et consignée par écrit de suivi de la mise en œuvre du SGC pour soutenir continuellement le système.
  • Pour les prochains projets de TI, la direction doit réaliser et consigner par écrit une évaluation officielle du risque lié à la conversion des données, accompagnée de stratégies d'atténuation, afin de réduire au minimum les risques de problèmes liés aux données ou aux rapports.
  • En raison de l'importance du SGC pour les activités du CPVP, la direction doit réaliser un suivi du systèmeNote de bas de page 1 pour vérifier qu'il atteint ses objectifs (particulièrement en ce qui concerne l'information de gestion à l'appui du processus décisionnel) et s'assurer de cerner les possibilités d'amélioration.

Structure de gouvernance, mécanismes et ressources

La Division de la GI/TI est responsable de la gouvernance de la gestion de l'information, de même que des systèmes informatiques qui acheminent l'information électronique dans l'ensemble du CPVP. La gouvernance de l'information elle-même relève des directions qui la créent. En juin 2009, la Division de la GI/TI a publié un plan stratégique de GI/TI dans lequel elle aborde ces défis et possibilités.

Principales constatations

  • Le CPVP n'a pas de processus officiel d'intégration ou d'interconnexion des sources et des recherches qui ont fait l'objet d'un suivi au sein des directions. Un tel processus faciliterait la prestation des services et la réalisation des tâches, mais le Système de gestion des dossiers, des documents et de l'information (SGDDI) n'offre pas cette possibilité.
  • On a grandement recours à des tableurs pour faciliter la prise de décisions de la direction, mais aucune ligne directrice n'est en place au CPVP pour contrôler ces applications logicielles d'usager.
  • Le plan stratégique de GI/TI et la mise en œuvre du SGC sont d'importantes initiatives de changement. Toutefois, même si des activités de gestion du changement ont eu lieu, aucun plan officiel et consigné par écrit de communication et de gestion du changement n'est en place pour traiter le « facteur humain » de ces changements.

Recommandations

  • La direction doit poursuivre sa stratégie d'amélioration des services internes en matière de gestion de l'information, pour intégrer ou consolider les outils actuels de gestion de l'information et d'échange de renseignements par la révision des processus opérationnels réalisée par les directions du CPVP.
  • La direction doit élaborer des lignes directrices se rapportant aux principales applications logicielles d'usager utilisées pour la prise de décisions par la direction, en plus de les mettre en œuvre et d'en surveiller l'application. Ces lignes directrices porteraient sur les essais, la documentation, le contrôle du changement et les copies de secours.
  • La direction doit améliorer les règles opérationnelles du SGDDI afin de tenir compte de l'assurance de la qualité, pour assurer la fiabilité, l'utilité, l'exactitude et l'accessibilité de l'information contenue dans le SGDDI.
  • La direction doit élaborer un plan officiel et consigné par écrit de communication et de gestion du changement en matière de GI/TI pour faciliter la mise en place des initiatives définies dans le plan stratégique de GI/TI.

Conclusion

D'après les résultats de la vérification, nous pouvons conclure que, même si des progrès importants ont été accomplis relativement à la mise en place de la structure de gouvernance, des processus de gestion du risque ainsi que des contrôles de gestion et de fonctionnement pour appuyer la gestion de l'information au CPVP, des améliorations s'imposent pour satisfaire pleinement aux critères de vérification. La mise en œuvre réussie du SGC et des recommandations formulées dans ce rapport, ainsi que la réalisation d'autres initiatives entreprises par la direction, viendront renforcer la gestion de l'information au CPVP.

Énoncé d'assurance

Cette vérification a été effectuée conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de la vérification interne de l'Institut des vérificateurs internes. Les vérificateurs ont examiné suffisamment de preuves pertinentes et obtenu des explications et des renseignements suffisants pour offrir un niveau raisonnable d'assurance concernant la conclusion présentée.

Signé :

(La version originale a été signée par)

Centre de gestion publique Inc.

Le 15 septembre 2009

Date

2.0 Contexte

2.1 Introduction

Mandat du Commissariat à la protection de la vie privée (CPVP)

Le Commissariat chapeaute l'application de deux lois : la Loi sur la protection des renseignements personnels, qui porte sur les pratiques relatives au traitement des renseignements personnels dans les ministères et les organismes fédéraux, et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), c'est-à-dire la loi canadienne sur la protection des renseignements personnels dans le secteur privé.

Le commissaire à la protection de la vie privée est un agent du Parlement qui relève directement de la Chambre des communes et du Sénat. Il travaille indépendamment d'autres entités du gouvernement pour examiner les plaintes provenant de personnes concernant le secteur public fédéral et le secteur privé.

Le commissaire défend le droit des Canadiennes et des Canadiens à la vie privée, et ses pouvoirs comprennent notamment les suivants :

  • enquêter sur les plaintes, mener des vérifications et intenter des poursuites judiciaires en vertu de deux lois fédérales;
  • publier de l'information sur les pratiques relatives au traitement des renseignements personnels dans les secteurs public et privé;
  • appuyer, effectuer et rendre publiques des recherches sur des enjeux liés à la protection de la vie privée;
  • sensibiliser la population aux enjeux touchant la protection de la vie privée et les lui faire comprendre.

Le CPVP vise l'atteinte d'un résultat stratégique unique : le droit des individus à la vie privée est protégé. Son architecture des activités de programmes (AAP) repose sur trois piliers : les activités relatives à la conformité (enquêtes, demandes de renseignements, vérifications), la recherche et l'élaboration de politiques, et la sensibilisation du public. Ces trois activités de programmes sont appuyées par une quatrième activité qui permet au CPVP de remplir son mandat : les services internes.

Contexte des initiatives de gestion au CPVP

À titre d'agent du Parlement, le CPVP travaille indépendamment du gouvernement du Canada et n'est donc pas tenu de participer aux initiatives lancées au sein de la fonction publique pour améliorer la gestion. Toutefois, le Commissariat est fermement résolu à atteindre une norme d'excellence organisationnelle, à appliquer de saines pratiques de gestion des activités et à améliorer son rendement de façon continue.

Au cours des trois dernières années, le CPVP a déployé des efforts considérables pour mettre en place un cadre de gestion fiable, notamment en élaborant et en approuvant un cadre de mesure du rendement de même qu'en adoptant une méthode d'autoévaluation des processus et des pratiques de gestion par rapport aux exigences du cadre de responsabilisation de gestion (CRG).

Gestion de l'information à l'appui du processus décisionnel

Le Commissariat utilise de nombreux systèmes et outils pour créer de l'information qui viendra éclairer le processus décisionnel. L'Application d'enquête intégrée (AEI) appuie les principales activités du CPVP (enquêtes et demandes de renseignements) depuis 2004. L'AEI est une application interne conçue par et pour le Commissariat à l'information du Canada. Le CPVP l'a ensuite adaptée à ses besoins en matière de protection des renseignements personnels. L'AEI a été mise en œuvre au CPVP en janvier 2004. Quelques années plus tard, le Commissariat s'est rendu à l'évidence que l'application ne pouvait générer toute l'information dont la direction avait besoin pour prendre ses décisions. Les lacunes de l'AEI sont attribuables à au moins deux facteurs. D'une part, la plateforme avait atteint son plein potentiel technologique, de sorte que le traitement des nouvelles demandes de changement entraînait des coûts très élevés. D'autre part, pour toutes sortes de raisons, plusieurs champs de données n'étaient pas utilisés, ce qui rendait difficile la création d'information de gestion qui serait utile pour la prise de décisions opérationnelles ainsi que la surveillance du rendement et la production de rapports connexes.

Depuis 2007 2008, le CPVP travaille à la mise en œuvre du Système de gestion des cas (SGC), une nouvelle application conçue sur mesure pour remplacer l'AEI. Créé à l'aide d'outils commerciaux, le SGC est une application Web, qui se veut accessible à tous les utilisateurs qui en ont besoin. La mise en place du SGC coïncide avec une importante initiative de révision entreprise au CPVP pour améliorer l'efficacité des processus liés aux demandes de renseignements et aux enquêtes.

Outre l'AEI et le SGC, bien d'autres outils ont été créés pour faciliter l'échange de renseignements entre les directions, y compris le Coin juridique (base de données améliorée contenant des renseignements juridiques), un dépôt central de dossiers de plainte, une liste des évaluations des facteurs relatifs à la vie privée (EFVP), la collecte et la diffusion d'information sur les nouveaux enjeux liés aux technologies et à la protection de la vie privée, la formation des enquêteurs sur les questions juridiques, de même qu'une base de données sur les litiges (en cours d'élaboration). De plus, le CPVP travaille sur une application SharePoint qui intégrera davantage d'information sur les principales activités du Commissariat, à commencer par les quatre domaines prioritaires énoncés dans le Rapport sur les plans et les priorités de 2008 2009. Cette application offrira un environnement de travail favorable à l'échange de renseignements et à la saine gestion de projets, par exemple grâce à un calendrier des tâches importantes et à divers indicateurs de rendement.

Au CPVP, la planification des activités de gestion de l'information fait partie des processus de planification stratégique et de planification des activités. Au troisième trimestre de 2008 2009, le Commissariat a lancé une initiative de mise à jour de la stratégie de GI/TI, projet soumis à la haute gestion en juin 2009.

Effectuée par le Centre de gestion publique Inc. au nom du CPVP, la vérification s'inscrit dans le Plan de vérification interne axé sur les risques pour 2009 2010 à 2011 2012, approuvé par le Comité de vérification de l'organisation en mars 2009. La vérification, qui visait l'exercice 2008 2009, a été réalisée conformément à la Politique sur la vérification interne du gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de la vérification interne de l'Institut des vérificateurs internes.

2.2 Objectif

L'objectif de la vérification était de déterminer l'efficacité de la structure de gouvernance, des processus de gestion du risque ainsi que des contrôles de gestion et de fonctionnement qui sont en place pour appuyer la gestion de l'information au CPVP.

2.3 Portée

La vérification a porté sur la gestion de l'information dans le cadre des principales activités du CPVP, y compris les demandes de renseignements, les enquêtes, les vérifications, les EFVP, les activités de communication et de sensibilisation auprès de la population, la recherche, l'élaboration de politiques, les affaires parlementaires, les activités liées aux litiges, la gestion financière et la gestion des ressources humaines.

La vérification tient compte de l'initiative de révision des processus de demande de renseignements et d'enquête de même que du SGC, qui constitue un projet connexe. Puisque la mise en place du SGC s'est terminée après le travail sur le terrain réalisé dans le cadre de la vérification, il est trop tôt pour déterminer si les objectifs ont été atteints. Un examen du suivi de la mise en œuvre du système serait plus approprié pour ce faire.

La vérification visait à déterminer si la direction et le personnel du CPVP font preuve de la rigueur et de la discipline nécessaires à la gestion de l'information, de façon à permettre, en temps voulu, la création d'information fiable et utile selon une démarche uniforme et efficace. La vérification visait l'exercice 2008 2009.

2.4 Méthode et critères de vérification

Voici les critères de vérification qui ont servi à formuler les observations et les conclusions :

  • Rapports sur le rendement : Les rapports sur le rendement, qui résultent des programmes et des services du CPVP, fournissent, en temps opportun, de l'information claire, précise, fiable, exhaustive, pertinente et accessible qui éclaire le processus décisionnel de la direction et la prise de décisions opérationnelles.
  • Exigences opérationnelles : Au CPVP, l'information et les dossiers sont gérés comme des biens de grande valeur qui appuient les programmes et les services du Commissariat, répondent à ses besoins opérationnels et l'aident à remplir ses obligations et fonctions, tout en satisfaisant aux besoins en matière d'information des utilisateurs.
  • Structure de gouvernance, mécanismes et ressources : Le CPVP a mis en place une structure de gouvernance, des mécanismes et des ressources (processus de gestion, mécanismes d'échange de renseignements, processus de collecte, contrôles, plans de communication) pour assurer une gestion continue et efficace de l'information.

Voici les activités menées par le CPVP aux étapes de la planification, de l'exécution de la vérification et de la production de rapports :

  • analyse des documents pertinents se rapportant à la gestion de l'information;
  • réalisation d'entrevues avec la haute gestion et certains membres du personnel;
  • évaluation du risque dans chaque domaine fonctionnel;
  • élaboration de critères de vérification selon les résultats de l'évaluation du risque;
  • création d'un programme de vérification détaillé.

3.0 Observations et recommandations détaillées

3.1 Rapports sur le rendement

Critère de vérification : Les rapports sur le rendement, qui résultent des programmes et des services du CPVP, fournissent, en temps opportun, de l'information claire, précise, fiable, exhaustive, pertinente et accessible qui éclaire le processus décisionnel de la direction et la prise de décisions opérationnelles.

Au CPVP, les données sur le rendement sont principalement présentées à l'aide des outils suivants :

  • tableaux de bord mensuels : information sur les activités et les délais relatifs aux services que le CPVP offre à la population;
  • rapports trimestriels : données internes sur les ressources financières et humaines;
  • cadre de mesure du rendement (CMR) : indicateurs qui contribuent aux résultats stratégiques du CPVP.

Certaines personnes rencontrées étaient préoccupées par l'exactitude et la cohérence des rapports sur le rendement. Pour analyser le risque que peut poser le manque d'exactitude et de cohérence de l'information sur le rendement, l'équipe de vérification a effectué des contrôles relativement aux tableaux de bord mensuels et aux rapports trimestriels, puis consigné par écrit le processus de collecte et de communication de l'information. Les procédures de vérification prévoyaient une évaluation du cadre de référence et du matériel de formation utilisés, le cas échéant.

Voici les résultats de cette vérification :

  • Les tableaux de bord mensuels et le CMR ont des cadres de référence pour définir la façon d'utiliser ces outils, ce qui n'est pas le cas des rapports trimestriels. Le cadre de référence est un document essentiel qui garantit l'interprétation uniforme de l'information par tous les intervenants, autant ceux qui la fournissent que ceux qui la consultent. Cette cohésion est particulièrement importante dans le cas de l'information financière, comme celle que renferment les rapports trimestriels; en effet, la préparation de ce type d'information repose sur de nombreuses hypothèses.
  • Les employés n'ont accès à aucune formation officielle et consignée par écrit concernant l'utilisation des outils. En outre, le cadre de référence pour les tableaux de bord ne fournit pas de renseignements utiles tels que les systèmes sources, les sources externes reconnues ainsi que les exigences, les processus et les délais liés à la collecte de données. Ces renseignements sont capitaux pour garantir la cohérence de l'information sur le rendement d'un mois à l'autre, surtout lorsqu'il y a roulement du personnel.
  • En s'aidant de ses propres documents, tableurs et systèmes sources, chaque direction remplit les tableaux de bord et les rapports trimestriels. Après avoir été examinés par les gestionnaires et les chefs des directions, les tableaux de bord et les rapports sont évalués par Gestion intégrée sur les plans de la logique et de l'uniformité avec les rapports des mois précédents. Gestion intégrée n'a aucun mandat officiel d'assurance de la qualité ni aucun accès aux documents sources qui lui permettraient d'approfondir l'examen.
  • Puisque la collecte de données relève d'une personne-ressource dans chacune des directions, il devient difficile d'exécuter cette tâche lorsque la personne en question est en congé de maladie ou en vacances, sans compter le manque de directive claire mentionné plus haut. Tous ces facteurs augmentent le risque d'obtenir de l'information sur le rendement incomplète ou inexacte.

Conclusion

Le système de production de rapports sur le rendement doit être amélioré de façon à fournir, en temps opportun, de l'information claire, précise, fiable, exhaustive, pertinente et accessible qui éclaire le processus décisionnel de la direction et la prise de décisions opérationnelles.

Recommandations

  • 1. La direction doit poursuivre l'élaboration d'un cadre de référence officiel pour les rapports trimestriels.
  • 2. Les gestionnaires des directions, en collaboration avec Gestion intégrée, doivent élaborer un cadre de référence propre à chaque direction pour les tableaux de bord. Ce cadre de référence ou ces lignes directrices définiraient divers éléments, notamment les processus détaillés, les exigences en matière d'information ainsi que les responsabilités liés aux tableaux de bord.
  • 3. La direction doit élaborer et offrir aux employés une formation officielle sur les mécanismes et les outils sur le rendement pertinents pour le CPVP, par exemple les tableaux de bord mensuels et les rapports trimestriels.

3.2 Exigences opérationnelles

Critère de vérification : Au CPVP, l'information et les dossiers sont gérés comme des biens de grande valeur qui appuient les programmes et les services du Commissariat, répondent à ses besoins opérationnels et l'aident à remplir ses obligations et fonctions, tout en satisfaisant aux besoins en matière d'information des utilisateurs.

Les principales activités du CPVP sont les demandes de renseignements et les enquêtes, qui reposent toutes deux sur des dossiers de cas. Le CPVP tient des dossiers à la fois électroniques et papier.

L'équipe de vérification s'attendait à ce que les dossiers en format électronique et papier, ainsi que d'autres renseignements, soient gérés de manière à être accessibles à tous les utilisateurs qui en ont besoin, au moment voulu, le tout dans le respect des exigences relatives à la protection de la vie privée, à la confidentialité et au « besoin de connaître ».

En plus de ses principales activités, le Commissariat utilise de l'information essentiellement électronique pour gérer ses projets et communiquer avec ses partenaires. Cette information, qui se rapporte aux dossiers autres que les dossiers de cas, est abordée à la section 3.3, Structure de gouvernance, mécanismes et ressources.

3.2.1 Gestion des dossiers de cas en format électronique

Rappelons que l'Application d'enquête intégrée (AEI) était le système de gestion des plaintes utilisé à l'étape de l'exécution de la vérification. Puisque l'AEI ne répondait pas aux besoins du CPVP en matière de rapports et de flexibilité, le Commissariat a décidé de la remplacer par le Système de gestion des cas (SGC). La mise en place du SGC s'est terminée après le travail sur le terrain réalisé dans le cadre de la vérification, mais avant la publication du rapport, ce dont on a tenu compte.

Le nouveau SGC est une application personnalisée qui devrait combler les lacunes de l'AEI liées au manque d'information en générant automatiquement les rapports sur le rendement qui sont maintenant préparés de façon manuelle.

Voici les objectifs opérationnels et fonctionnels du SGC :

  • élaborer de nouveaux processus liés aux demandes de renseignements, aux plaintes et aux enquêtes et revoir les processus existants pour en accroître l'efficacité et la flexibilité;
  • mettre en œuvre les nouveaux processus et la nouvelle solution de gestion des cas dans l'ensemble du CPVP, dans tous les secteurs d'activités qui participent aux enquêtes ainsi qu'à la réception et au traitement des demandes de renseignements et des plaintes;
  • prendre en compte les besoins des directions autres qu'Enquêtes et demandes de renseignements, y compris les exigences liées aux systèmes, dans le but d'optimiser les systèmes existants.

Voici les attentes des gestionnaires d'Enquêtes et demandes de renseignements à l'égard du SGC :

  • interface avec le SGDDI;
  • fonctions avancées de productions de rapports, y compris de rapports spéciaux;
  • recherche avancée à l'aide d'un plus grand nombre de champs;
  • fonction de requête sur les cas qui éliminerait les rapports papier;
  • rapports sur l'emploi du temps uniformes pour toutes les directions;
  • possibilité de voir les tendances (p. ex. nombre de ressources consacrées à un cas, arriérés).

Les économies prévues permettraient de planifier la charge de travail, d'accroître l'exactitude des données servant au processus décisionnel et à la présentation de rapports au Parlement, et d'anticiper les problèmes.

Lorsque le travail sur le terrain a pris fin, la mise en correspondance de l'information avait été effectuée, une version pilote du système avait été lancée et un prototype avait été créé. Étant donné que la mise en place du SGC a débuté pendant le travail réalisé sur le terrain, la vérification a porté sur la définition des exigences et l'évaluation du risque. Voici les résultats de cette vérification :

  • Malgré les mesures entreprises, les exigences de suivi de la mise en œuvre du SGC n'ont pas été bien définies (nombre de ressources disponibles pour faire fonctionner le système, nombre de ressources disponibles pour traiter les changements de volume, exigences de maintenance, etc.). Il s'agit pourtant de renseignements indispensables pour veiller à ce que le système réponde aux attentes une fois mis en place. Ces exigences ont été définies après la fin du travail sur le terrain réalisé dans le cadre de la vérification, mais elles n'ont pas été officialisées par écrit dans une stratégie de suivi. Cette stratégie est habituellement élaborée et consignée par écrit au début du projet, puis adaptée à mesure que les travaux avancent.
  • Selon les commentaires recueillis auprès du CPVP, la conversion des données après la fin du travail sur le terrain a été effectuée avec succès. Bien que certaines personnes aient mentionné que la planification et l'exécution du projet ont tenu compte du risque lié à la conversion des données ainsi que des stratégies d'atténuation, la vérification révèle que ces renseignements n'ont pas été consignés par écrit avant la conversion. La transition entre des systèmes aussi complexes et importants que l'AEI et le SGC pose un risque élevé qui peut avoir des répercussions sur la production de rapports; c'est pourquoi elle doit faire l'objet d'une évaluation du risque et d'une stratégie d'atténuation officielles avant la conversion.

Conclusion

Comme l'avait observé la direction, l'AEI ne répondait aux besoins en gestion de l'information du CPVP. Bien que le SGC comble ces lacunes, sa mise en œuvre n'était pas terminée au moment de la vérification, ce qui empêche la formulation de toute conclusion à ce stade-ci. Pour les prochains projets, des stratégies officielles d'atténuation du risque et de suivi devront être élaborées et consignées par écrit avant le début des travaux.

Recommandations

  • 4. La direction doit élaborer une stratégie officielle et consignée par écrit de suivi de la mise en œuvre du SGC pour soutenir continuellement le système.
  • 5. Pour les prochains projets de TI, la direction doit réaliser et consigner par écrit une évaluation officielle du risque lié à la conversion des données, accompagnée de stratégies d'atténuation, afin de réduire au minimum les risques de problèmes liés aux données ou aux rapports.
  • 6. En raison de l'importance du SGC pour les activités du CPVP, la direction doit réaliser un suivi du systèmeNote de bas de page 2 pour vérifier qu'il atteint ses objectifs (particulièrement en ce qui concerne l'information de gestion à l'appui du processus décisionnel) et s'assurer de cerner les possibilités d'amélioration.

3.2.2 Gestion des dossiers de cas en format papier

Les dossiers imprimés présentent des avantages et des risques différents de ceux associés aux dossiers électroniques. Bien qu'un dossier papier soit facile à protéger, si on l'égare, il n'y a généralement pas de copie de secours. C'est pourquoi le CPVP possède un système de suivi de l'emplacement des dossiers papier. L'équipe de vérification a mis ce système à l'essai et a été en mesure de trouver tous les dossiers sélectionnés.

Conclusion

De façon générale, l'information et les dossiers en format papier sont gérés comme des biens de grande valeur.

3.3 Structure de gouvernance, mécanismes et ressources

Critère de vérification : Le CPVP a mis en place une structure de gouvernance, des mécanismes et des ressources (processus de gestion, mécanismes d'échange de renseignements, processus de collecte, contrôles, plans de communication) pour assurer une gestion continue et efficace de l'information.

De nombreuses personnes à l'interne participent au processus de gestion de l'information au CPVP, notamment en créant et en utilisant l'information. La Division de la GI/TI est responsable de la gouvernance de la gestion de l'information, de même que des systèmes informatiques qui acheminent l'information électronique dans l'ensemble du CPVP. La gouvernance de l'information elle-même relève des directions qui la créent. En juin 2009, la Division de la GI/TI a publié un plan stratégique de GI/TI dans lequel elle aborde ces défis et possibilités.

3.3.1 Utilisation des outils de gestion de l'information et d'échange de renseignements pour assurer une gestion continue et efficace de l'information

Le CPVP dispose de plusieurs outils internes de gestion de l'information et d'échange de renseignements pour assurer le soutien continu de ses activités. Citons notamment les disques partagés, le Système d'information sur les ressources humaines (SIRH), le Système de gestion des dossiers, des documents et de l'information (SGDDI), et SharePoint. Le CPVP utilise également des outils de communication externe comme son site Web, les blogues et Twitter. Tous ces outils doivent non seulement favoriser l'échange de renseignements au sein du CPVP, mais aussi informer les gens à l'interne de ce qui se dit à l'externe.

Voici les résultats de la vérification :

  • Le CPVP a pour politique d'utiliser le SGDDI pour toutes les étapes de la gestion de l'information, dans la mesure du possible.
  • Le SGDDI n'est pas exploité à son plein potentiel en tant qu'outil de gestion de l'information. Différentes raisons expliquent cette situation :
    • le contenu du SGDDI ne fait l'objet d'aucun processus officiel d'assurance de la qualité et, par conséquent, l'utilisateur peut difficilement évaluer la confidentialité, la fiabilité, la finalité et l'exactitude de l'information qui s'y trouve;
    • l'utilisateur n'a pas l'habitude d'indiquer laquelle des versions d'un document est la version finale;
    • bon nombre de documents dans le SGDDI ne sont accessibles qu'à leur auteur;
    • bien que le SGDDI permette de classer et de consulter les courriels une fois qu'ils ont été envoyés, cette fonction n'est pas très utilisée.
  • Le CPVP n'a pas de processus officiel d'intégration ou d'interconnexion des sources et des recherches qui ont fait l'objet d'un suivi au sein des directions; un tel processus faciliterait la prestation des services et l'exécution des tâches. Par conséquent, l'échange de renseignements repose beaucoup plus sur les relations personnelles que sur les systèmes d'information.
  • Pour assurer le soutien continu des activités du CPVP, la direction a fait de l'amélioration des services internes une priorité de son plan stratégique de GI/TI. Cette amélioration consiste à intégrer ou à consolider les outils actuels de gestion de l'information et d'échange de renseignements par la révision des processus opérationnels réalisée par les directions du CPVP.

Conclusion

De façon générale, le CPVP a mis en place une structure de gouvernance, des mécanismes et des ressources pour assurer une gestion continue et efficace de l'information. Toutefois, en raison de l'évolution constante des technologies, certains points peuvent être améliorés; ces points ont d'ailleurs été inclus par la direction dans le plan stratégique de GI/TI.

Recommandation

  • 7. La direction doit poursuivre sa stratégie d'amélioration des services internes en matière de gestion de l'information, pour intégrer ou consolider les outils actuels de gestion de l'information et d'échange de renseignements par la révision des processus opérationnels réalisée par les directions du CPVP.

3.3.2 Risques et avantages liés aux applications logicielles d'usager

Les applications logicielles d'usager sont de petites applications, habituellement des tableurs ou des bases de données, développées par les utilisateurs finaux pour les aider à accomplir leurs tâches quotidiennes. Ces applications comportent à la fois des avantages et des risques. En permettant à l'utilisateur de manipuler l'information et d'en faire le suivi, en particulier l'information extraite de gros systèmes, elles peuvent réduire l'effort de travail et améliorer le processus d'analyse. Par contre, la complexité des tableurs et des bases de données, combinée à l'absence fréquente d'essais, de documentation, de contrôle du changement et de copies de secours, pose un risque pour le CPVP lorsque la direction fonde ses décisions sur de l'information erronée. Voici les critères à utiliser pour évaluer toutes les applications logicielles d'usager :

  • Essais : Les tableurs doivent être mis à l'essai par le créateur pour vérifier l'exactitude des formules et des macros.
  • Documentation : La plupart des tableurs contiennent des champs de saisie de données, des champs de calcul à l'aide de formules et des champs de résultat. Lorsque l'utilisateur du tableur est la personne qui l'a créé, le risque est faible. Par contre, l'utilisation du tableur par une autre personne (p. ex. lorsque le créateur est malade) qui ne possède pas la bonne documentation risque fort d'entraîner une mauvaise utilisation de l'information.
  • Contrôle du changement : Lorsqu'une formule de calcul est modifiée, le tableur doit être vérifié à nouveau.
  • Copie de secours : Si le processus décisionnel repose sur l'utilisation d'un tableur, une copie de secours du tableur doit être créée au cas où l'original serait corrompu.

Les résultats de la vérification montrent que le CPVP n'a aucune politique en place pour contrôler les applications logicielles d'usager, même si on a grandement recours à des tableurs pour faciliter la prise de décisions de la direction.

Conclusion

L'absence de contrôle des applications logicielles d'usager augmente le risque concernant la gestion continue et efficace de l'information à partir de ces applications.

Recommandations

  • 8. La direction doit élaborer des lignes directrices se rapportant aux principales applications logicielles d'usager utilisées pour la prise de décisions par la direction, en plus de les mettre en œuvre et d'en surveiller l'application. Ces lignes directrices porteraient sur les essais, la documentation, le contrôle du changement et les copies de secours.
  • 9. La direction doit améliorer les règles opérationnelles du SGDDI afin de tenir compte de l'assurance de la qualité, pour assurer la fiabilité, l'utilité, l'exactitude et l'accessibilité de l'information contenue dans le SGDDI.

3.3.3 Communication des pratiques de gestion des documents et de l'information en vigueur au CPVP

Comme complément au plan stratégique de GI/TI déposé en juin 2009, un plan de communication et de gestion du changement doit absolument être élaboré pour veiller à ce que les changements soient introduits dans l'ensemble du CPVP. La plupart des initiatives visant à améliorer la gestion de l'information comportent un « facteur humain » qui vient s'ajouter au facteur technologique. En suivant un plan officiel de communication et de gestion du changement, le Commissariat profitera davantage de son investissement.

Conclusion

Aucun plan de communication et de gestion du changement n'est en place pour mettre en œuvre les initiatives prévues, ce qui nuit à la gestion continue et efficace de l'information.

Recommandation

  • 10. La direction doit élaborer un plan officiel et consigné par écrit de communication et de gestion du changement en matière de GI/TI pour faciliter la mise en place des initiatives définies dans le plan stratégique de GI/TI.

4.0 Conclusion générale

D'après les résultats de la vérification, nous pouvons conclure que, même si des progrès importants ont été accomplis relativement à la mise en place de la structure de gouvernance, des processus de gestion du risque ainsi que des contrôles de gestion et de fonctionnement pour appuyer la gestion de l'information au CPVP, des améliorations s'imposent pour satisfaire pleinement aux critères de vérification. La mise en œuvre réussie du SGC et des recommandations formulées dans ce rapport, ainsi que la réalisation d'autres initiatives entreprises par la direction, viendront renforcer la gestion de l'information au CPVP. L'annexe A présente le plan d'action de la direction pour donner suite à nos recommandations.

Annexe A : Réaction de la direction et plan d'action

Recommandations
(formulées telles quelles dans le rapport de vérification final)
Réaction de la direction
(recommandation acceptée ou rejetée, avec explication)
Plan d'action Principaux indicateurs de rendement
(produits livrables)
Échéance Responsables État
1. La direction doit poursuivre l'élaboration d'un cadre de référence officiel pour les rapports trimestriels. Acceptée Élaboration d'un cadre de référence pour les rapports trimestriels. Cadre de référence pour les rapports trimestriels 31 janvier 2010 Directrice, Planification d'affaires et pratiques de gestion Terminé
2. Les gestionnaires des directions, en collaboration avec la Gestion intégrée, doivent élaborer un cadre de référence propre à chaque direction pour les tableaux de bord. Ce cadre de référence ou ces lignes directrices définiraient divers éléments, notamment les processus détaillés, les exigences en matière d'information ainsi que les responsabilités liés aux tableaux de bord. Acceptée Chaque direction, avec l'aide de la Gestion intégrée, doit élaborer un cadre de référence pour les tableaux de bord. Cadre de référence propre à chaque direction pour les tableaux de bord 30 juillet 2010 Directrice, Planification d'affaires et pratiques de gestion Terminé
3. La direction doit élaborer et offrir aux employés une formation officielle sur les mécanismes et les outils sur le rendement pertinents pour le CPVP, par exemple les tableaux de bord mensuels et les rapports trimestriels. Acceptée Élaboration d'un manuel de formation officiel qui contient des définitions et qui précise le type d'information à fournir pour les exercices sur la planification et le rendement (p. ex. document d'orientation sur la façon de remplir les tableaux de bord mensuels et trimestriels, RMR, RPP, CRG). Manuel de formation officiel octobre 2010 Directrice, Planification d'affaires et pratiques de gestion En cours
4. La direction doit élaborer une stratégie officielle et consignée par écrit de suivi de la mise en œuvre du SGC pour soutenir continuellement le système. Acceptée Gestion intégrée et Enquêtes et demandes de renseignements se sont réunies pour discuter des prochaines étapes et clarifier leurs secteurs de responsabilité respectifs. Un architecte de la GI/TI a été embauché pour aider à modifier le système et à évaluer les changements (en collaboration avec le gestionnaire d'applications et l'équipe du client).

Une stratégie de suivi de la mise en œuvre du SGC est en place et sera officiellement consignée par écrit.
Stratégie consignée par écrit de suivi de la mise en œuvre du SGC 31 mai 2010 Directeur, GI/TI En cours
5. Pour les prochains projets de TI, la direction doit réaliser et consigner par écrit une évaluation officielle du risque lié à la conversion des données, accompagnée de stratégies d'atténuation, afin de réduire au minimum les risques de problèmes liés aux données ou aux rapports. Acceptée Aucune action requise pour l'instant Aucun indicateur principal pour l'instant s. o. Directeur, GI/TI Aucun suivi requis
6. En raison de l'importance du SGC pour les activités du CPVP, la direction doit réaliser un suivi du système pour vérifier qu'il atteint ses objectifs (particulièrement en ce qui concerne l'information de gestion à l'appui du processus décisionnel) et s'assurer de cerner les possibilités d'amélioration. Acceptée On envisage un examen approfondi (indépendant) dans le cadre de l'exercice annuel de planification de la vérification en fonction du risque, qui a déjà débuté.

La direction examinera plus en détail le développement du SGC.

Enquêtes et demandes de renseignements fera le dénombrement des dossiers de cas (Gestion intégrée coordonnera cette activité).
La mise en œuvre du SGC a fait l'objet d'un suivi.

Tel qu'indiqué dans le PVFR, un examen plus approfondi du SGC aura lieu.

Nombre de dossiers de cas (dénombrement)
31 octobre 2010 Directeur, GI/TI En cours
7. La direction doit poursuivre sa stratégie d'amélioration des services internes en matière de gestion de l'information, pour intégrer ou consolider les outils actuels de gestion de l'information et d'échange de renseignements par la révision des processus opérationnels réalisée par les directions du CPVP. Acceptée La gestion de l'information sera mise davantage à l'avant-plan en 2010-2011. Il s'agit d'un projet pluriannuel. La GI/TI rencontrera les directions du CPVP pour évaluer les exigences et la portée des produits livrables pour 2010 2011, et pour offrir des outils et de la formation. Plan de projet approuvé 30 avril 2010 Directeur, GI/TI En cours - Le plan de projet a été approuvé. Des outils et une formation seront offerts aux directions sous peu.
8. La direction doit élaborer des lignes directrices se rapportant aux principales applications logicielles d'usager utilisées pour la prise de décisions par la direction, en plus de les mettre en œuvre et d'en surveiller l'application. Ces lignes directrices porteraient sur les essais, la documentation, le contrôle du changement et les copies de secours. Acceptée La GI/TI mènera un sondage auprès des directions pour savoir dans quelle mesure des applications logicielles d'usager sont utilisées.

Élaboration de lignes directrices concernant les principales applications logicielles d'usager.
Sondage sur l'utilisation des applications logicielles d'usager

Lignes directrices concernant les principales applications logicielles d'usager
31 juillet 2010 Directeur, GI/TI En cours
9. La direction doit améliorer les règles opérationnelles du SGDDI afin de tenir compte de l'assurance de la qualité, pour assurer la fiabilité, l'utilité, l'exactitude et l'accessibilité de l'information contenue dans le SGDDI. Acceptée Les règles opérationnelles du SGDDI seront mises à jour, en collaboration avec la GI/TI (un processus sera mis en place pour examiner régulièrement ces règles). Cette activité sera accomplie grâce à la formation et à la modification de la politique de gestion de l'information et des règles opérationnelles du SGDDI, soumises à l'approbation du CHG. Mise à jour des nouvelles règles opérationnelles et formation du personnel approuvées par le CHG 30 sept. 2010 Directeur, GI/TI En cours
La direction doit élaborer un plan officiel et consigné par écrit de communication et de gestion du changement en matière de GI/TI pour faciliter la mise en place des initiatives définies dans le plan stratégique de GI/TI. Acceptée En 2010-2011, Gestion intégrée, Communications et Gestion des ressources humaines travailleront à l'élaboration d'un plan de communication et de gestion du changement pour faciliter la mise en place des initiatives définies dans le plan stratégique de GI/TI. Plan de communication et de gestion du changement en matière de GI/TI Novembre 2010 Directeur, GI/TI En cours
Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :