Agence des services frontaliers du Canada
Symbole du gouvernement du Canada

Liens de la barre de menu commune


ARCHIVÉ - Fournisseurs externe de services en TI

Étude préliminaire

Avertissement Cette page a été archivée.

Contenu archivé

L'information dont il est indiqué qu'elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n'est pas assujettie aux normes Web du gouvernement du Canada et elle n'a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Avril 2013

Ce document est disponible en format PDF (556 Ko) [aide sur les fichiers PDF]


Table des matières


1.0 Introduction

L'Agence des services frontaliers du Canada (ASFC) s'est toujours procuré une partie de ses services de technologie de l'information (TI) auprès d'autres ministères et de tiers. En 2011-2012, l'Agence a dépensé environ 180 millions de dollars en services de TI externes, ce qui correspond à environ 60 % de son budget de TI. L'Agence du revenu du Canada (ARC) est le principal fournisseur de services : l'ASFC lui a versé 165 millions de dollars en 2011-2012. Après le transfert des fonctions douanières de l'Agence des douanes et du revenu du Canada (ADRC) à l'ASFC, les deux organismes ont continué de partager un réseau et une infrastructure. Les autres fournisseurs de services de TI à l'ASFC sont :

  • Services partagés Canada (SPC);
  • Citoyenneté et Immigration Canada (CIC);
  • Affaires étrangères et Commerce et développement Canada (MAECI);
  • Travaux publics et Services gouvernementaux Canada (TPSGC);
  • Tiers fournisseurs de services gérés par l'ASFC.

La vérification des fournisseurs de services en TI externes était prévue dans le Plan de vérification axé sur les risques de 2011-2012 à 2013-2014 et a été approuvée par le Comité de vérification de l'ASFC. À l'époque, la direction de l'ASFC a relevé plusieurs risques associés aux relations avec les fournisseurs de services actuels, dont l'incapacité d'optimiser l'investissement et les priorités concurrentes des fournisseurs qui pourraient les empêcher de répondre aux besoins futurs de l'ASFC. Au départ, la vérification visait à évaluer les contrôles de gestion de la prestation des services de TI et les mesures de rendement des services.

Le paysage de la prestation des services s'est grandement transformé à l'ASFC lorsque le gouvernement du Canada a décidé de centraliser les services d'infrastructure en créant Services partagés Canada (SPC), en août 2011, pour regrouper, rationaliser et améliorer les services d'infrastructure de la technologie de l'information dans l'ensemble de l'administration fédérale. SPC a pour mandat de réaliser des économies d'échelle et d'offrir aux organismes fédéraux un accès fiable, efficace et sécurisé aux services d'infrastructure de TI. SPC a hérité de quelques services de TI que fournissait l'ARC, dont la responsabilité des centres de données, du courriel, du réseau de données et du réseau de téléphonie. Par conséquent, l'ARC n'est plus le principal fournisseur des services d'infrastructure à l'ASFC; toutefois, l'ARC est toujours le fournisseur des services informatiques répartis (p. ex. soutien aux ordinateurs de bureau dans les régions), du soutien aux applications et aux bases de données, des services de sécurité informatique et des services de gestion des programmes de TI à l'ASFC au coût annuel d'environ 56 millions de dollars. L'avenir de ces services avec l'ARC fait actuellement l'objet d'une étude.

À la suite de nombreuses discussions, les cadres supérieurs ont déterminé que la meilleure approche consistait à terminer l'étape de la planification de la vérification, puis à demander au Comité de vérification d'évaluer la pertinence de procéder à la vérification à ce moment-ci. La présente étude préliminaire s'étend de février à octobre 2012. Elle vise à comprendre les risques associés aux services qu'offrait l'ARC auparavant en raison de l'ampleur des coûts et de leur importance pour les activités de l'ASFC. Une étude préliminaire permet de comprendre les risques avant d'effectuer une vérification. Une étude préliminaire offre les avantages suivants :

  • elle précise les objectifs et la portée de la vérification;
  • elle aide les ressources affectées à la vérification à se concentrer sur les risques importants pour fournir une plus grande valeur à la direction;
  • elle permet de mieux comprendre l'activité examinée;
  • elle définit les tâches à accomplir, comment et quand.

2.0 Énoncé de conformité

La présente étude préliminaire respecte les Normes relatives à la vérification interne au sein du gouvernement du Canada, comme le confirment les résultats du programme d'assurance et d'amélioration de la qualité. L'approche et la méthode adoptées pour cette étude préliminaire respectent les Normes internationales pour la pratique professionnelle de la vérification interne définies par l'Institut des vérificateurs internes, ainsi que les Normes relatives à la vérification interne au sein du gouvernement du Canada imposées par la Politique sur la vérification interne du Conseil du Trésor. L'étude préliminaire fournit un faible niveau d'assurance.

3.0 Principales observations de l'étude

Depuis la création de l'Agence des services frontaliers du Canada en décembre 2003, l'ASFC et l'ARC ont déployé des efforts pour faire évoluer le processus de gestion des services partagés de technologie de l'information. La relation est passée d'une simple séparation des budgets à la création de comités mixtes ASFC-ARC et à l'établissement de définitions plus claires des services et des accords sur les niveaux de service. La création de SPC entraîne la nécessité de préciser et d'améliorer les processus de gestion des services entre les trois organismes afin de tenir compte de la complexité des opérations et des processus de gestion des services, de la demande et des finances.

Dans l'entente de service avec l'ARC, il faut développer davantage le modèle client-fournisseur de services pour le mener à maturité. Les services et les accords sur les niveaux de service nécessitent une définition plus approfondie. Bien que le répertoire des services renferme la description, les caractéristiques, la disponibilité, le coût et le responsable des services, l'information est parfois incomplète, parfois d'ordre général. En ce qui a trait à l'information sur l'établissement des coûts, il y a eu des progrès, mais le cadre et les processus financiers ne sont pas toujours clairs et accessibles pour que la direction puisse bien comprendre les coûts et les avantages. Les premières discussions sont en cours pour explorer les options du rôle de l'ARC en tant que fournisseur de services à l'ASFC. Il s'agit d'effectuer une analyse pour décider si l'ARC devrait continuer de fournir les services à l'ASFC, si les services devraient être offerts par un autre fournisseur ou si l'ASFC devrait offrir elle-même les services.

La relation avec SPC en est à ses premiers balbutiements, et la gouvernance des deux organismes (ASFC et SPC) doit être définie. SPC et l'ASFC ont convenu d'un protocole de fonctionnement qui énumère les hypothèses de fonctionnement en période de transition et ont établi un cadre de continuité des activités pour assurer la continuité des opérations pendant la mise sur pied de SPC. Toutefois, il y a un risque que les ententes de service, le rendement et les processus ne soient pas assez précis pour répondre aux besoins opérationnels de l'ASFC au fil du temps.

4.0 Recommandations et réponse de la direction

Réponse générale de la direction

La Direction générale de l'information, des sciences et de la technologie (DGIST) convient qu'une vérification complète au début du mandat de Services partagés Canada (SPC) n'est pas appropriée en ce qui concerne les centres de données, les courriels et les réseaux du gouvernement du Canada (GC).

La DGIST reconnaît aussi que la quantité importante de changements dans l'environnement des services TI du GC, en raison de la création de SPC, a des répercussions au-delà des services assurés directement par SPC. La relation de l'ASFC avec l'Agence du revenu du Canada (ARC) change elle aussi. Des parties de l'organisation de l'ARCTI qui offraient autrefois des services à l'ASFC ont été transférées à SPC.

Les services que l'ARC continue d'offrir à l'ASFC font présentement l'objet d'une analyse afin de déterminer si le modèle de service est optimal ou si des changements devraient être apportés afin d'assurer l'optimisation des ressources et la qualité du service.

Le programme de changement présentement adopté par les services TI du GC crée généralement un environnement de risque élevé en raison de l'importance des changements mis en œuvre. La DGIST prend les mesures appropriées pour déterminer et gérer les risques et pour assurer la continuité et la stabilité des importants services de TI à contrat.

Recommandation 1 : Le vice-président de la Direction générale de l'information, des sciences et de la technologie doit élaborer un plan d'action afin de gérer et d'atténuer les risques associés aux services de TI à contrat de l'ARC et de SPC, y compris l'établissement de mesures de rendement pour ces services.

Réponse de la direction

La DGIST a des initiatives en cours qui respectent la recommandation du présent rapport.

Mars 2014

En ce qui concerne les services assurés par l'ARC, la DGIST :

  • a lancé un examen des 6 secteurs de service offerts par l'ARC à l'ASFC afin de déterminer le meilleur approvisionnement pour les services en fonction de l'harmonisation, la qualité et de la valeur monétaire pour les services. Il est prévu que certains services seront rapatriés à l'ASFC et que certains seront donnés à contrat à l'ARC ou à un autre fournisseur de services.
  • a défini les processus de gestion des services en place pour les services TI assurés par l'ARC, y compris un accord sur les niveaux de service qui détermine les résultats attendus des services et les attentes en matière de rendement. Ces processus de gestion des services continueront d'être examinés et seront ajustés de façon continue afin d'assurer l'harmonisation avec les accords de services nouveaux ou modifiés.
  • a utilisé le profil des services TI du GC pour classer les secteurs opérationnels par fonction pour appuyer le transfert des ressources à SPC en 2011, ainsi que pour gérer la relation de service avec l'ARC pendant la gestion des services et les discussions sur le rapatriement qui ont débuté en 2012. Dans le cadre de l'analyse actuelle portant sur le rapatriement des services de l'ARC, les services de l'ARC sont harmonisés avec le profil de services TI du GC. L'analyse devrait être terminée en mars 2014.
  • travaille activement avec l'ARC à préciser les services offerts à l'ASFC par l'ARC et à mettre en œuvre un cadre de gestion qui établira un lien entre ses services et les mesures de rendement. Des rapports trimestriels sur les services déjà en place sont mis à jour afin de tenir compte des mesures de service améliorées.
Décembre 2014

En ce qui concerne SPC, la DGIST a mis de l'avant les initiatives suivantes, certaines sont achevées, d'autres sont en cours. Alors que la relation évolue et qu'on tire des leçons, nous continuerons à consolider les modèles opérationnels et la stratégie de mobilisation au courant de l'année suivante.

  • Définition de « l'écosystème » de l'ASFC, description des complexités de l'infrastructure TI de l'ASFC comprenant de nombreux systèmes et desservant de nombreux départements, les services et l'environnement d'interconnexion requis pour appuyer une gestion sécuritaire et efficace de la frontière.
  • Définition des services prioritaires et établissement des attentes en matière de rendement, surtout celles liées à la surveillance, à la réponse et à la gestion de l'infrastructure et des systèmes contenus dans «l'écosystème» de l'ASFC, peu importe le département responsable.
  • Définition par SPC des processus de gouvernance dans les volets multiples : p. ex. gouvernance opérationnelle, demande de financement et gouvernance conjointe de projets, gouvernance centrée sur l'établissement de priorités en matière de planification stratégique.
  • Avec l'équipe d'intervention pour les systèmes à disponibilité élevée (HART), mise en œuvre d'un processus interministériel et systématique pour surveiller le rendement des principaux systèmes et de l'infrastructure TI et offrir à la haute direction un aperçu de la gestion des incidents TI pour les principales activités ministérielles.

5.0 Conclusion

Compte tenu de la période de transition à SPC et des répercussions de l'entente avec l'ARC, on recommande de reporter la vérification à une date ultérieure. La Vérification interne surveillera la mise en œuvre des recommandations et effectuera une vérification en 2014-2015.

D'autres vérifications serviront à évaluer les contrôles, en partie ou en totalité, des services TI externes et couvrir les aspects tels que la satisfaction des exigences opérationnelles, l'observation du contrat, la gestion des relations, la fonctionnalité et les contrôles des services fournis, la satisfaction des exigences d'assurance et la gouvernance du point de vue de l'ASFC. Ces vérifications devraient être effectuées en vue de défendre les intérêts de l'ASFC, dans le respect des limites d'une vérification qui tient compte des droits définis et de la fonctionnalité et des contrôles offerts par les fournisseurs de services.

6.0 Observations de l'étude

1. La relation entre l'ARC et l'ASFC a évolué et s'est améliorée depuis la création de l'ASFC en 2003.

Depuis la création de l'Agence des services frontaliers du Canada en décembre 2003, l'ASFC et l'ARC ont déployé des efforts pour faire évoluer le processus de gestion des services partagés de technologie de l'information. Les processus de gouvernance se sont améliorés pour passer d'une simple séparation des budgets à la création de comités mixtes ARC-ASFC et à une définition plus claire des services et des accords sur les niveaux de service. La création de SPC entraîne la nécessité de préciser et d'améliorer les processus de gestion des services entre les trois organismes afin de tenir compte de la complexité des opérations et des processus de gestion des services, de la demande et des finances.

L'ASFC et l'ARC ont élaboré un cadre 1  pour renforcer la collaboration entre les deux organismes, pour fournir des directives et pour établir les paliers d'intervention. Les deux parties ont défini un cadre de gouvernance qui prévoit de nombreux points de contact (réunions et groupes de discussion). Les comités mixtes ARC-ASFC ont été mis sur pied, ayant pour mandat de gérer la prestation des services de TI.

Figure 1 : Relation ASFC-ARC

Relation ASFC-ARC

2. Dans l'entente de service avec l'ARC, il faut développer davantage le modèle client-fournisseur de services pour le mener à maturité.

Au départ, l'entente de service entre l'ARC et l'ASFC était fondée sur un environnement et une capacité partagés et non sur un modèle de services partagés. Au fil des années, des efforts ont été déployés pour établir une relation de fournisseur de services partagés grâce, par exemple, à l'établissement d'une structure de gouvernance et d'un protocole d'entente (PE). Compte tenu de la nature de la relation fondée sur un environnement de TI commun, il n'était pas nécessaire de la définir davantage par l'élaboration d'un répertoire complet des services ou d'accords sur les niveaux de service. L'information sur les facteurs de coûts, comme le nombre de bases de données hébergées ou déplacées, était facilement accessible, mais elle ne servait pas à fixer le coût des services en raison de la nature de la relation.

Il faut définir davantage les services et les accords sur les niveaux de service. Le répertoire des services de base de la Gestion de l'infrastructure, des données et de la technologie (GIDT) renferme les services de TI que la GIDT offre à l'ASFC. Le répertoire des services comprend une description des services, les caractéristiques des services, la disponibilité, les niveaux de service, le prix et le responsable des services. Toutefois, le prix n'est pas toujours indiqué dans le répertoire : l'information est parfois incomplète, parfois d'ordre général (p. ex. le prix du service est fixé selon le projet). En outre, les niveaux de service ne sont pas détaillés, tandis que les indicateurs généraux de disponibilité sont consignés (p. ex. fonctionnement 24 heures sur 24, 7 jours sur 7).

Tout comme le répertoire des services, les accords sur les niveaux de service comportent certaines limites :

  • Peu de mesures des objectifs de niveaux de service (ONS) sont définies. D'ordinaire, la disponibilité sert de mesure principale.
  • Sauf les services découlant d'un ordre de travail, le prix des services n'est pas indiqué en fonction de la quantité ou de l'utilisation.

3. L'entente de service entre l'ARC et l'ASFC ne renferme aucune information claire sur l'établissement des coûts, accessible à la direction de l'ASFC.

Des améliorations ont été apportées aux pratiques de gestion des coûts, surtout dans le cas des services découlant d'un ordre de travail; cependant, le cadre et les processus financiers ne sont pas toujours clairs et accessibles de façon à permettre à la direction de bien comprendre les coûts et les avantages.

L'étude préliminaire révèle que malgré qu'il ne soit pas entièrement transparent pour la direction de l'ASFC, un modèle d'établissement des coûts a été utilisé pour certains services. Par exemple, les frais associés à une nouvelle connexion au réseau dans un immeuble ont été calculés selon une formule qui démontre que les coûts ont été évalués en fonction du coût et de l'utilisation des ressources. Pour établir une nouvelle connexion réseau, un ordre de travail serait créé la première année, lequel prévoirait le coût des ressources (salaires), de la bande passante et du matériel. À la deuxième année, les frais de maintenance seraient calculés d'après les frais mensuels d'administration, les frais de remplacement des biens et l'utilisation (p. ex. les coûts de la bande passante). Cependant, la méthode n'était pas toujours claire ou à la disposition de la direction de l'ASFC.

À ce jour, les définitions des services ne correspondent pas toujours clairement aux facteurs de coûts, comme le coût des ressources et de l'utilisation.

4. La relation de l'ASFC avec SPC en est à ses premiers balbutiements, et la gouvernance doit être définie. Il y a un risque que les ententes de service et les processus ne soient pas assez précis pour répondre aux besoins opérationnels de l'ASFC au fil du temps.

La relation de l'ASFC avec SPC en est à ses premiers balbutiements, et plusieurs difficultés ont surgi au cours de la transition, dont le niveau de contrôle auquel peut s'attendre l'ASFC en ce qui a trait aux niveaux de service et aux coûts. Le risque de ne pas pouvoir offrir des services efficaces s'est accru en raison de l'absence d'un cadre officiel de gouvernance et d'autres éléments (répertoire de services personnalisés, ententes officielles – PE et ANS).

Le cadre de gouvernance établi entre l'ARC et l'ASFC n'est pas repris par SPC. En outre, SPC fournit des descriptions générales des services selon les définitions du Conseil du Trésor. Il n'y a pas de répertoire de services qui répondraient aux besoins particuliers de l'Agence. En dernier lieu, il n'y a pas de protocole d'entente ou d'accord sur les niveaux de service entre l'ASFC et SPC. Ces deux organismes se sont entendus sur un protocole de fonctionnement qui énumère les hypothèses de fonctionnement au cours de la période de transition. De plus, un cadre de continuité des activités est en place pour assurer la continuité des opérations en attendant la mise en place de SPC.

Compte tenu du mandat de SPC qui couvre l'ensemble de l'administration fédérale, l'établissement d'ententes de gouvernance plus solides entre SPC et l'ASFC n'est pas une priorité dans un avenir proche. SPC prévoit plutôt étendre ses normes de service et ses relations à sa clientèle au complet, qu'il appelle « ministères partenaires ». L'ASFC doit donc gérer les risques suivants :

  • La capacité de SPC d'offrir des services de façon sécuritaire et efficace, de respecter les normes opérationnelles de l'ASFC et d'observer les exigences prévues par la loi ou par un règlement.
  • Le processus de gouvernance ASFC-SPC qui prévoit des mécanismes pour définir les besoins, les services, les ententes, les attentes en matière de rendement et les objectifs.

5. Les premières discussions sont en cours pour explorer les options du rôle de l'ARC en tant que fournisseur de services. Il s'agit d'effectuer une analyse pour décider si l'ARC devrait continuer de fournir les services à l'ASFC, si les services devraient être offerts par un autre fournisseur ou si l'ASFC devrait offrir elle-même les services.

SPC est dorénavant responsable des services de réseaux, de courriels et de centres de données. L'ARC fournit un soutien aux ordinateurs de bureau dans les régions, des services de sécurité de la TI, l'image miroir de postes de travail, un soutien au déploiement d'application et d'autres services. L'étude préliminaire révèle que des discussions sont en cours entre l'ASFC et l'ARC pour évaluer les services offerts et déterminer :

  • si l'ARC continue d'offrir les services;
  • si l'ASFC rapatrie les services;
  • si les services sont transférés à un autre fournisseur de services comme SPC.

Parmi les résultats attendus, mentionnons une définition plus précise des relations entre l'ASFC, SPC et l'ARC afin de clarifier les rôles des organismes et de gérer la complexité. Dans le cadre de cet exercice, les organismes prévoient détailler le plus possible les coûts de chaque service.

Il y a un risque que les ententes de service et les processus ne soient pas assez précis pour répondre aux besoins opérationnels de l'ASFC au fil du temps. Le cadre de gouvernance devra être révisé, tout comme la définition des services dans le répertoire et les accords sur les niveaux de service pour les services de TI essentiels. Un ANS est l'un des principaux outils utilisés pour mesurer le rendement.

7.0. Annexe A – Profil des risques[ 3 ]

Le profil des risques couvre le niveau d'exposition en fonction des travaux effectués pendant l'étude préliminaire, mais les méthodes de contrôle des secteurs à risque élevé doivent faire l'objet d'une évaluation approfondie. Le profil des risques est un regroupement de risques auxquels sont exposés l'ARC et SPC. Compte tenu des risques associés à un changement de fournisseur de services à grande échelle, on s'attend à une plus grande exposition aux risques.

Contrôle Description Exposition au risque potentiel
Gestion de la prestation des services de TI
DS1.1 Cadre de gestion des niveaux de service Définir un cadre qui prévoit un processus officiel de gestion des niveaux de service entre le client et le fournisseur de service. Le cadre doit toujours s'aligner sur les besoins opérationnels et les priorités, et faciliter une compréhension mutuelle entre le client et le fournisseur. augmenté
DS2.1 Inventaire de tous les rapports client-fournisseur Répertorier tous les services obtenus auprès de fournisseurs. Les catégoriser par type de fournisseur, de même que selon leur ampleur et leur importance. Produire une documentation officielle sur les rapports techniques et organisationnels : rôles et responsabilités, buts, résultats attendus, coordonnées des personnes qui représentent les fournisseurs. demeure la même
DS1.2 Définition des services Baser la définition des services de TI sur les caractéristiques et les besoins opérationnels. Veiller à ce que les définitions soient structurées et stockées dans un lieu central par la mise en œuvre d'une approche de portefeuille de répertoire des services. augmenté
DS2.2 Gestion des rapports client-fournisseur Officialiser la gestion des rapports avec chaque fournisseur. Que les responsables de part et d'autre discutent des problèmes et soignent la qualité du rapport client-fournisseur par la confiance et la transparence (notamment au moyen d'ANS). augmenté
DS2.3 Gestion des risques liés au fournisseur Repérer et atténuer les risques envers la capacité des fournisseurs à fournir des services efficaces et sécuritaires sans interruption. Veiller à ce que les contrats respectent les normes universelles, les lois et les règlements. augmenté
DS1.3 Accords sur les niveaux de service Pour tous les services de TI essentiels, parvenir à des accords sur les niveaux de service (ANS) qui sont fondés sur les besoins du client et sur les capacités de TI. Que ces ententes énoncent les engagements du client, les besoins en services de soutien, les critères quantitatifs et qualitatifs pour mesurer les services réels, les ententes commerciales ou axées sur le financement. augmenté
Mesure du rendement
PO5.1 Cadre de gestion financière Dresser un cadre financier pour gérer le coût des biens et des services de TI par des portefeuilles d'investissements reposant sur la TI, par des analyses de rentabilisation et par des budgets de TI. augmenté
PO5.4 Gestion des coûts Mettre en œuvre un processus de gestion des coûts pour comparer les coûts réels avec les budgets. Les coûts doivent faire l'objet de contrôles et de rapports. S'il y a des écarts, les signaler en temps utile et évaluer les répercussions sur les programmes. augmenté
PO5.5 Gestion des avantages Adopter un processus pour observer les avantages découlant de capacités adéquates dans le domaine de la TI. Dans le cadre des programmes d'investissement ou du soutien ordinaire aux opérations, reconnaître l'apport de la TI aux activités, l'étayer dans une analyse de rentabilisation, en convenir, puis le surveiller et rendre des comptes à son sujet. augmenté
ME1.1 Cadre de surveillance Dresser un cadre de surveillance général définissant la portée, la méthodologie et le processus à respecter pour mesurer les solutions et les services de TI, ainsi que leur contribution aux activités. Intégrer le cadre au système de gestion du rendement de l'organisation. augmenté
DS1.5 Surveillance et production de rapports concernant les accords sur les niveaux de service Surveiller sans cesse les critères de rendement des niveaux de services précisés. Les rapports sur le respect des niveaux de services doivent être dans un format significatif pour les intervenants. Par voie de suivi et d'analyse, les statistiques ainsi produites serviront à dégager les tendances bonnes ou mauvaises sur les plans général et particulier. augmenté
ME4.3 Valeur ajoutée Gérer les programmes d'investissement fondés sur la TI, entre autres biens et services de TI, de sorte qu'ils présentent la plus grande valeur ajoutée possible pour la stratégie et les objectifs de l'entreprise. augmenté

Notes

  1. Cadre de gouvernance ARC-ASFC pour la prestation des services de TI (août 2011). [Retourne au texte]
  2. D'après COBIT 4.1, ISACA. [Retourne au texte]