Audit de la gestion des biens de technologie de l’information : Rapport d’audit interne

Audit de la gestion des biens de technologie de l’information : Rapport d’audit interne
(PDF, 377 Ko)

Projet 6B302
Juin 2019

Sur cette page

Introduction

Ce projet d’audit interne a été demandé par la Direction générale de la gestion de l’information et des services de la technologie et été mené conformément au Plan d’audit axé sur les risques de 2018-2020 de la Direction générale de l’audit interne de Pêches et Océans Canada.

La gestion du cycle de vie des biens (GCVB) de la technologie de l’information (TI) consiste à faire le suivi des biens de TI tout au long de leur vie, de leur achat jusqu’à leur aliénation, afin de s’assurer qu’ils sont achetés et remplacés de façon éclairée et au bon moment, et pour mieux comprendre le coût total de possession et des aliénations qui cadrent avec les priorités du gouvernement.

À l’heure actuelle, le Ministère assure le suivi de ses biens de TI à l’aide de deux outils : le System Centre Configuration Manager (SCCM) de Microsoft et Axios Assyst. En novembre 2018, le SCCM indiquait que le Ministère comptait sur son réseau 3 522 ordinateurs de bureau, 7 581 ordinateurs portables, 1 015 ordinateurs personnels de grande puissance et 524 tablettes. De plus, le Ministère dépense en moyenne chaque année 5 millions de dollars pour l’achat de matériel informatique.

À Pêches et Océans Canada (MPO), la gestion des biens de TI est principalement assurée par l’équipe de la GCVB de la Direction générale de la gestion de l’information et des services de la technologie (GIST). En plus de l’équipe de la GCVB, il y a le Centre de services au sein de la GIST qui effectue le remplacement des biens de TI endommagés, brisés, perdus ou volés, et qui réalise les mutations pour les nouveaux employés. De façon similaire, le groupe Gestion d’affaires, intégration et engagement au sein de la GIST effectue l’achat de tous les biens de TI.

Pourquoi cet audit est-il important?

La technologie de l’information joue un rôle essentiel au sein du gouvernement du Canada, en contribuant à la prestation efficace des services, en permettant la communication, en promouvant l’ouverture et la transparence, et en accroissant l’accessibilité des programmes et des services offerts à la population canadienne. Les plans et priorités du gouvernement ne peuvent être concrétisés sans décisions éclairées au chapitre des investissements, des coûts et des risques liés aux biens de TI.

De bonnes pratiques de gestion des biens de TI doivent être en place afin de gérer le cycle de vie de ces biens, de l’achat jusqu’à la fin de vie utile. La gestion des biens de TI est importante non seulement pour réduire les coûts, améliorer l’efficacité opérationnelle, déterminer le coût total des investissements en cours et fournir des renseignements précis qui viennent orienter les décisions en matière d’investissement, mais également pour aider à cerner et gérer les problèmes et les risques liés à la sécurité de l’information dans l’ensemble du réseau. Pratique exemplaire de la gestion des biens de TI, la gestion du cycle de vie consiste à maintenir un inventaire précis des biens de TI et à s’assurer que chaque étape, de la planification à l’aliénation, est effectuée d’une manière qui permet d’optimiser le rendement, l’utilité et la rentabilité.

La technologie de l’information est un actif stratégique et un outil qui joue un rôle clé dans la réalisation du mandat et des objectifs des programmes de MPO. D’après le Plan de gestion de l’information et de technologie de l’information de 2018-2021 de MPO, le Ministère serait en train d’élaborer et de mettre en place une infrastructure de TI moderne qui permettra d’accéder à l’information de façon efficace, efficience et en temps opportun, et veillera à la protection des renseignements ministériels. Le présent audit aidera à orienter les preneurs de décisions du Ministère lors de l’élaboration et de la mise en place de cette infrastructure.

Objectif de l’audit

Cet audit a pour objectif de déterminer si Pêches et Océans Canada dispose actuellement d’un système de gestion des biens de TI efficace pour les appareils qui protègent ces biens et renseignements, qui sont conformes aux règlements et qui appuient la prestation des programmes.

Portée de l’audit

L’Audit a étudié les contrôles utilisés au Ministère pour gérer les appareils qui font partie des biens de TI, notamment les procédures et lignes directrices, de même que les processus et pratiques d’aliénation de ces biens. Plus précisément, l’Audit a porté sur les appareils, entre autres les ordinateurs de bureau, les ordinateurs portables, les moniteurs, les tablettes et les imprimantes.

L’Audit n’a pas traité des aspects suivants des biens de TI et de leur gestion :

  • les logiciels, ces derniers ayant récemment fait l’objet d’un examen interne;
  • les téléphones cellulaires, les téléphones intelligents et les serveurs, ces derniers étant gérés par Services partagés Canada;
  • les biens de TI spécialisés conçus pour être utilisés par la Garde côtière canadienne et le matériel scientifique spécialisé, ces articles n’étant pas achetés par l’entremise de la GIST ni gérés par cette dernière.

Il ne s'agissait pas d'un audit des contrôles de sécurité décrits dans la Politique sur la sécurité du gouvernement du SCT.

Approche de l’audit

L’équipe d’audit a exécuté son mandat conformément à la Politique sur l’audit interne du Conseil du Trésor et la Directive sur l’audit interne, et conformément aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes. Lors de l’audit, on a employé diverses techniques, notamment une évaluation des risques de l’entité vérifiée, des entretiens, des visites des lieux, ainsi qu’un examen et une analyse de la documentation et de l’information.

Résultats de l’audit

Contrôles internes

Exactitude et exhaustivité des inventaires du matériel informatique

Pour gérer efficacement le cycle de vie, protéger les biens contre les dégâts, assurer l’exactitude de la planification et du budget et faciliter le repérage des biens lorsque cela s’avère nécessaire, il faut avoir un inventaire exact et à jour du matériel informatique. Sans inventaire exact et à jour, le Ministère risque de ne pas avoir les biens de TI essentiels disponibles lorsqu’il en a besoin. Pour vérifier l’exactitude des inventaires actuels du matériel informatique, on a réalisé des entretiens, prélevé des échantillons de chacun des inventaires (Assyst, Abacus et des imprimantes) et testé de façon approfondie le centre de distribution principal ainsi que deux des trois inventaires des centres de distribution secondaires. Les personnes interrogées à propos de ces inventaires étaient unanimes pour dire qu’aucun des inventaires n’était exact et à jour. Cela a été confirmé au moyen d’un test, lequel est résumé ci-dessous, par inventaire.

L’inventaire Axios Assyst comprend tous les types d’ordinateurs portables, d’ordinateurs de bureau et de tablettes. De plus, on a ajouté au cours de la dernière année les moniteurs. Bien que la maintenance de cet inventaire soit principalement assurée par l’équipe de la GCVB au sein de la GIST, c’est le Centre de services TI qui est responsable du volet des moniteurs et de la mise à jour de l’inventaire qu’il déploie. Afin de vérifier l’exactitude de cet inventaire, on a obtenu un extrait de ce dernier en février 2019 pour tous les types d’ordinateurs portables, d’ordinateurs de bureau et de tablettes désignés comme étant déployés et tous les moniteurs désignés comme étant expédiés et disponibles. La liste de moniteurs comprenait 864 écrans. On y a sélectionné 38 moniteurs. Aucun d’entre eux n’a été trouvé à l’endroit indiqué dans l’inventaire. L’inventaire déployé, qui comprenait tous les types d’ordinateurs portables, d’ordinateurs de bureau et de tablettes, comptait 13 257 biens. On y a extrait un échantillon de 281 biens, aux fins de tests. De tous ces biens, 113 (soit 40 %) étaient indiqués avec exactitude (en possession de la personne indiquée, dans la région indiquée). Pour ce qui est des 168 biens restants (soit 60 %), soit qu’ils n’ont pas été trouvés, soit qu’ils n’étaient pas avec la personne indiquée ou à l’endroit indiqué. Bien que cela comprenne à la fois des échantillons discrétionnaires et des échantillons aléatoires, l’exactitude ne fait qu’augmenter jusqu’à 46 % lorsqu’on tient compte uniquement de ces derniers. Ces résultats vont dans le même sens que ceux du test préliminaire mené lors de l’étape de la planification. De plus, l’analyse de la liste de l’inventaire Assyst a révélé qu’il y avait 337 biens déployés sans utilisateur assigné, et que 18 % des biens n’étaient pas assignés à un centre de coûts. Enfin, l’inventaire Assyst comprend également 9 514 biens de TI qui sont actuellement désignés comme étant « excédentaires ».

L’inventaire du système Abacus est l’inventaire du système financier du Ministère. Il y a quatre ans, il a été décidé de ne pas enregistrer les biens de TI de moins de 10 000 $ dans la liste de biens du système Abacus, l’inventaire avait 3 892 biens actifs codés en octobre 2018. Pour tester l’exactitude de cet inventaire, un échantillon de 68 biens de TI a été sélectionné, mais aucun d’entre eux n’a été trouvé aux endroits indiqués. Une analyse supplémentaire de l’inventaire Abacus a démontré qu’il comprend : 2 254 imprimantes, dont 88 % ont plus de 10 ans, et les plus anciennes datent de 1985; 382 serveurs, dont 97 % ont plus de 10 ans et sont maintenant gérés par Services partagés Canada; et 422 numériseurs, dont 85 % ont plus de 10 ans. Enfin, un certain nombre d’articles ont été désignés comme étant codés incorrectement dans le matériel informatique, notamment un kayak, un modèle de bateau et une œuvre d’art.

L’inventaire d’imprimantes est une feuille de calcul qui répertorie les imprimantes achetées ou louées depuis décembre 2015. Un échantillon de dix imprimantes de cette liste a été sélectionné, sept ont été indiquées avec exactitude, tandis que les trois autres n’ont pas été trouvées à l’endroit indiqué dans l’inventaire.

Enfin, la feuille de suivi du centre de distribution principal et secondaire est une feuille de calcul Excel qui permet de maintenir les niveaux de stock actuels d’ordinateurs de bureau, d’ordinateurs portables, d’ordinateurs personnels de grande puissance et de tablettes. Des tests approfondis des registres de suivi du centre de distribution principal ont confirmé leur exactitude, à l’exception de 12 tablettes trouvées sur place qui ne figuraient pas dans l’inventaire. Les deux centres de distribution secondaires testés n’avaient pas de dossiers d’inventaires précis.

Bien que ces erreurs d’inventaire aient été jugées importantes, elles pourraient être améliorées par la mise en place des contrôles clés, notamment en limitant l’accès aux personnes pouvant saisir et modifier des informations dans les inventaires, en mettant à jour obligatoirement les informations d’inventaire et en mettant en place des contrôles automatisés pour limiter les erreurs de saisie et de suppression.

Recommandation 1 : Le sous-ministre adjoint des Ressources humaines et Services intégrés devrait mettre en place des contrôles clés, notamment en limitant l’accès aux personnes pouvant saisir et modifier des informations dans les inventaires, en mettant à jour obligatoirement les informations d’inventaire et en mettant en place des contrôles automatisés pour limiter les erreurs de saisie et de suppression. Le SMA devrait également déterminer s'il est pratique d'établir un inventaire unique couvrant une période de temps raisonnable. Si possible, un tel inventaire unique devrait être mis en place.

Réponse de la direction
La direction accepte le recommandation.
Le Sous-ministre adjoint (SMA) des Ressources humaines et services intégrés (RHSI) travaillera avec le dirigeant principal de l'information (DPI), Ingénierie informatique et gestion des actifs (IIGA), le Centre de service de technologie de l'information (CSTI) et la Gestion des services de TI (GSTI) pour :

  • examiner les outils d'inventaire, notamment Assyst 11, dans le but de recommander un outil fournissant des contrôles automatisés;
  • examiner les autorisations d'accès et limiter l'accès à la base de données de gestion de la configuration dans la mesure du possible;
  • examiner et ajouter des imprimantes appartenant au MPO dans la base de données au lieu d'utiliser des feuilles de calcul;
  • incorporer les informations de la feuille de calcul des centres de gestion dans l'actualisation de l'inventaire de la base de données Assyst;
  • préparer un plan d'action pour actualiser l'inventaire actuel;
  • procéder à la mise à jour de l'inventaire;
  • examiner et communiquer les stratégies (modèle et processus Responsable, Agent comptable, Consulté, Informé (RACI)) au personnel limité faisant partie de la fourniture de l'inventaire mis à jour; et
  • mettre en place un audit d'assurance qualité trimestriel pour tout le personnel et tous les processus afin de garantir la précision.

Date d'achèvement prévue : 31 mars 2021

Recommandation 2 : La dirigeante principale des finances devrait examiner et mettre à jour l’ensemble du matériel informatique répertorié dans Abacus.

Réponse de la direction
La direction accepte le recommandation.
Le dirigeant principal des finances examinera la liste des actifs informatiques dans Abacus et retirera les catégories d'éléments suivis dans d'autres systèmes par l'IMTS et corrigera le codage des actifs restants.

Date d'achèvement prévue : 30 septembre 2019

Processus et contrôles pour la gestion du matériel informatique

Les processus reposant sur les contrôles fondés sur le risque garantissent que la gestion des biens de TI peut être réalisée de façon efficace et efficiente, tout en protégeant ces biens contre les dégâts. Sans processus cohérents et efficaces en place, il est difficile d’assurer la pertinence et l’exactitude de l’inventaire des biens de TI ou de garantir que les biens soutiennent l’exécution des programmes. Pour tester l’efficacité des processus et des contrôles, on a réalisé des entrevues, des visites guidées et un examen des documents. Les renseignements recueillis de ces activités ont ensuite été utilisés pour préparer des organigrammes de processus à des fins d’examen et de comparaison avec les pratiques exemplaires. L’analyse de ces processus et contrôles a révélé qu’ils sont souvent réactifs plutôt que proactifs, et ils sont parfois créés en vase clos, ce qui entraîne des faiblesses liées à la protection des biens, au modèle de ressourcement et à la coordination de la gestion des biens.

Protection des commandes

La protection des biens de TI est non seulement importante pour éviter la perte des biens physiques, mais également pour éviter que les renseignements contenus sur ces biens ne soient divulgués par inadvertance. Des faiblesses dans la protection des biens ont été constatées à chaque phase du cycle de vie des biens.

Lors de la phase d’acquisition des biens, il n’y avait pas de contrôle garantissant que les articles achetés étaient registrés dans l’inventaire. Actuellement, une personne s’assure qu’on a reçu les ordinateurs portables, les ordinateurs de bureau et les tablettes, qu’on a demandé leur enregistrement dans le système et qu’ils ont été distribués, sans aucune audit ou aucun contrôle automatisé supplémentaire.

Une fois que les biens sont enregistrés dans l’inventaire, le Ministère utilise Axios Assyst pour faire le suivi de la plupart de son matériel informatique. Présentement, les employés ayant accès au module des actifs d’Assyst peuvent apporter des modifications à l’état d’un bien, sans aucune restriction ou aucun contrôle automatisé. En conséquence, un employé ayant accès à un bien et au module des actifs d’Assyst peut modifier l’état du bien et le supprimer de l’inventaire du Ministère avec un faible risque de détection. De plus, l’un des contrôles principal du système consiste à demander aux utilisateurs de saisir les modifications et les explications de façon volontaire dans un « champ de mouvement ». Le Ministère compte 334 employés qui ont accès au module des actifs d’Assyst, ainsi qu’à quatre comptes administratifs sans contrôle permettant de saisir, modifier ou supprimer. On a constaté cette situation dans un échantillon de 79 aliénations, où quatre biens indiquant un état pour être aliéné, discontinué ou en surplus étaient toujours utilisés. Par ailleurs, une fois que les biens ont été distribués aux utilisateurs finaux, le Ministère utilise le SCCM pour détecter les biens connectés au système. Toutefois, on n’effectue aucun rapprochement des données dans le SCCM et la liste de l’inventaire des biens.

Enfin, on a trouvé souvent des biens dans des endroits non sécurisés lors des visites de sites. Cela comprenait des nouveaux biens, ainsi que des appareils en surplus utilisés, notamment les ordinateurs de bureau.

Recommandation 3 : Le sous-ministre adjoint des Ressources humaines et Services intégrés devrait examiner le processus de gestion des biens de TI pour s’assurer que des contrôles visant à protéger les biens sont en place.

Réponse de la direction
La direction accepte le recommandation.
Le SMA des RHSI en collaboration avec le DPI, Biens immobiliers, protection et sécurité (BIPS), IIGA, CSTI et GSTI vont:

  • examiner, mettre à jour si nécessaire et communiquer les processus GSTI actuels liés à la protection des actifs;
  • revoir les autorisations d'accès et les corriger conformément aux exigences; et
  • examiner les conditions actuelles dans les centres de distribution primaires et secondaires et les sites.

Date d'achèvement prévue : 31 mars 2021

Modèle de ressourcement

La gestion du cycle de vie consiste à remplacer les biens à un moment optimal afin de minimiser les défaillances tout en maximisant l’utilisation. Ces remplacements planifiés réduisent les perturbations des opérations, préservent les données stockées sur le bien et réduisent les pertes de temps et de données liées aux défaillances des biens. Bien que GIST envisage de remplacer les biens à un moment optimal, le modèle de financement actuel exige qu’elle obtienne des fonds des secteurs pour pouvoir le faire. En conséquence, l’équipe de la GCVB n’a pas pu remplacer tous les biens pendant la durée de vie utile de ces derniers. Présentement, 34,4 % des biens déployés dans Assyst ont dépassé leur durée de vie utile. Cela peut entraîner une augmentation des défaillances des biens qui peuvent perturber les activités opérationnelles. De plus, même si les secteurs sont plus susceptibles de disposer de fonds pour remplacer les biens à la fin de l’année, ces fonds ne peuvent pas toujours être utilisés en raison des délais d’approvisionnement.

Ne pas remplacer les biens au cours de leur vie utile a également une incidence sur les projets de TI planifiés, comme l’initiative actuelle du Ministère de mettre à niveau à Windows 10. Les biens qui dépassent leur durée de vie utile n’ont pas tous pu être mis à niveau à Windows 10, obligeant la GCVB à remplacer en toute urgence les ordinateurs de ce projet sur un stock déjà limité, ce qui a retardé davantage la mise à niveau. De plus, sans un modèle de ressourcement efficace, il existe un risque élevé de ne pas disposer d’un stock suffisant pour répondre à des besoins urgents, comme remplacer les biens défectueux ou les fournir aux nouveaux employés. Cela peut perturber l’exécution des programmes, car les processus obligatoires pour l’acquisition des biens de TI ne favorisent pas leur obtention rapide.

Recommandation 4 : Le sous-ministre adjoint des Ressources humaines et Services intégrés, en consultation avec la dirigeante principale des finances (DPF), devrait envisager d’autres modèles de financement pour la gestion du cycle de vie des biens de TI afin de garantir une gestion efficace des biens, notamment les remplacements planifiés.

Réponse de la direction
La direction accepte le recommandation.
Le SMA des RHSI en consultation avec le DPF et en collaboration avec le DPI, IIGA et l'équipe financière de l'entreprise, de la gestion, de l'intégration et de l'engagement vont:

  • examiner le modèle de financement actuel et sa capacité / incapacité à maintenir une gestion saine du cycle de vie des actifs pour le MPO; et
  • proposer un modèle de financement alternatif reflétant le paysage et les besoins en actifs informatiques actuels.

Date d'achèvement prévue : 31 décembre 2019

Coordination

La coordination de la gestion des biens de TI consiste à assurer que toutes les personnes engagées dans le processus connaissent leurs rôles et leurs responsabilités. À l’heure actuelle, les secteurs ou les utilisateurs ne participent pas activement pour vérifier l’exactitude des biens de TI qui leur sont attribués, ce qui a une incidence sur l’exactitude de l’inventaire. De plus, bien qu’Axios Assyst dispose d’un formulaire pour signaler le transfert d’un bien de TI à un autre utilisateur, les frais connexes de 500 $ et le manque de sensibilisation des secteurs sur l’importance d’indiquer ces transferts font que ces derniers ne sont pas toujours signalés.

Recommandation 5 : Le sous-ministre adjoint des Ressources humaines et Services intégrés devrait assurer la coordination entre la GIST et les secteurs ayant la responsabilisation, les rôles et les responsabilités bien définis, ainsi que l’audit annuel du matériel informatique.

Réponse de la direction
La direction accepte le recommandation.
Le SMA des RHSI travaillera avec les directeurs généraux régionaux, le DPI, la gestion du portefeuille de clients et la IIGA pour créer un processus clair de gestion des actifs, y compris l'assurance de la qualité et le RACI.

Date d'achèvement prévue : 31 mars 2020

Aliénation du matériel informatique

Veiller à ce que les biens soient éliminés de façon efficace, le plus tôt possible, après qu’ils sont en surplus, et selon les règlements; cela permettra au Ministère de respecter les exigences de protection des données et les priorités du gouvernement en matière de gestion, tout en réduisant les coûts de stockage et en optimisant le potentiel de réutilisation de ces biens. D’après les entrevues, il existe un manque de compréhension constante du processus d’aliénation, ou encore de la documentation et de la coordination requises. Cela a été confirmé dans un échantillon de 79 aliénations (59 d’Assyst et 20 d’Abacus), dont 42 (53 %) n’avaient aucune documentation à l’appui.

De plus, d’après les entrevues et les visites de sites, les biens ne sont pas aliénés le plus tôt possible après qu’ils sont en surplus, comme requis. Plus précisément, les clients ne retournent pas toujours les biens à des fins d’aliénation. Cela est corroboré par les visites de sites qui ont révélés que le matériel informatique n’était pas utilisé, dans certains cas depuis de nombreuses années. Cela concorde également avec l’analyse des registres d’Assyst qui a révélé que 772 biens avaient été signalés comme étant « à aliéner ». Enfin, une région a indiqué qu’elle avait plus de 3 000 disques durs stockés en attente d’élimination et que certains d’entre eux étaient là depuis 15 ans.

Il existe trois principales exigences réglementaires relatives au processus d’aliénation du matériel informatique :

  1. Que tous les renseignements et les biens soient protégés contre la perte, le vol ou l’utilisation abusive.
  2. Que les documents vérifiables concernant les analyses sur le calcul des coûts qui ont servi à justifier les décisions en matière d’aliénation soient conservés.
  3. Que l’on accorde au Programme d’ordinateurs pour les écoles (POE) un droit de premier refus pour tout le matériel informatique en surplus.

On a trouvé des possibilités pour améliorer la protection des biens contre la perte, le vol ou une utilisation abusive. Plus précisément, Assyst ne dispose pas de contrôles pour exiger un audit ou une approbation supplémentaire lorsqu’un bien, toujours dans sa durée de vie utile, est classé comme en surplus, déchets électroniques, POE ou discontinué. Sur les 59 aliénations d’Assyst examinées, huit avaient moins d’un an au moment de l’aliénation et six d’entre elles n’avaient aucune explication quant à la raison de leur aliénation. De plus, aucune des aliénations testées ne comprenait d’analyse du niveau de sécurité des renseignements contenus sur l’appareil et seulement 9, ou 11 %, avaient la preuve que le bien avait été nettoyé ou que le disque dur avait retiré avant l’aliénation. Enfin, on a constaté que les listes du POE ou de déchets électroniques n’étaient pas rapprochées avec les dossiers d’aliénation, ce qui rendait difficile l’aliénation des biens par les moyens indiqués.

Par ailleurs, aucun des articles des aliénations sélectionnées n’incluait d’analyse des coûts pour justifier les décisions en matière d’aliénation. Enfin, seulement un des 79 échantillons d’aliénation analysés présentait la preuve qu’il avait d’abord été offert au POE.

Recommandation 6 : Le sous-ministre adjoint des Ressources humaines et Services intégrés devrait s’assurer que des processus et des contrôles d’aliénation clairs sont mis en place pour assurer le respect des règlements obligatoires et la protection des biens.

Réponse de la direction
La direction accepte le recommandation.
Le SMA des RHSI en consultation avec le DPI, IIGA, CSTI et la gestion du matériel vont:

  • examiner les processus en vigueur liés à la cession d'actifs et veiller au respect des réglementations suivantes:
    • que toutes les informations et tous les actifs sont protégés contre la perte, le vol ou l'utilisation abusive;
    • que des enregistrements vérifiables des analyses de coûts ayant servi à justifier les décisions d'élimination soient conservés; et
    • que les Ordinateurs pour les écoles (OPE) se voit offrir un droit de premier refus pour tous les actifs matériels informatiques excédentaires.
  • mettre en œuvre un processus de destruction efficace des disques durs endommagés / périmés qui représentent un risque d’exposition aux données.

Date d'achèvement prévue : 31 mars 2020

Conclusion

Pêches et Océans Canada ne dispose pas actuellement d’un système de gestion des biens de TI efficace pour les appareils qui protègent ces biens et renseignements, qui sont conformes aux règlements et qui appuient la prestation des programmes.

Des possibilités d’amélioration ont été déterminées pour renforcer les inventaires du matériel informatique, la protection des biens de TI, le modèle de ressourcement de la GIST, la coordination de la gestion des biens des TI et l’aliénation des biens de TI.

Énoncé de conformité

Selon mon jugement professionnel en tant que dirigeante principale de l’audit, des procédures d’audit suffisantes et appropriées ont été suivies et des éléments de preuve recueillis pour confirmer l’exactitude des opinions formulées et contenues dans ce rapport. La portée de l’examen a été prévue pour offrir un niveau d’assurance adéquat en ce qui concerne les critères d’audit. L’opinion est fondée sur une comparaison des conditions ayant cours à ce moment-là avec les critères d’audit préétablis et acceptés par la direction. Elle s’applique seulement à l’entité qui a fait l’objet de l’examen et dans les limites de la portée décrite dans le présent document. Les éléments probants ont été recueillis selon la Politique sur l’audit interne et à la Directive sur l’audit interne du Conseil du Trésor. L’audit est conforme aux Normes relatives à l’audit interne au sein du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité. Les procédures utilisées respectent les normes professionnelles de l’Institut des auditeurs internes. Les éléments probants étaient suffisants pour fournir à la haute direction une preuve d’opinion fondée sur l’audit interne.

Annexe A : Secteurs d’intérêt et critères d’audit

Les critères d’audit sont présentés dans le tableau ci-dessous, par élément d’enquête.

Critères d’audit

Secteur d’intérêt 1 – Contrôles

Critère 1.1 : Le Ministère maintient un inventaire précis et à jour de son matériel informatique.

Critère 1.2 : Le Ministère a mis en place des processus et des contrôles de gestion des biens de TI qui soutiennent l’exécution efficace et rentable des programmes et la protection de ses biens.

Secteur d’intérêt 2 – Conformité

Critère 2.1 : Le Ministère aliène son matériel informatique de la façon la plus efficace possible, le plus tôt possible, après qu’ils sont en surplus, selon les exigences d’exécution des programmes et conformément aux règlements.

Annexe B : Recommandations et réponses de la direction

Recommandation Réponse de la direction
Le sous-ministre adjoint des Ressources humaines et Services intégrés devrait mettre en place des contrôles clés, notamment en limitant l’accès aux personnes pouvant saisir et modifier des informations dans les inventaires, en mettant à jour obligatoirement les informations d’inventaire et en mettant en place des contrôles automatisés pour limiter les erreurs de saisie et de suppression. Le SMA devrait également déterminer s'il est pratique d'établir un inventaire unique couvrant une période de temps raisonnable. Si possible, un tel inventaire unique devrait être mis en place. La direction accepte le recommandation.

Le Sous-ministre adjoint (SMA) des Ressources humaines et services intégrés (RHSI) travaillera avec le dirigeant principal de l'information (DPI), Ingénierie informatique et gestion des actifs (IIGA), le Centre de service de technologie de l'information (CSTI) et la Gestion des services de TI (GSTI) pour :
  • examiner les outils d'inventaire, notamment Assyst 11, dans le but de recommander un outil fournissant des contrôles automatisés;
  • examiner les autorisations d'accès et limiter l'accès à la base de données de gestion de la configuration dans la mesure du possible;
  • examiner et ajouter des imprimantes appartenant au MPO dans la base de données au lieu d'utiliser des feuilles de calcul;
  • incorporer les informations de la feuille de calcul des centres de gestion dans l'actualisation de l'inventaire de la base de données Assyst;
  • préparer un plan d'action pour actualiser l'inventaire actuel;
  • procéder à la mise à jour de l'inventaire;
  • examiner et communiquer les stratégies (modèle et processus Responsable, Agent comptable, Consulté, Informé (RACI)) au personnel limité faisant partie de la fourniture de l'inventaire mis à jour; et
  • mettre en place un audit d'assurance qualité trimestriel pour tout le personnel et tous les processus afin de garantir la précision.
Date d'achèvement prévue : 31 mars 2021
La dirigeante principale des finances devrait examiner et mettre à jour l’ensemble du matériel informatique répertorié dans Abacus. La direction accepte le recommandation.

Le dirigeant principal des finances examinera la liste des actifs informatiques dans Abacus et retirera les catégories d'éléments suivis dans d'autres systèmes par l'IMTS et corrigera le codage des actifs restants.

Date d'achèvement prévue : 30 septembre 2019
Le sous-ministre adjoint des Ressources humaines et Services intégrés devrait examiner le processus de gestion des biens de TI pour s’assurer que des contrôles visant à protéger les biens sont en place. La direction accepte le recommandation.

Le SMA des RHSI en collaboration avec le DPI, Biens immobiliers, protection et sécurité (BIPS), IIGA, CSTI et GSTI vont:
  • examiner, mettre à jour si nécessaire et communiquer les processus GSTI actuels liés à la protection des actifs;
  • revoir les autorisations d'accès et les corriger conformément aux exigences; et
  • examiner les conditions actuelles dans les centres de distribution primaires et secondaires et les sites.
Date d'achèvement prévue : 31 mars 2021
Le sous-ministre adjoint des Ressources humaines et Services intégrés, en consultation avec la dirigeante principale des finances (DPF), devrait envisager d’autres modèles de financement pour la gestion du cycle de vie des biens de TI afin de garantir une gestion efficace des biens, notamment les remplacements planifiés. La direction accepte le recommandation.

Le SMA des RHSI en consultation avec le DPF et en collaboration avec le DPI, IIGA et l'équipe financière de l'entreprise, de la gestion, de l'intégration et de l'engagement vont:
  • examiner le modèle de financement actuel et sa capacité / incapacité à maintenir une gestion saine du cycle de vie des actifs pour le MPO; et
  • proposer un modèle de financement alternatif reflétant le paysage et les besoins en actifs informatiques actuels.
Date d'achèvement prévue : 31 décembre 2019
Le sous-ministre adjoint des Ressources humaines et Services intégrés devrait assurer la coordination entre la GIST et les secteurs ayant la responsabilisation, les rôles et les responsabilités bien définis, ainsi que l’audit annuel du matériel informatique. La direction accepte le recommandation.

Le SMA des RHSI travaillera avec les directeurs généraux régionaux, le DPI, la gestion du portefeuille de clients et la IIGA pour créer un processus clair de gestion des actifs, y compris l'assurance de la qualité et le RACI.

Date d'achèvement prévue : 31 mars 2020
Le sous-ministre adjoint des Ressources humaines et Services intégrés devrait s’assurer que des processus et des contrôles d’aliénation clairs sont mis en place pour assurer le respect des règlements obligatoires et la protection des biens. La direction accepte le recommandation.

Le SMA des RHSI en consultation avec le DPI, IIGA, CSTI et la gestion du matériel vont:
  • examiner les processus en vigueur liés à la cession d'actifs et veiller au respect des réglementations suivantes:
    • que toutes les informations et tous les actifs sont protégés contre la perte, le vol ou l'utilisation abusive;
    • que des enregistrements vérifiables des analyses de coûts ayant servi à justifier les décisions d'élimination soient conservés; et
    • que les Ordinateurs pour les écoles (OPE) se voit offrir un droit de premier refus pour tous les actifs matériels informatiques excédentaires.
  • mettre en œuvre un processus de destruction efficace des disques durs endommagés / périmés qui représentent un risque d’exposition aux données.
Date d'achèvement prévue : 31 mars 2020
Date de modification :