La direction de la vérification interne et de l’évaluation des programmes
Vérification de l’architecture de l’entreprise
Décembre 2019
Table des matières
- 1.0 Introduction
- 2.0 Importance de la vérification
- 3.0 Énoncé de conformité
- 4.0 Opinion du vérificateur
- 5.0 Principales constatations
- 6.0 Résumé des recommandations
- 7.0 Réponse de la direction
- 8.0 Constatations découlant de la vérification
- Conclusion
- Annexe A : À propos de la vérification
- Annexe B : Liste de sigles
1.0 Introduction
1. L’Agence des services frontaliers du Canada (ASFC ou l’Agence) est chargée de fournir des services frontaliers intégrés qui appuient les priorités en matière de sécurité nationale et de sécurité publique et facilitent la libre circulation des personnes et des marchandises qui respectent toutes les exigences législatives. Pour remplir son mandat, l’Agence se fie à divers biens de technologie de l’information. La technologie est d’une importance évidente et elle constitue un catalyseur pour l’atteinte de la frontière de l’avenir décrite dans le Renouvellement de l’ASFCNote de bas de pages 1.
2. La Politique sur la gestion des technologies de l’information du Secrétariat du Conseil du Trésor (SCT) fait la promotion d’une approche intégrée pour l’ensemble du gouvernement du Canada visant à renforcer les partenariats en matière de technologies d’affaires et de l’information (TI) par l’utilisation de biens de technologie de l’information communs ou partagés, de services de TI innovateurs et de soutien à la prestation des programmes, ce qui optimise les ressources et rend les investissements en TI plus efficaces.
3. L’architecture de l’entreprise (AE) est une pratique qui vise à coordonner la stratégie de l’entreprise et son infrastructure de TINote de bas de pages 2. L’AE oriente les processus de planification et de création des capacités de TI pour atteindre les objectifs établis par une organisation. L’AE définit l’architecture dans son état actuel et dans son état souhaité, en fonction des biens et des capacités de TI de l’entreprise, de sa stratégie d’affaires, de ses priorités et de ses besoins.
4. L’ASFC a officiellement créé son programme d’architecture d’entreprise (PAE) en 2009. Ce PAE a adopté la Certification sur le cadre d’architecture de l’Open Group (TOGAF), un cadre vastement accepté pour les architectures d’entreprise qui présente des lignes directrices pour créer et mettre en œuvre efficacement une stratégie de programme d’AE.
5. La Division de l’architecture d’entreprise (DAE) de la Direction de l’architecture organisationnelle, de la gestion de l’information et des services communs, faisant elle-même partie de la Direction générale de l’information, des sciences et de la technologie (DGIST), est responsable de livrer et d’entretenir le PAE de l’ASFC. Puisque la portée de l’AE s’étend à l’ensemble de l’organisation, ses intervenants proviennent de toutes les directions générales de l’ASFC.
6. Une vérification du programme d’architecture d’entreprise a été approuvée dans le cadre du plan de vérification et d’évaluation intégré de l’ASFC pour l’exercice 2018-2019.
2.0 Importance de la vérification
7. L’ASFC évolue et se modernise pour rendre possible la frontière de l’avenir, et son PAE joue un rôle de premier plan pour assurer que les outils et les capacités de gestion de l’information et de technologie de l’information (GI/TI) correspondant à la stratégie globale de l’ASFC et du gouvernement du Canada. Un PAE efficace devrait mener à plus d’efficacité et à des économies par la réutilisation de services partagés, par l’élimination d’opérations répétitives et par l’optimisation de la prestation des services grâce à la simplification des processus opérationnels, à la normalisation des données et à l’intégration des systèmes.
8. L’objectif de la vérification était d’évaluer si l’ASFC a mis en place un PAE qui ajoute de la valeur, dont la gouvernance est efficace et qui correspond aux besoins et priorités actuels et à l’orientation future de l’ASFC.
9. La vérification englobait les activités du PAE de l’ASFC du au . La vérification portait sur les aspects suivants :
- les processus de gouvernance de l’ASFC, dont les processus de gouvernance de l’architecture, pour appuyer l’adoption du PAE au sein de l’ASFC
- l’adoption de solutions d’AE par l’ASFC pour les processus opérationnels et les activités de transformation
- la mesure du rendement du PAE et la production de rapports à ce sujet.
10. La portée de la vérification et ses critères se trouvent à l’annexe A.
3.0 Énoncé de conformité
11. La présente vérification a été menée conformément aux Procédures obligatoires régissant l’audit interne au sein du gouvernement du Canada, comme le confirment les résultats du programme d’assurance et d’amélioration de la qualité. La stratégie et les méthodes de vérification étaient conformes aux Normes internationales pour la pratique professionnelle de l’audit interne, telles qu’elles ont été définies par l’Institut des vérificateurs internes, et aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme l’exige la Politique sur la vérification interne du Conseil du Trésor.
4.0 Opinion du vérificateur
12. L’ASFC a mis en place un PAE dont la gouvernance correspond aux objectifs et aux priorités du gouvernement du Canada et de l’ASFC. Le PAE a compris la création et l’approbation de documents essentiels à la stratégie opérationnelle de l’ASFC et a mis en œuvre des processus de gestion de la conformité de l’AE. Toutefois, il est possible de faire davantage pour mener le PAE à sa pleine maturité et s’assurer de son utilité pour l’ASFC. Des améliorations à l’intégration de l’AE à l’étape de planification de projets, une plus grande responsabilisation en matière de conformité architecturale et une communication menant à une meilleure sensibilisation de l’Agence donneraient encore plus de valeur au PAE pour l’Agence.
5.0 Principales constatations
13. Les principales constatations de la vérification sont les suivantes :
- Des comités de gouvernance ayant des responsabilités en AE ont été mis sur pied et se chargent de leurs responsabilités, mais le PAE tirerait avantage d’un Conseil d’examen de l’architecture (CEA) plus fort qui discuterait régulièrement des questions d’architecture et qui superviserait la gouvernance des dérogations à l’architecture.
- Même si des éléments essentiels de l’architecture d’entreprise ont été créés et approuvés, il y aurait moyen d’instaurer un processus de vérification continu et systématique, et de faire connaître les éléments d’architecture à tous les intervenants.
- La DAE est généralement consultée tel qu’il est prescrit pour les projets axés sur les TI, mais aucun processus n’a été établi pour consulter la DAE à l’égard des projets qui ne sont pas axés sur les TI. Intégrer les questions d’AE plus tôt dans le processus de planification aiderait à soulever un plus grand nombre de solutions possibles.
- Quand un projet n’est pas conforme aux normes d’AE approuvées par l’ASFC, les processus de gouvernance ne sont pas suffisants pour pousser les responsables à remédier aux situations de non-conformité.
- Aucune mesure de rendement n’a été créée pour le PAE de l’ASFC et aucun suivi n’est effectué.
6.0 Résumé des recommandations
14. La vérification a donné lieu à quatre recommandations :
- Officialiser la place de l’AE dans les processus de planification.
- Évaluer la composition et le mandat du CEA.
- Officialiser et convivialiser les responsabilités liées à la documentation de l’architecture de référence.
- Établir et assurer la production de rapports et le suivi des mesures de la qualité du programme d’architecture d’entreprise.
7.0 Réponse de la direction
Réponse de la direction
La Direction générale de l’information, des sciences et de la technologie (DGIST) est d’accord avec les recommandations opportunes découlant de la vérification qui fournissent la plateforme requise pour consolider le programme d’architecture d’entreprise (AE) afin de lui permettre de contribuer stratégiquement au Renouvellement de l’Agence des services frontaliers du Canada (ASFC). À la suite de la mise en œuvre du modèle de gestion fonctionnelle de l’Agence, la structure de responsabilisation simplifiée donne un contexte et un cadre favorables permettant au programme de créer, en utilisant des volets opérationnels utiles distincts, une vision opérationnelle.
8.0 Constatations découlant de la vérification
8.1 Intégration de l’AE à la planification
15. De plus en plus, les organisations doivent veiller à ce que les investissements ministériels en matière de TI, l’élaboration de services et les initiatives d’amélioration soient à la fois éclairés par la planification des activités de l’organisation et intégrés à celle-ciNote de bas de pages 3. Puisqu’un des principes de base de l’architecture d’entreprise est d’harmoniser les TI aux opérations dans la mise en œuvre de la stratégie organisationnelle, il est crucial que la haute direction des opérations tout comme celle des TI participent activement au processus.
Planification des activités
16. La participation des intervenants de l’AE dès le début du processus de planification est cruciale pour permettre à la DAE d’informer et de guider les décisions menant à des solutions qui correspondent aux besoins opérationnels et à l’architecture de l’Agence. Cette collaboration favoriserait du même coup une compréhension des conséquences des initiatives planifiées sur l’écosystème architectural de l’Agence et enrichirait l’étape de planification de la DGIST pour l’élaboration des solutions d’entreprise nécessairesNote de bas de pages 4.
17. La vérification visait notamment à déterminer si les considérations relatives à l’AE étaient intégrées dans les processus de planification des activités de l’Agence, dont les processus des plans d’activités intégrés et le processus du plan des TI de l’ASFC.
18. Au moment de la vérification, les questions d’AE n’étaient pas du tout considérées dans le processus de planification. Une évaluation des plans d’activité aux niveaux de la Direction générale et des régions a confirmé l’absence non seulement des questions d’AE, mais aussi des priorités de TI en général. Le plan d’activités de la DGIST pour l’exercice 2019-2020 comprend des priorités liées à l’AE, mais on n’a pas tenu compte de la contribution des directions générales lors de l’élaboration de ce plan.
19. S’il n’y a pas de consultations entre la DGIST et les activités pour tirer avantage de l’expertise de la DAE, on perd une occasion de prévenir la création d’applications et de solutions uniques superflues et l’investissement inopportun dans une technologie archaïque.
20. Dans le cadre de son renouvellement, l’Agence passe à une nouvelle structure organisationnelle et fait progresser ses processus de planification. La planification intégrée des activités (PIA) a été créée et un premier cycle en a été effectué au début de 2019. Alors que le processus continue à gagner en maturité, une meilleure intégration des priorités et capacités des TI aux processus de planification des activités pourrait mener à un arrimage plus complet des TI avec les activités, y compris des questions liées à l’AE.
Planification de projet
21. En plus des processus de planification des activités, nous avons évalué les processus de planification des projets de l’Agence, qu’ils soient axés sur les TI ou non, afin de vérifier si la DAE est intégrée aux processus. Comme le prévoit le TOGAF, nous nous attendions à ce que l’AE soit intégrée dès les premières étapes du processus et que, pendant la création de systèmes, les projets de l’Agence utilisent les solutions qui leur sont accessibles.
22. Le Cadre de gestion de projet (CGP) de l’Agence stipule que l’investissement dans des projets potentiels ‘…devrait tirer avantage des divers services d’AE…’. Une participation concrète de la DAE dans le CGP n’a pas été officialisée ; par contre, elle est essentielle dans la gestion des projets pour les points de contrôles 1 à 3 de la phase d’investissement, où l’AE est le plus susceptible d’ajouter de la valeur et d’assurer l’harmonisation avec l’architecture de l’ASFC. Pour les projets liés à la TI seulement, la participation de la DAE est obtenue de façon indirecte, quand un projet ou un de ses éléments nécessite la gouvernance du Cadre de gestion du cycle de vie des services (CGCVS).
23. Le CGCVS est le cadre utilisé par l’ASFC pour la gestion des services de TI. Le CGCVS est appliqué à la création de nouveaux systèmes et aux changements apportés aux systèmes existants, et il comprend une méthode de gestion de l’architecture (MGA) qui définit les processus liés à l’architecture. Le CGCVS stipule que la DAE doit être consultée à l’étape de l’examen de la conception préliminaire (ECP), qui survient avant l’étape de création de solutions. À cette étape, les employés de la DAE évaluent la solution proposée afin de déterminer sa conformité à l’orientation d’AE applicable et si le projet peut tirer avantage des différents services déjà créés par l’Agence.
24. Un échantillon de 11 projets axés sur la TI a été évalué dans le cadre de la vérification afin de déterminer si la DAE avait été consultée pendant l’étape de l’ECP de l’élaboration d’une solution. Nous avons consulté les documents de caractéristiques techniques de l’architecture et de la conception (CTAC), qui ont démontré que, pour 10 des 11 projets, la DAE avait été consultée tel que requis. Cependant, seulement trois de ces dix projets ont fini par utiliser des solutions existantes. Les considérations de temps et d’argent ont été les raisons les plus courantes pour ne pas se conformer à l’AE.
25. Nous avons remarqué que, même si l’étape d’ECP survient tôt dans l’élaboration des systèmes de TI, elle arrive quand les décisions financières ont déjà été prises et les échéances de mise en œuvre du projet ont déjà été établies. La création d’une solution en architecture n’est donc parfois plus possible au moment où la DAE est consultée. La solution qui est finalement élaborée et mise en œuvre n’est donc pas conforme aux orientations de l’AE. Ce sujet est exploré plus en détail dans la prochaine section.
26. Comme mentionné au paragraphe 22, il n’existe pas d’exigence formelle à l’Agence indiquant que la DAE doit être consultée pour les projets qui ne sont pas axés sur la TI, mais cela serait tout de même préférable, car de nombreux projets n’étant pas considérés comme axés sur la TI peuvent avoir une importance sur le plan architectural. Par exemple, un projet comme celui de la nouvelle installation d’examen des conteneurs n’est pas axé sur la TI, mais peut entraîner de nouveaux processus d’activités, ce qui nécessite des modifications à l’architecture de référence des activités de l’Agence.
27. Un échantillon de cinq analyses de rentabilisation et de chartes de projets non axés sur la TI a été évalué afin de déterminer si la DAE avait été consultée. Nous avons conclu que la DAE avait été consultée pour deux des cinq projets non axés sur la TI parce qu’un aspect de TI du projet nécessitait d’obtenir l’approbation du CGCVS.
28. La mise en œuvre de solutions qui ne correspondent pas à l’AE risque d’entraîner un manquement aux exigences de sécurité, de protection de la vie privée, d’interopérabilité, d’accessibilité et d’information ouverte, et peut aussi faire manquer des façons d’économiser et d’être plus efficace. Une participation de la DAE dès le début de la planification des activités et des investissements et de l’élaboration du cycle de vie d’un projet peut permettre de trouver des façons de tirer avantage des solutions existantes dans l’entreprise.
1re recommandation
Le vice-président de la Direction générale de l’information, des sciences et de la technologie, en collaboration avec le vice-président de la Direction générale des finances et de la gestion organisationnelle, doit officialiser les consultations liées à l’architecture d’entreprise dans la planification des activités et rajuster le cycle de gestion de projets afin de tenir compte plus rapidement des facteurs relatifs à l’AE, de mieux évaluer les coûts et de mieux planifier les investissements dans les solutions d’entreprise.
Réponse de la direction | Date d'achèvement |
---|---|
Le vice-président de la DGIST est d’accord avec cette recommandation. Le nouveau processus de planification intégrée des activités et le cadre de gestion de projet offrent les bonnes tribunes et les bons points de contact pour inclure les facteurs relatifs à l’AE dans les processus de planification et de gestion de projets de l’Agence. | Mars 2020 |
8.2 Gouvernance
29. La gouvernance de l’architecture est une pratique par laquelle les architectures d’entreprises sont gérées et dirigées dans l’ensemble d’une entrepriseNote de bas de pages 5.
30. Un élément important pour la gouvernance de toute architecture est l’établissement d’un Conseil d’examen de l’architecture (CEA) qui supervise la mise en œuvre de la stratégie de gouvernance. Le CEA devrait représenter tous les intervenants en architecture et devrait être composé d’un groupe de cadres responsables pour l’évaluation et l’entretien de l’architecture en généralNote de bas de pages 6. En vertu de la Politique sur la gestion des technologies de l’information, le CEA de l’organisation est présidé par le dirigeant principal de l’information (DPI)Note de bas de pages 7.
31. Le Comité de gestion et d’information de l’Agence (CGIA) est un comité de directeurs généraux qui remplit le rôle de CEA pour l’ASFC. Le mandat du comité ne comprend cependant pas de responsabilités de CEA au-delà de l’évaluation des propositions devant être déposées au Conseil d’examen de l’architecture d’entreprise du gouvernement du Canada (CEAE du GC), une disposition de la Directive sur la gestion des technologies de l’information. Le VP de la DGIST, soit le DPI de l’ASFC, n’est pas le président du CGIA et il n’assiste pas à ses réunions. Le CGIA est composé de membres de la haute direction de partout dans l’Agence, y compris de la DGIST.
32. Dans le cadre de notre vérification, nous avons constaté que le CGIA a évalué divers documents liés à l’AE, dont les examens de l’architecture de la Gestion des cotisations et des recettes de l’ASFC, des entrées et des sorties et du Programme de protection des passagers. Toutefois, il est possible que les membres du CGIA ne comprennent pas totalement les concepts d’AE et le PAE de l’Agence, ce qui empêche le comité de jouer adéquatement le rôle de CEA pour l’ASFC. Pour rehausser la connaissance des membres du comité au sujet de l’architecture d’entreprise et du programme d’AE de l’Agence, la DAE prépare des séances de formation de base sur l’architecture d’entreprise.
33. En plus du CGIA, le Comité de gestion des finances et des investissements (CGFI) et le Comité de gestion des investissements et des projets (CGIP) ont tous deux des responsabilités qui s’étendent à l’ensemble de l’ASFC en matière de finances et de planification des investissements, notamment pour des initiatives qui ont des conséquences architecturales. Notre évaluation du mandat de ces comités confirme qu’ils abordent des sujets et des discussions au sujet de solutions d’entreprise comme l’architecture axée sur le service, la gestion des données de référence et le service de soutien à l’évaluation des risques.
34. Le CGD, le CGIS et le Comité GIS, tous des comités au sein de la DGIST, ont aussi joué un rôle décisionnel lié à la conformité architecturale, à la planification de projets et au respect des exigences réglementaires, rôle qui a fait partie de la présente vérification.
35. Voir la 2e recommandation du rapport à la page 11.
8.3 Écarts entre les architectures approuvées
36. Le TOGAF reconnaît que la réalité impose des contraintes, notamment des contraintes de temps et d’argent, qui peuvent empêcher un projet d’être conforme aux directives d’AE d’une organisation. Pour pallier ces situations, l’organisation devrait créer un document sur les écarts qui servirait à approuver les dérogations à la conformité de courte durée et à décrire en détail les étapes qui mèneront à la résolution de la situation de non-conformité.
37. Au sein de l’Agence, l’évaluation des écarts est un procédé consigné dans la méthode de gestion de l’architecture (MGA) du cadre de gestion du cycle de vie des services (CGCVS), administré par le groupe de la surveillance et de la conformité (GSC), qui fait partie de la DAE. La responsabilité des écarts repose sur les gestionnaires de services, qui doivent consigner les écarts et les soumettre à la DAE afin d’être évalués par les architectes d’entreprise de la DAE. Après l’évaluation, une recommandation est émise pour accepter ou rejeter l’écart. Les écarts sont valides pour une période d’un an.
38. Les gestionnaires de services ont aussi la responsabilité de présenter l’écart au Comité de gestion d’ingénierie des services (Comité GIS), un comité composé de directeurs, afin d’obtenir une évaluation initiale et son approbation. La DAE est représentée au Comité GIS par le directeur de la division. Si le Comité GIS n’arrive pas à un consensus, la décision sur l’écart est déléguée au Conseil de gestion d’ingénierie des services (CGIS), un comité composé de directeurs généraux.
39. Si l’écart n’a pas été résolu après un an, il doit être approuvé à nouveau par le Comité GIS. Le gestionnaire des services a la responsabilité de présenter l’écart au Comité GIS pour une nouvelle approbation un mois avant que l’approbation en cours vienne à échéance.
40. Si une demande d’écart est refusée, il faut choisir une nouvelle marche à suivre : reprendre l’architecture de la solution pour la faire correspondre à l’orientation de l’AE, annuler le changement aux services, ou encore faire appel de la décision au CGES, un comité composé de directeurs généraux. La présente vérification a noté qu’aucun dossier n’a été renvoyé du Comité GIS au CGIS pour des cas d’écart architectural.
41. Un rôle clé du GSC est la promotion de la conformité à l’architecture de l’ASFC. Dans ce sens, la MGA du CGCVS exige que le GSC tienne à jour un journal des écarts afin de faire le suivi de leurs situations. Le GSC administre également un compte de courriel générique pour recevoir les demandes préventives d’évaluation de la conformité. Grâce à ce processus, le GSC a évalué 481 mises à jour pour mesurer la conformité à l’architecture de l’Agence entre et , afin de juger si des écarts étaient nécessaires.
42. La vérification a évalué la capacité de l’ASFC à consigner, approuver et clore les écarts de façon efficace.
43. Au moment de la vérification, il y avait 91 écarts en cours dans le système de suivi des écarts du GSC. La vérification a choisi un échantillon de 20 écarts pour déterminer s’ils avaient été évalués par le GSC et approuvés par le Comité GIS. Un examen des documents d’écarts et des comptes rendus de décisions a démontré que 12 des 20 écarts avaient été approuvés par le Comité GIS. Des huit écarts restants, six étaient échus, et aucun compte rendu de décisions n’a été trouvé qui aurait pu confirmer que les deux autres avaient été approuvés par le Comité GIS.
44. La vérification a aussi examiné les cas d’écarts approuvés qui remontaient à plus d’un an afin de vérifier s’ils avaient été réévalués et s’ils demeuraient valides. Dix des vingt écarts dans l’échantillonnage remontaient à plus d’un an, et nous avons donc vérifié s’ils avaient été dûment réévalués. La vérification a trouvé un document confirmant un seul cas d’écart venu à échéance qui a été réévalué et approuvé par le Comité GIS.
45. Pendant la vérification, la DAE a noté que 38 des 91 écarts n’avaient pas été présentés au Comité GIS ou encore étaient venus à échéance. La direction a suggéré que cela était dû au fait que le processus de suivi des écarts n’était pas encore à sa pleine maturité. Au moment de la vérification, la DAE s’occupait de ces écarts échus ou non approuvés et avait prévu une évaluation du Comité GIS pour chacun des 38 écarts échus. Depuis, tous ces écarts sauf un ont été approuvés ou réapprouvés.
46. En vertu de la MGS du CGCVS, une marche à suivre doit être élaborée pour expliquer comment clore les écarts. Cette marche à suivre explique les différentes étapes et les échéances recommandées pour rendre une solution architecturale conforme à l’orientation de l’AE. Aucun des 20 écarts inclus dans l’échantillonnage n’était associé à une marche à suivre. La marche à suivre serait cruciale pour que les intervenants clés soient informés des étapes et des échéances associées à la correction de non-conformité en matière d’AE.
47. Étant donné que les écarts sont évalués dans le cadre de la gestion des mises à jour, il y a risque que leur importance soit minimisée et qu’ils ne soient pas relevés pour éviter de retarder le lancement d’une mise à jour. Selon le TOGAF, le CEA devrait être responsable de faire observer la conformité en matière d’architecture. Le CEA devrait avoir pour tâche d’autoriser des écarts, de détecter les divergences à l’AE, dont les évaluations de conformité effectuées par le GSC, et de planifier des activités correctives (rendre la marche à suivre obligatoire, par exemple)Note de bas de pages 8.
48. D’un point de vue général, un processus pour gérer les écarts a été mis sur pied, mais il y a des lacunes dans son application. Sans un processus renforcé pour assurer que les écarts soient accompagnés d’une marche à suivre et supervisés par un comité qui saisit leur importance, les progrès effectués en matière de correction des exceptions liées à l’architecture de l’ASFC seront limités.
49. Le leadership de la haute direction, marqué par des rôles et des responsabilités clairement définis et le mandat d’utiliser l’AE pour appuyer les objectifs stratégiques de l’ASFC, contribuerait grandement à ce que le PAE atteigne sa maturité.
2e recommandation
Le vice-président de la Direction générale de l’information, des sciences et de la technologie, en collaboration avec le vice-président de la Direction générale des finances et de la gestion organisationnelle, doit réévaluer la composition du Conseil d’examen de l’architecture de l’Agence et officialiser ses responsabilités, y compris la gouvernance des écarts à l’architecture et la marche à suivre qui y est associée.
Réponse de la direction | Date d'achèvement |
---|---|
Le vice-président de la DGIST est d’accord avec cette recommandation. En collaboration avec la DGFGO, une proposition visant la création d’un conseil d’examen de l’architecture (CEA) de l’ASFC autonome sera présentée au Comité exécutif. Le nouveau comité de niveau 5 élargira et officialisera les obligations de rendre compte du CEA. Le CEA assurera la surveillance et la gouvernance des programmes. Conformément à la recommandation du rapport de vérification, le Conseil sera présidé par le dirigeant principal de l’information, qui est le vice-président de la DGIST. | Juin 2020 |
8.4 Éléments du programme d’architecture d’entreprise
50. Le TOGAF définit les éléments clés qui forment les fondations de tout programme d’AE. Ces éléments sont les suivants :
- La vision de l’architecture d’entreprise : Fournit un aperçu des changements à l’entreprise qui seront causés par le déploiement réussi d’une architecture cible.
- La charte de l’architecture d’entreprise : Fournit une description claire de la portée et du mandat de l’équipe d’AE et de ses intervenants.
- Les principes de l’architecture d’entreprise : Fournit les principes qui guident le processus d’architecture et qui influencent l’élaboration, l’entretien et l’utilisation de l’AE.
51. Ces éléments sont appelés à être réévalués régulièrement afin qu’ils reflètent les changements au niveau de l’organisation ou du gouvernement du Canada.
52. La vérification a évalué si la DAE avait élaboré, approuvé et diffusé les éléments de base de l’AE et si ces éléments étaient régulièrement mis à jour. La vérification a aussi évalué si les documents de base correspondaient aux priorités de l’Agence ainsi qu’aux priorités du gouvernement du Canada en matière d’AE.
53. La version 1.0 de la vision de l’architecture de l’ASFC a été approuvée en septembre 2014. Cette vision a été réévaluée et mise à jour en 2016, mais on n’a trouvé aucune preuve qu’elle a été approuvée à ce moment. La vision correspond aux lignes directrices du TOGAF en matière de vision de l’architecture, qui comprennent des descriptions de problèmes, des objectifs pour les énoncés de travail, des exigences mises en correspondance et des références à des ébauches d’architecture.
54. De plus, nous avons constaté que l’ASFC a créé et approuvé une charte de l’architecture d’entreprise qui énonce la mission et la portée du PAE de l’ASFC, ainsi que les rôles et les responsabilités associés au programme. Au moment de la vérification, la DAE était en train de réviser cette charte pour y inclure la mission et la portée du PAE de l’ASFC ainsi que les risques qui y sont associés et les résultats attendus.
55. La vérification a confirmé que l’ASFC a créé et approuvé des principes de l’architecture d’entreprise pour orienter la planification, la prise de décision, la gestion, l’élaboration, la mise en œuvre, l’entretien, les activités et l’évolution de l’AE à l’ASFC, y compris les principes directeurs, les principes opérationnels, les principes d’application, les principes en matière d’information et de données, les principes de technologie et les principes de sécurité. Toutefois, même s’ils sont assujettis à une révision annuelle, on n’a trouvé aucune preuve que les principes ont été révisés depuis leur première approbation, en 2017.
56. Afin d’évaluer si le PAE correspond aux priorités de l’Agence, la vision, les principes et la charte ont été comparés au cadre stratégique de l’ASFC, aux initiatives de renouvellement de l’ASFC et au plan stratégique de la TI de l’ASFC. Ils ont aussi été comparés aux cinq priorités du gouvernement du Canada en matière d’AENote de bas de pages 9 : mettre en place des outils organisationnels de gestion des services de la TI, adopter les services d’informatique en nuage, faire évoluer les pratiques, les processus et les outils de gestion de la TI, adopter des approches souples quant à la mise en œuvre des solutions opérationnelles, et normaliser les métadonnées.
57. On a constaté que le PAE correspond entièrement aux objectifs du cadre stratégique de l’ASFC et correspondait assez bien aux objectifs du Renouvellement de l’ASFC et au plan stratégique de l’ASFC. L’examen du document a aussi confirmé que le PAE de l’ASFC correspondait aux cinq priorités du gouvernement du Canada en matière d’AE.
58. Afin d’assurer que le PAE soit compris et adopté par tout, il faut que les intervenants clés connaissent la vision, la charte et les principes d’AE. Toutefois, ces éléments n’ont pas été diffusés à la haute direction ni aux intervenants clés à l’extérieur de la DGIST. La charte d’AE révisée explique qu’un plan de communication et de sensibilisation sera créé, mais le manque de connaissance de l’AE dans l’ensemble de l’Agence est un enjeu constant depuis de nombreuses années et on constate des progrès limités dans la promotion du PAE à l’Agence.
Architecture de référence
59. En plus de l’établissement de la vision, de la charte et des principes de l’architecture d’entreprise, le TOGAF dit que les organisations doivent créer des architectures de référence, qui sont des architectures générales donnant les lignes directrices et les options pour prendre des décisions dans l’élaboration d’architectures plus spécifiques et dans la mise en œuvre de solutions. TOGAF ajoute que, dans un PAE qui a atteint sa maturité, toutes les unités opérationnelles acceptent les processus d’architecture et y prenne part activement.
60. L’ASFC a mis en œuvre une plateforme de collaboration en architecture (PCA) dans laquelle les processus opérationnels sont représentés pour former l’architecture de référence de l’ASFC (le plan directeur de l’ASFC). La version en ébauche de la charte de l’architecture d’entreprise explique que le plan directeur de l’ASFC sera supervisé par l’appareil de gouvernance intégré à la PCA, et que les responsables des processus opérationnels sont chargés de la gouvernance de leurs renseignements.
61. La DAE a pris l’initiative de créer dans la PCA des documents pour tous les processus opérationnels de l’Agence, ce qui représente énormément de travail. Les processus opérationnels sont maintenant représentés (le plan directeur a été créé), mais les responsables des processus opérationnels n’ont pas évalué et approuvé cette représentation. Des plans ont été élaborés pour faire participer les responsables des processus opérationnels, mais n’ont pas encore été mis en œuvre.
62. Nous avons remarqué que la pratique attendue de validation de la PCA n’a pas été enregistrée officiellement, et il n’est pas clair si les responsables des processus opérationnels ont participé à la création de ces architectures. En l’absence d’une charte révisée et conviviale qui énonce les rôles et les responsabilités des responsables des processus opérationnels, le plan directeur risque de ne pas acquérir l’autorité nécessaire et deviendra vite désuet.
3e recommandation
Le vice-président de la Direction générale de l’information, des sciences et de la technologie doit rendre officielles et conviviales les responsabilités des responsables des processus opérationnels au moyen de la Charte de l’architecture d’entreprise de l’ASFC, faire le suivi des progrès en vue de compléter la documentation relative à l’architecture de référence de l’Agence, et en faire état.
Réponse de la direction | Date d'achèvement |
---|---|
Le vice-président de la DGIST est d’accord avec cette recommandation. La charte du programme d’AE sera soumise aux commentaires du Comité exécutif. Une fois celle-ci approuvée par le président, le mandat du programme ainsi que les obligations de rendre compte et les responsabilités énoncées dans la charte seront communiqués à l’Agence. Les progrès réalisés par les responsables fonctionnels relativement à l’achèvement de l’architecture de référence feront l’objet d’une planification initiale ainsi que d’un suivi jusqu’à la fin au moyen de rapports sur le rendement des programmes. | Mars 2021 |
8.5 Mesure du rendement
63. La gestion du rendement est importante, car elle permet aux gestionnaires de comprendre, de mesurer et de démontrer que le PAE atteint les objectifs et avantages attendus et qu’il ajoute de la valeur. Il est particulièrement important que les responsables des processus opérationnels de l’ASFC comprennent la valeur de l’AE, car c’est un des moyens principaux pour atteindre les objectifs stratégiques de l’ASFC, mais ils peuvent facilement rester ignorés si le concept demeure trop abstrait. Le TOGAF explique que les mesures de qualité de l’architecture d’entreprise devraient être établies et régulièrement évaluées afin de démontrer la valeur opérationnelle de l’AE.
64. La vérification a évalué si la DAE a mesuré le rendement et a produit des rapports sur le sujet pour montrer que les résultats attendus seraient atteints et que les avantages seraient obtenus.
65. Nous n’avons trouvé aucun indicateur de rendement clé (IRC) établi pour le PAE de l’ASFC. En faisant l’examen de la documentation, nous avons remarqué qu’une évaluation de la maturité de l’architecture de l’ASFC remontant à 2014 recommandait que l’ASFC crée des mesures de rendement pour démontrer les gains en efficacité causés par le PAE, et que ces gains soient diffusés. Les gestionnaires ont établi comme objectifs la sensibilisation au PAE et le positionnement du PAE dans le paysage de l’ASFC, mais peu de progrès ont été réalisés à cet égard.
66. Pendant la vérification, nous avons mené un sondageNote de bas de pages 10 pour jauger la connaissance de certains employés au sujet des avantages associés au PAE, plus particulièrement celle des intervenants dont les tâches touchent l’AE (architectes de solutions, responsables de services, gestionnaires de projets, etc.). Le sondage a démontré que, en général, les participants connaissaient les services d’entreprise et leurs avantages, mais ne semblent pas comprendre les valeurs opérationnelles du PAE comme la hausse du rendement opérationnel ou l’amélioration du processus de prise de décisions.
67. La DAE a entrepris de remédier à ce manque de connaissance en prenant des initiatives comme la création d’une communauté de pratique sur l’architecture formée de représentants de tous les domaines d’architecture et de praticiens de l’AE de toute l’Agence, et des dîners-causeries pour les employés prenant part à la PCA.
68. L’ébauche de la charte de l’AE stipule que le PAE sera régulièrement évalué au moyen de mesures clés de rendement et qu’un document de gestion du rendement du programme expliquera comment sera évalué le PAE. Ces étapes, si elles sont mises en œuvre, permettront au PAE de faire la preuve de la valeur ajoutée et des avantages de l’AE à la haute direction et seront un outil pour améliorer le rendement du programme tout en faisant progresser sa maturité.
4e recommandation
Le vice-président de la Direction générale de l’information, des sciences et de la technologie doit établir et surveiller des indicateurs clés du rendement du programme de l’architecture d’entreprise, en faire rapport régulièrement au comité de gouvernance approprié, et utiliser ces indicateurs pour faire évoluer le programme.
Réponse de la direction | Date d'achèvement |
---|---|
Le vice-président de la DGIST est d’accord avec cette recommandation. Des indicateurs de rendement clés pour le programme d’AE seront élaborés, gérés, puis soumis à l’approbation du CEA de l’ASFC deux fois par année. | Septembre 2020 |
Conclusion
Le PAE de l’ASFC a établi des bases solides et a réuni une équipe d’AE dévouée à l’obtention d’un programme d’AE de premier plan. Leurs travaux ont fait progresser le programme de l’Agence de bien des façons. Pour poursuivre ce progrès, il est impératif que la haute direction y prenne part activement. Avec l’arrivée de l’ère de renouvellement numérique du gouvernement du Canada et l’entrée en vigueur en 2020 de la nouvelle politique numérique, il deviendra de plus en plus important de souligner et de clarifier le rôle de l’AE dans l’Agence. La mise en œuvre des recommandations de la vérification aidera l’Agence à se positionner afin d’obtenir du succès dans ce domaine.
Annexe A : À propos de la vérification
Objectifs et portée de la vérification
L’objectif de la vérification était d’évaluer si l’ASFC a mis en place un programme d’AE qui ajoute de la valeur, dont la gouvernance est efficace et qui correspond aux besoins et priorités actuels et à l’orientation future de l’ASFC.
La portée de la vérification comprenait les activités du programme d’AE de l’ASFC entre le et le .
Évaluation des risques
Une évaluation préliminaire des risques a été réalisée à l’étape de la planification afin de cerner les secteurs susceptibles de présenter des risques ainsi que de déterminer les priorités de la vérification. Parmi les activités d’évaluation des risques, on compte notamment des entrevues avec des intervenants de la DAE et l’examen des documents pertinents. Par suite de cette évaluation, les secteurs de risque qui suivent ont été cernés :
Gouvernance
- La haute direction pourrait ne pas recevoir des renseignements assez complets et précis en ce qui a trait au PAE pour orienter la prise de décisions.
- Les priorités du PAE pourraient ne pas être communiquées aux niveaux de direction appropriés.
Transformation:
- L’ASFC pourrait ne pas suffisamment profiter de l’AE au moment d’entreprendre, de gérer ou de maintenir des changements au niveau de l’organisation, des programmes, des politiques, etc.
- Les priorités du PAE pourraient ne pas correspondre aux objectifs stratégiques de l’ASFC ou du gouvernement du Canada.
- Le PAE pourrait ne pas arriver à entretenir, mettre à jour ou communiquer les éléments de l’AE.
Mesure du rendement
- Le PAE pourrait ne pas recueillir les renseignements sur le rendement qui permettraient de démontrer sa valeur pour l’ASFC.
Approche et méthodologie
La phase d’examen de la vérification a été réalisée selon l’approche suivante :
- Examen de la réglementation, des politiques, des directives et des plans du gouvernement du Canada et de l’ASFC.
- Examen des mandats et des comptes rendus de décisions des comités de gouvernance.
- Examen des éléments du PAE de l’ASFC et des documents qui le concernent.
- Entrevues avec des intervenants de la DGIST, dont de la DAE, et d’autres directions générales de l’ASFC.
- Examen d’un échantillon de projets liés à la TI et non liés à la TI.
- Examen d’un échantillon d’écarts aux architectures approuvées.
Critères de vérification
Étant donnés les constats préliminaires soulevés à l’étape de la planification, les critères suivants ont été élaborés en se basant sur le TOGAF. Nous avons utilisé des critères généralement associés à un niveau de maturité élevé (niveau 4) :
Secteurs d'intérêt | Critères de vérification |
---|---|
1er secteur d’intérêt | 1.1 Comités de gouvernance ayant des rôles et des responsabilités établis liés à l’architecture d’entreprise, actifs, et qui comprennent des membres de la haute direction des activités et des TI. 1.2 L’architecture d’entreprise est intégrée aux processus clés de planification. |
2e secteur d’intérêt | 2.1 L’ASFC a créé, approuvé et communiqué des éléments clés de l’architecture d’entreprise. 2.2 Les éléments de l’architecture d’entreprise de l’ASFC sont révisés et mis à jour à intervalle régulier. 2.3 Les éléments de l’architecture d’entreprise correspondent aux priorités et aux objectifs stratégiques de l’ASFC ainsi qu’aux objectifs stratégiques et aux exigences réglementaires du Gouvernement du Canada. 2.4 L’ASFC a élaboré un processus efficace pour documenter, approuver et régler les variances aux architectures approuvées. |
3e secteur d’intérêt | 3.1 Le programme de l’architecture d’entreprise mesure son rendement et produit des rapports à ce sujet pour démontrer qu’il atteint les objectifs attendus et qu’il obtient les avantages escomptés. |
Annexe B : Liste de sigles
- AE
- Architecture d’entreprise
- ASFC
- Agence des services frontaliers du Canada
- CEA
- Conseil d’examen de l’architecture
- CEAE
- Conseil d’examen de l’architecture d’entreprise
- CHCVS
- Cadre de gestion du cycle de vie des services
- CGD
- Conseil de gestion de la DGIST
- CGP
- Cadre de gestion de projet
- CGIA
- Comité de gestion et d’information de l’Agence
- CGIS
- Conseil de gestion d’ingénierie des systèmes
- Comité GIS
- Comité de gestion d’ingénierie des systèmes
- CTAC
- Caractéristiques techniques de l’architecture et de la conception
- DAE
- Division de l’architecture d’entreprise
- DGIST
- Direction générale de l’information, des sciences et de la technologie
- ECP
- Examen de la conception préliminaire
- GI/TI
- Gestion de l’information et technologie de l’information
- GSC
- Groupe de la surveillance et de la conformité
- IRC
- Indicateur de rendement clé
- MGA
- Méthode de gestion de l’architecture
- MGS
- Méthode de gestion des services
- PAE
- Programme d’architecture d’entreprise
- PCA
- Plateforme de collaboration en architecture
- PIA
- Planification intégrée des activités
- SCT
- Secrétariat du Conseil du Trésor
- TOGAF
- Cadre de l’architecture de l’Open Group
- Date modified: