Introduction

Services partagés Canada a été créé en 2011 pour moderniser la prestation des services d’infrastructure de technologie de l’information (TI) au sein du gouvernement fédéral. La transformation menée par Services partagés Canada était de grande ampleur. Au départ, il y avait cinq grands programmes de transformation :

• Initiative de transformation des services de courriel
• Appareils technologiques en milieu de travail
• Regroupement des centres de données
• Programme de transformation des télécommunications
• Cybersécurité et sécurité de la TI

Chaque programme, qui comportait des millions de dollars de dépenses, un échéancier serré et de multiples interdépendances entre les projets, était mis en œuvre dans 43 ministères et organismes. Il s’agissait d’une nouvelle façon de faire, non seulement pour Services partagés Canada, mais aussi pour le gouvernement fédéral dans son ensemble.

Parmi toutes ces transformations, le bureau d’audit interne de Services partagés Canada a également été mis sur pied. Des employés étaient recrutés, des processus étaient élaborés et des audits étaient effectués. Nous avons effectué un premier audit de l’Initiative de transformation des services de courriel en utilisant des méthodes d’audit traditionnelles. Les gestionnaires d’audit ont rapidement constaté que les audits traditionnels, qui nécessitent entre 12 et 18 mois pour produire un rapport, n’allaient pas apporter la valeur attendue et ne permettraient pas de faire face aux risques que présentaient ces transformations importantes et complexes. Compte tenu de l’évolution rapide de la technologie de l’information, il faut être aussi prompt et agile que les programmes eux-mêmes afin d’offrir des services d’assurance à valeur ajoutée.

Dans cet article, nous expliquons comment l’équipe d’audit interne de Services partagés Canada a réussi à simplifier et transformer ses processus traditionnels afin d’offrir des services d’assurance pour de grands programmes de transformation de manière opportune et utile.

Quelle a été notre nouvelle stratégie d’audit?

En 2015, le Bureau de la vérification et de l’évaluation de Services partagés Canada a lancé une nouvelle série d’audits. Ces audits devaient être des évaluations rapides, agiles et opportunes des cinq programmes de transformation.

Cette nouvelle stratégie d’audit s’articulait autour de trois caractéristiques principales :

• Des audits trimestriels des systèmes en voie de développement dans les cinq programmes étaient effectués selon une approche descendante, agile et fondée sur les risques.
• Des rapports trimestriels étaient présentés à la haute direction et au Comité ministériel de la vérification.
• Les résultats d’audit étaient rendus publics une fois par an.

La nouvelle stratégie d’audit avait pour objectif de fournir à la direction une évaluation opportune des points suivants :

• Progrès et réussite dans l’atteinte des objectifs de chaque programme de transformation (selon les jalons définis dans le cadre de chaque programme et tout au long du calendrier de transformation).
• Principaux contrôles internes, processus de gouvernance et cadre de gestion des risques liés à la transformation (à un point du cycle d’élaboration où des améliorations pouvaient être mises en œuvre et où les processus pouvaient être adaptés).

À propos de l’auteure :

Chantal Hewston est auditrice interne principale à Services partagés Canada. Elle travaille dans le domaine de l’audit interne du secteur public depuis dix ans, et elle a eu la chance de jouer un rôle de premier plan dans une gamme d’audits agiles lancée par Services partagés Canada en 2016 afin d’offrir des services d’assurance pour de grands programmes et projets de TI. Elle a également mené plusieurs audits de la TI, de la gouvernance et de la sécurité au sein de plusieurs ministères fédéraux.

Chantal soutient activement l’Institut des auditeurs internes et l’ISACA (Information Systems Audit and Control Association). Elle a précédemment occupé le poste de directrice de la défense des intérêts gouvernementaux et réglementaires à ISACA Ottawa.

Cet article est basé sur son expérience et les opinions qui y sont exprimées sont les siennes.

Contactez l’auteure :

chantal.hewston@canada.ca

L’étendue des nouveaux audits était ajustée de façon continue au fil de l’évolution des cinq programmes de transformation. Ces programmes sont devenus notre micro-univers d’audit, comprenant la structure de gouvernance habilitante, la gestion des finances, des projets et des risques, ainsi que les processus de surveillance, de contrôle et de production de rapports.

La durée d’un audit traditionnel était de 18 mois entre la planification initiale et la présentation d’un rapport au Comité ministériel de la vérification. La mise en place de cette nouvelle méthode d’assurance devait essentiellement nous permettre de réduire de moitié la durée des audits, qui serait désormais comprise entre huit et neuf mois (voir la figure 1). Cela n’avait jamais été fait auparavant au ministère et nous nous engagions à utiliser cette nouvelle méthode pour auditer nos sujets les plus vastes, risqués et complexes.

En quoi avons-nous procédé différemment?

Tout le monde veut réaliser des audits plus rapides, mais tout le monde est-il prêt à apporter les changements nécessaires pour simplifier les processus? Nous avons décidé que nous étions prêt pour ces changements et avons donc adopté une stratégie fondée sur des principes pour repenser le processus d’audit en fonction de notre nouvel échéancier. Voici les principes que nous avons utilisés.

À tout moment de l’année, nous planifiions le prochain audit trimestriel, pendant l’examen d’un autre audit trimestriel et la préparation d’un rapport sur un troisième audit, de sorte qu’il y ait toujours trois audits en cours simultanément sur les programmes de transformation.

En collaboration avec nos collègues en charge de l’assurance de la qualité, les documents à communiquer à nos clients d’audit (par exemple le mandat d’audit et le rapport d’audit) ont été simplifiés pour contenir uniquement les éléments essentiels requis par les normes de l’Institut des auditeurs internes. À titre d’exemple, notre rapport d’audit principal était un tableau de bord, d’une page accompagné d’un document d’évaluation des constatations plus détaillé en langage clair. Les documents et les structures internes comme les structures des dossiers d’audit, les modèles et les outils d’évaluation des risques ont eux aussi fait l’objet d’une simplification.

Nous évaluions continuellement les risques en fonction des principes de gestion de projet – incluant le Guide du Corpus des connaissances en management de projet (Guide PMBOK®) et le cadre d’architecture TOGAF (The Open Group Architecture Framework) – et des bonnes pratiques gouvernementales, par exemple le Cadre de responsabilisation de gestion du gouvernement du Canada. Pour ce faire, nous discutions avec la haute direction, nous dialoguions et nous utilisions les documents produits pendant les réunions du comité de gouvernance. Ce processus d’évaluation continue des risques servait à établir les priorités d’audit et à sélectionner en temps réel les prochains audits axés sur les risques dans l’univers défini de nos programmes de transformation. Nous effectuions également une évaluation approfondie des risques sur le sujet d’audit sélectionné durant la phase de planification de chaque nouvel audit, conformément à notre processus normalisé.

Nous sélectionnions les sujets d’audit sur la base de cette évaluation continue des risques et de consultations avec l’équipe de gestion d’audit et la haute direction de Services partagés Canada. Les risques, le calendrier des programmes, les interdépendances et les priorités de gestion étaient pris en compte. Chaque trimestre, nous préparions une liste de sujets et la communiquions aux gestionnaires d’audit, puis nous envoyions le sujet finalement sélectionné au président de Services partagés Canada aux fins d’approbation. Cette méthode nous laissait la liberté d’axer nos audits sur les secteurs présentant le plus de risques, à n’importe quelle étape des programmes et projets de transformation.

Les phases de planification et d’examen de ces audits se déroulaient comme pour tout autre audit. Le seul changement par rapport aux audits plus traditionnels également en cours consistait à utiliser des outils simplifiés pour évaluer les risques et communiquer les résultats d’audit. Le facteur influant le plus sur l’avancement de ces nouveaux audits est le respect rigoureux des échéances qui jalonnent la réalisation de l’audit. Ces étapes clés sont l’achèvement des documents de planification, des feuilles de constatations, des rapports d’audit, des examens d’assurance de la qualité et des leçons apprises. Pour respecter ces échéances, l’équipe d’audit a dû effectuer des heures supplémentaires, en particulier pendant les premiers trimestres d’utilisation de notre nouvelle méthode. Toutefois, nous avons mené ces audits deux années de suite sans manquer une seule date limite.

L’équipe d’audit et ses gestionnaires s’engageaient à examiner les documents dans un délai standard de trois jours. Le fait que les principaux documents de planification et de reddition de comptes soient plus courts contribuait également à accroître l’efficacité. Ce délai de trois jours s’appliquait aussi aux échéances de l’organisation auditée. Nous effectuions un suivi auprès des organisations auditées par courriel, par téléphone et en personne pour vérifier que nos échéanciers soient respectés.

Comme la préparation des rapports en vue de leur publication (incluant la validation et l’administration) était généralement l’étape du processus qui prenait le plus de temps, il a été décidé de séparer la publication du processus d’audit. L’équipe d’audit s’occupait désormais exclusivement de réaliser les audits et de fournir en temps réel à la direction les constatations, les recommandations et les détails requis pour améliorer la prestation des programmes de transformation. Un résumé des quatre audits réalisés au cours de l’exercice, des recommandations d’audit et du contexte des constatations d’audit était préparé par une autre équipe d’audit chaque année aux fins de publication.

Page 1 de 2