Vérification des contrôles en matière de fiabilité des données dans le logiciel de planification et de suivi des tâches des Forces canadiennes (PSTFC)

Septembre 2016

7055-65 SMA(Svcs Ex)

Revu par le SMA(Svcs Ex) conformément à la Loi sur l'accès à l'information. Renseignements NON CLASSIFIÉS.

Acronymes et abréviations

AC

Armée canadienne

BPR

Bureau de première responsabilité

BC

Bureau consultatif

CLMC

Centre du logiciel militaire du Commandement

CO

Charte opérationnelle

COIC

Commandement des opérations interarmées du Canada

CS Ex

Chef – Service d’examen

EMIS

État-major interarmées stratégique

FAC

Forces armées canadiennes

GI/TI

Gestion de l’information/Technologie de l’information

MDN

Ministère de la Défense nationale

PSTFC

Planification et suivi des tâches des Forces canadiennes

SGRH

Système de gestion des ressources humaines

SMA(GI)

Sous-ministre adjoint (Gestion de l’information)

SMA(Svcs Ex)

Sous-ministre adjoint (Services d’examen)

Évaluation générale

  • Le logiciel de PSTFC est doté de contrôles sur les intrants, le traitement et les extrants pour veiller à l’exactitude et à l’exhaustivité des données qu’il contient.
  • Les cadres des pouvoirs, des responsabilités et de la gérance des données pourraient être améliorés grâce à la production de documentation officielle.
  • Une meilleure documentation sur les règles opérationnelles1, des processus de gestion du changement et un programme de formation des utilisateurs permettraient d’accroître l’exactitude et l’exhaustivité des données du logiciel.

Sommaire des résultats

Le ministère de la Défense nationale (MDN) et les Forces armées canadiennes (FAC) ont le mandat de maintenir l’état de préparation des forces militaires et de mener à bien des opérations de défense. Pour remplir ce mandat, le MDN et les FAC doivent réaliser des déploiements opérationnels, des exercices d’entraînement et d’autres activités.

Les responsables de l’attribution des tâches militaires doivent faire en sorte que les ressources nécessaires sont affectées aux exigences de mission. Le processus d’attribution des tâches permet au MDN et aux FAC de planifier leurs activités de manière à ce que les ressources appropriées soient affectées aux exigences militaires et ainsi, de fournir la bonne combinaison d’effectifs et d’équipement pour accomplir la mission.

Le logiciel de planification et de suivi des tâches des Forces canadiennes (PSTFC) appuie le processus d’attribution des tâches. Ce système d’information rassemble les renseignements du Ministère sur les capacités et les disponibilités du personnel et de l’équipement afin de permettre aux responsables de l’attribution des tâches militaires de former des équipes qui répondront aux exigences particulières de chaque activité.

Le Centre du logiciel militaire du Commandement (CLMC) de l’Armée canadienne (AC) gère le développement du système et le soutien pour le logiciel de PSTFC. Le CLMC travaille en collaboration avec les organisations responsables de la planification des tâches et de l’attribution des ressources ainsi que les organisations responsables du soutien des données extraites d’autres systèmes afin de mettre en œuvre une capacité de planification des tâches pour le MDN et les FAC.

Compte tenu du rôle important que le logiciel de PSTFC joue dans la planification opérationnelle, le sous-ministre adjoint (Services d’examen) (SMA(Svcs Ex)) a mené une vérification, laquelle devait déterminer si les contrôles appropriés étaient en place pour assurer l’exactitude et l’exhaustivité des données du logiciel. Cette vérification a été réalisée conformément au Plan de vérification interne axé sur les risques du Chef – Service d’examen (CS Ex)2 pour les années financières 2014-2015 et 2016-2017.

Constatations et recommandations

Pouvoirs et responsabilités. Dans le cadre du processus d’attribution des tâches, un certain nombre d’organisations au sein des FAC utilisent le logiciel de PSTFC. Les exigences de ces organisations sont uniques, ce qui complique le développement du système. Les différences qui existent dans le processus d’attribution des tâches de ces organisations n’ont pas été clairement définies et, en conséquence, l’AC n’est pas en mesure d’entreprendre le développement du système d’une manière coordonnée afin de répondre aux besoins de chacune de ces organisations.

Les responsables de la protection des données de base n’ont pas défini ou documenté clairement les pouvoirs et responsabilités en ce qui concerne les données de base utilisées dans le logiciel de PSTFC, à l’exception de celles du chef du personnel militaire. Par conséquent, il se pourrait que des données soient rendues disponibles dans le logiciel de PSTFC à des fins autres que celles prévues.

L’AC, de concert avec les responsables du processus d’attribution des tâches et de la protection des données de base, devrait définir et mettre en œuvre les pouvoirs et responsabilités pour le développement et la gestion du logiciel de PSTFC ainsi que l’acquisition des données de base.

Gestion du changement. Les responsables du processus d’attribution des tâches, les utilisateurs ainsi que le CLMC peuvent soumettre des demandes de changement au logiciel de PSTFC. L’AC reçoit et exécute les demandes de changement soumises par ces parties, mais le processus de présentation, d’élaboration, de mise à l’essai, d’approbation et de mise en œuvre des changements demeure non officiel. En conséquence, il se pourrait que certains changements apportés ne répondent pas nécessairement aux besoins opérationnels.

L’AC devrait officialiser le processus de gestion du changement pour le logiciel de PSTFC afin que les changements apportés au logiciel soient autorisés, documentés et diffusés en plus de fonctionner comme prévu et de répondre aux besoins opérationnels.

Contrôles de l’application. Un certain nombre de contrôles sont intégrés au logiciel de PSTFC pour permettre aux utilisateurs de saisir des valeurs acceptables et d’utiliser le logiciel aux fins prévues. Cependant, dans certains cas, des règles opérationnelles sont mises de côté délibérément pour donner une certaine souplesse aux utilisateurs. La décision de mettre en œuvre ou de ne pas mettre en œuvre ces règles opérationnelles n’a pas été documentée. En conséquence, il n’était pas évident que les contrôles appropriés étaient actifs dans le logiciel.

Dans le logiciel de PSTFC, il est aussi possible de restreindre l’accès des utilisateurs à certaines fonctions et données. Cependant, il n’y a aucun document pour aider les responsables de l’attribution des tâches à confirmer si de telles restrictions répondent à leurs besoins.

L’AC, en collaboration avec les responsables du processus d’attribution des tâches et de la protection des données de base, devrait documenter et mettre en œuvre toutes les règles opérationnelles essentielles qui sont liées aux contrôles sur les intrants, l’accès, le traitement et les extrants dans le logiciel de PSTFC, et ce, afin de veiller à ce que l’information soit exacte et exhaustive et qu’elle respecte les considérations en matière de sécurité et de respect de la vie privée.

Formation. Des documents de formation en ligne et un manuel de l’utilisateur sont disponibles pour le logiciel de PSTFC, mais aucune formation officielle n’est offerte à tous les utilisateurs. En raison de contraintes en matière de capacité, la formation officielle est limitée et le manuel de l’utilisateur n’est pas à jour. La formation est généralement donnée sur place.

L’AC, en collaboration avec les responsables de l’attribution des tâches, devrait élaborer et mettre en œuvre un programme de formation pour le processus d’attribution des tâches et le logiciel de PSTFC ainsi que des documents justificatifs appropriés.

Remarque : Veuillez consulter l’Annexe A – Plan d’action de la direction pour connaître la réponse de la direction aux recommandations du SMA(Svcs Ex).

1.0 Introduction

1.1 Contexte

1.1.1 Processus d’attribution des tâches

Une tâche est l’exigence de mener à bien des opérations de la mission, des exercices d’entraînement et d’autres activités militaires, et constitue un élément clé du travail du MDN et des FAC. L’attribution des tâches est le processus qui consiste à attribuer temporairement les ressources militaires adéquates (le personnel et l’équipement) afin de répondre à une exigence du Ministère. Le processus d’attribution des tâches inclut la planification des activités qui aident à l’atteinte des objectifs. Bien qu’il n’existe pas de définition faisant autorité, l’attribution des tâches se définit généralement comme le processus d’identification et de sélection des personnes qui possèdent les compétences nécessaires ainsi que l’équipement muni des capacités requises pour atteindre des objectifs précis.

Afin d’exécuter une demande ou un ordre d’attribution des tâches, les responsables militaires doivent dans un premier temps établir les exigences en matière de personnel et d’équipement. Les exigences en matière de personnel peuvent inclure des conditions comme les dates de début et de fin, le grade minimum, l’autorisation de sécurité, les connaissances linguistiques et la description des groupes professionnels militaires. Puis, dès qu’ils ont établi ces exigences, ils affectent le personnel et l’équipement disponible à la tâche conformément aux exigences définies et la tâche est réalisé. Les décisions sur l’attribution des tâches sont importantes pour affecter et jumeler de façon optimale les ressources militaires et en conséquence, atteindre les objectifs de l’activité.

Voici les trois catégories de tâches :

  • Tâche opérationnelle – sert à déterminer les ressources pour une mission des FAC. Par exemple, le Ministère pourrait décider de procéder au déploiement d’un navire dans le cadre d’une mission. En vue de fournir les ressources militaires nécessaires à ce navire, les responsables de la mission affecteraient des militaires d’autres secteurs qui possèdent les compétences et l’expérience nécessaires et veilleraient ainsi à ce que le navire possède un niveau de ressources acceptable avant le déploiement;
  • Tâche supplémentaire – sert à déterminer les ressources pour réaliser d’autres fonctions, comme des activités des cadets, des cérémonies et des activités d’entraînement. Par exemple, dans le cadre du processus d’attribution des tâches, il pourrait être nécessaire de réaffecter les ressources appropriées à une unité afin que des exercices d’entraînement puissent être menés efficacement avec le nombre approprié de participants;
  • Tâche de niveau de préparation élevée – sert à identifier les militaires pleinement qualifiés qui sont prêts à participer rapidement à un déploiement. Un certain pourcentage de militaires est pleinement qualifié et prêt à participer à court préavis à un déploiement en cas de crises au pays ou à l’étranger, qu’il s’agisse de catastrophes naturelles ou d’attaques terroristes. Ces militaires sont essentiellement déterminés au préalable et affectés à une tâche au besoin.

L’État-major interarmées stratégique (EMIS), de concert avec le Commandement des opérations interarmées du Canada (COIC), est responsable de l’attribution des tâches opérationnelles. D’autres éléments des FAC, comme la Marine royale canadienne, l’AC et l’Aviation royale du Canada, s’occupent de l’attribution des tâches supplémentaires. Même si l’EMIS a publié des instructions permanentes d’opération pour le processus d’attribution des tâches, chaque organisation élabore et exécute ce processus d’une manière légèrement différente. L’attribution d’une tâche de niveau de préparation élevée peut relever de n’importe quel élément des FAC. Par exemple, la MRC pourrait créer une tâche pour préparer à court préavis un navire  à un déploiement, alors que le COIC pourrait créer une tâche pour identifier au préalable les militaires qui devront intervenir en cas d’urgence nationale ou internationale.

1.1.2 Logiciel de PSTFC

Le logiciel de PSTFC soutient le processus d’attribution des tâches en aidant les responsables à créer les exigences et à affecter le personnel et l’équipement à ces exigences. Le logiciel aide aussi le chef d’état-major de la Défense et d’autres commandants à obtenir de l’information sur la taille, les caractéristiques et la disponibilité des ressources en matière de personnel et de certains équipements.

Le logiciel de PSTFC rassemble des données extraites d’autres systèmes d’information ministériels afin de fournir un répertoire du personnel et de certains équipements. Dans le cadre du processus d’attribution des tâches, ces renseignements servent à déterminer les ressources qui répondent à des critères précis. Particulièrement, le logiciel rassemble des données extraites des systèmes d’information ministériels suivants :

  • Logiciel de gestion du Système de soutien administratif militaire;
  • Versions civile et militaire du Système de gestion des ressources humaines (SGRH);
  • Logiciel d’Instruction individuelle et éducation militaire (IIEM);
  • Système de gestion du parc de véhicules;
  • Système de gestion des emplois militaires.

Le logiciel de PSTFC a environ 3 000 comptes d’utilisateur. Près du tiers des utilisateurs se servent du logiciel tous les jours.

Au départ, le logiciel a été mis au point pour soutenir le processus d’attribution des tâches de l’AC. Le logiciel a maintenant été adopté par d’autres organisations des FAC dans le but de répondre à leurs besoins en matière d’attribution des tâches. Dans l’ensemble, l’AC a financé le logiciel et en a conservé la propriété et l’administration par l’intermédiaire du CLMC. Le logiciel est géré par un programmeur dédié, qui assume les fonctions d’analyste de systèmes, de développeur d’applications, d’administrateur d’applications et d’administrateur de base de données. Des membres du personnel non dédiés du CLMC apportent aussi leur soutien, notamment un développeur substitut, un administrateur de base de données Oracle et un analyste de service de dépannage. Un formateur non dédié est également disponible pour fournir de la formation sur place au besoin.

Conformément à la Directive et ordonnance administrative de la Défense (DOAD) 6000-0, le sous-ministre adjoint (Gestion de l’information) [SMA(GI)] doit élaborer des politiques, directives, instructions et normes de gestion de l’information/technologie de l’information (GI/TI) qui concernent les applications axées sur l’organisation et doit surveiller leur application. Le SMA(GI) a délégué à d’autres organisations le pouvoir de gérer leurs biens de GI/TI. Puisque le logiciel de PSTFC était au départ une application qui appartenait uniquement à l’AC, et non une application axée sur l’organisation, le commandant de l’AC est responsable de la surveillance du logiciel et de sa conformité avec les exigences relatives aux politiques du SMA(GI).

1.2 Justification de la vérification

En 2013, le CS Ex a mené une étude de planification sur la gestion de la GI/TI3. Dans cette étude, il a été déterminé que la fiabilité des données dans les systèmes d’information constituait un secteur de risque pour le Ministère. En 2014, le CS Ex a également évalué le répertoire des systèmes d’information du Ministère4 et a déterminé que, parmi tous les logiciels qui n’étaient pas déjà en cours d’examen, prévus au calendrier des vérifications ou soumis à une transformation, le logiciel de PSTFC était une priorité. En conséquence, la fiabilité des données du logiciel de PSTFC a été incluse dans la vérification.

1.3 Objectif

L’objectif de la présente vérification était de veiller à ce que des contrôles appropriés soient en place pour garantir l’exactitude et l’exhaustivité des données du logiciel de PSTFC.

1.4 Portée

La portée de la vérification incluait une évaluation des contrôles du logiciel de PSTFC qui a été menée pendant la période s’échelonnant de janvier 2014 à septembre 2015. Voici les contrôles qui ont fait l’objet de l’évaluation :

  • Les contrôles sur la gestion du changement font en sorte que les changements sont apportés au logiciel de PSTFC de manière contrôlée et coordonnée;
  • Les contrôles sur les intrants contribuent à l’exactitude et à l’exhaustivité de l’information saisie directement dans le logiciel de PSTFC;
  • Les contrôles sur le traitement font en sorte que les données externes ne sont pas modifiées dans le logiciel et que les transactions sont traitées de façon appropriée;
  • Les contrôles sur les extrants sont des contrôles sur les tâches qui sont attribuées par l’intermédiaire du logiciel de PSTFC ainsi que les fonctions de production de rapports connexes.

1.4.1 Exclusion de la portée

La portée de la vérification n’incluait pas une évaluation des contrôles en place dans les systèmes d’information ministériels qui fournissent des données au logiciel de PSTFC.

1.5 Méthodologie

Les résultats de la vérification sont fondés sur la méthodologie suivante :

  • entrevues avec des membres du personnel de l’EMIS et des responsables de l’attribution des tâches au sein du COIC, de l’AC, de la MRC, de l’ARC et du Groupe des Services de santé des Forces canadiennes;
  • entrevues et révisions du processus avec le CLMC;
  • examen des politiques, procédures et documents d’orientation liés à l’attribution des tâches, au logiciel de PSTFC, à l’accès des utilisateurs et au développement du logiciel;
  • mise à l’essai des champs de saisie et des paramètres de l’application.

1.6 Critères de vérification

Les critères de vérifications sont énumérés à l’Annexe B.

1.7 Énoncé de conformité

Les constatations et conclusions de la vérification contenues dans le présent rapport sont fondées sur des éléments probants suffisants et appropriés qui ont été recueillis en vertu de procédures conformes aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des vérificateurs internes. La vérification est donc conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité. Les opinions exprimées dans le présent rapport reposent sur les conditions existant au moment de la vérification et elles ne s’appliquent qu’à l’entité examinée.

2.0 Constatations et recommandations

2.1 Pouvoirs et responsabilités

Les pouvoirs et responsabilités liés au développement et à la gestion du logiciel de PSTFC et des données qu’il contient n’ont été ni définies ni mises en œuvre.

2.1.1 Exigences liées au processus d’attribution des tâches

Au départ, le CLMC a mis au point et a adapté le logiciel de PSTFC pour faciliter le processus d’attribution des tâches de l’AC. Depuis, le logiciel a été modifié pour appuyer les processus d’attribution des tâches de diverses organisations au sein du MDN et des FAC, qui ont des exigences uniques. Certaines exigences sont contradictoires en ce qui a trait à la conception de l’application et ces exigences n’ont pas été entièrement documentées. En l’absence de tels renseignements, le CLMC n’est pas en mesure de tenir compte des exigences particulières de chaque organisation dans le logiciel.

L’EMIS, qui est l’organisation responsable de l’attribution des tâches opérationnelles, a fourni une certaine orientation sur le processus d’attribution des tâches et s’est efforcé de collaborer avec d’autres organisations pour définir les exigences minimales du processus. Des initiatives, comme le groupe de travail des responsables de l’attribution des tâches au niveau national, fournissent aussi aux organisations une tribune pour discuter du processus et pour l’améliorer et permettent au CLMC de recevoir de la rétroaction sur la fonctionnalité du logiciel de PSTFC.

2.1.2 Exigences liées aux données de base externes

Afin de soutenir l’affectation du personnel et de l’équipement aux tâches, le logiciel de PSTFC recueille des données dans un certain nombre de systèmes d’information ministériels. Par exemple, les données extraites des systèmes de matériel, comme le système de gestion du parc de véhicules, fournissent des précisions sur la disponibilité de certains équipements et les qualifications des conducteurs. Par ailleurs, les systèmes de ressources humaines, comme le SGRH et le logiciel de gestion du Système de soutien administratif militaire, fournissent des renseignements sur le personnel, notamment le grade, le groupe professionnel militaire, les qualifications et les autorisations de sécurité. En résumé, grâce au logiciel de PSTFC, il est possible de donner une vue d’ensemble des capacités et de l’état de préparation des FAC. En effet, grâce aux données de base externes disponibles dans d’autres systèmes d’information, le logiciel permet de déterminer la formation reçue des militaires et la disponibilité des ressources militaires.

Ces systèmes d’information sont généralement dotés de contrôles sur l’accès et l’utilisation des données, puisque bon nombre d’entre eux contiennent des données visées par les lois sur la protection des renseignements personnels ainsi que par des considérations en matière de sécurité. Cependant, les contrôles deviennent inefficaces lorsque les données extraites du système sont versées dans le logiciel de PSTFC. Un tel problème lié au contrôle de l’accès du Ministère ainsi que les recommandations connexes ont été expliqués dans la vérification des droits d’accès du SGRH réalisée par le SMA(Svcs Ex) en octobre 2015. Dans le cadre du plan d’action de la direction qui découle de cette vérification, des intervenants du Ministère travailleront en collaboration pour donner suite aux recommandations sur le contrôle des droits d’accès du logiciel qui ont été formulées dans le rapport. Particulièrement, les intervenants ont convenu de définir, de documenter et de communiquer les responsabilités, pouvoirs et obligations liés à la validation et à l’autorisation en matière d’accès aux données sur les ressources humaines, en plus d’accepter de confirmer si le besoin légitime d’obtenir des données sur les ressources humaines est conforme aux exigences opérationnelles et fondé sur le droit d’accès minimal ou le principe du besoin de savoir.

Dans le cadre de la présente vérification, les membres de l’équipe de vérification ont noté que le chef du personnel militaire, qui est responsable de la protection des données du SGRH militaire, avait communiqué ses attentes sur comment et qui pouvaient utiliser de telles données. Toutefois, d’autres responsables de l’extraction de données pour le logiciel de PSTFC n’ont pas communiqué des conditions d’utilisation semblables. Ainsi, il n’existe aucun document sur les données qui peuvent être utilisées dans le logiciel de PSTFC et sur la façon dont les données devraient être accessibles et gérées. Le problème a été soulevé dans la vérification des droits d’accès du SGRH et les intervenants clés se sont engagées à établir des processus de validation des données et à mieux régir et contrôler l’accès aux données. En l’absence de conditions d’utilisation documentées, le CLMC ne possède pas l’information nécessaire pour élaborer et mettre en œuvre les contrôles qui répondront aux attentes des responsables de la protection et de l’utilisation appropriée des données de base.

2.1.3 Règles opérationnelles

Dans le cadre de l’élaboration des normes d’un système d’information, le flux des travaux est divisé en procédures, étapes et points de décision. Les composantes du flux servent à élaborer les paramètres, qui sont appelés des règles opérationnelles. Comme pour tout autre système, les paramètres sont mis en application dans le logiciel de PSTFC grâce à la création et à la mise en œuvre de contrôles. Les contrôles empêchent les utilisateurs d’accomplir des fonctions dans le logiciel autres que celles prévues dans le flux des travaux. Par exemple, selon le processus d’attribution des tâches de l’EMIS, les militaires doivent être affectés à une tâche en fonction de leur grade. En conséquence, la règle opérationnelle qui en découle est que le grade soit inclus dans la demande de personnel pour toutes les tâches. Dans le logiciel de PSTFC, un contrôle a été créé afin de rendre le champ du grade obligatoire pour la définition des exigences liées à l’affection du personnel aux tâches.

Les responsables du processus d’attribution des tâches et de la protection des données de base n’ont pas mis en œuvre un processus officiel d’approbation des règles opérationnelles. Les exigences des responsables du processus d’attribution des tâches et de la protection des données de base, qui constituent le fondement du développement de système du logiciel de PSTFC, n’ont pas été documentées et sont actuellement communiquées de manière non officielle au CLMC. Ainsi, le CLMC n’a pas officiellement documenté les règles opérationnelles du logiciel de PSTFC. Même s’il existe des contrôles dans le logiciel, ceux-ci n’ont pas pu être associés aux règles opérationnelles documentées afin que l’utilisation du logiciel respecte les exigences du processus d’attribution des tâches. Il est important de documenter ces exigences pour qu’elles soient diffusées aux responsables de l’attribution des tâches et validées par ceux-ci.

Le CLMC a expliqué que la documentation sur les exigences et les règles opérationnelles n’est pas officielle en raison de la méthodologie qu’il a décidé d’utiliser pour le développement de système. Selon une telle méthode « agile », le développement de système est axé sur la capacité d’adaptation aux exigences et l’amélioration continue plutôt que sur le respect strict d’un processus rigoureux et d’une documentation exhaustive. En conséquence, la documentation sur le développement de système consiste en des annotations inscrites dans le code du système.

2.1.4 Conclusion

En l’absence d’une définition documentée ainsi que de l’approbation des exigences des intervenants et des règles opérationnelles, les contrôles programmés dans le logiciel de PSTFC pourraient ne pas respecter les contrôles prévus par les responsables du processus d’attribution des tâches et de la protection des données de base.

Recommandation du SMA(Svcs Ex)

1.    L’AC, de concert avec les responsables du processus d’attribution des tâches et de la protection des données de base, devrait définir et mettre en œuvre les pouvoirs et responsabilités nécessaires pour le développement et la gestion du logiciel de PSTFC ainsi que pour l’acquisition des données de base.

BPR : AC

2.2 Gestion du changement

À la suite d’un processus non officiel de gestion du changement, les contrôles intégrés au logiciel de PSTFC n’ont pas pu être validés pour veiller à ce que les changements apportés au logiciel soutiennent l’exactitude et l’exhaustivité de l’information.

2.2.1 Processus de gestion du changement

Bonne pratique

  • Le personnel du CLMC et le personnel de l’EMIS sont en constante communication pour discuter des problèmes et des changements en cours. De plus,  le groupe de travail des responsables de l’attribution des tâches au niveau national sert de tribune aux utilisateurs et leur permet d’en apprendre davantage sur le logiciel de  PSTFC et de fournir de la rétroaction afin d’accroître la fonctionnalité du logiciel.

Un processus de gestion du changement défini et documenté est un élément important du processus de développement de système. Grâce au processus de gestion du changement, les intervenants veillent à ce que les améliorations apportées au logiciel respectent les exigences opérationnelles et à ce que des contrôles soient en place pour confirmer l’efficacité des changements mis en œuvre.

Un processus de gestion du changement bien défini devrait aussi permettre de séparer les fonctions de l’analyste opérationnel, du développeur d’applications, de l’administrateur d’applications et de l’administrateur de la base de données. Ainsi, il est important d’atténuer le risque engendré par des changements apportés au logiciel sans avoir été mis à l’essai et approuvés.

Il n’existe aucun processus officiel de gestion du changement pour le logiciel de PSTFC. Il est possible de soumettre une demande de changement par téléphone, par courriel ou à la conférence annuelle du groupe de travail des responsables de l’attribution des tâches au niveau national5. Par conséquent, le suivi des demandes de changement n’est ni assuré de manière constante ni documenté. La documentation à l’appui des demandes de changement est dispersée dans divers courriels échangés entre le CLMC et les utilisateurs, dans les procès-verbaux des réunions du groupe de travail ainsi que dans les annotations inscrites dans le code du logiciel.

De plus, l’approbation de l’ensemble des changements sur le plan de la maintenance et des changements importants apportés au logiciel n’a pas été documentée officiellement. Le personnel du CLMC a constaté que la documentation des changements apportés au logiciel de PSTFC n’est incluse que dans le code. En conséquence, les utilisateurs et autres intervenants ont une visibilité limitée de l’ordre des priorités et du suivi des changements apportés au logiciel. Comme il a été mentionné précédemment, en l’absence de règles opérationnelles et d’exigences documentées, il est impossible de vérifier dans quelle mesure les changements apportés au logiciel de PSTFC respectent de telles règles et exigences.

Selon le personnel du CLMC, tout changement au logiciel de PSTFC autre qu’un changement mineur serait passé en revue par deux analystes principaux avant d’être apporté. Le personnel a également indiqué que les changements étaient mis à l’essai et acceptés par les utilisateurs dans un environnement d’essai avant d’être apportés au logiciel. Cependant, l’équipe de vérification n’a pas pu confirmer si le processus pouvait être mené efficacement en raison de l’absence de documentation.

Même si la plupart des utilisateurs interrogés étaient d’avis que les changements demandés étaient apportés, rien n’indique qu’un examen systématique et indépendant du code du logiciel était mené pour en assurer l’intégrité. Il en résulte un risque résiduel que le logiciel exécute ou permette l’exécution de fonctions imprévues. Par exemple, il est possible que des utilisateurs qui n’en ont pas l’autorisation aient accès à des renseignements sur des militaires affectés à des tâches opérationnelles à l’aide de l’une des nombreuses vues de l’interface offertes dans le logiciel de PSTFC.

Deux facteurs contribuent au processus non officiel de gestion du changement. Le premier est l’absence de pouvoirs, de rôles et de responsabilités officiels pour la gestion du changement. Le deuxième est la documentation limitée qui découle de la méthode de développement du logiciel utilisée par le CLMC.

Au cours du développement du logiciel de PSTFC, la méthode de développement utilisée par le CLMC n’accordait pas la priorité à la documentation des changements apportés au logiciel, contrairement à la méthode habituellement privilégiée par le MDN et les FAC. En effet, selon la méthode utilisée par le MDN et les FAC, le développement du logiciel se déroule selon un ordre strict et doit être documenté.

2.2.2 Conclusion

En l’absence de documentation exhaustive sur le développement de système, la continuité du logiciel est à risque puisqu’elle dépend largement de la mémoire organisationnelle de membres du personnel clés du CLMC. De plus, la disponibilité d’information de niveau supérieur sur le système et les changements permettrait aux intervenants d’évaluer si l’utilisation du logiciel respecte les politiques opérationnelles et ministérielles.

Recommandation du SMA(Svcs Ex)

2.    L’AC devrait officialiser le processus de gestion du changement pour le logiciel de PSTFC afin que les changements apportés au logiciel soient autorisés, documentés et diffusés, et qu’ils fonctionnent comme prévu et respectent les besoins opérationnels.

BPR : AC

 

2.3 Contrôles du logiciel

Bien que des contrôles sur les intrants, le traitement et les extrants soient en place pour résoudre de nombreux aspects techniques, il appartient largement aux utilisateurs d’assurer volontairement l’exactitude et l’exhaustivité des données.

Les contrôles servent à faciliter la mise en application des règles opérationnelles existantes et le fonctionnement prévu du logiciel. Dans le cas du logiciel de PSTFC, peu de règles opérationnelles ont été documentées et ainsi, il a été difficile d’établir un lien entre les contrôles existants et de telles règles. Par exemple, une date de fin de tâche ne peut pas dépasser une date de début de tâche.

En outre, deux des huit champs obligatoires, selon la documentation incluse dans les instructions permanentes d’opération de l’EMIS pour les tâches supplémentaires nécessitant des ressources d’autres organisations, sont programmés dans le logiciel de PSTFC comme étant facultatifs. Des entrevues avec des membres du personnel de l’EMIS ont permis d’apprendre que ces instructions permanentes d’opération sont des documents internes, mais que si d’autres organisations ne respectaient pas les exigences minimales des tâches, l’EMIS ne l’accepterait pas. Le personnel du CLMC a de plus noté que les utilisateurs et responsables du processus d’attribution des tâches n’ont jamais demandé explicitement que ces champs soient remplis avant la réunion annuelle du groupe de travail des responsables de l’attribution des tâches au niveau national en 2015. Aucun document n’explique les raisons pour lesquelles ces règles opérationnelles n’ont pas été mises en application.

2.3.1 Contrôles sur les intrants

Bonnes pratiques

  • Il existe un historique détaillé des transactions qui permet aux utilisateurs de surveiller et de retracer les transactions.
  • Les utilisateurs et la direction ont accès à des fonctions intégrées de production de rapports qui leur permettent d’obtenir de l’information sur le degré de conformité avec les exigences liées à l’attribution des tâches.

Pour la plupart des champs, des contrôles sur les intrants sont en place pour veiller à ce que les données soient saisies dans le logiciel de PSTFC comme prévu, même si certains champs offrent une flexibilité d’utilisation. Les champs de saisie de données sont obligatoires ou facultatifs. La majorité (85 pour cent) des 210 champs ayant trait au personnel qui ont été passés en revue dans le logiciel de PSTFC sont des champs remplis automatiquement à l’aide d’un menu déroulant ou d’un calendrier électronique pour sélectionner une date. Les autres champs (15 pour cent) sont libres; la seule restriction concerne le type de caractères qui peut être saisi.

Dans certains cas, les données essentielles contenues dans d’autres systèmes d’information ministériels ne sont pas disponibles dans le logiciel de PSTFC. Par exemple, le logiciel ne donne pas accès aux données sur l’équipement et aux codes financiers du Système de gestion de l’information sur les ressources de la Défense. De telles données à jour sont nécessaires pour affecter des ressources à des tâches et attribuer des dépenses possibles. Le besoin de saisir manuellement ces données accroît le risque d’erreur.

2.3.2 Contrôles sur l’accès

Bonnes pratiques

  • Lorsqu’un utilisateur ouvre une session dans le logiciel de PSTFC pour la première fois, son identificateur d’utilisateur est associé à l’identificateur de réseau, ce qui garantit l’accès exclusif de l’utilisateur au logiciel.
  • Les privilèges de l’utilisateur sont restreints par les responsables de chaque tâche particulière.
  • Les transactions exécutées dans le logiciel par les utilisateurs sont enregistrées.

Les contrôles sur l’accès et l’autorisation du logiciel de PSTFC ainsi que la description élaborée des permissions associées aux divers rôles des utilisateurs sont définis dans le manuel de l’utilisateur. Cependant, les intervenants respectifs n’ont approuvé aucune définition des permissions accordées aux divers rôles et de la façon de gérer ces permissions. Les permissions et fonctions particulières aux rôles devraient tenir compte des règles opérationnelles. Ces règles n’ont pas été définies, ce qui accroît le risque d’accès inapproprié à l’information.

De plus, le processus qui consiste à accorder et à examiner des droits d’accès spéciaux, comme la date maximale à laquelle un utilisateur peut apporter des changements rétroactifs aux données du logiciel, n’est pas officiel. Ces droits, accordés aux utilisateurs qui pourraient devoir apporter des corrections rétroactives après l’attribution d’une tâche, sont normalement refusés dans le logiciel. Le processus pour accorder et approuver de tels droits diffère d’une organisation à une autre.

2.3.3 Contrôles sur le traitement

Bonne pratique

  • Le processus pour télécharger les données dans le logiciel de  PSTFC contient des contrôles, lesquels permettent de déceler et d’examiner les causes fondamentales des erreurs de téléchargement et d’empêcher que d’autres erreurs se produisent.

Puisque des données d’un certain nombre de systèmes externes sont versées dans le logiciel de PSTFC, des contrôles sont nécessaires pour veiller à ce que l’intégrité des données soit maintenue pendant le transfert de l’information. Des contrôles sur le traitement sont aussi nécessaires pour veiller à ce que le système fonctionne aux fins prévues, pour détecter les erreurs et les exceptions et pour assurer la qualité des données dans le système.

Chaque semaine, les données du SGRH sont téléchargées manuellement. Ainsi, des renseignements désuets sont disponibles dans la base de données du logiciel de PSTFC et il y a un risque d’erreurs humaines. Cependant, le logiciel de PSTFC fournit des rapports à l’écran permettant de déceler les problèmes de rapprochement qui se sont produits pendant les téléchargements.

Aucun processus n’a été établi pour permettre aux responsables de l’attribution des tâches de procéder à l’épuration périodique des données qui ont été enregistrées pour des activités incomplètes ou non utilisées. Ils pourraient donc présenter des comptes rendus de renseignements incomplets ou non pertinents. Les responsables réalisent des activités de correction de données d’entrée au besoin et surveillent les transactions de façon continue. En outre, le personnel du CLMC a précisé qu’il assurait hebdomadairement le contrôle de la qualité des données à l’aide de la production de rapports normalisés. Le personnel peut entre autres surveiller les dossiers afin qu’un responsable ne s’attribue pas une tâche à lui-même ou encore veiller à ce que les tâches soient conformes aux processus du logiciel de PSTFC.

2.3.4 Contrôles sur les extrants

Les fonctions de production de rapports du logiciel de PSTFC permettent aux utilisateurs de valider l’exactitude et l’exhaustivité des données contenues dans le logiciel. Tous les utilisateurs ont accès à un outil intégré adaptable qui permet la production de rapports sur toutes les tâches. Grâce à de telles fonctions, les utilisateurs peuvent vérifier les transactions et déterminer la source des erreurs qui ont été décelées. Tous les rapports peuvent être exportés vers des feuilles de calcul Excel. Aucun document ne restreint qui peut exporter ces rapports. L’exportation des données n’est pas suivie. Même si les fonctions de production de rapports et d’exportation de données sont utiles dans le logiciel de PSTFC, il y a toujours le risque que des utilisateurs qui n’ont pas reçu la formation adéquate tirent de fausses conclusions à partir des rapports produits ou que les données soient utilisées à des fins imprévues.

2.3.5 Conclusion

Dans le logiciel de PSTFC, divers contrôles sont intégrés dans des secteurs clés pour assurer la fiabilité des données. Les contrôles sur les intrants, l’accès, le traitement et les extrants visent à protéger l’intégrité des données.

Toutefois, en l’absence de document sur les exigences des intervenants et les processus de travail, il a été impossible d’évaluer l’exhaustivité et l’efficacité de ces contrôles. Une documentation améliorée est nécessaire pour déterminer le flux des travaux et les exigences du processus d’attribution des tâches et en conséquence, pour définir des règles opérationnelles et des contrôles.

Recommandation du SMA(Svcs Ex)

3.   L’AC, en collaboration avec les responsables du processus d’attribution des tâches et de la protection des données de base, devrait documenter et mettre en œuvre toutes les règles opérationnelles essentielles qui sont liées aux contrôles sur les intrants, l’accès, le traitement et les extrants dans le logiciel de PSTFC, et ce, afin de veiller à ce que l’information soit exacte et exhaustive et qu’elle respecte les considérations en matière de sécurité et de respect de la vie privée.

BPR : AC

2.4 Formation

Les responsables de l’attribution des tâches n’ont pas tous reçu la formation sur la façon d’utiliser le logiciel de PSTFC et les ressources pédagogiques ne sont pas disponibles ou suffisamment détaillées pour répondre à tous leurs besoins.

2.4.1 Gestion des besoins en formation

De la formation appropriée à l’intention des utilisateurs est nécessaire afin d’optimiser l’utilisation du logiciel et la valeur du logiciel pour l’organisation. Rien n’a indiqué que les responsables de l’attribution des tâches ou les membres du personnel du CLMC allaient déployer un effort planifié et concerté pour veiller à ce que les utilisateurs reçoivent la formation nécessaire.

Bonnes pratiques

  • Un manuel de base de l’utilisateur de base ainsi qu’une ressource et un module de formation en ligne sont offerts aux utilisateurs.
  • Le CLMC fournit de la formation officielle au besoin et utilise une version de formation du logiciel de PSTFC pour faciliter l’apprentissage.
  • Un service de dépannage est offert aux utilisateurs qui ont besoin d’aide avec le logiciel ou qui doivent signaler des problèmes.

En raison des ressources de formation limitées (c.-à-d. un instructeur non dédié du CLMC), du nombre élevé d’utilisateurs et du large écart géographique entre les utilisateurs, une stratégie qui consiste à former le formateur est adoptée. Certains utilisateurs interrogés ont confirmé qu’ils avaient déjà participé à des cours de formation, alors que d’autres ont indiqué que la plupart des utilisateurs du logiciel de PSTFC n’ont pas reçu de formation officielle. Par conséquent, certains utilisateurs pourraient ne pas être en mesure d’afficher correctement des transactions, de produire des rapports ou d’interpréter des renseignements disponibles.

Le manuel de l’utilisateur, qui sert de contenu pour la formation en ligne, n’a pas été mis à jour depuis 2010 et les autres ressources en ligne disponibles offrent de l’information actuelle et pertinente très limitée. Le manuel de l’utilisateur du logiciel de PSTFC n’a pas été passé en revue ou approuvé par les responsables de l’attribution des tâches. De plus, le flux complet des travaux n’est décrit de façon suffisamment détaillée dans aucune des ressources de formation pour permettre aux utilisateurs d’adopter une approche d’autoformation.

2.4.2 Conclusion

Du matériel de formation amélioré ainsi que de la formation pertinente et opportune permettraient aux utilisateurs de mieux comprendre le logiciel et le rôle qu’ils jouent dans le processus d’attribution des tâches.

Recommandation du SMA(Svcs Ex)

4.   L’AC, en collaboration avec les responsables de l’attribution des tâches, devrait élaborer et mettre en œuvre un programme de formation pour le processus d’attribution des tâches et le logiciel de PSTFC ainsi que des documents justificatifs appropriés.

BPR : AC

3.0 Conclusion générale

Certains contrôles nécessaires ont été intégrés au logiciel de PSTFC pour aider à garantir l’exactitude et l’exhaustivité des données qu’il contient. Cependant, le nombre d’intervenants responsables du processus d’attribution des tâches et l’absence de documentation sur les exigences compliquent la mise en œuvre complète des contrôles. Les règles opérationnelles devraient être définies et acceptées afin que le logiciel réponde aux besoins des responsables du processus d’attribution des tâches et de la protection des données de base. En fonction des règles opérationnelles convenues, des mesures appropriées peuvent être prises pour que seuls les changements autorisés soient apportés au logiciel et que les données de base soient protégées et utilisées aux fins prévues.

Les recommandations ont été formulées dans le but de renforcer la gouvernance du logiciel de PSTFC, d’accroître la documentation sur le processus de gestion du changement et sur les règles opérationnelles à l’appui des contrôles, et d’améliorer la formation connexe afin de veiller à ce que les décisions prises sur l’attribution des tâches soient fondées sur de l’information exacte et exhaustive.

Annexe A – Plan d’action de la direction

Le SMA(Svcs Ex) utilise les critères d’importance suivants pour ses recommandations :

Très élevée – Il n’y a pas de contrôles en place. On a relevé des problèmes importants qui auront de graves répercussions négatives sur les activités.

Élevée –Les contrôles sont inadéquats. On a relevé des problèmes importants qui pourraient avoir des répercussions sur l'atteinte des objectifs opérationnels et les programmes.

Modérée –Des contrôles sont en place, mais ils ne sont pas suffisamment respectés. On a relevé des problèmes qui ont des répercussions sur l'efficacité et l'efficience des activités.

Faible – Des contrôles sont en place, mais le niveau de conformité varie.

Très faible – Des contrôles sont en place, sans écart quant au niveau de conformité. 

Pouvoirs et responsabilités

Recommandation du SMA(Svcs Ex) (Importance élevée)

1.    L’AC, de concert avec les responsables du processus d’attribution des tâches et de la protection des données de base, devrait définir et mettre en œuvre les pouvoirs et responsabilités nécessaires pour le développement et la gestion du logiciel de PSTFC ainsi que pour l’acquisition des données de base.

Mesures prises par la direction

  1. L’AC (CLMC/directeur – Commandement et information terrestre) a rédigé une charte opérationnelle (CO) dans le but de définir et d’officialiser les structures, processus, capacités ainsi qu’un processus de gestion du changement et de gouvernance (ce qui inclut les pouvoirs et responsabilités) pour les applications du CLMC. En vertu de la stratégie sur les applications de la Défense du MDN et des FAC, qui a été approuvée par le Conseil de gestion de l’information en juillet 2016, l’AC (directeur – Commandement et information terrestre) travaille en collaboration avec le SMA(GI)/le directeur général – Service des applications de l’entreprise pour solidifier la relation existante, préciser et documenter les principes et la gouvernance, et établir un processus collaboratif de gestion du changement. La première version de la CO, qui doit inclure le rôle du SMA(GI) et d’autres partenaires de la stratégie sur les applications de la Défense, est presque terminée et devrait être publiée à l’automne 2016.
  2. Le 11 août 2015, le commandant du Commandement du personnel militaire a exercé son pouvoir officiel en publiant des directives qui concernent l’accès autorisé aux données sur le personnel militaire dans le système ministériel d’enregistrement. Le CLMC a mis en œuvre les contrôles nécessaires sur l’accès aux données et demeurera ouvert à la mise en œuvre d’autres contrôles demandés par le commandant du Commandement du personnel militaire.
  3. L’AC, en étroite collaboration avec l’EMIS, déterminera si le MDN et les FAC ont besoin d’avoir accès aux données civiles du MDN par l’intermédiaire de la suite d’applications du CLMC, entre autres le PSTFC. Si le besoin est confirmé, l’AC cherchera à obtenir l’autorité officielle ou l’orientation auprès du sous-ministre adjoint (Ressources humaines – Civils) pour avoir accès aux données sur le personnel civil et demeurera réceptive à la mise en œuvre d’autres contrôles demandés par le sous-ministre adjoint (Ressources humaines – Civils). L’AC confirmera auprès du directeur – Gestion de l’information des ressources humaines si d’autres propriétaires de données de base sont concernés par l’ensemble de données actuel du logiciel de PSTFC et cherchera à obtenir les approbations requises pour utiliser les données sous leurs responsabilités respectives.
  4. L’AC continuera de collaborer avec les responsables des données de base afin que la transmission des données des systèmes d’enregistrement soit automatisée et en temps opportun (c.-à-d. en temps réel), ce qui permettra de réduire les risques pour l’intégrité, l’actualité et la validité des données contenues dans le logiciel de PSTFC et par extension, dans d’autres applications du CLMC.
  5. L’AC cherchera à déterminer les autorités fonctionnelles dans l’ensemble des FAC pour chaque application du CLMC dans le but de définir et établir toute autre autorité et responsabilité jugée nécessaire pour le développement et la gestion des applications du CLMC. En ce qui concerne le logiciel de PSTFC particulièrement, il est convenu que l’EMIS, qui est responsable de l’attribution des tâches de niveau 0, sera l’autorité fonctionnelle suprême et travaillera en collaboration avec les responsables de l’attribution des tâches de niveau 1, au besoin.
  6. Le SMA(GI) et les autorités fonctionnelles deviendront des membres permanents du Conseil de gestion du changement du CLMC et assumeront les responsabilités précisées dans la CO. L’AC a tenu la première réunion du Conseil de gestion du changement du CLMC au printemps 2016.
  7. Bureau consultatif (BC) suggéré : EMIS

BPR : AC

Date limite : Mai 2017

Gestion du changement

Recommandation du SMA(Svcs Ex) (Importance élevée)

2.    L’AC devrait officialiser le processus de gestion du changement pour le logiciel de PSTFC afin que les changements apportés au logiciel soient autorisés, documentés et diffusés, et qu’ils fonctionnent comme prévu et respectent les besoins opérationnels.

Mesures prises par la direction

  1. Conformément à la réponse fournie sous « Pouvoirs et responsabilités », la CO du CLMC et la mise sur pied du Conseil de gestion du changement permettront d’officialiser le processus de gestion du changement pour toutes les applications du CLMC, notamment le logiciel de PSTFC. Les comptes rendus de décisions du Conseil de gestion du changement serviront à documenter les règles opérationnelles et les autorisations en ce qui concerne les changements apportés à l’application.
  2. Des ententes sur les niveaux de service seront conclues chaque année, au besoin, entre l’AC et les organisations collaboratrices de niveau 1 dans le but d’officialiser la liste des demandes de changements fonctionnels, de déterminer les autorités fonctionnelles nommées et de présenter les accords de financement pour chaque année financière. Ces ententes sur les niveaux de service deviendront un moyen important de documenter les besoins opérationnels pour les autorités fonctionnelles, et seront passées en revue en fin d’année financière pour assurer le suivi des progrès et veiller à ce que les changements tiennent compte des besoins opérationnels.
  3. L’AC travaillera en collaboration avec l’EMIS en vue d’officialiser un cadre de gouvernance pour l’attribution des tâches des FAC; le cadre inclura une section sur la gestion du changement dans le logiciel de PSTFC qui sera conforme au CO du CLMC.
  4. BC suggéré : EMIS

BPR : AC

Date limite : Mai 2017

Contrôles du logiciel

Recommandation du SMA(Svcs Ex) (Importance modérée)

3.    L’AC, en collaboration avec les responsables du processus d’attribution des tâches et de la protection des données de base, devrait documenter et mettre en œuvre toutes les règles opérationnelles essentielles qui sont liées aux contrôles sur les intrants, l’accès, le traitement et les extrants dans le logiciel de PSTFC, et ce, afin de veiller à ce que l’information soit exacte et exhaustive et qu’elle respecte les considérations en matière de sécurité et de respect de la vie privée.

Mesures prises par la direction

  1. Le CLMC a appliqué avec diligence les politiques et pratiques exemplaires du MDN et des FAC ayant trait à la protection des données et continuera d’utiliser les processus pertinents, comme l’évaluation des facteurs relatifs à la vie privée et le programme de l’évaluation de la sécurité et autorisation. Les examens de la sécurité et de la vie privée (l’évaluation des facteurs relatifs à la vie privée et l’évaluation de la sécurité et autorisation qui ont été réalisées au cours de l’année financière) ont donné des résultats positifs et ont fourni des recommandations d’amélioration utiles. Lorsqu’il y a un besoin opérationnel documenté, le commandant du Commandement du personnel militaire donne au CLMC une autorisation officielle conditionnelle qui lui permet de rendre les données sur le personnel militaire disponibles aux utilisateurs autorisés du CLMC. Parmi les conditions, mentionnons le besoin de chiffrer de façon appropriée les données inactives et de protéger l’information en transit. Les données sur le personnel militaire contenues dans les applications du CLMC sont gérées en tout temps conformément aux lignes directrices approuvées de l’évaluation de la sécurité et autorisation. Le CLMC continuera d’utiliser de tels processus dans le but de consolider les pratiques exemplaires, de garantir la conformité continue et d’apporter des améliorations progressives au besoin.
  2. Conformément à la réponse fournie sous « Pouvoirs et responsabilités », l’AC, en étroite collaboration avec l’EMIS, cherchera à officialiser un cadre de gouvernance pour l’attribution des tâches des FAC qui permettra de documenter les règles opérationnelles essentielles liées aux contrôles sur les intrants, l’accès, le traitement et les extrants. Le CLMC jouera un rôle de soutien, au besoin, dans la définition de ces règles opérationnelles.
  3. L’AC veillera à ce que le CLMC continue de documenter son code de logiciel et prendra en considération des options en vue d’accroître ses ressources pour mettre à jour la fonction d’aide du CLMC lorsque de nouvelles règles opérationnelles sont créées ou que des règles existantes sont modifiées.
  4. Les applications du CLMC reposent sur l’exactitude et, dans une moindre mesure, l’exhaustivité des données. Les efforts de collaboration pour veiller à ce que les données soient exactes et exhaustives et que des mesures de correction soient prises au besoin seront menés ou coordonnés (s’il y a lieu) par l’AC et seront renforcés grâce à la CO et d’autres possibilités d’engagement, telles qu’elles sont définies dans le plan d’action de la direction.
  5. BC suggéré : EMIS

BPR : AC

Date limite : Mai 2017

Formation

Recommandation du SMA(Svcs Ex) (Importance modérée)

4.   L’AC, en collaboration avec les responsables de l’attribution des tâches, devrait élaborer et mettre en œuvre un programme de formation pour le processus d’attribution des tâches et le logiciel de PSTFC ainsi que des documents justificatifs appropriés.

Mesures prises par la direction

  1. À court terme, l’AC continuera de fournir, en fonction des ressources allouées, une capacité limitée de formation des formateurs pour les BPR de niveau 1 responsables de toutes les applications du CLMC, ce qui inclut le logiciel de PSTFC. L’AC analysera le besoin d’accroître cette capacité et prendra en considération des options à cette fin au besoin.
  2. Grâce au bouton d’aide du logiciel de PSTGC, les utilisateurs ont accès à quatre liens en ligne (le wiki, le groupe de discussion, l’adresse électronique du service de dépannage et la page Web du logiciel de PSTFC). Ces liens mènent à des documents de formation, notamment le manuel de l’utilisateur (le manuel du responsable de l’attribution des tâches), une trousse de formation et d’autres renseignements. Le manuel du responsable de l’attribution des tâches ainsi que d’autres documents désuets seront mis à jour pour correspondre à la version actuelle du logiciel de PSTFC et à sa fonctionnalité, et pour tenir compte de tout changement aux règles opérationnelles pertinentes. Dans la mesure du possible, l’AC s’efforcera de maintenir le matériel à jour dans les limites des ressources disponibles (c.-à-d. minimiser le décalage entre les changements au logiciel et toute mise à jour nécessaire du matériel de formation qui en découle) au fur et à mesure que les changements aux règles opérationnelles ou à la fonctionnalité du logiciel sont mis en œuvre et idéalement, avant la prochaine série de possibilités de formation.
  3. Après l’officialisation du cadre d’attribution des tâches par l’EMIS, l’AC travaillera en collaboration avec l’EMIS et agira à titre d’autorité fonctionnelle du logiciel de PSTFC afin de veiller à ce que les intervenants soient mis au courant du processus d’attribution des tâches pendant la réunion annuelle du groupe de travail des responsables de l’attribution des tâches au niveau national.
  4. BC suggéré : EMIS

BPR : AC

Date limite : Mai 2017

Annexe B – Critères de vérification

Évaluation des critères

Les critères de la vérification ont été évalués en fonction des niveaux suivants :

Niveau d’évaluation et description

Niveau 1 : Satisfaisant

Niveau 2 : A besoin d’améliorations mineures

Niveau 3 : A besoin d’améliorations modérées

Niveau 4 : A besoin de grandes améliorations

Niveau 5 : Insatisfaisant

Objectif

Garantir que les contrôles appropriés sont en place afin d’assurer l’exactitude et l’exhaustivité des données contenues dans le logiciel de PSTFC.

Critères

  1. Tous les changements apportés au logiciel sont conformes au processus officiel de gestion du changement.
  • Évaluation – Niveau 4. Les changements apportés aux contrôles du logiciel n’ont pas pu être validés parce que le processus de gestion du changement n’est pas officiel. Les faiblesses liées aux pratiques de documentation et d’enregistrement de l’information essentielle sur les changements doivent être corrigées.
  1. Des contrôles sont en place pour veiller à ce que les transactions soient exactes et exhaustives.
  • Évaluation – Niveau 3. De concert avec les intervenants pertinents, il faut apporter des améliorations modérées pour définir, documenter et approuver toutes les règles opérationnelles et veiller à ce que toutes les transactions soient exactes, complètes et conformes aux attentes des intervenants. De plus, les faiblesses liées à la documentation et à la disponibilité des fonctions et contrôles essentiels doivent être corrigées.
  1. Des processus sont établis pour garantir le maintien de l’intégrité et de la validité des données pendant le traitement et veiller à ce que la détection de transactions erronées n’interrompt pas le traitement des transactions valides.
  • Évaluation – Niveau 2. Comme le logiciel de PSTFC dépend de données de base externes extraites d’autres systèmes, bon nombre des problèmes qui affectent l’intégrité et la validité des données sont hors du contrôle de l’AC. La collaboration avec les responsables de ces systèmes de données de base, par l’intermédiaire d’ententes officielles conclues pour recevoir automatiquement les données opportunes, permettrait de réduire le risque d’erreurs de téléchargement. En outre, la documentation des procédures de contrôle des données pour les utilisateurs du logiciel de PSTFC permettrait de réduire le nombre de données inutiles et erronées.
  1. Des contrôles sont en place pour veiller à ce que la conception, le développement et la production des extrants soient approuvés par les responsables de l’attribution des tâches.
  • Évaluation – Niveau  3. Il serait possible d’apporter des améliorations modérées pour recueillir et documenter les exigences des utilisateurs afin que les extrants soient conçus et développés conformément aux besoins opérationnels.
  1. Les extrants du système sont passés en revue pour veiller à ce qu’ils soient raisonnables, exactes et exhaustifs et à ce que les erreurs possibles soient enregistrées et corrigées en temps opportun.
  • Évaluation – Niveau  2. Il serait possible d’apporter des améliorations mineures pour veiller à ce que le processus suivi par les intervenants pour déceler et communiquer les erreurs soit documenté et diffusé.

Sources des critères

  1. Institute of Internal Auditors. Global Technology Audit Guide 8: Auditing Application Controls, 2007.
  2. ISACA. COBIT 5: A Business Framework for the Governance and Management of Enterprise IT, 2012.
  3. ISACA. COBIT 5 and Application Controls: A Management Guide, 2009.

 


 

Note de bas de page 1 Une règle opérationnelle est un énoncé qui définit ou limite certains aspects des activités et qui vise à contrôler ou à influencer le comportement de l’organisation. Par exemple, afin d’établir l’attribution des tâches des opérations, il faut déterminer le grade minimum et maximum pour les postes.

Note de bas de page 2 Depuis le 13 mai 2015, le CS Ex est renommé le SMA(Svcs Ex).

Note de bas de page 3 CS Ex. Étude de planification sur la gestion de la GI/TI, 2013.

Note de bas de page 4 CS Ex. Analyse des applications opérationnelles, 2014.

Note de bas de page 5 La conférence vise à fournir l’orientation de l’EMIS et du COIC sur les processus d’attribution des tâches. Elle représente aussi l’occasion pour les organisations qui affectent des ressources militaires à des tâches de discuter des opérations en cours, des préoccupations en matière d’effectifs et d’autres sujets liés aux tâches. Par exemple, l’harmonisation de la fonctionnalité du PSTFC et du processus d’attribution des tâches pourrait être un des sujets connexes. Le principal public cible se compose des responsables de l’attribution des tâches nouvellement nommés qui s’occupent de la gestion des tâches au niveau supérieur de leur organisation ainsi que du personnel chargé de l’attribution des tâches en général.

Date de modification :