Contexte : Les systèmes de l'Agence du revenu du Canada (ARC) qui sont logés dans l'ordinateur central, ou qui sont déployés à l'échelle nationale dans l'environnement réparti, sont ce qu'on appelle des « systèmes nationaux ». Ils sont mis au point, modifiés et maintenus conformément à des processus contrôlés. Les Directions générales de programmes de l'Administration centrale (AC), qui sont les responsables desdits systèmes, identifient les besoins opérationnels et modifications visant les systèmes nouveaux et existants. Le personnel de la Direction générale de l'informatique (DGI) conçoit et met au point les systèmes nouveaux, et modifie les systèmes existants. La mise au point et la maintenance des systèmes nationaux requièrent des approbations officielles et un processus d'épreuve exhaustif avant qu'ils soient mis en oeuvre.
Les « solutions locales » désignent des applications ou systèmes élaborés au fil des années par les employés de première ligne ou par le personnel local de la technologie de l'information (TI) pour usage à l'échelon local dans les Directions générales ou Régions de l'ARC. Ces solutions sont élaborées en dehors des processus de développement pratiqués par l'Administration centrale pour les solutions nationales. La puissance accrue des ordinateurs personnels de bureau et la sophistication accrue des logiciels normalisés ont fait en sorte qu'il est devenu possible pour des non-experts de l'informatique de multiplier l'usage des solutions locales.
Les solutions locales sont généralement crées pour générer des gains de productivité, automatiser des fonctions administratives ou améliorer des interfaces locales avec les bases de données des secteurs d'activité nationaux. Dans la présente vérification, une distinction a été faite entre les applications locales de bureau, dénommées ci-après « applications locales », et les applications macros pour ordinateur central, désignées ci-après par l'acronyme AMOC. Ces deux types d'applications sont inclus dans l'expression générique de « solutions locales ».
Nombreuses sont les motivations qui poussent les employés et les gestionnaires à élaborer et à utiliser des solutions locales. Les gestionnaires s'efforcent de faire plus avec moins, d'atteindre les objectifs de programme et d'offrir un meilleur service aux contribuables. Le programme de prix et reconnaissances, une des initiatives de l'ARC encourageant l'innovation et la créativité, a reconnu beaucoup d'employés, de gestionnaires et d'équipes pour avoir élaboré des solutions locales visant à améliorer la gestion des programmes. Les employés au niveau local ont élaboré et utilisé beaucoup de leurs propres approches et solutions pour répondre à des besoins particuliers.
Objectif : Les objectifs de la vérification consistaient à évaluer dans quelle mesure les éléments de la régie des solutions locales sont en place, et à déterminer si les solutions locales respectent les politiques, procédures et lignes directrices existantes ou la méthodologie d'élaboration généralement acceptée.
La phase d'examen a eu lieu de janvier 2006 à septembre 2006. Des points d'information ont été diffusés auprès des Directions générales de programmes de l'Administration centrale en novembre 2006.
La vérification a été effectuée conformément aux Normes internationales pour la pratique professionnelle de l'audit interne.
Conclusion : Le développement local se produit au sein des fonctions de l'AC et des opérations régionales. Les avantages des solutions développées localement ne se font pas quantifier de manière documentée ou systématique. Une quantité considérable d'informations anecdotiques tendent à démontrer qu'une efficacité accrue en termes d'analyse améliorée des données, et d'uniformité dans la collecte des faits existent en raison de la capacité des AMOC d'« extraire » des données des systèmes d'ordinateur central. Des accroissements d'efficacité sont tirés du fait que les AMOC ont la capacité d'accélérer l'exécution de tâches répétitives, de réduire les frappes ou de faciliter l'analyse de données complexes et volumineuses. La réduction des frappes et l'automatisation des tâches répétitives permettent aussi une fonctionnalité améliorée pour les employés handicapés. Il existe une dépendance considérable sur l'utilisation des AMOC dans certaines charges de travail.
Il existe aussi des risques significatifs associés à l'élaboration et à l'utilisation des solutions locales, particulièrement des AMOC, en ce qui a trait à la sécurité des données, à l'intégrité des données et, potentiellement, à la performance des systèmes. Devant de tels risques, les meilleures pratiques spécifient que l'élaboration et l'utilisation des solutions locales devraient être administrées à l'intérieur d'un cadre comprenant un inventaire national des solutions existantes; les politiques définissant les exigences visant la sécurité, la protection des renseignements personnels, la langue et l'accessibilité; et les normes relatives au cycle chronologique de l'élaboration des systèmes (CCES).
Le cadre de régie utilisé à l'Agence pour gérer l'élaboration et l'utilisation des solutions locales n'est pas complet et il nécessite des améliorations importantes.
L'observation des politiques, procédures et lignes directrices existantes et de la méthodologie approuvée d'élaboration est faible dans certains domaines, notamment l'approbation fonctionnelle, l'enregistrement, les examens de la sécurité technique, et l'élaboration et la mise à l'épreuve dans un environnement non-production.
Certains secteurs de l'Agence ont reconnu le besoin d'améliorer la gestion des solutions locales. Quelques éléments de base d'un cadre de régie, comme les inventaires et les processus standard pour l'élaboration et la mise en oeuvre des solutions locales, existent dans la Région du Pacifique et dans le Recouvrement intégré des recettes pour l'Ouest (RIR-Ouest), au sein de la Direction générale des services aux contribuables et de la gestion des créances (DGSCGC). Ce besoin est particulièrement notable vu l'importance que les AMOC ont prises dans la gestion des créances par la DGSCGC.
Dans le but de mieux gérer les solutions locales, l'Agence a besoin de répondre aux risques significatifs identifiés dans la vérification et de mettre les bonnes pratiques en oeuvre dans toutes les Directions générales et Régions.
Le défi, pour l'ARC, est d'exercer une diligence raisonnable à tous les égards concernant les solutions locales pour atténuer les risques qui en découlent, tout en soutenant l'innovation opérationnelle.
Plans d'action : La DGI élabore présentement un plan d'action et une stratégie de mise en oeuvre lesquels produiront un cadre de régie amélioré comprenant le développement, le concept et le déploiement des solutions locales. Ce nouveau cadre balancera le besoin d'un régime de régie plus serré de bout en bout pour atténuer de façon plus efficace les risques tout en incitant et soutenant la créativité et l'innovation du développement local.
Le cadre sera introduit en deux phases. La première phase s'adresse particulièrement aux questions des Applications Macro pour ordinateur central (AMOC) qui sera finalisée dans le troisièmede 2007, alors que la deuxième phase portera sur la plus large question des solutions locales de non-macro qui doit débuter dans le dernier trimestre.
Étant donné la nature interdirectionnelle et interrégionale de l'espace des solutions locales, et la nécessité de renforcer le continuum de l'observation dans tous les secteurs impliqués, un plus grand effort s'impose pour s'assurer que le plan de la DGI reçoive une visibilité plus grande et un plus grand champ d'action. Pour ce faire, il sera peut être nécessaire de former un groupe de travail spécial pour les solutions locales afin d'obtenir la plus grande visibilité possible.
Voici quelques points spécifiques du plan d'action :
Les systèmes de l'Agence du revenu du Canada (ARC) qui sont logés dans l'ordinateur central, ou qui sont déployés à l'échelle nationale dans l'environnement réparti, sont ce qu'on appelle des « systèmes nationaux ». Ils sont mis au point, modifiés et maintenus conformément à des processus contrôlés. Les Directions générales de programmes de l'Administration centrale qui sont les responsables desdits systèmes, identifient les besoins opérationnels et modifications visant les systèmes nouveaux et existants. Le personnel de la Direction générale de l'informatique (DGI) conçoit et met au point les systèmes nouveaux, et modifie les systèmes existants. La mise au point et la maintenance des systèmes nationaux requièrent des approbations officielles et un processus d'épreuve exhaustif avant qu'ils soient mis en oeuvre. Les contrôles exercés sur la sécurité des données sont généralement plus renforcés dans l'environnement de l'ordinateur central.
Les « solutions locales » désignent des applications ou systèmes élaborés au fil des années par les employés de première ligne ou par le personnel local de la TI pour usage à l'échelon local dans les Directions générales ou Régions de l'ARC. Les solutions locales ont été et continuent d'être élaborées et utilisées dans la plupart des Directions générales et des Régions. Ces solutions sont élaborées en dehors des processus d ‘élaboration pratiqués par l'Administration centrale pour les solutions nationales. Les solutions locales sont généralement crées pour générer des gains de productivité, automatiser des fonctions administratives, améliorer des interfaces locales avec les bases de données des secteurs d'activité nationaux ou répondre à des besoins particuliers.
Dans la présente vérification, une distinction a été faite entre les applications locales de bureau, dénommées ci-après « applications locales », et les applications macros pour ordinateur central, désignées ci-après par l'acronyme AMOC. Ces deux types d'applications sont inclus dans l'expression générique de « solutions locales ». Les applications locales sont généralement mises au point par des employés locaux de la TI payés à l'acte ou parfois, par d'autres employés de l'ARC dans les Directions générales et les Régions. Les applications locales n'accèdent généralement pas aux données de l'ordinateur central directement, mais elles peuvent quand même fournir des renseignements à des fins de prise de décisions administratives et de la haute direction.
AMOC sont généralement bâties pour fournir une interface conviviale aux employés qui ont accès aux bases de données de l'ordinateur central. Les AMOC augmentent la fonctionnalité des systèmes traditionnels de l'ordinateur central et sont élaborées et utilisées afin d'automatiser et d'accélérer certaines tâches habituelles effectuées par les employés de l'ARC. Elles sont élaborées dans les Directions générales à l'Administration centrale et dans les bureaux locaux.
En utilisant une AMOC, un employé peut accéder aux écrans de l'ordinateur central avec moins de frappes manuelles et peut copier de grandes quantités de données à partir de ces écrans – un processus appelé « râclage d'écran », vers des supports d'information locaux.
Les objectifs de la vérification consistaient à évaluer dans quelle mesure les éléments de la régie des solutions locales sont en place, et à déterminer si les solutions locales respectent les politiques, procédures et lignes directrices existantes ou la méthodologie d'élaboration généralement acceptée.
La portée de cette vérification était à l'échelle nationale. Elle a compris une analyse d'échantillons aléatoires d'applications locales et d'AMOC, sélectionnées dans la plupart des Directions générales et des Régions, afin d'obtenir des renseignements et de mesurer l'observation. L'échantillon de vérification était composé de 92 AMOC et de 111 applications locales, extraites de sources disponibles au printemps 2006.
Les échantillons d'applications locales ont été tirés aléatoirement d'un regroupement de nombreux inventaires d'applications locales que la vérification a pu repérer ou identifier. Le regroupement incluait plus de mille deux cents applications, dont certaines (applications Web et certaines plus petites applications acquises) ne faisaient pas partie de cette vérification. Mais il s'y trouvait un grand nombre d'applications locales, en usage et en cours de mise au point, qui nécessitent une régie.
Des informations de caractère anecdotique suggèrent qu'il existe plus de 500 AMOC à l'échelle nationale, mais il n'y avait aucun inventaire national duquel on pouvait prélever un échantillon d'AMOC. Par conséquent, des échantillons de vérification ont été dérivés en sélectionnant au hasard des codes d'usagers qui exécutaient des taux d'opérations plus élevés que la normale dans l'ordinateur central, à partir de statistiques sur la Gestion de la technologie de l'ordinateur hôte (GTOH).
Des questionnaires ont été distribués aux utilisateurs et aux développeurs des échantillons de vérification et les réponses ont été recueillies et analysées. Des examens des dossiers et des entrevues ont également été menés auprès des gestionnaires de la DGI, les gestionnaires fonctionnels de l'Administration centrale et les gestionnaires et employés des opérations locales, qui mettent au point et utilisent des AMOC et des applications locales.
Bien que les systèmes d'information de l'Agence des services frontaliers du Canada (ASFC) soient encore logés dans la même infrastructure que celle de l'ARC, l'ASFC ne faisait pas partie de la portée de cette vérification.
La vérification a été effectuée conformément aux Normes internationales pour la pratique professionnelle de l'audit interne.
Une quantité importante d'informations de caractère anecdotique indiquent que les solutions locales, particulièrement les AMOC, offrent aux utilisateurs des avantages importants en matière de productivité. Bien que des données quantitatives n'étaient pas disponibles, tout au long des entrevues et des essais, l'équipe de vérification n'était pas au courant des avantages, y compris :
Les AMOC offrent les avantages supplémentaires suivants :
Il existe une dépendance considérable sur l'usage de solutions locales dans le traitement de certaines charges de travail, et de nombreux prix et reconnaissances ont été décernés par rapport à l'élaboration de solutions locales.
Il existe aussi des risques significatifs, mais la documentation de ces risques à un niveau stratégique n'était pas évidente. Certaines AMOC constituent de grandes applications complexes touchant à des activités, telles que l'extraction de données à partir de bases de données hôtes, la facilitation des mesures d'exécution à l'égard des contribuables, la diffusion de lettres aux contribuables, la mise à jour des renseignements contenus dans la base de données de l'ordinateur central, entre autres. Par conséquent, il existe des risques pour l'intégrité des données, particulièrement lorsqu'une méthodologie d'élaboration uniforme et prouvée n'est pas utilisée.
Il y a aussi des risques pour la sécurité des données vu la facilité qu'offrent les AMOC de faire du « râclage d'écran » et de télécharger de grandes quantités de données protégées. Bien que des employés doivent encore être affectés aux profils de l'ordinateur central afin d'obtenir un accès aux données de l'ordinateur central, les mêmes profils permettent maintenant de télécharger de grandes quantités de données sur les clients, de sauvegarder et de transporter ces données à l'aide de supports d'information, tels que des disquettes, des clés USB, des disques compacts (CD), des disques numériques polyvalents (DVD) ou tout autre appareil portatif.
Soixante-dix-huit pour cent des répondants de l'échantillon d'AMOC ont affirmé qu'ils téléchargent des données à partir de l'ordinateur central. Toutefois, la vérification n'a pas enquêté sur les supports utilisés pour sauvegarder ces données. Le chapitre 18, Politique sur la sécurité, du Manuel des finances et de l'administration (MFA) de l'ARC stipule que les renseignements protégés qui sont sauvegardés à l'aide de mémoires portatives doivent être cryptés au moyen d'un algorithme cryptographique approuvé de l'Agence. Toutefois, le cryptage n'est pas effectué automatiquement; il nécessite une intervention manuelle et, par conséquent, il n'est pas assuré que les données protégées seront cryptées selon la politique au moment de leur téléchargement vers des supports portatifs. De plus, il n'existe actuellement aucune méthode automatisée pour déterminer si les données sont sauvegardées dans des supports d'information portatifs. Ainsi, il existe des risques importants.
Recommandations
La direction a besoin de déterminer dans quels cas les solutions locales, surtout les AMOC, ont leur place dans la trousse des applications de l'ARC. Cette intégration peut seulement avoir lieu une fois que les Directions générales fonctionnelles et la DGI acquièrent une compréhension claire des solutions locales qui existent, des fins pour lesquelles elles existent, des risques associés à leur utilisation et des avantages qu'offre cette approche d'élaboration.
Des mesures plus immédiates devraient être prises pour réduire les risques inhérents des AMOC, particulièrement à l'égard de la capacité de télécharger de grandes quantités de données sur les clients non cryptées vers des magasins de données et des supports d'information facilement transportables.
Plan d'action
La nouvelle politique de développement des AMOC sera publiée en juin 2007. Elle nécessitera l'enregistrement de chaque AMOC qui accède une base de données de l'ordinateur central de l'Agence. Les AMOC seront logées dans le nouveau processus nommé “Répertoire d'applications locales” (RAL) qui saisira également les données de base dans les AMOC telles que :
Le RAL de pair avec la nécessité d'enregistrer tous les AMOC formera la base qui permettra aux Régions et aux Directions générales de l'AC de mieux comprendre la portée du développement des solutions locales et l'utilité de ces solutions et fera en sorte que l'Agence pourra contrôler celles-ci de près et atténuer tous les risques qui y sont associés. Le fait d'avoir un seul processus d'enregistrement central maintenu par la DGI et d'améliorer son efficacité par l'imposition d'un processus d'enregistrement, le RAL deviendra ainsi un inventaire national détaillé des solutions locales existantes.
Cette vérification remarque avec justesse que les AMOC amènent des risques inhérents notamment dans le cas où les données au repos ne sont pas gérées. La mise en oeuvre de la Plateforme des services terminaux (TSP) aidera à résoudre cet état étant donné que les données (volumineuses ou moindres) ne résideraient pas dans l'Infrastructure locale.
La Division des services sécuritaires de la TI dans la DGI entreprendra un examen des AMOC qui ont la fonctionnalité de télécharger de larges volumes de données pour évaluer ainsi si des mesures sécuritaires appropriées sont en place. De plus, au cours de la dernière année, la Sécurité de la TI a certifié que les médias chiffrés (DriveMate et eNova) ainsi que le logiciel chiffré PointSec ont été autorisés et qu'ils seront disponibles d'ici mars 2008.
Selon les meilleures pratiques présentées dans la documentation de l'industrie, l'élaboration et l'utilisation des solutions locales devraient être administrées selon un cadre qui comprendrait certains éléments, tels qu'un inventaire national de solutions existantes, les rôles et responsabilités définis et communiqués des divers participants et intervenants, les politiques qui définissent les exigences en matière de sécurité, de protection des renseignements personnels, de langues et d'accessibilité, les normes et les procédures visant à orienter le cycle chronologique de l'élaboration des systèmes (CCES), y compris l'amorçage, l'approbation, l'élaboration, la mise en oeuvre et l'utilisation des solutions locales et la surveillance après la mise en oeuvre. La vérification avait comme objectifs de déterminer si ces éléments d'un cadre étaient en place et si les solutions élaborées étaient conformes au cadre.
Dans l'ensemble, la vérification a déterminé que les efforts déployés pour élaborer un cadre de régie n'ont pas évolué à la même cadence que le nombre et la capacité des solutions locales, et elle a identifié peu de cas où ledit cadre ou les meilleures pratiques étaient respectés. Les constatations et recommandations de la vérification concernant la régie sont présentées en plus de détail dans les sections qui suivent.
La Vérification interne reconnaît que le risque que présentent certaines solutions locales peut être non significatif, donc qu'il ne justifie pas de processus proprement dits de planification de projet, d'analyses coût-avantages, de surveillance de la fonction de l'AC, ni d'approbations. La Vérification interne n'a pas tenté de définir ce qu'est un développement significatif et non significatif, mais la distinction a besoin d'être faite quand il s'agit de déterminer le niveau de contrôle et de régie nécessaire.
Un inventaire complet, exact, à jour et disponible, contenant toutes les solutions locales enregistrées et approuvées, n'est toujours pas en place. Un tel inventaire devrait contenir une documentation pour chaque solution, y compris, sans toutefois s'y limiter, le but, les avantages, les risques et le programme en fonction desquels la solution est utilisée, les utilisateurs, le développeur et la Direction générale autorisée. Ces renseignements seraient utiles pour les utilisateurs qui cherchent un « outil » potentiel et, pour les développeurs, avant d'entreprendre un nouveau développement, afin de réduire les cas de duplication du processus d'élaboration.
Le développement local prend place depuis l'arrivée de l'ordinateur central à l'ARC.
À la fin des années 1990, les utilisateurs ont commencé la mise au point d'AMOC comme interfaces plus conviviales et plus productives aux données sur les clients dans divers systèmes d'applications sur ordinateur central, particulièrement dans la Région du Pacifique, où le Bureau des services fiscaux (BSF) de Vancouver et le Centre fiscal (CF) de Surrey procèdent à une mise au point importante d'AMOC.
Plusieurs efforts organisationnels ont été faits pour inventorier les solutions locales. Par exemple, en 2003, l'examen A9, effectué par les cadres supérieurs de l'Environnement réparti contrôlé (ERC), a rendu obligatoire l'inventaire des applications locales. La « liste des applications » résultante était incomplète. À la fin de 2003, d'autres efforts déployés en vue de quantifier les fonds de données locales liés aux solutions de TI locales, y compris les fonds découlant d'AMOC, ont également produit des résultats incomplets.
En 2003, le sous-commissaire de la Région du Pacifique a donné mandat aux gestionnaires de la Région du Pacifique d'inventorier toutes les solutions locales et a affirmé que des sanctions seraient appliquées aux cas d'inobservation. Dans le site intranet de la Région du Pacifique, une Bibliothèque régionale permanente des logiciels (BRPL) des applications locales est maintenant disponible. La Région du Pacifique tient également à jour un inventaire distinct d'AMOC hors ligne.
À la fin de 2004, afin d'enregistrer de nouvelles propositions, en plus des solutions déjà existantes, le Centre du développement de la DGI a amorcé le site intranet du Projet d'élaboration des solutions locales (PESL). Toutefois, l'existence du site et le besoin de se conformer à ses exigences n'ont pas bien été communiqués. Par la suite, le site du PESL a été renommé le Projet de soutien des applications locales (PSAL) et le processus d'enregistrement a été nommé le processus de l'« Enregistrement et répertoire des applications locales » (ERAL). L'ERAL contient de nombreuses solutions qui ont été enregistrées, mais il est incomplet.
La vérification a noté plusieurs faiblesses dans le processus d'enregistrement, y compris l'absence d'une vérification de l'approbation fonctionnelle, un manque de communication aux développeurs lorsque l'enregistrement a été refusé en raison de renseignements manquants ou inexacts et l'absence de directives sur la façon dont divers liens vers le site devraient être utilisés.
À partir du milieu de l'année 2005, la Direction générale des services aux contribuables et de la gestion des créances (DGSCGC) a tenté d'inventorier les AMOC en usage dans le cadre de ses opérations. Depuis, la Section de développement d'applications d'utilisateur final (SDAUF ou aussi appelé « Recouvrement intégré des recettes Ouest » ou RIR-Ouest) à la DGSCGC a inventorié les AMOC qu'elles ont mises au point. Néanmoins, les sondages de vérification concluent que la majorité des AMOC en usage dans les programmes de la DGSCGC ne sont pas enregistrées dans le registre national de l'ERAL. En outre, nulle autre Direction générale n'a un inventaire complet des solutions locales utilisées dans le cadre de ses programmes.
Il existe une inobservation significative de l'exigence voulant que toutes les solutions locales soient enregistrées, étape indispensable pour établir un inventaire national.
Des échantillons de sondages de vérification prélevés dans l'ensemble de l'Agence ont démontré que, parmi les 111 applications locales échantillonnées, 67 % des applications mises au point à l'AC et 77 % des applications locales mises au point à l'échelle régionale n'étaient pas enregistrées. Parmi les 92 AMOC distinctes échantillonnées, 31 % des AMOC mises au point à l'AC et 87 % des AMOC mises au point à l'échelle régionale n'étaient pas enregistrées. Il convient de noter que la majorité des AMOC mises au point à l'AC qui étaient enregistrées avaient été mises au point par le RIR-Ouest.
Recommandations
Il faut que la DGI et les Directions générales fonctionnelles travaillent ensemble afin de dresser et de tenir à jour un inventaire national détaillé des solutions locales existantes, qui comprend une documentation appropriée et qui est mis à la disposition des intervenants appropriés.
Des lignes directrices et procédures claires devraient être élaborées et communiquées par la DGI afin d'appuyer l'enregistrement des nouvelles solutions locales à des fins d'inclusion dans l'inventaire national, y compris vérifier que les nouveaux enregistrements ont été approuvés par la fonction.
Plans d'action
Travaillant en collaboration avec les autres Directions générales de l'AC et des régions, la DGI restructure présentement le RAL pour améliorer ses capacités en tant qu'inventaire national détaillé de solutions locales existantes et en développement. Le RAL sera un outil plus utile qu'à l'heure actuelle avec l'inclusion de pouvoir retracer un AMOC dans son cycle de développement et de permettre aux clients commerciaux de clore une session lors d'un déploiement sur l'AMOC. La nouvelle version du RAL va être lancée en juin 2007.
La DGI en collaboration et avec l'usage des meilleures pratiques dans les secteurs tels que RIR Ouest renforce et applique de nouveau, d'ici juin 2007, la politique de développement des AMOC et relance de nouvelles Normes plus détaillées de développement. Une politique de solutions locales sera lancée dans le dernier trimestre de 2007
Le modèle de régie national existant afin d'orienter le développement local sert généralement à définir le rôle respectif de tous les intervenants, y compris les bureaux locaux, les bureaux régionaux, les Directions générales fonctionnelles et les secteurs appropriés de la DGI, comme le Centre de protection de la technologie de l'information (CPTI), et de la Direction générale des finances et de l'administration (DGFA – Direction de la sécurité). Toutefois, il met l'accent sur la régie de la TI, plutôt que sur le développement, et ne fournit pas suffisamment de détails concernant les autres secteurs qui devraient participer au processus. En particulier, la régie fonctionnelle doit être mieux définie. Le document du modèle de régie comprend certains noms de personnes-ressources, mais d'autres sont manquants ou hors d'usage. Par conséquent, les développeurs potentiels ne savent pas avec qui communiquer. Le document ne tient pas compte des changements organisationnels récents à l'ARC.
Les divers documents qui traitent généralement des questions liées à la TI et à la sécurité qui devraient être examinés au moment de la mise au point et de la mise en oeuvre des AMOC et des applications locales sont désignées sous le nom de « lignes directrices » plutôt que de « normes ». À ce titre, les développeurs peuvent assumer qu'il n'est pas nécessaire de les respecter. Un titre plus symbolique, tel que
« Normes nationales relatives au développement local », serait plus approprié et pourrait encourager un niveau d'observation plus élevé.
Les divers documents qui constituent le modèle de régie existant n'ont pas été approuvés. De plus, la responsabilité relative à l'assurance de l'observation de la régie et des lignes directrices n'a pas été clairement déléguée.
Recommandation
Les « Normes nationales » devraient être mises à jour, s'il y a lieu, et être approuvée et l'observation de ces normes devrait être assurée
Plan d'action
La DGI, en collaboration et avec l'usage de meilleures pratiques tels que la RIR Ouest renforce et réutilise la Politique de développement des AMOC et réutilise de nouvelles Normes de développement plus détaillées d'ici juin 2007. De concert avec ses partenaires, la DGI fera l'élaboration d'un régime de contrôle pour assurer l'observation d'ici septembre 2007.
Les processus liés à l'examen et à l'approbation fonctionnels de l'élaboration et de l'utilisation des solutions locales doivent être améliorés. Les meilleures pratiques de l'industrie, qui ont été établies en vue de l'informatique d'utilisateur final et de l'élaboration de solutions pour les utilisateurs finals, exigent la rédaction d'un énoncé clair des rôles et responsabilités respectifs. Les Directions générales fonctionnelles de l'AC sont également responsables de l'attribution de fonds aux programmes. À ce titre, elles devraient assurer une surveillance en fonction des avantages, des coûts et des risques potentiels, de la fonctionnalité opérationnelle proposée et de l'approbation des propositions de solutions locales importantes. Sans surveillance fonctionnelle, il existe un risque accru lié à la redondance et au développement inutile ou non autorisé, puis il y a moins de possibilités de partage de solutions utiles et moins de contrôle sur l'affectation budgétaire. Les avantages et les coûts prévus des nouvelles perspectives importantes de développement devraient être décrits et suivis afin que les cadres supérieurs de la Direction générale soient au courant des dépenses liées au développement local.
L'échantillon de vérification comprenait des solutions locales dans les programmes relevant de la plupart des directions générales fonctionnelles de l'Administration centrale. En se servant de l'échantillon, au cours de la vérification, il a été déterminé que les rôles et responsabilités liés à l'examen et à l'approbation fonctionnels des propositions d'élaboration à l'AC n'ont pas été attribués dans la plupart des Directions générales. À l'exception des initiatives en évolution à la DGSCGC, il n'y a aucun encadrement fonctionnel national (Direction générale de l'Administration centrale) en place en vue de comprendre les avantages, les coûts et les risques, d'examiner et d'approuver le développement local ou de déterminer si d'autres options existent ou devraient être considérées.
La DGSCGC a rédigé l'ébauche d'un processus de régie d'entreprise pour les AMOC seulement, y compris la création d'une équipe du RIR-Ouest en 2005 en vue de gérer la mise au point des AMOC. Bien qu'il continue d'évoluer, il existe un processus par lequel les AMOC mises au point par le RIR-Ouest sont examinées par des experts fonctionnels et les secteurs appropriés de la DGI. En outre, les coûts d'élaboration sont suivis et connus, même si d'autres mises au point d'AMOC effectuées par un secteur non-RIR-Ouest, qui ne suivent pas ce processus, ont lieu dans le cadre des programmes de la DGSCGC.
La Direction générale des programmes d'observation (DGPO) dispose du processus de Demande de changement des systèmes d'observation (DCSO), par lequel des changements potentiels ou proposés aux systèmes de la DGPO existants sont signalés, examinés et priorisés. Toutefois, au cours de la vérification, il a été noté que ce processus ne vise pas à résoudre directement les situations dans lesquelles on procède déjà à un développement local ou des outils locaux sont déjà en usage.
L'analyse des réponses de l'échantillon de vérification des AMOC a révélé que dans seulement 13 % des échantillons, l'avis de l'AC a été demandé concernant des solutions de rechange possibles au développement local, comme apporter des modifications aux systèmes existants. En outre, bien que l'approbation de la direction locale ait été demandée dans au moins 77 % des cas, l'approbation de la fonction de l'AC a été demandée dans 29 % des cas. Un rapport sur l'analyse de rentabilisation a été préparé dans seulement 5 % des cas.
L'analyse des réponses de l'échantillon de vérification des applications locales a révélé que l'avis de l'AC concernant les besoins opérationnels ou les solutions de rechange possibles au développement local, comme apporter des modifications aux systèmes existants, a été demandé dans seulement 18 % des échantillons. En outre, bien que l'approbation de la direction locale ait été demandée dans au moins 86 % des cas, l'approbation de la fonction de l'AC a été demandée dans seulement 13 % des cas.
Un rapport sur l'analyse de rentabilisation a été préparé dans seulement 11 % des cas. Dans 72 % des cas, les coûts d'entretien n'étaient ni connus ni suivis.
Des solutions locales sont souvent élaborées en vue d'aborder une absence de fonctionnalité dans les applications nationales existantes. Toutefois, il n'y a aucune indication que l'absence de fonctionnalité qui est abordée par les solutions locales est communiquée ou considérée à des fins d'inclusion dans les applications et les systèmes nationaux nouveaux ou existants. Par conséquent, il existe un risque que les modifications aux applications nationales pourraient ne pas répondre à tous les besoins des utilisateurs, puisque le besoin n'a pas été communiqué à la direction générale fonctionnelle.
Recommandations
Les directions générales fonctionnelles de l'Administration centrale devraient définir, documenter et approuver les processus internes dans le cadre desquels il existe des rôles et responsabilités respectifs liés à l'approbation opérationnelle des propositions et la surveillance opérationnelle du développement, y compris le besoin de réaliser des analyses coût-avantage et de déterminer et atténuer les risques.
Les responsabilités des directions générales fonctionnelles, y compris le nom des personnes-ressources nommées, devraient être communiquées aux développeurs potentiels.
Les directions générales fonctionnelles de l'Administration centrale devraient s'assurer que les questions de fonctionnalité abordées par les solutions locales sont prises en compte au moment de définir les exigences liées aux applications et aux systèmes nationaux existants.
Plan d'action
La DGI travaillera avec ses partenaires à élaborer et mettre en place des processus nécessaires pour une approbation efficace de l'AC envers le déploiement des solutions locales. Un processus d'approbation et de surveillance sera formulé d'ici juin 2007. Le nouveau processus restructuré de RAL permettra de retracer l'approbation fonctionnelle, capter le contact et les autorités d'approbation et fournir un enregistrement où les exigences peuvent être identifiées et considérées dans le développement d'une entreprise-classe. Le RAL sera disponible en juin 2007.
Une méthodologie du CCES n'est pas adoptée de façon uniforme. Les principes du CCES exigent que des politiques et des procédures d'élaboration soient mises en place et communiquées. Ces politiques et procédures devraient traiter des exigences liées à la documentation, la mise à l'essai, la réutilisation et les pistes de vérification, au moment d'accéder aux données sur les clients. D'autres questions qui devraient être incluses dans de telles politiques et procédures comprennent l'exigence de procéder à des mises au point et à des essais dans un environnement non-production et d'effectuer des essais d'acceptation au nom du client. En ce qui concerne la distribution de nouveaux produits ou de mises à jour des produits existants, la mise en oeuvre devrait être contrôlée afin que seuls les employés de l'ARC qui sont autorisés à utiliser les nouvelles versions les reçoivent.
Dans l'ensemble, la documentation relative à tous les échantillons de vérification était faible. Quarante-six pour cent des répondants des échantillons d'AMOC et 66 % des répondants de l'échantillon des applications locales ont affirmé qu'aucun document décrivant le but et l'usage général de la solution locale n'était disponible. Les résultats de l'essai de mise au point n'étaient pas disponibles pour 76 % des échantillons de vérification des AMOC et 94 % des échantillons d'applications locales.
Certains éléments des principes du CCES sont en place et observés aux niveaux locaux. Toutefois, à l'échelle nationale, seule la DGSCGC et, particulièrement le
RIR-Ouest, a amorcé certaines meilleures pratiques concernant la mise au point d'AMOC. Par exemple, ils ont commencé à utiliser les services de la Division d'essais d'acceptation (DEA) pour 11 AMOC mises au point par RIR-Ouest. Malgré la rigueur accrue utilisée par les processus d'élaboration du RIR-Ouest, il y a quand même eu un grand nombre d'erreurs constatées. Cependant, il convient de noter que, parmi toutes les AMOC en usage à l'ARC, seules les AMOC mises au point par le RIR-Ouest ont fait l'objet d'essais à la DEA. Cela soulève donc la question à savoir ce que découvrirait la DEA si elle mettait à l'essai les AMOC qui ont été mises au point ailleurs à l'aide d'une méthodologie d'élaboration moins rigoureuse.
Le RIR-Ouest a élaboré certaines procédures internes locales et une méthodologie afin de renforcer la résistance de ses produits : le Plan d'intervention d'urgence et de stratégie opérationnelle et des processus visant à encourager la réutilisation. Le
RIR-Ouest a élaboré des modules d'AMOC qui satisfont aux exigences énoncées dans le cadre de régie à des fins de réutilisation. Toutefois, ces modules n'ont toujours pas été entièrement mis en oeuvre et ne sont pas communiqués à d'autres développeurs.
La mise en oeuvre et l'accès aux AMOC sont incompatibles puisque certains secteurs ont des processus de distribution plus rigoureux que d'autres. Les lignes directrices du cadre de mise au point des AMOC exigent que la mise en oeuvre et l'accès soient exécutés par l'intermédiaire d'un processus national contrôlé qu'a élaboré la DGI.
Ce processus est seulement utilisé en vue de distribuer les AMOC nationales ayant été mises au point par le RIR-Ouest au nom de la DGSCGC.
L'analyse des échantillons a également révélé que d'autres secteurs de programme ont différents processus de mise au point, de contrôle, d'approbation et de distribution des AMOC en place, mais que leur méthodologie n'est pas aussi uniforme ou rigoureuse que celle des processus du RIR Ouest. La plupart des échantillons de vérification de ces secteurs ont également fait l'objet d'un examen fonctionnel ou d'une approbation fonctionnelle.
L'absence d'un CCES uniforme augmente les risques d'une documentation inadéquate, d'une intégrité de données inadéquate et d'autres erreurs, ainsi qu'un contrôle inadéquat de la version.
Recommandation
Les « Normes nationales » devraient être renforcées en vue de promouvoir une méthodologie du CCES uniforme pour le développement local et d'inclure un processus afin que toutes les solutions locales soient élaborées, mises à l'essai, documentées et mises en oeuvre de façon appropriée et que les versions soient adéquatement contrôlées.
Plans d'action
Le lancement d'un Processus de qualité guidera le développement local par l'entremise d'un CCES correspondant aux risques posés par ce développement. Grâce au TSP, la publication de toutes les applications deviendra nécessaire et comprendra un système d'essai et un cycle de relâche plus rigoureux. La fermeture de cette brèche dans le système actuel du CCES permettra d'identifier les problèmes et les incompatibilités plus tôt dans le cycle et permettra de renforcer les points forts de l'alignement des normes nationales.
Une stratégie d'essai détaillée sera créé de même qu'une plateforme d'essai efficace. Les meilleures pratiques d'essai ajoutées à une version appropriée des processus et des procédures de lancement, de changements, et de gestion de la configuration contribueront à faire en sorte que les solutions locales seront plus contrôlées en matière de risque. La mise en oeuvre de la platforme d'essai va être lancée en septembre 2007.
Plusieurs examens techniques des solutions locales nouvelles et existantes sont effectués à la DGI afin de s'assurer qu'elles respectent les lignes directrices nationales. Ces examens sont effectués en fonction des solutions qui sont signalées au Centre du développement seulement et ne sont pas bien intégrés.
Le Centre du développement de la DGI effectue une vérification préliminaire à la suite de l'enregistrement des solutions dans l'ERAL. Cette vérification est effectuée en vue d'assurer l'observation des lignes directrices du cadre de régie.
La Division de l'intégration de recouvrement des recettes des Solutions de la DGI (Solutions d'IRR) examine également les AMOC nationales mises au point par le RIR-Ouest en fonction des recommandations présentées dans les Lignes directrices du Centre du développement concernant la mise au point des AMOC. Ce processus n'est pas lié au processus d'ERAL. Il convient de noter que les Solutions d'IRR considèrent que leur examen ne fournit que des conseils techniques et une orientation au développeur et non une approbation technique.
Les résultats de ces divers examens ne sont pas bien intégrés les uns aux autres ni à l'examen de la sécurité des AMOC effectué par le Centre de protection de la TI (CPTI), Direction de la sécurité, DGI (voir la section 2.6.1 concernant la sécurité). De plus, il n'y a aucun système de suivi unique en place lorsque l'état d'une solution faisant l'objet de ces examens est enregistré. Ainsi, il est difficile pour les développeurs ou les autres de déterminer à quels examens une solution particulière a été assujettie.
Recommandations
Le processus lié à tous les examens techniques de la DGI devrait être intégré, rationalisé, inclus dans les « Normes nationales » et communiqué. Les « Normes nationales » devraient comprendre les rôles et responsabilités de la DGI relativement à la séquence des processus d'examen exécutés à la DGI.
Un système de suivi devrait être fourni afin d'afficher l'état de l'examen de l'Administration centrale (opérationnel ou de la DGI) relativement à la soumission d'une solution et l'état d'un nouveau développement.
Toutes les solutions actuellement en usage, qui n'ont pas été précédemment examinées, devraient faire l'objet des examens requis avant d'être publiées dans la liste des applications approuvées du RAL.
Plans d'action
La DGI intégrera, simplifiera et communiquera ses procédures d'examens techniques et les logera dans le site web du RAL.. Le RAL lui-même permettra de classer et de retracer les processus d'examen au sein de la DGI ainsi que ceux des Directions générales de l'AC.
Les solutions actuellement en usage qui n'ont pas été antérieurement examinées feront l'objet d'un examen aussi rigoureux que celui des solutions en voie de développement.
Les chapitres du Manuel des finances et de l'administration (MFA) de l'ARC sur la sécurité contiennent de nombreuses politiques en matière de sécurité qui s'appliquent intrinsèquement aux solutions locales ou aux données, à la transmission et à la mémoire correspondantes. Il y a un faible niveau d'observation relativement à un bon nombre de ces politiques, les examens de sécurité sont fragmentés et il existe des risques importants pour la sécurité.
2.6.1 Examens de la sécurité technique
Dans le volume Sécurité du MFA, le chapitre 20, intitulé Gestion des risques pour la sécurité – Évaluation de la menace et des risques des technologies de l'information, stipule que les examens de la sécurité technique doivent être effectués au début du cycle de vie du développement des applications locales, régionales et des Directions générales, par les gestionnaires d'applications, afin de s'assurer que des mesures de prévention et de contrôle sont mises en oeuvre pour les réseaux, les systèmes et les applications de l'Agence. En 2004 et 2005, la DGI a distribué divers communiqués aux membres du Comité de gestion de l'Agence (CGA) et aux directeurs et conseillers de la TI, affirmant qu'il est nécessaire de réaliser et de présenter un examen de la sécurité technique pour toutes les solutions locales existantes. Cependant, la vérification a constaté ce qui suit :
D'autres questions liées aux procédures d'examen de la sécurité technique ont également été soulevées, dont les suivantes :
2.6.2 Pistes de vérification
Le chapitre 22 du volume Sécurité du MFA stipule ce qui suit : « Tous les accès aux données identifiables sur les clients doivent être journalisées (piste de vérification), sauf en cas d'exemption justifiée par le processus d'évaluation de la menace et des risques (EMR) et autorisée par la Direction de la sécurité, de la gestion du risque et des affaires internes (DSGRAI). » Quelles que soient les mesures de sécurité prises relativement à ces données, les pistes de vérification doivent encore être conservées afin d'identifier les employés qui ont accédé à ces données. Soixante-dix-huit pour cent de l'échantillon des AMOC et 10 % des réponses au questionnaire de l'échantillon des applications locales ont indiqué que les données des contribuables sont téléchargées à partir de l'ordinateur central. Les pistes de vérification liées aux accès aux données des contribuables sauvegardées à l'échelle locale ne sont pas conservées. C'est actuellement le cas pour les AMOC en usage. À ce titre, l'ARC ne peut pas garantir qu'elle peut identifier tous les employés qui ont accédé aux données des contribuables.
2.6.3 Mise à l'essai des AMOC dans l'environnement de production
Faire des essais et des mises au point d'unités dans l'environnement de production est une entreprise risquée, puisque cela peut nuire à l'intégrité des données réelles ou produire des sorties non intentionnelles de données réelles. Par conséquent, la politique en matière de sécurité de l'ARC stipule que les renonciations doivent être émises par la Direction de la sécurité de la DGFA lorsque les essais sont effectués dans l'environnement de production.
Les sondages de vérification ont révélé qu'il n'existe actuellement aucun environnement de développement et de mise au point distinct pour les solutions locales à l'ARC. Par conséquent, les développeurs des AMOC n'ont pas le choix de mettre au point et de mettre à l'essai les AMOC dans l'environnement de production. Aucune preuve n'a été donnée à la VI qui indique que les renonciations ont été émises par la Direction de la sécurité de la DGFA pour les AMOC mises à l'essai au moyen de données identifiables sur les clients dans l'environnement de production.
2.6.4 Continuité des opérations et reprise après sinistre
La politique en matière de sécurité de l'ARC stipule que des plans de continuité des opérations, y compris des plans de reprise après sinistre, doivent être en place pour les systèmes qui appuient les fonctions opérationnelles essentielles. Cette exigence demeure insatisfaite pour la plupart des solutions locales desquelles dépendent fortement les opérations commerciales. Le RIR Ouest a commencé à étudier cette question à l'aide de l'élaboration du Plan d'intervention d'urgence et de stratégie opérationnelle.
Recommandations
Les « Normes nationales » devraient résumer ou faire renvoi aux questions de sécurité qui s'appliquent et aux procédures qui devraient être respectées au moment de procéder au développement local, comme l'exigence d'effectuer un examen de la sécurité technique et le processus adopté en vue de les présenter. Des sanctions devraient s'appliquer aux cas d'inobservation.
La haute direction a besoin d'assurer l'observation de la politique exigeant des renonciations quand des activités de développement et d'épreuve sont menées dans l'environnement de production en présence de données réelles.
La DGI devrait envisager de résoudre l'absence de pistes de vérification liées aux accès aux données des contribuables sauvegardées à l'extérieur de l'environnement de l'ordinateur central.
Le processus lié aux examens de la sécurité du CPTI doit être précisé et communiqué et des mesures doivent être prises afin de s'assurer que toutes les solutions locales font l'objet de ces examens.
Les « Normes nationales » devraient exiger que des solutions locales soient intégrées dans les plans de continuité des opérations si elles appuient les fonctions opérationnelles essentielles.
Plans d'action
La DGI mettra en oeuvre un Processus de qualité obligatoire afin d'aider un développeur par le biais d'un régime de sécurité correspondant aux risques que posent les solutions locales. Pour des solutions d'une étendue suffisante, le Processus de qualité exigera que les plans sur la continuité des opérations soient complétés et enregistrés dans le RAL.
Le développement d'une plateforme d'essai efficace rendra périmé la pratique dangereuse de développer et de tester l'environnement de production.
Un cycle d'examen de deux ans pour les Politiques de sécurité de l'information effectué dans l'exercice fiscal 2007-2008 par la Direction de la sécurité, de la gestion du risque et des affaires internes (DSGRAI) et de la Direction générale des F&A permettra un renforcement plus large des politiques existantes et produira une plus grande amélioration des rôles et des responsabilités envers les applications de solutions locales. Le programme de sensibilisation à la sécurité soulignera davantage les politiques existantes, les normes et les procédures opérationnelles en matière de création des AMOC. En outre, l'inspection courante et la révision du programme par la Direction générale des F&A inciteront la DSGRAI à identifier les AMOC et les autres applications en cours de développement qui ne possèdent pas de normes propres, de certification, d'accréditation ou qui n'ont pas été examinées au préalable relativement aux risques.
Un projet de modernisation de 5 ans des pistes de vérification a été mis en place. La DSGRAI a commencé à faire une analyse préliminaire des exigences pour la restructure du Système de modernisation des pistes de vérification nationales. Le contenu de toutes les pistes de vérification existantes est actuellement documenté en détail et les exigences des intervenants sont analysées pour un système révisé.
Cinquante-sept pour cent des répondants de l'échantillon des AMOC et 66 % des répondants de l'échantillon des applications locales ont affirmé que les développeurs n'avaient pas tenu compte des politiques sur la technologie d'adaptation et les langues officielles au moment d'élaborer ces solutions locales.
Dans le cas des évaluations des facteurs relatifs à la vie privée (ÉFVP), en raison du large éventail de bases de données de l'ordinateur central qui ont été accédées à des fins d'extraction de données au moyen d'AMOC, il a été suggéré que des évaluations préliminaires des facteurs relatifs à la vie privée (EPFVP) devraient être considérées. Toutefois, nul répondant au questionnaire de l'échantillon de vérification des AMOC et seulement 4 % des répondants de l'échantillon des applications locales ont affirmé qu'une ÉFVP avait été effectuée et présentée.
Une EPFVP globale a été effectuée par le RIR-Ouest pour toutes les AMOC qu'il a mises au point, mais le comité responsable de l'examen des EPFVP en vue du besoin potentiel d'un ÉFVP officielle n'a pas été consulté à partir de décembre 2006.
Il n'existe pas de point de référence unique pour les politiques et les lignes directrices pertinentes (Sécurité, Technologie d'adaptation, Langues officielles, ÉFVP, Développement durable, entre autres), dont les développeurs devraient être au courant au moment d'élaborer des solutions locales. Un tel outil serait utile afin de permettre aux développeurs de s'assurer que toutes les politiques pertinentes ont été prises en compte. L'ébauche du modèle de régie des solutions locales et des documents à l'appui rédigée par le Centre du développement constitue un bon point de départ en tant que norme nationale, mais n'énumère pas toutes les politiques que les développeurs devraient prendre en compte.
Recommandation
Les « Normes nationales » devraient comprendre des renvois particuliers aux politiques sur les langues nationales, la technologie d'adaptation et les évaluations des facteurs relatifs à la vie privée qui doivent être prises en compte au moment de procéder au développement local.
Plan d'action
Les nouvelles Normes de développement feront référence aux politiques des Langues officielles et de la technologie d'adaptation. Elles seront publiées en juin 2007. Le Processus de qualité déterminera les exigences en matière d'ÉFVP.
La communication des normes d'élaboration et d'autres renseignements importants peut être améliorée.
Recommandation
Des améliorations devraient être apportées aux voies de communication afin que tous les renseignements de l'Administration centrale (à la fois opérationnels et techniques) qui touchent aux solutions locales soient reçus par ceux qui en ont besoin.
Plans d'action
Le travail effectué sur la stratégie de communication est constant. Étant donné la nature interdirectionnelle et interrégionale de l'espace des solutions locales, plus d'efforts devraient être accordés pour s'assurer que les plans d'action reçoivent une plus grande visibilité et un plus grand champ d'action. Pour ce faire, il sera peut-être nécessaire de former un groupe de travail spécial pour les solutions locales afin d'obtenir une plus grande visibilité initiale et d'élaborer des réseaux de communication durables.
La DGI (assurance de la production) publie et maintient actuellement la diffusion des renseignements de la gestion relativement au lancement d'une application et des changements majeurs d'infrastructure dans son Calendrier des prochaines modifications de la Direction générale Procédure (CPMDGP). L'information sur tous les changements apportés à l'infrastructure se trouve dans le système de Changements dans le système Infoman. Alors que ces rapports sont actuellement distribués dans un large rayon, la DGI questionne l'utilité d'étendre la distribution dans un secteur plus grand.
Dans le cadre de l'approche d'élaboration traditionnelle de l'ARC, de nombreux contrôles sont exercés sur le processus d'élaboration. En raison de ces nombreux contrôles, la fonctionnalité opérationnelle est connue, les risques pour la sécurité et l'intégrité des données sont atténués et les préoccupations concernant le rendement de l'infrastructure et de l'ordinateur central sont relativement bien connues et documentées.
Les solutions locales, vu leur nature, ne sont pas assujetties au même contrôles. Étant donné les tâches importantes que certaines solutions locales exécutent, elles méritent l'attention de la direction, afin de non seulement déterminer la fonctionnalité et les avantages qu'elles offrent, mais également les risques qu'elles présentent.
Les applications locales sont souvent utilisées dans les processus administratifs ou des Resouces Humains et traitent souvent des données d'employés ou génèrent des renseignements utilisés par la direction aux fins de prise de décisions. Elles aussi sont importantes et devraient être assujetties aux mêmes processus de contrôle que toutes les applications ou les AMOC qui servent à traiter les données sur les clients ou à y accéder. Les AMOC méritent qu'on s'y intéresse pour de nombreuses raisons d'ordre fonctionnel, technique et de sécurité énoncées dans le présent rapport.
Spécifiquement en ce qui concerne les AMOC, bien que l'exécution des AMOC qui invoquent des quantités élevées d'opérations dans l'ordinateur central ait été surveillée officieusement par la Gestion de la technologie de l'ordinateur hôte (GTOH) de la DGI et par un employé de la DGSCGC, à l'aide des statistiques de la GTOH qui précisent le nombre d'opérations traitées chaque heure, l'Agence n'a aucun processus officiel en place pour surveiller les AMOC.
Dans la GTOH, l'objectif de la surveillance assurée à l'aide des statistiques de la GTOH est limité à déterminer si l'exécution d'une AMOC a causé des problèmes de rendement de l'ordinateur central. D'autres AMOC pourraient ne pas invoquer de grandes quantités d'opérations et, par conséquent, ne figurent pas dans ces statistiques. Dans ces cas, il est impossible d'exercer un contrôle ou une surveillance afin de déterminer la mesure dans laquelle et la fin pour laquelle ces AMOC sont utilisées. Ces AMOC pourraient encore être importantes à la lumière des fonctions qu'elles exécutent et, par conséquent, elles pourraient présenter des risques importants.
Beaucoup d'exécutions de grandes quantités d'AMOC ont lieu au cours de la période de base, en violation des lignes directrices émises par la DGI en vue de réduire les charges quotidiennes dans l'ordinateur central. Le rendement et la stabilité de l'ordinateur central n'ont toujours pas été considérablement touchés par l'utilisation des AMOC. Toutefois, un manque de régie constant de la mise au point et de l'utilisation des AMOC pourrait commencer à avoir des répercussions négatives sur le rendement et la stabilité des systèmes d'ordinateur central. Les volumes élevés d'opérations, lesquels sont entraînés par l'utilisation des AMOC, peuvent entraîner le besoin de fournir des ressources supplémentaires de l'ordinateur central ou donner lieu à d'autres questions liées à l'accès simultané, au rendement et à la stabilité.
Les solutions locales ont une incidence sur le réseau et les serveurs de réseau. Par exemple, la prolifération des solutions locales dans le réseau constituait un facteur essentiel, exigeant ainsi que la DGI réduise considérablement la portée de son projet de consolidation des serveurs au cours des troisième et quatrième trimestres de l'exercice 2006-2007.
Vu la variété des utilisations qui se font des solutions locales, il est nécessaire de surveiller les solutions locales et d'examiner les risques et les avantages, tel qu'il a précédemment été mentionné dans le présent rapport.
Recommandations
Les Directions générales de l'Administration centrale et la DGI devraient mettre en oeuvre un processus de surveillance officiel relativement à l'utilisation qui est faite des solutions locales en fonction de la fonctionnalité du programme et de l'observation des normes nationales.
Pour les AMOC, les directions générales fonctionnelles de l'AC devraient considérer utiliser les statistiques de la GTOH existantes comme point de départ afin de parvenir à identifier et à comprendre qui utilise les AMOC et à s'assurer qu'elles sont autorisées et enregistrées. Elles devraient également considérer obtenir des renseignements supplémentaires sur les AMOC qui ne figurent pas dans le rapport actuel de la GTOH en raison des volumes d'opérations plus faibles, mais qui peuvent quand même encore présenter des risques ou des avantages importants.
Pour les AMOC, la DGI devrait mettre en oeuvre un processus de surveillance officiel relativement à leur exécution dans l'infrastructure technique et rendre compte de l'observation des normes nationales.
Plans d'action
Le processus d'approbation et de surveillance sera formulé d'ici juin 2007.
L'expansion de la fonctionnalité du RAL augmentera la capacité de l'Agence de surveiller l'utilisation des solutions locales, les responsables de leur développement et l'observation dans l'ensemble des Normes nationales. L'enregistrement obligatoire des AMOC et la mise en oeuvre du Processus de la qualité assureront qu'elles auront l'autorisation d'être déployées et qu'elles auront subi l'examen d'un CCES correspondant aux risques encourus et à sa complexité.
La DGI examinera de nouveau son régime de surveillance pour s'assurer que les incidences sur l'infrastructure technique sont comprises et contrôlées.
Le développement local se produit au sein des fonctions de l'AC et des opérations régionales. Les avantages des solutions développées localement ne se font pas bien quantifier, mais ils comprennent des gains sur le plan de l'efficacité, de l'efficience et de la productivité. Certains exemples sont l'automatisation de fonctions administratives auparavant faites manuellement et les améliorations apportées aux interfaces locales avec les bases de données des secteurs d'activité nationaux, ce qui peut également amener une réduction dans l'utilisation des ressources telles que le temps et le papier.
Il existe aussi des risques significatifs associés à l'élaboration et à l'utilisation des solutions locales, particulièrement des AMOC, en ce qui a trait à la sécurité des données, à l'intégrité des données et, potentiellement, à la performance des systèmes. Devant de tels risques, l'élaboration et l'utilisation des solutions locales devraient être administrées à l'intérieur selon un cadre comprenant une claire définition des responsabilités et un inventaire national des solutions existantes; les politiques définissant les exigences visant la sécurité, la protection des renseignements personnels, la langue et l'accessibilité; et les normes relatives au cycle chronologique de l'élaboration des systèmes.
La régie de l'Agence concernant l'élaboration et l'utilisation des solutions locales a besoin d'être améliorée. Certains éléments d'un cadre de régie national sont en place, mais ils sont incomplets, ils n'ont pas été approuvés par les parties prenantes, et ils n'ont pas été bien communiqués. L'observation de ces éléments et des meilleures pratiques est faible.
La régie fonctionnelle concernant l'élaboration et l'utilisation des solutions locales est limitée. Les Directions générales fonctionnelles de l'AC sont ultimement responsables des systèmes, outils et procédures qui soutiennent leurs programmes, et elles sont les gestionnaires de fonds pour les affectations budgétaires destinées à leur fonctionnement. À ce titre, chaque Direction générale devrait exercer un pouvoir et une surveillance sur les solutions locales significatives élaborées et utilisées en vue de faciliter l'atteinte des objectifs de ses programmes. Les coûts de l'élaboration des solutions locales sont généralement inconnus pour la Direction générale qui les finance.
Il est nécessaire d'identifier et d'inventorier toutes les solutions locales significatives qui existent, le but, la population d'utilisateurs de chacune, et ses avantages et risques. Les solutions significatives qui n'ont pas subi l'examen fonctionnel, technique et de sécurité à l'AC exigé dans les lignes directrices et la politique existantes, ont besoin d'être examinées. Le développement local, surtout celui des AMOC, doit être mieux compris; les risques et les avantages doivent être quantifiés, et le positionnement du développement local dans l'éventail des outils et systèmes automatisés doit être clarifié. Une surveillance doit être instituée.
Certains secteurs de l'Agence ont reconnu le besoin d'améliorer la gestion des solutions locales. Quelques éléments de base d'un cadre de régie, comme les inventaires et les processus normalités pour l'élaboration et la mise en oeuvre des solutions locales, existent dans la Région du Pacifique et dans le RIR-Ouest, au sein de la Direction générale des services aux contribuables et de la gestion des créances (DGSCGC). Ce besoin est particulièrement notable vu l'importance que les AMOC ont prises dans la gestion des créances par la DGSCGC.