Présentation utilisée lors de la conférence

Download Report

Transcript Présentation utilisée lors de la conférence 

Rôle du Vérificateur général du Québec
à l’égard
des technologies de l’information
Avril 2014
Marcel Couture
Patrice Watier
Rôle du VGQ à l’égard des TI
Agenda
 Organisation
 Fonctionnement d’un audit informatique au VGQ
 Exemples de rapport à l’Assemblée nationale portant
sur les TI
2
Organisation
3
Rôle du VGQ à l’égard des TI
Organisation
 Pouvoirs et immunités
 Champ de compétence



Évolution du champ de compétence
Types d’environnement
Expertise et audit informatique
 Types de mandat
4
Rôle du VGQ à l’égard des TI
Pouvoirs et immunités
Loi sur le vérificateur
général
Relève exclusivement de
l’Assemblé nationale
Indépendance et
autonomie de gestion
Source : LOI SUR LE VÉRIFICATEUR GÉNÉRAL, chapitre V-5.01, 1er février 2014
5
Rôle du VGQ à l’égard des TI
Pouvoirs et immunités (suite)

Vérification et enquête effectuées :



au moment
à la fréquence et
de la manière
qu’il détermine
 Accès aux documents et renseignements, et ce,
malgré toute autre loi
 Immunité contre :



toute obligation de faire une déposition
toute poursuite en justice ainsi que
tout recours judiciaire visant l’arrêt de ses travaux
Pouvoir
Obligation
Crédibilité
6
Rôle du VGQ à l’égard des TI
Champ de compétence
 Évolution du champ de compétence
 Types d’environnement
 Expertise et audit informatique
7
Rôle du VGQ à l’égard des TI
Évolution du champ de compétence
2013
2008
1985
1970
VOR
Réseaux
santé
&
éducation
VOR
Sociétés
d’État,
Sauf la CDPQ
VG
8
Rôle du VGQ à l’égard des TI
Types d’environnement informatique
Dépenses informatiques gouvernementales
60 %
40 %
Entretien &
exploitation
Projets
Source : Politique-cadre sur la gouvernance et la gestion des ressources informationnelles
des organismes publics, gouvernement du Québec – 2012
9
Rôle du VGQ à l’égard des TI
Types d’environnement informatique (suite)
UNIX
DB2
Safeguard
Windows
RACF
Oracle
ACF2
TopSecret
10
Rôle du VGQ à l’égard des TI
Expertises et audits informatiques
Effectifs
130 postes
Attestation financière
8 en audit
informatique
271 postes
Québec et Montréal
84 postes
VOR
Au besoin des
ressources TI sont
attitrées selon la
nature du mandat
57 postes
Administration et soutien
2.5 en analyse
de données
11
Rôle du VGQ à l’égard des TI
Types de mandat
1.
Audit particulier et enquête
2.
Conformité aux lois et règlements
3.
Utilisation de subvention
4.
Droit de regard
5.
Vérification d’optimisation des ressources
(VOR)*
6.
Attestation d’états financiers*
12
Rôle du VGQ à l’égard des TI
Types de mandat (suite)
VOR (réf. : point no 5)
 Évalue les moyens utilisés pour gérer leurs ressources :
 de façon efficiente
 dans un souci d’économie et de développement durable
 ainsi que l’efficacité des programmes mis en œuvre
 Examine les pratiques de gestion, systèmes et
contrôles qui supportent ces pratiques
 Impacts des TI
13
Rôle du VGQ à l’égard des TI
Types de mandat (suite)
Audit d’états financiers (Réf.: point no 6)
Nombre d’entités visées par l’audit des états financiers
 249 entités (2011-2012) :
 100 : VGQ
 149 : autres auditeurs (ex. filiales, fonds…)
 Exclut les réseaux
 Mandats :
2. Impartition
1. Régulier
3. Co-audit
14
Rôle du VGQ à l’égard des TI
Types de mandat (suite)
Audit d’états financiers (Réf.: point no 6)
1. Mandats réguliers
Nombre d‘intervention en audit informatique
Détaillées
30
50
Total
100 entités
50 %
Sommaires
20
Aucune
15
Rôle du VGQ à l’égard des TI
Types de mandat (suite)
Audit d’états financiers (Réf.: point no 6)
2. Mandats en impartition

40 entités

11 impartiteurs

Travaux en audit informatique

Planification et révision des dossiers pertinents
16
Rôle du VGQ à l’égard des TI
Types de mandat (suite)
Audit d’états financiers (Réf.: point no 6)
3. Co-audits
 6 dossiers et 5 co-auditeurs
 Tableau des sociétés et cabinets
Sociétés
Cabinets
Hydro-Québec
Société des alcools du Québec
Loto-Québec
Société de l’assurance automobile du Québec
Caisse de dépôt et placement du Québec
Investissement Québec
EY et KPMG
RCGT
RCGT
PWC
EY
SBDT
17
Fonctionnement d’un audit
informatique au VGQ
dans le cadre de l’attestation financière
18
Rôle du VGQ à l’égard des TI
Fonctionnement d’un audit informatique

Référentiels

Démarches
19
Fonctionnement d’un
audit informatique
Référentiels
 Vigie continue
 Exemples de source :
–
–
–
–
–
–
Auditeurs législatifs du Canada
NCA 315 – Compréhension de l’entité
Cabinet d’experts-comptables internationaux
COBIT 5
COSO 2013
Cadre global de gestion des actifs informationnels
appartenant aux organismes du RSSS, volet sécurité
– Autres
20
Rôle du VGQ à l’égard des TI
Démarches
Disponibilité
VOR
COBIT ?
AF
Objectifs
Confidentialité
Intégrité
21
Rôle du VGQ à l’égard des TI
Démarches (suite)
Gestion des technologies de l’information (GTI)
a) Politique et procédure de sécurité
Très
Important
b) Gestion du développement et de la
maintenance des systèmes
c) Gestion des droits et des profils d’accès
d) Gestion des paramètres de sécurité
e) Gestion des opérations
Uniforme pour l’ensemble des entités du gouvernement
Source : Contrôles généraux des technologies de l’information, hiver 2013, chap. 9
22
Rôle du VGQ à l’égard des TI
Démarches (suite)
 Autres travaux à la demande de l’auditeur financier
− Programme de jeu d’essai
− Conversions de système
− Description des applications informatiques

Utilisation des travaux d’autres sources :
− Audit interne (NCA 610)
− Gouvernance financière
− Auditeur d’un rapport NCMC 3416 (et NCA 402)
23
Rôle du VGQ à l’égard des TI
Exemples de rapport
à l’Assemblée nationale
portant sur les TI
24
Rôle du VGQ à l’égard des TI
Portrait de rapports

Moyens de communication

Portrait de rapports à l’Assemblée nationale

Attestations financière

Vérification d’optimisation des ressources (VOR)
25
Rôle du VGQ à l’égard des TI
Moyens de communication
Public
Plan
d’action
Niveau
d’importance
de la
communication
VOR
AF
Stratégie
mixte
AF
AF
Lettre
d’observations
NCA 265
Rapport aux
responsables de
la gouvernance
NCA 265
Rapport à
l’Assemblée
nationale
26
Rôle du VGQ à l’égard des TI
Portrait de rapports
Portrait des rapports
à l’Assemblée nationale
Attestation financière
Source : Vérification financière et autres travaux connexes, chapitre 6, hiver 2014
27
Rôle du VGQ à l’égard des TI
Résultats des travaux
Pourcentage des recommandations sur les CGTI
par rapport à l'ensemble des recommandations
356 recommandations du 31 octobre 2012 au 31 octobre 2013
30
Total: 246
69 %
CGTI: 110
31 %
8
28
Rôle du VGQ à l’égard des TI
Résultats des travaux (suite)
Répartition des recommandations selon les 5 catégories de CGTI
Gestion des droits et des profils
d'accès
Gestion des paramètres de
sécurité
49%
15%
5%
13%
Politique et procédures de
sécurité
18%
Gestion du développement et de
la maintenance des systèmes
Gestion des opérations
29
Rôle du VGQ à l’égard des TI
Résultats des travaux (suite)
Cas particulier - Progrès satisfaisant en TI
80%
74 %
70%
70%
61 %
60%
55 %
50%
CSPQ
40%
Entités
30%
28 %
20%
10%
0%
mars2011
2011*
131janv.
311 mars
janv. 2012
*Source : Vérification financière et autres travaux connexes, chapitre 9, hiver 2013
30
Portrait des rapports à
l’Assemblée nationale
VOR
31
Rôle du VGQ à l’égard des TI
Rapports en VOR
Travaux menés par la VOR incluant souvent des
spécialistes en audit informatique :
 Gestion des contrats dans le domaine informatique (2012,
chapitre 5)
 Main-d'œuvre liée aux ressources informationnelles :
besoin, disponibilité et affectation (2005-2006, tome II)
 Dossier de santé du Québec (2010-20011, 4ième vigie)
 Autres projets (réf.: voir le site du VGQ)
32
Rôle du VGQ à l’égard des TI
Exemple no 1
Main-d’œuvre liée aux
ressources informationnelles
besoin, disponibilité et affectation
2006-2007
33
Rôle du VGQ à l’égard des TI
Main-d’œuvre liée aux ressources
informationnelles (suite)
Exemple no 1
Mise en contexte
 Dépenses liées aux RI* :
− 920 M$ en 2004-2005
 Dépenses de main-d’œuvre (m-o) liées aux RI* :
− Représentent 73 % (670 M $) de la dépense afférente
aux RI
*Ressources informationnelles
34
Rôle du VGQ à l’égard des TI
Main-d’œuvre liée aux ressources
Exemple no 1
informationnelles (suite)
 Évolution des dépenses ayant trait à la m-o liée aux RI
800
700
Absence de données pour les
organismes non budgétaires
500
400
300
200
100
Rémunération
du personnel
Acquisition de services professionnels auprès de fournisseurs privés
Rémunération
du personnel
Acquisition de services professionnels auprès de fournisseurs privés
2004-2005
2003-2004
2002-2003
2001-2002
2000-2001
1999-2000
1998-1999
1997-1998
1996-1997
1995-1996
1994-1995
1993-1994
1992-1993
1991-1992
1990-1991
1989-1990
1988-1989
1987-1988
1986-1987
0
1985-1986
En millions de dollars
600
35
Rôle du VGQ à l’égard des TI
Main-d’œuvre liée aux ressources informationnelles
Objectifs de la vérification
Exemple no 1
 Évaluer les moyens et les outils de gestion visant à
assurer une m-o gouvernementale la plus
économique possible :
− déterminer leur besoin de m-o au regard des RI et la
disponibilité de celle-ci
− cerner la façon la plus économique possible de répartir
le travail
− affecter la m-o de manière adéquate
36
Rôle du VGQ à l’égard des TI
Outils de gestion
Portefeuille d’investissement
Exemple no 1
D
 Pas d’objectifs à l’égard de la m-o liée aux RI dans les
stratégies gouvernementales depuis 1998
D
 Données insuffisantes recensées par le MSG (ancêtre du
CSPQ) auprès des M/O
 Les portefeuilles détaillent les objectifs, les
activités, les coûts, les avantages et les risques
relatifs aux investissements
 Élément négligé : Critères de sélection des
investissements
37
Rôle du VGQ à l’égard des TI
Outils de gestion
Plan de main-d’œuvre
Exemple no 1
 Les plans de m-o visent à prévoir le besoin pour une
période donnée et à déterminer les moyens pour y
répondre
 Dans les entités vérifiées, les plans de m-o sont :
BP
− CSST : satisfaisant
D
− MESS et RQ : insatisfaisants, particulièrement en
ce qui concerne la compétence de la m-o
38
Rôle du VGQ à l’égard des TI
Outils de gestion
Plan d’affectation
Exemple no 1
 Les plans d’affectation visent :
− à déterminer, à documenter et à attribuer les rôles et
les responsabilités afférents à un investissement
− à définir les activités nécessaires afin que la m-o soit
affectée de façon adéquate (entités vs tierces parties)
 La qualité des plans d’affectation est très
BP
satisfaisante pour la CSST et RQ et satisfaisante
pour le MESS
39
Rôle du VGQ à l’égard des TI
Exemple no 2
Dossier de santé du Québec (DSQ)
2010-2011
4e vigie
40
Rôle du VGQ à l’égard des TI
Dossier de santé du Québec
Exemple no 2
Mise en contexte
Le DSQ : 13 sous-projets menant vers une seule plateforme
informatique partout au Québec avec un contenu identique
 Coût total prévu au départ : 563 M$
− Gouvernement du Québec : 260 M$
− Inforoute Santé du Canada (ISC) : maximum de 303 M$
 Échéancier sur 4 ans (de 2006 à 2010)
 Portée : 95 000 utilisateurs et consultation possible de
partout sur le territoire du Québec
41
Rôle du VGQ à l’égard des TI
Dossier de santé du Québec (suite)
Exemple no 2
Faits saillants
 Dépenses engagées en décembre 2010 : 308 M$
(55 % du budget initial)
 Retard dans les échéanciers variant de 1,25 an à
4,5 ans minimum
 Plusieurs modifications à la portée des projets
42
Rôle du VGQ à l’égard des TI
Dossier de santé du Québec (suite)
Exemple no 2
 Projet initial du DSQ est un échec
 Aucun de ses paramètres initiaux n’est respecté
 Portée :
− Changement de stratégie d’informatisation d’une
plateforme unique vers plusieurs plateformes reportant à
plus tard l’interopérabilité provinciale
− Diminution du nombre potentiel d’utilisateurs
− Échéancier prévu non respecté et nouvel échéancier
inconnu (pas avant 2016)
 Coûts :
− Risque que ISC ne verse pas les sommes prévues
− Comptabilisation des coûts totaux non crédible
43
Rôle du VGQ à l’égard des TI
« Le VGQ favorise par ses audits (« TI »)
le contrôle parlementaire au bénéfice
des citoyens du Québec. »
Crédibilité
Obligations
Pouvoirs
Merci
44
Rôle du VGQ à l’égard des TI
Contacts
Le Vérificateur général du Québec
770, rue Sherbrooke Ouest, bureau 1910
Montréal (Québec) H3A 1G1
Site Internet : www.vgq.qc.ca
M. Marcel Couture
Courriel : [email protected]
M. Patrice Watier
Courriel : [email protected]
45