Bibliothèque d’audit et de surveillance

13 février 2020

Osez la différence : conseils pour mener des audits agiles

Introduction

Services partagés Canada a été créé en 2011 pour moderniser la prestation des services d’infrastructure de technologie de l’information (TI) au sein du gouvernement fédéral. La transformation menée par Services partagés Canada était de grande ampleur. Au départ, il y avait cinq grands programmes de transformation :

  • Initiative de transformation des services de courriel
  • Appareils technologiques en milieu de travail
  • Regroupement des centres de données
  • Programme de transformation des télécommunications
  • Cybersécurité et sécurité de la TI

Chaque programme, qui comportait des millions de dollars de dépenses, un échéancier serré et de multiples interdépendances entre les projets, était mis en œuvre dans 43 ministères et organismes. Il s’agissait d’une nouvelle façon de faire, non seulement pour Services partagés Canada, mais aussi pour le gouvernement fédéral dans son ensemble.

Parmi toutes ces transformations, le bureau d’audit interne de Services partagés Canada a également été mis sur pied. Des employés étaient recrutés, des processus étaient élaborés et des audits étaient effectués. Nous avons effectué un premier audit de l’Initiative de transformation des services de courriel en utilisant des méthodes d’audit traditionnelles. Les gestionnaires d’audit ont rapidement constaté que les audits traditionnels, qui nécessitent entre 12 et 18 mois pour produire un rapport, n’allaient pas apporter la valeur attendue et ne permettraient pas de faire face aux risques que présentaient ces transformations importantes et complexes. Compte tenu de l’évolution rapide de la technologie de l’information, il faut être aussi prompt et agile que les programmes eux-mêmes afin d’offrir des services d’assurance à valeur ajoutée.

Dans cet article, nous expliquons comment l’équipe d’audit interne de Services partagés Canada a réussi à simplifier et transformer ses processus traditionnels afin d’offrir des services d’assurance pour de grands programmes de transformation de manière opportune et utile.

 

  

À propos de l’auteure :

Chantal Hewston

 

Chantal Hewston est auditrice interne principale à Services partagés Canada. Elle travaille dans le domaine de l’audit interne du secteur public depuis dix ans, et elle a eu la chance de jouer un rôle de premier plan dans une gamme d’audits agiles lancée par Services partagés Canada en 2016 afin d’offrir des services d’assurance pour de grands programmes et projets de TI. Elle a également mené plusieurs audits de la TI, de la gouvernance et de la sécurité au sein de plusieurs ministères fédéraux.

Chantal soutient activement l’Institut des auditeurs internes et l’ISACA (Information Systems Audit and Control Association). Elle a précédemment occupé le poste de directrice de la défense des intérêts gouvernementaux et réglementaires à ISACA Ottawa.

Cet article est basé sur son expérience et les opinions qui y sont exprimées sont les siennes.

Contactez l’auteure :

chantal.hewston@canada.ca

Quelle a été notre nouvelle stratégie d’audit?

En 2015, le Bureau de la vérification et de l’évaluation de Services partagés Canada a lancé une nouvelle série d’audits. Ces audits devaient être des évaluations rapides, agiles et opportunes des cinq programmes de transformation.

Cette nouvelle stratégie d’audit s’articulait autour de trois caractéristiques principales :

  • Des audits trimestriels des systèmes en voie de développement dans les cinq programmes étaient effectués selon une approche descendante, agile et fondée sur les risques.
  • Des rapports trimestriels étaient présentés à la haute direction et au Comité ministériel de la vérification.
  • Les résultats d’audit étaient rendus publics une fois par an.

La nouvelle stratégie d’audit avait pour objectif de fournir à la direction une évaluation opportune des points suivants :

  • Progrès et réussite dans l’atteinte des objectifs de chaque programme de transformation (selon les jalons définis dans le cadre de chaque programme et tout au long du calendrier de transformation).
  • Principaux contrôles internes, processus de gouvernance et cadre de gestion des risques liés à la transformation (à un point du cycle d’élaboration où des améliorations pouvaient être mises en œuvre et où les processus pouvaient être adaptés).

L’étendue des nouveaux audits était ajustée de façon continue au fil de l’évolution des cinq programmes de transformation. Ces programmes sont devenus notre micro-univers d’audit, comprenant la structure de gouvernance habilitante, la gestion des finances, des projets et des risques, ainsi que les processus de surveillance, de contrôle et de production de rapports.

La durée d’un audit traditionnel était de 18 mois entre la planification initiale et la présentation d’un rapport au Comité ministériel de la vérification. La mise en place de cette nouvelle méthode d’assurance devait essentiellement nous permettre de réduire de moitié la durée des audits, qui serait désormais comprise entre huit et neuf mois (voir la figure 1). Cela n’avait jamais été fait auparavant au ministère et nous nous engagions à utiliser cette nouvelle méthode pour auditer nos sujets les plus vastes, risqués et complexes.

Figure 1 – Processus d’audit interne de Services partagés Canada avant et après la transformation

Figure 1 – Processus d’audit interne de Services partagés Canada avant et après la transformation

En quoi avons-nous procédé différemment?

Tout le monde veut réaliser des audits plus rapides, mais tout le monde est-il prêt à apporter les changements nécessaires pour simplifier les processus? Nous avons décidé que nous étions prêt pour ces changements et avons donc adopté une stratégie fondée sur des principes pour repenser le processus d’audit en fonction de notre nouvel échéancier. Voici les principes que nous avons utilisés.

À tout moment de l’année, nous planifiions le prochain audit trimestriel, pendant l’examen d’un autre audit trimestriel et la préparation d’un rapport sur un troisième audit, de sorte qu’il y ait toujours trois audits en cours simultanément sur les programmes de transformation.

En collaboration avec nos collègues en charge de l’assurance de la qualité, les documents à communiquer à nos clients d’audit (par exemple le mandat d’audit et le rapport d’audit) ont été simplifiés pour contenir uniquement les éléments essentiels requis par les normes de l’Institut des auditeurs internes. À titre d’exemple, notre rapport d’audit principal était un tableau de bord, d’une page accompagné d’un document d’évaluation des constatations plus détaillé en langage clair. Les documents et les structures internes comme les structures des dossiers d’audit, les modèles et les outils d’évaluation des risques ont eux aussi fait l’objet d’une simplification.

Nous évaluions continuellement les risques en fonction des principes de gestion de projet – incluant le Guide du Corpus des connaissances en management de projet (Guide PMBOK®) et le cadre d’architecture TOGAF (The Open Group Architecture Framework) – et des bonnes pratiques gouvernementales, par exemple le Cadre de responsabilisation de gestion du gouvernement du Canada. Pour ce faire, nous discutions avec la haute direction, nous dialoguions et nous utilisions les documents produits pendant les réunions du comité de gouvernance. Ce processus d’évaluation continue des risques servait à établir les priorités d’audit et à sélectionner en temps réel les prochains audits axés sur les risques dans l’univers défini de nos programmes de transformation. Nous effectuions également une évaluation approfondie des risques sur le sujet d’audit sélectionné durant la phase de planification de chaque nouvel audit, conformément à notre processus normalisé.

Nous sélectionnions les sujets d’audit sur la base de cette évaluation continue des risques et de consultations avec l’équipe de gestion d’audit et la haute direction de Services partagés Canada. Les risques, le calendrier des programmes, les interdépendances et les priorités de gestion étaient pris en compte. Chaque trimestre, nous préparions une liste de sujets et la communiquions aux gestionnaires d’audit, puis nous envoyions le sujet finalement sélectionné au président de Services partagés Canada aux fins d’approbation. Cette méthode nous laissait la liberté d’axer nos audits sur les secteurs présentant le plus de risques, à n’importe quelle étape des programmes et projets de transformation.

Les phases de planification et d’examen de ces audits se déroulaient comme pour tout autre audit. Le seul changement par rapport aux audits plus traditionnels également en cours consistait à utiliser des outils simplifiés pour évaluer les risques et communiquer les résultats d’audit. Le facteur influant le plus sur l’avancement de ces nouveaux audits est le respect rigoureux des échéances qui jalonnent la réalisation de l’audit. Ces étapes clés sont l’achèvement des documents de planification, des feuilles de constatations, des rapports d’audit, des examens d’assurance de la qualité et des leçons apprises. Pour respecter ces échéances, l’équipe d’audit a dû effectuer des heures supplémentaires, en particulier pendant les premiers trimestres d’utilisation de notre nouvelle méthode. Toutefois, nous avons mené ces audits deux années de suite sans manquer une seule date limite.

L’équipe d’audit et ses gestionnaires s’engageaient à examiner les documents dans un délai standard de trois jours. Le fait que les principaux documents de planification et de reddition de comptes soient plus courts contribuait également à accroître l’efficacité. Ce délai de trois jours s’appliquait aussi aux échéances de l’organisation auditée. Nous effectuions un suivi auprès des organisations auditées par courriel, par téléphone et en personne pour vérifier que nos échéanciers soient respectés.

Comme la préparation des rapports en vue de leur publication (incluant la validation et l’administration) était généralement l’étape du processus qui prenait le plus de temps, il a été décidé de séparer la publication du processus d’audit. L’équipe d’audit s’occupait désormais exclusivement de réaliser les audits et de fournir en temps réel à la direction les constatations, les recommandations et les détails requis pour améliorer la prestation des programmes de transformation. Un résumé des quatre audits réalisés au cours de l’exercice, des recommandations d’audit et du contexte des constatations d’audit était préparé par une autre équipe d’audit chaque année aux fins de publication.

Quels ont été nos principaux facteurs de réussite?

Plusieurs facteurs ont contribué à la réussite de cette nouvelle stratégie d’audit :

  • L’équipe d’audit avait accès aux compétences et connaissances requises.
  • Il y avait une communication constante avec les hauts responsables d’audit et au sein de l’équipe de projet.
  • Il y avait un leadership fort.
  • Il y avait des processus de rétroaction réguliers.
  • Nous avons adopté une approche itérative et soutenue en matière d’amélioration continue.

Pour que cette stratégie fonctionne, il fallait avant tout avoir la bonne équipe; il se trouve que la nôtre était expérimentée et considérait que cette nouvelle approche pouvait porter ses fruits. Personne dans l’équipe n’a jamais dit que les délais étaient impossibles à tenir ou que le travail ne pouvait pas être fait. Comme la plupart des membres de l’équipe étaient des consultants, il n’y a eu aucun biais favorable ou défavorable à la mise à l’essai d’un nouveau processus, ni aucune résistance face à la nouveauté. Tout le monde a adopté une attitude positive et s’est efforcé de respecter les délais nécessaires à la réalisation du projet.

Compte tenu du rythme rapide des audits et du fait que les sujets d’audit changeaient tous les trois mois, il fallait aussi disposer de compétences et d’une expérience diversifiées. Comme les sujets changeaient tous les trimestres, il a fallu un vaste bassin de ressources pour offrir une expertise dans des domaines comme la gestion de projet, la sécurité de la technologie de l’information, les réseaux, la gestion financière et la gestion du changement. Nous avons eu la chance d’avoir de solides connaissances et un leadership fort en interne. Nous avons pu obtenir rapidement les connaissances techniques supplémentaires, le leadership et le personnel contractuel additionnel dont nous avions besoin pendant les cycles d’audits trimestriels.

Le projet a pu rester sur la bonne voie grâce à une communication constante au sein de l’équipe et avec l’équipe de gestion d’audit. Les communications hebdomadaires avec les hauts responsables d’audit ont permis d’agir rapidement pour corriger le cap et effectuer les renvois afin d’éviter tout retard. Cela a également permis à l’équipe de se tenir au fait des risques et des mises à jour des programmes au sein du ministère. Cette communication constante était un élément clé de l’approche agile adoptée pour déterminer les prochains sujets d’audit et évaluer les risques en continue à l’échelle des grands programmes de transformation.

Le leadership a également été un facteur clé de réussite. Il fallait absolument bénéficier du soutien de membres de la direction qui appuyaient cette approche rapide et agile des services d’audit et qui étaient susceptibles d’influencer le Comité ministériel de la vérification et la haute direction du ministère. Un leadership fort était également nécessaire pour que les équipes de projet restent motivées malgré les délais serrés et la complexité des sujets.

Nous avons utilisé la rétroaction régulière des intervenants pour apporter des améliorations avec chaque audit trimestriel :

  • La rétroaction du Comité ministériel de la vérification nous a servi à améliorer la production de rapports.
  • La rétroaction informelle des organisations auditées nous a permis de modifier les plans d’action et les processus de suivi de la direction.
  • Un sondage annuel officiel sur la satisfaction des clients nous a fourni une rétroaction structurée sur l’ensemble du processus.

Le facteur qui a le plus contribué à notre réussite est l’engagement envers l’amélioration continue. Comme pour tout nouveau processus, les choses ne se déroulent pas toujours sans encombre. Après avoir préparé un rapport provisoire, les membres de l’équipe se réunissaient afin de passer en revue les leçons apprises pendant le trimestre précédent, d’énumérer cinq points qui se sont bien déroulés, et de dresser une liste de cinq points pouvant être améliorés et des mesures requises à cette fin pour le prochain audit trimestriel. L’équipe a suivi ces améliorations et pris des mesures immédiates. Entre autres améliorations, citons une nouvelle structure des dossiers d’audit, des modèles et procédures d’échantillonnage et des processus d’approbation interne améliorés, des renvois plus rapides et une meilleure communication.

Quelles difficultés avons-nous rencontrées?

Les deux principales difficultés liées à la mise en œuvre de notre nouvelle méthode étaient de fournir un contexte supplémentaire dans les rapports au Comité ministériel de la vérification et de gérer le volume des recommandations découlant de nos rapports.

Même si le Comité ministériel de la vérification a continué d’appuyer la méthode et les résultats des audits, ses membres ont souvent demandé plus d’informations et d’éléments de contexte sur la signification des constatations. Il est devenu difficile de trouver un juste équilibre entre le besoin de détails supplémentaires et la stratégie de production de rapports sous forme de tableaux de bord simplifiés. Il a fallu remanier plusieurs fois le document d’évaluation des constatations qui accompagnait le tableau de bord pour trouver une solution répondant aux besoins des intervenants.

La seconde difficulté consistait à gérer le volume des recommandations formulées. Chaque audit trimestriel générant en moyenne quatre à cinq recommandations, le suivi des plans d’action de la direction pour 20 recommandations supplémentaires par année a mis à rude épreuve les ressources du ministère et de la direction de la vérification interne. Il est rapidement devenu évident que des ressources supplémentaires étaient nécessaires pour appuyer les activités de suivi.

Comment faire pour appliquer une méthode similaire dans votre organisation?

En définitive, cette stratégie doit son succès à l’engagement de l’équipe de projet et des gestionnaires d’audit, ainsi qu’à l’appui de nos intervenants. La vitesse de la transformation au sein du ministère exigeait un travail d’assurance rapide et agile de la part de la haute direction en matière de services d’audit et dans l’ensemble du ministère. La nouvelle approche d’audit était mieux alignée avec l’environnement en évolution rapide de Services partagés Canada que le modèle traditionnel d’audit ne l’était.

Bien que l’approche agile ait été mise au point dans l’industrie du logiciel informatique et qu’elle a été plus tard adaptée pour faciliter l’audit des projets de TI, l’utilisation de l’approche agile en audit n’est pas limitée au secteur des TI. Tout bureau d’audit peut décider d’utiliser une approche agile dans le but d’accélérer le cycle d’audit, de produire des observations en temps plus opportun, de réduire la documentation ou de rendre le processus d’audit plus efficient en général.

Pour déterminer s’ils pourraient adopter une approche d’audit agile, les auditeurs devraient se poser les questions suivantes :

  • Votre organisation met-elle en œuvre de grands projets ou programmes à cadence rapide?
  • Êtes-vous prêt, disposé et capable de faire les choses différemment?
  • Avez-vous accès aux ressources financières et humaines nécessaires?
  • Avez-vous le soutien de la haute direction?

Il est à noter que l’approche présentée dans cet article ne doit pas nécessairement être adoptée dans son ensemble. Des changements pourraient être apportés graduellement et il se peut que certains aspects ne puissent convenir dans des contextes particuliers. Toutefois, certains aspects de cette approche devraient et pourraient être utilisés par n’importe quelle équipe d’audit. Communiquer les attentes concernant les échéanciers et travailler avec le groupe des pratiques professionnelles pour simplifier les outils relève tout simplement de la bonne gestion de projet. Par ailleurs, les normes de l’Institut des auditeurs internes exigent que les membres d’équipes d’audit possèdent des compétences et une expérience adéquates et que l’étendue de chaque audit soit délimitée convenablement afin d’en atteindre les objectifs.

Conclusion

Les programmes de transformation de Services partagés Canada étaient tout simplement trop importants et les changements trop rapides pour adopter une stratégie d’audit traditionnelle. Cette stratégie d’audit agile a permis à l’équipe d’audit de fournir des services d’assurance opportuns dans les principaux secteurs à risque élevé du programme de transformation du ministère.

L’approche a également contribué à améliorer ces audits rapides et agiles, ainsi que les audits traditionnels en cours à Services partagés Canada, en remettant en question nos processus et nos idées préconçues sur la façon dont les audits peuvent être effectués.

En appliquant immédiatement les leçons apprises chaque trimestre, nous avons rapidement fait passer ces audits d’une approche exigeante en main-d’œuvre et insoutenable à un processus simplifié et reproductible, capable d’évoluer en fonction de la progression des programmes de transformation et des changements rapides au sein du ministère. Un leadership fort, l’acceptation du changement et un engagement réel envers l’amélioration continue grâce aux leçons apprises étaient essentiels pour que nous puissions mener à bien cet ambitieux programme d’audit.

 

 

AVIS : Les opinions exprimées dans cet article sont celles de l’auteure et ne reflètent pas nécessairement le point de vue de la Fondation.

 

Consultez les autres Sur le terrain

The Level is: