Secrétariat du Conseil du Trésor du Canada
Symbole du gouvernement du Canada

 

ARCHIVÉ - Guide pour la continuité des opérations en regard du problème de l'an 2000

Avertissement Cette page a été archivée.

Information archivée dans le Web

Information archivée dans le Web à  des fins de consultation, de recherche ou de tenue de documents. Cette dernière n’a aucunement été modifiée ni mise à  jour depuis sa date de mise en archive. Les pages archivées dans le Web ne sont pas assujetties aux normes qui s’appliquent aux sites Web du gouvernement du Canada. Conformément à  la Politique de communication du gouvernement du Canada, vous pouvez demander de recevoir cette information dans tout autre format de rechange à  la page « Contactez-nous ».



Cadre am�lior� pour la gestion des projets de technologie de l'information

Cap sur le prochain mill�naire au gouvernement : Guide pour la continuit� des op�rations en regard du probl�me de l'an 2000

Le 14 octobre 1998
Bureau de dirigeant principal de l'information
Secr�tariat du Conseil du Tr�sor du Canada



Préface

Historique

Le gouvernement fédéral, comme la plupart des organisations des secteurs publics et privés, est confronté au problème occasionné par l'arrivée de l'an 2000(1). En effet, de nombreux systèmes comportant des dates ont été conçus de manière à ne tenir compte que de deux caractères au lieu de quatre pour indiquer l'année. À moins que des changements ne soient apportés à ces systèmes avant l'arrivée du nouveau millénaire, beaucoup d'incompatibilités causées par des dates erronées se produiront.

Le problème de l'an 2000 pourrait avoir des conséquences négatives très profondes, allant même jusqu'à causer l'interruption complète des activités de certaines organisations. Il pourrait avoir des répercussions importantes sur la capacité de ces organisations à fournir leurs produits et services. Au gouvernement fédéral, cette situation pourrait avoir des répercussions hautement indésirables sur les Canadiens, ainsi que sur le pays et son économie. Plus particulièrement, ces problèmes pourraient se traduire par un traitement erroné des données ou un « déni de services gouvernementaux » lorsque les systèmes tomberont en panne.

Par conséquent, le Secrétariat du Conseil du Trésor du Canada a mis sur pied un projet visant à s'attaquer au problème de l'an 2000 à l'échelle du gouvernement. Un bureau de projet a donc été créé pour amorcer le processus d'abord, puis pour faciliter et surveiller la conversion des éléments d'actif en appui aux fonctions essentielles à la mission du gouvernement fédéral. Une évaluation préliminaire de l'incidence du problème de l'an 2000 au gouvernement a révélé que 48 fonctions essentielles pourraient être touchées par ce problème.

Selon la dernière évaluation des progrès(2) réalisés par le gouvernement pour résoudre le problème de l'an 2000, il resterait encore beaucoup de travail à accomplir avant l'an 2000. Vu l'état d'avancement actuel du projet, les ministères doivent considérer la possibilité que des programmes ou des services gouvernementaux seront touchés par les pannes attribuées au problème de l'an 2000. Dans ce contexte, le SCT prend l'initiative en recommandant aux ministères :

  1. D'évaluer ce qui pourrait mal tourner;
  2. D'élaborer des plans d'urgence selon les besoins;
  3. De s'assurer que les ministères disposent d'un cadre approprié pour faire face aux crises occasionnées directement ou indirectement par le problème de l'an 2000; et
  4. D'élaborer des plans de reprise complète des opérations, suivant leur interruption en raison du problème de l'an 2000.

En particulier, le SCT fournit aux ministères le présent guide consacré à la continuité des opérations, lequel accroîtra la capacité du gouvernement à faire face aux conséquences négatives potentielles du problème de l'an 2000.

Raison d'être du guide?

Ce guide a été créé dans le but :

  1. d'aider les ministères à gérer les risques liés à leurs projets de l'an 2000 pour qu'ils continuent à fournir sans interruption leurs programmes et leurs services aux Canadiens, et ce malgré les pannes occasionnées par le problème de l'an 2000;
  2. d'aider les ministères à identifier les problèmes pouvant empêcher la continuité des opérations et à se préparer adéquatement pour affronter les crises découlant du problème de l'an 2000; et
  3. d'aider le Secrétariat du Conseil du Trésor (SCT) à s'assurer que les ministères sont prêts à faire face aux conséquences négatives potentielles du problème de l'an 2000, et que le gouvernement est conscient des risques et des conséquences possibles si ce problème n'est pas résolu.

Objet du guide

L'objet de ce document est de présenter à tous les ministères un ensemble d'activités uniformes et normalisées visant à assurer la continuité des opérations. Ce guide aidera le gouvernement à mettre en œuvre ces activités et contribuera ainsi à augmenter ses chances de succès pour vaincre le problème de l'an 2000.



Remerciement

  Le SCT désire remercier les participants suivants pour leur contribution au présent document :

  1. Godcharles Goulet Fournier Conseils Inc. pour avoir élaboré ce guide;
  2. le ministère des Anciens combattants Canada pour avoir initié cette démarche;
  3. l'Institut de génie logiciel (Software Engineering Institute) pour nous avoir permis d'utiliser leur documentation sur la gestion du risque;
  4. les ministères suivants pour avoir mis à notre disposition certains de leurs processus existants : Pêches et Océans Canada, Agriculture et Agro-alimentaire Canada, Travaux publics et Services gouvernementaux Canada et Développement des ressources humaines Canada; et
  5. Magellan Engineering Consultants Inc. pour leur contribution au guide dans les domaines des interveutins d'urgence et de la reprise des opérations.


1.0 Introduction

1.1 Pourquoi mettre l'accent sur la continuit� des op�rations?

Comme pour tous les projets de cette nature, de cette taille et de cette complexit�, le projet de l'an 2000 s'accompagne d'une bonne dose d'incertitudes et d'impr�vus attribuables � l'environnement en perp�tuelle �volution dans lequel nous vivons, ainsi que d'�v�nements ind�sirables d�coulant des activit�s correctives r�alis�es par les minist�res. La plupart des gens s'accordent pour dire que, dans les circonstances, une gestion du risque continue profiterait aux minist�res. En effet, quel minist�re ne voudrait pas cerner les probl�mes �ventuels assez t�t pour avoir le temps de s'y attaquer et ainsi contribuer au succ�s des initiatives qu'il a entreprises pour contrer le probl�me de l'an 2000?

Le gouvernement est optimiste quant � sa capacit� � r�soudre le probl�me de l'an 2000 avec succ�s. Mais c'est aux gestionnaires du gouvernement qu'incombe la responsabilit� morale, sociale, op�rationnelle et l�gale d'envisager la possibilit� de ne pouvoir mener � terme leurs activit�s de conversion. Les gestionnaires concern�s par le probl�me de l'an 2000 devraient accorder une importance primordiale � la continuit� des activit�s op�rationnelles. La planification de mesures d'urgence placera ces gestionnaires dans une situation qui leur permettra de traverser de fa�on proactive et positive une crise �ventuelle provoqu�e par une interruption des activit�s relativement au probl�me de l'an 2000. Un cadre pr��tabli de contr�le et de communication efficaces, appliqu� au moyen de sc�narios r�alistes, fournira �galement aux gestionnaires des outils inestimables pour traverser ces crises �ventuelles.

C'est pourquoi il est crucial que la continuit� des op�rations soit une priorit� pour tous les minist�res.

1.2 Concepts et d�finitions de la continuit� des op�rations

Afin de bien situer le processus de la continuit� des op�rations propos� par ce guide par rapport � d'autres processus similaires appliqu�s � l'�chelle gouvernementale ou nationale, et en comparaison aux activit�s de conversion qui sont effectu�es dans les minist�res, nous aimerions communiquer aux lecteurs les concepts fondamentaux de notre processus appuy�s de quelques d�finitions �l�mentaires. Sur le plan conceptuel, le processus de continuit� des op�rations du SCT peut �tre illustr� par le sch�ma de la figure 1 ci-apr�s.

Figure 1 – Sch�ma du processus de continuit� des op�rations

PF = Priorit� des fonctions C�A = Correspondance des �l�ments

Figure 1 – Sch�ma du processus de continuit� des op�rations

Le processus de continuit� des op�rations commence avec la cr�ation d'une structure de gouvernance qui donnera une orientation au processus et qui s'assurera que les d�cisions sont prises en temps utile. La structure de gouvernance s'�tend depuis le niveau du contr�le et de la planification, auquel les ressources sont mobilis�es et affect�es aux activit�s de conversion, jusqu'� l'autorit� minist�rielle (au niveau des minist�res), auquel des d�cisions d'une grande importance sont prises concernant la continuit� des op�rations. Les deux aspects de l'organisation, soit technique et fonctionnel, sont repr�sent�s et leurs propres objectifs s'ajoutent au processus. L'�quipe technique vise la conformit� � l'an 2000 avant cette �ch�ance, alors que le personnel fonctionnel a pour but d'assurer la continuit� des op�rations. Ce guide concerne plut�t � l'aspect fonctionnel de l'organisation, mais reconna�t que la r�alisation des objectifs du personnel fonctionnel d�pend fortement de la capacit� du personnel technique d'atteindre les siens. Le c�t� technique de l'organisation joue donc un r�le important dans l'ex�cution et le succ�s du processus de continuit� des op�rations

Le processus de continuit� des op�rations couvre les trois �tapes identifi�es dans le contexte du pr�sent guide.

  1. Pr�vention : Au cours de cette �tape, les organisations identifient les risques qui peuvent avoir des r�percussions sur la continuit� de leurs op�rations, �valuent les propri�t�s importantes des risques et d�terminent quelle intervention adopter afin de r�duire leur vuln�rabilit� � l'interruption de leurs op�rations.
  2. Pr�paration : L'�tape de la pr�paration vise � �tablir des plans pour s'attaquer aux risques et � surveiller les progr�s des travaux de conversion et du plan de continuit� des op�rations; et
  3. Intervention : Cette �tape commence lorsqu'une crise se produit et s'�tend jusqu'au r�tablissement des op�rations de l'organisation.

Le processus de continuit� des op�rations se divise ensuite en quatre volets, notamment :

  1. Gestion du risque : La gestion du risque est un processus continu qui comporte des m�thodes et des outils pour identifier, analyser, planifier, suivre et contr�ler des �v�nements ind�sirables possibles qui pourraient avoir des r�percussions n�gatives sur les objectifs de l'organisation. Il est important de noter que bien que l'objectif du processus de continuit� soit de pr�venir ou de r�duire les interruptions de services relatives au probl�me de l'an 2000, il faut �galement se pencher sur les risques techniques parce que, souvent, ils constituent la cause fondamentale de ces interruptions. La gestion du risque fournit un contexte structur� favorisant une prise de d�cisions proactive afin :
    • d'�valuer de fa�on continue ce qui pourrait tourner mal;
    • de d�terminer � quels risques il est important de s'attaquer; et
    • de mettre en œuvre des strat�gies visant � att�nuer ces risques.
  2. Planification de mesures d'urgences : La planification de mesures d'urgence repr�sente le volet du processus de continuit� des op�rations au cours duquel un minist�re tente d'�tablir avec pr�cision les types de crises qui sont les plus susceptibles de se produire et se pr�pare � y faire face. Le processus de planification de mesures d'urgence concerne g�n�ralement les risques jug�s inacceptables ou n�cessitant des mesures de r�duction importantes. Il a pour objectif d'identifier et d'aborder autant d'incertitudes et de risques que possible pour que les minist�res soient en mesure de garder un contr�le sur leurs activit�s lorsque survient une crise. Le processus englobe entre autres des sc�narios de pr�vention de crises, des plans d'urgence, des plans d'intervention et des plans de reprise des op�rations;
  3. Intervention d'urgence : L'intervention d'urgence est un ensemble d'activit�s qui permet d'att�nuer les effets d'une situation de crise. Ces activit�s comprennent la notification, l'�valuation, la planification, l'action et la terminaison. En g�n�ral, l'intervention d'urgence n�cessitera l'application de plans d'urgence afin de stabiliser ou d'att�nuer une situation de crise et emp�cher qu'elle ne s'aggrave. Elle requiert la participation tant de l'autorit� minist�rielle que de l'autorit� directe ainsi que celle du personnel � l'�chelon du contr�le et de la planification (�quipe d'intervention d'urgence) qui est habituellement responsable des actions visant � stabiliser la crise;
  4. Reprise des op�rations : G�n�ralement, ce volet caract�rise les actions amorc�es suite � la stabilisation d'une situation de crise. La reprise des op�rations demande la participation de l'�quipe de gestion des situations d'urgence, mais les efforts sont ax�s sur la reprise des op�rations et le r�tablissement des activit�s courantes plut�t que sur la crise elle-m�me.

Ces quatre volets forment un ensemble d'�tapes communes qui am�nent les organisations � se rendre compte que des pannes caus�es par le probl�me de l'an 2000 sont possibles, jusqu' � la reprise des activit�s apr�s une situation de crise. Le processus int�gr� du SCT s'inspire de la m�thode de gestion du risque continue �labor�e par l'Institut de g�nie logiciel. Par cons�quent, bien qu'il semble diff�rent d'un processus de continuit� des op�rations standard � l'�chelon inf�rieur (au niveau de l'�tape), il r�pond aux exigences du gouvernement, se fonde sur des connaissances solides et cadre parfaitement avec des processus similaires implant�s � l'�chelle nationale. Ces �tapes sont les suivantes :

  1. �tablir une gouvernance;
  2. Identifier;
  3. Analyser;
  4. Planifier;
  5. Suivre; et
  6. Contr�ler.

1.3 Processus du SCT en six �tapes pour la continuit� des op�rations

Le SCT pr�conise un processus en six �tapes pour assurer la continuit� des op�rations. Ce processus s'inspire des travaux effectu�s par l'Institut de g�nie logiciel sur la gestion du risque continue et incorpore la planification de mesures d'urgence, l'intervention en cas de crise et la reprise des op�rations. La figure 2 ci-dessous illustre les composantes fondamentales de ce processus.

Figure 2 – Processus int�gr� pour assurer la continuit� des op�rations

  • Identify = identifier
  • Analyze = analyser
  • Plan = planifier
  • Track = suivre
  • Control = contr�ler
  • Communicate = communiquer

Figure 2 – Processus int�gr� pour assurer la continuit� des op�rations

Description des �tapes pour assurer la continuit� des op�rations :

  1. �tablir une gouvernance. La premi�re �tape de l'implantation d'un processus visant la continuit� des op�rations consiste � mettre sur pied une structure de gouvernance qui dirigera ce processus, notamment en identifiant et en mobilisant les ressources des minist�res, en obtenant l'engagement des membres de la structure de gouvernance et en les invitant � participer activement au processus. Cette structure ne devrait pas �tre distincte de la structure de gouvernance des projets de l'an 2000 qui existe dans les minist�res, mais plut�t y �tre int�gr�e;
  2. Identifier. Les minist�res doivent identifier les risques associ�s au probl�me de l'an 2000 qui pourraient avoir des r�percussions sur leurs capacit�s � assurer la continuit� des op�rations. Ils doivent �galement d�terminer les risques qui �chappent � leur contr�le et qui doivent �tre r�f�r�s au SCT (questions ayant un impact sur l'ensemble du gouvernement, p. ex., l'infrastructure publique) ou partag�s avec leurs partenaires et leurs fournisseurs;
  3. Analyser. Les minist�res doivent convertir les renseignements sur le risque, recueillis au cours de l'�tape � Identifier �, en des donn�es favorisant la prise de d�cisions. En plus de d�terminer les propri�t�s du risque, telles que la probabilit�, les r�percussions, la source et l'intervention, ils doivent associer ces donn�es aux �l�ments d'actif et aux fonctions de gestion. Cette analyse permettra aux minist�res de comprendre clairement les r�percussions possibles du risque sur la continuit� des op�rations et de prendre les mesures appropri�es pour faire face au risque;
  4. Planifier. Une fois que les risques ont �t� identifi�s et analys�s, les minist�res peuvent ensuite affecter des ressources � la gestion des risques identifi�s ou � l'�laboration de plans d'urgence pour les fonctions de gestion touch�es de fa�on importante par les risques. Ils devraient aussi pr�parer des plans pour intervenir en cas de crise et pour assurer la reprise des op�rations � la suite d'une crise.
  5. Suivre. Afin d'assurer le suivi continu des risques, notamment le risque d'interruption des op�rations, les minist�res doivent mettre en œuvre les strat�gies �labor�es � l'�tape pr�c�dente et surveiller les �carts qui peuvent se cr�er par rapport � ces plans. Ils doivent �galement continuer de suivre l'�volution des activit�s de conversion pour d�tecter les nouveaux risques possibles.
  6. Contr�ler. Lorsque un ou plusieurs risques se concr�tisent ou que survient une panne due au probl�me de l'an 2000, les minist�res doivent en limiter les r�percussions n�gatives et acheminer toute demande de d�cision au niveau appropri� de la structure de gouvernance. Si les r�percussions n�gatives ne peuvent �tre enray�es, il faut alors appliquer des plans et des proc�dures d'urgence � la fonction de gestion qui est touch�e. Dans certains cas, une intervention structur�e devra �tre effectu�e et des mesures de contr�le implant�es. L'�tape du contr�le concerne �galement les activit�s de reprise des op�rations.

Un �l�ment implicite mais extr�mement important sous-tend toute la m�thode : la communication de l'information concernant la possibilit� de ne pas terminer les activit�s de conversion et les solutions pour r�soudre les probl�mes. Pour assurer le succ�s du processus visant la continuit� des op�rations, il est essentiel que l'information sur les risques, les plans d'urgence, les plans d'intervention en cas de crise et les plans de reprise des op�rations soit communiqu�e ouvertement et franchement dans les minist�res, ainsi qu'entre ceux-ci, leurs partenaires et le SCT.

1.4 Possibilit�s et obstacles

S'atteler � la t�che, � l'aide de ce guide, sera probablement l'un des plus grands d�fis qu'auront � relever les organisations qui ne connaissent pas de processus pour assurer la continuit� des op�rations. Les minist�res font parfois preuve d'une certaine inertie face aux nouvelles m�thodes. � cela s'ajoutent d'autres obstacles potentiels. Le tableau suivant r�capitule certains de ces obstacles et offre des solutions de haut niveau permettant de les aborder.

Tableau 1 : Obstacles et solutions
Obstacles Solutions
Engagement insuffisant de la part de la haute direction
  • Utiliser l'argument selon lequel le SCT exige que des plans d'urgence soient �labor�s avant le 31 d�cembre 1998.
  • Mettre en relief les responsabilit�s juridiques, morales et op�rationnelles des gestionnaires pour que la continuit� des activit�s du minist�re soit assur�e.
  • Faire valoir le caract�re proactif du processus.
Financement insuffisant
  • Pr�senter le processus comme une d�marche de gestion � m�thodique � qui doit �tre int�gr�e aux activit�s courantes.
  • Mettre en �vidence la nature progressive des besoins en ressources dans le cadre du processus en fonction des renseignements sur le risque et de son �volution, r�duisant ainsi les r�percussions associ�es au financement (les fonds sont r�affect�s des mesures correctives aux mesures d'urgence lorsque des interruptions se produisent ou sont sur le point de se produire) .
Obstacles organisationnels
  • Mettre l'accent aussi bien sur les possibilit�s que sur les risques (p. ex. la capacit� d'int�grer de nouveaux services plus t�t).
  • Augmenter le niveau de communication t�t dans le processus.
  • C�l�brer les r�ussites (p. ex., le fait d'�tre pass� � travers des crises impr�vues, de pr�venir un probl�me avant qu'il se concr�tise).
Manque de connaissances
  • Engager du personnel temporaire et prendre les mesures n�cessaires pour effectuer le transfert de technologie.
  • Prendre des cours de l'Institut de g�nie logiciel (IGL) parrain�s par le SCT.

1.5 Mode d'emploi du guide

Le pr�sent guide est organis� et pr�sent� de fa�on � faciliter le rep�rage des exigences du SCT en mati�re de processus visant la continuit� des op�rations et � optimiser l'efficacit� des personnes qui essaient de satisfaire � ces exigences. Le document, qui met en relief le processus pour la continuit� des op�rations, comporte huit chapitres, soit l'introduction, six chapitres pr�sentant chacune des �tapes et la conclusion. Les proc�dures n�cessaires pour une implantation efficace de ces �l�ments se trouvent dans les annexes qui se trouvent dans une reliure s�par�e.

Des r�f�rences au Continuous Risk Management Guidebook de l'Institut de g�nie logiciel (IGL) pars�ment ce guide, d'une part, parce que le SCT approuve enti�rement la m�thode de Gestion du risque continue de l'Institut et, d'autre part, parce que nous voulions limiter la taille du guide. Les minist�res qui d�sirent un exemplaire du CRM Guidebook de l'IGL sont pri�s de communiquer avec David Holmes, au 957-2530. Le logo illustr� ci-dessous est plac� devant les �l�ments - activit�s ou m�thodes - provenant ou s'inspirant de ce document.

Ce logo est plac� devant les �l�ments - activit�s ou m�thodes - provenant ou s'inspirant de ce document



2.0 �tablir une structure de gouvernance

Les minist�res doivent s'assurer que le processus de continuit� des op�rations soit soutenu par une structure de gouvernance solide qui peut donner des orientations et prendre des d�cisions pour faire suite � des demandes qui �mergent du processus. Non seulement une structure de gouvernance inad�quate fera-t-elle obstacle au succ�s des efforts consacr�s � la continuit� des op�rations, mais elle aura aussi des r�percussions sur leur efficacit�.

2.1 Composition de la structure de gouvernance

La premi�re �tape de l'implantation d'un processus visant la continuit� des op�rations consiste � mettre sur pied la structure de gouvernance appropri�e qui dirigera ce processus, notamment en identifiant et en mobilisant les ressources des minist�res, en obtenant l'engagement des membres de la structure de gouvernance et en les invitant � participer activement au processus. Cette structure ne devrait pas �tre distincte de la structure de gouvernance des projets de l'an 2000 qui existe dans les minist�res, mais plut�t y �tre int�gr�e. N�anmoins, les �l�ments suivants qui caract�risent g�n�ralement une structure de gouvernance solide devraient �tre abord�s � l'�tape de l'�tablissement de cette structure :

  1. En r�gle g�n�rale, la structure de gouvernance devrait amener les organisations fonctionnelles (c�t� op�rations) et les organisations techniques (c�t� conformit�) � converger;
  2. La structure de gouvernance devrait comprendre trois niveaux de gestion :
    • l'autorit� minist�rielle, qui correspond au niveau du sous-ministre adjoint. G�n�ralement, le sous-ministre, qui se situe au point de convergence, est responsable en d�finitive du rendement des deux c�t�s de la gouvernance;
    • l'autorit� directe, qui correspond normalement au niveau du directeur g�n�ral, du directeur et du gestionnaire de projet; et
    • la planification et le contr�le, qui correspondent aux personnes responsables des fonctions de gestion et aux chefs de projet de l'an 2000 en ce qui concerne les activit�s courantes de conversion et de suivi du projet;
  3. � cette structure se greffent les responsabilit�s et les r�les qui devraient �tre clairement d�finis du point de vue de la continuit� des op�rations, notamment la responsabilit� de d�cider des mesures que le minist�re doit prendre par rapport aux risques; et
  4. La responsabilit� de la poursuite des activit�s devrait incomber au personnel charg� de la fonction, alors que celle de la conversion des �l�ments d'actif devrait revenir au personnel technique de l'organisation. Les comit�s ne devraient servir qu'� conseiller et � �tablir, si possible, un consensus.

La figure 3 illustre la structure de gouvernance. Les autres sections pr�sentent des renseignements suppl�mentaires concernant les activit�s � r�aliser pour �tablir une structure de gouvernance.

Figure 3 – Structure de gouvernance pour assurer la continuit� des op�rations

Figure 3 – Structure de gouvernance pour assurer la continuit� des op�rations

2.2 �tablir une structure de gouvernance

Processus

Cette premi�re �tape vise � d�terminer les intervenants majeurs du processus de continuit� des op�rations. Comme dans la structure de gouvernance illustr�e � la figure 3, les minist�res devraient d�signer des repr�sentants cl�s tant du c�t� fonctionnel que du c�t� technique de l'organisation.

R�sultats attendus

Au terme de cette activit�, une structure de gouvernance form�e d'intervenants cl�s identifi�s � tous les �chelons de l'organisation aura �t� cr��e.

2.3 �laborer un plan de continuit� des op�rations

Processus

Cette activit� consiste � fournir des renseignements pr�cis sur l'approche des minist�res concernant l'implantation de ce guide. Elle devrait servir � r�pondre aux questions fondamentales : quoi, o�, quand et comment.

Nota : � ce jour, on a uniquement demand� aux minist�res de mettre au point leurs plans de gestion du risque. Ces plans devront �tre am�lior�s et inclure les �l�ments nouveaux de ce guide.

R�sultats attendus

Ce processus permettra de concevoir un plan de continuit� des op�rations qui comprendra des renseignements pr�cis sur l'approche des minist�res concernant l'implantation de ce guide. Un exemple de table des mati�res est pr�sent� � l'annexe A.

2.4 Obtenir un engagement

Processus

Des probl�mes li�s � la continuit� des op�rations surgiront bien avant l'an 2000 et les membres de la structure de gouvernance devront s'engager � les r�soudre. L'objet de cette activit� consiste � obtenir de ces intervenants qu'ils s'engagent � soutenir le processus d�fini dans le plan et qu'ils s'adaptent aux besoins du minist�re en ce qui regarde la prise rapide de d�cisions, un cadre et des orientations strat�giques ainsi qu'une strat�gie de surveillance.

R�sultats attendus

Cette activit� consiste � produire une nouvelle charte de projet qui identifie clairement les membres de la gouvernance et pr�cise leurs r�les et leurs responsabilit�s concernant le processus de continuit� des op�rations. L'un des points les plus importants de la nouvelle charte r�side dans la responsabilit� du membre de la structure de gouvernance quant aux mesures que prendra son organisation pour faire face � certains risques. Par exemple, la d�cision finale d'�laborer et d'ex�cuter des plans d'urgence devrait revenir aux membres de la structure de gouvernance du c�t� fonctionnel de l'organisation.

La charte devrait englober les grandes lignes du plan de continuit� des op�rations, notamment les engagements en mati�re de ressources (humaines et financi�res) pris � l'�gard du processus. Un exemple de charte de projet est pr�sent� � l'annexe B.

2.5 Impliquer la structure de gouvernance

Processus

L'objet de cette activit� consiste � mettre au point des moyens pour assurer la participation continue des membres de la gouvernance.

R�sultats attendus

Les r�sultats attendus dans le cadre de cette activit� sont les suivants :

  1. des r�unions mensuelles du Comit� directeur;
  2. les proc�s-verbaux de ces r�unions, incluant la liste des personnes pr�sentes;
  3. des listes de risques r�vis�s;
  4. des rapports de situation; et
  5. des plans r�vis�s.

2.6 Techniques et outils

Le tableau 2 r�sume les techniques et les outils employ�s pour cette �tape. On trouvera des pr�cisions � ce sujet dans les annexes ou dans les documents cit�s.

Tableau 2 : Techniques et outils pour �tablir une structure de gouvernance
activit� techniques et outils
�tablir une structure de gouvernance Pas d'outil particulier
�laborer un plan de continuit� des op�rations Exemple de plan de continuit� des op�rations (Annexe A)
Obtenir un engagement Exemple de charte de projet (Annexe B)
Obtenir la participation de la structure de gouvernance
  • R�unions mensuelles du Comit� directeur;
  • Proc�s-verbaux de ces r�unions, incluant la liste des personnes pr�sentes;
  • Listes de risques r�vis�s;
  • Rapports de situation; et
  • Plans r�vis�s.


3.0 Identifier

Pour être en mesure d'entreprendre le processus de continuité des opérations et de le faire progresser en y ajoutant des renseignements essentiels, les ministères doivent identifier les risques qui peuvent avoir une incidence sur la réalisation des objectifs techniques (conformité) et fonctionnels (continuité des opérations). Des risques non clairement identifiés peuvent conduire à la mise en application d'un processus non défini et empêcher les ministères d'intervenir adéquatement en cas de crise.

3.1 Processus

Processus intégré pour assurer la continuité des opérations

Note : L'activité d'identification des risques est inspirée de l'étape « Identifier » de l'IGL [CRM Guidebook, chapitre 4, page 27].

L'objet de l'étape d'identification des risques, en plus de contribuer à assurer la continuité des opérations, consiste à repérer les risques qui peuvent avoir une incidence sur la capacité d'un ministère à convertir ses éléments d'actif vulnérables au problème de l'an 2000, avant qu'ils ne deviennent des problèmes. L'identification des risques est notamment effectuée au moyen d'un questionnaire taxinomique et de l'information détaillée qu'on trouve dans les fiches de renseignements sur le risque. Par la suite, ces renseignements seront intégrés à l'étape de l'analyse du risque au cours de laquelle les propriétés du risque seront déterminées et documentées.

3.2 Circulation des données

Figure 4 – Circulation des données – Étape Identifier

Figure 4 – Circulation des données – Étape Identifier

Les données suivantes sont nécessaires.

Données

Tableau 3 : Entrée de données - étape Identifier
Entrée de données Description
Taxinomie de l'an 2000 La taxinomie de l'an 2000 est l'outil principal d'identification des risques. Elle consiste en une série de questions qui mettent en relief les points importants d'un projet de l'an 2000.
Fonctions en ordre de priorité Une décomposition fonctionnelle est d'abord effectuée pour aider à identifier les risques en permettant aux participants de les associer à des fonctions de gestion (à moins que le risque ne soit de niveau élevé, ayant ainsi une incidence sur tous les aspects du projet). Une liste de fonctions en ordre de priorité aidera à analyser et à coter les risques ou à considérer des activités liées à la continuité des opérations.
Correspondance des actifs La correspondance des actifs consiste essentiellement en une liste d'éléments d'actif (vulnérables ou non) qui soutiennent une fonction de gestion. L'établissement de cette liste contribue à l'identification des risques en permettant aux participants de les associer à des éléments d'actifs précis (à moins que le risque ne soit élevé, ayant ainsi une incidence sur tous les aspects du projet)

Résultats attendus

Les documents produits au terme de cette étape sont les suivants :

  1. Une série de fiches de renseignements sur le risque pouvant être utilisées pour documenter chaque risque;
  2. Un document comprenant une liste de fonctions en ordre de priorité et une table de correspondance des éléments d'actif; et
  3. Des outils existants pour assurer la continuité des opérations, comme des plans d'urgence, des plans d'intervention d'urgence et des plans de reprise des opérations.

3.3 Techniques et outils

Le tableau 4 résume les techniques et outils employés au cours de cette étape. On trouvera des précisions à ce sujet dans les annexes ou dans les documents cités.

Tableau 4 : Techniques et outils pour identifier le risque
Activité Techniques et outils
Mettre les fonctions en ordre de priorité
  • Méthode de décomposition fonctionnelle (Annexe C);
  • Méthode d'établissement des priorités des fonctions de gestion (Annexe D);
  • Table des matières — Document de priorités des fonctions et de correspondances des actifs (Annexe E).
Établir la correspondance des éléments d'actifs
  • Méthode d'établissement de correspondances des éléments d'actif (Annexe F);
  • Table des matières — Document de priorités des fonctions et de correspondances des actifs (Annexe E).
Identifier
  • Procédure détaillée — étape « Identifier » (Annexe G);
  • Taxinomie de l'an 2000 (Annexe H);
  • Fiche de renseignements sur le risque (Annexe I); et
  • Exemple de rapport d'évaluation du risque (Annexe J).
Identifier les outils ou documents existants consacrés à la continuité des opérations
  • Exemple d'outils existants pour la continuité des opérations (Annexe K)

3.4 Lignes directrices et conseils

Voici des lignes directrices et des conseils qui peuvent faciliter la réalisation de cette étape.

  1. Faire participer tous les intervenants à l'étape d'identification des risques;
  2. S'assurer de la participation de la structure de gouvernance tôt dans le processus, car la plupart des organisations n'ont pas encore assimilé les principes d'établissement des priorités des fonctions, et des décisions devront être prises sans tarder;
  3. Énoncer les risques dans des termes neutres, en tenant compte du fait que les risques en question peuvent entraîner des répercussions négatives sur le projet de l'an 2000 et/ou sur les objectifs du ministère pour assurer la continuité des opérations;
  4. Identifier les risques périodiquement, soit à la fin de chaque étape, phase ou activité importante;
  5. Identifier des responsables pour les fonctions et les éléments d'actif. Les responsables de fonctions sont généralement chargés d'assurer la continuité de leurs fonctions respectives. Les responsables d'éléments d'actif sont souvent ceux et celles qui seront chargés de superviser ou d'effectuer la conversion de ces éléments d'actif;
  6. Demander aux responsables des fonctions d'évaluer leurs fonctions respectives au moyen des critères de criticité du SCT et de préparer une première liste. Soumettre les résultats à un groupe ou utiliser une technique d'évaluation par paires pour confirmer l'ordre définitif;
  7. S'assurer que l'énoncé de risque et les renseignements explicatifs sont rédigés de façon claire et objective;
  8. Se servir des modèles de gestion existants du ministère comme point de départ pour créer un modèle de gestion adapté à ce processus;
  9. Se concentrer sur la mission de l'an 2000 : l'important n'est pas d'avoir un modèle de gestion parfait, mais une liste de fonctions de gestion qui peuvent être associées à des éléments d'actif et confiées à un responsable;
  10. Accorder plus d'importance à couvrir toutes les fonctions de gestion plutôt qu'aux détails (profondeur de la décomposition);
  11. Laisser les responsables des fonctions de gestion effectuer une première correspondance des éléments d'actif; utiliser des groupes, notamment du personnel technique, pour faire valider ces correspondances;
  12. Mettre d'abord l'accent sur l'identification du plus grand nombre d'éléments d'actif possible; vous pourrez ensuite vous pencher davantage sur les détails au fur et à mesure que les conversions avancent; et
  13. Demander la participation de personnel du contentieux pour déterminer la responsabilité juridique des ministères.


4.0 Analyser

Afin de prendre des décisions réfléchies concernant les mesures possibles à entreprendre pour assurer la continuité des opérations, le personnel de la structure de gouvernance doit bien comprendre que le ministère est exposé à des risques et à l'interruption de ses opérations. Des propriétés du risque bien définies permettent de mieux saisir cet aspect de la situation. Elles peuvent être obtenues en analysant les risques identifiés à l'étape précédente. Le fait de ne pas comprendre les conséquences négatives des risques engendrés par le problème de l'an 2000 peut empêcher les ministères de faire face aux crises possibles de façon proactive et de réduire l'incidence de ces crises sur leurs programmes et leurs services.

4.1 Processus

Processus intégré pour assurer la continuité des opérations

Note : L'activité d'analyse des risques est inspirée de l'étape « Analyser » de l'IGL [CRM Guidebook, chapitre 5, page 37].

Les ministères doivent convertir les renseignements sur le risque, recueillis au cours de l'étape « Identifier », en des données favorisant la prise de décisions. En plus de déterminer les propriétés du risque, tels que la probabilité, les répercussions, le délai, la source, l'intervention et le degré de priorité, les ministères doivent associer ces données aux éléments d'actifs et aux fonctions.

  • Répercussions : Les répercussions sur les activités du projet de l'an 2000 et la continuité des opérations dans l'éventualité où le risque se concrétise;
  • Délai : La période au cours de laquelle le risque pourrait se concrétiser;
  • Source : La source du risque;
  • Intervention : L'intervention du ministère à l'égard du risque;
  • Priorité : L'ordre de priorité accordé au risque au sein du ministère

Cette analyse permettra aux ministères de comprendre clairement les répercussions possibles du risque sur la continuité des opérations et de prendre les mesures appropriées pour faire face au risque.

Ces données peuvent être recueillies au moyen d'atelier réunissant des membres du personnel fonctionnel et technique ou d'autres moyens décrits dans le présent document. L'étape de l'analyse du risque sera renforcée par la définition des besoins en matière de continuité des opérations et l'évaluation de la capacité des ministères dans ce domaine.

4.2 Circulation des données

Figure 5 – Circulation des données – Étape « Analyser »

Figure 5 – Circulation des données – Étape « Analyser »

Les données suivantes sont nécessaires :

Données

Tableau 5 : Entrée de données - étape « Analyser »
Entrée de données Description
Fiche(s) de renseignements sur le risque Fiches de renseignements sur le risque comme à l'étape « Identifier », incluant les énoncés du risque et le contexte.
Document de priorités des fonctions et de correspondances des éléments d'actif Comprend une liste de fonctions de gestion en ordre de priorité, établie en fonction de critères de criticité, et une correspondance entre les fonctions essentielles et les éléments d'actif.
Outils existants pour la continuité des opérations Liste d'outils et de documents créés dans le passé pour assurer la continuité des opérations. Par exemple, des plans de reprise des activités et des plans antisinistres qui devraient être utilisés dans le cadre de l'étape d'analyse.

Résultats attendus

Les documents produits au terme de cette étape sont les suivants :

  1. Fiches de renseignements sur le risque, incluant les propriétés du risque (probabilité, répercussions, délai, source, intervention, degré de priorité et stratégie de gestion du risque);
  2. Rapport d'évaluation du risque; et
  3. Énoncé des besoins pour la continuité des opérations et évaluation de la capacité d'application. Cette évaluation devrait être un énoncé écrit des besoins pour conduire les activités menant à la continuité des opérations déterminés en fonction des résultats de l'analyse du risque. Il devrait également comprendre une évaluation de la capacité des ministères à réagir aux interruptions d'activités.

4.3 Techniques et outils

Le tableau 6 résume les techniques et les outils employés pour cette étape. On trouvera des précisions à ce sujet dans les annexes ou dans les documents cités.

Tableau 6 : Techniques et outils pour analyser le risque
Activité Techniques et outils
Analyser
  • Procédure détaillée — étape « Analyser » (Annexe L);
  • Fiche de renseignements sur le risque (Annexe I);
  • Entrevues à l'aide du questionnaire s'inspirant de la taxinomie de la gestion du risque continue élaboré par l'IGL [CRM Guidebook, chapitre A-33, page 495];
  • Évaluation des propriétés du risque en trois volets [CRM Guidebook, chapitre A-38, page 521];
Évaluation du risque
  • Table des matières — Exemple de rapport d'évaluation du risque (Annexe M).
Énoncé des besoins en matière de continuité des opérations et évaluation de la capacité d'application
  • Procédure détaillée — Définition des besoins en matière de continuité des opérations (Annexe N).

4.4 Lignes directrices et conseils

Voici des lignes directrices et des conseils qui peuvent faciliter la réalisation de cette étape.

  1. Combiner les étapes d'identification et d'analyse des risques pour optimiser le temps des participants aux activités;
  2. Faire une analyse quanitative d'abord et supporter les gros éléments de risque avec des analyses plus quantitatives;
  3. Se concentrer sur les risques majeurs;
  4. Exécuter l'analyse du risque par la tenue d'un atelier réunissant les participants clés du projet de l'an 2000 afin de communiquer une vision à l'échelle du ministère, particulièrement en ce qui concerne l'aspect « Intervention »;
  5. Reconnaître les risques qui se sont matérialisés et qui sont maintenant devenus des problèmes. Ceci entraînera suffisamment de visibilité pour faire en sorte que ces problèmes soient abordés; et
  6. Rassembler tout document pouvant contenir des mesures visant la reprise des opérations, comme des procédures normalisées, des manuels d'exploitation, des consignes d'entretien, etc.;


5.0 Planifier

Afin d'établir une norme à laquelle peuvent être mesurés les progrès réalisés par les ministères en matière de continuité des opérations, des plans doivent être développés et mis en œuvre. Omettre d'élaborer ces plans peut avoir des répercussions importantes sur le degré de préparation des ministères pour affronter des situations d'urgence.

5.1 Processus

Processus intégré pour assurer la continuité des opérations

Note : L'activité de planification est inspirée de l'étape « Planifier » de l'IGL [CRM Guidebook, chapitre 6, page 53].

Les trois premières étapes terminées, les ministères peuvent ensuite élaborer des plans pour s'attaquer aux risques et assurer le maintien des opérations. Deux plans doivent être élaborés :

  2. Plan d'action contre le risque. Ce plan portera sur les risques connus et contiendra des stratégies précises pour aborder les risques; et
  4. Plan de préparation pour la continuité des opérations. Ce plan couvre tous les éléments nécessaires pour intervenir et se remettre en cas de crise. Il comporte des plans de conformité et de mesures d'urgence, lesquels ont été conçus pour s'attaquer à des situations ou à des risques particuliers; des scénarios d'urgence pour faire des liens entre les situations de risque possibles; des plans d'intervention d'urgence et des plans de reprise des activités.

Ces plans devraient être développés par les membres de la structure de gouvernance affectés aux diverses parties du processus de continuité des opérations (c'est-à-dire le plan d'action, la planification de mesures d'urgence, la gestion de crises et la reprise des activités).

Le processus à adopter consiste à fournir les renseignements identifiés dans le gabarit correspondant, et plus particulièrement à mobiliser les ressources pour mettre ces plans en application.

L'objet de cette démarche est de déterminer quelles mesures devraient être prises, le cas échéant, pour atténuer le risque identifié. La planification de mesures de réduction du risque répond aux questions suivantes :

Tableau 7 : Questions visant à élaborer un plan d'action
Question Explication
  • À qui appartient le risque ?
 La responsabilité doit être déterminée pour chaque élément de risque.
  • Comment pouvons-nous l'aborder?
 Une approche ou une stratégie doivent être élaborées pour s'attaquer à l'élément de risque identifié.
  • Quelles mesures doivent être prises et quelle sera leur étendue?
 Il faut décider des mesures à prendre et prévoir leur portée.

Les plans d'action qui résultent de cette démarche devront ensuite être mis en œuvre en fonction des responsabilités attribuées.

L'objet du plan de préparation pour la continuité des opérations est d'aborder tous les éléments nécessaires pour intervenir et rétablir les opérations quand survient une crise. Essentiellement, ce plan répond également à des questions fondamentales comme celles énoncées dans le tableau suivant :

Tableau 8 : Questions visant à élaborer un plan pour la continuité des opérations
Question Explication
  • Où sont les risques? Où devrions-nous développer des mesures d'urgence? Quelles seront ces mesures?
 Les ministères doivent concevoir des plans de conformité de même que des plans d'intervention d'urgence dans tous les secteurs qui sont vulnérables.
  • Quels sont les scénarios vraisemblables en cas de crise?
 Les ministères doivent tenter de prévoir des scénarios de crise possibles afin de mettre au point des mesures d'intervention efficaces pour y faire face.
  • Que faut-il faire pour se remettre de ces crises?
 Les ministères doivent déterminer ce qui doit être fait pour reprendre le cours normal des opérations après avoir affronté une situation de crise ou appliqué un plan d'urgence.

Ces deux plans font l'objet d'exemples.

5.2 Circulation des données

Figure 6 – Circulation des données – étape « Planifier »

Figure 6 – Circulation des données – étape « Planifier »

Les données suivantes sont nécessaires :

Données

Tableau 9 : Entrée de données – étape « Planifier »
Entrée de données Description
Fiche(s) de renseignements sur le risque Renseignements sur le risque obtenus au cours de l'étape « Analyser ».
Rapport d'évaluation du risque Contient des renseignements sur le risque ainsi que d'autres données comme les observations et les problèmes.
Énoncé des besoins pour la continuité des opérations et évaluation de la capacité d'application Renseignements obtenus au cours de l'étape « Analyser » qui fait état des besoins en matière de planification des mesures d'urgence.

Résultats attendus

Les documents produits au terme de cette étape sont les suivants :

  1. Fiches de renseignements sur le risque à jour, incluant des données relatives au plan d'action pour réduire le risque; et
  2. Plan de préparation pour la continuité des opérations, contenant des scénarios en cas de crise, des plans d'urgence, un plan d'intervention et un plan de reprise des opérations.

5.3 Techniques et outils

Le tableau 10 résume les techniques et outils employés pour cette étape. On trouvera des précisions à ce sujet dans les annexes ou dans les documents cités.

Tableau 10 : Techniques et outils pour planifier
Activité Techniques et outils
Planifier
  • Procédure détaillée — étape « Planifier » (Annexe O);
  • Fiche de renseignements sur le risque (Annexe I);
  • Diagramme décisionnel [CRM Guidebook, chapitre A-21, page 411);
  • Remue-méninges [CRM Guidebook, chapitre A-7, page 295].
Élaborer un plan de préparation pour la continuité des opérations
  • Table des matières — Exemple de planification de mesures d'urgence (Annexe P).
  • Procédure détaillée — Définition de scénarios en cas de crise (Annexe Q).
  • Table des matières — Exemple de plan d'intervention en cas de crise (Annexe R).
  • Table des matières — Exemple de plan de reprise des opérations (Annexe S).

5.4 Lignes directrices et conseils

Voici des lignes directrices et des conseils qui peuvent faciliter la réalisation de cette étape.

  1. Planifier en fonction des risques importants d'abord (ceux qui sont susceptibles de se produire dans un avenir rapproché et d'entraîner des répercussions importantes);
  2. Planifier efficacement (garder en tête la rentabilité des plans proposés);
  3. Faire en sorte que les plans d'action s'attaquent à la source du risque;
  4. Veiller à ce que les intervenants majeurs soient présents et participent à la démarche de planification;
  5. Appliquer les plans d'action en temps opportun pour contrôler les risques de manière efficace;
  6. Informer les membres de la structure de gouvernance de la stratégie de réduction du risque et des plans d'action (conformément aux fiches actualisées de renseignements sur le risque); et

S'assurer que les efforts consacrés à l'élaboration de plans d'urgence soient proportionnels au degré d'exposition de chacune des fonctions (c.-à-d. plus le degré d'exposition est élevé, plus l'effort consacré à la planification d'urgence sera important).



6.0 Suivre

Les ministères doivent accroître leur capacité d'évaluer le risque de façon continue et rédiger des rapports sur les progrès des plans de continuité des opérations et des activités de conversion. Des rapports de situation produits dans le cadre de cette étape, feront avancer le processus pour la continuité des opérations et contribueront à déclencher les mesures de gestion appropriées, comme l'application de plans d'urgence, la déclaration d'une situation de crise ou la reprise d'une fonction de gestion. Un suivi inadéquat peut mener à des mesures dépourvues d'efficacité ou à une grande confusion, causant éventuellement des interruptions dans les opérations.

6.1 Processus

Processus intégré pour assurer la continuité des opérations

Note : L'activité de suivi est inspirée de l'étape « Suivre » de l'IGL [CRM Guidebook, chapitre 7,
page 73].

L'étape du suivi consiste à rassembler des renseignements sur les progrès des activités de conversion et des plans d'action et à intégrer les problèmes et les risques détectés au processus pour la continuité des opérations. D'autres indicateurs qui pourraient mener à l'application d'interventions d'urgence devraient aussi faire l'objet d'un suivi. Cette activité offre aux ministères un contexte organisé leur permettant :

  1. d'évaluer de façon continue les aspects qui pourraient mal tourner;
  2. de déterminer à quels risques il est important de s'attaquer, et quels risques pourraient avoir des conséquences négatives sur la continuité de leurs opérations; et
  3. de mettre en œuvre des stratégies visant à atténuer ces risques.

Cette étape est généralement fondée sur des mécanismes de communication existants tels que des rapports d'avancement de projets, de gestion du risque continue, de vérification et de validation et d'assurance de la qualité. L'objectif de l'étape du suivi comporte deux volets :

  1. Premièrement, les ministères doivent s'assurer que les plans élaborés à l'étape précédente sont mis en œuvre conformément aux objectifs définis; et
  2. Deuxièmement, les ministères doivent suivre de près les problèmes et les risques pour déclencher les plans d'action de la gestion, ainsi que tout autre indicateur pouvant mener à l'application d'interventions d'urgence.

  6.2 Circulation des données

Figure 7 – Circulation de données – Étape « Suivre »

Figure 7 – Circulation de données – Étape « Suivre »

Les données suivantes sont nécessaires.

Données

Tableau 11 : Entrée de données – étape « Suivre »
Entrée de données Description
Fiche(s) de renseignements sur le risque Renseignements obtenus au cours de l'étape « Planifier », incluant les plans d'action.
Plan de préparation pour la continuité des opérations Renseignements obtenus au cours de l'étape « Planifier », incluant les procédés à mettre en œuvre.

Résultats attendus

Les documents produits au terme de cette étape sont les suivants :

  1. Fiche(s) de renseignements sur le risque révisée, incluant l'état du risque;
  2. Rapports de situation (verbaux et/ou écrits); et
  3. Plans actualisés.

6.3 Techniques et outils

Le tableau 12 résume les techniques et outils employés pour cette activité. On trouvera des précisions à ce sujet dans les annexes ou dans les documents cités.

Tableau 12 : Techniques et outils pour suivre les risques
Activité Techniques et outils
Suivre
  • Procédures détaillées — étape « Suivre » (Annexe T);
  • Fiches de renseignements sur le risque (Annexe I);
  • Tableau de suivi de la mise en œuvre des plans d'action [CRM Guidebook, chapitre A-30, page 461]; et
  • Rapport de situation du risque – dont la structure peut être similaire au tableau de suivi des risques (concept semblable au tableau de suivi de la mise en œuvre des plans d'action) [CRM Guidebook, chapitre A-30, page 461].

6.4 Lignes directrices et conseils

Voici des lignes directrices et des conseils qui peuvent faciliter la réalisation de cette étape.

  1. Établir une méthode efficace de collecte de données en utilisant comme tremplin les activités courantes de collecte de données dans les divers projets de l'an 2000;
  2. S'assurer que la mise en œuvre des plans d'action et la fermeture des risques sont identifiés et documentés adéquatement;
  3. S'assurer que des rapports de situation sont produits dans les délais et fournir des renseignements sur les risques;
  4. Utiliser des outils automatisés pour trouver des documents existants (plans, rapports de situation, FRR, etc.) et des jalons clés.


7.0 Contrôler

En réponse aux écarts qui peuvent survenir par rapport aux plans ou aux situations de risque, les ministères doivent entreprendre des mesures qui redresseront la situation en bout de ligne et permettront la reprise normale des opérations. L'étape du contrôle comporte tous les aspects du processus nécessaires pour atteindre cet objectif, notamment : des plans d'urgence, d'intervention en situation de crise et de reprise des opérations. L'étape du contrôle prévoit une méthode ordonnée et structurée pour rétablir la situation après une crise. Les ministères non préparés sont susceptibles de voir une situation de crise se prolonger et d'être confrontés à l'interruption complète de certaines fonctions.

7.1 Processus

Processus intégré pour assurer la continuité des opérations

Note : L'activité de contrôle est inspirée de l'étape « Contrôle » de l'IGL [CRM Guidebook, chapitre 8, page 91].

L'étape du contrôle est liée de près au processus de prise de décision de la structure de gouvernance et consiste principalement à amorcer des plans d'intervention préparés au préalable, à des situations prévisibles, ainsi qu'à appliquer un cadre décisionnel organisé à des événements imprévus. L'objectif visé par l'étape du contrôle du risque est de prendre des décisions éclairées, rapides et efficaces concernant les crises, les pannes et les risques relatifs au problème de l'an 2000.

7.2 Circulation de données

Figure 8 – Circulation de données – Étape « Contrôler »

Figure 8 – Circulation de données – Étape « Contrôler »

Les données suivantes sont nécessaires :

Données

Tableau 13 : Entrée de données - « Contrôler »
Entrée de données Description
Rapports de situation Comprend l'état d'avancement de la mise en œuvre des plans pour la continuité des opérations ainsi que l'état du risque.
Fiche(s) de renseignements sur le risque Renseignements obtenus au cours des étapes précédentes; les fiches comprennent l'état du risque.
Plans actualisés Version actualisée des plans définis à l'étape « Planifier ».

Résultats attendus

Les documents produits au terme de cette étape sont les suivants :

  1. Comptes rendus de décisions comme les suivantes : nouvelle planification, fermeture, recours aux mesures d'urgences ou poursuite du suivi;
  2. Leçons apprises; et
  3. Fiche(s) de renseignements sur le risque, incluant des décisions prises à l'égard du risque.

7.3 Techniques et outils

Le tableau 14 résume les techniques et outils employés pour cette étape. On trouvera des précisions à ce sujet dans les annexes ou dans les documents cités.

Tableau 14 : Techniques et outils pour contrôler le risque
Activité Techniques et outils
Contrôler
  • Procédure détaillée — étape « Contrôler » (Annexe U);
  • Fiches de renseignements sur le risque (Annexe I)
  • Rapport de situation sur le risque – dont la structure peut ressembler au tableau de suivi des risques (concept semblable au tableau de suivi de la mise en œuvre des plans d'action) [CRM Guidebook – chapitre A-30, page 461];
  • Analyse des causes et des effets [CRM Guidebook - chapitre A-8, page 301].

7.4 Lignes directrices et conseils

Voici des lignes directrices et des conseils qui peuvent faciliter la réalisation de cette étape.

  1. Prendre des décisions éclairées en fonction des mesures et des indicateurs répertoriés dans les fiches de renseignements sur le risque;
  2. Documenter toutes les leçons apprises; et
  3. Documenter les raisons qui ont conduit à fermer un risque.


8.0 Conclusion

8.1 Prochaines étapes

Ce guide représente seulement une des méthodes utilisées pour accroître la capacité du gouvernement à faire face au défi de l'an 2000 et à assurer le fonctionnement continu de ses fonctions essentielles de gestion. L'objet de ce guide consiste à encourager les ministères à mettre en œuvre un processus de continuité des opérations au sein de leur organisation. Ce guide contient une structure mettant en relief les principales activités qui devraient être réalisées.

Tous les ministères devraient maintenant adapter à leurs besoins spécifiques les étapes décrites dans le présent guide et mettre en oeuvre un processus de continuité des opérations s'appliquant à leurs projets de l'an 2000.

Au niveau de l'administration fédérale, le SCT sera à même de confirmer que le gouvernement est prêt à affronter les situations de crise relatives au problème de l'an 2000. Il pourra aussi aider les ministères lorsqu'ils seront confrontés à des problèmes et à des risques touchant l'ensemble du gouvernement.

8.2 Conclusion

La mise en oeuvre de méthodes reconnues par l'industrie comme celles présentées dans ce guide offre la possibilité aux ministères d'adopter des solutions éprouvées qui augmenteront leur capacité à gérer leurs projets de l'an 2000 tout en contribuant à la résolution du problème de l'an 2000.

Notes au bas de la page :

(1) Ce problème est accentué par le fait que l'an 2000 est une année bissextile « supplémentaire », car elle comporte un 29 février. [Retour]

(2) Rapport Braiter/Westcott sur l'État de préparation pour l'an 2000, février 1998. [Retour]



Annexe A  -  Table des matières Exemple de plan de continuité des opérations

Le plan de continuité des opérations devrait comprendre au minimum les éléments suivants, sans en exclure d'autres :

RÉSUMÉ

1. INTRODUCTION
Détermine où se situe le guide pour la continuité des opérations dans le projet de l'an 2000 du ministère.

1.1 Contexte
1.2 Objet
1.3 Portée
1.4 Aperçu du processus de continuité des opérations (résumé de ce guide)
1.5 Références

2. VOLETS DU PROCESSUS DE CONTINUITÉ DES OPÉRATIONS
Résume l'approche du ministère pour implanter les divers volets du processus décrit dans le guide.

2.1 Gestion du risque continue
2.2 Planification de mesures d'urgence
2.3 Intervention en cas de crise
2.4 Reprise des opérations

3. ORGANISATION ET RESPONSABILITÉS
Détermine les intervenants clés qui participeront à l'implantation du Guide ainsi que leurs rôles et leurs responsabilités ( Grille d'attribution des responsabilités).

3.1 Structure de gouvernance
3.2 Responsabilités des intervenants clés dans le cadre de la continuité des opérations en regard du projet de l'an 2000.
3.3 Structure de gouvernance du processus de continuité des opérations

3.3.1 Réunions
3.3.2 Communications

4. MÉTHODES, TECHNIQUES ET OUTILS
Désigne les méthodes, techniques et outils choisis par le ministère pour appliquer le processus.

4.1 Grille d'adaptation du processus de continuité des opérations du SCT
4.2 Mise à jour du plan



Annexe B  -  Table des matières Exemple de charte de projet

La charte de projet devrait comprendre au minimum les éléments suivants, sans en exclure d'autres :

RÉSUMÉ

1. INTRODUCTION

1.1 Contexte
1.2 Objet
1.3 Portée
1.4 Références

2. APERÇU DE L'APPROCHE

2.1 Activités consacrées à assurer la continuité des opérations
2.2 Aperçu de la mise en oeuvre
2.3 Principaux points de repère

3. ORGANISATION ET RESPONSABILITÉS

3.1 Structure de gouvernance
3.2 Responsabilités des intervenants clés dans le cadre de la continuité des opérations en regard du projet de l'an 2000.
3.3 Structure de gouvernance du processus de continuité des opérations

3.3.1 Réunions
3.3.2 Communications

4. BESOINS EN RESSOURCES

4.1 Besoins en ressources humaines
4.2 Besoins en ressources financières
4.3 Autres besoins

5. APPROBATION



Annexe C  -  Méthode de décomposition fonctionnelle

1. Comment décomposer une fonction principale en modèle de gestion

Afin de contribuer au processus de continuité des opérations, les ministères doivent d'abord élaborer un modèle de gestion, qui précise avec exactitude toutes les fonctions réalisées par l'organisation en les présentant dans une structure arborescente (schéma en arbre) qui fait ressortir les relations hiérarchiques entre les fonctions (on peut aussi utiliser des modèles présentés par alinéas).

2. Élaborer un modèle de gestion

2.1 Méthode

L'objet de cette méthode est de décomposer la fonction principale du ministère en sous-fonctions jusqu'au point où on peut attribuer chacune des sous-fonctions à un unique responsable (se référer aux lignes directrices et conseils additionnels pour plus de renseignements).

2.2 Résultats attendus

Au terme de cette activité, on obtiendra un modèle de gestion ou une décomposition fonctionnelle, qui précisera avec exactitude toutes les fonctions réalisées par l'organisation, lesquelles seront présentées dans une structure arborescente faisant ressortir les relations hiérarchiques entre les fonctions. En voici un exemple :

Figure C-1 – Exemple de décomposition fonctionnelle

Figure C-1 – Exemple de décomposition fonctionnelle

3. Techniques et outils

Le tableau ci-dessous résume les techniques et les outils employés pour cette activité. On trouvera des précisions à ce sujet dans les documents de référence.

Tableau C-1 : Techniques et outils de décomposition fonctionnelle
Activité Techniques et outils
Effectuer la décomposition des fonctions

Pas d'outil particulier.

Cette technique est expliquée dans bon nombre de méthodes de développement de systèmes et d'établissement de modèles.

4. Lignes directrices et conseils

Voici des lignes directrices et des conseils qui peuvent faciliter la réalisation de cette activité.

  1. Les fonctions sont des « actions » ou des « activités » qui sont effectuées en vue de fournir un service ou un produit (p. ex., collecte de données, analyse de données et production de rapports);
  2. Les fonctions sont généralement décrites au moyen d'un verbe et d'un complément ou d'un nom suivi d'un complément de nom (p. ex., payer les employés, versement de prestations, etc.);
  3. La méthode de décomposition fonctionnelle permettra de subdiviser les fonctions principales en sous-fonctions jusqu'au niveau le plus bas. À cette fin, on a souvent recours à la structure organisationnelle (utilisez votre organigramme pour vous aider à effectuer la décomposition de vos fonctions);
  4. Pour bien des ministères, le niveau de décomposition pratique le plus bas sera celui dont une seule personne pourra être responsable et dont toutes les sous-fonctions déterminées à partir d'une fonction principale utilisent les mêmes éléments d'actif (c'est-à-dire que lorsque vous aurez déterminé que le prochain niveau de décomposition désigne des fonctions qui utilisent le même élément d'actif, cessez la décomposition). Une autre façon de savoir si vous avez atteint le niveau de décomposition pratique le plus bas est de vérifier si la criticité (incidence d'une fonction donnée sur les opérations du gouvernement ou du ministère) de toutes les sous-fonctions est égale à celle de la fonction principale;
  5. Servez-vous des modèles de gestion actuels du ministère;
  6. Concentrez-vous sur la mission de l'an 2000 : l'important n'est pas d'avoir un modèle de gestion parfait, mais une liste de fonctions qui peuvent être associées à des éléments d'actif et confiées à une personne ou à une organisation responsable;
  7. Accordez plus d'importance à la couverture de toutes les fonctions plutôt qu'aux détails (profondeur de la décomposition); et
  8. Impliquez la structure de gouvernance rapidement pour obtenir l'approbation de la décomposition fonctionnelle.


Annexe D  -  Méthode d'établissement de priorité des fonctions de gestion

1. Comment établir l'ordre de priorité des fonctions de gestion

Pour être en mesure d'établir les priorités, les ministères doivent d'abord élaborer un modèle de gestion, qui précise toutes les fonctions exécutées par l'organisation (Annexe C – Méthode de décomposition fonctionnelle). Après avoir attribué un identificateur à chacune des fonctions, on peut procéder à l'établissement des priorités selon des critères déterminés à l'avance. Dans le cadre du projet de l'an 2000, les ministères devraient employer les critères du SCT, lesquels permettent de classer les fonctions particulières au gouvernement selon qu'elles sont plus ou moins essentielles à la mission de l'organisation (conformément aux critères du SCT, plus la cote de priorité est élevée, plus la fonction est essentielle à la mission).

2. Coter les fonctions

2.1 Objet

L'objet de cette activité consiste à attribuer une cote à chacune des fonctions qui se situent au niveau le plus bas du modèle de gestion selon les critères de criticité du SCT afin d'établir un ordre de priorité. On dresse ensuite une liste de ces fonctions, laquelle servira de cadre de référence pour mener les activités consacrées à assurer la continuité des opérations.

La cote finale d'une fonction donnée est obtenue en procédant de la façon suivante :

  1. À l'aide des critères énumérés dans la section D-1, les fonctions doivent être cotées selon la probabilité qu'elles ont d'entraîner les répercussions identifiées. Par exemple, la fonction « Payer les employés » peut obtenir une cote faible selon les critères relatifs à la sécurité et à l'environnement. Par contre, elle pourrait se voir attribuer la cote élevée si l'on considère son incidence sur le bien-être économique des Canadiens et le moral des employés;
  2. L'échelle suivante est proposée pour attribuer une cote à chaque fonction selon les critères déterminés : Faible = 1 Moyenne = 3 Élevée = 5
    Les cotes 2 et 4 sont des valeurs intermédiaires. La cote 0 est employée lorsque la fonction n'a aucune incidence sur un secteur donné (sécurité, environnement, etc.) Guide pour la continuité des opérations en regard du problème de l'an 2000
  3. Pour coter une fonction, les participants devraient se demander : « Est-ce que la probabilité des répercussions pour une fonction donnée est faible, moyenne ou élevée? » Ils doivent ensuite attribuer une cote entre 1 et 5 selon leur jugement personnel (ce procédé tient compte des notions de risque car le facteur de pondération représente l'incidence alors que la cote indique la probabilité); et
  4. On applique le facteur de pondération à la cote finale attribuée à une fonction dans une catégorie donnée. Par exemple, si la cote finale de la catégorie « Incidence sur les Canadiens » s'élève à 25, cette cote sera multipliée par 5 pour inclure le facteur de pondération attribué à cette catégorie. Les cotes de chaque catégorie associée à un critère sont alors additionnées pour obtenir la cote globale d'une fonction donnée.

2.2 Résultats attendus

Au terme de cette activité, une liste de fonctions de gestion classées en ordre de priorité sera produite.

3. Techniques et outils

Le tableau ci-dessous résume les techniques et les outils employés pour cette activité. On trouvera des précisions à ce sujet dans les sections qui en traitent.

Tableau D-1 : Techniques et outils pour classer les fonctions de gestion

Activité

Techniques et outils
Coter les fonctions de gestion
  • Critères du SCT - Voir la section D-1 de cette annexe.
  • Exemple de liste de fonctions – Voir la section D-2 de cette annexe.

4. Lignes directrices et conseils

Voici des lignes directrices et des conseils qui peuvent faciliter la réalisation de cette activité.

  1. Demander aux responsables de coter leurs fonctions respectives selon les critères déterminés et faire appel à des groupes pour confirmer l'ordre définitif;
  2. Organiser des sous-groupes de travail pour tous les secteurs fonctionnels afin de dresser la liste finale; et
  3. S'assurer de la participation de la structure de gouvernance tôt dans le processus pour prendre des décisions sans tarder, car la plupart des organisations ne sont pas suffisamment familiarisées avec les principes d'établissement de priorités des fonctions.

Section D-1 : Critères du SCT

Le tableau ci-dessous présente les critères recommandés par le Secrétariat du Conseil du Trésor pour évaluer les fonctions de gestion. Les facteurs de pondération vont de 5 (élevé) à 1 (bas).

Tableau D-2 – Critères d'évaluation des fonctions essentielles à la mission

Critère

Poids

Définition
Incidence sur les Canadiens

5

 Une fonction essentielle à la mission de l'administration fédérale (EMAF) a été définie comme : un service offert ou une fonction accomplie par un ministère ou un autre organisme du gouvernement fédéral :
  1. qui a une incidence directe sur la santé, la sécurité et le bien-être économique des Canadiens ou sur leur environnement; et
  2. dont la perte ou l'interruption, même pendant un court laps de temps, est considérée comme un risque inacceptable (en tenant pour acquis que corriger une défaillance due au problème de l'an 2000 peut prendre des semaines ou des mois). Nota : Ces critères devraient s'appliquer aux fonctions de gestion. Cependant, il a été jugé que les systèmes financiers sont essentiels à la mission à l'échelle de l'administration fédérale.
  • Santé
   Incidence sur la santé des Canadiens ou sur leur environnement. Exemples de fonctions : inspection des aliments, gestion et essais de médicaments, et autres fonctions reliées au portefeuille de « Santé Canada ».
  • Sécurité
   Incidence sur la sécurité des Canadiens. Exemples de fonctions : recherche et sauvetage, application de la loi, services correctionnels et autres fonctions reliées au portefeuille du Solliciteur général du Canada. Les fonctions relatives à la défense sont également prises en compte dans ce critère.
  • Bien-être économique
   Incidence sur la situation économique des Canadiens. Exemples de fonctions : celles reliées au receveur général, aux pensions, à l'aide sociale, et autres fonctions qui procurent des avantages économiques aux Canadiens.
  • Environnement
   Incidence sur l'environnement au Canada. Exemples de fonctions : celles reliées à Environnement Canada et aux groupes d'intervention environnementale de Pêches et Océans.
Incidence sur les obligations

3

 Dans le présent guide, une fonction essentielle à la mission de l'administration fédérale (EMAF) a été définie comme : un service offert ou une fonction accomplie par un ministère ou un autre organisme du gouvernement fédéral :
  1. qui a une incidence, à l'échelle du ministère, sur les niveaux de service, les obligations contractuelles envers des tiers, les obligations légales et réglementaires, ainsi que sur les obligations envers d'autres ministères, d'autres paliers de gouvernement et les gouvernements étrangers; et
  2. dont la perte ou l'interruption, même pendant un court laps de temps, est considérée comme un risque inacceptable.
  • Niveaux de service
   Explicite
  • Contrats
   Explicite
  • Lois et règlements
   Explicite
  • Envers d'autres ministères
   Au sein du gouvernement fédéral
  • Envers d'autres paliers de gouvernement
   Provincial, régional, et municipal
  • Envers des gouvernements étrangers
   Explicite
Incidence sur les employés

1

  
  • Charge de travail et capacité de s'en acquitter
   Explicite
  • Moral et stress
   Explicite
  • Syndicat
   Explicite
Incidence financière

1

  
  • Sur le gouvernement
   Impact sur le gouvernement fédéral dans les secteurs où les revenus et dépenses d'exploitation seront touchés ou les coûts augmentés
  • Sur les autres
   Explicite

Section D-2 : Exemple de liste de fonctions en ordre de priorité

NI* Code Fonction Cote relative Cote brute Cat�gorie
5.1.2 SAR D�tection des appels de d�tresse 1 169 BMAF
5.1.5 SAR Coordination de la recherche et du sauvetage 0,99 168 BMAF
5.1.4 SAR Planification de la recherche et du sauvetage 0,98 166 BMAF
3.1.1 SCTM D�tection des appels de d�tresse de s�curit� et intervention 0,94 159 BMAF
3.1.2 SCTM Intervention suite aux appels 0,94 159 BMAF
3.1.3 SCTM Analyse de la situation 0,94 159 BMAF
3.1.4 SCTM Signalement aux autorit�s comp�tentes 0,94 159 BMAF
3.1.5 SCTM Coordination du processus d'information 0,94 159 BMAF
3.1.8 SCTM R�ception des renseignements sur la s�curit� provenant de l'ext�rieur 0,94 159 BMAF
3.1.9 SCTM Diffusion des renseignements sur la s�curit� 0,94 159 BMAF
5.1.1 SAR Prises de mesures pour que les ressources assistent les SAR 0,82 139 BMAF
2.2.2 SNM Fourniture d'aides �lectroniques � la navigation 0,80 135 BMAF
5.2.2 SAR Conduite d'op�rations d'intervention environnementale 0,79 133 BMAF
5.3.2 IE Pratique des plans d'urgence d'intervention environnementale 0,79 133 BMAF
2.1.3 SNM Pr�vision et contr�le des d�bordements 0,77 130 BMAF
2.1.4 SNM Pr�vision des niveaux d'eaux 0,77 130 BMAF
4.2.2 DEG Renseignements sur la navigation dans les glaces (cartes) 0,77 130 BMAF
4.4.1 DEG Suivi de l'�tat des glaces 0,77 130 BMAF
4.4.2 DEG D�gla�age pour lutter contre les inondations 0,77 130 BMAF

*NI : numéro d'identification



Annexe E - Exemple de document de priorit� des fonctions et de correspondance des actifs

Table des mati�res

Le document de priorit� des fonctions et de correspondance des actifs devrait comprendre au minimum les �l�ments suivants, sans en exclure d'autres :

R�SUM�

1. INTRODUCTION

1.1 Contexte
1.2 Objet
1.3 Port�e
1.4 D�finitions
1.5 R�f�rences

2. M�THODE

3. R�SULTATS DE L'�TABLISSEMENT DE PRIORIT� DES FONCTIONS DE GESTION

3.1 Observations
3.2 R�sultats d'ensemble

4. R�SULTATS DE L'�TABLISSEMENT DE CORRESPONDANCE DES ACTIFS

4.1 Observations
4.2 R�sultats d'ensemble

ANNEXES :

Annexe 1 - Crit�res de criticit�
Annexe 2 - R�sultats de la d�composition fonctionnelle
Annexe 3 - Liste des fonctions de gestion en ordre de priorit�
Annexe 4 - R�sultats de l'�tablissement de correspondance des actifs



Annexe F  -  Méthode d'établissement de correspondances

1. Comment établir des correspondances entre éléments d'actif et fonctions

Pour être en mesure de déterminer clairement quels travaux de conversion sont nécessaires à la poursuite des activités, les ministères doivent associer les éléments d'actif vulnérables au problème de l'an 2000 à chacune des fonctions. Cette démarche permet de mieux comprendre les liens entre les risques relatifs aux travaux de conversion et les risques affectant les activités du ministère et leurs répercussions.

2. Établir des correspondances entre éléments d'actif et fonctions

2.1 Objet

L'objet de cette démarche consiste à associer les éléments d'actif aux fonctions particulières qu'ils soutiennent. Il vaut mieux regrouper les éléments d'actif par catégorie pour faciliter l'établissement des correspondances. Les catégories suivantes sont recommandées :

  1. Logiciels (logiciels fournis par un tiers, applications et systèmes d'exploitation, etc.);
  2. Réseaux (inclut tout le matériel entre les cartes de communication de chaque terminal - réseau local (LAN), réseau métropolitain (MAN), réseau à grande distance (WAN), autocommutateur privé (PBX) - notamment, le matériel de commutation privée; exclut les unités de traitement telles que PC, serveurs et ordinateurs centraux);
  3. Équipement technique des immeubles (systèmes d'alimentation électrique, de sécurité et de conditionnement d'air, ascenseurs et autres installations techniques);
  4. Autres organismes (autres administrations gouvernementales, ministères, incluant les organisations faisant partie du processus d'approvisionnement des ministères ainsi que les services d'achat et le contentieux);
  5. Matériel (unités de traitement telles que PC, serveurs et ordinateurs centraux);
  6. Services publics (téléphone, électricité, poste, etc.);
  7. Flottes et parcs (avions, navires, automobiles, etc.); et
  8. Systèmes intégrés (incluant la fabrication et les processus de contrôle; l'équipement de transport et de navigation [avions, trains, navires, feux de circulation, contrôle de la circulation aérienne, etc.]; les systèmes de bureautique et l'équipement portatif [télécopieurs, photocopieurs, téléviseurs, téléphones cellulaires, etc.]; appareils médicaux [stimulateurs cardiaques, systèmes de suivi, radiographie, etc.]; équipement de laboratoire).

2.2 Résultats attendus

Au terme de cette démarche, on obtiendra des diagrammes « cause-effet », qui établissent les liens entre les éléments d'actif et les fonctions. Les ministères se serviront de ces diagrammes pour mettre en correspondance les activités de conversion et les fonctions qu'ils gèrent. Un exemple de diagramme cause-effet créé suivant les catégories énumérées au point 2.1 est illustré ci-après.

Figure F-1 – Diagramme « cause-effet »

Figure F-1 – Diagramme « cause-effet »

3. Documenter les correspondances

3.1 Objet

L'objet de cette démarche consiste à documenter, avec clarté et concision, les résultats de l'exercice d'établissement des correspondances réalisé à l'aide des diagrammes cause-effet décrits au point précédent.

3.2 Résultats attendus

Au terme de cette démarche, un tableau comportant les éléments suivants sera produit :

  1. Le nom de la fonction;
  2. Le responsable de la fonction (et son numéro de téléphone); et
  3. Les éléments d'actif identifiés pour chacune des catégories (logiciels, réseaux, équipement technique des immeubles, autres organismes, matériel, services publics, flottes et parcs, et systèmes intégrés).

4. Techniques et outils

Le tableau ci-dessous résume les techniques et les outils employés pour cette activité. On trouvera des précisions à ce sujet dans les annexes ou les documents cités.

Tableau F-1 – Techniques et outils pour établir des correspondances

Activité

Techniques et outils
Établir des correspondances entre éléments d'actif et fonctions Analyse des causes et des effets (CRM Guidebook, chapitre A-8, page 301)
Documenter les correspondances Exemple d'un tableau de correspondance à la section F-1 de cette annexe.

5. Lignes directrices et conseils

Voici des lignes directrices et des conseils qui peuvent faciliter la réalisation de cette activité.

  1. Laisser les responsables de fonction préparer le premier tableau de correspondances. Faire valider ces premiers diagrammes cause-effet par des groupes comprenant des spécialistes techniques;
  2. Se concentrer en premier lieu sur l'identification du plus grand nombre d'éléments d'actif possible; ajouter ensuite des détails au fur et à mesure que les conversions avancent; et
  3. Identifier les responsables d'éléments d'actif ou de catégorie d'éléments. Dans la plupart des cas, ces personnes seront désignées pour superviser la conversion de ces éléments d'actif.

Section F-1 : Exemple de correspondances entre éléments d'actif et fonctions

Le tableau ci-dessous est présenté à titre d'exemple seulement. Les titres des colonnes représentent les catégories illustrées à la figure F-1. Chaque colonne contient une liste détaillée des éléments d'actif pour une fonction donnée.

Tableau F-2 – Exemple d'un tableau obtenu suivant l'activité de correspondances des actifs

NI : 5.1.2
Nom de la fonction : Détection des signaux de détresse (responsable de la fonction)

Logiciel

Matériel

Réseaux

Services
  • Détection EPRIB
  • Programme Cospas-Sarsat Program à RCC (MDN)
  • Programme Telex (Unitel)
  
  • Cospas-Sarsat Datalink (telco-MDN)
  • PSTN (tel. et telex)
  • Centrex R. et S.
  • CCG Net
  • Réseau de comm. National cellulaire
  • Hydro

Equipment technique - immeubles

Flottes

Autres organismes

 Autres causes
  • RCC (MDN)
  • MRSC (GCC)
  
  • MCTS
  • Centre de contrôle Cospas-Sarsat
  • GTIS (centrex, longue distance)
  • Inmarsat (Stratus)
  • Autres systèmes de comm. (a surveilller)

 

NI : 5.1.5
Nom de la fonction : Coordination de recherche et sauvetage (responsable de la fonction)
Logiciel Matériel Réseaux Services
  • Programme Telex à RCC (telco)
  • Bases de données RCC (MDN)
  • Unité d'enrg RCC/MRSC
  • PSTN (tel. Et telex)
  • Centrex R. et S.
  • CCG Net
  • Réseau de comm. National cellulaire
  • Hydro
Equipment technique - immeubles Flottes Autres organismes Autres causes
  • RCC
  • MRSC
  
  • ROCC
  • GC Centre d'op. Régional
  • Centre MCTS
  • Vaisseaux du MDN
  • MTSS
  • MSAT
  • Inmarsat
  

 

NI : 5.1.4
Nom de la fonction : Planification pour recherche et sauvetage (responsable de la fonction)

Logiciel

Matériel

Réseaux

Services
  • Programme canadien recherche et sauvetage
  • Lancement du progr. de R. maître (MDN)
  • Bases de données RCC/MRSC
  • Pltfrm RCC W/S (MDN)
  • Internet
  • Réseaux MDN
  • PSTN
  • Hydro

Equipment technique - immeubles

Flottes

Autres organismes

 Autres causes
  • RCC
  • MRSC
  
  • Environn. Canada Centres météo
  • MCTS (Position des vaisseaux)
  


Annexe G  -  Proc�dure d�taill�e — �tape « Identifier »

Aperçu de la proc�dure

L'identification des risques inh�rents � un projet doit se faire p�riodiquement, chaque fois qu'on atteint un jalon ou une �tape, et/ou de façon continue tout au long du projet. Le tableau suivant indique les �tapes � suivre pour identifier les risques.

Tableau G-1 – Identification du risque � une �tape pr�cise

�tapes d'identification du risque Description Responsable
1. D�terminer les participants aux ateliers et aux entrevues Le gestionnaire du projet de l'an 2000 doit tenir des ateliers avec divers groupes form�s de participants de même niveau qui sont engag�s dans le projet de l'an 2000 et qui doivent identifier les risques possibles. Ce sont g�n�ralement les groupes suivants :
  • Personnel du Bureau du projet (BP) de l'an 2000;
  • Comit� directeur du projet;
  • Responsables des fonctions de gestion;
  • Responsables des �l�ments d'actif;
  • Chefs techniques, membres de l'�quipe de conversion des actifs, ressources responsables de l'infrastructure et des communications; et
  • Repr�sentants r�gionaux.

En compl�ment aux ateliers, le gestionnaire du projet de l'an 2000 doit aussi mener des entrevues aupr�s de certains dirigeants participant au projet de l'an 2000. Ces entrevues se font g�n�ralement avec les personnes suivantes :

  • Champion du projet de l'an 2000;
  • Ressources cl�s de la structure de gouvernance.
 Gestionnaire du projet de l'an 2000
2. �tablir le calendrier des ateliers et des entrevues d'identification des risques En g�n�ral, l'atelier sur l'identification des risques dure 3 heures, alors qu'une entrevue peut durer de 30 minutes � 2 heures.

Le calendrier devrait être �tabli avant le d�but de l'activit�.

 Gestionnaire du projet de l'an 2000
3. Adapter le questionnaire taxinomique du risque du SCT Le questionnaire du SCT fond� sur la taxinomie du risque (voir Annexe H) doit être adapt� pour refl�ter les secteurs d'activit� des participants et pour respecter la dur�e pr�vue des ateliers ou des entrevues. Gestionnaire du projet de l'an 2000
4. Mener les ateliers et les entrevues Mener les ateliers et les entrevues sur l'identification du risque consiste � :
  • pr�senter un aperçu du proc�d� d'�valuation du risque (identification et analyse) et son apport au processus de continuit� des op�rations;
  • examiner chaque question (ou groupe de questions) bas�e sur la taxinomie de la gestion du risque du SCT (Annexe H), pour d�terminer les secteurs de risque (se servir de transparents pour afficher les questions constitue un moyen pratique pour administrer le questionnaire);
  • prendre des notes au cours de la discussion et mettre par �crit les secteurs de risque identifi�s.
 Gestionnaire du projet de l'an 2000
5. �tablir une liste de risques � partir des notes prises pendant les ateliers et les entrevues, recenser les risques qui sont ressortis � plusieurs reprises ou qui font consensus, et dresser une liste de risques.

Pour chaque risque identifi�, il est important d'avoir :

  • un �nonc� du risque indiquant la « condition » pour que le risque se concr�tise ainsi que la « cons�quence » du risque par rapport aux objectifs de continuit� des op�rations;
  • un contexte qui permette d'obtenir de l'information suppl�mentaire sur le risque. Les risques devraient ensuite être incorpor�s � une fiche de renseignements sur le risque (Annexe I).
 Gestionnaire du projet de l'an 2000

Nota : La responsabilit� attribu�e au gestionnaire du projet de l'an 2000 peut être d�l�gu�e � d'autres membres de l'organisation, y compris la v�rification.

Tableau G-2 – �tapes � suivre pour identifier les risques de façon continue

�tapes d'identification du risque

Description

Responsable
1. Cr�er une fiche de renseignements sur le risque Quiconque peut identifier un nouveau risque et le consigner sur une fiche de renseignements sur le risque (Annexe I). Pour chaque risque, il est important de r�diger :
  • un �nonc� du risque indiquant la « condition » pour que le risque se concr�tise ainsi que la « cons�quence » du risque par rapport aux objectifs de continuit� des op�rations;
  • un contexte qui permette d'obtenir de l'information suppl�mentaire sur le risque.
 Participant au projet de l'an 2000 (programmeur, testeur, gestionnaire d'application, personne-ressource de la fonction, etc.)
2. Examiner le risque Les fiches de renseignements sur le risque doivent être achemin�es au Bureau de projet de l'an 2000 pour qu'il examine les risques qui y sont consign�s. Participant au projet de l'an 2000 (programmeur, testeur, gestionnaire d'application, personne-ressource de la fonction, etc.)
3. Acheminer la fiche de renseignements sur le risque au responsable du risque et aux fonctions concern�es Apr�s avoir examin� et valid� le risque, le Bureau de projet doit l'acheminer � son responsable ainsi qu'aux responsables des fonctions concern�es par le risque (s'il ne s'agit pas de la même personne) afin de d�clencher des mesures d'urgence, si n�cessaire. Bureau de projet de l'an 2000

Nota : La responsabilit� attribu�e au gestionnaire du projet de l'an 2000 peut être d�l�gu�e � d'autres membres de l'organisation, y compris la v�rification



Annexe H  -  Taxinomie de l'an 2000

1. Introduction

1.1 Contexte

Le Bureau de projet de l'an 2000 du Secrétariat du Conseil du Trésor du Canada tient à ce que les ministères et organismes fédéraux dont les fonctions de gestion sont essentielles à la mission de l'administration fédérale identifient, rapportent et gèrent les risques dans le cadre du projet de l'an 2000.

Pour les aider à déterminer ces risques, la taxinomie de l'an 2000 du SCT constitue un cadre de classification complet et structuré. Elle pourra être utilisée comme norme dans les ministères pour identifier les risques.

1.2 Objet

Cette annexe a pour objet de décrire et de documenter la taxinomie de l'an 2000 du SCT que les ministères peuvent utiliser pour déterminer les risques associés aux fonctions de gestion essentielles à la mission de l'administration fédérale (EMAF) et essentielles à la mission des ministères (EMM). Les ministères peuvent utiliser leur propre taxinomie en s'assurant toutefois que tous les secteurs de risque identifiés par la taxinomie de l'an 2000 du SCT soient abordés.

1.3 Portée

Le document comprend une description de l'utilisation de la taxinomie de l'an 2000, le questionnaire taxinomique de l'an 2000, une description des éléments d'information du questionnaire et des conseils.

1.4 Références

Le présent document renvoie aux ouvrages suivants :

  1. Secrétariat du Conseil du Trésor du Canada, Cap sur le prochain millénaire au gouvernement : Guide pour la continuité des opérations en regard du problème de l'an 2000, octobre 1998.
  2. Software Engineering Institute, Continuous Risk Management Guide, Carnegie Mellon University, Pittsburgh, Pennsylvanie, 1996. La taxinomie de l'an 2000 s'inspire des principes de cette publication du Software Engineering Institute (SEI), et plus particulièrement des annexes intitulées « Taxinomie-Based Questionnaire » (Annexe A-32) et « Taxinomie-Based Questionnaire (TBQ) Interviews (Annexe A-33) ».
  3. Secrétariat du Conseil du Trésor du Canada, Fiche de renseignements sur le risque de l'an 2000 (FRR), octobre 1998. La FRR sert à consigner l'information sur les risques identifiés au cours de l'évaluation des risques réalisée à l'aide de la taxinomie de l'an 2000. Un exemple de FRR est fourni à l'annexe I.
  4. U.S. General Accounting Office, Year 2000 Computing Crisis, GAO/AIMD-10.1.14, septembre 1997. On a vérifié l'exhaustivité de la taxinomie de l'an 2000 en la comparant à la GAO Year 2000 Program Assessment Checklist.
  5. Department of Information Technology, California 2000 Program Guide, Californie, novembre 1996. On a vérifié l'exhaustivité de la taxinomie de l'an 2000 en la comparant à l'approche de la Californie à l'égard du projet de l'an 2000 tirée du California 2000 Program Guide.
  6. SCT, Guide de planification des mesures d'urgence relatif aux systèmes essentiels à la mission de l'administration fédérale pour l'an 2000, projet, avril 1998. La validité de la taxinomie de l'an 2000 a été vérifiée en la comparant au questionnaire figurant dans cette publication du SCT.
  7. The MITRE Corporation, Year 2000 Certification Process, http://www.mitre.org/research/y2k/docs. L'exhautivité de la taxinomie de l'an 2000 a été vérifiée en la comparant au processus de certification établi par MITRE Corporation.

1.5 Glossaire

Le glossaire suivant a pour objet de préciser certains termes utilisés dans le cadre de la taxinomie de l'an 2000.

Élément d'actif : S'entend de tout ce qui peut être touché par le problème de l'an 2000, par exemple :
  • Logiciels (logiciels fournis par un tiers, applications et systèmes d'exploitation, etc.);
  • Réseaux (inclut tout le matériel entre les cartes de communication de chaque terminal - réseau local (LAN), réseau métropolitain (MAN), réseau à grande distance (WAN), autocommutateur privé (PBX) - notamment, le matériel de commutation privée; exclut les unités de traitement telles que PC, serveurs et ordinateurs centraux);
  • Équipement technique des immeubles (systèmes d'alimentation électrique, de sécurité et de conditionnement d'air, ascenseurs et autres installations techniques);
  • Autres organismes (autres administrations gouvernementales, ministères, incluant les organisations faisant partie du processus d'approvisionnement des ministères ainsi que les services d'achat et le contentieux);
  • Matériel (unités de traitement telles que PC, serveurs et ordinateurs centraux);
  • Services publics (téléphone, électricité, poste, etc.);
  • Flottes et parcs (avions, navires, automobiles, etc.); et
  • Systèmes intégrés (incluant la fabrication et les processus de contrôle; l'équipement de transport et de navigation [avions, trains, navires, feux de circulation, contrôle de la circulation aérienne, etc.]; les systèmes de bureautique et l'équipement portatif [télécopieurs, photocopieurs, téléviseurs, téléphones cellulaires, etc.]; appareils médicaux [stimulateurs cardiaques, systèmes de suivi, radiographie, etc.]; équipement de laboratoire).
Fonctions de gestion essentielles à la mission : Les fonctions de gestion essentielles à la mission de l'administration fédérale sont celles qui ont une incidence élevée sur les Canadiens, les opérations du gouvernement et/ou ses employés. Le niveau de criticité peut être déterminé suivant certains critères fournis à l'annexe D. Dans le présent guide, les fonctions abordées appartiennent à deux catégories : fonctions essentielles à la mission à l'échelle de l'administration fédérale et fonctions essentielles à la mission à l'échelle du ministère.
Horizon des événements : Date limite à laquelle on s'attend à ce qu'un élément d'actif soit touché par l'impact du problème de l'an 2000 (date qui peut devancer l'an 2000).
Conforme à l'an 2000 : Signifie que l'élément d'actif traite correctement les données relatives à la date et à l'heure (incluant mais n'excluant pas le calcul, la comparaison et le traitement séquentiel) qui se situent entre le moment présent et la fin du XXIe siècle, y compris les calculs dans les années 1999 et 2000 et les années bissextiles.

2. Taxinomie de l'an 2000

2.1 Comment procéder

Le Guide pour la continuité des opérations du SCT [Référence a.] contient des sections décrivant les activités d'évaluation et d'analyse des risques dans le cadre des projets de l'an 2000.

Le principal outil utilisé pour déterminer les risques dans le cadre des projets de l'an 2000 est la taxinomie de l'an 2000, illustrée dans le schéma ci-dessous. Il s'agit d'un questionnaire, utilisé dans le contexte d'ateliers ou d'entrevues, qui met en relief les aspects importants du cycle de vie d'un projet de l'an 2000 dont il faut tenir compte pour éviter que des problèmes surviennent. L'information recueillie grâce aux activités d'évaluation et d'analyse des risques doit être consignée dans des fiches de renseignements sur le risque du SCT [Référence c.].

Figure H-1 – Activité d'évaluation des risques

Figure H-1 – Activité d'évaluation des risques

Communicate = communiquer
Identify = identifier
Analyze = analyser
Plan = planifier
Track = suivre
Control = contrôler

2.1.1 Participants à l'atelier ou à l'entrevue
La taxinomie de l'an 2000 du SCT peut être utilisée au cours d'un atelier de 3 heures ou d'une entrevue d'une demi-heure avec les intervenants de projets, c'est-à-dire avec des ressources comme le personnel des bureaux de projet de l'an 2000, dont le gestionnaire de projet, des praticiens, des membres du comité directeur, le directeur du projet de l'an 2000, le champion du projet, d'autres cadres supérieurs (SMA et SM), des gestionnaires de secteurs d'activité (et leur personnel) et des gestionnaires de secteurs techniques (y compris le personnel responsable des applications, de l'infrastructure, des installations, etc.).

2.1.2 Adaptation
La taxinomie de l'an 2000 du SCT prend la forme d'un questionnaire exhaustif conçu pour identifier les risques inhérents au problème de l'an 2000 dans le contexte d'une évaluation (identification et analyse) du risque. En théorie, toutes les questions de ce document devraient être posées, mais il peut arriver que certaines ne concernent pas tous les participants (ou ne s'appliquent pas à certaines étapes du cycle de vie du projet de l'an 2000).

Pour faciliter l'adaptation du questionnaire à l'auditoire, un indicateur a été associé à chaque question précisant si elle est obligatoire (réponse nécessaire) ou adaptable. Le questionnaire peut aussi être adapté en fonction du groupe de personnes interrogées. En général, le questionnaire est adapté comme suit :

  1. Les questions de la section 1.1 — Processus relatifs au cycle de vie du projet de l'an 2000 — s'adressent à la plupart des intervenants;
  2. les questions des sections 1.2 à 1.5 et 2.1 — Processus techniques/gestion du projet — s'adressent principalement aux gestionnaires des services techniques et au personnel du bureau de projet de l'an 2000; et
  3. les questions à partir de la section 2.2 — Gestion des activités/gestion des programmes — s'adressent généralement aux gestionnaires des différents secteurs d'activité et aux cadres supérieurs.

Pour adapter les questions à l'auditoire, un autre moyen consiste à déterminer qui sont les intervenants du projet de l'an 2000 de votre organisation (comme au point 2.1.1). Il suffit d'ajouter d'autres colonnes correspondant aux types d'intervenants, et de cocher les cases vis-à-vis les questions à leur poser (comme dans l'exemple ci-dessous). Les questions qui se recoupent et qui sont posées à divers intervenants sont considérées comme acceptables; elles permettent d'obtenir différents points de vue sur un sujet donné.

Nos Ques- tion O N NSP SO

Interve- nant A

Interve- nant B

Interve- nant C

Interve- nant D
1.1.1           4   4  
1.1.2           4 4 4  
1.1.3             4 4  
1.1.4           4 4 4  
1.1.5           4   4 4
.

.

.

               4 4
N           4   4 4

Figure H-2 – Exemple d'adaptation des questions et de ciblage des intervenants

2.1.3 Pendant l'atelier ou l'entrevue
 Pendant l'atelier ou l'entrevue sur l'évaluation des risques relatifs au problème de l'an 2000, il convient de poser aux participants les questions de la taxinomie de l'an 2000 du SCT afin de susciter la discussion et de déterminer s'il existe un risque dans le secteur concerné. Le facilitateur de l'atelier ou de l'entrevue devrait également tenter d'associer les risques aux fonctions de gestion du ministère.

En général, il faut procéder de la façon suivante :

  1. Poser une question;
  2. Obtenir une réponse à la question, c'est-à-dire :

  3. i) Oui – Réponse positive, signifiant qu'il n'y a pas de risque associé au secteur ou à l'aspect abordé dans la question;

    ii) Non – Réponse négative, signifiant qu'il peut exister un certain risque associé au secteur ou à l'aspect abordé dans la question. Il faut noter les risques pouvant entraîner des répercussions négatives, ainsi que toute information contextuelle;

    iii) Ne sait pas – Réponse incertaine signifiant qu'il peut exister un risque associé au secteur ou à l'aspect abordé dans la question. Il faudra poursuivre la recherche au-delà de l'atelier ou de l'entrevue pour déterminer s'il y a effectivement un risque;

    iv) Sans objet – Cette réponse signifie que la question ne s'applique pas et donc qu'il n'y a pas de risque associé au secteur ou à l'aspect abordé dans la question. S'assurer que la question et le contexte sont bien compris (voir le point c, ci-dessous).

  4. Poser les sous-questions pour s'assurer que le contexte est bien compris;
  5. Il peut arriver que le facilitateur doive poursuivre l'évaluation du risque au-delà de la question. Il doit donc avoir une connaissance approfondie du projet de l'an 2000 afin d'être en mesure de réagir en pareille situation; et
  6. Consigner l'énoncé du risque et toute information contextuelle sur le risque (voir la sous-section suivante).

2.1.4 Consignation des risques
 Les risques mis en relief au cours de l'activité d'identification du risque devraient être consignés sur une fiche de renseignements sur le risque de l'an 2000 du SCT [Référence c.], qui constitue le principal outil pour conserver des renseignements sur le risque.

2.2 Questionnaire de la taxinomie de l'an 2000

Les questions de la taxinomie de l'an 2000 du SCT figurent à l'addendum 1 de cette annexe.

2.3 Définition des éléments d'information du questionnaire de la taxinomie de l'an 2000

Le tableau suivant est une description des éléments d'information (titres des colonnes) de la taxinomie de l'an 2000 du SCT.

Tableau H-1 : Définition des éléments d'information du questionnaire

Nom du champ

Description
Adaptation Il y a deux indicateurs possibles relativement à l'adaptation de la taxinomie de l'an 2000 du SCT.
  • O = Question obligatoire (il faut y répondre); et
  • A = Question adaptable.
Question

Le première question de la colonne est la question principale, par opposition aux sous-questions (s'il y en a). C'est elle qui sert à déterminer les risques dans une phase particulière du cycle de vie d'un projet de l'an 2000 ou à une étape de gestion.

Les sous-questions NE SONT PAS considérées comme faisant partie de la question principale; elles servent plutôt à la situer dans un contexte.
Oui Réponse positive qui signifie qu'il n'y a pas de risque en ce qui concerne le sujet de la question.
Non Réponse négative qui signifie qu'il peut y avoir un certain risque en ce qui concerne le sujet de la question.
Ne sait pas Réponse incertaine signifiant qu'il peut y avoir un risque en ce qui concerne le sujet de la question.
Sans objet Signifie que la question ne s'applique pas et donc qu'il n'y a pas de risque.
Observations Une observation est considérée comme une information contextuelle sur un risque identifié. Des observations peuvent être formulées à la suite de discussions concernant les sous-questions.

2.4 Lignes directrices et conseils

Voici des lignes directrices et des conseils visant à faciliter l'utilisation du questionnaire taxinomique de l'an 2000 durant le processus d'évaluation du risque :

  1. Les ateliers d'identification des risques devraient être composés de groupes de pairs ayant un intérêt commun, par exemple le personnel du bureau de projet de l'an 2000, des praticiens, les membres du comité directeur du projet de l'an 2000, les gestionnaires des secteurs d'activité (et leur personnel) et les gestionnaires des secteurs techniques (y compris le personnel responsable des applications, de l'infrastructure, des installations, etc.);
  2. Pour un rendement optimal, il est préférable que les ateliers comprennent 10 participants ou moins;
  3. Les entrevues relatives à l'identification des risques sont généralement menées auprès de cadres supérieurs, comme les directeurs de projet de l'an 2000, le champion du projet et d'autres cadres supérieurs (SMA, SM);
  4. Une fois que la taxinomie de l'an 2000 du SCT a été adaptée, il faut s'assurer qu'un intervenant du projet de l'an 2000 réponde à toutes les autres questions;
  5. Pour assurer une compréhension commune des risques, on peut poser des questions analogues à différents groupes d'intervenants; et
  6. Les risques doivent être formulés de façon objective, après s'être assurer qu'il existe une incidence négative éventuelle sur les objectifs de continuité des opérations.

Addendum 1 à l'annexe H  -  Taxinomie de l'an 2000

Adapt-
ation

Question

Oui

Non

Ne sait pas

Sans objet

Obser-
vations
  1. Processus relatifs au cycle de vie du projet de l'an 2000          
  1.1 Sensibilisation/
Inventaire		          

O

 1.1.1 Le problème de l'an 2000 compte-t-il parmi les priorités de votre organisation?
  1. La haute direction a-t-elle produit une correspondance officielle confirmant la priorité du projet de l'an  2000?
          

O

 1.1.2 Le niveau de sensibilisation de l'ensemble de votre organisation reflète-t-il le niveau de priorité qui doit être accordé aux activités du projet de l'an 2000?          

O

 1.1.3 Votre organisation a-t-elle un plan/une stratégie de communication au sujet du problème de l'an 2000?
  1. Cette stratégie englobe-t-elle les communications aux intervenants internes et externes?
  2. Votre organisation communique-t-elle avec les autres ministères ou organismes gouvernementaux sur les questions relatives au problème de l'an 2000 (y compris, le cas échéant, à des groupes de l'an 2000 de divers secteurs)?
  3. Est-ce un plan/une stratégie efficace?
          

O

 1.1.4 Votre organisation a-t-elle identifié toutes les fonctions essentielles à sa mission?
  1. Cette liste est-elle complète?
  2. Est-elle précise?
  3. A-t-elle été communiquée au SCT?
  4. Les fonctions essentielles à votre mission ont-elles été classées en ordre de priorité?
  5. Votre organisation s'est-elle fondée sur les critères d'établissement des priorités du SCT?
  6. La liste de priorité des fonctions essentielles à votre mission a-t-elle été dûment approuvée par la haute direction?
          

O

 1.1.5 Votre organisation a-t-elle évalué les répercussions éventuelles du problème de l'an 2000 sur les fonctions essentielles à sa mission?
  1. Vous êtes-vous fondés sur une méthode d'évaluation structurée pour déterminer l'incidence du problème de l'an 2000?
          

O

1.1.6 Votre organisation a-t-elle identifié les éléments d'actif qui soutiennent ses fonctions?

Voici quelques exemples d'éléments d'actif :

  • systèmes et applications internes et externes;
  • applications et systèmes commerciaux standards;
  • éléments d'infrastructure informatique;
  • systèmes intégrés (dispositifs informatiques littéralement intégrés dans une machine ou un produit industriel), à savoir :
    • dispositif de contrôle d'une opération de fabrication et de traitement;
    • équipement de transport et de navigation (avions, trains, navires, feux de circulation, contrôle de la circulation aérienne,  etc.);
    • installation (câblage d'alimentation électrique, éclairage, chauffage, ventilation, ascenseurs, serrures, sécurité,   etc.);
    • système de bureau et équipement mobile (télé- copieurs, photo- copieurs, appareils vidéo, téléviseurs, téléphones cellulaires, etc.);
    • appareil médical (stimulateurs cardiaques, systèmes de surveillance, machines à rayons X, etc.);
    • équipement de laboratoire;
  • infrastructure, services et télécommunications publiques;
  • interfaces avec d'autres services/ ministères/ organismes/ organisations.
  1. La liste des éléments d'actif est-elle complète?
  2. Est-elle précise?
  3. Votre organisation a-t-elle déterminé la nature, l'importance et la complexité de ses éléments d'actif?
  4. A-t-elle identifié leurs rapports de dépendance/ leurs interfaces avec des éléments d'actif externes?
          

O

 1.1.7 Dans l'inventaire de votre organisation, les actifs sont-ils classés en ordre de priorité?
  1. A-t-on employé une méthode particulière pour établir les priorités?
  2. Le choix des priorités a-t-il été approuvé par la haute direction?
          

O

 1.1.8 Existe-t-il une banque de données contrôlée de l'information sur l'inventaire des actifs?
  1. Les intervenants dans le projet de l'an 2000 y ont-ils tous accès (pour consultation)?
          

O

 1.1.9 Le nombre d'éléments d'actif est-il resté le même depuis la fin de la réalisation de l'inventaire?          

O

 1.1.10 A-t-on clairement identifié les responsables des fonctions et des actifs?
  1. A-t-on clairement défini leurs rôles et leur responsabilité?
          
  1.2 Évaluation (analyse/conception)          

O

 1.2.1 A-t-on précisé les exigences de conformité à l'an 2000 pour tous les types d'actifs?
  1. Les a-t-on correctement communiquées au personnel du projet de l'an 2000 et aux responsables des actifs?
  2. Sont-elles consignées dans un guide?
          

O

 1.2.2 A-t-on établi et approuvé une norme pour les dates?
  1. Cette norme englobe-t-elle les interfaces?
  2. Est-elle consignée dans un guide?
          

O

 1.2.3 Les ressources affectées à l'évaluation ont-elles reçu la formation nécessaire sur les techniques et les instruments d'évaluation, et connaissent-elles bien les actifs à évaluer?          

O

 1.2.4 Votre organisation a-t-elle déterminé le nombre d'éléments d'actif vulnérables au problème de l'an 2000?          

O

 1.2.5 Votre organisation a-t-elle déterminé l'horizon des événements relativement aux pannes éventuelles causées par le problème de l'an 2000 pour tous les actifs vulnérables (la date pourrait être antérieure à l'an 2000)?          

O

 1.2.6 A-t-on déterminé l'ampleur/ l'impact du problème de l'an 2000 pour chaque élément d'actif ou type d'actifs?
  1. Cette information est-elle consignée dans l'inventaire des actifs?
          

O

 1.2.7 Les éléments d'actifs sont-ils consignés avec exactitude? Comprennent-ils :
  1. les documents de conception?
  2. les spécifications des actifs réels?
  3. les données d'essai (le cas échéant)?
  4. l'emplacement du code de source (pour des actifs comme les applications internes)?
  5. l'identité du fournisseur/ fabricant (pour les actifs comme les systèmes commerciaux standards et les systèmes intégrés)?
          

O

 1.2.8 A-t-on fait un tri (réparation, refonte, remplacement ou mise au rancart) des actifs?          

O

 1.2.9 Ce tri a-t-il été approuvé par la haute direction?          

O

 1.2.10 Les techniques et les outils de conversion ont-ils été identifiés pour les différents types d'actifs?
  1. Sont-ils consignés dans un guide?
  2. Pour les applications informatiques, a-t-on évalué les répercussions de l'utilisation de ces techniques/ outils sur le rendement?
          

A

 1.2.11 Dans le cas des actifs à remplacer, a-t-on demandé aux fournisseurs pressentis de livrer des produits adaptés à l'an 2000?          

A

 1.2.12 A-t-on défini et résolu les problèmes relatifs aux partenaires électroniques (p. ex. exigences d'entrée/ sortie électronique)?
  1. A-t-on pris note des décisions?
          

A

 1.2.13 Dans le cas des actifs faisant appel à des sources de données externes (comme les logiciels d'application), a-t-on défini une stratégie de conversion des données?
  1. Les répercussions de la conversion des données sur le rendement ont-elles été évaluées?
          

A

 1.2.14 Dans le cas des actifs informatiques, l'infrastructure existante pourra-t-elle absorber la charge supplémentaire des activités de conversion à l'an 2000?          

A

 1.2.15 Dans le cas des actifs informatiques, les changements de l'environnement de production (matériel, logiciels et réseaux) ont-ils été cernés, et en a-t-on calculé le coût?          

O

 1.2.16 A-t-on identifié et résolu les problèmes relatifs à la réaction des fournisseurs appelés à livrer des produits adaptés à l'an 2000?
  1. A-t-on pris note des décisions?
          

O

 1.2.17 S'est-on servi des résultats de l'évaluation pour évaluer/confirmer les prévisions de l'effort nécessaire et le budget?          

A

 1.2.18 A-t-on demandé aux fournisseurs quelle est leur stratégie d'adaptation à l'an 2000 vis-à-vis de leurs propres fournisseurs (problèmes relatifs au processus d'approvisionnement)?          

O

 1.2.19 Est-ce que les documents existants dans le domaine de la continuité des opérations ont été rassemblés (p. ex. plans de reprise des opérations, plans antisinistres, etc.)? Si oui, sont-ils à jour?          

O

 1.2.20 La capacité de votre organisation à assurer la continuité des opérations a-t-elle été évaluée? Si oui, est-ce que des lacunes ont été identifiées et les a-t-on comblées?          

O

 1.2.21 Est-ce que des scénarios applicables en cas de crise ont été identifiés et documentés?          
  1.3 Rénovation (construction)          

A

 1.3.1 Les ressources affectées aux activités de rénovation ont-elles reçu la formation nécessaire pour maîtriser les techniques et les outils de rénovation, et connaissent-elles les actifs à rénover?          

O

 1.3.2 Votre organisation peut-elle préciser le nombre d'actifs convertis (réparés ou remplacés) à ce jour?          

O

 1.3.3 Dans le cas des actifs à remplacer, a-t-on commandé de nouvelles versions adaptées à l'an 2000?
  1. Votre organisation connaît-elle le délai de livraison?
  2. A-t-on pris des mesures pour faire en sorte que les actifs nouveaux ou améliorés provenant de tiers/de fournisseurs soient adaptés à l'an 2000?
          

O

 1.3.4 A-t-on déterminé et résolu les problèmes relatifs aux activités de rénovation?
  1. A-t-on pris note des décisions?
          

A

 1.3.5 Votre organisation a-t-elle prévu des programmes de transition et des filtres pour pouvoir traiter les données non conformes?
  1. Le nombre de ces programmes et de ces filtres a-t-il augmenté depuis la fin de l'évaluation?
          

O

 1.3.6 La documentation suivante est-elle mise à jour dans le cadre des activités de rénovation?
  1. Documentation sur les systèmes
  2. Documentation sur les utilisateurs
  3. Documentation sur la formation
  4. Essais, etc.
          

O

 1.3.7 A-t-on fait des essais d'unités/d'éléments (le cas échéant)?          

O

 1.3.8 A-t-on déterminé et résolu les problèmes relatifs à la conformité à l'an 2000 dans le cas des fournisseurs et des partenaires?
  1. A-t-on pris note des décisions?
          

O

 1.3.9 Les normes sont-elles respectées?          

A

 1.3.10 A-t-on préparé des plans de retrait graduel des actifs qui devaient être mis au rancart?
  1. En a-t-on informé les intervenants?
          

O

 1.3.11 A-t-on prévu des mesures d'urgence pour les fonctions de gestion?
  1. A-t-on déterminé un délai minimum pour appliquer les mesures d'urgence?
          
  1.4 Validation (essais)          

O

 1.4.1 A-t-on précisé les types de ressources nécessaires pour les activités de validation (utilisateurs, ressources des activités/des fonctions et ressources techniques)?          

O

 1.4.2 Les ressources sont-elles suffisantes pour qu'il soit possible de faire des essais?          

O

 1.4.3 Fera-t-on des essais fonctionnels complets ou seulement des essais d'adaptation à l'an 2000?          

O

 1.4.4 A-t-on généré, recueilli ou converti des données sur les essais (le cas échéant, dans le cas d'actifs comme les logiciels d'application), pour étayer les activités de validation?          

O

 1.4.5 Utilise-t-on des outils/de l'équipement d'essai automatisés?
  1. A-t-on vérifié si ces outils/cet équipement sont conformes aux exigences de l'an 2000?
          

O

 1.4.6 A-t-on prévu suffisamment de temps pour que les activités d'essai soient effectuées?          

O

 1.4.7 A-t-on recours à un système de suivi et de rapports sur les problèmes rencontrés dans le projet de l'an 2000?
  1. Suivez-vous les problèmes jusqu'à ce qu'ils soient résolus?
  2. Vous servez-vous d'un outil automatisé?
          

O

 1.4.8 Le processus de correction (le protocole utilisé pour résoudre les problèmes constatés) à l'étape de la validation a-t-il été correctement déterminé et noté?
  1. A-t-on prévu assez de temps pour résoudre les problèmes?
  2. La rétroaction aux rénovateurs des actifs est-elle suffisante?
  3. Le processus comprend-il des tests de régression?
          

O

 1.4.9 La certification des actifs adaptés à l'an 2000 est-elle un processus d'approbation en bonne et due forme?          
  1.5 Mise en œuvre          

O

 1.5.1 A-t-on prévu la formation de la clientèle en ce qui concerne le problème de l'an 2000, dans le contexte de la mise en œuvre des systèmes nouveaux ou modifiés?          

O

 1.5.2 Les mesures d'urgence en vue de la remise en état des actifs sont-elles toutes prêtes à appliquer?
  1. A-t-on fait des essais d'application des mesures d'urgence?
  2. Le personnel nécessaire a-t-il reçu la formation voulue?
          

O

 1.5.3 A-t-on constaté des conflits entre les opérations courantes et les activités de maintenance?          

 

Adaptation

Question

Oui

Non

Ne sait pas

Sans objet

Obser-
vations
  2. Gestion          
  2.1 Processus techniques/de gestion du projet          

O

 2.1.1 Existe-t-il une charte du projet de l'an 2000?
  1. La charte est-elle comprise et acceptée par tous les intervenants?
  2. La charte a-t-elle été signée par tous les intervenants (y compris les organisations externes avec laquelle la vôtre a une interface)?
          

O

 2.1.2 Existe-t-il un plan de gestion du projet?
  1. Comprend-il:
  • une ventilation des tâches (activités du projet)?
  • la structure des composantes de l'organisation?
  • un cadre d'attribution des responsa- bilités?
  • des estimations des ressources nécessaires?
  • un budget détaillé?
  • un calendrier des travaux?
  1. La planification du projet se fait-elle conformément aux politiques, lignes directrices et procédures de votre organisation?
          

O

 2.1.3 Le plan de gestion du projet de l'an 2000 est-il fondé sur un cycle de vie ou sur une approche approuvés par l'industrie, avec des activités structurées?          

O

 2.1.4 Existe-t-il des plans (ou des ensembles de tâches) pour les activités de l'an 2000, en ce qui concerne les actifs?          

O

 2.1.5 Le budget du projet de l'an 2000 a-t-il été entièrement approuvé, jusqu'à sa mise en œuvre?
  1. Si c'était nécessaire, a-t-on préparé et envoyé une présentation au CTconcernant le projet de l'an 2000?
          

O

 2.1.6 Existe-t-il un bureau de gestion du projet de l'an 2000 (BGP)?
  1. Son personnel est-il suffisant?
  2. Son personnel a-t-il les compétences et l'expérience nécessaires pour mener à bien le projet de l'an 2000?
          

O

 2.1.7 A-t-on confié à un gestionnaire la responsabilité de définir et d'atteindre les objectifs du projet de l'an 2000 (convertir les actifs vulnérables au problème de l'an 2000 de façon à assurer la continuité des activités au-delà de l'an 2000 en respectant les prévisions budgétaires et les échéances)?
  1. Le gestionnaire a-t-il l'autorité nécessaire pour réaliser le projet?
  2. A-t-il les pouvoirs budgétaires et décisionnels nécessaires?
  3. A-t-il une procédure clairement définie pour renvoyer les mesures à prendre à des niveaux plus élevés?
  4. Est-il un cadre supérieur de votre organisation?
          

O

 2.1.8 Existe-t-il un comité de direction du projet de l'an 2000?
  1. Les intervenants sont-ils suffisamment bien représentés au comité?
  2. Les Régions y sont-elles toutes représentées?
  3. La raison d'être du comité est-elle clairement définie?
  4. Se réunit-il fréquemment?
  5. Prépare-t-on un compte rendu et une liste des mesures à prendre, et les remet-on au gestionnaire du projet?
          

O

 2.1.9 Les intervenants coopèrent-ils efficacement?          

O

 2.1.10 Le calendrier des travaux est-il réaliste en ce qui concerne les fonctions de gestion et les actifs essentiels à la mission?
  1. Comprend-il toutes les activités, jusqu'à la mise en œuvre?
  2. Les interdépendances des tâches (particulièrement en ce qui concerne les logiciels d'application) y sont-ils précisés?
  3. Comprend-il un chemin critique?
  4. Les besoins à combler par des sources externes et les interfaces externes y sont-ils précisés?
          

O

 2.1.11 A-t-on prévu des étapes auxquelles le projet doit être évalué et où la direction décidera de son avenir, en prenant des mesures correctives au besoin?          

O

 2.1.12 Existe-t-il un plan de vérification du projet de l'an 2000?          

O

 2.1.13 Le plan du projet de l'an 2000 a-t-il été mis à jour pour refléter les résultats constatés au cours de la phase précédente de son cycle de vie?
  1. A-t-on analysé le chemin critique?
          

O

 2.1.14 Fait-on régulièrement des examens internes du projet avec l'aide des responsables des catégories d'actifs et les équipes de conversion, pour évaluer les progrès et les difficultés?          

O

 2.1.15 Votre organisation évalue-t-elle les progrès effectifs en les comparant aux activités prévues (dans le calendrier des travaux) du projet de l'an 2000?
  1. Avez-vous des indicateurs satisfaisants à saisir?
  2. Existe-t-il des systèmes de gestion permettant de contrôler et de surveiller convenablement les activités du projet?
  3. Ce degré de surveillance est-il suffisant pour appuyer le processus décisionnel et pour signaler les progrès à la haute direction?
          

O

 2.1.16 Produit-on fréquemment des rapports de progrès?
  1. Les difficultés/les mesures à prendre sont-elles cernées/précisées, et fait-on le nécessaire?
          

O

 2.1.17 Le budget et le calendrier des travaux sont-ils stables (et non sans cesse modifiés)?          

O

 2.1.18 Le budget et les objectifs à atteindre à moyen terme sont-ils respectés?          

O

 2.1.19 A-t-on déterminé les facteurs critiques du succès du projet de l'an 2000?
  1. Ont-ils été intégrés au processus d'acceptation ou de certification à l'an 2000?
          

O

 2.1.20 A-t-on établi et approuvé une stratégie des ressources humaines?          

O

 2.1.21 Les besoins en ressources humaines pour chaque phase ont-ils été prévus?
  1. Les besoins en ressources humaines sont-ils stables (et non sans cesse révisés)?
  2. A-t-on déterminé les compétences requises?
          

O

 2.1.22 Votre organisation a-t-elle réaffecté ses ressources au projet de l'an 2000 quand on le lui a demandé?          

O

 2.1.23 Avez-vous accès aux ressources qu'il faut quand vous en avez besoin?
  1. Les gens s'acquittent-ils de leurs rôles et de leurs responsabilités, comme la charte du projet les définit?
          

O

 2.1.24 A-t-on déterminé, réservé ou acquis tous les systèmes, tous les outils et toutes les installations nécessaires pour chaque phase?
  1. A-t-on évalué leur adaptation à l'an 2000?
          

O

 2.1.25 A-t-on conclu tous les marchés d'acquisition des ressources nécessaires (ressources humaines, ressources informatiques, installations, etc.)?          

A

 2.1.26 Les marchés sont-ils valables au-delà de l'an 2000?          

O

 2.1.27 Ajoute-t-on des garanties d'adaptation à l'an 2000 dans les marchés de biens et de services (le cas échéant)?          

O

 2.1.28 Applique-t-on un processus établi de gestion des risques (avec des pratiques, des techniques et des outils reconnus)?          

O

 2.1.29 Établit-on et met-on en œuvre des plans d'action pour gérer les risques identifiés dans le cadre du projet de l'an 2000?          

O

 2.1.30 Assure-t-on le suivi et la supervision du projet?
  1. Le fait-on conformément aux politiques, aux lignes directrices et aux procédures de votre organisation?
  2. Le fait-on de façon satisfaisante?
          

A

 2.1.31 Assure-t-on la gestion de la sous-traitance?
  1. Le fait-on conformément aux politiques, aux lignes directrices et aux procédures de votre organisation?
  2. Le fait-on de façon satisfaisante?
  3. Le rendement des sous-traitants est-il régulièrement contrôlé?
          

O

 2.1.32 Veille-t-on à l'assurance de la qualité?
  1. Le fait-on conformément aux politiques, aux lignes directrices et aux procédures de votre organisation?
  2. Le fait-on de façon satisfaisante?
  3. A-t-on clairement identifié les facteurs critiques de réussite ou d'échec?
          

O

 2.1.33 Assure-t-on la gestion de la configuration?
  1. Le fait-on conformément aux politiques, aux lignes directrices et aux procédures de votre organisation?
  2. Le fait-on de façon satisfaisante?
  3. Contrôle-t-on les changements des codes, des systèmes et des documents?
  4. Le processus comprend-il des interfaces externes?
          

O

 2.1.34 Existe-t-il une organisation de gestion des crises ? Si oui, a-t-elle reçu une formation et a-t-elle été mise à l'essai à l'aide de scénarios?          

O

 2.1.35 Un centre des opérations en temps de crise a-t-il été mis sur pied?
Cette organisation a-t-elle un porte-parole désigné pour informer les utilisateurs finals (client?) dans les situations de crise?		          

O

 2.1.36 Existe-t-il un plan de continuité des opérations pour votre organisation? Est-ce qu'il prévoit des activités de gestion du risque, de planification d'urgence, d'intervention en cas de crise et de reprise des opérations?          

O

 2.1.37 Est-ce qu'un cadre supérieur a été désigné pour diriger l'équipe de gestion des crises?
Cette personne est-elle au courant de ses responsabilités?		          
  2.2 Gestion des activités/des programmes          

O

 2.2.1 Des projets de développement ou d'amélioration des systèmes sont-ils en cours?
  1. Ces projets ont-ils été approuvés par la haute direction?
  2. Seront-ils adaptés en fonction de l'an 2000?
  3. Auront-ils besoin d'interfaces avec l'infrastructure existante adaptée à l'an 2000 ou avec d'autres systèmes?
          

O

 2.2.2 A-t-on conçu des plans pour réduire les initiatives qui ne sont pas liées au problème de l'an 2000, jusqu'à ce que celui-ci soit résolu ou sous contrôle?          

O

 2.2.3 Fait-on un suivi du degré de perturbation des opérations et des niveaux de service ou de production?          

O

 2.2.4 Le contexte dans lequel les activités se déroulent a-t-il été évalué afin de déterminer si des contraintes pourraient avoir des répercussions sur la mise en œuvre du projet de l'an 2000?
  1. Exécution des programmes?
  2. Législation?
  3. Politique?
          

O

 2.2.5 Votre organisation a-t-elle évalué de quoi elle est légalement responsable dans le contexte du problème de l'an 2000 si ses activités devaient être interrompues?
  1. Le contentieux/les services juridiques participent-ils à cette démarche?
          

O

 2.2.6 Avez-vous parlé de votre plan de l'an 2000 avec le représentant des services juridiques de votre organisation?          

O

 2.2.7 Le représentant des services juridiques de votre organisation fait-il une évaluation des risques juridiques?          

O

 2.2.8 Votre organisation a-t-elle un plan d'action juridique?          


Annexe I  -  Fiche de renseignements sur le risque

1. Introduction

1.1 Contexte

Le Bureau de projet de l'an 2000 du Secrétariat du Conseil du Trésor du Canada tient à ce que les ministères et organismes fédéraux dont les fonctions de gestion sont essentielles à la mission de l'administration fédérale identifient, rapportent et gèrent les risques dans le cadre du projet de l'an 2000.

Afin d'uniformiser la présentation des renseignements sur le risque relativement au problème de l'an 2000, une fiche de renseignements sur le risque (FRR) a été créée. Tous les renseignements pertinents ayant trait aux risques pourront y être consignés.

1.2 Objet

Le présent document a pour objet de définir et de décrire la v de l'an 2000 du SCT que les ministères et organismes fédéraux devront utiliser pour consigner les renseignements sur les risques associés aux fonctions de gestion essentielles à la mission de l'administration fédérale (EMAF) et essentielles à la mission de leurs ministères/organisme (EMM/O).

1.3 Portée

Le document comprend une description de la FRR associés à l'an 2000, un gabarit de FRR, une définition de chaque élément d'information et des exemples de FRR contenant des données.

1.4 Références

  1. Secrétariat du Conseil du Trésor du Canada, Cap sur le prochain millénaire au gouvernement : Guide pour la continuité des opérations en regard du problème de l'an 2000, octobre 1998.
  2. Software Engineering Institute, Continuous Risk Management Guide, Carnegie Mellon University, Pittsburgh, Pennsylvanie, 1996. La FRR de l'an 2000 s'inspire des principes de cette publication du Software Engineering Institute's (SEI), et plus particulièrement de l'annexe A-27;
  3. Secrétariat du Conseil du Trésor du Canada, Taxonomie de l'an 2000, octobre 1998.
    La FRR de l'an 2000 est l'outil conçu pour consigner l'information sur les risques identifiés au cours de l'évaluation des risques à l'aide de la Taxonomie de l'an 2000.

2. Fiche de renseignements sur le risque de l'an 2000

2.1 Description de la fiche de renseignements sur le risque(FRR)

Le Guide pour la continuité des opérations du Secrétariat du Conseil du Trésor [Référence a.] contient une section qui décrit de façon détaillée comment effectuer l'évaluation des risques dans le cadre des projets de l'an 2000. L'évaluation des risques englobe les étapes « Identifier » et « Analyser » de la méthode de gestion du risque continue élaborée par le SEI.

Les renseignements recueillis au cours de l'évaluation des risques doivent être consignés et présentés dans la FRR de l'an 2000. Cette fiche sera l'instrument majeur de consignation et de gestion des renseignements sur le risque et le principal produit résultant de l'activité d'évaluation des risques telle qu'illustrée dans le schéma ci-dessous.

Figure I-1 – Activité d'évaluation des risques

Figure I-1 – Activité d'évaluation des risques

Communicate = communiquer
Identify = identifier
Analyze = analyser
Plan = planifier
Track = suivre
Control = contrôler

La FRR de l'an 2000 comprend cinq sections :

  1. Renseignements sur l'évaluation du risque;
  2. Renseignements sur la gestion du risque;
  3. Renseignements sur les activités;
  4. Renseignements sur l'état; et
  5. Renseignements sur le plan d'action à l'égard du risque.

Il faut obligatoirement remplir les quatre premières sections pour se conformer aux exigences du SCT en matière de rapport. L'annexe comprend également une description des types de renseignements qui doivent figurer dans le FRR. Le section 5 de la FRR est facultative; elle est offerte à titre d'indication pour le ministère ou l'organisme, lesquels peuvent s'en servir pour concevoir et mettre en œuvre leurs activités de gestion du risque.

2.2 Modèle de FRR de l'an 2000

Ce modèle est considéré comme la FRR de l'an 2000 approuvée par le SCT.

Fiche de renseignements sur le risque
(Partie 1 – À remplir absolument, conformément à la politique du SCT)
Ministère / organisme:  
1. Renseignements sur l'�valuation du risque
Rang :   Id. du risque :   Identifié le :  
Énoncé du risque :
 
Contexte :
 
Probabilité :  
Impact sur le projet : (répercussions)  
Délai :  
Source :  
Intervention :   Renvoyé à un niveau plus élevé : Autre _______________ ¨

SCT ¨ SM ¨

SMA ¨ Com. dir. ¨
2. Renseignements sur la gestion du risque
Confiée à : Date d'exécution du plan d'action :
   
Aperçu de la stratégie de gestion du risque :
 
Indicateurs/symboles de matérialisation du risque : Méthode de collecte :
   
3. RENSEIGNEMENTS SUR LES OPÉRATIONS
Fonction(s) :   Criticité Administration fédérale ¨

Ministère/organisme ¨
Incidence sur les opérations :  
Plan d'urgence :  
Déclencheur :  
4. RENSEIGNEMENTS SUR L'ÉTAT
État : Date de l'état :
   
Approbation : Date de fermeture :
   
Raison de la fermeture :
 

 

FICHE DE RENSEIGNEMENTS SUR LE RISQUE
(PARTIE 2 – Précisions sur la gestion du risque)
Ministère/organisme :  
Rang :   Id. du risque :   Identifié le :  
5. RENSEIGNEMENTS SUR LE PLAN D'ACTION À L'ÉGARD DU RISQUE
Mesures Responsabilité Date cible Date d'exécution
       
       
       
       
       
       
       
       
Notes :
 

2.3 Définition des éléments d'information de la FRR de l'an 2000

Ce tableau décrit les éléments d'information contenus dans la FRR de l'an 2000 du SCT.

Tableau I-1 : Définition des éléments d'information de la FRR

Nom du champ

Définition
Section 1. Renseignements sur l'évaluation du risque
Ministère/organisme Ministère ou organisme fédéral faisant état des risques à l'égard de son projet de l'an 2000.
Rang Rang ou ordre de priorité attribué au risque, exprimé par un symbole numérique (de 1 à « N »). Ce rang devrait refléter celui que le ministère/l'organisme accorde au risque au moment où il est signalé.
Id. du risque Identificateur du risque, généralement une combinaison de la catégorie et d'un numéro séquentiel (p. ex., Gestion-001).
Identifié le Date à laquelle le risque a été identifié.
Énoncé du risque Explication de la situation ou des circonstances inquiétantes ou causant une incertitude en raison de la possibilité d'une perte ou d'un résultat indésirable en ce qui concerne les objectifs de conformité et de continuité des opérations. [Pour des renseignements sur la façon de rédiger un énoncé du risque, voir le document de référence 2, partie 2, chapitre 4, section 2, p.31.]
Contexte Renseignements connexes qui précisent le risque. On les recueille généralement au moment où le risque est identifié.
Probabilité Possibilité que le risque se concrétisera. Sa valeur exacte est fonction du type d'analyse utilisé. On recommande une description qualitative, comme suit.
  • Faible (il est peu probable que le risque se concrétisera, mais c'est possible);
  • Moyenne (le risque se concrétisera probablement);
  • Élevée (il est presque certain que le risque se concrétisera).
Impact sur le projet
(Répercussions)		 Perte ou résultat indésirable pour le projet si le risque se réalise. Préciser l'une des trois valeurs suivantes :
  • Faible (l'impact sera minimal ou négligeable);
  • Moyen (l'impact sera modéré ou marginal);
  • Élevé (l'impact sera critique ou catastrophique).
Délai  Limite de temps à l'intérieur de laquelle le risque se produira ou des mesures devront être prises. Préciser une des valeurs suivantes.
  • Court (30 jours);
  • Moyen (60 jours);
  • Long (l'horizon des événements pour que l'actif cesse de fonctionner à cause du problème de l'an 2000/d'un déclencheur d'urgence).
Source Cause du risque. Préciser l'une des valeurs suivantes.
  • Manque d'information;
  • Manque de contrôle (sur le budget, les ressources humaines, les approbations/décisions, etc.);
  • Manque de temps.
Intervention Façon du ministère/de l'organisme de réagir au risque. Préciser l'une des valeurs suivantes.
  • Accepter (ne rien faire);
  • Éviter (prendre des mesures pour mitiger le risque avant qu'il se produise);
  • Contrôler (prendre des mesures une fois que le risque s'est manifesté);
  • Transférer/renvoyer (transférer la responsabilité de mitiger le risque à une autre partie au ministère/dans l'organisme).
Renvoyé à un niveau plus élevé Préciser que le risque est confié à une autre organisation/un autre niveau de gestion, par exemple :
  • Autre - Autres organisations comme le Groupe national de la planification, la Protection civile Canada, etc.
  • SCT- Secrétariat du Conseil du Trésor du Canada
  • SM -Sous-ministre
  • SMA - Sous-ministre adjoint
  • Com. dir. - Comité de direction du projet de l'an 2000
Section 2. Renseignements sur la gestion du risque
Confiée à Nom de la personne responsable de la mitigation du risque au ministère/dans l'organisme.
Date d'exécution du plan d'action Date à laquelle les activités précisées dans le plan d'action conçu pour mitiger le risque doivent avoir été réalisées.
Aperçu de la stratégie de gestion du risque Description succincte de la stratégie choisie pour gérer le risque, avec son orientation générale, compte tenu de la source du risque et de l'intervention. Généralement, seules les interventions consistant à « éviter » ou à « contrôler » le risque supposent des plans d'action. Pour « accepter » le risque, il n'est pas nécessaire de le gérer, puisque le ministère/l'organisme a décidé d'en accepter les conséquences éventuelles. Transférer/renvoyer le risque implique une intervention de la partie à laquelle on le renvoie.
Indicateurs/symboles de matérialisation du risque Signe quelconque faisant clairement savoir aux intervenants dans le projet de l'an 2000 que le risque se matérialise et qu'il cause des difficultés ou un problème. Ce signe devrait faire partie des renseignements régulièrement recueillis sur les progrès.
Méthode de collecte Moyen utilisé pour recueillir les indicateurs/symboles décrits dans la zone précédente.
Section 3. Renseignements sur les opérations
Fonction(s) Activité(s) identifiée(s) comme essentielles à la mission de l'administration fédérale par le SCT ou comme essentielles à celle du ministère/de l'organisme par ces derniers. Le risque peut s'appliquer à plus d'une fonction.
Criticité Degré auquel la fonction exposée au risque en question est essentielle à la mission. La criticité est définie en fonction des critères du SCT. Il n'y a que deux choix possibles : l'administration fédérale et le ministère/organisme.
Impact sur les opérations Impact du risque sur le maintien de la fonction (à ne pas confondre avec l'« Impact sur le projet », un des champs de la section 1).
Plan d'urgence Renvoie, le cas échéant, au plan d'urgence élaboré pour la fonction. Le plan devrait prévoir les procédures qui rétabliront la fonction essentielle à la mission (ou relanceront un actif qu'elle utilise), advenant la concrétisation d'un risque associé au problème de l'an 2000.
Déclencheur Élément décisif pour entreprendre la mise en œuvre d'un plan/d'une procédure d'urgence. Il s'agit généralement d'un « événement » ou d'un « seuil critique » indiquant que le risque s'est matérialisé et/ou qu'il est devenu un problème.
Section 4. Renseignements sur l'état
État Il n'y a que deux valeurs possibles :
  • Ouvert (le risque existe toujours)
  • Fermé (il n'y a plus de risque)
Date de l'état Date où le dernier rapport d'état a été fourni ou établi.
Approbation Signature approuvant les stratégies de mitigation ou la fermeture du dossier du risque par la personne dont le nom figure dans la case correspondant à « Confiée à » de la section 2 de la FRR.
Date de fermeture Date à laquelle le dossier du risque a été fermé.
Raison de la fermeture Raison pour laquelle on a décidé de fermer le dossier du risque.
Section 5. Renseignements sur le plan d'action à l'égard du risque
Mesures Série d'actions à exécuter pour mitiger le risque. Les mesures doivent être compatibles avec la stratégie de mitigation du risque.
Responsabilité Nom de la personne chargée de prendre une mesure. Cette personne peut être la même pour toutes les mesures, et aussi celle dont le nom figure dans la case « Confiée à » de la section 2, mais il peut aussi s'agir de quelqu'un qui a été chargé de s'occuper des mesures, mais qui relève de la personne responsable de la gestion du risque.
Date cible Date à laquelle la mesure doit être prise.
Date d'exécution Date à laquelle la mesure entreprise a été réalisée.
Notes Champ réservé aux notes (facultatives).

Peut servir à préciser les ressources nécessaires à la mise en œuvre du plan d'action à l'égard du risque.

2.4 Exemples de FRR de l'an 2000 contenant des données

2.4.1 Exemple A - Risque pour l'organisation/pour le projet
 La FRR de l'an 2000 suivante figure ici à titre d'EXEMPLE SEULEMENT. Le risque en question est basé sur un scénario imaginaire selon lequel un ministère X a identifié un risque de financement insuffisant du projet de l'an 2000.

FICHE DE RENSEIGNEMENTS SUR LE RISQUE
(PARTIE 1 – À remplir absolument, conformément à la politique du SCT)
Ministère/
organisme :

Ministère X
1. RENSEIGNEMENTS SUR L'ÉVALUATION DU RISQUE
Rang : 2 Id. du risque : Financement insuffisant Identifié le : 5 janv. 1998
Énoncé du risque :
Il est possible que le financement des activités du projet de l'an 2000 au-delà de mars 1998 ne soit pas approuvé à temps pour que les activités liées au projet soient menées à bien dans les délais prévus.

Par conséquent, des activités du projet de l'an 2000 risquent de ne pas avoir lieu, ce qui aurait des répercussions sur le calendrier des travaux du projet.
Contexte :
On prépare actuellement la présentation au Conseil du Trésor pour obtenir le financement nécessaire; elle devrait être envoyée le 10 mars 1998.

Au 5 janvier 1998, on n'avait terminé la conversion d'aucun des actifs vulnérables au problème de l'an 2000.
Probabilité : Élevée
Impact sur le projet : Élevé
Délai : Court
Source : Manque de contrôle
Intervention : Éviter Renvoyé à un niveau plus élevé : Autre _______________¨

SCT ¨ SM ¨

SMA ¨ Com. dir. n
2. RENSEIGNEMENTS SUR LA GESTION DU RISQUE
Confiée à : Date d'exécution du plan d'action :
M. Y 20 mars 1998
Aperçu de la stratégie de gestion du risque :
La stratégie de gestion du risque est conçue pour obtenir le contrôle budgétaire.
Indicateurs/symboles de matérialisation du risque : Méthode de collecte :
1. Retards

2. Impossibilité d'avoir recours à la sous-traitance

 1. Calendrier des travaux/rapports des progrès

2. Demandes pour embaucher des sous-traitants pas approuvées
3. RENSEIGNEMENTS SUR LES OPÉRATIONS
Ministère/organisme: Ministère X
Fonction(s) : Toutes celles qui font appel à des actifs vulnérables au problème de l'an 2000 Criticité Administration fédérale n

Ministère/organisme n
Impact sur les opérations : Les pannes des actifs vulnérables causées par le problème de l'an 2000 interrompront les opérations des fonctions suivantes, qui sont essentielles à la mission de l'administration fédérale et du ministère :
  1. Assurer le service X (essentiel à la mission de l'administration fédérale)
  2. Payer les fonctionnaires (essentiel à la mission du ministère)
Plan d'urgence : Plan d'urgence du ministère X
  1. Rétablir la fonction « Assurer le service X » — Procédure d'urgence 2.3.1-003
  2. Rétablir la fonction « Payer les fonctionnaires » — Procédure d'urgence 4.3.1-001
Déclencheur :
  • Si les actifs vulnérables au problème de l'an 2000 utilisés pour la fonction « Assurer le service X » ne sont pas certifiés conformes à l'an 2000 d'ici au 1er janvier 1999, le plan d'urgence sera mis en œuvre.
  • Si la conversion à l'an 2000 des actifs vulnérables au problème de l'an 2000 utilisés pour la fonction « Payer les fonctionnaires » n'est pas certifiée conforme à l'an 2000 d'ici au 15 décembre 1999, le plan d'urgence sera mis en œuvre.
4. RENSEIGNEMENTS SUR L'ÉTAT
État : Date de l'état :
Ouvert 21 janvier 1998
Approbation : Date de fermeture :
Signature de M. Y  
Raison de la fermeture :
 

 

FICHE DE RENSEIGNEMENTS SUR LE RISQUE
(PARTIE 2 – Précisions sur la gestion du risque)
Ministère/
organisme :

Ministère X
Rang : 2 Id. du risque : Financement insuffisant Identifié le : 5 janv. 1998
5. RENSEIGNEMENTS SUR LE PLAN D'ACTION À L'ÉGARD DU RISQUE
Mesures Responsabilité Date cible Date d'exécution

1. Préparer la présentation au Conseil du Trésor pour obtenir plus d'argent

 M. Y 5 février 1998  

2. Faire signer la présentation au Conseil du Trésor par les cadres supérieurs, puis la lui faire parvenir

 M. Y 20 février 1998  

3. Obtenir l'autorisation du Conseil du Trésor

 M. Y 20 mars 1998  
Notes:
Il a été décidé que MM. A et B travailleraient exclusivement à ce projet afin que la présentation à l'intention du Conseil du Trésor puisse lui être envoyée le 20 février, plutôt que le 10 mars 1998.

2.4.2 Exemple B - Risque technique
 La FRR de l'an 2000 suivante figure ici à titre d'EXEMPLE SEULEMENT. Le risque en question est basé sur un scénario imaginaire selon lequel un ministère X a identifié un risque résultant de l'impossibilité d'obtenir une version adaptée à l'an 2000 de l'« Équipement A ».

FICHE DE RENSEIGNEMENTS SUR LE RISQUE
(PARTIE 1 – À remplir absolument, conformément à la politique du SCT)
Ministère/ organisme:

Ministère X
1. RENSEIGNEMENTS SUR L'ÉVALUATION DU RISQUE
Rang : 3 Id. du risque : L« 'Équipement A » n'est pas conforme à l'an 2000 Identifié le : 12 avril 1998
Énoncé du risque :
L'« Équipement A » du fournisseur A risque de devoir être mis au rancart, puisque celui-ci est incapable de fournir des précisions ou des plans pour le faire certifier conforme à l'an 2000.

L'« Équipement A » existant risque par conséquent de ne pas être certifié conforme à l'an 2000.
Contexte :
On a constaté que l'« Équipement A » est vulnérable au problème de l'an 2000 pendant la phase d'évaluation du projet de l'an 2000. Le fournisseur A n'a pas répondu à notre lettre lui réclamant une déclaration de conformité an 2000 pour une version future de cet « Équipement A ».

L'« Équipement A » est utilisé pour la fonction « Assurer le service C ».
Probabilité : Élevée
Impact sur le projet : Élevé
Délai : Moyen
Source : Manque d'information
Intervention : Éviter Renvoyé à un niveau plus élevé : Autre _______________¨

SCT ¨ SM ¨

SMA ¨ Com. dir. ¨
2. RENSEIGNEMENTS SUR LA GESTION DU RISQUE
Confiée à : Date d'exécution du plan d'action :
M. Z  
Aperçu de la stratégie de gestion du risque :
La stratégie de gestion du risque est conçue pour nous permettre de mieux connaître l'aptitude du fournisseur A à livrer une version conforme an 2000 de l'« Équipement A ».
Indicateurs/symboles de matérialisation du risque : Méthode de collecte :
1. Retard de la conversion à l'an 2000 de l'« Équipement A ». 1. Calendrier des travaux/rapports des progrès
3. RENSEIGNEMENTS SUR LES OPÉRATIONS
Fonction(s) : « Assurer le service C » Criticité Administration fédérale ¨

Ministère/organisme n
Impact sur les opérations : Une panne de l'« Équipement A » causée par le problème de l'an 2000 réduira la fonction « Assurer le service C » à 25 % de sa capacité.
Plan d'urgence : Plan d'urgence du ministère X

1. Rétablir la fonction « Assurer le service C » — Procédure d'urgence 10.2.5-002
Déclencheur :

1. Si une version conforme an 2000 de l'« Équipement A » n'est pas disponible d'ici au
4. RENSEIGNEMENTS SUR L'ÉTAT
État : Date de l'état :
Ouvert 12 avril 1998
Approbation : Date de fermeture :
Signature de M. Z  
Raison de la fermeture :
 

 

FICHE DE RENSEIGNEMENTS SUR LE RISQUE
(PARTIE 2 – Précisions sur la gestion du risque)
Ministère/ organisme: Ministère X
Rang : 3 Id. du risque : Équipement non conforme à l'an 2000 Identifié le : 12 avril 1998
5. RENSEIGNEMENTS SUR LE PLAN D'ACTION À L'ÉGARD DU RISQUE
Mesures Responsabilité Date cible Date d'exécution

1. Tenter une deuxième fois de communiquer avec le fournisseur A

 M. Z 10 mai 1998  

2. Faire une analyse des possibilités d'obtenir d'autres équipements ou d'en substituer à l'« Équipement A »

 M. Z 1er juin 1998  

3. Choisir un équipement de remplacement ou en substituer à l'« Équipement A »

 M. Z 1er juillet 1998  

4. Intégrer l'équipement de remplacement ou en substituer à l'« Équipement A »

 M. Z 2 oct. 1998  

5. Vérifier si l'équipement de remplacement ou l'équipement substitué à l'« Équipement A » est vulnérable au problème de l'an 20000

 M. Z 10 janv. 1999  

6. Certifier/valider l'équipement de remplacement ou l'équipement substitué à l'« Équipement A » conforme an 2000

 M. Z 3 février 1999  
Notes:
Aucune

 

FICHE DE RENSEIGNEMENTS SUR LE RISQUE
(PARTIE 1 – À remplir absolument, conformément à la politique du SCT)
Ministère/ Organisme Ministère X
1. RENSEIGNEMENTS SUR L'ÉVALUATION DU RISQUE
Rang : 4 Id. du risque : Incapacité de verser des prestations Identifié le : 8 oct. 1998
Énoncé du risque :
Il est possible que les prestations à l'intention des personnes admissibles ne soient pas versées au-delà de janvier 2000.

Ce risque aurait une incidence sur le bien-être économique de milliers de Canadiens.
Contexte :
Le ministère X verse des prestations à plus de un million de Canadiens dans le cadre du Programme Y. Ces prestations représentent la source principale de revenus d'un grand nombre de ces personnes et leur sont donc essentielles.

Le ministère X dépend de plusieurs partenaires pour verser ces prestations et n'a présentement aucun contrôle sur la progression de leurs travaux consacrés à résoudre le problème de l'an 2000.
Probabilité : Moyenne
Impact sur le projet : Élevé
Délai : Court
Source : Manque de contrôle
Intervention : Éviter Renvoyé à un niveau plus élevé : Autre _______________¨

SCT ¨ SM n

SMA ¨ Com. dir. ¨
2. RENSEIGNEMENTS SUR LA GESTION DU RISQUE
Confiée à : Date d'exécution du plan d'action :
M. Y 15 nov. 1998
Aperçu de la stratégie de gestion du risque :
La stratégie de gestion du risque a pour objectif d'obtenir le contrôle sur certains partenaires clés en officialisant leur engagement à verser des prestations au moyen d'accords juridiques spéciaux.
Indicateurs/symboles de matérialisation du risque : Méthode de collecte :
1. Écarts dans les plans des partenaires en question

2. Plaintes de non-versements de la part des bénéficiaires

 1. Rapports de progrès

2. Plaintes au ministère
3. RENSEIGNEMENTS SUR LES OPÉRATIONS
Fonction(s) : Verser des prestations Criticité Administration fédérale n

Ministère/organisme ¨
Impact sur les opérations : Incapacité de verser des prestations
Plan d'urgence : Émettre des chèques manuellement et les faire parvenir aux bénéficiaires par un service spécial de messageries.
Déclencheur : 1. Indication évidente que certains partenaires ne seront pas prêts.

2. Plaintes de la part des bénéficiaires.
4. RENSEIGNEMENTS SUR L'ÉTAT
État : Date de l'état :
Ouvert 14 oct. 1998
Approbation : Date de fermeture :
Signature de M. Y  
Raison de la fermeture :
 


Annexe J  -  Exemple de liste de risques

La liste ci-dessous contient l'information suivante sur le risque :

  1. Identificateur du risque;
  2. Énoncé du risque; et
  3. Contexte.

La définition des éléments de données caractérisant le risque se trouve à l'annexe I - Fiche de renseignements sur le risque.

Tableau J-1 – Liste de risques

Id.

Énoncé du risque

Contexte
Planification d'urgence Il y a un risque que les plans d'urgence ne soient pas prêts dans certaines organisations parce que cette activité semblait moins urgente que celles consacrées au problème de l'an 2000 et aux opérations courantes. . Dans le contexte du projet de l'an 2000, un plan d'urgence identifie les mesures à prendre afin d'assurer la continuité d'une fonction.
  L'absence de plans d'urgence peut résulter en l'inhabileté à rétablir certaines fonctions ce qui peut entraîner des conséquences sur le plan social, juridique et politique Lors des sessions de travail et durant l'évaluation des risques, plusieurs discussions ont porté sur les plans antisinistres et les plans de reprise des activités. Par contre, il y a eu très peu d'échanges au sujet de la planification de mesures d'urgence relatives au problème de l'an 2000.
Planification des ressources humaines Il y a un risque que le ministère « X » n'ait pas les ressources humaines nécessaires pour réaliser les activités de conversion à l'an 2000. Ce risque est mis en évidence par les pertes en ressources humaines du gouvernement en faveur de l'entreprise privée, et la dépendance importante du gouvernement envers celle-ci. Au mois de juillet 1997, les actions suivantes avaient été exécutées :

Le Bureau de projet de l'an 2000 a rédigé et diffusé une demande de proposition visant la conversion des systèmes à l'an 2000;
  Les conséquences de ce risque se traduisent par un retard dans le calendrier de conversion et la possibilité que certaines conversions ne soient pas terminées avant l'an 2000.
  • Le BP de l'an 2000 a entrepris l'élaboration d'une nouvelle stratégie d'acquisition pour obtenir les ressources nécessaires à la conversion des systèmes à l'an 2000, laquelle ne peut encore être identifiée (ressources relatives aux opérations, à l'infrastructure et ressources pour le Bureau de projet de l'an 2000);
   
  • Le Bureau de projet de l'an 2000 a entrepris l'élaboration d'une stratégie/d'un plan de gestion des ressources humaines.
Activités opérationnelles Les activités opérationnelles peuvent détourner l'attention et les priorités au détriment des efforts consacrés au problème de l'an 2000, entraînant du coup une demande supplémentaire en ressources humaines du même type que celles requises pour l'an 2000. Le recours possible à l'impartition ajoute un élément nouveau à une situation déjà fort complexe. Plusieurs projets sont présentement en développement, tels les projets « X », « Y » et « Z ».
  Les conséquences de ce risque consistent, entre autres, en un besoin croissant en ressources humaines et la possibilité que certaines conversions ne soient pas terminées avant l'an 2000.  


Annexe K  -  Exemple d'outils existants pour la continuité des opérations

Les outils ou documents existants en matière de continuité des opérations peuvent comprendre des :

  • Plans de reprise des opérations;
  • Plans antisinistres;
  • Procédures d'utilisation normalisées (peuvent inclure certains éléments relatifs à la continuité des opérations);
  • Manuels d'utilisation (peuvent inclure certains éléments relatifs à la continuité des opérations);
  • Inventaires (incluant des bibliothèques de bandes magnétiques);
  • Documents faisant état de leçons apprises suite à des situations de crise;
  • Listes de personnel (y compris des listes de numéros de téléphone à jour);
  • Listes d'installations (y compris les adresses, les numéros de téléphone, le nom de personnes-ressources, etc.);
  • Renseignements ministériels;
  • Conventions de services d'urgence;
  • Listes des clients principaux ;
  • Listes de matériel et de fournitures pour le PRO;
  • Listes d'applications de technologie de l'information;
  • Listes d'équipement de technologie de l'information;
  • Listes d'équipement de bureau;
  • Listes d'autres types d'équipement;
  • Listes des fournisseurs principaux;
  • Listes des personnes-ressources principales/secondaires de l'équipe;
  • Registres de stockage hors place / de documents essentiels; et
  • Registres des incidents.


Annexe L  -  Procédure détaillée – étape « Analyser »

Aperçu de la procédure

L'analyse du risque fait suite à l'étape d'identification du risque et vise à recueillir de l'information pouvant aider à prendre des décisions à l'égard du risque dans le cadre du projet de l'an 2000. Le tableau suivant indique les étapes à suivre pour analyser les risques. Une procédure détaillée pour analyser et déterminer les besoins en matière de planification de mesures d'urgence est proposée à l'annexe N.

Tableau L-1 – Procédure d'analyse du risque

Étapes de l'analyse

Description

Responsable
1. Tenir un atelier d'analyse du risque. Créer un groupe d'intervenants ayant participé à divers ateliers d'identification du risque pour mener un atelier visant à analyser chaque risque.

Ce genre d'atelier peut également être tenu pour le personnel du BP de l'an 2000 seulement.

 Gestionnaire du projet de l'an 2000
2. Attribuer une cote aux propriétés de chaque risque.
Durant l'atelier d'analyse du risque, préciser les propriétés suivantes pour chaque risque :

Probabilité : élevée, moyenne ou faible
Impact : élevé, moyen ou faible;
Délai : court, moyen, ou long;

(veuillez vous référer à l'annexe I – Fiche de renseignements sur le risque – pour obtenir plus d'information)

 Gestionnaire du projet de l'an 2000
3. Déterminer la source du risque.
Durant l'atelier d'analyse du risque, déterminer la source de chaque risque selon les catégories suivantes :
  • Manque d'information :
    Cette source de risque laisse supposer qu'il n'y a pas assez d'information sur la probabilité qu'un événement (risque) se produise et/ou sur ses répercussions. (Par exemple, les risques associés à l'utilisation de nouvelles technologies sont souvent le résultat d'un manque d'information sur les possibilités ou les capacités de ces technologies);
  • Manque de contrôle :
    Cette source de risque suggère que l'équipe de projet manque de contrôle quant à la probabilité de réalisation de l'événement (risque) et/ou de ses conséquences. (Par exemple, manque de contrôle sur les ressources, le budget, les décisions, etc.);
  • Manque de temps :
    Cette source de risque laisse entendre que le temps manquera au cours du projet pour identifier les risques ou pour élaborer un plan d'action. De même, les responsables du projet n'auront peut-être pas suffisamment de temps pour évaluer la probabilité qu'un risque se concrétise et les répercussions qu'il pourrait avoir.
 Gestionnaire du projet de l'an 2000
4. Déterminer l'intervention à adopter face au risque.
Durant l'atelier d'analyse du risque, déterminer quelle intervention adopter parmi les suivantes pour chaque risque :
  • Accepter :
    Laisser ce risque se concrétiser, ne pas intervenir et accepter les conséquences;
  • Éviter :
    Élaborer et mettre en œuvre des stratégies de mitigation et des plans d'action avant la matérialisation du risque;
  • Contrôler :
    Élaborer des stratégies de mitigation et des plans d'action à mettre en œuvre après la matérialisation du risque;
  • Transférer :
    Transférer la responsabilité du risque à une tierce partie. Ne pas oublier cependant que le ministère doit tout de même assurer un suivi et un contrôle car il n'est pas garanti que cette tierce partie réussisse à atténuer le risque.
  • Renvoyer :
    Renvoyer la responsabilité du risque à un autre niveau de l'organisation, par exemple :
  • Autre – une autre organisation ou partie qui peut aider à gérer le risque.
  • SCT – Le Secrétariat du Conseil du Trésor.
  • SM – Le sous-ministre.
  • SMA – Le sous-ministre adjoint.
  • Com. dir. – Le comité directeur du projet de l'an 2000.
 Gestionnaire du projet de l'an 2000
5. Établir le rang du risque.

 

 Durant l'atelier d'analyse du risque, établir le rang ou l'ordre de priorité du risque au moyen de l'une des méthodes suivantes :
  • Méthode comparative (se référer au CRM Guidebook) – méthode qui consiste à comparer chaque risque les uns aux autres pour déterminer lequel est le plus important;
  • Méthode par vote (se référer au CRM Guidebook) – méthode qui consiste à établir une moyenne de tous les votes personnels relativement à l'importance perçue de chaque risque;
  • Méthode par cote (se référer au CRM Guidebook) – méthode qui consiste à retenir les risques ayant reçus une cote « moyenne » ou « élevée » du point de vue de la probabilité et de l'impact (répercussions).

À titre indicatif, les risques dont la probabilité et l'impact sont « faibles » devraient être exclus de l'exercice d'établissement des priorités. Pour réaliser une gestion efficace du risque, il est important de s'attaquer aux risques moyens et élevés.

 Intervenants du projet de l'an 2000 (Personnes ressources du BP et autres personnes au sein du ministère)
6. Approuver les nouveaux risques identifiés
Le gestionnaire du projet de l'an 2000 approuve les risques identifiés dans la liste définitive des risques. Gestionnaire du projet de l'an 2000
7. Remplir des fiches de renseignements sur le risque.
Une fois que les risques sont approuvés, consigner chacun d'eux sur une fiche de renseignements (se référer à l'annexe I). Chaque fiche de renseignements sur le risque servira de référence pour faciliter la gestion des risques identifiés. Gestionnaire du projet de l'an 2000

Nota : La responsabilité attribuée au gestionnaire du projet de l'an 2000 peut être déléguée à d'autres membres de l'organisation, y compris la vérification



Annexe M  -  Table des matières  -  Exemple de rapport d'évaluation du risque

Un rapport d'évaluation du risque devrait inclure les points suivants en accord avec les section 3 (Identifier) et 4 (Analyser) du guide.

TABLE DES MATIÈRES

RÉSUMÉ

1. INTRODUCTION

1.1 Contexte
1.2 But
1.3 Portée
1.4 Objets
1.5 Références

2. MÉTHODE

3. RÉSULTATS DE L'ÉVALUATION DES RISQUES

3.1 Sommaire de l'évaluation des risques
3.2 Observations
3.3 Problèmes
3.4 Évaluation détaillée des risques
3.5 Types de sources

3.5.1 Source des risques
3.5.2 Résultats de l'analyse des sources de risque

3.6 Types d'intervention

3.6.1 Interventions à l'égard des risques
3.6.2 Résultats de l'analyse des interventions à l'égard des risques

4. STRATÉGIES DE GESTION DES RISQUES

4.1 Risques à accepter
4.2 Stratégies d'évitement
4.3 Stratégies de contrôle
4.4 Stratégies de transfert

5. CONCLUSION

5.1 Prochaine étape
5.2 Conclusion

ANNEXES

Annexe A – Participants à l'évaluation des risques
Annexe B – Résultats du classement comparatif des risques
Annexe C – Grille d'évaluation du risque détaillée (ERD)



Annexe N  -  Définition des besoins en matière de continuité des opérations -  Procédure détaillée

Aperçu de la procédure

Pour assurer la continuité des opérations, il est essentiel de déterminer à quel moment et à quel endroit les plans d'urgence devront être conçus et mis en œuvre. Le tableau ci-après présente les étapes à suivre pour aider les ministères à déterminer ces besoins. Cette procédure devrait être effectuée au cours de l'étape « Analyser ».

Tableau N-1 – Procédure pour définir les besoins en matière de continuité des opérations
Étapes Description Responsable
1. Effectuer une analyse des répercussions sur les opérations À l'aide de la liste de priorité des fonctions essentielles à la mission, de la correspondance des éléments d'actif (étape « Identifier ») et des fiches de renseignements sur le risque (étape « Analyser »), effectuer une analyse des répercussions sur les opérations. Il pourrait être nécessaire d'obtenir des renseignements du bureau du projet/programme de l'an 2000 sur les progrès réalisés pour que les éléments d'actif soient conformes à l'an 2000. Responsable de la fonction
  Pour chaque fonction de gestion essentielle à la mission,  
  a. Est-ce qu'un risque a été associé à la fonction ou à l'un de ses éléments d'actif?  
 
  • OUI – Il faut prévoir des mesures d'urgence. Passer à l'étape 2 pour mettre au point les détails du plan d'urgence.
  
 
  • NON – Passer à la question suivante (1-b).
  
  b. Y a-t-il des éléments d'actif liés à cette fonction qui peuvent être touchés par le problème de l'an 2000 en plus de ceux identifiés au cours de l'évaluation des risques?  
 
  • OUI – Il est nécessaire de faire une analyse plus approfondie pour déterminer si la fonction de gestion nécessite un plan d'urgence. Passer à la question 1-c.
  
 
  • NON – Aucun plan d'urgence n'est requis pour la fonction de gestion ou les éléments d'actif. Cette décision doit être documentée et approuvée par la haute direction.
  
  c. Est-ce que le ou les éléments d'actif vulnérables au problème de l'an 2000 sont essentiels (ou considérés comme importants) pour la prestation des services de la fonction (ou pour la prestation d'un service minimal acceptable)?  
 
  • OUI – La fonction de gestion nécessite un plan d'urgence. Passer à l'étape 2 pour mettre au point les détails du plan d'urgence.
  
 
  • NON – Aucun plan d'urgence n'est requis pour la fonction de gestion ou les éléments d'actif. Cette décision doit être documentée et approuvée par la haute direction. Nota : Les ministères doivent informer leur personnel de l'intervention qu'ils choisiront à l'égard du risque (c.-à-d. totalement opposé au risque, prêt à accepter certains risques, etc.) pour orienter cet exercice.
  
2. Préparer un plan d'urgence de haut niveau pour l'ensemble de la fonction? Pour chaque fonction associée à un risque connu (étape 1-a) ou comportant des éléments d'actif vulnérables (étape 1-c), préparer un plan d'urgence pour faire face à une panne éventuelle (peut être appliqué à l'ensemble de la fonction, ou se limiter à un élément d'actif ou à une combinaison d'éléments). Responsable de la fonction
  Facteurs à considérer à cette étape :  
  1. Quel est le niveau de fonctionnalité requis pour maintenir un niveau de service acceptable?  
  2. Quel est le niveau minimal acceptable de fonctionnalité pour l'élément d'actif?  
  3. Est-ce que tous les éléments d'actif appartenant à la catégorie sont essentiels à la fonction ou est-ce que seulement une partie pourrait suffire à assurer un niveau minimal de service?  
  4. Quel type de plan d'urgence sera mis en place : manuel, semi-informatisé ou informatisé?  
  5. Calendrier de mise en œuvre  
 
  • Quand le plan d'urgence devrait-il être mis en œuvre (acquisition, essai, formation, mise à jour, déploiement)?
  
 
  • Qui se chargera de ces activités?
  
 
  • Pendant combien de temps le plan devra-t-il être en place?
  
 
  • Qu'est-ce qui déclenchera la mise en œuvre du plan d'urgence?
  
 
  • Combien coûtera la mise en œuvre du plan d'urgence?
  
3. Surveiller les progrès Pour chaque fonction essentielle à la mission et élément d'actif correspondant : Responsable de la fonction
  a. Craint-on qu'il y ait des écarts par rapport au calendrier, des retards successifs, etc.?  
 
  • OUI – Revoir le plan d'urgence pour s'assurer qu'il y a un plan prévu pour l'élément d'actif et la fonction de gestion. S'il n'y en a pas, en préparer un en suivant l'étape 2, puis passer à l'étape 3-b.
  
 
  • NON – Continuer de surveiller la situation et passer à la question suivante (étape 4 ou 5).
  
  b. Est-ce que la situation a évolué de façon telle qu'il faudrait mettre en œuvre le plan d'urgence?  
 
  • OUI – Mettre en œuvre le plan d'urgence.
  
 
  • NON – Continuer de surveiller la situation et passer à la question suivante (étape 4 ou 5).
  
4. Surveiller les activités de gestion du risque continue Pour chaque fonction essentielle à la mission et élément d'actif correspondant : a. Est-ce que, d'après les indicateurs sur les fiches de renseignements, un ou des risques sont en train de se concrétiser? Responsable de la fonction
 
  • OUI – Mettre en œuvre le plan d'urgence associé au risque.
  
 
  • NON – Continuer de surveiller la situation et passer à la question suivante (étape 5 ou 3).
  
  b. A-t-on identifié de nouveaux risques?  
 
  • OUI – Revoir le plan d'urgence pour s'assurer qu'il y a un plan prévu pour l'élément d'actif et la fonction de gestion. S'il n'y en a pas, en préparer un en suivant l'étape 2, puis passer à l'étape 3-b.
  
 
  • NON – Continuer de surveiller la situation et passer à la question suivante (étape 5 ou 3).
  
5. Passer en revue les rapports de vérification et de validation Pour chaque fonction essentielle à la mission et élément d'actif correspondant : a. Est-ce que les rapports de vérification et de validation font craindre qu'une fonction ou qu'un élément d'actif ne sera pas prêt pour l'an 2000? Responsable de la fonction
 
  • OUI – Revoir le plan d'urgence pour s'assurer qu'il y a un plan prévu pour l'élément d'actif et la fonction de gestion. S'il n'y en a pas, en préparer un en suivant l'étape 2, puis passer à l'étape 5-b.
  
 
  • NON – Continuer de surveiller la situation et passer à la question suivante (étape 3 ou 4).
  
  b. Est-ce que la situation a évolué de façon telle qu'il faudrait mettre en œuvre le plan d'urgence?  
 
  • OUI – Mettre en œuvre le plan d'urgence.
  
 
  • NON – Continuer de surveiller la situation et passer à la question suivante (étape 3 ou 4).
  


Annexe O  -  Procédure détaillée – étape « Planifier »

Aperçu de la procédure

L'étape « Planifier » consiste à préparer divers documents de planification ayant des points communs, soit des plans d'action, des plans d'intervention d'urgence et des plans de préparation pour assurer la continuité des opérations. Le tableau suivant indique les étapes à suivre pour élaborer des plans d'action en rapport avec les risques identifiés. Des tables des matières sont fournis pour les autres plans à titre d'exemples.

Tableau O-1 – Procédure détaillée de la planification de plans d'action
Étapes de planification Description Responsable
1. Tenir un atelier de planification sur le risque. Identifier les intervenants majeurs du projet de l'an 2000 pour qu'ils participent à un atelier visant à élaborer des plans d'action pour atténuer les risques identifiés. Gestionnaire du projet de l'an 2000
2. Déterminer qui est responsable du risque Répondre à la question « À qui appartient le risque? »

Examiner chaque risque consigné dans les fiches de renseignements sur le risque (FRR) pour en évaluer la validité et pour déterminer si le BP de l'an 2000 en est responsable.

 Gestionnaire du projet de l'an 2000
  À l'aide du schéma de détermination de la responsabilité (CRM Guidebook, chapitre 6, partie 2), se demander pour chaque risque :  
  a. Est-ce que le BP de l'an 2000 est responsable de gérer ce risque?  
 
  • OUI – Le BP de l'an 2000 conservera la responsabilité de ce risque. Aller à l'étape suivante (3) pour déterminer la méthode à utiliser pour gérer ce risque;
  
 
  • NON – Répondre à la prochaine question - b).
  
  b. L'organisation fonctionnelle est-elle responsable de gérer ce risque?  
 
  • OUI – Le BP de l'an 2000 doit déléguer la responsabilité du risque à l'organisation fonctionnelle. Déterminer quelle organisation est la mieux placée pour se charger du risque et lui demander de suivre une démarche semblable à celle décrite à l'étape 3 (déterminer la méthode à utiliser pour gérer ce risque) ou aider l'organisation désignée à réaliser cette activité. Comme le risque peut encore avoir des répercussions négatives sur le projet de l'an 2000, le Bureau de projet doit continuer d'assurer un suivi des activités qui sont consacrées à le mitiger;
  
 
  • NONTransférer la responsabilité à une autre organisation (p. ex. le Conseil du Trésor) et lui demander de suivre une démarche semblable à celle décrite à l'étape 3 (déterminer la méthode à utiliser pour gérer ce risque) ou aider l'organisation désignée à réaliser cette activité. Comme le risque peut encore avoir des répercussions négatives sur le projet de l'an 2000, le Bureau de projet doit continuer d'assurer un suivi des activités qui sont consacrées à le mitiger.
  
3. Analyser le risque et déterminer la méthode à utiliser pour le gérer. Répondre à la question « Comment pouvons-nous l'aborder? »

Pour chaque risque dont le BP de l'an 2000 (ou une autre organisation – voir étape 2, b) est responsable, vérifier si le risque est bien compris, puis déterminer la méthode appropriée pour l'aborder.

 Gestionnaire du projet de l'an 2000
  À l'aide du schéma de détermination de la méthode (CRM Guidebook, chapitre 6, partie 2), se demander pour chaque risque :  
  a. Est-ce que le BP de l'an 2000 comprend le risque et celui-ci est-il décrit clairement dans la fiche de renseignements sur le risque?  
 
  • OUI – Aller à la prochaine question - b);
  
 
  • NON – Recueillir plus de renseignements sur le risque, puis retourner à l'étape 2 (Déterminer qui est responsable…).
  
  b. Le BP est-il en mesure d'accepter le risque sans intervenir pour diminuer ou contrôler sa probabilité et ses répercussions (cette question permet de valider l'aspect « Intervention » de la fiche de renseignements sur le risque)?  
 
  • OUI – Aucune action n'est nécessaire. Le Bureau de projet de l'an 2000 acceptera (ou assumera) toute répercussion associée à la concrétisation du risque;
  
 
  • NON – Répondre à la prochaine question - c).
  
  c. Le BP de l'an 2000 peut-il faire quoi que ce soit à propos de ce risque? A-t-il besoin d'intervenir?  
 
  • OUI – Le BP de l'an 2000 doit élaborer des stratégies de mitigation (ou d'évitement) à mettre en œuvre avant que le risque se concrétise pour diminuer ou éviter complètement la probabilité que le risque se matérialise et atténuer ses répercussions. Aller à l'étape 4 (Élaborer des plans d'action);
  
 
  • NON – Le BP de l'an 2000 doit élaborer des stratégies de surveillance (ou de contrôle) pour gérer le risque lorsque celui-ci se concrétisera de manière à en atténuer les répercussions. Aller à l'étape 4 (Élaborer des plans d'action).
  
4. Élaborer des plans d'action Réponse à la question « Quelles mesures doit-on prendre et quelle sera leur étendue? »

Pour chaque risque dont le BP de l'an 2000 est responsable et qui doit être mitiger (évitement) ou surveiller (contrôle) (selon l'issue de l'étape 3 - c), élaborer diverses stratégies visant à y faire face. Cette activité peut être réalisée au moyen d'un remue-méninges.

 Gestionnaire du projet de l'an 2000
  Après avoir réalisé cette activité, choisir la meilleure stratégie (ou une combinaison de celles-ci), c'est-à-dire celle qui réduira au minimum la probabilité de concrétisation du risque, de même que ses répercussions négatives. La stratégie privilégiée doit alors être élaborée en précisant un plan d'action pour chaque risque.  
  Le plan d'action consiste en une série de mesures qui aideront le BP de l'an 2000 ou la ressource ministérielle à mettre en œuvre la stratégie de mitigation.  
  Le plan d'action doit accompagner la fiche de renseignements sur le risque.  
5. Désigner un responsable du risque au sein du BP de l'an 2000 Pour chaque risque nécessitant un plan d'action (qu'il appartienne au BP de l'an 2000, ou qu'il ait été transféré à un ministère ou à une autre organisation, comme le SCT), désigner un responsable du risque. Cette personne devra assurer un suivi de l'état de chaque risque, produire des rapports à ce sujet et accomplir d'autres tâches (l'élaboration de plans d'action, par exemple). Gestionnaire du projet de l'an 2000
6. Faire en sorte que des plans d'action soient élaborés. Pour chaque risque délégué à un ministère ou transféré à une organisation, le BP de l'an 2000 doit s'assurer que des plans d'action sont élaborés dans le cas des risques à éviter ou à contrôler.

Comme un risque délégué ou transféré peut encore avoir des répercussions négatives sur le projet de l'an 2000, le Bureau de projet doit continuer d'assurer un suivi des activités qui sont consacrées à le mitiger.

 Responsable du risque
7. Mettre en œuvre les plans d'action Pour chaque plan d'action élaboré et pour lequel une stratégie de mitigation du risque (ou d'évitement) était nécessaire, chaque responsable doit mettre en œuvre les mesures de la fiche de renseignements avant l'échéance fixée.

Les activités de mise en œuvre feront l'objet d'un suivi et d'une surveillance afin de déceler tout problème pouvant se produire.

 Responsable du risque

Nota : La responsabilité attribuée au gestionnaire du projet de l'an 2000 peut être déléguée à d'autres membres de l'organisation, y compris la vérification.



Annexe P  -  Table des matières — Exemple de plan d'urgence

Un plan d'intervention d'urgence devrait inclure les éléments suivants en accord avec la section 5 (Planifier) du guide.

TABLE DES MATIÈRES

RÉSUMÉ

1. INTRODUCTION

1.1 Contexte
1.2 Objet
1.3 Portée
1.4 Public
1.5 Lien avec d'autres plans/rapports

2. ORGANISATION

2.1 Structure de gouvernance
2.2 Intervenants clés dans la planification des mesures d'urgence pour l'an 2000

3. RÉSULTATS D'ANALYSE DE L'EXPOSITION

3.1 Évaluation de la capacité d'application des mesures d'urgence
3.2 Établissement des priorités des fonctions de gestion
3.3 Évaluation des risques
3.4 Besoins en matière de mesures d'urgence

4. APERÇU DE L'ACTIVITÉ DE PLANIFICATION DES MESURES D'URGENCE

4.1 Gérer le risque de façon continue
4.2 Élaborer des scénarios à appliquer en cas de crise
4.3 Concevoir un plan d'urgence
4.4 Concevoir un plan d'intervention en cas de crise
4.5 Rétablir les opérations

5. FORMATION RELATIVE AUX PLANS D'URGENCE

5.1 Objectifs
5.2 Besoins
5.3 Activités

6. ESSAI DES PLANS D'URGENCE

6.1 Objectifs
6.2 Besoins
6.3 Activités

7. MISE À JOUR DU PLAN D'URGENCE

7.1 Objectifs
7.2 Besoins
7.3 Activités

ANNEXE

Annexe A – Mesures d'urgence pour les fonctions essentielles à la mission

 

FICHE DE RENSEIGNEMENTS SUR LE PLAN D'URGENCE
(PARTIE 1 – À remplir absolument, conformément à la politique du SCT)
Ministère/Organisme :
1. Identification du plan d'urgence
Nom de la procédure :

Id. de la procédure :

 Fonction de gestion touchée (Conséquence) :

Id. de la fonction de gestion :
Description de la panne du système/ de l'actif (défaillance d'un élément ou de l'ensemble des actifs)  :

 

 Déclencheur 1 :
Déclencheur 2 :
Niveau maximal acceptable de dégradation :
Délai maximal acceptable avant la reprise des opérations :
Criticité de la mission :

Administration fédérale r

Ministère/organisme r

Autre r

 Examens :

Contentieux : r

Cabinet du sous-ministre : r
Autorité fonctionnelle (nom)  :

Numéro de téléphone :

 Responsable de l'actif (nom)  :

Numéro de téléphone :
2. Plans d'urgence
Procédures d'urgence : (Les responsables des procédures d'urgence peuvent adjoindre une description détaillée de leur procédure.)
  • Consiste en des mesures de mitigation

 

 
Principales ressources logistiques : (Emplacement d'outils, du guides, de fournitures et/ou de ressources relatifs à la procédure d'urgence)

 

 

 

 
Procédures d'intervention en cas de crise : (Mesures extraordinaires appliquées uniquement en cas de crise)

 

 

 

 
Procédures de reprise des opérations : (Mesures entreprises pour rétablir le cours normal des opérations)

 

 

 

 
3. Cycle de vie du plan d'urgence :
Fréquence de la formation : Fréquence des essais : Fréquence de la mise à jour :
Date de la dernière formation : Date du dernier essai : Date de la dernière mise à jour :
Approbation: Approbation: Approbation:
État de la version (Ébauche ou version finale) :
Approbation :
Date: Emplacement du fichier :


Annexe Q  -  Procédure détaillée  -   Exemple de scénario en cas de crise

Cette procédure contribue à la réalisation de l'activité définie à la section 4.2 du plan d'urgence.

Tableau Q-1 – Procédure détaillée d'un scénario en cas de crise

Étape

Description

Marche à suivre
Étape 1 Déterminer les points vulnérables (Identification des obstacles / Évaluation des risques)
Étape 2 Préparer une liste des risques en fonction des priorités et des événements à conséquences majeures
Étape 3 Évaluer les capacités
Étape 4 Déterminer les objectifs d'un programme de prévention, de préparation et d'intervention (PPI)
Étape 5 Préparer un plan d'intervention en cas de crise (dans le cadre du programme PPI élaborer)
Étape 6 Élaborer des scénarios Avant de mettre le scénario en application :
  • Élaborer un scénario et des exercices à partir de la liste de risques;
  • Déterminer les principaux objectifs du scénario;
  • Déterminer les objectifs secondaires du scénario;
  • Établir une fiche récapitulative des événements anticipés;
  • Préparer des listes de vérification;
  • Préparer des fiches pour consigner les observations.
    Simulation de scénarios
(durée prévue : de 4 à 6 semaines)
  • Choisir un coordonnateur;
  • Sélectionner une équipe de travail pour préparer les scénarios;
  • Déterminer les objectifs et les points à examiner;
  • Déterminer la portée et l'étendue de la simulation;
  • Déterminer l'orientation et la présentation;
  • Déterminer les outils d'évaluation (généralement qualitative);
  • Établir le calendrier;
  • Déterminer les besoins en ressources (salle de réunion…).
    Exercices (scénarios)
(durée prévue : de 6 à 22 semaines)
  • Choisir un coordonnateur;
  • Sélectionner une équipe de travail pour préparer les exercices.
    Déterminer les objectifs et les points à examiner
  • Déterminer la portée et l'étendue de la simulation;
  • Déterminer l'orientation et la présentation;
  • Déterminer les outils d'évaluation (généralement qualitative);
  • Établir le calendrier des exercices de simulation;
  • Déterminer les besoins en ressources.


Annexe R  -  Table des matières  -   Modèle de plan d'intervention en cas de crise

Ce document constitue le développement de la section 4.4 du plan de mesures d'urgence

TABLE DES MATIÈRES

RÉSUMÉ

1. PLAN D'INTERVENTION EN CAS DE CRISE – MANDAT

1.1 Définition des objectifs à atteindre en cas de crise
1.2 Soutien de la direction
1.3 Définition du mandat
1.4 Introduction au plan
1.5 Approbation

2. PLAN D'INTERVENTION EN CAS DE CRISE – ÉVALUATION DU RISQUE / LISTE DE SCÉNARIOS CRÉDIBLES

2.1 Identification des risques
2.2 Niveaux de sécurité à atteindre
2.3 Évaluation des risques
2.4 Réduction et contrôle des risques

3. PLAN D'INTERVENTION EN CAS DE CRISE – ORGANISATION DE L'INTERVENTION

3.1 Organisation au niveau de la direction
3.2 Organisation de l'équipe d'intervention d'urgence
3.3 Intégration des différents volets (reprise des opérations, équipes d'intervention, information publique...)
3.4 Liste des personnes-ressources de l'équipe d'intervention
3.5 Organisation de l'équipe d'intervention - Chef de l'équipe
3.6 Liste de personnes-ressources de l'équipe
3.7 Centre de gestion de crise : emplacement, carte des ressources et fournitures

4. PLAN D'INTERVENTION EN CAS DE CRISE – ÉTAPES DU PLAN D'INTERVENTION

4.1 Seuils de crise et responsabilités en cas d'alerte
4.2 Activités d'évaluation et de planification
4.3 Application

5. PLAN D'INTERVENTION EN CAS DE CRISE – ÉVALUATION APRÈS LA CRISE

5.1 Suivi
5.2 Autopsie
5.3 Rapports

6. PLAN D'INTERVENTION EN CAS DE CRISE – PLAN DE COMMUNICATION

6.1 Listes des principales personnes-ressources
6.2 Listes des personnes-ressources secondaires
6.3 Relations avec les médias

7. PLAN D'INTERVENTION EN CAS DE CRISE – CONSIDÉRATIONS LÉGALES ET FINANCIÈRES

8. PLAN D'INTERVENTION EN CAS DE CRISE – PLAN DE FORMATION

8.1 Évaluation
8.2 Méthode
8.3 Programme d'assurance de la qualité
8.4 Exercices (scénarios)
8.5 Répétitions (scénarios)



Annexe S  -  Table des matières  -   Exemple de plan de reprise des opérations

Ce document constitue le développement de la section 4.5 du plan d'urgence.

TABLE DES MATIÈRES

1. INTRODUCTION AU PLAN DE REPRISE DES OPÉRATIONS

1.1 Approbation/ Mises à jour
1.2 Renseignements ministériels
1.3 Liste de scénarios

2. PLANIFICATION DE LA REPRISE DES OPÉRATIONS

2.1 Politique relative au Plan de reprise des opérations (PRO)
2.2 Mandat du PRO
2.3 Points à considérer dans l'élaboration du PRO
2.4 Options du PRO
2.5 Structure organisationnelle du PRO
     Rôles et responsabilités organisationnels

Équipe de gestion des crises
Équipes chargées du rétablissement de la production ministérielle
Équipe chargée de l'administration
Équipe chargée de l'équipement technologique
Autres équipes fonctionnelles

2.6 Programme d'essais et de mise à jour des scénarios du PRO

3. PROCÉDURES D'UTILISATION NORMALISÉES DU PRO

3.1 Activation
3.2 Lignes directrices en matière de communication / de notification
3.3 Centre de contrôle

4. MESURES DE RÉTABLISSEMENT

4.1 Diagramme de fonctionnement du PRO (notification, évaluation, planification, mise en oeuvre, fermeture)
4.2 Tâches de l'équipe de gestion de crises
4.3 Tâches de l'équipe d'administration
4.4 Tâches de l'équipe de gestion de l'équipement technologique
4.5 Tâches de l'équipe de rétablissement de la production

5. DOCUMENTS DE RÉFÉRENCE EN APPUI AU PRO

Annexe A - Renseignements ministériels
Annexe B - Plans de localisation des installations
Annexe C - Conventions de services d'urgence
Annexe D - Liste des clients principaux
Annexe E - Liste de matériel et de fournitures pour le PRO
Annexe F - Liste d'application de technologie de l'information
Annexe G - Liste d'équipement de technologie de l'information
Annexe H - Liste d'équipement de bureau
Annexe I - Liste d'autre équipement
Annexe J - Liste du personnel du ministère
Annexe K - Liste des fournisseurs principaux
Annexe L
- Listes des personnes-ressources principales/
secondaires de l'équipe
Annexe M - Registre de stockage hors place / de documents essentiels
Annexe N - Registre des incidents
Annexe O - Liste de l'inventaire critique (basée sur les scénarios)


Annexe T  -  Procédure détaillée — étape « Suivre »

Aperçu de la procédure

Le suivi devrait commencer dès le début de la mise œuvre des plans d'action du risque. Le tableau suivant indique les étapes permettant de faire le suivi.

Tableau T-1 – Procédure détaillée pour effectuer le suivi

Étapes de suivi du risque

Description

Responsable
1. Recueillir les renseignements sur le risque et les progrès réalisés
Chaque responsable d'un risque doit recueillir les données sur le risque selon les indicateurs consignés dans la fiche de renseignements sur le risque. Responsable du risque
Cette collecte de renseignements s'applique à tous les risques qui doivent être évités ou contrôlés, tel qu'indiqué dans la fiche de renseignements sur le risque.
Des données sur les progrès doivent aussi être recueillies au moyen des rapports de progrès du Bureau de projet.
2. Analyser les renseignements sur le risque
Les renseignements sur le risque et les progrès obtenus à l'étape no 1 doivent être analysés en fonction des limites établies relativement aux plans d'intervention. Les nouveaux renseignements peuvent être comparés aux précédents afin de déterminer si le risque est en train de se concrétiser ou s'il y a des écarts par rapport aux plans. Responsable du risque
3. Surveiller l'avancement de la mise en œuvre des plans d'action
Le gestionnaire du projet de l'an 2000 doit vérifier auprès des responsables des risques si leurs plans respectifs sont mis en application et respectent les échéanciers. Gestionnaire du projet de l'an 2000
4. Préparer ou mettre à jour le rapport de situation sur le risque
À partir des renseignements de l'étape no 2 (dans les FRR) et de l'étape no 3, préparer ou mettre à jour le rapport de situation sur le risque (c.-à-d. le niveau d'exposition à l'interruption des opérations). Le rapport doit indiquer l'état des risques et des plans de façon simple, concise et exacte pour que ces renseignements soient utilisés aux réunions du Bureau de projet et du Comité directeur du projet de l'an 2000. Gestionnaire du projet de l'an 2000
5. Consigner les renseignements sur le risque dans un rapport.
L'état des risques et des problèmes doit être discuté à la réunion du gestionnaire du projet de l'an 2000 et/ou à la réunion du Comité directeur. Gestionnaire du projet et responsable du risque

Nota : La responsabilité attribuée au gestionnaire du projet de l'an 2000 peut être déléguée à d'autres membres de l'organisation, y compris la vérification.



Annexe U  -  Procédure détaillée — étape « Contrôler »

Aperçu de la procédure

Le contrôle du risque s'effectue lorsqu'on a identifié des écarts par rapport au niveau du risque et aux plans élaborés à l'étape « Planifier ». Le tableau suivant indique les étapes permettant d'assurer le contrôle du risque.

Tableau U-1 – Procédure détaillée pour contrôler le risque

Étapes du contrôle

Description

Responsable
1. Analyser les rapports de situation
Le gestionnaire du projet de l'an 2000, le responsable du risque et les responsables des plans doivent analyser les rapports de situation produits à l'étape « Suivre »pour déterminer les tendances, les écarts ou les anomalies. Pour ce faire, ils peuvent utiliser un modèle d'analyse cause-effet. Gestionnaire du projet de l'an 2000
  Cette étape doit permettre de bien comprendre l'état de chaque risque et de chaque plan pour déterminer quelles mesures doivent être prises.  
2. Décider des prochaines mesures
À partir des renseignements obtenus grâce à l'analyse, le gestionnaire du projet doit choisir l'une des mesures suivantes : Gestionnaire du projet de l'an 2000
 
  • Continuer le suivi et l'exécution du plan actuel - si le risque N'EST PAS en train de se concrétiser;
  
 
  • Revoir et mettre à jour le plan d'action ou la fiche de renseignements sur le risque pour élaborer des mesures de mitigation du risque plus efficaces, si nécessaire;
  
 
  • Avoir recours aux mesures d'urgence qui figurent dans la fiche de renseignements sur le risque ou renvoyer le risque à un autre niveau de gestion - si le risque EST EN TRAIN de se concrétiser ou si cette probabilité est plus élevée;
  
 
  • Fermer le risque/cesser les travaux - si le risque n'existe plus ou si les travaux sont terminés à la satisfaction du gestionnaire du projet.
  
  Chaque fois qu'un problème ne peut être résolu, il faut le renvoyer à un autre niveau de gestion en respectant la structure de gouvernance.  
3. Mettre à exécution la décision adoptée
Mettre à exécution la décision de « contrôle » adoptée à l'étape no 2 ci-dessus. Gestionnaire du projet de l'an 2000 ou autre responsable du risque

Nota : La responsabilité attribuée au gestionnaire du projet de l'an 2000 peut être déléguée à d'autres membres de l'organisation, y compris la vérification.