AFAI - CIGREF
Post on 11-Feb-2016
42 Views
Preview:
DESCRIPTION
Transcript
AFAI - CIGREF
Mettre en œuvre une bonne gouvernance
L’apport des référentiels
11 MAI 2004 Patrick Stachtchenko 2
Le nouveau contexte
• Business
• Réglementaire
11 MAI 2004 Patrick Stachtchenko 3
Contexte business• Rôle central des systèmes d’information :
– Appui aux opérations : automatiser les processus, réduire les coûts,…
– Appui à la croissance : mieux connaître ses clients, augmenter le chiffre d’affaires,…
– Contribution à la création de valeur : produits, clients, salariés, partenaires, actionnaires,…
• Mais après quelques années d’«euphorie technologique» retour à la gestion en bon père de famille
11 MAI 2004 Patrick Stachtchenko 4
Contexte business• Phase de rationalisation :
– Intégration des vagues technologiques : ERP, CRM, SCM, E-business, call centers,…
– Mondialisation : internet, télécoms, externalisation, partenariats,…
– Concentration : Fusion / Acquisition,… – Modernisation de l’Etat : téléprocédures, Adèle, Accor2,
retraites,…
• Recherche d’efficacité et d’efficience
11 MAI 2004 Patrick Stachtchenko 5
Contexte business• Nécessité de mettre en place
– une organisation adaptée,
– les compétences appropriées,
– les meilleures pratiques
– des outils performants
de manière alignée et intégrée au reste de l’organisation
dans la durée
11 MAI 2004 Patrick Stachtchenko 6
Contexte business• Attentes spécifiques
– Une SI « gouvernée » : dirigée, contrôlée et suivie, et alignée sur la stratégie business
– Une SI « flexible et évolutive » : capacité d’innovation avec le développement de nouveaux services SI et architecture adaptée et flexible
– Une SI « contributive » : capacité de livrer des services pertinents, de qualité, dans les délais, au moindre coût, avec un niveau de risque acceptable
11 MAI 2004 Patrick Stachtchenko 7
Contexte réglementaire
• Contrôle interne, protection des données
– Sarbanes Oxley Act
– Loi sur la Sécurité Financière
– Autres : Turnbull, KonTra-G, Bâle 2, 8ème directive européenne,…
11 MAI 2004 Patrick Stachtchenko 8
Contexte réglementaire• Contrôle interne
– Rapport du président et du directeur financier : SOA
– Evaluation par l’auditeur : SOA
– Rapport du président : LSF
– Rapport du Commissaire aux Comptes : LSF
– Comité d’audit responsable de la supervision : 8ème directive
11 MAI 2004 Patrick Stachtchenko 9
Contexte réglementaire• Définition du contrôle interne selon le COSO
– Le contrôle interne est un processus mis en œuvre par la direction générale, le management et le personnel et conçu pour fournir une assurance raisonnable quant à l'accomplissement des objectifs:
• optimisation des opérations, • fiabilité des informations financières,• conformité aux lois et aux réglementations en vigueur
– L’optimisation des opérations comprend l’amélioration des performances et la protection des ressources / actifs
– Les activités pour y répondre • Activités de gouvernance• Activités opérationnelles• Activités de support
11 MAI 2004 Patrick Stachtchenko 10
Contexte réglementaire
Créer/rétablirle « chaînon manquant"
Renforcer la structure de
contrôle interne existante
Gouvernement d'Entreprise
Activités de contrôle
Dans l’esprit de la loi, le contrôle interne contribue directement au gouvernement d’entreprise
11 MAI 2004 Patrick Stachtchenko 11
Contexte réglementaire
La gouvernance informatique : un cycle de vie continue
EnvironmentEthics & CultureLaws & RegulationsMission & VisionRole ModelsIndustry Practices…...
EnvironmentEthics & CultureLaws & RegulationsMission & VisionRole ModelsIndustry Practices…...
Source : IT Governance Institute
11 MAI 2004 Patrick Stachtchenko 12
Contexte réglementaire
La gouvernance informatique : de nombreuses activités
directsdirects
ProcessesProcesses
reportreport
ResultsResults
confirmconfirmoror
changechange
improveimprove
StakeholderStakeholderValuesValues
StrategyStrategy
drivedrive
Resources- knowledge- information- capability- …...
useuse
measuremeasure
performance outcome risks assets
directsdirects
ProcessesProcesses
reportreport
ResultsResults
confirmconfirmoror
changechange
improveimprove
StakeholderStakeholderValuesValues
StrategyStrategy
drivedrive
Resources- knowledge- information- capability- …...
useuse
measuremeasure
performance outcome risks assets
Source : IT Governance Institute
11 MAI 2004 Patrick Stachtchenko 13
Comment faire : pratiques, normes, standards,…?
• COSO, COBIT, ISO, CMM/CMMI, ITIL, …
De nombreux référentiels traitant de sujets divers
- gouvernance, contrôle interne, sécurité, développements informatiques, exploitation,…
- process, ressources, fonctions/organisation, objectifs,…
- mise en œuvre, autoévaluation, benchmarking, audit,…
- indicateurs de performance, facteurs de succès, niveaux de maturité,…
11 MAI 2004 Patrick Stachtchenko 14
Quelques apports des référentiels
• Langage commun– Exemple dans le domaine financier
• L’objectif : élaborer et communiquer les comptes de manière fiable et homogène
• La réponse actuelle: des standards comptables (nationaux, sectoriels,…) utilisés par tous (DAF, CAC, analystes, autorités de contrôle,…)
• Cette réponse n’est plus satisfaisante avec de nombreuses incohérences : mise en place des IFRS, IPSAS,…
11 MAI 2004 Patrick Stachtchenko 15
Quelques apports des référentiels• Efficacité : ne pas réinventer la roue, industrialisation,
accélération,…
• Souplesse et continuité : enrichissement permanent, fusion, changement de responsable, changement d’organisation, recrutements,…
• Positionnement/Benchmarking : différents niveaux de maturité (best practices, bonnes practices, practices satisfaisantes, practices minimales,…)
• Contrôle : suivi, mais ce que l’on veut contrôlé doit être mesuré
11 MAI 2004 Patrick Stachtchenko 16
Quelques facteurs de succès• Maturité et pragmatisme : adapté au contexte spécifique,
prise en compte de la notion de temps, étapes, inscription dans une démarche continue,…
• Volonté et cohérence: responsabilisation, prise en compte de la conduite du changement, alignement au processus d’évaluation de la performance
• Opportunité : évolutions, attentes spécifiques,…
• Faisabilité opérationnelle : outils, disponibilité, formation,…
11 MAI 2004 Patrick Stachtchenko 17
Exemple : COBIT• Un cadre conceptuel construit à partir de plusieurs dizaines de
normes, standards, …
– 4 grands domaines : planifier et organiser, acquérir et mettre en œuvre, livrer et appuyer, et suivre et contrôler,
– 34 processus,– des activités
– 5 types de ressources : données, applicatifs, technologie, locaux, personnes,
– 7 critères informationnels couvrant les critères de qualité, de sécurité et de conformité : efficacité, efficience, confidentialité, intégrité, disponibilité, conformité et fiabilité.
• Fondé sur les objectifs de contrôle
11 MAI 2004 Patrick Stachtchenko 18
Exemple : COBIT• A destination de plusieurs populations
– Direction : management Guidelines (facteurs clés de succès, indicateurs clés d’objectifs, indicateurs clés de performance, niveaux de maturité,…)
– Opérationnels : objectifs de contrôles détaillés
– Auditeurs internes et externes : audit Guidelines
• Fournissant plusieurs outils de support : guides de mise en œuvre, outils de diagnostic, études de cas, FAQ, présentations,…
11 MAI 2004 Patrick Stachtchenko 19
Exemple : COBIT
11 MAI 2004 Patrick Stachtchenko 20
Exemple COBIT PO1 Définir un plan stratégique
• Contrôle sur le process “Définir un plan stratégique informatique” ayant pour objectif d’atteindre un équilibre optimum des opportunités informatiques et des besoins business ainsi que d’assurer leur réalisation complète (8 objectifs détaillés de contrôle précisés)
– Qui assure la transmission de l’information au business qui couvre les critères informationnels requis (ie. efficacité et efficience) et est mesuré par des indicateurs clés d’objectifs (6 ICO précisés)
• Qui est facilité par un processus de planification stratégique effectué à intervalles réguliers qui donne lieu à des plans à long terme. Ces plans long terme doivent être traduits en plans opérationnels qui fixent des objectifs concrets et clairs à court terme
– Qui prend en compte les facteurs clés de succès (7 FCS précisés) qui font effet de levier avec certaines ressources informatiques, et qui est mesuré par des indicateurs clés de performance (6 ICP précisés)
11 MAI 2004 Patrick Stachtchenko 21
Exemple : COBITPO1 Définir un plan stratégique
• Ceci est complété par un guide d’audit :– qui doit être interviewé (4 catégories de personnes à
voir),– type d’information ou de document à obtenir (8 types
de document à obtenir),– checklist de thèmes et de questions à traiter (7
domaines à couvrir),– tests de contrôle à effectuer (5 type de tests à
effectuer),– tests de validation de risques à effectuer (8 types de
tests à effectuer)
top related