Mettre en œuvre une bonne gouvernance L’apport des référentiels

Slides:



Advertisements
Présentations similaires
MGP Groupe 30 Processus de projets, contrôle des risques
Advertisements

Le Contrôle dans tous ses états. 2 A- Le Crédit Coopératif.
METHODOLOGIE DE LAUDIT. Séance 1 Présentation de lUV Introduction Missions et fonctions de lauditeur Réglementation actuelle.
ADM (HR-Civ) - Assistant Deputy Minister (Human Resources - Civilian) SMA (RH-Civ) - Sous-ministre adjointe (Ressources humaines - Civiles) 1 Cadre de.
Contrôle Interne et Sécurité du SI
Le point de vue de l’auditeur
L’ISO pour l’IT Management :
définition L’évaluation :
LE CONTRAT CADRE DE SERVICE
L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité
LA DEMARCHE QUALITE, 6 ETAPES, 6 CONDITIONS
Le COBIT : L’état de l’Art Socle de la gouvernance des SI
Document d’accompagnement
L’audit assisté par ordinateur
ABAF 8 Novembre 2007 Institut de lAudit Interne. ABAF 8 Novembre 2007 Internal Control and Audit Where are we today and where are we going tomomorow.
Journée Technique Régionale PSSI
Modernisation de l’Administration Publique - MODAP Comité Local d’Examen de Projet Tunis, le 21 Mai 2009.
Source compilation personnelle à partir d’études internationales
Banco Interamericano de Desarrollo Le développement de la fonction dAudit Interne Fonction dAudit pour combattre la fraude et la corruption.
Control des objectifs des technologies de l’information COBIT
Gestion des risques Contrôle Interne
Présentation Spécificités Générales Spécificités Produit Coup dœil dans les organisations Quattend le PDG dun responsable RH Le Rôle du responsable RH.
Les exigences de la norme ISO 14001
LA SEGMENTATION STRATÉGIQUE
Sésame Conseils Bon sens et compétences
[GPM-02] Approche processus de l'organisation
1 Paris - 27 septembre 2004 Le code de bonne conduite AFEI-FBF sur la gestion des conflits dintérêts en matière danalyse financière Paris – 27 septembre.
Guide de gestion environnementale dans l’entreprise industrielle
Management stratégique et management opérationnel
Séance 12 Partenaire stratégique (modèle de Dave Ulrich, 1997)
Gouvernance du Système d’Information
Place de l’audit dans la démarche qualité en hygiène hospitalière
SEMINAIRE DE CONTACT novembre 2008 Outils de gestion de projet.
Type de mission Les missions d'audit peuvent être de plusieurs types: interne, externe et stratégique de la fonction informatique. Elles se caractérisent.
Le management de l'IVVQ Processus techniques IVVQ
La Qualité dans les Systèmes d’Information
Bureau de la dirigeante principale de l’information Présentation à la Table de conseillers en architecture d’entreprise gouvernementale Le 14 mai 2009.
La certification des comptes
Revue des systèmes de gestions de l’énergie (SGE)
Systèmes, capacité et appropriation durables chez les partenaires locaux (SO 1) Disponibilité et accès accrus aux services (SO 2) Qualité améliorée des.
ISO 9001:2000 MESURE, ANALYSE et AMELIORATION Interprétation
1.1 Définition d’un « service informatique » Un service informatique est un moyen permettant de générer une valeur ajoutée sans que le client ait à supporter.
Initiation à la conception des systèmes d'informations
Principes directeurs de l'AEG Présentation sommaire.
Type de mission Les missions d'audit se caractérisent :
Management de la qualité
L’Amélioration continue
Département de génie logiciel et des TI Université du Québec École de technologie supérieure Systèmes d’information dans les entreprises (GTI515) Chargé:
Les démarches de Qualité au sein des Systèmes d’Information
Projet: Normes, qualités et processus
Principes et définitions
© Copyright Cigref 2006– Tous droits réservés P r o m o u v o i r l ’ u s a g e d e s s y s t è m e s d ’ i n f o r m a t i o n c o m m e f a c t e u r.
CSC Proprietary 6/20/2015 9:42:54 AM 008_5849_ER_Red 1 BPM - SOA Logo du client Synthèse de notions “fondamentales” par Guillaume Feutren, Stagiaire *
Urbanisation du Système d’Information du Ministère de la Santé
ISO 31000: Vers un management global des risques
La certification des comptes
Présentation du référentiel ITIL v3
Le rôle du RSSI © Claude Maury
Système de Management Intégré
1 LA DEMARCHE QUALITE ET SON EVALUATION Professeur César AKPO Faculté des Sciences de la Santé COTONOU 2005.
PROCESSUS D’AUDIT PLANIFICATION DES AUDITS
ISO 9001:2000 Interprétation Article 7 Réalisation du produit
Enquête sur les pratiques de veille et d’intelligence économique des entreprises bretonnes Etude réalisée par l’Arist Bretagne.
1 41Qualité d’un logiciel Référentiel Gestion Comptable.
Solutions Lean © Fujitsu Canada 1 Questions Questions?
19 avril Spécification d’un cadre d’ingénierie pour les réseaux d’organisations Laboratoire de recherche : OMSI à l’EMSE.
Coopération Technique Belge Audit interne à la CTB : présentation.
Les partenaires Les objectifs du réseau InnovaXion MC  Prendre conscience de l’importance de l’innovation et se situer par rapport à la compétitivité.
Capability Maturity Model Integration Réaliser par: Encadré par: Réaliser par: Encadré par: * Ouafae Chekhaoui Mlle. Nabila El AIssaoui * Ouafae Chekhaoui.
World café : La loi 10 (contexte des fusions) Résumé Atelier : La gouvernance des ressources informationnelles Présenté par: 17 juin
Transcription de la présentation:

Mettre en œuvre une bonne gouvernance L’apport des référentiels AFAI - CIGREF Mettre en œuvre une bonne gouvernance L’apport des référentiels

Le nouveau contexte Business Réglementaire 11 MAI 2004 Patrick Stachtchenko

Contexte business Rôle central des systèmes d’information : Appui aux opérations : automatiser les processus, réduire les coûts,… Appui à la croissance : mieux connaître ses clients, augmenter le chiffre d’affaires,… Contribution à la création de valeur : produits, clients, salariés, partenaires, actionnaires,… Mais après quelques années d’«euphorie technologique» retour à la gestion en bon père de famille 11 MAI 2004 Patrick Stachtchenko

Contexte business Phase de rationalisation : Intégration des vagues technologiques : ERP, CRM, SCM, E-business, call centers,… Mondialisation : internet, télécoms, externalisation, partenariats,… Concentration : Fusion / Acquisition,… Modernisation de l’Etat : téléprocédures, Adèle, Accor2, retraites,… Recherche d’efficacité et d’efficience 11 MAI 2004 Patrick Stachtchenko

Contexte business Nécessité de mettre en place une organisation adaptée, les compétences appropriées, les meilleures pratiques des outils performants de manière alignée et intégrée au reste de l’organisation dans la durée 11 MAI 2004 Patrick Stachtchenko

Contexte business Attentes spécifiques Une SI « gouvernée » : dirigée, contrôlée et suivie, et alignée sur la stratégie business Une SI « flexible et évolutive » : capacité d’innovation avec le développement de nouveaux services SI et architecture adaptée et flexible Une SI « contributive » : capacité de livrer des services pertinents, de qualité, dans les délais, au moindre coût, avec un niveau de risque acceptable 11 MAI 2004 Patrick Stachtchenko

Contexte réglementaire Contrôle interne, protection des données Sarbanes Oxley Act Loi sur la Sécurité Financière Autres : Turnbull, KonTra-G, Bâle 2, 8ème directive européenne,… 11 MAI 2004 Patrick Stachtchenko

Contexte réglementaire Contrôle interne Rapport du président et du directeur financier : SOA Evaluation par l’auditeur : SOA Rapport du président : LSF Rapport du Commissaire aux Comptes : LSF Comité d’audit responsable de la supervision : 8ème directive 11 MAI 2004 Patrick Stachtchenko

Contexte réglementaire Définition du contrôle interne selon le COSO Le contrôle interne est un processus mis en œuvre par la direction générale, le management et le personnel et conçu pour fournir une assurance raisonnable quant à l'accomplissement des objectifs: optimisation des opérations, fiabilité des informations financières, conformité aux lois et aux réglementations en vigueur L’optimisation des opérations comprend l’amélioration des performances et la protection des ressources / actifs Les activités pour y répondre Activités de gouvernance Activités opérationnelles Activités de support 11 MAI 2004 Patrick Stachtchenko

Contexte réglementaire Dans l’esprit de la loi, le contrôle interne contribue directement au gouvernement d’entreprise Créer/rétablir le « chaînon manquant" Renforcer la structure de contrôle interne existante Gouvernement d'Entreprise Activités de contrôle 11 MAI 2004 Patrick Stachtchenko

Contexte réglementaire La gouvernance informatique : un cycle de vie continue Source : IT Governance Institute 11 MAI 2004 Patrick Stachtchenko

Contexte réglementaire La gouvernance informatique : de nombreuses activités Source : IT Governance Institute 11 MAI 2004 Patrick Stachtchenko

Comment faire : pratiques, normes, standards,…? COSO, COBIT, ISO, CMM/CMMI, ITIL, … De nombreux référentiels traitant de sujets divers gouvernance, contrôle interne, sécurité, développements informatiques, exploitation,… process, ressources, fonctions/organisation, objectifs,… mise en œuvre, autoévaluation, benchmarking, audit,… indicateurs de performance, facteurs de succès, niveaux de maturité,… 11 MAI 2004 Patrick Stachtchenko

Quelques apports des référentiels Langage commun Exemple dans le domaine financier L’objectif : élaborer et communiquer les comptes de manière fiable et homogène La réponse actuelle: des standards comptables (nationaux, sectoriels,…) utilisés par tous (DAF, CAC, analystes, autorités de contrôle,…) Cette réponse n’est plus satisfaisante avec de nombreuses incohérences : mise en place des IFRS, IPSAS,… 11 MAI 2004 Patrick Stachtchenko

Quelques apports des référentiels Efficacité : ne pas réinventer la roue, industrialisation, accélération,… Souplesse et continuité : enrichissement permanent, fusion, changement de responsable, changement d’organisation, recrutements,… Positionnement/Benchmarking : différents niveaux de maturité (best practices, bonnes practices, practices satisfaisantes, practices minimales,…) Contrôle : suivi, mais ce que l’on veut contrôlé doit être mesuré 11 MAI 2004 Patrick Stachtchenko

Quelques facteurs de succès Maturité et pragmatisme : adapté au contexte spécifique, prise en compte de la notion de temps, étapes, inscription dans une démarche continue,… Volonté et cohérence: responsabilisation, prise en compte de la conduite du changement, alignement au processus d’évaluation de la performance Opportunité : évolutions, attentes spécifiques,… Faisabilité opérationnelle : outils, disponibilité, formation,… 11 MAI 2004 Patrick Stachtchenko

Exemple : COBIT Un cadre conceptuel construit à partir de plusieurs dizaines de normes, standards, … 4 grands domaines : planifier et organiser, acquérir et mettre en œuvre, livrer et appuyer, et suivre et contrôler, 34 processus, des activités 5 types de ressources : données, applicatifs, technologie, locaux, personnes, 7 critères informationnels couvrant les critères de qualité, de sécurité et de conformité : efficacité, efficience, confidentialité, intégrité, disponibilité, conformité et fiabilité. Fondé sur les objectifs de contrôle 11 MAI 2004 Patrick Stachtchenko

Exemple : COBIT A destination de plusieurs populations Direction : management Guidelines (facteurs clés de succès, indicateurs clés d’objectifs, indicateurs clés de performance, niveaux de maturité,…) Opérationnels : objectifs de contrôles détaillés Auditeurs internes et externes : audit Guidelines Fournissant plusieurs outils de support : guides de mise en œuvre, outils de diagnostic, études de cas, FAQ, présentations,… 11 MAI 2004 Patrick Stachtchenko

Exemple : COBIT 11 MAI 2004 Patrick Stachtchenko

Exemple COBIT PO1 Définir un plan stratégique Contrôle sur le process “Définir un plan stratégique informatique” ayant pour objectif d’atteindre un équilibre optimum des opportunités informatiques et des besoins business ainsi que d’assurer leur réalisation complète (8 objectifs détaillés de contrôle précisés) Qui assure la transmission de l’information au business qui couvre les critères informationnels requis (ie. efficacité et efficience) et est mesuré par des indicateurs clés d’objectifs (6 ICO précisés) Qui est facilité par un processus de planification stratégique effectué à intervalles réguliers qui donne lieu à des plans à long terme. Ces plans long terme doivent être traduits en plans opérationnels qui fixent des objectifs concrets et clairs à court terme Qui prend en compte les facteurs clés de succès (7 FCS précisés) qui font effet de levier avec certaines ressources informatiques, et qui est mesuré par des indicateurs clés de performance (6 ICP précisés) 11 MAI 2004 Patrick Stachtchenko

Exemple : COBIT PO1 Définir un plan stratégique Ceci est complété par un guide d’audit : qui doit être interviewé (4 catégories de personnes à voir), type d’information ou de document à obtenir (8 types de document à obtenir), checklist de thèmes et de questions à traiter (7 domaines à couvrir), tests de contrôle à effectuer (5 type de tests à effectuer), tests de validation de risques à effectuer (8 types de tests à effectuer) 11 MAI 2004 Patrick Stachtchenko