la gouvernance informatique - downloaddownload.davidchaplin.com/cobit/bonus/bonus-gouver... ·...
Post on 12-Sep-2018
218 Views
Preview:
TRANSCRIPT
2
Comprendre les enjeux de la
gouvernance, les principes de base et les
fondamentaux de la gouvernance d’un
système d’information (SI).
Mettre en œuvre les concepts de
gouvernance des SI
Identifier les rôles et responsabilités
Comparer les différents référentiels
méthodologiques (COBIT, COSO, ISO
38500, CMMI, ITIL, e-SCM, ISO 20000)
Ce module va vous permettre de :
Introduction à la gouvernance informatique
Plan du module
3
Partie 1 : Introduction
Partie 2 : Définition de la
gouvernance
Partie 3 : L’approche
systémique
Partie 4 : Référentiels et
mises en œuvre
La gouvernance informatique – les fondamentaux
Contexte
• Les organisations doivent relever 2 challenges:o s’adapter
o évoluer
• L’information a un poids de plus en plus
important dans les organisations
• Le client, de plus en plus exigeant dans un
monde concurrentiel impose un modèle de plus
en plus centré sur lui
• Des scandales sont fréquemment relayés par la
presse et ternissent l’image des entreprises
5
Enjeux
• Créer de la valeur
• Satisfaire les clients
• Développer une organisation efficace,
efficiente et évolutive
• Donner confiance aux tiers (partenaires,
actionnaires, clients, fournisseurs, employés)
• Améliorer les circuits de décision
• Partager les rôles et responsabilités dans
l’exercice du pouvoir
6
Définitions
• « Action de gouverner », Larousse
• La gouvernance désigne l'ensemble des
mesures, des règles, des organes de
décision, d'information et de surveillance qui
permettent d'assurer le bon fonctionnement
et le contrôle d’une organisation
• COBIT 5:
9
Origines de la gouvernance
• Etymologie:o Du grec: « Kubernân », diriger – piloter (un bateau)
o Du latin: gubernare/gubernantia:
gouverner/gouvernement
o En vieux Français: gouvernance, synonyme de
gouvernement
o À donner le mot anglais: governance
10
La séparation des pouvoirs
Institutions Publiques / Privés
11
Pouvoir patrimonial
(Etat / Actionnaires)
Pouvoir managérial
(dirigeants /
Gestionnaires)
Propriétaire des biens Administre les biens
Exemple de gouvernance antique:
les Romains
Rome Antique
12
Pouvoir patrimonial:
le Sénat Romain
Pouvoir managérial:
le Gouverneur
Délègue
Administration:
Province
Administre
Supervision:
Les Magistrats
Nomme et contrôle
Rapporte
Informe
Surveille et Audit
La gouvernance économique:
origines
• 1980: tournant
• Concentration
• Mondialisation
• Temps=Argent
1. OPA
2. Restructuration
3. Domination
13
Pouvoir patrimonial
(Etat / Actionnaires)
Pouvoir managérial
(dirigeants /
Gestionnaires)
Régulation
Soutien Financier
(Investisseurs)
Quelques scandales célèbres
• Enron ($ 64B)
• Worldcom ($103,9 B)
• Vivendi-Universal (J4M)
• Causes: o concentration abusive ( capital, pouvoirs…)
o Déséquilibre du soutien financier au pouvoir managérial
o Ambitions personnelles
o Perte de contrôle et de gouvernance
o Délits
14
Nouvelles logiques d’investissement
dans les grandes entreprises cotées
• Atomicité des actionnaires
finaux
• Indirection par les fonds
d’investissement
• Support des fonds au
management au détriment
du pouvoir patrimonial
• Changement de
paradigme: l’entreprise
cherche à se démocratiser15
Légifération: émergence
• 1933-1934: US Securities Exchange Act
• 1992: Commission Cadbury (UK): o Report of the Committee on the Financial Aspects of Corporate
Governance
• 1994: Guidelines of Improved Corporate Governance(Canada)
• 1994: Principles of Corporate Governance (US)
• 1995: Rapport Vienot sur la Gouvernance d’Entreprise (France)
• 2001: Nouvelle loi de Régulation Economique (NRE) (France)
• 2002: Sarbanes-Oxley Act (SOX) (US)
• 2003: Loi de Sécurité Financière (LSF) (France)
• 2004: Principles of Corporate Governance (OCDE)
16
Importance de l’Informatique
• Besoin en automatisation croissant
• Amélioration de la productivité
• Culture de l’ingénierie
• Ordinateur = arme économique
• Budget IT en constante augmentation
• Gaspillage
• Besoin d’une rationalisation
• Emergence de référentiels (ITIL, COBIT)
17
D’une gouvernance à l’autre
• Du corporate vers l’IT
• Héritage du besoin et des objectifs
• Pourquoi une gouvernance spécifique?
18
SOX: les acteurs
• Paul Sarbanes:
sénateur démocrate du
Maryland
• Mickael G. Oxley:
républicain, congrès
US
19
SOX: objectifs
• Responsabilité accrue des dirigeants (CEO, CFO) -> 20 ans de prison
• Amélioration de l’accès à l’informationo Systèmes comptables
o Codes de conduite éthiques
• Mise en place de comités de vérification indépendants en charge de la supervision de la comptabilité
• Mise en place de processus pour recevoir et traiter les plaintes des parties prenantes
• Instauration d’un organisme de réglementation et de surveillance PCAOB (Public Company AccountingOversight Board):o Surveillance des entreprises d’audit comptable
o Enquêtes
o Sanctions
20
SOX: résumé
• Voté le 30 juillet 2002 par le congrès US
• 11 chapitres
• 66 sections
• Conditions: o Entreprise implantée aux USA
o Capitalisation boursière > $75M
• Conformité:
o Depuis Juillet 2005 pour entreprises US
o Décembre 2006 pour les entreprises non US
21
SOX: les 4 sections orientées IT
• Sections 302: le SI financier doit être auditable techniquement (données, applications) selon des protocoles définis
• Sections 404: le contrôle interne en charge des risques doit être évaluer aussi au niveau du SI financier (documentation, processus)
• Section 409: Information en temps réel disponible (<48h) sur le SIF
• Section 1102: le SIF doit garantir son intégrité, sa complétude et sa traçabilité
22
Hypothèses de la gouvernance
• Diminuer les risques
• S’appuyer sur des
« Best Practices »
• Approche orientée
processus
• Séparation du
Management et de la
Gouvernance
24
Risque
Performance
La notion d’IT Management
• Un domaine à part
• Des besoins qui
dépassent les
ressources
• Rationalisation
• S’aligner sur des
« standards »
25
Information
Technolgies
Services Processus
Utilisateurs
Les objectifs de l’IT management
• Améliorer les décisions IT
• Améliorer le contrôle des activités IT
• Clarifier les Rôles et Responsabilités en
amont et en aval (MOA/MOE/Fournisseurs)
• Responsabilisation accrue des parties
prenantes
• Maitrise des bonnes pratiques IT
26
Les 5 niveaux de la Structure de
Gouvernance
• Niveau 0o les principes de régulation des pouvoirs sur les structures,
processus et comportements: précède la gouvernance
• Niveau 1o LE Principe de gouvernance: séparation public (politique)
/économique (échanges marchands)
• Niveau 2o Modèles et portées de gouvernance (institution,
territorialité, globalité) / (entreprise, marché)
• Niveau 3o Classes de gouvernance par type (sociétale, financière)
• Niveau 4o Formalisation des processus de gouvernances spécifiques
(système, sécurité)27
Hyper-cubes de gouvernance
• Approche
multidimensionnelle:
3 classeso Capacités
organisationnelles (CO)
o Domaines stratégiques
(DS)
o Référentiels de pratique
(RP)
28
RP
CO
DS
Capacités organisationnelles (CO)
• Faculté d’une organisation à o déployer, combiner et coordonner des ressources,
o développer des compétences et des connaissances
o Mettre en œuvre de processus pour couvrir des
domaines stratégiques de la gouvernance IT
29
Domaines Stratégiques (DS)
DS Association for Information
Systems
ITGI
Alignement IT Alignement stratégique Alignement stratégique
Risque IT Gestion du risque Gestion du risque
Ressource IT Gestion des ressources Gestion des ressources
Performance IT Gestion de la performance Mesure de la performance
Valeur IT Valeur financière Valeur délivrée
Contrôle IT Contrôle et audit
Maturité IT Maturité
Management IT Management
30
Les Référentiels de Pratiques (RP)
• Législatifs et réglementaires: o SOX, Bale 3, LSF
• Normes et Standards
o ISO: ISO 38500, ISO 27000, ISO 31000, ISO 20000
o ISACA: COBIT
o OGC: ITIL, PRINCE 2
o COSO
o SEI: CMMI
31
Stratégie & Tactique
• Stratégie: o Du grec « stratos » qui signifie « armée » et « ageîn » qui
signifie « conduire »
o habilité à diriger et coordonner des actions afin d'atteindre un objectif
o élaboration d'une politique, définie en fonction de ses forces et de ses faiblesses, compte tenu des menaces et des opportunités.
o Ensemble d'actions coordonnées, de manœuvres en vue d'une victoire
• Tactique:o ensemble d’intentions et démarches utilisées pour atteindre un
objectif à court terme.
o Ensemble des moyens coordonnés que l'on emploie pour parvenir à un résultat
• Analogie au vocable militaire (guerre/bataille)32
L’alignement IT
• Alignement
multidimensionnel:o Les drivers du business
o Alignement stratégique des
SI (techno, sécurité…)
o Alignement des objectifs
• Concept de « Cascade »
• Approche continu (PDCA)
33
Le management IT
• Les enjeux pour le management: le
changement
• IT: un service support transverse
• IT Governance committee = conseil
d’administration, surveillance
• IT Governance Council = Comité de
direction, dans l’action
• Management par les processus, projets et
services.
34
Les ressources IT
• Ressources humaines et matérielles
• L’urbanisme: un concept environnemental
holistique:o Réseau
o Matériel
o Application
o Service
• TOGAF, SOA
• Le rôle des architectes
• Le rôle des RH35
Les risques IT
• COSO: Enterprise Risk Management – IntegratedFramework
• CMMI: PA RSKM
• Tolérance et appétence aux risques
• Identification des facteurs de risqueo Risques humains
o Risques technologiques
o Risques d’affaires
o Risques naturels
• Le calcul du risque:o Criticité= Probabilité * Impact
• La gestion du risque:o Notion de Mitigation
o Planification et Suivi du risque
• Evitement, Limitation et Transfert du risque36
La performance IT
• KPI & KGI
• Une approche holistique de la performance
par l’équilibre (analogie au corps humain)
• Monitoring
• Supervision
• BI & Datamining
• Outillage: BO, SAS…
• Le référentiel BSC
37
L’audit et le contrôle IT
• Les moyens de la surveillance:o Audit -> Management IT
o Contrôle -> Qualité IT
o Supervision -> Performance IT
o Monitoring -> Opération IT
• COBIT & les auditeurs CISA
• Déroulement d’un audit:o Objectifs
o Processus d’évaluation
o Conclusions
o Recommandations
• Le contrôle interne (COSO) et l’Inspection Générale
38
La valeur IT
• La notion de valeur et de temps
• Time Quantity Cost Quality (TQCQ)
• Indicateurs T*O:o TCO: Total Cost of Ownership (direct & indirect)
o TBO: Total Benefit of Ownership (équilibre le TCO)
o TRO: Total Risk of Ownership
o TVO: Total Value of Ownership
39
La valeur IT (suite)
• Total Economic Impact (TEI):o Coût
o Bénéfice
o Evolutivité
o Risque (fournisseur, produit, architecture, culture,
délais , dimensions)
40
La valeur IT (suite)
• Démarche projet (futur)o Return On Invest (ROI): % Bénéfice/Coût
o Payback Period:
unité = temps
Notion d’amortissement
Net Present Value (NPV)
Internet Rate of Return (IRR)
41
La maturité IT
• Les bénéfices de l’approche:o Amélioration continue
o Benchmarking
o Basé sur l’utilisation de référentiels éprouvés
• Caractéristiques:o Processus
o Personnel
o Triangle d’Or
o Réussite
o Technologie
o Changement
o Management
o Durée
42
La maturité IT (suite)Les niveaux de maturité CMMI
Process unpredictable, poorly controlled and reactive
Process characterized for projects and is often reactive
Process characterized for the organization and is proactive
Process measuredand controlled
Focus on processimprovement
Optimizing
QuantitativelyManaged
Defined
Performed
Managed
Optimizing
Defined
1
2
3
4
5
43
Le CIGREF
• Club Informatique des Grandes Entreprises Françaises
• Réseau et Association Loi 1901 de Grandes Entreprises
• Créé en 1970
• 130 membres
• Objectifs:o Aider les dirigeants à rendre leurs organisations IT plus performantes et
plus innovantes
o Doté d’un plan stratégique afin de se positionner en carrefour d’information liée à l ’économie numérique
o Publier des rapports
o Animer un réseau de DSI et décideurs
o Accompagner la mutation d’une économie industrielle vers une économie numérique de réseau
• Présidé par Pascal Buffard (Axa)
44
L’ITGI
• Information Technology Governance Institute
• Emanation de l’ISACA
• Créé en 1998
• le « laboratoire » de recherche de l’ISACA sur la gouvernance IT
• Anime et fédère une communauté sur le thème de la gouvernance IT (avec des sponsors, supporters…)
• Publie de la documentation sur son site web www.itgi.org :o Bonnes pratiques
o Retours d’expérience
o Enquêtes
45
Partie 4
46
Les référentiels de
pratique et la mise en
oeuvre
La gouvernance informatique – les fondamentaux
La notion de modèle de Bonnes
Pratiques
• Un modèle n’est:o Ni une méthode
o Ni un processus
o Ni une bibliothèque ou un catalogue
• C’est un cadre de travail
(« framework ») structuré
• « All models are wrong, but some
are useful » George Box
47
Les principaux référentiels de
gouvernance
• COSO:o Committee of Sponsoring Organizations of the
Treadway Commission
o Contrôle interne
o Gestion des risques entreprise
• COBIT:o Contrôle des objectifs de l’IT
o Gouvernance et Management
• ISO 38500:
o Principes et Bonnes Pratiques de Gouvernance
48
Les principaux référentiels
périphériques à la gouvernance IT
• ITIL: la gestion des services IT par l’OGC
• ISO 20000: la normalisation des services IT par l’ISO
• CMMI: maturité et aptitudes aux développements (logiciels, services, systèmes)
• TOGAF: architecture de l’entreprise
• ISO 27000: la famille Sécurité
• PMBOK: le management de projet (PMI-US)
• Prince 2: le management de projet vue par l’OGC
• Lean-Six Sigma: optimisation et management quantitatif de la performance
• e-SCM: la gestion fournisseur, outsourcing
• AGILE (Scrum, XP…): développement flexible et pragmatique
49
ISO 38500
• Publié par l’ISO/IEC en 2008
• basé sur une norme australienne AS8015:2005
• Applicable à tous types et taille d’organisation
• Pose 6 principes de gouvernance:1. Responsabilité
2. Stratégie
3. Acquisition
4. Performance
5. Conformité
6. Comportement Humain
• Le tout sur 15 pages ;-)
50
COSO
• Créé aux USA en 1985 pour supporter la
commission sur les rapports financiers
• 2 publications majeures:o Internal Control - Integrated Framework (1992-2011):
COSO 1
o Enterprise Risk Management – Integrated Framework
(2004): COSO 2
51
COSO: conception du risque
• Le risque est organique et fait partie de la vieo Ne pas chercher à le
supprimer
o Gérer l’incertitude acceptable
o Equilibre Risque/Performance
• Préserver la création de valeur face aux risques
• La notion « d’ appétence du risque »
52
Objectifs
Organisation
Eléments
COSO: les 4 types d’objectifs
• Typologie des Objectifs:o Stratégiques: objectifs associés à la stratégie de
l’entreprise
o Opérationnels: objectifs associés à l’exploitation
efficiente des ressources
o Reporting: objectifs associés à la fiabilité du reporting
o Conformité: objectifs associés aux lois et
réglementations
53
COSO: les 4 niveaux clés d’une
organisation
• L’entreprise
• La division
• L’unité d’activité
(Business Unit)
• La filiale
54
COSO: les 8 éléments clés du
risque
1. L’environnement interne
2. La fixation des objectifs
3. L’identification des événements
4. L’évaluation des risques
5. Le traitement des risques
6. Les activités de contrôle
7. L’information et la communication
8. Le pilotage
55
COBIT : quelques acronymes
• COBIT: Control OBjectives for Information and Related Technologies
• ISACA: Information Systems Audit and Control Association o CISA: Certified Information Systems Auditor
o CISM: Certified Information Security Manager
o CGEIT: Certified in the Governance of Enterprise IT
o CRISC: Certified in Risk and Information Systems Control
• AFAI: Association Française pour l’Audit et le Conseil
• ITGI: IT Governance Institute56
top related