management des système d'information

Erasmus Multilateral Projects – Virtual campuses 134350-LLP-1-2007-1-HU-ERASMUS-EVC

Virtual campus for SMEs in a multicultural milieu

1 Ce projet a été financé avec le soutien de la Commission européenne.

Erasmus Multilateral Projects – Virtual campuses

Numéro de reference du projet: 134350-LLP-1-2007-1-HU-ERASMUS-EVC Titre of the projet: Virtual campus for SMEs in a multicultural milieu

(‘SMEdigcamp’)

Ce projet a été financé avec le soutien de la Commission européenne. Cette publication (communication) n’engage que son auteur et la Commission n’est pas responsable de l’usage qui pourrait être fait des informations qui y sont

contenues.

MATIÈRE PÉDAGOGIQUE DU MODULE MANAGEMENT DES SYSTEMES D’INFORMATIONS ET

MANAGEMENT DU RISQUE

Chef de quadrangle:

Bernard QUINIO (FR-UPX) Membres de quadrangle: András JÁNOSA (HU) János IVANYOS (HU)

Imre JUHÁSZ (HU) Gyula KADERJÁK (HU) Manuela NOCKER (UK)

Gunnar PRAUSE (DE) Daniel BRETONES (FR-ESCEM)




TABLE DES MATIÈRES A) DESCRIPTION DU MODULE............................................................................................ 5 B) CONTENU INDICATIF..................................................................................................... 10 I. GESTION DES SYSTEMES D’INFORMATION .............................................................. 10 CHAPITRE 1 : ORGANISER ET GERER LE SYSTEME D’INFORMATION (SI) POUR LES PME.................................................................................................................................. 10 1.1. Introduction ....................................................................................................................... 10 1.2. Définitions et problèmes clés du SI pour les PME............................................................ 10

1.2.1. Information et système d’information 10 1.2.2. Les problèmes clés soulevés par le SI dans l’entreprise 10

1.3. L’organisation de la fonction du SI dans l’entreprise ....................................................... 10 1.4. Budget et coûts de la fonction du SI ................................................................................. 11 1.5. Comment gérer l’externalisation du SI ............................................................................. 11

1.5.1. Caractérisation du fournisseur du SI 11 1.5.2. Les activités du SI et leur externalisation 11 1.5.3. Comment gérer les prestataires de service 11 1.5.4. Le cycle de gestion des prestataires de service 11

1.6. La gouvernance d’une PME : règles et outils ................................................................... 11 1.7. Exercices ........................................................................................................................... 12 CHAPITRE 2 : APPLICATIONS DU SI DANS LES PME ................................................... 13 2.1. Introduction ....................................................................................................................... 13 2.2. Infrastructure technique du SI dans les PME.................................................................... 13

2.2.1. Point de vue technique de l’infrastructure 13 2.2.2. Cartographie des applications simples 13 2.2.3. Comment choisir entre un système ouvert et un système d’entreprises individuelles? 13

2.3. L’application du SI à la décision....................................................................................... 14 2.3.1. Système exécutif d’information (SEI) 14 2.3.2. Système expert 14 2.3.3. Management de la connaissance 14 2.3.4. La business intelligence 14 2.3.5. Analyse de données et extractions de données 15

2.4. L’application du SI pour deux raisons principales............................................................ 15 2.4.1. Gestion de la Relation Client (GRC) 15 2.4.2. E-business et site internet 16 2.4.3. Gestion de la Chaîne d’Approvisionnement (GCA) 16

2.5. L’application du SI à l’intégration .................................................................................... 16 2.5.1. Au sein de la firme : La Gestion des Ressources de l’Entreprise (GRE) 16 2.5.2. En dehors de l’entreprise: L’Echange de Données Electroniques (EDE) 16 2.5.3. En dehors de l’entreprise : Le marché de l’e-business 17

2.6. Exercices ........................................................................................................................... 17 CHAPITRE 3 : GESTION DE PROJET.................................................................................. 18 3.1. Introduction ....................................................................................................................... 18 3.2. Définition des principaux concepts de la gestion de projet............................................... 18




3.3. Comment préparer un projet ?........................................................................................... 18 3.3.1. Préciser les objectifs du projet : Pourquoi et où agissez-vous 18 3.3.2. Identifier le type de solutions : Comment agissez-vous ? 18 3.3.3. Identifier les ressources humaines et techniques: Avec qui agissez-vous et que faîtes-vous ? 19

3.4. Comment établir le projet ?............................................................................................... 19 3.5. Comment gérer un projet?................................................................................................. 19

3.5.1. La direction de projet 19 3.5.2. La gestion de projet 19

3.6. Comment mettre en place et utiliser les résultats du projet ?............................................ 20 3.7. Exercices ........................................................................................................................... 20 CHAPITRE 4 : SECURITE ET CONTROLE DU SI.............................................................. 21 4.1. Introduction ....................................................................................................................... 21 4.2. Règles de sécurité: strictes, indulgentes et l’organisation................................................. 21 4.3. Facteurs humains de sécurité............................................................................................. 22 4.4. Attaques internes et externes............................................................................................. 23 4.5. Loi et normes et authentification pour la sécurité informatique ....................................... 24 4.6. Sauvegarde de données et de logiciel................................................................................ 25 4.7. Redémarrer et maintenir l’activité..................................................................................... 25 4.8. Utilisation du contrôle de l’information et des technologies associées et de la bibliothèque

pour l’infrastructure des technologies de l’information....................................................... 25 dans les PME............................................................................................................................ 25 4.9. Exercices ........................................................................................................................... 26 II. MANAGEMENT DU RISQUE .......................................................................................... 27 CHAPITRE 1 : LES OBJECTIFS DE L’ACQUISITION DES CONNAISSANCES DU MANAGEMENT DU RISQUE............................................................................................... 27 1.1. Introduction ....................................................................................................................... 27 1.2. Objectifs généraux............................................................................................................. 27 1.3. Description des principaux problèmes .............................................................................. 27 1.4. Pourquoi la gestion du risque est utile aux PME ?............................................................ 28 1.5. Exercices ........................................................................................................................... 28 CHAPITRE 2 : CONCEPTS FONDAMENTAUX DU MANAGEMENT DU RISQUE ...... 29 2.1. Définition du management du risque en entreprise........................................................... 29 2.2. Types de risques ................................................................................................................ 29 2.3. Exercices ........................................................................................................................... 30 CHAPITRE 3: REALISATIONS DES OBJECTIFS LIES DES ENTITES ........................... 31 3.1. Catégories d’objectifs........................................................................................................ 31 3.2. Mise en place d’objectifs................................................................................................... 31 3.3. L’identification d’évènements........................................................................................... 31 3.4. Evaluation du risque.......................................................................................................... 31 3.5. Réponses au risque ............................................................................................................ 32 3.6. Exercices ........................................................................................................................... 32 CHAPITRE 4 : COMPOSANTES DU MANAGEMENT DU RISQUE................................ 33 4.1. Relation entre les composantes et les objectifs ................................................................. 33 4.2. Efficacité et limitations du management du risque ........................................................... 33 4.3. Intégration des contrôles internes...................................................................................... 33




4.4. Exercices ........................................................................................................................... 34 CHAPITRE 5 : EVALUATION DES CAPACITES DU MANAGEMENT DU RISQUE.... 35 5.1. Le Comité d’organisation du Sponsoring (COS) comme modèle de référence applicable ..

.................................................................................................................................. 35 5.2. Elaboration des objectifs des entités en niveaux de capacité ............................................ 35 5.3. Promesses et engagements de consultation de l’audit....................................................... 36 5.4. Exercices ........................................................................................................................... 36 C) SPECIFICATIONS NATIONALES................................................................................... 37 1. FRANCE .............................................................................................................................. 37 1.1. Gestion du système d’information .................................................................................... 37

1.1.1. Chapitre 1 Organiser et diriger le Système d’Information (SI) dans une PME 37 1.1.2. Chapitre 2 Applications du SI dans une PME 37 1.1.3. Chapitre 3 Gestion de projet 37 1.1.4. Chapitre 4 Sécurité et contrôle du SI 38

1.2. Management du risque ...................................................................................................... 38 2. ALLEMAGNE..................................................................................................................... 39 2.1. Systèmes d’information et management du risque........................................................... 39 2.2. Management du risque ...................................................................................................... 39 3. HONGRIE............................................................................................................................ 40 3.1. Gestion des systèmes d’information ................................................................................. 40 3.2. Management du risque ...................................................................................................... 40 4. ROYAUME-UNI ................................................................................................................. 46 4.1. Gestion des systèmes d’information ................................................................................. 46 4.2. Management du risque ...................................................................................................... 46 4.3. Suggestions d’autres lectures ............................................................................................ 47




A) DESCRIPTION DU MODULE Description du contenu Ce module possède deux parties : une sur le système d‘information et l‘autre sur le management du risque. La partie sur le système d‘information donne les principales qualifications requises pour gérer le système d‘information dans les Petites et Moyennes Entreprises (PME). La partie sur le management du risque donne la principale qualification pour appliquer les principes du management du risque et ses outils dans les PME. Objectifs du module Gestion du système d’information

Comment gérer le système d‘information dans une PME ? Comment participer à un projet de système d‘information ? Comment utiliser les règles de sécurité pour une PME ?

Management du risque Comment appliquer les principes et les outils du management du risque ? Comment fixer les objectifs, les risques à prendre et la tolérance à avoir vis à vis de ces risques ? Comment réussir à estimer les risques et à définir les réponses à ceux-ci ? Comment le système de contrôle interne est intégré au management du risque ? Comment évaluer l‘efficacité du risque et des systèmes de contrôle ?

Pré-requis Gestion du système d’information

Bon usage d‘un ordinateur personnel, d‘internet et d‘un bureau dans un cadre professionnel Utilisation d‘un tableur, d‘un système de base de données et d‘internet pour la gestion des problèmes Modélisation et usage avancé d‘un tableur pour la finance et le contrôle de budget

Management du risque Management stratégique. Management financier. Organisation et management Evaluation des procédés.

Méthode de travail Pour chaque chapitre de ce module, les principaux principes sont exposés avec de nombreux exemples, et ensuite, des liens internet utiles sont indiqués afin de voir ces principes dans la vraie vie. Après cela, quelques quiz et exercices sont proposés afin d‘utiliser des outils dans un cadre pratique.




Evaluation L‘évaluation comporte deux parties : un quiz pour évaluer les connaissances des principaux principes exposés et un cas à étudier. Structure du module Gestion du système d’information (crédits 2) Chapitre 1 Organiser et gérer le système d’information(SI) pour les PME Connaissances à acquérir: Avoir une parfaite connaissance des concepts du système d‘information Comment organiser un système d‘information dans une PME ? Comment gérer l‘externalisation des fonctions du système d‘information ? Comment gérer les prestataires de service pour une PME ? Structure:

Introduction Définitions et problèmes clés du SI pour les PME

Information pour le management et système d‘information Problèmes clés pour les PME

Organisation de la fonction du système d‘information dans une firme Budget et coûts de la fonction du SI Comment gérer l‘externalisation du SI ?

Caractérisation du fournisseur de SI Activités du SI et leur externalisation Comment gérer les prestataires de service ?

La gouvernance du SI dans les PME: règles et outils Chapitre 2 Applications du SI dans les PME Connaissances à acquérir: Avoir une bonne connaissance de la principale application du SI dans les PME Pour chaque application, connaître les facteurs clés du succès Pour chaque application, savoir les principaux produits et éditeurs L‘utilisation de l‘application n‘est pas un objectif de ce chapitre Structure:

Introduction Infrastructure technique du SI dans les PME

Point de vue technique de l‘infrastructure Cartographie des applications simples Comment choisir entre un système ouvert et un système d‘entreprises

individuelles? Comment choisir entre un ensemble de logiciels et un développement

spécifique? Application du SI à la décision

Système d‘Information Exécutif (SIE) Système Expert




Management de la connaissance La business intelligence Analyse de données et extraction de données

L‘application du SI pour deux raisons principales Gestion de la Relation Client (GRC) E-business et site internet Gestion de la Chaîne d‘Approvisionnement (GCA)

Application du SI à l‘intégration Au sein de la firme: Planification des Ressources de l‘Entreprise (PRE) En dehors de la firme:

Echange de Données Electroniques (EDE) Le marché de l‘e-business

Chapitre 3 Gestion de projet Connaissances à acquérir: Comment gérer un projet de système d‘information ? Comment appliquer les outils de la gestion de projet ? Le risque de l‘analyse est traité dans la partie sur le management du risque Structure:

Introduction Définition des principaux concepts de la gestion de projet Comment préparer un projet ?

Préciser les objectifs du projet : Pourquoi et où agissez-vous ? Identifier le type de solution : Comment agissez-vous ? Identifier les ressources humaines et techniques : Avec qui agissez-vous et que

faîtes-vous ? Comment construire le projet ? Comment gérer le projet?

Orientation du projet Gestion du projet

Organisation (Pert and Gantt) Coût du contrôle Changer la gestion et les facteurs humains

Comment mettre en place et utiliser les résultats du projet ? Chapitre 4 Sécurité et contrôle du SI Connaissances à acquérir: Comment mettre en place les règles de sécurité et les outils dans les PME ? Comment trouver les informations et les conseils relatifs à la sécurité ? Structure:

Introduction Règles de sécurité : strictes, indulgentes et organisation Facteurs humains de sécurité Agressions internes et externes Loi pour la sécurité informatique Sauvegarde de donnée et de logiciel Redémarrer et maintenir l‘activité




Utilisation du contrôle de l‘information et des technologies associées pour les PME Utilisation de la bibliothèque pour l‘infrastructure de l‘information pour les PME

Management du risque (crédits 2) Chapitre 1 Les raisons d’acquérir des connaissances sur le management du risque

1 Faire concorder la prise de risque et la stratégie – Le management considère la prise de risque comme l‘évaluation de stratégies alternatives, comme la mise en place d‘objectifs liés entre eux, et comme le développement de mécanismes visant à gérer ces risques liés.

2 Amélioration de la décision de réponse aux risques –La gestion du risque en entreprise apporte de la rigueur pour identifier et sélectionner les réponses alternatives aux risques – éviction, réduction, partage et acceptation du risque.

3 Réduire les surprises et les pertes liées à l’exploitation – Le gain des entités améliore la capacité à identifier les événements potentiels et à établir des réponses et permet donc de diminuer les surprises et les coûts ou les pertes qui y sont associés.

4 Identifier et gérer les différents risques qui s’entremêlent pour les entreprises – Chaque entreprise fait face a une myriade de risques qui affecte différentes parties de son organisation, et la gestion des risques en entreprise répond plus facilement et plus efficacement aux impacts liés entre eux et intègre les réponses aux multiples risques.

5 Saisir les opportunités – En prenant en compte un grand nombre d‘évènements possibles, le management est capable d‘identifier et de trouver des opportunités de manière dynamique.

6 Améliorer le développement du capital – L‘obtention d‘informations importantes sur les risques permet au management d‘évaluer de manière efficace les besoins globaux en capital et d‘améliorer la répartition du capital.

Chapitre 2 Les concepts fondamentaux du management du risque

1 Un processus, en cours et qui vit à travers une entité 2 Etabli par tout le monde, à chaque niveau d‘une organisation 3 Appliqué dans la mise en place de stratégies 4 Appliqué à travers les entreprises, à chaque niveau, dans chaque unité, et inclut le

fait de prendre une entité-niveau de considération du risque du portefeuille. 5 Conçu pour identifier les possibles événements qui, s‘ils ont lieu, affecteront

l‘entité, et conçu pour gérer les risques liés à la prise de risques. 6 Capable de fournir une promesse juste à la gestion d‘une entité et à un conseil

d‘administration 7 Adapté à la réalisation d‘objectifs classifiés en une ou plusieurs catégories qui se

chevauchent. Chapitre 3 Réalisation des objectifs liés des entités

1 Stratégique – objectifs difficiles, suivant et encourageant sa mission 2 Opérations – utilisation efficace de ses ressources 3 Rapport – fiabilité du rapport 4 Conformité– conformité aux lois en vigueur et aux réglementations.




Chapitre 4 Composantes du management du risque: 1 Environnement interne 2 Mise en place d’objectifs 3 Identification d‘évènements 4 Evaluation du risque 5 Risque 6 Activités de contrôle 7 Information et Communication 8 Surveillance

Chapitre 5 Evaluation de l’efficacité du management du risque

1 Utiliser la structure du comité d‘organisation du sponsoring comme modèle de référence

2 Elaboration des objectifs des entités en niveaux d‘aptitude 3 Promesse d‘engagement 4 Engagement de concertation

Bibliographie recommandée En français: Encyclopédie des Systèmes d‘Information, Editions Vuibert coordonné par J. AKOKA et I. Commyn Wattiau, 2007 Marciniak et Rowe (2005) Systèmes d'Information, Dynamique et Organisation, Economica, 2005, seconde édition Quinio et lecoeur (2003) « Projet de Système d'information : Une démarche et des outils pour le chef de projet » Alain Lecoeur et Bernard Quinio (Vuibert, Paris 2003). « Manuel de gestion d‘entreprise », trois chapitres sur les Systèmes d‘Information, ouvrage collectif coordonné par l‘AUPELF (2004). « Contrôle et confiance dans la relation avec les prestataires de services informatiques : les trois niveaux : Prestataire, Personnel, Prestation » ; B. Quinio et A. Lecoeur ; RESER 2006 ; 28 au 30 septembre 2006 En anglais: Laudon • Laudon (2006) Management Information Systems, 9/e, Pearson prentice hall Sites web intéressants Gestion du système d’information

1 Site du « Project management Institute » 2 Site de l‘« International Project Management Association » 3 Site du « clusif » 4 Site de l‘« Information Systems Security Association »

Management du risque 1 http://www.coso.org/documents/COSO_ERM_ExecutiveSummary.pdf 2 http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_french.pdf 3 http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_German.pdf 4 http://www.coso.org/documents/COSO_ERM.ppt




B) CONTENU INDICATIF

I. GESTION DES SYSTEMES D’INFORMATION

CHAPITRE 1 : ORGANISER ET GERER LE SYSTEME D’INFORMATION (SI) POUR LES PME

Connaissances à acquérir Avoir une parfaite connaissance des concepts du système d‘information Comment organiser un système d‘information dans une PME Comment gérer l‘externalisation des fonctions du SI Comment gérer les prestataires de service pour une PME Contenu indicative du chapitre 1.1. Introduction Introduire le chapitre et préciser que les principaux concepts du système d‘information doivent être définis très précisément du fait de nombreuses confusions. 1.2. Définitions et problèmes clés du SI pour les PME 1.2.1. Information et système d’information L‘information est définie comme un triptyque entre les données, l‘objet et la signification. Le système d‘information est défini comme un autre triptyque entre les composantes techniques (informatique), l‘organisation et des hommes ou des femmes qui (ces trois éléments) traitent les informations dans l‘entreprise. Le système de données et le système d‘information doivent impérativement être distingués. De nombreux exemples (de la vie courante) peuvent être donnés. 1.2.2. Les problèmes clés soulevés par le SI dans l’entreprise Le SI a deux fonctions: le système de production et le système de décision 1.3. L’organisation de la fonction du SI dans l’entreprise Dans les grandes entreprises, la fonction du SI est structurée (service d‘exploitation et service de développement)




Dans les PME, un homme ou une femme doit gérer (souvent seul) les aspects techniques et organisationnels du SI. Son travail est principalement de gérer les prestataires de service. Les différents acteurs du SI au sein de la firme, ainsi que leurs rôles, doivent ensuite être définis. 1.4. Budget et coûts de la fonction du SI Dans les PME, il est quelque peu difficile d‘évaluer combien coûte le SI. Au regard des études concernant les grandes entreprises, on peut estimer que le budget du SI est d‘à peu près 3% du chiffre d‘affaires. Le budget du SI se divise en deux parties: 80% pour l‘exploitation et 20% pour le projet. 1.5. Comment gérer l’externalisation du SI 1.5.1. Caractérisation du fournisseur du SI Il est quelque peu difficile de définir précisément tous les types de prestataires de service. On peut utiliser la classification nationale, ou celle de l‘OCDE. Cela est utile pour expliquer la diversité des prestataires de services et les problèmes clés pour une PME. 1.5.2. Les activités du SI et leur externalisation Presque toutes les activités du SI peuvent être externalisées (développement, exploitation, maintenance). Pour un grand nombre d‘entreprises, le principal problème est de sélectionner le bon groupe de logiciels et de les rendre utilisables. 1.5.3. Comment gérer les prestataires de service Afin de gérer les prestataires de service, trois éléments doivent être distingués: le prestataire de service (la firme), les employés du prestataire de service qui font le travail pour le client et le service lui-même. Grâce à cette distinction, la relation entre le client et le prestataire de service peut être caractérisée et gérée. 1.5.4. Le cycle de gestion des prestataires de service De nombreux stades dans la gestion de la relation entre le client d‘une entreprise et son prestataire de service peuvent être définis; ici ils sont réunis en quatre étapes: sélection, établissement de contrats, exécution et enfin capitalisation. 1.6. La gouvernance d’une PME : règles et outils




L‘administration d‘un SI est considérée comme le fonctionnement d‘une série de bonnes pratiques: Alignement stratégique Contrôle des coûts Gestion de projet (voir le prochain chapitre) Sécurité (voir le prochain chapitre) Lectures pour le chapitre 1

1 Systèmes d'Information, Dynamique et Organisation, Economica, 2005, seconde édition, 112 pages, (avec F. Rowe)

2 « Projet de Système d'information : Une démarche et des outils pour le chef de projet » Alain Lecoeur et Bernard Quinio (Vuibert, Paris 2003).

3 « Contrôle et confiance dans la relation avec les prestataires de services informatiques : les trois niveaux : Prestataire, Personnel, Prestation » ; B. Quinio et A. Lecoeur ; RESER 2006 ; 28 au 30 septembre 2006

1.7. Exercices




CHAPITRE 2 : APPLICATIONS DU SI DANS LES PME Connaissances à acquérir Avoir une bonne connaissance des principales applications de SI dans les PME Pour chaque application, connaître les facteurs clés de succès Pour chaque application, connaître les principaux produits et éditeurs L‘utilisation des applications n‘est pas l‘objectif de ce chapitre Contenu indicatif du chapitre 2.1. Introduction Introduire le chapitre et insister sur le fait que tous les logiciels ne peuvent être manipulés, et que, par conséquent, des exemples sont traités, ou des visites de sites internet sont réalisées. 2.2. Infrastructure technique du SI dans les PME 2.2.1. Point de vue technique de l’infrastructure Le principal objectif est de définir une infrastructure technique (Complexe, simple, système de communication) et d‘en montrer quelques représentations (diagrammes et schémas). Les diagrammes et les schémas peuvent être trouvés sur internet. Cela n‘est pas réellement un cours technique (voir les pré-requis), nous n‘insisterons donc pas sur les caractéristiques techniques, mais sur l‘utilité des outils. 2.2.2. Cartographie des applications simples Ici sont présentées toutes les applications d‘une entreprise sous une forme simple. Les principes de ―l‘urbanisation� et le besoin d‘avoir une grande cohérence entre une importante urbanisation et une légère urbanisation sont présentés. 2.2.3. Comment choisir entre un système ouvert et un système d’entreprises individuelles? Le système ouvert doit être introduit afin de présenter une réelle alternative au système de propriété .La communauté du système ouvert est un bon exemple d‘organisation d‘un réseau social. Le principal système des licences doit être présenté. Le choix doit être fait en fonction de ces critères:

• Compatibilité • Evolution • Coût • Risque




2.3. L’application du SI à la décision La pyramide d‘Anthony est tout d‘abord introduite (niveau stratégique, niveau tactique et niveau opérationnel) afin d‘expliquer le besoin d‘information pour prendre une décision à chaque niveau. Les caractéristiques de l‘information sont différentes à chaque niveau de gestion. Le SI peut aider les managers à prendre une décision (Système Exécutif d‘Information), ou peut prendre lui même la décision (système expert). La nouvelle tendance du management de la connaissance est présentée. Enfin, la business intelligence et les outils d‘analyse de données sont introduits. 2.3.1. Système exécutif d’information (SEI) Les SEI sont faits et utilisés afin d‘aider les managers à prendre des décisions. Le fameux modèle d‘H. Simon est expliqué afin d‘avoir quelques bases de procédés de décision. Les SEI fournissent des informations (de l‘intérieur et de l‘extérieur de la firme) aux managers. Les SEI peuvent être réalisés de deux manières différentes : de haut en bas ou de bas en haut. Les SEI sont souvent de très simples outils, comme les tableurs, et peuvent être utilisés afin de fournir des indicateurs de performance. L‘une des questions principales est le délai entre les faits réels et le rapport aux supérieurs hiérarchiques. Cela serait intéressant de présenter quelques outils tels que Business Object ou Iperion. 2.3.2. Système expert Les systèmes experts sont des logiciels qui sont capables de prendre des décisions dans un contexte spécial et complexe. La description générale des systèmes experts peut être faite sans une utilisation excessive de termes techniques. Le principal problème est de saisir l‘expertise d‘un homme afin de la mettre dans un logiciel. 2.3.3. Management de la connaissance Après une simple définition de la connaissance, le management de la connaissance (MC) est présenté comme un moyen d‘accumuler les connaissances, qui sont dans l‘esprit des employés de l‘entreprise. Les outils utilisés sont souvent un système d‘Intranet avec une base de données. 2.3.4. La business intelligence Le capital de connaissance joue un rôle de plus en plus important dans le succès des entreprises et est un facteur décisif dans l‘évaluation d‘une organisation .Quelques recherches prétendent que la quantité de données dans le monde doublent chaque année. Mais il existe une situation paradoxale dans laquelle les informations contenues dans la multitude de données diminuent.




Dans le commerce, les décisionnaires cherchent des informations commerciales cohérentes qui peuvent être utilisées directement. Contrairement à cela, des données qui pourraient fournir des informations uniformes, cohérentes sont souvent accessibles dans différents endroits (dans nos propres systèmes, sur internet, sur les portails publics de service etc.), et ce qui reste peut être stocké et accessible grâce à différentes techniques. Rendre cela accessible relève d‘un problème technique. Les solutions de la technologie de l‘information de l‘Informatique Décisionnelle (ID) incluent les applications et les technologies désignées afin de fournir l‘accès aux données nécessaires et aux connaissances cachées dans les données ou dans les bases de données, aux managers et aux décisionnaires. 2.3.5. Analyse de données et extractions de données Les avantages des données desquelles on souhaite extraire les connaissances à travers l‘analyse de données/l‘extraction de données doivent être classés dans un système électronique rationnel, organisé et bien structuré. Dans les grandes entreprises, c‘est le stockeur de données. Un stockeur de données contient des données détaillées et simplifiées et/ou un ensemble de données produites au sein du système d‘organisation interne et les données provenant/collectées de sources extérieures. Dans les PME, on trouve souvent une base de données simple mais clairement structurée avec les principales données internes. Les applications transformant les données en information (extraction de données) sont basées sur ce système de données consistant. Dans les grandes entreprises, les solutions les plus utilisées afin d‘analyser les données, basées sur la technologie de stockage de données, sont les applications de TAEL (Traitements Analytiques En Ligne). Dans les PME, les méthodes analytiques traditionnelles peuvent être utilisées (par exemple le SPSS, logiciel de statistiques pour les sciences sociales) et les questions classiques de base de données (par exemple par le « oui » dans le langage structuré de requêtes). Un domaine typique de l‘extraction de données est l‘analyse du panier du consommateur. Quels sont les produits que le consommateur cherche ardemment ? Y a-t-il un lien de corrélation qui prouve que quelqu‘un achetant un produit X, achète également un produit Z ? 2.4. L’application du SI pour deux raisons principales 2.4.1. Gestion de la Relation Client (GRC) La gestion de la relation client est un système d‘information qui traite les informations sur et pour la gestion des clients. La GRC est bien connue par les grandes entreprises comme les banques ou les commerces de détail, mais il existe aussi une GRC pour les PME comme l‘entreprise Sage products. La GRC est composée de trois parties: un bureau pour contacter et interagir avec les clients (un centre d‘appel par exemple), une base de données pour collecter les informations, et un bureau pour traiter les informations (automatisation du service des ventes par exemple). Le concept récent de « Simple comme un Service » (ScS) peut être une opportunité pour les PME d‘utiliser la GRC .On peut montrer le site du « Service des ventes » comme un exemple de ScS.




2.4.2. E-business et site internet Les sites internet sont extrêmement communs aux entreprises (PME ou grandes entreprises), mais l‘on doit insister sur deux choses. Tout d‘abord, un simple site informatif n‘est plus un avantage compétitif pour une entreprise, les sites internet doivent interagir avec les clients. De plus, l‘objectif est de réaliser une véritable « chaîne de vente » en utilisant les technologies d‘internet. Une comparaison de quelques sites de PME pourrait être très utile afin de souligner les principales caractéristiques d‘un bon site internet pour une PME. 2.4.3. Gestion de la Chaîne d’Approvisionnement (GCA) La gestion de la chaîne d‘approvisionnement inclut la planification et la gestion de toutes les activités nécessitant l‘approvisionnement, la procuration, la conversion, et la gestion logistique des activités. Cela inclut également la coordination et la collaboration avec les partenaires des canaux, qui peuvent être des fournisseurs, des intermédiaires, un quelconque prestataire de service, ou un client. La gestion de la chaîne d‘approvisionnement et la logistique doivent être distinguées. La GCA est basée sur deux flux: un du client vers le fournisseur (pour saisir les besoins du consommateur) et du fournisseur au consommateur pour gérer la production et la distribution. 2.5. L’application du SI à l’intégration 2.5.1. Au sein de la firme : La Gestion des Ressources de l’Entreprise (GRE) Les GRE sont parmi les logiciels les plus présents dans tout type d‘entreprise.La définition de GRE est donnée, et ensuite la structure d‘une GRE est décrite (base de données et les différents modules). La GRE pour les PME constitue une version spéciale de la GRE pour les grandes entreprises (comme SAP) ou pour les entreprises spécifiques (comme Navision de Microsoft). Pour une organisation, l‘instrumentalisation de la GRE est toujours un grand défi, et un projet très risqué. 2.5.2. En dehors de l’entreprise: L’Echange de Données Electroniques (EDE) L‘échange de données électroniques consiste en un assortiment de critères ayant pour but de structurer les informations qui doivent être échangées électroniquement entre et au sein des entités commerciales, gouvernementales, des organisations et des autres groupes. Les critères décrivent les structures des documents, par exemple les commandes d‘achat, afin d‘automatiser les achats. Il existe en réalité beaucoup d‘EDE, et cela est une réelle difficulté pour les entreprises. Le plus souvent, les EDE sont imposés aux PME par les gros clients (comme la distribution), et cela nécessite un système assez coûteux.




De nouveaux types d‘EDE sont développés avec des outils internes et le langage à balises extensibles : le commerce électronique en langage de balisage extensible. 2.5.3. En dehors de l’entreprise : Le marché de l’e-business Les marchés de l‘e-business sont des systèmes qui peuvent connecter les clients et les fournisseurs sur une même plateforme. Ce sont des marchés B2B et B2C (comme eBay). Sur un marché électronique, le client peut trouver un produit ou un service, choisir le fournisseur, faire une offre et même payer le produit. Les marchés verticaux (pour l‘industrie automobile par exemple) et horizontaux (achat sur internet par exemple) peuvent être distingués. Le modèle commercial de tels marchés doivent être expliqués afin de comprendre pourquoi certains d‘entre eux connaissent un réel succès et d‘autres un véritable échec. Lectures pour le chapitre 2 Laudon • Laudon (2006) Management Information Systems, 9/e, Pearson prentice hall 2.6. Exercices




CHAPITRE 3 : GESTION DE PROJET Connaissances à acquérir Comment gérer le projet d‘un système d‘information Comment appliquer les outils de la gestion de projet L‘analyse du risque est traitée dans la partie sur le management du risque Contenu indicatif du chapitre 3.1. Introduction Introduire le chapitre et exposer la gestion de projet comme partie intégrante du management. Introduire les deux principales associations professionnelles : L‘Institut de la Gestion de Projet (IGP) et l‘Association Internationale de Gestion de Projet (AIGP) Présenter les processus de certification pour les managers. 3.2. Définition des principaux concepts de la gestion de projet La gestion de projet et la direction du projet, les objectifs d‘un projet, structure de l‘équipe de projet. Le dictionnaire proposé par les associations internationales peut être ici utilisé. Application de ces concepts au projet du SI. 3.3. Comment préparer un projet ? 3.3.1. Préciser les objectifs du projet : Pourquoi et où agissez-vous Un projet de SI doit être rattaché à des objectifs clairs, et chaque objectif doit être contrôlé par des indicateurs. Beaucoup de personnes (au sein et en dehors de l‘entreprise) peuvent être concernées par le projet. On parle ici des intervenants. Le nombre et les besoins de chaque intervenant doit être défini précisément au début du projet. 3.3.2. Identifier le type de solutions : Comment agissez-vous ? Afin de préparer le projet, le type de solution doit être rapidement trouvé (un ensemble de logiciel, développement et externalisation) et non la solution détaillée.




3.3.3. Identifier les ressources humaines et techniques: Avec qui agissez-vous et que faîtes-vous ? Les principales ressources dont on a besoin afin de mener à bien le projet sont ensuite définies. Le manager du projet est responsable du budget et des ressources utilisées. Les ressources doivent être disponibles au bon moment et au bon endroit. 3.4. Comment établir le projet ? Les principales manières de structurer le projet sont ici présentées: Structure de découpage du projet (SDP) Structure de décomposition d‘un produit (SDP) Organisation de la structure de décomposition (OSD) 3.5. Comment gérer un projet? 3.5.1. La direction de projet La ―direction de projet� regroupe tout le travail de gestion d‘un projet:

1 Recrutement des membres de l‘équipe 2 Négociation avec les fournisseurs 3 Gestion des conflits 4 Motivation de tous les intervenants

Ces tâches sont difficiles à enseigner mis à part en étudiant des études de cas. 3.5.2. La gestion de projet La gestion de projet regroupe un grand nombre de tâches comme: prévision, gestion du risque, contrôle des coûts, estimation, et gestion du changement. La prévision, le contrôle des coûts et la gestion du changement sont uniquement présents dans ce cours. 3.5.2.1. La prévision (Pert and Gantt) Les principaux principes utilisés pour faire des prévisions sont présentés (Pert or Gantt). On propose ici d‘utiliser des outils de l‘Open Source community comme le ―Gantt Project�. Cette partie doit être enseignée à l‘aide de quelques exercices. Le concept de chemin critique et de marge d‘une activité sont utilisés. 3.5.2.2. Le budget et le contrôle des coûts Le budget d‘un projet est composé d‘investissements et de coûts d‘exploitation. L‘investissement est composé de journées de travail à la fois simples et difficiles pour l‘équipe de projet.




Ce budget est réalisé au début du projet et est ensuite actualisé pendant la réalisation de celui-ci. On présente les principes du contrôle de coûts pour la gestion de projet : prévision, estimation et réalisation. Quelques exercices doivent être réalisés concernant ce sujet. 3.5.2.3. La gestion du changement et facteurs humains Un système d‘information est réalisé afin d‘être utilisé par les employés de l‘entreprise pour une longue période (on l‘espère). Mais la mise en place du système nécessite des changements dans l‘organisation et dans le comportement des utilisateurs. Ces changements doivent être réalisés à l‘aide d‘une réelle gestion du changement composée de :

1 Entraînement 2 Encadrement 3 Communication à tous les niveaux du projet

3.6. Comment mettre en place et utiliser les résultats du projet ? La mise en place d‘un nouveau système d‘information peut être réalisée d‘un coup ou petit à petit en utilisant l‘ancien et le nouveau système parallèlement. La mise en place commence avec le test final. Les différents niveaux du test doivent être expliqués. Lectures pour le chapitre 3

1 « Projet de Système d'information : Une démarche et des outils pour le chef de projet » Alain Lecoeur et Bernard Quinio (Vuibert, Paris 2003).

2 Site du « Project management Institute » 3 Site de l‘« International Project Management Association »

3.7. Exercices




CHAPITRE 4 : SECURITE ET CONTROLE DU SI

Connaissances à acquérir Comment appliquer les règles de sécurité et les outils dans une PME ? Comment trouver les informations et les conseils à propos de la sécurité ? Contenu indicatif du chapitre 4.1. Introduction Les termes sécurité d‘information, sécurité de l‘ordinateur et promesse d‘information sont fréquemment utilisés pour adresser la protection des données à une entreprise. Quand on parle de la sécurité des informations, on doit être conscient que, de nos jours, le succès et la survie des organisations dépendent de plus en plus du succès de l‘implantation d‘outils informatiques. Ni le temps, ni la distance ne peut limiter les échanges d‘informations. Pour de nombreuses organisations, les informations et la technologie utilisées pour les traiter sont les biens ayant le plus de valeurs. Les informations électroniques et les systèmes informatiques jouent un rôle significatif en supportant les processus clés du commerce. Pendant ce temps, la vulnérabilité des organisations continue de croître. Ce n‘est pas uniquement l‘accessibilité des informations mais également la menace qui devient mondiale avec internet. La confidentialité, l‘intégrité et la disponibilité (connu comme le triptyque de la CIA) sont les principes clés du système d‘information .On peut également y ajouter l‘authenticité et le non-rejet.

1 La confidentialité est la propriété de la divulgation préventive des informations afin de contrer les individualismes ou les systèmes.

2 L‘intégrité signifie que les données ne peuvent être modifiées sans autorisation. 3 Une grande disponibilité signifie que toutes les informations doivent être disponibles

quand on en a besoin. 4 Une forte authenticité signifie que le créateur d‘une donnée est clairement

identifié. 5 Le non-rejet implique qu‘une partie de la transaction ne peut être niée une fois

reçue, et que l‘autre partie ayant envoyée la transaction ne peut la nier.

4.2. Règles de sécurité: strictes, indulgentes et l’organisation Les règles de sécurité sont réalisées afin de garantir les principes clés de la sécurité. Il existe toujours trois sortes de règles : strictes, indulgentes et organisationnelles.

• Les règles strictes contrôlent les moniteurs et contrôlent l‘environnement de l‘espace de travail ainsi que le matériel informatique.

• Les règles plus indulgentes utilisent les logiciels et les données pour surveiller et contrôler l‘accès aux informations et aux systèmes électroniques.




• Les contrôles de l‘organisation (également appelées contrôles de procédure) consistent en l‘approbation de politiques écrites, de procédures, de critères et de directives.

Concernant la confidentialité, des exemples de règles sont :

• Strictes : protéger les ordinateurs portables avec des antivols • Indulgentes : avoir un bon mot de passe • Organisationnelles : ne pas parler d‘informations confidentielles au téléphone

dans le train Concernant l‘intégrité, des exemples de règles sont :

• Strictes : ne pas autoriser l‘accès physique d‘un ordinateur pour une personne extérieure à l‘entreprise

• Indulgentes : avoir un bon système de contrôle d‘accès • Organisationnelles : expliquer à tous les utilisateurs l‘importance de la qualité des

données Concernant la disponibilité, des exemples de règles sont :

• Strictes : avoir des ordinateurs équipés du système RAID • Indulgentes : avoir des protections contre des attaques du service • Organisationnelles : enseigner aux utilisateurs de ne pas lancer des programmes

lourds quand les ordinateurs sont occupés par un traitement périodique (registre de salaires par exemple)

4.3. Facteurs humains de sécurité Chaque problème technique ne sera pas utile si les utilisateurs ne sont pas conscients des problèmes de sécurité ainsi que de leurs impacts. Tous les salariés sont concernés par la sécurité, et pas uniquement les managers. Un employé de l‘entreprise (même dans une PME) doit être responsable de la sécurité des informations, ainsi que d‘informer et d‘enseigner cela à tous les membres de l‘organisation. Certaines menacent proviennent directement des facteurs humains : Pirate informatique Un pirate informatique est une personne recherchant les failles de la sécurité dans les systèmes de technologie de l‘information. Ce ne sont pas nécessairement des experts malveillants. Ils conseillent souvent le propriétaire du système concernant les défauts qu‘ils ont détectés, rendant leur réparation possible. Cependant, un pirate cause des dommages : il vole des données, fait du chantage, etc. Les pirates néophytes Les pirates informatiques créer leurs outils grâce à leurs grandes compétences. Un pirate néophyte cherche ces outils, utilisés par exemple afin de s‘introduire dans des systèmes, et commence à essayer de trouver les endroits où il pourrait les utiliser avec succès. Ils réussissent souvent et peuvent rendre les systèmes inutilisables. L‘employé victime




Les employés sont extrêmement exposés. La loyauté à l‘égard des employés diminue. Le nombre d‘atteintes internes réalisées afin de compromettre la technologie de sécurité des informations augmente. 4.4. Attaques internes et externes Les menaces techniques sont liées à l‘équipement informatique, incluant à la fois les éléments des logiciels et du matériel informatique. Les moyens d‘attaquer deviennent de plus en plus automatisés .Ils deviennent de plus en plus élaborés et sont donc de plus en plus difficilement reconnaissables. Les défaillances La complexité des programmes croît rapidement. Dans certains cas, les programmes peuvent consister en des dizaines de millions de lignes. Naturellement, cela implique une augmentation du nombre potentiel de défaillances. Le risque qui en suit est que le programme ne réalise plus la fonction pour laquelle il avait été conçu, et donc qu‘il s‘en suive une perte d‘informations et/ou que certaines défaillances puissent être utilisées comme des défauts de la sécurité. Virus informatiques Ce sont des programmes présents sur un ordinateur sans que son utilisateur en soit conscient, et qui commencent à agir sans que l‘utilisateur ne soit au courant. Ils réalisent deux fonctions : infecter, c‘est-à-dire qu‘ils se propagent, ils s‘assurent de leur future expansion, alors que leur autre caractéristique est qu‘ils réalisent une certaine tache. Les anciens virus endommagent souvent les informations en effaçant par exemple des fichiers. La dernière tendance, d‘autre part, est d‘obtenir plus de contrôle et d‘utiliser illégalement ces informations. Les vers des ordinateurs Ils sont liés aux virus informatiques. Alors que les virus sont activés par l‘intervention humaine, cela n‘est pas nécessaire pour les vers. Mis à part cela, ils agissent de la même manière que les virus. Ils causent souvent des surcharges qui rendent les systèmes inutilisables (panne du service). Ils empêchent les informations ou les services de parvenir à l‘utilisateur autorisé. Les vers consument les ressourcent de l‘ordinateur. Le « ping de la mort » est un exemple de paquet surdimensionné. Les systèmes de réseaux mondiaux offrent une excellente opportunité pou l‘expansion de ces deux maux. Les chevaux de Troie Ce sont souvent des parties de virus ou de vers. Leur caractéristique principale est que, dans tous les cas, ils créent un détour de sécurité pour leurs créateurs et leurs distributeurs grâce auxquels ils peuvent intervenir de l‘extérieur dans les opérations du système.




Attaques brutales Leur objectif est de décrypter le système ainsi que les mots de passe de l‘utilisateur. Des milliers de combinaisons de mots et de caractères sont créés par les outils des logiciels. L‘utilisation mondiale d‘internet a réellement augmenté la possibilité d‘attaques extérieures dans le système d‘information. Les protections minimales pour une PME sont :

1 Un pare-feu tels que ceux proposés par Microsoft ou une alarme en zone 2 Un logiciel espion 3 Un antivirus

Ces logiciels doivent être mis à jour tous les jours afin d‘être efficaces. Dans la plupart des PME, la protection externe est gérée par un prestataire de services et l‘entreprise doit examiner sa part de responsabilité en cas de catastrophe. Les attaques internes sont fréquentes et la protection la plus efficace est la gestion humaine et la traçabilité du système. 4.5. Loi et normes et authentification pour la sécurité informatique La directive de protection des données de l‘Union Européenne (DPDUE) exige que tous les membres de l‘UE doivent adopter des règles nationales afin de standardiser la protection des données privées pour les citoyens européens. En France, la CNIL (Commission Nationale de l‘Informatique et des Libertés) est responsable des lois les plus importantes concernant la sécurité et la confidentialité des systèmes d‘information. Le Computer Misuse Act 1990 est une loi du parlement britannique faisant des délits informatiques un acte criminel (par exemple le piratage informatique). L‘organisation Internationale de Normalisation (OIN) est un consortium de critères nationaux instituée par 157 pays et dont le secrétariat central qui coordonne le système se trouve à Genève en Suisse. L‘OIN est le plus grand éditeur de standards au monde. L‘ISO-15443: "Technologie de l‘information – Techniques de sécurité – Une structure pour la garantie de la sécurité en informatique�, ISO-17799: "Technologie de l‘information – Techniques de sécurité – Code de pratique pour la gestion de la sécurité des informations ", ISO-20000: " Technologie de l‘information – Techniques de sécurité ", et ISO-27001: " Technologie de l‘information – Techniques de sécurité – Systèmes de gestion de la sécurité des informations" sont d‘un intérêt particulier pour les professionnels de la sécurité des informations. La certification professionnelle internationale en sécurité des systèmes d‘information est une certification de la sécurité des informations de niveau moyen, voire bon. Les systèmes d‘information et de sécurité professionnels de l‘architecture, les systèmes d‘information et de sécurité professionnels de l‘ingénierie, les systèmes d‘informations et de sécurité professionnels de la gestion, et la certification des gestionnaires de la sécurité des informations sont bien respectés et donnent respectivement des certifications dans la sécurité des informations en architecture, en ingénierie, et en gestion




4.6. Sauvegarde de données et de logiciel Pour les entreprises, la protection la plus importante contre les catastrophes liées aux systèmes d‘information est d‘avoir un système de sauvegarde bien structuré. Un système de sauvegarde pertinent doit être :

1 Automatique 2 Fréquent 3 En double 4 Souvent testé

Beaucoup de fournisseurs proposent des systèmes de sauvegarde isolés. 4.7. Redémarrer et maintenir l’activité La continuité du commerce est le mécanisme par lequel une organisation continue d‘opérer, alors que son commerce peine, pendant des périodes de perturbations prévues ou non, et qui affectent les opérations normales de ce commerce, en utilisant des procédures planifiées et gérées. La Planification Continue des Affaires (PCA) est préparée afin de réduire les coûts de reprise des affaires. La PCA contient la réponse à une liste de questions telles que :

1 Si une catastrophe arrivait, quelles seraient les toutes premières choses que je devrais faire en premier?

2 Quelle partie de mon travail devrais-je tout d‘abord reprendre? 4.8. Utilisation du contrôle de l’information et des technologies associées et de la bibliothèque pour l’infrastructure des technologies de l’information dans les PME

La gestion des technologies de l‘information devient de plus en plus importante au sein de la gestion de l‘entreprise. La gestion des technologies de l‘information est une structure de la gestion de l‘entreprise et du contrôle des relations, et agit de façon à ce que son objectif soit l‘accomplissement des objectifs de l‘entreprise, en y ajoutant une plus value, et, en même temps, en pesant les risques et les avantages offerts par les outils informatiques. Le management doit développer un système de contrôle qui soutienne les processus du commerce. Cependant il faut clarifier ce que font les activités et en quoi elles contribuent à la réalisation des besoins relatifs aux informations et, à travers cela, à la réalisation des objectifs du commerce. Afin d‘atteindre une uniformité, des ensembles de règles internationales ont été mis en place (par exemple le contrôle de l‘information et des technologies associées) qui résument les critères concernant les informations tout comme les principes de mesure de la qualité de leur réalisation. Afin de réaliser cela, les facteurs de succès, les indicateurs d‘objectifs et de performance ont été définis, la valeur de ceux qui servent à l‘évaluation de la qualité du fonctionnement des technologies de l‘information et de l‘ajustement des mesures de correction nécessaires. Afin d‘améliorer la sécurité des systèmes d‘information, les PME peuvent utiliser une méthodologie plus dure comme celle du contrôle de l‘information et des technologies




associées ou de la bibliothèque pour l‘infrastructure des technologies de l‘information, qui ont récemment été adaptés pour les PME. Lectures pour le chapitre 4

1 Site du « Clusif » 2 Site de l‘« Information Systems Security Association »

4.9. Exercices




II. MANAGEMENT DU RISQUE

CHAPITRE 1 : LES OBJECTIFS DE L’ACQUISITION DES CONNAISSANCES DU MANAGEMENT DU RISQUE

Connaissances à acquérir Avoir une parfaite connaissance des objectifs du management du risque et des problèmes qu‘il soulève. Contenu indicatif du chapitre 1.1. Introduction Le concept du management du risque qui est présenté est basé sur le travail du comité des organisations de sponsoring (COS) sur le management du risque et du contrôle interne en entreprise - La structure intégrée et le matériel d‘entraînement renvoient directement à quelques parties du sommaire et aux techniques d‘application des documents du COS. 1.2. Objectifs généraux L‘introduction sous-jacente du management du risque en entreprise est que chaque entité existe afin de fournir de la valeur aux intervenants. Toutes les entités font face à l‘incertitude et le défi de la gestion est de déterminer quel degré d‘incertitude il faut afin d‘accepter à quel point il s‘efforce d‘augmenter la valeur des intervenants. L‘incertitude présente à la fois un risque et une opportunité, avec le risque de détériorer ou d‘améliorer la valeur. Le management du risque en entreprise rend le management capable de gérer efficacement l‘incertitude, le risque associé et les opportunités, en améliorant la capacité de produire de la valeur. 1.3. Description des principaux problèmes La valeur est maximisée quand le management met en place des stratégies et des objectifs afin d‘atteindre une balance optimale entre la croissance et les objectifs et les risques relatifs, et de déployer de manière efficace les ressources dans la poursuite des objectifs des entités. Le management du risque englobe en entreprise :

- Faire concorder le niveau de prise de risque et la stratégie – Le management considère le niveau de prise de risque de chaque entité en évaluant les alternatives stratégiques,en mettant en place des objectifs liés, et en développant les mécanismes afin de gérer les risques relatifs à cela.




- Améliorer les réponses aux risques – Le management du risque en entreprise fournit la rigueur permettant d‘identifier et de sélectionner une réponse parmi les réponses alternatives aux risques – éviter les risques, les réduire, les partager et les accepter.

- Réduire les surprises et les pertes opérationnelles – Le gain en entité améliore la capacité d‘identifier les évènements potentiels et d‘établir des réponses, en réduisant les surprises ainsi que les coûts et les pertes qui y sont associés.

- Identifier et gérer les multiples risques croisés en entreprise – Chaque entreprise fait face à une myriade de risques affectant différentes parties de l‘organisation, et le management du risque en entreprise facilite les réponses efficaces aux impacts qui y sont liés, ainsi que les réponses intégrées à ces multiples risques.

- Saisir les opportunités – En considérant un grand nombre d‘évènements potentiels, le management est positionné afin d‘identifier et de réaliser les objectifs de manière dynamique.

- Améliorer l‘augmentation du capital – Obtenir des informations importantes concernant les risques permet au management d‘évaluer de manière efficace tous les besoins en capital et d‘améliorer la répartition du capital.

1.4. Pourquoi la gestion du risque est utile aux PME ? Ces capacités inhérentes au management du risque en entreprise aident la gestion à réaliser les performances de chaque entité ainsi qu‘à atteindre les cibles des bénéfices et à éviter les pertes de ressources. Le management du risque en entreprise aide à s‘assurer de l‘efficacité de la couverture et de la conformité vis-à-vis des lois et des règles, et aide à éviter les dommages pour la réputation des entités, ainsi que les conséquences qui y sont associées. Pour résumer, la gestion du risque en entreprise aide une entité à atteindre ce qu‘elle veut et à éviter les écueils et les surprises tout au long du chemin. Les événements peuvent avoir un impact négatif, positif ou bien à la fois positif et négatif. Les événements qui ont un impact négatif représentent un risque, qui peut empêcher la création de valeur ou la dégradation de valeurs déjà existantes. Les évènements qui ont un impact positif peuvent compenser les impacts négatifs ou représenter des opportunités. Les opportunités sont la possibilité qu‘un évènement se produise et affecte de manière positive la réalisation des objectifs, en supportant la création de valeurs ou la préservation de celles-ci. La gestion des opportunités liées aux canaux revoit ses stratégies ainsi que la mise en place des objectifs, en formulant des prévisions afin de saisir les opportunités. Lectures pour le chapitre 1

1 http://www.coso.org/documents/COSO_ERM_ExecutiveSummary.pdf 2 http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_french.pdf 3 http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_German.pdf 4 http://www.coso.org/documents/COSO_ERM.ppt

1.5. Exercices




CHAPITRE 2 : CONCEPTS FONDAMENTAUX DU MANAGEMENT DU RISQUE

Connaissances à acquérir Avoir une connaissance parfaite des concepts du management du risque Contenu indicatif du chapitre 2.1. Définition du management du risque en entreprise Le management du risque en entreprise est un processus, établi par le conseil d‘administration d‘une entité, par la gestion et par d‘autre personnel, appliqué dans la mise en place d‘une stratégie, à travers l‘entreprise, désigné pour identifier des événements potentiels qui pourraient affecter cette entité, et gérer le risque de se retrouver au sein même de cette prise de risque, afin de fournir une garantie raisonnable envers la réalisation des objectifs de l‘entité. La définition reflète certains concepts fondamentaux:

- Un processus en cours et qui fait partie intégrante d‘une entité - Etabli par des gens à chaque niveau d‘une organisation - Appliqué dans la mise en place d‘une stratégie - Appliqué à travers les entreprises, à chaque niveau et à chaque unité, et incluant de prendre en considération le risque du portefeuille du niveau de l‘entité

2.2. Types de risques Les types de risques dépendent beaucoup du secteur, du type d‘entité et de sa taille, des facteurs géographiques et culturels. Le concept de la Gestion du Risque en Entreprise (GRE) s‘applique aux risques basés sur un événement potentiel externe ou interne qui pourrait affecter de manière significative la réalisation des objectifs organisationnels et opérationnels. Le terme de risque inhérent est utilisé pour les risques concernant une entité en l‘absence de quelque action que le management pourrait considérer comme étant une réponse. Le terme de risque résiduel est utilisé pour les risques qui restent comme étant le résultat d‘une réponse du management (contrôle). Le management du risque en entreprise devrait être considéré comme étant à la fois un risque inhérent et résiduel. On utilise également le terme de risque de contrôle en ce qui concerne les événements qui peuvent faire que les résultats prévus par une ou plusieurs procédures de système de contrôle ou même d‘activités de contrôle ne soient pas réalisés, à savoir que les risques résiduels ne soient pas au-dessus de la valeur projetée (du niveau de la prise de risque). Lectures pour le chapitre 2

1 http://www.coso.org/documents/COSO_ERM_ExecutiveSummary.pdf 2 http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_french.pdf




3 http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_German.pdf 4 http://www.coso.org/documents/COSO_ERM.ppt

2.3. Exercices




CHAPITRE 3: REALISATIONS DES OBJECTIFS LIES DES ENTITES

Connaissances à acquérir Savoir comment lier les différents objectifs du management du risque Contenu indicatif du chapitre 3.1. Catégories d’objectifs Au sein du contexte d‘une mission ou d‘une vision établie par une entité, le management met en place des objectifs stratégiques, sélectionne une stratégie, et met en place des objectifs liés qui rejaillissent au sein de l‘entreprise. La structure du management du risque en entreprise est développée afin de réaliser les objectifs d‘une entité, qui tiennent dorénavant en quatre catégories :

- Stratégique – des objectifs difficiles, qui s‘alignent sur la mission tout en la soutenant - Opérations – utilisation efficace de ses ressources - Couverture – fiabilité de la couverture - Conformité – conformité aux lois et aux règles.

3.2. Mise en place d’objectifs La mise en place d‘objectifs est appliquée quand le management prend en considération la stratégie d‘une entité dans la mise en place d‘objectifs. Cela constitue le niveau de prise de risque de l‘entité — une grande considération de ce que risque le management et le conseil (de surveillance) est une volonté d‘accepter la stratégie qui les concerne – et la tolérance du risque – le niveau d‘acceptation de la variation autour des objectifs des entités situés au même niveau que celui de la prise de risque. 3.3. L’identification d’évènements L‘identification d‘évènements implique l‘identification de ces incidents, qui ont lieu de manière interne et externe, et qui peuvent affecter la stratégie et la réalisation des objectifs. Il montre comment les facteurs internes et externes combinent et interagissent afin d‘influencer le profil du risque. 3.4. Evaluation du risque L‘évaluation du risque permet à une entité de comprendre à quels évènements potentiels ses objectifs peuvent être confrontés. Cela évalue les risques selon deux perspectives :

- Sa probabilité




- Son impact

3.5. Réponses au risque Les réponses potentielles aux risques doivent être identifiées et évaluées. Pendant l‘évaluation la prise de risque de l‘entité doit être prise en considération, et les réponses potentielles au risque sont comparées par rapport à l‘analyse des coûts et des bénéfices et à l‘importance de la manière dont les réponses potentielles diminuent l‘impact et/ou les chances. Lectures pour le chapitre 3


3.6. Exercices




CHAPITRE 4 : COMPOSANTES DU MANAGEMENT DU RISQUE

Connaissances à acquérir Savoir comment lier les différentes composantes du management du risque Contenu indicatif du chapitre 4.1. Relation entre les composantes et les objectifs La gestion du risque en entreprise consiste en huit composantes liées entre elles. Elles dérivent de la manière dont le mangement dirige une entreprise et sont intégrées aux procédés du management. Ces composantes sont :

- L‘environnement interne - Mise en place d‘objectifs. - L‘identification d‘évènements. - L‘évaluation du risque - Le risque - Le contrôle des activités. - L‘information et la communication - La surveillance.

La relation entre les objectifs et les composantes est représentée dans une matrice en trois dimensions, sous la forme d‘un cube. Les quatre catégories d‘objectifs – stratégique, opérations, couverture, et conformité – sont représentées par des colonnes verticales, les huit composantes par des rangées horizontales, et une unité d‘entité par la troisième dimension. 4.2. Efficacité et limitations du management du risque Déterminer si le management du risque en entreprise d‘une entité est ―efficace� est un jugement qui résulte d‘une évaluation, à savoir si les huit composantes sont présentes et fonctionnent bien. Ainsi, les composantes sont également des critères pour l‘efficacité de la gestion du risque en entreprise. Pour les composantes, le fait d‘être présentes et de bien fonctionner ne peut pas être une faiblesse matérielle, et le risque pris doit être inclut au sein de la prise de risque de l‘entité 4.3. Intégration des contrôles internes Le système des contrôles internes fait partie intégrante du management du risque en entreprise. La structure de ce management du risque en entreprise englobe le contrôle interne, le fait de former une conceptualisation plus solide, ainsi que les outils de gestion. Le contrôle interne est définit et décrit dans Contrôle Interne – Structure Interne. Comme cette




structure a résisté au temps et qu‘elle est la base des règlements existants, des règles, et des lois, ce document reste en place comme étant la définition de la structure du contrôle interne. Alors que seulement des parties du texte Contrôle Interne – Structure Intégrée sont reproduites dans cette structure, sa totalité y est incorporée en tant que référence. Lectures pour le chapitre 4


4.4. Exercices




CHAPITRE 5 : EVALUATION DES CAPACITES DU MANAGEMENT DU RISQUE

Connaissances à acquérir Comment évaluer les capacités du management du risque Contenu indicatif du chapitre 5.1. Le Comité d’organisation du Sponsoring (COS) comme modèle de référence applicable Le procédé de modèle de référence basé sur les conseils du COS en 2006 associé au procédé qui attribut les standards définis dans l‘ISO/IEC 15504-2, fournit une base commune pour l‘évaluation des performances du management du risque, de la capacité du processus de contrôle interne et du rapport des résultats en utilisant une échelle commune de taux. Le modèle d‘évaluation du processus définit un modèle en deux dimensions des capacités du processus. Dans une dimension, la dimension du processus, les procédés sont définis et classés en catégories de procédés. Dans l‘autre dimension, la dimension des capacités, une série de caractéristiques des procédés ; groupée en niveau de capacité, est définie. Les caractéristiques des procédés fournissent des caractéristiques mesurables de la capacité du processus. 5.2. Elaboration des objectifs des entités en niveaux de capacité Le modèle du COS identifie cinq niveaux de capacité. Niveau 1 – La conformité (Processus accompli) Le processus de contrôle interne existe et réalise tous les résultats définis et suit toutes les règles internes et externes qui sont utiles. Niveau 2 — Compte-rendu fiable (Processus réalisé) Le processus accompli décrit ci-dessus est désormais exécuté d‘une manière contrôlée (prévu, surveillé et ajusté) et les fruits de son travail sont établis de manière judicieuse, sont contrôlés, et sont maintenus. Niveau 3 — Opération efficace (Processus établi) Le processus réalisé décrit ci-dessus est désormais exécuté et utilise un procédé capable de réaliser ses résultats en cours. Niveau 4 – Objectifs stratégiques (Processus prévisible) Le processus établi décrit ci-dessus fonctionne désormais dans le cadre des limites établies afin de réaliser ses résultats en cours.




Niveau 5 - La gestion du risque est optimisée 5.3. Promesses et engagements de consultation de l’audit L‘interprétation traditionnelle basée sur les systèmes d‘audit est conduite par les systèmes qui sont actuellement en place, et les contrôles sont liés à cela. Cela suppose que les contrôles en place couvrent tous les risques et se fient fréquemment aux « questionnaires de contrôle interne », qui sont des documents standards qui sont utilisés dès qu‘un audit est réalisé. Les risques basés sur les audits des experts attirent l‘attention sur le danger de ces questionnaires qui les comparent à l‘approche basée sur les risques. Lectures pour le chapitre 5


5.4. Exercices




C) SPECIFICATIONS NATIONALES

1. FRANCE Réalisé par B. Quinio

1.1. Gestion du système d’information 1.1.1. Chapitre 1 Organiser et diriger le Système d’Information (SI) dans une PME Connaissances à acquérir Caractérisation des fournisseurs d’information Les prestataires de service en système d‘information sont définis par le code NAF 72, mais également 642A et 642B. Quelques « agences en ligne » sont définies par les codes 744B,921B et 921G. On peut également tenir compte de la classification SYNTEC. Lecture pour le chapitre 1: http://www.syntec.fr/ 1.1.2. Chapitre 2 Applications du SI dans une PME Au sein de la firme: Planification des ressources de l’entreprise (PRE) En France, on peut étudier le groupe Cegid. (http://www.cegid.fr/) Echange de données électroniques (EDE) En France on peut étudier l‘organisme GS1.(http://www.gs1.fr/) Lectures pour le chapitre 2: http://www.edifrance.org/ 1.1.3. Chapitre 3 Gestion de projet Définition des principaux concepts de la gestion de projet En France, on utilise les concepts de ―maîtrise d‘ouvrage� et de ―maîtrise d‘œuvre�, cela doit être clairement expliqué. Planification (Pert and Gantt) On peut utiliser le projet de Gantt qui est un logiciel gratuit pour tout le monde. Lectures pour le chapitre 3: http://www.managementprojet.com http://www.afitep.fr/ http://www.clubmoa.asso.fr/




1.1.4. Chapitre 4 Sécurité et contrôle du SI Règles de sécurité: strictes, indulgentes, et organisation On peut expliquer et développer la méthode Mehari du CLUSIF. Celle-ci est très claire et très bien présentée sur son site internet. Utilisation du Contrôle de l'Information et des Technologies Associées pour les PME (CITA) Pour l‘utilisation du CITA, les outils proposes par l‘AFAI peuvent être utilisés. Lois pour la sécurité informatique En France les lois concernant l‘informatique sont principalement définies par la CNIL. Lectures pour le chapitre 4: http://www.clusif.asso.fr/ http://www.afai.asso.fr/ http://www.cnil.fr/ 1.2. Management du risque Lectures pour ce module: Management du risque. Approche globale. AFNOR. 2002. ISBN 2-12-169211-8 100 questions pour comprendre et agir. Gestion des risques. Jean-Paul Louisot. AFNOR et CARM Institute (Cercle des Affaires en Risk Management). ISBN 2-12-475087-9 Prévenir les risques. Agir en organisation responsable. Andrée Charles, Farid Baddache. Editions AFNOR. 2006. ISBN 2-1247-5519-6. Guide Pratique des captives d‘assurance et de réassurance. 2007 Collection AMRAE www.amrae.fr .ISBN 22523




2. ALLEMAGNE

Réalisé par G. Prause 2.1. Systèmes d’information et management du risque L‘Allemagne a un grand attrait pour les solutions technologiques évoluées. Les SI sont bien enracinés dans les grandes compagnies et dans beaucoup de PME, ce qui force ceux qui ne les utilisent pas à adopter des critères récents afin de prouver leurs capacités. La gestion et la surveillance des SI intra- et inter-entreprise devient un objectif majeur afin de rester efficace, d‘extraire des informations valables de la gestion des systèmes basés sur les SI, et de les regrouper pour encourager la décision à l‘origine du processus. Dans un environnement commercial concurrentiel et qui change rapidement, avoir des informations les plus récentes, justes et compréhensibles possibles à propos de l‘état actuel d‘une entreprise est un facteur clé de succès. La complexité croissante des SI et la tendance à un environnement interconnecté de manière globale doit être prise en compte lorsque l‘on s‘intéresse au management et à la sécurité des SI. Les lois et les critères qui régulent l‘accessibilité, la disponibilité et le stockage des informations pour l‘accès des autorités sont des sujets importants qui ont besoin d‘être abordés. 2.2. Management du risque Traditionnellement, le coeur de l‘économie allemande réside dans les PME qui ont évolué au sein d‘un environnement relativement bien structuré, protectionniste et permettant d‘éviter les risques. Les PME allemandes ont besoin de s‘adapter à une nouvelle situation , de faire face à un environnement commercial international complexe et fluctuant, et à des dangers et des risques variés, particulièrement lors de la dernière décennie, ceci étant due à une situation nationale et internationale de plus en plus compétitive. Le management du risque doit particulièrement intégrer plus de facteurs qui indiquent les aspects d‘incertitude causés par les différentes cultures commerciales. Le niveau de prise de risque doit être ajusté à un environnement commercial bien spécifique, prenant en compte les facteurs internes et externes équilibrés.




3. HONGRIE Préparé par A. Jânosa and J. Ivanyos

3.1. Gestion des systèmes d’information Le responsable hongrois du projet a supervisé le contenu du module et accepté dès lors que la structure de la gestion des systèmes d‘informations soit indépendante des caractères nationaux actuels hongrois. D‘autre part, on pourrait mettre l‘accent sur l‘habile sélection des exercices et des études de cas qui illustrent et encouragent une meilleure compréhension du sujet. 3.2. Management du risque

Evaluer le rapport financier des risques

- une méthodologie développée par les experts hongrois –

Les problèmes de capacité sont devenus, aux yeux du management, le principal coût de conformité des activités de préparation et attirent l‘attention sur la durabilité et de la valeur ajoutée commerciale de tels efforts. La réponse à ce défi a été trouvé en utilisant le critère d‘évaluation du procédé ISO/IEC 15504, et son concept de modèle d‘évaluation applicable aux managers, aux auditeurs et mêmes aux organismes externes comme la supervision des recherches, le prêt, chaîne d‘approvisionnement, etc, évaluer l‘efficacité de la gestion du risque en entreprise et le contrôle interne aux bénéficiaires ou aux candidats. Modèle d’évaluation du processus basé sur le COS Le modèle d‘évaluation du processus définit un modèle des capacités du processus à deux dimensions. Dans une dimension, la dimension du processus, les processus sont définis et classés en catégories de processus. Dans l‘autre dimension, la dimension des capacités, une série d‗attributs du processus regroupés en niveau de capacité est définie. Les attributs du processus fournissent des caractéristiques mesurables concernant ses capacités. Les conseils du COS 2006 (Contrôle Interne du Rapport Financier — Conseils aux plus Petites Entreprises Publiques) [2] fournissent une série de vingt principes de base représentant les processus conceptuels fondamentaux associés et directement montrés comme provenant des cinq composantes du Contrôle Interne - Structure Intégrée. En supportant que chaque principe est un attribut, représentant des caractéristiques associées aux principes. Pour le processus de dimension du modèle d‘évaluation du processus adopté, l‘intégralité des vingt processus de contrôle interne référant aux Principes des conseils du COS 2006 est inclue. Le modèle conforme d‘évaluation du processus de ISO/IEC 15504 est basé sur le principe que la capacité d‘un processus peut être évaluée en démontrant la réalisation des attributs des processus sur la base de preuves liées à l‘évaluation des indicateurs. Il y a deux types d‘indicateurs d‘évaluation : le processus de capacité (générique), qui s‘applique sur les niveaux de capacité 1 à 5, et le processus de performance (spécifique) qui s‘applique exclusivement au niveau de capacité 1. Les attributs du processus de la dimension des capacités ont une série d‘indicateurs de capacité des processus qui fournit une indication de




l‘étendue du résultat de l‘attribut dans le processus instantané. Ces indicateurs concernent des activités signifiantes, des ressources ou des résultats associés d‘un processus associé à la réalisation de l‘objectif de l‘attribut Mise en place d’objectifs concernant les contrôles internes Dans la terminologie du COS du management du risque en entreprise, le management considère la stratégie du risque dans la mise en place d‘objectifs, tels que : - Niveau de prise de risque de l’entité – une vue générale à propos de combien de risques le

management est prêt à tolérer. - Tolérance du risque – Le niveau d‘acceptation de variation des objectifs est aligné au

niveau de prise de risque. Dans la terminologie ISO/IEC 15504 la série de processus cibles de capacité de profil(mesuré à l‘aide de votes et d‘attributs de processus) exprime la capacité de la cible, que le management (ou d‘autre partenaires servant à évaluer) juge être adéquat au niveau de la prise de risque de l‘organisation commerciale et de sa tolérance Une entité ou les objectifs de niveau d‘unités opérationnelles et leurs variations tolérées doivent être définis en utilisant des mesures (indicateurs). En temps normal, cela n'est pas difficile car les objectifs commerciaux de n'importe quelle organisation ou processus opérationnel représentent – de manière facilement quantifiable -la valeur de création ou de protection. Cependant la définition du niveau de prise de risque (qui est cruciale pour le management du risque) n'est pas évidente. L'importance du problème dérive du fait que le niveau de prise de risque est la base qui permet de classifier les risques pendant l'évaluation du risque, afin d'encourager la décision sélectionnant les réponses potentielles au risque. S'il n'y a aucun indicateur objectif applicable du niveau de prise de risque ni pour l'entité ni pour les niveaux opérationnels, l'étape suivante du management du risque sera traitée selon des décisions accessoires, subjectives. Le modèle du COS de la GRE (Gestion du Risque en Entreprise) – en intégrant le contrôle de système interne – met en place des catégories d'objectifs. Les objectifs stratégiques, d'opérations, de rapport, et de conformité doivent être examinés à travers la réalisation desobjectifs commerciaux concernant ou l'organisation (en GRE), ou les unités opérationnelles et les processus (en cas de système intégré de contrôle interne).Bien que, différents types d'audits (de performance, financier, ou de conformité) puissent être définis en fonction des catégories d'objectifs, il est évident que ces catégories ne peuvent exister qu'en étant interconnectées. Une approche possible est que ces catégories d'objectifs se construisent les unes sur les autres. La réalisation des objectifs de conformité au niveau de processus opérationnels (commercialement) assure que les activités commerciales sont exécutées selon les obligations prescrites ou sélectionnées par le management du risque et les contrôles internes. Les objectifs d'un rapport fiable supposent l'exécution des obligations de conformité, afin que le niveau de prise de risque de l'entité lié au processus opérationnel (commercial) puisse être défini en utilisant les indicateurs des obligations de conformité. Les objectifs des opérations efficaces liées aux unités opérationnelles supposent l‘exécution de rapports fiables et d‘exigence de conformité. A ce niveau, le niveau de risque pris par l‘entité peut être décris en utilisant des indicateurs de rapports fiables et d‘exigences de conformité.




Au regard de toute l’organisation les objectifs stratégiques – décomposés en objectifs commerciaux définis au niveau des unités opérationnelles – supposent l‘exécution d‘opérations efficaces, de rapports fiables et d‘exigence de conformité. Pour l‘organisation entière, le niveau de prise de risque de l‘entité peut être décris en utilisant les indicateurs du rapport opérationnel et fiable prévu, et des exigences de conformité pour les unités opérationnelles, les processus et les activités commerciales. Il faut noter la conséquence de l’adaptation du management du risque dans les systèmes de contrôle interne d’une organisation concernant la tolérance du risque du niveau de l‘organisation (niveau tolérable de variation autour du contrôle des objectifs d‘une entité) et du niveau de la prise de risque : le niveau de prise de risque pour la stratégie de risque organisationnel peut être décrite en utilisant les indicateurs des exigences de tout le système de contrôle interne. La cohérence du management du risque en entreprise suppose que l‘opération du système de contrôle interne de l‘organisation soir mesurable par des indicateurs adéquats. Ces indicateurs jouent un rôle dans la mise en place d‘objectifs concernant le contrôle de système interne, comme ils sont applicables pour la description de la tolérance du risque à un niveau donné. Les indicateurs utilisés pour la mise en place de la tolérance du risque de catégories d‘objectifs d‘un niveau moindre peuvent être appliqués afin de définir le niveau de prise du risque de la prochaine catégorie d‘objectif. En cas d‘opération de l‘entreprise à un niveau inférieur de conscience de prise de risque, les objectifs stratégiques et commerciaux sont directement liés aux activités commerciales. Dans ce cas, il n‘y a pas de mise en place d‘objectifs (obligatoire) pour tout le système de contrôle interne, non seulement l‘adaptation en conséquence des structures de contrôle et de management du risque deviennent irréalistes, mais l‘arrêt de l‘utilisation d‘un niveau de prise de risque de l‘organisation objectivement applicable cause des décisions accessoires et subjectives dans le classement des risques liés aux activités commerciales. Evaluation des contrôles clés à travers les processus internes de contrôle financier de soutien Dans le contexte de la GRE, les contrôles clés sont tous ces processus, qui sont nécessaires et suffisants pour maintenir les performances commerciales à un niveau convenable des objectifs commerciaux. Les contrôles financiers clés sont soit des processus de contrôle sélectionnés au sein des procédés basiques des processus de contrôle financier interne, soit un sous-ensemble des procédés commerciaux pertinents en place dans une entité ou même dans des niveaux d‘activité, auxquels le processus de dimension du modèle d‘évaluation est nécessairement étendu. En cas d‘extension du processus de dimension du Modèle d‘Evaluation du Processus (basé sur les exigences ISO/IEC 15504) par les contrôles financiers clés, les avantages les plus pratiques de l‘application des critères ISO/IEC 15504 apparaissent. Les contrôles clés en place dans une entité, dans les niveaux intermédiaires ou les niveaux d‘activités et qui ont soit une relation directe soit une relation indirecte avec le risque de fausse déclaration de matériel, peuvent être décris par l‘objectif et par la déclaration des résultats des définitions conformes des processus. Les résultats doivent être identiques et uniques pour chaque processus, ce qui aide à éviter des chevauchements inutiles de contrôles clés (dans leur documentation et dans leur test de procédure). Les résultats peuvent être




identifiés par des affirmations financières pertinentes connectées soit aux comptes les plus importants, soit au matériel de transactions se déplaçant dans les comptes les plus importants. Mettre en oeuvre une large série de processus de contrôles financiers internes basée sur le Modèle de Référence du Processus du COS, contribue à la réalisation de tous les attributs des processus jusqu‘au niveau 4 au niveau du contrôle clé d‘une entité Processus de contrôle interne financier lié aux risques Elaborer et appliquer les principales catégories d‘objectifs de la structure du contrôle interne du COS et de celle de la GRE aux exigences d‘aptitudes du modèle de l‘ISO/IEC 15504, fournit des conseils afin de se fixer des profils cibles aptes, en évaluant le partenaire (par exemple le management), de donner des outils efficaces pour identifier, comprendre et gérer les aires de contrôle de risque. Les processus liés au risque peuvent être induits par l‘existence d‘espaces entre la cible et les profils des processus évalués. La conséquence potentielle d‘un espace dépend du niveau d‘aptitude et des attributs du processus où l‘espace a été identifié. Quelques contrôles financiers internes liant les facteurs et les exemples sont présentés comme des répercussions. Au niveau 1 attributs de la performance du processus, les conséquences typiques sont que tous les résultats utiles des processus (Attributs des principes du COS) ne sont pas réalisés, et aucune documentation recouvrable n‘existe afin de surveiller le contrôle nécessaire. La gestion de la communication au personnel selon les rôles qui affecte les rapports financiers n‘est par exemple pas renseignée de manière adéquate, car les mises à jour des problèmes internes et externes concernant la finance ne sont pas pris en considération. Au niveau 2, problèmes dans la gestion de la performance, les conséquences typiques sont l‘absence de délais, le manque ou l‘utilisation de manière inefficace des ressources, des responsabilités mal déterminées, des décisions non contrôlées, etc. La gestion de la communication avec un organisme ou un personnel de surveillance n‘est par exemple pas prévue ou programmée; le management qui y est lié ne divulgue pas les manques à temps ; les décisions non-autorisées sont faites au moment de la fermeture ; les politiques et les procédures ne sont pas en train d‘être révisées dans un temps imparti. Au niveau 2, les attributs de la gestion du travail sur le produit, l‘espace peut causer une qualité imprévisible des rapports, des accès parallèles et une documentation incohérente, augmentant les coûts de remaniement, des problèmes de consolidation. Les anciennes versions des politiques et des procédures sont par exemple également utilisées ; les exceptions identifiées ne sont pas communiquées ; la communication interne n‘est pas classée automatiquement. Au niveau 3, les problèmes dans la définition du processus, les conséquences sont que les meilleures pratiques et leçons apprises ne sont pas prises en compte pendant la révision des politiques et les procédures ou les résultats des contrôles de processus qui y sont liés ne sont pas identiques dans les procédures opérationnelles. L‘absence de description, ou uniquement la description formelle des procédures de communication internes empêche par exemple les membres de l‘équipe à utiliser les gammes alternatives en ce qui concerne la faiblesse du matériel ou l‘amélioration des suggestions Au niveau 3, le problème de déploiement du processus peut causer des applications incohérentes des contrôles financiers dans les procédures opérationnelles. Les opportunités identifiées sont perdues du fait de l‘inefficacité des efforts de déploiement. Les organismes de




surveillance ne prennent par exemple pas au sérieux le rôle des auditeurs consultatifs; les affirmations concernant l‘état financier ne sont pas proprement liées aux processus commerciaux pendant l‘évaluation du risque; les contrôles de la technologie de l‘information ne reflètent pas de manière adéquate la complexité de l‘environnement informatique Au niveau 4, les problèmes de l’évaluation des processus, les conséquences sont que les contrôles clés ne sont pas clairement identifiés, désignés ou en action afin de réaliser les objectifs de performance des processus et de gérer les buts ou de détecter les problèmes de performance de manière précoce. La résolution des exceptions des contrôles clés est par exemple recouverte par l‘évaluation du risque. Au niveau 4, les problèmes de contrôle des processus, les conséquences sont que les objectifs quantitatifs de performance et les objectifs commerciaux définis ne concordant pas. Les délais qui sont courts mensuels/annuels peuvent causer des accumulations imprévisibles de matériels, des estimations du management et des réserves. Evaluation de l’efficacité de la gestion du risqué financier et des contrôles internes L‘efficacité est basée sur le fait de savoir si les contrôles clés établis (ensembles) fournissent l‘assurance raisonnable que l‘organisation accomplisse ses objectifs commerciaux tout en respectant ses limites fixées. Le niveau d‘assurance dépend de la philosophie de prise de risque de l‘organisation, toutefois en cas de contrôles internes financiers sur les rapports financiers, les exigences réglementaires et prises en comptes forcent les cadres et la gestion financière à minimiser ces risques qui pourraient causer des erreurs dans la déclaration de matériel dans les rapports financiers et autres révélations. La documentation comptable et d‘audit fournit des conseils détaillés sur les problèmes de matériel, toutefois le matériel peut être facilement compris par une application simple de la terminologie de la tolérance du risqué du management du risqué: n‘importe quelle déviance dépassant les limites tolérées préétablies à propos des objectifs doit être considérée comme matérielle. Le développement et l‘évaluation d‘une série de contrôles clés nécessaires et suffisants doit suivre l‘approche basée sur le risque et l‘approche de haut en bas. Un design efficace et une opération du système de contrôle interne suppose que tous les risques, qui peuvent avoir des effets matériels (plus que signifiants) sur les objectifs commerciaux, sont répondus d‘une manière onéreuse, c‘est pourquoi l‘application d‘une série de contrôles clés assure que la probabilité d‘une déviation matérielle des objectifs (comme l‘erreur de déclaration dans un rapport financier) est infime, ou que la conséquence d‘une insuffisance de contrôle (même si elle est considérée comme un effet cumulatif) reste en dessous des limites tolérées. Les contrôles clés agissent dans une entité, à des niveaux intermédiaires ou d‘activités qui ont soit une relation directe soit une relation indirecte avec le risque d‘une erreur matérielle. Les résultats des processus de contrôle internes financiers basés sur les 20 principes du COS fournissent les preuves que les contrôles clés sont désignés en appliquant le management du risque et les principes du contrôle interne et qu‘ils indiquent également que les contrôles clés agissent avec des capacités prévisibles (niveau 4). Références et lectures Les principes présents du processus d‘évaluation basés sur ceux du COS étaient utilisés pour le développement de la Carte Habileté et les outils pédagogiques liés du




programme de l‘ « Expert Européen Certifié du Contrôle Financier Interne » incluant l‘adaptation des Principes, Attributs et Approches des conseils du COS 2006 en accord avec le conseil d‘administration du COS pour les traductions espagnoles, allemandes, roumaines, et hongroises . Ce projet (projet numéro : HU/B/05/B/F/PP-170013) a été mené grâce au soutien financier de la Commission des Communautés Européennes à travers le programme LEONARD DE VINCI. Pour plus de détails, rendez-vous sur le site http://www.training.iamanager.org/ ou contactez [email protected]. 1 ISO/IEC 15504-1:2004 Technologie de l‘information – Evaluation du processus—

Partie 1 : Concepts et vocabulaire ISO/IEC 15504-2:2003 Technologie de l‘information -- Evaluation du processus -- Partie 2: Réussir une évaluation ISO/IEC 15504-2:2003/Cor 1:2004 ISO/IEC 15504-3:2004 Technologie de l‘information -- Evaluation du processus -- Partie 3: Conseils sur la réussite d‘une évaluation ISO/IEC 15504-4:2004 Technologie de l‘information -- Evaluation du processus -- Partie 4: Conseils sur l‘utilisation de l‘amélioration du processus et l‘aptitude à déterminer un processus ISO/IEC 15504-5:2006 Technologie de l‘information -- Evaluation du processus -- Partie 5: Un modèle d‘évaluation de processus exemplaire

2 Le Comité d‘Organisation du Sponsoring (COS): Contrôle Interne sur les Rapports Financiers— Conseils pour les entreprises publiques plus petites (2006)




4. ROYAUME-UNI Réalisé par M. Noccer

4.1. Gestion des systèmes d’information Lectures pour le chapitre 1 Gooodyear, T. (1985). Organising Computer-based Information System Resources. Industrial Management & Data System Resources, 85(7/8), 11-16. Lectures pour le chapitre 2 Emerging Trends and Challenges in Information Technology Management: 2006 Information Resources Management Association International Conference, Washington, DC, USA, May 21-24, 2006 Levy, M and Powell, P. (2004) Strategies for Growth in SMEs: The Role of Information and Information Systems. Butterworth-Heinemann, 2004 Lectures pour le chapitre 3 Fuller, M and. Valacich, J.V. and George J. (2007) Information Systems Project Management: A Process and Team Approach. Prentice Hall, 2007 Lectures pour le chapitre 4 K D. Mitnick, W L. Simon The Art Of Deception: Controlling The Human Element Of Security John Wiley & Sons; 2003 Dowland, P, Furnell, S. , Bhavani M. and Thuraisingham, X. Sean Wang (2005) Security Management, Integrity, and Internal Control in Information Systems: IFIP TC-11 WG 11.1 & WG 11.5 Joint Working Conference. Birkhâuser. 4.2. Management du risque Lectures pour le chapitre 1 Jetter, A., Kraaijenbrink, J. And Fons Wijnhoven (2006) Knowledge Integration: The Practice of Knowledge Management in Small and Medium Enterprise. Springer, 2006 Lectures pour le chapitre 2 Collier, P.M, Berry, A.J. and Burke, G.T. (2006) Risk and Management Accounting: Best Practice Guidelines for Enterprise-wide Internal Control Procedures. Elsevier, 2006 Lectures pour le chapitre 3 Collier, P.M, Berry, A.J. and Burke, G.T. (2006) Risk and Management Accounting: Best Practice Guidelines for Enterprise-wide Internal Control Procedures. Elsevier, 2006 Lectures pour le chapitre 4 Collier, P.M, Berry, A.J. and Burke, G.T. (2006) Risk and Management Accounting: Best Practice Guidelines for Enterprise-wide Internal Control Procedures. Elsevier, 2006




4.3. Suggestions d’autres lectures

- pour ajouter à la totalité du module – possibilité de sélectionner des lectures organisées par

domaines Gestion des systèmes d’information

1 W L Currie & R D Galliers (eds), Rethinking Management Information Systems, OUP, 2003

2 L. Willcocks, P. Petherbridge, and N. Olson. Making IT Count: Strategy Delivery Infrastructure. Butterworth, 2003

Développement des systèmes d’information

1 C Avgerou and T Cornford, Developing Information Systems: concepts, issues and practice (2nd edn), Macmillan, 1998

2 D Avison & G Fitzgerald, Information Systems Development Methodologies, McGraw Hill, 2002

3 K Beck, Extreme Programming Explained, 2nd edn, Addison-Wesley, 2005. 4 G Booch, J Rumbaugh and I Jacobson, Unified Modelling Language User Guide,

Addison-Wesley, 1999 5 P Checkland, Systems Thinking, Systems Practice, Wiley, 1999 6 C Ciborra (ed) Groupware and Teamwork, Chichester, United Kingdom: John

Wiley & Sons,1996 7 M Fowler and K Scott UML Distilled: a brief guide to the standard object modeling

language,1999 Sécurité et risque des informations

1 C Adams and S Lloyd Understanding Public Key Infrastructure, Concepts, Standards, And Deployment Considerations Macmillan Technical Publishing; 1999

2 R Anderson, Security Engineering: a guide to building dependable distributed systems, John Wiley, 2001

3 J R Beniger, The Control Revolution: technological and economic origins of the information society, Harvard University Press, 1986

4 W Cheswick, S Bellovin and A Rubin, Firewalls and Internet Security: repelling the wily hacker, Addison Wesley, 1994

5 G Dhillon Principles of Information Systems Security: Text and Cases. J Wiley & Sons; 2007

6 S Gafinkel, Database Nation: the death of privacy, O'Reilly Associates 2000 7 A Jones and D Ashenden Risk Management For Computer Security: Protecting Your

Network And Information Assets Butterworth-Heinemann; 2005 8 K D. Mitnick, W L. Simon The Art Of Deception: Controlling The Human

Element Of Security John Wiley & Sons; 2003 9 F C Piper, S Murphy Cryptography: A Very Short Introduction Oxford Paperbacks;

2002 10 T Ridge, H Schmidt Patrolling Cyberspace: Lessons Learned From A Lifetime In

Data Security Larstan Publishing; 2006 11 B Schneier, Beyond Fear: thinking sensibly about security in an uncertain world,

Springer Verlag, 2003




12 B Schneier Secrets And Lies: Digital Security In A Networked World John Wiley & Sons Inc; 2004

13 W Stallings, Network Security Essentials, Prentice Hall, 2000 Technologie des informations: problèmes et compétence

1 F Adam and M Healy, A Practical Guide to Postgraduate Research in the Business Area, Blackhall, Stillorgan, 2000

2 T Cornford and S Smithson, Project Research in Information Systems, Macmillan, 1996

Services du design des informations

1 Benkler, Y. (2006): The Wealth of Networks. Yale University Press; 2 K. Braa, C. Sørensen, and B. Dahlbom, ed. (2000): Planet Internet. Studentlitteratur; 3 Barabâsi, A.-L. (2002): Linked. Cambridge, MA: Perseus; 4 Barley, S. R. & G. Kund(2004): Gurus, Hired Guns, and Warm Bodies. Princeton

University Press; 5 C. U. Ciborra and Associates (2000): From Control to Drift. OUP; Ciborra, C. (2002):

The Labyrinths of Information. OUP; 6 Collins, R. (2004): Interaction Ritual Chains. Princeton University Press. 7 Dahlbom B and L. Mathiassen (1993): Computers in Context. Blackwell; 8 Dourish, P. (2001): Where the action is. MIT Press; 9 Goffman, E. (1959): The Presentation of Self in Everyday Life. Bantam; 10 Haddon, L., et al eds. (2006): Everyday Innovators. Springer; 11 Höök, K., D. Benyon, & A. J. Monroe, ed. (2003): Designing Information Spaces.

Springer; 12 Ito, M., D. Okabe, & M. Matsuda, ed. (2005): Persona, Portable, Pedestrian.

Cambridge, Mass: The MIT Press; 13 Ling, R. (2004): The mobile connection. Elsevier; 14 Kallinikos, J. (2006): The Consequences of Information. Edward Elgar; 15 Ling, R. (2004): The Mobile Connection: The Cell Phone's Impact on Society. 16 Ling, R. (2008): New Tech, New Ties: How Mobile Communication is Reshaping

Social Cohesion. The MIT Press. Morgan Kaufmann; 17 Löwgren, J. and E. Stolterman (2004). Thoughtful Interaction Design. MIT Press;

Mccullough, M. (2004): Digital Ground. MIT Press. Cambridge, Massachusetts; 18 Norman D. A. (1998): The Invisible Computer. MIT Press; Rheingold, H. (2002):

Smart Mobs. Perseus Books; 19 Sommerville I. (1995): Software Engineering. Addison-Wesley; 20 Sørensen C., Yoo, K. Lyytinen and J. DeGross (2005): Designing Ubiquitous

Information Environments. Springer; 21 Sproull L. and S. Kiesler (1993): Connections. MIT Press; 22 Thackara, J. (2005): In the Bubble. Cambridge. MIT Press; J. Yates (1989): Control

through Communication. Johns Hopkins University Press; 23 Yates, J. (2005): Structuring the Information Age. Baltimore: The Johns Hopkins

University Press; 24 Zuboff, S. (1987): In the Age of the Smart Machine. Basic Books; 25 Zuboff, S. & J. Maxmin (2002): The Support Economy. Penguin.

management des système d'information

Documents