AFAI%20-%20CIGREF

1
AFAI - CIGREF

• Mettre en œuvre une bonne gouvernance
• Lapport des référentiels

2
Le nouveau contexte

• Business
• Réglementaire

3
Contexte business

• Rôle central des systèmes dinformation
• Appui aux opérations automatiser les processus,
  réduire les coûts,
• Appui à la croissance mieux connaître ses
  clients, augmenter le chiffre daffaires,
• Contribution à la création de valeur produits,
  clients, salariés, partenaires, actionnaires,
• Mais après quelques années deuphorie
  technologique retour à la gestion en bon père de
  famille

4
Contexte business

• Phase de rationalisation
• Intégration des vagues technologiques ERP, CRM,
  SCM, E-business, call centers,
• Mondialisation internet, télécoms,
  externalisation, partenariats,
• Concentration Fusion / Acquisition,
• Modernisation de lEtat téléprocédures, Adèle,
  Accor2, retraites,
• Recherche defficacité et defficience

5
Contexte business

• Nécessité de mettre en place
• une organisation adaptée,
• les compétences appropriées,
• les meilleures pratiques
• des outils performants
• de manière alignée et intégrée au reste de
  lorganisation
• dans la durée

6
Contexte business

• Attentes spécifiques
• Une SI  gouvernée  dirigée, contrôlée et
  suivie, et alignée sur la stratégie business
• Une SI  flexible et évolutive  capacité
  dinnovation avec le développement de nouveaux
  services SI et architecture adaptée et flexible
• Une SI  contributive  capacité de livrer des
  services pertinents, de qualité, dans les délais,
  au moindre coût, avec un niveau de risque
  acceptable

7
Contexte réglementaire

• Contrôle interne, protection des données
• Sarbanes Oxley Act
• Loi sur la Sécurité Financière
• Autres Turnbull, KonTra-G, Bâle 2, 8ème
  directive européenne,

8
Contexte réglementaire

• Contrôle interne
• Rapport du président et du directeur financier
  SOA
• Evaluation par lauditeur SOA
• Rapport du président LSF
• Rapport du Commissaire aux Comptes LSF
• Comité daudit responsable de la supervision
  8ème directive

9
Contexte réglementaire

• Définition du contrôle interne selon le COSO
• Le contrôle interne est un processus mis en œuvre
  par la direction générale, le management et le
  personnel et conçu pour fournir une assurance
  raisonnable quant à l'accomplissement des
  objectifs
• optimisation des opérations,
• fiabilité des informations financières,
• conformité aux lois et aux réglementations en
  vigueur
• Loptimisation des opérations comprend
  lamélioration des performances et la protection
  des ressources / actifs
• Les activités pour y répondre
• Activités de gouvernance
• Activités opérationnelles
• Activités de support

10
Contexte réglementaire
Dans lesprit de la loi, le contrôle interne
contribue directement au gouvernement
dentreprise
11
Contexte réglementaire
La gouvernance informatique un cycle de vie
continue
Source IT Governance Institute
12
Contexte réglementaire
La gouvernance informatique de nombreuses
activités
Source IT Governance Institute
13
Comment faire pratiques, normes, standards,?

• COSO, COBIT, ISO, CMM/CMMI, ITIL,
• De nombreux référentiels traitant de sujets
  divers
• gouvernance, contrôle interne, sécurité,
  développements informatiques, exploitation,
• process, ressources, fonctions/organisation,
  objectifs,
• mise en œuvre, autoévaluation, benchmarking,
  audit,
• indicateurs de performance, facteurs de succès,
  niveaux de maturité,

14
Quelques apports des référentiels

• Langage commun
• Exemple dans le domaine financier
• Lobjectif élaborer et communiquer les comptes
  de manière fiable et homogène
• La réponse actuelle des standards comptables
  (nationaux, sectoriels,) utilisés par tous (DAF,
  CAC, analystes, autorités de contrôle,)
• Cette réponse nest plus satisfaisante avec de
  nombreuses incohérences mise en place des
  IFRS, IPSAS,

15
Quelques apports des référentiels

• Efficacité ne pas réinventer la roue,
  industrialisation, accélération,
• Souplesse et continuité enrichissement
  permanent, fusion, changement de responsable,
  changement dorganisation, recrutements,
• Positionnement/Benchmarking différents niveaux
  de maturité (best practices, bonnes practices,
  practices satisfaisantes, practices minimales,)
• Contrôle suivi, mais ce que lon veut contrôlé
  doit être mesuré

16
Quelques facteurs de succès

• Maturité et pragmatisme adapté au contexte
  spécifique, prise en compte de la notion de
  temps, étapes, inscription dans une démarche
  continue,
• Volonté et cohérence responsabilisation, prise
  en compte de la conduite du changement,
  alignement au processus dévaluation de la
  performance
• Opportunité évolutions, attentes spécifiques,
• Faisabilité opérationnelle outils,
  disponibilité, formation,

17
Exemple COBIT

• Un cadre conceptuel construit à partir de
  plusieurs dizaines de normes, standards,
• 4 grands domaines planifier et organiser,
  acquérir et mettre en œuvre, livrer et appuyer,
  et suivre et contrôler,
• 34 processus,
• des activités
• 5 types de ressources données, applicatifs,
  technologie, locaux, personnes,
• 7 critères informationnels couvrant les critères
  de qualité, de sécurité et de conformité
  efficacité, efficience, confidentialité,
  intégrité, disponibilité, conformité et
  fiabilité.
• Fondé sur les objectifs de contrôle

18
Exemple COBIT

• A destination de plusieurs populations
• Direction management Guidelines (facteurs clés
  de succès, indicateurs clés dobjectifs,
  indicateurs clés de performance, niveaux de
  maturité,)
• Opérationnels objectifs de contrôles détaillés
• Auditeurs internes et externes audit Guidelines
• Fournissant plusieurs outils de support guides
  de mise en œuvre, outils de diagnostic, études de
  cas, FAQ, présentations,

19
Exemple COBIT
20
Exemple COBIT PO1 Définir un plan stratégique

• Contrôle sur le process Définir un plan
  stratégique informatique ayant pour objectif
  datteindre un équilibre optimum des opportunités
  informatiques et des besoins business ainsi que
  dassurer leur réalisation complète (8 objectifs
  détaillés de contrôle précisés)
• Qui assure la transmission de linformation au
  business qui couvre les critères informationnels
  requis (ie. efficacité et efficience) et est
  mesuré par des indicateurs clés dobjectifs (6
  ICO précisés)
• Qui est facilité par un processus de
  planification stratégique effectué à intervalles
  réguliers qui donne lieu à des plans à long
  terme. Ces plans long terme doivent être traduits
  en plans opérationnels qui fixent des objectifs
  concrets et clairs à court terme
• Qui prend en compte les facteurs clés de succès
  (7 FCS précisés) qui font effet de levier avec
  certaines ressources informatiques, et qui est
  mesuré par des indicateurs clés de performance (6
  ICP précisés)

21
Exemple COBITPO1 Définir un plan stratégique

• Ceci est complété par un guide daudit
• qui doit être interviewé (4 catégories de
  personnes à voir),
• type dinformation ou de document à obtenir (8
  types de document à obtenir),
• checklist de thèmes et de questions à traiter (7
  domaines à couvrir),
• tests de contrôle à effectuer (5 type de tests à
  effectuer),
• tests de validation de risques à effectuer (8
  types de tests à effectuer)