gouv-des-si-web

7/27/2019 gouv-des-si-web

1/104

R s e a uR s e a u

3 CIGREF - IFACI - AFAI

Gouvernancedu Systme

dInformation


2/1044 CIGREF - IFACI - AFAI

>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

CIGREF-IFACI-AFAI Paris juin 2011

ISBN : 978-2-915042-31-3

Toute reprsentation ou reproduction, intgrale ou partielle, faite sans le consentement de lauteur, ou de ses ayants droits,ou ayants cause, est illicite (loi du 11 mars 1957, alina 1er de larticle 40). Cette reprsentation ou reproduction, parquelque procd que ce soit, constituerait une contrefaon sanctionne par les articles 425 et suivants du Code Pnal.


3/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

R s e a uR s e a u

>> Sommaire

Remerciements ............................................................................................................................ 7

Prface .......................................................................................................................................... 9

Introduction : ............................................................................................................................. 11

Comment utiliser ce guide daudit ? ........................................................................................ 15

Vecteur 1 : Planification du SI et intgration dans le plan stratgique de lentreprise ...... 17

Vecteur 2 : Urbanisme et architecture du SI de lentreprise au service des enjeuxstratgiques ........................................................................................................... 25

Vecteur 3 : Gestion du portefeuille de projets oriente cration de valeur pourles mtiers ....................................................................................................... 34

Vecteur 4 : Management des risques SI en fonction de leurs impacts mtiers ............ 42

Vecteur 5 : Alignement de la Fonction informatique par rapport aux processus mtiers ............................................................................................................. 51

Vecteur 6 : Matrise de la ralisation des projets en fonction des enjeux mtiers ........ 58

Vecteur 7 : Fourniture de services informatiques conformes aux attentes clients .............. 65

Vecteur 8 : Pilotage des services externaliss ........................................................................ 72

Vecteur 9 : Contrle de gestion informatique favorisant la transparence ........................... 79

Vecteur 10 : Gestion prospective des comptences informatiques ....................................... 87

Vecteur 11 : Gestion et mesure de la performance du SI ....................................................... 93

Vecteur 12 : Gestion de la communication ............................................................................. 99

Bibliographie ............................................................................................................................ 106



>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation


5/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

R s e a uR s e a u

>> Remerciements

Comit de pilotage

Farid Aractingi, Directeur de laudit et de la matrise des risques, Renault Jean-Pierre Bouillot, VP Information System Audit, Risk Committee Project Leader, Sanofi-

aventis

Rgis Delayat, Directeur des SI, Groupe SCOR Patrick Geai, Directeur de la gouvernance des SI, La poste Courrier Jean-Louis Leignel,MAGE Conseil, Vice-Prsident de lAFAI

Jean-Michel Mathieu,J Mathieu Conseil, Prsident (par intrim) de lAFAI Jean-Franois Pepin, Dlgu Gnral, CIGREF Franois Renault, Deloitte, Prsident dhonneur de lAFAI Louis Vaurs, Conseiller du Prsident de lIFACI

Contributeurs/Experts

Erik du Boishamon, Chef du bureau supervision et soutien utilisateur, Ministre de lintrieur

Nicolas Bonnet, Directeur, Kea&Partners Gilles Brunet,Audit Manager - Information Technology & Information Security, Orange-

France Tlcom, CISA, Prsident IFACI Rhne-Alpes

Pierre Calvanse, Directeur de lIT Stratgie et Organisation, Altran Jrme Capirossi, Directeur Conseil, NATEA-Consulting Felipe Castro, Global IS/IT Audit Director, Alcatel-Lucent Frdric Charles, Directeur Adjoint Stratgie & Gouvernance du SI, Lyonnaise des Eaux -

Suez Environnement

Meriem Chefa,Responsable RH, La Poste Eric Delaye,Responsable de l'audit interne, Aftam

Christophe Digue, Charg de mission Risques et CI la DSI Groupe, EDF Emmanuel Dubois, Consultant en Management, Kea&Partners Herbert Faure,Kea&Partners

Henri Guiheux,Information Technology | Responsable Governance & Scurit des SI, SCOR Mourad Kacir,Responsable Audit SI Courrier, La Poste Grgoire Lvis, CISA, Senior Manager, IT Advisory, KPMG Advisory Jean-Marie Pivard, Corporate VP Internal Audit, NEXANS Alain Rogulski, Directeur Audit des Systmes d'Information, Sodexo Cyrille Roy, Contrle Permanent IT DIRPO, Direction du Pilotage Oprations, Allianz

Laurent Stricher, Secrtaire Gnral de la Direction Gnrale Adjointe des Systmes d'in-formation, Ple Emploi

Olivier Sznitkies,Audit Director, Lafarge



>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation


7/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

R s e a uR s e a u

>> Prface

Lorsquest paru en 2009 Le contrle interne du systme dinformation des organisations ,lobjectif de ses promoteurs tait de sensibiliser les dirigeants aux enjeux du contrle interneet la matrise des systmes dinformation au sein des organisations, tant publiques queprives, tout en proposant aux managers des pistes oprationnelles.

Si ce premier ouvrage est vritablement devenu une rfrence dans lunivers de laudit et ducontrle internes, sa limite avait t souligne ds lorigine : les auteurs avaient d, par soucide pragmatisme, limiter les thmes abords et en particulier ne pas traiter de la gouvernancedu systme dinformation, sinon par le biais indirect de quelques sujets figurant dans le

dernier chapitre. Les auteurs avaient donc donn rendez-vous aux participants au colloquedu 13 mars 2009 pour une suite sur ce sujet prcis. Cest lui qui est au cur de ce secondouvrage que vous avez sous les yeux, Guide daudit de la gouvernance du systme dinfor-mation .

Trois associations professionnelles se sont associes pour cette occasion : le CIGREF, rseaude grandes entreprises utilisatrices de systme dinformation, lIFACI, institut franais de lau-dit et du contrle internes, et lAFAI, association franaise de laudit et du conseil informa-tiques. Chacune y a apport loriginalit de sa dmarche et de ses comptences, grce lefficace contribution de trois groupes de travail composs dinformaticiens, dauditeurs et de

consultants.

Dans des entreprises o les hommes se sont souvent replis sur leur silo, ce sont plus quejamais la coopration entre les mtiers, la fluidit des processus, et le couple vitesse-discer-nement qui fonderont la diffrence comptitive. Ce paradoxe entre la frilosit et la flexibilit,entre une hirarchie intangible et un centre qui occupe tout lorganigramme, ce sont desmtiers aussi transversaux et interdpendants que ceux de linformatique et de laudit quipeuvent lapprhender au mieux, par leur vision et leur exprience. Mais surtout lincarnerautour du systme dinformation, dsormais composante essentielle de lentreprise num-rique.

En 2009, nous crivions du systme dinformation quil tait la colonne vertbrale de lorga-nisation, irrigant toutes ses fonctions pour contribuer la fois leur efficacit oprationnelle et

leur transformation stratgique [], devenu le garant de facto de la protection de linformation, de

la sincrit des oprations, de la vitesse dexcution et donc de lexcellence oprationnelle. Deuxans plus tard, non seulement ces mots demeurent dactualit, mais la gouvernance de cesystme dinformation est devenue un sujet brlant.

Que cache le terme de gouvernance ? De mme tymologie que gouvernement, il sous-entend la notion du bien gouverner , mais galement de gouverner les bonnes choses,avec un mouvement de dcentrement de la rflexion, de la prise de dcision, et de l'valua-

tion, une multiplication des lieux et acteurs impliqus dans la dcision et la co-constructiond'un projet, et enfin la mise en place de nouveaux modes de pilotage et de rgulation. Appli-qu au systme dinformation, on en trouvera la dclinaison dans douze chapitres concernant



>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

en particulier lalignement par rapport la stratgie et aux mtiers de lorganisation, lamatrise de la ralisation des projets, la fourniture de services informatiques, la gestion descomptences, et la mesure de la performance.

Or, si la littrature et les publications officielles font rfrence des rfrentiels et normes dequalit, leur multiplicit souvent synonyme de contradiction ou de recouvrement peutdcourager les responsables, concepteurs, utilisateurs, exploitants ou contrleurs de systmesdinformation. Pour simplifier leur approche, les auteurs ont donc capitalis sur leurs connais-

sances pratiques de ces rfrentiels pour construire, dans une rdaction originale issue duterrain, un document concret accessible au plus grand nombre.

Le rsultat est un guide daudit de la gouvernance des SI, selon douze thmes analyss et faci-lement dclinables au contexte propre chaque organisation. Le vocabulaire est communaux fonctions reprsentes au sein des trois associations cosignataires, tout en prservantleur spcificit : cest donc bien un outil concret au service des auditeurs, des contrleurs, desinformaticiens, et plus largement de tout reprsentant des mtiers utilisateurs des systmesdinformation c'est--dire tout un chacun, acteur de lentreprise numrique.

Bruno Mnard Claude Viet Pascal Antonini

Prsident du CIGREF Prsident de lIFACI Prsident de lAFAI


9/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

R s e a uR s e a u

>> Introduction

Quest-ce que la gouvernance du SI ?

La gouvernance par lentreprise ou lorganisation de son systme dinformation est unedmarche de pilotage, concernant lensemble des responsables et pas seulement la Direc-tion des Systmes dInformation (DSI), ayant pour objectifs :

dapporter une contribution maximale la cration de valeur pour lorganisation, daligner le systme dinformation sur la stratgie de lorganisation, doptimiser lutilisation des ressources, et de matriser les risques en fonction des enjeux de lorganisation.

Cette dmarche, qui est fonde sur : des processus de prise de dcisions, des instances dcisionnelles, des normes et des bonnes pratiques, des dispositifs de contrle adquats, et une communication visant assurer la transparence,

sappuie sur un ensemble de bonnes pratiques, de natures trs diffrentes, allant : de sujets oprationnels, tels que llaboration de contrats de services ou le manage-

ment de projets, jusqu des aspects stratgiques, tels que la contribution du portefeuille de projets audveloppement de lentreprise ou de lorganisation,

en passant par des considrations conomiques, telles que la matrise des cots desproduits ou services fournis par linformatique ses clients internes.

Bien que ces bonnes pratiques, que nous avons structures sous forme de 12 vecteurs regroups en 3 catgories (management, oprations et support), puissent tre analyses defaon relativement indpendante, une bonne gouvernance par lentreprise ou lorganisationde son systme dinformation, par rapport aux objectifs rappels ci-dessus, suppose quil nyait de dfaillance grave sur aucun des vecteurs , et ce quelle que soit sa nature. En effet :

si la disponibilit des services nest pas assure conformment aux termes des contratspasss avec les mtiers , la DSI aura beaucoup de difficults se positionner commeinterlocuteur de la direction gnrale sur les sujets concernant lalignement stratgiquedu SI,

si les contrats de services sont respects, mais que les ressources SI sont affectes desprojets nayant que peu dintrt pour le devenir de lentreprise ou de lorganisation,le SI ne sera pas vraiment contributeur la cration de valeur de lentreprise et, cetitre, la gouvernance du SI ne pourra pas tre considre comme performante,

si les cots des produits ou services ne sont pas matriss correctement, il sera trs diffi-cile non seulement de garantir la direction gnrale que les ressources sont utilises

de faon optimale mais aussi de dvelopper, avec les entits clientes , des relationsde confiance bases sur la transparence du rapport qualit/cot des services four-nis,



>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

La gouvernance du SI est donc une dmarche de management concernant lensemble desresponsables, qui sinscrit dans la gouvernance de lentreprise ou de lorganisation et vise dvelopper la confiance entre les parties prenantes.

Objectifs du guide

Lobjectif principal est de mettre disposition des auditeurs et des DSI un guide pratiquedaudit adressant, sous un angle managrial et non pas technique, la problmatique globalede la gouvernance du SI par lentreprise ou lorganisation, telle que rappele ci-dessus.

Il permet donc aux directions de laudit interne de rpondre aux questions que se pose ladirection gnrale propos du niveau de matrise de son SI et de fournir aux autres fonctionsde lentreprise ou de lorganisation une assurance raisonnable que leurs processus mtiers

sont bien soutenus par des systmes dinformation de qualit.

Cette valuation de haut niveau de la gouvernance permet de mettre en vidence des pointsde vigilance par rapport des pratiques de management du SI, qui peuvent tre de natureoprationnelle, conomique ou stratgique, mais qui doivent toutes tre sous contrle pourque lentreprise ou lorganisation puisse tre considre comme performante dans la gouver-nance de son SI.

Toutefois, mme si la gouvernance du SI svalue de faon globale, celle-ci a t dcompo-se, pour des considrations pratiques, en 12 vecteurs distincts suffisamment autopor-

teurs pour pouvoir faire lobjet de missions individualises par vecteur ou groupe de vecteurs .

En fonction de leur nature, les points de vigilance ainsi mis en vidence pourront contribuer llaboration du plan daudit du SI, voire du plan daudit gnral de lentreprise ou de lor-ganisation, puis tre ventuellement suivis de missions daudit plus approfondi utilisant desrfrentiels adapts tels que COBIT, Val IT, Risk IT, ou autres selon le sujet traiter.

Cet outil se veut galement pdagogique pour dmystifier la gouvernance du SI en vitantle langage technique, qui prvaut gnralement ds lors quil est question dinformatique.La communication de la DSI vers la direction gnrale et les directions mtiers sen trouveainsi facilite et renforce.

Primtre

Le primtre de ce guide couvre les processus de gouvernance du SI par lentreprise, quiassocient troitement la direction gnrale, les mtiers et la DSI.

A contrario, et malgr leur importance, il ne couvre pas les aspects oprationnels du mana-gement de linformatique, tels que le dveloppement des projets, la production rcurrentede services, ds lors que ceux-ci sont entirement placs sous la responsabilit de la DSI etdonc moins en interaction avec le reste de lorganisation.

Ces aspects oprationnels sont traits par ailleurs et notamment dans les contrles gn-raux informatiques de laudit.


11/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

R s e a uR s e a u

Mthodologie

Le groupe de travail a t structur en 3 niveaux :

Des contributeurs/experts faisant partie de DSI de grandes entreprises, de directeursdaudit interne ou de cabinets daudit et de conseil informatiques (la liste de ces contri-buteurs est mentionne dans la page de remerciements). Ces personnes ont t rpar-ties dans trois groupes de travail respectant chacun un quilibre entre les troisassociations. Chaque groupe est anim par le reprsentant dune des trois associations,celui-ci faisant galement partie du comit technique.

Un comit technique constitu dun reprsentant de chaque association. Compos deJean-Louis Leignel (MAGE Conseil) pour lAFAI, de Jean-Pierre Bouillot (SANOFI-AVENTIS) pour lIFACI et Patrick Geai (LA POSTE) pour le CIGREF, il est charg dani-

mer, de superviser et dharmoniser les travaux des contributeurs/experts des troisgroupes de travail.

Urbanisme et architecture d'entrepriseau service des enjeux stratgiques2Gestion du portefeuille de projets orientcration de valeur pour les "mtiers"3Management des risques SI en fonctionde leurs impacts "mtiers"4

Planication du SI et intgrationdans le plan stratgique de l'entrepriseV1

Management

Matrise de la ralisation des projetsen fonction des enjeux "mtiers"

Fourniture de services informatiquesconformes aux attentes clients7Pilotage des services externalissV8

Alignement de la fonction informatiquepar rapport aux processus "mtiers"5

Oprationnel

Gestion prospectivedes comptences informatiques10Gestion et mesurede la performance du SI11Gestion de la communication12

Contrle de gestion informatiquefavorisant la transparence9

Support

GouvernanceduSystmed'Information



>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

Un comit de pilotage constitu des membres du comit technique et de membres duConseil dAdministration de chaque association, sest runi une fois tous les 2 mois. Cecomit de pilotage tait compos de Farid ARACTINGI (IFACI), Rgis DELAYAT(CIGREF), Jean-Franois PEPIN (CIGREF), Franois RENAULT (AFAI), Louis VAURS(IFACI), Jean-Louis LEIGNEL, Jean-Pierre BOUILLOT et Patrick GEAI.

Chaque groupe de travail, compos de contributeurs/experts provenant de divers horizons(DSI, audit et conseil), sest vu attribuer un certain nombre de vecteurs regroups en 3catgories relativement homognes (management, oprations, support).

Les groupes de travail se sont runis un rythme mensuel pour laborer des propositions debonnes pratiques et de critres dvaluation reprsentant le consensus du groupe pour les vecteurs , qui leur ont t affects.

Les propositions de chaque groupe ont ensuite t transmises au groupe suivant, dans lecadre dune permutation circulaire, pour que ce dernier en fasse une relecture croise, inter-pelle le premier groupe et lamne sexpliquer ou modifier sa copie, lors de runions orga-nises pour tirer le meilleur parti de cette confrontation de points de vue intergroupes.

Les quelques points rsiduels ne parvenant pas tre rsolus dans ces runions intergroupesont alors t remonts au comit technique, voire au comit de pilotage, pour dcision.

Remarque : Certaines pratiques de vecteurs diffrents peuvent paratre redondantes entre elles (exem-ple : bonne pratique 3 du vecteur 2 (Urbanisme et architecture dentreprise au service des enjeux

stratgiques) et bonne pratique 1 du vecteur 5 (Alignement de la fonction informatique par rapport

aux processus mtiers ) relatives au Schma Directeur SI). Ces quelques redondances sont volon-

taires et ncessaires afin que chaque vecteur soit suffisamment autoporteur pour que lauditeur

puisse nauditer que certains vecteurs de la gouvernance du SI sans tre oblig de les passer tous en

revue au cours dune mme mission.


13/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

R s e a uR s e a u

>> Comment utiliser ce

guide daudit ?Gnralits

Comme indiqu prcdemment, ce guide daudit de la gouvernance du SI se veut avant toutpragmatique. Il est le rsultat de travaux bass sur le savoir-faire dune trentaine dexperts dusujet (auditeurs, informaticiens et consultants).

Lambition de ce guide est de donner au lecteur un outil permettant dobtenir une assuranceraisonnable de la qualit des processus de gouvernance du SI. Dans un second temps et enfonction du rsultat obtenu, cet audit permettra didentifier les risques et insuffisances poten-tielles afin, si cela est ncessaire, de lancer un audit plus approfondi.

Lors de la prparation de son programme daudit, lauditeur pourra slectionner le ou lesvecteurs correspondants au primtre de la mission dans le cadre du plan daudit annuel. Ilest donc tout fait possible de raliser un audit cibl sur un ou plusieurs vecteurs. Bienentendu, en fonction du primtre de laudit, il peut tre pertinent de slectionner plusieurs

vecteurs qui seraient complmentaires.

Modalits dvaluation

Une fois le ou les vecteurs choisis, en fonction des objectifs et du primtre de laudit que lonsouhaite pratiquer, il sagit de passer en revue lensemble des bonnes pratiques des vecteurs auditer. Pour chacune de ces bonnes pratiques, il faut valuer le niveau de matrise dechacun des critres concerns.

Les critres dune mme pratique expriment parfois une progressivit dans le niveau dematrise. Il ny a cependant pas de pondration appliquer et chaque critre peut svaluerindpendamment des autres critres. Pour valuer une bonne pratique, il convient donc dexa-miner lensemble des critres de la bonne pratique concerne. Eventuellement, un critrepeut tre non applicable au contexte de lorganisation.

Pour chacun de ces critres, le niveau de matrise svalue par couleur : Couleur rouge : faible, Couleur jaune : insuffisant, Couleur verte claire : satisfaisant, Couleur verte fonce : bon, Couleur blanche + N/A : Critre Non Applicable au contexte de lorganisation

value.

Cette grille exclut tout recours un systme dvaluation chiffr.



>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

Il est bien sr recommand de recueillir des preuves (documentation, tableaux de bord, indi-cateurs, mails, etc.) permettant de conforter lvaluation du niveau de matrise constat.

Modalits de restitution

Une fois lensemble des critres valus, pour toutes les bonnes pratiques du vecteur examin,il est possible de positionner lensemble des rsultats sous la forme dun mur de couleurs .

Modalits dapprciation

Sur la base de la restitution ci-dessus, cest lauditeur de porter un jugement sur le niveaude matrise globale de chaque bonne pratique en leur attribuant la couleur correspondante(colonne Evaluation de la bonne pratique ). Bien entendu, ce jugement tiendra comptedes poids attribus aux critres dvaluation en fonction du contexte de la mission.

A la suite de cette opration, lauditeur peut ainsi donner son apprciation sur lensemble du

vecteur.

Lauditeur veillera dans son valuation finale identifier des points de vigilance et proposeraventuellement un audit approfondi.

valuation dela pratique

Bonne Pratique 1

Bonne Pratique 2

Bonne Pratique 3

Bonne Pratique 4

Bonne Pratique 5

Bonne Pratique 6

Bonne Pratique 7

Bonne Pratique 8

1 2 3 4 5 6 7

Numro des critres

valuation globale du niveaude matrise du Vecteur

N/A

Insusant

Faible

Satisfaisant

Bon Non ApplicableN/A

Exemple dvaluation globale du vecteur 4

Management des risques SI en fonction de leurs impacts mtiers


15/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

R s e a uR s e a u

>> Vecteur 1Planication du SI et intgration dans le

plan stratgique de lentreprise

ENJEUX

Permettre lentreprise ou lorganisation dlaborer, le plus en amont possible, une vision mtier de son SI de demain et identifier les initiatives favoriser dans les annes

venir, la fois de nature informatique et organisationnelle, pour laligner avec sa strat-gie.

Prendre en compte, dans la stratgie de lentreprise ou de lorganisation, des opportuni-ts de nature technologique en relation avec limportance croissante du SI pour les proces-sus mtier.

Responsabiliser la direction gnrale et les mtiers pour que la planification SI soitune rponse aux enjeux mtiers.

RISQUES ASSOCIS

Passer ct dopportunits de nature technologique, ce qui pourrait se traduire par desimpacts ngatifs en termes de comptitivit pour lentreprise.

Ne pas tirer le meilleur parti des investissements en SI par rapport aux objectifs strat-giques de lentreprise, en nanticipant pas suffisamment en amont un plan dactionsappropri (projets mtiers ou dinfrastructure, comptences informatiques, organisa-tion et comptences mtiers , etc.).

Ne pas planifier les ressources ncessaires lexcution des plans dactions de natureinformatique indispensables pour pallier un certain nombre de risques, tels que : lobso-lescence matrielle et logicielle, la matrise insuffisante de certaines technologies, des cotstrop levs dexploitation ou de maintenance du SI, etc.



>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

>> Vecteur 1

> BONNE PRATIQUE N1

Processus de planication du SI. Le processus dlaboration de la strat-gie SI est intgr au processus de planication de lentreprise (plan moyen terme et budget annuel).

Critre 1 : Une stratgie ou cible SI moyen/long terme (MT/LT) est dcrite mais le plan (les tapeset la tactique) pour atteindre cette cible nest pas explicit.Elle n'est pas ncessairement intgre au processus de planification de l'entreprise.

Commentaires

Souvent les notes dorientation stratgique se limitent une liste juxtapose de projets majeurs sansvision cohrente.

La construction de la cible SI MT/LT est limite et essentiellement assure par la DSI pour sesbesoins propres de planification.

La DSI nest pas consulte dans le cadre de llaboration du plan MT/LT de lentreprise (ou cetexercice nexiste pas formellement).

ORGANISATION- Ressources- Activits

Comptences

SYSTMES

D'INFORMATION

STRATGIE

Vision

PARTIESPRENANTES

PROCESSUS"mtiers"

Projets

"mtiers"

Objectifs

MonitoringSource AFAI / Jean-Louis Leignel

Intgration de la planication du SI dans la dmarche de planication

moyen terme de lentreprise


17/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

R s e a uR s e a u

Critre 2 : La stratgie ou cible SI MT/LT est formellement valide par les mtiers et la direction gn-rale, mais sans que ce soit ncessairement dans le cadre d'un processus de revue de la stratgie SI.

Commentaires

La cible SI moyen terme est formalise par la DSI et formellement approuve par un organe ad hoccomprenant la direction gnrale et les directions mtiers de l'entreprise.

Critre 3 : Un plan MT/LT SI est construit pour mettre en uvre la stratgie SI. Il est intgr dansle plan MT/LT de lentreprise comme celui d'autres fonctions support , telles que Finances, RH,etc.

Commentaires

La DSI recueille les besoins de ses clients internes (oprationnels et fonctionnels), les consolide et fait

valider la synthse qui en rsulte par la direction gnrale. Le plan MT/LT est construit partir de la cible SI moyen terme et prend en compte les besoins

dcoulant de la stratgie mtiers . Toutefois, la DSI n'est pas vraiment partie prenante des plans MT/LT proposs par les directions

oprationnelles et fonctionnelles de l'entreprise dans le cadre de la dmarche de planification.

Critre 4 : Le plan MT/LT SI est co-construit avec tous les mtiers et avec la direction gnraledans le cadre de la dmarche de planification de l'entreprise.

Commentaires

La stratgie SI est labore conjointement avec les mtiers dans le cadre d'un processus de planifica-tion moyen terme assurant en permanence un alignement stratgie mtier et stratgie SI.

Toutes les entits (Lignes de services et/ou entits gographiques) associent pleinement les responsa-bles SI (centraux ou dlocaliss) dans leur processus de dclinaison oprationnelle de leur stratgie.

La DSI participe pleinement llaboration du plan MT/LT de lentreprise (intervention de la DSIdans la prise de dcision sur les programmes stratgiques de l'entreprise concernant la faisabilittechnique, donnant des ordres de grandeur en termes de dlais et de cots).

Les caractristiques particulires de lentreprise (type et niveau de croissance, cyclicit et rcurrencect gestion des moyens, stabilit et maturit, acquisition ou recentrage, etc.) sont intgrs pour dter-miner et justifier les axes majeurs de la stratgie SI.

Critre 5 : La dmarche de planification MT/LT de l'entreprise prend en compte les innovationstechnologiques dont l'entreprise pourrait bnficier.

Commentaires

La DSI s'est organise pour tre force de proposition dans la dmarche de planification MT/LT de l'en-treprise en attirant l'attention sur les innovations technologiques.

Certaines dcisions concernant les programmes stratgiques sont impulses par des orientations derupture technologique.

La veille technologique est structure dans le systme de veille de lentreprise ou de faon ad hoc (parexemple, rapprochement de la DSI et du marketing stratgique pour dtecter les innovations qui pour-raient diffrencier lentreprise par rapport ses concurrents).

La veille SI intgre une vision des concurrents/quivalents et compare le positionnement du SI parrapport aux ambitions stratgiques.



>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

>> Vecteur 1

> BONNE PRATIQUE N2

Contenu du plan SI. La cible SI MT/LT intgre les cibles mtier et tech-nologiques et intgre la planication des ressources ncessaires leuratteinte.

Critre 1 : Le plan SI MT/LT n'intgre qu'une dimension purement SI sans valuation globale desressources impactes.

Commentaires

Il y a une cible SI MT globale, mais pas de plans d'actions MT associs La stratgie SI consiste prciser les grandes orientations en termes de standards applicatifs et tech-

nologiques.

Critre 2 : Le plan SI MT/LT intgre, en plus des aspects SI, les besoins mtiers dcoulant dela planification de lentreprise.

Commentaires

La stratgie SI prcise la cible mtier (processus, cartographie fonctionnelle) couverte et les principesmajeurs d'volution de l'architecture technique. Elle propose les grands paliers d'volution au regard des enjeux mtiers (calendrier et tapes de

mise en uvre). Les plans d'actions prvoient la mise en uvre de ressources, qui ne sont pas intgres formellement

dans le plan MT de l'entreprise.

Critre 3 : Le plan SI MT/LT dveloppe les plans d'actions (SI et mtiers ), les ressources(internes ou externes), ncessaires l'atteinte de la cible, formellement valides dans le cadre dela dmarche de planification.

Commentaires

Les plans d'actions inclus dans la cible SI MT prvoient la mise en uvre de ressources, qui sontintgres dans le plan MT de l'entreprise (d'une faon ou d'une autre) et valides.

Critre 4 : Le plan SI MT/LT prcise les moyens humains (quantit/comptences) et financiers,aussi bien du ct mtiers que technologique, ncessaires l'atteinte de la cible y compris lespolitiques d'externalisation ou d'internalisation.

Commentaires

La stratgie SI prsente un business plan tay : investissements ncessaires, volution des cots defonctionnement, cots d'accompagnement mtier et SI, stratgie d'alliance.


19/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

R s e a uR s e a u

> BONNE PRATIQUE N3

Indicateurs de suivi. Des indicateurs nanciers et non-nanciers permet-tent la DSI de rendre compte de lavancement de la mise en uvre dela stratgie SI la direction gnrale et aux directions mtiers .

Critre 1 : Le suivi de la mise en uvre de la stratgie est orient contrle de gestion et privilgieune approche conomique court terme uniquement centre sur lobjectif budgtaire annuel.

Commentaires

On appelle cette dmarche cost driven.

Critre 2 : Le suivi de la mise en uvre de la cible SI reste conomique mais est projet sur uncalendrier pluriannuel.

Commentaires

La planification budgtaire est un plan MT (3 5 ans) et non limit lhorizon annuel.

Critre 3 : Le suivi de la mise en uvre inclut l'avancement des plans d'actions MT/LT dont la DSIest responsable.

Commentaires

Les plans MT/LT SI font l'objet d'un suivi rgulier par la direction gnrale au mme titre que lesautres fonctions support, telles que Finances, RH, etc.

Les plans d'actions MT prvoient la mise en uvre de ressources, qui sont intgres dans le planMT de l'entreprise (d'une faon ou d'une autre) et valides.

Ce critre fait le lien entre ce vecteur et le vecteur 8 Pilotage des services externaliss .

Critre 5 : Lentreprise adapte son organisation pour mobiliser les ressources ncessaires la rali-sation du plan stratgique et arbitrer les orientations dallocation de ressources.

Commentaires

La mise en place de l'organisation, des politiques et des procdures ncessaires l'atteinte de la cibleest faite en commun entre la DSI et les mtiers et prcise dans la cadre de l'exercice du plan strat-

gique. L'objectif est de grer le patrimoine informatique tout au long de son cycle de vie pour viter les -

coups trop brutaux dans son volution.



>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

>> Vecteur 1

Certains indicateurs non-financiers sont mis en place pour mesurer l'avancement de la stratgie etdes plans : jalons de projets, suivi des contrats dinfogrance, volution des comptences critiques,etc.

Critre 4 : Un tableau de bord de typeIT scorecard est mis en place par la DSI pour rendre comptede lavancement de la mise en uvre de la stratgie SI la direction gnrale et aux directions mtiers .

Commentaires

Les indicateurs sont rgulirement mesurs dans le cadre de processus formaliss.

Critre 5 : Ce tableau de bord de typeIT scorecard est l'outil de pilotage privilgi de la DSI avec ladirection gnrale et les directions mtiers .

Commentaires

Le balanced scorecard IT fait l'objet d'un suivi rgulier et des plans d'actions correctifs sont mis aupoint pour scuriser l'atteinte de la cible.

> BONNE PRATIQUE N4Communication du plan. La vision SI moyen terme est communiquepour susciter ladhsion des mtiers et faciliter leur comprhensiondes options stratgiques du plan SI.1

Critre 1 : La vision SI moyen terme inclut la cible de la bonne pratique 1 et le plan de ressourcesde la bonne pratique 2. Elle est communique au sein des seules parties prenantes SI.

Commentaires

Communication au sein de la DSI et auprs des mtiers en fonction des impratifs de scurit quipeuvent parfois exister lors dvolutions stratgiques.

Critre 2 : La vision SI est partage avec les directions mtiers critiques.

Commentaires

Les directions mtiers critiques sont celles pour lesquelles le SI est fortement contributif l'am-lioration des performances (par exemple, production, cration de produits nouveaux, etc.).

1 Cette bonne pratique fait le lien avec levecteur 12 Gestion de la communication .


21/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

R s e a uR s e a u

Critre 3 : La vision SI est communique tous les mtiers sous forme d'un volet SI du plan MT/LT.

Commentaires

La communication est intgre dans les processus d'information et de communication du plan MT/LTdes directions mtiers .

Critre 4 : La vision SI, qui est communique aux mtiers sous forme d'un volet SI du plan MT/LT,est co-construite avec les mtiers. Cette communication s'appuie sur les outils de l'architectured'entreprise tels que : cartographies, zones transverses... afin que la stratgie soit prsente et int-gre au quotidien au plus prs des projets. Cette communication rend intelligible les options stra-tgiques de SI.

Commentaires

La communication sur le SI est diffuse au sein de l'entreprise, de faon rgulire et accessible tousles collaborateurs.

Les problmatiques informatiques ainsi que les opportunits technologiques sont discutes avec lesmtiers.

Des dispositifs de type intranet sont mis en place pour communiquer sur la vision SI.

Critre 5 : La communication de la vision SI s'organise autour de communauts animes rguli-rement.

Commentaires

Les quipes en charge de la mise en uvre de la vision SI animent ces communauts d'change et departage.

Elles assurent galement une mesure de la perception du terrain et des attentes (baromtres). Des dispositifs d'change sont mis en place (blogs, forums).

> BONNE PRATIQUE N5Pilotage. Une instance de pilotage du SI (CODISI) est mise en place danslentreprise.

Critre 1 : Le pilotage du SI est essentiellement assur par la direction gnrale qui valide les plansd'actions proposs au coup par coup par la DSI.

Commentaires

Ce pilotage se fait sur des critres essentiellement budgtaires.



>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

>> Vecteur 1

Critre 2 : Le pilotage du SI est assur par une organisation non exclusivement ddie aux probl-matiques SI qui valide la synthse des plans d'actions propose par la DSI.

Critre 3 : Le pilotage du SI est assur et coordonn avec les mtiers dans le cadre de dispositifsexistants.

Commentaires

Une relation de type partenariat avec les responsables mtiers est en place. Le DSI a accs aux organes des directions mtier.

Critre 4 : Il existe un comit stratgique SI ad hoc compos des principaux directeurs mtiers

et du DSI, et anim par le DSI qui en assure la prparation et le secrtariat. Ce comit pourrait tredsign sous le nom de CODISI (Comit dOrientation et de Dcision concernant lInformatiqueet le SI). La DSI participe galement aux comits de directions mtiers .

Commentaires

La fonction SI est reprsente dans les comits de directions mtiers . Le DSI est intgr aux organes oprationnels et de dcision de lentreprise. Le DSI est impliqu dans certains processus dacquisition ou de mise en place de gestion de moyens

communs (GIE).

Critre 5 : Le comit stratgique SI (CODISI) est pilot par un directeur gnral adjoint ou le direc-teur gnral pour la gestion de la planification des SI (arbitrage, validation, suivi, rvision, etc.).

Commentaires

Le DSI participe aux organes de dcision stratgique de lentreprise.


23/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

R s e a uR s e a u

>> Vecteur 2Urbanisme et architecture du SI de

lentreprise au service des enjeux

stratgiques

ENJEUX

Dcliner la vision mtier du SI cible en une vision globale intgrant les couches applica-tives, techniques et infrastructures du SI.

Identifier des initiatives transversales au bnfice de plusieurs mtiers de lentreprise,quelles soient directement au service des mtiers ou quelles concernent les grandes infra-structures.

clairer les dcideurs sur les choix dvolution de leur SI et sur le niveau dinvestissementncessaire.

Rationaliser le portefeuille de projets SI et renforcer la cohrence avec les usages des mtiers .

Accrotre lagilit du SI en favorisant la rutilisation de fonctionnalits.

RISQUES ASSOCIS

Labsence dun cadre global moyen terme align avec les enjeux stratgiques entrane unrisque :

de ne pas disposer des moyens (financiers, organisationnels, comptences, etc.)ncessaires, notamment en infrastructure, pour optimiser la contribution du SI latteinte des objectifs stratgiques ;

de ne pas anticiper la ncessit de dvelopper des services SI, transverses plusieursmtiers ou bien de mettre en uvre de nouvelles infrastructures informatiques ;

de devoir prendre des dcisions au coup par coup concernant le lancement desprojets, sans tre en mesure dassurer la cohrence des projets par rapport auschma durbanisation ;

de ne pas rationaliser les diverses volutions du SI et en consquence dinduire dessurcots.

Incapacit dtecter les risques lis lexploitation du SI :

lobsolescence matrielle et logicielle ;

la matrise insuffisante de certaines technologies ;

des cots trop levs dexploitation ou de maintenance du SI, etc. ; une complexit rendant difficile toute volution.



>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

>> Vecteur 2

> BONNE PRATIQUE N1

Gestion de larchitecture. Impliquer les mtiers dans la conception delarchitecture du SI de lentreprise en simpliant le vocabulaire et en sap-puyant sur les processus de l'entreprise, ainsi que sur des cartographiessimples.

Critre 1 : La DSI a tabli et maintient des cartographies applicatives et techniques de bonne qualitcouvrant lensemble du SI.

Commentaires

Les cartographies applicatives incluent les interfaces et donnes. Les cartographies incluent les infrastructures. Les cartographies permettent de comprendre lorganisation, les liens de dpendance, les flux de donnes

changs. Les cartographies sont accessibles et comprhensibles par les mtiers . Les cartographies sont mises jour :

de faon priodique (la mise jour permet d'valuer la maturit des pratiques darchitectureen place), de faon ponctuelle dans le cadre d'acquisitions de logiciels/matriels, de projets d'urbanisa-

tion, de refonte de processus ou lors de la conception ou actualisation d'un schma directeur.

Situationexistante du SI

Nouvelles

technologies

numriques

Risques

associs au

SI existant

Objectifs

mtiers

Situation cible du SI

Cohrence de

l'architecture

Normes &

standards

SI existant

legacy

Projets

Le schma directeur SI (SDSI) :

Un cadre de rfrence structurant le processus de prise de dcisions concernant le lancement des projets

Urbanisation du Systme d'Information Jean-Louis Leignel / AFAI vice-prsident

volutionsdu SI

Temps


25/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

R s e a uR s e a u

Critre 2 : Les cartographies applicatives sont mises en cohrence avec les processus mtiers.

Commentaires

Les cartographies reprsentent lutilisation des services et des fonctions applicatives par les proces-sus mtiers .

L'entreprise dispose d'analyses comparatives avec l'tat de l'art (ex : supply chain, production ordon-nance, etc.) ou avec les concurrents sur les grands processus critiques. Ces dernires permettent demettre en vidence d'ventuels carts et, le cas chant, d'alimenter le schma directeur du SI.

Critre 3 : Un processus d'laboration, de maintenance et de communication des cartographies(mtiers, fonctionnelles, applicatives et techniques) impliquant l'ensemble des parties prenantes,est formalis et mis en place.

Commentaires

Les mtiers contribuent au processus dlaboration, de maintenance et de communication. La cartographie ne reprsente pas uniquement lexistant, elle a aussi une dimension prospective en

lien avec la trajectoire des mtiers et en reprsente les paliers dvolution. Cette cartographie cible intgre les volutions mtiers , les tendances, les choix technologiques et

applicatifs moyen terme et sert de rfrence au schma directeur.

Critre 4 : L'organisation en charge de l'laboration, de la maintenance et de la communication des

diffrentes cartographies est dfinie.

Commentaires

La description de l'organisation est complte (comptences ncessaires, modalits de relation entre laDSI et les mtiers , responsabilits respectives, etc.).

Les quipes en charge de la conception et de la mise jour des cartographies de processus sont mixtes(DSI et mtiers ).

Le processus est supervis et fait lobjet dun compte rendu dactivit rgulier auprs du manage-ment.

Critre 5 : Les cartographies sont ralises avec des outils spcialiss, qui permettent d'tablir faci-lement les liens entre les processus mtiers et les cartographies applicatives.

Commentaires

Des outils de Business Process Management ddis sont utiliss pour la modlisation et la docu-mentation des processus ainsi que pour leur intgration dans le systme d'information permettant deraliser des mises jour rgulires.

Ces outils sont dploys et maintenus par une organisation et des processus dfinis. Lutilisation deces outils par lentreprise est rvalue rgulirement.



>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

>> Vecteur 2

> BONNE PRATIQUE N2

Gestion des donnes. Dictionnaire de donnes rfrentielles de l'entre-prise, classication et intgrit des donnes.

Critre 1 : L'entreprise dispose dun dictionnaire des donnes importantes de l'entreprise, utilisespar les processus mtiers et le systme dinformation.

Commentaires

Les donnes retenues sont des informations cls, clairement dfinies et acceptes comme telles par les mtiers .

Ce dictionnaire de donnes de l'entreprise permet de suivre le cycle de vie des donnes travers lesprocessus mtiers et de tracer leur utilisation travers les diffrentes applications du systmed'information.

Le dictionnaire de donnes fournit les dfinitions des donnes communes l'ensemble de l'organisa-tion pour garantir la cohrence et liminer les informations redondantes ou incompatibles.

Critre 2 : Le dictionnaire de donnes est partag et compris par les mtiers et la DSI : les

propritaires des donnes sont identifis, les donnes ont une classification de scurit, les donnesde rfrence sont identifies.

Commentaires

Les propritaires de donnes sont dfinis et une qualification des donnes est tablie avec un niveauappropri de scurit (confidentialit, intgrit, disponibilit, traabilit).

Les donnes de rfrences sont identifies et partages entre mtiers et DSI.

Critre 3 : Un ensemble de modles de donnes permet de reprsenter de manire synthtique les

interdpendances et une vision partage des principaux objets mtiers de lentreprise.

Commentaires

Les langages graphiques de reprsentation des donnes sont compris par l'ensemble des partiesprenantes. Ils permettent d'avoir une vue synthtique des donnes avec leurs interdpendances.

Les modles sont reprsents dans loutil cartographie.

Critre 4 : Les processus de gestion de donnes matres sont formaliss, leur qualit est matri-se, elles sont outilles par des plates-formes ddies (dites deMaster Data Management).

Commentaires

Les donnes de rfrence sont distribues de manire homogne dans le systme dinformation delentreprise.


27/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

R s e a uR s e a u

La qualit des donnes est vrifie rgulirement, les mtiers assurent leur rle dadministrateurde donnes mtiers pour celles dont ils sont propritaires.

Critre 5 : Les donnes sont partages et accessibles par les mtiers et les applications avec unniveau de qualit et de scurit matris.

Commentaires

Les modles des principaux objets mtiers de lentreprise sont partags, les processus de gestionde lensemble des donnes sont formaliss.

Les systmes informatiques ddis la gestion des donnes sont identifis, maintenus. Les indicateurs de qualit des donnes font partie du tableau de bord de la DSI.

> BONNE PRATIQUE N3

Schma directeur. Le schma directeur s'appuie sur le schma d'urbani-sation (cartographie, donnes) et constitue le plan moyen terme d'vo-lution du SI. Il traduit la planication stratgique ralise conjointemententre la DSI, les mtiers et la direction gnrale.1

Critre 1 : Les volutions d'urbanisation et d'architecture sont formalises, intgrent les objectifsstratgiques et sont connues des responsables SI et mtiers .

Commentaires

Les objectifs stratgiques sont traduits en volutions mtiers et SI. Cette feuille de route est partage par la direction gnrale, les mtiers et la DSI.

Critre 2 : La feuille de route formalise des projets pour mettre en uvre les volutions durbani-

sation et darchitecture. Ces projets s'appuient sur les cartographies partages entre DSI et mtiers .

Commentaires

Les documents permettant de grer ces volutions (ex. cartographies, rfrentiels d'architecture, etc.)sont publis sur l'Intranet. Ils sont classs par thmes et sont facilement comprhensibles par les colla-borateurs.

1 Cette bonne pratique fait le lien avec le vecteur 3 Gestion du portefeuille des projets oriente valeur pour les mtiers .



>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

>> Vecteur 2

Critre 3 : Le schma directeur du SI dtaille pour chacun des domaines mtiers une visionvolutive du portefeuille de projets, incluant la planification des retraits de solutions informatiquesexistantes.

Ce schma est valid par la direction gnrale.Commentaires

Le schma directeur du SI : explique les volutions envisages pour le SI partir de donnes relatives aux mtiers et leur

volution (complexit, volumtrie, etc.) ; intgre une vision volutive du portefeuille des projets, ainsi que la planification des retraits

(ou du maintien) de solutions informatiques existantes ; prend en compte moyen terme les quartiers orphelins (collaboratif, dcisionnel, changes

inter-applicatifs, etc.) qui gnralement nont ni de fonction dassistance matrise douvrage

(AMO), ni comit mtiers ).

Critre 4 : Le schma directeur du SI est maintenu annuellement et prend en compte les modifi-cations du plan stratgique SI ainsi que les transformations du SI.

Commentaires

Le schma directeur du SI met en vidence les choix structurants effectus et les principales contrainteset risques associs.

Les mtiers et les responsables SI proposent des choix arbitrables par le CODISI (Comit d'Orien-

tation et de Dcision concernant l'Informatique et le SI). Le schma directeur SI (cible et trajectoire) prsente de manire globale, la trajectoire budgtaire du

SI et l'volution des comptences informatiques mais aussi des aspects plus mtiers : dploie-ment, accompagnement du changement. Par exemple, le schma directeur SI prvoit de passer d'uneapplication spcifique un ERP.

Les collaborateurs prennent conscience de l'importance de l'urbanisme et de larchitecture dentrepriseet participent leur volution (ou actualisation), par exemple, suggestions communiques aux respon-sables SI et/ou mtiers /utilisateurs cls.

Critre 5 : Le schma directeur du SI prend en compte l'volution de l'organisation, des comp-

tences et des ressources ncessaires la formation, au dploiement et laccompagnement duchangement.

Commentaires

L'entreprise fait valuer priodiquement le bnfice des travaux d'urbanisme pour revenir sur lesmotivations qui ont conduit faire des choix les annes passes, leurs avantages (et les erreurs ven-tuelles) afin de renouveler l'intrt pour la dmarche. Elle met ainsi laccent sur la valorisation de l'in-vestissement.

La qualit du processus dlaboration du schma directeur SI est value en tirant les leons deserreurs lies aux projections initiales. Cette valuation met en vidence les bnfices de la dmarche.


29/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

R s e a uR s e a u

> BONNE PRATIQUE N4

Rgles et principes. Rgles et principes darchitecture normaliss et faci-lement modlisables. Elles constituent un rfrentiel sur lequel sap-puient les quipes projets.

Il faut pouvoir ainsi rutiliser les briques de base sans ncessit de rinterprter, pour chaque projet,les rgles darchitecture.

Critre 1 : La DSI a tabli un rfrentiel de normes, procdures, rgles et services.

Commentaires

Les services peuvent tre techniques ou mtiers et ont pour objectif d'tre rutilisables dans diff-rentes applications. (ex. service de conception normalise de site web).

L'intrt et la mthodologie de la dmarche d'architecture sont aussi communiqus aux collaborateurs.En tout tat de cause, l'entreprise s'assure que la dmarche est comprise, mme si tous les documentsne sont pas partags.

Critre 2 : Ce rfrentiel est connu, accept et appliqu par l'ensemble des parties prenantes (lesdiffrentes composantes de la DSI).

Commentaires

Les normes, rgles et procdures sont mises en uvre dans les activits darchitecture. Leur application sert de critre lors des revues des dossiers darchitecture de projet.

Critre 3 : Ce rfrentiel, y compris les rfrentiels de donnes (clients, produits, fournisseurs, etc.)est rgulirement mis jour et communiqu lensemble des parties prenantes.

Commentaires

Une ou plusieurs units organisationnelles sont charges de tenir jour le rfrentiel. Un processus dinformation et de publication est mis en place.



>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

>> Vecteur 2

Critre 4 : Le rfrentiel darchitecture est formellement appuy et recommand par le manage-ment. Son application est supervise. La conformit au rfrentiel darchitecture est un indicateurdu tableau de bord du SI.

Commentaires

Les diffrents responsables architecture d'entreprise sont impliqus dans les activits d'accompagne-ment des projets.

Critre 5 : Les mthodes utiliser sont formellement documentes et appliques (gestion desexigences, modlisation des vues darchitecture et analyse dimpacts).

Commentaires

Les diffrents modles de livrables produire dans le cadre de projets de transformation sont docu-ments (tudes dopportunit, cadrage, dossiers darchitecture).

Les processus de gestion du rfrentiel darchitecture sont formaliss, dploys et superviss. Une instance d'analyse et un comit de dcision existent pour tudier la modification d'une rgle, si

la mise en uvre de celle-ci se heurte des obstacles. Le processus qualit vrifie l'utilisation conforme des normes et procdures applicables en matire

darchitecture.

> BONNE PRATIQUE N5

Gouvernance Architecture/Entreprise. Une instance de pilotage du SI(CODISI)1 est mise en place au plus haut niveau dans lentreprise et pilotelarchitecture dentreprise (arbitrage, validation, suivi, rvision, etc.).

Critre 1 : Les responsabilits en matire de validation de la conformit au regard de l'architecture

d'entreprise sont clairement tablies aux niveaux suivants : mtier, donnes, applicatifs et tech-niques. Les instances sont dfinies et connues.

Commentaires

Les responsabilits architecture sont attribues par grand domaine fonctionnel ou processus mtiers du SI (finance, production & approvisionnement, R&D, commercial & marketing, RH,etc.).

1 Comit dorientation et de dcision concernant linformatique et le systme dinformation.


31/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

Critre 2 : Un comit est dsign pour instruire et approuver les volutions des normes, des docu-ments et modles et des informations concernant l'architecture d'entreprise.

Commentaires

Un comit est investi pour gouverner les changements de larchitecture dentreprise. Ce comit se runit rgulirement. La composition de ce comit lgitime ses dcisions.

Critre 3 : Le processus de revue de conformit est pilot de manire centralise par le CODISI, quicomprend des responsables mtiers et/ou des membres de la direction gnrale. Il existe untableau de bord (exemple : prsence d'indicateurs cls dans commentaire).Les non-conformits sont suivies dans un tableau de bord partageable avec les mtiers. Ce dernier

permet de produire un plan d'actions pour traiter les impacts des non conformits.Toute drogation majeure ou structurelle au schma darchitecture fait lobjet dune validation duCODISI.

Critre 4 : Lensemble des processus de gouvernance de larchitecture dentreprise est formalis etpilot : gestion RH, gestion de la qualit, conception des architectures, accompagnement desprojets. Des outils informatiss sont adopts pour couvrir l'ensemble des besoins de l'architectured'entreprise : cartographie, architecture de rfrence, fonctionnement de l'architecture, pilotage.

Commentaires

Un cadre darchitecture dentreprise a t dfini et dploy. Ce cadre spcifie la totalit des processus, lorganisation, les mthodes et les outils. Lutilisation de ce cadre et le niveau de conformit sont pilots et font partie des processus de gouver-

nance de lentreprise. Larchitecture dentreprise fait lobjet dun indicateur au tableau de bord de lentreprise.



>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

>> Vecteur 3

>> Vecteur 3Gestion du portefeuille de projets

orient cration de valeur pour les

mtiers

ENJEUX

Donner lentreprise une vision globale du portefeuille et non pas seulement projet parprojet pour tre en mesure :

de couvrir de faon quilibre, en tenant compte des enjeux des mtiers , len-

semble des besoins de lentreprise sur des domaines aussi diffrents que : linnova-tion, loptimisation de la chane logistique, la gestion de la relation client et despartenaires, lexcellence oprationnelle ;

de garantir le caractre raliste du portefeuille en fonction dune estimation den-semble des ressources mobiliser, des changements conduire et des comptencesnouvelles dvelopper ;

de trouver un quilibre optimal entre cration de valeur et risques.

Sassurer de la qualit des Business cases et de lefficience des moyens demands en renfor-ant la robustesse du processus davant-projet.

Aider la prise de dcision pour le lancement des projets les plus contributifs la cra-

tion de valeur sur la base de leurs hypothses et des engagements conomiques. Obtenir un niveau dengagement suffisant de la part des dirigeants tout au long des tapes

du projet (lancement, ralisation, dploiement) pour garantir latteinte des rsultats.

RISQUES ASSOCIS

Gaspiller les ressources de lentreprise sur des projets peu contributifs ou mal cadrs.

Ne pas obtenir dimplication suffisante des responsables mtiers et de la directiongnrale permettant datteindre les bnfices escompts des projets.

Ne pas dvelopper les projets les plus importants pour lorganisation.


33/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

R s e a uR s e a u

AFAI 2006 Source ISACA : Val IT

Trop de projets

Impossibilit

de tuer des projets

Sous estimation

des risques et des

cots

Des lacunes dans

la qualit de rali-

sation des projets

Des projets non

aligns avec lastratgie

Dicult dire NON des projets

Manque de cadrage

stratgique

Les projets se

vendent sur une

base motionnelle

Faiblesse des revues

de projets

Focalisation trop

importante sur les ROInanciersPas de critres clairs

de slection par

rapport la stratgie

Dpassements

budgtaires

Retards

Attentes mtiers

non satifaites

Bnces

introuvables

Perte de conance

en linformatique

La situation conduit ... et se traduit par ...

Les consquences dune gestion insuffisamment matrise du portefeuille de projets

La questionstratgique- Linvestissement : est-il conforme notre vision ?

correspond-il nos enjeux "mtiers" ?

contribue-t-il nos objectifs stratgiques ?

gnre-t-il une valeur optimale, un cot

supportable, pour un niveau de risque

acceptable ?

La question architecture - Linvestissement : est-il conforme notre architecture ?

correspond-il nos principes darchitecture ?

contribue-t-il donner du contenu notre

architecture ?

est-il conforme nos autres initiatives ?

La question de lavaleur- Avons-nous : une comprhension claire et partage des

bnces attendus ? des responsabilits mtiers clairement

tablies pour la ralisation des bnces ?

des mtriques pertinentes ?

un processus de ralisation de bnces

ecace ?

La question de la ralisation - Disposons-nous :

dun management ecace et rigoureux ?

de processus de gestion des ralisations et des

modications ecaces ?

de moyens techniques et mtiers susants et

disponibles pour proposer les comptences

ncessaires ?

Faisons-

nous ce

quil faut ?

Le faisons-

nous

comme il

faut ?

En

obtenons-

nous les

bnces ?

Le faisons-

nous faire

comme il

faut ?

Quelques questionsfondamentales

propos de la valeur fourniepar les systmes dinformation

AFAI 2006 Val IT

Les questions se poser pour tirer le meilleur parti des investissements que fait

lentreprise dans son systme dinformation



>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

>> Vecteur 3

> BONNE PRATIQUE N1

Business cases. Les mtiers laborent avec l'aide de la DSI, pour chaqueprojet mtiers ayant un volet SI signicatif, un business case. Ces busi-ness case mettent en relief, outre les cots et les dlais, les bnces mtiers attendus et les conditions ncessaires leur obtention.

Critre 1 : Le primtre du projet intgre la dimension SI et mtiers (bnfices mtiers attendus et accompagnement du changement).

Commentaires

Le bnfice du projet est dfini ainsi que sa consquence sur les mtiers (organisation, processus,niveau de comptences mettre en place) pour atteindre le bnfice escompt.

Critre 2 : Le leadership de llaboration des business cases est assur par les mtiers .Les projets les plus importants lancs dans la DSI font l'objet d'un business cases adapt aux enjeux.

Commentaires

Pour les projets purement techniques et dinfrastructure, le business case est tabli par la DSI. Trop souvent, llaboration de business case est limite aux seuls projets dont les cots sont les plus

importants, sans suffisamment prendre en compte leurs enjeux.

Critre 3 : Lestimation du ROI des projets prend en compte les gains et les cots rcurrents interneset externes. Les critres de ROI sont clairement dfinis (quantifiable, non quantifiable, qualitatif,quantitatif) et partags au niveau de l'entreprise.Tous les projets lancs par la DSI font l'objet d'un business cases adapt aux enjeux.

Commentaires

Lorsque le volet SI est important, les cots (projet et rcurrent) sont estims par la DSI (sur la basede prototypes, si ncessaire). Si cela est pertinent, les cots rcurrents peuvent tre estims sur une

priode de 3 5 ans. Les interdpendances entre projets constituent un facteur de risque souvent sous-estim. Il convient

donc den mesurer limpact sur les business case.


35/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

R s e a uR s e a u

Critre 4 : Le business case inclut une analyse des risques (tudes des solutions alternatives : faireou ne pas faire ou encore fonctionner en solution dgrade).Un portefeuille prospectif et pluriannuel de projets est constitu, qui comprend les projets poten-

tiels dont les objectifs, le primtre, etc. ne sont pas encore compltement matures.Commentaires

Les solutions proposes dans le business case sont mises en perspective de projets envisags dans lesannes suivantes.

Critre 5 : L'entit mtiers commanditaire du projet est responsabilise la fois sur l'atteintedu ROI et sur une gestion optimale des risques.

Commentaires

Les objectifs des directions mtiers sont aligns sur les business cases des projets les concernant.

> BONNE PRATIQUE N2

Gestion des priorits de lancement. Un processus de gestion des priori-ts de lancement (inter projets) bas sur les business cases est mis enplace et implique les directions mtiers au niveau du comit de direc-tion pour les projets cls.

Critre 1 : Un rfrentiel de projets est dfini et formalis, constituant le portefeuille.Les projets retenus dans le portefeuille de projets sont slectionns sur la base de l'valuation desbusiness cases partir dun cadre budgtaire prdfini.

Critre 2 : Les business cases sont valus selon des rgles et des critres objectifs, et lesprojets/opportunits effectivement prioriss selon leur contribution la stratgie de l'entreprise.Les mtiers sont impliqus, via des comits projet, le plus en amont possible (en restant dansle cadre de la vision du SI moyen terme, alimentant la gestion patrimoniale du SI).Les dpendances avec des projets existants ou sur le point d'tre lancs sont identifies et leursimpacts analyss.

Commentaires

Les rsultats des valuations, et leurs consquences en termes de hirarchisation, sont formaliss etcommuniqus aux quipes concerns.

Ces comits veillent la cohrence du SI moyen terme pour grer les SI sous un angle patrimonial. Une procdure dexception est mise en place pour traiter les projets spcifiques qui ne peuvent tre

effectivement valus selon les critres de slection du portefeuille. Les exceptions doivent tre docu-mentes.



>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

>> Vecteur 3

Critre 3 : Un canevas de dcisions et darbitrages est dfini, partag et prtabli, incluant les diff-rents niveaux dorganisation pour les DSI des grands groupes. Il sappuie sur des critres dva-luation des business cases prdfinis.

Lautorisation de lancement des projets tient compte des contraintes oprationnelles : ressourceshumaines disponibles, capacit faire, ressources financires, etc.La gestion du portefeuille est facilite par lusage dun outil ddi.

Commentaires

Un processus d'escalade vers la direction gnrale est mis en place pour arbitrage final si ncessaire. Le canevas de dcision et darbitrage dfinit les rgles de conduite pour lancer, arrter, annuler, ralen-

tir ou acclrer les projets du portefeuille. Les critres dvaluation des business cases intgrent le niveau dalignement avec la stratgie, la

valeur financire globale, le risque de ralisation et de non-ralisation, etc.

Critre 4 : La gestion du portefeuille de projet intgre une dimension dvaluation qualitative etquantitative des risques.Lentreprise dispose dune segmentation fine de son portefeuille lui permettant dquilibrer enpermanence les investissements obligatoires (palier technologique, contraintes lgales, etc.) et lesinvestissements pour dvelopper loffre produit et service du SI aux mtiers .Loutil de gestion de portefeuille de projets permet de vrifier simplement et rapidement le niveaude contribution des projets aux enjeux.

Commentaires

La direction gnrale ou le comit de direction sont directement impliqus dans le processus de pilo-tage du portefeuille de projets.

A titre dexemple, la segmentation du portefeuille de projets pour dvelopper loffre produit et servicedu SI aux mtiers peut sappuyer sur la typologie suivante :

projet de soutien au dveloppement de lactivit ;

projet visant lamlioration des performances (qualit, rduction des dlais, standardisationdes processus) ;

projet de rduction de cot ; projet doptimisation des systmes ou dinfrastructure.

Critre 5 : La gestion de capacit est intgre la gestion du portefeuille de projets afin de garan-tir la meilleure allocation des ressources.Le SI comprend des fonctionnalits de gestion de capacit et de simulation (impact des dcisionsprojets, des retards ou dpassements).

Commentaires

On entend par gestion de la capacit, la possibilit dexcution des projets sous contrainte deressources. Les fonctions de simulation permettent de dterminer limpact des dcisions sur lensem-ble du portefeuille.


37/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

R s e a uR s e a u

> BONNE PRATIQUE N3

Suivi et recadrage des projets lancs. Un processus de management deprojets, impliquant les directions mtiers , permet de suivre et de reca-drer les projets lancs sur la base d'un reporting able et exhaustif, lecas chant en actualisant les business cases.

Critre 1 : L'tat d'avancement des projets et des programmes est suivi rgulirement par uneautorit mandate (comit de pilotage).

Critre 2 : Une mthodologie (connue et pratique sur le march) est applique la gestion desprojets, avec des livrables homognes/standardiss.

Critre 3 : Le ROI des projets est ractualis chaque tape cl du cycle de vie.Les dpassements budgtaires/dlais sont systmatiquement revus et, le cas chant, approuvs parla direction. Ils dclenchent une ractualisation immdiate du business case.

Critre 4 : Les informations de suivi du projet sont mises rgulirement jour et accessibles toutmoment au mtier et la DSI.La gestion du changement mtiers est clairement apprhende comme une composante cl desprojets et suivie en tant que telle.

Commentaires

Les chefs de projets mettent jour l'avancement des travaux dans loutil ddi au suivi des projets.

Critre 5 : Les lments cls du pilotage du portefeuille de projets (allocation des ressources, inter-

dpendances avec les autres projets, indicateurs unifis) sont intgrs dans loutil de pilotage desprojets.Les indicateurs ou rfrentiels utiliss dans loutil de gestion du portefeuille de projets sont coh-rents avec les autres rfrentiels de l'entreprise (budgtaire, RH, achats, etc.).

Commentaires

Loutil de gestion de portefeuille agit comme un outil de consolidation des lments utiliss dans lesprojets.


38/104


39/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

R s e a uR s e a u

> BONNE PRATIQUE N5

Bilans de projet mtiers . La direction gnrale fait effectuer des bilansde projet mtiers , lorsque celui-ci a atteint un fonctionnement nomi-nal, pour tirer les enseignements ncessaires l'optimisation du proces-sus de prise de dcisions concernant les projets.

Critre 1 : Pour quelques projets, les bnfices mtiers atteints (ROI) sont analyss pour vri-fier qu'ils sont en ligne avec le business case initial.

Critre 2 : Pour l'ensemble projets fortement contributifs la cration de valeur, les bnfices mtiers atteints (ROI) sont analyss pour vrifier qu'ils sont en ligne avec le business case initial.

Critre 3 : Les analyses sont formalises, ainsi que les retours d'exprience concernant le droule-ment du projet. Des plans d'actions d'amlioration du processus de projet sont mis en place.

Critre 4 : Le CODISI exploite les analyses d'carts pour demander aux responsables mtiers

concerns des plans d'actions correctifs pour atteindre les bnfices attendus (ajustement de l'or-ganisation et/ou des comptences, voire le lancement d'un nouveau projet ou d'volutions).

Critre 5 : Le CODISI suit la bonne mise en uvre des actions correctives dcides, qui sontinscrites dans le plan MT.



>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

>> Vecteur 4

>> Vecteur 4Management des risques SI en fonction

de leurs impacts mtiers

ENJEUX

Dvelopper une analyse des risques SI incluant leurs impacts sur les mtiers et propo-sant un traitement proportionn la gravit de ces impacts.

Favoriser lappropriation par le management des SI de la connaissance du profil derisque spcifique lactivit de lentreprise.

Rduire les facteurs de risque inhrents lutilisation de technologie informatiquedans le support aux mtiers .

Diffuser une culture de matrise des risques qui mesure limpact sur lactivit mtiers et pas seulement sur la technologie ou les processus SI concerns.

Aider les mtiers identifier le bon quilibre entre risques et opportunits,notamment lors de la mise en uvre de nouvelles technologies qui ne sont pas tota-lement matures.

Sassurer que les dcisions structurantes en matire de SI sappuient sur une analysede risque structure et partage avec les mtiers et pas seulement sur une analyserapide de forces et faiblesses.

Prendre en compte, dans la matrise des risques SI, les risques inhrents la fonc-tion informatique proprement dite : dveloppement et maintenance des applica-tions, gestion de lexploitation et scurit.

Ces dmarches doivent prendre en considration la pertinence des contrles automa-tiques par rapport aux contrles manuels pour optimiser les processus et rduire les risquesrsiduels.

RISQUES ASSOCIS

Un dispositif de gestion des risques informatiques inadapt aux enjeux mtiers ne permetpas dapprhender les risques majeurs de lentreprise et peut conduire laisser des risquesinformatiques non couverts ou avec un dispositif de contrle insuffisant.

La non matrise des risques peut avoir des impacts importants sur lactivit de lentreprise,

notamment en termes de fiabilit, dintgrit et de confidentialit des informations finan-cires et commerciales.

Une absence de dmarche par les risques peut conduire sous ou sur estimer les dispo-sitifs de mise sous contrle des applications majeures, des infrastructures cls et desdonnes critiques.


41/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

> BONNE PRATIQUE N1

Cadre de gestion des SI. La DSI pilote la gestion des risques informa-tiques en prenant en compte le cadre global de la gestion des risques del'entreprise.

Critre 1 : Le management considre la gestion du risque comme une composante importante dela gouvernance de l'entreprise et l'intgre dans sa communication.

Commentaires

Communication interne et externe des dirigeants sur la gestion des risques. Dfinition claire des objectifs. La gestion des risques est partie intgrante du bilan annuel dactivit de l'entreprise. Un programme de sensibilisation et de formation est mis en uvre.

Critre 2 : Le management a mis en place une politique et une organisation de gestion des risquescouvrant lensemble des processus critiques de lentreprise intgre au sein des mtiers et de lafonction informatique.

Commentaires

Il existe des comits ad hoc de gestion des risques intgrant les acteurs mtiers et des membres duComex.

Une filire risque intgrant l'ensemble des mtiers est dfinie dans l'organigramme de l'entreprise.La mission de la filire risque est prcise et communique. La filire risque comprend une partieveille sur les risques mtiers et SI ainsi que les risques mergents. Un correspondant risque estidentifi au sein de la DSI. Un document de politique de gestion des risques est partag au sein del'entreprise.

Critre 3 : Le niveau dapptence et de tolrance au risque est dfini et partag avec l'ensemble desacteurs, chaque niveau o il est pertinent. Les plans d'actions de rduction des risques sont coor-donns par la direction des risques ou dfaut par le comit de direction.

Commentaires

Les units de mesure et de frquence sont dfinies et communes pour l'ensemble de l'entreprise. Le management a dfini des seuils de risques rsiduels raisonnables pour l'entreprise ainsi que l'im-

pact financier maximal acceptable. Ce dispositif permet dapporter des rponses aux questions : quelles sont les mthodes de transfert

et/ou de diminution du risque ?



>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

>> Vecteur 4

Critre 4 : La dmarche mise en uvre pour l'identification des principaux risques associe lesacteurs mtiers et la DSI. La DSI value notamment les risques sur ses processus (projet, chan-gement, exploitation, incident, scurit, gestion des donnes, etc.).

Commentaires

Un inventaire des risques a t tabli avec les mtiers et est consolid. Cet inventaire intgre lesrisques SI. Une revue en est ralise annuellement par entretiens. Elle est prsente rgulirementaux instances dirigeantes et de contrle. L'inventaire peut galement s'appuyer sur des rfrentiels derisques SI reconnus (IT Risk Framework ITGI).

Critre 5 : L'entreprise dispose d'outils de pilotage et de suivi de gestion des risques servant d'aideaux dcisions stratgiques.

Commentaires

Existence de bases des incidents importants, dont limpact sur l'activit et en termes financier, estmesur.

Analyse et reporting de lvolution probable, en frquence et en impact, des incidents pris en comptedans la gestion des risques.

Critre 6 : La DSI prend en compte les priorits identifies dans le plan d'actions de rduction desrisques dans le cadre de son plan informatique.

Commentaires

La composante SI prend en compte gnralement la disponibilit. Une campagne de revue des PCA est ralise priodiquement. Les risques au regard des critres intgrit et confidentialit doivent galement tre valus et revus

priodiquement.

> BONNE PRATIQUE N2Enjeux mtiers . La DSI procde une identication des risques infor-matiques partage avec les mtiers en prenant en compte les enjeuxmajeurs des mtiers .

Critre 1 : Le primtre d'analyse des risques SI s'appuie sur le primtre des processus mtiers dfinis comme critiques pour l'entreprise.

Commentaires

Sont gnralement pris en compte : les applications supportant des flux financiers majeurs (systmescomptable, consolidation & reporting), les systmes de facturation (gestion des achats, des commandes


43/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmationet des stocks), les applications de gestion des rfrentiels car considres comme transverses (clients,

contrats, etc.), les applications de gestion des accs, les applications critiques en termes de confiden-tialit. Enfin, les applications considrs comme cur de mtier .

Critre 2 : Les ressources informatiques supportant les processus mtiers identifis critiques sontinventories.

Commentaires

Les ressources comprennent les applications, les serveurs, l'infrastructure et les postes cls qui leur sontassocis.

Critre 3 : Lentreprise a dfini avec la DSI et les mtiers une liste des donnes cls et les a identi-fies comme telles dans un dictionnaire de donnes unique.

Commentaires

La connaissance des donnes qualifies de sensibles permet une entreprise d'adapter au mieuxses dispositifs de matrise des risques.

A titre d'exemple, les donnes RIB peuvent tre considres comme des donnes sensibles et un dispo-sitif spcifique de contrle doit tre mis en place.

Critre 4 : La DSI prend en compte les volutions d'organisation interne et externe (fusion, nouvelleactivit, nouvelle implantation, etc.).

Commentaires

Des runions priodiques avec les mtiers sont mises en place pour prendre en compte les volutions. Les demandes mtiers sont formalises et la DSI les prend en compte, via des plans de rorganisa-

tion, de mise jour des contrats de service (SLA), etc.

Critre 5 : Les vnements survenus ou pouvant survenir (menaces) avec une frquence et un

impact potentiel ngatif suffisamment important pour lentreprise sont identifis. Les vnementssurvenus sont historiss.

Commentaires

Des bases dincidents sont mises en place pour permettre de tracer et de recenser les incidents majeurs. Un dispositif de veille est en place afin d'anticiper les risques mergeants (veille scurit internet,

mergence risques mtiers , etc.).


44/104


45/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

Critre 3 : Les familles de risques identifis sont values en relation avec les processus mtiers critiques de l'entreprise.

Critre 4 : Les risques sont valus, en termes de frquence et dimpact, et compars au seuil detolrance au risque du processus mtiers support.

> BONNE PRATIQUE N4

Contrle des processus informatiques. La DSI met en uvre les contrlessur les processus informatiques an de rduire les risques un niveauacceptable en liaison avec les contraintes des mtiers .

Critre 1 : La DSI identifie et met en place un rfrentiel d'objectifs de contrle des risques par uneapproche processus SI (de type CobiT ou autre).

Commentaires

CobiT est un rfrentiel reconnu en termes de contrles, de cration de valeur, et de risque SI par uneapproche processus.

Critre 2 : La DSI identifie ses contrles cls qui permettent de grer les risques informatiques.

Critre 3 : La DSI formalise ses contrles cls en appliquant le modle de documentation descontrles dfini par l'entreprise (ex : direction des risques).

Commentaires

Ces modles standardiss permettent une description et classification standardise au niveau de l'en-treprise.

Critre 4 : La DSI tudie rgulirement les projets susceptibles de rduire les risques informatiquesde faon consquente. Ces projets peuvent tre proposs pour intgration au plan informatiqueavec les autres projets, l'arbitrage tant ralis avec les mtiers .

Commentaires

Par exemple, un projet de sauvegarde en temps rel de donnes critiques permet, en favorisant undmarrage trs rapide en cas dincidents, de rduire un risque de discontinuit dactivit. Cest aux mtiers de dcider si les cots supplmentaires envisags sont acceptables par rapport limpactde linterruption dactivit.



>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

>> Vecteur 4

Critre 5 : Lors de la mise en place de contrles (nouveaux ou ajustements), la DSI s'assure que lestests de leur efficacit sont raliss et communiqus.

Commentaires

Les tests sont spcifis, communiqus auprs des parties prenantes, tests et valids.

> BONNE PRATIQUE N5

Contrle embarqus des applications. La DSI prend en compte lescontrles embarqus dans les applications en relation avec le mtier.

Critre 1 : Les contrles embarqus sont analyss spcifiquement dans les projets afin d'optimi-ser la matrise du processus mtiers .

Commentaires

Des tats de contrle sont labors afin de pouvoir raliser des contrles manuels sur des oprationscibles (comparaison d'informations entre deux systmes, extraction des oprations atypiques, suivi

des oprations en attente de validation, etc.). Il existe plusieurs natures de contrles embarqus : les contrles d'interface et de gestion des rejets,

les workflows d'autorisation et de validation, les contrles de cohrence la saisie (vrification del'existence du client, du contrat, pertinence des dates saisies, etc.).

Critre 2 : Les contrles embarqus sont identifis.

Critre 3 : Les contrles embarqus sont documents.

Critre 4 : Les contrles embarqus sont tests et effectifs.


47/104

R s e a uR s e a u


>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

> BONNE PRATIQUE N6

valuation des contrles SI. La DSI ralise une valuation rgulire del'efficacit des contrles SI.

Critre 1 : La pertinence des contrles cls identifis, qu'ils soient automatiques ou manuels, doittre value et justifie.

Commentaires

Nombre limit de contrles cls adapts l'organisation.

Intgration des contrles au sein des processus.

Critre 2 : Lvaluation des risques rsiduels s'appuie sur les tests d'efficacit des contrles cls ausein des processus majeurs de la fonction SI tels que la gestion de la scurit logique et physique,gestion de lexploitation, gestion des dveloppements, gestion des changements.

Critre 3 : La DSI fait un suivi de la mise en uvre et de l'efficacit des contrles cls.

Critre 4 : L'valuation est documente.

Critre 5 : L'valuation comprend les contrles rcurrents de surveillance sur la qualit desdonnes, dfinis avec les mtiers .

> BONNE PRATIQUE N7

Ractivit face aux incidents majeurs. La DSI est capable de ragir effi-cacement et dans les dlais des incidents majeurs avec un impact signi-catif pour le mtier .

Critre 1 : Le plan de crise est formalis et maintenu en condition oprationnelle.

Commentaires

Le plan de crise doit tre associ au PRA/PCA (plan de continuit dactivit). Il doit fait lobjet duntest rgulier et formalis.



>GUIDEDAUDIT

Gouvern

anceduSystmedInfo

rmation

>> Vecteur 4

Critre 2 : Les conditions de dclenchement sont dfinies et valides.

Critre 3 : Les scnarii de traitement sont dfinis et valids.

Critre 4 : Un bilan de gestion des incidents majeurs est ralis.

> BONNE PRATIQUE N8

Reporting des risques. Dans le cadre du pilotage des risques au niveau del'entreprise, la DSI communique au management un reporting rgulierdes risques pour lui donner une vritable connaissance des risques SIauxquels est expose l'entreprise, et pour lui permettre de prendre lesdcisions appropries dans les dlai

gouv-des-si-web

Documents

Transcript of gouv-des-si-web