8/7/2019 Gouvernance des Systme d'information

1/5

Gouvernance du Systme d'Information ITGouvernance du Systme d'Information IT

1 NOTIONDE GOUVERNANCE

Le terme Gouvernance dsigne la capacit d'une organisation d'tre en mesure de contrler et de rguler son propre fonctionnement afin

d'viter les conflits d'intrts lis la sparation entre les ayants droits (actionnaires) et les acteurs.

Dans le cas d'une socit ou un groupe industriel, on parle de gouvernance d'entreprise .

2 GOUVERNANCEDES SI

La Gouvernance des Systmes d'Information ou Gouvernance informatique (en anglais IT gouvernance ) renvoie aux moyens

de gestion et de rgulation des Systmes d'Information (SI) mises en place dans une entreprise pour atteindre ses objectifs. A ce titre, la

gouvernance IT fait partie intgrante de la gouvernance d'entreprise.

Si la gouvernance d'entreprise (corporate governance) est devenue une urgence suite aux diffrents scandales financiers ( Enron, Worldcom,

Tyco...), transposer le concept la gestion du systme d'information n'est pas si surprenant.

Il s'agit en effet de s'assurer que le systme d'information en action soit bien pilot avec rigueur et transparence.

Il s'agit de s'assurer que le systme d'information rponde bien, aujourd'hui et demain, aux attentes des diffrentes parties prenantes internes

et externes: utilisateurs et clients, financiers et financeurs, concepteurs et techniciens...

Aligner le systme d'information sur la stratgie d'entreprise, on en parle depuis bien longtemps.

Ainsi, tous ceux qui considrent encore aujourd'hui l'informatique comme un centre de cot juguler compromettent la mise en oeuvre des

stratgies gagnantes du 21me sicle. Lentreprise est toujours plus intgre. Quels que soient les activits, les mtiers et les marchs, les

processus sont de plus en plus dpendants de la technologie. Les questions de services, de qualit, de scurit et d'volution de concert avec

es exigences stratgiques, sont dsormais des impratifs.

La question de la gouvernance des systmes d'information est particulirement complexe. Et comme pour toutes questions complexes, les

dcideurs sont plutt enclins se reposer sur les experts et les mthodes du moment. La tendance est particulirement forte, en tout cas pour

es moins risqueurs d'entre-eux.

Pourtant, cette question touche l'essentiel. Elle concerne l'ensemble des dcideurs mme s'ils sont encore relativement nombreux ne pas

considrer ce point sa juste valeur et continuent penser que l'informatique n'est qu'une affaire de technicien.

La gouvernance des technologies de l'information s'articule autour de cinq domaines principaux:

- Gestion de la valeur

- Gestion des risques

- Gestion de la performance

- Gestion des ressources

- Alignement stratgique

La premire action est de vous assurer dune comprhension approfondie des objectifs de votre entreprise. Ces objectifs vous permettront

didentifier les objectifs TI les plus importants pour votre organisation.

RECHERCHESURLA GOUVERNANCE DES SI IBRAHIM OUAHBI1

http://www.piloter.org/gouvernance-entreprise/gouvernance-entreprise.htmhttp://www.piloter.org/gouvernance-entreprise/enron.htmhttp://www.piloter.org/gouvernance-entreprise/principe-de-gouvernance.htmhttp://www.piloter.org/techno/CRM/SI.htmhttp://www.piloter.org/gouvernance-entreprise/gouvernance-entreprise.htmhttp://www.piloter.org/gouvernance-entreprise/enron.htmhttp://www.piloter.org/gouvernance-entreprise/principe-de-gouvernance.htmhttp://www.piloter.org/techno/CRM/SI.htm

8/7/2019 Gouvernance des Systme d'information

2/5

Par exemple, si la protection des renseignements personnels est un objectif primordial de votre organisation, alors la gestion de la scurit

nformatique devient un lment essentiel de votre stratgie informatique.

Vous pourrez ensuite analyser le niveau de maturit de vos activits : comment votre gestion de la scurit informatique se compare par

rapport aux meilleures pratiques de lindustrie. Vous allez ainsi dterminer les actions prendre, et mettre en place votre plan daction.

3 RGLESDEGOUVERNANCE

oi Sarbanes-Oxley

Aux tats-Unis dAmrique, la loi de 2002 sur la rforme de la comptabilit des socits cotes et la protection des investisseurs est une loi

fdrale imposant de nouvelles rgles sur la comptabilit et la transparence financire. Elle fait suite aux diffrents scandales financiers

rvls dans le pays aux dbuts des annes 2000, tels ceux d'Enron et de Worldcom. Le texte est couramment appel loi Sarbanes-Oxley, du

nom de ses promoteurs les snateurs Paul Sarbanes et Mike Oxley. Ce nom peut tre abrg en SOX, Sarbox, ou SOA.

La loi du 31 juillet 2002 dite Sarbanes-Oxley Act a introduit :

l'obligation pour les prsidents et les directeurs financiers de certifier personnellement les comptes ;

l'obligation de nommer des administrateurs indpendants au comit daudit du conseil dadministration ;

l'encadrement des avantages particuliers des dirigeants (perte de lintressement en cas de diffusion dinformations inexactes,

interdiction des emprunts auprs de lentreprise, possibilit donne la SEC - Securities and Exchange Commission, l'autorit de

rgulation des marchs boursiers amricains - dinterdire tout mandat social pour les dirigeants souponns de fraude).

Cette loi oblige aussi mettre en uvre un contrle interne s'appuyant sur un cadre conceptuel. En pratique le COSO est le rfrentiel le plus

utilis.

Le rfrentiel COSOLe rfrentiel COSO est bas sur les principes de base suivants :

Le contrle interne est un process : cest un moyen, pas une fin ; il ne se cantonne pas un recueil de procdures mais ncessite

limplication de tous chaque niveau de lorganisation.

Le contrle interne doit procurer lassurance raisonnable (mais non absolue) dun management et dune direction respectueuse des

lois.

Le contrle interne est adapt la ralisation effective des objectifs

Le rfrentiel COSO "Internal Control Integrated Framework" dfinit le contrle interne comme un processus mis en uvre par les

dirigeants tous les niveaux de lentreprise et destin fournir une assurance raisonnable quant la ralisation des trois objectifs suivants :

la ralisation et l'optimisation des oprations,

la fiabilit des informations financires,

et la conformit aux lois et rglements

On notera que ces objectifs correspondent en grande partie aux proccupations des investisseurs.

Le COSO 2, "Enterprise Risk Management Framework" est aujourd'hui le cadre de rfrence de la gestion des risques.

RECHERCHESURLA GOUVERNANCE DES SI IBRAHIM OUAHBI2

http://fr.wikipedia.org/wiki/Enronhttp://fr.wikipedia.org/wiki/Worldcomhttp://fr.wikipedia.org/wiki/Paul_Sarbaneshttp://fr.wikipedia.org/w/index.php?title=Mike_Oxley&action=edit&redlink=1http://fr.wikipedia.org/wiki/Loihttp://fr.wikipedia.org/wiki/31_juillethttp://fr.wikipedia.org/wiki/2002http://fr.wikipedia.org/w/index.php?title=Comit%C3%A9_d%E2%80%99audit&action=edit&redlink=1http://fr.wikipedia.org/wiki/Conseil_d%E2%80%99administrationhttp://fr.wikipedia.org/wiki/Securities_and_Exchange_Commissionhttp://fr.wikipedia.org/w/index.php?title=Contr%C3%B4le_interne&action=edit&redlink=1http://fr.wikipedia.org/wiki/COSOhttp://fr.wikipedia.org/wiki/Enronhttp://fr.wikipedia.org/wiki/Worldcomhttp://fr.wikipedia.org/wiki/Paul_Sarbaneshttp://fr.wikipedia.org/w/index.php?title=Mike_Oxley&action=edit&redlink=1http://fr.wikipedia.org/wiki/Loihttp://fr.wikipedia.org/wiki/31_juillethttp://fr.wikipedia.org/wiki/2002http://fr.wikipedia.org/w/index.php?title=Comit%C3%A9_d%E2%80%99audit&action=edit&redlink=1http://fr.wikipedia.org/wiki/Conseil_d%E2%80%99administrationhttp://fr.wikipedia.org/wiki/Securities_and_Exchange_Commissionhttp://fr.wikipedia.org/w/index.php?title=Contr%C3%B4le_interne&action=edit&redlink=1http://fr.wikipedia.org/wiki/COSO

8/7/2019 Gouvernance des Systme d'information

3/5

Le COSO 2 propose un cadre de rfrence pour la gestion des risques de lentreprise (Enterprise Risk Management Framework). La gestion

des risques de lentreprise est un processus mis en uvre par le conseil dadministration, les dirigeants et le personnel dune organisation,

exploit pour llaboration de la stratgie et transversal lentreprise, destin

identifier les vnements potentiels pouvant affecter lorganisation,

matriser les risques afin quils soient dans les limites du Risk Appetite (apptence au risque) (cf. ci-dessous) de lorganisation,

fournir une assurance raisonnable quant la ralisation des objectifs de lorganisation.

Il apparat que le COSO 2 inclut les lments du COSO 1 au travers du troisime point et le complte sur le concept de gestion des risques.

Le COSO 2 est bas sur une vision oriente risques de lentreprise.

4. COBIT

COBIT (Control Objectives for Information and related Technologies, traduisez contrler les objectifs des technologies de l'information) est

une mthodologie d'valuation des services informatiques au sein de l'entreprise, publie en 1996 par l'IT Governance Institute et l' ISACA

(Information Systems Audit and Control Association)

Pour que linformatique rponde correctement aux attentes de lentreprise les dirigeants doivent mettre en place un systme de contrle ou de

rfrence interne qui les guidera dans la gouvernance des SI. C OBIT est devenu lintgrateur des meilleures pratiques en technologies de

information et le rfrentiel gnral de la gouvernance des SI qui aide comprendre et grer les risques et les bnfices qui leur sont

associs. Les bonnes pratiques de CobiT sont le fruit dun consensus dexperts. Elles sont trs axes sur le contrle au sens matrise et moins

sur lexcution. Elles ont pour but daider optimiser les investissements informatiques, assurer la fourniture des services et fournir des

mtriques auxquelles se rfrer pour valuer les dysfonctionnements. COBIT est en permanence tenu jour et harmonis avec les autres

standards.COBIT concerne diffrents types dutilisateurs :

les directions gnrales : pour que linvestissement informatique produise de la valeur et pour trouver le bon quilibre entre risques

et investissements en contrles dans un environnement informatique souvent imprvisible,

les directions mtiers : pour obtenir des assurances sur la gestion et le contrle des services informatiques fournis en interne ou par

des tiers,

les directions informatiques : pour fournir les services informatiques dont les mtiers ont besoin pour rpondre la stratgie de

lentreprise, et pour contrler et bien grer ces services,

les auditeurs et consultants : pour justifier leurs opinions et/ou donner des conseils au management sur les contrles internes et la

gouvernance des SI.

Le cadre de rfrence de contrle de COBIT facilite la mise en place dune gouvernance des SI en :

tablissant un lien avec les exigences mtier de lentreprise,

structurant les activits informatiques selon un modle de processus largement reconnu,

identifiant les principales ressources informatiques mobiliser,

dfinissant les objectifs de contrle prendre en compte.

RECHERCHESURLA GOUVERNANCE DES SI IBRAHIM OUAHBI3

http://www.isaca.org/http://www.isaca.org/

8/7/2019 Gouvernance des Systme d'information

4/5

Lorientation mtier de COBIT consiste lier les objectifs mtier aux objectifs informatiques, fournir les mtriques (dfinir ce qui doit tre

mesur et comment) et les modles de maturit pour faire apparatre leur degr de russite, et identifier les responsabilits communes aux

responsables de processus mtier et de processus informatiques.

Lorientation processus de COBIT est illustre par un modle de processus qui subdivise linformatique en 34 processus rpartis entre les

quatre domaines de responsabilits que sont planifier, mettre en place, faire fonctionner et surveiller, donnant ainsi une vision complte

de lactivit informatique. Les concepts darchitecture dentreprise aident identifier les ressources essentielles au bon droulement des

processus comme les applications, linformation, les infrastructures et les personnes. Pour fournir les informations dont l'entreprise a besoin

pour raliser ses objectifs, les ressources informatiques doivent tre gres par un ensemble de processus regroups selon une certaine

ogique.

Les dirigeants ont besoin dobjectifs de contrle pour fournir lassurance raisonnable que les objectifs de lentreprise seront atteints et que

des dispositifs sont en place pour prvenir ou dtecter et corriger des vnements indsirables. Les entreprises ont besoin de pouvoir mesurer

objectivement o elles en sont et o elles doivent apporter des amliorations, et elles ont besoin dimplmenter des outils de gestion pour

surveiller ces amliorations. La rponse ce besoin de dterminer et de surveiller les niveaux de contrle et de performance de

informatique appropris est apporte par COBIT sous forme de :

Tests comparatifs de la capacit des processus informatiques prsents sous la forme de modles de maturit inspirs du Capability

Maturity Model du Software Engineering Institute,

Objectifs et mtriques des processus informatiques pour dfinir et mesurer leurs rsultats et leurs performances (capacit

atteindre les objectifs mtiers et informatiques) selon les principes du tableau de bord quilibr de Robert Kaplan et David Norton,

Objectifs des activits pour mettre ces processus sous contrle en se basant sur des objectifs de contrle dtaills.

Lvaluation de la capacit des processus au moyen des modles de maturit de COBIT est un lment cl de la mise en place dune

gouvernance des SI. Lorsquon a identifi les processus et les contrles informatiques essentiels, le modle de maturit permet de mettre en

vidence les dfauts de capacit et den faire la dmonstration au management. On peut alors concevoir des plans daction pour amener ces

processus au niveau de capacit dsir.

COBIT concourt la gouvernance des SI en aidant sassurer que les :

les SI sont aligns sur le mtier de l'entreprise,

les SI apportent un plus au mtier, et maximisent ses rsultats,

les ressources des SI sont utilises de faon responsable,

les risques lis aux SI sont grs comme il convient.

La mesure de la performance est essentielle la gouvernance des SI. Elle est un lment de CobiT et consiste entre autres fixer et

surveiller des objectifs mesurables pour ce que les processus informatiques sont censs fournir (rsultat du processus) et pour la faon dont

ls le fournissent (capacit et performance du processus).

Pour que cette gouvernance soit efficace, les dirigeants doivent obtenir des directions oprationnelles quelles mettent en place des contrles

dans un cadre de rfrence dfini pour tous les processus informatiques.

En conclusion, parmi les avantages adopter COBIT comme cadre de gouvernance des SI on peut citer :

RECHERCHESURLA GOUVERNANCE DES SI IBRAHIM OUAHBI4

8/7/2019 Gouvernance des Systme d'information

5/5

un meilleur alignement de linformatique sur lactivit de lentreprise du fait de son orientation mtier,

une vision comprhensible par le management de ce que fait linformatique,

une attribution claire de la proprit et des responsabilits, du fait de lapproche par processus,

un prjug favorable de la part des tiers et des organismes de contrle,

une bonne comprhension de toutes les parties prenantes grce un langage commun,

le respect des exigences du COSO pour le contrle de lenvironnement informatique.

5 Gouvernance DESSIETCHANGEMENTORGANISATIONNEL

La GTI vise rduire les risques relis lutilisation des TI, par le biais du contrle et de laudit pour atteindre les objectifs du systme:

intgrit, la disponibilit, la confidentialit, la scurit et la maintenabilit.

Une transformation organisationnelle telle quune implantation de prologiciel, ou des efforts damlioration de la productivit, de rduction

des cots ou damlioration du niveau de service, ncessite une srie de changements qui devraient tre mis en place. Qui dit changement dit

rsistance au changement.

L'entreprise la demande se concentre sur ce qui la distingue : les biens et les services qu'elle produit mieux que ses concurrents, et les

consommateurs qu'elle peut toucher le plus efficacement. Les autres fonctions et processus sont externaliss auprs d'un rseau de partenaires

stratgiques troitement intgr. L'entreprise devient ainsi une machine fabriquer de la valeur ajoute : ses ressources sont directement

nvesties dans les activits les plus rentables.

L'entreprise est capable d'anticiper l'avenir... Elle reoit en temps rel les donnes issues de ses fournisseurs, de ses clients et

d'autres sources externes. Les donnes sont saisies, analyses et transmises rapidement aux personnes qui savent les exploiter.

et de ragir en consquence. Les usines peuvent rapidement rajuster leur production - sans runions ni formalits inutiles.

Grce des actions promotionnelles, les marchandises dont la rotation est la plus lente ne tranent plus dans l'entrept. Chaque

segment de clientle, grand ou petit, est potentiellement rentable.

Les dcisions sont plus rapides. Des outils de collaboration en ligne facilitent et acclrent la communication - avec un

interlocuteur ou un million de consommateurs. L'intgration des processus abolit les cloisonnements. La productivit monte en

flche, la bureaucratie disparat et le chiffre d'affaires par employ augmente.

Volatilit ne signifie pas dsordre. Grce des structures de cots variables, des processus externaliss et d'autres mcanismes

souples, les alas du monde extrieur ne dgnrent pas en crises internes. Les systmes comptables et juridiques de l'entreprise sont

conus pour tablir une corrlation dynamique entre les cots et les ventes. Et parce que ces changements interviennent avant qu'ils

ne soient ncessaires, l'entreprise prvient toutes sortes de catastrophes - plans sociaux, hmorragies financires, etc.

L'innovation est payante. La capacit d'anticiper les attentes des clients et de ragir rapidement ancre la recherche et le

dveloppement dans la ralit. Les produits sont commercialiss plus rapidement, moindre cot.

RECHERCHE SUR LA GOUVERNANCE DES SI IBRAHIM OUAHBI5