La gouvernance

informatique

Bonus

2

Comprendre les enjeux de la

gouvernance, les principes de base et les

fondamentaux de la gouvernance d’un

système d’information (SI).

Mettre en œuvre les concepts de

gouvernance des SI

Identifier les rôles et responsabilités

Comparer les différents référentiels

méthodologiques (COBIT, COSO, ISO

38500, CMMI, ITIL, e-SCM, ISO 20000)

Ce module va vous permettre de :

Introduction à la gouvernance informatique

Plan du module

3

Partie 1 : Introduction

Partie 2 : Définition de la

gouvernance

Partie 3 : L’approche

systémique

Partie 4 : Référentiels et

mises en œuvre

La gouvernance informatique – les fondamentaux

Partie 1

4

INTRODUCTION

La gouvernance informatique – les fondamentaux

Contexte

• Les organisations doivent relever 2 challenges:o s’adapter

o évoluer

• L’information a un poids de plus en plus

important dans les organisations

• Le client, de plus en plus exigeant dans un

monde concurrentiel impose un modèle de plus

en plus centré sur lui

• Des scandales sont fréquemment relayés par la

presse et ternissent l’image des entreprises

5

Enjeux

• Créer de la valeur

• Satisfaire les clients

• Développer une organisation efficace,

efficiente et évolutive

• Donner confiance aux tiers (partenaires,

actionnaires, clients, fournisseurs, employés)

• Améliorer les circuits de décision

• Partager les rôles et responsabilités dans

l’exercice du pouvoir

6

INFORMATION CHAOS

7

Partie 2

8

Définition de la

gouvernance

La gouvernance informatique – les fondamentaux

Définitions

• « Action de gouverner », Larousse

• La gouvernance désigne l'ensemble des

mesures, des règles, des organes de

décision, d'information et de surveillance qui

permettent d'assurer le bon fonctionnement

et le contrôle d’une organisation

• COBIT 5:

9

Origines de la gouvernance

• Etymologie:o Du grec: « Kubernân », diriger – piloter (un bateau)

o Du latin: gubernare/gubernantia:

gouverner/gouvernement

o En vieux Français: gouvernance, synonyme de

gouvernement

o À donner le mot anglais: governance

10

La séparation des pouvoirs

Institutions Publiques / Privés

11

Pouvoir patrimonial

(Etat / Actionnaires)

Pouvoir managérial

(dirigeants /

Gestionnaires)

Propriétaire des biens Administre les biens

Exemple de gouvernance antique:

les Romains

Rome Antique

12

Pouvoir patrimonial:

le Sénat Romain

Pouvoir managérial:

le Gouverneur

Délègue

Administration:

Province

Administre

Supervision:

Les Magistrats

Nomme et contrôle

Rapporte

Informe

Surveille et Audit

La gouvernance économique:

origines

• 1980: tournant

• Concentration

• Mondialisation

• Temps=Argent

1. OPA

2. Restructuration

3. Domination

13

Pouvoir patrimonial

(Etat / Actionnaires)

Pouvoir managérial

(dirigeants /

Gestionnaires)

Régulation

Soutien Financier

(Investisseurs)

Quelques scandales célèbres

• Enron ($ 64B)

• Worldcom ($103,9 B)

• Vivendi-Universal (J4M)

• Causes: o concentration abusive ( capital, pouvoirs…)

o Déséquilibre du soutien financier au pouvoir managérial

o Ambitions personnelles

o Perte de contrôle et de gouvernance

o Délits

14

Nouvelles logiques d’investissement

dans les grandes entreprises cotées

• Atomicité des actionnaires

finaux

• Indirection par les fonds

d’investissement

• Support des fonds au

management au détriment

du pouvoir patrimonial

• Changement de

paradigme: l’entreprise

cherche à se démocratiser15

Légifération: émergence

• 1933-1934: US Securities Exchange Act

• 1992: Commission Cadbury (UK): o Report of the Committee on the Financial Aspects of Corporate

Governance

• 1994: Guidelines of Improved Corporate Governance(Canada)

• 1994: Principles of Corporate Governance (US)

• 1995: Rapport Vienot sur la Gouvernance d’Entreprise (France)

• 2001: Nouvelle loi de Régulation Economique (NRE) (France)

• 2002: Sarbanes-Oxley Act (SOX) (US)

• 2003: Loi de Sécurité Financière (LSF) (France)

• 2004: Principles of Corporate Governance (OCDE)

16

Importance de l’Informatique

• Besoin en automatisation croissant

• Amélioration de la productivité

• Culture de l’ingénierie

• Ordinateur = arme économique

• Budget IT en constante augmentation

• Gaspillage

• Besoin d’une rationalisation

• Emergence de référentiels (ITIL, COBIT)

17

D’une gouvernance à l’autre

• Du corporate vers l’IT

• Héritage du besoin et des objectifs

• Pourquoi une gouvernance spécifique?

18

SOX: les acteurs

• Paul Sarbanes:

sénateur démocrate du

Maryland

• Mickael G. Oxley:

républicain, congrès

US

19

SOX: objectifs

• Responsabilité accrue des dirigeants (CEO, CFO) -> 20 ans de prison

• Amélioration de l’accès à l’informationo Systèmes comptables

o Codes de conduite éthiques

• Mise en place de comités de vérification indépendants en charge de la supervision de la comptabilité

• Mise en place de processus pour recevoir et traiter les plaintes des parties prenantes

• Instauration d’un organisme de réglementation et de surveillance PCAOB (Public Company AccountingOversight Board):o Surveillance des entreprises d’audit comptable

o Enquêtes

o Sanctions

20

SOX: résumé

• Voté le 30 juillet 2002 par le congrès US

• 11 chapitres

• 66 sections

• Conditions: o Entreprise implantée aux USA

o Capitalisation boursière > $75M

• Conformité:

o Depuis Juillet 2005 pour entreprises US

o Décembre 2006 pour les entreprises non US

21

SOX: les 4 sections orientées IT

• Sections 302: le SI financier doit être auditable techniquement (données, applications) selon des protocoles définis

• Sections 404: le contrôle interne en charge des risques doit être évaluer aussi au niveau du SI financier (documentation, processus)

• Section 409: Information en temps réel disponible (<48h) sur le SIF

• Section 1102: le SIF doit garantir son intégrité, sa complétude et sa traçabilité

22

Partie 3

23

L’approche systémique

La gouvernance informatique – les fondamentaux

Hypothèses de la gouvernance

• Diminuer les risques

• S’appuyer sur des

« Best Practices »

• Approche orientée

processus

• Séparation du

Management et de la

Gouvernance

24

Risque

Performance

La notion d’IT Management

• Un domaine à part

• Des besoins qui

dépassent les

ressources

• Rationalisation

• S’aligner sur des

« standards »

25

Information

Technolgies

Services Processus

Utilisateurs

Les objectifs de l’IT management

• Améliorer les décisions IT

• Améliorer le contrôle des activités IT

• Clarifier les Rôles et Responsabilités en

amont et en aval (MOA/MOE/Fournisseurs)

• Responsabilisation accrue des parties

prenantes

• Maitrise des bonnes pratiques IT

26

Les 5 niveaux de la Structure de

Gouvernance

• Niveau 0o les principes de régulation des pouvoirs sur les structures,

processus et comportements: précède la gouvernance

• Niveau 1o LE Principe de gouvernance: séparation public (politique)

/économique (échanges marchands)

• Niveau 2o Modèles et portées de gouvernance (institution,

territorialité, globalité) / (entreprise, marché)

• Niveau 3o Classes de gouvernance par type (sociétale, financière)

• Niveau 4o Formalisation des processus de gouvernances spécifiques

(système, sécurité)27

Hyper-cubes de gouvernance

• Approche

multidimensionnelle:

3 classeso Capacités

organisationnelles (CO)

o Domaines stratégiques

(DS)

o Référentiels de pratique

(RP)

28

RP

CO

DS

Capacités organisationnelles (CO)

• Faculté d’une organisation à o déployer, combiner et coordonner des ressources,

o développer des compétences et des connaissances

o Mettre en œuvre de processus pour couvrir des

domaines stratégiques de la gouvernance IT

29

Domaines Stratégiques (DS)

DS Association for Information

Systems

ITGI

Alignement IT Alignement stratégique Alignement stratégique

Risque IT Gestion du risque Gestion du risque

Ressource IT Gestion des ressources Gestion des ressources

Performance IT Gestion de la performance Mesure de la performance

Valeur IT Valeur financière Valeur délivrée

Contrôle IT Contrôle et audit

Maturité IT Maturité

Management IT Management

30

Les Référentiels de Pratiques (RP)

• Législatifs et réglementaires: o SOX, Bale 3, LSF

• Normes et Standards

o ISO: ISO 38500, ISO 27000, ISO 31000, ISO 20000

o ISACA: COBIT

o OGC: ITIL, PRINCE 2

o COSO

o SEI: CMMI

31

Stratégie & Tactique

• Stratégie: o Du grec « stratos » qui signifie « armée » et « ageîn » qui

signifie « conduire »

o habilité à diriger et coordonner des actions afin d'atteindre un objectif

o élaboration d'une politique, définie en fonction de ses forces et de ses faiblesses, compte tenu des menaces et des opportunités.

o Ensemble d'actions coordonnées, de manœuvres en vue d'une victoire

• Tactique:o ensemble d’intentions et démarches utilisées pour atteindre un

objectif à court terme.

o Ensemble des moyens coordonnés que l'on emploie pour parvenir à un résultat

• Analogie au vocable militaire (guerre/bataille)32

L’alignement IT

• Alignement

multidimensionnel:o Les drivers du business

o Alignement stratégique des

SI (techno, sécurité…)

o Alignement des objectifs

• Concept de « Cascade »

• Approche continu (PDCA)

33

Le management IT

• Les enjeux pour le management: le

changement

• IT: un service support transverse

• IT Governance committee = conseil

d’administration, surveillance

• IT Governance Council = Comité de

direction, dans l’action

• Management par les processus, projets et

services.

34

Les ressources IT

• Ressources humaines et matérielles

• L’urbanisme: un concept environnemental

holistique:o Réseau

o Matériel

o Application

o Service

• TOGAF, SOA

• Le rôle des architectes

• Le rôle des RH35

Les risques IT

• COSO: Enterprise Risk Management – IntegratedFramework

• CMMI: PA RSKM

• Tolérance et appétence aux risques

• Identification des facteurs de risqueo Risques humains

o Risques technologiques

o Risques d’affaires

o Risques naturels

• Le calcul du risque:o Criticité= Probabilité * Impact

• La gestion du risque:o Notion de Mitigation

o Planification et Suivi du risque

• Evitement, Limitation et Transfert du risque36

La performance IT

• KPI & KGI

• Une approche holistique de la performance

par l’équilibre (analogie au corps humain)

• Monitoring

• Supervision

• BI & Datamining

• Outillage: BO, SAS…

• Le référentiel BSC

37

L’audit et le contrôle IT

• Les moyens de la surveillance:o Audit -> Management IT

o Contrôle -> Qualité IT

o Supervision -> Performance IT

o Monitoring -> Opération IT

• COBIT & les auditeurs CISA

• Déroulement d’un audit:o Objectifs

o Processus d’évaluation

o Conclusions

o Recommandations

• Le contrôle interne (COSO) et l’Inspection Générale

38

La valeur IT

• La notion de valeur et de temps

• Time Quantity Cost Quality (TQCQ)

• Indicateurs T*O:o TCO: Total Cost of Ownership (direct & indirect)

o TBO: Total Benefit of Ownership (équilibre le TCO)

o TRO: Total Risk of Ownership

o TVO: Total Value of Ownership

39

La valeur IT (suite)

• Total Economic Impact (TEI):o Coût

o Bénéfice

o Evolutivité

o Risque (fournisseur, produit, architecture, culture,

délais , dimensions)

40

La valeur IT (suite)

• Démarche projet (futur)o Return On Invest (ROI): % Bénéfice/Coût

o Payback Period:

unité = temps

Notion d’amortissement

Net Present Value (NPV)

Internet Rate of Return (IRR)

41

La maturité IT

• Les bénéfices de l’approche:o Amélioration continue

o Benchmarking

o Basé sur l’utilisation de référentiels éprouvés

• Caractéristiques:o Processus

o Personnel

o Triangle d’Or

o Réussite

o Technologie

o Changement

o Management

o Durée

42

La maturité IT (suite)Les niveaux de maturité CMMI

Process unpredictable, poorly controlled and reactive

Process characterized for projects and is often reactive

Process characterized for the organization and is proactive

Process measuredand controlled

Focus on processimprovement

Optimizing

QuantitativelyManaged

Defined

Performed

Managed

Optimizing

Defined

1

2

3

4

5

43

Le CIGREF

• Club Informatique des Grandes Entreprises Françaises

• Réseau et Association Loi 1901 de Grandes Entreprises

• Créé en 1970

• 130 membres

• Objectifs:o Aider les dirigeants à rendre leurs organisations IT plus performantes et

plus innovantes

o Doté d’un plan stratégique afin de se positionner en carrefour d’information liée à l ’économie numérique

o Publier des rapports

o Animer un réseau de DSI et décideurs

o Accompagner la mutation d’une économie industrielle vers une économie numérique de réseau

• Présidé par Pascal Buffard (Axa)

44

L’ITGI

• Information Technology Governance Institute

• Emanation de l’ISACA

• Créé en 1998

• le « laboratoire » de recherche de l’ISACA sur la gouvernance IT

• Anime et fédère une communauté sur le thème de la gouvernance IT (avec des sponsors, supporters…)

• Publie de la documentation sur son site web www.itgi.org :o Bonnes pratiques

o Retours d’expérience

o Enquêtes

45

Partie 4

46

Les référentiels de

pratique et la mise en

oeuvre

La gouvernance informatique – les fondamentaux

La notion de modèle de Bonnes

Pratiques

• Un modèle n’est:o Ni une méthode

o Ni un processus

o Ni une bibliothèque ou un catalogue

• C’est un cadre de travail

(« framework ») structuré

• « All models are wrong, but some

are useful » George Box

47

Les principaux référentiels de

gouvernance

• COSO:o Committee of Sponsoring Organizations of the

Treadway Commission

o Contrôle interne

o Gestion des risques entreprise

• COBIT:o Contrôle des objectifs de l’IT

o Gouvernance et Management

• ISO 38500:

o Principes et Bonnes Pratiques de Gouvernance

48

Les principaux référentiels

périphériques à la gouvernance IT

• ITIL: la gestion des services IT par l’OGC

• ISO 20000: la normalisation des services IT par l’ISO

• CMMI: maturité et aptitudes aux développements (logiciels, services, systèmes)

• TOGAF: architecture de l’entreprise

• ISO 27000: la famille Sécurité

• PMBOK: le management de projet (PMI-US)

• Prince 2: le management de projet vue par l’OGC

• Lean-Six Sigma: optimisation et management quantitatif de la performance

• e-SCM: la gestion fournisseur, outsourcing

• AGILE (Scrum, XP…): développement flexible et pragmatique

49

ISO 38500

• Publié par l’ISO/IEC en 2008

• basé sur une norme australienne AS8015:2005

• Applicable à tous types et taille d’organisation

• Pose 6 principes de gouvernance:1. Responsabilité

2. Stratégie

3. Acquisition

4. Performance

5. Conformité

6. Comportement Humain

• Le tout sur 15 pages ;-)

50

COSO

• Créé aux USA en 1985 pour supporter la

commission sur les rapports financiers

• 2 publications majeures:o Internal Control - Integrated Framework (1992-2011):

COSO 1

o Enterprise Risk Management – Integrated Framework

(2004): COSO 2

51

COSO: conception du risque

• Le risque est organique et fait partie de la vieo Ne pas chercher à le

supprimer

o Gérer l’incertitude acceptable

o Equilibre Risque/Performance

• Préserver la création de valeur face aux risques

• La notion « d’ appétence du risque »

52

Objectifs

Organisation

Eléments

COSO: les 4 types d’objectifs

• Typologie des Objectifs:o Stratégiques: objectifs associés à la stratégie de

l’entreprise

o Opérationnels: objectifs associés à l’exploitation

efficiente des ressources

o Reporting: objectifs associés à la fiabilité du reporting

o Conformité: objectifs associés aux lois et

réglementations

53

COSO: les 4 niveaux clés d’une

organisation

• L’entreprise

• La division

• L’unité d’activité

(Business Unit)

• La filiale

54

COSO: les 8 éléments clés du

risque

1. L’environnement interne

2. La fixation des objectifs

3. L’identification des événements

4. L’évaluation des risques

5. Le traitement des risques

6. Les activités de contrôle

7. L’information et la communication

8. Le pilotage

55

COBIT : quelques acronymes

• COBIT: Control OBjectives for Information and Related Technologies

• ISACA: Information Systems Audit and Control Association o CISA: Certified Information Systems Auditor

o CISM: Certified Information Security Manager

o CGEIT: Certified in the Governance of Enterprise IT

o CRISC: Certified in Risk and Information Systems Control

• AFAI: Association Française pour l’Audit et le Conseil

• ITGI: IT Governance Institute56