Gouvernance du Système d’Information - ?· >GUIDE D’AUDIT Gouvernance du Système d’Information…

Download Gouvernance du Système d’Information - ?· >GUIDE D’AUDIT Gouvernance du Système d’Information…

Post on 14-Sep-2018

212 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • R s e a uR s e a u

    3 CIGREF - IFACI - AFAI

    Gouvernancedu SystmedInformation

  • 4 CIGREF - IFACI - AFAI

    >GUID

    E DA

    UDIT

    Gou

    vern

    ance

    du

    Syst

    me

    dIn

    form

    atio

    n

    CIGREF-IFACI-AFAI Paris juin 2011

    ISBN : 978-2-915042-31-3

    Toute reprsentation ou reproduction, intgrale ou partielle, faite sans le consentement de lauteur, ou de ses ayants droits,ou ayants cause, est illicite (loi du 11 mars 1957, alina 1er de larticle 40). Cette reprsentation ou reproduction, parquelque procd que ce soit, constituerait une contrefaon sanctionne par les articles 425 et suivants du Code Pnal.

  • R s e a uR s e a u

    5 CIGREF - IFACI - AFAI

    >GUID

    E DA

    UDIT

    Gou

    vern

    ance

    du

    Syst

    me

    dIn

    form

    atio

    n

    R s e a uR s e a u

    >> Sommaire

    Remerciements ............................................................................................................................ 7

    Prface .......................................................................................................................................... 9

    Introduction : ............................................................................................................................. 11

    Comment utiliser ce guide daudit ? ........................................................................................ 15

    Vecteur 1 : Planification du SI et intgration dans le plan stratgique de lentreprise ...... 17

    Vecteur 2 : Urbanisme et architecture du SI de lentreprise au service des enjeuxstratgiques ........................................................................................................... 25

    Vecteur 3 : Gestion du portefeuille de projets oriente cration de valeur pourles mtiers ....................................................................................................... 34

    Vecteur 4 : Management des risques SI en fonction de leurs impacts mtiers ............ 42

    Vecteur 5 : Alignement de la Fonction informatique par rapport aux processus mtiers ............................................................................................................. 51

    Vecteur 6 : Matrise de la ralisation des projets en fonction des enjeux mtiers ........ 58

    Vecteur 7 : Fourniture de services informatiques conformes aux attentes clients .............. 65

    Vecteur 8 : Pilotage des services externaliss ........................................................................ 72

    Vecteur 9 : Contrle de gestion informatique favorisant la transparence ........................... 79

    Vecteur 10 : Gestion prospective des comptences informatiques ....................................... 87

    Vecteur 11 : Gestion et mesure de la performance du SI ....................................................... 93

    Vecteur 12 : Gestion de la communication ............................................................................. 99

    Bibliographie ............................................................................................................................ 106

  • 6 CIGREF - IFACI - AFAI

    >GUID

    E DA

    UDIT

    Gou

    vern

    ance

    du

    Syst

    me

    dIn

    form

    atio

    n

  • R s e a uR s e a u

    7 CIGREF - IFACI - AFAI

    >GUID

    E DA

    UDIT

    Gou

    vern

    ance

    du

    Syst

    me

    dIn

    form

    atio

    n

    R s e a uR s e a u

    >> RemerciementsComit de pilotage

    Farid Aractingi, Directeur de laudit et de la matrise des risques, Renault Jean-Pierre Bouillot, VP Information System Audit, Risk Committee Project Leader, Sanofi-

    aventis Rgis Delayat, Directeur des SI, Groupe SCOR Patrick Geai, Directeur de la gouvernance des SI, La poste Courrier Jean-Louis Leignel, MAGE Conseil, Vice-Prsident de lAFAI Jean-Michel Mathieu, J Mathieu Conseil, Prsident (par intrim) de lAFAI Jean-Franois Pepin, Dlgu Gnral, CIGREF Franois Renault, Deloitte, Prsident dhonneur de lAFAI Louis Vaurs, Conseiller du Prsident de lIFACI

    Contributeurs/Experts

    Erik du Boishamon, Chef du bureau supervision et soutien utilisateur, Ministre de lintrieur Nicolas Bonnet, Directeur, Kea&Partners Gilles Brunet, Audit Manager - Information Technology & Information Security, Orange-

    France Tlcom, CISA, Prsident IFACI Rhne-Alpes Pierre Calvanse, Directeur de lIT Stratgie et Organisation, Altran Jrme Capirossi, Directeur Conseil, NATEA-Consulting Felipe Castro, Global IS/IT Audit Director, Alcatel-Lucent Frdric Charles, Directeur Adjoint Stratgie & Gouvernance du SI, Lyonnaise des Eaux -

    Suez Environnement Meriem Chefa, Responsable RH, La Poste Eric Delaye, Responsable de l'audit interne, Aftam Christophe Digue, Charg de mission Risques et CI la DSI Groupe, EDF Emmanuel Dubois, Consultant en Management, Kea&Partners Herbert Faure, Kea&Partners Henri Guiheux, Information Technology | Responsable Governance & Scurit des SI, SCOR Mourad Kacir, Responsable Audit SI Courrier, La Poste Grgoire Lvis, CISA, Senior Manager, IT Advisory, KPMG Advisory Jean-Marie Pivard, Corporate VP Internal Audit, NEXANS Alain Rogulski, Directeur Audit des Systmes d'Information, Sodexo Cyrille Roy, Contrle Permanent IT DIRPO, Direction du Pilotage Oprations, Allianz Laurent Stricher, Secrtaire Gnral de la Direction Gnrale Adjointe des Systmes d'in-

    formation, Ple Emploi Olivier Sznitkies, Audit Director, Lafarge

  • 8 CIGREF - IFACI - AFAI

    >GUID

    E DA

    UDIT

    Gou

    vern

    ance

    du

    Syst

    me

    dIn

    form

    atio

    n

  • R s e a uR s e a u

    9 CIGREF - IFACI - AFAI

    >GUID

    E DA

    UDIT

    Gou

    vern

    ance

    du

    Syst

    me

    dIn

    form

    atio

    n

    R s e a uR s e a u

    >> PrfaceLorsquest paru en 2009 Le contrle interne du systme dinformation des organisations ,lobjectif de ses promoteurs tait de sensibiliser les dirigeants aux enjeux du contrle interneet la matrise des systmes dinformation au sein des organisations, tant publiques queprives, tout en proposant aux managers des pistes oprationnelles.

    Si ce premier ouvrage est vritablement devenu une rfrence dans lunivers de laudit et ducontrle internes, sa limite avait t souligne ds lorigine : les auteurs avaient d, par soucide pragmatisme, limiter les thmes abords et en particulier ne pas traiter de la gouvernancedu systme dinformation, sinon par le biais indirect de quelques sujets figurant dans ledernier chapitre. Les auteurs avaient donc donn rendez-vous aux participants au colloquedu 13 mars 2009 pour une suite sur ce sujet prcis. Cest lui qui est au cur de ce secondouvrage que vous avez sous les yeux, Guide daudit de la gouvernance du systme dinfor-mation .

    Trois associations professionnelles se sont associes pour cette occasion : le CIGREF, rseaude grandes entreprises utilisatrices de systme dinformation, lIFACI, institut franais de lau-dit et du contrle internes, et lAFAI, association franaise de laudit et du conseil informa-tiques. Chacune y a apport loriginalit de sa dmarche et de ses comptences, grce lefficace contribution de trois groupes de travail composs dinformaticiens, dauditeurs et deconsultants.

    Dans des entreprises o les hommes se sont souvent replis sur leur silo, ce sont plus quejamais la coopration entre les mtiers, la fluidit des processus, et le couple vitesse-discer-nement qui fonderont la diffrence comptitive. Ce paradoxe entre la frilosit et la flexibilit,entre une hirarchie intangible et un centre qui occupe tout lorganigramme, ce sont desmtiers aussi transversaux et interdpendants que ceux de linformatique et de laudit quipeuvent lapprhender au mieux, par leur vision et leur exprience. Mais surtout lincarnerautour du systme dinformation, dsormais composante essentielle de lentreprise num-rique.

    En 2009, nous crivions du systme dinformation quil tait la colonne vertbrale de lorga-nisation, irrigant toutes ses fonctions pour contribuer la fois leur efficacit oprationnelle et leur transformation stratgique [], devenu le garant de facto de la protection de linformation, dela sincrit des oprations, de la vitesse dexcution et donc de lexcellence oprationnelle. Deuxans plus tard, non seulement ces mots demeurent dactualit, mais la gouvernance de cesystme dinformation est devenue un sujet brlant.

    Que cache le terme de gouvernance ? De mme tymologie que gouvernement, il sous-entend la notion du bien gouverner , mais galement de gouverner les bonnes choses,avec un mouvement de dcentrement de la rflexion, de la prise de dcision, et de l'valua-tion, une multiplication des lieux et acteurs impliqus dans la dcision et la co-constructiond'un projet, et enfin la mise en place de nouveaux modes de pilotage et de rgulation. Appli-qu au systme dinformation, on en trouvera la dclinaison dans douze chapitres concernant

  • 10 CIGREF - IFACI - AFAI

    >GUID

    E DA

    UDIT

    Gou

    vern

    ance

    du

    Syst

    me

    dIn

    form

    atio

    n

    en particulier lalignement par rapport la stratgie et aux mtiers de lorganisation, lamatrise de la ralisation des projets, la fourniture de services informatiques, la gestion descomptences, et la mesure de la performance.

    Or, si la littrature et les publications officielles font rfrence des rfrentiels et normes dequalit, leur multiplicit souvent synonyme de contradiction ou de recouvrement peutdcourager les responsables, concepteurs, utilisateurs, exploitants ou contrleurs de systmesdinformation. Pour simplifier leur approche, les auteurs ont donc capitalis sur leurs connais-sances pratiques de ces rfrentiels pour construire, dans une rdaction originale issue duterrain, un document concret accessible au plus grand nombre.

    Le rsultat est un guide daudit de la gouvernance des SI, selon douze thmes analyss et faci-lement dclinables au contexte propre chaque organisation. Le vocabulaire est communaux fonctions reprsentes au sein des trois associations cosignataires, tout en prservantleur spcificit : cest donc bien un outil concret au service des auditeurs, des contrleurs, desinformaticiens, et plus largement de tout reprsentant des mtiers utilisateurs des systmesdinformation c'est--dire tout un chacun, acteur de lentreprise numrique.

    Bruno Mnard Claude Viet Pascal AntoniniPrsident du CIGREF Prsident de lIFACI Prsident de lAFAI

  • R s e a uR s e a u

    11 CIGREF - IFACI - AFAI

    >GUID

    E DA

    UDIT

    Gou

    vern

    ance

    du

    Syst

    me

    dIn

    form

    atio

    n

    R s e a uR s e a u

    >> IntroductionQuest-ce que la gouvernance du SI ?

    La gouvernance par lentreprise ou lorganisation de son systme dinformation est unedmarche de pilotage, concernant lensemble des responsables et pas seulement la Direc-tion des Systmes dInformation (DSI), ayant pour objectifs :

    dapporter une contribution maximale la cration de valeur pour lorganisation, daligner le systme dinformation sur la stratgie de lorganisation, doptimiser lutilisation des ressources, et de matriser les risques en fonction des enjeux de lorganisation.

    Cette dmarche, qui est fonde sur : des processus de prise de dcisions, des instances dcisionnelles, des normes et des bonnes pratiques, des dispositifs de contrle adquats, et une communication visant assurer la transparence,

    sappuie sur un ensemble de bonnes pratiques, de natures trs diffrentes, allant : de sujets oprationnels, tels que llaboration de contrats de services ou le manage-

    ment de projets, jusqu des aspects stratgiques, tels que la contribution du portefeuille de projets au

    dveloppement de lentreprise ou de lorganisation, en passant par des considrations conomiques, telles que la matrise des cots des

    produits ou services fournis par linformatique ses clients internes.

    Bien que ces bonnes pratiques, que nous avons structures sous forme de 12 vecteurs regroups en 3 catgories (management, oprations et support), puissent tre analyses defaon relativement indpendante, une bonne gouvernance par lentreprise ou lorganisationde son systme dinformation, par rapport aux objectifs rappels ci-dessus, suppose quil nyait de dfaillance grave sur aucun des vecteurs , et ce quelle que soit sa nature. En effet :

    si la disponibilit des services nest pas assure conformment aux termes des contratspasss avec les mtiers , la DSI aura beaucoup de difficults se positionner commeinterlocuteur de la direction gnrale sur les sujets concernant lalignement stratgiquedu SI,

    si les contrats de services sont respects, mais que les ressources SI sont affectes desprojets nayant que peu dintrt pour le devenir de lentreprise ou de lorganisation,le SI ne sera pas vraiment contributeur la cration de valeur de lentreprise et, cetitre, la gouvernance du SI ne pourra pas tre considre comme performante,

    si les cots des produits ou services ne sont pas matriss correctement, il sera trs diffi-cile non seulement de garantir la direction gnrale que les ressources sont utilisesde faon optimale mais aussi de dvelopper, avec les entits clientes , des relationsde confiance bases sur la transparence du rapport qualit/cot des services four-nis,

  • 12 CIGREF - IFACI - AFAI

    >GUID

    E DA

    UDIT

    Gou

    vern

    ance

    du

    Syst

    me

    dIn

    form

    atio

    n

    La gouvernance du SI est donc une dmarche de management concernant lensemble desresponsables, qui sinscrit dans la gouvernance de lentreprise ou de lorganisation et vise dvelopper la confiance entre les parties prenantes.

    Objectifs du guide

    Lobjectif principal est de mettre disposition des auditeurs et des DSI un guide pratiquedaudit adressant, sous un angle managrial et non pas technique, la problmatique globalede la gouvernance du SI par lentreprise ou lorganisation, telle que rappele ci-dessus.

    Il permet donc aux directions de laudit interne de rpondre aux questions que se pose ladirection gnrale propos du niveau de matrise de son SI et de fournir aux autres fonctionsde lentreprise ou de lorganisation une assurance raisonnable que leurs processus mtierssont bien soutenus par des systmes dinformation de qualit.

    Cette valuation de haut niveau de la gouvernance permet de mettre en vidence des pointsde vigilance par rapport des pratiques de management du SI, qui peuvent tre de natureoprationnelle, conomique ou stratgique, mais qui doivent toutes tre sous contrle pourque lentreprise ou lorganisation puisse tre considre comme performante dans la gouver-nance de son SI.

    Toutefois, mme si la gouvernance du SI svalue de faon globale, celle-ci a t dcompo-se, pour des considrations pratiques, en 12 vecteurs distincts suffisamment autopor-teurs pour pouvoir faire lobjet de missions individualises par vecteur ou groupe de vecteurs .

    En fonction de leur nature, les points de vigilance ainsi mis en vidence pourront contribuer llaboration du plan daudit du SI, voire du plan daudit gnral de lentreprise ou de lor-ganisation, puis tre ventuellement suivis de missions daudit plus approfondi utilisant desrfrentiels adapts tels que COBIT, Val IT, Risk IT, ou autres selon le sujet traiter.

    Cet outil se veut galement pdagogique pour dmystifier la gouvernance du SI en vitantle langage technique, qui prvaut gnralement ds lors quil est question dinformatique.La communication de la DSI vers la direction gnrale et les directions mtiers sen trouveainsi facilite et renforce.

    Primtre

    Le primtre de ce guide couvre les processus de gouvernance du SI par lentreprise, quiassocient troitement la direction gnrale, les mtiers et la DSI. A contrario, et malgr leur importance, il ne couvre pas les aspects o...

Recommended

View more >