it self assessment (itsa) - présentation de la méthode
Upload: support-for-improvement-in-governance-and-management-sigma-oecd
Post on 19-Jul-2015
55 views
TRANSCRIPT
06/02/2015
1
© OCD E
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
IT Self Assessment (ITSA) Cour des comptes algérienne
Pascale Stenne (Belgique) et Rafael Gutierrez (France)
Alger le 8 décembre 2014
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
Programme
• Présentation des participants et de la méthode
• Atelier d’auto-évaluation évaluation des processus métiers
évaluation des processus informatiques
• Discussion
• Plan d’action
• Évaluation de l’atelier
• Présentation des résultats au Premier Président
1
Mardi 9 décembre
(9h30 à 12h30)
Mercredi 10 décembre
(9h30 à 12h30)
Jeudi 11 décembre
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
Les sources du projet
• Eurosai IT Working Group:
1. 1ère Conférence de la Haye, 2002
2. Lancement de 4 projets
3. Notre projet: élaborer un outi l d’auto-évaluation sur la base de CobiT
4. Membres du projet: Suisse (lead), Li tuanie, Hol lande, Norvège, Slovénie et Espagne
• Pi lote en France en mars 2004 2
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
Pourquoi l’informatique ?
• L’informatique fait partie intégrante de notre métier
• La maîtrise de l’informatique est indispensable à la gouvernance d’entreprise
• L’informatique est un facteur critique pour la stratégie de l’entreprise
• Les attentes et la réalité divergent, même dans une Cour des comptes !
• L’informatique ne reçoit parfois pas l’attention qu’elle mérite
• Les risques et les investissements sont importants
3
06/02/2015
2
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
A propos de gouvernance des SI
• La gouvernance des SI établit des principes qui
doivent régir le pilotage et la gestion des moyens
informatiques au sein de l’entreprise. Elle décrit
les instances de contrôle, définit leur rôle ainsi
que leurs interactions.
• Enfin, elle précise les méthodes de prévision et
les mesures qui permettent d’assurer l’alignement
stratégique des SI avec le modèle et les besoins de
l’entreprise en minimisant le risque.
Association Française de l'Audit
et du Conseil Informatique (AFAI) 4
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
Deux axes de la gouvernance SI
5
Place de la gouvernance du SI dans la gouvernance générale de l’entreprise. Institut de la gouvernance d’entreprise (AFAI CIGREFF)
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
Pourquoi une auto-évaluation ?
• I l s ’agit d’une technique intéressante :
1. utilisation du savoir disponible en interne
2. maîtrise des résultats, pas de diffusion externe
• peut éga lement être mise à profit dans des miss ions d’audit SI
• La modération externe permet d’évi ter les
rés istances hiérarchiques ou s tructurelles
6
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
Pourquoi CobiT ?
• Un référentiel applicable dans la plupart des
environnements
• La somme des “bonnes pratiques” reconnue
mondialement
• Le seul pont entre l’informatique, le management
et l’audit
• Un instrument pour intégrer l’audit informatique
et l’audit financier ou de performance
• Du matériel téléchargeable gratuitement
(www.isaca.org), 100% traduit en français
merci l’AFAI (www.afai.fr)... 7
06/02/2015
3
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
COBIT : Control objectives for information and related technology
Objectifs de contrôle de l’Information et des Technologies Associées
• Première version 1996 centrée d’abord sur la sécurité et le contrôle des SI
• Définition de processus de management IT, avec pour but l’alignement entre processus business et processus IT
• La version 4.1 définit un système de 4 domaines et 34 processus, et recherche l’harmonisation avec Coso, ITIL, CMMI, ISO27000…
• COBIT 5 (2012) vise l’intégration avec la majorité des référentiels de bonnes pratiques : “it builds and expands on COBIT 4.1 by integrating other major frameworks, standards and resources, including ISACA’s Val IT and Risk IT, Information Technology Infrastructure Library (ITIL®) and related standards from the International Organization for Standardization (ISO)”
8
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
L’originalité de CobiT
Critères : CobiT va au- delà de la traditionnelle sécurité informatique
9
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
Notre démarche
• La question centrale : l ’informatique est-elle
al ignée sur les métiers ?
• Une analyse en deux dimensions:
1. les processus métiers quels sont les processus les plus importants ? quel est le degré d’informatisation ? quelle est la qualité de l’informatisation ?
2. les processus informatiques quels sont les plus importants ?
quel niveau de maturité ?
10
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
Les deux dimensions du problème
11
Gestion des missions
Gestion des documents
Suivi des recommandations
Site Internet
Etc…
Établissement du programme
…
Alig
ne
me
nt straté
giq
ue
Co
mm
un
ica
tion
Fo
rma
tion
de
s u
tilisate
urs
Ge
stio
n d
e la q
ualité
planification organisation
acquisition mise en place
Sé
cu
rité info
rma
tique
Co
ntin
uité
de l’e
xplo
itatio
n
Etc…
2ème dimension = informatique
1è
re d
ime
nsi
on =
mé
tiers
06/02/2015
4
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
12
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
13
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
Mise en relation des deux dimensions
14
Quelles sont les origines TI des
problèmes métier ?
Quels processus métier sont affectés
par les problèmes TI ?
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
Les règles du jeu durant l’atelier
• Chacun exprime librement son opinion
personnelle. Les résultats finaux sont anonymes
• Les divergences d’opinion sont uti les à la
discussion
• Tous les résultats doivent être discutés, en
particul ier les désagréables...
• Vous pouvez à tout instant poser des questions !
15
06/02/2015
5
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
Les règles du jeu durant l’atelier
• Cette expérience doit être utile
1. à la Cour des Comptes Algérienne • sensibilisation aux questions de maîtrise des TI
• benchmarking, comparaison, identification d’améliorations potentielles
• expériences avec l’auto-évaluation et CobiT
2. méthodologiquement, pour le projet Eurosai
• Acceptez la démarche proposée, mais
n’oubl iez pas de noter vos observations pour l ’éva luation finale !
16
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
Evaluation des processus métier
• Pourquoi ces processus métier ?
• Évaluation du degré d’importance, actuelle et
future
• Degré de qualité de l ’informatisation
17
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
Critères pour analyser la satisfaction (exemples)
• Qualité des données
• Ergonomie des applications
• Fonctionnalités
• Rupture de medias, qualité des interfaces
• Temps de réponse, stabilité de l’application
• Sécurité
• Formation, support sur cette application
• Qualité du management de projets IT dans ce domaine
• Intégration de cette application dans la stratégie IT de la Cour
• … 18
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
Évaluation des processus informatiques
• Explications sur les processus informatiques selon CobiT
• Les autres informations disponibles dans CobiT
• Choix des processus informatiques
19
06/02/2015
6
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
20
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
Pour chacun des 34 processus, par exemple « gérer les changements »
21
Un
catalogue
des
exigences
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
Pour chacun des 34 processus, par exemple « gérer les changements »
22
Les rôles des différents acteurs, IT et business
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
Pour chacun des 34 processus, par exemple « gérer les changements »
23
Les liens de causalité entre les processus (input et output).
Ce tableau permet par exemple de comprendre d‘où vient un problème
ou d‘évaluer l‘impact des faiblesses constatées
06/02/2015
7
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
Pour chacun des 34 processus, par exemple « gérer les changements »
24
…et les indicateurs de performance, d‘objectifs processus et d‘objectifs
informatiques pour mesurer l‘atteinte de ces objectifs
Init
iati
ve
co
njo
inte
de
l’O
CD
E
et
de
l’U
nio
n e
uro
pé
en
ne
,
fin
an
cé
e p
rin
cip
ale
me
nt
pa
r l’
UE
Pour chacun des 34 processus, par exemple « gérer les changements »
25
Les niveaux
de maturité
du
processus
Échelle des 6 niveaux de maturité