Présentation par Pascale Stenne et Rafael Guttierez de la méthode ITSA dans le cadre de l'atelier d'auto-évaluation organisé par SIGMA pour la Cour des comptes d'Algérie du 9 au 11 décembre 2014 à Alger.
2. 06/02/2015
2
Initiativeconjointedel’OCDEetdel’Unioneuropéenne,
financéeprincipalementparl’UE
A propos de gouvernance des SI
• La gouvernance des SI établit des principes qui
doivent régir le pilotage et la gestion des moyens
informatiques au sein de l’entreprise. Elle décrit
les instances de contrôle, définit leur rôle ainsi
que leurs interactions.
• Enfin, elle précise les méthodes de prévision et
les mesures qui permettent d’assurer l’alignement
stratégique des SI avec le modèle et les besoins de
l’entreprise en minimisant le risque.
Association Française de l'Audit
et du Conseil Informatique (AFAI)
4
Initiativeconjointedel’OCDEetdel’Unioneuropéenne,
financéeprincipalementparl’UE
Deux axes de la gouvernance SI
5
Place de la gouvernance du SI dans la gouvernance générale de l’entreprise.
Institut de la gouvernance d’entreprise (AFAI CIGREFF)
Initiativeconjointedel’OCDEetdel’Unioneuropéenne,
financéeprincipalementparl’UE
Pourquoi une auto-évaluation ?
• Il s’agit d’une technique intéressante :
1. utilisation du savoir disponibleeninterne
2. maîtrisedes résultats, pas de diffusion externe
• peut également être mise à profit dans des
missions d’audit SI
• La modération externe permet d’éviter les
résistances hiérarchiques ou structurelles
6
Initiativeconjointedel’OCDEetdel’Unioneuropéenne,
financéeprincipalementparl’UE
Pourquoi CobiT ?
• Un référentiel applicable dans la plupart des
environnements
• La somme des “bonnes pratiques” reconnue
mondialement
• Le seul pont entre l’informatique, le management
et l’audit
• Un instrument pour intégrer l’audit informatique
et l’audit financier ou de performance
• Du matériel téléchargeable gratuitement
(www.isaca.org), 100% traduit en français
merci l’AFAI (www.afai.fr)... 7
3. 06/02/2015
3
Initiativeconjointedel’OCDEetdel’Unioneuropéenne,
financéeprincipalementparl’UE
COBIT :Control objectives for information and related technology
Objectifs de contrôle de l’Information et des Technologies Associées
• Première version 1996 centrée d’abord sur la sécurité et le
contrôle des SI
• Définition de processus de management IT, avec pour but
l’alignement entre processus business et processus IT
• La version 4.1 définit un système de 4 domaines et 34
processus, et recherche l’harmonisation avec Coso, ITIL, CMMI,
ISO27000…
• COBIT 5 (2012) vise l’intégration avec la majorité des
référentiels de bonnes pratiques : “it builds and expands on
COBIT 4.1 by integrating other major frameworks, standards
and resources, including ISACA’s Val IT and Risk IT, Information
Technology Infrastructure Library (ITIL®) and related standards
from the International Organization for Standardization (ISO)”
8
Initiativeconjointedel’OCDEetdel’Unioneuropéenne,
financéeprincipalementparl’UE
L’originalité de CobiT
Critères : CobiT va au- delà de la
traditionnellesécuritéinformatique
9
Initiativeconjointedel’OCDEetdel’Unioneuropéenne,
financéeprincipalementparl’UE
Notre démarche
• La questioncentrale :l’informatique est-elle
alignée surles métiers ?
• Une analyse endeux dimensions:
1. les processus métiers
quels sont les processus les plus importants ?
quel est le degré d’informatisation ?
quelle est la qualité de l’informatisation ?
2. les processus informatiques
quels sont les plus importants ?
quel niveau de maturité ?
10
Initiativeconjointedel’OCDEetdel’Unioneuropéenne,
financéeprincipalementparl’UE
Les deux dimensions du problème
11
Gestion des missions
Gestion des documents
Suivi des recommandations
Site Internet
Etc…
Établissement du programme
…
Alignementstratégique
Communication
Formationdesutilisateurs
Gestiondelaqualité
planification
organisation
acquisition
mise en place
Sécuritéinformatique
Continuitédel’exploitationEtc…
2ème dimension= informatique
1èredimension=métiers
5. 06/02/2015
5
Initiativeconjointedel’OCDEetdel’Unioneuropéenne,
financéeprincipalementparl’UE
Les règles du jeu durant l’atelier
• Cette expérience doit être utile
1. à la Cour des Comptes Algérienne
• sensibilisation aux questions de maîtrise des TI
• benchmarking, comparaison, identification
d’améliorations potentielles
• expériences avec l’auto-évaluation et CobiT
2. méthodologiquement, pour le projet Eurosai
• Acceptez la démarche proposée, mais
n’oubliez pas de notervos observations pour
l’évaluationfinale !
16
Initiativeconjointedel’OCDEetdel’Unioneuropéenne,
financéeprincipalementparl’UE
Evaluation des processus métier
• Pourquoi ces processus métier ?
• Évaluation du degré d’importance, actuelle et
future
• Degré de qualité de l’informatisation
17
Initiativeconjointedel’OCDEetdel’Unioneuropéenne,
financéeprincipalementparl’UE
Critères pour analyser la
satisfaction (exemples)
• Qualité des données
• Ergonomie des applications
• Fonctionnalités
• Rupture de medias, qualité des interfaces
• Temps de réponse, stabilité de l’application
• Sécurité
• Formation, support sur cette application
• Qualité du management de projets IT dans ce domaine
• Intégration de cette application dans la stratégie IT de la
Cour
• …
18
Initiativeconjointedel’OCDEetdel’Unioneuropéenne,
financéeprincipalementparl’UE
Évaluation des processus informatiques
• Explications sur les
processus informatiques
selon CobiT
• Les autres informations
disponibles dans CobiT
• Choix des processus
informatiques
19
6. 06/02/2015
6
Initiativeconjointedel’OCDEetdel’Unioneuropéenne,
financéeprincipalementparl’UE
20
Initiativeconjointedel’OCDEetdel’Unioneuropéenne,
financéeprincipalementparl’UE
Pour chacun des 34 processus,
par exemple « gérer leschangements »
21
Un
catalogue
des
exigences
Initiativeconjointedel’OCDEetdel’Unioneuropéenne,
financéeprincipalementparl’UE
Pour chacun des 34 processus,
par exemple « gérer leschangements »
22
Les rôles des différents acteurs, IT et business
Initiativeconjointedel’OCDEetdel’Unioneuropéenne,
financéeprincipalementparl’UE
Pour chacun des 34 processus,
par exemple « gérer leschangements »
23
Les liens de causalité entre les processus (input et output).
Ce tableau permet par exemple de comprendre d‘où vient un problème
ou d‘évaluer l‘impact des faiblesses constatées
7. 06/02/2015
7
Initiativeconjointedel’OCDEetdel’Unioneuropéenne,
financéeprincipalementparl’UE
Pour chacun des 34 processus,
par exemple « gérer leschangements »
24
…et les indicateurs de performance, d‘objectifs processus et d‘objectifs
informatiques pour mesurer l‘atteinte de ces objectifs
Initiativeconjointedel’OCDEetdel’Unioneuropéenne,
financéeprincipalementparl’UE
Pour chacun des 34 processus,
par exemple « gérer leschangements »
25
Les niveaux
de maturité
du
processus
Échelle des 6 niveaux de maturité