Management des Système d'Information

Erasmus Multilateral Projects – Virtual campuses
134350-LLP-1-2007-1-HU-ERASMUS-EVC
Virtual campus for SMEs in a multicultural milieu

Erasmus Multilateral Projects – Virtual
campuses
Numéro de reference du projet: 134350-
LLP-1-2007-1-HU-ERASMUS-EVC
Titre of the projet: Virtual campus for
SMEs in a multicultural milieu
(‘SMEdigcamp’)

Ce projet a été financé avec le soutien de la Commission européenne.
Cette publication (communication) n’engage que son auteur et la Commission
n’est pas responsable de l’usage qui pourrait être fait des informations qui y sont
contenues.

MATIÈRE PÉDAGOGIQUE DU MODULE
MANAGEMENT DES SYSTEMES D’INFORMATIONS ET
MANAGEMENT DU RISQUE

Chef de quadrangle:
Bernard QUINIO (FR-UPX)
Membres de quadrangle:
András JÁNOSA (HU)
János IVANYOS (HU)
Imre JUHÁSZ (HU)
Gyula KADERJÁK (HU)
Manuela NOCKER (UK)
Gunnar PRAUSE (DE)
Daniel BRETONES (FR-ESCEM)

1


TABLE DES MATIÈRES
A) DESCRIPTION DU MODULE............................................................................................ 5

B) CONTENU INDICATIF..................................................................................................... 10

I. GESTION DES SYSTEMES D’INFORMATION .............................................................. 10
CHAPITRE 1 : ORGANISER ET GERER LE SYSTEME D’INFORMATION (SI) POUR
LES PME.................................................................................................................................. 10
1.1. Introduction ....................................................................................................................... 10
1.2. Définitions et problèmes clés du SI pour les PME............................................................ 10
1.2.1. Information et système d’information 10
1.2.2. Les problèmes clés soulevés par le SI dans l’entreprise 10
1.3. L’organisation de la fonction du SI dans l’entreprise ....................................................... 10
1.4. Budget et coûts de la fonction du SI ................................................................................. 11
1.5. Comment gérer l’externalisation du SI ............................................................................. 11
1.5.1. Caractérisation du fournisseur du SI 11
1.5.2. Les activités du SI et leur externalisation 11
1.5.3. Comment gérer les prestataires de service 11
1.5.4. Le cycle de gestion des prestataires de service 11
1.6. La gouvernance d’une PME : règles et outils ................................................................... 11
1.7. Exercices ........................................................................................................................... 12
CHAPITRE 2 : APPLICATIONS DU SI DANS LES PME ................................................... 13
2.1. Introduction ....................................................................................................................... 13
2.2. Infrastructure technique du SI dans les PME .................................................................... 13
2.2.1. Point de vue technique de l’infrastructure 13
2.2.2. Cartographie des applications simples 13
2.2.3. Comment choisir entre un système ouvert et un système d’entreprises
individuelles? 13
2.3. L’application du SI à la décision....................................................................................... 14
2.3.1. Système exécutif d’information (SEI) 14
2.3.2. Système expert 14
2.3.3. Management de la connaissance 14
2.3.4. La business intelligence 14
2.3.5. Analyse de données et extractions de données 15
2.4. L’application du SI pour deux raisons principales............................................................ 15
2.4.1. Gestion de la Relation Client (GRC) 15
2.4.2. E-business et site internet 16
2.4.3. Gestion de la Chaîne d’Approvisionnement (GCA) 16
2.5. L’application du SI à l’intégration .................................................................................... 16
2.5.1. Au sein de la firme : La Gestion des Ressources de l’Entreprise (GRE) 16
2.5.2. En dehors de l’entreprise: L’Echange de Données Electroniques (EDE) 16
2.5.3. En dehors de l’entreprise : Le marché de l’e-business 17
2.6. Exercices ........................................................................................................................... 17
CHAPITRE 3 : GESTION DE PROJET.................................................................................. 18
3.1. Introduction ....................................................................................................................... 18
3.2. Définition des principaux concepts de la gestion de projet............................................... 18

2


3.3. Comment préparer un projet ?........................................................................................... 18
3.3.1. Préciser les objectifs du projet : Pourquoi et où agissez-vous 18
3.3.2. Identifier le type de solutions : Comment agissez-vous ? 18
3.3.3. Identifier les ressources humaines et techniques: Avec qui agissez-vous et que
faîtes-vous ? 19
3.4. Comment établir le projet ?............................................................................................... 19
3.5. Comment gérer un projet?................................................................................................. 19
3.5.1. La direction de projet 19
3.5.2. La gestion de projet 19
3.6. Comment mettre en place et utiliser les résultats du projet ?............................................ 20
3.7. Exercices ........................................................................................................................... 20
CHAPITRE 4 : SECURITE ET CONTROLE DU SI.............................................................. 21
4.1. Introduction ....................................................................................................................... 21
4.2. Règles de sécurité: strictes, indulgentes et l’organisation................................................. 21
4.3. Facteurs humains de sécurité............................................................................................. 22
4.4. Attaques internes et externes............................................................................................. 23
4.5. Loi et normes et authentification pour la sécurité informatique ....................................... 24
4.6. Sauvegarde de données et de logiciel................................................................................ 25
4.7. Redémarrer et maintenir l’activité..................................................................................... 25
4.8. Utilisation du contrôle de l’information et des technologies associées et de la bibliothèque
pour l’infrastructure des technologies de l’information....................................................... 25
dans les PME............................................................................................................................ 25
4.9. Exercices ........................................................................................................................... 26

II. MANAGEMENT DU RISQUE .......................................................................................... 27
CHAPITRE 1 : LES OBJECTIFS DE L’ACQUISITION DES CONNAISSANCES DU
MANAGEMENT DU RISQUE............................................................................................... 27
1.1. Introduction ....................................................................................................................... 27
1.2. Objectifs généraux............................................................................................................. 27
1.3. Description des principaux problèmes .............................................................................. 27
1.4. Pourquoi la gestion du risque est utile aux PME ?............................................................ 28
1.5. Exercices ........................................................................................................................... 28
CHAPITRE 2 : CONCEPTS FONDAMENTAUX DU MANAGEMENT DU RISQUE ...... 29
2.1. Définition du management du risque en entreprise........................................................... 29
2.2. Types de risques ................................................................................................................ 29
2.3. Exercices ........................................................................................................................... 30
CHAPITRE 3: REALISATIONS DES OBJECTIFS LIES DES ENTITES ........................... 31
3.1. Catégories d’objectifs........................................................................................................ 31
3.2. Mise en place d’objectifs................................................................................................... 31
3.3. L’identification d’évènements........................................................................................... 31
3.4. Evaluation du risque.......................................................................................................... 31
3.5. Réponses au risque ............................................................................................................ 32
3.6. Exercices ........................................................................................................................... 32
CHAPITRE 4 : COMPOSANTES DU MANAGEMENT DU RISQUE ................................ 33
4.1. Relation entre les composantes et les objectifs ................................................................. 33
4.2. Efficacité et limitations du management du risque ........................................................... 33
4.3. Intégration des contrôles internes...................................................................................... 33

3


4.4. Exercices ........................................................................................................................... 34
CHAPITRE 5 : EVALUATION DES CAPACITES DU MANAGEMENT DU RISQUE .... 35
5.1. Le Comité d’organisation du Sponsoring (COS) comme modèle de référence applicable ..
.................................................................................................................................. 35
5.2. Elaboration des objectifs des entités en niveaux de capacité ............................................ 35
5.3. Promesses et engagements de consultation de l’audit....................................................... 36
5.4. Exercices ........................................................................................................................... 36

C) SPECIFICATIONS NATIONALES................................................................................... 37
1. FRANCE .............................................................................................................................. 37
1.1. Gestion du système d’information .................................................................................... 37
1.1.1. Chapitre 1 Organiser et diriger le Système d’Information (SI) dans une PME 37
1.1.2. Chapitre 2 Applications du SI dans une PME 37
1.1.3. Chapitre 3 Gestion de projet 37
1.1.4. Chapitre 4 Sécurité et contrôle du SI 38
1.2. Management du risque ...................................................................................................... 38
2. ALLEMAGNE ..................................................................................................................... 39
2.1. Systèmes d’information et management du risque ........................................................... 39
3. HONGRIE............................................................................................................................ 40
3.1. Gestion des systèmes d’information ................................................................................. 40
4. ROYAUME-UNI ................................................................................................................. 46
4.1. Gestion des systèmes d’information ................................................................................. 46
4.3. Suggestions d’autres lectures ............................................................................................ 47

4


A) DESCRIPTION DU MODULE

Description du contenu

Ce module possède deux parties : une sur le système d‘information et l‘autre sur le
management du risque. La partie sur le système d‘information donne les principales
qualifications requises pour gérer le système d‘information dans les Petites et Moyennes
Entreprises (PME).
La partie sur le management du risque donne la principale qualification pour appliquer les
principes du management du risque et ses outils dans les PME.

Objectifs du module

Gestion du système d’information
Comment gérer le système d‘information dans une PME ?
Comment participer à un projet de système d‘information ?
Comment utiliser les règles de sécurité pour une PME ?
Management du risque
Comment appliquer les principes et les outils du management du risque ?
Comment fixer les objectifs, les risques à prendre et la tolérance à avoir vis à vis de
ces risques ?
Comment réussir à estimer les risques et à définir les réponses à ceux-ci ?
Comment le système de contrôle interne est intégré au management du risque ?
Comment évaluer l‘efficacité du risque et des systèmes de contrôle ?

Pré-requis

Bon usage d‘un ordinateur personnel, d‘internet et d‘un bureau dans un cadre
professionnel
Utilisation d‘un tableur, d‘un système de base de données et d‘internet pour la gestion
des problèmes
Modélisation et usage avancé d‘un tableur pour la finance et le contrôle de budget
Management stratégique.
Management financier.
Organisation et management
Evaluation des procédés.

Méthode de travail

Pour chaque chapitre de ce module, les principaux principes sont exposés avec de nombreux
exemples, et ensuite, des liens internet utiles sont indiqués afin de voir ces principes dans la
vraie vie. Après cela, quelques quiz et exercices sont proposés afin d‘utiliser des outils
dans un cadre pratique.

5


Evaluation

L‘évaluation comporte deux parties : un quiz pour évaluer les connaissances des principaux
principes exposés et un cas à étudier.

Structure du module

Gestion du système d’information (crédits 2)

Chapitre 1 Organiser et gérer le système d’information(SI) pour les PME
Connaissances à acquérir:
Avoir une parfaite connaissance des concepts du système d‘information
Comment organiser un système d‘information dans une PME ?
Comment gérer l‘externalisation des fonctions du système d‘information ?
Comment gérer les prestataires de service pour une PME ?
Structure:
Introduction
Définitions et problèmes clés du SI pour les PME
Information pour le management et système d‘information
Problèmes clés pour les PME
Organisation de la fonction du système d‘information dans une firme
Budget et coûts de la fonction du SI
Comment gérer l‘externalisation du SI ?
Caractérisation du fournisseur de SI
Activités du SI et leur externalisation
Comment gérer les prestataires de service ?
La gouvernance du SI dans les PME: règles et outils

Chapitre 2 Applications du SI dans les PME
Avoir une bonne connaissance de la principale application du SI dans les PME
Pour chaque application, connaître les facteurs clés du succès
Pour chaque application, savoir les principaux produits et éditeurs
L‘utilisation de l‘application n‘est pas un objectif de ce chapitre
Structure:
Introduction
Infrastructure technique du SI dans les PME
Point de vue technique de l‘infrastructure
Cartographie des applications simples
Comment choisir entre un système ouvert et un système d‘entreprises
individuelles?
Comment choisir entre un ensemble de logiciels et un développement
spécifique?
Application du SI à la décision
Système d‘Information Exécutif (SIE)
Système Expert

6


Management de la connaissance
La business intelligence
Analyse de données et extraction de données
L‘application du SI pour deux raisons principales
Gestion de la Relation Client (GRC)
E-business et site internet
Gestion de la Chaîne d‘Approvisionnement (GCA)
Application du SI à l‘intégration
Au sein de la firme: Planification des Ressources de l‘Entreprise (PRE)
En dehors de la firme:
Echange de Données Electroniques (EDE)
Le marché de l‘e-business

Chapitre 3 Gestion de projet
Comment gérer un projet de système d‘information ?
Comment appliquer les outils de la gestion de projet ?
Le risque de l‘analyse est traité dans la partie sur le management du risque
Structure:
Introduction
Définition des principaux concepts de la gestion de projet
Comment préparer un projet ?
Préciser les objectifs du projet : Pourquoi et où agissez-vous ?
Identifier le type de solution : Comment agissez-vous ?
Identifier les ressources humaines et techniques : Avec qui agissez-vous et que
faîtes-vous ?
Comment construire le projet ?
Comment gérer le projet?
Orientation du projet
Gestion du projet
Organisation (Pert and Gantt)
Coût du contrôle
Changer la gestion et les facteurs humains
Comment mettre en place et utiliser les résultats du projet ?

Chapitre 4 Sécurité et contrôle du SI
Comment mettre en place les règles de sécurité et les outils dans les PME ?
Comment trouver les informations et les conseils relatifs à la sécurité ?
Structure:
Introduction
Règles de sécurité : strictes, indulgentes et organisation
Facteurs humains de sécurité
Agressions internes et externes
Loi pour la sécurité informatique
Sauvegarde de donnée et de logiciel
Redémarrer et maintenir l‘activité

7


Utilisation du contrôle de l‘information et des technologies associées pour les PME
Utilisation de la bibliothèque pour l‘infrastructure de l‘information pour les PME

Management du risque (crédits 2)

Chapitre 1 Les raisons d’acquérir des connaissances sur le management du risque
1 Faire concorder la prise de risque et la stratégie – Le management considère la
prise de risque comme l‘évaluation de stratégies alternatives, comme la mise en
place d‘objectifs liés entre eux, et comme le développement de mécanismes visant
à gérer ces risques liés.
2 Amélioration de la décision de réponse aux risques –La gestion du risque en
entreprise apporte de la rigueur pour identifier et sélectionner les réponses alternatives
aux risques – éviction, réduction, partage et acceptation du risque.
3 Réduire les surprises et les pertes liées à l’exploitation – Le gain des entités
améliore la capacité à identifier les événements potentiels et à établir des réponses
et permet donc de diminuer les surprises et les coûts ou les pertes qui y sont associés.
4 Identifier et gérer les différents risques qui s’entremêlent pour les entreprises –
Chaque entreprise fait face a une myriade de risques qui affecte différentes parties de
son organisation, et la gestion des risques en entreprise répond plus facilement et plus
efficacement aux impacts liés entre eux et intègre les réponses aux multiples risques.
5 Saisir les opportunités – En prenant en compte un grand nombre d‘évènements
possibles, le management est capable d‘identifier et de trouver des opportunités de
manière dynamique.
6 Améliorer le développement du capital – L‘obtention d‘informations importantes sur
les risques permet au management d‘évaluer de manière efficace les besoins
globaux en capital et d‘améliorer la répartition du capital.

Chapitre 2 Les concepts fondamentaux du management du risque
1 Un processus, en cours et qui vit à travers une entité
2 Etabli par tout le monde, à chaque niveau d‘une organisation
3 Appliqué dans la mise en place de stratégies
4 Appliqué à travers les entreprises, à chaque niveau, dans chaque unité, et inclut le
fait de prendre une entité-niveau de considération du risque du portefeuille.
5 Conçu pour identifier les possibles événements qui, s‘ils ont lieu, affecteront
l‘entité, et conçu pour gérer les risques liés à la prise de risques.
6 Capable de fournir une promesse juste à la gestion d‘une entité et à un conseil
d‘administration
7 Adapté à la réalisation d‘objectifs classifiés en une ou plusieurs catégories qui se
chevauchent.

Chapitre 3 Réalisation des objectifs liés des entités
1 Stratégique – objectifs difficiles, suivant et encourageant sa mission
2 Opérations – utilisation efficace de ses ressources
3 Rapport – fiabilité du rapport
4 Conformité– conformité aux lois en vigueur et aux réglementations.

8


Chapitre 4 Composantes du management du risque:
1 Environnement interne
2 Mise en place d’objectifs
3 Identification d‘évènements
4 Evaluation du risque
5 Risque
6 Activités de contrôle
7 Information et Communication
8 Surveillance

Chapitre 5 Evaluation de l’efficacité du management du risque
1 Utiliser la structure du comité d‘organisation du sponsoring comme modèle de
référence
2 Elaboration des objectifs des entités en niveaux d‘aptitude
3 Promesse d‘engagement
4 Engagement de concertation

Bibliographie recommandée

En français:
Encyclopédie des Systèmes d‘Information, Editions Vuibert coordonné par J. AKOKA et I.
Commyn Wattiau, 2007
Marciniak et Rowe (2005) Systèmes d'Information, Dynamique et Organisation, Economica,
2005, seconde édition
Quinio et lecoeur (2003) « Projet de Système d'information : Une démarche et des outils
pour le chef de projet » Alain Lecoeur et Bernard Quinio (Vuibert, Paris 2003).
« Manuel de gestion d‘entreprise », trois chapitres sur les Systèmes d‘Information, ouvrage
collectif coordonné par l‘AUPELF (2004).
« Contrôle et confiance dans la relation avec les prestataires de services informatiques : les
trois niveaux : Prestataire, Personnel, Prestation » ; B. Quinio et A. Lecoeur ; RESER 2006
; 28 au 30 septembre 2006

En anglais:
Laudon • Laudon (2006) Management Information Systems, 9/e, Pearson prentice hall

Sites web intéressants
1 Site du « Project management Institute »
2 Site de l‘« International Project Management Association »
3 Site du « clusif »
4 Site de l‘« Information Systems Security Association »
1 http://www.coso.org/documents/COSO_ERM_ExecutiveSummary.pdf
2 http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_french.pdf
3 http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_German.pdf
4 http://www.coso.org/documents/COSO_ERM.ppt

9


B) CONTENU INDICATIF
I. GESTION DES SYSTEMES D’INFORMATION

CHAPITRE 1 : ORGANISER ET GERER LE SYSTEME
D’INFORMATION (SI) POUR LES PME

Connaissances à acquérir

Avoir une parfaite connaissance des concepts du système d‘information
Comment organiser un système d‘information dans une PME
Comment gérer l‘externalisation des fonctions du SI
Comment gérer les prestataires de service pour une PME

Contenu indicative du chapitre

1.1. Introduction
Introduire le chapitre et préciser que les principaux concepts du système d‘information
doivent être définis très précisément du fait de nombreuses confusions.

1.2. Définitions et problèmes clés du SI pour les PME
1.2.1. Information et système d’information

L‘information est définie comme un triptyque entre les données, l‘objet et la signification.
Le système d‘information est défini comme un autre triptyque entre les composantes
techniques (informatique), l‘organisation et des hommes ou des femmes qui (ces trois
éléments) traitent les informations dans l‘entreprise.
Le système de données et le système d‘information doivent impérativement être distingués.
De nombreux exemples (de la vie courante) peuvent être donnés.

1.2.2. Les problèmes clés soulevés par le SI dans l’entreprise

Le SI a deux fonctions: le système de production et le système de décision

1.3. L’organisation de la fonction du SI dans l’entreprise
Dans les grandes entreprises, la fonction du SI est structurée (service d‘exploitation et
service de développement)

10


Dans les PME, un homme ou une femme doit gérer (souvent seul) les aspects techniques et
organisationnels du SI. Son travail est principalement de gérer les prestataires de service.
Les différents acteurs du SI au sein de la firme, ainsi que leurs rôles, doivent ensuite être
définis.

1.4. Budget et coûts de la fonction du SI
Dans les PME, il est quelque peu difficile d‘évaluer combien coûte le SI.
Au regard des études concernant les grandes entreprises, on peut estimer que le budget du
SI est d‘à peu près 3% du chiffre d‘affaires.
Le budget du SI se divise en deux parties: 80% pour l‘exploitation et 20% pour le projet.

1.5. Comment gérer l’externalisation du SI

1.5.1. Caractérisation du fournisseur du SI

Il est quelque peu difficile de définir précisément tous les types de prestataires de service. On
peut utiliser la classification nationale, ou celle de l‘OCDE. Cela est utile pour expliquer la
diversité des prestataires de services et les problèmes clés pour une PME.

1.5.2. Les activités du SI et leur externalisation

Presque toutes les activités du SI peuvent être externalisées (développement, exploitation,
maintenance).
Pour un grand nombre d‘entreprises, le principal problème est de sélectionner le bon
groupe de logiciels et de les rendre utilisables.

1.5.3. Comment gérer les prestataires de service

Afin de gérer les prestataires de service, trois éléments doivent être distingués: le
prestataire de service (la firme), les employés du prestataire de service qui font le travail
pour le client et le service lui-même.
Grâce à cette distinction, la relation entre le client et le prestataire de service peut être
caractérisée et gérée.

1.5.4. Le cycle de gestion des prestataires de service

De nombreux stades dans la gestion de la relation entre le client d‘une entreprise et son
prestataire de service peuvent être définis; ici ils sont réunis en quatre étapes: sélection,
établissement de contrats, exécution et enfin capitalisation.

1.6. La gouvernance d’une PME : règles et outils

11


L‘administration d‘un SI est considérée comme le fonctionnement d‘une série de bonnes
pratiques:
Alignement stratégique
Contrôle des coûts
Gestion de projet (voir le prochain chapitre)
Sécurité (voir le prochain chapitre)

Lectures pour le chapitre 1

1 Systèmes d'Information, Dynamique et Organisation, Economica, 2005, seconde
édition, 112 pages, (avec F. Rowe)
2 « Projet de Système d'information : Une démarche et des outils pour le chef de projet »
Alain Lecoeur et Bernard Quinio (Vuibert, Paris 2003).
3 « Contrôle et confiance dans la relation avec les prestataires de services
informatiques : les trois niveaux : Prestataire, Personnel, Prestation » ; B. Quinio et
A. Lecoeur ; RESER 2006 ; 28 au 30 septembre 2006

1.7. Exercices

12


CHAPITRE 2 : APPLICATIONS DU SI DANS LES PME


Avoir une bonne connaissance des principales applications de SI dans les PME
Pour chaque application, connaître les facteurs clés de succès
Pour chaque application, connaître les principaux produits et éditeurs
L‘utilisation des applications n‘est pas l‘objectif de ce chapitre

Contenu indicatif du chapitre

2.1. Introduction
Introduire le chapitre et insister sur le fait que tous les logiciels ne peuvent être manipulés, et
que, par conséquent, des exemples sont traités, ou des visites de sites internet sont réalisées.

2.2. Infrastructure technique du SI dans les PME
2.2.1. Point de vue technique de l’infrastructure

Le principal objectif est de définir une infrastructure technique (Complexe, simple,
système de communication) et d‘en montrer quelques représentations (diagrammes et
schémas).
Les diagrammes et les schémas peuvent être trouvés sur internet.
Cela n‘est pas réellement un cours technique (voir les pré-requis), nous n‘insisterons donc
pas sur les caractéristiques techniques, mais sur l‘utilité des outils.

2.2.2. Cartographie des applications simples

Ici sont présentées toutes les applications d‘une entreprise sous une forme simple. Les
principes de ―l‘urbanisation et le besoin d‘avoir une grande cohérence entre une importante
urbanisation et une légère urbanisation sont présentés.

2.2.3. Comment choisir entre un système ouvert et un système d’entreprises
individuelles?

Le système ouvert doit être introduit afin de présenter une réelle alternative au système de
propriété .La communauté du système ouvert est un bon exemple d‘organisation d‘un réseau
social. Le principal système des licences doit être présenté.
Le choix doit être fait en fonction de ces critères:
• Compatibilité
• Evolution
• Coût
• Risque

13


2.3. L’application du SI à la décision
La pyramide d‘Anthony est tout d‘abord introduite (niveau stratégique, niveau tactique et
niveau opérationnel) afin d‘expliquer le besoin d‘information pour prendre une décision à
chaque niveau.
Les caractéristiques de l‘information sont différentes à chaque niveau de gestion.
Le SI peut aider les managers à prendre une décision (Système Exécutif d‘Information), ou
peut prendre lui même la décision (système expert).
La nouvelle tendance du management de la connaissance est présentée.
Enfin, la business intelligence et les outils d‘analyse de données sont introduits.

2.3.1. Système exécutif d’information (SEI)

Les SEI sont faits et utilisés afin d‘aider les managers à prendre des décisions. Le fameux
modèle d‘H. Simon est expliqué afin d‘avoir quelques bases de procédés de décision.
Les SEI fournissent des informations (de l‘intérieur et de l‘extérieur de la firme) aux
managers.
Les SEI peuvent être réalisés de deux manières différentes : de haut en bas ou de bas en haut.
Les SEI sont souvent de très simples outils, comme les tableurs, et peuvent être utilisés
afin de fournir des indicateurs de performance.
L‘une des questions principales est le délai entre les faits réels et le rapport aux supérieurs
hiérarchiques.
Cela serait intéressant de présenter quelques outils tels que Business Object ou Iperion.

2.3.2. Système expert

Les systèmes experts sont des logiciels qui sont capables de prendre des décisions dans un
contexte spécial et complexe.
La description générale des systèmes experts peut être faite sans une utilisation excessive de
termes techniques.
Le principal problème est de saisir l‘expertise d‘un homme afin de la mettre dans un logiciel.

2.3.3. Management de la connaissance

Après une simple définition de la connaissance, le management de la connaissance (MC) est
présenté comme un moyen d‘accumuler les connaissances, qui sont dans l‘esprit des
employés de l‘entreprise.
Les outils utilisés sont souvent un système d‘Intranet avec une base de données.

2.3.4. La business intelligence

Le capital de connaissance joue un rôle de plus en plus important dans le succès des
entreprises et est un facteur décisif dans l‘évaluation d‘une organisation .Quelques recherches
prétendent que la quantité de données dans le monde doublent chaque année. Mais il existe
une situation paradoxale dans laquelle les informations contenues dans la multitude de
données diminuent.

14


Dans le commerce, les décisionnaires cherchent des informations commerciales cohérentes
qui peuvent être utilisées directement. Contrairement à cela, des données qui pourraient
fournir des informations uniformes, cohérentes sont souvent accessibles dans différents
endroits (dans nos propres systèmes, sur internet, sur les portails publics de service etc.), et
ce qui reste peut être stocké et accessible grâce à différentes techniques. Rendre cela
accessible relève d‘un problème technique.
Les solutions de la technologie de l‘information de l‘Informatique Décisionnelle (ID)
incluent les applications et les technologies désignées afin de fournir l‘accès aux données
nécessaires et aux connaissances cachées dans les données ou dans les bases de données, aux
managers et aux décisionnaires.

2.3.5. Analyse de données et extractions de données

Les avantages des données desquelles on souhaite extraire les connaissances à travers
l‘analyse de données/l‘extraction de données doivent être classés dans un système
électronique rationnel, organisé et bien structuré.
Dans les grandes entreprises, c‘est le stockeur de données. Un stockeur de données contient
des données détaillées et simplifiées et/ou un ensemble de données produites au sein du
système d‘organisation interne et les données provenant/collectées de sources extérieures.
Dans les PME, on trouve souvent une base de données simple mais clairement structurée
avec les principales données internes.
Les applications transformant les données en information (extraction de données) sont basées
sur ce système de données consistant. Dans les grandes entreprises, les solutions les plus
utilisées afin d‘analyser les données, basées sur la technologie de stockage de données,
sont les applications de TAEL (Traitements Analytiques En Ligne). Dans les PME, les
méthodes analytiques traditionnelles peuvent être utilisées (par exemple le SPSS, logiciel de
statistiques pour les sciences sociales) et les questions classiques de base de données (par
exemple par le « oui » dans le langage structuré de requêtes).
Un domaine typique de l‘extraction de données est l‘analyse du panier du consommateur.
Quels sont les produits que le consommateur cherche ardemment ? Y a-t-il un lien de
corrélation qui prouve que quelqu‘un achetant un produit X, achète également un produit Z ?

2.4. L’application du SI pour deux raisons principales

2.4.1. Gestion de la Relation Client (GRC)

La gestion de la relation client est un système d‘information qui traite les informations sur et
pour la gestion des clients.
La GRC est bien connue par les grandes entreprises comme les banques ou les commerces de
détail, mais il existe aussi une GRC pour les PME comme l‘entreprise Sage products.
La GRC est composée de trois parties: un bureau pour contacter et interagir avec les clients
(un centre d‘appel par exemple), une base de données pour collecter les informations, et un
bureau pour traiter les informations (automatisation du service des ventes par exemple).
Le concept récent de « Simple comme un Service » (ScS) peut être une opportunité pour les
PME d‘utiliser la GRC .On peut montrer le site du « Service des ventes » comme un exemple
de ScS.

15


2.4.2. E-business et site internet

Les sites internet sont extrêmement communs aux entreprises (PME ou grandes entreprises),
mais l‘on doit insister sur deux choses. Tout d‘abord, un simple site informatif n‘est plus un
avantage compétitif pour une entreprise, les sites internet doivent interagir avec les clients. De
plus, l‘objectif est de réaliser une véritable « chaîne de vente » en utilisant les technologies
d‘internet.
Une comparaison de quelques sites de PME pourrait être très utile afin de souligner les
principales caractéristiques d‘un bon site internet pour une PME.

2.4.3. Gestion de la Chaîne d’Approvisionnement (GCA)

La gestion de la chaîne d‘approvisionnement inclut la planification et la gestion de toutes les
activités nécessitant l‘approvisionnement, la procuration, la conversion, et la gestion
logistique des activités. Cela inclut également la coordination et la collaboration avec les
partenaires des canaux, qui peuvent être des fournisseurs, des intermédiaires, un quelconque
prestataire de service, ou un client.
La gestion de la chaîne d‘approvisionnement et la logistique doivent être distinguées.
La GCA est basée sur deux flux: un du client vers le fournisseur (pour saisir les besoins du
consommateur) et du fournisseur au consommateur pour gérer la production et la
distribution.

2.5. L’application du SI à l’intégration
2.5.1. Au sein de la firme : La Gestion des Ressources de l’Entreprise (GRE)

Les GRE sont parmi les logiciels les plus présents dans tout type
d‘entreprise.La définition de GRE est donnée, et ensuite la structure d‘une
GRE est décrite (base de données et les différents modules).
La GRE pour les PME constitue une version spéciale de la GRE pour les grandes entreprises
(comme SAP) ou pour les entreprises spécifiques (comme Navision de Microsoft).
Pour une organisation, l‘instrumentalisation de la GRE est toujours un grand défi, et un projet
très risqué.

2.5.2. En dehors de l’entreprise: L’Echange de Données Electroniques (EDE)

L‘échange de données électroniques consiste en un assortiment de critères ayant pour but de
structurer les informations qui doivent être échangées électroniquement entre et au sein des
entités commerciales, gouvernementales, des organisations et des autres groupes.
Les critères décrivent les structures des documents, par exemple les commandes d‘achat, afin
d‘automatiser les achats.
Il existe en réalité beaucoup d‘EDE, et cela est une réelle difficulté pour les entreprises.
Le plus souvent, les EDE sont imposés aux PME par les gros clients (comme la
distribution), et cela nécessite un système assez coûteux.

16


De nouveaux types d‘EDE sont développés avec des outils internes et le langage à balises
extensibles : le commerce électronique en langage de balisage extensible.

2.5.3. En dehors de l’entreprise : Le marché de l’e-business

Les marchés de l‘e-business sont des systèmes qui peuvent connecter les clients et les
fournisseurs sur une même plateforme. Ce sont des marchés B2B et B2C (comme eBay).
Sur un marché électronique, le client peut trouver un produit ou un service, choisir le
fournisseur, faire une offre et même payer le produit.
Les marchés verticaux (pour l‘industrie automobile par exemple) et horizontaux (achat sur
internet par exemple) peuvent être distingués.
Le modèle commercial de tels marchés doivent être expliqués afin de comprendre pourquoi
certains d‘entre eux connaissent un réel succès et d‘autres un véritable échec.


Laudon • Laudon (2006) Management Information Systems, 9/e, Pearson prentice hall

2.6. Exercices

17


CHAPITRE 3 : GESTION DE PROJET


Comment gérer le projet d‘un système d‘information
Comment appliquer les outils de la gestion de projet
L‘analyse du risque est traitée dans la partie sur le management du risque


3.1. Introduction
Introduire le chapitre et exposer la gestion de projet comme partie intégrante du management.
Introduire les deux principales associations professionnelles : L‘Institut de la Gestion de
Projet (IGP) et l‘Association Internationale de Gestion de Projet (AIGP)
Présenter les processus de certification pour les managers.

3.2. Définition des principaux concepts de la gestion de projet
La gestion de projet et la direction du projet, les objectifs d‘un projet, structure de l‘équipe de
projet.
Le dictionnaire proposé par les associations internationales peut être ici utilisé.
Application de ces concepts au projet du SI.

3.3. Comment préparer un projet ?
3.3.1. Préciser les objectifs du projet : Pourquoi et où agissez-vous

Un projet de SI doit être rattaché à des objectifs clairs, et chaque objectif doit être contrôlé par
des indicateurs.
Beaucoup de personnes (au sein et en dehors de l‘entreprise) peuvent être concernées par le
projet. On parle ici des intervenants.
Le nombre et les besoins de chaque intervenant doit être défini précisément au début du
projet.

3.3.2. Identifier le type de solutions : Comment agissez-vous ?

Afin de préparer le projet, le type de solution doit être rapidement trouvé (un ensemble de
logiciel, développement et externalisation) et non la solution détaillée.

18


3.3.3. Identifier les ressources humaines et techniques: Avec qui agissez-vous et que
faîtes-vous ?

Les principales ressources dont on a besoin afin de mener à bien le projet sont ensuite
définies.
Le manager du projet est responsable du budget et des ressources utilisées.
Les ressources doivent être disponibles au bon moment et au bon endroit.

3.4. Comment établir le projet ?
Les principales manières de structurer le projet sont ici présentées:
Structure de découpage du projet (SDP)
Structure de décomposition d‘un produit (SDP)
Organisation de la structure de décomposition (OSD)

3.5. Comment gérer un projet?
3.5.1. La direction de projet

La ―direction de projet regroupe tout le travail de gestion d‘un projet:
1 Recrutement des membres de l‘équipe
2 Négociation avec les fournisseurs
3 Gestion des conflits
4 Motivation de tous les intervenants

Ces tâches sont difficiles à enseigner mis à part en étudiant des études de cas.

3.5.2. La gestion de projet

La gestion de projet regroupe un grand nombre de tâches comme: prévision, gestion du
risque, contrôle des coûts, estimation, et gestion du changement.
La prévision, le contrôle des coûts et la gestion du changement sont uniquement présents
dans ce cours.

3.5.2.1. La prévision (Pert and Gantt)
Les principaux principes utilisés pour faire des prévisions sont présentés (Pert or Gantt).
On propose ici d‘utiliser des outils de l‘Open Source community comme le ―Gantt
Project . Cette partie doit être enseignée à l‘aide de quelques exercices.
Le concept de chemin critique et de marge d‘une activité sont utilisés.

3.5.2.2. Le budget et le contrôle des coûts
Le budget d‘un projet est composé d‘investissements et de coûts d‘exploitation.
L‘investissement est composé de journées de travail à la fois simples et difficiles pour
l‘équipe de projet.

19


Ce budget est réalisé au début du projet et est ensuite actualisé pendant la réalisation de
celui-ci.
On présente les principes du contrôle de coûts pour la gestion de projet : prévision,
estimation et réalisation.
Quelques exercices doivent être réalisés concernant ce sujet.

3.5.2.3. La gestion du changement et facteurs humains
Un système d‘information est réalisé afin d‘être utilisé par les employés de l‘entreprise pour
une longue période (on l‘espère).
Mais la mise en place du système nécessite des changements dans l‘organisation et dans le
comportement des utilisateurs.
Ces changements doivent être réalisés à l‘aide d‘une réelle gestion du changement
composée de :
1 Entraînement
2 Encadrement
3 Communication à tous les niveaux du projet

3.6. Comment mettre en place et utiliser les résultats du projet ?
La mise en place d‘un nouveau système d‘information peut être réalisée d‘un coup ou petit à
petit en utilisant l‘ancien et le nouveau système parallèlement.
La mise en place commence avec le test final. Les différents niveaux du test doivent être
expliqués.


1 « Projet de Système d'information : Une démarche et des outils pour le chef de projet »
Alain Lecoeur et Bernard Quinio (Vuibert, Paris 2003).
2 Site du « Project management Institute »
3 Site de l‘« International Project Management Association »

3.7. Exercices

20


CHAPITRE 4 : SECURITE ET CONTROLE DU SI


Comment appliquer les règles de sécurité et les outils dans une PME ?
Comment trouver les informations et les conseils à propos de la sécurité ?


4.1. Introduction
Les termes sécurité d‘information, sécurité de l‘ordinateur et promesse d‘information sont
fréquemment utilisés pour adresser la protection des données à une entreprise.
Quand on parle de la sécurité des informations, on doit être conscient que, de nos jours, le
succès et la survie des organisations dépendent de plus en plus du succès de l‘implantation
d‘outils informatiques. Ni le temps, ni la distance ne peut limiter les échanges d‘informations.
Pour de nombreuses organisations, les informations et la technologie utilisées pour les traiter
sont les biens ayant le plus de valeurs. Les informations électroniques et les systèmes
informatiques jouent un rôle significatif en supportant les processus clés du commerce.
Pendant ce temps, la vulnérabilité des organisations continue de croître. Ce n‘est pas
uniquement l‘accessibilité des informations mais également la menace qui devient mondiale
avec internet.
La confidentialité, l‘intégrité et la disponibilité (connu comme le triptyque de la CIA) sont les
principes clés du système d‘information .On peut également y ajouter l‘authenticité et le non-
rejet.
1 La confidentialité est la propriété de la divulgation préventive des informations afin de
contrer les individualismes ou les systèmes.
2 L‘intégrité signifie que les données ne peuvent être modifiées sans autorisation.
3 Une grande disponibilité signifie que toutes les informations doivent être disponibles
quand on en a besoin.
4 Une forte authenticité signifie que le créateur d‘une donnée est clairement
identifié.
5 Le non-rejet implique qu‘une partie de la transaction ne peut être niée une fois
reçue, et que l‘autre partie ayant envoyée la transaction ne peut la nier.

4.2. Règles de sécurité: strictes, indulgentes et l’organisation
Les règles de sécurité sont réalisées afin de garantir les principes clés de la sécurité. Il existe
toujours trois sortes de règles : strictes, indulgentes et organisationnelles.
• Les règles strictes contrôlent les moniteurs et contrôlent l‘environnement de
l‘espace de travail ainsi que le matériel informatique.
• Les règles plus indulgentes utilisent les logiciels et les données pour surveiller et
contrôler l‘accès aux informations et aux systèmes électroniques.

21


• Les contrôles de l‘organisation (également appelées contrôles de procédure) consistent
en l‘approbation de politiques écrites, de procédures, de critères et de directives.

Concernant la confidentialité, des exemples de règles sont :
• Strictes : protéger les ordinateurs portables avec des antivols
• Indulgentes : avoir un bon mot de passe
• Organisationnelles : ne pas parler d‘informations confidentielles au téléphone
dans le train

Concernant l‘intégrité, des exemples de règles sont :
• Strictes : ne pas autoriser l‘accès physique d‘un ordinateur pour une personne
extérieure à l‘entreprise
• Indulgentes : avoir un bon système de contrôle d‘accès
• Organisationnelles : expliquer à tous les utilisateurs l‘importance de la qualité des
données

Concernant la disponibilité, des exemples de règles sont :
• Strictes : avoir des ordinateurs équipés du système RAID
• Indulgentes : avoir des protections contre des attaques du service
• Organisationnelles : enseigner aux utilisateurs de ne pas lancer des programmes
lourds quand les ordinateurs sont occupés par un traitement périodique (registre
de salaires par exemple)

4.3. Facteurs humains de sécurité
Chaque problème technique ne sera pas utile si les utilisateurs ne sont pas conscients des
problèmes de sécurité ainsi que de leurs impacts. Tous les salariés sont concernés par la
sécurité, et pas uniquement les managers.
Un employé de l‘entreprise (même dans une PME) doit être responsable de la sécurité des
informations, ainsi que d‘informer et d‘enseigner cela à tous les membres de l‘organisation.
Certaines menacent proviennent directement des facteurs humains :
Pirate informatique
Un pirate informatique est une personne recherchant les failles de la sécurité dans les
systèmes de technologie de l‘information. Ce ne sont pas nécessairement des experts
malveillants. Ils conseillent souvent le propriétaire du système concernant les défauts
qu‘ils ont détectés, rendant leur réparation possible. Cependant, un pirate cause des
dommages : il vole des données, fait du chantage, etc.

Les pirates néophytes
Les pirates informatiques créer leurs outils grâce à leurs grandes compétences. Un pirate
néophyte cherche ces outils, utilisés par exemple afin de s‘introduire dans des systèmes, et
commence à essayer de trouver les endroits où il pourrait les utiliser avec succès. Ils
réussissent souvent et peuvent rendre les systèmes inutilisables.
L‘employé victime

22


Les employés sont extrêmement exposés. La loyauté à l‘égard des employés diminue. Le
nombre d‘atteintes internes réalisées afin de compromettre la technologie de sécurité des
informations augmente.

4.4. Attaques internes et externes
Les menaces techniques sont liées à l‘équipement informatique, incluant à la fois les
éléments des logiciels et du matériel informatique. Les moyens d‘attaquer deviennent de plus
en plus automatisés .Ils deviennent de plus en plus élaborés et sont donc de plus en plus
difficilement reconnaissables.

Les défaillances
La complexité des programmes croît rapidement. Dans certains cas, les programmes peuvent
consister en des dizaines de millions de lignes. Naturellement, cela implique une
augmentation du nombre potentiel de défaillances. Le risque qui en suit est que le
programme ne réalise plus la fonction pour laquelle il avait été conçu, et donc qu‘il s‘en suive
une perte d‘informations et/ou que certaines défaillances puissent être utilisées comme des
défauts de la sécurité.

Virus informatiques
Ce sont des programmes présents sur un ordinateur sans que son utilisateur en soit
conscient, et qui commencent à agir sans que l‘utilisateur ne soit au courant. Ils
réalisent deux fonctions : infecter, c‘est-à-dire qu‘ils se propagent, ils s‘assurent de leur
future expansion, alors que leur autre caractéristique est qu‘ils réalisent une certaine tache.
Les anciens virus endommagent souvent les informations en effaçant par exemple des
fichiers. La dernière tendance, d‘autre part, est d‘obtenir plus de contrôle et d‘utiliser
illégalement ces informations.

Les vers des ordinateurs
Ils sont liés aux virus informatiques. Alors que les virus sont activés par l‘intervention
humaine, cela n‘est pas nécessaire pour les vers. Mis à part cela, ils agissent de la même
manière que les virus. Ils causent souvent des surcharges qui rendent les systèmes
inutilisables (panne du service). Ils empêchent les informations ou les services de parvenir à
l‘utilisateur autorisé. Les vers consument les ressourcent de l‘ordinateur. Le « ping de la
mort » est un exemple de paquet surdimensionné.

Les systèmes de réseaux mondiaux offrent une excellente opportunité pou l‘expansion de ces
deux maux.

Les chevaux de Troie
Ce sont souvent des parties de virus ou de vers. Leur caractéristique principale est que, dans
tous les cas, ils créent un détour de sécurité pour leurs créateurs et leurs distributeurs grâce
auxquels ils peuvent intervenir de l‘extérieur dans les opérations du système.

23


Attaques brutales
Leur objectif est de décrypter le système ainsi que les mots de passe de l‘utilisateur. Des
milliers de combinaisons de mots et de caractères sont créés par les outils des logiciels.
L‘utilisation mondiale d‘internet a réellement augmenté la possibilité d‘attaques extérieures
dans le système d‘information.
Les protections minimales pour une PME sont :
1 Un pare-feu tels que ceux proposés par Microsoft ou une alarme en zone
2 Un logiciel espion
3 Un antivirus

Ces logiciels doivent être mis à jour tous les jours afin d‘être efficaces.
Dans la plupart des PME, la protection externe est gérée par un prestataire de services et
l‘entreprise doit examiner sa part de responsabilité en cas de catastrophe.
Les attaques internes sont fréquentes et la protection la plus efficace est la gestion humaine
et la traçabilité du système.

4.5. Loi et normes et authentification pour la sécurité informatique
La directive de protection des données de l‘Union Européenne (DPDUE) exige que tous les
membres de l‘UE doivent adopter des règles nationales afin de standardiser la protection des
données privées pour les citoyens européens.
En France, la CNIL (Commission Nationale de l‘Informatique et des Libertés) est responsable
des lois les plus importantes concernant la sécurité et la confidentialité des systèmes
d‘information.
Le Computer Misuse Act 1990 est une loi du parlement britannique faisant des délits
informatiques un acte criminel (par exemple le piratage informatique).
L‘organisation Internationale de Normalisation (OIN) est un consortium de critères nationaux
instituée par 157 pays et dont le secrétariat central qui coordonne le système se trouve à
Genève en Suisse. L‘OIN est le plus grand éditeur de standards au monde. L‘ISO-15443:
"Technologie de l‘information – Techniques de sécurité – Une structure pour la garantie de la
sécurité en informatique , ISO-17799: "Technologie de l‘information – Techniques de
sécurité – Code de pratique pour la gestion de la sécurité des informations ", ISO-20000:
"
Technologie de l‘information – Techniques de sécurité ", et ISO-27001: " Technologie de
l‘information – Techniques de sécurité – Systèmes de gestion de la sécurité des informations"
sont d‘un intérêt particulier pour les professionnels de la sécurité des informations.
La certification professionnelle internationale en sécurité des systèmes d‘information est une
certification de la sécurité des informations de niveau moyen, voire bon. Les systèmes
d‘information et de sécurité professionnels de l‘architecture, les systèmes d‘information et de
sécurité professionnels de l‘ingénierie, les systèmes d‘informations et de sécurité
professionnels de la gestion, et la certification des gestionnaires de la sécurité des
informations sont bien respectés et donnent respectivement des certifications dans la sécurité
des informations en architecture, en ingénierie, et en gestion

24


4.6. Sauvegarde de données et de logiciel
Pour les entreprises, la protection la plus importante contre les catastrophes liées aux systèmes
d‘information est d‘avoir un système de sauvegarde bien structuré.
Un système de sauvegarde pertinent doit être :
1 Automatique
2 Fréquent
3 En double
4 Souvent testé
Beaucoup de fournisseurs proposent des systèmes de sauvegarde isolés.

4.7. Redémarrer et maintenir l’activité
La continuité du commerce est le mécanisme par lequel une organisation continue d‘opérer,
alors que son commerce peine, pendant des périodes de perturbations prévues ou non, et qui
affectent les opérations normales de ce commerce, en utilisant des procédures planifiées et
gérées.
La Planification Continue des Affaires (PCA) est préparée afin de réduire les coûts de reprise
des affaires. La PCA contient la réponse à une liste de questions telles que :
1 Si une catastrophe arrivait, quelles seraient les toutes premières choses que je devrais
faire en premier?
2 Quelle partie de mon travail devrais-je tout d‘abord reprendre?

4.8. Utilisation du contrôle de l’information et des technologies associées et de
la bibliothèque pour l’infrastructure des technologies de l’information
dans les PME
La gestion des technologies de l‘information devient de plus en plus importante au sein de la
gestion de l‘entreprise. La gestion des technologies de l‘information est une structure de la
gestion de l‘entreprise et du contrôle des relations, et agit de façon à ce que son objectif soit
l‘accomplissement des objectifs de l‘entreprise, en y ajoutant une plus value, et, en même
temps, en pesant les risques et les avantages offerts par les outils informatiques.
Le management doit développer un système de contrôle qui soutienne les processus du
commerce. Cependant il faut clarifier ce que font les activités et en quoi elles contribuent à la
réalisation des besoins relatifs aux informations et, à travers cela, à la réalisation des
objectifs du commerce.
Afin d‘atteindre une uniformité, des ensembles de règles internationales ont été mis en place
(par exemple le contrôle de l‘information et des technologies associées) qui résument les
critères concernant les informations tout comme les principes de mesure de la qualité de leur
réalisation. Afin de réaliser cela, les facteurs de succès, les indicateurs d‘objectifs et de
performance ont été définis, la valeur de ceux qui servent à l‘évaluation de la qualité du
fonctionnement des technologies de l‘information et de l‘ajustement des mesures de
correction nécessaires.
Afin d‘améliorer la sécurité des systèmes d‘information, les PME peuvent utiliser une
méthodologie plus dure comme celle du contrôle de l‘information et des technologies
25


associées ou de la bibliothèque pour l‘infrastructure des technologies de l‘information, qui ont
récemment été adaptés pour les PME.

1 Site du « Clusif »
2 Site de l‘« Information Systems Security Association »

4.9. Exercices

26


II. MANAGEMENT DU RISQUE

CHAPITRE 1 : LES OBJECTIFS DE L’ACQUISITION DES
CONNAISSANCES DU MANAGEMENT DU RISQUE


Avoir une parfaite connaissance des objectifs du management du risque et des problèmes
qu‘il soulève.


1.1. Introduction
Le concept du management du risque qui est présenté est basé sur le travail du comité des
organisations de sponsoring (COS) sur le management du risque et du contrôle interne en
entreprise - La structure intégrée et le matériel d‘entraînement renvoient directement à
quelques parties du sommaire et aux techniques d‘application des documents du COS.

1.2. Objectifs généraux
L‘introduction sous-jacente du management du risque en entreprise est que chaque entité
existe afin de fournir de la valeur aux intervenants. Toutes les entités font face à
l‘incertitude et le défi de la gestion est de déterminer quel degré d‘incertitude il faut afin
d‘accepter à quel point il s‘efforce d‘augmenter la valeur des intervenants. L‘incertitude
présente à la fois un risque et une opportunité, avec le risque de détériorer ou
d‘améliorer la valeur. Le management du risque en entreprise rend le management
capable de gérer efficacement l‘incertitude, le risque associé et les opportunités, en
améliorant la capacité de produire de la valeur.

1.3. Description des principaux problèmes
La valeur est maximisée quand le management met en place des stratégies et des objectifs afin
d‘atteindre une balance optimale entre la croissance et les objectifs et les risques relatifs, et de
déployer de manière efficace les ressources dans la poursuite des objectifs des entités. Le
management du risque englobe en entreprise :
- Faire concorder le niveau de prise de risque et la stratégie – Le management
considère le niveau de prise de risque de chaque entité en évaluant les alternatives
stratégiques,en mettant en place des objectifs liés, et en développant les mécanismes
afin de gérer les risques relatifs à cela.

27


- Améliorer les réponses aux risques – Le management du risque en entreprise fournit la
rigueur permettant d‘identifier et de sélectionner une réponse parmi les réponses
alternatives aux risques – éviter les risques, les réduire, les partager et les accepter.
- Réduire les surprises et les pertes opérationnelles – Le gain en entité améliore la
capacité d‘identifier les évènements potentiels et d‘établir des réponses, en
réduisant les surprises ainsi que les coûts et les pertes qui y sont associés.
- Identifier et gérer les multiples risques croisés en entreprise – Chaque entreprise fait
face à une myriade de risques affectant différentes parties de l‘organisation, et le
management du risque en entreprise facilite les réponses efficaces aux impacts qui y
sont liés, ainsi que les réponses intégrées à ces multiples risques.
- Saisir les opportunités – En considérant un grand nombre d‘évènements potentiels, le
management est positionné afin d‘identifier et de réaliser les objectifs de manière
dynamique.
- Améliorer l‘augmentation du capital – Obtenir des informations importantes
concernant les risques permet au management d‘évaluer de manière efficace tous les
besoins en capital et d‘améliorer la répartition du capital.

1.4. Pourquoi la gestion du risque est utile aux PME ?
Ces capacités inhérentes au management du risque en entreprise aident la gestion à réaliser les
performances de chaque entité ainsi qu‘à atteindre les cibles des bénéfices et à éviter les
pertes de ressources. Le management du risque en entreprise aide à s‘assurer de l‘efficacité
de la couverture et de la conformité vis-à-vis des lois et des règles, et aide à éviter les
dommages pour la réputation des entités, ainsi que les conséquences qui y sont associées.
Pour résumer, la gestion du risque en entreprise aide une entité à atteindre ce qu‘elle veut
et à éviter les écueils et les surprises tout au long du chemin.
Les événements peuvent avoir un impact négatif, positif ou bien à la fois positif et négatif.
Les événements qui ont un impact négatif représentent un risque, qui peut empêcher la
création de valeur ou la dégradation de valeurs déjà existantes. Les évènements qui ont un
impact positif peuvent compenser les impacts négatifs ou représenter des opportunités. Les
opportunités sont la possibilité qu‘un évènement se produise et affecte de manière positive la
réalisation des objectifs, en supportant la création de valeurs ou la préservation de celles-
ci. La gestion des opportunités liées aux canaux revoit ses stratégies ainsi que la mise en
place des objectifs, en formulant des prévisions afin de saisir les opportunités.



1.5. Exercices

28


CHAPITRE 2 : CONCEPTS FONDAMENTAUX DU


Avoir une connaissance parfaite des concepts du management du risque


2.1. Définition du management du risque en entreprise
Le management du risque en entreprise est un processus, établi par le conseil d‘administration
d‘une entité, par la gestion et par d‘autre personnel, appliqué dans la mise en place d‘une
stratégie, à travers l‘entreprise, désigné pour identifier des événements potentiels qui
pourraient affecter cette entité, et gérer le risque de se retrouver au sein même de cette
prise de risque, afin de fournir une garantie raisonnable envers la réalisation des objectifs
de l‘entité.
La définition reflète certains concepts fondamentaux:
- Un processus en cours et qui fait partie intégrante d‘une entité
- Etabli par des gens à chaque niveau d‘une organisation
- Appliqué dans la mise en place d‘une stratégie
- Appliqué à travers les entreprises, à chaque niveau et à chaque unité, et incluant de
prendre en considération le risque du portefeuille du niveau de l‘entité

2.2. Types de risques
Les types de risques dépendent beaucoup du secteur, du type d‘entité et de sa taille, des
facteurs géographiques et culturels. Le concept de la Gestion du Risque en Entreprise (GRE)
s‘applique aux risques basés sur un événement potentiel externe ou interne qui pourrait
affecter de manière significative la réalisation des objectifs organisationnels et opérationnels.
Le terme de risque inhérent est utilisé pour les risques concernant une entité en l‘absence de
quelque action que le management pourrait considérer comme étant une réponse. Le terme de
risque résiduel est utilisé pour les risques qui restent comme étant le résultat d‘une réponse du
management (contrôle). Le management du risque en entreprise devrait être considéré comme
étant à la fois un risque inhérent et résiduel.
On utilise également le terme de risque de contrôle en ce qui concerne les événements
qui peuvent faire que les résultats prévus par une ou plusieurs procédures de système de
contrôle ou même d‘activités de contrôle ne soient pas réalisés, à savoir que les risques
résiduels ne soient pas au-dessus de la valeur projetée (du niveau de la prise de risque).



29



2.3. Exercices

30


CHAPITRE 3: REALISATIONS DES OBJECTIFS LIES DES
ENTITES


Savoir comment lier les différents objectifs du management du risque


3.1. Catégories d’objectifs
Au sein du contexte d‘une mission ou d‘une vision établie par une entité, le management
met en place des objectifs stratégiques, sélectionne une stratégie, et met en place des
objectifs liés qui rejaillissent au sein de l‘entreprise. La structure du management du
risque en entreprise est développée afin de réaliser les objectifs d‘une entité, qui tiennent
dorénavant en quatre catégories :
- Stratégique – des objectifs difficiles, qui s‘alignent sur la mission tout en la
soutenant - Opérations – utilisation efficace de ses ressources
- Couverture – fiabilité de la couverture
- Conformité – conformité aux lois et aux règles.

3.2. Mise en place d’objectifs
La mise en place d‘objectifs est appliquée quand le management prend en considération la
stratégie d‘une entité dans la mise en place d‘objectifs. Cela constitue le niveau de prise de
risque de l‘entité — une grande considération de ce que risque le management et le conseil
(de surveillance) est une volonté d‘accepter la stratégie qui les concerne – et la tolérance du
risque – le niveau d‘acceptation de la variation autour des objectifs des entités situés au même
niveau que celui de la prise de risque.

3.3. L’identification d’évènements
L‘identification d‘évènements implique l‘identification de ces incidents, qui ont lieu de
manière interne et externe, et qui peuvent affecter la stratégie et la réalisation des objectifs. Il
montre comment les facteurs internes et externes combinent et interagissent afin
d‘influencer le profil du risque.

3.4. Evaluation du risque
L‘évaluation du risque permet à une entité de comprendre à quels évènements potentiels ses
objectifs peuvent être confrontés. Cela évalue les risques selon deux perspectives :
- Sa probabilité

31


- Son impact

3.5. Réponses au risque
Les réponses potentielles aux risques doivent être identifiées et évaluées. Pendant
l‘évaluation la prise de risque de l‘entité doit être prise en considération, et les réponses
potentielles au risque sont comparées par rapport à l‘analyse des coûts et des bénéfices et à
l‘importance de la manière dont les réponses potentielles diminuent l‘impact et/ou les
chances.


3.6. Exercices

32


CHAPITRE 4 : COMPOSANTES DU MANAGEMENT DU
RISQUE


Savoir comment lier les différentes composantes du management du risque


4.1. Relation entre les composantes et les objectifs
La gestion du risque en entreprise consiste en huit composantes liées entre elles. Elles
dérivent de la manière dont le mangement dirige une entreprise et sont intégrées aux
procédés du management. Ces composantes sont :
- L‘environnement interne
- Mise en place d‘objectifs.
- L‘identification d‘évènements.
- L‘évaluation du risque
- Le risque
- Le contrôle des activités.
- L‘information et la communication
- La surveillance.

La relation entre les objectifs et les composantes est représentée dans une matrice en trois
dimensions, sous la forme d‘un cube. Les quatre catégories d‘objectifs – stratégique,
opérations, couverture, et conformité – sont représentées par des colonnes verticales, les huit
composantes par des rangées horizontales, et une unité d‘entité par la troisième dimension.

4.2. Efficacité et limitations du management du risque

Déterminer si le management du risque en entreprise d‘une entité est ―efficace est un
jugement qui résulte d‘une évaluation, à savoir si les huit composantes sont présentes et
fonctionnent bien. Ainsi, les composantes sont également des critères pour l‘efficacité de la
gestion du risque en entreprise. Pour les composantes, le fait d‘être présentes et de bien
fonctionner ne peut pas être une faiblesse matérielle, et le risque pris doit être inclut au sein
de la prise de risque de l‘entité

4.3. Intégration des contrôles internes
Le système des contrôles internes fait partie intégrante du management du risque en
entreprise. La structure de ce management du risque en entreprise englobe le contrôle
interne, le fait de former une conceptualisation plus solide, ainsi que les outils de gestion. Le
contrôle interne est définit et décrit dans Contrôle Interne – Structure Interne. Comme cette

33


structure a résisté au temps et qu‘elle est la base des règlements existants, des règles, et des
lois, ce document reste en place comme étant la définition de la structure du contrôle
interne. Alors que seulement des parties du texte Contrôle Interne – Structure Intégrée sont
reproduites dans cette structure, sa totalité y est incorporée en tant que référence.



4.4. Exercices

34


CHAPITRE 5 : EVALUATION DES CAPACITES DU


Comment évaluer les capacités du management du risque


5.1. Le Comité d’organisation du Sponsoring (COS) comme modèle de
référence applicable
Le procédé de modèle de référence basé sur les conseils du COS en 2006 associé au procédé
qui attribut les standards définis dans l‘ISO/IEC 15504-2, fournit une base commune pour
l‘évaluation des performances du management du risque, de la capacité du processus de
contrôle interne et du rapport des résultats en utilisant une échelle commune de taux.
Le modèle d‘évaluation du processus définit un modèle en deux dimensions des capacités du
processus. Dans une dimension, la dimension du processus, les procédés sont définis et
classés en catégories de procédés. Dans l‘autre dimension, la dimension des capacités, une
série de caractéristiques des procédés ; groupée en niveau de capacité, est définie. Les
caractéristiques des procédés fournissent des caractéristiques mesurables de la capacité du
processus.

5.2. Elaboration des objectifs des entités en niveaux de capacité
Le modèle du COS identifie cinq niveaux de capacité.

Niveau 1 – La conformité (Processus accompli)
Le processus de contrôle interne existe et réalise tous les résultats définis et suit toutes les
règles internes et externes qui sont utiles.

Niveau 2 — Compte-rendu fiable (Processus réalisé)
Le processus accompli décrit ci-dessus est désormais exécuté d‘une manière contrôlée (prévu,
surveillé et ajusté) et les fruits de son travail sont établis de manière judicieuse, sont
contrôlés, et sont maintenus.

Niveau 3 — Opération efficace (Processus établi)
Le processus réalisé décrit ci-dessus est désormais exécuté et utilise un procédé capable de
réaliser ses résultats en cours.

Niveau 4 – Objectifs stratégiques (Processus prévisible)
Le processus établi décrit ci-dessus fonctionne désormais dans le cadre des limites établies
afin de réaliser ses résultats en cours.

35


Niveau 5 - La gestion du risque est optimisée

5.3. Promesses et engagements de consultation de l’audit
L‘interprétation traditionnelle basée sur les systèmes d‘audit est conduite par les systèmes qui
sont actuellement en place, et les contrôles sont liés à cela. Cela suppose que les contrôles en
place couvrent tous les risques et se fient fréquemment aux « questionnaires de contrôle
interne », qui sont des documents standards qui sont utilisés dès qu‘un audit est réalisé. Les
risques basés sur les audits des experts attirent l‘attention sur le danger de ces
questionnaires qui les comparent à l‘approche basée sur les risques.



5.4. Exercices

36


C) SPECIFICATIONS NATIONALES

1. FRANCE
Réalisé par B. Quinio

1.1. Gestion du système d’information
1.1.1. Chapitre 1 Organiser et diriger le Système d’Information (SI) dans une PME

Caractérisation des fournisseurs d’information
Les prestataires de service en système d‘information sont définis par le code NAF 72, mais
également 642A et 642B. Quelques « agences en ligne » sont définies par les codes
744B,921B et 921G. On peut également tenir compte de la classification SYNTEC.

Lecture pour le chapitre 1:
http://www.syntec.fr/

1.1.2. Chapitre 2 Applications du SI dans une PME

Au sein de la firme: Planification des ressources de l’entreprise (PRE)
En France, on peut étudier le groupe Cegid. (http://www.cegid.fr/)

Echange de données électroniques (EDE)
En France on peut étudier l‘organisme GS1.(http://www.gs1.fr/)

Lectures pour le chapitre 2:
http://www.edifrance.org/

1.1.3. Chapitre 3 Gestion de projet

Définition des principaux concepts de la gestion de projet
En France, on utilise les concepts de ―maîtrise d‘ouvrage et de ―maîtrise d‘œuvre , cela
doit être clairement expliqué.

Planification (Pert and Gantt)
On peut utiliser le projet de Gantt qui est un logiciel gratuit pour tout le monde.

http://www.managementprojet.com
http://www.afitep.fr/
http://www.clubmoa.asso.fr/

37


1.1.4. Chapitre 4 Sécurité et contrôle du SI

Règles de sécurité: strictes, indulgentes, et organisation
On peut expliquer et développer la méthode Mehari du CLUSIF. Celle-ci est très claire et très
bien présentée sur son site internet.

Utilisation du Contrôle de l'Information et des Technologies Associées pour les PME
(CITA)
Pour l‘utilisation du CITA, les outils proposes par l‘AFAI peuvent être utilisés.

Lois pour la sécurité informatique
En France les lois concernant l‘informatique sont principalement définies par la CNIL.

http://www.clusif.asso.fr/
http://www.afai.asso.fr/
http://www.cnil.fr/

1.2. Management du risque
Lectures pour ce module:
Management du risque. Approche globale. AFNOR. 2002. ISBN 2-12-169211-8
100 questions pour comprendre et agir. Gestion des risques. Jean-Paul Louisot. AFNOR et
CARM Institute (Cercle des Affaires en Risk Management). ISBN 2-12-475087-9
Prévenir les risques. Agir en organisation responsable. Andrée Charles, Farid Baddache.
Editions AFNOR. 2006. ISBN 2-1247-5519-6.
Guide Pratique des captives d‘assurance et de réassurance. 2007 Collection AMRAE
www.amrae.fr .ISBN 22523

38


2. ALLEMAGNE
Réalisé par G. Prause

2.1. Systèmes d’information et management du risque
L‘Allemagne a un grand attrait pour les solutions technologiques évoluées. Les SI sont bien
enracinés dans les grandes compagnies et dans beaucoup de PME, ce qui force ceux qui ne les
utilisent pas à adopter des critères récents afin de prouver leurs capacités. La gestion et la
surveillance des SI intra- et inter-entreprise devient un objectif majeur afin de rester efficace,
d‘extraire des informations valables de la gestion des systèmes basés sur les SI, et de les
regrouper pour encourager la décision à l‘origine du processus. Dans un environnement
commercial concurrentiel et qui change rapidement, avoir des informations les plus récentes,
justes et compréhensibles possibles à propos de l‘état actuel d‘une entreprise est un facteur
clé de succès.
La complexité croissante des SI et la tendance à un environnement interconnecté de manière
globale doit être prise en compte lorsque l‘on s‘intéresse au management et à la sécurité
des SI. Les lois et les critères qui régulent l‘accessibilité, la disponibilité et le stockage des
informations pour l‘accès des autorités sont des sujets importants qui ont besoin d‘être
abordés.

Traditionnellement, le coeur de l‘économie allemande réside dans les PME qui ont évolué au
sein d‘un environnement relativement bien structuré, protectionniste et permettant d‘éviter les
risques. Les PME allemandes ont besoin de s‘adapter à une nouvelle situation , de faire face
à un environnement commercial international complexe et fluctuant, et à des dangers et des
risques variés, particulièrement lors de la dernière décennie, ceci étant due à une situation
nationale et internationale de plus en plus compétitive. Le management du risque doit
particulièrement intégrer plus de facteurs qui indiquent les aspects d‘incertitude causés par les
différentes cultures commerciales. Le niveau de prise de risque doit être ajusté à un
environnement commercial bien spécifique, prenant en compte les facteurs internes et
externes équilibrés.

39


3. HONGRIE
Préparé par A. Jânosa and J. Ivanyos

3.1. Gestion des systèmes d’information
Le responsable hongrois du projet a supervisé le contenu du module et accepté dès lors que la
structure de la gestion des systèmes d‘informations soit indépendante des caractères nationaux
actuels hongrois.
D‘autre part, on pourrait mettre l‘accent sur l‘habile sélection des exercices et des études
de cas qui illustrent et encouragent une meilleure compréhension du sujet.

Evaluer le rapport financier des risques
- une méthodologie développée par les experts hongrois –

Les problèmes de capacité sont devenus, aux yeux du management, le principal coût de
conformité des activités de préparation et attirent l‘attention sur la durabilité et de la valeur
ajoutée commerciale de tels efforts. La réponse à ce défi a été trouvé en utilisant le critère
d‘évaluation du procédé ISO/IEC 15504, et son concept de modèle d‘évaluation applicable aux
managers, aux auditeurs et mêmes aux organismes externes comme la supervision des
recherches, le prêt, chaîne d‘approvisionnement, etc, évaluer l‘efficacité de la gestion du risque en
entreprise et le contrôle interne aux bénéficiaires ou aux candidats.

Modèle d’évaluation du processus basé sur le COS

Le modèle d‘évaluation du processus définit un modèle des capacités du processus à deux
dimensions. Dans une dimension, la dimension du processus, les processus sont définis et
classés en catégories de processus. Dans l‘autre dimension, la dimension des capacités, une
série d‗attributs du processus regroupés en niveau de capacité est définie. Les attributs du
processus fournissent des caractéristiques mesurables concernant ses capacités.
Les conseils du COS 2006 (Contrôle Interne du Rapport Financier — Conseils aux plus
Petites Entreprises Publiques) [2] fournissent une série de vingt principes de base
représentant les processus conceptuels fondamentaux associés et directement montrés comme
provenant des cinq composantes du Contrôle Interne Structure Intégrée. En supportant que
-

chaque principe est un attribut, représentant des caractéristiques associées aux principes.
Pour le processus de dimension du modèle d‘évaluation du processus adopté, l‘intégralité des
vingt processus de contrôle interne référant aux Principes des conseils du COS 2006 est
inclue.
Le modèle conforme d‘évaluation du processus de ISO/IEC 15504 est basé sur le principe
que la capacité d‘un processus peut être évaluée en démontrant la réalisation des attributs
des processus sur la base de preuves liées à l‘évaluation des indicateurs. Il y a deux types
d‘indicateurs d‘évaluation : le processus de capacité (générique), qui s‘applique sur les
niveaux de capacité 1 à 5, et le processus de performance (spécifique) qui s‘applique
exclusivement au niveau de capacité 1. Les attributs du processus de la dimension des
capacités ont une série d‘indicateurs de capacité des processus qui fournit une indication de
40


l‘étendue du résultat de l‘attribut dans le processus instantané. Ces indicateurs concernent des
activités signifiantes, des ressources ou des résultats associés d‘un processus associé à la
réalisation de l‘objectif de l‘attribut

Mise en place d’objectifs concernant les contrôles internes

Dans la terminologie du COS du management du risque en entreprise, le management
considère la stratégie du risque dans la mise en place d‘objectifs, tels que :
- Niveau de prise de risque de l’entité – une vue générale à propos de combien de risques le
management est prêt à tolérer.
- Tolérance du risque – Le niveau d‘acceptation de variation des objectifs est aligné au
niveau de prise de risque.
Dans la terminologie ISO/IEC 15504 la série de processus cibles de capacité de
profil(mesuré à l‘aide de votes et d‘attributs de processus) exprime la capacité de la
cible, que le management (ou d‘autre partenaires servant à évaluer) juge être adéquat au
niveau de la prise de risque de l‘organisation commerciale et de sa tolérance
Une entité ou les objectifs de niveau d‘unités opérationnelles et leurs variations tolérées
doivent être définis en utilisant des mesures (indicateurs). En temps normal, cela n'est pas
difficile car les objectifs commerciaux de n'importe quelle organisation ou processus
opérationnel représentent – de manière facilement quantifiable -la valeur de création ou de
protection.
Cependant la définition du niveau de prise de risque (qui est cruciale pour le management du
risque) n'est pas évidente. L'importance du problème dérive du fait que le niveau de prise de
risque est la base qui permet de classifier les risques pendant l'évaluation du risque, afin
d'encourager la décision sélectionnant les réponses potentielles au risque. S'il n'y a aucun
indicateur objectif applicable du niveau de prise de risque ni pour l'entité ni pour les niveaux
opérationnels, l'étape suivante du management du risque sera traitée selon des décisions
accessoires, subjectives.
Le modèle du COS de la GRE (Gestion du Risque en Entreprise) – en intégrant le contrôle de
système interne – met en place des catégories d'objectifs. Les objectifs stratégiques,
d'opérations, de rapport, et de conformité doivent être examinés à travers la réalisation
desobjectifs commerciaux concernant ou l'organisation (en GRE), ou les unités
opérationnelles et les processus (en cas de système intégré de contrôle interne).Bien que,
différents types d'audits (de performance, financier, ou de conformité) puissent être définis
en fonction des catégories d'objectifs, il est évident que ces catégories ne peuvent exister
qu'en étant interconnectées.
Une approche possible est que ces catégories d'objectifs se construisent les unes sur les
autres. La réalisation des objectifs de conformité au niveau de processus
opérationnels (commercialement) assure que les activités commerciales sont exécutées selon
les obligations prescrites ou sélectionnées par le management du risque et les contrôles
internes. Les objectifs d'un rapport fiable supposent l'exécution des obligations de conformité,
afin que le niveau de prise de risque de l'entité lié au processus opérationnel (commercial)
puisse être défini en utilisant les indicateurs des obligations de conformité.
Les objectifs des opérations efficaces liées aux unités opérationnelles supposent
l‘exécution de rapports fiables et d‘exigence de conformité. A ce niveau, le niveau de
risque pris par l‘entité peut être décris en utilisant des indicateurs de rapports fiables et
d‘exigences de conformité.

41


Au regard de toute l’organisation les objectifs stratégiques – décomposés en objectifs
commerciaux définis au niveau des unités opérationnelles – supposent l‘exécution
d‘opérations efficaces, de rapports fiables et d‘exigence de conformité. Pour l‘organisation
entière, le niveau de prise de risque de l‘entité peut être décris en utilisant les indicateurs du
rapport opérationnel et fiable prévu, et des exigences de conformité pour les unités
opérationnelles, les processus et les activités commerciales.
Il faut noter la conséquence de l’adaptation du management du risque dans les systèmes de
contrôle interne d’une organisation concernant la tolérance du risque du niveau de
l‘organisation (niveau tolérable de variation autour du contrôle des objectifs d‘une entité)
et du niveau de la prise de risque : le niveau de prise de risque pour la stratégie de risque
organisationnel peut être décrite en utilisant les indicateurs des exigences de tout le
système de contrôle interne. La cohérence du management du risque en entreprise
suppose que l‘opération du système de contrôle interne de l‘organisation soir
mesurable par des indicateurs adéquats. Ces indicateurs jouent un rôle dans la mise en
place d‘objectifs concernant le contrôle de système interne, comme ils sont applicables
pour la description de la tolérance du risque à un niveau donné. Les indicateurs utilisés pour
la mise en place de la tolérance du risque de catégories d‘objectifs d‘un niveau moindre
peuvent être appliqués afin de définir le niveau de prise du risque de la prochaine catégorie
d‘objectif.
En cas d‘opération de l‘entreprise à un niveau inférieur de conscience de prise de risque, les
objectifs stratégiques et commerciaux sont directement liés aux activités commerciales.
Dans ce cas, il n‘y a pas de mise en place d‘objectifs (obligatoire) pour tout le système de
contrôle interne, non seulement l‘adaptation en conséquence des structures de contrôle
et de management du risque deviennent irréalistes, mais l‘arrêt de l‘utilisation d‘un niveau
de prise de risque de l‘organisation objectivement applicable cause des décisions
accessoires et subjectives dans le classement des risques liés aux activités commerciales.

Evaluation des contrôles clés à travers les processus internes de contrôle financier de
soutien

Dans le contexte de la GRE, les contrôles clés sont tous ces processus, qui sont nécessaires et
suffisants pour maintenir les performances commerciales à un niveau convenable des
objectifs commerciaux. Les contrôles financiers clés sont soit des processus de contrôle
sélectionnés au sein des procédés basiques des processus de contrôle financier interne, soit
un sous-ensemble des procédés commerciaux pertinents en place dans une entité ou même
dans des niveaux d‘activité, auxquels le processus de dimension du modèle d‘évaluation
est nécessairement étendu.
En cas d‘extension du processus de dimension du Modèle d‘Evaluation du Processus
(basé sur les exigences ISO/IEC 15504) par les contrôles financiers clés, les avantages les
plus pratiques de l‘application des critères ISO/IEC 15504 apparaissent.
Les contrôles clés en place dans une entité, dans les niveaux intermédiaires ou les niveaux
d‘activités et qui ont soit une relation directe soit une relation indirecte avec le risque de
fausse déclaration de matériel, peuvent être décris par l‘objectif et par la déclaration des
résultats des définitions conformes des processus. Les résultats doivent être identiques et
uniques pour chaque processus, ce qui aide à éviter des chevauchements inutiles de contrôles
clés (dans leur documentation et dans leur test de procédure). Les résultats peuvent être

42


identifiés par des affirmations financières pertinentes connectées soit aux comptes les plus
importants, soit au matériel de transactions se déplaçant dans les comptes les plus importants.
Mettre en oeuvre une large série de processus de contrôles financiers internes basée sur le
Modèle de Référence du Processus du COS, contribue à la réalisation de tous les attributs des
processus jusqu‘au niveau 4 au niveau du contrôle clé d‘une entité

Processus de contrôle interne financier lié aux risques

Elaborer et appliquer les principales catégories d‘objectifs de la structure du contrôle
interne du COS et de celle de la GRE aux exigences d‘aptitudes du modèle de l‘ISO/IEC
15504, fournit des conseils afin de se fixer des profils cibles aptes, en évaluant le
partenaire (par exemple le management), de donner des outils efficaces pour identifier,
comprendre et gérer les aires de contrôle de risque.
Les processus liés au risque peuvent être induits par l‘existence d‘espaces entre la cible et les
profils des processus évalués. La conséquence potentielle d‘un espace dépend du niveau
d‘aptitude et des attributs du processus où l‘espace a été identifié. Quelques contrôles
financiers internes liant les facteurs et les exemples sont présentés comme des répercussions.
Au niveau 1 attributs de la performance du processus, les conséquences typiques sont
que tous les résultats utiles des processus (Attributs des principes du COS) ne sont pas
réalisés, et aucune documentation recouvrable n‘existe afin de surveiller le contrôle
nécessaire. La gestion de la communication au personnel selon les rôles qui affecte les
rapports financiers n‘est par exemple pas renseignée de manière adéquate, car les mises à
jour des problèmes internes et externes concernant la finance ne sont pas pris en
considération.
Au niveau 2, problèmes dans la gestion de la performance, les conséquences typiques sont
l‘absence de délais, le manque ou l‘utilisation de manière inefficace des ressources, des
responsabilités mal déterminées, des décisions non contrôlées, etc. La gestion de la
communication avec un organisme ou un personnel de surveillance n‘est par exemple pas
prévue ou programmée; le management qui y est lié ne divulgue pas les manques à temps ; les
décisions non-autorisées sont faites au moment de la fermeture ; les politiques et les
procédures ne sont pas en train d‘être révisées dans un temps imparti.
Au niveau 2, les attributs de la gestion du travail sur le produit, l‘espace peut causer une
qualité imprévisible des rapports, des accès parallèles et une documentation incohérente,
augmentant les coûts de remaniement, des problèmes de consolidation. Les anciennes
versions des politiques et des procédures sont par exemple également utilisées ; les exceptions
identifiées ne sont pas communiquées ; la communication interne n‘est pas classée
automatiquement.
Au niveau 3, les problèmes dans la définition du processus, les conséquences sont que les
meilleures pratiques et leçons apprises ne sont pas prises en compte pendant la révision des
politiques et les procédures ou les résultats des contrôles de processus qui y sont liés ne sont
pas identiques dans les procédures opérationnelles. L‘absence de description, ou
uniquement la description formelle des procédures de communication internes empêche par
exemple les membres de l‘équipe à utiliser les gammes alternatives en ce qui concerne la
faiblesse du matériel ou l‘amélioration des suggestions
Au niveau 3, le problème de déploiement du processus peut causer des applications
incohérentes des contrôles financiers dans les procédures opérationnelles. Les opportunités
identifiées sont perdues du fait de l‘inefficacité des efforts de déploiement. Les organismes de

43


surveillance ne prennent par exemple pas au sérieux le rôle des auditeurs consultatifs; les
affirmations concernant l‘état financier ne sont pas proprement liées aux processus
commerciaux pendant l‘évaluation du risque; les contrôles de la technologie de
l‘information ne reflètent pas de manière adéquate la complexité de l‘environnement
informatique
Au niveau 4, les problèmes de l’évaluation des processus, les conséquences sont que les
contrôles clés ne sont pas clairement identifiés, désignés ou en action afin de réaliser les
objectifs de performance des processus et de gérer les buts ou de détecter les problèmes de
performance de manière précoce. La résolution des exceptions des contrôles clés est par
exemple recouverte par l‘évaluation du risque.
Au niveau 4, les problèmes de contrôle des processus, les conséquences sont que les objectifs
quantitatifs de performance et les objectifs commerciaux définis ne concordant pas. Les
délais qui sont courts mensuels/annuels peuvent causer des accumulations imprévisibles
de matériels, des estimations du management et des réserves.

Evaluation de l’efficacité de la gestion du risqué financier et des contrôles internes

L‘efficacité est basée sur le fait de savoir si les contrôles clés établis (ensembles) fournissent
l‘assurance raisonnable que l‘organisation accomplisse ses objectifs commerciaux tout en
respectant ses limites fixées. Le niveau d‘assurance dépend de la philosophie de prise de
risque de l‘organisation, toutefois en cas de contrôles internes financiers sur les rapports
financiers, les exigences réglementaires et prises en comptes forcent les cadres et la gestion
financière à minimiser ces risques qui pourraient causer des erreurs dans la déclaration de
matériel dans les rapports financiers et autres révélations. La documentation comptable et
d‘audit fournit des conseils détaillés sur les problèmes de matériel, toutefois le matériel peut
être facilement compris par une application simple de la terminologie de la tolérance du
risqué du management du risqué: n‘importe quelle déviance dépassant les limites tolérées
préétablies à propos des objectifs doit être considérée comme matérielle.
Le développement et l‘évaluation d‘une série de contrôles clés nécessaires et suffisants doit
suivre l‘approche basée sur le risque et l‘approche de haut en bas. Un design efficace et une
opération du système de contrôle interne suppose que tous les risques, qui peuvent avoir des
effets matériels (plus que signifiants) sur les objectifs commerciaux, sont répondus d‘une
manière onéreuse, c‘est pourquoi l‘application d‘une série de contrôles clés assure que la
probabilité d‘une déviation matérielle des objectifs (comme l‘erreur de déclaration dans un
rapport financier) est infime, ou que la conséquence d‘une insuffisance de contrôle (même si
elle est considérée comme un effet cumulatif) reste en dessous des limites tolérées.
Les contrôles clés agissent dans une entité, à des niveaux intermédiaires ou d‘activités qui ont
soit une relation directe soit une relation indirecte avec le risque d‘une erreur matérielle. Les
résultats des processus de contrôle internes financiers basés sur les 20 principes du COS
fournissent les preuves que les contrôles clés sont désignés en appliquant le management du
risque et les principes du contrôle interne et qu‘ils indiquent également que les contrôles clés
agissent avec des capacités prévisibles (niveau 4).

Références et lectures

Les principes présents du processus d‘évaluation basés sur ceux du COS étaient utilisés
pour le développement de la Carte Habileté et les outils pédagogiques liés du

44


programme de l‘ « Expert Européen Certifié du Contrôle Financier Interne » incluant
l‘adaptation des Principes, Attributs et Approches des conseils du COS 2006 en accord
avec le conseil d‘administration du COS pour les traductions espagnoles, allemandes,
roumaines, et hongroises . Ce projet (projet numéro : HU/B/05/B/F/PP-170013) a été mené
grâce au soutien financier de la Commission des Communautés Européennes à travers le
programme LEONARD DE VINCI. Pour plus de détails, rendez-vous sur le site
http://www.training.iamanager.org/ ou contactez ivanyos@memolux.hu.

1 ISO/IEC 15504-1:2004 Technologie de l‘information – Evaluation du processus—
Partie 1 : Concepts et vocabulaire
ISO/IEC 15504-2:2003 Technologie de l‘information -- Evaluation du processus --
Partie 2: Réussir une évaluation
ISO/IEC 15504-2:2003/Cor 1:2004
Partie 3: Conseils sur la réussite d‘une évaluation
Partie 4: Conseils sur l‘utilisation de l‘amélioration du processus et l‘aptitude à
déterminer un processus
Partie 5: Un modèle d‘évaluation de processus exemplaire
2 Le Comité d‘Organisation du Sponsoring (COS):
Contrôle Interne sur les Rapports Financiers Conseils pour les entreprises publiques
—

plus petites (2006)

45


4. ROYAUME-UNI
Réalisé par M. Noccer

4.1. Gestion des systèmes d’information
Gooodyear, T. (1985). Organising Computer-based Information System Resources. Industrial
Management & Data System Resources, 85(7/8), 11-16.

Emerging Trends and Challenges in Information Technology Management: 2006 Information
Resources Management Association International Conference, Washington, DC, USA, May
21-24, 2006
Levy, M and Powell, P. (2004) Strategies for Growth in SMEs: The Role of Information and
Information Systems. Butterworth-Heinemann, 2004

Fuller, M and. Valacich, J.V. and George J. (2007) Information Systems Project
Management: A Process and Team Approach. Prentice Hall, 2007

K D. Mitnick, W L. Simon The Art Of Deception: Controlling The Human Element Of
Security John Wiley & Sons; 2003
Dowland, P, Furnell, S. , Bhavani M. and Thuraisingham, X. Sean Wang (2005) Security
Management, Integrity, and Internal Control in Information Systems: IFIP TC-11 WG 11.1 &
WG 11.5 Joint Working Conference. Birkhâuser.

Jetter, A., Kraaijenbrink, J. And Fons Wijnhoven (2006) Knowledge Integration: The
Practice of Knowledge Management in Small and Medium Enterprise. Springer, 2006

Collier, P.M, Berry, A.J. and Burke, G.T. (2006) Risk and Management Accounting: Best
Practice Guidelines for Enterprise-wide Internal Control Procedures. Elsevier, 2006



46


4.3. Suggestions d’autres lectures
- pour ajouter à la totalité du module possibilité de sélectionner des lectures organisées
–

par
domaines
Gestion des systèmes d’information
1 W L Currie & R D Galliers (eds), Rethinking Management Information Systems, OUP,
2003
2 L. Willcocks, P. Petherbridge, and N. Olson. Making IT Count: Strategy Delivery
Infrastructure. Butterworth, 2003

Développement des systèmes d’information
1 C Avgerou and T Cornford, Developing Information Systems: concepts, issues and
practice (2nd edn), Macmillan, 1998
2 D Avison & G Fitzgerald, Information Systems Development Methodologies, McGraw
Hill, 2002
3 K Beck, Extreme Programming Explained, 2nd edn, Addison-Wesley, 2005.
4 G Booch, J Rumbaugh and I Jacobson, Unified Modelling Language User Guide,
Addison-Wesley, 1999
5 P Checkland, Systems Thinking, Systems Practice, Wiley, 1999
6 C Ciborra (ed) Groupware and Teamwork, Chichester, United Kingdom: John
Wiley & Sons,1996
7 M Fowler and K Scott UML Distilled: a brief guide to the standard object modeling
language,1999

Sécurité et risque des informations
1 C Adams and S Lloyd Understanding Public Key Infrastructure, Concepts,
Standards, And Deployment Considerations Macmillan Technical Publishing; 1999
2 R Anderson, Security Engineering: a guide to building dependable distributed
systems, John Wiley, 2001
3 J R Beniger, The Control Revolution: technological and economic origins of the
information society, Harvard University Press, 1986
4 W Cheswick, S Bellovin and A Rubin, Firewalls and Internet Security: repelling the
wily hacker, Addison Wesley, 1994
5 G Dhillon Principles of Information Systems Security: Text and Cases. J Wiley &
Sons; 2007
6 S Gafinkel, Database Nation: the death of privacy, O'Reilly Associates 2000
7 A Jones and D Ashenden Risk Management For Computer Security: Protecting Your
Network And Information Assets Butterworth-Heinemann; 2005
8 K D. Mitnick, W L. Simon The Art Of Deception: Controlling The Human
Element Of Security John Wiley & Sons; 2003
9 F C Piper, S Murphy Cryptography: A Very Short Introduction Oxford Paperbacks;
2002
10 T Ridge, H Schmidt Patrolling Cyberspace: Lessons Learned From A Lifetime In
Data Security Larstan Publishing; 2006
11 B Schneier, Beyond Fear: thinking sensibly about security in an uncertain world,
Springer Verlag, 2003

47


12 B Schneier Secrets And Lies: Digital Security In A Networked World John Wiley &
Sons Inc; 2004
13 W Stallings, Network Security Essentials, Prentice Hall, 2000

Technologie des informations: problèmes et compétence
1 F Adam and M Healy, A Practical Guide to Postgraduate Research in the Business
Area, Blackhall, Stillorgan, 2000
2 T Cornford and S Smithson, Project Research in Information Systems, Macmillan,
1996

Services du design des informations
1 Benkler, Y. (2006): The Wealth of Networks. Yale University Press;
2 K. Braa, C. Sørensen, and B. Dahlbom, ed. (2000): Planet Internet.
Studentlitteratur;
3 Barabâsi, A.-L. (2002): Linked. Cambridge, MA: Perseus;
4 Barley, S. R. & G. Kund(2004): Gurus, Hired Guns, and Warm Bodies. Princeton
University Press;
5 C. U. Ciborra and Associates (2000): From Control to Drift. OUP; Ciborra, C. (2002):
The Labyrinths of Information. OUP;
6 Collins, R. (2004): Interaction Ritual Chains. Princeton University Press.
7 Dahlbom B and L. Mathiassen (1993): Computers in Context. Blackwell;
8 Dourish, P. (2001): Where the action is. MIT Press;
9 Goffman, E. (1959): The Presentation of Self in Everyday Life. Bantam;
10 Haddon, L., et al eds. (2006): Everyday Innovators. Springer;
11 Höök, K., D. Benyon, & A. J. Monroe, ed. (2003): Designing Information Spaces.
Springer;
12 Ito, M., D. Okabe, & M. Matsuda, ed. (2005): Persona, Portable, Pedestrian.
Cambridge, Mass: The MIT Press;
13 Ling, R. (2004): The mobile connection. Elsevier;
14 Kallinikos, J. (2006): The Consequences of Information. Edward Elgar;
15 Ling, R. (2004): The Mobile Connection: The Cell Phone's Impact on Society.
16 Ling, R. (2008): New Tech, New Ties: How Mobile Communication is Reshaping
Social Cohesion. The MIT Press. Morgan Kaufmann;
17 Löwgren, J. and E. Stolterman (2004). Thoughtful Interaction Design. MIT Press;
Mccullough, M. (2004): Digital Ground. MIT Press. Cambridge, Massachusetts;
18 Norman D. A. (1998): The Invisible Computer. MIT Press; Rheingold, H. (2002):
Smart Mobs. Perseus Books;
19 Sommerville I. (1995): Software Engineering. Addison-Wesley;
20 Sørensen C., Yoo, K. Lyytinen and J. DeGross (2005): Designing Ubiquitous
Information Environments. Springer;
21 Sproull L. and S. Kiesler (1993): Connections. MIT Press;
22 Thackara, J. (2005): In the Bubble. Cambridge. MIT Press; J. Yates (1989): Control
through Communication. Johns Hopkins University Press;
23 Yates, J. (2005): Structuring the Information Age. Baltimore: The Johns Hopkins
University Press;
24 Zuboff, S. (1987): In the Age of the Smart Machine. Basic Books;
25 Zuboff, S. & J. Maxmin (2002): The Support Economy. Penguin.

48

Management des Système d'Information

Contenu connexe

Tendances

En vedette

Similaire à Management des Système d'Information

Management des Système d'Information