Vous êtes sur la page 1sur 37

Gouvernance des systmes dinformation Comment amliorer le dialogue utilisateur ?

Gina Gull-Mnez
Directeur de lAudit des Processus et des Projets SI

Objectifs de la prsentation
Prciser les modalits dimplication de lutilisateur du SI dans la Gouvernance Mettre en lumire les fil rouge communs aux diffrentes rglementations (leviers) Relancer des pistes de rflexion connues pour lamlioration du dialogue utilisateur.
Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

Plan de la prsentation
I - Contexte II - Les utilisateurs et la gouvernance des systmes dinformation III- La dimension rglementation IV- Comment amliorer le dialogue utilisateurs ?
Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

V - Questions / Rponses

Utilisateurs de SI : alors satisfaits ? confrence ADELI


SISQUAL 8 novembre 2005

1er Groupe europen et 3e mondial de lindustrie pharmaceutique Une large gamme de mdicaments adapte la ralit de tous les jours Nombreux axes thrapeutiques majeurs Chiffre d'affaires pro forma ajust 2004 : 25,4 Mds Rsultat net pro forma ajust 2004: 5,3 Mds (+17,9%/Mkt +7%) Part de march mondiale : 5,3 % R&D : 4 milliards deuros 128 molcules en dveloppement dont 48 en phases avances Prs de 100 000 collaborateurs dans le monde Une prsence dans plus de 80 pays

Le contexte

Gouvernance ?

Contrle interne ?

Utilisateurs du SI
Management de la Qualit ?
Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

Audit interne ?

La Gouvernance
Une dfinition large et descriptive de la gouvernance est de considrer quelle dcrit comment un systme est dirig et contrl. Une vision plus prescriptive considre la gouvernance comme les moyens par lesquels les parties prenantes peuvent sassurer de la prise en compte de leurs intrts dans le fonctionnement dun systme. La gouvernance est lassociation du pilotage, cest--dire sassurer que les dcisions daujourdhui prparent convenablement demain, et du contrle, cest--dire, mesurer lcart par rapport ce qui tait prvu et lactivit gre aujourdhui.

Utilisateurs de SI : alors satisfaits ? confrence ADELI


SISQUAL 8 novembre 2005

Le Contrle Interne
Le contrle interne* est un processus dfini et mis en uvre par le conseil dadministration, le management et le personnel de lentreprise, visant fournir lassurance raisonnable que les objectifs suivants sont atteints:
Fiabilit de linformation comptable et financire, Efficacit et efficience de la conduite des oprations de lentreprise, Respect des lois et des rglementations applicables .

Le contrle interne est compos de deux niveaux de contrle :


Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

les contrles au niveau de lentit qui constituent lenvironnement de contrle instaur par la direction gnrale qui, en fixant les principes directeurs, la politique et les procdures, instaure une culture du contrle interne. les contrles au niveau des processus mis en uvre par les process owners au niveau corporate.

*Dfinition

du COSO (Committee of Sponsoring Organizations of the Treadway Commission) 7

LAudit Interne
La finalit de la Direction de l'Audit Interne est d'valuer tous les processus de management des risques, de contrle et de gouvernement d'entreprise, notamment dans ses aspects thiques et dontologiques, y compris le contrle de lefficience du management de la qualit, et de faire des propositions pour renforcer leur efficacit. Le rattachement hirarchique de l'Audit Interne se situe " au plus haut niveau ", afin d'assurer son indpendance. Il se situe au niveau du prsident avec une liaison forte avec le comit d'audit.
Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

Le Management de la Qualit
La Qualit est avant tout une dmarche visant l'action, fonde sur des orientations trs dterminantes :
la priorit donne au client la participation des acteurs la culture processus etc

Le Systme de Management de la Qualit est une composante du contrle interne focalise sur la dimension " respect des objectifs qualit " et cible sur les " besoins et attentes des clients et autres parties intresses ".
Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

Plan de la prsentation
I - Contexte II - Les utilisateurs et la gouvernance des systmes dinformation
SOA

III- La dimension rglementation IV- Comment amliorer le dialogue utilisateurs ?

Utilisateurs de SI : alors satisfaits ? confrence ADELI


SISQUAL 8 novembre 2005

V - Questions / Rponses

10

Les utilisateurs et la gouvernance des systmes dinformation

Gouvernance des systmes d'information dsigne l'art ou la manire de gouverner des SI, de planifier, contrler et grer les ressources en TI La Gouvernance selon le COBIT* : structure de relations et de processus visant diriger et contrler lentreprise pour quelle atteigne ses objectifs en gnrant de la valeur, tout en trouvant le bon quilibre entre les risques et les avantages des Technologies de lInformation et de leurs processus. La stratgie : les liens, interactions entre les modes respectifs de gouvernance des SI et du business. Objectif : amliorations de services offerts, et donc de la satisfaction des utilisateurs.
Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

*COBIT : Control Objectives for Information and related Technology


11

Rapport de ltat mondial de la gouvernance SI (ITGI *)


Si 91 % des dirigeants admettent que les SI sont un lment essentiel la russite de leurs entreprises, plus de deux tiers de ceux-ci sont mal l'aise lorsqu'ils parlent de la gouvernance et du contrle des processus de leurs SI. Si 76% des dirigeants d'entreprises ralisent que leurs problmes de SI pourraient tre rsolus en mettant en place une structure de gouvernance des SI, 42% d'entre eux n'ont aucunement l'intention d'tablir un tel programme.
Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

* 335 PDG et directeurs de l'information de 21 pays de tous les continents (sur un chantillonnage de 7000 l'origine) ont t interviews. Les personnes interroges reprsentent un mlange appropri de grosses, petites et moyennes entreprises dans les secteurs des services financiers, de la production, des SI/Tlcom, des commerces au dtail, des services publics et autres

12

Les 5 exigences que devraient exprimer les dirigeants (selon lITGI)


LIT Governance affirme la responsabilit du Comit de Direction et de lencadrement, au mme titre que dautres proccupations essentielles relevant du management de lentreprise, pour ce qui concerne :
lalignement des volutions du SI avec la stratgie business , La cration de valeur en permettant de saisir les opportunits et gnrer du profit, la gestion des risques lis au SI, la bonne utilisation des ressources informatiques, la mesure des performances.
Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

13

Les quatre piliers de la gouvernance du systme dinformation *

Le devoir danticipation : valuer des opportunits et des risques Un impratif de dcision : raliser des choix Une ncessit de communication : instaurer un dialogue de tous les acteurs concerns, avant, pendant et aprs les dcisions prises Une obligation de suivi : suivre et rviser les actions mises en uvre.

Utilisateurs de SI : alors satisfaits ? confrence ADELI


SISQUAL 8 novembre 2005

* Cigref

14

Concrtement, comment a marche ? * La dmarche processus


La gouvernance est perue comme un problme de dfinition claire des rles et des responsabilits de chacun : dfinition des processus (avec un dtail plus ou moins grand) dfinition des rles et des responsabilits lis aux processus attribution des rles des acteurs (personnes). Cette dmarche se couple une dmarche Qualit damlioration continue. Cest le type dmarche prconis par le Cobit.
Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

* Cigref

15

Concrtement, comment a marche ? La dmarche structurelle


La gouvernance ncessite une rpartition du pouvoir de dcision et de contrle entre diffrentes structures ayant chacune un rle prcis : Comit de direction consacr au systme dinformation Comit daudit Comit darbitrage (gestion de portefeuille de projets) Comit durbanisation et darchitecture Matrise douvrage stratgique dans chacun des mtiers Cest le type de dmarche suggre par exemple par le rapport Vienot pour la gouvernance dentreprise.

Utilisateurs de SI : alors satisfaits ? confrence ADELI


SISQUAL 8 novembre 2005

16

Pourquoi les utilisateurs du SI ont-ils besoin de gouvernance ?


Fournit une rponse : Quels doivent tre les modes de relation entre la direction gnrale et la Direction des Systmes dInformation ? Quel doit tre le partage des rles et des responsabilits entre les diffrentes directions grant et utilisant le systme dinformation de lentreprise ? Quels sont les processus cls de la DSI ? Comment sassurer dun usage efficient du systme dinformation ?
Le premier travail dune DSI est de multiplier les points de contacts entre les utilisateurs et leur DSI.
Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

17

Les utilisateurs du SI
Tout le monde est utilisateur puisque chacun utilise le SI sa manire, du management aux oprationnels : tout le monde utilise la messagerie. Les utilisateurs doivent contraindre la fonction SI :
masquer ou diminuer la complexit SI, dialoguer sur des pratiques mtier et non avec des rgles de paramtrages sotriques.

Le niveau de maturit de lutilisateur dans sa capacit dterminer ses objectifs et ses besoins oprationnels est dterminant dans lefficience de la Gouvernance SI.
Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

18

Les limites de la gouvernance du systme dinformation

La gouvernance du systme dinformation reste trop souvent un discours, un document thorique et formel. La gouvernance du systme dinformation est trs sensible au jeu des acteurs et leurs enjeux de pouvoir. Les volutions de lentreprise : changements de stratgie, rorganisations internes, sont de nature rendre inadquates et obsoltes les dmarches mises en uvre. La gouvernance doit tre agile .
Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

19

Plan de la prsentation
I - Contexte II - Les utilisateurs et la gouvernance des systmes dinformation III- La dimension rglementation IV- Comment amliorer le dialogue utilisateurs ?
Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

V - Questions / Rponses

20

La dimension rglementation
La rglementation financire :
La loi de scurit financire du 2 aot 2003 le Sarbanes-Oxley Act de 2002

La rglementation pharmaceutique :
GAMP 4 Guide FDA ..
Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

21

La loi Sarbanes - Oxley Act (2002)


Adopte en juillet 2002 par le Congrs amricain, la Loi Sarbanes-Oxley (SOA) implique que les Prsidents des entreprises cotes aux Etats-Unis certifient leurs comptes auprs de la Securities and Exchanges Commission (SEC) l'organisme de rgulation des marchs financiers US. Guide par trois grands principes : l'exactitude et l'accessibilit de l'information, la responsabilit des gestionnaires et l'indpendance des vrificateurs/auditeurs Son objectif : restaurer la confiance des investisseurs et de renforcer la gouvernance d'entreprise, largement entame par les nombreux scandales financiers de 2001 et 2002 Voir prsentation site Adeli http://www.adeli.org/

Utilisateurs de SI : alors satisfaits ? confrence ADELI


SISQUAL 8 novembre 2005

22

Le champ dapplication
Toutes les socits amricaines cotes aux tats Unis, dont la capitalisation boursire est suprieure 75 millions de dollars doivent tre conforme SOA 404 depuis le 15 novembre 2004. Elles sont contraintes de dposer auprs de la SEC un rapport rdig par la Direction portant sur le contrle interne exerc sur le reporting financier en mme temps que leur rapport financier annuel. Pour les autres entreprises cotes aux tats Unis et/ou dont la capitalisation boursire est infrieure 75 millions de dollars, la date est fixe au 15 juillet 2006.
Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

23

Extraits dune loi contenant plus de 60 articles


Fiabiliser le reporting financier
302 Certification des tats financiers par le management 404 Attestation de lauditeur et du management sur lvaluation du contrle interne. 401, 409 Prise en compte renforce des transactions hors bilan et des vnements critiques ayant un impact sur les comptes.

Renforcer la gouvernance
301 Responsabilits et indpendance du Comit dAudit Allocations budgetaires des auditeurs

Lutter contre les fraudes et les dlits dinitis


406 Publication du code thique 806 Whistle-Blower

Renforcer les contrles externes


Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

Alourdir les sanctions


906 Renforcement des mesures pnales pour les CEO/CFO 1102, 802 Sanctions pnales renforces en cas de destruction de preuves

Raffirmer lindpendance des auditeurs


201 Interdiction explicite pour les auditeurs de fournir 9 types de services hors audit leurs clients.

104 Rle du PCAOB

24

Exemples de rpercussions
Amliorer la cartographie des

processus et des contrles internes. valuer le contrle interne et rendre compte la fois des dfaillances et des plans damlioration. Fiabiliser le
reporting financier
302 Certification des tats financiers par le management 404 Attestation de lauditeur et du management sur lvaluation du contrle interne. 401, 409 Prise en compte renforce des transactions hors bilan et des vnements critiques ayant un impact sur les comptes.

Faciliter la diffusion en temps

rel des informations mais de manire contrle.


Renforcer la gouvernance
301 Responsabilits et indpendance du Comit dAudit Allocations budgetaires des auditeurs

Lutter contre les fraudes et les dlits dinitis


406 Publication du code thique 806 Whistle-Blower

Promouvoir ltablissement

Renforcer les contrles externes


Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

Alourdir les sanctions


906 Renforcement des mesures pnales pour les CEO/CFO Sanctions pnales renforces en cas de destruction de preuves

104 Amliorer la gestion Rle du PCAOB

dun comportement thique et le communiquer lensemble de lentreprise. Raffirmer Protger les alerteurs2 et lindpendance mettre en place des processus des auditeurs dalerte.
201 Interdiction explicite pour les auditeurs de fournir 9 types de services hors audit leurs clients.

documentaire et les pratiques darchivage des pices. 1102, 802

2De

lamricain Whistle Blowers 25

En quoi les systmes dinformation et le contrle interne informatique sont-ils concerns ?

Les SI sont indissociables des processus de lentreprise en gnral et du processus de reporting financier en particulier. La matrise des applications et leur bonne gestion et administration sont, ce titre, une partie intgrante du contrle interne. Les systmes dinformation sont impliqus en tant que processus (sous la responsabilit SI) et dans le cadre de mise en uvre de fonctionnalits (sous la responsabilit des utilisateurs). Les contrles au niveau des processus du SI sont composs :
des contrles gnraux informatiques : contrles internes au sein des processus de gestion et dadministration des systmes dinformation, mis en uvre par les informaticiens au niveau dun site ou dune plate-forme technique ou par des utilisateurs, gnralement responsables des applications, des contrles applicatifs qui contribuent assurer lexhaustivit, la ralit et lintgrit des donnes restitues par les applications informatiques.

Utilisateurs de SI : alors satisfaits ? confrence ADELI


SISQUAL 8 novembre 2005

26

Avantages pour lutilisateur du SI


Sur un primtre critique, impact direct ou indirect sur le reporting financier : Clarification des rles et responsabilits Garantie de limplication des business process owners Matrise du cycle de vie SI en assurant de la :
conformit avec la rglementation financire matrise de ses processus via la matrise du SI associ renforant la visibilit des points critiques afin de pouvoir suivre, corriger et amliorer ces mmes processus.

Il s'agit d'apporter la preuve documente que les phases du cycle de vie sont bien matrises en termes de traabilit, de scurit, et d'intgrit, ceci depuis l'expression du besoin jusqu'au retrait du SI, en prenant en compte son environnement et son support. Utilisateurs de SI : alors satisfaits ?
confrence ADELI
SISQUAL 8 novembre 2005

27

En synthse
Lutilisation du SI joue un rle essentiel sur le contrle interne.
Extrait du PCAOB Auditing Standard No. 2 The nature and characteristics of a companys use of information technology in its information system affect the companys internal control over financial reporting.
Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

28

La validation rglementaire pharmaceutique du SI


Les systmes informatiss support des processus pharmaceutiques doivent faire l'objet d'une matrise tout au long de leur existence, mais galement assurer la prennit des donnes gnres pour ces processus. Trois groupes se partagent les responsabilits : Utilisateurs quipes SI Qualit
Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

29

La validation rglementaire pharmaceutique du SI


Change control
ValidationRapport

Plan Qualit

Expression des besoins

Plan de validation

QP
Anal. risques

Spcification Fonctionnelle

Protocole / rapport

Acceptation Test

QD
Conception
Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

QO
Protocole / rapport

Integrationtest

QI
Ralisation/Test unitaire

30

Avantages de la validation rglementaire pharmaceutique


Clarification des rles et responsabilits Garantie de limplication de lutilisateur toutes les phases de dveloppement et dexploitation du SI Matrise du cycle de vie SI en assurant de la :
conformit avec la rglementation pharmaceutique, matrise de ses processus via la matrise du SI associ renforant la visibilit des points critiques afin de pouvoir suivre, corriger et amliorer ces mmes processus.

En cas d'inspection il s'agit d'apporter la preuve documente que les phases du cycle de vie sont bien matrises en termes de traabilit, de scurit, et d'intgrit, ceci depuis l'expression du besoin jusqu'au retrait du systme informatis, en prenant en compte son environnement et son support. Utilisateurs de SI : alors satisfaits ?
confrence ADELI
SISQUAL 8 novembre 2005

31

Plan de la prsentation
I - Contexte II - Les utilisateurs et la gouvernance des systmes dinformation
SOA

III- La dimension rglementation IV- Comment amliorer le dialogue utilisateurs ?

Utilisateurs de SI : alors satisfaits ? confrence ADELI


SISQUAL 8 novembre 2005

V - Questions / Rponses

32

Comment amliorer le dialogue utilisateur ?


Replacer dans les processus de dcision une valuation des outils installs Amliorer la capacit de la fonction SI a lutter contre de fausses obsolescences En synthse, avant de lancer des projets nouveaux, utiliser les outils dAnalyse de la Valeur pour valuer les taux de saturation du SI en place, et lapport des fonctionnalits nouvelles
Utilisateurs de SI : alors satisfaits ? confrence ADELI
SISQUAL 8 novembre 2005

33

Comment amliorer le dialogue utilisateur ?


Conduire une diminution de lopacit et de la complexit du SI : complexit des dcisions, de la communication, du contrle Reprendre possession de son mtier dutilisateur

Syndrome du garagiste
Trop long Trop peu .. Trop cher !

Utilisateurs de SI : alors satisfaits ? confrence ADELI


SISQUAL 8 novembre 2005

34

Plan de la prsentation
I - Contexte II - Les utilisateurs et la gouvernance des systmes dinformation
SOA

III- La dimension rglementation IV- Comment amliorer le dialogue utilisateurs ?

Utilisateurs de SI : alors satisfaits ? confrence ADELI


SISQUAL 8 novembre 2005

V - Questions / Rponses

35

Questions / rponses

Utilisateurs de SI : alors satisfaits ? confrence ADELI


SISQUAL 8 novembre 2005

36

Liens
Association Information and Management (http://www.aim.asso.fr/) Club Informatique des Grandes Entreprises Franaises www.cigref.fr/ Association franaise d'audit et de conseil informatique (AFAI) : www.afai.fr/ Institut de lAudit Interne (IFACI) : www.ifaci.com IT Governance Institute : www.itgi.org Committee of Sponsoring Organizations of the Treadway Commission (COSO) : www.coso.org Le site Sarbanes-Oxley : www.sarbanes-oxley.com

Utilisateurs de SI : alors satisfaits ? confrence ADELI


SISQUAL 8 novembre 2005

37