Vous êtes sur la page 1sur 104

Rseau

Gouvernance du Systme dInformation

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
CIGREF-IFACI-AFAI Paris juin 2011 ISBN : 978-2-915042-31-3 Toute reprsentation ou reproduction, intgrale ou partielle, faite sans le consentement de lauteur, ou de ses ayants droits, ou ayants cause, est illicite (loi du 11 mars 1957, alina 1er de larticle 40). Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait une contrefaon sanctionne par les articles 425 et suivants du Code Pnal.

Gouvernance du Systme dInformation

CIGREF - IFACI - AFAI

Rseau

>> Sommaire
Remerciements ............................................................................................................................ 7 Prface .......................................................................................................................................... 9 Introduction : ............................................................................................................................. 11 Comment utiliser ce guide daudit ? ........................................................................................ 15 Vecteur 1 : Planification du SI et intgration dans le plan stratgique de lentreprise ...... 17 Vecteur 2 : Urbanisme et architecture du SI de lentreprise au service des enjeux stratgiques ........................................................................................................... 25 Vecteur 3 : Gestion du portefeuille de projets oriente cration de valeur pour les mtiers ....................................................................................................... 34 Vecteur 4 : Management des risques SI en fonction de leurs impacts mtiers ............ 42 Vecteur 5 : Alignement de la Fonction informatique par rapport aux processus mtiers ............................................................................................................. 51 Vecteur 6 : Matrise de la ralisation des projets en fonction des enjeux mtiers ........ 58 Vecteur 7 : Fourniture de services informatiques conformes aux attentes clients .............. 65 Vecteur 8 : Pilotage des services externaliss ........................................................................ 72 Vecteur 9 : Contrle de gestion informatique favorisant la transparence ........................... 79 Vecteur 10 : Gestion prospective des comptences informatiques ....................................... 87 Vecteur 11 : Gestion et mesure de la performance du SI ....................................................... 93 Vecteur 12 : Gestion de la communication ............................................................................. 99 Bibliographie ............................................................................................................................ 106

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
5

Gouvernance du Systme dInformation

>GUIDE DAUDIT
Gouvernance du Systme dInformation

CIGREF - IFACI - AFAI

Rseau

>> Remerciements
Comit de pilotage Farid Aractingi, Directeur de laudit et de la matrise des risques, Renault Jean-Pierre Bouillot, VP Information System Audit, Risk Committee Project Leader, Sanofiaventis Rgis Delayat, Directeur des SI, Groupe SCOR Patrick Geai, Directeur de la gouvernance des SI, La poste Courrier Jean-Louis Leignel, MAGE Conseil, Vice-Prsident de lAFAI Jean-Michel Mathieu, J Mathieu Conseil, Prsident (par intrim) de lAFAI Jean-Franois Pepin, Dlgu Gnral, CIGREF Franois Renault, Deloitte, Prsident dhonneur de lAFAI Louis Vaurs, Conseiller du Prsident de lIFACI

Contributeurs/Experts Erik du Boishamon, Chef du bureau supervision et soutien utilisateur, Ministre de lintrieur Nicolas Bonnet, Directeur, Kea&Partners Gilles Brunet, Audit Manager - Information Technology & Information Security, OrangeFrance Tlcom, CISA, Prsident IFACI Rhne-Alpes Pierre Calvanse, Directeur de lIT Stratgie et Organisation, Altran Jrme Capirossi, Directeur Conseil, NATEA-Consulting Felipe Castro, Global IS/IT Audit Director, Alcatel-Lucent Frdric Charles, Directeur Adjoint Stratgie & Gouvernance du SI, Lyonnaise des Eaux Suez Environnement Meriem Chefa, Responsable RH, La Poste Eric Delaye, Responsable de l'audit interne, Aftam Christophe Digue, Charg de mission Risques et CI la DSI Groupe, EDF Emmanuel Dubois, Consultant en Management, Kea&Partners Herbert Faure, Kea&Partners Henri Guiheux, Information Technology | Responsable Governance & Scurit des SI, SCOR Mourad Kacir, Responsable Audit SI Courrier, La Poste Grgoire Lvis, CISA, Senior Manager, IT Advisory, KPMG Advisory Jean-Marie Pivard, Corporate VP Internal Audit, NEXANS Alain Rogulski, Directeur Audit des Systmes d'Information, Sodexo Cyrille Roy, Contrle Permanent IT DIRPO, Direction du Pilotage Oprations, Allianz Laurent Stricher, Secrtaire Gnral de la Direction Gnrale Adjointe des Systmes d'information, Ple Emploi Olivier Sznitkies, Audit Director, Lafarge

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
7

Gouvernance du Systme dInformation

>GUIDE DAUDIT
Gouvernance du Systme dInformation

CIGREF - IFACI - AFAI

Rseau

>> Prface
Lorsquest paru en 2009 Le contrle interne du systme dinformation des organisations , lobjectif de ses promoteurs tait de sensibiliser les dirigeants aux enjeux du contrle interne et la matrise des systmes dinformation au sein des organisations, tant publiques que prives, tout en proposant aux managers des pistes oprationnelles. Si ce premier ouvrage est vritablement devenu une rfrence dans lunivers de laudit et du contrle internes, sa limite avait t souligne ds lorigine : les auteurs avaient d, par souci de pragmatisme, limiter les thmes abords et en particulier ne pas traiter de la gouvernance du systme dinformation, sinon par le biais indirect de quelques sujets figurant dans le dernier chapitre. Les auteurs avaient donc donn rendez-vous aux participants au colloque du 13 mars 2009 pour une suite sur ce sujet prcis. Cest lui qui est au cur de ce second ouvrage que vous avez sous les yeux, Guide daudit de la gouvernance du systme dinformation . Trois associations professionnelles se sont associes pour cette occasion : le CIGREF, rseau de grandes entreprises utilisatrices de systme dinformation, lIFACI, institut franais de laudit et du contrle internes, et lAFAI, association franaise de laudit et du conseil informatiques. Chacune y a apport loriginalit de sa dmarche et de ses comptences, grce lefficace contribution de trois groupes de travail composs dinformaticiens, dauditeurs et de consultants. Dans des entreprises o les hommes se sont souvent replis sur leur silo, ce sont plus que jamais la coopration entre les mtiers, la fluidit des processus, et le couple vitesse-discernement qui fonderont la diffrence comptitive. Ce paradoxe entre la frilosit et la flexibilit, entre une hirarchie intangible et un centre qui occupe tout lorganigramme, ce sont des mtiers aussi transversaux et interdpendants que ceux de linformatique et de laudit qui peuvent lapprhender au mieux, par leur vision et leur exprience. Mais surtout lincarner autour du systme dinformation, dsormais composante essentielle de lentreprise numrique. En 2009, nous crivions du systme dinformation quil tait la colonne vertbrale de lorganisation, irrigant toutes ses fonctions pour contribuer la fois leur efficacit oprationnelle et leur transformation stratgique [], devenu le garant de facto de la protection de linformation, de la sincrit des oprations, de la vitesse dexcution et donc de lexcellence oprationnelle. Deux ans plus tard, non seulement ces mots demeurent dactualit, mais la gouvernance de ce systme dinformation est devenue un sujet brlant. Que cache le terme de gouvernance ? De mme tymologie que gouvernement, il sousentend la notion du bien gouverner , mais galement de gouverner les bonnes choses, avec un mouvement de dcentrement de la rflexion, de la prise de dcision, et de l'valuation, une multiplication des lieux et acteurs impliqus dans la dcision et la co-construction d'un projet, et enfin la mise en place de nouveaux modes de pilotage et de rgulation. Appliqu au systme dinformation, on en trouvera la dclinaison dans douze chapitres concernant

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
9

Gouvernance du Systme dInformation

Gouvernance du Systme dInformation

en particulier lalignement par rapport la stratgie et aux mtiers de lorganisation, la matrise de la ralisation des projets, la fourniture de services informatiques, la gestion des comptences, et la mesure de la performance. Or, si la littrature et les publications officielles font rfrence des rfrentiels et normes de qualit, leur multiplicit souvent synonyme de contradiction ou de recouvrement peut dcourager les responsables, concepteurs, utilisateurs, exploitants ou contrleurs de systmes dinformation. Pour simplifier leur approche, les auteurs ont donc capitalis sur leurs connaissances pratiques de ces rfrentiels pour construire, dans une rdaction originale issue du terrain, un document concret accessible au plus grand nombre. Le rsultat est un guide daudit de la gouvernance des SI, selon douze thmes analyss et facilement dclinables au contexte propre chaque organisation. Le vocabulaire est commun aux fonctions reprsentes au sein des trois associations cosignataires, tout en prservant leur spcificit : cest donc bien un outil concret au service des auditeurs, des contrleurs, des informaticiens, et plus largement de tout reprsentant des mtiers utilisateurs des systmes dinformation c'est--dire tout un chacun, acteur de lentreprise numrique.

>GUIDE DAUDIT

Bruno Mnard Prsident du CIGREF

Claude Viet Prsident de lIFACI

Pascal Antonini Prsident de lAFAI

10

CIGREF - IFACI - AFAI

Rseau

>> Introduction
Quest-ce que la gouvernance du SI ?
La gouvernance par lentreprise ou lorganisation de son systme dinformation est une dmarche de pilotage, concernant lensemble des responsables et pas seulement la Direction des Systmes dInformation (DSI), ayant pour objectifs : dapporter une contribution maximale la cration de valeur pour lorganisation, daligner le systme dinformation sur la stratgie de lorganisation, doptimiser lutilisation des ressources, et de matriser les risques en fonction des enjeux de lorganisation. Cette dmarche, qui est fonde sur : des processus de prise de dcisions, des instances dcisionnelles, des normes et des bonnes pratiques, des dispositifs de contrle adquats, et une communication visant assurer la transparence, sappuie sur un ensemble de bonnes pratiques, de natures trs diffrentes, allant : de sujets oprationnels, tels que llaboration de contrats de services ou le management de projets, jusqu des aspects stratgiques, tels que la contribution du portefeuille de projets au dveloppement de lentreprise ou de lorganisation, en passant par des considrations conomiques, telles que la matrise des cots des produits ou services fournis par linformatique ses clients internes. Bien que ces bonnes pratiques, que nous avons structures sous forme de 12 vecteurs regroups en 3 catgories (management, oprations et support), puissent tre analyses de faon relativement indpendante, une bonne gouvernance par lentreprise ou lorganisation de son systme dinformation, par rapport aux objectifs rappels ci-dessus, suppose quil ny ait de dfaillance grave sur aucun des vecteurs , et ce quelle que soit sa nature. En effet : si la disponibilit des services nest pas assure conformment aux termes des contrats passs avec les mtiers , la DSI aura beaucoup de difficults se positionner comme interlocuteur de la direction gnrale sur les sujets concernant lalignement stratgique du SI, si les contrats de services sont respects, mais que les ressources SI sont affectes des projets nayant que peu dintrt pour le devenir de lentreprise ou de lorganisation, le SI ne sera pas vraiment contributeur la cration de valeur de lentreprise et, ce titre, la gouvernance du SI ne pourra pas tre considre comme performante, si les cots des produits ou services ne sont pas matriss correctement, il sera trs difficile non seulement de garantir la direction gnrale que les ressources sont utilises de faon optimale mais aussi de dvelopper, avec les entits clientes , des relations de confiance bases sur la transparence du rapport qualit/cot des services fournis,

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
11

Gouvernance du Systme dInformation

Gouvernance du Systme dInformation

La gouvernance du SI est donc une dmarche de management concernant lensemble des responsables, qui sinscrit dans la gouvernance de lentreprise ou de lorganisation et vise dvelopper la confiance entre les parties prenantes.

Objectifs du guide
Lobjectif principal est de mettre disposition des auditeurs et des DSI un guide pratique daudit adressant, sous un angle managrial et non pas technique, la problmatique globale de la gouvernance du SI par lentreprise ou lorganisation, telle que rappele ci-dessus. Il permet donc aux directions de laudit interne de rpondre aux questions que se pose la direction gnrale propos du niveau de matrise de son SI et de fournir aux autres fonctions de lentreprise ou de lorganisation une assurance raisonnable que leurs processus mtiers sont bien soutenus par des systmes dinformation de qualit. Cette valuation de haut niveau de la gouvernance permet de mettre en vidence des points de vigilance par rapport des pratiques de management du SI, qui peuvent tre de nature oprationnelle, conomique ou stratgique, mais qui doivent toutes tre sous contrle pour que lentreprise ou lorganisation puisse tre considre comme performante dans la gouvernance de son SI. Toutefois, mme si la gouvernance du SI svalue de faon globale, celle-ci a t dcompose, pour des considrations pratiques, en 12 vecteurs distincts suffisamment autoporteurs pour pouvoir faire lobjet de missions individualises par vecteur ou groupe de vecteurs . En fonction de leur nature, les points de vigilance ainsi mis en vidence pourront contribuer llaboration du plan daudit du SI, voire du plan daudit gnral de lentreprise ou de lorganisation, puis tre ventuellement suivis de missions daudit plus approfondi utilisant des rfrentiels adapts tels que COBIT, Val IT, Risk IT, ou autres selon le sujet traiter. Cet outil se veut galement pdagogique pour dmystifier la gouvernance du SI en vitant le langage technique, qui prvaut gnralement ds lors quil est question dinformatique. La communication de la DSI vers la direction gnrale et les directions mtiers sen trouve ainsi facilite et renforce.

>GUIDE DAUDIT

Primtre
Le primtre de ce guide couvre les processus de gouvernance du SI par lentreprise, qui associent troitement la direction gnrale, les mtiers et la DSI. A contrario, et malgr leur importance, il ne couvre pas les aspects oprationnels du management de linformatique, tels que le dveloppement des projets, la production rcurrente de services, ds lors que ceux-ci sont entirement placs sous la responsabilit de la DSI et donc moins en interaction avec le reste de lorganisation. Ces aspects oprationnels sont traits par ailleurs et notamment dans les contrles gnraux informatiques de laudit.

12

CIGREF - IFACI - AFAI

Rseau

Management

Management des risques SI en fonction de leurs impacts "mtiers"

Oprationnel

V5 V6 V7 V8 V9 V10 V11 V12

Alignement de la fonction informatique par rapport aux processus "mtiers" Matrise de la ralisation des projets en fonction des enjeux "mtiers" Fourniture de services informatiques conformes aux attentes clients Pilotage des services externaliss

Gouvernance du Systme d'Information

V1 V2 V3 V4

Plani cation du SI et intgration dans le plan stratgique de l'entreprise Urbanisme et architecture d'entreprise au service des enjeux stratgiques Gestion du portefeuille de projets orient cration de valeur pour les "mtiers"

Contrle de gestion informatique favorisant la transparence Gestion prospective des comptences informatiques Gestion et mesure de la performance du SI Gestion de la communication

Support

Mthodologie
Le groupe de travail a t structur en 3 niveaux : Des contributeurs/experts faisant partie de DSI de grandes entreprises, de directeurs daudit interne ou de cabinets daudit et de conseil informatiques (la liste de ces contributeurs est mentionne dans la page de remerciements). Ces personnes ont t rparties dans trois groupes de travail respectant chacun un quilibre entre les trois associations. Chaque groupe est anim par le reprsentant dune des trois associations, celui-ci faisant galement partie du comit technique. Un comit technique constitu dun reprsentant de chaque association. Compos de Jean-Louis Leignel (MAGE Conseil) pour lAFAI, de Jean-Pierre Bouillot (SANOFIAVENTIS) pour lIFACI et Patrick Geai (LA POSTE) pour le CIGREF, il est charg danimer, de superviser et dharmoniser les travaux des contributeurs/experts des trois groupes de travail.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
13

Gouvernance du Systme dInformation

Gouvernance du Systme dInformation

Un comit de pilotage constitu des membres du comit technique et de membres du Conseil dAdministration de chaque association, sest runi une fois tous les 2 mois. Ce comit de pilotage tait compos de Farid ARACTINGI (IFACI), Rgis DELAYAT (CIGREF), Jean-Franois PEPIN (CIGREF), Franois RENAULT (AFAI), Louis VAURS (IFACI), Jean-Louis LEIGNEL, Jean-Pierre BOUILLOT et Patrick GEAI. Chaque groupe de travail, compos de contributeurs/experts provenant de divers horizons (DSI, audit et conseil), sest vu attribuer un certain nombre de vecteurs regroups en 3 catgories relativement homognes (management, oprations, support). Les groupes de travail se sont runis un rythme mensuel pour laborer des propositions de bonnes pratiques et de critres dvaluation reprsentant le consensus du groupe pour les vecteurs , qui leur ont t affects. Les propositions de chaque groupe ont ensuite t transmises au groupe suivant, dans le cadre dune permutation circulaire, pour que ce dernier en fasse une relecture croise, interpelle le premier groupe et lamne sexpliquer ou modifier sa copie, lors de runions organises pour tirer le meilleur parti de cette confrontation de points de vue intergroupes. Les quelques points rsiduels ne parvenant pas tre rsolus dans ces runions intergroupes ont alors t remonts au comit technique, voire au comit de pilotage, pour dcision.

>GUIDE DAUDIT

Remarque : Certaines pratiques de vecteurs diffrents peuvent paratre redondantes entre elles (exemple : bonne pratique 3 du vecteur 2 (Urbanisme et architecture dentreprise au service des enjeux stratgiques) et bonne pratique 1 du vecteur 5 (Alignement de la fonction informatique par rapport aux processus mtiers ) relatives au Schma Directeur SI). Ces quelques redondances sont volontaires et ncessaires afin que chaque vecteur soit suffisamment autoporteur pour que lauditeur puisse nauditer que certains vecteurs de la gouvernance du SI sans tre oblig de les passer tous en revue au cours dune mme mission.

14

CIGREF - IFACI - AFAI

Rseau

>> Comment utiliser ce guide daudit ?


Gnralits
Comme indiqu prcdemment, ce guide daudit de la gouvernance du SI se veut avant tout pragmatique. Il est le rsultat de travaux bass sur le savoir-faire dune trentaine dexperts du sujet (auditeurs, informaticiens et consultants). Lambition de ce guide est de donner au lecteur un outil permettant dobtenir une assurance raisonnable de la qualit des processus de gouvernance du SI. Dans un second temps et en fonction du rsultat obtenu, cet audit permettra didentifier les risques et insuffisances potentielles afin, si cela est ncessaire, de lancer un audit plus approfondi. Lors de la prparation de son programme daudit, lauditeur pourra slectionner le ou les vecteurs correspondants au primtre de la mission dans le cadre du plan daudit annuel. Il est donc tout fait possible de raliser un audit cibl sur un ou plusieurs vecteurs. Bien entendu, en fonction du primtre de laudit, il peut tre pertinent de slectionner plusieurs vecteurs qui seraient complmentaires.

Modalits dvaluation
Une fois le ou les vecteurs choisis, en fonction des objectifs et du primtre de laudit que lon souhaite pratiquer, il sagit de passer en revue lensemble des bonnes pratiques des vecteurs auditer. Pour chacune de ces bonnes pratiques, il faut valuer le niveau de matrise de chacun des critres concerns. Les critres dune mme pratique expriment parfois une progressivit dans le niveau de matrise. Il ny a cependant pas de pondration appliquer et chaque critre peut svaluer indpendamment des autres critres. Pour valuer une bonne pratique, il convient donc dexaminer lensemble des critres de la bonne pratique concerne. Eventuellement, un critre peut tre non applicable au contexte de lorganisation. Pour chacun de ces critres, le niveau de matrise svalue par couleur : Couleur rouge : faible, Couleur jaune : insuffisant, Couleur verte claire : satisfaisant, Couleur verte fonce : bon, Couleur blanche + N/A : Critre Non Applicable au contexte de lorganisation value. Cette grille exclut tout recours un systme dvaluation chiffr.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
15

Gouvernance du Systme dInformation

Gouvernance du Systme dInformation

Il est bien sr recommand de recueillir des preuves (documentation, tableaux de bord, indicateurs, mails, etc.) permettant de conforter lvaluation du niveau de matrise constat.

Modalits de restitution
Une fois lensemble des critres valus, pour toutes les bonnes pratiques du vecteur examin, il est possible de positionner lensemble des rsultats sous la forme dun mur de couleurs .

Exemple dvaluation globale du vecteur 4 Management des risques SI en fonction de leurs impacts mtiers
valuation de la pratique Bonne Pratique 1 Bonne Pratique 2 Bonne Pratique 3 Bonne Pratique 4 Bonne Pratique 5 Bonne Pratique 6 Bonne Pratique 7 Bonne Pratique 8 1 2 3 4 5 6 7 N/A

>GUIDE DAUDIT

Numro des critres

valuation globale du niveau de matrise du Vecteur


Insu sant Faible Satisfaisant Bon
N/A

Non Applicable

Modalits dapprciation
Sur la base de la restitution ci-dessus, cest lauditeur de porter un jugement sur le niveau de matrise globale de chaque bonne pratique en leur attribuant la couleur correspondante (colonne Evaluation de la bonne pratique ). Bien entendu, ce jugement tiendra compte des poids attribus aux critres dvaluation en fonction du contexte de la mission. A la suite de cette opration, lauditeur peut ainsi donner son apprciation sur lensemble du vecteur. Lauditeur veillera dans son valuation finale identifier des points de vigilance et proposera ventuellement un audit approfondi.

16

CIGREF - IFACI - AFAI

Rseau

>> Vecteur 1
Planification du SI et intgration dans le plan stratgique de lentreprise

ENJEUX
Permettre lentreprise ou lorganisation dlaborer, le plus en amont possible, une vision mtier de son SI de demain et identifier les initiatives favoriser dans les annes venir, la fois de nature informatique et organisationnelle, pour laligner avec sa stratgie. Prendre en compte, dans la stratgie de lentreprise ou de lorganisation, des opportunits de nature technologique en relation avec limportance croissante du SI pour les processus mtier. Responsabiliser la direction gnrale et les mtiers pour que la planification SI soit une rponse aux enjeux mtiers.

RISQUES ASSOCIS
Passer ct dopportunits de nature technologique, ce qui pourrait se traduire par des impacts ngatifs en termes de comptitivit pour lentreprise. Ne pas tirer le meilleur parti des investissements en SI par rapport aux objectifs stratgiques de lentreprise, en nanticipant pas suffisamment en amont un plan dactions appropri (projets mtiers ou dinfrastructure, comptences informatiques, organisation et comptences mtiers , etc.). Ne pas planifier les ressources ncessaires lexcution des plans dactions de nature informatique indispensables pour pallier un certain nombre de risques, tels que : lobsolescence matrielle et logicielle, la matrise insuffisante de certaines technologies, des cots trop levs dexploitation ou de maintenance du SI, etc.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
17

Gouvernance du Systme dInformation

>> Vecteur 1

Gouvernance du Systme dInformation

Objectifs

Projets "mtiers"
PARTIES PRENANTES

STRATGIE Vision

ORGANISATION - Ressources - Activits

Comptences PROCESSUS "mtiers"

SYSTMES D'INFORMATION

Source AFAI / Jean-Louis Leignel

Monitoring

>GUIDE DAUDIT

Intgration de la planification du SI dans la dmarche de planification moyen terme de lentreprise

> BONNE PRATIQUE N1


Processus de planification du SI. Le processus dlaboration de la stratgie SI est intgr au processus de planification de lentreprise (plan moyen terme et budget annuel).

Critre 1 : Une stratgie ou cible SI moyen/long terme (MT/LT) est dcrite mais le plan (les tapes et la tactique) pour atteindre cette cible nest pas explicit. Elle n'est pas ncessairement intgre au processus de planification de l'entreprise. Commentaires Souvent les notes dorientation stratgique se limitent une liste juxtapose de projets majeurs sans vision cohrente. La construction de la cible SI MT/LT est limite et essentiellement assure par la DSI pour ses besoins propres de planification. La DSI nest pas consulte dans le cadre de llaboration du plan MT/LT de lentreprise (ou cet exercice nexiste pas formellement).

18

CIGREF - IFACI - AFAI

Rseau

Commentaires La cible SI moyen terme est formalise par la DSI et formellement approuve par un organe ad hoc comprenant la direction gnrale et les directions mtiers de l'entreprise.

Critre 3 : Un plan MT/LT SI est construit pour mettre en uvre la stratgie SI. Il est intgr dans le plan MT/LT de lentreprise comme celui d'autres fonctions support , telles que Finances, RH, etc. Commentaires La DSI recueille les besoins de ses clients internes (oprationnels et fonctionnels), les consolide et fait valider la synthse qui en rsulte par la direction gnrale. Le plan MT/LT est construit partir de la cible SI moyen terme et prend en compte les besoins dcoulant de la stratgie mtiers . Toutefois, la DSI n'est pas vraiment partie prenante des plans MT/LT proposs par les directions oprationnelles et fonctionnelles de l'entreprise dans le cadre de la dmarche de planification.

Critre 4 : Le plan MT/LT SI est co-construit avec tous les mtiers et avec la direction gnrale dans le cadre de la dmarche de planification de l'entreprise. Commentaires La stratgie SI est labore conjointement avec les mtiers dans le cadre d'un processus de planification moyen terme assurant en permanence un alignement stratgie mtier et stratgie SI. Toutes les entits (Lignes de services et/ou entits gographiques) associent pleinement les responsables SI (centraux ou dlocaliss) dans leur processus de dclinaison oprationnelle de leur stratgie. La DSI participe pleinement llaboration du plan MT/LT de lentreprise (intervention de la DSI dans la prise de dcision sur les programmes stratgiques de l'entreprise concernant la faisabilit technique, donnant des ordres de grandeur en termes de dlais et de cots). Les caractristiques particulires de lentreprise (type et niveau de croissance, cyclicit et rcurrence ct gestion des moyens, stabilit et maturit, acquisition ou recentrage, etc.) sont intgrs pour dterminer et justifier les axes majeurs de la stratgie SI.

Critre 5 : La dmarche de planification MT/LT de l'entreprise prend en compte les innovations technologiques dont l'entreprise pourrait bnficier. Commentaires La DSI s'est organise pour tre force de proposition dans la dmarche de planification MT/LT de l'entreprise en attirant l'attention sur les innovations technologiques. Certaines dcisions concernant les programmes stratgiques sont impulses par des orientations de rupture technologique. La veille technologique est structure dans le systme de veille de lentreprise ou de faon ad hoc (par exemple, rapprochement de la DSI et du marketing stratgique pour dtecter les innovations qui pourraient diffrencier lentreprise par rapport ses concurrents). La veille SI intgre une vision des concurrents/quivalents et compare le positionnement du SI par rapport aux ambitions stratgiques.
CIGREF - IFACI - AFAI

>GUIDE DAUDIT
19

Gouvernance du Systme dInformation

Critre 2 : La stratgie ou cible SI MT/LT est formellement valide par les mtiers et la direction gnrale, mais sans que ce soit ncessairement dans le cadre d'un processus de revue de la stratgie SI.

>> Vecteur 1

Gouvernance du Systme dInformation

> BONNE PRATIQUE N2


Contenu du plan SI. La cible SI MT/LT intgre les cibles mtier et technologiques et intgre la planification des ressources ncessaires leur atteinte.

Critre 1 : Le plan SI MT/LT n'intgre qu'une dimension purement SI sans valuation globale des ressources impactes. Commentaires Il y a une cible SI MT globale, mais pas de plans d'actions MT associs La stratgie SI consiste prciser les grandes orientations en termes de standards applicatifs et technologiques.

>GUIDE DAUDIT

Critre 2 : Le plan SI MT/LT intgre, en plus des aspects SI, les besoins mtiers dcoulant de la planification de lentreprise. Commentaires La stratgie SI prcise la cible mtier (processus, cartographie fonctionnelle) couverte et les principes majeurs d'volution de l'architecture technique. Elle propose les grands paliers d'volution au regard des enjeux mtiers (calendrier et tapes de mise en uvre). Les plans d'actions prvoient la mise en uvre de ressources, qui ne sont pas intgres formellement dans le plan MT de l'entreprise.

Critre 3 : Le plan SI MT/LT dveloppe les plans d'actions (SI et mtiers ), les ressources (internes ou externes), ncessaires l'atteinte de la cible, formellement valides dans le cadre de la dmarche de planification. Commentaires Les plans d'actions inclus dans la cible SI MT prvoient la mise en uvre de ressources, qui sont intgres dans le plan MT de l'entreprise (d'une faon ou d'une autre) et valides.

Critre 4 : Le plan SI MT/LT prcise les moyens humains (quantit/comptences) et financiers, aussi bien du ct mtiers que technologique, ncessaires l'atteinte de la cible y compris les politiques d'externalisation ou d'internalisation. Commentaires La stratgie SI prsente un business plan tay : investissements ncessaires, volution des cots de fonctionnement, cots d'accompagnement mtier et SI, stratgie d'alliance.

20

CIGREF - IFACI - AFAI

Rseau

Les plans d'actions MT prvoient la mise en uvre de ressources, qui sont intgres dans le plan MT de l'entreprise (d'une faon ou d'une autre) et valides. Ce critre fait le lien entre ce vecteur et le vecteur 8 Pilotage des services externaliss .

Critre 5 : Lentreprise adapte son organisation pour mobiliser les ressources ncessaires la ralisation du plan stratgique et arbitrer les orientations dallocation de ressources. Commentaires La mise en place de l'organisation, des politiques et des procdures ncessaires l'atteinte de la cible est faite en commun entre la DSI et les mtiers et prcise dans la cadre de l'exercice du plan stratgique. L'objectif est de grer le patrimoine informatique tout au long de son cycle de vie pour viter les coups trop brutaux dans son volution.

Indicateurs de suivi. Des indicateurs financiers et non-financiers permettent la DSI de rendre compte de lavancement de la mise en uvre de la stratgie SI la direction gnrale et aux directions mtiers .

Critre 1 : Le suivi de la mise en uvre de la stratgie est orient contrle de gestion et privilgie une approche conomique court terme uniquement centre sur lobjectif budgtaire annuel. Commentaires On appelle cette dmarche cost driven.

Critre 2 : Le suivi de la mise en uvre de la cible SI reste conomique mais est projet sur un calendrier pluriannuel. Commentaires La planification budgtaire est un plan MT (3 5 ans) et non limit lhorizon annuel.

Critre 3 : Le suivi de la mise en uvre inclut l'avancement des plans d'actions MT/LT dont la DSI est responsable. Commentaires Les plans MT/LT SI font l'objet d'un suivi rgulier par la direction gnrale au mme titre que les autres fonctions support, telles que Finances, RH, etc.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
21

> BONNE PRATIQUE N3

Gouvernance du Systme dInformation

>> Vecteur 1

Gouvernance du Systme dInformation

Certains indicateurs non-financiers sont mis en place pour mesurer l'avancement de la stratgie et des plans : jalons de projets, suivi des contrats dinfogrance, volution des comptences critiques, etc.

Critre 4 : Un tableau de bord de type IT scorecard est mis en place par la DSI pour rendre compte de lavancement de la mise en uvre de la stratgie SI la direction gnrale et aux directions mtiers . Commentaires Les indicateurs sont rgulirement mesurs dans le cadre de processus formaliss.

Critre 5 : Ce tableau de bord de type IT scorecard est l'outil de pilotage privilgi de la DSI avec la direction gnrale et les directions mtiers . Commentaires Le balanced scorecard IT fait l'objet d'un suivi rgulier et des plans d'actions correctifs sont mis au point pour scuriser l'atteinte de la cible.

>GUIDE DAUDIT

> BONNE PRATIQUE N4


Communication du plan. La vision SI moyen terme est communique pour susciter ladhsion des mtiers et faciliter leur comprhension des options stratgiques du plan SI.1

Critre 1 : La vision SI moyen terme inclut la cible de la bonne pratique 1 et le plan de ressources de la bonne pratique 2. Elle est communique au sein des seules parties prenantes SI. Commentaires Communication au sein de la DSI et auprs des mtiers en fonction des impratifs de scurit qui peuvent parfois exister lors dvolutions stratgiques.

Critre 2 : La vision SI est partage avec les directions mtiers critiques. Commentaires Les directions mtiers critiques sont celles pour lesquelles le SI est fortement contributif l'amlioration des performances (par exemple, production, cration de produits nouveaux, etc.).

Cette bonne pratique fait le lien avec le vecteur 12 Gestion de la communication .

22

CIGREF - IFACI - AFAI

Rseau

Critre 3 : La vision SI est communique tous les mtiers sous forme d'un volet SI du plan MT/LT. Commentaires La communication est intgre dans les processus d'information et de communication du plan MT/LT des directions mtiers .

Critre 4 : La vision SI, qui est communique aux mtiers sous forme d'un volet SI du plan MT/LT, est co-construite avec les mtiers. Cette communication s'appuie sur les outils de l'architecture d'entreprise tels que : cartographies, zones transverses... afin que la stratgie soit prsente et intgre au quotidien au plus prs des projets. Cette communication rend intelligible les options stratgiques de SI. Commentaires La communication sur le SI est diffuse au sein de l'entreprise, de faon rgulire et accessible tous les collaborateurs. Les problmatiques informatiques ainsi que les opportunits technologiques sont discutes avec les mtiers. Des dispositifs de type intranet sont mis en place pour communiquer sur la vision SI.

Critre 5 : La communication de la vision SI s'organise autour de communauts animes rgulirement. Commentaires Les quipes en charge de la mise en uvre de la vision SI animent ces communauts d'change et de partage. Elles assurent galement une mesure de la perception du terrain et des attentes (baromtres). Des dispositifs d'change sont mis en place (blogs, forums).

> BONNE PRATIQUE N5


Pilotage. Une instance de pilotage du SI (CODISI) est mise en place dans lentreprise.

Critre 1 : Le pilotage du SI est essentiellement assur par la direction gnrale qui valide les plans d'actions proposs au coup par coup par la DSI. Commentaires Ce pilotage se fait sur des critres essentiellement budgtaires.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
23

Gouvernance du Systme dInformation

>> Vecteur 1

Gouvernance du Systme dInformation

Critre 2 : Le pilotage du SI est assur par une organisation non exclusivement ddie aux problmatiques SI qui valide la synthse des plans d'actions propose par la DSI.

Critre 3 : Le pilotage du SI est assur et coordonn avec les mtiers dans le cadre de dispositifs existants. Commentaires Une relation de type partenariat avec les responsables mtiers est en place. Le DSI a accs aux organes des directions mtier.

Critre 4 : Il existe un comit stratgique SI ad hoc compos des principaux directeurs mtiers et du DSI, et anim par le DSI qui en assure la prparation et le secrtariat. Ce comit pourrait tre dsign sous le nom de CODISI (Comit dOrientation et de Dcision concernant lInformatique et le SI). La DSI participe galement aux comits de directions mtiers . Commentaires La fonction SI est reprsente dans les comits de directions mtiers . Le DSI est intgr aux organes oprationnels et de dcision de lentreprise. Le DSI est impliqu dans certains processus dacquisition ou de mise en place de gestion de moyens communs (GIE).

>GUIDE DAUDIT

Critre 5 : Le comit stratgique SI (CODISI) est pilot par un directeur gnral adjoint ou le directeur gnral pour la gestion de la planification des SI (arbitrage, validation, suivi, rvision, etc.). Commentaires Le DSI participe aux organes de dcision stratgique de lentreprise.

24

CIGREF - IFACI - AFAI

Rseau

>> Vecteur 2
Urbanisme et architecture du SI de lentreprise au service des enjeux stratgiques

ENJEUX
Dcliner la vision mtier du SI cible en une vision globale intgrant les couches applicatives, techniques et infrastructures du SI. Identifier des initiatives transversales au bnfice de plusieurs mtiers de lentreprise, quelles soient directement au service des mtiers ou quelles concernent les grandes infrastructures. clairer les dcideurs sur les choix dvolution de leur SI et sur le niveau dinvestissement ncessaire. Rationaliser le portefeuille de projets SI et renforcer la cohrence avec les usages des mtiers . Accrotre lagilit du SI en favorisant la rutilisation de fonctionnalits.

RISQUES ASSOCIS
Labsence dun cadre global moyen terme align avec les enjeux stratgiques entrane un risque : de ne pas disposer des moyens (financiers, organisationnels, comptences, etc.) ncessaires, notamment en infrastructure, pour optimiser la contribution du SI latteinte des objectifs stratgiques ; de ne pas anticiper la ncessit de dvelopper des services SI, transverses plusieurs mtiers ou bien de mettre en uvre de nouvelles infrastructures informatiques ; de devoir prendre des dcisions au coup par coup concernant le lancement des projets, sans tre en mesure dassurer la cohrence des projets par rapport au schma durbanisation ; de ne pas rationaliser les diverses volutions du SI et en consquence dinduire des surcots. Incapacit dtecter les risques lis lexploitation du SI : lobsolescence matrielle et logicielle ; la matrise insuffisante de certaines technologies ; des cots trop levs dexploitation ou de maintenance du SI, etc. ; une complexit rendant difficile toute volution.
CIGREF - IFACI - AFAI

>GUIDE DAUDIT
25

Gouvernance du Systme dInformation

>> Vecteur 2

Gouvernance du Systme dInformation

Le schma directeur SI (SDSI) : Un cadre de rfrence structurant le processus de prise de dcisions concernant le lancement des projets

volutions du SI

Nouvelles technologies numriques Risques associs au SI existant Objectifs mtiers

Situation cible du SI

Cohrence de l'architecture Projets Normes & standards SI existant legacy

Situation existante du SI

Temps

>GUIDE DAUDIT

Urbanisation du Systme d'Information Jean-Louis Leignel / AFAI vice-prsident

> BONNE PRATIQUE N1


Gestion de larchitecture. Impliquer les mtiers dans la conception de larchitecture du SI de lentreprise en simplifiant le vocabulaire et en sappuyant sur les processus de l'entreprise, ainsi que sur des cartographies simples.

Critre 1 : La DSI a tabli et maintient des cartographies applicatives et techniques de bonne qualit couvrant lensemble du SI. Commentaires Les cartographies applicatives incluent les interfaces et donnes. Les cartographies incluent les infrastructures. Les cartographies permettent de comprendre lorganisation, les liens de dpendance, les flux de donnes changs. Les cartographies sont accessibles et comprhensibles par les mtiers . Les cartographies sont mises jour : de faon priodique (la mise jour permet d'valuer la maturit des pratiques darchitecture en place), de faon ponctuelle dans le cadre d'acquisitions de logiciels/matriels, de projets d'urbanisation, de refonte de processus ou lors de la conception ou actualisation d'un schma directeur.

26

CIGREF - IFACI - AFAI

Rseau

Critre 2 : Les cartographies applicatives sont mises en cohrence avec les processus mtiers. Commentaires Les cartographies reprsentent lutilisation des services et des fonctions applicatives par les processus mtiers . L'entreprise dispose d'analyses comparatives avec l'tat de l'art (ex : supply chain, production ordonnance, etc.) ou avec les concurrents sur les grands processus critiques. Ces dernires permettent de mettre en vidence d'ventuels carts et, le cas chant, d'alimenter le schma directeur du SI.

Critre 3 : Un processus d'laboration, de maintenance et de communication des cartographies (mtiers, fonctionnelles, applicatives et techniques) impliquant l'ensemble des parties prenantes, est formalis et mis en place. Commentaires Les mtiers contribuent au processus dlaboration, de maintenance et de communication. La cartographie ne reprsente pas uniquement lexistant, elle a aussi une dimension prospective en lien avec la trajectoire des mtiers et en reprsente les paliers dvolution. Cette cartographie cible intgre les volutions mtiers , les tendances, les choix technologiques et applicatifs moyen terme et sert de rfrence au schma directeur.

Critre 4 : L'organisation en charge de l'laboration, de la maintenance et de la communication des diffrentes cartographies est dfinie. Commentaires La description de l'organisation est complte (comptences ncessaires, modalits de relation entre la DSI et les mtiers , responsabilits respectives, etc.). Les quipes en charge de la conception et de la mise jour des cartographies de processus sont mixtes (DSI et mtiers ). Le processus est supervis et fait lobjet dun compte rendu dactivit rgulier auprs du management.

Critre 5 : Les cartographies sont ralises avec des outils spcialiss, qui permettent d'tablir facilement les liens entre les processus mtiers et les cartographies applicatives. Commentaires Des outils de Business Process Management ddis sont utiliss pour la modlisation et la documentation des processus ainsi que pour leur intgration dans le systme d'information permettant de raliser des mises jour rgulires. Ces outils sont dploys et maintenus par une organisation et des processus dfinis. Lutilisation de ces outils par lentreprise est rvalue rgulirement.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
27

Gouvernance du Systme dInformation

>> Vecteur 2

Gouvernance du Systme dInformation

> BONNE PRATIQUE N2


Gestion des donnes. Dictionnaire de donnes rfrentielles de l'entreprise, classification et intgrit des donnes.

Critre 1 : L'entreprise dispose dun dictionnaire des donnes importantes de l'entreprise, utilises par les processus mtiers et le systme dinformation. Commentaires Les donnes retenues sont des informations cls, clairement dfinies et acceptes comme telles par les mtiers . Ce dictionnaire de donnes de l'entreprise permet de suivre le cycle de vie des donnes travers les processus mtiers et de tracer leur utilisation travers les diffrentes applications du systme d'information. Le dictionnaire de donnes fournit les dfinitions des donnes communes l'ensemble de l'organisation pour garantir la cohrence et liminer les informations redondantes ou incompatibles.

>GUIDE DAUDIT

Critre 2 : Le dictionnaire de donnes est partag et compris par les mtiers et la DSI : les propritaires des donnes sont identifis, les donnes ont une classification de scurit, les donnes de rfrence sont identifies. Commentaires Les propritaires de donnes sont dfinis et une qualification des donnes est tablie avec un niveau appropri de scurit (confidentialit, intgrit, disponibilit, traabilit). Les donnes de rfrences sont identifies et partages entre mtiers et DSI.

Critre 3 : Un ensemble de modles de donnes permet de reprsenter de manire synthtique les interdpendances et une vision partage des principaux objets mtiers de lentreprise. Commentaires Les langages graphiques de reprsentation des donnes sont compris par l'ensemble des parties prenantes. Ils permettent d'avoir une vue synthtique des donnes avec leurs interdpendances. Les modles sont reprsents dans loutil cartographie.

Critre 4 : Les processus de gestion de donnes matres sont formaliss, leur qualit est matrise, elles sont outilles par des plates-formes ddies (dites de Master Data Management). Commentaires Les donnes de rfrence sont distribues de manire homogne dans le systme dinformation de lentreprise. 28
CIGREF - IFACI - AFAI

Rseau

La qualit des donnes est vrifie rgulirement, les mtiers assurent leur rle dadministrateur de donnes mtiers pour celles dont ils sont propritaires.

Critre 5 : Les donnes sont partages et accessibles par les mtiers et les applications avec un niveau de qualit et de scurit matris. Commentaires Les modles des principaux objets mtiers de lentreprise sont partags, les processus de gestion de lensemble des donnes sont formaliss. Les systmes informatiques ddis la gestion des donnes sont identifis, maintenus. Les indicateurs de qualit des donnes font partie du tableau de bord de la DSI.

> BONNE PRATIQUE N3


Schma directeur. Le schma directeur s'appuie sur le schma d'urbanisation (cartographie, donnes) et constitue le plan moyen terme d'volution du SI. Il traduit la planification stratgique ralise conjointement entre la DSI, les mtiers et la direction gnrale.1

Critre 1 : Les volutions d'urbanisation et d'architecture sont formalises, intgrent les objectifs stratgiques et sont connues des responsables SI et mtiers . Commentaires Les objectifs stratgiques sont traduits en volutions mtiers et SI. Cette feuille de route est partage par la direction gnrale, les mtiers et la DSI.

Critre 2 : La feuille de route formalise des projets pour mettre en uvre les volutions durbanisation et darchitecture. Ces projets s'appuient sur les cartographies partages entre DSI et mtiers . Commentaires Les documents permettant de grer ces volutions (ex. cartographies, rfrentiels d'architecture, etc.) sont publis sur l'Intranet. Ils sont classs par thmes et sont facilement comprhensibles par les collaborateurs.

Cette bonne pratique fait le lien avec le vecteur 3 Gestion du portefeuille des projets oriente valeur pour les mtiers .

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
29

Gouvernance du Systme dInformation

>> Vecteur 2

Gouvernance du Systme dInformation

Critre 3 : Le schma directeur du SI dtaille pour chacun des domaines mtiers une vision volutive du portefeuille de projets, incluant la planification des retraits de solutions informatiques existantes. Ce schma est valid par la direction gnrale. Commentaires Le schma directeur du SI : explique les volutions envisages pour le SI partir de donnes relatives aux mtiers et leur volution (complexit, volumtrie, etc.) ; intgre une vision volutive du portefeuille des projets, ainsi que la planification des retraits (ou du maintien) de solutions informatiques existantes ; prend en compte moyen terme les quartiers orphelins (collaboratif, dcisionnel, changes inter-applicatifs, etc.) qui gnralement nont ni de fonction dassistance matrise douvrage (AMO), ni comit mtiers ).

Critre 4 : Le schma directeur du SI est maintenu annuellement et prend en compte les modifications du plan stratgique SI ainsi que les transformations du SI. Commentaires Le schma directeur du SI met en vidence les choix structurants effectus et les principales contraintes et risques associs. Les mtiers et les responsables SI proposent des choix arbitrables par le CODISI (Comit d'Orientation et de Dcision concernant l'Informatique et le SI). Le schma directeur SI (cible et trajectoire) prsente de manire globale, la trajectoire budgtaire du SI et l'volution des comptences informatiques mais aussi des aspects plus mtiers : dploiement, accompagnement du changement. Par exemple, le schma directeur SI prvoit de passer d'une application spcifique un ERP. Les collaborateurs prennent conscience de l'importance de l'urbanisme et de larchitecture dentreprise et participent leur volution (ou actualisation), par exemple, suggestions communiques aux responsables SI et/ou mtiers /utilisateurs cls.

>GUIDE DAUDIT

Critre 5 : Le schma directeur du SI prend en compte l'volution de l'organisation, des comptences et des ressources ncessaires la formation, au dploiement et laccompagnement du changement. Commentaires L'entreprise fait valuer priodiquement le bnfice des travaux d'urbanisme pour revenir sur les motivations qui ont conduit faire des choix les annes passes, leurs avantages (et les erreurs ventuelles) afin de renouveler l'intrt pour la dmarche. Elle met ainsi laccent sur la valorisation de l'investissement. La qualit du processus dlaboration du schma directeur SI est value en tirant les leons des erreurs lies aux projections initiales. Cette valuation met en vidence les bnfices de la dmarche.

30

CIGREF - IFACI - AFAI

Rseau

> BONNE PRATIQUE N4


Rgles et principes. Rgles et principes darchitecture normaliss et facilement modlisables. Elles constituent un rfrentiel sur lequel sappuient les quipes projets.

Il faut pouvoir ainsi rutiliser les briques de base sans ncessit de rinterprter, pour chaque projet, les rgles darchitecture.

Critre 1 : La DSI a tabli un rfrentiel de normes, procdures, rgles et services. Commentaires Les services peuvent tre techniques ou mtiers et ont pour objectif d'tre rutilisables dans diffrentes applications. (ex. service de conception normalise de site web). L'intrt et la mthodologie de la dmarche d'architecture sont aussi communiqus aux collaborateurs. En tout tat de cause, l'entreprise s'assure que la dmarche est comprise, mme si tous les documents ne sont pas partags.

Critre 2 : Ce rfrentiel est connu, accept et appliqu par l'ensemble des parties prenantes (les diffrentes composantes de la DSI). Commentaires Les normes, rgles et procdures sont mises en uvre dans les activits darchitecture. Leur application sert de critre lors des revues des dossiers darchitecture de projet.

Critre 3 : Ce rfrentiel, y compris les rfrentiels de donnes (clients, produits, fournisseurs, etc.) est rgulirement mis jour et communiqu lensemble des parties prenantes. Commentaires Une ou plusieurs units organisationnelles sont charges de tenir jour le rfrentiel. Un processus dinformation et de publication est mis en place.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
31

Gouvernance du Systme dInformation

>> Vecteur 2

Gouvernance du Systme dInformation

Critre 4 : Le rfrentiel darchitecture est formellement appuy et recommand par le management. Son application est supervise. La conformit au rfrentiel darchitecture est un indicateur du tableau de bord du SI. Commentaires Les diffrents responsables architecture d'entreprise sont impliqus dans les activits d'accompagnement des projets.

Critre 5 : Les mthodes utiliser sont formellement documentes et appliques (gestion des exigences, modlisation des vues darchitecture et analyse dimpacts). Commentaires Les diffrents modles de livrables produire dans le cadre de projets de transformation sont documents (tudes dopportunit, cadrage, dossiers darchitecture). Les processus de gestion du rfrentiel darchitecture sont formaliss, dploys et superviss. Une instance d'analyse et un comit de dcision existent pour tudier la modification d'une rgle, si la mise en uvre de celle-ci se heurte des obstacles. Le processus qualit vrifie l'utilisation conforme des normes et procdures applicables en matire darchitecture.

>GUIDE DAUDIT

> BONNE PRATIQUE N5


Gouvernance Architecture/Entreprise. Une instance de pilotage du SI (CODISI)1 est mise en place au plus haut niveau dans lentreprise et pilote larchitecture dentreprise (arbitrage, validation, suivi, rvision, etc.).

Critre 1 : Les responsabilits en matire de validation de la conformit au regard de l'architecture d'entreprise sont clairement tablies aux niveaux suivants : mtier, donnes, applicatifs et techniques. Les instances sont dfinies et connues. Commentaires Les responsabilits architecture sont attribues par grand domaine fonctionnel ou processus mtiers du SI (finance, production & approvisionnement, R&D, commercial & marketing, RH, etc.).

Comit dorientation et de dcision concernant linformatique et le systme dinformation.

32

CIGREF - IFACI - AFAI

Rseau

Critre 2 : Un comit est dsign pour instruire et approuver les volutions des normes, des documents et modles et des informations concernant l'architecture d'entreprise. Commentaires Un comit est investi pour gouverner les changements de larchitecture dentreprise. Ce comit se runit rgulirement. La composition de ce comit lgitime ses dcisions.

Critre 3 : Le processus de revue de conformit est pilot de manire centralise par le CODISI, qui comprend des responsables mtiers et/ou des membres de la direction gnrale. Il existe un tableau de bord (exemple : prsence d'indicateurs cls dans commentaire). Les non-conformits sont suivies dans un tableau de bord partageable avec les mtiers. Ce dernier permet de produire un plan d'actions pour traiter les impacts des non conformits. Toute drogation majeure ou structurelle au schma darchitecture fait lobjet dune validation du CODISI.

Commentaires Un cadre darchitecture dentreprise a t dfini et dploy. Ce cadre spcifie la totalit des processus, lorganisation, les mthodes et les outils. Lutilisation de ce cadre et le niveau de conformit sont pilots et font partie des processus de gouvernance de lentreprise. Larchitecture dentreprise fait lobjet dun indicateur au tableau de bord de lentreprise.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
33

Critre 4 : Lensemble des processus de gouvernance de larchitecture dentreprise est formalis et pilot : gestion RH, gestion de la qualit, conception des architectures, accompagnement des projets. Des outils informatiss sont adopts pour couvrir l'ensemble des besoins de l'architecture d'entreprise : cartographie, architecture de rfrence, fonctionnement de l'architecture, pilotage.

Gouvernance du Systme dInformation

>> Vecteur 3

Gouvernance du Systme dInformation

>> Vecteur 3
Gestion du portefeuille de projets orient cration de valeur pour les mtiers

>GUIDE DAUDIT

ENJEUX
Donner lentreprise une vision globale du portefeuille et non pas seulement projet par projet pour tre en mesure : de couvrir de faon quilibre, en tenant compte des enjeux des mtiers , lensemble des besoins de lentreprise sur des domaines aussi diffrents que : linnovation, loptimisation de la chane logistique, la gestion de la relation client et des partenaires, lexcellence oprationnelle ; de garantir le caractre raliste du portefeuille en fonction dune estimation densemble des ressources mobiliser, des changements conduire et des comptences nouvelles dvelopper ; de trouver un quilibre optimal entre cration de valeur et risques. Sassurer de la qualit des Business cases et de lefficience des moyens demands en renforant la robustesse du processus davant-projet. Aider la prise de dcision pour le lancement des projets les plus contributifs la cration de valeur sur la base de leurs hypothses et des engagements conomiques. Obtenir un niveau dengagement suffisant de la part des dirigeants tout au long des tapes du projet (lancement, ralisation, dploiement) pour garantir latteinte des rsultats.

RISQUES ASSOCIS
Gaspiller les ressources de lentreprise sur des projets peu contributifs ou mal cadrs. Ne pas obtenir dimplication suffisante des responsables mtiers et de la direction gnrale permettant datteindre les bnfices escompts des projets. Ne pas dvelopper les projets les plus importants pour lorganisation.

34

CIGREF - IFACI - AFAI

Rseau

Di cult dire NON des projets Manque de cadrage stratgique Les projets se vendent sur une base motionnelle Faiblesse des revues de projets

Dpassements budgtaires
Trop de projets

Retards
Impossibilit de tuer des projets Sous estimation des risques et des cots Des projets non aligns avec la stratgie Des lacunes dans la qualit de ralisation des projets

Attentes mtiers non satifaites Bn ces introuvables Perte de con ance en linformatique

Focalisation trop importante sur les ROI nanciers Pas de critres clairs de slection par rapport la stratgie

AFAI 2006

Source ISACA : Val IT

Les consquences dune gestion insusamment matrise du portefeuille de projets

La question stratgique - Linvestissement : est-il conforme notre vision ? correspond-il nos enjeux "mtiers" ? contribue-t-il nos objectifs stratgiques ? gnre-t-il une valeur optimale, un cot supportable, pour un niveau de risque acceptable ?

La question de la valeur - Avons-nous : une comprhension claire et partage des bn ces attendus ? des responsabilits mtiers clairement tablies pour la ralisation des bn ces ? des mtriques pertinentes ? un processus de ralisation de bn ces e cace ? En obtenonsnous les bn ces ?

Quelques questions fondamentales

Faisonsnous ce quil faut ?

propos de la valeur fournie par les systmes dinformation

Le faisonsnous comme il faut ? La question architecture - Linvestissement : est-il conforme notre architecture ? correspond-il nos principes darchitecture ? contribue-t-il donner du contenu notre architecture ? est-il conforme nos autres initiatives ?

Le faisonsnous faire comme il faut ? La question de la ralisation - Disposonsnous : dun management e cace et rigoureux ? de processus de gestion des ralisations et des modi cations e caces ? de moyens techniques et mtiers su sants et disponibles pour proposerles comptences ncessaires ?
Val IT

AFAI 2006

Les questions se poser pour tirer le meilleur parti des investissements que fait lentreprise dans son systme dinformation
CIGREF - IFACI - AFAI

>GUIDE DAUDIT
35

Gouvernance du Systme dInformation

La situation

conduit ...

et se traduit par ...

>> Vecteur 3

Gouvernance du Systme dInformation

> BONNE PRATIQUE N1


Business cases. Les mtiers laborent avec l'aide de la DSI, pour chaque projet mtiers ayant un volet SI significatif, un business case. Ces business case mettent en relief, outre les cots et les dlais, les bnfices mtiers attendus et les conditions ncessaires leur obtention.

Critre 1 : Le primtre du projet intgre la dimension SI et mtiers (bnfices mtiers attendus et accompagnement du changement). Commentaires Le bnfice du projet est dfini ainsi que sa consquence sur les mtiers (organisation, processus, niveau de comptences mettre en place) pour atteindre le bnfice escompt.

>GUIDE DAUDIT

Critre 2 : Le leadership de llaboration des business cases est assur par les mtiers . Les projets les plus importants lancs dans la DSI font l'objet d'un business cases adapt aux enjeux. Commentaires Pour les projets purement techniques et dinfrastructure, le business case est tabli par la DSI. Trop souvent, llaboration de business case est limite aux seuls projets dont les cots sont les plus importants, sans suffisamment prendre en compte leurs enjeux.

Critre 3 : Lestimation du ROI des projets prend en compte les gains et les cots rcurrents internes et externes. Les critres de ROI sont clairement dfinis (quantifiable, non quantifiable, qualitatif, quantitatif) et partags au niveau de l'entreprise. Tous les projets lancs par la DSI font l'objet d'un business cases adapt aux enjeux. Commentaires Lorsque le volet SI est important, les cots (projet et rcurrent) sont estims par la DSI (sur la base de prototypes, si ncessaire). Si cela est pertinent, les cots rcurrents peuvent tre estims sur une priode de 3 5 ans. Les interdpendances entre projets constituent un facteur de risque souvent sous-estim. Il convient donc den mesurer limpact sur les business case.

36

CIGREF - IFACI - AFAI

Rseau

Critre 4 : Le business case inclut une analyse des risques (tudes des solutions alternatives : faire ou ne pas faire ou encore fonctionner en solution dgrade). Un portefeuille prospectif et pluriannuel de projets est constitu, qui comprend les projets potentiels dont les objectifs, le primtre, etc. ne sont pas encore compltement matures. Commentaires Les solutions proposes dans le business case sont mises en perspective de projets envisags dans les annes suivantes.

Critre 5 : L'entit mtiers commanditaire du projet est responsabilise la fois sur l'atteinte du ROI et sur une gestion optimale des risques. Commentaires Les objectifs des directions mtiers sont aligns sur les business cases des projets les concernant.

> BONNE PRATIQUE N2


Gestion des priorits de lancement. Un processus de gestion des priorits de lancement (inter projets) bas sur les business cases est mis en place et implique les directions mtiers au niveau du comit de direction pour les projets cls.

Critre 1 : Un rfrentiel de projets est dfini et formalis, constituant le portefeuille. Les projets retenus dans le portefeuille de projets sont slectionns sur la base de l'valuation des business cases partir dun cadre budgtaire prdfini.

Critre 2 : Les business cases sont valus selon des rgles et des critres objectifs, et les projets/opportunits effectivement prioriss selon leur contribution la stratgie de l'entreprise. Les mtiers sont impliqus, via des comits projet, le plus en amont possible (en restant dans le cadre de la vision du SI moyen terme, alimentant la gestion patrimoniale du SI). Les dpendances avec des projets existants ou sur le point d'tre lancs sont identifies et leurs impacts analyss. Commentaires Les rsultats des valuations, et leurs consquences en termes de hirarchisation, sont formaliss et communiqus aux quipes concerns. Ces comits veillent la cohrence du SI moyen terme pour grer les SI sous un angle patrimonial. Une procdure dexception est mise en place pour traiter les projets spcifiques qui ne peuvent tre effectivement valus selon les critres de slection du portefeuille. Les exceptions doivent tre documentes.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
37

Gouvernance du Systme dInformation

>> Vecteur 3

Gouvernance du Systme dInformation

Critre 3 : Un canevas de dcisions et darbitrages est dfini, partag et prtabli, incluant les diffrents niveaux dorganisation pour les DSI des grands groupes. Il sappuie sur des critres dvaluation des business cases prdfinis. Lautorisation de lancement des projets tient compte des contraintes oprationnelles : ressources humaines disponibles, capacit faire, ressources financires, etc. La gestion du portefeuille est facilite par lusage dun outil ddi. Commentaires Un processus d'escalade vers la direction gnrale est mis en place pour arbitrage final si ncessaire. Le canevas de dcision et darbitrage dfinit les rgles de conduite pour lancer, arrter, annuler, ralentir ou acclrer les projets du portefeuille. Les critres dvaluation des business cases intgrent le niveau dalignement avec la stratgie, la valeur financire globale, le risque de ralisation et de non-ralisation, etc.

>GUIDE DAUDIT

Critre 4 : La gestion du portefeuille de projet intgre une dimension dvaluation qualitative et quantitative des risques. Lentreprise dispose dune segmentation fine de son portefeuille lui permettant dquilibrer en permanence les investissements obligatoires (palier technologique, contraintes lgales, etc.) et les investissements pour dvelopper loffre produit et service du SI aux mtiers . Loutil de gestion de portefeuille de projets permet de vrifier simplement et rapidement le niveau de contribution des projets aux enjeux. Commentaires La direction gnrale ou le comit de direction sont directement impliqus dans le processus de pilotage du portefeuille de projets. A titre dexemple, la segmentation du portefeuille de projets pour dvelopper loffre produit et service du SI aux mtiers peut sappuyer sur la typologie suivante : projet de soutien au dveloppement de lactivit ; projet visant lamlioration des performances (qualit, rduction des dlais, standardisation des processus) ; projet de rduction de cot ; projet doptimisation des systmes ou dinfrastructure.

Critre 5 : La gestion de capacit est intgre la gestion du portefeuille de projets afin de garantir la meilleure allocation des ressources. Le SI comprend des fonctionnalits de gestion de capacit et de simulation (impact des dcisions projets, des retards ou dpassements). Commentaires On entend par gestion de la capacit, la possibilit dexcution des projets sous contrainte de ressources. Les fonctions de simulation permettent de dterminer limpact des dcisions sur lensemble du portefeuille.

38

CIGREF - IFACI - AFAI

Rseau

> BONNE PRATIQUE N3


Suivi et recadrage des projets lancs. Un processus de management de projets, impliquant les directions mtiers , permet de suivre et de recadrer les projets lancs sur la base d'un reporting fiable et exhaustif, le cas chant en actualisant les business cases.

Critre 1 : L'tat d'avancement des projets et des programmes est suivi rgulirement par une autorit mandate (comit de pilotage).

Critre 2 : Une mthodologie (connue et pratique sur le march) est applique la gestion des projets, avec des livrables homognes/standardiss.

Critre 3 : Le ROI des projets est ractualis chaque tape cl du cycle de vie. Les dpassements budgtaires/dlais sont systmatiquement revus et, le cas chant, approuvs par la direction. Ils dclenchent une ractualisation immdiate du business case.

Critre 4 : Les informations de suivi du projet sont mises rgulirement jour et accessibles tout moment au mtier et la DSI. La gestion du changement mtiers est clairement apprhende comme une composante cl des projets et suivie en tant que telle. Commentaires Les chefs de projets mettent jour l'avancement des travaux dans loutil ddi au suivi des projets.

Critre 5 : Les lments cls du pilotage du portefeuille de projets (allocation des ressources, interdpendances avec les autres projets, indicateurs unifis) sont intgrs dans loutil de pilotage des projets. Les indicateurs ou rfrentiels utiliss dans loutil de gestion du portefeuille de projets sont cohrents avec les autres rfrentiels de l'entreprise (budgtaire, RH, achats, etc.). Commentaires Loutil de gestion de portefeuille agit comme un outil de consolidation des lments utiliss dans les projets.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
39

Gouvernance du Systme dInformation

>> Vecteur 3

Gouvernance du Systme dInformation

> BONNE PRATIQUE N4


Responsabilisation des directions mtiers . La direction gnrale responsabilise les directions mtiers sur l'atteinte des bnfices attendus dans les business cases qu'elles ont prsents.

Critre 1 : Les responsables mtiers sont impliqus dans la seule conduite du changement.

Critre 2 : Les business cases comportent l'identification des responsables mtiers qui auront en charge la concrtisation des bnfices mtiers . Pour cela, ils sont associs au droulement du projet pendant toute sa dure de vie.

>GUIDE DAUDIT
40

Critre 3 : Le projet mtiers est plac sous la responsabilit d'un chef de projet mtiers , qui a notamment en charge le pilotage du budget et la gestion des impacts mtiers (en termes de personnel, information, formation, organisation, etc.).

Critre 4 : Les responsables mtiers concerns prennent, avec le/les chefs de projet mtiers toutes les dispositions (en termes de personnel, information, formation, organisation, etc.) ncessaires la concrtisation des bnfices attendus.

Critre 5 : La direction gnrale s'assure que les responsables mtiers concerns prennent toutes les dispositions correctives (en termes de personnel, information, formation, organisation, etc., voire lancement d'un autre projet) ncessaires la concrtisation des bnfices attendus, suite aux constats effectus dans le cadre des bilans de projets mtiers (retours dexpriences sur les projets prcdents).

CIGREF - IFACI - AFAI

Rseau

> BONNE PRATIQUE N5


Bilans de projet mtiers . La direction gnrale fait eectuer des bilans de projet mtiers , lorsque celui-ci a atteint un fonctionnement nominal, pour tirer les enseignements ncessaires l'optimisation du processus de prise de dcisions concernant les projets.

Critre 1 : Pour quelques projets, les bnfices mtiers atteints (ROI) sont analyss pour vrifier qu'ils sont en ligne avec le business case initial.

Critre 2 : Pour l'ensemble projets fortement contributifs la cration de valeur, les bnfices mtiers atteints (ROI) sont analyss pour vrifier qu'ils sont en ligne avec le business case initial.

Critre 3 : Les analyses sont formalises, ainsi que les retours d'exprience concernant le droulement du projet. Des plans d'actions d'amlioration du processus de projet sont mis en place.

Critre 4 : Le CODISI exploite les analyses d'carts pour demander aux responsables mtiers concerns des plans d'actions correctifs pour atteindre les bnfices attendus (ajustement de l'organisation et/ou des comptences, voire le lancement d'un nouveau projet ou d'volutions).

Critre 5 : Le CODISI suit la bonne mise en uvre des actions correctives dcides, qui sont inscrites dans le plan MT.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
41

Gouvernance du Systme dInformation

>> Vecteur 4

Gouvernance du Systme dInformation

>> Vecteur 4
Management des risques SI en fonction de leurs impacts mtiers

ENJEUX
Dvelopper une analyse des risques SI incluant leurs impacts sur les mtiers et proposant un traitement proportionn la gravit de ces impacts. Favoriser lappropriation par le management des SI de la connaissance du profil de risque spcifique lactivit de lentreprise. Rduire les facteurs de risque inhrents lutilisation de technologie informatique dans le support aux mtiers . Diffuser une culture de matrise des risques qui mesure limpact sur lactivit mtiers et pas seulement sur la technologie ou les processus SI concerns. Aider les mtiers identifier le bon quilibre entre risques et opportunits, notamment lors de la mise en uvre de nouvelles technologies qui ne sont pas totalement matures. Sassurer que les dcisions structurantes en matire de SI sappuient sur une analyse de risque structure et partage avec les mtiers et pas seulement sur une analyse rapide de forces et faiblesses. Prendre en compte, dans la matrise des risques SI, les risques inhrents la fonction informatique proprement dite : dveloppement et maintenance des applications, gestion de lexploitation et scurit. Ces dmarches doivent prendre en considration la pertinence des contrles automatiques par rapport aux contrles manuels pour optimiser les processus et rduire les risques rsiduels.

>GUIDE DAUDIT

RISQUES ASSOCIS
Un dispositif de gestion des risques informatiques inadapt aux enjeux mtiers ne permet pas dapprhender les risques majeurs de lentreprise et peut conduire laisser des risques informatiques non couverts ou avec un dispositif de contrle insuffisant. La non matrise des risques peut avoir des impacts importants sur lactivit de lentreprise, notamment en termes de fiabilit, dintgrit et de confidentialit des informations financires et commerciales. Une absence de dmarche par les risques peut conduire sous ou sur estimer les dispositifs de mise sous contrle des applications majeures, des infrastructures cls et des donnes critiques. 42
CIGREF - IFACI - AFAI

Rseau

> BONNE PRATIQUE N1


Cadre de gestion des SI. La DSI pilote la gestion des risques informatiques en prenant en compte le cadre global de la gestion des risques de l'entreprise.

Critre 1 : Le management considre la gestion du risque comme une composante importante de la gouvernance de l'entreprise et l'intgre dans sa communication. Commentaires Communication interne et externe des dirigeants sur la gestion des risques. Dfinition claire des objectifs. La gestion des risques est partie intgrante du bilan annuel dactivit de l'entreprise. Un programme de sensibilisation et de formation est mis en uvre.

Critre 2 : Le management a mis en place une politique et une organisation de gestion des risques couvrant lensemble des processus critiques de lentreprise intgre au sein des mtiers et de la fonction informatique. Commentaires Il existe des comits ad hoc de gestion des risques intgrant les acteurs mtiers et des membres du Comex. Une filire risque intgrant l'ensemble des mtiers est dfinie dans l'organigramme de l'entreprise. La mission de la filire risque est prcise et communique. La filire risque comprend une partie veille sur les risques mtiers et SI ainsi que les risques mergents. Un correspondant risque est identifi au sein de la DSI. Un document de politique de gestion des risques est partag au sein de l'entreprise.

Critre 3 : Le niveau dapptence et de tolrance au risque est dfini et partag avec l'ensemble des acteurs, chaque niveau o il est pertinent. Les plans d'actions de rduction des risques sont coordonns par la direction des risques ou dfaut par le comit de direction. Commentaires Les units de mesure et de frquence sont dfinies et communes pour l'ensemble de l'entreprise. Le management a dfini des seuils de risques rsiduels raisonnables pour l'entreprise ainsi que l'impact financier maximal acceptable. Ce dispositif permet dapporter des rponses aux questions : quelles sont les mthodes de transfert et/ou de diminution du risque ?

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
43

Gouvernance du Systme dInformation

>> Vecteur 4

Gouvernance du Systme dInformation

Critre 4 : La dmarche mise en uvre pour l'identification des principaux risques associe les acteurs mtiers et la DSI. La DSI value notamment les risques sur ses processus (projet, changement, exploitation, incident, scurit, gestion des donnes, etc.). Commentaires Un inventaire des risques a t tabli avec les mtiers et est consolid. Cet inventaire intgre les risques SI. Une revue en est ralise annuellement par entretiens. Elle est prsente rgulirement aux instances dirigeantes et de contrle. L'inventaire peut galement s'appuyer sur des rfrentiels de risques SI reconnus (IT Risk Framework ITGI).

Critre 5 : L'entreprise dispose d'outils de pilotage et de suivi de gestion des risques servant d'aide aux dcisions stratgiques. Commentaires Existence de bases des incidents importants, dont limpact sur l'activit et en termes financier, est mesur. Analyse et reporting de lvolution probable, en frquence et en impact, des incidents pris en compte dans la gestion des risques.

>GUIDE DAUDIT

Critre 6 : La DSI prend en compte les priorits identifies dans le plan d'actions de rduction des risques dans le cadre de son plan informatique. Commentaires La composante SI prend en compte gnralement la disponibilit. Une campagne de revue des PCA est ralise priodiquement. Les risques au regard des critres intgrit et confidentialit doivent galement tre valus et revus priodiquement.

> BONNE PRATIQUE N2


Enjeux mtiers . La DSI procde une identification des risques informatiques partage avec les mtiers en prenant en compte les enjeux majeurs des mtiers .

Critre 1 : Le primtre d'analyse des risques SI s'appuie sur le primtre des processus mtiers dfinis comme critiques pour l'entreprise. Commentaires Sont gnralement pris en compte : les applications supportant des flux financiers majeurs (systmes comptable, consolidation & reporting), les systmes de facturation (gestion des achats, des commandes

44

CIGREF - IFACI - AFAI

Rseau

et des stocks), les applications de gestion des rfrentiels car considres comme transverses (clients, contrats, etc.), les applications de gestion des accs, les applications critiques en termes de confidentialit. Enfin, les applications considrs comme cur de mtier .

Critre 2 : Les ressources informatiques supportant les processus mtiers identifis critiques sont inventories. Commentaires Les ressources comprennent les applications, les serveurs, l'infrastructure et les postes cls qui leur sont associs.

Critre 3 : Lentreprise a dfini avec la DSI et les mtiers une liste des donnes cls et les a identifies comme telles dans un dictionnaire de donnes unique. Commentaires La connaissance des donnes qualifies de sensibles permet une entreprise d'adapter au mieux ses dispositifs de matrise des risques. A titre d'exemple, les donnes RIB peuvent tre considres comme des donnes sensibles et un dispositif spcifique de contrle doit tre mis en place.

Critre 4 : La DSI prend en compte les volutions d'organisation interne et externe (fusion, nouvelle activit, nouvelle implantation, etc.). Commentaires Des runions priodiques avec les mtiers sont mises en place pour prendre en compte les volutions. Les demandes mtiers sont formalises et la DSI les prend en compte, via des plans de rorganisation, de mise jour des contrats de service (SLA), etc.

Critre 5 : Les vnements survenus ou pouvant survenir (menaces) avec une frquence et un impact potentiel ngatif suffisamment important pour lentreprise sont identifis. Les vnements survenus sont historiss. Commentaires Des bases dincidents sont mises en place pour permettre de tracer et de recenser les incidents majeurs. Un dispositif de veille est en place afin d'anticiper les risques mergeants (veille scurit internet, mergence risques mtiers , etc.).

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
45

Gouvernance du Systme dInformation

>> Vecteur 4

Gouvernance du Systme dInformation

Critre 6 : A partir des vnements, des scnarii de risques sont identifis puis regroups en familles de risques informatiques. Commentaires La non disponibilit d'une application peut tre lie diffrents vnements : rupture de communication, incendie du centre de traitement, panne serveur. Le scenario Non disponibilit d'une application s'inscrit dans la famille risque - non disponibilit .

Critre 7 : Les risques SI prennent en compte les contraintes rglementaires, juridiques, contractuelles et sociales. Commentaires Les contraintes rglementaires prendre en compte sont principalement : Cnil, Archivage Fiscal et lgal, SOX sil y a lieu, rglementation sectorielle (Ble 2, Solvency 2, Sant, Pharmarcie, etc.).

>GUIDE DAUDIT

> BONNE PRATIQUE N3


valuation des risques. La DSI procde une valuation des risques partage avec les mtiers en prenant en compte les applications et les donnes mtiers cls.

Critre 1 : Lvaluation de la frquence et des impacts des risques SI sappuie sur une mthode harmonise au sein de lentreprise et partage avec les acteurs SI et mtiers .

Critre 2 : La DSI dispose dindicateurs de risques, qui permettent de mettre en vidence les vnements ou situations dont limpact ngatif peut tre significatif pour le mtier . Commentaires Ces indicateurs permettent de faon simple d'alerter, de mesurer l'impact, la tendance haussire ou baissire. Exemples : Risque projet : besoins non valids par le management, non respect des dlais, absence de suivi des risques projets, etc. Risque de conformit : non respect des procdures de validation des livrables, de mise en production, absence de publication des livrables, etc. Risque Scurit : taux dindisponibilit des serveurs, nombre d'incidents majeurs par application/infra, nombre d'actes de malveillance externe (virus, hacking...), nombre de mots de passe faibles, nombre de tests de restauration effectus dans l'anne, nombre d'audit externes, nombre de comptes gnriques, nombre de comptes cumulant des fonctions incompatibles, etc. Risque contrle interne : niveau de satisfaction des utilisateurs, nombre de mise en production non lies une demande d'intervention, nombre de changements urgents et non standard (modification des donnes en production), etc. 46
CIGREF - IFACI - AFAI

Rseau

Critre 3 : Les familles de risques identifis sont values en relation avec les processus mtiers critiques de l'entreprise.

Critre 4 : Les risques sont valus, en termes de frquence et dimpact, et compars au seuil de tolrance au risque du processus mtiers support.

> BONNE PRATIQUE N4


Contrle des processus informatiques. La DSI met en uvre les contrles sur les processus informatiques afin de rduire les risques un niveau acceptable en liaison avec les contraintes des mtiers .

Commentaires CobiT est un rfrentiel reconnu en termes de contrles, de cration de valeur, et de risque SI par une approche processus.

Critre 2 : La DSI identifie ses contrles cls qui permettent de grer les risques informatiques.

Critre 3 : La DSI formalise ses contrles cls en appliquant le modle de documentation des contrles dfini par l'entreprise (ex : direction des risques). Commentaires Ces modles standardiss permettent une description et classification standardise au niveau de l'entreprise.

Critre 4 : La DSI tudie rgulirement les projets susceptibles de rduire les risques informatiques de faon consquente. Ces projets peuvent tre proposs pour intgration au plan informatique avec les autres projets, l'arbitrage tant ralis avec les mtiers . Commentaires Par exemple, un projet de sauvegarde en temps rel de donnes critiques permet, en favorisant un dmarrage trs rapide en cas dincidents, de rduire un risque de discontinuit dactivit. Cest aux mtiers de dcider si les cots supplmentaires envisags sont acceptables par rapport limpact de linterruption dactivit.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
47

Critre 1 : La DSI identifie et met en place un rfrentiel d'objectifs de contrle des risques par une approche processus SI (de type CobiT ou autre).

Gouvernance du Systme dInformation

>> Vecteur 4

Gouvernance du Systme dInformation

Critre 5 : Lors de la mise en place de contrles (nouveaux ou ajustements), la DSI s'assure que les tests de leur efficacit sont raliss et communiqus. Commentaires Les tests sont spcifis, communiqus auprs des parties prenantes, tests et valids.

> BONNE PRATIQUE N5


Contrle embarqus des applications. La DSI prend en compte les contrles embarqus dans les applications en relation avec le mtier.

Critre 1 : Les contrles embarqus sont analyss spcifiquement dans les projets afin d'optimiser la matrise du processus mtiers . Commentaires Des tats de contrle sont labors afin de pouvoir raliser des contrles manuels sur des oprations cibles (comparaison d'informations entre deux systmes, extraction des oprations atypiques, suivi des oprations en attente de validation, etc.). Il existe plusieurs natures de contrles embarqus : les contrles d'interface et de gestion des rejets, les workflows d'autorisation et de validation, les contrles de cohrence la saisie (vrification de l'existence du client, du contrat, pertinence des dates saisies, etc.).

>GUIDE DAUDIT
48

Critre 2 : Les contrles embarqus sont identifis.

Critre 3 : Les contrles embarqus sont documents.

Critre 4 : Les contrles embarqus sont tests et effectifs.

CIGREF - IFACI - AFAI

Rseau

> BONNE PRATIQUE N6


valuation des contrles SI. La DSI ralise une valuation rgulire de l'ecacit des contrles SI.

Critre 1 : La pertinence des contrles cls identifis, qu'ils soient automatiques ou manuels, doit tre value et justifie. Commentaires Nombre limit de contrles cls adapts l'organisation. Intgration des contrles au sein des processus.

Critre 3 : La DSI fait un suivi de la mise en uvre et de l'efficacit des contrles cls.

Critre 4 : L'valuation est documente.

Critre 5 : L'valuation comprend les contrles rcurrents de surveillance sur la qualit des donnes, dfinis avec les mtiers .

> BONNE PRATIQUE N7


Ractivit face aux incidents majeurs. La DSI est capable de ragir ecacement et dans les dlais des incidents majeurs avec un impact significatif pour le mtier .

Critre 1 : Le plan de crise est formalis et maintenu en condition oprationnelle. Commentaires Le plan de crise doit tre associ au PRA/PCA (plan de continuit dactivit). Il doit fait lobjet dun test rgulier et formalis.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
49

Critre 2 : Lvaluation des risques rsiduels s'appuie sur les tests d'efficacit des contrles cls au sein des processus majeurs de la fonction SI tels que la gestion de la scurit logique et physique, gestion de lexploitation, gestion des dveloppements, gestion des changements.

Gouvernance du Systme dInformation

>> Vecteur 4

Gouvernance du Systme dInformation

Critre 2 : Les conditions de dclenchement sont dfinies et valides.

Critre 3 : Les scnarii de traitement sont dfinis et valids.

Critre 4 : Un bilan de gestion des incidents majeurs est ralis.

> BONNE PRATIQUE N8


Reporting des risques. Dans le cadre du pilotage des risques au niveau de l'entreprise, la DSI communique au management un reporting rgulier des risques pour lui donner une vritable connaissance des risques SI auxquels est expose l'entreprise, et pour lui permettre de prendre les dcisions appropries dans les dlais.

>GUIDE DAUDIT

Critre 1 : La revue des risques est ralise rgulirement et en liaison avec la revue des risques mtiers .

Critre 2 : Les actions de revue des contrles sont organises en liaison avec les revues de contrle interne au sein des processus mtiers .

Critre 3 : Les plans de rduction sont tablis en liaison avec les valuations des risques et des enjeux mtiers , suivis par la filire risque et pilots en coordination avec les mtiers . Commentaires Mise en place de contrles complmentaires ou ajustement des contrles existants (conception/formalisation). Partage en amont des objectifs et des modalits des contrles mettre en place.

Critre 4 : Un reporting est en place destination des dirigeants, permettant deffectuer un suivi des principaux risques et des prises de dcisions appropries qui peuvent faire lobjet dvaluations lors dintervention de laudit interne.

50

CIGREF - IFACI - AFAI

Rseau

>> Vecteur 5
Alignement de la fonction informatique par rapport aux processus mtiers

ENJEUX
Mettre en place une organisation de la DSI qui permette le support des processus mtiers et la communication avec les diffrents mtiers . Cet objectif passe par quelques points cls : Disposer de capteurs dans les mtiers ou proches des processus mtiers de lentreprise ; Diffuser et grer au sein de lorganisation SI, des connaissances et des comptences mtiers ; Associer au plus tt la DSI aux projets de transformation de lentreprise ; Etablir des contrats de services qui permettent lactualisation de lalignement entre lorganisation SI et les diffrents mtiers de l'entreprise. Ces lments doivent permettre de favoriser une plus grande proximit entre la fonction SI et les mtiers en : dcloisonnant lorganisation de la DSI pour quelle soit tourne vers les clients et non pas uniquement vers les mtiers de linformatique ; impliquant les responsables mtiers et les responsables SI, au bon moment et au bon niveau, dans le processus de prise de dcision concernant les projets et les services informatiques rcurrents.

RISQUES ASSOCIS
Inefficacit dans la collaboration entre les mtiers et la DSI se traduisant par : un gaspillage des ressources, la lenteur du processus de dcision, linadquation avec les enjeux mtiers , la frustration et lincomprhension mutuelles, la multiplication des comits de coordination et des structures dintermdiation. Inefficacit de lorganisation informatique qui, structure en silos par mtier informatique, perd de vue lintrt du client mtiers ou gaspille son nergie en ngociations internes, jusquau clientlisme.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
51

Gouvernance du Systme dInformation

>> Vecteur 5

Gouvernance du Systme dInformation

> BONNE PRATIQUE N1


Schma directeur du SI. L'entreprise a dfini un schma directeur du SI qui prend en compte les axes stratgiques de lentreprise et les objectifs des mtiers .1

Critre 1 : L'entreprise dispose d'un schma directeur du SI formalis et partag avec la direction gnrale et les mtiers . Commentaires Cette formalisation partage SI-DG-Mtiers est une brique de base indispensable pour favoriser lalignement stratgique du SI.

>GUIDE DAUDIT

Critre 2 : Les principaux acteurs des mtiers ont t impliqus dans la ralisation et la validation du schma directeur des SI qui est tabli partir des objectifs stratgiques communiqus par la direction gnrale. Commentaires De nombreux schmas directeurs ne sont pas co-construits avec les mtiers mais par la DSI seule. Ils ne sont alors le reflet que dune interprtation univoque par la SI des enjeux mtiers . Celle-ci est galement trop souvent ralise partir dune vision incomplte de la stratgie de la direction gnrale.

Critre 3 : La cible SI dfinie dans le schma directeur du SI est claire et aligne sur les priorits des mtiers . Commentaires Les acteurs identifient et partagent un plan dactions o larticulation priorits Mtiers/Rponse SI est claire pour les parties prenantes et permet de valider la cible et la feuille de route permettant de latteindre.

Critre 4 : Lensemble des exigences des mtiers sont prises en compte dans le schma directeur SI et la hirarchisation des volutions a t valide avec la direction gnrale et les responsables mtiers . Commentaires Un schma directeur ne faisant pas apparatre les exigences des mtiers reste thorique et est difficilement comprhensible par les mtiers . Cest partir de la formalisation de ces exigences que pourra tre tablie une hirarchisation adapte.
1

Cette bonne pratique fait le lien avec le vecteur 3 Gestion du portefeuille de projets orient cration de valeur pour les mtiers . CIGREF - IFACI - AFAI

52

Rseau

Critre 5 : Le schma directeur du SI est communiqu aux principaux acteurs des mtiers . Il est dclin dans le cadre d'un plan informatique annuel valid avec lensemble des parties prenantes. Commentaires Cet effort de communication prpare lacceptation par les mtiers du plan annuel SI et de ses consquences en termes de priorits et de ressources/allocation budgtaire.

Critre 6 : Le schma directeur du SI est rgulirement mis jour dans le cadre de la dfinition du plan informatique annuel. Une procdure d'actualisation est formalise et valide par la direction gnrale. Commentaires Pour que le schma directeur reste un instrument de pilotage moyen terme et pour permettre lactualisation de la cible, il doit tre mis jour des dcisions structurantes actes dans le plan informatique annuel.

> BONNE PRATIQUE N2


Contribution du SI la transformation de lentreprise. Les oprations de transformation de l'entreprise prennent en compte en amont la composante SI.

Critre 1 : La DSI participe aux comits de pilotage des projets de transformation ou projets stratgiques.

Critre 2 : La DSI est susceptible de s'organiser temporairement en mode projet afin de rpondre efficacement aux besoins des mtiers . Commentaires Il sagit didentifier le niveau dagilit de la DSI et sa capacit sorganiser en support dun processus de transformation souvent itratif et pas toujours trs structur.

Critre 3 : La DSI dispose dun volant de ressources suffisant pour mettre en uvre les dcisions darbitrage des projets de transformation. Commentaires Les collaborateurs affects ces projets de transformation doivent avoir un niveau dexprience suffisant et tre rellement disponibles.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
53

Gouvernance du Systme dInformation

>> Vecteur 5

Gouvernance du Systme dInformation

Critre 4 : Le dispositif de gestion du portefeuille projet est organis de faon permettre la DSI de piloter de faon optimale ces projets prioritaires. Commentaires Ces projets prioritaires sont la dclinaison oprationnelle de la feuille de route issue du schma directeur SI.

Critre 5 : La mthodologie de projet est commune aux acteurs SI et mtiers . Commentaires Il sagit de sassurer que les mthodologies ou les pratiques Projet mises en uvre par les mtiers sont cohrentes avec les procdures de gestion de projets de la DSI.

>GUIDE DAUDIT

> BONNE PRATIQUE N3


Architecture dentreprise et urbanisation des SI. L'entreprise a mis en uvre une dmarche de type architecture dentreprise et sa dclinaison en termes durbanisation du SI.1

Critre 1 : Une dmarche existe dans lentreprise : le projet est dfini et fait l'objet d'une communication rgulire au sein de l'entreprise, des responsables de processus ont t nomm. Commentaires LArchitecture dEntreprise (EA) permet aux entreprises de modliser leur mtier, leur organisation, leurs processus et durbaniser leur systme dinformation. Elle formalise lentreprise et son SI pour mieux matriser leurs volutions, grer les risques lis aux changements, tablir un plan durbanisation et optimiser le ROI sur lexistant.

Critre 2 : Une cartographie des processus et des applications a t ralise et est mise jour rgulirement. Cette cartographie mentionne par processus, les tches et les acteurs, les principaux systmes utiliss, les flux entre les systmes. Commentaires La cartographie de lexistant permet ainsi de comprendre lorganisation, les liens de dpendance, les flux de donnes changs. Lurbanisation du SI peut ensuite tre envisage afin de structurer, rorganiser et atteindre larchitecture cible identifie.

Cette pratique fait le lien avec le vecteur 2 Urbanisme et architecture dentreprise au service des enjeux stratgiques .

54

CIGREF - IFACI - AFAI

Rseau

Critre 3 : La DSI a mis en place une architecture oriente services. Elle permet de dfinir les services, les composants de services, les donnes dchange et la logique densemble des applications. Commentaires Ncessit de crer une continuit smantique entre applications, contrat de services et services-fonctions mtiers . Larchitecture logique du systme dinformation est la charnire entre la vision mtier amont et la vision technologique aval. Elle dfinit les constituants d'une architecture, indpendamment de la technologie utilise dans larchitecture logicielle. Elle permet de dfinir les services, les composants de services, les donnes dchange et la logique densemble des applications.

Critre 4 : Un dispositif de mesure de la performance est en place sur les principaux processus de l'entreprise. Des contrats de service mtiers /SI sont en place et font l'objet d'un suivi rgulier et d'un reporting sur la base d'indicateurs clairement dfinis. Commentaires Mise en place de contrats de service ou Service Level Agreement (SLA) et de Key Perfomance Indicators (KPI) associs afin dapprcier la performance.

> BONNE PRATIQUE N4


Articulation avec les processus mtiers . Le lien entre les processus mtiers cls et les moyens SI en support de ces processus est explicite.1

Critre 1 : Il existe un lien et une dclinaison logique entre les objectifs des mtiers et ceux de linformatique. Commentaires Ce lien est illustr par une bonne articulation entre les objectifs de chaque projet SI et les objectifs stratgiques des mtiers . De mme, les objectifs des processus SI (par exemple, temps de rsolution tolr sur des natures dincidents considrs comme stratgiques) sont en lien avec les objectifs de l'entreprise.

Critre 2 : L'entreprise a dfini un cadre de rfrence des macros-processus des mtiers et il existe un processus de mise jour (plan de rvision).

Cette pratique fait le lien avec le vecteur 2 Urbanisme et architecture dentreprise au service des enjeux stratgiques .

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
55

Gouvernance du Systme dInformation

>> Vecteur 5

Gouvernance du Systme dInformation

Critre 3 : La DSI dispose d'une cartographie de ses processus SI et gre son niveau dalignement avec les macro-processus mtiers .

Critre 4 : La DSI s'appuie pour industrialiser sa dmarche sur une mthodologie outille ou non pour la description des processus des mtiers et des processus SI associs.

> BONNE PRATIQUE N5


Comptences mtiers et SI. Les ressources de la DSI intgrent une composante mtiers et recrutent rgulirement des comptences proches des mtiers supports par le SI.

>GUIDE DAUDIT

Critre 1 : Il existe au sein de la DSI des quipes en charge de la vision processus mtiers . Commentaires Lorsquelle existe dans lorganisation, la fonction dassistance matrise douvrage (AMOA) devrait tre dote des comptences mtiers dun niveau de sniorit suffisant. Dans tous les cas, le mtier reste responsable de la bonne dfinition de ses besoins et de la validation des options mtiers retenus. A loppos, la matrise douvrage ne doit pas se substituer la fonction de ralisation informatique. Il sagit dviter la cration dun ple de comptences concurrent de la DSI. La vision processus mtiers passe gnralement par l'existence d'une fonction d'urbanisation. Cependant, il faudra prendre en compte la composante mtiers dans toutes les fonctions supports SI : Gestion des dveloppements : existence d'une fonction dassistance la matrise douvrage (AMOA) au sein de la DSI / Profil de comptence des chefs de projet ; Gestion de la scurit : Comptence du responsable scurit/Prise en compte des contraintes rglementaires mtiers ; Gestion de l'exploitation : comptence des responsables de domaine/Prise en compte des contraintes des processus mtiers au sein des SLA.

Critre 2 : Les ressources de la DSI possdent une approche mthodologique oriente processus favorisant les changes entre les mtiers et le SI.

56

CIGREF - IFACI - AFAI

Rseau

Critre 3 : L'organisation de la DSI a t dfinie dans une perspective services : - pour les projets, en crant des interfaces ddies par mtier , - pour les travaux rcurrents, en positionnant des responsables de services. Commentaires L'organisation de la DSI est structure autour de 3 axes : un pilotage des projets avec des comptences mtiers ; des centres de comptences techniques transverses pour industrialiser le dveloppement et lexploitation ; une quipe en charge du pilotage de la relation contractuelle (SLA) incluant des comptences services SI.

Critre 4 : La DSI favorise un niveau de proximit et dimplication entre les ressources de la DSI et les mtiers de lentreprise, via : - des points rguliers sur les attentes mtiers par rapport aux processus SI (dveloppement, maintenance/volution, niveau de scurit, exploitation et gestion des incidents) ; - la participation des formations/sminaires communs (gestion de projet, enjeux et rglementation mtiers , etc.).

Critre 5 : Une proportion importante des ressources de la DSI a une connaissance du mtier et de ses volutions. Commentaires Le parcours professionnel des acteurs cls de la DSI atteste dune connaissance oprationnelle des mtiers supports. Les quipes de la DSI passent du temps accompagner les utilisateurs dans leurs travaux oprationnels (dploiement et accompagnement du changement). Un dispositif d'change est mis en place (ex : changer de mtier pour une journe) permettant aux informaticiens de bien comprendre le mtier de leurs utilisateurs et les difficults que ces derniers rencontrent dans lutilisation des outils informatiques au quotidien.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
57

Gouvernance du Systme dInformation

>> Vecteur 6

Gouvernance du Systme dInformation

>> Vecteur 6
Matrise de la ralisation des projets en fonction des enjeux mtiers

>GUIDE DAUDIT

ENJEUX
Mettre en place les conditions du bon droulement du projet par rapport aux objectifs du business case, notamment en termes de cots, dlais et fonctionnalits dveloppes, une fois le projet lanc dans le cadre de la gestion du portefeuille, ce qui garantit en principe son alignement avec les objectifs mtiers . Pour cela, le projet doit tre conu comme un projet mtiers avec un volet SI, ce qui suppose : de bien dfinir limplication du mtier dans le pilotage et dans la conduite du projet ; de traiter, au-del des aspects informatiques, les implications du projet en termes dorganisation des processus mtiers et de comptences mtiers faire voluer.

RISQUES ASSOCIS
Une non-atteinte des objectifs des projets se manifeste par : un gaspillage des ressources de lentreprise, des dcalages dans la concrtisation des bnfices mtiers attendus, une dgradation des fonctionnalits livres par rapport celles ayant justifi le lancement du projet.

58

CIGREF - IFACI - AFAI

Rseau

> BONNE PRATIQUE N1


Objectifs mtiers des projets. Les objectifs fonctionnels ( mtiers ) du projet sont explicites, cohrents entre eux et partags.

Critre 1 : Les enjeux ou objectifs cls des mtiers atteindre lors du droulement du projet sont clairement identifis et actualiss au lancement du projet.

Critre 2 : Les objectifs (financiers, oprationnels, techniques, etc.) sont explicits par le management aux diffrentes parties prenantes.

Critre 3 : Les objectifs (financiers, oprationnels, techniques, etc.) sont cohrents entre eux.

Critre 4 : Les objectifs (financiers, oprationnels, techniques, etc.) sont compris et partags par tous les acteurs du projet.

Critre 5 : Les objectifs (financiers, oprationnels, techniques, etc.) sont hirarchiss et une procdure d'arbitrage est en place pour rsoudre les conflits entre des objectifs qui deviendraient incompatibles ou mme contradictoires.

> BONNE PRATIQUE N2


Enjeux et risques des projets. Les enjeux et les risques, financiers et humains, du projet sont identifis et connus de tous.

Critre 1 : Les bnfices mtiers et/ou financiers sont identifis et quantifis.

Critre 2 : Les risques du projet sont identifis et quantifis, notamment les risques ne pas faire.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
59

Gouvernance du Systme dInformation

>> Vecteur 6

Gouvernance du Systme dInformation

Critre 3 : Les cots du projet sont identifis et quantifis. Ces cots prennent en compte l'ensemble des cots imputables au projet. Commentaires Ces cots intgrent les besoins en ressources mtiers souvent sous-estims, notamment pour les phases de conception et de recette, et pour les actions de formation et de documentation. Ces cots intgrent le besoin en termes de matriels, de prestations externes, de licences, de retrait des systmes abandonns, de maintenance, etc.

Critre 4 : Le volet accompagnement est prvu en amont dans le projet et est dimensionn correctement afin de surmonter les rsistances aux changements.

Critre 5 : Le ROI du projet est tabli et engage l'ensemble des acteurs du projet.

>GUIDE DAUDIT

> BONNE PRATIQUE N3


Gouvernance des projets. Le mode de gouvernance du projet est clair, partag, lgitime et reconnu.

Critre 1 : L'entit leader est unique et lgitime. Commentaires L'entit leader est la direction, le service, le dpartement utilisateur final de la solution. Il s'agit dans la plupart des cas d'une entit mtiers ( l'exception des projets techniques). Dans le cas d'un projet transversal, l'entit leader est l'entit la plus concerne ou la plus lgitime, voire la plus motrice.

Critre 2 : Le sponsor est dsign et connu de tous. Sa disponibilit relle lui permet de tenir son rle. Commentaires Le sponsor doit appartenir l'entit leader pour garantir la cohrence d'ensemble. Des sponsors de trs haut niveau sont souvent choisis alors mme que leur capacit dgager du temps aux arbitrages ncessaires est trop faible.

Critre 3 : Le chef de projet est unique et il a un profil de comptences orient mtiers (chef de projet utilisateur). Il dispose d'une autorit relle sur une quipe et un budget ddis.

60

CIGREF - IFACI - AFAI

Rseau

Critre 4 : Un comit de pilotage (prsid par le sponsor et anim par le chef de projet) ainsi qu'un comit de projet oprationnel sont constitus et effectifs. Commentaires Chacun des deux comits est constitu de participants reprsentatifs des diffrentes activits et sujets traits ( mtiers , informatique, conduite du changement,etc.). Chacun des deux comits est effectif. Ils se tiennent frquence rgulire et adaptes aux sujets traits. Ils permettent de prendre des dcisions et d'orienter le projet. Un compte rendu de dcisions est systmatiquement et rapidement rdig lissue de chaque comit. Le comit de pilotage produit un reporting destination du CODISI (comit constitu de reprsentants de la direction gnrale, de la DSI et des mtiers ) sous un format standardis, lui permettant dexercer son rle de gestion consolide du portefeuille projets.

Critre 5 : Le mode de pilotage du projet est compltement dfini. Il intgre les comits complmentaires au comit de pilotage et au comit du projet. Ces comits additionnels sont connus (objectifs, frquence, tableaux de bord et indicateurs, etc.). Commentaires Exemples de comits complmentaires : comit mtiers , comit d'arbitrage fonctionnel, suivi de lot ou de chantier, comit dintgration dans le SI, comit de recette des dveloppements raliss, etc.

> BONNE PRATIQUE N4


Pilotage des jalons. Des jalons rguliers sont prvus pour le suivi des drives : objectifs, cots, dlais, faisabilit technique, exigences des mtiers par rapport aux objectifs initiaux. Des dispositifs sont mis en place pour matriser les risques identifis.

Critre 1 : Des indicateurs pertinents sont dfinis pour permettre de suivre l'avancement du projet et d'anticiper la survenance des difficults. Ces indicateurs sont mesurs rgulirement. Commentaires Ces indicateurs permettent dassurer le suivi des charges, du planning et de la production (en unit d'uvre). Ils peuvent, par exemple, mesurer le taux rel d'allocation et de consommation des ressources, le nombre ou le pourcentage d'exigences ajoutes ou modifies qui peuvent tre lillustration dune drive par rapport aux objectifs initiaux. Une partie de ces indicateurs doivent permettre de suivre la prservation des enjeux mtiers dans le droul du projet.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
61

Gouvernance du Systme dInformation

>> Vecteur 6

Gouvernance du Systme dInformation

Critre 2 : Ces indicateurs sont partags et servent de critres de pilotage et de dcision dans les comits mis en place.

Critre 3 : Les procdures de remonte des alertes et d'arbitrages sont dfinies. Commentaires Si elles ont t actives, elles ont donn lieu une dcision effective.

Critre 4 : Linstance de suivi la plus oprationnelle (comit de projet) examine rgulirement les indicateurs de drive et dcide des arbitrages ou, si ncessaire, remonte les alertes jusqu'au comit de pilotage qui tranche en dernier recours.

Critre 5 : Le comit de pilotage valide formellement le passage des jalons. Commentaires Les jalons sont frquemment positionns pour valider des options structurantes du projet sur lesquelles il sera difficile de revenir en arrire sans consquence importante. Les passages de jalons sont trop souvent assums par la fonction SI qui endosse alors une responsabilit dvolue au mtier.

>GUIDE DAUDIT

> BONNE PRATIQUE N5


Recettes techniques et fonctionnelles. Le projet fait l'objet de recettes techniques et fonctionnelles avant mise en production.

Critre 1 : Des tests techniques et fonctionnels unitaires sont raliss par l'informatique. Commentaires Les tests de non-rgression fonctionnelle peuvent galement tre mens par l'informatique sous rserve dune validation finale par un panel dutilisateurs.

Critre 2 : Le plan de recette fonctionnelle est rdig par la fonction dassistance matrise douvrage (AMOA) puis soumis la MOE pour dceler les incohrences, identifier des cas complmentaires et valider la cohrence d'ensemble. Commentaires Les mtiers vrifient que toutes les exigences sont prises en compte dans le plan de recette. 62
CIGREF - IFACI - AFAI

Rseau

Critre 3 : La phase de recette mtiers est planifie et effectivement ralise. Commentaires La phase de recette mtiers est incontournable et doit tre mene conformment au plan de recette tabli.

Critre 4 : La validation de la recette fait l'objet d'une approbation formelle du comit de pilotage. Commentaires Cette validation est ralise sur la base d'un bilan dtaill des rsultats de chaque recette, y compris les cas restant en anomalie, jugs non bloquants par le COPIL. Le compte-rendu du COPIL produit un PV de recette sign et document (liste des anomalies restantes et justification de leur caractre non bloquant).

Critre 5 : Le feu vert est mis par le comit de pilotage sur la base de critres de go/no go explicites et partags. Commentaires Les critres de go/no go doivent couvrir l'ensemble des dimensions permettant de dcider d'un dmarrage : le rsultat de la recette est un critre incontournable de go/no go au mme titre que la formation, la documentation et l'accompagnement au dmarrage (cellule d'accompagnement, support, etc.). Les critres de go/no go ainsi que leur seuil d'acceptabilit doivent tre dfinis en amont de la prise de dcision.

> BONNE PRATIQUE N6


Bilan de fin de projet mtiers . Un bilan de fin de projet est ralis une fois la phase de rodage termine.

Critre 1 : Un bilan de projet est prvu et effectivement ralis avec toutes les parties prenantes une fois que la phase de dmarrage / rodage est termine.

Critre 2 : Ce bilan doit permettre de vrifier qu'il ne reste aucune tche rsiduelle (donc de cot supplmentaire): dmontage de systmes, formations, etc.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
63

Gouvernance du Systme dInformation

Les mtiers s'assurent qu'ils disposent des ressources humaines suffisantes pour raliser les recettes.

>> Vecteur 6

Gouvernance du Systme dInformation

Critre 3 : Le bilan permet tous les acteurs du projet de partager la mme vision des cots du projet et de ses bnfices (financiers, mtiers, etc.), et donc de vrifier l'atteinte du ROI et des objectifs mtiers .

Critre 4 : Le bilan doit galement permettre aux acteurs d'tablir et de partager une comprhension commune des enseignements tirer du projet : - difficults rencontres et erreurs ne pas reproduire, - acquis mthodologiques et autres, bonnes pratiques, etc.

>GUIDE DAUDIT
64

CIGREF - IFACI - AFAI

Rseau

>> Vecteur 7
Fourniture de services informatiques conformes aux attentes clients

ENJEUX
Mesurer l'orientation client de la DSI. Mesurer, de faon rgulire, que les services informatiques correspondent en qualit et en prix, aux attentes des clients (internes et externes) et qu'ils sont organiss de faon adquate pour suivre l'volution de la demande. Cette adquation est rvlatrice d'un systme d'information volutif et proche des mtiers oprationnels concerns. La fourniture des services rcurrents doit garantir un niveau de service conforme aux besoins des processus mtiers, tels que dfinis dans des contrats de services, que la production de ces services soit ou non externalise (en totalit ou en partie).

RISQUES ASSOCIS
Le mauvais alignement des services rendus par rapport aux besoins conduit frquemment une allocation inadapte de ressources informatiques (sur ou sous-allocation) et une perte de comptitivit des fonctions oprationnelles mal servies. Pour les services rcurrents, le risque est de dgrader le fonctionnement des processus mtiers en termes de disponibilit, dintgrit et de confidentialit. Pour le dveloppement, une matrise insuffisante de la boite noire quil peut reprsenter, est susceptible de mettre en pril latteinte des bnfices attendus des projets (cots, dlais, fonctionnalits dveloppes).

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
65

Gouvernance du Systme dInformation

>> Vecteur 7

Gouvernance du Systme dInformation

> BONNE PRATIQUE N1


Gestion des demandes clients. La DSI a mis en place un processus de gestion de la demande client.

Critre 1 : La DSI rencontre rgulirement ses clients pour identifier et actualiser leurs besoins et attentes. Commentaires La frquence minimale est deux fois par an ; une premire fois lors de la session budgtaire l'occasion de la collecte des besoins intgrer dans le portefeuille projet ; une seconde fois en clture d'exercice et avant l'mission de facturations internes, notamment pour viter qu'elles ne soient vcues comme un impt DSI .

>GUIDE DAUDIT

Critre 2 : Les clients, utilisateurs du SI, ont une vision claire des services qui leur sont dlivrs. Commentaires Lors de lentretien avec le client, l'auditeur constate que celui-ci concrtise bien le service oprationnel qui lui est dlivr, et qu'il est capable de le relier une activit ou un processus de son mtier.

Critre 3 : Les clients ont une vision claire et documente du cot de chaque service et des facteurs (units d'uvre) qui conduisent une variation du cot de chaque service. Commentaires La contestation des cots masque souvent une incomprhension, chez le client, de la ralit et de valeur ajoute relle du service. La bonne connaissance de l'indicateur permettant au client dagir sur les cots refacturs cre une relation de confiance et un vrai climat contractuel.

Critre 4 : La DSI ralise des benchmarks lui permettant de comparer son offre de service celle d'autres entreprises du mme secteur d'activit et de taille comparable, voir mme loffre de prestataires externes. Commentaires Ce critre fait le lien avec le vecteur 9 Contrle de gestion informatique favorisant la transparence . De nombreuses organisations informatiques sont l'objet de concurrence externe qu'elles qualifient, parfois juste titre, de dloyale. Dans les faits, c'est la capacit du DSI matriser ses cots qui est questionner, en s'appuyant notamment sur les indicateurs utiliss par les socits de services avec lesquelles elles peuvent tre mises en concurrence.

66

CIGREF - IFACI - AFAI

Rseau

> BONNE PRATIQUE N2


Catalogue de services. La DSI a mis en place un catalogue de services.

Critre 1 : Le catalogue de services a t tabli avec les clients. Commentaires Mme si le contenu du catalogue rsulte d'une analyse effectue par la DSI, il importe que le catalogue soit construit avec les clients pour garantir son appropriation le plus en amont possible.

Critre 2 : Le catalogue prsente les services et les units d'uvre retenus pour les quantifier. Cette description doit tre intelligible pour le client.

Critre 3 : Le catalogue des services fait l'objet d'une actualisation rgulire.

Critre 4 : Les lments constituant la structure de cot de chaque service sont connus, suivis et leur volution est rgulirement communique aux clients. Commentaires Ce critre fait le lien avec le vecteur 9 Contrle de gestion informatique favorisant la transparence . La qualit de cette communication est un lment cl dans une relation contractuelle interne.

Critre 5 : La DSI est capable de relier les services dlivrs et les processus mtiers auxquels se rattachent ses services. Commentaires Il s'agit ici de raliser une cartographie - ventuellement simplifie - des processus et services associs ; cette visualisation est but pdagogique pour les clients.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
67

Gouvernance du Systme dInformation

>> Vecteur 7

Gouvernance du Systme dInformation

> BONNE PRATIQUE N3


Contrats de services. La DSI a mis en place des contrats de service.

Critre 1 : Les services dlivrs une fonction de l'entreprise ou un processus particulier, sont regroups dans un contrat de service entre la DSI et lentit concerne.

Critre 2 : Ces contrats de service sont rdigs avec le client et font formellement apparatre son accord. Leur formulation est intelligible par les deux parties. Commentaires Il ne s'agit pas de produire du contrat papier pour se conformer une procdure bureaucratique, mais bien de formaliser un accord de collaboration o chacun connait les enjeux de l'autre et accepte ses contraintes.

>GUIDE DAUDIT

Critre 3 : Le contrat fait figurer l'objectif et les attentes du client ainsi que les devoirs et obligations de chaque partie prenante. Commentaires Sous prtexte que ces contrats sont internes, cette partie est souvent nglige ; or des engagements explicits dans des accords formels permettent de limiter les contestations futures.

Critre 4 : Le contrat est rgulirement actualis, tant en termes de type de services que de structure de cot.

Critre 5 : Des indicateurs de suivi sont indiqus et font l'objet d'un reporting et d'changes rguliers et matrialiss avec les clients. Commentaires Le tableau de bord li au contrat permet dassurer une communication permanente avec le client. Sa frquence est adapte au service, mais devrait tre pluriannuelle pour tre un vritable outil de pilotage conjoint.

68

CIGREF - IFACI - AFAI

Rseau

Critre 6 : Les liens de dpendances et les points cls du contrat impliquant le recours une soustraitance, pour assurer la dlivrance du service, sont clairement mentionns (y compris en termes de cot ou de contraintes spcifiques) et sont compris par les clients. Commentaires Ce point, souvent masqu, est une source de malentendus et de perte de visibilit, et donc de confiance, pour le client.

> BONNE PRATIQUE N4


Amlioration continue. La DSI a mis en place un processus d'amlioration continu de ses services et sappuie sur des outils de mesure de la QoS (Quality of Service).

Critre 1 : La DSI a mis en place des outils de mesure du bon fonctionnement et de la performance de ses services, parmi lesquels un centre dappel (Help Desk) collectant les rclamations et incidents relatifs aux services dlivrs aux clients. Commentaires C'est le point de dpart du processus d'amlioration continue.

Critre 2 : Les carts constats, par rapport aux normes dfinies ou engagements du contrat de service et les rclamations et incidents, font l'objet d'analyses rgulires et de dispositifs de rsolution rduisant leurs occurrences futures.

Critre 3 : Un tableau de bord de suivi de la qualit de services est tabli partir, d'une part, des indicateurs mentionns au contrat de service et, d'autre part, de la prise en compte de critres de mesure d'efficacit dans la rsolution des incidents rencontrs. Commentaires Les indicateurs sont communiqus travers des tableaux de bord diffuss aux acteurs responsables de la DSI et aux clients concerns.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
69

Gouvernance du Systme dInformation

>> Vecteur 7

Gouvernance du Systme dInformation

Critre 4 : La DSI ralise rgulirement des enqutes de satisfaction auprs de ses clients (qualit, cots, dlais). Commentaires Elles peuvent tre conduites au travers de questionnaires via Intranet mais une fois par an, un entretien avec des leaders d'opinion internes et parfois externes, est dterminant pour assurer la lgitimit du processus.

Critre 5 : Ces enqutes de satisfaction sont rgulirement communiques aux clients et participent l'volution des contrats de services. Commentaires Par exemple : Lenqute montre que la procdure de gnration de mot de passe en cas doubli est longue encombrement du centre dappel - et trop contraignante. En rponse, la DSI propose la mise en place dun automate scuris de rgnration de mot de passe, validit limite dans le temps, permettant dtaler la charge du centre dappel.

>GUIDE DAUDIT

Critre 6 : La DSI valorise la mise en uvre d'approches innovantes dans la dlivrance de ses services et intgre les avantages procurs par les innovations les plus significatives son plan de communication. Commentaires Convaincre la direction gnrale que dans son activit quotidienne, la DSI met sa capacit d'innovation au service des mtiers est un facteur cl de crdibilit. C'est un point d'appui pour engager des transformations technologiques de plus grande ampleur lorsqu'elles deviennent ncessaires et, accessoirement, obtenir plus naturellement les financements correspondants.

70

CIGREF - IFACI - AFAI

Rseau

> BONNE PRATIQUE N5


Activits de support et de production. La DSI matrise ses activits de production et de support sur les services rendus au client.

Critre 1 : La DSI a mis en place des ressources et des outils pour grer et superviser la production, grer les changements, les configurations, les incidents et les problmes, les donnes, les environnements, etc. Commentaires La DSI a dcrit son organisation et ses processus internes dans ces domaines. La DSI a mis en place et obtenu une certification externe attestant de la bonne matrise de ces processus de bases (exemple : ITIL).

Critre 2 : La DSI matrise les travaux programms et les interruptions prvisibles de services. Commentaires La DSI est capable danalyser limpact des dgradations de performance ou des interruptions de services sur les activits de ses clients. La DSI connait les activits critiques de ses clients dpendant de la disponibilit et de la performance de ses services.

Critre 3 : La DSI communique efficacement avec ses clients en cas dincidents. Commentaires La DSI a une connaissance actualise des organisations et rseaux dutilisateurs potentiellement impacts par lincident. Elle a dfini avec les utilisateurs dans ses contrats de services la dure dinterruption acceptable et le processus de dcision de passage en mode dgrad, en cas dinterruption prolonge.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
71

Gouvernance du Systme dInformation

>> Vecteur 8

Gouvernance du Systme dInformation

>> Vecteur 8
Pilotage des services externaliss

Nota : De plus en plus, les DSI ont recours lexternalisation. Il existe diffrents modles dacquisition de services (sourcing) et il est important de retenir les bons choix en fonction de la stratgie de lorganisation.

>GUIDE DAUDIT

Interne

io dit Tra

el nn -So Co urc ing lti- g Mu rcin u So an Ali

ce re ntu Ve t oin I o nS ing urc

Externe

Association Ae-SCM

Typologie des relations de Sourcing

Ce vecteur sintresse lensemble de la problmatique des services externaliss SI (ou encore acquisition de services informatiques), savoir : la dfinition dune stratgie de services externaliss et sa gouvernance associe, ltude au cas par cas de lopportunit dexternaliser une activit, la phase de lancement dune externalisation (consultation, choix, contrat, transition du service), la gestion au quotidien de la prestation externalise, la phase de clture et de rversibilit.

72

CIGREF - IFACI - AFAI

Rseau

Le pilotage dune prestation externalise

Le pilotage des prestations de sourcing est dcoup en 8 domaines :

Plani cation Criblage du sourcing valuation des prestataires

Contractualisation Opportunit Faisabilit 2 domaines 1 2 Lancement 4 domaines Transfert du service

Clture 1 domaine

Livraison 1 domaine

Pilotage d'une prestation


Association Ae-SCM

Lutilisation du rfrentiel des bonnes pratiques de services externaliss (eSCM) est recommande

ENJEUX
Dfinir une stratgie de services externaliss en veillant disposer des bonnes ressources au bon moment. Garantir les phases de choix et de lancement dune nouvelle activit externalise. Grer efficacement la relation client/fournisseur. Optimiser les cots lis la sous-traitance. Amliorer la qualit des services dlivrs par la DSI en sadressant des partenaires spcialiss.

RISQUES ASSOCIS
Perte de contrle et dpendance vis--vis de certains fournisseurs. Surcots par rapport ce qui avait t prvu. Fuite dinformations la concurrence et/ou non-conformits lgales. Risques sociaux dans lentreprise lis une mauvaise gestion des actions de lexternalisation.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
73

Clture du service

Gestion des services sourcs

Gouvernance du Systme dInformation

>> Vecteur 8

Gouvernance du Systme dInformation

> BONNE PRATIQUE N1


Stratgie et gouvernance. Une stratgie de services externaliss et sa gouvernance associe ont bien t dfinies.

Critre 1 : Les activits stratgiques, tactiques et oprationnelles de l'entreprise et de la DSI ont t bien identifies. La DSI a valu l'opportunit dexternaliser chacune des activits de la DSI en fonction de sa nature. Un management des risques des services externaliss a t mis en place. Commentaires Une telle tude : comprend la cartographie des activits de l'entreprise et de la DSI ; conduit passer au crible les critres suivants : alignement sur la stratgie mtiers , alignement sur la stratgie SI, maturit du march et offres des prestataires, ncessits oprationnelles, nombre et qualit des comptences internes ; impose des contraintes de confidentialit, de scurit, rglementaires et des risques sociaux. Dpendance vis--vis des prestataires. Fuites d'informations vers la concurrence.

>GUIDE DAUDIT

Critre 2 : Un dispositif de management des services externaliss a t mis en place. Commentaires Mise en place de l'organisation et des processus de services externaliss pour rpondre aux besoins des mtiers .

Critre 3 : Une gestion des ressources humaines associe a t mise en place. Commentaires Identifier les nouvelles comptences (Faire-Faire ? Acheter-faire ?) et affecter les rles et responsabilits associs aux services externaliss au sein de la DSI.

Critre 4 : Une analyse de la valeur apporte par les services externaliss a t mise en place. Commentaires Mesurer et garantir les niveaux de performance attendus.

74

CIGREF - IFACI - AFAI

Rseau

Critre 5 : La gestion du savoir a t organise. Commentaires Capitaliser et dvelopper les connaissances relatives la gestion des services externaliss pour exercer une ventuelle rversibilit.

> BONNE PRATIQUE N2


Etude dopportunit/de faisabilit. Pour chacune des activits candidates l'externalisation, il y a eu une tude d'opportunit/faisabilit.

Critre 2 : Il existe une analyse des forces/faiblesses de l'existant. Commentaires Situation actuelle (forces, faiblesses).

Critre 3 : Il existe un business case relatif l'externalisation d'une activit. Commentaires Objet, gains / cots tangibles et intangibles. Elments de comparaison pertinents (interne / externe). Estimation du ROI.

Critre 4 : Il existe des analyses de risques concernant l'activit externaliser.

Critre 5 : Le mtier est associ la dcision d'externaliser une activit. Commentaires Sur la base du business case et de l'analyse de risques.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
75

Critre 1 : Concernant la prestation externaliser, il existe des tudes de march et d'identification des prestataires potentiels.

Gouvernance du Systme dInformation

>> Vecteur 8

Gouvernance du Systme dInformation

> BONNE PRATIQUE N3


Dmarche de mise en place. Pour chacune des activits SI externaliser, il y a une dmarche de mise en place construite.

Critre 1 : Il existe un plan dcrivant l'opration de transition de l'activit des services externaliss. Pour l'activit SI externaliser, les services concerns ont t clairement dfinis dans un cahier des charges. Commentaires Cahier des charges, plan de transition partager avec le prestataire lorsque cela le concerne.

Critre 2 : Il existe une procdure et des critres d'valuation des fournisseurs. Commentaires Grille d'valuation rdiger en mme temps que le cahier des charges servant lappel doffres.

>GUIDE DAUDIT

Critre 3 : Le transfert du service a-t-il t organis et planifi grce : un plan de transfert du service au fournisseur clairement dfini ; lanticipation des ventuels transferts du personnel au prestataire. Lexistence dun guide de ngociation. Commentaires A raliser le plus tt possible, avant le lancement de lappel doffres.

Critre 4 : Un processus pour le transfert de connaissances au prestataire a t dfini, ainsi quun processus pour la modification du contrat. Commentaires Le transfert de connaissances est-il formalis (base documentaire, bonnes pratiques, etc.) ?

Critre 5 : Il existe dans le contrat les lments permettant de mesurer la qualit de la prestation fournie. Commentaires Ces lments contractuels recouvrent des aspects tels que la dfinition d'un SLA, lidentification des obligations de moyens et de rsultats, les clauses d'audit.

76

CIGREF - IFACI - AFAI

Rseau

> BONNE PRATIQUE N4


Gestion des services au quotidien. La gestion des services au quotidien est organise.

Critre 1 : Des points de gestion du service externalis sont faits rgulirement avec le prestataire. Il y a des comptes rendus systmatiques aprs chaque point de gestion du service.

Critre 2 : Des plans de rsorption des carts sont identifis et mis en uvre. Les contrles des incidents et des problmes sont organiss avec le prestataire.

Commentaires A faire avec la direction des achats.

Critre 4 : Le dispositif prvoit un mode de prvention et de traitement des conflits potentiels grce : un processus dfini et connu, par les parties, pour le traitement des conflits ; un glossaire pour accorder les diffrences de vocabulaire ; un processus dfini et connu pour rduire l'impact li aux diffrences culturelles. Commentaires Rel besoin avec tous les prestataires mais indispensable en cas d'offshore.

Critre 5 : Lanalyse de la valeur du service est effectue (par rapport aux objectifs initiaux). La dcision de reconduire les services externaliss est instruite et prise avec le mtier. Commentaires Exemple : a-t-on ralis les conomies attendues ? Bilan des services externaliss.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
77

Critre 3 : Il y a une revue priodique (au moins annuelle) du contrat avec toutes les parties prenantes. Il y a un processus de gestion des changements clairement dfini et connu et partag avec le prestataire.

Gouvernance du Systme dInformation

>> Vecteur 8

Gouvernance du Systme dInformation

> BONNE PRATIQUE N5


Clture et rversibilit. La clture du service et la gestion de la rversibilit ont t dfinies.

Critre 1 : Une clause dcrivant les modalits dtailles de clture du service et de rversibilit ont t dfinies dans le contrat. Commentaires Penser mettre jour les lments permettant lopration de rversibilit ( faire annuellement avec le prestataire).

>GUIDE DAUDIT

Critre 2 : Le transfert des ressources du prestataire a t anticip.

Critre 3 : Un Plan de Continuit des Activits a t dfini pour pallier les ventuelles dfaillances lors de la phase de rversibilit. Les modalits de clture et de rversibilit sont revues rgulirement. Commentaires Souhaitable : une fois pas an.

Critre 4 : Le processus de transfert de connaissances a t dfini. Commentaires Y compris les documentations jour.

Critre 5 : La rversibilit est teste rgulirement. Commentaires Souhaitable : une fois par an ( adapter aux enjeux et la dure du contrat).

78

CIGREF - IFACI - AFAI

Rseau

>> Vecteur 9
Contrle de gestion informatique favorisant la transparence

ENJEUX
Responsabiliser les parties prenantes (direction gnrale (DG), direction financire (DF), directions mtiers (DM) et DSI) sur la constitution du budget informatique en ayant une matrise crdible des units duvre et leur volume. Produire un reporting adapt chaque grande composante du budget (cots rcurrents, projets mtiers et maintenance volutive) pour : obtenir une comprhension claire et partage des bnfices attendus des projets mtiers , tablir la confiance et faciliter la communication DG/DF, DM, DSI, mettre en vidence la productivit de la direction informatique, facturer les clients internes sur la base de cots compris et accepts, mettre les SLA en relation avec le cot des niveaux de service, faciliter la ralisation de benchmarks internes et externes.

RISQUES ASSOCIS
Rduire le pilotage de la fonction informatique un pilotage par les cots. Ne pas avoir de visibilit sur les cots. Gnrer une incomprhension entre la DG/DF et la DSI sur lvolution du budget informatique, qui peut se traduire par une perte de confiance. Gnrer une incomprhension entre la DSI et les DM sur le cot des prestations informatiques qui leur sont factures directement ou non. Prendre des dcisions dexternalisation sans avoir en mains des lments conomiques robustes. Ne pas tre capable dapprcier la pertinence des dpenses correspondant des projets techniques hors business cases. Ne pas matriser les facteurs de drapage des projets.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
79

Gouvernance du Systme dInformation

>> Vecteur 9

Gouvernance du Systme dInformation

Les questions que se posent lentreprise propos du cot de son SI

En tant que client


Comment connatre le cot de mes projets informatiques ?
s bonnes p rat iqu

Comment rduire mes dpenses informatiques ?


d

: de ses en

Comment faire de nouveaux projets, tout en explorant l'existant ?


pa

Matri ser

le s

er rtag

Comment prvoir mes dpenses informatiques ?

Comment matriser la facture SI ?

Comment prvoir mes plans de charges ? Comment refacturer chaque client au plus juste ?

Comment rduire mes cots informatiques ?

>GUIDE DAUDIT

Travaux du Comit d'experts

En tant que DSI

> BONNE PRATIQUE N1


Gestion budgtaire. La DSI met en uvre un processus de gestion budgtaire.

Critre 1 : Un budget consolidant lensemble des cots de la DSI existe. Commentaires On constate parfois que certains cots SI, localiss dans des directions mtiers , chappent au processus budgtaire SI. La DSI ralise au minimum un travail de construction budgtaire, mme sur la base d'une enveloppe globale.

80

CIGREF - IFACI - AFAI

Rseau

Commentaires La DSI ralise une analyse et labore un budget par natures dtailles et centres de cot / centres de responsabilit conforme lorganisation de la fonction informatique. Les natures utilises peuvent tre des natures standards dfinies par l'entreprise, mais elles peuvent galement tre des natures spcifiques l'activit de la DSI. Au-del d'un dcoupage par natures, le dcoupage par centres de responsabilit permet d'asseoir la responsabilisation des responsables de centres de cots lors de l'laboration budgtaire.

Critre 3 : Le processus d'laboration budgtaire de la DSI est formalis. Les rles et responsabilits du processus budgtaire sont formellement attribus (laboration et mise jour). Le budget de la DSI permet didentifier les ressources alloues aux projets (transformation), la maintenance volutive et aux autres cots rcurrents, en particulier la production informatique. Commentaires Le processus budgtaire de la DSI est auditable : Les activits, le calendrier, le format sont dcrits et communiqus. Les rles et les responsabilits des acteurs du processus (construction, proposition, analyse, valuation, validation) sont dcrits et communiqus.

Critre 4 : Des audits internes ou externes rguliers, portant sur lefficacit du processus budgtaire SI, sont raliss. Le budget rcurrent est construit selon un modle standard reconnu (type modle AFAI-CIGREF)1. La DSI a mis en place un tableau de bord d'indicateurs permettant de mesurer l'alignement du budget de la DSI avec la stratgie mtier. Commentaires Le processus budgtaire de la DSI est rgulirement audit. Les indicateurs produits peuvent, par exemple, permettre didentifier si lallocation des ressources SI est bien prioritairement affecte aux projets stratgiques des mtiers . La DSI a mis en place une structuration des cots rcurrents permettant un benchmarking du budget sur une base partage.

Critre 5 : La DSI compare ses indicateurs budgtaires avec les valeurs moyennes des entreprises comparables du secteur. Commentaires La DSI mne un travail de comparaison et d'analyse des causes de diffrences entre ses indicateurs et les valeurs moyennes des organisations comparables du secteur d'activit afin dassumer les carts ou dengager des mesures correctives. Les mesures correctives retenues sont dclines dans des plans d'actions d'amlioration pilots par la DSI et pour lesquels elle effectue un suivi de leur excution.
1

Vers un standard de pilotage des cots informatiques, ICSI, 2005.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
81

Gouvernance du Systme dInformation

Critre 2 : Le budget de la DSI est construit sur une base de natures de dpenses et de centres de responsabilit dtaills.

>> Vecteur 9

Gouvernance du Systme dInformation

> BONNE PRATIQUE N2


Arbitrage budgtaire. Un dispositif d'arbitrage budgtaire est en place entre la DSI, la direction gnrale et les directions mtiers .

Critre 1 : Il existe un processus darbitrage du budget de la DSI. Commentaires La DSI ralise les arbitrages budgtaires en comit restreint avec la direction financire et/ou la direction gnrale.

>GUIDE DAUDIT

Critre 2 : La DSI met en uvre une phase pralable d'arbitrage budgtaire au sein de son organisation. Les arbitrages sont issus des hirarchisations entre chaque projet dans le cadre de la gestion de portefeuilles de projets (lien avec le vecteur 3 Gestion du portefeuille de projets orient cration de valeur pour les mtiers , p. 34). Commentaires La formalisation des arbitrages budgtaires met en vidence la priorit donne lalignement mtier en cohrence avec le plan SI.

Critre 3 : Le budget annuel de la DSI fait l'objet d'au moins une session d'arbitrage en comit de direction. La DSI prsente un budget de maintenance volutive structur par systmes applicatifs. La DSI effectue un arbitrage budgtaire par domaine fonctionnel de lorganisation (Finances, RH, production, etc.). Commentaires Le DSI prsente et dfend son budget en sance avec la direction gnrale, la direction financire et les directions mtiers . La DSI prsente des valuations de son apport aux mtiers . Ces valuations peuvent parfois tre prsentes de manire globale. La DSI a dcompos son budget de maintenance volutive par grandes applications, puis par domaine fonctionnel et enfin sous forme d'enveloppe globale transversale. La DSI est en mesure de prsenter son budget pour dcision par domaine fonctionnel (i.e. par grand mtier de l'organisation).

82

CIGREF - IFACI - AFAI

Rseau

Critre 4 : L'arbitrage du budget de la DSI fait l'objet d'arbitrages pralables avec les directions mtiers . L'historique du cot unitaire des services / produits de la DSI est examin, ses variations sont expliques. La DSI effectue un arbitrage budgtaire par macro-processus de l'entreprise. Commentaires La hirarchisation du budget de la DSI est articule en fonction, d'une part, des grands axes de la stratgie de l'organisation et, d'autre part, en fonction de la cration de la valeur. L'arbitrage porte non seulement sur le budget global mais galement sur les cots unitaires. La DSI est en mesure de prsenter son budget pour dcision par macro-processus mtiers (logistique, achat, RH, etc.) pour vrifier limpact et la pertinence des arbitrages.

Critre 5 : La DSI est en mesure d'identifier et de prvoir les impacts oprationnels des arbitrages budgtaires. Commentaires La DSI est capable d'estimer l'impact d'un changement budgtaire sur la qualit de service, la capacit d'innovation, la diffrenciation par rapport la concurrence, etc.

> BONNE PRATIQUE N3


Pilotage de la performance conomique. La DSI a mis en place un dispositif de mesure et danalyse de la performance gnrateur de plans dactions damlioration.

Critre 1 : L'organisation est en mesure de produire le cot global annuel de la fonction SI. Commentaires Dans un certain nombre dorganisations, les cots de nature informatique sont localiss dans des budgets oprationnels quil est important de mesurer et consolider, afin de constituer le budget global du SI. Le contrle de gestion devrait tre capable de consolider 90% des cots informatiques.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
83

Gouvernance du Systme dInformation

>> Vecteur 9

Gouvernance du Systme dInformation

Critre 2 : Il existe un suivi des cots de la DSI bas sur la structure analytique dfinie lors de l'laboration budgtaire. Commentaires Les critres de suivi des cots existent mais ils ne sont pas forcment homognes dun dpartement lautre ou dun domaine fonctionnel lautre. Ces critres doivent la fois tre exprims en poids financier et en units duvre (pour les tudes en j/h, pour des applications de terrain en nombre dutilisateurs servis, pour la production informatique en nombre de serveurs en disques, en disponibilit, etc.).

Critre 3 : Il existe une fonction contrle de gestion ddie au moins partiellement la DSI. Le reporting des cots et des carts est conforme au modle budgtaire de l'organisation. Le suivi des cots rcurrents intgre un suivi des cots unitaires. Le suivi des projets est fond sur le processus de gestion de portefeuilles de projets (lien avec le vecteur 3 Gestion du portefeuille de projets oriente cration de valeur pour les mtiers , p. 34). Commentaires Soit un contrleur de gestion de la fonction finance ddie une partie de son activit la DSI, soit la DSI comporte un contrleur de gestion ddi. La DSI produit un reporting bas sur les mmes critres que les autres directions de l'organisation. La DSI fonde le suivi des projets sur des lments issus d'une dmarche d'alignement stratgique et de planification et sur des lments de nature cot / qualit / dlais propres la gestion de projets.

>GUIDE DAUDIT

Critre 4 : Les carts budgtaires provenant dun dfaut du processus de prvision ou de collecte budgtaire sont identifis, et non reproduits sur les annes suivantes. Il existe des tapes de rvision rgulires des tendances. Commentaires La DSI analyse les carts observs et s'en sert pour amliorer ses prvisions budgtaires. La DSI rvise au moins une fois par an les budgets consomms et r-estime le reste faire pour assurer l'atteinte des objectifs (prvision de dpenses).

Critre 5 : Des plans d'actions correctifs sur les causes profondes (root causes) des carts sont labors et suivis. Commentaires La DSI amliore son suivi budgtaire en entamant des changements dans son fonctionnement : mthode d'valuation des projets, mthodes de gestion des projets.

84

CIGREF - IFACI - AFAI

Rseau

> BONNE PRATIQUE N4


Facturation interne. Un processus de raectation/refacturation des cots de la DSI aux mtiers existe.

Critre 1 : Les cots de la DSI sont raffects aux mtiers partir de critres globaux. Commentaires La DSI fait au moins une raffectation annuelle mais celle-ci est globale sur un critre unique (CA, effectifs, etc.).

Critre 2 : Les cots de la DSI sont raffects aux mtiers partir de critres spcifiques. Commentaires La DSI raffecte ses cots aux diffrents mtiers partir de critres spcifiques aux diffrents dpartements de la DSI (projets, production, service client, maintenance applicative, etc.).

Critre 3 : La raffectation est fonde sur lapplication dun catalogue de services partag avec les clients et utilisateurs. Commentaires La raffectation des cots se fait non plus au niveau de l'activit (parfois technique) mais au niveau du service rendu lutilisateur (plus facile apprhender par les mtiers , par exemple passage 24h/24h dun helpdesk ou niveau dindisponibilit dune application).

Critre 4 : La DSI est en mesure d'expliquer de manire dtaille les consommations du client. La raffectation des cots de la DSI est base sur un modle de type ABC/ABM (modle AFAICIGREF)1. Commentaires La DSI produit un document explicatif dtaill des consommations de services qui est prsent et explicit la direction mtiers concerne.

Benchmarking des cots informatiques - Modle et guide de mise en uvre du standard, IGSI, 2006.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
85

Gouvernance du Systme dInformation

>> Vecteur 9

Gouvernance du Systme dInformation

Critre 5 : La DSI a mis en place un processus de refacturation rel ou de raffectation budgtaire permettant aux clients didentifier limpact de leurs dcisions en termes de cot du SI. Commentaires Le processus de refacturation/raffectation est transparent et articul autour des inducteurs de consommation de services pour que le client soit en mesure d'agir sur ses consommations.

>GUIDE DAUDIT
86

CIGREF - IFACI - AFAI

Rseau

>> Vecteur 10
Gestion prospective des comptences informatiques

ENJEUX
Disposer des bonnes comptences au bon moment. Anticiper les besoins futurs de lentreprise en investissant sur les comptences qui permettront de raliser les projets de demain. Dvelopper lemployabilit des collaborateurs. Assurer la motivation des collaborateurs en grant leurs comptences. Rendre attractive la DSI pour attirer de nouveaux talents.

RISQUES ASSOCIS
Avoir des ressources inadaptes aux besoins de lentreprise et des projets lancer. Dmotiver le personnel de la DSI en ne se proccupant pas de la maintenance de leurs comptences (obsolescence rapide des comptences). Subir une perte dattractivit de la DSI qui ne parvient pas attirer les talents ncessaires la ralisation des nouveaux projets. Assister au vieillissement de la DSI.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
87

Gouvernance du Systme dInformation

>> Vecteur 10

Gouvernance du Systme dInformation

La dmarche GPEC : Gestion Prospective des Emplois et Comptences


Evaluation Promotion Mobilit - Recrutement Parcours de carrire Formation

Organisation

Rfrentiel de Comptence

Dmarche GPEC de l'Organisation

Motivation des collaborateurs

>GUIDE DAUDIT

Pratiques manageriales

Culture de la performance et de l'excellence

Travaux du Comit d'experts

> BONNE PRATIQUE N1


Objectifs. La gestion des comptences rpond des objectifs clairement identifis.

Critre 1 : Les managers SI sont porteurs dobjectifs en termes de RH. La DSI dispose dun bilan RH spcifique. Des points de vigilance ont t identifis et analyss suite au bilan RH. Commentaires Taux de turn over, taux d'outsourcing, fidlisation, obsolescence ou renouveau des comptences. Pyramide des ges, plans de succession pour les fonctions critiques. Pyramide des ges inverse, dparts la retraite massifs, mobilit inexistante ou trop forte, changements technologiques rapides, faible couverture sur une comptence cl, etc.

Critre 2 : Les indicateurs majeurs du bilan RH du SI sont partags au sein du codir de la DSI.

88

CIGREF - IFACI - AFAI

Rseau

Critre 3 : Ces lments sont communiqus pour dcision au codir Groupe / DRH Groupe. Commentaires Les objectifs stratgiques en matire de dveloppement des talents, fidlisation des ressources rares, etc. sont connus et valids par les instances RH au plus haut niveau.

Critre 4 : Une dmarche de gestion prospective des emplois et comptences (GPEC) associe une politique d'accompagnement du changement, est mise en uvre. Des indicateurs de performance quantitatifs et qualitatifs sont identifis et suivis dans le cadre de cette dmarche. Commentaires Indicateurs : Taux de turn over, bien-tre au travail, absentisme, mobilit interne, etc.

> BONNE PRATIQUE N2


Rfrentiel. Un rfrentiel des comptences requises est formalis.

Critre 1 : Une nomenclature des emplois mtiers SI existe. Commentaires Cette nomenclature prend en compte lvolution des profils et des comptences sur le march.

Critre 2 : Des fiches de postes sont formalises et rattaches des emplois de la nomenclature. Ces fiches de postes ont t valides par la DRH selon le modle de l'entreprise. Ces fiches de postes sont diffuses et connues de l'ensemble des collaborateurs de la DSI. La dmarche de gestion prospective des comptences a t prsente formellement l'ensemble des collaborateurs et managers. Commentaires Le processus d'valuation des comptences et de latteinte des objectifs est conforme la politique RH.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
89

Critre 5 : Ces indicateurs sont apprcis sous langle des meilleures pratiques internes et sectorielles.

Gouvernance du Systme dInformation

>> Vecteur 10

Gouvernance du Systme dInformation

Critre 3 : Il existe une cartographie des mtiers de la DSI, comprenant les comptences ncessaires et l'identification des passerelles potentielles entre les catgories demplois. Les postes critiques et/ou cls sont identifis. Les fiches de postes reposent sur un rfrentiel commun l'entreprise (inter mtiers) ou de la profession (ex : CIGREF ...). Commentaires Comptences techniques, mtiers, comportementales, managriales, etc. Voir la nomenclature emplois/mtiers du CIGREF et le rfrentiel du SYNTEC Numrique1.

Critre 4 : Le rfrentiel constitue le socle oprationnel et stratgique d'une gestion RH de la fonction SI. Commentaires Socle de la gestion RH de la fonction SI : entretien annuel, parcours de formation, paie, recrutement, etc.

>GUIDE DAUDIT

Critre 5 : Le rfrentiel est rgulirement maintenu en adquation avec les bonnes pratiques de la place, les volutions technologiques et la stratgie de l'organisation.

Le rfrentiel est adapt en fonction de la stratgie de l'organisation en termes de sous-traitance / internalisation des SI.

> BONNE PRATIQUE N3


Evaluation. L'valuation des comptences est ralise.

Critre 1 : Il existe un processus d'valuation des comptences (y compris une restitution des carts identifis, communique au collaborateur). Commentaires Mthodes dvaluation possibles : Auto-valuation, validation managriale, etc.

Nomenclature 2010 : Premier pas vers lEurope des comptences IT, CIGREF, 2010.

90

CIGREF - IFACI - AFAI

Rseau

Critre 2 : La DSI utilise les outils dvaluation prvus dans la politique RH. Le processus respecte les contraintes rglementaires (ex : CNIL). Le processus d'valuation des comptences et de latteinte des objectifs est conforme la politique RH.

Critre 3 : Le processus d'valuation est rgulirement suivi. Un processus de capitalisation a t mis en place.

Critre 4 : La pertinence des indicateurs utiliss est analyse. Les rsultats de cette analyse sont utiliss pour amliorer l'identification et l'valuation des comptences de l'anne n+1.

> BONNE PRATIQUE N4


GPEC. Un plan de dveloppement, issu des conclusions du bilan RH, est formalis et mis en place.

Critre 1 : Une analyse des carts par rapport aux besoins exprims dans le bilan RH est ralise.

Critre 2 : Des plans de rsorption des carts sont identifis et mis en uvre. Commentaires Ces plans concernent les aspects techniques et comportementaux. Ils peuvent dclencher le lancement dactions de dveloppement individuel ou collectif. lls peuvent donner lieu des plans de recrutement ou ventuellement se traduire par un recours de la sous-traitance.

Critre 3 : Le plan de rsorption des carts est prsent au niveau du codir DSI. La dmarche de gestion des comptences alimente le plan stratgique SI. Commentaires Aspects du plan stratgique alimenter : architecture fonctionnelle et technique, gestion du portefeuille de projets, stratgie de sous-traitance, etc.

Critre 4 : La dmarche comptences permet de dtecter les (hauts) potentiels. La dmarche comptences permet d'alimenter les plans de succession.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
91

Gouvernance du Systme dInformation

>> Vecteur 10

Gouvernance du Systme dInformation

Critre 5 : Un bilan de la dmarche de gestion prvisionnelle des emplois et comptences (GPEC) est dress au regard des objectifs initiaux. Le plan d'actions est compar et ajust avec les bonnes pratiques de la place. Commentaires Comparatif concernant la gestion RH de la DSI.

> BONNE PRATIQUE N5


Alignement des comptences. La dmarche comptences est aligne avec la stratgie et intgre dans les processus de management de l'organisation.

>GUIDE DAUDIT

Critre 1 : La dmarche de gestion des comptences des SI est formalise dans le cadre d'un schma directeur RH et dans le schma directeur SI.

Critre 2 : Les collaborateurs et managers de la DSI se sont appropris la dmarche comptences.

Critre 3 : Les managers SI intgrent la dmarche comptences dans leur processus de management quotidien. Commentaires Les diffrentes dimensions de la dmarche comptences sont : effectifs, recrutement, rmunration, entretien annuel, promotion, mobilit, etc.

Critre 4 : Des systmes de partage, capitalisation et/ou transfert des connaissances /comptences sont mis en uvre. Commentaires Programme de Knowledge Management.

Critre 5 : La dmarche comptences vient alimenter la rflexion stratgique de la DSI. Commentaires Mise en place dun outil d'aide la dcision (ex : rorganisation, etc.).

92

CIGREF - IFACI - AFAI

Rseau

>> Vecteur 11
Gestion et mesure de la performance du SI

ENJEUX
Connatre la performance du SI dans le but den amliorer de faon continue les pratiques et les processus. Responsabiliser les mtiers dans les choix stratgiques de la DSI. Mesurer le capital immatriel du SI de lentreprise.

RISQUES ASSOCIS
Absence ou perte du pilotage du SI de lorganisation. Difficult de communication de la DSI (communication non base sur des lments factuels). Absence de connaissance/manque de transparence. Mauvaises dcisions.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
93

Nota : Ce vecteur a des liens avec la plupart des autres vecteurs.

Gouvernance du Systme dInformation

>> Vecteur 11

Gouvernance du Systme dInformation

Exemple de structuration d'un tableau de bord de pilotage de la performance SI sous forme d'IT Scorecard

Cration de VALEUR
Comptences SI & prparation du futur
Source : AFAI / IT scorecard

>GUIDE DAUDIT

Matrise des RISQUES

> BONNE PRATIQUE N1


Objectifs de preformance. Le pilotage de la DSI s'appuie sur des objectifs de performance du SI.

Critre 1 : La DSI a des objectifs prioritaires qui lui sont propres.

Critre 2 : La DSI a dfini ses objectifs ; elle les communique en interne et aux parties prenantes (clients internes ou externes, sous-traitants, Codir, etc.). Les objectifs fixs la DSI sont prcis et quantifis.

94

Matrise conomique du SI

Performance des processus SI

Attentes des clients du SI

CIGREF - IFACI - AFAI

Rseau

Critre 3 : Les objectifs assigns la DSI sont cohrents avec ceux de lorganisation ; ils sont discuts et valids par les parties prenantes et dclins en interne (jusquaux objectifs individuels). Commentaires Objectifs de type SMART : Spcifique. Mesurable. Atteignable. Raliste. Temporellement dfini.

Critre 4 : Des moyens de contrle d'atteinte des objectifs (mise en place d'indicateurs, mesures rgulires) sont en place au niveau de la DSI. Les objectifs sont revus au moins annuellement partir des mesures observes, de leur atteinte et de la stratgie de l'organisation.

> BONNE PRATIQUE N2


Indicateurs de mesure. La DSI a dfini et mis en place des indicateurs de mesure de la performance.

Critre 1 : Des indicateurs de mesure de la performance existent. Commentaires Ces indicateurs sont structurs autour de thmes gnriques : Alignement stratgique avec les mtiers (Exemple, pourcentage de bilans de fin de projet, etc.). Processus de la DSI (Exemple, pourcentage de tenue des instances de gouvernance de SI, pourcentage de revue des contrats de service avec les mtiers , etc.). Ressources et comptences (Exemple, compltude de la cartographie des comptences, etc.). Gestion conomique (Exemple, pourcentage dvolution du cot du traitement de lincident, etc.). Scurit et gestion des risques (Exemple, pourcentage dapplications critiques ayant un plan de continuit dactivit, etc.). LIT scorecard publi par lAFAI peut tre utilis pour trouver dautres exemples dindicateurs.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
95

Critre 5 : Le processus de dfinition, de construction et de mesure des objectifs fait l'objet d'une valuation au moins annuelle.

Gouvernance du Systme dInformation

>> Vecteur 11

Gouvernance du Systme dInformation

Critre 2 : Des indicateurs de mesure de la performance sont formaliss, mis en place et couvrent en partie les domaines de gouvernance du SI. Les indicateurs sont tablis suivant un modle diffus aux parties prenantes (clients internes ou externes, sous-traitants, etc.). Commentaires Ces indicateurs concernent en premier lieu : Les cots (rcurrents par type de services, investissement projet, investissement infrastructure SI), La qualit de service (respect SLA, satisfaction client, disponibilit), la GPEC, Les risques (projets, continuit, scurit), Lalignement mtiers . La cration de la valeur (Cf. autres vecteurs, documents CIFREF, IT scorecard AFAI, ITGI, etc.). Il importe de rdiger des fiches Indicateurs dcrivant objectif poursuivi, moyens/dispositifs de mesure, frquence, etc.

>GUIDE DAUDIT

Critre 3 : Un systme dindicateurs labor et valid par les parties prenantes permet le suivi et latteinte des objectifs fixs par la DSI ; il est complt par un systme de mesure valid et contrl, afin dassurer la finalit des indicateurs considrs. Commentaires Indicateurs intgrs dans les contrats de services (SLR/SLA) par exemple. Les indicateurs remonts ne doivent pas faire l'objet de controverse. Les rgles de gestion des indicateurs doivent rsulter de rgles de gestion communes et partages. Les donnes servant la mesure de l'indicateur doivent tre extraites si possible de faon automatise du systme d'information existant.

Critre 4 : Les indicateurs en place permettent de suivre et d'anticiper les volutions de la performance pour chacun des domaines de la gouvernance du SI. Commentaires SKMS : Service Knowledge Management System (systme de gestion de la connaissance).

Critre 5 : L'ensemble des indicateurs en place fait l'objet de revues en interne et avec les parties prenantes, ou de benchmarks externes, afin de permettre des amliorations de la mesure de la performance. Commentaires Rvision / mise en place de nouveaux indicateurs, validation de l'alignement indicateurs/objectifs, etc.

96

CIGREF - IFACI - AFAI

Rseau

> BONNE PRATIQUE N3


Tableaux de bord. La DSI produit et diuse des tableaux de bord qui restituent de faon synthtique les niveaux et les volutions des indicateurs de mesure de la performance.

Critre 1 : Des tableaux de bord de mesure de la performance sont produits et analyss.

Critre 2 : Les tableaux de bord produits et analyss permettent de renseigner sur l'atteinte des objectifs de la performance de la DSI.

Commentaires Dans le cadre du suivi des contrats de services (SLR/SLA) par exemple. Les tableaux de bord de mesure de la performance constituent un outil de communication pour la DSI.

Critre 4 : Les tableaux de bord produits et analyss mettent en vidence les volutions de la performance. Ils permettent d'anticiper les mesures de maintien / amlioration de la performance. Les tableaux de bord sont organiss par domaine permettant la dclinaison des objectifs stratgiques de l'entreprise et le suivi de leur ralisation. Les tableaux de bord sont consolids et intgrs aux tableaux de bord de l'entreprise. Commentaires SKMS = Service Knowledge Management System (systme de gestion de la connaissance). Exemples de domaines : Alignement/contribution aux mtiers ; Performance conomique ; Performance des processus internes SI ; Satisfaction clients (qualit) ; Prospectif et stratgie (innovation). Benchmark.

Critre 5 : Les tableaux de bord sont revus et modifis lors des changements de stratgie ou d'objectifs de l'organisation ou de la DSI.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
97

Critre 3 : Les tableaux de bord (ou synthses) produits et analyss sont revus et valids par les mtiers et les autres parties prenantes (clients internes ou externes, sous-traitants, codir, etc.), puis comments et diffuss rgulirement - au moins trimestriellement - aux membres de la direction gnrale.

Gouvernance du Systme dInformation

>> Vecteur 11

Gouvernance du Systme dInformation

> BONNE PRATIQUE N4


Plans dactions. La DSI met en place des plans dactions ncessaires latteinte de ses objectifs.

Critre 1 : La DSI utilise des tableaux de bord de mesure de la performance pour piloter certains lments de son activit ou aider dfinir des plans d'actions.

Critre 2 : La DSI utilise des tableaux de bord de mesure de la performance pour piloter son activit et mettre en place des plans d'actions qu'elle diffuse aux mtiers et aux autres parties prenantes.

>GUIDE DAUDIT

Critre 3 : Les tableaux de bord de mesure de la performance sont partags avec les mtiers et les parties prenantes pour piloter la performance et dfinir des plans d'actions communs. Commentaires Le pilotage de la performance va dans le sens d'une plus grande transparence de la DSI au sein de l'entreprise.

Critre 4 : La DSI veille ce que l'ensemble des problmes identifis par les tableaux de bord soient pris en charge dans les plans d'actions mettre en place.

Critre 5 : La DSI et les parties prenantes dfinissent et mettent en place des amliorations du dispositif de pilotage de la performance du SI.

98

CIGREF - IFACI - AFAI

Rseau

>> Vecteur 12
Gestion de la communication

ENJEUX
Clarifier et organiser les messages de la DSI ( lintrieur de lentreprise, mais aussi lextrieur de lentreprise). Faciliter la gestion de crise en ayant une communication en adquation avec lvnement. Rendre visible les succs de la DSI.

RISQUES ASSOCIS
Perception de la DSI travers les seuls incidents du SI. Absence de sens et de perspective vis--vis de la direction gnrale, des directions mtiers et des collaborateurs de la DSI.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
99

Gouvernance du Systme dInformation

>> Vecteur 12

Gouvernance du Systme dInformation

> BONNE PRATIQUE N1


Plan de communication. Un plan de communication accompagne le dveloppement du SI.

Critre 1 : Une communication ddie au SI est ralise. Commentaires Pas de distinction faire ce niveau entre la communication interne et externe (voir Bonnes Pratiques 4 et 5). Ce qui est vrifi dans les diffrents critres est uniquement lexistence et la gestion de ce dispositif.

>GUIDE DAUDIT

Critre 2 : Le plan de communication est valid et diffus. Commentaires Le plan de communication comprend, par exemple : les politiques SI, le schma directeur, le rle et les responsabilits des acteurs, le positionnement par rapport au plan de communication Groupe, etc.

Critre 3 : Le plan de communication fait l'objet d'un accompagnement tous les niveaux d'encadrement. Le plan de communication SI s'aligne sur le plan de communication global.

Critre 4 : Les acteurs ont des objectifs valuables sur la dclinaison du plan de communication du SI les concernant. Une communication proactive de gestion de crise existe. Cette communication est proportionne aux risques. Commentaires Pour chaque risque identifi par l'entreprise, il existe dj une stratgie de communication (communiquer: oui/non, si communication: sur quoi ? Avec l'aide de qui ? Par qui ?).

Critre 5 : Un bilan d'efficacit est fait rgulirement. Suite au bilan d'efficacit et/ou un vnement survenu, le plan de communication est modifi. Commentaires Retours dexprience, bonnes pratiques et dcision d'amlioration du SI mtier .

100

CIGREF - IFACI - AFAI

Rseau

> BONNE PRATIQUE N2


Communication sur la fonction SI. La communication de la fonction SI est organise.

Critre 1 : Des actions de communication interne ont t dfinies.

Critre 2 : Des communiqus d'instance(s) sont diffuss aux correspondants des diffrentes fonctions du SI. Commentaires Communiqus : CR des instances, autres textes diffuss : par mail, serveur, base partage. Correspondants de haut niveau : Pour la fonction : directeurs ou quivalents ; Pour l'organisation : groupe, filiale, programme, filire (au sens de la filire d'un SI mtier ).

Critre 3 : Les responsables des diffrentes fonctions du SI sont associs la conception, la ralisation et la diffusion de la communication. La communication interne de la fonction SI intgre les objectifs stratgiques des clients et des parties prenantes. La communication est valide par les parties prenantes internes de la fonction SI.

Critre 4 : L'impact de la communication interne de la fonction SI est priodiquement analys et amlior. Commentaires Il sagit den mesurer limpact au sein de toute l'entreprise, pas uniquement de la sphre SI. A cet effet, on fait appel par exemple des questionnaires ou des sondages.

Critre 5 : Des retours dexprience globaux sont utiliss pour les communications ultrieures.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
101

Gouvernance du Systme dInformation

>> Vecteur 12

Gouvernance du Systme dInformation

> BONNE PRATIQUE N3


Communication du SI. La communication du SI vers les principaux acteurs de lentreprise est organise.

Critre 1 : Des actions de communication ont t dfinies destination des acteurs externes cls du SI de lentreprise.

Critre 2 : Des communiqus d'instance(s) sont diffuss aux correspondants naturels de lentreprise ( mtiers , utilisateurs /clients SI, etc.). Commentaires Communiqus : CR des instances, autres textes diffuss : par courriel, serveur, base partage. Correspondants de haut niveau : Pour la fonction : directeurs ou quivalents ; Pour l'organisation : groupe, filiale, programme, filire (au sens de la filire d'un SI mtier ).

>GUIDE DAUDIT

Critre 3 : Les clients sont associs la conception, la ralisation et la diffusion de la communication. La communication intgre les objectifs stratgiques des clients (externes l'entreprise) et des parties prenantes. La communication est valide par toutes les parties prenantes internes. Commentaires Client : utilisateur mtier du SI ; le reporting des clients est un outil utilisable pour construire la communication. Parties prenantes : fonctions du SI, clients internes, dirigeants ou leurs reprsentants.

Critre 4 : L'impact de la communication externe clients/entreprise est priodiquement analys et amlior. Commentaires Au sein de l'organisation, pas uniquement au sein de la sphre SI ; on fait appel par exemple des questionnaires ou des sondages.

Critre 5 : Le plan de communication du SI est un aspect important de la stratgie du DSI.

Critre 6 : Des retours dexprience globaux sont utiliss pour les communications suivantes.

102

CIGREF - IFACI - AFAI

Rseau

> BONNE PRATIQUE N4


Communication de crise. La communication de crise est eciente.

Critre 1 : Une communication de crise doit sappuyer sur une procdure associe. Commentaires En fonction de la nature de la crise, une procdure de crise a t pralablement labore.

Critre 2 : La communication de crise est valide et diffuse aux acteurs et/ou aux entits de lentreprise.

Critre 3 : Des outils et/ou des ressources, assurant une communication valable en temps de crise, ont t dfinis. Les risques majeurs du SI ont fait lobjet dune communication de crise cohrente entre les diffrents acteurs (SI, fonctionnels, oprationnels, dirigeants).

Critre 4 : Des exercices de communication de crise sont rgulirement effectus. Commentaires Recommandation : ces exercices sont faire une fois par an.

Critre 5 : Un retour d'exprience est pratiqu. Commentaires Un des objectifs : pratiquer lamlioration continue sur la procdure de gestion de crise.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
103

Gouvernance du Systme dInformation

>> Vecteur 12

Gouvernance du Systme dInformation

> BONNE PRATIQUE N5


Communication interne. La matrise de la communication est ecace, adapte et volutive.

Critre 1 : Il existe une gestion de la communication mme partielle des donnes sur le SI. Commentaires Donnes du SI : budget, infrastructure, ressources, etc.

Critre 2 : Des objectifs de communication sont connus travers lentreprise pour tout ou partie. Commentaires Tout ou partie : fiabilit, cohrence, harmonie des indicateurs, cot de la communication, etc.

>GUIDE DAUDIT

Critre 3 : La communication doit tre produite selon un processus partag et en impliquant toutes les parties prenantes ( mtiers , filiale, type de SI, etc.).

Critre 4 : L'efficacit de la communication est mesure.

Critre 5 : Des retours d'exprience sur l'amlioration de la communication aux clients cls sont faits, partags et intgrs dans des bonnes pratiques. Commentaires Des enqutes peuvent tre utilises. Clients: utilisateurs mtiers du SI. La gestion de la communication interne doit prouver sa rsilience.

104

CIGREF - IFACI - AFAI

Rseau

> BONNE PRATIQUE N6


Communication externe. La matrise de la communication externe est ecace, adapte et volutive.

Critre 1 : Le SI est pris en compte dans la communication extrieure. Commentaires La communication extrieure est comprendre par rapport toutes les parties prenantes externes (actionnaires, analystes, journalistes, banques, assureurs, CAC, autorits de rgulation et de contrle). La communication extrieure peut se concrtiser dans le Rapport LSF, ou tre contrainte par un environnement rglementaire (CRBF 97-02, conformit Ble II ou Solvency II).

Critre 2 : La communication sur le SI est coordonne selon les cibles (sminaires, autorits de contrle, auditeurs qualit, etc.).

Critre 3 : La communication sur le SI est aligne avec la stratgie de la direction gnrale, communique par des moyens/outils communs.

Critre 4 : La construction de la communication et sa diffusion sont revues priodiquement selon des indicateurs quantitatifs ou qualitatifs, adapts aux cibles de la communication.

Critre 5 : Il existe un dispositif transversal visant harmoniser la communication sur le SI avec les autres objets de communication (rapport financier, rapport LSF, rapport environnemental, etc.) et avec les cibles de communication. Commentaires Il faut capitaliser sur les ides forces de la communication externe pour rendre confiantes les cibles externes de communication. Cibles externes: journalistes, actionnaires, etc. Il faut avoir des capacits de rsilience dans la gestion de la communication externe.

CIGREF - IFACI - AFAI

>GUIDE DAUDIT
105

Gouvernance du Systme dInformation

Gouvernance du Systme dInformation

>> Bibliographie
Rfrentiels
Revue Audit interne N 199 de mars-avril 2010 : L'Organisation du contrle interne au sein des entreprises : Une fonction en pleine volution Norme 2110.A2 - l'audit interne doit valuer si la gouvernance des systmes d'information de l'organisation soutient et supporte la stratgie et les objectifs de l'organisation : [Fiche technique N29]. / Batrice Ki-Zerbo. Lvaluation de la gouvernance des systmes dinformations de Sanofi-Aventis : [Fiche technique N29]. / Jean-Pierre Bouillot. Cobit 4.1 : Cadre de rfrence, objectifs de contrle, guide de management, modles de maturit / ITGI, AFAI - cop. 2008. Val IT : Cration de valeur pour lentreprise : la gouvernance des systmes dinformation / ITGI, AFAI. - 2006 Les rfrentiels de la DSI : Etat de l'art, usages et bonnes pratiques / CIGREF 2009 Le Contrle interne du systme d'information des organisations : Guide oprationnel d'application du cadre de rfrence AMF relatif au contrle interne / IFACI, CIGREF 2009 TOGAF Version 9 : The Book. / The Open Group. 2009 eSCM : Rfrentiel de bonnes pratiques de Sourcing labores par luniversit de Carnegie Mellon (Pittsburgh USA) ITIL Version 3 GTAGs Global Technologie Audit Guides. IIA. (www.ifaci.com)

>GUIDE DAUDIT
106

Communication et systme dinformation


La contribution du systme d'information la valeur de l'entreprise : dmarche, cas concrets. / AFAI. Communication et influence de la DSI / CIGREF. 2010 Linformation : prochain dfi pour les entreprises : Pratiques de cration de valeur par les SI et leur usage : cartographie 2009 / CIGREF, Cap Gemini consulting. 2009 Relations DSIMtiers : Vers une gouvernance commune du systme dinformation / CIGREF. 2009. Le Contrle interne du systme d'information des organisations : [Actes du colloque, vendredi 13 mars 2009] 2009 Comment fdrer tous les acteurs de la matrise des risques des systmes d'information ? : [Colloque des 11 & 12 juin 2008] IFACI. Manager le systme d'information de votre entreprise : Rduire les cots et crer de la valeur / Alain Vincent. 2000 Management information systems : Conceptual foundations, structure, and development 2nd ed. / Gordon B. Davis 1985

Gouvernance / Stratgie
Les Fonctions SI et Organisation au service des Mtiers : Optimiser la cration de valeur pour lentreprise (CIGREF en partenariat avec lAFDPE). 2010 Prise de position IFA / IFACI sur le rle de l'audit interne dans le gouvernement d'entreprise. 2009 Pilotage de la stratgie SI : Quelques bonnes pratiques dexcution du plan stratgique SI / CIGREF. 2008 L'Articulation gouvernance des systmes d'information / gouvernance d'entreprise. / Georges Epinette in L'Incidence de la mise en uvre d'un dispositif de contrle interne sur les systmes d'information : Du cadre de rfrence de l'AMF aux bonnes pratiques : [Colloque des 13 et 14 juin 2007] La Contribution la gouvernance des systmes d'information d'un service d'assistance aux utilisateurs : Le cas du CNRS. / Virginie Costard. 2007 [mmoire] Place de la gouvernance du SI dans la gouvernance gnrale de l'entreprise / CIGREF, AFAI. 2005 IT Scorecard et Stratgie dentreprise / AFAI, CIGREF. IT governance : Pilotage de l'informatique pour dirigeants d'entreprise : Modle de rfrence. - Association Franaise de l'Audit et du Conseil Informatiques (AFAI), 2004. Acti' 2004 : Les journes de l'audit et du conseil en technologies de l'information / AFAI ; IFACI. - 2004 La bonne gouvernance du systme dinformations / Philippe CHEVASSUT Alignement stratgique du systme dinformation : Comment faire du systme dinformation un atout pour lentreprise ? / CIGREF. 2002 Gouvernance du systme d'information : Problmatiques et dmarches / CIGREF. - 2002

CIGREF - IFACI - AFAI