Académique Documents
Professionnel Documents
Culture Documents
La définition d’un système d’information a évolué pour prendre en compte le poids accru des
technologies de l’information dans l’organisation du travail. Aujourd’hui, le concept de
processus joue un rôle aussi important que le concept d’information, car dans beaucoup de
domaines, le processus métier est proche du processus informationnel sous-jacent.
Selon la norme ISO 9000 :2000 la définition référence d’un processus c’est « un ensemble
d’activités corrélées ou interactives qui transforme des éléments d’entrée en éléments de
sortie ». L’activité est un ensemble de travaux devant être exécutés par des machines et/ou par
des êtres humains. Ces travaux peuvent être des actions de production, de communication ou
de contrôle. Si le processus est appréhendé comme une transformation, l’activité correspond à
une partie de cette transformation et produit un résultat, souvent à partir d’éléments en entrée.
D’après Chantal morley l’approche processus est une méthode d’analyse ou de modélisation.
Elle consiste à décrire de façon méthodique une organisation ou une activité, généralement
dans le but d’agir dessus.
L’amélioration des processus est au cœur de l’approche processus. C’est cependant une
entreprise exigeante et consommatrice de ressources. Pour ne pas reproduire certaines dérives
observées dans la mise en place de systèmes qualité, il est souhaitable de juger in fine les
opérations d’évolution de processus sur le degré d’amélioration des produits/service
résultants.
Un processus système d’information est une vue de tout ou partie d’un processus métier,
focalisée sur la façon dont l’information est structurée et utilisée. Il participe au même objectif
que le processus métier auquel il correspond, avec une déclinaison plus précise centrée sur la
mise à disposition et le traitement d’information. Il peut parfois concourir à la traduction de
différents processus métiers, en particulier lorsqu’il effectue une fonction réutilisable. Les
activités décrivent la façon dont les informations, structurées en entités, sont créées,
modifiées, transmises, stockées, manipulées.
ITIL s’inscrit dans une approche processus conforme à ISO 9000, c’est-à-dire reconnaissant
que l’articulation entre les activités et la coordination entre processus jouent un rôle majeur
dans une Organisation
ITIL associe des bonnes pratiques pour l’audit interne dans le domaine de SI, elle propose des
indicateurs clés de performance à chaque processus. Par exemple, pour la gestion d’incident,
les indicateurs suivants sont proposés pour une période donnée : nombre total d’incidents,
temps moyen de traitement de l’incident pondéré par l’ampleur de l’impact sur les
programmes, le pourcentage d’incidents traités dans la durée convenue dans les accords, le
pourcentage d’incidents traités directement par le centre de service
ITIL s’inscrit dans une approche processus conforme à ISO 9000, c’est-à-dire reconnaissant
que l’articulation entre les activités et la coordination entre processus jouent un rôle majeur
dans une Organisation. Le modèle générique proposé (figure 4.11) montre le souci de
maîtriser les processus, à travers des paramètres mesurant la qualité et des indicateurs de
performance
Les systèmes d’information sont étudiés à la fois sous l’angle de leur utilisation et de leur
gestion (Raymond, Paré et Bergeron, 1993). Or, l’un des problèmes fondamentaux rencontrés
par les chercheurs en SI réside dans la capacité des acteurs à conceptualiser et mesurer la
valeur, et son impact, sur la performance opérationnelle, financière et concurrentielle de
l’entreprise (Kauffman et Weill, 1989 ; Rowe, 1994). Ainsi, nous remarquons aujourd’hui que
les entreprises pris t conscience de l’importance de la valorisation de leurs systèmes
d’information.
Ceci montre également la nécessité de mieux prendre en compte la valorisation et sa
contribution à la performance des entreprises.
Dans une étude sur l’industrie de l’assurance, Bender (1986) avait identifié et mis en avant
l’existence d’un niveau optimal d’investissement en traitement de l’information. Celui‐ci se
situerait entre 15% et 25% des coûts totaux. Une autre étude concernant l’industrie de
l’assurance (utilisant des données disponibles sur une période de 4 ans) a révélé que les
entreprises ayant les plus importantes améliorations en performance organisationnelle
allouaient une part significativement plus élevée de leurs dépenses opérationnelles dans les
TIC (Harris et Katz, 1988). Steindel (1992) quant à lui a abouti à un impact positif des
équipements informatiques sur la productivité en se basant sur des données sectorielles. Selon
CIGREF
Le système d’information est performant lorsqu’il permet à l’entreprise de mieux exercer son
métier. La performance peut prendre deux formes :
Dans le cadre de notre de travail de recherche nous avons identifié quelques variables qui
peuvent expliquer la performance du SI, Selon CIGREF :
Histoire de l’entreprise
Niveau d’implication du top management
L’évaluation des risques des systèmes d’information
La sécurité globale des SI
Les indicateurs de performance des systèmes d’information :
Selon Cigraef les indicateurs de performance des systèmes d’informations ont pour objet de
proposer des principes généraux d’une mesure de l’efficacité de la gestion de l’information
dans l’entreprise
Les indicateurs clés de performance KPI , sont mises en place pour analyser la réalisation des
tâches par rapport aux objectifs à atteindre. Ces indicateurs doivent être mesurés par un indice
(généralement représenté par un nombre). Les mesures peuvent porter sur les progrès réalisés
sur l‘ensemble ou sur une partie du processus.
Indicateurs d’impact :
Qui mesurent le degré de réalisation des objectifs généraux de l’entreprise
Indicateurs de résultat :
Cout
Indicateurs de sécurité :
Mesurer la capacité de l’entreprise à maîtriser les risques liés à la manipulation et au transport
d’informations confidentielles
Taux de confidentialité des applications
Analyse de sensibilité des donnes
Analyse de risque
La gouvernance des S.I. ne peut être considérée comme un concept bien défini, car elle est
utilisée de façons diverses. Cependant, elle traduit une exigence accrue de contrôle pour
différentes raisons, au-delà des contraintes légales. En effet, le SI occupe une place croissante
dans le fonctionnement des entreprises et constitue souvent un élément majeur de leur
performance, alors qu’il apparaît potentiellement vulnérable : la sécurité doit donc faire
l’objet d’une gestion rigoureuse. De plus, les processus de décision sont souvent
insuffisamment contrôlés. En particulier, les dépenses informatiques, difficilement maîtrisées,
ont atteint un niveau élevé dans le budget des entreprises, alors que le retour sur ces
investissements et ces coûts de fonctionnement reste difficile à estimer. Ce phénomène est
largement lié à la vitesse de changement des technologies, sans commune mesure avec ce que
l’on trouve dans les autres domaines de l’entreprise, et les décisions quant aux choix
techniques pertinents sont souvent lourdes de conséquences.
La gouvernance des S.I. ne peut être considérée comme un concept bien défini, car elle est
utilisée de façons diverses. Cependant, elle traduit une exigence accrue de contrôle pour
différentes raisons, au-delà des contraintes légales. En effet, le SI occupe une place croissante
dans le fonctionnement des entreprises et constitue souvent un élément majeur de leur
performance, alors qu’il apparaît potentiellement vulnérable : la sécurité doit donc faire
l’objet d’une gestion rigoureuse. De plus, les processus de décision sont souvent
insuffisamment contrôlés. En particulier, les dépenses informatiques, difficilement maîtrisées,
ont atteint un niveau élevé dans le budget des entreprises, alors que le retour sur ces
investissements et ces coûts de fonctionnement reste difficile à estimer. Ce phénomène est
largement lié à la vitesse de changement des technologies, sans commune mesure avec ce que
l’on trouve dans les autres domaines de l’entreprise, et les décisions quant aux choix
techniques pertinents sont souvent lourdes de conséquences.
L'audit interne
Ce qui fait débat
Jacques Renard 01/09/2002 Maxima
La création de la fonction d’audit interne dans les organisations s’inscrit dans le cadre plus
général de l’évolution de la notion d’audit. Avec l’apparition de nouveaux risques lié aux
systèmes d’informations, de nouvelles procédures d’audit sont nécessaires pour gérer
correctement ces risques, l’audit interne devient plus compatible avec les systèmes
d’informations et indispensable pour les organisations qui veulent garantir la sécurité de leur
patrimoine.
Kirk Rehage et Steve Hunt (2008) ont constaté que les organisations ont vécu de larges
changements et spécialement dans leurs utilisations de SI à l’heure où la technologie fait plus
que jamais partie des activités et opérations d’une organisation. Henderson et Venkatraman,
(1993) pensent que les TIC sont devenues un support stratégique au sein de l’organisation.
Pour cela, le but de l’IIL est d’exprimer une meilleure approche pour évaluer et améliorer le
SI qui nécessite un audit interne. Pour que le SI soit performant les auditeurs internes
élaborent un plan d’audit pour l’organisation fondé sur les risques au moins une fois par an,
afin de déterminer les priorités d'intervention et ce, en se basant sur le référentiel ISO qui
assure la sécurité des informations, tout en se conformant aux stratégies et objectifs de
l’organisation,
L’IIL et l’FACI (2000) ont souligné qu’il n’y a de risque que par rapport à l’atteinte d’un
objectif ou plus précisément que par la conséquence dommageable de ce risque quant à
l’atteinte d’un objectif. L’audit interne est un processus qui fournit une assurance sur le degré
de maitrise des opérations et apporter un éclairage sur les risques.
Selon Fernandez-Toro (2008), au sein des entreprises, la sécurité des SI est de plus en plus
abordée à l’aide d’approche basée sur les risques. L’expérience montre que la gestion des
risques par l’audit interne réduit de manière considérable les pertes liées aux faiblesses de la
sécurité des SI.
En effet, l’audit interne apporte sa contribution à l’ensemble des activités, fonctions ou
processus de l’organisation, grâce à l’évolution des et sujet audités, toute entité est concernée
par les investigations de l’audit interne.
A ce niveau, il faut parler de la gestion des risques et la sécurité des systèmes d’informations,
chaque titre doit refléter son contenu.
Il faut aussi conclure en introduisant la section suivante, en disant par exemple que l’audit
interne est parmi les outils permettant de gérer les risques des SI et par conséquent il participe
à l’amélioration de leur performance.