Escolar Documentos
Profissional Documentos
Cultura Documentos
1 NOTION DE GOUVERNANCE
Le terme « Gouvernance » désigne la capacité d'une organisation d'être en mesure de contrôler et de réguler son propre fonctionnement afin
d'éviter les conflits d'intérêts liés à la séparation entre les ayants droits (actionnaires) et les acteurs.
2 GOUVERNANCE DES SI
La « Gouvernance des Systèmes d'Information » ou « Gouvernance informatique » (en anglais « IT gouvernance ») renvoie aux moyens
de gestion et de régulation des Systèmes d'Information (SI) mises en place dans une entreprise pour atteindre ses objectifs. A ce titre, la
Si la gouvernance d'entreprise (corporate governance) est devenue une urgence suite aux différents scandales financiers ( Enron, Worldcom,
Il s'agit en effet de s'assurer que le système d'information en action soit bien piloté avec rigueur et transparence.
Il s'agit de s'assurer que le système d'information réponde bien, aujourd'hui et demain, aux attentes des différentes parties prenantes internes
Aligner le système d'information sur la stratégie d'entreprise, on en parle depuis bien longtemps.
Ainsi, tous ceux qui considèrent encore aujourd'hui l'informatique comme un centre de coût à juguler compromettent la mise en oeuvre des
stratégies gagnantes du 21ème siècle. L’entreprise est toujours plus intégrée. Quels que soient les activités, les métiers et les marchés, les
processus sont de plus en plus dépendants de la technologie. Les questions de services, de qualité, de sécurité et d'évolution de concert avec
La question de la gouvernance des systèmes d'information est particulièrement complexe. Et comme pour toutes questions complexes, les
décideurs sont plutôt enclins à se reposer sur les experts et les méthodes du moment. La tendance est particulièrement forte, en tout cas pour
Pourtant, cette question touche à l'essentiel. Elle concerne l'ensemble des décideurs même s'ils sont encore relativement nombreux à ne pas
considérer ce point à sa juste valeur et continuent à penser que l'informatique n'est qu'une affaire de technicien.
- Gestion de la valeur
- Gestion de la performance
- Alignement stratégique
La première action est de vous assurer d’une compréhension approfondie des objectifs de votre entreprise. Ces objectifs vous permettront
Vous pourrez ensuite analyser le niveau de maturité de vos activités : comment votre gestion de la sécurité informatique se compare par
rapport aux meilleures pratiques de l’industrie. Vous allez ainsi déterminer les actions à prendre, et mettre en place votre plan d’action.
3 RÈGLES DE GOUVERNANCE
loi Sarbanes-Oxley
Aux États-Unis d’Amérique, la loi de 2002 sur la réforme de la comptabilité des sociétés cotées et la protection des investisseurs est une loi
fédérale imposant de nouvelles règles sur la comptabilité et la transparence financière. Elle fait suite aux différents scandales financiers
révélés dans le pays aux débuts des années 2000, tels ceux d'Enron et de Worldcom. Le texte est couramment appelé loi Sarbanes-Oxley, du
nom de ses promoteurs les sénateurs Paul Sarbanes et Mike Oxley. Ce nom peut être abrégé en SOX, Sarbox, ou SOA.
• l'obligation pour les présidents et les directeurs financiers de certifier personnellement les comptes ;
• l'encadrement des avantages particuliers des dirigeants (perte de l’intéressement en cas de diffusion d’informations inexactes,
interdiction des emprunts auprès de l’entreprise, possibilité donnée à la SEC - Securities and Exchange Commission, l'autorité de
régulation des marchés boursiers américains - d’interdire tout mandat social pour les dirigeants soupçonnés de fraude).
Cette loi oblige aussi à mettre en œuvre un contrôle interne s'appuyant sur un cadre conceptuel. En pratique le COSO est le référentiel le plus
utilisé.
Le référentiel COSO
• Le contrôle interne est un process : c’est un moyen, pas une fin ; il ne se cantonne pas à un recueil de procédures mais nécessite
• Le contrôle interne doit procurer l’assurance raisonnable (mais non absolue) d’un management et d’une direction respectueuse des
lois.
Le référentiel COSO "Internal Control – Integrated Framework" définit le contrôle interne comme un processus mis en œuvre par les
dirigeants à tous les niveaux de l’entreprise et destiné à fournir une assurance raisonnable quant à la réalisation des trois objectifs suivants :
On notera que ces objectifs correspondent en grande partie aux préoccupations des investisseurs.
Le COSO 2, "Enterprise Risk Management Framework" est aujourd'hui le cadre de référence de la gestion des risques.
des risques de l’entreprise est un processus mis en œuvre par le conseil d’administration, les dirigeants et le personnel d’une organisation,
• maîtriser les risques afin qu’ils soient dans les limites du « Risk Appetite (appétence au risque)» (cf. ci-dessous) de l’organisation,
Il apparaît que le COSO 2 inclut les éléments du COSO 1 au travers du troisième point et le complète sur le concept de gestion des risques.
4. COBIT
COBIT (Control Objectives for Information and related Technologies, traduisez contrôler les objectifs des technologies de l'information) est
une méthodologie d'évaluation des services informatiques au sein de l'entreprise, publiée en 1996 par l'IT Governance Institute et l'ISACA
Pour que l’informatique réponde correctement aux attentes de l’entreprise les dirigeants doivent mettre en place un système de contrôle ou de
référence interne qui les guidera dans la gouvernance des SI. COBIT est devenu l’intégrateur des meilleures pratiques en technologies de
l’information et le référentiel général de la gouvernance des SI qui aide à comprendre et à gérer les risques et les bénéfices qui leur sont
associés. Les bonnes pratiques de CobiT sont le fruit d’un consensus d’experts. Elles sont très axées sur le contrôle au sens maîtrise et moins
sur l’exécution. Elles ont pour but d’aider à optimiser les investissements informatiques, à assurer la fourniture des services et à fournir des
métriques auxquelles se référer pour évaluer les dysfonctionnements. COBIT est en permanence tenu à jour et harmonisé avec les autres
standards.
• les directions générales : pour que l’investissement informatique produise de la valeur et pour trouver le bon équilibre entre risques
• les directions métiers : pour obtenir des assurances sur la gestion et le contrôle des services informatiques fournis en interne ou par
des tiers,
• les directions informatiques : pour fournir les services informatiques dont les métiers ont besoin pour répondre à la stratégie de
• les auditeurs et consultants : pour justifier leurs opinions et/ou donner des conseils au management sur les contrôles internes et la
Le cadre de référence de contrôle de COBIT facilite la mise en place d’une gouvernance des SI en :
mesuré et comment) et les modèles de maturité pour faire apparaître leur degré de réussite, et à identifier les responsabilités communes aux
L’orientation processus de COBIT est illustrée par un modèle de processus qui subdivise l’informatique en 34 processus répartis entre les
quatre domaines de responsabilités que sont planifier, mettre en place, faire fonctionner et surveiller, donnant ainsi une vision complète
de l’activité informatique. Les concepts d’architecture d’entreprise aident à identifier les ressources essentielles au bon déroulement des
processus comme les applications, l’information, les infrastructures et les personnes. Pour fournir les informations dont l'entreprise a besoin
pour réaliser ses objectifs, les ressources informatiques doivent être gérées par un ensemble de processus regroupés selon une certaine
logique.
Les dirigeants ont besoin d’objectifs de contrôle pour fournir l’assurance raisonnable que les objectifs de l’entreprise seront atteints et que
des dispositifs sont en place pour prévenir ou détecter et corriger des événements indésirables. Les entreprises ont besoin de pouvoir mesurer
objectivement où elles en sont et où elles doivent apporter des améliorations, et elles ont besoin d’implémenter des outils de gestion pour
surveiller ces améliorations. La réponse à ce besoin de déterminer et de surveiller les niveaux de contrôle et de performance de
• Tests comparatifs de la capacité des processus informatiques présentés sous la forme de modèles de maturité inspirés du Capability
• Objectifs et métriques des processus informatiques pour définir et mesurer leurs résultats et leurs performances (capacité à
atteindre les objectifs métiers et informatiques) selon les principes du tableau de bord équilibré de Robert Kaplan et David Norton,
• Objectifs des activités pour mettre ces processus sous contrôle en se basant sur des objectifs de contrôle détaillés.
L’évaluation de la capacité des processus au moyen des modèles de maturité de COBIT est un élément clé de la mise en place d’une
gouvernance des SI. Lorsqu’on a identifié les processus et les contrôles informatiques essentiels, le modèle de maturité permet de mettre en
évidence les défauts de capacité et d’en faire la démonstration au management. On peut alors concevoir des plans d’action pour amener ces
La mesure de la performance est essentielle à la gouvernance des SI. Elle est un élément de CobiT et consiste entre autres à fixer et à
surveiller des objectifs mesurables pour ce que les processus informatiques sont censés fournir (résultat du processus) et pour la façon dont
Pour que cette gouvernance soit efficace, les dirigeants doivent obtenir des directions opérationnelles qu’elles mettent en place des contrôles
En conclusion, parmi les avantages à adopter COBIT comme cadre de gouvernance des SI on peut citer :
• une attribution claire de la propriété et des responsabilités, du fait de l’approche par processus,
• une bonne compréhension de toutes les parties prenantes grâce à un langage commun,
La GTI vise à réduire les risques reliés à l’utilisation des TI, par le biais du contrôle et de l’audit pour atteindre les objectifs du système:
Une transformation organisationnelle telle qu’une implantation de prologiciel, ou des efforts d’amélioration de la productivité, de réduction
des coûts ou d’amélioration du niveau de service, nécessite une série de changements qui devraient être mis en place. Qui dit changement dit
résistance au changement.
L'entreprise à la demande se concentre sur ce qui la distingue : les biens et les services qu'elle produit mieux que ses concurrents, et les
consommateurs qu'elle peut toucher le plus efficacement. Les autres fonctions et processus sont externalisés auprès d'un réseau de partenaires
stratégiques étroitement intégré. L'entreprise devient ainsi une machine à fabriquer de la valeur ajoutée : ses ressources sont directement
• L'entreprise est capable d'anticiper l'avenir... Elle reçoit en temps réel les données issues de ses fournisseurs, de ses clients et
d'autres sources externes. Les données sont saisies, analysées et transmises rapidement aux personnes qui savent les exploiter.
• … et de réagir en conséquence. Les usines peuvent rapidement réajuster leur production - sans réunions ni formalités inutiles.
Grâce à des actions promotionnelles, les marchandises dont la rotation est la plus lente ne traînent plus dans l'entrepôt. Chaque
• Les décisions sont plus rapides. Des outils de collaboration en ligne facilitent et accélèrent la communication - avec un
interlocuteur ou un million de consommateurs. L'intégration des processus abolit les cloisonnements. La productivité monte en
• Volatilité ne signifie pas désordre. Grâce à des structures de coûts variables, à des processus externalisés et à d'autres mécanismes
souples, les aléas du monde extérieur ne dégénèrent pas en crises internes. Les systèmes comptables et juridiques de l'entreprise sont
conçus pour établir une corrélation dynamique entre les coûts et les ventes. Et parce que ces changements interviennent avant qu'ils
ne soient nécessaires, l'entreprise prévient toutes sortes de catastrophes - plans sociaux, hémorragies financières, etc.
• L'innovation est payante. La capacité d'anticiper les attentes des clients et de réagir rapidement ancre la recherche et le
développement dans la réalité. Les produits sont commercialisés plus rapidement, à moindre coût.