Le Workflow comme moteur des projets de conformité

Transcription

1 White Paper Le Workflow comme moteur des projets de conformité Présentation Les entreprises sont aujourd'hui soumises aux nouvelles régulations, lois et standards de gouvernance les obligeant à mettre en place de nombreuses procédures notamment pour identifier les responsabilités, conserver l historique des décisions prises et analyser les écarts via des audits. La capacité des organisations à gérer efficacement ces projets de conformité et de gouvernance représente un enjeu stratégique ayant des répercussions directes sur l activité de l entreprise. Dans ce chapitre nous évoquerons un certain nombre de processus à mettre en place dans le cadre de la conformité à des lois comme Sarbanes Oxley et BALE 2, des standards de gouvernance des systèmes d information comme COBIT, ITIL et ISO et enfin de la gestion de projets d entreprise. L'automatisation de ces procédures à l'aide d'une solution de workflow devient une composante essentielle du projet de conformité. Mais le workflow doit s'accompagner de connecteurs avec le système d'information existant, d'un certain nombre de rapports de consultation et d'audit pour couvrir l'ensemble des exigences de ces lois et standards de gouvernance. SOMMAIRE - Le workflow comme portail de la conformité - Sarbanes Oxley Act - Bâle 2 - COBIT - ITIL - ISO Gestion de projet - Conclusion

2 Le workflow comme portail de la conformité La conformité repose en grande partie sur l application et la mise en œuvre de procédures. Les organisations concernées ont alors le choix entre : Trouver des solutions manuelles reposant sur des flux papiers ou s. Acquérir un outil par processus à mettre en place Mettre en place un logiciel de workflow pour fédérer l ensemble des processus au travers d un seul Portail. Les solutions manuelles deviennent rapidement non viables en terme de coûts et de ressources à mettre en place. Les outils spécifiques à chaque processus fournissent des solutions à court terme mais sont relativement coûteux en terme d acquisition, d intégration et de maintenance. De plus pour les utilisateurs finaux, cela multiplie les applications à utiliser régulièrement. En effet, il est courant de devoir mettre en place une dizaine de processus dans le cadre d un projet de conformité ou de gouvernance des systèmes d information. L utilisation d une solution de workflow comme portail de conformité permet non seulement des gains sur le coût de mise en œuvre de ces processus mais aussi facilite l accompagnement au changement nécessaire dans ce type de projet. En effet les utilisateurs passeront par le même point d entrée pour initier leurs demandes ou effectuer leurs actions dans les processus de conformité. Les statistiques et autres rapports pourront facilement croiser et comparer différents processus entre eux. Enfin le déploiement de nouveaux processus se fera plus facilement grâce à un délai de formation plus rapide. L agilité est aussi un critère important à prendre en compte, les lois et régulations changent et l organisation de l entreprise aussi. Une solution de workflow permet d ajuster la définition des processus avec beaucoup plus de souplesse qu une solution dédiée à un processus en particulier. De plus les équipes internes de l entreprise peuvent avoir les compétences pour le faire dans délais relativement courts. Enfin les besoins de traçabilité sont très présents dans ces lois, régulations et autres standards. Qui a fait quoi et quand sont autant de questions posées par les auditeurs. La plupart des outils de workflow offrent un niveau de traçabilité élevé permettant notamment l historisation des formulaires saisis et des actions effectuées à chaque étape d un processus. Utiliser un portail de workflow pour gérer la composante processus d un projet de conformité permet de résoudre de nombreuses difficultés techniques concernant l historisation du traitement des demandes et des décisions prises.

3 Sarbanes Oxley Act La mise en conformité avec SOX est un processus permanent pour l'entreprise. Cela nécessite d'adapter l'organisation de l'entreprise et de formaliser les flux d'informations. Le nombre de processus pouvant rapidement devenir important le développement d'applications sur mesures pour chaque processus n'est pas envisageable pour des raisons de délais et de coût. Mais plus encore, il faut régulièrement adapter les workflows de ces processus pour tenir compte des changements internes aussi bien sur l'organisation que sur le système d'information. Le workflow pour SOX est donc une activité permanente de l'entreprise. Le workflow facilite la mise en conformité avec le Sarbanes Oxley Act pour 2 raisons principales: L implémentation rapide des processus liés à SOX La compatibilité de la solution de workflow avec les contraintes techniques imposées par l'application de la norme SOX Sécurité L'authentification sur le portail de workflow respecte la politique de sécurité de l entreprise L'accès aux informations dépend du profil et des droits d'accès des utilisateurs. L'émission de formulaires peut supporter les technologies de signatures électroniques basées sur des certificats permettant ainsi d'assurer l'intégrité des informations soumises et l'identité de l'émetteur. La sécurité d'accès aux stockages physiques des données sur les serveurs est conforme aux exigences de la norme SOX. Traçabilité Toutes les actions effectuées dans le cadre de l'exécution des processus sont historisées. Chaque version modifiée des formulaires peut être conservée pour un niveau maximal de contrôle. A tout moment les données et fichiers circulant dans les processus peuvent être exportés dans des systèmes tiers de gestion électronique de documents. Disponibilité Le moteur de workflow peut s'intégrer dans des architectures techniques de haute disponibilité, notamment dans une web farm. La réplication possible des données et des processus permet de plus de mettre en place un plan de reprise sur panne.

4 Bâle 2 Publié en 2004, le dispositif réglementaire Bâle 2 concerne les établissements financiers européens. Il s'agit de mettre en place une gestion des risques à la fois métiers (crédits, marchés) et opérationnels. La conformité à cette loi engendre la mise en oeuvre de nombreux processus. Une solution de workflow permet une implémentation rapide et simple de ces processus tout en respectant les exigences de la réglementation. La gestion des incidents Il s'agit dans un premier temps de mettre en place des procédures de collecte des incidents avec une historisation à long terme. Le workflow permet l'automatisation des procédures avec l'archivage des demandes et des actions effectuées. Il s agit alors de faire les intégrations nécessaires comme les imports/exports avec les autres bases documentaires, bases de données et applications du système d'information de l'établissement financier. La gestion des risques Dans le cadre Bâle 2 il s'agit également de mettre en place des procédures d'identification et de gestion des risques. En plus de l'automatisation des procédures le workflow permet l'exploitation des données du processus avec des outils décisionnels permettant de diffuser des rapports et des indicateurs de suivi des risques. En effet en optimisant et automatisant les procédures, le workflow réduit la surcharge de travail lié à l'analyse et au suivi des risques remontés par les activités de l'établissement financier.

5 COBIT COBIT est un standard géré par l'it Governance Institute (ITGI) définissant un cadre de travail pour la mise en oeuvre de la gouvernance des systèmes d'information (IT Governance). COBIT définit à la fois les processus de fonctionnement et de contrôle de la Direction des Systèmes d'information. COBIT comprend près de 34 objectifs de contrôle regroupés en 4 domaines principaux : Planification et organisation Acquisition et mise en place Distribution et support Surveillance Une centaine de processus correspondants doivent être mis en oeuvre pour formaliser les différents objectifs de contrôle Planification et organisation Qui a décidé quoi, quand et pour qui? La bonne gouvernance du SI repose sur la définition claire des responsabilités et la traçabilité des décisions. Dans le cadre du périmètre COBIT les processus à mettre en oeuvre sont particulièrement stratégiques. Le workflow permet de modéliser et d'implémenter les circuits de décision et de fournir l'historisation nécessaire des actions effectuées et des décisions prises. Exemples de processus : Validation de la stratégie SI Gestion des investissements Gestion de la conformité Evaluation et gestion des risques Gestion de la qualité Gestion des ressources humaines Acquisition et mise en place L'identification et la mise en oeuvre d'une nouvelle solution informatique devient un processus de plus en plus complexe à la fois sur la validation de l'achat que sur la gestion des changements. La multitude des projets et des acteurs rend problématique la gestion "papier" ou " " de ces processus. Le workflow, en automatisant ces processus, apporte des gains substantiels de productivité tout en intégrant les contraintes de plus en plus lourdes de la conformité. Exemples de processus : Identification et validation des solutions Gestion des acquisitions et de la maintenance Gestion des procédures IT Gestion des installations et des qualifications des systèmes Gestion des changements Distribution et support Il s'agit d'un des domaines COBIT les plus concernés par la conformité. En effet il intègre la gestion de la sécurité du système d'information. La DSI doit notamment déléguer la gestion des autorisations sur le SI aux activités concernées de l'entreprise. Une traçabilité complète des demandes d'accès, de la gestion des mouvements de personnels par exemple doit être mise en oeuvre. Le workflow permet de gérer de manière très efficace ces nombreux processus avec l'aide notamment de connecteurs permettant d'automatiser de nombreuses tâches manuelles qui sont sources d'erreurs et de perte de productivité.

6 Exemples de processus : Définition des contrats de niveaux de services (SLA) Gestion de la relation fournisseur Gestion de la performance Gestion des autorisations Identification et gestion des coûts Gestion de la configuration Gestion des problèmes et des incidents Gestion des opérations Surveillance La surveillance représente une activité très importante en termes de moyens et de temps notamment dans le cadre des projets de conformité. La mise en place d'une solution humaine est peu viable en raison des coûts liés notamment au volume de données à analyser et du nombre de processus à suivre. Un logiciel de workflow permet d'automatiser de nombreux processus de surveillance et d'historiser les contrôles effectués et les actions correctives déclenchées. Des connecteurs avec le système d'information permettent de déclencher des alertes automatiques en fonction des critères définis par la DSI. Exemples de processus : Gestions des audits effectuées en interne ou par une entité indépendante Gestion des actions correctives

7 ITIL La norme ITIL (IT Infrastructure Library) est un cadre de travail pour la gouvernance des SI de plus en plus adoptés par de nombreuses organisations privées et publiques. Reposant sur des bonnes pratiques cette bibliothèque de processus est composée de 8 livres : Gestion des actifs logiciels Service de support Fourniture de services Gestion de la sécurité Gestion des applications Gestion de l'infrastructure La perspective métier Planning pour implémenter le service management Plusieurs processus dans chaque livre sont à mettre en oeuvre. Le workflow permet d'automatiser rapidement et efficacement les processus ITIL tout en respectant les contraintes les plus fortes de la conformité avec les lois du secteur d'activité de l'entreprise. Le workflow : l accélérateur du projet ITIL L utilisation du workflow réduit considérablement le coût de mise en place des processus ITIL. En effet le manque de temps et les ressources à consacrer sont autant de facteurs qui ralentissent la mise en oeuvre d'itil dans les entreprises. Pourtant l'implémentation des processus ITIL augmente l'agilité de l'entreprise par un service aux utilisateurs internes plus performant. C'est aussi une première étape vers la gouvernance des systèmes d'exploitation et la conformité aux nouvelles régulations concernant le secteur d'activité de l'organisation. Le workflow répond à la fois aux exigences de ROI immédiat et de l'automatisation des processus ITIL mais aussi aux exigences de la conformité notamment concernant la traçabilité des actions et des décisions ainsi que leur historisation. De plus les fonctions d'intégration du moteur de workflow permettent de connecter les processus ITIL avec les systèmes et applications de l'organisation (ERP, bases de données, annuaires, etc.). Voici quelques exemples de processus ITIL intégrable dans le portail de workflow : Gestion de l'assistance (Helpdesk) Gestion des incidents Gestion des configurations Gestion des changements Gestion des mises à jour Gestion des problèmes Gestion des niveaux de services (SLA) Gestion de la disponibilité Gestion des capacités Gestion de la continuité de service

8 ISO La norme ISO est aujourd'hui très représentative des nombreuses lois dans le domaine de la sécurisation des systèmes d'informations. L'application de cette norme ISO permet d'être très bien préparé au projet de conformité. La norme ISO est composée des ensembles de standards suivants : Appréciation et traitement du risque Politique de sécurité Organisation de la sécurité de l'information Gestion des biens Sécurité liée aux ressources humaines Gestion de l'exploitation et des télécommunications Contrôles d'accès Acquisition, développements et maintenances des systèmes d'information Gestion des incidents liés à la sécurité de l'information Gestion du plan de continuité de l'activité Conformité En plus des actions techniques, un nombre important de processus sont à mettre en oeuvre. La mise en place d une solution de workflow vous permet de mener à bien votre projet d'application complet ou partiel de la norme ISO en automatisant les processus avec les niveaux d'exigences en termes de traçabilité et d'historisation requis. Exemples de processus ISO Les processus de la norme ISO interviennent sur toutes les composantes de la gestion de la sécurité des systèmes d'information. On retrouve notamment la gestion des risques et la définition de la politique de sécurité, la gestion des autorisations d'accès aux personnels, la gestion des incidents et la gestion des audits. Voici quelques exemples de processus pouvant être intégrés dans le portail de workflow : Analyse et gestion des risques Définition de la politique de sécurité Sécurité liée aux ressources humaines : Définition des rôles et responsabilités Vérification lors du recrutement Nouvel arrivant Changement de statut d'un employé Terminaison d'un employé Gestion des sanctions Gestion des incidents : Signalement d'un incident Analyse et gestion d'un incident Gestion des actions correctives

9 Gestion de projets d entreprise La gestion des projets est aujourd'hui une activité stratégique de l'entreprise. Lancer un nouveau produit, mettre en place une nouvelle infrastructure informatique ou mettre en oeuvre un plan de réorganisation de l'entreprise sont des exemples de projets complexes devant parfois être menés en parallèle. La gestion de projets est aujourd'hui normalisée et structurée par de nombreux processus garantissant la qualité et la traçabilité des actions. La conformité aux nouvelles législations impose aussi un niveau de formalisme plus important de la gestion des projets. Le workflow au sein de la gestion de projets devient donc indispensable pour assurer les délais et respecter les exigences de la gouvernance de l'entreprise. Sponsors, chefs de projet, équipes projet, responsables de tâches, clients, partenaires et fournisseurs sont les acteurs des workflows de gestion de projet. Définition du projet La validation et définition du projet sont les étapes les plus stratégiques pour le succès des projets de l'entreprise. De plus en plus de collaborateurs sont impliqués dans cette phase initiale du projet. La traçabilité des décisions, l'application des listes de contrôles sont des exemples de fonctionnalités offertes par la mise en oeuvre de workflow pour la gestion des processus de gestion de projets. Voici quelques exemples de processus automatisables : Proposition de projet Validation de la charte du projet Validation du cahier des charges du projet Validation de la matrice des responsabilités Validation du plan de communication Planification du projet Pendant cette étape de planification du projet la traçabilité des décisions est particulièrement importante notamment concernant la gestion des risques. Le workflow permet notamment d'historiser les différentes étapes de validation et par exemple de consolider les risques identifiés dans une base documentaire. Exemples de processus : Analyse et gestion des risques Validation de l'organigramme des tâches Validation du planning Suivi du projet La gestion de projet aujourd'hui intègre complètement la gestion du changement. En effet la compétition ou les changements technologiques sont des facteurs impactant fortement le suivi des projets en cours. Le workflow permet d'automatiser et d'améliorer la gestion des changements et la résolution des problèmes. Il permet aussi d'historiser les décisions et de capitaliser les connaissances acquises dans des bases de connaissances. Exemples de processus Analyse et gestion des problèmes Affectation de tâche Validation du rapport d'avancement de projet Gestion des changements et modifications Gestion des configurations Gestion de la clôture du projet

10 Intégration avec le système d'information de l'entreprise Les processus de gestion de projets automatisés peuvent être intégrés avec des bases de données, bases documentaires, et autres applications de gestion de projets. L'automatisation des processus de gestion de projet est non seulement une réponse pour la conformité aux nouvelles lois mais aussi un facteur de succès dans l'aboutissement de vos projets en apportant des gains substantiels de productivité et de qualité des informations échangées.

11 Conclusion Les nouvelles règles imposées par la conformité et la gouvernance accélèrent la mutation des méthodes de travail dans l entreprises vers une organisation orientée processus. Dans ce contexte une grande partie des s échangés vont se transformer en workflow structurant l enchaînement des actions, la définition des rôles tout en apportant la traçabilité et les possibilités de contrôles. Le portail de workflow aura une place significative dans le bureau virtuel des collaborateurs de l entreprise. La gestion des projets de workflow devient particulièrement stratégique dans le cadre de la conformité et de la gouvernance, on voit aujourd hui les directions de l organisation ou celle des systèmes d informations prendre en charge ce type de projets. La difficulté est la nature complexe de ces solutions qui reposent sur des composantes métiers (expertises sur la norme à respecter), organisationnelles (modélisation et gestion du changement) et techniques (implémentation et intégration avec le système d information). Le workflow est donc le moteur de ces nouveaux projets dont sa maîtrise créera une nouvelle valeur pour l entreprise. Découvrez comment WorkflowGen peut vous aider pour la gouvernance SI et la conformité.