COMMUNIQUÉ 14-COM-002 14 juiet 2014 Lignes directrices reatives à a gouvernance des technoogies de (TI) caisses (ASPC) a créé un groupe de travai sur es risques iés aux (TI), qui se concentre sur es pratiques de gouvernance et de gestion des risques des TI au sein des caisses du Canada. Ce comité a reçu e mandat de définir accroître a sensibiisation à des pratiques de gestion des risques en matière de TI dans es caisses, ainsi que accroître a priorité que es organismes de régementation des caisses provinciaes accordent à a gouvernance et à. reconnaissent que a gouvernance et a gestion des risques en matière de TI constituent une activité opérationnee essentiee qui contribue au succès des caisses. Les membres ont décidé une pus grande importance et une priorité pus éevée aux pratiques de gouvernance et de gestion des risques des TI au sein des institutions financières coopératives canadiennes. pubie une igne directrice reative à a gouvernance des, ayant pour objectif de présenter es principes de base de a gouvernance des TI, et de définir es rôes et es responsabiités des principaux intervenants. Ces orientations sont sont adaptabes à a taie, à a nature, a compexité et au profi de risque des caisses sur une base individuee. it présenter des ignes directrices sur des TI,, a gestion et a sécurité des réseaux informatiques, de même que a panification de a continuité des activités (PCA) et e pan de reprise après catastrophe (PRC). interprovincia c -dépôts et de superviseurs prudenties. Pour pus de à www.cupsa-aspc.ca.
Principes directeurs, rôes et responsabiités des TI est : a qui de façon proactive sous-ensembe de a TI et eur harmonisation avec es objectifs de La mission de a gouvernance objectifs et, de hiérarchiser et de gérer es demandes de services de TI, de gérer es principaux risques et menaces Association des superviseurs prudenties des caisses (ASPC) présente cette igne directrice afin de permettre aux institutions de mieux comprendre es principes de a es responsabiités. Les pratiques et es principes décrits dans ces orientations sont conçus de à a nature, à a compexité et au institution, et is sont conformes aux principes de gouvernance des TI IT Governance Institute (ITGI). Principe directeur n o 1 Aignement stratégique stratégique permet que es initiatives et es normes reatives aux TI soutiennent a stratégie et es objectifs Cea impique donc : O haute direction en ce qui concerne es TI. C. Éaborer une stratégie et des objectifs pour es TI. L es TI font partie du processus de panification stratégique. de a stratégie en matière de TI avec es objectifs organisationnes. e Principe directeur n o 2 Création de vaeur Grâce à a création de vaeur es TI apporte de a vaeur en séectionnant judicieusement es investissements et en es gérant sur tout eur cyce de vie. La création de vaeur efficace assure que es projets TI sont terminés à temps, respectent es budgets et répondent aux attentes. Cea impique donc : Définir es ééments décencheurs et es objectifs du projet. Définir es ééments décencheurs et es objectifs de a prestation de services.
Surveier a gestion du projet et es objectifs de prestation. Favoriser es communications à propos de a vaeur des TI. identification efficace des besoins; des pans de communication pour es nouveaux projets; e suivi et a divugation des projets TI; a phase de réaisation des avantages comprise dans es procédures de fermeture des projets. Principe directeur n o 3 Gestion du risque La gestion du risque favorise a protection des biens TI, a reprise après catastrophe et a Cea impique :, en ce qui concerne es TI. Définir es stratégies e risques des TI.. Comprendre es mandats de conformité et de régementation. ssurer que es informations sont gérées seon des pratiques efficaces de contrôe de a quaité. Coabor procédures de contrôe des changements; a détermination de faisant parties du cadre de gestion intégrée du risque de des processus de conformité à a règementation; nnées; d (types de données et niveaux ); d des processus de ges cassification, etc.); des procédures étabies pour a panification de a continuité des activités et de reprise après catastrophe, et pour a gestion des incidents et e recours à a hiérarchie.
Principe directeur n o 4 Gestion des ressources La gestion des ressour des ressources TI Cea impique : du portefeuie. Gérer es actifs informationnes («hardware et software»). Veier sur es tiers fournisseurs de services et es ententes d. un personne adéquat pour a gestion de TI, tant partir d ententes d ; des processus de prestation de services; rces; des budgets des TI; des protocoes de gestion des actifs TI; des ententes sur es niveaux de service (ENS) avec tous es fournisseurs indépendants; des rapports de confirmation présentés par tous es tiers fournisseurs de services. Principe directeur n o 5 Gestion du rendement La gestion du rendement vise à examiner es procédures suivies par e personne de TI en ce qui concerne : a surveiance de eur stratégie de mise en des TI, de a réussite des projets, et a vérification du niveau de prestation de services de quaité observé. Cea impique : Assurer a satisfaction des cients. Maintenir es niveaux de service prévus. Évauer a vaeur commerciae de a prestation de services. Encourager es initia. des mesures de a gestion du rendement des TI; des rapports sur e rendement des TI; une iste recensant des processus identifiés avec es améiorations proposées; efficacité de a gestion du rendement dans tendue de dit.
Rôes et responsabiités dans a gouvernance des TI indispensabe à un cadre de gouvernance efficace des TI. Voici es principaux rôes et responsabiités é : : Examiner et approuver une stratégie de gouvernance et des poitiques des TI, visant eur utiisation efficace. Examiner es rapports sur es progrès des initiatives stratégiques. Évauer et surveier ignement entre es objectifs organisationnes et es priorités des TI ainsi que e processus de prise de décision. que a gouvernance des TI est incuse dans e cadre de contrôe interne. Haute direction Panifier, prioriser et organiser des projets de TI, puis attribuer des budgets adéquats à ces projets. Dédier des ressources à a réaisation des initiatives de TI. Présenter a sécurité de des TI. des rapports sur e progrès des principaes initiatives stratégiques reatifs aux TI (p.ex., migrations entre es systèmes bancaires, nouveaux produits, etc.). Audits interne et externe Évau cité du contrôe interne du système. des données et fonctionne efficacement, dans e but objectifs organisationnes. Tiers fournisseurs de services Présenter aux institutions des rapports qui confirment que es produits hébergés ou externaisés Autorités de régementation Fournir des normes de saines du risque des TI. Évauer e respect des normes sur es saines gouvernance et de gestion du risque des TI. es pour a gouvernance et a gestion
Prendre des mesures de supervision appropriées et coaborer avec es institutions eur gouvernance et a gestion du risque des TI.