Le rôle de la DSI avec l audit Interne pour la maîtrise des risques



Documents pareils
La gestion des risques IT et l audit

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

La méthodologie ITIL : que faut-il retenir? réunion du 14 septembre 2004

IBM Global Technology Services CONSEIL EN STRATÉGIE ET ARCHITECTURE INFORMATIQUE. La voie vers une plus grande effi cacité

La relation DSI Utilisateur dans un contexte d infogérance

Gouvernance IT : par où commencer? Hubert Lalanne DE, Chief Architect for Industries IBM Software France

Information Security Management Lifecycle of the supplier s relation

Opportunités s de mutualisation ITIL et ISO 27001

CobiT une expérience pratique

Partner Business School

Journée Mondiale de la Normalisation

L offre IBM Software autour de la valeur métier

Yphise optimise en Coût Valeur Risque l informatique d entreprise

Copyright 2013, Oracle and/or its affiliates. All rights reserved.

- Couches - Éléments - Domaines - ArchiMate et les techniques du BABOK

Club ISO Juin 2009

Management des systèmes d information. Gouvernance des SI ESIEA Jour & 12 Octobre 2007

GOUVERNANCE DES SERVICES

Master Data Management Données, ROI et Méthodologie

accompagner votre transformation IT vers le Cloud de confiance

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

JOURNÉE THÉMATIQUE SUR LES RISQUES

Quels nouveaux outils pour accompagner le développement de nos professions?

Facteurs de succès d une démarche Agile. Marc Fiammante, Distinguished Engineer

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

Business Process Management

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

L Audit Interne vs. La Gestion des Risques. Roland De Meulder, IEMSR-2011

Wolters Kluwer Financial Services FRSGlobal

Alignement stratégique du SI et gestion de portefeuille de projets

Rendez-vous la liberté avec Rational Quality Manager

A GLOBAL VISION OF INFORMATION SYSTEM

ISO/CEI 27001:2005 ISMS -Information Security Management System

Gestionde la conformité des licenses

Vector Security Consulting S.A

ITIL : Premiers Contacts

Guide de correspondance des programmes de certifications ITE-AUDIT avec les référentiels de compétences et de métiers

FOURNIR UN SERVICE DE BASE DE DONNÉES FLEXIBLE. Database as a Service (DBaaS)

ITIL V2. Historique et présentation générale

Agile&:&de&quoi&s agit0il&?&

en SCÈNE RATIONAL Rational Démonstration SDP : automatisation de la chaîne de développement Samira BATAOUCHE sbataouche@fr.ibm.com

Quick Start Guide This guide is intended to get you started with Rational ClearCase or Rational ClearCase MultiSite.

Le COBIT : L état de l Art

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

Gouvernance & Influence des Systèmes d Information. 2 Décembre 2014

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

Big Data en (Ré)Assurance

ISO/IEC Comparatif entre la version 2013 et la version 2005

WEB15 IBM Software for Business Process Management. un offre complète et modulaire. Alain DARMON consultant avant-vente BPM

Comment la ville de Westmount a automatisé la préparation de ses réunions du conseil :

Open Source, Mythes & Réalités La création de valeur grâce aux technologies Open Source

Le MDM (Master Data Management) Pierre angulaire d'une bonne stratégie de management de l'information

Gestion du risque avec ISO/EIC17799

ITIL, quel impact dans nos laboratoires? Pourquoi se poser cette question? Geneviève Romier, CNRS UREC

Novembre Regard sur service desk

REMOTE DATA ACQUISITION OF EMBEDDED SYSTEMS USING INTERNET TECHNOLOGIES: A ROLE-BASED GENERIC SYSTEM SPECIFICATION

Symantec Control Compliance Suite 8.6

Lancement de la plateforme de private cloud IBM Connections en partenariat avec. 04 Novembre 2010

IT Gouvernance. Plan. Définition. IT gouvernance pourquoi? But et enjeux. Les bonnes pratiques et composantes d une IT gouvernance

PLM 2.0 : Mise à niveau et introduction à l'offre version 6 de Dassault systèmes

Convergence entre Sécurité et Conformité par l approche Software as a Service Présentation en avant-première de QualysGuard Policy Compliance

La Gouvernance IT en France : de nombreuses avancées, encore beaucoup à faire

GÉNÉRATEUR DE PERFORMANCE CONSEIL EN SYSTÈMES D INFORMATION

Yphise optimise en Coût Valeur Risque l informatique d entreprise

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015

Sommaire. d Information & Référentiels. de Bonnes Pratiques. DEBBAGH, PhD. Février 2008

Marc Paulet-deodis pour APRIM 1

F1 Security Requirement Check List (SRCL)

Méthodologie et Processus d Investissement

La Poste choisit l'erp Open Source Compiere

Nomenclature 2010 : premier pas vers l Europe des compétences IT

Stratégie IT : au cœur des enjeux de l entreprise

COMPUTING. Jeudi 23 juin CLOUD COMPUTING I PRESENTATION

Conditions de l'examen

ITIL et les outils. À l ordre du jour. senté par Johanne L HeureuxL. Consultante. Mise en contexte Quelques exemples.

Une vision stratégique du reporting réglementaire

Scénarios économiques en assurance

Atelier " Gestion des Configurations et CMDB "

UE 13 Contrôle de gestion. Responsables : Henri Bouquin, Professeur Stéphanie Thiéry-Dubuisson, Maître de Conférences

SOA, 2 ans après où en est-on?

REVITALIZING THE RAILWAYS IN AFRICA

Thales Services, des systèmes d information plus sûrs, plus intelligents

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

Private banking: après l Eldorado

Formation et Certification: ITIL Foundation V3

DOCUMENT 1. Service Support : Véritable support utilisateur, il permet la gestion des services (gestion des incidents, Helpdesk ).

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

Lean approach on production lines Oct 9, 2014

GESTION DE PROJET SÉANCE 2 : LES CYCLE DE VIE D'UN PROJET

Innovative BI with SAP Jean-Michel JURBERT D. de Marché BI, HANA, BIG DATA _ SAP France

Macroscope et l'analyse d'affaires. Dave Couture Architecte principal Solutions Macroscope

D Expert en Finance et Investissements

1 Les parcours proposés : Ce sont des filières de spécialisation proposées par les enseignants. Ils constituent un guide dans le choix des cours.

Gouvernance et nouvelles règles d organisation

Fusion : l interopérabilité chez Oracle

Management des Systèmes d Information

Toni Lazazzera Tmanco is expert partner from Anatole ( and distributes the solution AnatoleTEM

fondé par Jeudi 15 février 2007 de 14 h à 18h

La gouvernance au cœur de la Transformation des systèmes d information Renault

Association Française pour la promotion des bonnes pratiques de sourcing escm. escm for Dummies. Gilles Deparis. Introduction au référentiel escm

Transcription:

Le rôle de la DSI avec l audit Interne pour la maîtrise des risques IT Governance Symposium du 16 Juin 2009 Henri Guiheux Responsable Governance & Securité des SI CISA, CISM, CGEIT

Sommaire Enjeux ERM pour une maitrise des risques de l entreprise P.3 Collaboration DSI et Audit Interne à l ERM P.8 Typologies de contrôles P.11 Cartographie Processus /Risques P.13 Intégration des contrôles métiers dans les processus IT P.15 2

Enjeux ERM pour l entreprise Real world decision-makers frequently appear not to evaluate uncertain events according to the laws of probability. Nobel Prize, Information for the Public, 2002 Les Organisations font face à une accélération des changements, des demandes et sont soumises à des exigences de plus en plus fortes de transparence. Tous les acteurs veulent des informations pertinentes, dans les délais avec de moins en moins de tolérance pour le manque d exactitude ou d exhaustivité. L environnement économique difficile actuel exige que les prises de décisions des dirigeants s accompagnent d une prise en compte rigoureuse des risques. La pression exercée par les organismes de régulation et d évaluation sur le management renforce le besoin de mise en place d un ERM (e.g., S&P s May 2008). 3

Enjeux ERM pour la DSI Le système d information est devenu la colonne vertébrale d une entreprise ou d une administration moderne, dont il irrigue toutes les fonctions pour contribuer à la fois à leur efficacité opérationnelle et à leur transformation stratégique. Les exigences d agilité, d efficacité, de sécurité et de qualité des systèmes et des données sont devenues absolument vitales pour soutenir l activité de l entreprise et le bon fonctionnement d un programme ERM. Les DSI doivent répondre à des exigences : d accélération des cycles de transformation et d exécution. de conformité qui s intensifient (quantitatifs/qualitatifs, internes/externes) et de prise en compte des recommandations. de Reporting démontrant leur capacité à maîtriser les risques opérationnels. La mise en place d une gouvernance IT intégrant contrôle interne et gestion des risques devient critique. Cette gouvernance doit être formalisée, communiquée, comprise et acceptée par toutes les parties prenantes de la DSI. 4

Enjeux ERM pour l audit interne L audit interne s intègre au dispositif ERM pour contrôler sa bonne mise en place. Son rôle: Evaluation et conseil visant à l amélioration des opérations de la société Donner à la société une grande sécurité sur la qualité de ses procédures et la maîtrise de ses risques Informer des dysfonctionnements grâce à l exécution d un plan d audit annuel. Conseiller les responsables sur leurs plans d autocontrôle et participer à la mise en place des procédures et outils nécessaires pour contrôler les risques. Veiller à la pertinence et à l observation par les entités opérationnelles des procédures de contrôle sous leur responsabilité. Etre une force de proposition en matière d organisation lorsque celle-ci présente des risques de dysfonctionnement ou de coûts non maîtrisés. Participer au renforcement et la diffusion d une culture de contrôle interne afin d assurer l efficacité de la maîtrise des risques. Le système d information étant de plus en plus au cœur de tous les métiers, embarquant les éléments de standardisation, les besoins de spécificité et, les contrôles de sécurité et de performance, l Audit Interne est tout naturellement systématiquement amené à l auditer. 5

Enjeux ERM Référentiel commun Exemple SCOR Maîtrise des risques par une approche processus (COSO II) 6

Enjeux ERM Culture de Contrôle interne Il est essentiel de mettre en place une structure capable de diffuser une culture de contrôle interne au sein de l entreprise pour une meilleure maîtrise des risques. Les correspondants Risques rattachés aux divisions font la promotion auprès des responsables métier de: l identification, l évaluation et le traitement des risques la modélisation et la formalisation des processus la conception et la mise en place des contrôles Les responsables métier (BPO) sont responsable de la mise en place effective des contrôles. La DSI intègre ces contrôles dans les applications s ils sont automatisés. L Audit Interne doit s assurer de la bonne mise en place des contrôles. Manage Strategy Group Level Controls (GLC) Group Level Controls embedded in the business environment Manage Underwriting ERM Framework Manage Assets Manage Operations IT Services OS/Data/Telecom/Networks/Continuity Etc. IT General Controls (ITGC) Controls embedded in IT services form general controls. Controls Controls embedded in the business process either performed manually or automatically. Pour être efficace, cette «Family» doit étroitement collaborer. 7

Collaboration DSI et Audit avec un Référentiel commun - COBIT Disposer du même référentiel pour développer, maintenir les systèmes et contrôler la conformité attendue. 8

Collaboration DSI et Audit Interne Cigref / IFACI /AFAI Publication AFAI sur le contrôle interne et Système d Information Guide opérationnel d application du cadre de référence AMF, résultat d une collaboration Audit Interne et DSI (IFACI/CIGREF) Cadre de Référence AMF Guide AFAI Guide opérationnel Cigref/Ifaci 2007 2007 Janvier Janvier 2008 2008 Juillet Juillet 2009 2009 Mars Mars 9

Collaboration DSI et Audit Interne Exemple SCOR La DSI L Audit Interne communique sa stratégie et ses projets Intègre la stratégie et projets informatiques dans son plan d au dit pour une meilleure pertinence Participe aux projets d envergure (Intégration Omega, des annuaires d entreprises) La DSI, l Audit Interne et le contrôle ont également participé au groupe de travail IFACI/CIGREF pour l élaboration du guide opérationnel d application du cadre AMF En intégrant l Audit Interne en amont des projets, la DSI se met en position de développer des contrôles pertinents et efficaces. 10

Activités de contrôles : deux typologies (1/2) 11

Activités de contrôles : deux typologies (1/2) 12

Cartographie des Processus et Risques IT Exemple SCOR Business Strategy & Business Goals AI: Acquire & Implement Projects Maintenance Acceptance PO: Plan & Organize Strategy Organisation Financial Communication s ME: Monitor & Evaluate Compliance Performance DS: Deliver & Support Operations Security Continuity V A L U E IT Benefit (value) Enablement Wrong strategic choices² IT Solution (Project) Delivery Project failure IT Service Delivery Disruption of services Loss of critical data Inadequate access and privilege authorisations Damages in computer or technical rooms Malicious attacks from inside / outside Application failure Group inconsistency Failure of a technology partner Withdrawal of a selected solution Contract inadequacy Control Objectives and Activities Processes s Initiate, assess and authorize the request Implementa tion Plan Design Prepare Test Plan & Envir. Build / Configure Test & Accept Train Users Prepare Rollout & Promote to production Bug resolved & news features according to Business requirements Controls control control control 13

Cartographie des Processus et Risques Métiers Exemple SCOR Manage the Company Manage Enterprise s Manage Legal Compliance Governing Manage based Capital Manage Asset Liability Manage Cash Underwrite Business Re-(new) Business Manage active Portfolio Protect Balance Sheet Manage Retro Manage Reserves Commute Pay Claims Manage Claims Pay valid Claims V A L U E Supporting Manage Technical Accounts Manage Investments Manage Financials Manage Workforce Manage Infrastructure Processes s Controls Process Submission control Price Submission Negotiate Contract control Finalize Contract control Legal Contract System Contract 14

Intégration des contrôles métier dans les process IT Business Goal and Objective Step 1 Step 2 Step 3 Step 4 Step 5 Value Integrating Application Controls into Software Development/ Acquisition Business Process Control Control Application control Application A Control Application control Application B Control Application control AI1 Identify Relevant Control Objectives Computer Environment Computer Environment AI2 Design Application Control Plan and Organize AI3 Acquire and Implement Acquire and Implement AI4 Document Controls and Train Users Deliver and Support Deliver and Support AI7 Test and approve application controls Monitor and Evaluate Source: CobiT and Application Controls 15

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back