Administrateurs La pratique de la maîtrise informatique atrick Soenen
résentation 2 atrick Soenen Ir. commercial et de gestion Administrateur agréé AB/Guberna Certified Business rocess Manager Qualified Audit artners artner Audit informatique et de gouvernance Guidance informatique des directions et CA Gestion des risques
Agenda 3 Mise en pratique des 7 principes de gouvernance au niveau du C.A. QA 2008
Gouvernance informatique Les 7 questions 4 1. Contexte Quelle organisation? Quels rôles et responsabilités? 2. Stratégie Comment satisfaire les besoins des métiers? 7. ilotage Quels indicateurs clés (KI)? Quid des tableaux de bords prospectifs (BSC) 3. Création de valeur Quels projets? Quels investissements? 6. Communication Quelle information? Comment communiquer? QA 2008 4. Les risques Quelle protection? 5. Optimisation des ressources informatiques Quelles compétences, quel budget, quelle infrastructure?
Contexte 5 Axe Contexte environnemental Objectif Organisation adéquate et prise de décision partagée Questions Quel degré d implication vis-àvis de l informatique? Attribution des responsabilités en matière de décision et d investissement informatique? Conditions de succès Compréhension réciproque entre le CA, la direction et l informatique Dialogue informatique adéquat Etablissement d un code de conduite Rôle S assurer de l existence du cadre adéquat QA 2008
Stratégie 6 Axe Alignement de la stratégie Objectif Informatique en support des métiers Questions Dans quels projets informatiques l'enveloppe financière doitelle être investie? Quelle est la contribution des investissements informatiques? Conditions de succès La planification informatique résulte d'un dialogue entre la direction et l'informatique L'informatique apporte des solutions aux besoins métiers de l'organisation Rôle Approbation de la stratégie informatique QA 2008
Stratégie Contribution stratégique 7 stratégique Réalisation des nouveaux processus métiers Création de valeur Rôle de l informatique? Contribution au business Innovation Efficience Compétitivité erformance opérationnel restation de services vis-à-vis des processus existants Meilleure gestion des processus métiers fonctionnel d action exécutif
Stratégie Contribution stratégique 8 Quels besoins prendre en compte? stratégique Contribution au business Nouvelles idées ou opportunités technologiques - Conception du processus - Intégration Innovation Efficience Exigences du marché, ression compétitive - Innovation - Intégration verticale - Valeur ajoutée Compétitivité erformance opérationnel - Rationalisation - Efficience - Contrôle des coûts Efficience améliorée des activités métiers - Aide à la décision - Efficacité - Meilleure qualité Amélioration des activités métiers fonctionnel d action exécutif Source: John Ward and Joe eppard
Stratégie Contribution stratégique 9 Ventilation des projets en fonction de la contribution Externalisation? Compétences externes? Insourcing? Centres de compétence? stratégique Contribution au business opérationnel Création de centres de compétence métier Optimisation des processus métiers Amélioration de la gestion entrepôt fonctionnel Innovation Connectivité entre sites Efficience d action Commerce électronique Offre intégrée de services Compétitivité erformance Aide à la décision (business intelligence) Extension de la clientèle (CRM) exécutif
Stratégie Objectifs IT 10 Traduction des objectifs métiers en objectifs IT Objectifs métiers Objectifs IT Solution CRM Teleconferencing Outils collaboratifs Gestion de la connaissance Outil de gestion des services SLA métiers Réseau intégré Outil e-commerce Extension de la clientèle S Création de centres de compétence métier S S Offre intégrée de services S S Commerce électronique S S Optimisation des processus métiers S Aide à la décision (Business Intelligence) S = primaire ; S = secondaire
Valeur 11 Axe Création de valeur Objectif Un retour sur investissement Questions La valeur ajoutée est-elle à la hauteur des moyens investis? Comment respecter les attentes en termes de coûts, de délais et de fonctionnalités? Comment sélectionner et contrôler les projets? Comment éviter l échec? Conditions de succès Réalisation de business case Gestion des projets en tant que portefeuille Mécanisme de sélection et d'approbation des projets stratégiques et des investissements Suivi des projets Rôle Approbation des projets stratégiques QA 2008
Valeur Business case 12 Réalisation d un business case pour chaque projet important Evaluation de la valeur 1. Définition de la stratégie et du business model 2. Identification des bénéfices intangibles (stratégique) 3. Etablissement du tableau de bord prospectif - contribution au métier relations utilisateurs excellence opérationnelle capacité de développement futur 4. Estimer la valeur économique des résultats et leur fréquence (réduction coûts, efficience ) Evaluation du coût 1.Identification et estimation des coûts uniques, notamment liés au 1. Risques métiers développement et au démarrage 2.Identification et estimation des - périmètre coûts récurrents, notamment les - besoins coûts opérationnels - sponsoring 2. Risques informatiques - budget - compétences - délais Risques
Valeur ortefeuilles des projets 13 Vue d ensemble du portefeuille des projets rojets CRM Coûts Bénéfices Revenus suppl. Y1: 300K Y1: 50K Y2: 150K Y2: 250K Y3: 50K Y3: 350K ROI Délai Type Risque Stratégique 80K Spécialistes CRM 16.8% (externes) 18 mois 21K Equipe de projet 14.7% warehouse 12 mois Opérationnel moyen Optimisation de la gestion Y1: 100K d entrepôt Y2: 25K Y3: 25K Réduction coûts Y1: 0 Y2: 75K Y3: 120K Mise en place d un réseau entre sites Gain en efficience 15K Y1: 40K 11.1% Y2: 60K Y3: 70K Y1: 50K Y2: 50K Y3: 50K Compétences élevé Compétitivité Efficience Certification douanière. Total (NV) 753K 869K 116K Société de télécommunicat. et spécialiste réseau Comment sélectionner? Moyens limités? 3 mois Opérationnel Faible Efficience <2010 Compliance
Risques Axe Gestion des risques informatiques Objectif Appréciation et maîtrise des risques Sauvegarde des avoirs Continuité des activités Questions Comment préserver les avoirs informatiques? Quels risques faut-il accepter? Comment assurer la pérennité de l organisation Conditions de succès Identification, analyse et évaluation des risques Mitigation des risques Intégration dans la gestion du risque d entreprise Rôle S assurer que les risques sont identifiés et gérés 14 QA 2008
Risques rincipes 15 Tout événement qui impacte la réalisation des objectifs Risques opérationnels liés à l usage de l information et des technologies de l information (IT) Les 7 exigences métiers Qualité Sécurité Fiduciaire Objectif Explication Exemple de problèmes Efficience roductivité Mauvais temps de réponse Efficacité Atteinte des objectifs Calcul erroné du rabais et donc du prix de vente Confidentialité rotection contre la divulgation Vols de données (intrusion informatique) Intégrité Sans modifications inappropriées Modification non autorisée des niveaux de stock Disponibilité Accessible quand nécessaire Absence de sauvegarde ; pas de plan de reprise Fiabilité Résultats cohérents Incohérence entre fichier client et facturier Conformité Conforme aux lois /réglementations Non respect des formalités douanières (code produits)
Risques Evaluation Evaluation du risque en terme de probabilité et d impact exemples Incendie : probabilité faible / impact énorme Rabais erroné : probabilité moyenne / impact faible Risque : Impact x probabilité Carte des risques Impact robabilité 3 2 1 0 Risque Incendie Rabais 0 1 2 3 16
Risques Traitement Impact robabilité 3 2 1 0 17 Risque Incendie Rabais 0 1 2 Risques inacceptables -> à traiter 3 Réponses possibles au menaces Treat mitiger le risque: e.g. détection incendie ou éteindre incendie (réduit impact) Transfer transférer le risque: e.g. police d assurance Terminate - terminer le risque: e.g. arrêt d un service Take prendre le risque: e.g. rabais erroné Evaluation du risque résiduel
Ressources Axe Gestion des ressources informatiques Objectif Optimisation des ressources et la gestion des avoirs (infrastructure, connaissances, compétences) Questions Combien d argent faut-il consacrer à l informatique? L informatique dispose-t-elle des compétences adéquates? Conditions de succès Un budget informatique géré et contrôlé Adéquation des compétences avec l évolution technologique Une connaissance des coûts Mise en œuvre d un suivi du niveau de prestations Rôle S assurer de la bonne gestion des ressources 18 QA 2008
Ressources Gestion 19 budgétaire Catégories rojets stratégiques Budget Réalisé Ecart 300K 250K -50K 80K 40K -40K rojets d infrastructure 120K 180K +60K Gestion opérationnelle 250K 270K +20K Total 750K 740K -10K rojets pour services généraux Utilisation de catégories adéquates e.g. budget total OK, mais projets stratégiques probablement en retard Allocation des coûts des activités/services informatiques Bilan des compétences Evaluation des compétences disponibles par rapport aux compétences requises et plan d action : recrutement, ressource externes, formations, Gestions des avoirs (asset mgt) Inventaires du matériel, logiciel, etc
Communication Axe Communication et information Objectif Une communication appropriée Questions Quelles informations faut-il communiquer et à qui? Quelles relations entre l informatique et les métiers? Conditions de succès Implication de l informatique dans la planification stratégique Une communication transparente entre l informatique et les métiers Information des métiers et du management sur l avancement des projets Rôle S assurer de la mise en œuvre d une communication appropriée 20 QA 2008
ilotage Axe Surveillance et évaluation Objectif Mesure de la performance informatique pour une prise de décision adéquate Questions Comment s assurer que la résultats sont conformes aux attentes? Comment suivre les projets? Conditions de succès Mesure de la réalisation des objectifs informatiques Evaluation des niveaux de service (SLA) Etablissement d un tableau de bord prospectif Réalisation d évaluations indépendantes (audit interne/externe) Rôle Evaluation de la performance (indicateurs) et prise de décision 21 QA 2008
ilotage Balanced scorecard 22 Mise en place d un tableau de bord prospectif (balanced scorecard) ermet Orientation utilisateur Contribution métier Comment les utilisateurs apprécient-ils les services informatiques? Comment l'informatique contribue-telle aux objectifs des métiers? ermet Excellence opérationnelle Orientation future Quelle est l'efficience et l'efficacité des processus informatiques? Comment l'informatique se positionnet- elle pour satisfaire les besoins futurs? ermet
ilotage Objectifs (BSC) Objectifs du tableau de bord prospectif (BSC) Orientation utilisateur Contribution métier Objectifs La qualité du service informatique La livraison adéquate des applications métiers Un partenariat informatique-utilisateurs Le respect des engagements de service (SLA) Objectifs La contribution aux objectifs stratégiques La valeur des projets et investissements informatiques La bonne gestion des projets et des investissements informatiques Le contrôle des dépenses informatiques Excellence opérationnelle Orientation future Objectifs L'efficacité des opérations L'efficacité du support aux utilisateurs L'excellence des processus informatiques Un développement efficace et efficient La sécurité La continuité du service Objectifs La compétence du personnel informatique L'expérience du personnel informatique au sein de l'organisation Le renouvellement du portefeuille applicatif L'amélioration de la capacité de service L'évaluation des technologies émergentes 23
ilotage Indicateurs (BSC) 24 Exemples d indicateurs du tableau de bord prospectif (BSC) Orientation utilisateur Contribution métier Le score dans l'enquête de satisfaction des utilisateurs ; mesures du service desk La qualité du service livré (coûts, délais et conformité) Le taux d'implication de l'informatique dans le développement de nouvelles applications métier, et le suivi budgétaire par métier Le taux de respect du SLA en disponibilité et performance Le degré de développement des services requis pour la réalisation des objectifs stratégiques Le retour sur investissement (ROI) ou niveau de service atteint Le réalisé par rapport au budget, au temps et à la fonctionnalité attendus Une vision de la globalité des coûts avec réallocation aux métiers Excellence opérationnelle Orientation future La charge de travail en retard par rapport au budget ; Activity Based Costing pour les coûts des prestations informatiques Le taux d'indisponibilité de services ; temps de réponse Le temps de réponse ; le % de questions résolues Le niveau de maturité (CMMI) de processus Le nombre d'incidents de sécurité et impact Le taux de rupture de service Le nombre de jours de formation par an ; le % de la formation dans le budget Le taux de rotation du personnel ; degré d'adéquation des compétences Le taux d'applications utilisés avec une fonctionnalité obsolète L'évolution des indicateurs clients (satisfaction, temps de réponse ) Le % du budget alloué à la recherche
Moniteur de gouvernance 25 Evaluation de la gouvernance selon les 7 axes RSSOURCES STRATEGY CONTEXT Absence de surveillance Recommandation: Création d un tableau MO de bord prospectif NIT OR (BSC) E IN G LU A V Absence de ION RISK T S communication sur ICA N MU l état des projets M CO Recommandation: Reporting régulier sur l avancement des projets QA 2008 rojets ne sont pas sélectionnés selon return Recommandation : Création d un portefeuille de projets ; mise en place d un processus de sélection et d approbation Risque de continuité IT Recommandation : Création d un plan de reprise (DR) & d un plan de continuité d affaires (CA) ou business continuity plan (BC). Suivi à intervalle régulier de la mise en œuvre de la gouvernance par le C.A.
26 Questions? QA 2008 atrick Soenen Qualified Audit artners info@qap.eu www.qap.eu