APO01Gérer le cadre informatique

Description

Clarifier et maintenir la mission et la vision de la gouvernance de l'informatique d'entreprise. Implémenter et maintenir les mécanismes et autorités de gestion de l'information et d'usage de l'informatique dans l'entreprise, conformément aux objectifs de gouvernance cohérents avec les principes et politiques de guidance.

But

Fournir une approche de gestion cohérente pour permettre l’atteinte des exigences de gouvernance de l’entreprise, couvrant les processus de gestion, les structures organisationnelles, les rôles et les responsabilités, les activités fiables et reproductibles, ainsi que les compétences et les aptitudes.

Objectifs IT principaux

Objectifs IT	Métriques associées
Aligner la stratégie informatique sur la stratégie économique	Pourcentage d'exigences et d'objectifs stratégiques de l'entreprise supportés par les objectifs informatiques stratégiques Niveau de satisfaction des parties prenantes concernant le périmètre du portefeuille de programmes et de services planifé Pourcentage de motivations de gain informatique en phase avec les motivations de gain métier
Garantir la conformité et le soutien de l'informatique au respect de la réglementation externe à l'entreprise	Coût des non-conformité informatiques, incluant les compensations amiables, pénalités et pertes en terme d'image Nombre de cas de non-conformité informatique rapportées au conseil d'administration ou ayant occasionné des critiques ou débats publiques Nombre de cas de non-conformité en rapport avec des accords contractuels avec des fournisseurs de services informatiques Couverture des évaluations de conformité
Garantir l'agilité informatique	Niveau de satisfaction des directeurs métier concernant la réactivité du SI face aux nouvelles exigences Nombre de processus métier critiques supportés par une infrastructure et des applications à jour Temps moyen pour traduire les objectifs informatiques stratégiques en initiatives acceptées et approuvées
Optimiser les actifs informatiques, les ressources et les capacités	Fréquence des évaluations des optimisations de la capacité en terme de maturité et de coût Tendance des résultats d'évaluation Niveaux de satisfaction des directions métiers et informatiques en ce qui concerne les coûts et capacités informatiques
Assurer la conformité de l'informatique aux politiques internes	Nombre d'incidents lié à une non-conformité à une politique Pourcentage de parties prenantes comprenant les politiques Pourcentage de politiques supportées par des pratiques et des normes appliquées Fréquence des revues et mises à jour des politiques
Assurer la compétence et la motivation des ressources humaines informatiques	Pourcentage de personnes dont les aptitudes informatiques sont suffisantes par rapport aux compétences exigées par leur rôle Pourcentage des personnes satisfaites de leur rôle informatique Nombre d'heures de formation par membre du personnel
Maintenir la connaissance, l'expertise et les capacités d'innovation	Niveau de connaissance et de compréhension de la direction concernant les possibilités d'innovation informatique Niveau de satisfaction des parties prenantes concernant les niveaux d'expertise et les idées liées à l'innovation informatique Nombre d'initiatives appouvées résultant des idées innovantes

Objectifs du processus

Objectifs du processus	Métriques associées
Un ensemble efficace de politiques est défini et maintenu.	Pourcentage de politiques, normes et autres composantes contributrices actives qui sont documentées et à jour Date des dernières mises à jour du cadre de gestion et des composantes Nombre d’expositions au risque liées à des défauts de conception de l’environnement de contrôle
Chacun connaît les politiques et comment elles doivent être appliquées.	Nombre de membres du personnel qui ont assisté à des séances de formation ou de sensibilisation Pourcentage de fournisseurs qui ont des contrats définissant des exigences de contrôle

RACI

	APO01.01	APO01.02	APO01.03	APO01.04	APO01.05	APO01.06	APO01.07	APO01.08
Conseil d'administration			C
Président Directeur Général	C		A	A	C	I		A
Directeur Financier	C		C	R	C	I
Directeur Opérationnel	C		R	R	C	C	A
Directeurs Métiers	C	I	C	R	C	A
Propriétaires de Processus Métiers		C	C	I		R	R	R
Comité Stratégie	I		I	R	A
Comité de Pilotage (programmes/projets)				I
Coordinateur Projets (PMO)	C	C		I	C		R	R
gestion de la valeur				I
Risk Manager (RM)			C	R
Directeur de la Sécurité des SI (DSSI)			C	R
Urbanisme			C	I			C	R
Comité risque de l'entreprise			C	I
Direction des Ressources Humaines (DRH)	R	C		I	C	C	I	R
Conformité	I	C	C	I	C	C	C	C
Audit	I	C	C	I	C	C	C	I
Directeur du SI (DSI)	A	A	R	R	R	C	R	R
Responsable Architecture	C	C		I	C	C	R	R
Responsable développement	C	C		I	C		R	R
Responsable production informatique	C	C		I	C		R	R
Responsable de l'administration informatique	R	R	R	I	R		R	R
Gestionnaire de service	C	C		I	C		R	R
Gestionnaire de la sécurité de l'information	C	C		I	C		R	R
Gestionnaire de la continuité	C	C		I	C	C	R	R
Directeur de la propriété		C		I		C

Pratiques, données d'entrée et de sortie, activités

Code	Pratique de gouvernance
APO01.01	Définir la structure organisationnelle
	Établir une structure organisationnelle interne élargie qui reflète les besoins métiers et les priorités informatiques. Mettre en place les structures de management requises (par exemple: les comités) qui permettent une prise de décision la plus pertinente et efficace.

Entrées		Sorties
Description	Venant de	Description	Vers
Principes de gouvernance de l'entreprise	EDM01.01	Définition de la structure et des fonctions organisationnelles	APO03.02
Modèle de prise de décision	EDM01.01	Orientations organisationnelles de l’organisation	APO03.02
Modèle d’architecture de processus	APO03.02	Règles de communication de base	APO / BAI / DSS / MEA

	Activités
1	Définir le périmètre, les fonctions internes et externes, les rôles internes et externes, ainsi que les capacités et les droits de décision nécessaires, incluant les activités informatiques réalisées par des tiers.
2	Identifier les décisions nécessaires à l’atteinte des résultats de l’entreprise et de la stratégie informatique, ainsi que pour la gestion et l’exécution des services informatiques.
3	Etablir la participation des parties prenantes qui sont essentielles à la prise de décision (approbateur, responsable, consulté, informé).
4	Aligner l’organisation informatique avec les modèles organisationnels d’architecture d’entreprise.
5	Définir les cibles, les rôles et les responsabilités de chaque fonction au sein de la structure organisationnelle liée à l'informatique.
6	Définir les structures de management et les relations pour soutenir les fonctions et les rôles de gestion et d’exécution, en lien avec les orientations de gouvernance établies.
7	Mettre en place un comité stratégique informatique (ou l’équivalent) au niveau du conseil d’administration. Ce comité doit veiller à ce que la gouvernance informatique, dans le cadre de la gouvernance de l’entreprise, soit abordée de manière adéquate, il doit conseiller sur les orientations stratégiques et examiner les principaux investissements au nom du conseil d’administration dans son ensemble.
8	Mettre sur pied un comité de direction informatique (ou l’équivalent) composé de cadres, de managers des entités métiers et informatiques, afin de déterminer les priorités des programmes d’investissement informatiques en lien avec la stratégie et les priorités métiers de l’entreprise; effectuer le suivi de l’état des projets et résoudre les conflits de ressources; piloter les niveaux de service et les améliorations du service.
9	Fournir des orientations pour chaque structure de management (incluant le mandat, les objectifs, les participants aux réunions, le calendrier, le suivi, la supervision et le contrôle) ainsi que les données d'entrée requises pour les réunions et les résultats escomptés.
10	Définir les règles de base de la communication par l’identification des besoins de communication et mettre en oeuvre des plans fondés sur ces besoins, en tenant compte de la communication descendante, ascendante et horizontale.
11	Etablir et maintenir une structure de coordination, de communication et de liaison optimale entre les entités métiers et les fonctions informatiques au sein de l’entreprise, ainsi qu’avec les entités extérieures à l’entreprise.
12	Vérifier régulièrement la pertinence et l’efficacité de la structure organisationnelle.

Code	Pratique de gouvernance
APO01.02	Etablir les rôles et les responsabilités
	Établir, valider et communiquer les rôles et les responsabilités du personnel informatique, ainsi que ceux des autres parties prenantes ayant des responsabilités vis-à-vis de l'informatique de l’entreprise. Les rôles et responsabilités doivent clairement tenir compte de l’ensemble des besoins métiers et des objectifs informatiques ainsi que de l’autorité et des responsabilités du personnel concerné.

Code

Pratique de gouvernance

APO01.02

Etablir les rôles et les responsabilités

Établir, valider et communiquer les rôles et les responsabilités du personnel informatique, ainsi que ceux des autres parties prenantes ayant des responsabilités vis-à-vis de l'informatique de l’entreprise. Les rôles et responsabilités doivent clairement tenir compte de l’ensemble des besoins métiers et des objectifs informatiques ainsi que de l’autorité et des responsabilités du personnel concerné.

Entrées		Sorties
Description	Venant de	Description	Vers
Niveaux d'autorité	EDM01.01	Définition des rôles et des responsabilités liés à l'informatique	DSS05.04
Responsabilités attribuées pour la gestion des ressources	EDM04.02	Définition des pratiques de pilotage	APO07.01
Matrice des aptitudes et compétences	APO07.03
Plans de développement des compétences	APO07.03
Rôles, responsabilités et pouvoirs de décision du SMQ	APO11.01
Enoncé du périmètre du SMSI	APO13.01
Niveaux d’autorité attribués	DSS06.03
Rôles et responsabilités attribués	DSS06.03

	Activités
1	Etablir, reconnaître et communiquer les rôles et les responsabilités liés à l'informatique pour l’ensemble du personnel de l’entreprise, en lien avec les besoins et les objectifs métiers. Définir clairement les responsabilités et les obligations de reporting, en particulier pour la prise de décisions et les approbations.
2	Tenir compte des exigences en matière de continuité de l’entreprise et des services informatiques lors de la définition des rôles, incluant le personnel de soutien et les exigences de formation croisée.
3	Apporter une contribution au processus de continuité des services informatiques en conservant les coordonnées à jour des contacts ainsi que la description des rôles dans l’entreprise.
4	Inclure dans les descriptions des rôles et des responsabilités l’adhésion aux politiques et procédures de gestion, au code déontologique et aux pratiques professionnelles.
5	Mettre en oeuvre des pratiques de pilotage adéquates pour s’assurer que les rôles et les responsabilités sont correctement assumés, pour déterminer si tous les membres du personnel ont le pouvoir et les ressources suffisants pour exécuter leurs rôles et leurs responsabilités, et, de façon générale, pour passer en revue la performance. Le niveau de supervision doit être aligné avec la sensibilité du poste et avec le périmètre des responsabilités confiées.
6	Veiller à ce que les obligations de reporting soient définies à travers les rôles et les responsabilités.
7	Structurer les rôles et les responsabilités de façon à réduire la possibilité qu’un seul rôle ne puisse compromettre un processus critique.

Code	Pratique de gouvernance
APO01.03	Maintenir les composantes contributrices du système de gestion
	Maintenir les composantes contributrices du système de gestion et de l’environnement de contrôle de l'informatique de l’entreprise, et veiller à leur intégration et leur alignement avec la gouvernance, la philosophie de gestion et le mode de fonctionnement de l’entreprise. Ces composantes comprennent la communication claire des attentes et des exigences. Le système de gestion doit encourager la coopération entre les divisions et le travail d’équipe, promouvoir la conformité et l’amélioration continue, et gérer les écarts des processus (incluant les défauts).

Code

Pratique de gouvernance

APO01.03

Maintenir les composantes contributrices du système de gestion

Maintenir les composantes contributrices du système de gestion et de l’environnement de contrôle de l'informatique de l’entreprise, et veiller à leur intégration et leur alignement avec la gouvernance, la philosophie de gestion et le mode de fonctionnement de l’entreprise. Ces composantes comprennent la communication claire des attentes et des exigences. Le système de gestion doit encourager la coopération entre les divisions et le travail d’équipe, promouvoir la conformité et l’amélioration continue, et gérer les écarts des processus (incluant les défauts).

Entrées		Sorties
Description	Venant de	Description	Vers
Principes de gouvernance de l'entreprise	EDM01.01	Politiques relatives à l'informatique	APO / BAI / DSS / MEA
Feuille de route stratégique	APO02.05
Risques émergents et facteurs d'occurrence	APO12.01
Résultats d'analyse des risques	APO12.02

	Activités
1	Obtenir une compréhension de la vision d’entreprise, des orientations et de la stratégie.
2	Considérer l’environnement interne de l’entreprise, incluant la culture et la philosophie de management, la tolérance au risque, la sécurité, les valeurs éthiques, le code de conduite, la responsabilité et les exigences en matière d’intégrité du management.
3	Définir et intégrer les principes informatiques aux principes métiers.
4	Aligner l’environnement de contrôle informatique sur l’ensemble des politiques concernant l'informatique, sur les référentiels informatiques de gouvernance et de processus, ainsi que sur les référentiels de risques d’entreprise et de contrôle existants. Evaluer les bonnes pratiques ou les exigences particulières à l’industrie (par exemple : les règlements spécifiques à l’industrie) et les intégrer, s’il y a lieu.
5	S'aligner sur les normes nationales et internationales applicables de gouvernance, de management ainsi que sur les bons usages; évaluer les bonnes pratiques disponibles telles que celles du référentiel intégré de contrôle interne du COSO et celles duréférentiel intégré de la gestion des risques d’entreprise du COSO.
6	Créer un ensemble de politiques visant à préciser les attentes en matière de contrôle informatique sur des sujets clés pertinents tels que la qualité, la sécurité, la confidentialité, les contrôles internes, l’utilisation des actifs informatique, l’éthique et les droits de propriété intellectuelle.
7	Evaluer et mettre à jour les politiques au moins une fois par année pour s’adapter à l’évolution des environnements d’exploitation ou métiers.
8	Déployer et appliquer les politiques informatiques à tout le personnel concerné, de sorte qu’elles fassent partie intégrante des opérations de l’entreprise.
9	S’assurer de la mise en place de procédures de pilotage de la conformité aux politiques et définir les conséquences de la non-conformité.

Code	Pratique de gouvernance
APO01.04	Communiquer les objectis et les orientations de la direction.
	Sensibiliser et faire comprendre les objectifs et orientations informatiques aux parties prenantes et aux utilisateurs concernés dans l’entreprise

Entrées		Sorties
Description	Venant de	Description	Vers
Communications sur la gouvernance d'entreprise	EDM01.02	Communications sur les objectifs informatiques	APO / BAI / DSS / MEA
Principes de protection des ressources	EDM04.02
Communications de l’impact des risques	APO12.06
Communications sur la valeur des connaissances	BAI08.01
Politique et objectifs de continuité de l'activité	DSS04.01
Politique de prévention contre les logiciels malveillants	DSS05.01
Politique de sécurité de la connectivité	DSS05.02
Politiques de sécurité en matière de dispositifs de terminaux	DSS05.03

	Activités
1	Communiquer de manière continue les objectifs et l’orientation informatiques. Veiller à ce que les communications soient appuyées par la direction, de par ses gestes et ses paroles, en utilisant tous les canaux disponibles.
2	Assurer que l’information communiquée présente : une mission clairement définie, des objectifs de service, la sécurité, les contrôles internes, la qualité, le code de déontologie et de conduite, les politiques et les procédures, les rôles et les responsabilités, etc. Communiquer l’information avec le niveau de détail approprié à chaque public au sein de l’entreprise.
3	Fournir des ressources suffisantes et qualifiées pour soutenir le processus de communication.

Code	Pratique de gouvernance
APO01.05	Optimiser le positionnement de la fonction informatique
	Positionner la capacité de l'informatique dans la structure organisationnelle globale afin de refléter un modèle d’entreprise qui correspond à l’importance de l'informatique dans l’entreprise, en particulier son degré de criticité par rapport à la stratégie d’entreprise et le niveau de dépendance opérationnelle envers l'informatique. Le reporting du directeur du SI (DSI) doit être en rapport avec l’importance de l'informatique dans l’entreprise.

Code

Pratique de gouvernance

APO01.05

Optimiser le positionnement de la fonction informatique

Positionner la capacité de l'informatique dans la structure organisationnelle globale afin de refléter un modèle d’entreprise qui correspond à l’importance de l'informatique dans l’entreprise, en particulier son degré de criticité par rapport à la stratégie d’entreprise et le niveau de dépendance opérationnelle envers l'informatique. Le reporting du directeur du SI (DSI) doit être en rapport avec l’importance de l'informatique dans l’entreprise.

Entrées		Sorties
Description	Venant de	Description	Vers
Modèle d’opération d’entreprise	Hors CobIT	Évaluation des options en matière d’organisation informatique	APO03.02
Stratégie d’entreprise	Hors CobIT	Positionnement opérationnel défini de la fonction informatique	APO03.02

	Activités
1	Comprendre le contexte du positionnement de la fonction informatique, incluant une évaluation de la stratégie d’entreprise et du modèle d’opération (centralisé, fédéré, décentralisé, hybride), de l’importance de l'informatique et des besoins et options d’approvisionnement.
2	Identifier, évaluer et prioriser les options des modèles de positionnement organisationnel, d’approvisionnement et d’opération.
3	Définir le positionnement de la fonction informatique et obtenir l’accord sur celui-ci.

Code	Pratique de gouvernance
APO01.06	Définir la propriété de l’information (des données) et du système
	Définir et maintenir les responsabilités relatives à la propriété de l’information (données) et des systèmes d’information. Veiller à ce que les propriétaires prennent les décisions concernant la classification de l’information et des systèmes, et qu’ils les protègent conformément à cette classification.

Entrées		Sorties
Description	Venant de	Description	Vers
		Procédures de gestion de l’intégrité des données	APO03.02 / BAI02.01 / DSS05.02 / DSS06.01
		Guides sur la sécurité et le contrôle des données	BAI02.01
		Guides de classification des données	BAI02.01 / DSS06.01

	Activités
1	Fournir des politiques et des orientations pour assurer une classification de l’information (données) appropriée et cohérente pour l’entreprise.
2	Définir, maintenir et fournir des outils, techniques et orientations appropriés pour assurer la sécurité et le contrôle efficace de l’information et des systèmes d’information en collaboration avec le propriétaire.
3	Créer et maintenir un inventaire des informations (systèmes et données) qui comprend une liste des propriétaires, des garants et des classifications. Inclure les systèmes qui sont externalisées et ceux dont la propriété doit rester au sein de l’entreprise.
4	Définir et mettre en oeuvre des procédures pour assurer l’intégrité et la cohérence de toute l’information stockée sous forme électronique telle que les bases entrepôts et archives de données.

Code	Pratique de gouvernance
APO01.07	Gérer l’amélioration continue des processus
	Évaluer, planifier et exécuter l’amélioration continue des processus et de leur maturité afin d’assurer qu’ils sont capables d’atteindre les objectifs de l’entreprise, de la gouvernance, d u management et du contrôle. Prendre en compte les orientations de mise en oeuvre de CobIT, les nouvelles normes, les exigences en matière de conformité, les opportunités d’automatisation, le retour des utilisateurs des processus, des équipes des processus et des autres parties prenantes. Mettre à jour les processus et tenir compte des impacts sur les composantes contributrices des processus.

Code

Pratique de gouvernance

APO01.07

Gérer l’amélioration continue des processus

Évaluer, planifier et exécuter l’amélioration continue des processus et de leur maturité afin d’assurer qu’ils sont capables d’atteindre les objectifs de l’entreprise, de la gouvernance, d u management et du contrôle. Prendre en compte les orientations de mise en oeuvre de CobIT, les nouvelles normes, les exigences en matière de conformité, les opportunités d’automatisation, le retour des utilisateurs des processus, des équipes des processus et des autres parties prenantes. Mettre à jour les processus et tenir compte des impacts sur les composantes contributrices des processus.

Entrées		Sorties
Description	Venant de	Description	Vers
Retour sur l'efficacité et la performance de la gouvernance	EDM01.03	Evaluation de la capacité du processus	MEA01.03
Politiques, principes, procédures et normes mises à jour	MEA03.02	Opportunités d'amélioration de processus	APO / BAI / DSS / MEA
		Objectifs et indicateurs de performance pour le suivi de l’amélioration du processus	MEA01.02

	Activités
1	Identifier les processus critiques de l’entreprise en fonction de facteurs de performance et de conformité ainsi que les risques connexes. Évaluer la capacité des processus et identifier les cibles d’amélioration. Analyser les lacunes en matière de capacité et de contrôle du processus. Identifier les opportunités d’amélioration et de refonte du processus. Prioriser les initiatives d’amélioration du processus en fonction des bénéfices et des coûts potentiels.
2	Mettre en oeuvre les améliorations convenues, les utiliser en tant que pratique métier habituelle et fixer des objectifs de performance et des indicateurs pour permettre le suivi de l’amélioration du processus.
3	Prendre en compte les moyens d’améliorer l’efficacité (par exemple : par la formation, la documentation, la standardisation et l’automatisation du processus).
4	Appliquer des pratiques de gestion de la qualité afin de mettre à jour le processus.
5	Retirer les processus, les composants de processus ou les facilitateurs désuets.

Code	Pratique de gouvernance
APO01.08	Maintenir la conformité avec les politiques et les procédures
	Mettre en place des procédures et des indicateurs de performance pour assurer la conformité avec les politiques et les autres composantes contributrices du cadre de contrôle, et mettre en évidence les conséquences de la non-conformité ou de performances inadéquates. Suivre les tendances et la performance, et les prendre en considération dans la conception future et l’amélioration du cadre de contrôle.

Code

Pratique de gouvernance

APO01.08

Maintenir la conformité avec les politiques et les procédures

Mettre en place des procédures et des indicateurs de performance pour assurer la conformité avec les politiques et les autres composantes contributrices du cadre de contrôle, et mettre en évidence les conséquences de la non-conformité ou de performances inadéquates. Suivre les tendances et la performance, et les prendre en considération dans la conception future et l’amélioration du cadre de contrôle.

Entrées		Sorties
Description	Venant de	Description	Vers
Politiques environnementales	DSS01.04	Mesures correctives en cas de non-conformité	MEA01.05
Politiques, principes, procédures et normes mises à jour	MEA03.02

	Activités
1	Effectuer le suivi de la conformité aux politiques et procédures.
2	Analyser la non-conformité et prendre les mesures appropriées (cela pourrait inclure la modification des exigences).
3	Intégrer la performance et la conformité aux objectifs de performance des membres du personnel.
4	Evaluer régulièrement la performance des composantes contributrices du cadre et prendre les mesures appropriées.
5	Analyser les tendances en matière de performance et de conformité, et prendre les mesures appropriées.