EDM03Garantir l'optimisation des risques

Description

Assurer que l'appétence et la tolérance aux risques de l'entreprise est compris, cohérent et communiqué et que ces risques associés à l'informatique impactant la production de valeur sont identifiés et gérés.

But

S’assurer que les risques d’entreprise liés à l'informatique ne dépassent pas l’appétence et la tolérance au risque, que l’impact des risques liés à l'informatique sur la valeur de l’entreprise est connu et géré, et que les riques de non-conformité sont minimisés.

Objectifs IT principaux

Objectifs IT Métriques associées
Gérer les risques financiers relatifs à l'informatique
  • Pourcentage de processus métiers, services informatiques et programmes métiers permis grâce à l'informatique qui sont couverts par l'évaluation des risques
  • Nombre d'incidents significatifs relatifs à l'informatique qui n'étaient pas identifiés dans l'évaluation des risques
  • Pourcentage d'évaluation de risques entreprise qui incluent les risques informatiques
  • Fréquence de mise à jour du recensement des risques
  • Nombre d'interruptions de service métiers dues à un incident informatique
Garantir la transparence sur les coûts, bénéfices et risques informatiques
  • Pourcentage de Business Cases comportant des coûts informatiques et des gains attendus clairement définis et approuvés
  • Pourcentage de services informatiques pour lesquels les coûts opérationnels et les bénéfices attendus sont clairement définis et approuvés
  • Niveaux de satisfaction des parties prenantes clés sur la transparence, la compréhension et la précision des informations financières informatiques
Garantir la sécurité de l'information, de l'infrastructure et des applications
  • Nombre d'incidents de sécurité causant des pertes financières, des interruptions de services métiers ou une nuisance publique
  • Nombre de services informatiques pour lesquels les exigences de sécurité ne sont pas satisfaites
  • Délai pour accorder, modifier et retirer des privilèges d’accès compte tenu des niveaux de services convenus
  • Fréquence de l’évaluation de sécurité par rapport aux normes et lignes directrices en vigueur
Assurer la conformité de l'informatique aux politiques internes
  • Nombre d'incidents lié à une non-conformité à une politique
  • Pourcentage de parties prenantes comprenant les politiques
  • Pourcentage de politiques supportées par des pratiques et des normes appliquées
  • Fréquence des revues et mises à jour des politiques

Objectifs du processus

Objectifs du processus Métriques associées
Les seuils de risque sont définis et communiqués, et les principaux risques liés à l'informatique sont connus.
  • Niveau d’alignement des risques liés aux TI avec le risque d’entreprise
  • Nombre de risques potentiels liés à l'informatique identifiés et gérés
  • Taux d’actualisation de l’évaluation des facteurs de risque
L’entreprise gère efficacement les risques critiques liés à l'informatique.
  • Pourcentage des projets de l’entreprise qui ont pris en compte les risques informatiques
  • Pourcentage de plans d’action concernant les risques informatiques déroulés dans les délais
  • Pourcentage des risques critiques qui ont été atténués
Les risques d’entreprise liés à l'informatique ne dépassent pas l’appétit pour le risque et l'impact sur la valeur de l’entreprise est connu et géré.
  • Niveau d’impact inattendu sur l’entreprise
  • Pourcentage des risques liés à l'informatique qui dépassent la tolérance au risque de l’entreprise

RACI

EDM03.01 EDM03.02 EDM03.03
Conseil d'administration A A A
Président Directeur Général R R R
Directeur Financier C C C
Directeur Opérationnel C C C
Directeurs Métiers R R R
Propriétaires de Processus Métiers C C C
Comité Stratégie R R R
Comité de Pilotage (programmes/projets) I I
Coordinateur Projets (PMO) I I
gestion de la valeur I I I
Risk Manager (RM) R R R
Directeur de la Sécurité des SI (DSSI) C I R
Urbanisme I I
Comité risque de l'entreprise I I I
Direction des Ressources Humaines (DRH) C C C
Conformité C C C
Audit C C C
Directeur du SI (DSI) R R R
Responsable Architecture C C C
Responsable développement I I
Responsable production informatique I I
Responsable de l'administration informatique I I
Gestionnaire de service I I
Gestionnaire de la sécurité de l'information I I
Gestionnaire de la continuité I I
Directeur de la propriété C I C

Pratiques, données d'entrée et de sortie, activités

Code Pratique de gouvernance
EDM03.01 Evaluer la gestion des risques
Examiner et évaluer continuellement l’effet du risque sur l’utilisation actuelle et future de l'informatique dans l’entreprise. Évaluer si l’appétance de l’entreprise pour le risque est appropriée et si les risques surla valeur dans l’entrepriseée liés à l’utilisation de l'informatique est identifié et géré.

Entrées Sorties
Description Venant de Description Vers
Risques émergents et facteurs d'occurrenceAPO12.01guidance concernant l'appétit pour le risqueAPO12.03
Principes de gestion des risques entrepriseHors CobITSeuils de tolérance aux risques approuvésAPO12.03
Evaluation des activiés de gestion de risquesAPO12.01

Activités
1 Déterminer le niveau de risque lié à l'informatique que l’entreprise est prête à prendre pour atteindre ses objectifs (appétit pour le risque).
2 Évaluer et approuver les seuils proposés de tolérance au risque lié à l'informatique par rapport aux niveaux acceptables de risque et d’opportunité de l’entreprise.
3 Déterminer le degré d’alignement de la stratégie de gestion du risque lié à l'informatique avec la stratégie de gestion des risques de l’entreprise.
4 Evaluer proactivement les facteurs de risque avant la prise de décisions stratégiques par l’entreprise et s’assurer qu’elle prenne les décisions en toute connaissance des risques.
5 Varifier que l’utilisation de l'informatique est soumise à une évaluation appropriée des risques, comme cela est décrit dans les normes internationales et nationales pertinentes.
6 Evaluer les activités de gestion des risques pour assurer l’alignement de la capacité de l’entreprise à supporter les pertes liées à l'informatique ainsi que la tolérance de la direction face à celles-ci.
Code Pratique de gouvernance
EDM03.02 Orienter la gestion des risques
Orienter la mise en place de pratiques de gestion des risques afin de fournir une assurance raisonnable que les pratiques de gestion du risque lié à l'informatique sont appropriées pour garantir que le risque effectif ne dépasse pas l’appétit pour le risque établi par le conseil d’administration.

Entrées Sorties
Description Venant de Description Vers
Profil de risque global, incluant le statut des actions de gestion des risquesAPO12.03Politique de gestion des risquesAPO12.01
Profils et plans d’atténuation de la gestion des risques d’entrepriseHors CobITObjectifs clés à piloter pour la gestion des risquesAPO12.01
Processus approuvé pour l’évaluation de la gestion des risquesAPO12.01

Activités
1 Promouvoir une culture de sensibilisation aux risques liés à l'informatique et habiliter l’entreprise à l’identification proactive des risques liés à l'informatique, des opportunités et des impacts potentiels sur les métiers.
2 Orienter l’intégration de la stratégie et des opérations de gestion des risques liés à l'informatique à l'aide des décisions et opérations stratégiques d’entreprise en matière de risque.
3 Orienter l’élaboration de plans de communication sur les risques (couvrant tous les niveaux de l’entreprise) ainsi que sur les plans d’actions associés à leur gestion.
4 Orienter la mise en oeuvre des mécanismes appropriés pour répondre rapidement à l’évolution des risques et informer immédiatement les niveaux appropriés de management conformément aux procédures d'escalades convenues (ce qu’il faut signaler, quand, où et comment).
5 Convenir que les risques, opportunités, enjeux et préoccupations peuvent être identifiés et signalés par toute personne à tout moment. Le risque doit être géré conformément aux politiques et aux procédures publiées, et transféré au niveau de décisions approprié.
6 Identifier les objectifs et les indicateurs des processus de gouvernance et de gestion des risques clés à piloter. Approuver les approches, méthodes, techniques et processus d’obtention et de transmission de l’information de mesure.
Code Pratique de gouvernance
EDM03.03 Piloter la gestion des risques
Piloter les objectifs et indicateurs clés des processus de gestion des risques et établir comment les écarts ou les problèmes seront identifiés, suivis et rapportés pour qu’ils soient corrigés.

Entrées Sorties
Description Venant de Description Vers
Résultats d'analyse des risquesAPO12.02Mesures correctives destinées à prendre en charge les écarts en matière de gestion des risquesAPO12.06
Opportunités d’acceptation d’un plus grand risqueAPO12.04Enjeux de gestion des risques pour le conseil d’administrationEDM05.01
Résultat de l’examen des évaluations des risques liés aux tiersAPO12.04
Rapports d’analyse des risques et du profil de risque destinés aux parties prenantesAPO12.04

Activités
1 Evaluer dans quelle mesure le profil de risque est géré tout en respectant les seuils de tolérance au risque.
2 Piloter les objectifs clés et les indicateurs des processus de gouvernance et de gestion des risques par rapport aux cibles, analyser les causes des écarts et prendre des mesures correctives pour remédier aux causes sous-jacentes.
3 Permettre aux parties prenantes clés de passer en revue la progression de l’entreprise vers l’atteinte des objectifs identifiés.
4 Signaler tout problème de gestion des risques au conseil d’administration ou au comité exécutif.
^