Accueil
Vous souhaitez avoir un état des lieux de votre capacité à faire ?
Est-ce que cette année vous semble une année propice à une réflexion sur la stratégie
de votre SI , vous avez besoin d’un regard extérieur sur vote SI ??
Vous êtes en période de recrutement pour un profil IT ?
Est-ce qu'un de vos projets IT est en panne?
Des questions & des réponses, bienvenue sur notre site
Bonne visite.
FM
Qu’est-ce que SOX ?
SOX Sarbanes Oxley est
une loi américaine, qui suite à l’affaire Exxon, demande aux entreprises cotées
à la bourse américaine des contraintes sur la traçabilité des données
financières.
Pourquoi une offre ITGC SOX ?
Nous ne proposons pas une démarche de conformité
car celle-ci doit être plus générale et n’impacte pas seulement l’IT; avec
l’offre IT Global Controls SOX, nous proposons
l’étude ou l’accompagnement (*) d’un « gap analysis »
et l’application des best practices d’ITIL.
Le gap analysis concerne
notamment les IT Global Controls de Système
d’Informations suivant :
Et notamment
pour l’infrastructure
Qu’est-ce qu’apporte l’ITGC SOX ?
L’esprit général des ITGC est l’application d’un
contrôle hiérarchique régulier des IT operations, la
distinction des responsabilités et des « duties », la
traçabilité des opérations sur les données.
(*) Cet accompagnement peut s’inscrire dans le
cadre soit d’audit soit d’accompagnement à un projet ou à un plan d’action sur
la production informatique, la gouvernance des SI ou sur des problématiques de
sécurité et de traçabilité.
Votre système d'informations
è ne répond qu'en partie aux besoins de l'entreprise
è manque de flexibilité
è n'est pas suffisamment disponible
è devient la cause de manque de productivité
è n'est pas géré comme le sont vos autres investissements
ou
Le système d'informations ne semble plus adapté à l'organisation du secteur
è impact de la dématérialisation ( plateforme logistique , portail fournisseur ..)
è
Enjeu du "Business to Business"
Exemples d’interventions :
Analyse stratégique du SI
Objectif : élaborer une stratégie du SI
1.Analyser les faits et les analyser suivant le triangle stratégique « volontés – ressources – environnement »
2.Colorier les faits , élaborer des diagnostics
3.Etablir un cahier des charges
4.Elaborer une stratégie avec 1 volet offensif et 1 volet défensif
5.Démultiplier la stratégie
6.Vérifier la faisabilité avec un plan de financement (sinon retour au point 3)
7.Vérifier la cohérence de la stratégie
8.Organiser le contrôle
L’entreprise et son environnement
Classer en 2 catégories : opportunités , menaces
- les évolutions de l’économie et de l’entreprise : réseaux et intégration, entreprise étendue, entreprise en temps réel, organisation matricielle, équipes et projets, impacts organisationnels de l'e-business , les donneurs d’ordre , les clients incontournables ..
- les acteurs et prestataires du système d’information : constructeurs, intégrateurs, opérateurs de réseaux et de télécommunications, acteurs internet …
L’entreprise et ses ressources
Classer en 2 catégories : atout , faiblesse
•La direction du système d’information
- cartographie et urbanisation, schéma directeur
- l’évaluation des performances et le contrôle du système d’information
- méthode de management de portefeuille de projets les approches financières : budgets, ROI, refacturation des services…
- gouvernance et audit
- qualité et système d’information : démarche, outils et normes, qualité produit, qualité processus, plan d’assurance qualité
- les outils technologiques de management du système d’information
- les problématiques d’externalisation et d’outsourcing
•Les 5 M
L’entreprise et ses volontés
-Différencier volontés réelles et vœux pieux
- Développer un ERP est une décision qu'il faut parfois savoir reporter. Car au-delà d'un projet technique, il s'agit de transformer en profondeur les modes de fonctionnement de l'entreprise.
- Vérifier la pertinence de la politique : investir en priorité dans les systèmes d'aide au développement de produits, ne pas surinformatiser le processus de réalisation des commandes, etc.
- Comparer l’intérêt présenté par un projet et les atouts que l’on peut avoir par la matrice
Intérêt = rentabilité / Capitaux mis en œuvre + risques (cf. chapitre 5)
Atouts = effet d’expérience , qualité de l’outil , force technologique ..
3. IT Interim
Management :
Principe de l'ITIM : vous êtes à la recherche d'un chef de projet , d'un responsable d'organisation.. En urgence , nous intervenons afin d'"occuper" la fonction et de vous aider dans le recrutement , et au final nous réalisons le transfert de dossiers.
Nous assurons la fonction le temps du recrutement
. Nous pouvons vous aider dans le choix du candidat voir dans la définition de sa fonction
. Nous "sécurisons" la période d'essai
. Nous coachons la nouvelle recrue jusqu'à prise d'autonomie
L'Interim concerne les métiers listé dans la page "Interim" (référence Cigref).
Ressources :
- réseau d'indépendants
Domaines de compétences:
Management – Gestion
• Systèmes d'information
• Centres de profits / coûts
Pilotage de projets
• Elaboration de Plan de Management de Projet - Cadrage
• Ordonnancement, planification, évaluation de charge - reste à faire - Gestion des ressources – Logistique projet - Gestion des risques
• Coordination des acteurs - Animation d'équipe, motivation, communication
• Suivi d'activité et budgétaire – Reporting - Bilan de projet
Etudes - Conception
• Audit - Diagnostic – Propositions de progrès – Cadrage – Alignement stratégique
• Cahier des charges - Dossiers de consultation, aide au choix
• Architecture applicative et technique - Spécifications fonctionnelles
• ERP (SAP) / PGI – Spécifiques – Progiciels verticaux - Urbanisation des systèmes d'information
• Externalisation (Infogérance – TMA)
Domaines fonctionnels
• Commercial, Administration des ventes – Production MRP – KANBAN), Maintenance,Qualité – Achats
• Comptabilité, finances - Contrôle de gestion - Ressources humaines
• Systèmes d'aide à la décision
Organisation - Méthodes – Systèmes qualité
• Ingénierie des processus (modélisation ARIS), définition d’organisation cible
• Management des systèmes d'information (ITIL, COBIT, SOX …)
• Cartographie des systèmes d'information
• Contrat de service (SLA) – Systèmes qualité - Plan d'assurance qualité - Conduite de projets
Secteurs d'activité
• Industries (Process continu, Manufacturing) Chimie - Agro-alimentaire - Produits pharmaceutiques – Sidérurgie - Equipements
• Tertiaire : Santé - Distribution - Immobilier - Organismes financiers
Technique
• Systèmes (Mainframe, Unix, Windows) – Réseaux – Mobilité applicative
4. Project Organisation Consulting
Un projet informatique vous semble de plus en plus coûteux , bloqué ou à la dérive.
•Les projets SI et leurs conditions de
réussite
- le management des projets
- la conduite du changement : accompagnement, communication, formation
Les deux principales erreurs dans le développement et la mise à niveau des systèmes d’information sont : un excès de planification initiale, qui conduit à figer exagérément le projet, et la tendance à accroître les ambitions du projet au fur et à mesure de son avancée.
ATTRIBUTS FONCTIONNELS DU SI À
DÉVELOPPER DANS UNE PERSPECTIVE DE CONTRÔLE
mai 26th, 2009
La
traçabilité
Elle est souvent citée comme un des axes clés qui doivent être développés, sans
que l’on sache toujours précisément ce qu’elle recoupe. Il s’agit, au-delà des
transactions et pièces comptables usuelles, de conserver la trace des
opérations élémentaires constituant un processus et, de ce fait, d’être en
mesure de bâtir des tests de contrôle d’efficacité et de justifier la qualité
du processus par rapport aux exigences du contrôle interne. Ainsi, pour un
processus d’approvionnement
, il faudra garder la trace de toutes les transactions impliquées, depuis
l’expression des besoins jusqu’au règlement de la facture. Cela va bien au-delà
des besoins d’archivage antérieurs. Il s’agit également de garder la trace de
toutes les modifications apportées aux applications informatiques supportant
les processus. Cette exigence de traçabilité va, sans nul doute, se traduire
par un fort accroissement des volumes que les systèmes informatiques devront
absorber.
L’archivage
De manière corollaire, l’archivage devra être structuré pour garder la trace
détaillée des tests effectués (périmètre, données, résultats…).
Les
fonctions de contrôle - alertes
Elles devront être mises en place sous la forme de tableaux de bord avec des
indicateurs se référant, par exemple, à des seuils. Elles incitent à améliorer
la performance des processus par rapport aux risques.
L’automatisation
Des fonctions d’automatisation doivent permettre d’injecter des standards de
procédures.
La
gestion des données de contrôle
La gestion de bases de données doit intégrer la gestion des données de contrôle,
qui doivent, parexemple, constituer le matériau des
tests ou la revue de conformité sur les processus existants. Elle doit gérer,
de manière structurée, les cartographies, les contrôles automatiques, les
procédures de tests et diagnostics, les métriques associées aux mouvements sous
contrôle, etc.
La gestion des accès
Elle revêt une importance capitale.
Une collaboration renforcée entre la direction financière et la direction des
SI
Elle est indispensable pour mettre sur pied des systèmes qui intègrent toutes
les capacités des SI à fournir un levier efficace au contrôle interne.
(Extrait
d’un document préparé en Janvier 2005 par Nicole Leblanc, Dominique Rochier et
Denis Molho, animateur de la commission technique
“systèmes d’information” de la DFCG)
Messagerie interne, maillon
faible ?
avril 1st, 2009
“Jérôme
Kerviel aurait profité des défaillances de la
politique de la politique de sécurité informatique” selon Zdnet
Il
aurait également ursupé l’adresse email de son N+1 , d’après le CLUSIF
Pour
les RSSI , il est important de sécuriser les serveurs
de messagerie sur le LAN.
Les
possibilités techniques d’usurpation sont disponbiles
sur le Net !
Avec
l’application d’une politique de mot de passe intransigeante
, le risque est affaibli.
(Conformément
à l’ITGC SOX , ” Identification ,
authentification et accès”)
Archivage numérique et data
conversion
mars 26th, 2009
Les
lois françaises et européennes sur l’archivage numérique sont en train de
changer.
SOX
n’a pas d’exigence à proprement parlé sur l’archivage, mais sur la conversion
de données, ce qui est, techniquement, réalisée en grande majorité, à chaque
archivage.
Comme COBIT
:
Management should require that a data conversion plan is prepared,
defining the methods of collecting and verifying the data to be converted and
identifying and resolving any errors found during conversion. Tests to be
performed include comparing the original and converted files, checking the
compatibility of the converted data with the new system, checking master files
after conversion to ensure the accuracy of master file data and ensuring that
transactions affecting master files update both the old and the new master
files during the period between initial conversion and final implementation. A
detailed verification of the initial processing of the new system should be
performed to confirm successful implementation. Management should ensure that
the responsibility for successful conversion of data lies with the system
owners.
Visite de FIC 2009
mars 26th, 2009
Le 24
mars était organisé au grand palais de Lille le 3eme forum international sur la
cybercriminalité , le mot “SOX” a été cité plusieurs
fois :
Lors
de l’atelier ISO27001, en listant les certifications par secteur économique
géographique, garant d’une démarche vers la sécurité
Lors de l’atelier “chiffrement”, en évoquant les compagnies américaines qui ont
l’obligation de déclarer la perte de données à caractère personnel
Nous
n’avons pas pu participer à tous les ateliers mais l’impression générale de la
journée est que les démarches de fond sur la sécurité sont de plus en plus matures , maturité nécessaire face à la croissance des types
d’attaque et la multitude des solutions techniques.
50%
des informations sont considérées comme sensibles.
Mars 2009- Impact des référentiels
SOX et LSF sur les systèmes d’informations
mars 16th, 2009
La
loi sur la sécurité financière (LSF)
et la loi Sarbanes-Oxley (SOX)
bouleversent la gouvernance d’entreprise.
Parmi les impacts les plus notables,
on peut citer :
• la responsabilité accrue des administrateurs
quant aux conséquences d’une gestion
inappropriée des risques ;
• la responsabilité accrue des dirigeants quant
à la qualité des informations financières ;
• l’exigence d’un système de contrôle interne
élargi à la gestion des risques globaux et
couvrant tant les aspects patrimoniaux que
les aspects qualité des informations, offrant
enfin la possibilité d’un déploiement cohérent
de la stratégie dans les opérations au
travers, par exemple, de la politique d’investissements.
Outre le fait d’exister, le
système doit offrir des garanties d’automaintenance,
c’est-à-dire de mise à jour en
fonction de l’évolution des processus. Cette
automaintenance est, par ailleurs, facilitée
par l’existence de systèmes d’information
intégrés permettant d’installer des autocontrôles
dans les processus ;
• la mise en place de comités de certification
indépendants, les comités d’audit.
De manière surprenante, l’impact très important
sur les systèmes d’information (SI) est
rarement mentionné, comme s’il était sousestimé.
On peut même affirmer que les lois
LSF et SOX ne font pas le lien explicite entre
les exigences légales et le SI :
• coexistence de deux référentiels de contrôle
interne dans le cas de SOX : celui émis par
le Committee of Sponsoring Organizations
of the Treadway Commission (Coso),
qui
traite des aspects non strictement informatiques
du système de contrôle interne, et le
Control Objectives for Information and
related Technology (Cobit) conçu par
l’Information Systems audit and Control
Association (Isaca), qui traite des aspects
informatiques ;
• absence de référentiel dans le cas de la LSF
(en dehors des recommandations de
l’Association française des entreprises
privées [Afep] et du Medef).
LE
SYSTÈME D’INFORMATION EST
POURTANT UN COMPOSANT
ESSENTIEL DU DISPOSITIF
DE CONTRÔLE INTERNE
• de par l’existence de contrôles manuels,
généraux et applicatifs, incorporés dans les
outils de gestion intégrés (ERP) ;
• de
par le transfert, vers les responsables
des métiers, de contrôles informatisés
(comme le contrôle des approvisionnements,
avec les rapprochements que cela
implique) ;
• de par la mise en oeuvre de chantiers
traitant de manière spécifique les systèmes
de contrôle interne liés à l’informatique
(Cobit).
Des enquêtes font, par ailleurs,
ressortir que deux tiers des entreprises considèrent
la maîtrise de l’environnement informatique
comme une composante essentielle
du contrôle interne.
(Extrait
d’un document préparé en Janvier 2005 par Nicole Leblanc, Dominique Rochier et
Denis Molho, animateur de la commission technique
“systèmes d’information” de la DFCG)
Janvier 2009- A propos de SOX et
de la régulation financière
mars 16th, 2009
La
loi Sarbanes-Oxley impose aux sociétés cotées aux Étatsunis
d’établir des procédures permettant aux employés de signaler
des fraudes ou malversations comptables ou financières…
L’obligation de mettre en place des dispositifs d’alerte L’article
301(4) de la loi SOX a imposé l’obligation à toutes les sociétés
cotées aux États-unis de mettre en place un comité
d’audit
chargé d’établir des procédures internes permettant “aux employés
de signaler (…) des fraudes comptables ou financières”.
La France n’a à ce jour adopté aucun texte législatif particulier
imposant une telle obligation mais une obligation similaire
existe de façon plus discrète au sein d’un règlement du Comité
de la Réglementation Bancaire et Financière. En effet, l’article
11-2 du règlement n°97-02 prévoit l’obligation de mettre en
place “des procédures de centralisation des informations relatives
aux éventuels dysfonctionnements dans la mise en oeuvre
effective des obligations de conformité”. Les établissements de crédit et
prestataires de service
d’investissement doivent prévoir “la faculté pour tout dirigeant ou préposé de
faire part d’interrogations
sur ces éventuels dysfonctionnements, au responsable de la conformité de
l’entité ou
de la ligne de métier à laquelle ils appartiennent, ou au responsable métier
mentionné à l’article
11.”
(extrait de http://m2bde.u-paris10.fr/blogs/rbf/index.php/post/2008/02/18/A-propos-delalerte-
ethique-francaise-inspiree-du-whistleblowing-americain-par-Coraline-Damien)
Modalités
d'intervention du consulting :
Une démarche transparente en quatre phases :
Phase 1 - Cadrage de la mission par des entretiens afin d’assimiler vos objectifs, vos contraintes et d’établir une proposition d’intervention pour la phase suivante
Phase 2 - Etude de l’existant et proposition de solutions, évaluation budgétaire, gains et coûts
Phase 3 - Etude détaillée du scénario choisi, élaboration du budget et plan de mise en œuvre
Phase 4 - Accompagnement à la réalisation
Le passage d’une phase à l’autre est conditionné par l’approbation du dossier livré
Références:
Nous avons une capacité à intervenir tant dans des structures de type PME - PMI que dans des organisations grandes entreprises.
UGINE & ALZ
CER France Nord
ARCELOR – MITTAL
CASTORAMA
BERNARD SAS
TAXICOLIS
ROQUETTE
Groupe CARRIERES DU BOULONNAIS
Centre Hospitalier de Tourcoing
LA REDOUTE
GSM (Groupe ARENA) CORUS
CBS France MYRIAD (Groupe HOOGOVENS)
Compagnie des Ciments Belges (ITALCEMENTI GROUP)
AXYA Systèmes Groupe CERNER
ACTENIUM groupe VINCI
BOCEDWARDS
SANEF
RENAULT
PSA
FRANCAISE DE MECANIQUE
Société de Transmission Automatique
USINE MECANIQUE DE VALENCIENNES
ALTRAN
VALLOUREC
SOLLAC
ALCATEL BOMBARDIER
Contacts:
FM Prestations
FM Prestations http://www.fmprestations.fr http://www.fmprestations.info
EURL au capital de 2500 euros – RCS Bethune – SIRET 48945603800012 – Code APE 721 C -TVA Intracommunautaire FR71489456038 45 , rue R.Salengro 62138 Haisnes
Email : frederic.malard@fmprestations.info
Tel : 06 08 65 97 34