10 Février 2012
La lettre de juillet 2009
- [MEILLEURE PRATIQUE] Une saisie unique pour toute la chaîne comptable d'I-Way
- [RISK MANAGEMENT] Le désarroi des Risks managers
- [MEILLEURE PRATIQUE] La Région Auvergne 2.0 ouvre la première plateforme communautaire
- [MEILLEURE PRATIQUE] Le DSI d'Aquarelle.com ne connait pas vraiment la crise
- [MARCHÉS] Les Grosses PME investissent davantage dans les NTIC
- [DEVELOPPEMENT] A la recherche de l'outil idéal pour développer vite et bien sur le web
- [REVUE DE DROIT] Un regard de professionnels sur la loi Hadopi
- [DECISIONNEL] Le design pour la prise décision sur des données complexes
- [METHODOLOGIE] Comment mettre en œuvre une Balanced Scorecard
Archives
|
|
[RISK MANAGEMENT] Le désarroi des Risks managers
Editorial - la lettre de juillet 2009
LE SYMPOSIUM 2009 DE L’ASSOCIATION DE L’AUDIT ET DU CONSEIL EN INFORMATIQUE (AFAI). Trois constats, quatre idées d'amélioration. Tous les auditeurs, les DSI, les experts de l’IAE d’Aix Marseille et de l’association pour le management des risques et des assurances de l’entreprise (AMRAE) ont été passionnés par l'approche présentée lors du dernier symposium de l'AFAI. Elle remet en cause plusieurs idées que l'on croyait acquises. Analyse du Risk Management IT.
Par Dominique Moisand, Guide Informatique
Par Dominique Moisand, Guide Informatique
Les risques d’entreprise liés aux systèmes d’information se répartissent en trois catégories, biens et personnes, continuité d’activité et risques opérationnels, analyse Jean-Louis Bleicher, Directeur du pôle sécurité et continuité d’activité de la banque Fédérale des Banques Populaires. Dans le secteur bancaire, il dresse 3 constats :
1/ Les pertes attribuables aux risques opérationnels sont en hausse : il y a un risque croissant d’inadéquation entre les systèmes d’information, les procédures et les personnes. Après tout, l’affaire SG/JK a nécessité plus de 1.000 transactions fictives et le système Madoff durait depuis 48 ans !
2/ Dans le même temps, les règlementations se multiplient ainsi que les acteurs ou instances en charge de leur application ou de leur contrôle : on a créé des responsables de la sécurité, du risk management, du contrôle interne, de l’audit ; autant de silos, autant de référentiels, autant de périmètres différents. Simultanément, le règlementaire comme la CRBF 97-02 change tous les ans et accumule les couches de recommandations. La vision d’ensemble est difficile. Enfin, on compte au moins 25 organismes de contrôle.
3/ Les moyens consacrés au problème par les banques sont en hausse. D'après l’AFB (Association française des banques), 1,9% des effectifs sont en charge du contrôle et les budgets alloués aux SI en matière de gestion du risque et de la sécurité sont colossaux.
Même s’ils ne sont pas optimistes, Jean-Louis Bleicher et Jean-Yves Oberlé, responsable du MBA de le l’IAE d’Aix-Marseille, proposent 4 voies d’amélioration :
1/ Une Gouvernance des risques au travers un "Comité des risques" reportant au Conseil d'administration. Il faut abandonner les méthodes lourdes comme la cartographie des risques IT, trop chères, peu fiables, coûteuses en performance des processus. La question est d’arbitrer entre la surveillance (on peut arriver trop tard) et la prévision (analyse de risques) grâce à une réelle expertise et à un travail d’équipe.
2/ La mise en cohérence des référentiels et la formation des acteurs, en particulier pour répondre à l’empilement des référentiels et des recommandations, d’une part, et à la complexité croissante des modèles mathématiques mis en place (marchés), d'autre part.
3/ Un changement de paradigme pour arrêter la fuite en avant d’une analyse interminable des composants et des chaînes de risque (approche détaillée et bottom-up). Il est temps de modéliser correctement le système.
4/ La mise en place d'un système d’information fédérateur de la gestion des risques remontant indicateurs, mesures et alertes pour favoriser la prévention et la détection, puis l’amélioration.
Pour l’AMRAE, la gestion des risques renvoie à COSOS II (COSO I se limitait au contrôle interne). On peut multiplier les instances mais la question est de savoir qui a le courage de dire les choses, avec une chance d’être écouté ! La répartition des rôles serait d’avoir un Risk manager (RM) en charge de la démarche globale, un audit interne qui s’assure de l’efficacité du système et un contrôle interne chargé de la réponse à la gestion des risques (procédures, etc.).
La seconde évolution concerne le rapport annuel sur le contrôle interne et le risk management. Le Directeur Général devient responsable et doit s’assurer de l’efficacité des systèmes de RM.
Finalement, on en vient au facteur humain, comment à la fois concilier des qualités d’expertise, d’humilité, de connaissance intime de la société et de courage qui feraient le bon RM ? Il faut éviter absolument le profil donneur de leçon catégorique et laisser aux Directeurs présenter les risques qui font partie de leur métier (DSI, Industrie, etc.), ne pas se substituer à eux mais les aider.
http://www.amrae.fr/
ttp://www.iae-aix.com/fr/iae/formations-programmes/masters/master-2e-annee/management-et-technologies-de-l-information/
http://www.afai.fr/
http://www.coso.org/
http://www.cigref.fr
1/ Les pertes attribuables aux risques opérationnels sont en hausse : il y a un risque croissant d’inadéquation entre les systèmes d’information, les procédures et les personnes. Après tout, l’affaire SG/JK a nécessité plus de 1.000 transactions fictives et le système Madoff durait depuis 48 ans !
2/ Dans le même temps, les règlementations se multiplient ainsi que les acteurs ou instances en charge de leur application ou de leur contrôle : on a créé des responsables de la sécurité, du risk management, du contrôle interne, de l’audit ; autant de silos, autant de référentiels, autant de périmètres différents. Simultanément, le règlementaire comme la CRBF 97-02 change tous les ans et accumule les couches de recommandations. La vision d’ensemble est difficile. Enfin, on compte au moins 25 organismes de contrôle.
3/ Les moyens consacrés au problème par les banques sont en hausse. D'après l’AFB (Association française des banques), 1,9% des effectifs sont en charge du contrôle et les budgets alloués aux SI en matière de gestion du risque et de la sécurité sont colossaux.
Il faut abandonner les méthodes lourdes comme la cartographie des risques IT
Même s’ils ne sont pas optimistes, Jean-Louis Bleicher et Jean-Yves Oberlé, responsable du MBA de le l’IAE d’Aix-Marseille, proposent 4 voies d’amélioration :
1/ Une Gouvernance des risques au travers un "Comité des risques" reportant au Conseil d'administration. Il faut abandonner les méthodes lourdes comme la cartographie des risques IT, trop chères, peu fiables, coûteuses en performance des processus. La question est d’arbitrer entre la surveillance (on peut arriver trop tard) et la prévision (analyse de risques) grâce à une réelle expertise et à un travail d’équipe.
2/ La mise en cohérence des référentiels et la formation des acteurs, en particulier pour répondre à l’empilement des référentiels et des recommandations, d’une part, et à la complexité croissante des modèles mathématiques mis en place (marchés), d'autre part.
3/ Un changement de paradigme pour arrêter la fuite en avant d’une analyse interminable des composants et des chaînes de risque (approche détaillée et bottom-up). Il est temps de modéliser correctement le système.
4/ La mise en place d'un système d’information fédérateur de la gestion des risques remontant indicateurs, mesures et alertes pour favoriser la prévention et la détection, puis l’amélioration.
Un Risk manager, un audit interne et un contrôle interne devraient suffire
Pour l’AMRAE, la gestion des risques renvoie à COSOS II (COSO I se limitait au contrôle interne). On peut multiplier les instances mais la question est de savoir qui a le courage de dire les choses, avec une chance d’être écouté ! La répartition des rôles serait d’avoir un Risk manager (RM) en charge de la démarche globale, un audit interne qui s’assure de l’efficacité du système et un contrôle interne chargé de la réponse à la gestion des risques (procédures, etc.).
La seconde évolution concerne le rapport annuel sur le contrôle interne et le risk management. Le Directeur Général devient responsable et doit s’assurer de l’efficacité des systèmes de RM.
Finalement, on en vient au facteur humain, comment à la fois concilier des qualités d’expertise, d’humilité, de connaissance intime de la société et de courage qui feraient le bon RM ? Il faut éviter absolument le profil donneur de leçon catégorique et laisser aux Directeurs présenter les risques qui font partie de leur métier (DSI, Industrie, etc.), ne pas se substituer à eux mais les aider.
Liens utiles
http://www.amrae.fr/
ttp://www.iae-aix.com/fr/iae/formations-programmes/masters/master-2e-annee/management-et-technologies-de-l-information/
http://www.afai.fr/
http://www.coso.org/
http://www.cigref.fr
Pour aller plus loin
Les dossiers
Les livres
Toute l'actu sur ce sujet
Warning: fopen(data/rss/actus/12.xml) [function.fopen]: failed to open stream: No such file or directory in /home/guideinformatique/www/lib/parts/RSS.class.php on line 101
Gouvernance
Document, connaissances, GEDEmploi informatique
Législation
Licences, open source
Politique informatique
Qualité, certification, référentiels
Solutions
BI, décisionnel, SIGBureautique et infographie
Finances, gestion, trésorerie
Gestion commerciale, CRM
Mobilité
Production, logistique, SCM
Solutions globales, ERP
Solutions RH
Technologies
Archivage et sauvegardeHardware
Localisation, traçabilité
Locaux, sécurité physique
Programmation, développement
Réseaux et communications
Sécurité logique, virus et intrusions
Site Internet
Stockage, SAN, NAS
Systèmes et infrastructure
Editorial
ActualitésAgenda
Annuaire
Blogs
Contributeurs
Dictionnaire
Dossiers
Emploi
Forum
Lettre
Libraire