GOUVERNANCE DES SERVICES

(1)

63 Depuis quelques années, le secteur financier est en pleine mutation pour créer des niches d’excellence alliant meilleure performance des processus et assurance de résultat de ces même processus, et ceci pour répondre aux besoins :

•

du marché avec la création de nouveaux produits et services

•

des investisseurs dans le cadre de fusions et acquisitions d’institutions financières

•

d’investissements pour avoir la maîtrise à long terme des opérations et de l’infrastructure IT

•

de conformité aux réglementations (Basel II, MiFiD, SoX, PSF/S, ...)

Organiser une institution en processus doit être basé sur une méthode pragmatique permettant à chaque «Process Owner» d’effectuer un déploiement opérationnel indépendant, tout en respectant la cohésion des objectifs business et du pilotage de ces objectifs au niveau organisationnel (vus à travers les objectifs stratégiques ou selon les besoins des auditeurs internes, compliance officers, operational risk managers, contrôleurs internes, ...).

En 2009, le cRP henri Tudor innove en lançant un cycle de formations pour le secteur financier

alliant les besoins de performance et d’assurance des processus. Des formations spécifiques pour

les business line managers, auditeurs internes, compliance officers, operational risk managers,

contrôleurs internes leurs donnent des outils pour concevoir leurs référentiels spécifiques, outils

d’évaluation et de pilotage indispensables pour une institution organisée en processus. ces outils

peuvent aussi être utilisés par les correspondants métiers / IT, les project offices, ainsi que par les

professionnels de l’IT.

(2)

Gouvernance IT

Contrôle interne

Audit interne

TIPA Assessor Foundation p. 65

Améliorez vos processus de contrôle interne p. 73

Améliorez vos processus d’audit interne (non financier) p. 74 Introduction contextualisée aux pratiques d’IT Service Management (ITIL V2) p. 67

TIPA Lead Assessor p. 66

Evaluation et reporting du système de contrôle interne p. 71

Evaluation et reporting du système d’audit interne p. 71 IT Service Management – Overview ITIL et ISO 20000 p. 68

ISO/IEc 20000 for consultants p. 141

Améliorez vos processus de gestion des risques p. 70

ISO/IEc 20000 for Auditors p. 142

Evaluation et reporting du système de gestion des risques p. 71 IT Service Management – Overview ITIL et ISO 20000 p. 68

La gestion des risques d’outsourcing en conformité aux

exigences réglementaires p. 72

Améliorez la gouvernance de vos projets p. 68

The IT governance framework for the management p. 69 cycle de préparation à l’examen IT Governance cGEIT p. 144

Overview cMMI p. 97

ITIL

ISO 20000

Risk IT Governance

Framework

64 Retrouvez le contenu détaillé de ces formations sur : www.sitec.lu/formation

Go uv er na nc e IT Go ve rn an ce , r is k, a ud it & c om pl ia nc e

GO UV ER NA NC E



(3)

65 Find the detailed content of these training sessions on : www.sitec.lu/formation

TIPA Assessor Foundation

Become an ITIL Assessor using TIPA methodology

Objectives

The purpose of the TIPA foundation training course is:

• to get a global understanding of standard process assessment (as of ISO/IEC 15504, previously known as SPICE)

• to understand the ITSM process descriptions proposed by TIPA, in relation with ITIL v2

• to be able to make the difference between process purpose, process outcomes, base practices, work products, and process assessment indicators

• to be able to assess ITIL processes to be able to take part in an ITSM assessment team using the TIPA process assessment model

Points dealt with

• TIPA and ISO/IEC 15504 basic concepts for process assessment

• TIPA Process Assessment Model and its usage - TIPA processes and process groups

- TIPA process description structure and specific vocabulary - TIPA processes regarding ITIL v2 processes

• focus on TIPA assessment phase (assessment interviews and process rating)

• interview simulation in a role play

• focus on TIPA analysis phase (SWOT analysis and recommendations)

Audience

The TIPA Assessor Foundation training course is intended to train participants to become provisional TIPA assessors. Targeted participants are: ITSM process owners or process managers, quality managers or organization officers in companies delivering IT services, ITSM consultants or auditors.

Prerequisites

All participants must be ITIL (v2 or v3) foundation certified.

Experience in ITSM and/or process or maturity assessment is an asset.

Teachers

• Béatrix BARAFORT

Responsable d’unité, CRP Henri Tudor

• Valérie BETRY

Chef de projet, CRP Henri Tudor

• Alain RENAULT

Ingénieur R&D, CRP Henri Tudor

• Michel PICARD

Pedagogical method

Debates, discussions, exercises, practical assignments, role play and simulation, theory and concepts explanations, Multiple Choice Questions exam

Duration 3 days Price 1.125 € HT

ORGANIZED BY the authors of the Tudor ITSM Process Assessment (TIPA) book. A methodology to perform IT Service Management process assessment complient with the ISO/IEC 15504 standard assessment approach

an initiative of CRP Henri Tudor

Training available in

NEW

(4)

66 IT Governance

Find the detailed content of these training sessions on : www.sitec.lu/formation

TIPA Lead Assessor

how to lead ITIL V2 assessment projects using TIPA method

Objectives

The purpose of the TIPA Lead Assessor training course is:

• to understand the full lifecycle of a process assessment project;

• to be able to run an ITSM assessment project using TIPA process assessment model;

• to be able to use the TIPA assessment toolkit;

• to be able to lead an ITSM assessment project;

• to ensure that the TIPA assessment is ISO/IEC 15504 compliant.

• organization of a TIPA assessment project (lifecycle, roles and responsibilities)

• TIPA assessment toolkit presentation

• TIPA assessment scope definition

• TIPA assessment preparation

• TIPA assessment report preparation and results presentation

• TIPA assessment closure

• TIPA assessment compliance verification.

Audience

The TIPA Lead Assessor training course is intended to promote TIPA Foundation Assessors to become TIPA Lead Assessors. Targeted participants are mainly: quality managers or organization officers in companies delivering IT services, ITSM consultants, auditors

Prerequisites

All participants must be at least ITIL (v2 or v3) Foundation certified and TIPA Assessor Foundation certified.

Experience in ITSM and process or maturity assessment is an asset.

A minimum experience in project management is required.

Teachers

• Béatrix BARAFORT

Responsable d’unité, CRP Henri Tudor

• Valérie BETRY

• Alain RENAULT

• Michel PICARD

Debates, discussions, exercises, practical assignments, role play and simulation, theory and concepts explanations, Multiple Choice Questions exam

Duration 2 days Price 865 € HT

Training available in

NEW

(5)

67 Retrouvez le contenu détaillé de ces formations sur : www.sitec.lu/formation

Introduction contextualisée aux pratiques d’IT Service Management (ITIL V2)

Objectifs

• sensibiliser à la philosophie de la gestion des services IT

• introduire les principaux processus à mettre en œuvre

• illustrer par l’exemple en référence au contexte de l’organisation cible

Points abordés

• introduction à la notion de service

• positionnement du service IT dans l’organisation

• rôle de l’IT par rapport au business

• les principaux processus concernés pour - la fourniture de services IT

- le support aux services IT

• modèles de processus structurés, basés sur ITIL et évaluation des pratiques ITIL (framework TIPA)

Public

CIO, manager et personnel informatique responsable de la livraison de services informatiques, outsourcing, personnel informatique impliqué dans la mise en oeuvre du management des services informatiques selon la norme ISO/IEC 20000, préparant l’organisation d’une certifi cation ISO/IEC 20000, évaluant la vitesse d’organisation de la certifi cation de ISO/IEC 20000, personnel informatique responsable pour la fourniture de services informatiques, propriétaire et gestionnaire de processus, responsable de développements et d’intégration informatique

Intervenant Alain RENAULT

Méthode pédagogique

Discussions, exemples, exposés, illustrations, réflexions des participants sur des cas concrets, exposés théoriques Durée 1 à 2 jours (à contextualiser avec l’entreprise) Tarif Nous contacter

Formation disponible en

NEW

INTRA

voir page 11

(6)

68 IT Governance

Retrouvez le contenu détaillé de ces formations sur : www.sitec.lu/formation

Améliorez la gouvernance de vos projets

L’alignement IT/Business et l’élaboration d’un Business case

IT Service Management – Overview ITIL et ISO 20000

Objectifs

• mieux comprendre les concepts d’un Business Case pour un projet

• mieux comprendre les concepts de la gouvernance IT

Points abordés

• les éléments fondateurs de la gouvernance IT

• définition du Business Case

• pour quoi faire un Business Case

• éléments financiers et non-financiers

• exemple de structure d’un Business Case

• la gouvernance d’un Business Case

Public

Chef de projet, responsable organisation, qualité

Intervenants

• Dieter DE SMET

• Christophe FELTUS

Explications méthodologiques et théoriques, discussions Durée Une demi-journée

Tarif 335 € HT

Objectifs

• comprendre ce qu’est ITIL

• comprendre ce qu’est la norme ISO 20000 et les éléments qui la composent

• comprendre la différence entre ITIL et ISO 20000

Points abordés

• introduction à l’IT Service Management

• ITIL, guide de bonnes pratiques IT Service Management

• philosophie de ITIL

• les processus de fourniture et support de service

• ISO 20000, norme ISO pour l’IT Service Management - comparatif ITIL / ISO 20000

- TIPA

Public

CIO, manager et personnel informatique responsable de la livraison de services informatiques, outsourcing, personnel informatique impliqué dans la mise en oeuvre du management des services informatiques selon la norme ISO/IEC 20000, préparant l’organisation d’une certification ISO/IEC 20000, évaluant la vitesse d’organisation de la certification de ISO/IEC 20000, personnel informatique responsable pour la fourniture de services informatiques, propriétaire et gestionnaire de processus, responsable de développements et d’intégration informatique

Intervenant Alain RENAULT

ingénieur R&D, CRP Henri Tudor

Méthode pedagogique Concepts illustrés Durée 1 jour Tarif Nous contacter

Formation disponible en

NEW

(7)

69 Find the detailed content of these training sessions on : www.sitec.lu/formation

ISO/IEc 20000 for consultants

Voir descriptif page 141

ISO/IEc 20000 for Auditors

cycle de préparation à l’examen IT Governance - cGEIT (certified in the Governance of Enterprise IT)

Overview cMMI

The IT Governance framework for the management

Objectives

• this seminar delivers management guidelines and governance practices in relation to the IT processes

• IT Governance practices focuses on five areas: IT-Business Alignment, Value Governance, Resources Management and Risk management, and Performance Measurement

• management practices include the identification and the

assessment of IT processes and the development of action plan for improving them

• identification of Business criteria and Goals that drive IT Goals and activities

• comparison and understanding of commonly used IT management frameworks

• presentation of IT Governance principles and group discussions over the five focus areas

• presentation of IT processes based on the CobiT framework, including: Understanding Management guidelines, methods for implementing IT Governance, Assessing maturity and developing improvement plans

• comparing and understanding the adequate use of major frameworks such as CobiT, ITIL, CMMI and ISO 2700x

• presentation of major Publications from the IT Governance Institute (Board Briefing on IT Governance, Cobit 4.1, CobiT Quickstart, CobiT Security Baselines, Cobit Assurance framework, Cobit Control Practices, etc.). Some of those would be made available to attendees in electronic format

Audience

Business manager, IT manager

Prerequisites

All participants must be at least ITIL (v2 or v3) Foundation certified and TIPA Assessor Foundation certified.

Experience in ITSM and process or maturity assessment is an asset.

A minimum experience in project management is required.

Teachers

• Georges ATAYA

Professeur, Solvay Business School (Bruxelles);

Vice président International, l’IT Governance Institute;

Managing Partner, ICT Control SA

• Sushil CHATTERJI

Subject Matter expert for the Certificate in Enterprise

IT Governance, representative to the ISO/IEC working group for the futur IT Governance standard (ISO/IEC 38500)

Debates, discussion, theory and concept explained Duration 1 day

Price 530 € HT

Training available in

(8)

70 Governance, risk, audit and compliance

Retrouvez le contenu détaillé de ces formations sur : www.sitec.lu/formation

Améliorez vos processus de gestion des risques

Apports d’un cadre de référence basé sur un standard pour l’évaluation de processus

Objectifs

• proposer des moyens de définir le référentiel des risques et des moyens de vérifier l’adéquation de la gestion de ces risques mise en place par rapport aux objectifs de l’entreprise et aux attentes d’une tierce partie

• sensibiliser les participants à l’apport du standard ISO/IEC 15504 et à une démarche orientée processus pour la définition du référentiel de risques et de gestion des risques et du pilotage des risques (ainsi que de la confiance à accorder aux informations utilisées pour ce pilotage)

• présenter des modèles de gestion de risques (dont certains développés en coopération avec des professionnels de la Place)

• démontrer la pertinence des modèles présentés sur base d’un retour d’expérience

Points abordés

• apports des standards pour l’évaluation et l’amélioration des gestions des risques

• cartographie des gestions des risques selon le modèle ERM

• identification des interactions entre les gestions des risques

• présentation d’exemples spécifiques (risques opérationnels, COBIT, BCM et risques d’outsourcing)

• liens entre les modèles et les contraintes réglementaires (Circulaires CSSF)

• apports des modèles présentés sur base de retours d’expérience Note : Une application des modèles de référence présentés dans ce cours dans le but d’une évaluation des risques opérationnels des processus de l’entité est donnée dans le cours complémentaire

«Evaluation et reporting du système de gestion des risques»

Public

Gestionnaire des risques, gestionnaire des risques opérationnels, auditeur interne, responsable audit interne, auditeur de conformité, contrôleur interne, propriétaire et gestionnaire de processus, responsable d’activités, banque et institution financière, organisme de normalisation, association professionnelle financière, auditeur et compagnie de consultance, professionnel du secteur financier (PSF) de support, chargé de l’information normative ou réglementaire, régulateur (acteur étatique et communal)

Intervenants

• André RIFAUT

Chef de Projet, CRP Henri Tudor

• Dieter DE SMET

Modules conceptuels (explications méthodologiques et théoriques) et pratiques (présentation de cas réels et exercices mise en application) Durée 2 jours

Tarif 865 € HT

Formation disponible en

NEW

(9)

71 Retrouvez le contenu détaillé de ces formations sur : www.sitec.lu/formation

Evaluation et reporting du système : - de gestion des risques

- de contrôle interne - d’audit interne

Evaluations sur base d’un référentiel permettant le pilotage des résultats de l’évaluation qui réunit les vues de l’auditeur, du contrôleur internes et du gestionnaire des risques.

Objectifs

• présenter les fondements de l’évaluation des processus et décrire son rôle dans les 3 contextes (gestion des risques, audit et contrôle interne)

• explorer la structure et l’organisation de modèles de processus respectant les exigences de la norme ISO/IEC 15504

• présenter les liens entre les composantes du COSO et les niveaux de maturité de la norme ISO/IEC 15504

• présenter des modèles d’évaluation de processus et du contrôle interne associé (par exemple : KYC, gestion des risques opérationnels, gestion de la continuité business)

• décrire les étapes de la démarche d’évaluation des processus et utiliser cette approche

• gérer une évaluation de processus (cycle) et du contrôle interne associé basée sur un modèle standard conforme au référentiel ISO/

IEC 15504 et aux circulaires CSSF pertinentes

• analyser les résultats de l’évaluation (analyse des risques et établissement des recommandations pour l’entreprise)

Points abordés

• contexte de l’évaluation de processus - terminologie liée à l’évaluation de processus

- introduction aux notions de modèle de référence de processus et de modèle d’évaluation de processus selon les exigences de la norme ISO/IEC 15504

- niveaux d’aptitude d’un processus et lien avec les composantes du COSO

- contexte d’une évaluation de processus

• évaluation des processus en situation - techniques d’entrevue

- collecte d’informations - conduite d’une évaluation - analyse des résultats

- préparation des résultats d’évaluation

• préparation de l’évaluation

- définition du champ et des données d’entrée de l’évaluation - préparation du plan d’évaluation

- préparation de l’évaluation avec l’équipe d’évaluation et sensibilisation préalable des participants

• gestion et suivi de l’évaluation

• analyse et reporting des résultats de l’évaluation - consolidation des résultats

- formalisation du rapport d’évaluation - présentation des résultats

• clôture de l’évaluation

- évaluation et mesure de l’atteinte des objectifs du processus d’évaluation

Note : Trois extensions spécifiques des modèles de référence présentés ici sont vues en détail dans des cours spécifiques adressés séparément aux auditeurs, contrôleurs internes et gestionnaires des risques.

Public

Gestionnaire des risques, auditeur interne, contrôleur interne, gestionnaire des risques opérationnels, responsable audit interne, auditeur de conformité, propriétaire et gestionnaire de processus, responsable d’activités, banque et institution financière, organisme de normalisation, association professionnelle financière, auditeur et compagnie de consultance, professionnel du secteur financier (PSF) de support, chargé de l’information normative ou réglementaire, régulateur (acteur étatique et communal)

Intervenants

• André RIFAUT

• Dieter DE SMET

• Michel PICARD

Modules conceptuels (explications méthodologiques et théoriques) et pratiques (présentation de cas réels et exercices de mise en application)

Durée 3 jours Tarif 1.125 € HT

Formation disponible en

NEW

(10)

72 Governance, risk, audit and compliance

Retrouvez le contenu détaillé de ces formations sur : www.sitec.lu/formation

La gestion des risques d’outsourcing en conformité aux exigences réglementaires

Objectifs

• proposer des moyens de définir le référentiel des risques et des moyens de vérifier l’adéquation de la gestion de ces risques mise en place par rapport aux objectifs de l’entreprise et aux attentes d’une tierce partie

• sensibiliser les participants à une démarche orientée processus pour la définition du référentiel de risques et de gestion des risques et du pilotage des risques (ainsi que de la confiance à accorder aux informations utilisées pour ce pilotage)

• présenter des modèles de gestion de risques (dont certains développés en coopération avec des professionnels de la Place)

Points abordés

• introduction

- risques typiques de la relation d’outsourcing

- composantes de la gestion des risques et du contrôle interne associé

- enjeux et cadre régulatoire de la gestion des risques d’outsourcing

- l’orientation processus du contrôle interne permettant une gestion efficace des risques d’outsourcing

• présentation concrète d’outils de gestion des risques d’outsourcing en conformité au cadre régulatoire des PSF/S (professionnel du secteur financier de support) qui se déclinent en

- un référentiel de gestion des risques conforme aux PSF/S - des activités typiques nécessaires à la gestion des risques - des templates de documents typiques à la gestion des risques - une cartographie typique des rôles et responsabilités de la

gestion des risques au sein de l’entité

- des templates de pilotage des risques d’outsourcing

- des outils logiciels simples adaptés à cette gestion des risques

• correspondance entre les outils présentés et risques typiques de la relation d’outsourcing (adaptés au contexte luxembourgeois des PSF/S)

• utilisation des outils présentés dans le cadre d’une évaluation indépendante de la gestion des risques

• liens entre les outils présentés et les contraintes réglementaires

(Circulaires CSSF) Public

CEO, CIO, Compliance Officer, Chief risk officer, Internal Auditors, Internal Controllers, gestionnaire des risques, gestionnaire des risques opérationnels, auditeur interne, responsable audit interne, auditeur de conformité, contrôleur interne, propriétaire et gestionnaire de processus, responsable d’activités, banque et institution financière, organisme de normalisation, association professionnelle financière, auditeur et compagnie de consultance, PSF/S, chargé de l’information normative ou réglementaire, régulateur (acteur étatique et communal)

Intervenants

• André RIFAUT

• Dieter DE SMET

Modules conceptuels (explications méthodologiques et théoriques) et pratiques (présentation de cas réels et exercices mise en application) Durée 1 jour

Tarif Nous contacter

Formation disponible en

NEW

(11)

73 Retrouvez le contenu détaillé de ces formations sur : www.sitec.lu/formation

Améliorez le processus de contrôle interne

Amélioration du pilotage des objectifs de contrôle interne sur base d’un référentiel standard d’objectifs de contrôles adapté à la Place luxembourgeoise.

Objectifs

• proposer des moyens de définir le référentiel de contrôle interne et des moyens de vérifier l’adéquation du contrôle interne mis en place par rapport aux objectifs de l’entreprise et aux attentes d’une tierce partie

• sensibiliser les participants à l’apport du standard ISO/IEC 15504 et à une démarche orientée processus pour l’évaluation et l’amélioration du contrôle interne

• présenter des modèles de contrôle interne (développés en coopération avec des professionnels de la Place)

• démontrer la pertinence des modèles d’évaluation présentés sur base d’un retour d’expérience

Points abordés

• introduction

- rappel : définition et composantes du contrôle interne (COSO 1 et 2, COBIT, etc.)

- enjeux et cadre régulatoire du contrôle interne - l’orientation processus du contrôle interne

• apports des standards pour l’évaluation et l’amélioration du contrôle interne

- définition d’un standard

- ISO/IEC 15504 : cadre de référence pour l’évaluation des processus (concepts fondamentaux)

- description des processus

- catégories d’assurance des processus et contrôle interne - évaluation du contrôle interne : approche, échelle de cotation,

reporting (profil de processus)

- ISO/IEC 15504 et les normes professionnelles

• présentation de modèles de référence du contrôle interne adaptés au contexte luxembourgeois

• modèles relatifs au processus Know Your Customer

• modèles relatifs à la gestion des risques opérationnels

• apports des modèles présentés sur base de retours d’expérience Note : Une application des modèles de référence présentés dans ce cours dans le but d’une évaluation des objectifs de contrôle interne des processus de l’entité est donnée dans le cours complémentaire

« Evaluation et reporting du système de contrôle interne »

Public

Contrôleur interne, propriétaire et gestionnaire de processus, responsable d’activités, gestionnaire des risques, gestionnaire des risques opérationnels, banque et institution financière, organisme de normalisation, association professionnelle financière, auditeur et compagnie de consultance, professionnel du secteur financier (PSF) de support, auditeur interne, responsable audit interne, auditeur de conformité, chargé de l’information normative ou réglementaire, régulateur (acteur étatique et communal)

Intervenants

• André RIFAUT

• Dieter DE SMET

Tarif 865 € HT

Formation disponible en

NEW

(12)

74 Governance, risk, audit and compliance

Retrouvez le contenu détaillé de ces formations sur : www.sitec.lu/formation

Améliorez l’audit interne (non-financier)

Amélioration du pilotage de l’audit interne sur base d’un référentiel standard d’objectifs de contrôles adapté à la Place luxembourgeoise.

Objectifs

• proposer des moyens de définir le référentiel d’audit interne et des moyens de vérifier l’adéquation des contrôles interne mis en place par rapport aux objectifs de l’entreprise et aux attentes d’une tierce partie

• sensibiliser les participants à l’apport du standard ISO/IEC 15504 et à une démarche orientée processus pour la définition du référentiel d’audit interne et du pilotage des tests et des recommandations

• présenter des modèles d’audit interne (développés en coopération avec des professionnels de la Place)

Points abordés

• introduction

- rappel : définition et composantes du contrôle interne (COSO 1 et 2, COBIT, etc.)

- enjeux et cadre régulatoire du contrôle interne - l’orientation processus du contrôle interne

- conformité des référentiels d’audit interne proposés en rapport aux standards internationaux d’audits

• apports des référentiels d’audit proposés pour l’amélioration des audits

- définition d’un standard

- ISO/IEC 15504 : cadre de référence pour l’évaluation des processus (concepts fondamentaux)

- description des processus

- catégories d’assurance des processus, contrôle interne et objectifs d’audits

- utilisations des référentiels proposés dans les pratiques professionnelles des auditeurs internes

• présentation de modèles de référence d’audit interne adaptés au contexte luxembourgeois

• modèles relatifs au processus Know Your Customer

• modèles relatifs à la gestion des risques opérationnels

• apports des modèles présentés sur base de retours d’expérience

Note : Une application des modèles de référence présentés dans ce cours dans le but d’une évaluation des objectifs d’audit interne des processus de l’entité est donnée dans le cours complémentaire

«Evaluation et reporting du système d’audit interne»

Public

Auditeur interne, responsable audit interne, auditeur de conformité, contrôleur interne, propriétaire et gestionnaire de processus, responsable d’activités, gestionnaire des risques, gestionnaire des risques opérationnels, banque et institution financière, organisme de normalisation, association professionnelle financière, auditeur et compagnie de consultance, professionnel du secteur financier (PSF) de support, chargé de l’information normative ou réglementaire, régulateur (acteur étatique et communal)

Intervenants

• André RIFAUT

• Dieter DE SMET

Tarif 865 € HT