Comment faire la revue du processus ITIL?

Qui peuvent être fournies par les équipes de processus métier qui utilisent le processus informatique
L'évaluateur doit identifier les principales exigences commerciales du processus, qui peuvent être fournies par les équipes de processus métier qui utilisent le processus informatique (par ex.

Tout processus informatique doit être revu en permanence afin d'identifier les lacunes et les pistes d'amélioration. Habituellement, les processus sont revus annuellement, selon les tâches de gestion déclenchées par trop de réponses négatives des utilisateurs, ou après l'audit externe (par exemple, un service financier a effectué un audit des actifs informatiques). Cet article vous aidera à effectuer une activité d'examen efficace et efficiente. Par exemple, après avoir été ajoutée au plan d'assurance de l'organisation, l'activité de revue du processus doit être effectuée par quelqu'un en dehors du processus en cours de revue sur la base des termes de référence ou des documents de portée des travaux.

Pas

  1. 1
    Définissez les entrées pour la révision. Les données d'entrée pour l'examen peuvent être le document déclencheur, comme un ordre de gestion supérieur, un exercice d'examen des termes de référence (par exemple, après avoir identifié des incohérences, la direction propose un exercice d'examen de la gestion des actifs) et la documentation actuelle du processus. En moyenne, la durée de l'examen est d'un à deux mois et effectuée par deux examinateurs. La consommation de ressources d'examen peut varier en fonction de la taille de l'entreprise et de la complexité des processus. Les examinateurs peuvent être des ressources internes (gestionnaires, analystes, etc.); cependant, l'utilisation de ressources externes pour l'examen peut être bénéfique, car elle apporte une vision sans préjugés sur le processus. Afin d'identifier les résultats, les objectifs et la portée de l'examen, le "Work package IT Process Review" le document peut être créé. Ce document peut inclure les paragraphes suivants:
    • Paragraphe «Affectation» qui décrit l'objectif, la justification, le thème, les ressources clés, les principales parties prenantes de l'examen.
    • «Calendrier» de l'examen (date de début et finalisation du projet, date du rapport d'examen final, dates limites de présentation finale).
    • La «portée» peut être décrite sous plusieurs angles: organisationnel, géographique, examen approfondi et étendu (ne couvrant que certaines des activités de processus ou des produits livrables), autres perspectives spéciales liées au processus particulier; Par exemple, pour la gestion des actifs, il peut s'agir des types d'actifs informatiques.
    • «Reporting» décrit quoi, quand et à qui signaler l'état de l'examen. Habituellement, l'examinateur doit rendre compte à la direction ou au personnel intéressé, par exemple le propriétaire du processus, le chef de projet du projet de développement des capacités) de l'état de l'examen chaque semaine ou quotidiennement. Le rapport peut avoir la structure suivante:
      • Activités effectuées cette semaine;
      • Activités prévues pour la semaine prochaine;
      • Des problèmes entravent l'examen (par exemple, la résistance à fournir ou aucune permission d'accéder aux informations nécessaires).
    • "Evidences". Il est également utile d'indiquer l'endroit où tous les fichiers liés à la révision doivent être stockés.
    • Les «principales activités» de l'examen doivent être décrites et ultérieurement incluses dans le plan d'examen.
    • Le paragraphe «Gestion des problèmes et escalade» doit guider comment maintenir le journal des problèmes et comment faire remonter les problèmes rencontrés pendant l'examen (par exemple, manque ou manque de collaboration, manque de temps, etc.)
    • «Produits» affichera la liste des résultats intermédiaires / de soutien (résultats, cycle de vie du produit, processus de référence de gestion), les résultats finaux (rapport d'examen, résumé d'examen ou stratégie d'amélioration des processus) et les approbations nécessaires des documents résultants.
  2. 2
    Établissez et exécutez le plan d'examen. À chaque fois, il est utile d'avoir un plan de révision afin de contrôler le rythme de la révision. Le plan de base peut comporter les activités suivantes:
  3. 3
    Identifiez les acteurs du processus. Les parties prenantes les plus courantes de tout processus sont (des plus importantes pour l'examen):
    • Propriétaire du processus;
    • Utilisateurs professionnels / utilisateurs externes (par exemple pour la gestion des actifs: représentants du département des finances et de l'audit);
    • Autres équipes de soutien aux activités (par exemple pour la gestion des actifs: logistique, dépositaires, etc.);
    • Chef d'équipe (gestionnaire de processus);
    • Fonctions informatiques (par exemple, pour la gestion des actifs: chefs de projet, titulaires de contrat, support sur site, centre de services, gestion de la technologie, utilisateurs finaux et gestion du changement, équipe de gestion de la configuration, gestion du changement, gestion des demandes, équipes de sécurité);
    • Les membres de l'équipe de processus (administrateurs / analystes de processus);
    • Des représentants des équipes de gouvernance et de contrôle des TI;
    • Des représentants d'autres équipes impliquées dans le processus;
    • Experts en la matière (en particulier d'anciens gestionnaires).
    Comparant les activités réelles du processus à la documentation du processus;
    Les constatations peuvent être identifiées en: comparant les activités réelles du processus à la documentation du processus;.
  4. 4
    Identifiez les exigences du processus. L'évaluateur doit identifier les principales exigences commerciales du processus, qui peuvent être fournies par les équipes de processus métier qui utilisent le processus informatique (par exemple, le service financier pour le processus de gestion des actifs), en fonction de la législation, de la politique commerciale, etc.
  5. 5
    Dessinez le flux de processus réel. Commencez à créer l'organigramme de processus de niveau 1 et 2 en fonction de la situation actuelle (y compris les entrées / sorties et les parties prenantes du processus) et créez le flux de travail du produit (par exemple, le cycle de vie de l'actif qui montre les propriétaires de l'actif pour le processus de gestion des actifs) afin l'image réelle du processus et de les utiliser comme références.
  6. 6
    Identifiez les contrôles de processus requis et analysez-les. Les contrôles de processus peuvent être extraits du cadre de contrôle (par exemple, dérivé de la norme ISO / CEI 27002 ou COBIT) et intégrés dans le flux de travail des processus / produits (par exemple, cycle de vie des actifs avec des contrôles de «propriété» pour le processus de gestion des actifs).
  7. 7
    Identifiez, classez les résultats, documentez-les et passez-les en revue avec les parties prenantes. Les résultats peuvent être identifiés par:
    • Comparer les activités réelles du processus à la documentation du processus;
    • Interviewer et analyser les activités réelles réalisées dans le cadre du processus.
    • Analyse de la qualité des données de processus (par exemple pour le processus de gestion des actifs et de la configuration: CMDB).
      • Les résultats courants sont:
        • Le modèle de processus / procédure et les instructions de travail sont disponibles mais incomplets, ne reflétant pas les exigences du processus et les activités réelles du processus.
        • Les rôles et responsabilités tout au long du cycle de vie ne sont pas clairement définis. De même, les responsabilités entre les équipes ne sont pas clairement définies et convenues.
        • La propriété n'est pas assurée tout au long du cycle de vie en termes de propriétaire formel et / ou de propriété physique.
        • Contrôles manquants et solutions à forte intensité de main-d'œuvre et contrôles manuels (feuilles Excel) ne sont pas garantis pour être à jour, cohérents et complets.
    • Analyse de la documentation des processus. L'une des étapes cruciales de l'examen est l'analyse de la documentation relative au processus qui comprend:
      • Cadre de politique;
      • Cadre de contrôle;
      • Modèle / procédures;
      • Instructions de travail;
      • KPI, rapports et journaux;
      • Aide-mémoire, formulaires et modèles;
      • Et ainsi de suite.
  8. 8
    Effectuer un entretien avec les parties prenantes du processus. Tout en identifiant les résultats, l'examinateur interroge les parties prenantes essayant de les couvrir tous. Afin de réussir l'entretien, préparez des questions avant l'entrevue en organisant des questions, par activités de processus, tâches ou résultats. N'oubliez pas de faire des MoM (procès-verbaux de réunions), surtout lorsqu'il est convenu de fournir les informations nécessaires à l'examen. Tous les résultats peuvent être confirmés ou affinés par les parties prenantes au cours de l'entrevue.
    Des métriques de processus sont nécessaires pour montrer l'état actuel du processus
    Des métriques de processus sont nécessaires pour montrer l'état actuel du processus et peuvent être demandées à l'équipe de processus (par ex.
  9. 9
    Capturez les métriques de processus. Les métriques de processus sont nécessaires pour montrer l'état actuel du processus et peuvent être demandées à l'équipe de processus (par exemple pour le processus de gestion des actifs: nombre d'actifs, nombre de changements par période, achats par période, nombre d'actifs par emplacement, type ou mouvements).
  10. 10
    Répondre aux recommandations. Chaque constatation peut avoir des solutions possibles qui peuvent être fournies par le réviseur, les principales étant:
    • Examiner, mettre à jour et convenir du modèle / de la procédure de processus et des instructions de travail, définir et convenir des rôles et des responsabilités.
    • Documentez et intégrez toutes les instructions de travail requises.
    • Définissez et intégrez les contrôles manquants. Assurez l'appropriation tout au long du cycle de vie en définissant et en intégrant des contrôles plus stricts.
    • Examiner et nettoyer les registres, les journaux et les bases de données pour refléter l'état actuel de l'entreprise.
    • Automatisation des processus.
    • Déléguez les tâches administratives entre les équipes en fonction des instructions mises à jour.
    • Formaliser les activités existantes et l'intégration avec d'autres processus.
  11. 11
    Dérivez les résultats de l'examen. Les extrants de l'examen du processus sont:
  12. 12
    Faites le journal des résultats. Toutes les erreurs de processus et les incohérences identifiées au cours de l'examen doivent être conservées dans un fichier spécial nommé Journal des résultats (pour plus de commodité, il est préférable d'utiliser une feuille Excel). Structure possible du fichier avec des colonnes comme suit:
      • Id - Identification unique de la découverte;
      • Court - titre abrégé de la constatation qui doit clairement énoncer le problème. Par exemple, pour la gestion d'actifs: le processus d'élimination d'un actif n'est pas défini;
      • Description - Description complète de la constatation, y compris les preuves et les faits connexes;
      • Étape du processus - Par exemple, pour la gestion des actifs: commander un actif, recevoir un actif, etc.
      • Parties prenantes - Parties prenantes impliquées dans la découverte;
      • Document - Documentation de processus connexe;
      • Impact - Impact pouvant affecter négativement l'entreprise: critique, majeur, moyen, mineur
      • Clarification de l'impact - Cette colonne doit prouver l'état de l'impact;
      • Suivi - Étapes nécessaires pour éliminer les résultats. Par exemple, établir le processus, mettre à jour le modèle de processus ou mettre à jour l'instruction de travail.
      • Lien vers les preuves - Toutes les constatations doivent être étayées par des preuves documentées pertinentes et appropriées. Par exemple, la documentation des processus, différentes bases de données (pour la gestion des actifs, il s'agit du registre des actifs), des formulaires remplis, des courriers électroniques ou un registre de formation.
  13. 13
    Préparez le rapport de revue de processus. Le résultat essentiel de la revue est le document de rapport de revue de processus dans le but de rendre compte de la revue de processus informatique effectuée dans une structure organisationnelle informatique. Le document final doit être revu et approuvé par le chef d'équipe (gestionnaire), le propriétaire du processus et le supérieur hiérarchique du propriétaire du processus. Étant donné que le document est lu par la direction, il doit être court (20 à 25 pages) et significatif autant que possible. Le document de révision a généralement la structure suivante:
      • Résumé. Brève description de l'objectif du document, des principales constatations et des principales recommandations. En tant que partie principale du document, il doit être concis (1 à 2 pages) et complet.
    • L'introduction doit inclure:
      • Le but et la portée (avec «hors de portée») de l'examen.
      • Public cible (p. Ex. Équipes de direction, équipes commerciales)
      • Délais
      • Principales activités menées pour l'examen.
    • Processus parties prenantes et contacts
    • Certaines informations statistiques sur un processus, y compris la source de l'information.
    • Liste des exigences clés pour le processus
    • Rapport d'une page sur la vérification physique si elle est effectuée, par exemple pour la gestion des actifs et de la configuration, il peut s'agir d'un audit, d'un examen physique ou d'un inventaire.
    • Les contrôles appliqués au processus:
      • Description du contrôle
      • Contrôle de l'état de l'appareil (par exemple, pour la gestion des actifs, un flux de propriété des actifs informatiques avec des contrôles de propriété peut être fourni
    • Vue de haut niveau (les résultats peuvent être regroupés en 7 à 10 résultats de haut niveau) sur les résultats, notamment:
        • Titre et brève description
        • Impacter
        • Description de l'impact
        • Solutions possibles
      • Relation entre les résultats et la portée de l'examen sous forme de tableau avec la liste des domaines sous forme de lignes et les résultats sous forme de colonnes avec des intersections colorées - couleur sombre pour une relation étroite, couleur claire pour une relation faible. Cela peut aider à visualiser les endroits «faibles» du processus.
      • Mesures proposées pour atténuer les risques et résoudre les constatations
      • Annexes
        • Documentation du processus
        • Liste des résultats (généralement un lien hypertexte vers les résultats Excel).
  14. 14
    Préparez un résumé de l'examen. Bien qu'il ne s'agisse pas d'un résultat obligatoire de l'examen, il peut s'agir du résumé de l'examen avec le contenu suivant:
    • Objectif et portée
    • Quelques chiffres
    • Exigences clés
    • Présentation de la vérification physique
    • Les contrôles
    • Vue d'ensemble des résultats
    • Relation entre les constatations et la portée de l'examen
    • Autres étapes à faire.
    Étendu (ne couvrant que certaines des activités de processus ou des produits livrables)
    La «portée» peut être décrite sous plusieurs angles: organisationnel, géographique, examen approfondi et étendu (ne couvrant que certaines des activités de processus ou des produits livrables), autres perspectives spéciales liées au processus particulier; par exemple
  15. 15
    Présentez la critique. Un autre résultat de la revue peut être la présentation de la stratégie d'amélioration des processus destinée aux utilisateurs des processus de gestion et d'entreprise. Ce document peut inclure:
    • Principaux problèmes identifiés et solutions possibles;
    • Processus actuel vs processus amélioré (la description des changements dans le flux de processus nécessitait une amélioration);
    • Plan de haut niveau pour mettre en œuvre les améliorations.
  16. 16
    Traitez les problèmes après l'examen. Une fois le rapport d'examen des processus approuvé par l'équipe de direction de l'organisation, tous les problèmes identifiés sont généralement ajoutés en tant que risques dans le plan d'atténuation des risques de l'organisation. Suivez-les jusqu'à ce qu'ils soient complètement éliminés.
Avertissement légal Le contenu de cet article est pour votre information générale et n'est pas destiné à se substituer à des conseils professionnels en droit ou en finance. De plus, il n'est pas destiné à être utilisé par les utilisateurs pour prendre des décisions d'investissement.
FacebookTwitterInstagramPinterestLinkedInGoogle+YoutubeRedditDribbbleBehanceGithubCodePenWhatsappEmail