Bienvenue sur mon blog

Vedette

Étiquettes

, , , , , , ,

Résilience : ce terme, appartenant au vocabulaire de la physique, s’emploie initialement pour exprimer la résistance aux chocs des matériaux.
Il fut ensuite utilisé en psychologie afin de préciser l’aptitude d’un être à affronter un stress intense et à s’y adapter.
Citons quelques synonymes de ce terme se rapprochant de notre propos : cohésion, homogénéité, robustesse, solidité, sûreté.
La résilience, nouveau mot à la mode dans les contextes actuels de crise et dans les années à venir, résumant l’agilité nécessaire à tout type d’organisation afin de « survivre » maintenant et dans le futur.
Afin d’éviter toute erreur d’interprétation, ceci n’exprime pas l’idée de revenir à une situation identique (comme résultante d’un Plan de Continuation de l’Activité), mais d’apporter une « assurance » évolutive et permanente des éléments composant, au sens large, tout système de contrôle interne, en corrélation avec la gestion des risques, et l’adaptation des objectifs stratégiques d’une organisation.

Quelle est la nécessité d’élaborer un blog à propos du contrôle interne, qu’une forte majorité de non-praticien considère comme une simple conformité réglementaire ou, dans de petites entités, comme inutile et coûteux?
Si vous consultez Internet à ce sujet, vous constaterez l’existence de peu de blogs traitant de ce sujet. Quelques uns ont pour auteurs des cabinets d’expertise comptable, d’autres émanent de professionnels (secteurs public et marchand).
Ces derniers sont tombés en désuétude par abandon par leurs auteurs.
C’est pour cela que l’expérience est tentée.

Les principaux objectifs de ce blog sont :
– de démystifier les concepts, de démontrer les processus de mise en oeuvre opérationnelle et les « passerelles » menant à la finalité d’un tel système : l’aide au décisionnel.
– d’apporter une vision dynamique et « agile » de l’implantation et de l’évolution
permanente de tout système de contrôle interne.
– de mettre en avant les similitudes, mais aussi les spécificités, entre secteur
« marchand » (privé) et secteur public.
– de mettre en exergue et de montrer les similitudes, mais également les complémentarités, entre le Contrôle permanent et la Qualité.
– d’entamer une réflexion, sous forme de recherche et développement (R&D), des évolutions de la fonction « Contrôle Interne » en tant que telle, mais aussi par rapport aux fonctions de Management des risques, de Conformité (incluant un nouveau phénomène : la protection des données), l’audit interne et la gouvernance.

Cette réflexion est déjà entamée, à l’aide d’une application de curation de contenu, depuis novembre 2011, consultable à l’aide de l’url : http://www.scoop.it/t/recherche-et-developpementcontrole-interne-r-d.
Il serait intéressant qu’un échange interactif de points de vue s’effectue ultérieurement (en premier sur ce blog et en second par l’utilisation de l’url déjà citée).

Enfin, un concept innovant, qui fera l’objet de posts ultérieurs, pourrait permettre au contrôle interne de participer plus amplement à la création de valeur et à l’amélioration de la performance : risques maîtrisés = opportunités.
Le contrôle interne est l’un des moyens de maîtrise des risques. Il offre également la possibilité d’identifier des gisements de valeur au travers de l’utilisation de constats objectifs ressortants du fonctionnement de l’entreprise.
Couplés à une réelle maîtrise de l’information, ceci améliorera de manière significative la prise de décision.

En espérant que les thèmes et les sujets, qui seront traités, participent au Knowledge-Management (KM) que vous recherchez, je vous souhaite une bonne lecture.

En passant

Cybercriminalité, la confiance dans l’écosystème numérique au bord de la rupture

Étiquettes

, , , , , , , , , ,

paris-2048869_1280

Même si les dégâts de l’attaque informatique mondiale WannaCry semblent pour le moment mesurés, toute la confiance en un écosystème est remise en cause. En savoir plus sur https://www.lesechos.fr/idees-debats/cercle/cercle-170436-cybercriminalite-la-confiance-dans-lecosysteme-numerique-au-bord-de-la-rupture-2089792.php#jMTKM5srChkSucMm.99

LE CERCLE/POINT DE VUE – via Cybercriminalité, la confiance dans l’écosystème numérique au bord de la rupture — La cybercriminalité

En passant

Un centre d’entraînement forme les entreprises à la cyberdéfense

Étiquettes

, , , , , , , , , , , , , , , , , ,

training-1848689_1280

A Paris, la société Bluecyforce propose aux entreprises des formations à la cyberdéfense pour les aider à combattre les cyberattaques par des exercices pratiques de gestion de crise. http://www.atelier.net/trends/articles/un-centre-entrainement-forme-entreprises-cyberdefense_445819

via Un centre d’entraînement forme les entreprises à la cyberdéfense — La cybercriminalité

 

A consulter également :

Trop de données « concurrentielles » en libre accès dans les entreprisesTrop de données « concurrentielles » en libre accès dans les entreprises

WannaCry : « essentiel de se mette en ordre de bataille, collectivement » pour l’Anssi

Cybercriminalité : l’insuffisante prise de conscience des pouvoirs publics

La traque des pirates de la cyberattaque mondiale commence

En passant

Embedding risk into strategic planning and more

Étiquettes

, , , , , , , , , , ,

management-2161504_1280

It is easy to say that risk management should be embedded into business processes such as strategic planning. But is it that easy to accomplish in practice? I think it’s fair to say that in most organizations they are quite separate. I would also say that many times risk management focuses on harms and strategy […]

via Embedding risk into strategic planning and more — Norman Marks on Governance, Risk Management, and Audit

En passant

Are your internal auditors present?

Étiquettes

, , , , , ,

personal-365964_1280

If you want the internal audit team to address the risks that matter to the success of the organization, they have to know what they are. I addressed this in detail in Auditing that matters. In the section on Being Present, I said: Some internal audit departments live in an ivory tower, part of a […]

via Are your internal auditors present? — Norman Marks on Governance, Risk Management, and Audit

En passant

Incendie dans le datacenter : histoires vraies de PRA(*) qui s’envolent en fumée

Étiquettes

, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

computer-161933_1280.png

(∗) PRA :  procédures de reprise d’activité.

La réponse à incident n’est plus

une option, c’est un impératif!

 

Cela a commencé par une alarme et s’est terminé en catastrophe : un incendie dans le datacenter a failli détruire toute une entreprise. Au bout du compte, la faiblesse de la conception et de mauvais choix budgétaires étaient en cause. http://www.lemagit.fr/etude/Incendie-dans-le-D∗atacenter-histoires-vraies-de-PRA-qui-senvolent-en-fumee

via Incendie dans le datacenter : histoires vraies de PRA qui s’envolent en fumée — La cybercriminalité

Les compétences et le rôle du data analyst, scientist, engineer et architecte data science

Étiquettes

, , , , , , , , , , , , , , , , , , , , , , , , ,

database-1954920_1280

Ingénieur Data ou Scientifique Data ?

Il ne s’agit pas que d’un principe terminologique. La question se pose entre la nécessité de faire appel à un ingénieur data ou un scientifique data. Ou mieux encore entre un scientifique data et un statisticien data ?

Voici l’une des principales différences:

  • ETL (Extract / Load / Transform) est destiné aux ingénieurs de données, ou parfois des architectes de données ou DBA
  • DAD (Discover / Access / Distiller) est pour les scientifiques de données.

Parfois, les ingénieurs de données sont DAD, parfois les scientifiques de données sont ETL, mais c’est assez rare, et quand ils le sont, c’est purement interne (l’ingénieur de données faisant un peu d’analyse statistique pour optimiser certains processus de base de données, le scientifique de données faisant un peu de gestion de base de données pour gérer une petite base locale de données privée d’info résumée (non utilisé en mode habituelle de production, mais il y a des exceptions).

Laissez-moi vous expliquer ce que signifie DAD http://www.datasciencecentral.com/profiles/blogs/difference-between-data-engineers-and-data-scientists

L’extrait ci-dessus provient de mon billet du 30 janvier 2017 intitulé Big Data : nouvelle méthode marketing, nouvel or noir ou nouvelle approche des marchés et des projets ?  Big Data : nouvelle méthode marketing, nouvel or noir ou nouvelle approche des marchés et des projets ?

Pouvoir assurer sa gouvernance de la qualité de ses données, lui apporter la quiétude de l’existence d’une gestion des risques en adéquation avec son appétence aux risques, complétée par un système de contrôle interne efficient et efficace incluant une gestion pertinente de la conformité, impliquent que ces intervenants connaissent les rôles d’une team data et les compétences requises pour exercer ces nouveaux métiers.

Ce commentaire est encore plus fondé en termes de contrôle périodique, à savoir l’audit interne.

 

C’est pour ces motifs que je vous invite à prendre connaissance du billet cité ci-après.

Data scientist et data analyst sont sans doute les métiers les plus emblématiques du champ d’expertise « data ». Pour autant, il n’est pas toujours simple de comprendre les différences entre ces deux professionnels – et ne parler que de ces deux métiers est fortement réducteur. Pour mieux comprendre la typologie des métiers de la […]

via Les compétences et le rôle du data analyst, scientist, engineer et architecte data science — La cybercriminalité

 

Trop de données « concurrentielles » en libre accès dans les entreprises

Étiquettes

, , , , , , , , , , , , , , ,

board-2007351_1280

L’accent est souvent mis sur la protection et la sécurité vis-à-vis de l’extérieur, mais nous oublions parfois de sécuriser convenablement en interne les données et les informations sous supports numériques comme sur supports papiers.

Sont principalement concernés les informations numériques et les documents (informatisés ou non) traitant :

  1. de la stratégie.
  2. de la propriété intellectuelle.
  3. des finances.
  4. des projets transversaux incluant des parties prenantes.

Les principales causes de cette situation :

  1. une absence de catégorisation et de classification des informations (très sensibles ou privilégiées et à haute confidentialité, sensibles ou confidentielles,…, informations publiques).
  2. une réflexion lacunaire ou partielle à propos du cycle de vie des informations.
  3. une inadéquation entre fonctions/tâches à accomplir et droits d’accès aux informations nécessaires.
  4. une codification des documents non adaptée.
  5. une mauvaise gestion des habilitations et des droits d’accès (numériques, mais aussi support papier).
  6. une analyse non approfondie des incidents d’accès relevés.

A l’heure où toutes les entreprises ont bien conscience qu’elles ne doivent rien laisser filtrer de leurs données confidentielles vers l’extérieur, elles oublient parfois qu’en interne, des menaces aussi pèsent sur elles. En effet, il est primordial de restreindre l’accès à certaines données à un nombre réellement réduit de personnes. https://www.informanews.net/donnees-libre-acces-entreprises/

via Trop de données « concurrentielles » en libre accès dans les entreprises — La cybercriminalité

En passant

Crypto-monnaie: prenez garde aux pyramides de Ponzi !!! [UR Coin]

Étiquettes

, , , , , , , , , , , ,

Le nombre de nouvelles crypto-monnaies ne cesse d’augmenter. Mais avant de vous lancer tête baissée sur ces monnaies virtuelles, commencez déjà par vous renseigner attentivement sur les caractéristiques de l’organisation qui en est à l’origine. En effet, leur business repose peut-être sur la vente pyramidale. J’étais […]

via Finnobuzz  Crypto-monnaie: prenez garde aux pyramides de Ponzi !!! [UR Coin] — Finobuzz

En passant

WannaCry : « essentiel de se mette en ordre de bataille, collectivement » pour l’Anssi

Étiquettes

, , , , , , , , , , , , , , , , , , , , , ,

cyber-security-2296269_1280

WannaCry ou WannaCrypt illustre une fois encore les mauvaises habitudes des organisations en matière de sécurité. Guillaume Poupard de l’Anssi aimerait croire à un sursaut et de préférence avant les prochaines répliques de l’attaque. http://www.zdnet.fr/actualites/wannacry-essentiel-de-se-mette-en-ordre-de-bataille-collectivement-pour-l-anssi-39852482.htm

via WannaCry : “essentiel de se mettre en ordre de bataille, collectivement” pour l’Anssi — La cybercriminalité

 

A consulter également :

Cyberattaques : une montée en puissance depuis dix ans

Cybercriminalité : l’insuffisante prise de conscience des pouvoirs publics

Une autre cyberattaque de grande ampleur en cours

La propagation du virus informatique qui a touché plus de 70 pays quasi stoppée

 

En passant

La culture du risque constitue-t-elle un risque majeur pour l’entreprise ?

Étiquettes

, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Gérer les risques

Riks – Risk-Management – Entreprise

Récemment, Jeff Bezos, le fondateur d’Amazon a adressé une lettre à ses actionnaires pour proclamer son amour du risque : « Nous voulons être une grande entreprise qui soit aussi une machine à invention ». Il y explique qu’il faut « faire des paris ambitieux, quitte à se planter ».

Cette prise de position n’est pas seulement une opération de communication vers les marchés. « Le message, c’est que le risque est gagnant », souligne Benoît Flamant, de Fourpoints IM. C’est également une façon de rappeler que « ceux qui ne partagent pas cette culture ne sont pas obligés de rester ».

  1. Mais qu’est-ce que la culture du risque ?
  2. Pourquoi développer une culture du risque ?
  3. S’affranchir du « culte du Cargo » pour incarner la culture

Lire la suite