Cadre de Référence Objectifs de Contrôle Guide de Management

C BIT

OC BITO 4.1

C a d r e d e R f r e n c e

O b j e c t i f s d e C o n t r l e

G u i d e d e M a n a g e m e n t

M o d l e s d e M a t u r i t

COBIT4.1 L'IT Governance Institute L'IT Governance Institute (ITGI, www.itgi.org) a t cr en 1998 pour faire progresser la rflexion et les standards internationaux qui se rapportent la gestion et au contrle des systmes dinformation (SI) dans les entreprises. Une gouvernance efficace des SI doit permettre de sassurer que celles-ci vont dans le sens des objectifs de l'entreprise, quelles permettent doptimiser les investissements informatiques et de grer comme il convient les risques et les opportunits lis leur existence. LIT Governance Institute met la disposition des dirigeants dentreprises et des conseils dadministration des travaux de recherche originaux, des ressources en ligne et des tudes de cas pour les aider faire face leurs responsabilits dans le domaine de la gouvernance des SI.

Avertissement LIT Governance Institute (le Propritaire ) a conu et rdig ce document, intitul COBIT V 4.1 (l uvre ), essentiellement comme une ressource pdagogique pour les directeurs de linformation, les directions gnrales, les professionnels de la gestion des SI et du contrle. Le Propritaire ne garantit pas que lutilisation dune partie quelconque de luvre produira de faon certaine un rsultat positif. On ne doit pas considrer priori que luvre contient toutes les informations, les procdures et les tests ncessaires, ni quelle exclut le recours dautres informations, procdures ou tests qui visent raisonnablement produire des rsultats semblables. Pour dterminer si une information, une procdure ou un test spcifique est appropri, les directeurs des systmes dinformation, les directions gnrales, les professionnels de la gestion des SI et du contrle doivent appliquer leur propre jugement aux circonstances particulires qui se prsentent dans leurs environnements informationnels et technologiques spcifiques.

Droits de proprit Diffusion et Copyright 2007 IT Governance Institute. Tous droits rservs. Il est interdit d'utiliser, copier, reproduire, modifier, diffuser, prsenter, archiver ou transmettre par quelque moyen que ce soit (lectronique, mcanique, photocopie, enregistrement ou autre) une partie quelconque de cette publication sans l'autorisation crite pralable de lIT Governance Institute. La reproduction de passages de cette publication, pour un usage exclusivement interne et non commercial ou dans un but pdagogique est autorise, sous rserve que la source soit mentionne avec prcision. Aucun autre droit et aucune autre autorisation ne sont accords pour cette uvre

.

IT Governance Institute AFAI 3701 Algonquin Road, Suite 1010 Association Franaise de l'Audit et du Conseil Informatiques Rolling Meadows, IL 60008 tats-Unis 171 bis, avenue Charles de Gaulle Tl :+1.847.590.7491 92200 NEUILLY sur SEINE (France) Fax :+1.847.253.1443 Tl. 33 (0)1 40 88 10 44 E-mail:[email protected] E-Mail : [email protected] Sites Internet : www.itgi.org Site Internet : www.afai.fr ISBN 1-933284-72-2 ISBN 2-915007-09-8

2008 AFAI. Tous droits rservs. www.afai.fr

http:www.afai.frhttp:www.itgi.org

COBIT4.1

Translated into French language from the English language version of COBIT : Control Objectives for Information and related technology 4.1th Edition by AFAI the French Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the IT Governance Institute and the Information Systems Audit and Control Foundation. AFAI assumes sole responsibility for the accuracy and faithfulness of the translation.

Traduction franaise de COBIT : Objectifs de contrle de l'Information et des technologies associes dition 4.1, ralise par lAFAI, chapitre franais de lInformation Systems Audit and Control Association (ISACA), avec lautorisation de lIT Governance Institute et de la Information Systems Audit and Control Foundation. LAFAI est seule responsable de lexactitude et de la fidlit de la traduction.

Copyright 1996, 1998, 2000, 2005, 2007 Information Systems Audit and Control Foundation, Inc. & IT Governance Institute, Rolling Meadows, Illinois, USA. All rights reserved. No part of this publication may be reproduced in any form without the written permission of the IT Governance Institute.

Copyright 1996, 1998, 2000, 2005, 2007 Information Systems Audit and Control Foundation, Inc. & IT Governance Institute, Rolling Meadows, Illinois, USA. Tous droits rservs. Reproduction mme partielle interdite sans lautorisation crite de lIT Governance Institute.

Copyright 2000, 2002, 2006, 2008 AFAI. Tous droits rservs. Reproduction mme partielle interdite sans lautorisation crite du Conseil dAdministration de lAFAI.

REMERCIEMENTS

Ldition franaise de COBIT 4.1 est l'uvre de la Commission COBIT de l'AFAI prside par Jean-Louis BLEICHER, Administrateur de lAFAI, Banque Fdrale des Banques Populaires.


http:www.afai.fr

COBIT4.1

Page volontairement laisse blanche


http:www.afai.fr

COBIT4.1

REMERCIEMENTS

LIT Governance Institute tient remercier : Les experts, les ralisateurs et les rviseurs Mark Adler, CISA, CISM, CIA, CISSP, Allstate Ins. Co., USA Peter Andrews, CISA, CITP, MCMI, PJA Consulting, UK Georges Ataya, CISA, CISM, CISSP, MSCS, PBA, Solvay Business School, Belgium Gary Austin, CISA, CIA, CISSP, CGFM, KPMG LLP, USA Gary S. Baker, CA, Deloitte & Touche, Canada David H. Barnett, CISM, CISSP, Applera Corp., USA Christine Bellino, CPA, CITP, Jefferson Wells, USA John W. Beveridge, CISA, CISM, CFE, CGFM, CQA, Massachusetts Office of the State Auditor, USA Alan Boardman, CISA, CISM, CA, CISSP, Fox IT, UK David Bonewell, CISA, CISSP-ISSEP, Accomac Consulting LLC, USA Dirk Bruyndonckx, CISA, CISM, KPMG Advisory, Belgium Don Canilglia, CISA, CISM, USA Luis A. Capua, CISM, Sindicatura General de la Nacin, Argentina Boyd Carter, PMP, Elegantsolutions.ca, Canada Dan Casciano, CISA, Ernst & Young LLP, USA Sean V. Casey, CISA, CPA, USA Sushil Chatterji, Edutech, Singapore Ed Chavennes, Ernst & Young LLP, USA Christina Cheng, CISA, CISSP, SSCP, Deloitte & Touche LLP, USA Dharmesh Choksey, CISA, CPA, CISSP, PMP, KPMG LLP, USA Jeffrey D. Custer, CISA, CPA, CIA, Ernst & Young LLP, USA Beverly G. Davis, CISA, Federal Home Loan Bank of San Francisco, USA Peter De Bruyne, CISA, Banksys, Belgium Steven De Haes, University of Antwerp Management School, Belgium Peter De Koninck, CISA, CFSA, CIA, SWIFT SC, Belgium Philip De Picker, CISA, MCA, National Bank of Belgium, Belgium Kimberly de Vries, CISA, PMP, Zurich Financial Services, USA Roger S. Debreceny, Ph.D., FCPA, University of Hawaii, USA Zama Dlamini, Deloitte & Touche LLP, South Africa Rupert Dodds, CISA, CISM, FCA, KPMG, New Zealand Troy DuMoulin, Pink Elephant, Canada Bill A. Durrand, CISA, CISM, CA, Ernst & Young LLP, Canada Justus Ekeigwe, CISA, MBCS, Deloitte & Touche LLP, USA Rafael Eduardo Fabius, CISA, Republica AFAP S.A., Uruguay Urs Fischer, CISA, CIA, CPA (Swiss), Swiss Life, Switzerland Christopher Fox, ACA, PricewaterhouseCoopers, USA Bob Frelinger, CISA, Sun Microsystems Inc., USA Zhiwei Fu, Ph. D, Fannie Mae, USA Monique Garsoux, Dexia Bank, Belgium Edson Gin, CISA, CFE, SSCP, USA Sauvik Ghosh, CISA, CIA, CISSP, CPA, Ernst & Young LLP, USA Guy Groner, CISA, CIA, CISSP, USA Erik Guldentops, CISA, CISM, University of Antwerp Management School, Belgium Gary Hardy, IT Winners, South Africa Jimmy Heschl, CISA, CISM, KPMG, Austria Benjamin K. Hsaio, CISA, Federal Deposit Insurance Corp., USA Tom Hughes, Acumen Alliance, Australia Monica Jain, CSQA, Covansys Corp., US Wayne D. Jones, CISA, Australian National Audit Office, Australia John A. Kay, CISA, USA Lisa Kinyon, CISA, Countrywide, USA Rodney Kocot, Systems Control and Security Inc., USA Luc Kordel, CISA, CISM, CISSP, CIA, RE, RFA, Dexia Bank, Belgium Linda Kostic, CISA, CPA, USA John W. Lainhart IV, CISA, CISM, IBM, USA Philip Le Grand, Capita Education Services, UK. Elsa K. Lee, CISA, CISM, CSQA, AdvanSoft International Inc., USA Kenny K. Lee, CISA, CISSP, Countrywide SMART Governance, USA Debbie Lew, CISA, Ernst & Young LLP, USA

2008 AFAI. Tous droits rservs. www.afai.fr 1

http:www.afai.frhttp:Elegantsolutions.ca

COBIT4.1

REMERCIEMENTS (SUITE)

Donald Lorete, CPA, Deloitte & Touche LLP, USA Addie C.P. Lui, MCSA, MCSE, First Hawaiian Bank, USA Debra Mallette, CISA, CSSBB, Kaiser Permanente, USA Charles Mansour, CISA, Charles Mansour Audit & Risk Service, UK Mario Micallef, CPAA, FIA, National Australia Bank Group, Australia Niels Thor Mikkelsen, CISA, CIA, Danske Bank, Denmark John Mitchell, CISA, CFE, CITP, FBCS, FIIA, MIIA, QiCA, LHS Business Control, UK Anita Montgomery, CISA, CIA, Countrywide, USA Karl Muise, CISA, City National Bank, USA Jay S. Munnelly, CISA, CIA, CGFM, Federal Deposit Insurance Corp., USA Sang Nguyen, CISA, CISSP, MCSE, Nova Southeastern University, USA Ed ODonnell, Ph.D., CPA, University of Kansas, USA Sue Owen, Department of Veterans Affairs, Australia Robert G. Parker, CISA, CA, CMC, FCA, Robert G. Parker Consulting, Canada Robert Payne, Trencor Services (Pty) Ltd., South Africa Thomas Phelps IV, CISA, PricewaterhouseCoopers LLP, USA Vitor Prisca, CISM, Novabase, Portugal Martin Rosenberg, Ph.D., IT Business Management, UK Claus Rosenquist, CISA, TrygVesata, Denmark Jaco Sadie, Sasol, South Africa Max Shanahan, CISA, FCPA, Max Shanahan & Associates, Australia Craig W. Silverthorne, CISA, CISM, CPA, IBM Business Consulting Services, USA Chad Smith, Great-West Life, Canada Roger Southgate, CISA, CISM, FCCA, CubeIT Management Ltd., UK Paula Spinner, CSC, USA Mark Stanley, CISA, Toyota Financial Services, USA Dirk E. Steuperaert, CISA, PricewaterhouseCoopers, Belgium Robert E. Stroud, CA Inc., USA Scott L. Summers, Ph.D., Brigham Young University, USA Lance M. Turcato, CISA, CISM, CPA, City of Phoenix IT Audit Division, USA Wim Van Grembergen, Ph.D., University of Antwerp Management School, Belgium Johan Van Grieken, CISA, Deloitte, Belgium Greet Volders, Voquals NV, Belgium Thomas M. Wagner, Gartner Inc., USA Robert M. Walters, CISA, CPA, CGA, Office of the Comptroller General, Canada Freddy Withagels, CISA, Capgemini, Belgium Tom Wong, CISA, CIA, CMA, Ernst & Young LLP, Canada Amanda Xu, CISA, PMP, KPMG LLP, USA

Le Conseil dAdministration de lITGI Everett C. Johnson, CPA, Deloitte & Touche LLP (retired), USA, International President Georges Ataya, CISA, CISM, CISSP, Solvay Business School, Belgium, Vice President William C. Boni, CISM, Motorola, USA, Vice President Avinash Kadam, CISA, CISM, CISSP, CBCP, GSEC, GCIH, Miel e-Security Pvt. Ltd., India, Vice President Jean-Louis Leignel, MAGE Conseil, France, Vice President Lucio Augusto Molina Focazzio, CISA, Colombia, Vice President Howard Nicholson, CISA, City of Salisbury, Australia, Vice President Frank Yam, CISA, FHKIoD, FHKCS, FFA, CIA, CFE, CCP, CFSA, Focus Strategic Group, Hong Kong, Vice President Marios Damianides, CISA, CISM, CA, CPA, Ernst & Young LLP, USA, Past International President Robert S. Roussey, CPA, University of Southern California, USA, Past International President Ronald Saull, CSP, Great-West Life and IGM Financial, Canada, Trustee

Le Comit IT Governance Tony Hayes, FCPA, Queensland Government, Australia, Chair Max Blecher, Virtual Alliance, South Africa Sushil Chatterji, Edutech, Singapore Anil Jogani, CISA, FCA, Tally Solutions Limited, UK John W. Lainhart IV, CISA, CISM, IBM, USA Rmulo Lomparte, CISA, Banco de Crdito BCP, Peru Michael Schirmbrand, Ph.D., CISA, CISM, CPA, KPMG LLP, Austria Ronald Saull, CSP, Great-West Life Assurance and IGM Financial, Canada


http:www.afai.fr

COBIT4.1 Le Comit de pilotage COBIT Roger Debreceny, Ph.D., FCPA, University of Hawaii, USA, Chair Gary S. Baker, CA, Deloitte & Touche, Canada Dan Casciano, CISA, Ernst & Young LLP, USA Steven De Haes, University of Antwerp Management School, Belgium Peter De Koninck, CISA, CFSA, CIA, SWIFT SC, Belgium Rafael Eduardo Fabius, CISA, Repblica AFAP SA, Uruguay Urs Fischer, CISA, CIA, CPA (Swiss), Swiss Life, Switzerland Erik Guldentops, CISA, CISM, University of Antwerp Management School, Belgium Gary Hardy, IT Winners, South Africa Jimmy Heschl, CISA, CISM, KPMG, Austria Debbie A. Lew, CISA, Ernst & Young LLP, USA Maxwell J. Shanahan, CISA, FCPA, Max Shanahan & Associates, Australia Dirk Steuperaert, CISA, PricewaterhouseCoopers LLC, Belgium Robert E. Stroud, CA Inc., USA

Les conseillers de lITGI Ronald Saull, CSP, Great-West Life Assurance and IGM Financial, Canada, Chair Roland Bader, F. Hoffmann-La Roche AG, Switzerland Linda Betz, IBM Corporation, USA Jean-Pierre Corniou, Renault, France Rob Clyde, CISM, Symantec, USA Richard Granger, NHS Connecting for Health, UK Howard Schmidt, CISM, R&H Security Consulting LLC, USA Alex Siow Yuen Khong, StarHub Ltd., Singapore Amit Yoran, Yoran Associates, USA

Les sponsors et membres affilis de lITGI ISACA chapters American Institute for Certified Public Accountants ASIS International The Center for Internet Security Commonwealth Association of Corporate Governance FIDA Inform Information Security Forum The Information Systems Security Association Institut de la Gouvernance des Systmes dInformation Institute of Management Accountants ISACA ITGI Japan Solvay Business School University of Antwerp Management School Aldion Consulting Pte. Lte. CA Hewlett-Packard IBM LogLogic Inc. Phoenix Business and Systems Process Inc. Symantec Corporation Wolcott Group LLC World Pass IT Solutions


http:www.afai.fr

COBIT4.1 TABLE DES MATIRES

SYNTHSE ........................................................................................................................................................................5

CADRE DE RFRENCE COBIT .........................................................................................................................................9

PLANIFIER ET ORGANISER .............................................................................................................................................29

ACQURIR ET IMPLMENTER .........................................................................................................................................73

DLIVRER ET SUPPORTER ............................................................................................................................................101

SURVEILLER ET EVALUER ...........................................................................................................................................153

ANNEXE I LIENS ENTRE OBJECTIFS ET PROCESSUS ...................................................................................................169

ANNEXE II LIENS ENTRE LES PROCESSUS INFORMATIQUES ET LES DOMAINES DE LA GOUVERNANCE DES SI, LE COSO, LES RESSOURCES INFORMATIQUES COBIT ET LES CRITRES DINFORMATION COBIT ................................173

ANNEXE III MODLES DE MATURIT POUR LE CONTRLE INTERNE. ........................................................................175

ANNEXE IV - DOCUMENTS DE RFRENCE DE COBIT 4.1 ............................................................................................177

ANNEXE V TABLEAU DES CORRESPONDANCES ENTRE COBIT 3E DITION ET COBIT 4.1 ..........................................179

ANNEXE VI APPROCHE RECHERCHE ET DVELOPPEMENT ........................................................................................187

ANNEXE VII GLOSSAIRE ..........................................................................................................................................189

ANNEXE VIII COBIT ET PRODUITS DE LA FAMILLE COBIT .....................................................................................195


http:www.afai.fr

SY

NT

H

SE

SYNTHSE

SYNTHSE SYNTHSE

Pour beaucoup d'entreprises, l'information et la technologie sur laquelle elle s'appuie constituent les actifs les plus prcieux, mme si elles sont souvent les moins bien perues. Les entreprises qui russissent connaissent les avantages des technologies de l'information et les utilisent pour apporter de la valeur leurs parties prenantes. Ces entreprises comprennent et grent aussi les contraintes et les risques connexes, comme l'obligation de se soumettre des rgles de conformit de plus en plus contraignantes et la dpendance de plus en plus forte de nombreux processus mtiers vis--vis des systmes d'information (SI).

Le besoin de s'assurer de la valeur des SI, la gestion des risques qui leur sont lis et les exigences croissantes de contrle sur l'information sont dsormais reconnus comme des lments cls de la gouvernance d'entreprise. Valeur, risque et contrle constituent le cur de la gouvernance des SI.

La gouvernance des SI est de la responsabilit des dirigeants et du conseil d'administration, et elle est constitue des structures et processus de commandement et de fonctionnement qui conduisent l'informatique de l'entreprise soutenir les stratgies et les objectifs de l'entreprise, et lui permettre de les largir.

De plus, la gouvernance des SI intgre et institutionnalise les bonnes pratiques pour s'assurer qu'elles soutiennent la mise en uvre des objectifs mtiers. La gouvernance des SI permet l'entreprise de tirer pleinement profit de ses donnes, maximisant ainsi ses bnfices, capitalisant sur les opportunits qui se prsentent et gagnant un avantage concurrentiel. Pour y parvenir, il convient d'utiliser un rfrentiel pour le contrle des SI qui adopte les principes du Committee of Sponsoring Organisations of the Treadway Commission (COSO) Internal Control-Integrated Framework, rfrentiel de gouvernance d'entreprise et de gestion des risques largement reconnu, et d'autres rfrentiels semblables qui se conforment aux mmes principes.

Les entreprises doivent satisfaire aux exigences fiduciaires ainsi qu'aux exigences de qualit et de scurit, pour leur information comme pour tous leurs autres actifs. Les dirigeants doivent aussi optimiser l'utilisation des ressources informatiques disponibles : applications, donnes, infrastructures et personnels. Pour s'acquitter de ces responsabilits comme pour atteindre ces objectifs, ils doivent connatre la situation de leur architecture systme et dcider quelle gouvernance et quels contrles informatiques ils doivent mettre en place.

Objectifs de Contrle de l'Information et des technologies associes (Control Objectives for Information and related Technology, COBIT) propose les bonnes pratiques dans un cadre de rfrence par domaine et par processus et prsente les activits dans une structure logique facile apprhender. Les bonnes pratiques de COBIT sont le fruit d'un consensus d'experts. Elles sont trs axes sur le contrle et moins sur l'excution des processus. Elles ont pour but d'aider optimiser les investissements informatiques, assurer la fourniture des services et fournir des outils de mesure (mtriques) auxquels se rfrer pour valuer les dysfonctionnements.

Pour que l'informatique rponde correctement aux attentes de l'entreprise, les dirigeants doivent mettre en place un systme de contrle ou un cadre de contrle interne. Pour rpondre ce besoin, le cadre de rfrence de contrle de COBIT : tablit un lien avec les exigences mtiers de l'entreprise, structure les activits informatiques selon un modle de processus largement reconnu, identifie les principales ressources informatiques mobiliser, dfinit les objectifs de contrle prendre en compte.

L'orientation mtiers de COBIT consiste lier les objectifs mtiers aux objectifs informatiques, fournir les mtriques (ce qui doit tre mesur et comment) et les modles de maturit pour faire apparatre leur degr de russite et identifier les responsabilits communes aux propritaires de processus mtiers et aux propritaires de processus informatiques.

L'orientation processus de COBIT est illustre par un modle de processus qui subdivise la gestion des Systmes d'Information en quatre domaines et 34 processus rpartis entre les domaines de responsabilits que sont planifier, mettre en place, faire fonctionner et surveiller, donnant ainsi une vision complte de l'activit informatique. Les concepts d'architecture d'entreprise aident identifier les ressources essentielles au bon droulement des processus comme les applications, l'information, les infrastructures et les personnes.

En rsum, pour fournir les informations dont l'entreprise a besoin pour raliser ses objectifs, les ressources informatiques doivent tre gres par un ensemble de processus regroups selon une certaine logique.

Mais comment contrler les systmes d'information pour qu'ils fournissent les donnes dont l'entreprise a besoin ? Comment grent-ils les risques lis aux ressources informatiques dont elles sont si dpendantes, et comment scuriser celles-ci ? Comment l'entreprise peut-elle s'assurer que l'informatique atteint ses objectifs et concourt au succs des siens propres ?

Les dirigeants ont d'abord besoin d'objectifs de contrle qui dfinissent les objectifs ultimes des politiques, des plans, des procdures et des structures organisationnelles de l'entreprise conues pour fournir l'assurance raisonnable que : les objectifs de l'entreprise seront atteints, des dispositifs sont en place pour prvenir ou dtecter et corriger les vnements indsirables.


http:www.afai.fr

GOUVERNANCE

DESSI

GESTIONDES

RESSOURCES

MESUREDELA

PERFORMANCE G

ESTIONDES

RISQUES

APPORTD

E

VALEURA

LIGNEMENT

STRATEGIQUE

Tableauxdebord

Tableauxdebordquilibrs

Testscomparatifs

Figure 1 Information du management

COBIT4.1 Ensuite, dans les environnements complexes d'aujourd'hui, le management est continuellement la recherche d'informations condenses et disponibles en temps utile lui permettant de prendre rapidement des dcisions difficiles en matire de valeur, de risque et de contrle. Que doit-on mesurer, et comment ? Les entreprises ont besoin de pouvoir mesurer objectivement o elles en sont et o elles doivent apporter des amliorations, et elles ont besoin d'implmenter des outils de gestion pour surveiller ces amliorations. La figure 1 montre certaines questions classiques et les outils de gestion de l'information utiliss pour trouver les rponses. Mais ces tableaux de bord ncessitent des indicateurs, les tableaux de bord quilibrs des mesures, et les tests comparatifs une chelle de comparaison.

Comment les responsables maintiennentils

le navire sur le bon cap ?

Comment obtenir des rsultats satisfaisantspour le plus grand nombre possible desparties prenantes ?

Comment adapter en temps utile lentrepriseaux tendances et aux dveloppements deson environnement professionnel ?

Indicateurs ?

Mesures ?

Echelles ?

Tableaux de bord

Tableaux de bord quilibrs

Tests comparatifs

Comment les responsables maintiennentils

le navire sur le bon cap ?

Comment obtenir des rsultats satisfaisants pour le plus grand nombre possible des parties prenantes ?

Comment adapter en temps utile lentreprise aux tendances et aux dveloppements de son environnement professionnel ?

Indicateurs ?

Mesures ?

Echelles ?

Figure 1 Information du management

La rponse ce besoin de dterminer et de surveiller les niveaux appropris de contrle et de performance de l'informatique est la dfinition donne par COBIT des lments suivants : Tests comparatifs de la capacit et des performances des processus informatiques prsents sous la forme de modles de maturit inspirs

du Capability Maturity Model (CMM) du Software Engineering Institute ; Objectifs et mtriques des processus informatiques pour dfinir et mesurer leurs rsultats et leurs performances, selon les principes du

tableau de bord quilibr (Balanced Scorecard) de Robert Kaplan et David Norton ; Objectifs des activits pour mettre ces processus sous contrle en se basant sur les objectifs de contrle de COBIT.

L'valuation de la capacit des processus au moyen des modles de maturit de COBIT est un lment cl de la mise en place d'une gouvernance des SI. Lorsqu'on a identifi les processus et les contrles informatiques essentiels, le modle de maturit permet de mettre en vidence les dfauts de maturit et d'en faire la dmonstration au management. On peut alors concevoir des plans d'action pour amener ces processus au niveau de maturit dsir.

COBIT concourt ainsi la gouvernance des SI (figure 2) en fournissant un cadre de rfrence qui permet de s'assurer que : les SI sont aligns sur les mtiers de l'entreprise, les SI apportent un plus aux mtiers et maximisent ses rsultats, les ressources des SI sont utilises de faon responsable, les risques lis aux SI sont grs comme il convient.

La mesure de la performance est essentielle la gouvernance des SI. Elle est un lment de COBIT et consiste, entre autres, fixer et surveiller des objectifs mesurables pour ce que les processus informatiques sont censs fournir (rsultat du processus) et pour la faon dont ils le fournissent (capacit et performance du processus). De nombreuses tudes ont montr que le manque de transparence des cots, de la valeur et des risques des SI est l'une de motivations principales pour mettre en place une gouvernance des SI. Si d'autres domaines y contribuent, c'est essentiellement la mesure des performances qui permet la transparence.

Figure 2 Domaines de la Gouvernance des SI

LAlignement Stratgique consiste sassurer que les plans informatiques restent aligns sur les plans des mtiers ; dfinir, tenir jour et valider les propositions de valeur ajoute de linformatique ; et aligner le fonctionnement de linformatique sur le fonctionnement de lentreprise.

GOUVERNANCE

DES SI

GESTION DES RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE

LApport de valeur consiste mettre en uvre la proposition de valeur ajoute tout au long du cycle de fourniture du service, sassurer que linformatique apporte bien les bnfices attendus sur le plan stratgique, sattacher optimiser les cots et prouver la valeur intrinsque des SI.

La Gestion des ressources consiste optimiser linvestissement dans les ressources informatiques vitales et bien les grer : applications, informations, infrastructures et personnes. Les questions cls concernent loptimisation des connaissances et de linfrastructure.

La Gestion des risques exige une conscience des risques de la part des cadres suprieurs, une vision claire de lapptence de lentreprise pour le risque, une bonne connaissance des exigences de conformit, de la transparence propos des risques significatifs encourus par lentreprise, et lattribution des responsabilits en matire de gestion des risques au sein de lentreprise.

La Mesure de la performance consiste en un suivi et une surveillance de la mise en uvre de la stratgie, de laboutissement des projets, de lutilisation des ressources, de la performance des processus et de la fourniture des services, en utilisant par exemple des tableaux de bord quilibrs qui traduisent la stratgie en actions orientes vers latteinte dobjectifs mesurables autrement que par la comptabilit conventionnelle.


http:www.afai.fr

Comment le conseil

d administration exerce t il sa

responsabilit ?

Dirigeants et Administrateurs

Comment mesurer la performance ?Comment se comparer aux autres ?

Et comment s amliorer ?

Responsables mtier et informatique

Comment valuer le rfrentiel de

gouvernance des SI ?

Quel est le rfrentiel de


Comment le mettre en place dans l entreprise ?

Professionnels de la gouvernance, de l assurance, du contrle et de la scurit

Gu dedemanagement

Figure 3 Schma du contenu de COBIT

Comment le conseil


responsabilit ?











Gu dedemanagement

Comment le conseil


responsabilit ?











Gu dedemanagement

SYNTHSE Ces domaines de la gouvernance des SI prsentent les questions que les dirigeants doivent examiner pour mettre en place cette gouvernance dans leur entreprise. La direction informatique utilise des processus pour organiser et grer les activits informatiques au quotidien. COBIT propose un modle de processus gnrique qui reprsente tous les processus que l'on trouve normalement dans les fonctions informatiques, ce qui permet aux responsables informatiques comme aux responsables mtiers de disposer d'un modle de rfrence commun. COBIT propose dans l'annexe II (Relations des processus informatiques avec les domaines de la gouvernance des SI, le COSO, les ressources informatiques de COBIT et les critres d'information COBIT) un tableau qui met en regard les processus informatiques et les domaines de gouvernance pour faire le lien entre les tches des responsables informatiques et les objectifs de gouvernance de la direction gnrale.

Pour que cette gouvernance soit efficace, les dirigeants doivent exiger des directions informatiques qu'elles mettent en place des contrles dans un cadre de rfrence dfini pour tous les processus informatiques. Les objectifs de contrle de COBIT sont organiss par processus informatique ; le cadre tablit donc des liens clairs entre les exigences de la gouvernance des SI, les processus et les contrles des SI.

COBIT s'intresse ce qui est ncessaire pour une gestion et un contrle adquats des SI au niveau gnral. COBIT se conforme d'autres standards informatiques plus dtaills et aux bonnes pratiques (voir annexe IV, Documents de rfrence de COBIT 4.1). COBIT agit comme intgrateur de ces diffrents guides en runissant les objectifs cls dans un mme cadre de rfrence gnral qui fait aussi le lien avec les exigences de gouvernance et les exigences oprationnelles.

COSO (comme d'autres rfrentiels compatibles semblables) est couramment accept comme le cadre de rfrence du contrle interne des entreprises. COBIT est la rfrence gnralement accepte du contrle interne des SI.

Les produits COBIT s'organisent en trois niveaux (figure 3) conus pour apporter leur aide : aux dirigeants et administrateurs, aux directions oprationnelles et

informatiques, aux professionnels de la gouvernance, de

l'assurance, du contrle et de la scurit.

En quelques mots, les produits COBIT sont composs des lments suivants : Conseils aux dirigeants d'entreprises pour la

gouvernance des SI, 2e dition : ce document aide les dirigeants comprendre l'importance de la gouvernance des SI, quels sont ses enjeux et quel est leur rle dans sa mise en uvre.

Guide de management/modles de maturit : ces outils permettent de rpartir les responsabilits, de mesurer la performance, de tester la capacit et de trouver des rponses aux insuffisances dans ce domaine.

Cadres de rfrence : ils permettent de structurer les objectifs de la gouvernance des SI et les bonnes pratiques, par domaine informatique et par processus, et de les relier aux exigences mtiers.

Objectifs de contrle : ils fournissent un large

- -

Guide daudit des SIGuide dimplmentation de lagouvernance des SI

2me dition

Pratiques cls de gestion

Objectifs de Contrle

Rfrentiels COBIT et VALIT

Pratiques de contrle COBIT

2me dition

Conseils aux dirigeants pour lagouvernance des SI

2me dition

Modles de maturit

i

Ce schma de produit bas sur COBIT prsente les produits gnralement applicables et leur public principal. Il existe galement des produits drivs pour desfonctions particulires (Objectifs de contrle des SI pour SarbanesOxley, 2me dition), dans des domaines comme la scurit (Bases de scurit COBIT etGouvernance de la scurit de l'information : Recommandations destines aux conseils d'administration et aux directions gnrales) ou pour des entreprisesspcifiques (COBIT Quickstart pour les petites et moyennes entreprises ou pour les grandes entreprises qui souhaitent acclrer la mise en uvre d'unprogramme plus large de gouvernance des SI)

- -

Guide daudit des SIGuide dimplmentation de lagouvernance des SI

2me dition





2me dition

Conseils aux dirigeants pour lagouvernance des SI

2me dition

Modles de maturit

i

- -

Comment le conseil

dadministration exerce-t-il sa

responsabilit ?


Comment mesurer la performance ? Comment se comparer aux autres ?

Et comment samliorer ?






Comment le mettre en place dans lentreprise ?

Professionnels de la gouvernance, de lassurance, du contrle et de la scurit

Guide daudit des SIGuide dimplmentation de la gouvernance des SI

2me dition





2me dition

Conseils aux dirigeants pour la gouvernance des SI

2me dition

Modles de maturit

i

Modles de maturit

Guide de management

Ce schma de produit bas sur COBIT prsente les produits gnralement applicables et leur public principal. Il existe galement des produits drivs pour des fonctions particulires (Objectifs de contrle des SI pour SarbanesOxley, 2me dition), dans des domaines comme la scurit (Bases de scurit COBIT et Gouvernance de la scurit de l'information : Recommandations destines aux conseils d'administration et aux directions gnrales) ou pour des entreprises spcifiques (COBIT Quickstart pour les petites et moyennes entreprises ou pour les grandes entreprises qui souhaitent acclrer la mise en uvre d'un programme plus large de gouvernance des SI)

Figure 3 Schma du contenu de COBIT

ventail d'exigences leves dont la direction doit tenir compte pour mettre en uvre un contrle efficace de chaque processus informatique.

Guide de mise en place de la gouvernance informatique : Utilisation de COBIT et Val IT, 2me dition : ce guide fournit une feuille de route gnrique pour mettre en place la gouvernance des SI en utilisant les ressources de COBIT et Val IT.

Pratiques de contrle COBIT : Recommandations pour atteindre les objectifs de contrle et russir la gouvernance des SI, 2me dition : conseils sur l'importance des contrles et sur la faon de les mettre en place.

Guide d'Audit de linformatique : Utilisation de COBIT : ce guide fournit des conseils sur la faon d'utiliser COBIT pour favoriser diffrentes types d'audit ainsi que des propositions de procdures d'valuation pour tous les processus informatiques et les objectifs de contrle.

Le schma de contenu COBIT de la figure 3 prsente les principaux publics, leurs questions sur la gouvernance des SI et les produits qui permettent gnralement d'y apporter des rponses. Il existe galement des produits drivs pour des fonctions particulires, dans des domaines comme la scurit ou pour des entreprises spcifiques.


http:www.afai.fr

Processus informatiques

Objectifs informatiques

Objectifs de contrle

Tests de contrle du rsultat

Activitscls

Tableau desresponsabilits

et des approbations

Indicateurs de performance

Mesures des rsultats

Modles de maturit

Tests de contrle de

la conception

Pratiques de contrle

Objectifs mtiers

Figure 4 Relations entre les composants de COBIT





Activitscls

Tableau desresponsabilits

et des approbations



Modles de maturit

Tests de contrle de

la conception


Objectifs mtiers



COBIT4.1 Tous ces composants COBIT sont relis entre eux et visent rpondre aux besoins de gouvernance, de gestion, de contrle et d'assurances de diffrents acteurs, comme le montre la figure 4.

Figure 4 Relations entre les composants de COBIT

Tableau des responsabilits

et des approbations

eeeffffffeeeccc

ttt





Activits cls



Modles de maturit

Tests de contrle de

la conception


Objectifs mtiers

bbbeeesssoooiiinnnsss iiinnnfffooorrrmmmaaatttiiiooonnn

dddcccooo

mmmpppooosss

ssseeennn

uuueeesss

pppaaarrr

mmmeeesss

uuurrrsss

pppaaarrr aaauuudddiiitttssspppaaarrr

cccooonnntttrrrlllsss pppaaarrr

dddcccooouuulllaaannnttt dddeee

iiimmmppplllmmm

eeennntttssspppaaarrr

aaauuudddiiittt

ssspppaaa

rrr

pppooouuurrrlllaaa

mmmaaatttuuurrriiittt

pppooouuurrr

llleeerrr

sssuuulllttt

aaattt

pppooouuurrr

lllaaapppeee

rrrfffooorrrmmm

aaannnccceee

bbbaaassssss sssuuurrr

COBIT est un cadre de rfrence et un ensemble d'outils permettant aux dirigeants de faire le lien entre les exigences du contrle, les problmatiques techniques et les risques mtiers et de communiquer avec les parties prenantes sur ce niveau de contrle. COBIT permet d'laborer des politiques claires et des bonnes pratiques pour la matrise des SI dans toutes les entreprises. COBIT est en permanence tenu jour et harmonis avec les autres standards et recommandations. COBIT est ainsi devenu l'intgrateur des bonnes pratiques en technologies de l'information et le rfrentiel gnral de la gouvernance des SI qui aide comprendre et grer les risques et les bnfices qui leur sont associs. COBIT est organis par processus et sa faon d'aborder l'entreprise par les mtiers apporte une vision des SI qui couvre l'ensemble de leur champ d'application et des dcisions prendre pour ce qui les concerne.

L'adoption de COBIT comme cadre de gouvernance des SI offre les avantages suivants : un meilleur alignement de l'informatique sur l'activit de l'entreprise du fait de son orientation mtiers ; une vision comprhensible par le management de ce que fait l'informatique ; une attribution claire de la proprit et des responsabilits, du fait de l'approche par processus ; un prjug favorable de la part des tiers et des organismes de contrle ; une comprhension partage par toutes les parties prenantes grce un langage commun ; le respect des exigences du COSO pour le contrle de l'environnement informatique.

Le reste de ce document propose une description du Cadre de Rfrence de COBIT et tous les composants essentiels de COBIT prsents par domaine (les 4 domaines informatiques) et par processus (les 34 processus informatiques) de COBIT. L'ensemble constitue un manuel de rfrence facile consulter des principaux constituants de COBIT. Plusieurs annexes proposent galement des rfrences utiles.

Les informations les plus compltes et les plus rcentes sur COBIT et les produits connexes (outils en ligne, guides de mise en uvre, tudes de cas, lettres d'information, matriel pdagogique, etc.) sont disponibles sur www.isaca.org/cobit.


http:www.afai.frwww.isaca.org/cobit

CADRE DE RFRENCE

CA

DR

E D

E

R

FR

EN

CE

CADRE DE RFRENCE CADRE DE RFRENCE COBIT

La mission de COBIT :

Elle consiste imaginer, mettre au point, publier et promouvoir un cadre de rfrence de contrle de la gouvernance des SI, actualis, reconnu dans le monde entier et faisant autorit. Ce cadre de rfrence devra tre adopt par les entreprises et utilis quotidiennement par les dirigeants, les professionnels de l'informatique et les professionnels de l'assurance.

LE BESOIN D'UN CADRE DE RFRENCE POUR LA GOUVERNANCE DES SI

Le cadre de rfrence pour la gouvernance des SI dfinit les raisons pour lesquelles la gouvernance des SI est ncessaire, les diffrentes parties prenantes et sa mission.

Pourquoi

Les dirigeants ont de plus en plus conscience de l'impact significatif de l'information sur le succs de l'entreprise. Ils s'attendent ce que l'on comprenne de mieux en mieux comment sont utilises les technologies de l'information et la probabilit qu'elles contribuent avec succs donner un avantage concurrentiel l'entreprise. Ils veulent savoir en particulier si la gestion des SI peut leur permettre : d'atteindre leurs objectifs ; d'avoir assez de rsilience pour apprendre et s'adapter ; de grer judicieusement les risques auxquels ils doivent faire face ; de savoir bien identifier les opportunits et d'agir pour en tirer parti.

Les entreprises qui russissent comprennent les risques, exploitent les avantages des SI et trouvent comment : aligner la stratgie de l'informatique sur celle de l'entreprise ; assurer aux investisseurs et aux actionnaires que l'entreprise respecte une "norme de prudence et de diligence" relative la rduction des

risques informatiques ; rpercuter la stratgie et les objectifs de l'informatique dans l'entreprise ; faire en sorte que l'investissement informatique produise de la valeur ; apporter les structures qui faciliteront la mise en uvre de cette stratgie et de ces objectifs ; susciter des relations constructives entre les mtiers et l'informatique, et avec les partenaires externes ; mesurer la performance des SI.

Les entreprises ne peuvent pas rpondre efficacement ces exigences mtiers et celles de la gouvernance sans adopter et mettre en uvre un cadre de rfrence pour la gouvernance et pour les contrles qui permette aux directions des SI : d'tablir un lien avec les exigences mtiers de l'entreprise ; de rendre leurs performances transparentes par rapport ces exigences ; d'organiser leurs activits selon un modle de processus largement reconnu ; d'identifier les principales ressources informatiques mobiliser ; de dfinir les objectifs de contrle de management envisager.

Par ailleurs les rfrentiels de gouvernance et de contrle font dsormais partie des bonnes pratiques de gestion des SI ; ils sont aussi un moyen de faciliter la mise en place de la gouvernance des SI et de se conformer aux exigences rglementaires toujours plus nombreuses.

Les bonnes pratiques informatiques ont gagn leurs galons grce un certain nombre de facteurs : l'exigence du meilleur retour sur investissements de leurs SI par les dirigeants et les administrateurs ; autrement dit, il convient de faire en

sorte que l'informatique fournisse l'entreprise ce dont elle a besoin pour apporter une valeur accrue aux parties prenantes ; la proccupation de voir le niveau de dpenses informatiques augmenter assez systmatiquement ; le besoin de rpondre aux exigences rglementaires de contrle des SI dans des domaines comme le respect de la vie prive et la

publication des rsultats financiers (par exemple la loi amricaine Sarbanes-Oxley, Ble II) et dans des secteurs spcifiques comme la finance, les produits pharmaceutiques et la sant ;

la slection de fournisseurs de services, la gestion de services externaliss et la gestion des achats ; la complexit croissante des risques informatiques comme la scurit des rseaux ; les initiatives de la gouvernance des SI qui font une place aux rfrentiels de contrle et aux bonnes pratiques pour aider la surveillance

et l'amlioration des activits informatiques stratgiques, de faon augmenter la valeur et rduire les risques pour l'entreprise ; le besoin d'optimiser les cots en adoptant, chaque fois que c'est possible, des approches standardises plutt qu'individualises ; une plus grande maturit caractrise par l'adoption de rfrentiels rputs comme COBIT, ITIL (IT Infrastructure Library), la srie ISO

27000 sur les normes lies la scurit de l'information, la norme ISO 9001:2000 Systmes de management de la qualit - Exigences, le CMMI (Capability Maturity Model Integration), PRINCE2 (Projects in Controlled Environments 2) et PMBOK (A Guide to the Project Management Body of Knowledge) ;

le besoin qu'prouvent les entreprises d'valuer leurs performances par rapport aux normes communment acceptes et vis--vis de leurs pairs (analyse comparative - benchmarking).


http:www.afai.fr

Exigencesmtiers

InformationsEntreprise

Ressourcesinformatiques

Processusinformatiques

COBIT

Figure 5 Principe de base de COBIT

COBIT4.1 Qui

Un rfrentiel de gouvernance et de contrle sert les intrts de diverses parties prenantes internes et externes dont chacune a des besoins spcifiques : Les parties prenantes internes lentreprise qui ont intrt voir les investissements informatiques gnrer de la valeur sont :

celles qui prennent les dcisions dinvestissements, celles qui dfinissent les exigences, celles qui utilisent les services informatiques.

Les parties prenantes internes et externes qui fournissent les services informatiques sont : celles qui grent lorganisation et les processus informatiques, celles qui en dveloppent les capacits, celles qui exploitent les systmes dinformation au quotidien.

Les parties prenantes internes et externes qui ont des responsabilits dans le contrle et le risque sont : celles qui sont en charge de la scurit, du respect de la vie prive et/ou des risques, celles qui sont en charge des questions de conformit, celles qui fournissent des services dassurance ou qui en ont besoin.

Quoi

Pour faire face ces exigences, un cadre de rfrence pour la gouvernance et le contrle des SI doivent respecter les spcifications gnrales suivantes : Fournir une vision mtiers qui permette daligner les objectifs de linformatique sur ceux de lentreprise. tablir un schma par processus qui dfinisse ce que chacun deux recouvre, avec une structure prcise qui permette de sy retrouver

facilement. Faire en sorte que lensemble puisse tre gnralement accept, en se conformant aux meilleures pratiques et aux standards informatiques,

et en restant indpendant des technologies spcifiques. Fournir un langage commun, avec son glossaire, qui puisse tre gnralement compris par toutes les parties prenantes. Aider remplir les obligations rglementaires en se conformant aux standards gnralement accepts de la gouvernance des entreprises

(ex. COSO) et du contrle informatique tels que les pratiquent les rgulateurs et les auditeurs externes.

COMMENT COBIT RPOND CES BESOINS

Le cadre de rfrence de COBIT rpond ces besoins par quatre caractristiques principales : il est centr sur les mtiers de l'entreprise, organis par processus, bas sur des contrles et s'appuie systmatiquement sur des mesures.

Centr sur les mtiers

L'orientation mtiers est l'ide centrale de COBIT. Il est conu non seulement pour tre employ par les fournisseurs de services informatiques, les utilisateurs et les auditeurs, mais galement, ce qui est le plus important, comme un guide comprhensible par le management et par les propritaires de processus mtiers.

Le cadre de rfrence de COBIT se base sur le principe suivant (figure 5) :

Pour fournir l'information dont elle a besoin pour atteindre ses objectifs, l'entreprise doit investir dans des ressources informatiques, les grer et les contrler, au moyen d'un ensemble de processus structur pour fournir les services qui transmettent les donnes dont l'entreprise a besoin.

La gestion et le contrle des informations sont au cur du cadre de rfrence de COBIT et permettent de s'assurer que l'informatique est aligne sur les exigences mtiers de l'entreprise.

CRITRES D'INFORMATION DE COBIT Pour satisfaire aux objectifs mtiers l'entreprise, l'information doit se conformer certains critres de contrle que COBIT dfinit comme les exigences de l'entreprise en matire d'information. partir des impratifs plus larges de qualit, fiduciaires et de scurit, on dfinit sept critres d'information distincts dont certains se recoupent : L'Efficacit qualifie toute information pertinente utile aux processus mtiers, livre au moment opportun, sous une forme correcte,

cohrente et utilisable. L'Efficience qualifie la mise disposition de l'information grce l'utilisation optimale (la plus productive et la plus conomique) des

ressources. La Confidentialit concerne la protection de l'information sensible contre toute divulgation non autorise.

quirpondent

aux

pourfournir

qui sontutilises par

gnrent desInvestissements

dans

Exigences mtiers

Informations Entreprise

Ressources informatiques


COBIT

qui rpondent

aux

pour fournir

qui sont utilises par

gnrent des Investissements

dans

Figure 5 Principe de base de COBIT


http:www.afai.fr

Objectifs mtiers pour les SI

impliquent

influencentexigent

Critresd information

Services informatiques

Exigences de la gouvernance

Exigencesmtiers

ont besoin


font tourner

Infrastructures et personnes

Applications

Informationsfournissent

Architecture informatique de l entreprise

Stratgie de

l entrepriseObjectifs

mtiers pour SI

Objectifs

informatiques

Architectureinformatique

de l entreprise

Tableaude bord

informatique

Figure 6 Dfinir les objectifs informatiques et larchitecture de lentreprise pour les SI


impliquent

influencentexigent




Exigencesmtiers

ont besoin


font tourner


Applications



Stratgie de

l entrepriseObjectifs

mtiers pour SI

Objectifs

informatiques

Architectureinformatique

de l entreprise

Tableaude bord

informatique


impliquent

influencentexigent




Exigencesmtiers

ont besoin


font tourner


Applications





Applications

Informations

CADRE DE RFRENCE L'Intgrit touche l'exactitude et l'exhaustivit de l'information ainsi qu' sa validit au regard des valeurs de l'entreprise et de ses

attentes. La Disponibilit qualifie l'information dont peut disposer un processus mtier tant dans l'immdiat qu' l'avenir. Elle concerne aussi la

sauvegarde des ressources ncessaires et les moyens associs. La Conformit consiste se conformer aux lois, aux rglementations et aux clauses contractuelles auxquelles le processus mtier est

soumis, c'est--dire aux critres professionnels imposs par l'extrieur comme par les politiques internes. La Fiabilit concerne la fourniture d'informations appropries qui permettent au management de piloter l'entreprise et d'exercer ses

responsabilits fiduciaires et de gouvernance.

OBJECTIFS MTIERS ET OBJECTIFS INFORMATIQUES Si les critres d'information constituent un moyen gnrique de dfinir les exigences mtiers, tablir un ensemble gnrique d'objectifs mtiers et informatiques constitue une base plus dtaille, lie l'activit de l'entreprise, pour dfinir les exigences mtiers et pour dvelopper les mtriques qui permettent de mesurer les rsultats par rapport ces objectifs. Chaque entreprise utilise l'informatique pour favoriser les initiatives mtiers et celles-ci peuvent tre considres comme des objectifs mtiers pour l'informatique. L'annexe I propose un tableau qui croise objectifs mtiers, objectifs informatiques et critres d'information. On peut utiliser ces exemples gnriques comme guide pour dterminer les exigences mtiers, les objectifs et les mtriques spcifiques l'entreprise.

Si on veut que l'informatique russisse fournir les services qui favoriseront la stratgie de l'entreprise, le mtier (le client) doit tre clairement responsable de fixer ses exigences, et l'informatique (le fournisseur) doit avoir une bonne comprhension de ce qui doit tre livr et comment. La figure 6 illustre comment la stratgie de l'entreprise doit tre traduite en objectifs lis aux initiatives qui s'appuient sur les SI (les objectifs mtiers des SI). Ces objectifs doivent conduire une dfinition claire des objectifs propres aux SI (les objectifs informatiques) qui, leur tour, dfinissent les ressources et les capacits informatiques (l'architecture informatique de l'entreprise) requises pour le succs de la partie de la stratgie qui leur incombe1.

Figure 6 Dfinir les objectifs informatiques et l architecture de l entreprise pour les SI


impliquent

influencentexigent

Critres dinformation



Exigences mtiers

ont besoin


font tourner


Applications

Informations fournissent

Architecture informatique de lentreprise

Stratgie de

lentreprise Objectifs

mtiers pour SI

Objectifs

informatiques

Architecture informatique

de lentreprise

Tableau de bord

informatique

Une fois les objectifs aligns dfinis, il faut les surveiller pour s'assurer que ce qui est effectivement fourni correspond bien aux attentes. Cela est rendu possible par les mtriques conues partir des objectifs et rpercutes dans un tableau de bord informatique.

Pour que le client puisse comprendre les objectifs informatiques et le tableau de bord informatique, tous ces objectifs et les mtriques connexes doivent tre exprims en termes mtiers comprhensibles par le client. Et ceci, combin un alignement efficace de la hirarchie des objectifs, permettra l'entreprise de confirmer que ses objectifs seront probablement soutenus par les SI.

L'annexe I (tablissement de liens entre les objectifs et les processus) montre dans un tableau global comment les objectifs mtiers gnriques sont lis aux objectifs informatiques, aux processus informatiques et aux critres d'information. Ce tableau aide comprendre quel est le champ d'action de COBIT et quelles sont les relations gnrales entre COBIT et les inducteurs de l'entreprise. Comme l'illustre la figure 6, ces inducteurs proviennent du mtier et de la strate de gouvernance de l'entreprise, le premier tant plus ax sur la fonctionnalit et la vitesse de livraison tandis que la deuxime porte davantage sur la rentabilit, le retour sur investissement et la conformit.

Remarque : La dfinition et la mise en uvre d'une architecture informatique de l'entreprise entraneront galement la cration d'objectifs informatiques internes qui contribuent aux objectifs mtier (mais n'en dcoulent pas directement)


1

http:www.afai.fr

Objectifs de l entreprise

Inducteurs de gouvernance

Rsultats mtiers



Ap

plic

atio

ns

Info

rmat

ion

s

Infr

astr

uct

ure

s

Per

son

nes

Figure 7 Grer les ressources informatiques pour remplir les objectifs informatiques

Objectifs de l entreprise


Rsultats mtiers



Ap

plic

atio

ns

Info

rmat

ion

s

Infr

astr

uct

ure

s

Per

son

nes

Planifier et Organiser

Surveiller et Evaluer

Acquriret

Implmenter

Dlivreret

Supporter

Figure 8 Les quatre domaines interdpendants de COBIT



Acquriret

Implmenter

Dlivreret

Supporter

COBIT4.1 RESSOURCES INFORMATIQUES L'informatique fournit ses services en fonction de ces objectifs au moyen d'un ensemble dfini de processus qui utilisent les capacits des personnes et l'infrastructure informatique pour faire fonctionner des applications mtiers automatises tout en tirant parti des informations d'entreprise. Ces ressources constituent, avec les processus, une architecture d'entreprise pour les SI, comme le montre la figure 6.

Pour rpondre aux exigences mtiers des SI, l'entreprise doit investir dans les ressources ncessaires pour crer une capacit technologique approprie (par exemple, un progiciel de gestion intgr (PGI- ERP)) capable d'assister un secteur oprationnel (par exemple, mettre en place une chane d'approvisionnement) qui produise le rsultat dsir (par exemple, une augmentation des ventes et des bnfices financiers).

On peut dfinir ainsi les ressources informatiques identifies par COBIT : Les applications sont, entre les mains des utilisateurs, les ressources logicielles automatises et les procdures manuelles qui traitent

l'information. L'information est constitue des donnes sous toutes leurs formes, saisies, traites et restitues par le systme informatique sous diverses

prsentations, et utilises par les mtiers. L'infrastructure est constitue de la technologie et des quipements (machines, systmes d'exploitation, systmes de gestion de bases de

donnes, rseaux, multimdia, ainsi que l'environnement qui les hberge et en permet le fonctionnement) qui permettent aux applications de traiter l'information.

Les personnes sont les ressources qui s'occupent de planifier, d'organiser, d'acheter, de mettre en place, de livrer, d'assister, de surveiller et d'valuer les systmes et les services informatiques. Ces personnes peuvent tre internes, externes ou contractuelles selon les besoins.

La figure 7 montre schmatiquement comment les objectifs mtiers pour les SI influencent la gestion des ressources informatiques par les processus informatiques pour atteindre les objectifs informatiques.

Orient processus

COBIT regroupe les activits informatiques dans un modle gnrique de processus qui se rpartissent en quatre domaines. Ces domaines sont Planifier et Organiser, Acqurir et Implmenter, Dlivrer et Supporter, Surveiller et valuer. Ils correspondent aux domaines de responsabilits traditionnels des SI, que sont planifier, mettre en place, faire fonctionner et surveiller.

Le cadre COBIT propose un modle de processus de rfrence et un langage commun pour tous ceux qui, dans une entreprise, doivent utiliser ou grer les activits informatiques. Adopter un modle oprationnel et un langage commun toutes les parties de l'entreprise impliques dans les SI est l'une des tapes initiales les plus importantes vers une bonne gouvernance. COBIT propose aussi un cadre de rfrence pour mesurer et surveiller la performance des SI, communiquer avec les fournisseurs de services et intgrer les meilleures pratiques de gestion. Un modle de processus encourage la proprit des processus, ce qui favorise la dfinition des responsabilits oprationnelles et des responsabilits finales (responsabilit de celui qui agit et responsabilit de celui qui est comptable du rsultat).

Figure 7 Grer les ressources informatiques pour remplir les objectifs informatiques

Objectifs de lentreprise


Rsultats mtiers



Ap

plic

atio

ns

Info

rmat

ion

s

Infr

astr

uct

ure

s

Per

son

nes

Pour une gouvernance efficace des SI, il est important d'apprcier les activits et les risques propres aux SI qui ncessitent d'tre pris en compte. Ils sont gnralement ordonns dans les domaines de responsabilit que sont planifier, mettre en place, faire fonctionner et surveiller. Dans le cadre de COBIT, ces domaines porte les appellations suivantes, comme le montre la figure 8 :

Figure 8 Les quatre domaines interdpendants de COBIT

Planifier et Organiser (PO) : fournit des orientations pour la fourniture de solutions (AI) et la fourniture de services (DS).

Acqurir et Implmenter (AI) : fournit les solutions et les transmets pour les transformer en services.

Dlivrer et Supporter (DS) : reoit les solutions et les rend utilisables par les utilisateurs finals.

Surveiller et Evaluer (SE) : surveille tous les processus pour s'assurer que l'orientation fournie est respecte.

PLANIFIER ET ORGANISER (PO) Ce domaine recouvre la stratgie et la tactique et vise identifier la meilleure manire pour les SI de contribuer atteindre les objectifs mtiers de l'entreprise. La mise en uvre de la vision stratgique doit tre planifie, communique et gre selon diffrentes perspectives. Il faut mettre en place une organisation adquate ainsi qu'une infrastructure technologique. Ce domaine s'intresse gnralement aux problmatiques de management suivantes : Les stratgies de l'entreprise et de l'informatique sont-elles alignes ? L'entreprise fait-elle un usage optimum de ses ressources ? Est-ce que tout le monde dans l'entreprise comprend les objectifs de l'informatique ? Les risques informatiques sont-ils compris et grs ? La qualit des systmes informatiques est-elle adapte aux besoins mtiers ?



Acqurir et

Implmenter

Dlivrer et

Supporter


http:www.afai.fr

CADRE DE RFRENCE ACQURIR ET IMPLMENTER (AI) Le succs de la stratgie informatique ncessite d'identifier, de dvelopper ou d'acqurir des solutions informatiques, de les mettre en uvre et de les intgrer aux processus mtiers. Ce domaine recouvre aussi la modification des systmes existants ainsi que leur maintenance afin d'tre sr que les solutions continuent d'tre en adquation avec les objectifs mtiers. Ce domaine s'intresse gnralement aux problmatiques de management suivantes : Est-on sr que les nouveaux projets vont fournir des solutions qui correspondent aux besoins mtiers ? Est-on sr que les nouveaux projets aboutiront en temps voulu et dans les limites budgtaires ? Les nouveaux systmes fonctionneront-ils correctement lorsqu'ils seront mis en uvre ? Les changements pourront-ils avoir lieu sans perturber les oprations en cours ?

DLIVRER ET SUPPORTER (DS) Ce domaine s'intresse la livraison effective des services demands, ce qui comprend l'exploitation informatique, la gestion de la scurit et de la continuit, le service d'assistance aux utilisateurs et la gestion des donnes et des quipements. Il s'agit gnralement des problmatiques de management suivantes : Les services informatiques sont-ils fournis en tenant compte des priorits mtiers ? Les cots informatiques sont-ils optimiss ? Les employs sont-ils capables d'utiliser les systmes informatiques de faon productive et sre ? La confidentialit, l'intgrit et la disponibilit sont-elles mises en uvre pour la scurit de l'information ?

SURVEILLER ET VALUER (SE) Tous les processus informatiques doivent tre rgulirement valus pour vrifier leur qualit et leur conformit par rapport aux spcifications de contrle. Ce domaine s'intresse la gestion de la performance, la surveillance du contrle interne, au respect des normes rglementaires et la gouvernance. Il s'agit gnralement des problmatiques de management suivantes : La performance de l'informatique est-elle mesure de faon ce que les problmes soient mis en vidence avant qu'il ne soit trop tard ? Le management s'assure-t-il que les contrles internes sont efficaces et efficients ? La performance de l'informatique peut-elle tre relie aux objectifs mtiers ? Des contrles de confidentialit, d'intgrit et de disponibilit appropris sont-ils mis en place pour la scurit de l'information ?

travers ces quatre domaines, COBIT a identifi 34 processus informatiques gnralement utiliss (pour obtenir la liste complte, reportezvous la figure 22). La plupart des entreprises ont dfini des responsabilits visant planifier, mettre en place, faire fonctionner et surveiller les activits informatiques et la plupart disposent des mmes processus cls. En revanche, peu d'entre elles auront la mme structure de processus ou appliqueront la totalit des 34 processus COBIT. COBIT fournit la liste complte des processus qui peuvent permettre de vrifier l'exhaustivit des activits et des responsabilits. Toutefois, il n'est pas ncessaire de les appliquer tous et, en outre, ils peuvent tre combins selon les besoins de chaque entreprise.

Chacun de ces 34 processus est li aux objectifs mtiers et aux objectifs informatiques qui sont pris en charge. Des informations sont galement fournies sur la faon dont les objectifs peuvent tre mesurs, sur les activits cls et les principaux livrables et sur les personnes qui en sont responsables.

Bas sur des contrles

COBIT dfinit les objectifs de contrle pour les 34 processus, ainsi que des contrles mtiers et des contrles applicatifs prdominants.

LES PROCESSUS ONT BESOIN DE CONTRLES On dfinit le contrle comme les politiques, les procdures, les pratiques et les structures organisationnelles conues pour fournir l'assurance raisonnable que les objectifs mtiers seront atteints et que les vnements indsirables seront prvenus ou dtects et corrigs.

Les objectifs de contrle des SI fournissent un large ventail d'exigences leves dont la direction doit tenir compte pour mettre en uvre un contrle efficace de chaque processus informatique. Ces exigences : prennent la forme d'annonces de la direction visant accrotre la valeur ou rduire le risque ; se composent de politiques, procdures, pratiques et structures organisationnelles ; sont conues pour fournir l'assurance raisonnable que les objectifs mtiers seront atteints et que les vnements indsirables seront

prvenus ou dtects et corrigs.

La direction de l'entreprise doit faire des choix concernant ces objectifs de contrle, en : slectionnant ceux qui sont applicables ; dsignant ceux qui seront mis en uvre ; choisissant la faon de les mettre en uvre (frquence, dure, automatisation, etc.) ; acceptant le risque de ne pas mettre en uvre des objectifs qui pourraient s'appliquer.


http:www.afai.fr

Normes

Standards

Objectifs

Comparer Processus

Figure 9 Modle de contrle

COBIT4.1 On peut s'appuyer sur le modle de contrle standard illustr par la figure 9. Il suit les principes vidents de l'analogie suivante : Aprs rglage du thermostat d'ambiance (standard) du systme de chauffage (processus), le systme vrifie en permanence (comparer) la temprature de la pice (information de contrle) et dclenche ventuellement l'action d'adapter la temprature (agir).

La direction informatique utilise des processus pour organiser et grer les activits informatiques au quotidien. COBIT propose un modle de processus gnrique qui reprsente tous les processus que l'on trouve normalement dans les fonctions informatiques, ce qui permet aux responsables informatiques comme aux responsables commerciaux de disposer d'un modle de rfrence commun. Pour que cette gouvernance soit efficace, la direction informatique doit mettre en place des contrles dans un cadre de rfrence dfini pour tous les processus informatiques. Puisque les objectifs de contrle de COBIT sont organiss par processus informatique, le cadre tablit donc des liens clairs entre les exigences de la gouvernance des SI, les processus informatiques et les contrles informatiques.

Figure 9 Modle de contrle

Normes

Standards

Objectifs

AAGGIIRR

CCOONNTTRRLLEERR LLIINNFFOORRMMAATTIIOONN

Comparer Processus

Chacun des processus informatiques de COBIT est associ une description et un certain nombre d'objectifs de contrle. Tous ensemble, ils sont caractristiques d'un processus bien gr.

Les objectifs de contrle sont identifis par un domaine de rfrence deux caractres (PO, AI, DS et SE), plus un numro de processus et un numro d'objectif de contrle. En plus des objectifs de contrle, chaque processus COBIT se rfre des exigences de contrle gnriques dsignes par PCn, pour Processus de Contrle numro n. Il faut les prendre en compte en mme temps que les objectifs de contrle du processus pour avoir une vision complte des exigences de contrle.

PC1 Buts et objectifs du processus Dfinir et communiquer des buts et objectifs spcifiques, mesurables, incitatifs, ralistes, axs sur les rsultats et opportuns (SMARRT, Specific, Measurable, Actionable, Realistic, Results-oriented and Timely) pour l'excution efficace de chaque processus informatique. S'assurer qu'ils sont relis aux objectifs mtiers et soutenus par des mtriques adaptes.

PC2 Proprit des processus Affecter un propritaire chaque processus informatique et dfinir clairement les rles et les responsabilits du propritaire du processus. Inclure, par exemple, la charge de conception du processus, d'interaction avec les autres processus, la responsabilit du rsultat final, l'valuation des performances du processus et l'identification des possibilits d'amlioration.

PC3 Reproductibilit du processus Dfinir et mettre en place chaque processus informatique cl de faon ce qu'il soit reproductible et qu'il produise invariablement les rsultats escompts. Fournir un enchanement logique, flexible et volutif d'activits qui conduiront aux rsultats souhaits et suffisamment souple pour grer les exceptions et les urgences. Si possible, utiliser des processus cohrents et personnaliser uniquement si c'est invitable.

PC4 Rles et Responsabilits Dfinir les activits cls et les livrables finaux du processus. Attribuer et communiquer des rles et responsabilits non ambigus, pour une excution efficace et efficiente des activits cls et de leur documentation, ainsi que la responsabilit des livrables finaux du processus.

PC5 Politique, Plans et Procdures Dterminer et indiquer comment tous les plans, les politiques et les procdures qui gnrent un processus informatique sont documents, tudis, grs, valids, stocks, communiqus et utiliss pour la formation. Rpartir les responsabilits pour chacune de ces activits et, au moment opportun, vrifier si elles sont correctement effectues. S'assurer que les politiques, plans et procdures sont accessibles, corrects, compris et jour.

PC6 Amlioration des performances du processus Identifier un ensemble de mtriques fournissant des indications sur les rsultats et les performances du processus. Dfinir des cibles refltant les objectifs du processus et des indicateurs de performance permettant d'atteindre les objectifs du processus. Dfinir le mode d'obtention des donnes. Comparer les mesures relles et les objectifs et, si ncessaire, prendre des mesures pour corriger les carts. Aligner les mtriques, les objectifs et les mthodes avec l'approche globale de surveillance des performances des SI.

Des contrles efficaces rduisent les risques, amliorent la probabilit de fournir de la valeur et amliorent l'efficience. En effet, les erreurs seront moins nombreuses et l'approche managriale sera plus cohrente.

COBIT y ajoute des exemples pour chaque processus ; ces exemples ont pour but d'illustrer, mais pas de prescrire ni d'tre exhaustifs : entres et sorties gnriques de donnes/informations ; activits et conseils sur les rles et les responsabilits dans un tableau RACI (Responsable, Approuve, est Consult, est Inform) ; objectifs des activits cls (les choses les plus importantes faire) ; mtriques.


http:www.afai.fr

CADRE DE RFRENCE Outre la ncessit de savoir quels contrles leur sont ncessaires, les propritaires de processus doivent pouvoir dire de quels lments ils ont besoin en entre de la part des autres processus et ce que leurs processus doivent tre capables de fournir aux autres processus. COBIT propose des exemples gnriques d'entres et de sorties essentiels pour chaque processus, qui concernent aussi les services informatiques externes. Certaines sorties sont des entres pour tous les autres processus, et sont reprs par la mention TOUS dans les tableaux de sorties, mais ils ne sont pas mentionns comme des entres dans tous les processus ; cela concerne gnralement les standards de qualit et les impratifs de mesure, le cadre de rfrence des processus informatiques, les rles et responsabilits dtaills, le cadre de contrle de l'informatique de l'entreprise, la politique informatique et les rles et responsabilits du personnel.

Comprendre les rles et responsabilits pour chaque processus est fondamental pour une gouvernance efficace. COBIT propose un tableau RACI pour chaque processus. Garant s'applique au responsable en dernier ressort : celui qui donne les orientations et qui autorise une activit. Responsable s'applique celui qui fait excuter la tche. Les deux autres rles (Consult et Inform) s'appliquent tous ceux qui doivent savoir ce qui se passe et qui doivent soutenir le processus.

CONTRLES MTIERS ET CONTRLES INFORMATIQUES Le systme de contrle interne de l'entreprise a un impact sur les SI trois niveaux : Au niveau de la direction gnrale, on fixe les objectifs mtiers, on tablit les politiques et on prend les dcisions sur la faon de dployer

les ressources de l'entreprise pour mettre en uvre sa stratgie. C'est le conseil d'administration qui dfinit l'approche de gouvernance et de contrle et qui les diffuse dans l'ensemble de l'entreprise. Ce sont ces ensembles de politiques et d'objectifs gnraux qui orientent l'environnement de contrle des SI.

Au niveau des processus mtiers, les contrles s'appliquent des activits spcifiques de l'entreprise. La plupart des processus mtiers sont automatiss et intgrs des applications informatiques, ce qui entrane que de nombreux contrles sont eux aussi automatiss ce niveau. On les appelle des contrles applicatifs. Certains contrles de processus mtiers restent cependant des procdures manuelles comme les autorisations de transactions, la sparation des tches et les rapprochements manuels. Les contrles au niveau des processus mtiers sont donc une combinaison de contrles manuels effectus par l'entreprise et de contrles mtiers et applicatifs automatiss. La responsabilit de ces deux types de contrles appartient donc aux mtiers, mme si les contrles applicatifs ont besoin de la fonction informatique pour permettre leur conception et leur dveloppement.

Pour assister les processus mtiers, l'informatique fournit des services, habituellement au sein d'un service commun de nombreux processus mtiers, puisqu'une grande partie du dveloppement et des processus informatiques sont fournis l'ensemble de l'entreprise, et que la majeure partie de l'infrastructure informatique constitue un service commun (par ex. rseaux, bases de donnes, systmes d'exploitation et archivage). On appelle "contrles gnraux informatiques" les contrles qui s'appliquent toutes les activits de services informatiques. La fiabilit de ces contrles gnraux est ncessaire pour que l'on puisse se fier aux contrles applicatifs. Par exemple, une mauvaise gestion des changements pourrait mettre en pril (accidentellement ou volontairement) la fiabilit des vrifications d'intgrit automatiques.

CONTRLES GNRAUX INFORMATIQUES ET CONTRLES APPLICATIFS Les contrles gnraux sont ceux qui sont intgrs aux processus et aux services informatiques. Ils concernent, par exemple : le dveloppement des systmes, la gestion des changements, la scurit, l'exploitation.

On appelle communment "contrles applicatifs" les contrles intgrs aux applications des processus mtiers. Ils concernent, par exemple : l'exhaustivit, l'exactitude, la validit, l'autorisation, la sparation des tches.

COBIT considre que la conception et la mise en place de contrles applicatifs automatiss sont de la responsabilit de l'informatique. Elles relvent du domaine Acqurir et Implmenter et se basent sur les exigences mtiers dfinies selon les critres d'information de COBIT, comme l'indique la figure 10. La gestion oprationnelle et la responsabilit des contrles applicatifs ne relvent pas de l'informatique mais des propritaires des processus mtiers.

De ce fait, les contrles applicatifs relvent d'une responsabilit commune de bout en bout entre mtiers et informatique, mais la nature des responsabilits se diffrencie comme suit : La partie mtiers est charge : de dfinir correctement les exigences de fonctionnement et de contrle ; d'utiliser les services automatiss bon escient. La partie informatique est charge : d'automatiser et de mettre en uvre les exigences mtiers de fonctionnement et de contrle, de mettre en place des contrles pour maintenir l'intgrit des contrles applicatifs.

Par consquent, les processus informatiques de COBIT englobent les contrles gnraux informatiques, mais uniquement les aspects lis au dveloppement des contrles applicatifs. Les processus mtiers sont chargs de la dfinition et de l'exploitation.


http:www.afai.fr



Acquriret

Implmenter

Dlivreret

Supporter



Acquriret

Implmenter

Dlivreret

Supporter

Contrles gnraux informatiquesContrlesmtiers

Contrlesmtiers

Contrles applicatifs

Servicesautomatiss

Exigencesde

fonctionnement

Exigencesde

contrle

Figure 10 Contrles mtiers, gnraux et applicatifs : limites



Acquriret

Implmenter

Dlivreret

Supporter



Acquriret

Implmenter

Dlivreret

Supporter

Contrles gnraux informatiquesContrlesmtiers

Contrlesmtiers


Servicesautomatiss

Exigencesde

fonctionnement

Exigencesde

contrle



Acquriret

Implmenter

Dlivreret

Supporter

Contrlesmtiers

Contrlesmtiers

COBIT4.1 Figure 10 Contrles mtiers, gnraux et applicatifs : limites

Contrles mtiers

Exigences de

fonctionnement

Exigences de

contrle

RRReeessspppooonnnsssaaabbbiiillliiittt dddeeesss mmmtttiiieeerrrsss



Acqurir et

Implmenter

Dlivrer et

Supporter

RRReeessspppooonnnsssaaabbbiiillliiittt dddeee llliiinnnfffooorrrmmmaaatttiiiqqquuueee

Contrles gnraux informatiques Contrles mtiers


Services automatiss

RRReeessspppooonnnsssaaabbbiiillliiittt dddeeesss mmmtttiiieeerrrsss

La liste suivante fournit un ensemble d'objectifs de contrle applicatifs recommands. Ils sont identifis par un numro CAn pour "Contrle Applicatif numro n".

CA1 Autorisation et prparation des donnes source S'assurer que les documents source sont prpars par le personnel qualifi et autoris, en respectant les procdures tablies, en tenant compte de la sparation adquate des tches entre la gnration/cration et la validation de ces documents. La bonne conception des masques de saisie permet de rduire les erreurs et omissions. Dtecter les erreurs et les anomalies de faon pouvoir les signaler et les corriger.

CA2 Collecte et saisie des donnes source Prvoir que la saisie des donnes sera effectue en temps utile, par le personnel autoris et qualifi. La correction et la ressaisie des donnes errones doivent tre effectues sans compromettre le niveau d'origine d'autorisation des transactions. Si la reconstruction des donnes le requiert, conserver les documents source d'origine pendant un laps de temps adquat.

CA3 Vrifications d'exactitude, d'exhaustivit et d'authenticit S'assurer que les transactions sont exactes, compltes et valides. Valider les donnes saisies et modifier ou renvoyer pour correction aussi prs que possible du point de cration.

CA4 Intgrit et validit du traitement Maintenir l'intgrit et la validit des donnes tout au long du cycle de traitement. La dtection des transactions errones n'interrompt pas le traitement des transactions valides.

CA5 Vrification des sorties, rapprochement et traitement des erreurs tablir des procdures et les responsabilits connexes pour s'assurer que le traitement des donnes en sortie est dment effectu, que ces donnes sont transmises au destinataire appropri et protges lors de leur transmission ; que la vrification, la dtection et la correction de l'exactitude des donnes en sortie a lieu et que les informations fournies dans ces donnes sont utilises.

CA6 Authentification et intgrit des transactions Avant d'changer des donnes de transaction entre les applications internes et les fonctions mtiers/fonctions oprationnelles (dans l'entreprise ou en dehors), vrifier l'exactitude des destinataires, l'authenticit de l'original et l'intgrit du contenu. Maintenir l'authenticit et l'intgrit lors de la transmission ou du transport.


http:www.afai.fr

CADRE DE RFRENCE Fond sur la mesure

Toute entreprise a un besoin vital d'apprhender l'tat de ses propres systmes informatiques et de dcider quel niveau de management et de contrle elle doit assurer. Pour dterminer le bon niveau, le management doit se demander : jusqu'o doit-on aller et les bnfices justifientils les cots ?

Obtenir une vue objective du niveau de performance d'une entreprise n'est pas chose aise. Que doit-on mesurer et comment ? Les entreprises ont besoin de pouvoir mesurer o elles en sont et o il faut apporter des amliorations, et il leur faut des outils de gestion pour surveiller ces amliorations. COBIT traite ces questions en fournissant : des modles de maturit pour permettre de se comparer et de dfinir l'amlioration ncessaire des capacits ; des objectifs de performances et des mtriques pour les processus informatiques, qui montrent jusqu' quel point les processus permettent

d'atteindre les objectifs mtiers et les objectifs informatiques ; ils servent mesurer la performance des processus internes selon les principes du tableau de bord quilibr ;

des objectifs d'activit pour favoriser une performance efficace des processus.

MODLES DE MATURIT On demande de plus en plus aux directions gnrales des entreprises publiques et prives de s'interroger sur la bonne gestion de leur informatique. Pour rpondre cette attente, des analyses d'optimisation de rentabilit concluent la ncessit d'amliorer cette gestion et d'atteindre le niveau appropri de gestion et de contrle de l'infrastructure informatique. Comme peu d'entre elles oseraient dire que ce n'est pas une bonne chose, elles doivent analyser l'quilibre cots/bnfices et se poser les questions suivantes : Que font nos confrres/concurrents et comment sommes-nous positionns par rapport eux ? Quelles sont les bonnes pratiques acceptables du march et comment nous situons-nous par rapport elles ? D'aprs ces comparaisons, peut-on dire que nous en faisons assez ? Comment identifie-t-on ce qu'il y a faire pour atteindre un niveau appropri de gestion et de contrle de nos processus informatiques ?

Il peut tre difficile d'apporter des rponses directes ces questions. La direction informatique est sans cesse la recherche d'outils d'autovaluation et de tests comparatifs pour rpondre la ncessit d'identifier les actions efficaces entreprendre et la faon de les mener efficacement. partir des processus COBIT, le propritaire d'un processus doit tre en mesure de se comparer sur une chelle vis--vis de cet objectif de contrle. Ceci rpond trois besoins : 1. une mesure relative de la situation actuelle de l'entreprise ; 2. une manire efficace de dsigner le but atteindre ; 3. un outil permettant de mesurer la progression vers l'objectif.

L'utilisation des modles de maturit pour la gestion et le contrle des processus informatiques se base sur une mthode d'valuation permettant de noter une entreprise selon un niveau de maturit gradu de 0 5 (d'Inexistant Optimis). Cette approche est base sur le Modle de Maturit que le Software Engineering Institute (SEI) a conu pour mesurer la capacit dvelopper des logiciels. Mme si les concepts de la mthode du SEI ont t respects, la mise en uvre de COBIT prsente des diffrences importantes par rapport la dmarche initiale du SEI, qui tait axe sur les principes d'ingnierie logicielle, les entreprises s'efforant d'atteindre un niveau d'excellence dans ces domaines et l'valuation officielle des niveaux de maturit de faon pouvoir "certifier" les dveloppeurs de logiciels. COBIT fournit une dfinition gnrique de l'chelle de maturit COBIT, qui est similaire au CMM mais interprte en tenant compte des processus de gestion informatique de COBIT. Un modle spcifique est fourni partir de cette chelle gnrique, pour chacun des 34 processus COBIT. Quel que soit le modle, les chelles ne doivent pas tre trop fines au risque de rendre le systme difficile utiliser en requrant une prcision inutile. En effet, le but est gnralement de trouver o se situent les problmes et comment tablir des priorits pour les rsoudre. Le but n'est pas d'valuer le niveau d'adhsion aux objectifs de contrle.

Les niveaux de maturit sont conus comme des profils de processus informatiques que l'entreprise peut reconnatre comme des situations existantes ou futures. Ils ne sont pas conus pour tre utiliss comme des modles par seuils qui exigeraient que toutes les conditions du niveau infrieur soient remplies pour accder au niveau suivant. Avec les modles de maturit COBIT, contrairement la dmarche CMM initiale du SEI, l'intention n'est pas de mesurer prcisment les niveaux ni d'essayer de certifier qu'un niveau a t prcisment atteint. Une valuation de maturit COBIT est susceptible de gnrer un profil dans lequel les conditions relatives plusieurs niveaux de maturit seront remplies, comme le montre le graphique de la figure 11.


http:www.afai.fr

COBIT4.1

0

0,1

0,2

0,3

0,4

0,5

0,6

0,7

Niveau MM1 Niveau MM2 Niveau MM3 Niveau MM4 Niveau MM5

Niveau de maturit possible dun processus informatique : lexemple illustre un processus qui atteint largement le niveau 3 mais qui prse