Upload
dounia-ainuod
View
216
Download
0
Embed Size (px)
Citation preview
8/2/2019 CobiT Et Gouvernance Des SI-1
1/9
Introduction
Constat : Le fonctionnement de la majorit des grandes entreprises, aujourd'hui, repose
compltement sur le traitement de l'information. Ncessit : Il est vital, pour leur avenir, que
le systme d'information soit en cohrence avec les objectifs et la stratgie globale de
l'entreprise. Volont des dirigeants : Le SI doit apporter de la valeur ajout et de la
performance dans lorganisation. Le CobiTest un outil puissant qui a t conu pour uvrer
dans ce sens.
I. Prsentation gnrale de CobiT1. Historique de CobiT
CobiT est le rsultat des travaux collectifs raliss par les principaux acteurs de la
profession, auditeurs internes ou externes, fdrs au sein de lISACA (Information System
Audit and Control Association). Cette association mondiale base aux tats-Unis est dploye
dans les plus grandes villes du monde. Elle est reprsente en France par lAFAI (Association
franaise pour laudit et le conseil en informatique).
Dans ses premires versions, publies partir de 1996, CobiT (Control OBjectives for
Information and related Technology) se positionne comme un rfrentiel de contrle. Il
dcline sur le domaine IT les principes du rfrentiel COSO (Committee of Sponsoring
Organizations of the Treadway Commission), publis pour la premire fois en 1992 et dont
lobjectif est daider les entreprises valuer et amliorer leur systme de contrle interne.
En 1998, lITGI (Information Technology Governance Institute) a t cr sur linitiative de
lISACA, en rponse la place de plus en plus importante occupe par l es technologies de
linformation. En effet, dans la plupart des organisations ou des entreprises, lun des
principaux facteurs de succs rside dans la capacit des systmes dinformation apporter
la fois la diffrenciation stratgique et le support des activits. Dans un tel contexte, la
gouvernance des systmes dinformation devient aussi critique que la gouvernance
dentreprise.
la suite des scandales ayant eu lieu au dbut des annes 2000 (Enron, etc.), le Congrs
amricain vote, en 2002, la loi Sarbanes-Oxley (SOX) afin de redonner confiance aux
investisseurs et aux actionnaires en garantissant la fois la transparence des comptes,
lexistence de processus dalerte et lengagement des dirigeants (PDG, DAF). Ceci se traduit
par un renforcement des contrles lis aux processus financiers.
8/2/2019 CobiT Et Gouvernance Des SI-1
2/9
Exemple : On retiendra, par exemple, la section 404 qui exige un contrle strict des accs et
des autorisations.
Bref : CobiT a t reconnu comme une rponse ces nouvelles exigences, tant en termes de
contrle que de gouvernance.
Les dispositions rglementaires, comme la loi SOX (IFRS,International Financial Reporting
Standards, LSF, Loi de scurit financire, normes Ble II) ont acclr la diffusion de CobiT
comme rfrentiel de contrle et de gouvernance des SI.
2. CobiT et la gouvernance des SIEn tant que rfrentiel de la gouvernance des systmes dinformation, le primtre de
CobiT dpasse celui dvolu la direction des systmes dinformation pour englober toutes les
parties prenantes des SI dans lentreprise (stakeholders1). 1. Stakeholders : reprsentelensemble des acteurs concerns par la gouvernance des SI, aussi bien les actionnaires et la
direction gnrale que les mtiers. Ce terme est souvent traduit par les parties prenantes.
Selon CobiT, la gouvernance des systmes dinformation est de la responsabilit des
dirigeants et du conseil dadministration, elle est constitue des structures et processus de
commandement et de fonctionnement qui conduisent linformatique de lentreprise soutenir
les stratgies et les objectifs de lentreprise, et lui permettre de les largir .
Shma :
Cette figure illustre aussi bien la responsabilit de la fonction IT sur les quatre grands
domaines de la gouvernance selon CobiT (planifier et organiser, dlivrer et supporter,
surveiller et valuer, acqurir et implmenter) que les responsabilits des mtiers.
CobiT se fixe des objectifs trs pragmatiques refltant les proccupations de la direction
gnrale, tels que :
articuler le systme dinformation aux besoins des mtiers, cest lalignement stratgique ;
apporter des avantages concrets au fonctionnement des processus mtier (efficacit et
efficience) ;
8/2/2019 CobiT Et Gouvernance Des SI-1
3/9
utiliser lensemble des ressources en liaison avec les SI (infrastructures,applications,
informations et personnes) de faon optimise et responsable;
matriser les risques lis au SI et leurs impacts pour les mtiers.
Structur en processus1, CobiT prend en compte les besoins des mtiers,et plus gnralement
des parties prenantes, dans une logique damlioration continue.
Les entres des processus CobiT sont bases sur les exigences ngocies des parties prenantes
(mtiers, etc.) conduisant des objectifs.Ensuite, lexcution des processus est garantie par
des responsabilits clairement affectes et des mesures de performances face aux objectifs
fixs.
La satisfaction des clients fait partie des mesures de performance. ce stade, loriginalit
de CobiT est sans doute de crer systmatiquement un lien entre parties prenantes et DSI, ce
qui ncessite bien souvent une petite rvolution culturelle aussi bien pour les acteurs de la DSI
dans leur tour divoire que pour les mtiers et la direction gnrale qui ignoreraient
superbement le caractre stratgique des SI. Le point cl sous-jacent cette dmarche est
linstauration de dialogues constructifs tous les niveaux de lorganisation, entre parties
prenantes et DSI.
Ce postulat pos, chaque processus propose une liste dobjectifs de contrle qui nous semble
solide et une vision du management du processus (activits principales, responsabilits et
indicateurs) qui nous parat plutt indicative et sujette contextualisation. Le rfrentiel
CobiT, avec ses 34 processus gnriques, est une proposition qui pourra tre revue pour
sadapter la cartographie propre de lorganisation considre.
De la mme faon, on pourra facilement coupler CobiT dautres rfrentiels du march
(ISO 27001, ITIL pour Information Technology Infrastructure Library ou CMMI pour
Capability Maturity Model Integration) en btissant un cadre de rfrence satisfaisant
lensemble des exigences.
Ceci est dautant plus vrai que les processus de CobiT sont parfois globaux et sinterprtent
souvent comme des macroprocessus de rfrentiels plus spcialiss. CobiT est donc un
cadre fdrateur. CobiT sert aussi comparer entre elles (benchmark) diffrentes entits de
lentreprise. Il permet galement, avec les restrictions dusage, de se comparer dautres
entreprises. Plus couramment, il conduit la dfinition de ses propres objectifs et leur
valuation priodique.
8/2/2019 CobiT Et Gouvernance Des SI-1
4/9
Les membres de lISACA utilisent CobiT dans de nombreux secteurs dactivit travers le
monde. Les spcificits culturelles et les diffrences davance de dveloppement sur le plan
technologique ne semblent pas limiter ladquation de CobiTpour lalignement des systmes
dinformation aux objectifs stratgiques de lentreprise.
3. Les axes stratgiques de CobiTEn rponse la volont dexercer une bonne gouvernance des SI, CobiT sattache aux
cinq axes prsents ci-aprs :
Lalignement stratgique :Il consiste sassurer que les plans informatiques restent aligns sur les plans des mtiers,
dfinir, tenir jour et valider les propositions de valeur ajoute de linformatique, aligner lefonctionnement de linformatique sur le fonctionnement de lentreprise.
Exemple :
Une direction marketing qui souhaite lancer un nouveau produit ou service. Il est
indispensable de sassurer que les exemplaires de ce produit, lorsquils seront disponibles,
pourront tre commands puis facturs. Si le canal de commande est le Web, la disponibilit
de lapplication de commande en ligne doit tre assure avec lensemble des lments
ncessaires la commande du produit (rfrences, prix, conditions particulires, etc.).Par alignement stratgique, il faut donc entendre la capacit fournir les services souhaits en
temps et en heure avec le niveau de qualit requis.
Dans le cas de notre direction marketing, cela signifie que le projet de mise disposition de
commande en ligne doit tre identifi et prioris ds la rflexion amont par la direction
marketing, ceci afin dtre dans les temps au moment de lannonce du produit au march.
Lalignement stratgique se matrialise par un plan stratgique qui devra traiter des budgets
dinvestissements et de fonctionnement, des sources de financement, des stratgies de
fourniture et dachats tout en intgrant les exigences lgales et rglementaires.
Lapport de valeur :Il consiste mettre en uvre la proposition de valeur ajoute tout au long de la fourniture du
service, sassurer que linformatique apporte bien les bnfices attendus sur le plan
stratgique, sattacher optimiser les cots et prouver la valeur intrinsque des SI.
Exemple :
8/2/2019 CobiT Et Gouvernance Des SI-1
5/9
Dans le cas de notre direction marketing, lapport de valeur va se matrialiser par la mise en
place dun canal de distribution adressant une nouvelle clientle. Il permettra la vente
permanente du produit tout en saffranchissant des contraintes de la distribution classique
organise autour dun lieu gographique et de plages horaires plus limites que laccs Web.
Dans le processus de distribution, lapport de linformatique doit pouvoir tre mesur afin
didentifier la valeur apporte en termes de volume de ventes, de progression de chiffre
daffaires et de marge par rapport aux prvisions. Lapport de valeur se concrtise par la
matrise des processus de fonctionnement en termes defficacit et defficience. Ceci vient
complter le processus de pilotage des investissements qui traitera des cots, des bnfices et
des priorits en fonction de critres dinvestissement tablis (ROI [Return On Investment],
dure damortissement, valeur nette actuelle).
La gestion des risques :Elle exige une conscience des risques de la part des cadres suprieurs, une vision claire de
lapptence de lentreprise pour le risque, une bonne connaissance des exigences de
conformit, de la transparence propos des risques significatifs encourus par lentreprise et
lattribution des responsabilits dans la gestion des risques au sein de lentreprise.
Exemple :
Dans notre exemple de distribution par le Web, si ce canal est le seul prvu pour le produit en
question, lindisponibilit pour cause de panne ou de retard dans louverture du service de
commande en ligne se solde par une perte nette de revenus qui ne sera jamais rcupre. Dans
le secteur du transport arien, la panne du systme de rservation peut clouer au sol
lensemble des avions dune compagnie. Dans le monde boursier, larrt des systmes
informatiques stoppe immdiatement toutes les transactions. La gestion des risques
informatiques ou des systmes dinformation correspond un rfrentiel qui comprend une
analyse de risque et un plan de traitement des risques associ. Ce plan de traitement des
risques doit tre tabli selon des critres de tolrance par rapport au prjudice financier li laralisation des risques. Cela veut dire en dautres termes que les moyens engags pour couvrir
les risques ne doivent pas coter plus cher que le prjudice lui-mme.
La gestion des ressources :Elle consiste optimiser linvestissement dans les ressources informatiques vitales et bien
les grer applications, informations, infrastructures et personnes.
Les questions cls concernent loptimisation des connaissances et de linfrastructure.Exemple :
8/2/2019 CobiT Et Gouvernance Des SI-1
6/9
8/2/2019 CobiT Et Gouvernance Des SI-1
7/9
aux services offerts aux clients de la DSI. Enfin, le domaine SE couvre largement la
dimension de contrle, daudit et de surveillance de lensemble.
Les critres dinformation :Pour la gouvernance des TI, CobiT prend en compte une trs riche segmentation de
linformation selon des critres prcis (efficacit, efficience, confidentialit, intgrit,
disponibilit, conformit et fiabilit). Ces critres correspondent aussi bien au point de vue
dun auditeur qu celui du manager.
Les ressources informatiques :Cette dnomination regroupe les quatre classes suivantes : applications, informations,
infrastructures et personnes.
Application : les systmes automatiss et les procdures pour traiter linformation.
Information : les donnes, comme entres ou sorties des systmes dinformation, quelle que
soit leur forme.
Infrastructure : les technologies et les installations qui permettent le traitement des
applications.
Personnes : les ressources humaines ncessaires pour organiser, planifier, acqurir, dlivrer,supporter, surveiller et valuer les systmes dinformation et les services.
Objectifs mtier et objectifs informatiques :De faon globale, CobiT propose 17 objectifs mtier rpartis selon les quatre axes dun BSC,
savoir : perspective financire, perspective client, perspective interne la DSI et perspective
future ou anticipation. Ces 17 objectifs mtier renvoient 28 objectifs informatiques, eux
mmes lis aux processus CobiT, un mme objectif informatique tant associ un ouplusieurs processus CobiT. Ainsi, CobiT offre une transitivit entre objectifs mtier et
informatiques, processus et activits.
2. Les processus de CobiTLe COBIT est un rfrentiel de gouvernance des systmes d'information qui dcompose
tout systme informatique en 34 processus, lesquels sont rpartis en quatre domaines
fonctionnels : Planifier et Oragniser (Plan and Organise) (10 processus).
8/2/2019 CobiT Et Gouvernance Des SI-1
8/9
Acqurir et Implmenter (Acquire and Implement) (7 processus). Livrer et Supporter (Deliver and Support) (13 processus). Surveiller et Evaluer (Monitor and Evaluate) (4 processus).
Ces 4 domaines permettent de couvrir 318 objectifs.
Ce rfrentiel s'adresse majoritairement deux grandes catgories d'acteurs :
Les auditeurs et consultants, Les responsables des systmes d'information. La direction gnrale ainsi que les diverses directions mtiers sont bien videmment
concernes dans la mise en place et lutilisation de COBIT.
Chaque processus :
Met en uvre des ressources informatiques (applications, informations, infrastructureset personnes au sens comptences) ;
Fournit une information destine satisfaire les besoins mtiers exprims sous formesde critres (efficacit, efficience, confidentialit, intgrit, disponibilit, conformit,
fiabilit) ;
Concerne un ou plusieurs des domaines de la gouvernance des SI (alignementstratgique, apport de valeur, gestion des risques, gestion des ressources, mesure de la
performance).
3. Le modle de maturitLe CobiT sert aussi valuer les processus mis en place. Il permet de dfinir leur niveau
de maturit. CobiTpropose un modle de maturit gnrique faisant lobjet dune dclinaison
spcifique pour chacun des 34 processus. Ainsi, la mise en uvre de chacun des 34 processus
peut tre confronte des stades du modle de maturit selon une chelle classique en la
matire.
En se limitant cette description gnrique, on peut donc mesurer de faon globale lamaturit de chaque processus et piloter leur amlioration.
Ci-aprs une reprsentation graphique des rsultats permettant une Direction Gnrale de
visualiser les points forts et les points faibles de son entreprise. On peut y dceler soit une
certaine homognit des processus, soit au contraire des maillons faibles ncessitant une
rvision de stratgie.
8/2/2019 CobiT Et Gouvernance Des SI-1
9/9
Conclusion
Les limites : ce que CobiT nest pas
Mme si CobiT est lorigine un rfrentiel issu du monde du contrle interne, il na paspour vocation de servir de rfrentiel de certification selon une approche de conformit des exigences rglementaires ou contractuelles comme lISO 9001, ou dvaluation de
processus comme lapproche CMMI. En revanche, les objectifs de contrle de CobiT sont
largement utiliss pour rpondre des exigences de certification ou de contrle interne
comme SOX, Ble II.
CobiT ne propose pas une organisation spcifique lie la gouvernance des systmesdinformation dune entreprise comme le proposent les normes de systme de management
pour la filire qualit. Enfin, CobiT nest pas un outil de conduite du changement miraculeux qui diffuserait une
culture de la mesure de la performance et de lamlioration. En revanche, son dploiement
peut aider le management mener une action de changement simultanment.