CobiT Et Gouvernance Des SI-1

8/2/2019 CobiT Et Gouvernance Des SI-1

1/9

Introduction

Constat : Le fonctionnement de la majorit des grandes entreprises, aujourd'hui, repose

compltement sur le traitement de l'information. Ncessit : Il est vital, pour leur avenir, que

le systme d'information soit en cohrence avec les objectifs et la stratgie globale de

l'entreprise. Volont des dirigeants : Le SI doit apporter de la valeur ajout et de la

performance dans lorganisation. Le CobiTest un outil puissant qui a t conu pour uvrer

dans ce sens.

I. Prsentation gnrale de CobiT1. Historique de CobiT

CobiT est le rsultat des travaux collectifs raliss par les principaux acteurs de la

profession, auditeurs internes ou externes, fdrs au sein de lISACA (Information System

Audit and Control Association). Cette association mondiale base aux tats-Unis est dploye

dans les plus grandes villes du monde. Elle est reprsente en France par lAFAI (Association

franaise pour laudit et le conseil en informatique).

Dans ses premires versions, publies partir de 1996, CobiT (Control OBjectives for

Information and related Technology) se positionne comme un rfrentiel de contrle. Il

dcline sur le domaine IT les principes du rfrentiel COSO (Committee of Sponsoring

Organizations of the Treadway Commission), publis pour la premire fois en 1992 et dont

lobjectif est daider les entreprises valuer et amliorer leur systme de contrle interne.

En 1998, lITGI (Information Technology Governance Institute) a t cr sur linitiative de

lISACA, en rponse la place de plus en plus importante occupe par l es technologies de

linformation. En effet, dans la plupart des organisations ou des entreprises, lun des

principaux facteurs de succs rside dans la capacit des systmes dinformation apporter

la fois la diffrenciation stratgique et le support des activits. Dans un tel contexte, la

gouvernance des systmes dinformation devient aussi critique que la gouvernance

dentreprise.

la suite des scandales ayant eu lieu au dbut des annes 2000 (Enron, etc.), le Congrs

amricain vote, en 2002, la loi Sarbanes-Oxley (SOX) afin de redonner confiance aux

investisseurs et aux actionnaires en garantissant la fois la transparence des comptes,

lexistence de processus dalerte et lengagement des dirigeants (PDG, DAF). Ceci se traduit

par un renforcement des contrles lis aux processus financiers.


2/9

Exemple : On retiendra, par exemple, la section 404 qui exige un contrle strict des accs et

des autorisations.

Bref : CobiT a t reconnu comme une rponse ces nouvelles exigences, tant en termes de

contrle que de gouvernance.

Les dispositions rglementaires, comme la loi SOX (IFRS,International Financial Reporting

Standards, LSF, Loi de scurit financire, normes Ble II) ont acclr la diffusion de CobiT

comme rfrentiel de contrle et de gouvernance des SI.

2. CobiT et la gouvernance des SIEn tant que rfrentiel de la gouvernance des systmes dinformation, le primtre de

CobiT dpasse celui dvolu la direction des systmes dinformation pour englober toutes les

parties prenantes des SI dans lentreprise (stakeholders1). 1. Stakeholders : reprsentelensemble des acteurs concerns par la gouvernance des SI, aussi bien les actionnaires et la

direction gnrale que les mtiers. Ce terme est souvent traduit par les parties prenantes.

Selon CobiT, la gouvernance des systmes dinformation est de la responsabilit des

dirigeants et du conseil dadministration, elle est constitue des structures et processus de

commandement et de fonctionnement qui conduisent linformatique de lentreprise soutenir

les stratgies et les objectifs de lentreprise, et lui permettre de les largir .

Shma :

Cette figure illustre aussi bien la responsabilit de la fonction IT sur les quatre grands

domaines de la gouvernance selon CobiT (planifier et organiser, dlivrer et supporter,

surveiller et valuer, acqurir et implmenter) que les responsabilits des mtiers.

CobiT se fixe des objectifs trs pragmatiques refltant les proccupations de la direction

gnrale, tels que :

articuler le systme dinformation aux besoins des mtiers, cest lalignement stratgique ;

apporter des avantages concrets au fonctionnement des processus mtier (efficacit et

efficience) ;


3/9

utiliser lensemble des ressources en liaison avec les SI (infrastructures,applications,

informations et personnes) de faon optimise et responsable;

matriser les risques lis au SI et leurs impacts pour les mtiers.

Structur en processus1, CobiT prend en compte les besoins des mtiers,et plus gnralement

des parties prenantes, dans une logique damlioration continue.

Les entres des processus CobiT sont bases sur les exigences ngocies des parties prenantes

(mtiers, etc.) conduisant des objectifs.Ensuite, lexcution des processus est garantie par

des responsabilits clairement affectes et des mesures de performances face aux objectifs

fixs.

La satisfaction des clients fait partie des mesures de performance. ce stade, loriginalit

de CobiT est sans doute de crer systmatiquement un lien entre parties prenantes et DSI, ce

qui ncessite bien souvent une petite rvolution culturelle aussi bien pour les acteurs de la DSI

dans leur tour divoire que pour les mtiers et la direction gnrale qui ignoreraient

superbement le caractre stratgique des SI. Le point cl sous-jacent cette dmarche est

linstauration de dialogues constructifs tous les niveaux de lorganisation, entre parties

prenantes et DSI.

Ce postulat pos, chaque processus propose une liste dobjectifs de contrle qui nous semble

solide et une vision du management du processus (activits principales, responsabilits et

indicateurs) qui nous parat plutt indicative et sujette contextualisation. Le rfrentiel

CobiT, avec ses 34 processus gnriques, est une proposition qui pourra tre revue pour

sadapter la cartographie propre de lorganisation considre.

De la mme faon, on pourra facilement coupler CobiT dautres rfrentiels du march

(ISO 27001, ITIL pour Information Technology Infrastructure Library ou CMMI pour

Capability Maturity Model Integration) en btissant un cadre de rfrence satisfaisant

lensemble des exigences.

Ceci est dautant plus vrai que les processus de CobiT sont parfois globaux et sinterprtent

souvent comme des macroprocessus de rfrentiels plus spcialiss. CobiT est donc un

cadre fdrateur. CobiT sert aussi comparer entre elles (benchmark) diffrentes entits de

lentreprise. Il permet galement, avec les restrictions dusage, de se comparer dautres

entreprises. Plus couramment, il conduit la dfinition de ses propres objectifs et leur

valuation priodique.


4/9

Les membres de lISACA utilisent CobiT dans de nombreux secteurs dactivit travers le

monde. Les spcificits culturelles et les diffrences davance de dveloppement sur le plan

technologique ne semblent pas limiter ladquation de CobiTpour lalignement des systmes

dinformation aux objectifs stratgiques de lentreprise.

3. Les axes stratgiques de CobiTEn rponse la volont dexercer une bonne gouvernance des SI, CobiT sattache aux

cinq axes prsents ci-aprs :

Lalignement stratgique :Il consiste sassurer que les plans informatiques restent aligns sur les plans des mtiers,

dfinir, tenir jour et valider les propositions de valeur ajoute de linformatique, aligner lefonctionnement de linformatique sur le fonctionnement de lentreprise.

Exemple :

Une direction marketing qui souhaite lancer un nouveau produit ou service. Il est

indispensable de sassurer que les exemplaires de ce produit, lorsquils seront disponibles,

pourront tre commands puis facturs. Si le canal de commande est le Web, la disponibilit

de lapplication de commande en ligne doit tre assure avec lensemble des lments

ncessaires la commande du produit (rfrences, prix, conditions particulires, etc.).Par alignement stratgique, il faut donc entendre la capacit fournir les services souhaits en

temps et en heure avec le niveau de qualit requis.

Dans le cas de notre direction marketing, cela signifie que le projet de mise disposition de

commande en ligne doit tre identifi et prioris ds la rflexion amont par la direction

marketing, ceci afin dtre dans les temps au moment de lannonce du produit au march.

Lalignement stratgique se matrialise par un plan stratgique qui devra traiter des budgets

dinvestissements et de fonctionnement, des sources de financement, des stratgies de

fourniture et dachats tout en intgrant les exigences lgales et rglementaires.

Lapport de valeur :Il consiste mettre en uvre la proposition de valeur ajoute tout au long de la fourniture du

service, sassurer que linformatique apporte bien les bnfices attendus sur le plan

stratgique, sattacher optimiser les cots et prouver la valeur intrinsque des SI.

Exemple :


5/9

Dans le cas de notre direction marketing, lapport de valeur va se matrialiser par la mise en

place dun canal de distribution adressant une nouvelle clientle. Il permettra la vente

permanente du produit tout en saffranchissant des contraintes de la distribution classique

organise autour dun lieu gographique et de plages horaires plus limites que laccs Web.

Dans le processus de distribution, lapport de linformatique doit pouvoir tre mesur afin

didentifier la valeur apporte en termes de volume de ventes, de progression de chiffre

daffaires et de marge par rapport aux prvisions. Lapport de valeur se concrtise par la

matrise des processus de fonctionnement en termes defficacit et defficience. Ceci vient

complter le processus de pilotage des investissements qui traitera des cots, des bnfices et

des priorits en fonction de critres dinvestissement tablis (ROI [Return On Investment],

dure damortissement, valeur nette actuelle).

La gestion des risques :Elle exige une conscience des risques de la part des cadres suprieurs, une vision claire de

lapptence de lentreprise pour le risque, une bonne connaissance des exigences de

conformit, de la transparence propos des risques significatifs encourus par lentreprise et

lattribution des responsabilits dans la gestion des risques au sein de lentreprise.

Exemple :

Dans notre exemple de distribution par le Web, si ce canal est le seul prvu pour le produit en

question, lindisponibilit pour cause de panne ou de retard dans louverture du service de

commande en ligne se solde par une perte nette de revenus qui ne sera jamais rcupre. Dans

le secteur du transport arien, la panne du systme de rservation peut clouer au sol

lensemble des avions dune compagnie. Dans le monde boursier, larrt des systmes

informatiques stoppe immdiatement toutes les transactions. La gestion des risques

informatiques ou des systmes dinformation correspond un rfrentiel qui comprend une

analyse de risque et un plan de traitement des risques associ. Ce plan de traitement des

risques doit tre tabli selon des critres de tolrance par rapport au prjudice financier li laralisation des risques. Cela veut dire en dautres termes que les moyens engags pour couvrir

les risques ne doivent pas coter plus cher que le prjudice lui-mme.

La gestion des ressources :Elle consiste optimiser linvestissement dans les ressources informatiques vitales et bien

les grer applications, informations, infrastructures et personnes.

Les questions cls concernent loptimisation des connaissances et de linfrastructure.Exemple :


6/9


7/9

aux services offerts aux clients de la DSI. Enfin, le domaine SE couvre largement la

dimension de contrle, daudit et de surveillance de lensemble.

Les critres dinformation :Pour la gouvernance des TI, CobiT prend en compte une trs riche segmentation de

linformation selon des critres prcis (efficacit, efficience, confidentialit, intgrit,

disponibilit, conformit et fiabilit). Ces critres correspondent aussi bien au point de vue

dun auditeur qu celui du manager.

Les ressources informatiques :Cette dnomination regroupe les quatre classes suivantes : applications, informations,

infrastructures et personnes.

Application : les systmes automatiss et les procdures pour traiter linformation.

Information : les donnes, comme entres ou sorties des systmes dinformation, quelle que

soit leur forme.

Infrastructure : les technologies et les installations qui permettent le traitement des

applications.

Personnes : les ressources humaines ncessaires pour organiser, planifier, acqurir, dlivrer,supporter, surveiller et valuer les systmes dinformation et les services.

Objectifs mtier et objectifs informatiques :De faon globale, CobiT propose 17 objectifs mtier rpartis selon les quatre axes dun BSC,

savoir : perspective financire, perspective client, perspective interne la DSI et perspective

future ou anticipation. Ces 17 objectifs mtier renvoient 28 objectifs informatiques, eux

mmes lis aux processus CobiT, un mme objectif informatique tant associ un ouplusieurs processus CobiT. Ainsi, CobiT offre une transitivit entre objectifs mtier et

informatiques, processus et activits.

2. Les processus de CobiTLe COBIT est un rfrentiel de gouvernance des systmes d'information qui dcompose

tout systme informatique en 34 processus, lesquels sont rpartis en quatre domaines

fonctionnels : Planifier et Oragniser (Plan and Organise) (10 processus).


8/9

Acqurir et Implmenter (Acquire and Implement) (7 processus). Livrer et Supporter (Deliver and Support) (13 processus). Surveiller et Evaluer (Monitor and Evaluate) (4 processus).

Ces 4 domaines permettent de couvrir 318 objectifs.

Ce rfrentiel s'adresse majoritairement deux grandes catgories d'acteurs :

Les auditeurs et consultants, Les responsables des systmes d'information. La direction gnrale ainsi que les diverses directions mtiers sont bien videmment

concernes dans la mise en place et lutilisation de COBIT.

Chaque processus :

Met en uvre des ressources informatiques (applications, informations, infrastructureset personnes au sens comptences) ;

Fournit une information destine satisfaire les besoins mtiers exprims sous formesde critres (efficacit, efficience, confidentialit, intgrit, disponibilit, conformit,

fiabilit) ;

Concerne un ou plusieurs des domaines de la gouvernance des SI (alignementstratgique, apport de valeur, gestion des risques, gestion des ressources, mesure de la

performance).

3. Le modle de maturitLe CobiT sert aussi valuer les processus mis en place. Il permet de dfinir leur niveau

de maturit. CobiTpropose un modle de maturit gnrique faisant lobjet dune dclinaison

spcifique pour chacun des 34 processus. Ainsi, la mise en uvre de chacun des 34 processus

peut tre confronte des stades du modle de maturit selon une chelle classique en la

matire.

En se limitant cette description gnrique, on peut donc mesurer de faon globale lamaturit de chaque processus et piloter leur amlioration.

Ci-aprs une reprsentation graphique des rsultats permettant une Direction Gnrale de

visualiser les points forts et les points faibles de son entreprise. On peut y dceler soit une

certaine homognit des processus, soit au contraire des maillons faibles ncessitant une

rvision de stratgie.


9/9

Conclusion

Les limites : ce que CobiT nest pas

Mme si CobiT est lorigine un rfrentiel issu du monde du contrle interne, il na paspour vocation de servir de rfrentiel de certification selon une approche de conformit des exigences rglementaires ou contractuelles comme lISO 9001, ou dvaluation de

processus comme lapproche CMMI. En revanche, les objectifs de contrle de CobiT sont

largement utiliss pour rpondre des exigences de certification ou de contrle interne

comme SOX, Ble II.

CobiT ne propose pas une organisation spcifique lie la gouvernance des systmesdinformation dune entreprise comme le proposent les normes de systme de management

pour la filire qualit. Enfin, CobiT nest pas un outil de conduite du changement miraculeux qui diffuserait une

culture de la mesure de la performance et de lamlioration. En revanche, son dploiement

peut aider le management mener une action de changement simultanment.

Documents

CobiT Et Gouvernance Des SI-1