Cobit 4.1 : socle de la Gouvernance des systèmes d'information
Pour que l’informatique réponde correctement aux attentes de l’entreprise les dirigeants doivent mettre en place un système de contrôle ou de référence interne qui les guidera dans la gouvernance des SI.
Cobit est devenu l’intégrateur des meilleures pratiques en technologies de l’information et le référentiel général de la gouvernance des SI qui aide à comprendre et à gérer les risques et les bénéfices qui leur sont associés.
Les bonnes pratiques de Cobit sont le fruit d'un consensus d'experts. Elles sont très axées sur le contrôle au sens maîtrise et moins sur l'exécution. Elles ont pour but d'aider à optimiser les investissements informatiques, à assurer la fourniture des services et à fournir des métriques auxquelles se référer pour évaluer les dysfonctionnements. Cobit est en permanence tenu à jour et harmonisé avec les autres standards.
Cobit concerne différents types d'utilisateurs :
- les directions générales : pour que l'investissement informatique produise de la valeur et pour trouver le bon équilibre entre risques et investissements en contrôles dans un environnement informatique souvent imprévisible,
- les directions métiers : pour obtenir des assurances sur la gestion et le contrôle des services informatiques fournis en interne ou par des tiers,
- les directions informatiques : pour fournir les services informatiques dont les métiers ont besoin pour répondre à la stratégie de l'entreprise, et pour contrôler et bien gérer ces services,
- les auditeurs et consultants : pour justifier leurs opinions et/ou donner des conseils au management sur les contrôles internes et la gouvernance des SI.
Le cadre de référence de contrôle de Cobit facilite la mise en place d'une gouvernance des SI en :
- établissant un lien avec les exigences métier de l'entreprise,
- structurant les activités informatiques selon un Modèle de Processus largement reconnu,
- identifiant les principales ressources informatiques à mobiliser,
- définissant les objectifs de contrôle à prendre en compte.
L'orientation métier de Cobit consiste à lier les objectifs métier aux objectifs informatiques, à fournir les métriques (définir ce qui doit être mesuré et comment) et les modèles de maturité pour faire apparaître leur degré de réussite, et à identifier les responsabilités communes aux responsables de processus métier et de processus informatiques.
L'orientation processus de Cobit est illustrée par un modèle de processus qui subdivise l'informatique en 34 processus répartis entre les quatre domaines de responsabilités que sont planifier, mettre en place, faire fonctionner et surveiller, donnant ainsi une vision complète de l'activité informatique.
Les concepts d'architecture d'entreprise aident à identifier les ressources essentielles au bon déroulement des processus comme les applications, l'information, les infrastructures et les personnes. Pour fournir les informations dont l'entreprise a besoin pour réaliser ses objectifs, les ressources informatiques doivent être gérées par un ensemble de processus regroupés selon une certaine logique.
Les dirigeants ont besoin d'objectifs de contrôle pour fournir l'assurance raisonnable que les objectifs de l'entreprise seront atteints et que des dispositifs sont en place pour prévenir ou détecter et corriger des événements indésirables. Les entreprises ont besoin de pouvoir mesurer objectivement où elles en sont et où elles doivent apporter des améliorations, et elles ont besoin d'implémenter des outils de gestion pour surveiller ces améliorations.
La réponse à ce besoin de déterminer et de surveiller les niveaux de contrôle et de performance de l'informatique appropriés est apportée par Cobit sous forme de :
- Tests comparatifs de la capacité des processus informatiques présentés sous la forme de modèles de maturité inspirés du Capability Maturity Model du Software Engineering Institute,
- Objectifs et métriques des processus informatiques pour définir et mesurer leurs résultats et leurs performances (capacité à atteindre les objectifs métiers et informatiques) selon les principes du tableau de bord équilibré de Robert Kaplan et David Norton,
- Objectifs des activités pour mettre ces processus sous contrôle en se basant sur des objectifs de contrôle détaillés.
L'évaluation de la capacité des processus au moyen des modèles de maturité de COBIT élément clé de la mise en place d'une gouvernance des SI. Lorsqu'on a identifié les processus et les contrôles informatiques essentiels, le modèle de maturité permet de mettre en évidence les défauts de capacité et d'en faire la démonstration au management. On peut alors concevoir des plans d'action pour amener ces processus au niveau de capacité désiré.
Cobit concourt à la gouvernance des SI en aidant à s'assurer que les :
- les SI apportent un plus au métier, et maximisent ses résultats,
- les ressources des SI sont utilisées de façon responsable,
- les risques liés aux SI sont gérés comme il convient.
La mesure de la performance est essentielle à la gouvernance des SI. Elle est un élément de Cobit et consiste entre autres à fixer et à surveiller des objectifs mesurables pour ce que les processus informatiques sont censés fournir (résultat du processus) et pour la façon dont ils le fournissent (capacité et performance du processus).
Pour que cette gouvernance soit efficace, les dirigeants doivent obtenir des directions opérationnelles qu'elles mettent en place des contrôles dans un cadre de référence défini pour tous les processus informatiques.
En conclusion, parmi les avantages à adopter Cobit comme cadre de gouvernance des SI on peut citer :
- un meilleur alignement de l'informatique sur l'activité de l'entreprise du fait de son orientation métier,
- une vision compréhensible par le management de ce que fait l'informatique,
- une attribution claire de la propriété et des responsabilités, du fait de l'approche par processus,
- un préjugé favorable de la part des tiers et des organismes de contrôle,
- une bonne compréhension de toutes les parties prenantes grâce à un langage commun,
- le respect des exigences du Coso pour le contrôle de l'environnement informatique.
Cobit : Le modèle de référence
Cobit retient 34 processus regroupés en 4 domaines qui correspondent au cycle de vie des SI et à leur maîtrise : Planifier et Organiser (10 processus), Acquérir et Implémenter (7 processus), Délivrer et Supporter (13 processus), Surveiller et Evaluer (4 processus).
Chaque processus met en œuvre des ressources informatiques (applications, informations, infrastructures et personnes au sens compétences), fournit une information destinée à satisfaire les besoins métiers exprimés sous formes de critères (efficacité, efficience, confidentialité, intégrité, disponibilité, conformité, fiabilité) et concerne un ou plusieurs des domaines de la gouvernance des SI (alignement stratégique, apport de valeur, Gestion des risques, gestion des ressources, mesure de la performance).
Cobit V4.1
Cobit 4.1 est une version incrémentale de COBIT 4.0 comprenant :
- Une amélioration de la partie synthèse,
- Une présentation des objectifs et des métriques dans la partie cadre de référence,
- De meilleures définitions des concepts essentiels. Il est important de mentionner que la définition de l'objectif de contrôle a évoluée pour devenir davantage l'exposé d'une pratique de management,
- Une amélioration des objectifs de contrôle résultant d'une mise à jour des pratiques de contrôle et de la prise en compte de Val IT. Certains objectifs de contrôle ont été regroupés et/ou réécrits pour éviter les redondances et rendre la liste des objectifs de contrôle plus cohérente. Il en a résulté une renumérotation des objectifs de contrôle restants. Quelques objectifs de contrôle ont été réécrits afin de les rendre plus cohérents et davantage tournés vers l'action.
Plus précisément :
- AI5.5 et AI5.6 ont été regroupés avec AI5.4
- AI 7.9, AI7.10 et AI7.11 ont été regroupés avec AI7.8
- SE3 intègre désormais la conformité aux obligations contractuelles en plus des obligations légales et réglementaires.
- Les contrôles applicatifs ont été retravaillés afin de les rendre plus efficaces, pour aider à évaluer et rendre compte de l'efficacité des contrôles. Il en résulte une liste de six contrôles applicatifs au lieu des 18 de Cobit 4.0 avec des détails additionnels provenant des Pratiques de Contrôle Cobit , 2ème version.
- La liste des objectifs métiers et informatiques de l'Annexe I a été améliorée sur la base d'un nouveau regard résultant des travaux de recherche menés par l'Ecole de Management de Université d'Anvers (Belgique).
- Le hors texte a été enrichi. Il intègre une liste de référence rapide des processus Cobit et le diagramme de synthèse de description des domaines a été revu afin d'intégrer une référence aux contrôles de processus et aux contrôles applicatifs du Cadre de Référence Cobit.
- Les améliorations proposées par les utilisateurs de Cobit (Cobit 4.0 et Cobit Online) ont été revues et intégrées quand cela était opportun.
Cobit V4.1 est disponible en version française sous forme d'un livre dans lequel est encartée une version numérique sur cédérom. Vous pouvez le commander sur ce site.
Source : AFAI