Le modle COBIT

Square des Utilisateurs

Management des technologies de l'information par les

processus

Second volet de notre dossier processus, le modle COBIT nous est prsent par Claude Mauvais. Fautil y voir un concurrent de CMM et SPICE, ou plutt une approche complmentaire ? Nous parle-t-il des
mmes processus que lISO 12207, couvre-t-il un domaine identique ou sensiblement
diffrent ?Lapproche par le contrle et les risques est-elle compatible avec une dmarche
damlioration de la qualit ? Chaque question en amne une autre. Souhaitons quun dbat souvre
entre nos adhrents sur ces sujets, au travers de la lettre et au travers du forum Processus, ouvert sur
lespace adhrents de notre site Web.

Le modle COBIT
L'utilisation des technologies de l'information (TI) est largement rpandue dans la plupart des
entreprises. Les systmes d'information, oprationnels et stratgiques, sont porteurs
davantages substantiels en termes de productivit et d'opportunit d'affaires. En revanche, ces
systmes apparaissent vulnrables, face un large ventail de menaces souvent imprvisibles.
La comprhension de ces risques et leur gestion est donc un problme majeur qui concerne les
directions des entreprises, les propritaires des processus d'affaire et les auditeurs. Pour
rpondre ce besoin de matrise globale des systmes d'information, l'ISACA1 a propos un
cadre conceptuel de contrle ainsi que des outils pour la mise en place des contrles.
Ce cadre concerne trois audiences :

d'abord,

les Dire ctions ; les pratiques indiques dans COBIT , gnralement acceptes, les
aident quilibrer les investissements en moyens de contrle, face aux risques et de remplir
leurs obligations vis--vis des parties prenantes de l'entreprise ( IT governance ) ;

ensuite,

les propri taire s de s proce ssus fonctionne ls qui disposent de l'ensemble des
lments permettant d'avoir des garanties sur la scurit et les contrles des services fournis
par les T I, qu'ils soient fournis en interne ou par un prestataire extrieur ;

enfin,

les audite urs en leur permettant de justifier leur opinion et d'apporter des
recommandations aux directions en terme de contrle interne en matire de T I.

Les principes et concepts

Le principe de base, sur lequel repose l'approche de contrle applicable aux technologies de
l'information, consiste partir des besoins d'information de l'entreprise dcoulant de ses
processus d'affaire, et de considrer que cette information est produite par l'utilisation de
ressources qui doivent tre gres par des processus spcifiques aux technologies de
l'information.

1 ISACA: Information Systems Audit and Control Association . Association de professionnels de la vrification, la

scurit et le contrle des technologies de l'information. L'ISACA a t fonde en 1969 sous le nom de EDP
Auditors Association. Elle comprend aujourdhui plus de 20.000 professionnels dans plus de 100 pays.
La Lettre d'ADELI n 43 Avril 2001

27

L'inform ation

L'information prsente trois aspects :

l'aspect Q ualit comprend galement les aspects cot et dlai ;

laspect Fiduciaire englobe l'efficacit et l'efficience des

oprations, la fiabilit de

l'information, le respect des lois et rglements ;

l'aspect S curit comporte 3 composantes: confidentialit, intgrit, disponibilit.

Ces aspects sont dclins selon 7 critres auxquels doit satisfaire l'information:

Efficacit : proprit qui s'applique une information approprie et pertinente,

dlivre dans les dlais, exacte, cohrente, et utilisable.

Efficience : concerne la fourniture d'une information en utilisant les ressources de

faon optimale.

Confidentialit : concerne la protection d'une information sensible contre la

divulgation ou la rvlation non autorises.

Intgrit : proprit en rapport avec l'exactitude et l'exhaustivit de l'information, ainsi

que sa valeur d'utilisation pour l'entreprise.

Disponibilit : proprit d'une information, d'une ressource, d'un service d'tre

disponible temps et de continuer l'tre pour l'accomplissement d'un processus
fonctionnel. Elle concerne galement la protection des ressources et des moyens
ncessaires.

Conformit : il s'agit de la conformit aux lois et aux rglements en vigueur ainsi que le
respect des contrats auxquels est soumis le processus fonctionnel, qui sont des
contraintes externes.

Fiabilit de l'information : proprit d'une l'information fournie la Direction lui

permettant de diriger l'entreprise et de prsenter des tats financiers en conformit avec
sa responsabilit.

Les critres sont mesurs suivant une mtrique deux valeurs. On distingue un niveau primaire
lorsque le critre revt une importance primordiale pour l'objectif de contrle considr, et un
degr secondaire lorsque l'impact est moins important ou indirect.
Les ressources
L'information est produite par des systmes qui mobilisent les ressources suivantes.

Les

donnes comprennent les donnes structures et non structures : graphiques, images,

sons etc.

Les applications comprennent des procdures programmes et des procdures manuelles.

Les moyens technologiques le matriel, les systmes d'exploitation, les bases de donnes, les
rseaux, le multimdia, etc.

Les installations abritent ou supportent les systmes.

Les personnes : avec leur formation, leur comptence et

leur capacit leur permettant de

planifier, d'organiser, d'acqurir, de livrer, de supporter, et de surveiller les systmes et les
services d'information.

28

La Lettre d'ADELI n 43 Avril 2001

Les processus TI
Pour s'assurer que l'information rpond aux besoins de l'entreprise, les contrles des ressources
doivent tre pralablement dfinis, mis en uvre et surveills, au niveau des activits de la
fonction informatique et des utilisateurs de l'informatique.
Comment une organisation s'assure t-elle que l'information possde les caractristiques
souhaites ? C'est ici qu'apparat la ncessit d'un cadre bien tabli d'objectif de contrles T I.
Le diagramme suivant illustre le concept.

Ce que lon obtient

Ce dont on a besoin
PROCESSUS DE GESTION

INFORMATION

CRITRES
effic ac it
e ffi ci ence
c onfidenti al it
i ntgri t
di sponibil it
c onformi t
fi abil it

RESSOURCES INFORMATIQUES
donnes
syst mes dappli cat ion
t ec hnologi e
i nstal la ti ons
personne l

Concordance

Les ressources sont mobilises par des activits regroupes en 34 processus T I relis des objectifs
de contrle. Les processus T I se dcomposent leur tour en objectifs de contrle dtaills.
Les processus T I sont regroups dans 4 domaines :

La planification et l'organisation :
ce domaine couvre les activits lies aux aspects de stratgie, de planification, de
communication et d'organisation.
L'acquisition et la mise en place :
la ralisation de la stratgie consiste identifier les solutions, puis les faire dvelopper en
interne ou les acqurir auprs des fournisseurs et les intgrer dans les processus d'affaire.
La maintenance de systmes existants fait galement partie de ce domaine.

La distribution et le support :
les systmes et les applications doivent tre exploits et scuriss, les utilisateurs doivent
tre forms.

La surveillance :
consiste valuer de faon priodique et rgulire tous les processus T I et vrifier leur
conformit par rapports aux exigences de l'entreprise. Ce domaine regroupe donc la
surveillance assure par le contrle interne, les audits internes ou les audits externes.

Le concept de processus a t dfini par de nombreux auteurs et occupe actuellement une place
centrale dans les proccupations de l'entreprise. Le lecteur peu familier ou qui souhaite
approfondir le concept de processus peut se reporter la bibliographie fournie en fin darticle.
Le modle peut tre reprsent sous la forme d'un cube qui permet dutiliser le modle en fonction
des diffrentes perspectives.

La Lettre d'ADELI n 43 Avril 2001

29

Prenons par exemple le point de vue de la Direction : celle-ci peut sintresser aux aspects qualit,

scurit ou fiduciaire (traduits par COBIT en sept critres dinformation spcifiques).

Un Dire cte ur informatique peut, quant lui, vouloir sintresser uniquement aux ressources
informatiques dont il est responsable.
Les propri taire s de s proce ssus, les informaticiens et les utilisateurs peuvent sintresser plus
particulirement certains processus.
Un audite ur devra dans sa dmarche s'intresser aux trois aspects. D'abord les processus qui
couvrent son domaine d'audit, les ressources concernes, et les critres d'information en rapport
avec les objectifs d'audit.

Les outils
L'ISACA fournit un certain nombre d'outils, disponibles en partie sur le site de l'ISACA.

Control objectives

dcrit de manire dtaille les processus et les objectifs de contrle,

dtaills.

Management

Guidelines dcrit certains outils pour le dploiement des processus T I et

leur pilotage, en particulier une forme du tableau de bord quilibr de Kaplan, adapt aux T I.

Implementation

T ool set dcrit de faon informelle comment sensibiliser COBIT et

apporte des tmoignages d'utilisateurs.

30

Audit Guidelines donne des recommandations pour les auditeurs en systmes

d'information qui ont valuer les contrles mis en place selon COBIT .

La Lettre d'ADELI n 43 Avril 2001

La porte de COBIT
COBIT a t labor partir de rfrentiels techniques de contrle (IT SEC,.. ) et de l'Internal
Control Integrated Framework publie aux USA en septembre 92 et connu sous l'acronyme
COSO (traduction franaise : la nouvelle pratique du contrle interne , ditions
d'Organisation).
Le contrle interne est un processus mis en uvre par le conseil d'administration, les dirigeants et
le personnel d'une organisation, destin fournir une assurance raisonnable quant la ralisation
des objectifs suivants :

ralisation et optimisation des oprations ;

fiabilit des informations financires ;
conformit aux lois et aux rglementations en vigueur.
COSO met l'accent sur le fait que le contrle interne est un outil entre les mains de la Direction
mais ne se substitue pas elle, et que les contrles doivent tre intgrs dans les activits
oprationnelles et non rajouts, ultrieurement, aux activits.
Le contrle interne est compos de cinq lments interdpendants qui dcoulent de la faon dont
l'activit est gre et qui sont intgrs au processus de gestion.
Ces composantes sont dcrites ci-dessous.
L'e nvironne me nt de contrle : Les individus avec leurs qualits individuelles, mais surtout leur
intgrit, leur thique, leur comptence et l'environnement dans lequel ils oprent sont l'essence
mme de toute organisation. Ils en constituent le socle et le moteur.
L' valuation de s risque s : L'entreprise doit tre consciente des risques et les matriser. Elle doit
fixer des objectifs et les intgrer toutes ses activits. Elle doit galement instaurer des
mcanismes permettant d'identifier, analyser et grer les risques correspondants. L'valuation des
risques comprend l'identification et l'analyse des risques.
Activit s de contrle : Les politiques et les procdures de contrle doivent tre labores et
appliques pour s'assurer que les mesures identifies par le management sont excutes
efficacement pour rduire les risques lis la ralisation des objectifs. Les activits de contrles
comprennent les revues du contrle interne, les protections physiques, la sparation des tches, les
contrles des systmes d'information.
Information e t communication : Les systmes d'information et de communications sont
articules autour des activits de contrle. Ils permettent aux personnels de recueillir et d'changer
les informations ncessaires la conduite, la gestion et au contrle des oprations.
l'intrieur de l'organisation, les personnels doivent recevoir le message qu'ils ont l'obligation de
comprendre leur rle et de prendre leurs responsabilits au srieux au regard du contrle interne, et
en cas de ncessit faire remonter les problmes aux plus hauts niveaux de la direction.
destination des tiers clients et fournisseurs l'entreprise doit leur transmettre le message qu'elle ne
tolrera pas les actions non correctes.
Pilotage : L'ensemble du processus de contrle interne doit faire l'objet d'un suivi et des
modifications doivent y tre apportes le cas chant. Ainsi le systme de contrle interne
permettra de ragir rapidement en fonction du contexte. Chaque systme de contrle interne est
unique et le systme de contrle interne est gnralement trs diffrent d'une socit l'autre. La
direction surveille le contrle interne en examinant rgulirement les rsultats des activits de
contrle et en diligentant des valuations supplmentaires.

La Lettre d'ADELI n 43 Avril 2001

31

Autres concepts
Il existe un lien direct entre les trois catgories d'objectifs que l'organisation cherche atteindre et
les composants du contrle interne ncessaires leur ralisation. Les cinq lments du contrle
interne sont tous applicables et jouent tous un rle important dans la ralisation des objectifs
oprationnels, financiers et de conformit
Le contrle interne d'une entreprise peut tre jug efficace dans chacune des trois catgories
d'objectifs lorsque le Conseil d'administration et la Direction estiment qu'ils disposent d'une
assurance raisonnable leur permettant de considrer :

qu'ils

savent clairement dans quelle mesure les objectifs oprationnels de l'entit seront
atteints ;

que les tats financiers publis sont tablis sur une base fiable ;
que l'entreprise est en conformit avec les lois et rglement en vigueur.
Le schma suivant montre :

quil existe un

lien direct entre les trois catgories dobjectifs (ce que lentreprise cherche
atteindre) et les lments du contrle interne (qui reprsentent ce qui est ncessaire pour
raliser les objectifs) ;

que

les informations et la communication sont ncessaires pour atteindre les objectifs des
trois catgories afin dassurer une gestion efficace des oprations, de prparer des tats
financiers fiables et de contrler la conformit aux lois et rglementations.

PE

I
AT

S
ON

NS
IO S
T
E
A
M ER
O R N CI
F
I N I NA
F

CO

R
FO

IT

(1 )

A C T IV IT E S D E P IL O T A G E

U N ITE 1

IN F O R M A T IO N E T C O M M U N IC A T IO N
(2)

U N ITE 2

P IL O T A G E

E V A L U A T IO N D E S RIS Q U E S

E N V IR O N N E M E N T D E C O N T R O L E

(3 )

Lie ns e ntre le s obje ctifs e t le s l me nts du contrle inte rne

Le contrle interne sapplique toutes les units l'intrieur de l'entreprise.
COBIT reprend les lments du contrle interne de COSO en les intgrant dans les processus
conformment l'esprit d'intgration du contrle interne.

32

La Lettre d'ADELI n 43 Avril 2001

CONCLUSION
La matrise des systmes d'information dans les organisations n'a de sens que si les organisations
sont matrises. C'est prcisment le but du Contrle Interne mis en uvre par la direction
gnrale, la hirarchie, le personnel d'une entreprise et destin fournir une assurance raisonnable
quant la ralisation d'objectifs concernant :

La ralisation et l'optimisation des oprations,

La fiabilit des informations financires,
La conformit aux lois et rglementations en vigueur.
Le rfrentiel COBIT a t labor partir de rfrentiels en provenance de diffrentes sources
techniques et internationales (NIST , OCDE, IT SEC, ISO9000, ) en les intgrant selon les
grandes lignes du rfrentiel de contrle interne COSO. Par consquent COBIT peut tre considr
comme le rfrentiel de contrle interne de l'informatique.
COBIT considre que les systmes d'information sont matriss lorsqu'ils fournissent l'information
rpondant aux besoins de l'entreprise exprims en terme de critres de l'information. Le
regroupement des activits relatives l'informatique en processus bien identifis permet de
mobiliser les ressources dans ce but.
Les recommandations pour le management de la version 3 de COBIT (Management guidelines)
sont destines faciliter le dploiement de ces processus en les intgrant la stratgie de
l'entreprise ( l'aide du tableau de bord quilibr de Kaplan) puis en les mesurant selon des
indicateurs de rsultats et de performance.
Un modle d'valuation calqu sur le modle d'valuation des capacits logiciel ( Capability
Maturity Model ou CMM en anglais) est propos. Il permet l'entreprise de se situer dans une
perspective d'amlioration continue.
On retrouve ainsi dans COBIT des outils de management de la qualit qui sont de plus en plus
compris et utiliss tous niveaux dans les entreprises, ce qui devrait, en retour, inciter celles-ci
s'en inspirer.

Claude Mauvais
Rfrences :
Sur COBIT : sites Web www.isaca.org, www.itgi.org

Il existe 3 versions de COBIT .

La version 2 a t traduite en franais par l'AFAI (Association Franaise de l'Audit et du
Conseil Informatique).

Sur les processus :

Mthodes et pratiques de la performance. Philippe LORINO. Les ditions d'Organisation.

Dossier spcial de la Revue Franaise de Gestion N 104, 1995.

La Lettre d'ADELI n 43 Avril 2001

33

ANNEXE : Les processus du modle COBIT

(a) (b) (c) (d) (e)

Dfinir un plan stratgique

PO2

Dfinir l'architecture d'information

PO3

Dterminer la ligne stratgique

PO1

PO4

Dfinir l'organisation informatique et ses liaisons

PO5

Grer les investissements informatiques

PO6

Communiquer les buts de la direction

PO7

Grer les ressources humaines

PO8

Assurer le respect des exigences externes

PO9

valuer les risques

PO10

Grer les projets

PO11

Grer la qualit

AI1

Identifier les solutions

AI2

Acqurir et maintenir les logiciels d'application

AI3

Acqurir et maintenir l'architecture technologique

Surve illance

Livraison & Support

Planification & organisation

Ressources

(1) (2) (3) (4) (5) (6) (7)

Acquisition &
Impl me ntatio

Critres
PROCESSUS

34

A14

Dvelopper et maintenir les procdures informatiques

AI5

Installer et accrditer les sy stmes

AI6

Grer les changements

DS1

Dfinir les niveaux de service

DS2

Grer les services sous-traits

DS3

Grer les performances et les capacits

DS4

Assurer la continuit des services

DS5

Assurer la scurit des services

DS6

Identifier et imputer les cots

DS7

Former les utilisateurs

DS8

Assister et conseiller les clients

DS9

Grer la configuration

DS10

Grer les problmes et les incidents

DS11

Grer les donnes

DS12

Grer les installations

S
P

Grer les oprations

DS9

Grer la configuration

M1

Surveiller les processus

M2

Assurer l'adquation du contrle interne

M3

Donner une assurance indpendante

M4

Effectuer des audits indpendants

(a)
(b)
(c)
(d)
(e)

DS13

Efficacit
Efficience
Confidentialit
Intgrit
Disponibilit
Conformit
Fiabilit
P critre Primaire

Personnel
Application
Technologie
Infrastructures
Donnes

S critre secondaire

La Lettre d'ADELI n 43 Avril 2001