Académique Documents
Professionnel Documents
Culture Documents
Le Modele Cobit
Le Modele Cobit
Second volet de notre dossier processus, le modle COBIT nous est prsent par Claude Mauvais. Fautil y voir un concurrent de CMM et SPICE, ou plutt une approche complmentaire ? Nous parle-t-il des
mmes processus que lISO 12207, couvre-t-il un domaine identique ou sensiblement
diffrent ?Lapproche par le contrle et les risques est-elle compatible avec une dmarche
damlioration de la qualit ? Chaque question en amne une autre. Souhaitons quun dbat souvre
entre nos adhrents sur ces sujets, au travers de la lettre et au travers du forum Processus, ouvert sur
lespace adhrents de notre site Web.
Le modle COBIT
L'utilisation des technologies de l'information (TI) est largement rpandue dans la plupart des
entreprises. Les systmes d'information, oprationnels et stratgiques, sont porteurs
davantages substantiels en termes de productivit et d'opportunit d'affaires. En revanche, ces
systmes apparaissent vulnrables, face un large ventail de menaces souvent imprvisibles.
La comprhension de ces risques et leur gestion est donc un problme majeur qui concerne les
directions des entreprises, les propritaires des processus d'affaire et les auditeurs. Pour
rpondre ce besoin de matrise globale des systmes d'information, l'ISACA1 a propos un
cadre conceptuel de contrle ainsi que des outils pour la mise en place des contrles.
Ce cadre concerne trois audiences :
d'abord,
les Dire ctions ; les pratiques indiques dans COBIT , gnralement acceptes, les
aident quilibrer les investissements en moyens de contrle, face aux risques et de remplir
leurs obligations vis--vis des parties prenantes de l'entreprise ( IT governance ) ;
ensuite,
les propri taire s de s proce ssus fonctionne ls qui disposent de l'ensemble des
lments permettant d'avoir des garanties sur la scurit et les contrles des services fournis
par les T I, qu'ils soient fournis en interne ou par un prestataire extrieur ;
enfin,
les audite urs en leur permettant de justifier leur opinion et d'apporter des
recommandations aux directions en terme de contrle interne en matire de T I.
1 ISACA: Information Systems Audit and Control Association . Association de professionnels de la vrification, la
scurit et le contrle des technologies de l'information. L'ISACA a t fonde en 1969 sous le nom de EDP
Auditors Association. Elle comprend aujourdhui plus de 20.000 professionnels dans plus de 100 pays.
La Lettre d'ADELI n 43 Avril 2001
27
L'inform ation
oprations, la fiabilit de
Conformit : il s'agit de la conformit aux lois et aux rglements en vigueur ainsi que le
respect des contrats auxquels est soumis le processus fonctionnel, qui sont des
contraintes externes.
Les critres sont mesurs suivant une mtrique deux valeurs. On distingue un niveau primaire
lorsque le critre revt une importance primordiale pour l'objectif de contrle considr, et un
degr secondaire lorsque l'impact est moins important ou indirect.
Les ressources
L'information est produite par des systmes qui mobilisent les ressources suivantes.
Les
28
Les processus TI
Pour s'assurer que l'information rpond aux besoins de l'entreprise, les contrles des ressources
doivent tre pralablement dfinis, mis en uvre et surveills, au niveau des activits de la
fonction informatique et des utilisateurs de l'informatique.
Comment une organisation s'assure t-elle que l'information possde les caractristiques
souhaites ? C'est ici qu'apparat la ncessit d'un cadre bien tabli d'objectif de contrles T I.
Le diagramme suivant illustre le concept.
Ce dont on a besoin
PROCESSUS DE GESTION
INFORMATION
CRITRES
effic ac it
e ffi ci ence
c onfidenti al it
i ntgri t
di sponibil it
c onformi t
fi abil it
RESSOURCES INFORMATIQUES
donnes
syst mes dappli cat ion
t ec hnologi e
i nstal la ti ons
personne l
Concordance
Les ressources sont mobilises par des activits regroupes en 34 processus T I relis des objectifs
de contrle. Les processus T I se dcomposent leur tour en objectifs de contrle dtaills.
Les processus T I sont regroups dans 4 domaines :
La planification et l'organisation :
ce domaine couvre les activits lies aux aspects de stratgie, de planification, de
communication et d'organisation.
L'acquisition et la mise en place :
la ralisation de la stratgie consiste identifier les solutions, puis les faire dvelopper en
interne ou les acqurir auprs des fournisseurs et les intgrer dans les processus d'affaire.
La maintenance de systmes existants fait galement partie de ce domaine.
La distribution et le support :
les systmes et les applications doivent tre exploits et scuriss, les utilisateurs doivent
tre forms.
La surveillance :
consiste valuer de faon priodique et rgulire tous les processus T I et vrifier leur
conformit par rapports aux exigences de l'entreprise. Ce domaine regroupe donc la
surveillance assure par le contrle interne, les audits internes ou les audits externes.
Le concept de processus a t dfini par de nombreux auteurs et occupe actuellement une place
centrale dans les proccupations de l'entreprise. Le lecteur peu familier ou qui souhaite
approfondir le concept de processus peut se reporter la bibliographie fournie en fin darticle.
Le modle peut tre reprsent sous la forme d'un cube qui permet dutiliser le modle en fonction
des diffrentes perspectives.
29
Prenons par exemple le point de vue de la Direction : celle-ci peut sintresser aux aspects qualit,
Les outils
L'ISACA fournit un certain nombre d'outils, disponibles en partie sur le site de l'ISACA.
Control objectives
dtaills.
Management
Implementation
30
La porte de COBIT
COBIT a t labor partir de rfrentiels techniques de contrle (IT SEC,.. ) et de l'Internal
Control Integrated Framework publie aux USA en septembre 92 et connu sous l'acronyme
COSO (traduction franaise : la nouvelle pratique du contrle interne , ditions
d'Organisation).
Le contrle interne est un processus mis en uvre par le conseil d'administration, les dirigeants et
le personnel d'une organisation, destin fournir une assurance raisonnable quant la ralisation
des objectifs suivants :
31
Autres concepts
Il existe un lien direct entre les trois catgories d'objectifs que l'organisation cherche atteindre et
les composants du contrle interne ncessaires leur ralisation. Les cinq lments du contrle
interne sont tous applicables et jouent tous un rle important dans la ralisation des objectifs
oprationnels, financiers et de conformit
Le contrle interne d'une entreprise peut tre jug efficace dans chacune des trois catgories
d'objectifs lorsque le Conseil d'administration et la Direction estiment qu'ils disposent d'une
assurance raisonnable leur permettant de considrer :
qu'ils
savent clairement dans quelle mesure les objectifs oprationnels de l'entit seront
atteints ;
que les tats financiers publis sont tablis sur une base fiable ;
que l'entreprise est en conformit avec les lois et rglement en vigueur.
Le schma suivant montre :
quil existe un
lien direct entre les trois catgories dobjectifs (ce que lentreprise cherche
atteindre) et les lments du contrle interne (qui reprsentent ce qui est ncessaire pour
raliser les objectifs) ;
que
les informations et la communication sont ncessaires pour atteindre les objectifs des
trois catgories afin dassurer une gestion efficace des oprations, de prparer des tats
financiers fiables et de contrler la conformit aux lois et rglementations.
PE
I
AT
S
ON
NS
IO S
T
E
A
M ER
O R N CI
F
I N I NA
F
CO
R
FO
IT
(1 )
A C T IV IT E S D E P IL O T A G E
U N ITE 1
IN F O R M A T IO N E T C O M M U N IC A T IO N
(2)
U N ITE 2
P IL O T A G E
E V A L U A T IO N D E S RIS Q U E S
E N V IR O N N E M E N T D E C O N T R O L E
(3 )
32
CONCLUSION
La matrise des systmes d'information dans les organisations n'a de sens que si les organisations
sont matrises. C'est prcisment le but du Contrle Interne mis en uvre par la direction
gnrale, la hirarchie, le personnel d'une entreprise et destin fournir une assurance raisonnable
quant la ralisation d'objectifs concernant :
Claude Mauvais
Rfrences :
Sur COBIT : sites Web www.isaca.org, www.itgi.org
33
PO2
PO3
PO1
PO4
PO5
PO6
PO7
PO8
PO9
PO10
PO11
Grer la qualit
AI1
AI2
AI3
Surve illance
Ressources
Acquisition &
Impl me ntatio
Critres
PROCESSUS
34
A14
AI5
AI6
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
Grer la configuration
DS10
DS11
DS12
S
P
DS9
Grer la configuration
M1
M2
M3
M4
(a)
(b)
(c)
(d)
(e)
DS13
Efficacit
Efficience
Confidentialit
Intgrit
Disponibilit
Conformit
Fiabilit
P critre Primaire
Personnel
Application
Technologie
Infrastructures
Donnes
S critre secondaire