Vous êtes sur la page 1sur 15

COBIT

V4.0
AFAI 2005 COBIT V4 1

Pourquoi une V4 ?
La premire version de COBIT a t publie par lISACA en 1994, (V3 = 2000) En 10 ans linformatique a volu et COBIT est devenu un standard de fait de la gouvernance des TI : il est pass dun outil rserv aux auditeurs un cadre de rfrence de gouvernance des TI COBIT doit aujourdhui rpondre de nouveaux besoins Depuis deux ans plus de 90 experts dans le monde travaillent la ralisation dune nouvelle version

AFAI 2005

COBIT V4

V3
Synthse Cadre de Rfrence Objectifs de Contrle Guide d'Audit Guide de Management Outils de Mise en uvre

COBIT

V4

Synthse Cadre de Rfrence Noyau :


Objectifs de Contrle Guide de Management

(2005)

Annexes Guide de mise en uvre de la gouvernance des TI (2003) IT Assurance Guide using COBIT (2006)

AFAI 2005

COBIT V4

Meilleure couverture de la gouvernance des TI

quelques objectifs de contrle supplmentaires une table de correspondance entre processus et domaines de gouvernance

AFAI 2005

COBIT V4

Cadre de rfrence COBIT V4.0 : ce qui change Toujours 4 domaines et 34 processus mais avec des modifications :
Les ressources sont ramenes 4 au lieu de 5 :
Comptences Information Applications Infrastructure

Le domaine S (Surveillance) devient SE : Surveiller et Evaluer Le domaine PO (Planifier et Organiser) ne contient plus que 10 processus au lieu de 11 :
- PO8 (Se conformer aux exigences externes) devient un nouveau processus du domaine SE - Un nouveau processus PO8 est cr : Grer la qualit (ancien PO11)

AFAI 2005

COBIT V4

Cadre de rfrence COBIT V4.0 : ce qui change (suite) Toujours 4 domaines et 34 processus mais avec des modifications :
Le domaine AMP (Acqurir et Mettre en Place) comprend 7 processus au lieu de 6 :
- AMP5 (Installer les systmes et les valider) devient AMP7 - Un nouveau processus AMP5 est cr : Acqurir les ressources TI . Il intgre les aspects de gestion de version

Note : AMP est, en franais, rebaptis AI (Acqurir et Implmenter)

AFAI 2005

COBIT V4

Cadre de rfrence COBIT V4.0 : ce qui change (suite) Toujours 4 domaines et 34 processus mais avec des modifications :
DS8 (Assister et conseiller les clients) et DS10 (Grer les problmes et les incidents) sont dsormais aligns sur ITIL : Manage service desk and incident et Manage problem DS11 Grer les donnes ne traite que de la gestion des donnes : tous les contrles sur les applications sont intgrs au cadre de rfrence Le domaine SE nintgre plus de proccupations daudit :
AFAI 2005

SE 1 : Grer la performance des TI SE 2 : Surveiller le contrle interne SE 3 : Superviser la gouvernance des TI SE 4 : Sassurer de la conformit rglementaire
COBIT V4 7

Objectifs de Contrle COBIT V4.0 : ce qui change Les objectifs de contrle dtaills ont t rduits d1/3 : ils passent de 318 220
Tout ce qui est gnrique est remont au niveau du Cadre de rfrence Les Objectifs de Contrle couvrent mieux la gouvernance, sont mieux harmoniss et plus concis

AFAI 2005

COBIT V4

Guide de management COBIT V4.0 : ce qui change


Chaque processus comprend une description, les entres/sorties et les liens avec les autres processus
Exemple : PO9 Assess and manage IT risks
from PO1 INPUTS Strategic and tactical IT plans Service portfolio DS5 Security threats PO10 Project risk management plan PO9 ME1 DS2 Contingency test results Historical risk trends and events Supplier risk

OUTPUTS Risk assessment Risk reporting IT-related risk management guidelines IT-related risk remedial action plans

to PO1 ME3 PO6 PO4

ME3

DS5

DS12

AI6

AFAI 2005

COBIT V4

Guide de management COBIT V4.0 : ce qui change (suite)


Pour chaque processus est fourni un tableau RACI tablissant un lien entre des objectifs mtiers gnriques et des objectifs informatiques Prcisant qui est responsable de quoi
Functions

Compliance Audit Security and Risk

Senior Business Management

Head IT Administration

Activities Develop configuration management planning procedures Collect initial configuration information and establish baselines Verify and audit configuration information (includes detection of unauthorised software) Update configuration repository

C I

A C A R

C C R

I C R

C I

C R I A/R I A/R I A/R

A RACI chart identifies who is Responsible, Accountable, Consulted and/or Informed

AFAI 2005

COBIT V4

Configuration Manager
10

Business Executive

Head Development

Head Operations

Chief Architect

PMO

CEO

CFO

Guide de management COBIT V4.0 : ce qui change (suite) Les objectifs et les mtriques (Indicateurs cls dobjectif et indicateurs cls de performance) ont t revus et amliors pour tre davantage orients mtiers Ils indiquent comment apprcier le processus et mettent en relation :
Les pratiques cls de gestion qui sont mesures par des indicateurs cls de performance Les objectifs du processus qui sont mesurs par des indicateurs cls du processus Les objectifs des TI qui sont mesurs par des indicateurs cls dobjectif

AFAI 2005

COBIT V4

11

Guide de management COBIT V4.0 : ce qui change (suite)


Exemple : PO9 Assess and manage IT risks
Goals and Metrics
KEY MANAGEMENT PRATICES . ensuring that risk management is fully embedded in management processes . performing regular risk assesments with senior managers and key staff . recommending and communicating risk remedial action plan are measured by KEY PERFORMANCE INDICATORS . % of IT budget spent on risk management (assessment and mitigation) activities . frequency of review of the IT risk management process . % of risk assessments signed off . number of actioned risk monitoring reports within the agreed frequency . % of identified IT events in used in risk assessments . % of risk management action plans approved for implementation PROCESS GOALS . establish and reduce the likelihood and impact of IT risks . establish cost-effective action plans for critical IT risks IT GOALS . protect the achievement of IT objectives . establish clarity of business impact of risks to IT objectives and ressources . account for and protect all IT assets are measured by PROCESS GOALS INDICATORS . % of identified crtitical IT events that have been assessed . Nr of newly identified IT risks (compared to previous exercise) . Nr of significant incidents caused by risks not identified by the risk assessment process . % of identified crtitical IT risks with action plan developed are measured by IT KEY GOAL INDICATORS . % of critical IT objectives covered by risk assessment . %of risk assessments integrated in the IT risk assessment approach

drive

AFAI 2005

COBIT V4

drive

12

Guide de management COBIT V4.0 : ce qui change (suite) Les facteurs cls de succs ont t remplacs par les entres des processus (facteurs de succs dont on a besoin pour russir) et les objectifs auxquels doit satisfaire le processus Les modles de maturit ont t rviss Les critres de maturit ont t revus :
Conscience et communication Rgles, standards et procdures Outils et automatisation Comptences et expertises Responsabilit et charge Fixation et mesure des objectifs

AFAI 2005

COBIT V4

13

Synthse des amliorations


Meilleure prise en compte des besoins mtiers
Une table tablit le lien entre les objectifs des mtiers, les objectifs de linformatique et les processus COBIT. Elle permet galement damliorer lobjectif et la performance des mtriques

Harmonisation
Harmonisation des termes et des principes pour faciliter lintgration de COBIT et des rfrentiels ITIL, CMM, COSO, ISO 17799, PMBOOK et PRINCE2

Cration de valeur
Meilleur quilibre entre risque et valeur et intgration des travaux sur la gestion de la valeur des TI

Organisation de lentreprise
Rfrence qui est responsable de quoi dans lentreprise

Dfinition des processus et des flux


Chaque processus est dcrit en faisant rfrence ses entres/sorties ainsi quaux processus en amont et en aval

Prsentation et vocabulaire
Plus concis et orient vers laction

AFAI 2005

COBIT V4

14

COBIT V4.0 : venir Fin 2005 : mise jour de COBIT Quickstart En 2006, le guide daudit va tre amlior et remplac par un IT Assurance Guide using COBIT prsent comme suit :
Risk assessment concepts Business risk / value assessment Assurance planning and scoping Control evaluation and testing Control and process maturity (self-assessment) Substantiating risk and effective reporting

En 2006, mise jour de COBIT Online

AFAI 2005

COBIT V4

15