Vous êtes sur la page 1sur 31

Lvolution rcente des rfrentiels

Jean-Louis Bleicher Rgis Delayat


7 Avril 2009

Plan
COBIT V4.1 COBIT Quickstart V2 Guide daudit informatique COBIT Val IT Risk IT Le Guide pratique CIGREF/ IFACI

COBIT V4.1

Evolution de COBIT

V3 (2000)
Synthse Cadre de Rfrence Objectifs de Contrle Guide de Management Outils de Mise en uvre Guide d'Audit

V4.1 (2007)
Synthse Cadre de Rfrence Noyau :
Objectifs de Contrle Guide de Management Modle de maturit

Annexes Guide de mise en uvre de la gouvernance des SI 2 Guide daudit des SI

me

dition

Indpendant des technologies Intgrateur de 40 rfrentiels dont COSO, ITIL, CMMI


4

COBIT : fondements
Objectifs mtiers
SE1 SE2 SE3 SE4 Surveiller et valuer la performance des SI Surveiller le contrle interne Sassurer de la conformit rglementaire Mettre en place une gouvernance des SI PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10 Dfinir un plan informatique stratgique Dfinir larchitecture de linformation Dterminer lorientation technologique Dfinir les processus, lorganisation et les relations de travail Grer les investissements informatique Faire connatre les buts et les orientations du management Grer les ressources humaines Grer la qualit de linformatique Evaluer et grer les risques Grer les projets

Information
efficacit efficience confidentialit intgrit disponibilit conformit fiabilit

Surveiller et Evaluer

Planifier et Organiser

Ressources Informatiques
applications informations infrastructures personnes

DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13

Dfinir et grer les niveaux de service Grer les services tiers Grer la performance et la capacit Assurer un service continu Assurer la scurit des systmes Identifier et imputer les cots Instruire et former les utilisateurs Grer le service dassistance client et les incidents Grer la configuration Grer les problmes et les incidents Grer les donnes Grer lenvironnement physique Grer lexploitation

Dlivrer et Supporter
AMP1 AMP2 AMP3 AMP4 AMP5 AMP6 AMP7

Acqurir et Implmenter
Trouver des solutions informatiques Acqurir des applications et en assurer la maintenance Acqurir une infrastructure technique et en assurer la maintenance Faciliter le fonctionnement et lutilisation Acqurir les ressources informatiques Grer les changements Installer et valider les solutions et les modifications
5

Les nouveauts de COBIT V4.1 Objectifs de contrle


Orients bonnes pratiques de management Prise en compte de ValIT et rvision des OC (V3 = 318, V4=215, V4.1= 210) Rvision des contrles applicatifs (6 au lieu de 18) tourns vers lvaluation de lefficacit des contrles

Guide de management
Ajout dentres/sorties au niveau des processus Prsentation des activits et responsabilits associes (tableau RACI) Mtriques bases sur une dclinaison cohrente dobjectifs mtiers, informatiques, processus et activits

Exemple : DS5 Assurer la scurit des systmes

Quickstart V2

Les nouveauts de Quickstart V2.0 Version allge de COBIT V4.1 4 domaines, 32 processus et 59 objectifs de contrle (30 processus 62 objectifs de contrle dans Quickstart V1) Bonnes pratiques de gestion revues et rfrence par rapport aux activits COBIT V4.1 Intgre les tableaux RACI et une rvision complte des objectifs et mtriques

Guide daudit

10

Les nouveauts du guide daudit

Bas sur COBIT V4.1 et entirement refondu Guide daudit dtaill des 34 processus COBIT et des applications - sur la base des 6 contrles retenus par COBIT - (plus de 200 pages) Intgre une prsentation dtaille des concepts daudit des SI

11

Guide dAudit : dmarche daudit COBIT


Dfinir le primtre d'audit des SI. Slectionner un cadre de rfrence de contrle des SI. Procder la planification de l'audit des SI en fonction des risques. Procder des valuations de haut niveau. Dfinir le cadre et les objectifs gnraux du projet. Objectifs mtiers Objectifs informatiques Principaux processus informatiques et ressources informatiques Principaux objectifs de contrle Principaux objectifs de contrle personnaliss PLANIFICATION CADRAGE EXECUTION
PLANS D'AUDIT DES SI CHAMP D'ACTION ET OBJECTIFS DTAILLS

Affiner la comprhension du domaine d'audit des SI

Affiner le champ d'action des principaux objectifs de contrle pour le domaine d'audit des SI

Evaluer l'efficacit des contrles associs aux principaux objectifs de contrle

En remplacement ou en complment, valuer le rsultat des principaux objectifs de contrle

CONCLUSION DE L'AUDIT

Evaluer l'impact de la faiblesse des contrles

Formuler et communiquer lensemble des conclusions et recommandations

12

Plan du guide daudit dtaill des processus

Objectifs de contrle

Enonc des valeurs

Enonc des risques

Procdures dvaluation des contrles Procdures dvaluation du rsultat des objectifs de contrle Procdures dvaluation de l'impact des faiblesses de contrle

13

Exemple DS5 Assurer la scurit des systmes (extrait)

14

Exemple DS5 Assurer la scurit des systmes (extrait)

15

16

VAL IT 2.0 3 domaines : Gouvernance de la valeur Gestion de portefeuille Gestion de linvestissement 22 processus 68 bonnes pratiques
(GI) Gouvernance de la valeur (GV)

25

68
Gestion de linvestissement

es u tiq a r p s e 22 nn bo

Gestion de portefeuille (GP)

21

17

Les nouveauts de VAL IT 2.0 Rfrentiel


Prsentation aligne sur COBIT Modles de maturit au niveau de chaque domaine Restructuration des processus qui passent de 15 22 Elles sont plus nombreuses et passent de 40 68 Nouveaut de cette version Align sur celui de COBIT V4.1 avec quelques diffrences de prsentation des objectifs et mtriques modle

Pratiques cls de gestion cls


Guide de management

Suppression du business case ING

18

Exemple VG3 Dfinir les caractristiques du portefeuille

19

20

Risk IT 3 domaines : Gouvernance du risque Apprciation du risque Traitement du risque 9 processus 47 bonnes pratiques Prsentation similaire VAL IT, le modle de maturit sappliquant au domaine
21

Exemple RR2 Grer les risques informatiques

22

Le contrle interne du systme dinformation des organisations

23

Contrle Interne : Du Cadre de R frence AMF au Guide Oprationnel Cigref/Ifaci


Cadre de Rfrence AMF Charte Cigref/Ifaci Le Contrle Interne du SI : Guide oprationnel Cigref/Ifaci

2007 2007 Janvier Janvier

2007 2007 Octobre Octobre

2009 2009 Mars Mars

24

5 principes cls du contrle interne


1. 2. 3. 4. 5. Le management doit instaurer une culture et une dynamique du contrle Le contrle interne doit tre intgr dans les processus de lentreprise Les systmes dinformation jouent un rle cl Un principe de proportionnalit et granularit doit sappliquer Il faut tre conscient de la non-exhaustivit et des limites du dispositif de contrle

25

Le contrle interne du systme dinformation : Deux parties distinctes et compl mentaires

26

Les processus de l entrepriseet le Systme dInformation

27

Typologie des points de contrle

28

Dmarche des travaux sur le contrle interne du systme dinformation de lentreprise

29

Dmarche des travaux sur le contrle interne de la Direction des Systmes dInformation Principes
Utilisation des rfrentiels existants point de dpart = COBIT Identification de 6 processus IT cls Production dun livrable concret, utile la DSI et laudit interne

Pour chacun des processus tudis


Identification des risques et points de contrle associs Proposition de bonnes pratiques issues de lexprience et la connaissance des socits participantes Adaptation au contexte laiss linitiative de chaque entreprise
30

Synthse du guide oprationnel Cigref/Ifaci


Primtre Contrle Interne de lEntreprise Contrle Interne du SI Processus de lentreprise Mtiers IT (COBIT)
Comptences Projets Maintenance & Changements Incidents Scurit logique & Accs Consolidation Sous-traitance
Processus Cartographie processus Dmarche

Livrable

Achats

Ventes

Etapes Acteurs/RACI Flow-chart Risques Exemples de contrles Bonnes pratiques