COBIT: Planification et Organisation

n
bo i

io
fin

é
is
é

at
is
rd

al
dé

ér
tr

??
rm

ai

nd
on

M
Fo

Po
N
0 0,3 0,7 1 0
P01: Définition de la stratégie des SI
La stratégie est elle clairement énoncée ?
Existe-t-il une modélisation de cette stratégie ?
Est-ce que le SI est aligné avec la stratégie ?
Avez-vous des indicateurs de performance pour mesurer l'efficacité du SI par rapport à la stratégie énoncée ?
Existe-t-il une modélisation des solutions technologiques et de l'infrastructure actuelle ?
Faites-vous régulièrement des études de faisabilité de nouvelles solutions et des analyses de l'existant du SI ?
Avez vous une gestion des risques, de la qualité ?

P02: Définition de l'architecture du SI

Avez-vous une classification des critères de données critiques, sécurisées ?
Avez-vous un moyen de connaître les propriéaires des données ?
Utilisez-vous ou avez-vous défini des standards d'architecture de SI ?
Avez-vous une Modélisation du SI (Chaîne de la valeur, diagramme de composants, se déploiement) ?
Possédez-vous un entrepôt de données automatisé ?
Possédez-vous un dictionnaire de données automatisé ?
Avez-vous défini des règles de syntaxe des données ?

P03: Direction technologique

Avez-vous une documentation des choix technologiques (norme , standardisation) ?
Ces choix sont-ils compatibles avec la stratégie des SI énoncée ?
Y a-t-il une communication des choix aux équipes ?
Les choix technologiques sont-ils conformes à l'existant ? (A vérifier)
Existe-il un plan de migration ?
Y a-t-il un plan d'acquisition du matériel informatique et des logiciels ?

P04: Organisation du service informatique

Les rôles et les responsabilités au sein du service Informatique sont-ils clairement définis ?
Avez-vous un tableau de bord ou un organigramme des responsabilités pour le service informatique ?
Y a-t-il une flexibilité organisationnelle (des rôles de chacun) ?
Y a-t-il une participation du Service Informatique dans les décisions clés sur les processus ?
Avez-vous assigné la responsabilité d'assurer la sécurité physique et logique de l'organisation de l'information à une personne de votre service ?
Avez-vous assigné la responsabilité d'assurer la performance de la politique d'assurance qualité à une personne de votre service ?
Vous assurez-vous que toutes les informations ont un propriétaire nommé qui décide de la classification et des droits d'accès à celles-ci ?
Avez-vous mis en oeuvre un outils (ou une méthode) qui permet de superviser les utilisations du SI afin de s'assurer que les rôles et les responsabilités sont
exercés correctement ?
Avez-vous mis en place une division(séparation) des rôles et des responsabilités qui excluent la possibilité qu'une simple personne puisse intervenir sur un
processus critique ? (principe du système propriétaire)
Y a-t-il une évaluation régulière des besoins du personnel du Service Informatique afin d'optimiser les compétences ? (Besoin éventuel de plus de personnes
dans une fonctionnalité précise, etc.)
Les positions (hiérarchiques) de chaque membre du personnel du service sont-elle établies et régulièrement mises à jour (promotion) ?
Avez-vous défini et identifié des personnes clés du service Informatique ?
Avez-vous défini et mis en œuvre une politique et des procédures pour contrôler les activités des consultants et des personnes sous contrats ?

P05: Management des investissements

Avez-vous un budget clairement défini ?
Y a-t-il un contrôle des dépenses actuelles ?
Avez-vous mis en place un processus de budgétisation afin de maîtriser les coûts annuels du SI et que ces coûts soient en accord avec la direction à long et à
court terme ?
Maîtrisez-vous (dun point de vue investissement) les cycles de vie de la technologie et des logiciels applicatifs ?
Est-ce que votre stratégie d'investissement du SI est aligné avec la stratégie d'investissement du CG ?
Y a-t-il une évaluation de l'impact financier des ces investissements ?
Existe-il un moyen de garantir que les délivrables produits par le SI sont justifés financièrement et en accord avec le CG ?

P06: Communication de la stratégie des SI

Les missions du SI sont-elles clairement énoncées et articulées entre-elles (cohérence) ?
Les directives technologiques sont-elles liées à vos actions ?
Avez-vous ou suivez-vous un code de conduite d'un point de vue éthique ?
Quelle sont votre politique et vos pratiques de sécurité et de contrôle interne ?
Etablissez-vous et suivez-vous un programme de communication continue (dans un but stratégique) ?
Mettez-vous en place des actions de vérification des bonnes conduites des utilisateurs du SI (d'un point de vue éthique par exemple) ?
Quelles personnes sont chargées de formuler, développer, documenter et controller la politique mise en place par le SI ?
Comment communiquez-vous la politique organisationnelle du SI et quels moyens utilisez-vous pour vérifier la compréhension et l'acceptation des cette
politique ?
Afin de s'adapter aux changements constants des conditions de travail, la politique du SI doit constamment être ajustée. Qui s'occupe de ré-évaluer la politique
du Système d'information et de quelle manière et à quelles fréquences ?
Qui contrôle que les procédures mises en place par le SI sont en adéquation avec la politique générale du SI ?
Y a-t-il un personne chargée de définir, documenter et mainenir la politique qualité du SI ?
Le développement et la maintenance de la sécurité du SI sont abordés de quelles manières en terme de protection des ressources informatiques et de l'intégrité
des données ?
Y a-t-il un texte d'écrit sur la propriété des droits intellectuels comme lors de contrats de développement de logiciels ?

P07: Gestion des ressources humaines

y a-t-il des critères clairement définis (formalisés), comme le niveau d'étude, l'expérience et les responsabilités durant le processus de recrutement ?
Comment vérifiez-vous que les tâches qui sont données au personnel sont en rapport avec leur formation et leur expérience ?
Existe-t-il une définition claire des rôles et des responsabilités du personnel, incluant les requis pour adhérer au code de l'éthic de votre société, et des
pratiques professionnelle ?
Un programme de formation et de stage est-il en œuvre pour le personnel afin de valoriser chaque membre du SI ?
Est-ce qu'un plan de remplacement pour tous les postes et toutes les fonctions clés du service est établi ?
Y a-t-il un processus d'évaluation des performances afin de faire comprendre à l'employé le lien entre ses performances et les résultats obtenus ?
Suite à ces évaluations, quels démarches sont mises en place ?
Avec les évolutions technologiques et les changement de fonctionnement des processus , existe-t-il une gestion des compétence du personnel en fonction des
changements qu'il doit opérer dans son travail ?

P08: Conformité réglementaire et normative

Qui a pour rôle d'établir et de maintenir les procédures liées aux contraintes réglementaires pour le fontionnement du SI ou son contrôle ?
Quel en est le résultat ?
Comment contrôlez-vous que des actions correctives sont menées à temps suite à des exigences réglementaires ou normatives ?
Comment vous assurez-vous de la conformité du SI avec les standards de sécurité et d'ergonomie dans l'environnement des utilisateurs du SI et du personnel
du service Informatique ?
Comment vous assurez-vous d'être en conformité avec les normes sur la vie privée, la propriété intellectuelle et les règles de cryptographie applicables à
l'utilisation du SI ?
Est-ce que des contrats formels sont en place pour établir la comformité entre les processus de communication (par internet) et les standards de sécurité de
transaction des messages et le stockage des données ?
Les exigences des contrats d'assurance (si ils existent) sont-ils clairement identifiés ?

P09: Gestion des risques

Vous servez-vous d'un système ou d'une méthodologie de gestion des risques (qui vous informe pour la réalisation d'un objectif par exemple)?

Avez-vous établi une approche de gestion générale des risques, qui défini le périmètre et les limites, ainsi que la méthodologie à adopter pour cette gestion ?
Avez-vous une vision sur des risques globaux (risque qu'un projet échoue par exemple) et sur des risques spécifiques (risque qu'un système ne supporte pas la
mise en place d'un nouveau progiciel) ?

Est-ce que vous mettez à jour régulièrement les indicateurs pour la gestion des risques, par des audits par exemple, afin d'avoir toujours une vision à jour ?

Identifiez-vous différents types de risques et dans ce cas, quelles sont vos différentes approches ? (risques tangibles, intangibles, qualitatifs, quantitatifs)
Quels sont les domaines dans lesquels vous gérez le risque ? (législatif, technologique, ressources humaines, inffrastructures, etc.)
Avez-vous établi un plan d'action qui identifie la stratégie de gestion en termes d'apparition des risques, d'atténuation des risques ou de taux d'acceptation des
risques ?
Appliquez-vous un niveau d'acceptation d'un risque pour les risques résiduels ?
Comment choisissez-vous les risques sur lesquels vous aller mettre en place des actions correctives ou préventives ?
Avez-vous mis en place une politique visant à encourager la gestion des risques ou non ? (intérêt de pouvoir récupérer bcp d'information gâce à des contrôles
nombreux)

P010: Gestion de projet

Avez-vous établi une approche de gestion de projetss, qui défini le périmètre et les limites, ainsi que la méthodologie à adopter pour cette gestion ? (cette
méthodologie doit contenir au minimum l'alllocation des responsabilités, la définition des tâches
Avez-vous la participation du service concerné lors de la définition et l'autorisation d'un développement, d'une implémentation ou d'une modification dans une
projet ?
Lors d'un projet, constituez-vous une équipe projet, avec ses membres, les responsabilités de chacun et les liens d'autorité ?

Lors d'un nouveau projet, existe-t-il un état sous forme écrit définissant la nature et le périmètre de toutes les étapes du projet avant de travailler dessus ?
Qui décide de la faisabilité d'un projet ?Est-ce qu'un rapport de faisabilité est donné au décideur pour l'aider à la décision ?
Est-ce qu'à chaque phase du projet, le travail effectué est proposé à la direction du service utiliisateur afin de commenter le travail accompli (est-ce qu'il
correspond au besoin) ?
Est-ce qu'un plan projet est créé à chaque nouveau projet (planif, objectifs, ressources requises, méthode de mesure de progrès) ?
Est-ce qu'à chaque implémentation d'un nouveau système ou d'une modification d'un système, un plan qualité est établi et intégré au plan projet et qui est
approuvé et révisé par toutes les parties concernées par le projet ?
Effectuez-vous une assurance qualité qui permet l'attribution d'un nouveau système ou d'un système modifié en assurant que les contrôles internes et les
propriétés liées à la sécurité répondent aux exigences souhaitées ?
Est-ce qu'à chaque projet vous mettez en place un programme formel de gestion des risques (pour l'élimination ou la minimisation) ?
Est-ce qu'à chaque projet vous mettez en place un plan de tests pour chaque développement, inmplémentation et modification de projet ?
Est-ce qu'à chaque projet vous mettez en place un plan d'essais pour chaque développement, inmplémentation et modification de projet ?
Est-ce qu'à chaque projet vous mettez en place un plan de modification d'implémentations pour gérer les nouveautés et les modification ? Ce plan fait-il partie
intégrante du projet ?

P011: Gestion de la qualité

Avez-vous développé et maintenu un plan qualité global, permettant de mettre en avant la philosophie d'amélioration et de répondre aux questions basiques
que sont "Quoi", "Qui" et "Comment" ?
Dans une démarche d'assurance qualité, quelles activités utilisez-vous pour mener à bien cette démarche ? Audits ? Inspections ?
Avez-vous défini une planification afin de déterminer le périmètre et les durées des activités de l'assurance qualité ?
Est-ce que la responsabilité assignée aux personnes travaillant pour l'assurance qualité inclut la critique des standards etdes procédures du SI ?
Lors de développements de composants du SI, adoptez-vous une méthodologie de développement en cycle de vie du produit ? (développement, acquisition,
implémentation et maintenance)
Dans le cas de changements majeurs des technologies existantes de composants du SI, adoptez-vous également une méthodologie de développement en
cycle de vie du produit ? (développement, acquisition, implémentation et maintenance)
Mettez-vous à jour la méthodologie de développement en cycle de vie (afin de s'assurer que les nouveaux produits acceptent les nouvelles techniques et
procédures) ?
Est-ce qu'un processus est établi afin de s'assurer qu'il y a une réelle coordination et communication entre les clients des fonctionnalités du SI et les personnes
qui ont implémenté ces fonctionnalités ?
Avez-vous mis en place une méthode permettant de faire une analyse sur les acquisitions et la maintenance des infrastructure technologiques (acquisition,
progammation, documentation, tests) ?
Existe-t-il un processus en tant que tel permettant à l'utilisateur et au développeur de se mettre d'accord sur des critères d'acceptation, d'aide au changement,
de problèmes rencontrés durant le développement, des rôles utilisateurs, des outils ...?
Existe-t-il des standards pour la création de documentation de programmes ?
Existe-t-il des procédures de tests des programmes développés clairement énoncées (Exigences du test, vérification, documentation et maintenance) ?
Existe-t-il des procédures de tests des systèmes clairement énoncées (Exigences du test, vérification, documentation et maintenance) ?