Académique Documents
Professionnel Documents
Culture Documents
ISACA®
Avec 95 000 membres dans 160 pays, l'ISACA (www.isaca.org) est l'un des principaux fournisseurs mondiaux de connaissances, de certifications,
de communauté, de plaidoyer et de formation sur l'assurance et la sécurité des systèmes d'information (SI), la gouvernance d'entreprise et la gestion
de l'informatique, et l'informatique. risques et conformité associés. Fondée en 1969, l'ISACA, indépendante et à but non lucratif, organise des conférences
internationales, publie le journal ISACA® et développe des normes internationales d'audit et de contrôle des SI, qui aident ses membres à garantir la confiance
et la valeur des systèmes d'information. Il fait également progresser et atteste les compétences et les connaissances informatiques grâce aux certifications
mondialement respectées Certified Information Systems Auditor® (CISA®), Certified Information Security Manager® (CISM®), Certified in the
Governance of Enterprise IT® (CGEIT®) et Certified in Risk and Désignations Information Systems ControlTM (CRISCTM) . ISACA met continuellement
à jour COBIT®, qui aide les professionnels de l'informatique et les dirigeants d'entreprise à assumer leurs responsabilités de gouvernance et de gestion
informatique, en particulier dans les domaines de l'assurance, de la sécurité, du risque et du contrôle, et à apporter de la valeur à l'entreprise.
Clause de nonresponsabilité
L'ISACA a conçu cette publication, COBIT® 5 : Enabling Processes (le « Travail »), principalement comme une ressource éducative pour la gouvernance des
professionnels de l'informatique d'entreprise (GEIT), de l'assurance, du risque et de la sécurité. ISACA ne prétend pas que l’utilisation de l’une quelconque
des Travaux garantira un résultat positif. Les travaux ne doivent pas être considérés comme incluant toutes les informations, procédures et tests appropriés ou
exclusifs d'autres informations, procédures et tests qui visent raisonnablement à obtenir les mêmes résultats. Pour déterminer le bienfondé de toute
information, procédure ou test spécifique, les lecteurs doivent appliquer leur propre jugement professionnel aux circonstances spécifiques de GEIT,
d'assurance, de risque et de sécurité présentées par les systèmes ou l'environnement informatique particuliers.
droits d'auteur
© 2012 ISACA. Tous droits réservés. Pour les directives d'utilisation, voir www.isaca.org/COBITuse.
ISACA
Commentaires : www.isaca.org/cobit
Participez au centre de connaissances ISACA : www.isaca.org/knowledgecenter
Suivez l'ISACA sur Twitter : https://twitter.com/ISACANews
Rejoignez la conversation COBIT sur Twitter : #COBIT
Rejoignez l'ISACA sur LinkedIn : ISACA (Officiel), http://linkd.in/ISACAOfficial
Aimez l'ISACA sur Facebook : www.facebook.com/ISACAHQ
2
Machine Translated by Google
Remerciements
Remerciements
L’ISACA souhaite reconnaître :
Équipe de développement
Floris Ampe, CISA, CGEIT, CIA, ISO 27000, PwC, Belgique
Gert du Préez, CGEIT, PwC, Canada
Stefanie Grijp, PwC, Belgique
Gary Hardy, CGEIT, gagnants informatiques, Afrique du Sud
Bart Peeters, PwC, Belgique
Dirk Steuperaert, CISA, CGEIT, CRISC, IT In Balance BVBA, Belgique
3
Machine Translated by Google
Remerciements (suite)
Réviseurs experts
Mark Adler, CISA, CISM, CGEIT, CRISC, Commercial Metals Company, ÉtatsUnis
Wole Akpose, Ph.D., CGEIT, CISSP, Morgan State University, ÉtatsUnis
Krzysztof Baczkiewicz, CSAM, CSOX, Eracent, Pologne
Roland Bah, CISA, MTN Cameroun, Cameroun
Dave Barnett, CISSP, CSSLP, USA
Max Blecher, CGEIT, Virtual Alliance, Afrique du Sud
Ricardo Bria, CISA, CGEIT, CRISC, Meycor GRC, Argentine Dirk
Bruyndonckx, CISA, CISM, CGEIT, CRISC, MCA, KPMG Advisory , Belgique Donna Cardall,
RoyaumeUni Debra
Chiplin, Groupe Investors, Canada Sara
Cosentino, CA, GreatWest Life, Canada Kamal
N. Dave, CISA, CISM, CGEIT, Hewlett Packard, ÉtatsUnis Philip
de Picker, CISA, MCA, Banque Nationale de Belgique, Belgique Abe
Deleon, CISA, IBM, ÉtatsUnis
James Doss, expert ITIL, TOGAF 9, PMP, SSGB, EMCCA, EMCISA, Oracle DBA, ITValueQuickStart.com, RoyaumeUni
Stephen Doyle, CISA, CGEIT, Department of Human Services, Australie Heidi
L. Erchinger, CISA, CRISC, CISSP, System Security Solutions, Inc., ÉtatsUnis Rafael
Fabius, CISA, CRISC, Uruguay Urs
Fischer, CISA, CRISC, CPA (Suisse), Fischer IT GRC Consulting & Training, Suisse Bob Frelinger,
CISA , CGEIT, Oracle Corporation, ÉtatsUnis Kate Gentles,
ITValueQuickStart.com, RoyaumeUni Yalcin
Gerek, CISA, CGEIT, CRISC, Expert ITIL, Formateur ITIL V3, PRINCE2, Consultant ISO/IEC 20000, Turquie Edson Gin,
CISA, CISM, CFE, CIPP , SSCP, ÉtatsUnis James
Golden, CISM, CGEIT, CRISC, CISSP, IBM, ÉtatsUnis Marcelo
Hector Gonzalez, CISA, CRISC, Banco Central Republic Argentine, Argentine Erik Guldentops,
École de gestion de l'Université d'Anvers, Belgique Meenu Gupta, CISA,
CISM, CBP , CIPP, CISSP, Mittal Technologies, ÉtatsUnis Angelica Haverblad,
CGEIT, CRISC, ITIL, Verizon Business, Suède Kim Haverblad, CISM,
CRISC, PCI QSA, Verizon Business, Suède J. Winston Hayden, CISA,
CISM, CGEIT, CRISC, Sud Afrique Eduardo Hernandez, ITIL V3,
HEME Consultores, Mexique Jorge Hidalgo, CISA, CISM,
CGEIT, ATC, Lic. Sistemas, Argentine Michelle Hoben, Media 24, Afrique
du Sud Linda Horosko, GreatWest Life,
Canada Mike Hughes, CISA, CGEIT, CRISC,
123 Consultants, RoyaumeUni Grant Irvine, GreatWest Life,
Canada Monica Jain, CGEIT, CSQA,
CSSBB , Californie du Sud Edison, ÉtatsUnis John E. Jasinski, CISA, CGEIT,
SSBB, ITIL Expert, ÉtatsUnis Masatoshi Kajimoto, CISA,
CRISC, Japon Joanna Karczewska, CISA,
Pologne Kamal Khan, CISA, CISSP,
CITP, Saudi Aramco, Arabie Saoudite Eddy Khoo SK, Prudential
Services Asia, Malaisie Marty King, CISA, CGEIT, CPA,
Blue Cross Blue Shield NC, ÉtatsUnis Alan S. Koch, expert ITIL, PMP,
ASK Process Inc., ÉtatsUnis Gary Langham, CISA, CISM,
CGEIT, CISSP , CPFA, Australie Jason D. Lannen, CISA, CISM,
TurnKey IT Solutions, LLC, ÉtatsUnis Nicole Lanza, CGEIT, IBM, États
Unis Philip Le Grand, PRINCE2,
Ideagen Plc, RoyaumeUni Kenny Lee, CISA,
CISM, CISSP, Bank of America , ÉtatsUnis Brian Lind, CISA,
CISM, CRISC, Topdanmark Forsikring A/S, Danemark Bjarne Lonberg, CISSP,
ITIL, AP Moller Maersk, Danemark Stuart MacGregor, Real IRM
Solutions (Pty) Ltd., Afrique du Sud Debra Mallette, CISA, CGEIT,
CSSBB, Kaiser Permanente IT, ÉtatsUnis Charles Mansour, CISA,
Charles Mansour Audit & Risk Service, RoyaumeUni Cindy Marcello, CISA,
CPA, FLMI, GreatWest Life & Annuity, ÉtatsUnis Nancy McCuaig, CISSP,
GreatWest Life, Canada John A. Mitchell, Ph.D.,
CISA, CGEIT, CEng, CFE, CITP, FBCS, FCIIA, QiCA, LHS Business Control, RoyaumeUni Makoto Miyazaki, CISA,
CPA, Bank of TokyoMitsubishi, UFJ Ltd., Japon
4
Machine Translated by Google
Remerciements
Remerciements (suite)
Examinateurs experts (suite)
Lucio Augusto Molina Focazzio, CISA, CISM, CRISC, ITIL, Consultant indépendant, Colombie Christian
Nissen, CISM, CGEIT, FSM, ITIL Expert, CFN People, Danemark Tony Noblett,
CISA, CISM, CGEIT, CISSP, ÉtatsUnis Ernest Pages,
CISA, CGEIT, MCSE, ITIL, Sciens Consulting LLC, ÉtatsUnis Jamie Pasfield,
ITIL V3, MSP, PRINCE2, Pfizer, RoyaumeUni Tom
Patterson, CISA, CGEIT, CRISC, CPA, IBM, ÉtatsUnis
Robert Payne, CGEIT, MBL, MCSSA, PrM, Lode Star Strategy Consulting, Afrique du Sud Andy
Piper, CISA, CISM, CRISC, PRINCE2, ITIL, Barclays Bank Plc, RoyaumeUni
Andre Pitkowski, CGEIT, CRISC, OCTAVE, ISO27000LA, ISO31000LA, APIT Consultoria de Informatica Ltd., Brésil Geert Poels,
Université de Gand , Belgique Dirk Reimers,
HewlettPackard, Allemagne Steve Reznik,
CISA, ADP, Inc., ÉtatsUnis Robert
Riley, CISSP, Université de Notre Dame, ÉtatsUnis Martin
Rosenberg, Ph.D., Cloud Governance Ltd., RoyaumeUni
Claus Rosenquist, CISA , CISSP, Nets Holding, Danemark
Jeffrey Roth, CISA, CGEIT, CISSP, L3 Communications, ÉtatsUnis
Cheryl Santor, CISSP, CNA, CNE, Metropolitan Water District, ÉtatsUnis
Eddy J. Schuermans, CGEIT, ESRAS bvba, Belgique
Michael Semrau, RWE Allemagne, Allemagne
Max Shanahan, CISA, CGEIT, FCPA, Max Shanahan & Associates, Australie Alan
Simmonds, TOGAF9, TCSA, PreterLex, RoyaumeUni
Dejan Slokar, CISA, CGEIT, CISSP, Deloitte & Touche LLP, Canada
Jennifer Smith, CISA, CIA , Salt River Pima Maricopa Indian Community, ÉtatsUnis
Marcel Sorouni, CISA, CISM, CISSP, ITIL, CCNA, MCDBA, MCSE, Bupa Australie, Australie Roger
Southgate, CISA, CISM, RoyaumeUni
Mark Stacey, CISA, FCA, BG Group Plc, Royaume
Uni Karen Stafford Gustin, MLIS, London Life Insurance Company, Canada
Delton Sylvester, Silver Star IT Governance Consulting, Afrique du Sud
Katalin Szenes, CISA, CISM, CGEIT, CISSP, University Obuda, Hongrie Halina
Tabacek, CGEIT, Oracle Americas, ÉtatsUnis
Nancy Thompson, CISA, CISM, CGEIT, IBM, ÉtatsUnis
Kazuhiro Uehara, CISA, CGEIT, CIA, Hitachi Consulting Co., Ltd., Japon Rob
van der Burg, Microsoft, PaysBas Johan van
Grieken, CISA, CGEIT, CRISC, Deloitte, Belgique Flip van
Schalkwyk, Center for eInnovation, Western Cape Government, Afrique du Sud Jinu Varghese,
CISA, CISSP, ITIL, OCA, Ernst & Young, Canada Andre Viviers, MCSE,
IT Project+, Media 24, Afrique du Sud Greet Volders, CGEIT,
Voquals NV, Belgique David Williams, CISA,
Westpac, NouvelleZélande Tim M. Wright, CISA,
CRISC, CBCI, GSEC, QSA, Kingston Smith Consulting LLP, RoyaumeUni Amanda Xu, PMP,
Southern California Edison, ÉtatsUnis Tichaona Zororo,
CISA, CISM, CGEIT, Standard Bank, Afrique du Sud
Conseil d'administration de
l'ISACA Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retraité), ÉtatsUnis, président
international Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT SA, Grèce, viceprésident
Gregory T. Grocholski, CISA, The Dow Chemical Co., ÉtatsUnis, viceprésident
Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, gouvernement du Queensland, Australie, viceprésident Niraj
Kapasi, CISA, Kapasi Bangad Tech Consulting Pvt. Ltd., Inde, viceprésident Jeff Spivey,
CRISC, CPP, PSP, Security Risk Management, Inc., ÉtatsUnis, viceprésident Jo Stewart
Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Australie, viceprésident Emil D'Angelo, CISA,
CISM, Bank of TokyoMitsubishi UFJ Ltd. (retraité), ÉtatsUnis, ancien président international Lynn C. Lawton, CISA,
CRISC, FBCS CITP, FCA, FIIA, KPMG Ltd., Fédération de Russie, ancien Président international Allan Neville Boardman, CISA,
CISM, CGEIT, CRISC, CA (SA), CISSP, Morgan Stanley, RoyaumeUni, directeur Marc Vael, Ph.D., CISA, CISM,
CGEIT, CISSP, Valuendo, Belgique, directeur
5
Machine Translated by Google
Remerciements (suite)
Knowledge Board
Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belgique, Président Michael
A. Berardi Jr., CISA, CGEIT, Bank of America, ÉtatsUnis John Ho
Chi, CISA, CISM, CRISC, CBCP , CFE, Ernst & Young LLP, Singapour Phillip J.
Lageschulte, CGEIT, CPA, KPMG LLP, ÉtatsUnis Jon
Singleton, CISA, FCA, vérificateur général du Manitoba (retraité), Canada Patrick
Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, France
6
Machine Translated by Google
Chapitre 2. Cascade d'objectifs et mesures pour les objectifs d'entreprise et les objectifs liés à l'informatique.................................. ............ 13 Cascade d'objectifs
COBIT 5 .................................. .................................................................. .................................................................. ...................... 13 Étape 1. Les facteurs
déterminants des parties prenantes influencent les besoins des parties prenantes.............. .................................................................. ........................13
Étape 2. Les besoins des parties prenantes se traduisent en cascade vers les objectifs de
l'entreprise....... .................................................................. ................................13 Étape 3. Cascade des objectifs de l'entreprise vers les objectifs liés à
l'informatique ....... .................................................................. ......................................15 Étape 4. Informatique Les objectifs se transforment en objectifs
facilitateurs.................................................. .................................................................. .........15 Utilisation de la cascade d'objectifs COBIT
5 .................................. .................................................................. .................................................................. ..... 15 Avantages de la cascade d'objectifs
COBIT 5............................................... .................................................................. ..................................15 Utiliser soigneusement la cascade d’objectifs
COBIT 5 ......... .................................................................. .................................................................. ..16 Utilisation de la cascade d’objectifs COBIT 5 en
pratique ....................................... .................................................................. ......................16
Métriques............................ .................................................................. .................................................................. .................................................................. ........
16 Mesures des objectifs de l'entreprise.................................. .................................................................. .................................................................. .......16 Mesures des
Annexe A. Mappage entre COBIT 5 et les anciens frameworks ISACA..................................... ...................... 217
Annexe B. Cartographie détaillée des objectifs de l'entreprise – Objectifs liés à l'informatique.................................... ...................................... 225
Annexe C. Cartographie détaillée des objectifs liés à l'informatique – Processus liés à l'informatique .................................. ...................................... 227
7
Machine Translated by Google
8
Machine Translated by Google
9
Machine Translated by Google
dix
Machine Translated by Google
Chapitre 1
Introduction
Chapitre 1
Introduction
COBIT 5 : Processus habilitants complète COBIT 5 (figure 1). Cette publication contient un guide de référence détaillé des processus définis dans le
modèle de référence de processus COBIT 5.
COBIT®5 _
COBIT®5 :
COBIT®5 : Autre catalyseur
Activation des processus Guides
Activation des informations
COBIT® 5
COBIT®5 _ COBIT® 5 Autre professionnel
Implémentation de COBIT® 5 pour informations
pour l'assurance pour le risque Guides
Sécurité
Le cadre COBIT 5 repose sur cinq principes de base, qui sont traités en détail, et comprend des conseils détaillés sur les outils de gouvernance et de
gestion de l'informatique d'entreprise.
11
Machine Translated by Google
12
Machine Translated by Google
Chapitre 2. La cascade d'objectifs et les mesures pour
les objectifs d'entreprise et les objectifs liés à l'informatique
Chapitre 2
La cascade d'objectifs et les mesures pour
les objectifs d'entreprise et les objectifs liés à l'informatique
Les entreprises existent pour créer de la valeur pour leurs parties prenantes. Par conséquent, toute entreprise – commerciale ou non – aura la création de valeur comme objectif
de gouvernance. La création de valeur signifie réaliser des bénéfices à un coût de ressource optimal tout en optimisant les risques. (Voir figure 2.) Les avantages peuvent
prendre de nombreuses formes, par exemple financières pour les entreprises commerciales ou de service public pour les entités gouvernementales.
Partie prenante
Besoins
eriudnoC
Les entreprises comptent de nombreuses parties prenantes, et « créer de la valeur » signifie des choses différentes – et parfois contradictoires – pour chacune d'entre elles. La
gouvernance consiste à négocier et à décider entre les intérêts des différentes parties prenantes. Par conséquent, le système de gouvernance devrait prendre en compte
toutes les parties prenantes lors de la prise de décisions en matière d’évaluation des avantages, des risques et des ressources. Pour chaque décision, les questions
suivantes peuvent et doivent être posées : Pour qui sont les bénéfices ? Qui supporte le risque ? Quelles ressources sont nécessaires ?
Les besoins des parties prenantes doivent être transformés en stratégie concrète d'entreprise. La cascade d'objectifs COBIT 5 est le mécanisme permettant de traduire
les besoins des parties prenantes en objectifs d'entreprise spécifiques, réalisables et personnalisés, en objectifs informatiques et en objectifs de catalyseur. Cette traduction
permet de fixer des objectifs spécifiques à chaque niveau et dans chaque domaine de l'entreprise à l'appui des objectifs globaux et des exigences des parties prenantes.
Étape 1. Les facteurs déterminants des parties prenantes influencent leurs besoins
Les besoins des parties prenantes sont influencés par un certain nombre de facteurs, par exemple les changements de stratégie, l'évolution de l'environnement
commercial et réglementaire et les nouvelles technologies.
COBIT 5 définit 17 objectifs génériques, comme le montre la figure 4, qui comprend les informations suivantes :
• La dimension BSC dans laquelle s'inscrit l'objectif de l'entreprise
• Objectifs de l'entreprise
• La relation avec les trois principaux objectifs de gouvernance : réalisation des bénéfices, optimisation des risques et optimisation des ressources. (« P » signifie
relation primaire et « S » pour relation secondaire, c'estàdire une relation moins forte.)
1
Kaplan, Robert S. ; David P. Norton ; The Balanced Scorecard : Traduire la stratégie en action, Harvard University Press, ÉtatsUnis, 1996
13
Machine Translated by Google
Influence
Objectifs facilitateurs
Financier 1. Valeur pour les parties prenantes des investissements des entreprises P. S
5. Transparence financière P. S S
14
Machine Translated by Google
Chapitre 2. La cascade d'objectifs et les mesures pour
les objectifs d'entreprise et les objectifs liés à l'informatique
02 Conformité informatique et assistance à la conformité des entreprises aux lois et réglementations externes
12 Activation et prise en charge des processus métier en intégrant des applications et des technologies dans les processus métier
13 Livraison de programmes apportant des bénéfices, dans les délais et dans les limites du budget, et répondant aux exigences et aux normes de qualité
Le tableau de correspondance entre les objectifs liés à l'informatique et les objectifs de l'entreprise est inclus à l'annexe B et montre comment chaque objectif
de l'entreprise est soutenu par un certain nombre d'objectifs liés à l'informatique.
Structures organisationnelles
• Culture, éthique et comportement
• Information
Pour chaque catalyseur, un ensemble d'objectifs spécifiques et pertinents peuvent être définis pour soutenir les objectifs liés à l'informatique. Dans ce
document, les objectifs du processus sont fournis dans les descriptions détaillées du processus. Les processus sont l'un des catalyseurs, et l'annexe C contient une
cartographie entre les objectifs liés à l'informatique et les processus COBIT 5.
• Définit des buts et des objectifs pertinents et tangibles à différents niveaux de responsabilité.
• Filtre la base de connaissances de COBIT 5, en fonction des objectifs de l'entreprise, pour extraire des conseils pertinents à inclure dans des projets
spécifiques de mise en œuvre, d'amélioration ou d'assurance.
• Identifie et communique clairement en quoi les facilitateurs (parfois très opérationnels) sont importants pour atteindre les objectifs de l'entreprise.
2 Les résultats liés à l'informatique ne constituent évidemment pas le seul avantage intermédiaire requis pour atteindre les objectifs de l'entreprise. Tous les autres domaines fonctionnels d'une
organisation, tels que la finance et le marketing, contribuent également à la réalisation des objectifs de l'entreprise, mais dans le contexte de COBIT 5, seules les activités et les objectifs liés à l'informatique
sont pris en compte.
3 La cascade d'objectifs est basée sur des recherches réalisées par l'Institut d'alignement et de gouvernance informatique de l'École de gestion de l'Université d'Anvers en Belgique.
15
Machine Translated by Google
Métrique
Les pages suivantes contiennent les objectifs de l'entreprise et les objectifs liés à l'informatique, avec des exemples de mesures pouvant être utilisées
pour mesurer la réalisation de chaque objectif. Ces mesures sont des exemples, et chaque entreprise doit examiner attentivement la liste, décider des
mesures pertinentes et réalisables pour son propre environnement et concevoir son propre système de tableau de bord. En plus des mesures ci
dessous, les objectifs et les mesures du processus sont contenus dans les descriptions détaillées des processus.
Financier 1. Valeur pour les parties prenantes de • Pourcentage d'investissements dont la valeur délivrée répond aux attentes des parties prenantes
investissements commerciaux • Pourcentage de produits et services pour lesquels les avantages attendus se concrétisent
• Pourcentage d'investissements pour lesquels les avantages réclamés sont atteints ou dépassés
2. Portefeuille de produits et • Pourcentage de produits et services qui atteignent ou dépassent les objectifs en termes de revenus et/ou de part de marché.
services compétitifs • Ratio de produits et services par phase du cycle de vie
• Pourcentage de produits et services qui atteignent ou dépassent les objectifs de satisfaction client
• Pourcentage de produits et services offrant un avantage concurrentiel
3. Gestion des risques commerciaux • Pourcentage d'objectifs commerciaux et de services critiques couverts par l'évaluation des risques
(sauvegarde des actifs) • Ratio d'incidents importants qui n'ont pas été identifiés dans les évaluations des risques par rapport au nombre total d'incidents
• Fréquence de mise à jour du profil de risque
4. Conformité aux lois et réglementations • Coût de la nonconformité réglementaire, y compris les règlements et les amendes
externes • Nombre de problèmes de nonconformité réglementaire ayant suscité des commentaires publics ou une publicité négative.
• Nombre de problèmes de nonconformité réglementaire liés aux accords contractuels avec des partenaires commerciaux
5. Transparence financière • Pourcentage d'analyses de rentabilité d'investissement dont les coûts attendus sont clairement définis et approuvés.
et avantages
• Pourcentage de produits et services avec des coûts opérationnels définis et approuvés et des avantages attendus
• Enquête de satisfaction auprès des principales parties prenantes concernant la transparence, la compréhension et l'exactitude des
informations financières de l'entreprise
• Pourcentage du coût du service pouvant être alloué aux utilisateurs
16
Machine Translated by Google
Chapitre 2. La cascade d'objectifs et les mesures pour
les objectifs d'entreprise et les objectifs liés à l'informatique
Client 6. Culture de service orientée • Nombre d'interruptions du service client dues à des incidents liés au service informatique (fiabilité)
client • Pourcentage de parties prenantes de l'entreprise satisfaites que la prestation de service client réponde aux niveaux convenus
7. Continuité et disponibilité • Nombre d'interruptions du service client provoquant des incidents significatifs
• Pourcentage de plaintes en fonction des objectifs engagés en matière de disponibilité des services
8. Des réponses agiles à un • Niveau de satisfaction du conseil d'administration quant à la réactivité de l'entreprise aux nouvelles exigences
environnement commercial • Nombre de produits et services critiques pris en charge par des processus commerciaux à jour. • Temps moyen nécessaire pour
changeant transformer les objectifs stratégiques de l'entreprise en une initiative convenue et approuvée.
9. Prise de décision stratégique • Degré de satisfaction du conseil d'administration et de la direction à l'égard de la prise de décision
basée sur l'information • Nombre d'incidents causés par des décisions commerciales incorrectes basées sur des informations inexactes. • Temps nécessaire pour
fournir des informations justificatives pour permettre des décisions commerciales efficaces.
10. Optimisation des coûts de prestation • Fréquence des évaluations d'optimisation des coûts de prestation de services
de services • Tendance de l'évaluation des coûts par rapport aux résultats du niveau de service
• Niveaux de satisfaction du conseil d'administration et de la direction générale à l'égard des coûts de prestation de services
Interne 11. Optimisation de la fonctionnalité des • Fréquence des évaluations de la maturité des capacités des processus métiers
• Niveaux de satisfaction du conseil d'administration et des dirigeants à l'égard des capacités en matière de processus métier
12. Optimisation des coûts des processus • Fréquence des évaluations d'optimisation des coûts des processus métier
métier • Tendance de l'évaluation des coûts par rapport aux résultats du niveau de
service. • Niveaux de satisfaction du conseil d'administration et de la direction à l'égard des coûts de traitement des affaires.
13. Programmes de changement • Nombre de programmes dans les délais et dans les limites du budget
• Niveau de sensibilisation aux changements commerciaux induits par les initiatives commerciales basées sur l'informatique.
14. Productivité opérationnelle et du • Nombre de programmes/projets dans les délais et dans les limites du budget
15. Conformité aux politiques internes • Nombre d'incidents liés au nonrespect de la politique. • Pourcentage de parties
• Pourcentage de politiques soutenues par des normes et des pratiques de travail efficaces
Apprentissage et 16. Des personnes compétentes et • Niveau de satisfaction des parties prenantes à l'égard de l'expertise et des compétences du personnel
Croissance motivées • Pourcentage de membres du personnel dont les compétences sont insuffisantes pour la compétence requise pour leur rôle
• Pourcentage de personnel satisfait
17. Culture de l’innovation des produits • Niveau de sensibilisation et de compréhension des opportunités d'innovation commerciale
et des entreprises • Satisfaction des parties prenantes quant aux niveaux d'expertise et d'idées en matière de produits et d'innovation
La figure 7 contient tous les objectifs liés à l'informatique tels que définis dans la cascade d'objectifs et comprend des exemples de mesures pour chaque objectif.
BSC
Financier 01 Alignement de la stratégie • Pourcentage d'objectifs et d'exigences stratégiques de l'entreprise pris en charge par les objectifs stratégiques informatiques. •
informatique et commerciale Niveau de satisfaction des parties prenantes quant à la portée du portefeuille prévu de programmes et de services.
02 Conformité informatique et • Coût de la nonconformité informatique, y compris les règlements et les amendes, et l'impact de la perte de réputation
assistance à la conformité des • Nombre de problèmes de nonconformité liés à l'informatique signalés au conseil d'administration ou ayant suscité des commentaires publics.
externes • Nombre de problèmes de nonconformité liés aux accords contractuels avec les prestataires de services informatiques
03 Engagement de la direction générale • Pourcentage de postes de direction avec des responsabilités clairement définies pour les décisions informatiques
pour faire • Nombre de fois où l'informatique figure à l'ordre du jour du conseil d'administration de manière proactive
Décisions liées à l'informatique • Fréquence des réunions du comité (exécutif) de stratégie informatique
• Taux d'exécution des décisions exécutives liées à l'informatique
17
Machine Translated by Google
BSC
Financier 04 Gestion des risques métiers • Pourcentage de processus métier critiques, de services informatiques et de programmes métiers informatiques couverts par
• Nombre d'incidents informatiques importants qui n'ont pas été identifiés lors de l'évaluation des risques.
• Pourcentage d'évaluations des risques d'entreprise, y compris les risques liés à l'informatique
05 Bénéfices réalisés grâce à • Pourcentage d'investissements informatiques dont la réalisation des avantages est surveillée tout au long du cycle de vie économique.
Portefeuille d'investissements et
de services informatiques • Pourcentage de services informatiques pour lesquels les avantages attendus sont réalisés
• Pourcentage d'investissements informatiques dont les avantages revendiqués sont atteints ou dépassés
06 Transparence des coûts, avantages et • Pourcentage d'analyses de rentabilisation d'investissement avec des coûts informatiques attendus clairement définis et approuvés.
risques informatiques et avantages
• Pourcentage de services informatiques dont les coûts opérationnels et les avantages attendus sont clairement définis et approuvés.
• Enquête de satisfaction auprès des principales parties prenantes concernant le niveau de transparence, de compréhension et d'exactitude des
Client 07 Livraison de services informatiques • Nombre d'interruptions d'activité dues à des incidents de service informatique
en adéquation avec les besoins • Pourcentage de parties prenantes de l'entreprise satisfaites que la prestation de services informatiques réponde aux niveaux de service convenus
08 Utilisation adéquate des • Pourcentage de responsables de processus métier satisfaits de la prise en charge des produits et services informatiques
applications, des informations et des • Niveau de compréhension des utilisateurs professionnels sur la manière dont les solutions technologiques soutiennent leurs processus.
solutions technologiques • Niveau de satisfaction des utilisateurs professionnels avec la formation et les manuels d'utilisation
• Valeur actuelle nette (VAN) montrant le niveau de satisfaction de l'entreprise quant à la qualité et à l'utilité des solutions technologiques.
Interne 09 Agilité informatique • Niveau de satisfaction des dirigeants d'entreprise quant à la réactivité de l'informatique aux nouvelles exigences
• Nombre de processus métier critiques pris en charge par une infrastructure et des applications à jour
• Délai moyen nécessaire pour transformer les objectifs informatiques stratégiques en une initiative convenue et approuvée.
10 Sécurité des informations, des • Nombre d'incidents de sécurité entraînant des pertes financières, des perturbations des activités ou un embarras public
infrastructures de traitement et des • Nombre de services informatiques avec des exigences de sécurité exceptionnelles
applications • Temps nécessaire pour accorder, modifier et supprimer les privilèges d'accès, par rapport aux niveaux de service convenus.
• Fréquence des évaluations de sécurité par rapport aux dernières normes et directives
11 Optimisation de • Fréquence des évaluations de maturité des capacités et d'optimisation des coûts
informatiques • Niveaux de satisfaction des responsables commerciaux et informatiques à l'égard des coûts et des capacités liés à l'informatique.
12 Activation et prise en charge des • Nombre d'incidents de traitement métier causés par des erreurs d'intégration technologique
processus métier en intégrant des • Nombre de changements de processus métier qui doivent être retardés ou retravaillés en raison de problèmes d'intégration technologique.
dans les processus métier • Nombre de programmes métiers informatiques retardés ou entraînant des coûts supplémentaires en raison de problèmes d'intégration technologique.
13 Livraison de programmes apportant • Nombre de programmes/projets dans les délais et dans les limites du budget
des bénéfices, dans les délais et • Pourcentage de parties prenantes satisfaites de la qualité du programme/projet
dans les limites du budget, et • Nombre de programmes nécessitant des retouches importantes en raison de défauts de qualité
répondant aux exigences et aux • Coût de la maintenance des applications par rapport au coût informatique global
normes de qualité
14 Disponibilité d'informations fiables et • Niveau de satisfaction des utilisateurs métier concernant la qualité et l'actualité (ou la disponibilité) des informations de
utiles pour la prise de décision gestion. • Nombre d'incidents de
15 Conformité informatique aux • Nombre d'incidents liés au nonrespect de la politique. • Pourcentage de parties
• Pourcentage de politiques soutenues par des normes et des pratiques de travail efficaces
Apprentissage et 16 Personnel commercial et informatique • Pourcentage d'employés dont les compétences informatiques sont suffisantes pour les compétences requises pour leur rôle
Croissance compétent et motivé • Pourcentage d'employés satisfaits de leurs fonctions liées à l'informatique
17 Connaissances, expertises et • Niveau de sensibilisation des dirigeants d'entreprise et de compréhension des possibilités d'innovation informatique.
initiatives pour l’innovation • Niveau de satisfaction des parties prenantes quant aux niveaux d'expertise et d'idées en matière d'innovation informatique
des entreprises • Nombre d'initiatives approuvées résultant d'idées informatiques innovantes
18
Machine Translated by Google
chapitre 3
Le modèle de processus COBIT 5
chapitre 3
Le modèle de processus COBIT 5
Les processus sont l'une des sept catégories de catalyseurs pour la gouvernance et la gestion de l'informatique d'entreprise, comme expliqué dans
COBIT 5, chapitre 5. Les spécificités du catalyseur de processus par rapport à la description générique du catalyseur sont présentées dans la figure
8.
• Interne Planification
• Qualité intrinsèque • Pratiques de processus,
Parties prenantes • Qualité contextuelle • Conception Activités détaillées
• Externe (Pertinence, • Construire/Acquérir/ Activités
Parties prenantes Efficacité) Créer/Mettre en œuvre • Produits de travail
• Accessibilité et • Utiliser/Exploiter (Entrées/Sorties)
baiD
neotnisantielim h
Sécurité • Évaluer/Surveiller
• Mettre à jour/éliminer
Sont parties prenantes Sont des facilitateurs Estce que le cycle de vie Sont de bonnes pratiques
Besoins satisfaits ? Objectifs atteints ? Géré ? Appliqué?
noitseG
aP
secnruaemsryolafrteu d
c
Un processus est défini comme « un ensemble de pratiques influencées par les politiques et procédures de l'entreprise qui prennent des intrants provenant
d'un certain nombre de sources (y compris d'autres processus), manipulent les intrants et produisent des extrants (par exemple, des produits, des
services) ».
À chaque niveau de la cascade des objectifs, et donc également pour les processus, des mesures sont définies pour mesurer dans quelle mesure les
objectifs sont atteints. Les métriques peuvent être définies comme « une entité quantifiable qui permet de mesurer la réalisation d'un objectif de processus
». Les mesures doivent être SMART : spécifiques, mesurables, exploitables, pertinentes et opportunes. »
19
Machine Translated by Google
Pour gérer le catalyseur de manière efficace et efficiente, des mesures doivent être définies pour mesurer dans quelle mesure les résultats attendus sont atteints. En
outre, un deuxième aspect de la gestion des performances du facilitateur décrit la mesure dans laquelle les bonnes pratiques sont appliquées. Ici aussi, des
métriques associées peuvent être définies pour aider à la gestion de l'activateur. • Cycle de vie : chaque processus possède un cycle de vie. Il est défini, créé,
exploité, surveillé et ajusté/mis à jour ou retiré.
Les pratiques de processus génériques telles que celles définies dans le modèle d'évaluation des processus COBIT basé sur la norme ISO/IEC 15504 peuvent aider
à définir, exécuter, surveiller et optimiser les processus.
• Bonnes pratiques – COBIT 5 : Enabling Processes contient un modèle de référence de processus, dans lequel les bonnes pratiques internes des processus sont
décrites avec des niveaux de détail croissants : pratiques, activités et activités détaillées.4
Les pratiques:
• Pour chaque processus COBIT 5, les pratiques de gouvernance/gestion fournissent un ensemble complet d'exigences de haut niveau pour une gouvernance et
une gestion efficaces et pratiques de l'informatique d'entreprise. Ils sont:
Énoncés d'actions pour apporter des bénéfices, optimiser le niveau de risque et optimiser l'utilisation des ressources
Aligné sur les normes et bonnes pratiques généralement acceptées
Générique et devant donc être adapté à chaque entreprise
Couverture des acteurs métiers et IT dans le processus (de bout en bout)
• L'organe de gouvernance et la direction de l'entreprise doivent faire des choix concernant ces pratiques de gouvernance et de gestion en :
Sélectionner celles qui sont applicables et décider de celles qui seront mises en œuvre
Ajouter et/ou adapter des pratiques si nécessaire
Définir et ajouter des pratiques non liées à l'informatique pour l'intégration dans les processus métiers
Choisir comment les mettre en œuvre (fréquence, span, automatisation, etc.)
Accepter le risque de ne pas mettre en œuvre celles qui pourraient s'appliquer
Activités—Dans COBIT, les principales actions pour faire fonctionner le processus
• Ils sont définis comme « des conseils pour mettre en œuvre des pratiques de gestion permettant une gouvernance et une gestion réussies de
l'informatique d'entreprise ». Les activités COBIT 5 expliquent comment, pourquoi et quoi mettre en œuvre pour chaque pratique de gouvernance ou de
gestion afin d'améliorer les performances informatiques et/ou de gérer les risques liés aux solutions informatiques et à la prestation de services. Ce matériel est
utile pour :
Direction, prestataires de services, utilisateurs finaux et professionnels de l'informatique qui doivent planifier, créer, exécuter ou surveiller (PBRM)
l'informatique d'entreprise
Des professionnels de l'assurance qui peuvent être invités à donner leur avis sur les mises en œuvre actuelles ou proposées ou les améliorations
nécessaires
• Un ensemble complet d'activités génériques et spécifiques qui fournissent une approche composée de toutes les étapes nécessaires et suffisantes pour
atteindre la pratique de gouvernance (GP)/pratique de gestion (MP). Ils fournissent des conseils de haut niveau, à un niveau inférieur au GP/MP, pour
évaluer les performances réelles et envisager des améliorations potentielles. Les activités:
– Décrire un ensemble d’étapes de mise en œuvre nécessaires et suffisantes, orientées vers l’action, pour parvenir à un GP/MP
– Tenir compte des entrées et sorties du processus
– Sont basés sur des normes et bonnes pratiques généralement acceptées
– Soutenir l’établissement de rôles et de responsabilités clairs
– Sont non prescriptifs et doivent être adaptés et développés en procédures spécifiques adaptées à l’entreprise
Activités détaillées – Les activités peuvent ne pas être suffisamment détaillées pour être mises en œuvre, et des orientations supplémentaires peuvent
s'avérer nécessaires :
– Obtenu à partir de normes et de bonnes pratiques pertinentes spécifiques telles que la bibliothèque d'infrastructures de technologies de l'information
(ITIL), la série 27000 de l'Organisation internationale de normalisation/Commission électrotechnique internationale (ISO/IEC) et PRojects IN Controlled
Environments 2 (PRINCE2)
– Développé sous forme d’activités plus détaillées ou spécifiques en tant que développements supplémentaires dans la famille de produits COBIT 5 ellemême
Entrées et sorties – Les entrées et sorties de COBIT 5 sont les produits/artefacts du travail de processus considérés comme nécessaires pour soutenir
le fonctionnement du processus. Ils permettent de prendre des décisions clés, fournissent un enregistrement et une piste d'audit des activités de processus et
permettent un suivi en cas d'incident. Ils sont définis au niveau des pratiques de gouvernance/gestion, peuvent inclure certains produits de travail utilisés uniquement
dans le processus et constituent souvent des intrants essentiels à d’autres processus.5
Les bonnes pratiques externes peuvent exister sous n’importe quelle forme ou niveau de détail et faire principalement référence à d’autres
normes et cadres. Les utilisateurs peuvent à tout moment se référer à ces bonnes pratiques externes, sachant que COBIT est aligné sur ces
normes lorsque cela est pertinent, et des informations cartographiques seront mises à disposition.
4
Seules les pratiques et activités sont développées dans le cadre du projet actuel. Les niveaux plus détaillés sont sujets à des développements supplémentaires, par exemple, les différents
guides professionnels peuvent fournir des conseils plus détaillés pour leurs domaines. En outre, des orientations supplémentaires peuvent être obtenues par le biais de normes et de cadres
connexes, comme indiqué dans les descriptions détaillées des processus.
5 Les entrées et sorties illustratives de COBIT 5 ne doivent pas être considérées comme une liste exhaustive car des flux d'informations supplémentaires pourraient être définis, en fonction de
l'environnement et du cadre de processus d'une entreprise particulière.
20
Machine Translated by Google
chapitre 3
Le modèle de processus COBIT 5
Dans le cas du facilitateur de processus, les deux premiers points traitent du résultat réel du processus. Les mesures utilisées pour mesurer dans quelle mesure les objectifs sont
atteints peuvent être appelées « indicateurs de décalage ». Dans COBIT 5 : Enabling Processes, un certain nombre de mesures sont définies par objectif de processus.
Les deux derniers points traitent du fonctionnement réel du catalyseur luimême, et les mesures à cet égard peuvent être appelées « indicateurs principaux ».
Niveau de capacité du processus : COBIT 5 comprend un système d'évaluation de la capacité du processus basé sur la norme ISO/IEC 15504. Ceci est abordé au chapitre 8 de COBIT
5 et des conseils supplémentaires sont disponibles dans des publications distinctes de l'ISACA. En bref, le niveau de capacité du processus mesure à la fois la réalisation des
Relations avec d'autres facilitateurs — Les liens entre les processus et les autres catégories de facilitateurs existent à travers les relations suivantes : • Les processus ont
des types d'intrants) et peuvent produire des informations (en tant que produit du travail).
• Les processus nécessitent des structures organisationnelles et des rôles pour fonctionner, tels qu'exprimés dans les diagrammes RACI, par exemple, comité de pilotage
informatique, comité des risques d'entreprise, conseil d'administration, audit, directeur de l'information (CIO), directeur général (PDG).
• Les processus produisent, mais nécessitent également, des capacités de service (infrastructure, applications, etc.).
• Les processus produisent, ou nécessitent, des politiques et des procédures pour garantir une mise en œuvre et une exécution cohérentes.
21
Machine Translated by Google
22
Machine Translated by Google
Chapitre 4
Le modèle de référence de processus COBIT 5
Chapitre 4
Le modèle de référence de processus COBIT 5
Processus de gouvernance et de gestion
L’un des principes directeurs de COBIT est la distinction faite entre gouvernance et gestion. Conformément à ce principe, chaque entreprise devrait
mettre en œuvre un certain nombre de processus de gouvernance et un certain nombre de processus de gestion pour assurer une gouvernance et une
gestion complètes de l'informatique d'entreprise.
Lorsque l’on considère les processus de gouvernance et de gestion dans le contexte de l’entreprise, la différence entre les types de processus réside dans les
objectifs des processus :
• Processus de gouvernance : les processus de gouvernance traitent des objectifs de gouvernance des parties prenantes (apport de valeur, optimisation des
risques et optimisation des ressources) et incluent des pratiques et des activités visant à évaluer les options stratégiques, à orienter l'informatique et à
surveiller les résultats (évaluer, diriger et surveiller [EDM ] —conformément aux concepts de la norme ISO/IEC 38500).
• Processus de gestion : conformément à la définition de la gestion (voir COBIT 5, résumé), les pratiques et activités dans les processus de gestion couvrent
les domaines de responsabilité de l'informatique d'entreprise PBRM et doivent fournir une couverture informatique de bout en bout.
Bien que le résultat des deux types de processus soit différent et destiné à un public différent, en interne, du contexte du processus luimême, tous les
processus nécessitent des activités de « planification », « construction ou mise en œuvre », « exécution » et « suivi » au sein du processus.
Modèle
COBIT 5 n'est pas prescriptif, mais d'après le texte précédent, il ressort clairement qu'il préconise que les entreprises mettent en œuvre des processus de
gouvernance et de gestion tels que les domaines clés soient couverts, comme le montre la figure 9 .
En théorie, une entreprise peut organiser ses processus comme bon lui semble, à condition que les objectifs fondamentaux de gouvernance et de gestion soient
couverts. Les petites entreprises peuvent avoir moins de processus ; les entreprises plus grandes et plus complexes peuvent avoir de nombreux
processus, tous destinés à répondre aux mêmes objectifs.
Gouvernance
Évaluer
Moniteur
Direct Commentaires de la direction
Gestion
23
Machine Translated by Google
COBIT 5 comprend un modèle de référence de processus, définissant et décrivant en détail un certain nombre de processus de gouvernance et de
gestion. Il fournit un modèle de référence de processus qui représente l'ensemble des processus normalement présents dans une entreprise
liés aux activités informatiques, offrant un modèle de référence commun compréhensible aux responsables opérationnels informatiques et métiers.
Le modèle de processus proposé est un modèle complet et exhaustif, mais ce n'est pas le seul modèle de processus possible. Chaque entreprise
doit définir son propre ensemble de processus, en tenant compte de la situation spécifique.
L'intégration d'un modèle opérationnel et d'un langage commun pour toutes les parties de l'entreprise impliquées dans les activités informatiques est
l'une des étapes les plus importantes et les plus critiques vers une bonne gouvernance. Il fournit également un cadre pour mesurer et surveiller les
performances informatiques, communiquer avec les fournisseurs de services et intégrer les meilleures pratiques de gestion.
Le modèle de référence de processus COBIT 5 subdivise les processus de gouvernance et de gestion de l'informatique d'entreprise en deux
domaines d'activité principaux (gouvernance et gestion) divisés en domaines de processus :
• Gouvernance : ce domaine contient cinq processus de gouvernance ; au sein de chaque processus, des pratiques GED sont définies.
• Gestion : ces quatre domaines sont conformes aux domaines de responsabilité de PBRM (une évolution des domaines COBIT 4.1)
et offrent une couverture de bout en bout de l'informatique. Chaque domaine contient un certain nombre de processus, comme dans COBIT
4.1 et les versions précédentes. Bien que, comme décrit précédemment, la plupart des processus nécessitent des activités de « planification »,
de « mise en œuvre », d'« exécution » et de « suivi » au sein du processus ou dans le cadre de la question spécifique traitée (par
exemple, qualité, sécurité), ils sont placés dans des domaines en en ligne avec ce qui est généralement le domaine d'activité le plus pertinent en
matière d'informatique au niveau de l'entreprise.
Le modèle de référence de processus COBIT 5 est le successeur du modèle de processus COBIT 4.1, avec également les modèles de
processus Risk IT et Val IT intégrés. La figure 10 montre l'ensemble complet des 37 processus de gouvernance et de gestion au sein de
COBIT 5.
EDM01 Assurer
EDM04 Assurer EDM05 Assurer
Gouvernance EDM02 Assurer EDM03 Assurer
Ressource Partie prenante
Cadre de réglage Livraison des avantages Optimisation des risques
et entretien Optimisation Transparence
Moniteur MEA01 ,
Évaluer et évaluer
Performances et
APO09 Gérer
APO08 Gérer APO10 Gérer APO11 Gérer APO12 Gérer APO13 Gérer Conformité
Service
Des relations Fournisseurs Qualité Risque Sécurité
les accords
24
Machine Translated by Google
Chapitre 5
Contenu du guide de référence du processus COBIT 5
Chapitre 5
Contenu du guide de référence du processus COBIT 5
Ce chapitre décrit le contenu détaillé des processus de gouvernance et de gestion de COBIT 5. Pour chaque processus, les informations suivantes
sont incluses, conformément au modèle de processus expliqué dans le chapitre précédent :
• Identification du processus : sur la première page :
– Étiquette de processus : le préfixe de domaine (EDM, APO, BAI, DSS, MEA) et le numéro de processus
– Nom du processus – Une brève description indiquant le sujet principal du processus – Domaine
du processus – Gouvernance ou gestion
Nom de domaine
• Description du processus : un aperçu de ce que fait le processus et un aperçu général de la manière dont le processus atteint son
objectif.
• Déclaration d'objectif du processus : une description de l'objectif général du processus. • Informations
en cascade sur les objectifs : référence et description des objectifs informatiques qui sont principalement pris en charge par le processus6, et des
mesures permettant de mesurer la réalisation des objectifs informatiques.
• Objectifs et mesures du processus : un ensemble d'objectifs de processus et un nombre limité d'exemples de mesures.
• Tableau RACI : une suggestion d'attribution du niveau de responsabilité pour les pratiques de processus aux différents rôles et structures.
Les rôles d'entreprise répertoriés sont plus foncés que les rôles informatiques. Les différents niveaux d’implication sont :
– R(responsable) : qui accomplit la tâche ? Il s'agit des rôles qui revêtent le principal enjeu opérationnel dans l'accomplissement de l'activité
répertoriée et la création du résultat escompté.
– A(ccountable) : qui est responsable du succès de la tâche ? Cela attribue la responsabilité globale d'obtenir le
tâche accomplie (Où s’arrête la responsabilité ?). Notez que le rôle mentionné est le niveau de responsabilité approprié le plus bas ; il existe bien
entendu des niveaux supérieurs qui sont également responsables. Pour permettre l’autonomisation de l’entreprise, la responsabilité est
décomposée autant que possible. La responsabilité n'indique pas que le rôle n'a aucune activité opérationnelle ; il est très probable que le rôle
soit impliqué dans la tâche. En tant que principe, la responsabilité ne peut être partagée.
– C (consulté) : qui apporte sa contribution ? Ce sont des rôles clés qui fournissent une contribution. Notez qu’il appartient au(x) rôle(s) responsable(s)
d’obtenir également des informations auprès d’autres unités ou de partenaires externes. Cependant, les contributions des rôles répertoriés doivent
être prises en compte et, si nécessaire, des mesures appropriées doivent être prises pour la remontée des informations, y compris les informations
du propriétaire du processus et/ou du comité directeur.
– Je (informé) : qui reçoit les informations ? Ce sont des rôles qui sont informés des réalisations et/ou
livrables de la tâche. Bien entendu, le rôle de « responsable » doit toujours recevoir les informations appropriées pour superviser la tâche, tout
comme les rôles responsables de leur domaine d'intérêt.
• Description détaillée des pratiques de processus – Pour chaque pratique :
– Titre et description de la pratique
– Pratiquer les intrants et les extrants, avec indication de l’origine et de la destination –
Traiter les activités, détaillant davantage les pratiques
• Conseils connexes : références à d'autres normes et orientations vers des conseils supplémentaires.
Entrées et sorties
Les descriptions détaillées des processus contiennent, au niveau des pratiques de gouvernance et de gestion, des intrants et des extrants.
En général, chaque sortie est envoyée vers une ou un nombre limité de destinations, généralement une autre pratique de processus COBIT. Cette
sortie devient alors une entrée vers sa destination. Cependant, il existe un certain nombre de résultats qui ont de nombreuses destinations, par
exemple tous les processus COBIT ou tous les processus au sein d'un domaine. Pour des raisons de lisibilité, ces sorties ne sont PAS répertoriées
comme entrées dans ces processus. Une liste complète de ces résultats est incluse dans la figure 11.
Pour certaines entrées/sorties, la destination 'interne' est mentionnée. Cela signifie que les entrées/sorties se situent entre les activités du même
processus.
6
Seuls les objectifs liés à l'informatique avec un « P » dans le tableau de correspondance entre les objectifs et les processus liés à l'informatique (figure 17) sont répertoriés ici.
25
Machine Translated by Google
Figure 11—Résultats
Sorties vers tous les processus
APO13.02 Plan de traitement des risques liés à la sécurité de l'information Tous les EDM ; Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
APO01.01 Règles de base en matière de communication Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
APO01.03 Politiques liées à l'informatique Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
APO01.04 Communication sur les objectifs informatiques Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
APO01.07 Possibilités d'amélioration des processus Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
APO02.06 Forfait communication Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
APO11.02 Normes de gestion de la qualité Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
APO11.04 Objectifs et indicateurs de qualité de service du processus Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
APO11.06 Communications sur l’amélioration continue et les bonnes pratiques Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
APO11.06 Exemples de bonnes pratiques à partager Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
APO11.06 Résultats de référence de l'examen de la qualité Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA01.02 Objectifs de surveillance Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA01.04 Rapports de performances Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA01.05 Actions correctives et missions Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA02.01 Résultats des suivis et revues du contrôle interne Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA02.01 Résultats des analyses comparatives et autres évaluations Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA02.03 Plans et critères d’autoévaluation Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA02.03 Résultats des examens des autoévaluations Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA02.04 Lacunes du contrôle Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA02.04 Des mesures correctives Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA02.06 Plans d'assurance Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA02.08 Portée raffinée Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA02.08 Résultats de l'examen d'assurance Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA02.08 Rapport d'examen de l'assurance Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA03.02 Communications des exigences de conformité modifiées Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
26
Machine Translated by Google
Chapitre 5
Contenu du guide de référence du processus COBIT 5
Les activités dans les descriptions détaillées des processus décrivent l'objectif fonctionnel du processus, c'estàdire ce que le processus est censé fournir. Ceux
ci seront différents pour chaque processus, car chaque processus a des objectifs différents.
Il existe également des conseils sur la manière dont le processus sera exécuté, c'estàdire des conseils génériques sur la manière de construire, d'exécuter, de
surveiller et d'améliorer le processus luimême. Ces conseils sont génériques, identiques pour chaque processus.
Dans COBIT 4.1, les contrôles de processus contenaient de bonnes pratiques qui n'étaient spécifiques à aucun processus, mais étaient génériques et applicables à
tous les processus. Les contrôles de processus étaient similaires à certains des attributs de maturité génériques du modèle de maturité COBIT 4.1.
Dans COBIT 5, un système d'évaluation de la capacité des processus conforme à la norme ISO/IEC 15504 est utilisé. Dans ce schéma, les attributs de capacité
appartenant aux niveaux de capacité de processus supérieurs décrivent comment des processus meilleurs et plus performants peuvent être construits, remplaçant
ainsi efficacement les contrôles de processus COBIT 4.1.
Il s'agit d'orientations importantes liées aux processus, et pour cette raison, la figure 12 contient un aperçu de haut niveau des contrôles de processus
COBIT 4.1 et de leurs attributs équivalents de capacité de processus basés sur la norme ISO/IEC 15504 qui sont fondamentaux pour de bons processus.
Figure 12—Contrôles de processus COBIT 4.1 et attributs de capacité de processus ISO/IEC 15504 associés
COBIT4.1 Attributs de capacité de processus ISO/IEC 15504 associés
Amélioration des performances du processus PC6 AP 2.1 Attribut de gestion des performances
AP 5.2 Attribut d'optimisation des processus
27
Machine Translated by Google
28
et
Machine Translated by Google
si
Chapitre 5
É
d
Contenu du guide de référence du processus COBIT 5
29
Machine Translated by Google
30
Machine Translated by Google
Chapitre 5
Contenu du guide de référence du processus COBIT 5
Domaine : Gouvernance
EDM01 Assurer la mise en place et la maintenance du cadre de gouvernance Domaine : évaluer, diriger et surveiller
Description du processus
Analyser et articuler les exigences en matière de gouvernance de l'informatique d'entreprise, et mettre en place et maintenir des structures, principes, processus et pratiques efficaces, avec des
responsabilités et une autorité claires pour atteindre la mission, les buts et les objectifs de l'entreprise.
01 Alignement de la stratégie informatique et commerciale • Pourcentage d'objectifs et d'exigences stratégiques de l'entreprise pris en charge par les objectifs
stratégiques informatiques
• Niveau de satisfaction des parties prenantes quant à la portée du portefeuille prévu de
programmes et de services
• Pourcentage de facteurs de valeur informatique mappés aux facteurs de valeur commerciale
03 Engagement de la direction exécutive dans la prise de décisions liées à l'informatique • Pourcentage de rôles de direction exécutive clairement définis
responsabilités pour les décisions informatiques
• Nombre de fois où l'informatique figure à l'ordre du jour du conseil d'administration de manière proactive
07 Livraison de services informatiques en adéquation avec les besoins métiers • Nombre d'interruptions d'activité dues à des incidents de service informatique
• Pourcentage de parties prenantes de l'entreprise satisfaites que la prestation de services informatiques
réponde aux niveaux de service convenus
• Pourcentage d'utilisateurs satisfaits de la qualité de la prestation des services informatiques
1. Le modèle de prise de décision stratégique pour l'informatique est efficace et aligné sur • Temps de cycle réel par rapport à l'objectif pour les décisions clés
l'environnement interne et externe de l'entreprise et sur les exigences des parties prenantes. • Niveau de satisfaction des parties prenantes (mesuré par des enquêtes)
2. Le système de gouvernance informatique est intégré à l'entreprise. • Nombre de rôles, de responsabilités et d'autorités définis, attribués et acceptés par la
direction commerciale et informatique appropriée.
• Degré selon lequel les principes de gouvernance convenus pour l'informatique sont mis en
évidence dans les processus et les pratiques (pourcentage de processus et de pratiques
avec une traçabilité claire aux principes)
• Nombre de cas de nonrespect des directives de comportement éthique et professionnel
3. L'assurance est obtenue que le système de gouvernance informatique est • Fréquence des examens indépendants de la gouvernance informatique
fonctionner efficacement. • Fréquence de reporting de gouvernance informatique au comité exécutif
et planche
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
R
di
o
R
d'il
R
id
s'l
R
d
acl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
oa
efn
prsodeefan
éa
ca
C
E
S
dl
tjoroelrPiC
P
d(
p
éa
eriansneociitvsreeG
d
s
laaitsnneodpifsnee
o
rxeta
soep
toirpuoscfene
nitee
nsqe
sé
eéé
sessitrnpaeertgnie
toirpuoscfene
ssu
auietesrlueaaB
gvl
d
o'C
d
tiduA
astésrierpcitoo
taéo
tm
pv
aprsé
iuéontpiivtss
laedrtiécsn
sm
esirpséeetriu
ticm
erutceltiiehscnra
lbeapspnoole
im
imo
iap
tnaiotm
rqtsitnianom
uo
étué
e
a
noitraum
sgrtg
uo
nm
nm
n
uro
efiig
rue
srn
elbaéstsn
/semme)aé
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
tn
sce
sersiu
éetlib
elsbea
aua
tneem
noeietlb
Pratique de gouvernance
EDM01.01
Évaluer le ARCCR R. C CCCCCCRCCC
système de gouvernance.
EDM01.02
ARCCRIRI je ICI je je ICCRCI je je je je je je
EDM01.03
ARCCRIRI je ICI je je ICCRCI je je je je je je
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
31
Machine Translated by Google
APO01.01
• Règlements
Niveaux d'autorité Tous les GED
• Gouvernance/décision
APO01.02
faire des conseils de modèle
• Constitution/règlements/
statuts de l'organisation
Activités
1. Analyser et identifier les facteurs environnementaux internes et externes (obligations légales, réglementaires et contractuelles) et les tendances de l'entreprise
environnement qui peut influencer la conception de la gouvernance.
3. Tenez compte des réglementations externes, des lois et des obligations contractuelles et déterminez comment elles doivent être appliquées dans le cadre de la gouvernance informatique de l'entreprise.
4. Aligner l'utilisation et le traitement éthiques de l'information et son impact sur la société, l'environnement naturel et les intérêts des parties prenantes internes et externes avec la direction, les buts et les objectifs
de l'entreprise.
5. Déterminer les implications de l'environnement de contrôle global de l'entreprise en ce qui concerne l'informatique.
6. Articuler les principes qui guideront la conception de la gouvernance et la prise de décision en matière d'informatique.
7. Comprendre la culture décisionnelle de l'entreprise et déterminer le modèle décisionnel optimal pour l'informatique.
8. Déterminez les niveaux appropriés de délégation d'autorité, y compris les règles de seuil, pour les décisions informatiques.
de décision éclairée.
Activités
1. Communiquer les principes de gouvernance des TI et convenir avec la direction générale de la manière d'établir un leadership informé et engagé.
2. Établir ou déléguer la mise en place de structures, de processus et de pratiques de gouvernance conformément aux principes de conception convenus.
3. Attribuer les responsabilités, l'autorité et la responsabilisation conformément aux principes de conception de gouvernance, aux modèles de prise de décision et à la délégation convenus.
4. Veiller à ce que les mécanismes de communication et de reporting fournissent aux responsables de la surveillance et de la prise de décision des informations appropriées.
5. Ordonner au personnel de suivre les directives pertinentes en matière de comportement éthique et professionnel et de veiller à ce que les conséquences du nonrespect soient connues.
et appliquée.
6. Diriger la mise en place d’un système de récompense pour promouvoir le changement culturel souhaitable.
32
et
Machine Translated by Google
si
Chapitre 5
É
d
Contenu du guide de référence du processus COBIT 5
• Rapports d'assurance de
conformité
Activités
1. Évaluer l'efficacité et les performances des parties prenantes auxquelles sont déléguées la responsabilité et l'autorité en matière de gouvernance de l'informatique de l'entreprise.
2. Évaluer périodiquement si la gouvernance convenue des mécanismes informatiques (structures, principes, processus, etc.) est établie et fonctionne efficacement.
3. Évaluer l'efficacité de la conception de la gouvernance et identifier les actions pour rectifier les écarts constatés.
4. Surveiller dans quelle mesure l'informatique satisfait aux obligations (réglementaires, législatives, de common law, contractuelles), aux politiques internes, aux normes et
directives professionnelles.
6. Surveiller les mécanismes réguliers et courants pour garantir que l'utilisation de l'informatique est conforme aux obligations pertinentes (réglementaires, législatives, droit commun,
contractuels), des normes et des lignes directrices.
ISO/CEI 38500
Roi III • 5.1. Le conseil d'administration devrait être responsable de la gouvernance des technologies de l'information (TI).
• 5.3. Le conseil d'administration devrait déléguer à la direction la responsabilité de la mise en œuvre d'un cadre de
gouvernance informatique.
33
Machine Translated by Google
34
et
Machine Translated by Google
si
Chapitre 5
É
d
Contenu du guide de référence du processus COBIT 5
Domaine : Gouvernance
Description du processus
Optimiser la contribution de valeur à l'entreprise des processus métier, des services informatiques et des actifs informatiques résultant des investissements réalisés par l'informatique à des coûts acceptables.
Garantir une valeur optimale à partir des initiatives, des services et des actifs informatiques ; fourniture rentable de solutions et de services ; et une image fiable et précise des coûts et des avantages probables afin que les besoins de
01 Alignement de la stratégie informatique et commerciale • Pourcentage d'objectifs et d'exigences stratégiques de l'entreprise pris en charge par les objectifs stratégiques
informatiques. • Niveau
de satisfaction des parties prenantes quant à la portée du portefeuille prévu de programmes et de services.
05 Bénéfices réalisés grâce au portefeuille d'investissements et de services informatiques • Pourcentage d'investissements informatiques dont la réalisation des avantages est surveillée tout au long du cycle
de vie économique.
ou dépassé
06 Transparence des coûts, avantages et risques informatiques • Pourcentage d'analyses de rentabilisation d'investissement avec des coûts et des avantages informatiques
• Pourcentage de services informatiques dont les coûts opérationnels et les avantages attendus sont
07 Livraison de services informatiques en adéquation avec les besoins métiers • Nombre d'interruptions d'activité dues à des incidents de service informatique
• Pourcentage de parties prenantes de l'entreprise satisfaites que la prestation de services informatiques réponde
17 Connaissances, expertises et initiatives pour l’innovation des entreprises • Niveau de sensibilisation des dirigeants d'entreprise et de compréhension des possibilités d'innovation
informatique.
• Niveau de satisfaction des parties prenantes quant aux niveaux d'expertise en innovation informatique
et des idées
1. L’entreprise obtient une valeur optimale de son portefeuille d’initiatives, de services et d’actifs informatiques • Niveau de satisfaction de la direction concernant la valeur ajoutée et le coût de l'informatique
approuvés.
• Niveau de satisfaction des parties prenantes quant à la capacité de l'entreprise à tirer de la valeur des
initiatives informatiques
2. La valeur optimale découle de l'investissement informatique grâce à des pratiques efficaces de gestion de • Nombre d'incidents qui se produisent en raison d'un contournement réel ou tenté des principes et pratiques établis
• Pourcentage d'initiatives informatiques dans le portefeuille global dont la valeur est gérée tout au long du
cycle de vie
3. Les investissements informatiques individuels apportent une valeur optimale. • Niveau de satisfaction des parties prenantes quant aux progrès vers les objectifs identifiés, avec une création de
35
Machine Translated by Google
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
id
s'l
coaR
d
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
ds
soep
iuéontpiivtssnitee
eéé
sessitrnpaeertgnie
auietesrlueaaB
g
d
vl
ssu
sé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
laedrtiécsn
aprsé
tm
sm
pv
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
iap
tneemlbeapspnoole
uo
tm
rqtsitnianom
ae
sgrtg
srnuo
tnaio
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
/semme)aé
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gouvernance
EDM02.01
ARRCR R. CC CCCCCCRCCC
Évaluer l’optimisation de la valeur.
EDM02.02
ARRCRIRI je je je je je je je je IRCI je je je je je je
EDM02.03
ARRCR R. RCCCCCCCRCCC
Surveiller l'optimisation de la valeur.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
changement d'orientation qui doit être apporté à la direction pour des investissements d'investissement et de services APO05.04
Activités
1. Comprendre les exigences des parties prenantes ; les problèmes informatiques stratégiques, tels que la dépendance à l'égard de l'informatique ; et des connaissances et des capacités technologiques concernant les besoins réels et
2. Comprendre les éléments clés de la gouvernance requis pour la fourniture fiable, sécurisée et rentable d'une valeur optimale issue de l'utilisation des ressources existantes et
de nouveaux services, actifs et ressources informatiques.
3. Comprendre et discuter régulièrement des opportunités qui pourraient découler du changement d'entreprise rendu possible par les technologies actuelles, nouvelles ou émergentes, et
optimiser la valeur créée à partir de ces opportunités.
4. Comprendre ce qui constitue la valeur pour l'entreprise et déterminer dans quelle mesure elle est bien communiquée, comprise et appliquée tout au long de l'entreprise.
les processus de l'entreprise.
5. Évaluer l'efficacité avec laquelle les stratégies d'entreprise et informatiques ont été intégrées et alignées au sein de l'entreprise et avec les objectifs de l'entreprise pour
Offrir de la valeur.
6. Comprendre et considérer dans quelle mesure les rôles, responsabilités, responsabilités et organes décisionnels actuels sont efficaces pour assurer la création de valeur à partir de
Investissements, services et actifs informatiques.
7. Examinez dans quelle mesure la gestion des investissements, des services et des actifs informatiques s'aligne sur la gestion de la valeur de l'entreprise et les aspects financiers.
les pratiques du management.
8. Évaluer le portefeuille d'investissements, de services et d'actifs pour vérifier son alignement avec les objectifs stratégiques de l'entreprise ; la valeur de l'entreprise, à la fois financière et non
financière ; le risque, à la fois le risque de livraison et le risque de bénéfices ; alignement des processus opérationnels ; efficacité en termes de convivialité, de disponibilité et de réactivité ; et
efficacité en termes de coût, de redondance et de santé technique.
36
et
Machine Translated by Google
si
Chapitre 5
É
d
Contenu du guide de référence du processus COBIT 5
Activités
1. Définir et communiquer les types de portefeuille et d'investissement, les catégories, les critères et les pondérations relatives par rapport aux critères pour permettre une évaluation relative globale.
scores de valeur.
2. Définir les exigences en matière d'étapes et d'autres examens concernant l'importance de l'investissement pour l'entreprise et les risques associés, les calendriers des programmes, les plans de financement,
ainsi que la fourniture de capacités et d'avantages clés et la contribution continue à la valeur.
3. Demander à la direction d'envisager des utilisations innovantes potentielles de l'informatique qui permettent à l'entreprise de répondre à de nouvelles opportunités ou défis, d'entreprendre
de nouvelles affaires, accroître la compétitivité ou améliorer les processus.
4. Diriger tous les changements nécessaires dans l'attribution des responsabilités et des responsabilités pour l'exécution du portefeuille d'investissement et la création de valeur à partir des processus et
services commerciaux.
5. Définir et communiquer les objectifs de création de valeur et les mesures de résultats au niveau de l'entreprise pour permettre un suivi efficace.
6. Diriger tous les changements nécessaires dans le portefeuille d'investissements et de services pour le réaligner sur les objectifs et/ou contraintes actuels et attendus de l'entreprise.
7. Recommander de prendre en compte les innovations potentielles, les changements organisationnels ou les améliorations opérationnelles qui pourraient générer une valeur accrue pour le
l’entreprise des initiatives informatiques.
de valeur APO05.04
APO06.02
BAI01.01
Activités
1. Définir un ensemble équilibré d’objectifs de performance, de mesures, de cibles et de références. Les mesures doivent couvrir les mesures d'activité et de résultats, y compris les indicateurs d'avance
et de retard pour les résultats, ainsi qu'un équilibre approprié entre les mesures financières et non financières. Examinezles et acceptezles avec les services informatiques et les autres fonctions
commerciales, ainsi que les autres parties prenantes concernées.
2. Recueillir des données pertinentes, opportunes, complètes, crédibles et précises pour rendre compte des progrès réalisés dans la création de valeur par rapport aux objectifs. Obtenez une vue
succincte, de haut niveau et complète des performances du portefeuille, du programme et de l'informatique (capacités techniques et opérationnelles) qui soutient la prise de décision, et assurezvous
que les résultats attendus sont atteints.
3. Obtenir des rapports réguliers et pertinents sur les performances du portefeuille, des programmes et des technologies de l'information (technologiques et fonctionnelles). Examiner les progrès de l'entreprise vers
les objectifs identifiés et la mesure dans laquelle les objectifs prévus ont été atteints, les livrables obtenus, les objectifs de performance atteints et les risques atténués.
4. Après examen des rapports, prendre les mesures de gestion appropriées nécessaires pour garantir que la valeur est optimisée.
5. Après examen des rapports, s'assurer que des mesures correctives appropriées de la direction sont lancées et contrôlées.
COSO
ISO/CEI 38500
Roi III • 5.2. L'informatique doit être alignée sur les objectifs de performance et de durabilité de l'entreprise.
• 5.4. Le conseil d’administration doit surveiller et évaluer les investissements et dépenses informatiques importants.
37
Machine Translated by Google
38
Machine Translated by Google
Chapitre 5
Contenu du guide de référence du processus COBIT 5
Domaine : Gouvernance
EDM03 Assurer l’optimisation des risques Domaine : évaluer, diriger et surveiller
Description du processus
Assurezvous que l'appétit et la tolérance au risque de l'entreprise sont compris, articulés et communiqués, et que les risques pour la valeur de l'entreprise liés à l'utilisation de l'informatique sont
identifiés et gérés.
04 Gestion des risques métiers liés à l’informatique • Pourcentage de processus métier critiques, de services informatiques et de
programmes métiers informatiques couverts par une évaluation des risques.
• Nombre d'incidents informatiques importants qui n'ont pas été identifiés lors de
l'évaluation des risques.
• Pourcentage d'évaluations des risques d'entreprise, y compris les risques liés à l'informatique
• Fréquence de mise à jour ou profil de risque
06 Transparence des coûts, avantages et risques informatiques • Pourcentage d'analyses de rentabilisation d'investissement avec des coûts et des avantages
informatiques attendus clairement définis et approuvés.
• Pourcentage de services informatiques dont les coûts opérationnels et les avantages attendus sont
clairement définis et approuvés.
• Enquête de satisfaction auprès des principales parties prenantes concernant le niveau
de transparence, de compréhension et d'exactitude des informations financières informatiques.
10 Sécurité des informations, des infrastructures de traitement et des applications • Nombre d'incidents de sécurité entraînant des pertes financières, des perturbations des
activités ou un embarras public
• Nombre de services informatiques avec des exigences de sécurité exceptionnelles
• Temps nécessaire pour accorder, modifier et supprimer les privilèges d'accès, par rapport
aux niveaux de service convenus.
• Fréquence des évaluations de sécurité par rapport aux dernières normes et directives
15 Conformité informatique aux politiques internes • Nombre d'incidents liés au nonrespect de la politique
• Pourcentage de parties prenantes qui comprennent les politiques
• Pourcentage de politiques soutenues par des normes et des pratiques de travail efficaces
• Fréquence de révision et de mise à jour des politiques
1. Les seuils de risque sont définis et communiqués et les principaux risques liés à l'informatique sont • Niveau d'alignement entre le risque informatique et le risque d'entreprise
connu. • Nombre de risques informatiques potentiels identifiés et gérés
• Taux de rafraîchissement de l'évaluation des facteurs de risque
2. L’entreprise gère de manière efficace et efficiente les risques critiques liés à l’informatique. • Pourcentage de projets d'entreprise qui prennent en compte les risques informatiques
3. Le risque d'entreprise lié à l'informatique ne dépasse pas l'appétit pour le risque et l'impact du • Niveau d'impact inattendu sur l'entreprise
risque informatique sur la valeur de l'entreprise est identifié et géré. • Pourcentage de risques informatiques dépassant la tolérance au risque de l'entreprise.
ri'D
d
astésrierpcitooéerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
éaR
id
s'l
oaR
d
a
cl
oaR
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
C
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
ds
laaitsnneodpifsnee
rxeta
soep
toirpuoscfene
iuéontpiivtssnitee
c
nsqe
sé
eéé
sessitrnpaeertgnie
ssu
aaB
gvl
d
o'C
d
tiduA
taéo
tm
pv
aprsé
laedrtiécsn
auietesrlue
sm
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
imo
iap
tnaiotm
rqtsitnianom
uo
étué
e
a
noitraum
sgrtg
srnuo
nm
nm
n
uro
efiig
rue
elbaéstsn
/semme)aé
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
tn
sce
sersiu
éetlib
elsbea
aua
noeietlb
Pratique de gouvernance
EDM03.01
ARCCRCR IRC CICCCRC C
Évaluer la gestion des risques.
EDM03.02
ARCCRCRI je IRI je ICCCRCI je je je je je je
EDM03.03
ARCCRCRI je IRRI ICCCRCI je je je je CI
Surveiller la gestion des risques.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
39
Machine Translated by Google
géré.
En dehors des principes de gestion des Évaluation des activités APO12.01
Activités
1. Déterminer le niveau de risque informatique que l'entreprise est prête à prendre pour atteindre ses objectifs (appétit pour le risque).
2. Évaluer et approuver les seuils de tolérance aux risques informatiques proposés par rapport aux niveaux de risques et d'opportunités acceptables de l'entreprise.
3. Déterminer le degré d'alignement de la stratégie de risque informatique sur la stratégie de risque de l'entreprise.
4. Évaluez de manière proactive les facteurs de risque informatiques avant les décisions stratégiques d'entreprise en attente et assurezvous que les décisions d'entreprise tiennent compte des risques.
5. Déterminer que l'utilisation des technologies de l'information est soumise à une évaluation des risques appropriée, telle que décrite dans les normes internationales et nationales pertinentes.
6. Évaluer les activités de gestion des risques pour garantir leur adéquation avec la capacité de l'entreprise en matière de pertes liées aux technologies de l'information et la tolérance de la direction à cet égard.
Activités
1. Promouvoir une culture de sensibilisation aux risques informatiques et permettre à l'entreprise d'identifier de manière proactive les risques informatiques, les opportunités et les impacts commerciaux potentiels.
2. Diriger l'intégration de la stratégie et des opérations en matière de risques informatiques avec les décisions et opérations stratégiques en matière de risques de l'entreprise.
3. Diriger l'élaboration de plans de communication sur les risques (couvrant tous les niveaux de l'entreprise) ainsi que de plans d'action sur les risques.
4. Mise en œuvre directe des mécanismes appropriés pour réagir rapidement à l'évolution des risques et rendre compte immédiatement aux niveaux de gestion appropriés, soutenus par des
principes de remontée d'informations convenus (quoi signaler, quand, où et comment).
5. Exiger que les risques, les opportunités, les problèmes et les préoccupations puissent être identifiés et signalés par quiconque à tout moment. Le risque doit être géré conformément aux
politiques et procédures publiées et transmises aux décideurs concernés.
6. Identifier les principaux objectifs et mesures des processus de gouvernance et de gestion des risques à surveiller, et approuver les approches, méthodes, techniques et processus de capture et de
communication des informations de mesure.
40
et
Machine Translated by Google
si
Chapitre 5
É
d
Contenu du guide de référence du processus COBIT 5
élevé
• Résultats des évaluations
des risques par des tiers
de profil de risque
pour les parties prenantes
Activités
1. Surveiller dans quelle mesure le profil de risque est géré dans les limites des seuils d’appétit pour le risque.
2. Surveiller les objectifs et les mesures clés des processus de gouvernance et de gestion des risques par rapport aux objectifs, analyser la cause de tout écart et lancer
mesures correctives pour remédier aux causes sousjacentes.
3. Permettre aux principales parties prenantes d'examiner les progrès de l'entreprise vers les objectifs identifiés.
4. Signalez tout problème de gestion des risques au conseil d'administration ou au comité exécutif.
COSO/ERM
ISO/CEI 38500
Roi III • 5.5. L'informatique doit faire partie intégrante de la gestion des risques de l'entreprise.
• 5.7. Un comité des risques et un comité d'audit devraient aider le conseil d'administration à s'acquitter de ses responsabilités informatiques.
41
Machine Translated by Google
42
Machine Translated by Google
Chapitre 5
Contenu du guide de référence du processus COBIT 5
Domaine : Gouvernance
Description du processus
Veiller à ce que des capacités informatiques adéquates et suffisantes (personnes, processus et technologie) soient disponibles pour soutenir efficacement les objectifs de l'entreprise à un coût optimal.
Assurezvous que les besoins en ressources de l'entreprise sont satisfaits de manière optimale, que les coûts informatiques sont optimisés et qu'il existe une probabilité accrue de réalisation d'avantages et de préparation aux
changements futurs.
09 Agilité informatique • Niveau de satisfaction des dirigeants d'entreprise quant à la réactivité de l'informatique aux nouvelles
exigences
• Nombre de processus métier critiques pris en charge par une infrastructure et des applications à
jour
• Délai moyen nécessaire pour transformer les objectifs informatiques stratégiques en une initiative
convenue et approuvée.
11 Optimisation des actifs, ressources et capacités informatiques • Fréquence des évaluations de maturité des capacités et d'optimisation des coûts
• Tendance des résultats de l'évaluation
• Niveaux de satisfaction des responsables commerciaux et informatiques à l'égard des coûts et des
16 Personnel commercial et informatique compétent et motivé • Pourcentage d'employés dont les compétences informatiques sont suffisantes pour les compétences requises
1. Les besoins en ressources de l'entreprise sont satisfaits avec des capacités optimales. • Niveau de feedback des parties prenantes sur l'optimisation des ressources
d'entreprise.
2. Les ressources sont allouées pour répondre au mieux aux priorités de l'entreprise dans le cadre du budget • Nombre d'écarts et d'exceptions aux principes de gestion des ressources
contraintes.
3. L'utilisation optimale des ressources est obtenue tout au long de leur • Pourcentage de réutilisation des composants de l'architecture
cycles de vie économiques. • Pourcentage de projets et de programmes présentant un statut de risque moyen ou élevé en raison de
ri'D
d
astésrierpcitooéerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
R
di
o
R
d'il
R
id
s'l
R
d
acl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
oa
efn
prsodeefan
éa
oa
C
E
S
dl
riC
P
d(
p
éa
eriansneociitvsreeG
d
s
laaitsnneodpifsnee
rxeta
soep
toirpuoscfene
nitee
c
nsqe
sé
eéé
sessitrnpaeertgnie
tjoroelP
toirpuoscfene
ssu
auietesrlueaaB
gvl
d
o'C
d
tiduA
taéo
tm
pv
aprsé
iuéontpiivtss
laedrtiécsn
sm
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
imo
iap
tnaiotm
rqtsitnianom
uo
étué
e
a
noitraum
sgrtg
uo
nm
nm
n
uro
efiig
rue
srn
elbaéstsn
/semme)aé
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
tn
sce
sersiu
éetlib
elsbea
aua
noeietlb
Pratique de gouvernance
EDM04.01
ARCCR R. ICCCCCCCRCCC
Évaluer la gestion des ressources.
EDM04.02
ARCCRIRI je je je je je je je je IRCI je je je je je je
EDM04.03
ARCCRIRI je ICCCCCCCRCCCI je je je je
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
43
Machine Translated by Google
l'architecture d'entreprise
Activités
1. Examiner et porter un jugement sur la stratégie actuelle et future, les options pour fournir des ressources informatiques et développer des capacités pour répondre aux besoins actuels.
besoins et besoins futurs (y compris les options d’approvisionnement).
2. Définir les principes guidant l'allocation et la gestion des ressources et des capacités afin que l'informatique puisse répondre aux besoins de l'entreprise, avec les capacités et capacités requises
conformément aux priorités convenues et aux contraintes budgétaires.
3. Examiner et approuver le plan de ressources et les stratégies d'architecture d'entreprise pour générer de la valeur et atténuer les risques avec les ressources allouées.
4. Comprendre les exigences pour aligner la gestion des ressources sur la planification financière et des ressources humaines (RH) de l'entreprise.
Activités
1. Communiquer et favoriser l'adoption des stratégies, des principes et du plan de ressources et de l'entreprise convenus en matière de gestion des ressources.
stratégies architecturales.
3. Définir les objectifs, mesures et indicateurs clés pour la gestion des ressources.
Activités
1. Surveiller l'allocation et l'optimisation des ressources conformément aux objectifs et priorités de l'entreprise à l'aide d'objectifs et de mesures convenus.
2. Surveiller les stratégies d'approvisionnement informatique, les stratégies d'architecture d'entreprise, les ressources et les capacités informatiques pour garantir que les besoins actuels et futurs du
l'entreprise peut être rencontrée.
3. Surveillez les performances des ressources par rapport aux objectifs, analysez la cause des écarts et lancez des mesures correctives pour remédier aux causes sousjacentes.
44
et
Machine Translated by Google
si
Chapitre 5
É
d
Contenu du guide de référence du processus COBIT 5
ISO/CEI 38500
Roi III 5.6. Le conseil d’administration doit veiller à ce que les actifs informationnels soient gérés efficacement.
Le Forum d'architecture de groupe ouvert Les composants TOGAF d'un conseil d'architecture, de modèles de gouvernance d'architecture et de maturité d'architecture
(TOGAF) 9 correspondent à l'optimisation des ressources.
45
Machine Translated by Google
46
Machine Translated by Google
Chapitre 5
Contenu du guide de référence du processus COBIT 5
Domaine : Gouvernance
EDM05 Assurer la transparence des parties prenantes Domaine : évaluer, diriger et surveiller
Description du processus
Assurezvous que les mesures et les rapports sur les performances informatiques et la conformité de l'entreprise sont transparents, les parties prenantes approuvant les objectifs et les mesures
ainsi que les actions correctives nécessaires.
03 Engagement de la direction exécutive dans la prise de décisions liées à l'informatique • Pourcentage de rôles de direction exécutive clairement définis
responsabilités pour les décisions informatiques
• Nombre de fois où l'informatique figure à l'ordre du jour du conseil d'administration de manière proactive
06 Transparence des coûts, avantages et risques informatiques • Pourcentage d'analyses de rentabilisation d'investissement avec des coûts et des avantages
informatiques attendus clairement définis et approuvés.
• Pourcentage de services informatiques dont les coûts opérationnels et les avantages attendus
sont clairement définis et approuvés.
• Enquête de satisfaction auprès des principales parties prenantes concernant le niveau
de transparence, de compréhension et d'exactitude des informations financières informatiques.
07 Livraison de services informatiques en adéquation avec les besoins métiers • Nombre d'interruptions d'activité dues à des incidents de service informatique
• Pourcentage de parties prenantes de l'entreprise satisfaites que la prestation de services informatiques
1. Les rapports des parties prenantes sont conformes aux exigences des parties prenantes. • Date de la dernière révision des exigences en matière de déclaration
2. Les rapports sont complets, opportuns et précis. • Pourcentage de rapports qui ne sont pas livrés à temps
• Pourcentage de rapports contenant des inexactitudes
3. La communication est efficace et les parties prenantes sont satisfaites. • Niveau de satisfaction des parties prenantes à l'égard du reporting
• Nombre de violations des exigences de déclaration obligatoire
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
R
di
o
R
d'il
R
id
s'l
R
d
acl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
oa
efn
prsodeefan
toirpuoscfeneéa
coa
C
E
S
dl
tjoroelrPiC
P
d(
p
toirpuoscfeneéa
eriansneociitvsreeG
d
s
laaitsnneodpifsnee
rxeta
soep
nitee
nsqe
sé
eéé
sessitrnpaeertgnie
ssu
auietesrlueaaB
gvl
d
o'C
d
tiduA
astésrierpcitoo
taéo
tm
pv
aprsé
iuéontpiivtss
laedrtiécsn
sm
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
imo
iap
tnaiotm
rqtsitnianom
uo
étué
e
a
noitraum
sgrtg
srnuo
nm
nm
n
uro
efiig
rue
elbaéstsn
/semme)aé
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
tn
sce
sersiu
éetlib
elsbea
aua
noeietlb
Pratique de gouvernance
EDM05.01
EDM05.02
Communication et ARCCCI CCRI je
EDM05.03
Surveiller la communication ARCCCI CCRI je
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
47
Machine Translated by Google
et des capacités
Activités
1. Examiner et porter un jugement sur les exigences de déclaration obligatoires actuelles et futures relatives à l'utilisation de l'informatique au sein de l'entreprise (réglementation, législation, common law,
contractuelle), y compris leur étendue et leur fréquence.
2. Examiner et porter un jugement sur les exigences actuelles et futures en matière de reporting pour les autres parties prenantes concernant l'utilisation de l'informatique au sein de l'entreprise,
y compris l’étendue et les conditions.
3. Maintenir les principes de communication avec les parties prenantes externes et internes, y compris les formats et les canaux de communication, et
pour l’acceptation et la signature des rapports par les parties prenantes.
EDM05.02 Communication et reporting directs avec les parties Depuis Description Description À
prenantes.
APO12.04 Analyse des risques et Règles de validation et MEA01.01
Assurer la mise en place d'une communication et d'un reporting
rapports de profil de risque pour d'approbation des rapports MEA03.04
efficaces avec les parties prenantes, y compris des mécanismes permettant
les parties prenantes obligatoires
de garantir la qualité et l'exhaustivité des informations, la surveillance
des rapports obligatoires et la création d'une stratégie de Directives de remontée d'informations MEA01.05
communication pour les parties prenantes.
Activités
1. Diriger l’établissement de la stratégie de communication auprès des parties prenantes externes et internes.
2. Diriger la mise en œuvre de mécanismes pour garantir que les informations répondent à tous les critères des exigences obligatoires en matière de reporting informatique pour l'entreprise.
EDM05.03 Surveiller la communication avec les parties prenantes. Depuis Description Description À
Surveiller l’efficacité de la communication avec les
MEA02.08 • Rapport d'examen de l'assurance Évaluation de l’efficacité des MEA01.01
parties prenantes. Évaluer les mécanismes permettant de garantir
• Résultats de l'examen d'assurance rapports MEA03.04
l’exactitude, la fiabilité et l’efficacité, et vérifier si les exigences des
différentes parties prenantes sont satisfaites.
Activités
1. Évaluer périodiquement l'efficacité des mécanismes visant à garantir l'exactitude et la fiabilité des déclarations obligatoires.
2. Évaluer périodiquement l'efficacité des mécanismes et les résultats de la communication avec les parties prenantes externes et internes.
COSO
ISO/CEI 38500
Roi III
48
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
et
Aligner, planifier et organiser (APO)
02 Gérer la stratégie.
04 Gérer l'innovation.
05 Gérer le portefeuille.
11 Gérer la qualité.
13 Gérer la sécurité.
49
Machine Translated by Google
50
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
Domaine : Gestion
Description du processus
Clarifier et maintenir la gouvernance de la mission et de la vision informatique de l'entreprise. Mettre en œuvre et maintenir des mécanismes et des autorités pour gérer l'information et l'utilisation des technologies de l'information dans
l'entreprise à l'appui des objectifs de gouvernance conformément aux principes directeurs et aux politiques.
Fournir une approche de gestion cohérente pour permettre de répondre aux exigences de gouvernance d'entreprise, couvrant les processus de gestion, les structures organisationnelles, les rôles et responsabilités,
et
Le processus prend en charge la réalisation d’un ensemble d’objectifs informatiques principaux :
01 Alignement de la stratégie informatique et commerciale • Pourcentage d'objectifs et d'exigences stratégiques de l'entreprise pris en charge par les objectifs stratégiques
informatiques. • Niveau
de satisfaction des parties prenantes quant à la portée du portefeuille prévu de programmes et de services.
02 Conformité informatique et assistance à la conformité des entreprises aux lois et réglementations externes • Coût de la nonconformité informatique, y compris les règlements et les amendes, et l'impact de la perte
de réputation
• Nombre de problèmes de nonconformité liés aux accords contractuels avec les prestataires de services
informatiques
09 Agilité informatique • Niveau de satisfaction des dirigeants d'entreprise quant à la réactivité de l'informatique aux nouvelles exigences
• Nombre de processus métier critiques pris en charge par une infrastructure et des applications à
jour
• Délai moyen nécessaire pour transformer les objectifs informatiques stratégiques en une initiative
convenue et approuvée.
11 Optimisation des actifs, ressources et capacités informatiques • Fréquence des évaluations de maturité des capacités et d'optimisation des coûts
• Tendance des résultats de l'évaluation
• Niveaux de satisfaction des responsables commerciaux et informatiques à l'égard des coûts et des capacités
liés à l'informatique.
15 Conformité informatique aux politiques internes • Nombre d'incidents liés au nonrespect de la politique
efficaces
16 Personnel commercial et informatique compétent et motivé • Pourcentage d'employés dont les compétences informatiques sont suffisantes pour les compétences requises
17 Connaissances, expertises et initiatives pour l’innovation des entreprises • Niveau de sensibilisation des dirigeants d'entreprise et de compréhension des possibilités
d'innovation informatique.
• Niveau de satisfaction des parties prenantes quant aux niveaux d'expertise et d'idées en matière d'innovation
informatique
1. Un ensemble efficace de politiques est défini et maintenu. • Pourcentage de politiques, normes et autres outils actifs documentés et à jour.
• Nombre d'expositions à des risques dues à des insuffisances dans la conception de l'environnement
de contrôle
2. Tout le monde connaît les politiques et la manière dont elles doivent être mises en œuvre. • Nombre d'employés ayant participé à des séances de formation ou de sensibilisation
• Pourcentage de fournisseurs tiers qui ont des contrats définissant les exigences de contrôle
51
Machine Translated by Google
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
R
di
o
R
d'il
R
id
s'l
Rd
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
efn
prsodeefan
éa
oa
C
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
ds
éa
rxeta
soep
toirpuoscfene
nitee
c
eéé
sessitrnpaeertgnie
aaB
g
d
vl
toirpuoscfene
ssu
sé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
laedrtiécsn
aprsé
iuéontpiivtss
auietesrlue
tm
sm
pv
erutceltiiehscnra
im
ticm
iem
esirpséeetriu
o
iap
lbeapspnoole
uo
tnaiotm
rqtsitnianom
a
sgrtg
uo
nm
étué
nm
noitraum
tnrue
uro
srn
elbaéstsn
/semme)aé
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
tneem
Pratique de gestion
APO01.01
Définir la structure CCCC je C RI IACCCCRCCC
organisationnelle.
APO01.02
Établir les rôles et CI C CCCCACCCRCCCC
les responsabilités.
APO01.03
,rengilA
de gestion.
APO01.04
Communiquer les objectifs et ARRIRI je IRRI je je je IRI je je je je je je je
l'orientation de la gestion.
APO01.05
Optimiser le placement de la fonction CCCC UN C CCCCRCCCRCCC
informatique.
APO01.06
Définir les informations (données) je ICAR CCCCC CC
et la propriété du système.
APO01.07
Gérer l'amélioration continue des UN R. R. C ICCRRRRRRRR
processus.
APO01.08
Maintenir le respect des UN R. R. R. RCIRRRRRRRRR
politiques et des procédures.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
52
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
APO01 Pratiques de processus, entrées/sorties et activités (suite)
APO01.01 Activités
1. Définir la portée, les fonctions internes et externes, les rôles internes et externes, ainsi que les capacités et les droits de décision requis, y compris les activités informatiques.
effectués par des tiers.
2. Identifier les décisions nécessaires à l'atteinte des résultats de l'entreprise et de la stratégie informatique, ainsi qu'à la gestion et à l'exécution des services informatiques.
3. Établir la participation des parties prenantes qui sont essentielles à la prise de décision (responsables, consultées ou informées).
et
4. Alignez l'organisation informatique sur les modèles organisationnels de l'architecture d'entreprise.
5. Définir l'orientation, les rôles et les responsabilités de chaque fonction au sein de la structure organisationnelle liée à l'informatique.
6. Définir les structures et les relations de gestion pour soutenir les fonctions et les rôles de gestion et d'exécution, conformément aux
ensemble d’orientations en matière de gouvernance.
7. Établir un comité de stratégie informatique (ou équivalent) au niveau du conseil d'administration. Ce comité devrait garantir que la gouvernance de l'informatique, en tant que partie intégrante de l'entreprise
la gouvernance, est abordée de manière adéquate ; donner des conseils sur l'orientation stratégique ; et examiner les investissements majeurs au nom de l’ensemble du conseil d’administration.
8. Établir un comité directeur informatique (ou équivalent) composé de dirigeants, de responsables commerciaux et informatiques pour déterminer la priorité des programmes d'investissement
informatiques conformément à la stratégie et aux priorités commerciales de l'entreprise ; suivre l'état des projets et résoudre les conflits de ressources ; et surveiller les niveaux de service et
les améliorations du service.
9. Fournir des lignes directrices pour chaque structure de gestion (y compris le mandat, les objectifs, les participants aux réunions, le calendrier, le suivi, la supervision et le contrôle) comme
ainsi que les contributions requises et les résultats attendus des réunions.
10. Définir les règles de base de la communication en identifiant les besoins en communication et en mettant en œuvre des plans basés sur ces besoins, en tenant compte du haut vers le bas,
communication ascendante et horizontale.
11. Établir et maintenir une structure optimale de coordination, de communication et de liaison entre les fonctions commerciales et informatiques au sein de l'entreprise.
et avec des entités extérieures à l’entreprise.
et les objectifs informatiques ainsi que l'autorité, les responsabilités la gestion des ressources contrôle
et la responsabilité du personnel concerné.
APO07.03 • Plans de développement des compétences
• Matrice d'aptitudes et de
compétences
attribués
• Rôles et responsabilités
attribués
Activités
1. Établir, convenir et communiquer les rôles et responsabilités liés à l'informatique pour tout le personnel de l'entreprise, en accord avec les besoins et les objectifs de l'entreprise. Délimitez
clairement les responsabilités et les responsabilités, en particulier pour la prise de décision et les approbations.
2. Tenez compte des exigences en matière de continuité des services de l'entreprise et des services informatiques lors de la définition des rôles, y compris les exigences en matière de sauvegarde du personnel et de formation polyvalente.
3. Contribuer au processus de continuité des services informatiques en maintenant à jour les informations de contact et les descriptions de rôle dans l'entreprise.
4. Inclure dans les descriptions de rôle et de responsabilité le respect des politiques et procédures de gestion, du code d'éthique et des pratiques professionnelles.
5. Mettre en œuvre des pratiques de supervision adéquates pour garantir que les rôles et les responsabilités sont correctement exercés, pour évaluer si tout le personnel a
une autorité et des ressources suffisantes pour exécuter leurs rôles et responsabilités et pour évaluer généralement les performances. Le niveau de supervision doit être adapté au caractère sensible
du poste et à l'étendue des responsabilités assignées.
6. Veiller à ce que la responsabilité soit définie à travers les rôles et les responsabilités.
7. Structurer les rôles et les responsabilités afin de réduire la possibilité qu'un seul rôle compromette un processus critique.
53
Machine Translated by Google
Activités
2. Tenir compte de l'environnement interne de l'entreprise, y compris la culture et la philosophie de gestion, la tolérance au risque, la sécurité, les valeurs éthiques, le code de conduite,
la responsabilité et les exigences en matière d’intégrité de la gestion.
,rengilA
4. Aligner l'environnement de contrôle informatique sur l'environnement politique informatique global, les cadres de gouvernance informatique et de processus informatiques, ainsi que les cadres de risque et de
contrôle existants au niveau de l'entreprise. Évaluez les bonnes pratiques ou les exigences spécifiques à l'industrie (par exemple, les réglementations spécifiques à l'industrie) et intégrezles le cas échéant.
5. S'aligner sur toutes les normes et codes de bonnes pratiques nationaux et internationaux en matière de gouvernance et de gestion, et évaluer les bonnes pratiques disponibles telles que le contrôle interne
du COSO – cadre intégré et la gestion des risques d'entreprise – cadre intégré du COSO.
6. Créer un ensemble de politiques pour définir les attentes en matière de contrôle informatique sur des sujets clés pertinents tels que la qualité, la sécurité, la confidentialité, les contrôles internes, l'utilisation des actifs
informatiques, l'éthique et les droits de propriété intellectuelle.
7. Évaluer et mettre à jour les politiques au moins une fois par an pour s'adapter à l'évolution des environnements opérationnels ou commerciaux.
8. Déployez et appliquez des politiques informatiques à tout le personnel concerné, afin qu'elles soient intégrées et fassent partie intégrante des opérations de l'entreprise.
9. Veiller à ce que des procédures soient en place pour suivre le respect des politiques et définir les conséquences de la nonconformité.
EDM01.02 Communication sur la Communication sur les objectifs Tous les APO
Communiquer la connaissance et la compréhension des objectifs
gouvernance d'entreprise informatiques Tous les BAI
et des orientations informatiques aux parties prenantes et aux utilisateurs
Tous les DSS
appropriés dans toute l'entreprise. EDM04.02 Principes de sauvegarde
Tous les MEA
ressources
APO12.06 Communication
sur l’impact des risques
connaissances
Activités
1. Communiquer en permanence les objectifs et les orientations informatiques. Veiller à ce que les communications soient soutenues par la direction exécutive en actions et en paroles,
en utilisant tous les canaux disponibles.
2. Veiller à ce que les informations communiquées englobent une mission clairement articulée, les objectifs du service, la sécurité, les contrôles internes, la qualité, le code d'éthique/de conduite, les politiques
et procédures, les rôles et responsabilités, etc. Communiquer les informations au niveau de détail approprié pour le publics respectifs au sein de l’entreprise.
54
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
APO01 Pratiques de processus, entrées/sorties et activités (suite)
et
du DSI doit être proportionnelle à l'importance de l'informatique au sein de
l'entreprise.
Activités
1. Comprendre le contexte de placement de la fonction informatique, y compris une évaluation de la stratégie d'entreprise et du modèle opérationnel (centralisé,
fédéré, décentralisé, hybride), importance de l’informatique, situation et options d’approvisionnement.
2. Identifier, évaluer et prioriser les options de placement organisationnel, d'approvisionnement et de modèles opérationnels.
propriété du système.
Directives de classification APO03.02
Définir et maintenir les responsabilités en matière de propriété des
des données BAI02.01
informations (données) et des systèmes d'information. Assurezvous que les
DSS05.02
propriétaires prennent des décisions concernant la classification des
DSS06.01
informations et des systèmes et leur protection conformément
à cette classification. Lignes directrices en matière de sécurité et de BAI02.01
Activités
1. Fournir des politiques et des lignes directrices pour garantir une classification appropriée et cohérente des informations (données) à l’échelle de l’entreprise.
2. Définir, maintenir et fournir des outils, des techniques et des lignes directrices appropriés pour assurer une sécurité et des contrôles efficaces sur les informations et les informations.
systèmes en collaboration avec le propriétaire.
3. Créer et maintenir un inventaire d'informations (systèmes et données) qui comprend une liste des propriétaires, des gardiens et des classifications. Inclure les systèmes
celles qui sont externalisées et celles dont la propriété doit rester au sein de l'entreprise.
4. Définir et mettre en œuvre des procédures pour garantir l'intégrité et la cohérence de toutes les informations stockées sous forme électronique telles que les bases de données, les données
entrepôts et archives de données.
émergentes, des exigences de conformité, des opportunités d'automatisation procédures et normes mis à des processus Tous les BAI
et des commentaires des utilisateurs du processus, de l'équipe du processus jour Tous les DSS
et des autres parties prenantes. Mettez à jour le processus et considérez Tous les MEA
Activités
1. Identifiez les processus critiques pour l'entreprise en fonction des facteurs de performance et de conformité et des risques associés. Évaluer la capacité du processus et identifier
objectifs d’amélioration. Analyser les lacunes dans la capacité et le contrôle des processus. Identifier les options d'amélioration et de refonte du processus. Prioriser les initiatives d’amélioration des processus
en fonction des avantages et des coûts potentiels.
2. Mettre en œuvre les améliorations convenues, fonctionner comme une pratique commerciale normale et définir des objectifs et des mesures de performance pour permettre la surveillance des
améliorations des processus.
3. Envisager des moyens d'améliorer l'efficience et l'efficacité (par exemple, par la formation, la documentation, la normalisation et l'automatisation du processus).
55
Machine Translated by Google
procédures.
DSS01.04 Politiques environnementales Actions correctives en MEA01.05
Mettre en place des procédures pour maintenir le respect et la
cas de nonconformité
mesure des performances des politiques et autres éléments MEA03.02 Politiques, principes,
habilitants du cadre de contrôle, et faire respecter les procédures et normes mis à
conséquences de la nonconformité ou des performances jour
inadéquates. Suivez les tendances et les performances et
tenezen compte dans la conception et l’amélioration futures du cadre
de contrôle.
Activités
2. Analyser la nonconformité et prendre les mesures appropriées (cela pourrait inclure une modification des exigences).
3. Intégrer la performance et la conformité dans les objectifs de performance de chaque membre du personnel.
4. Évaluez régulièrement les performances des catalyseurs du cadre et prenez les mesures appropriées.
,rengilA
5. Analyser les tendances en matière de performance et de conformité et prendre les mesures appropriées.
56
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
Domaine : Gestion
Description du processus
Fournir une vue globale de l’environnement commercial et informatique actuel, de l’orientation future et des initiatives nécessaires pour migrer vers l’environnement futur souhaité. Tirez parti des éléments de base et des composants
de l’architecture d’entreprise, y compris des services fournis en externe et des capacités associées, pour permettre une réponse agile, fiable et efficace aux objectifs stratégiques.
Alignez les plans informatiques stratégiques avec les objectifs commerciaux. Communiquer clairement les objectifs et les responsabilités associées afin qu'ils soient compris par tous, avec les options stratégiques informatiques identifiées,
et
structurées et intégrées aux plans d'affaires.
01 Alignement de la stratégie informatique et commerciale • Pourcentage d'objectifs et d'exigences stratégiques de l'entreprise pris en charge par
Objectifs stratégiques
informatiques • Niveau de satisfaction des parties prenantes quant à la portée du portefeuille prévu de programmes
et de services
07 Livraison de services informatiques en adéquation avec les besoins métiers • Nombre d'interruptions d'activité dues à des incidents de service informatique
• Pourcentage de parties prenantes de l'entreprise satisfaites que la prestation de services informatiques réponde aux
17 Connaissances, expertises et initiatives pour l’innovation des entreprises • Niveau de sensibilisation des dirigeants d'entreprise et de compréhension des possibilités d'innovation
informatique.
• Niveau de satisfaction des parties prenantes quant aux niveaux d'expertise en innovation informatique
et des idées
1. Tous les aspects de la stratégie informatique sont alignés sur la stratégie de l'entreprise. • Pourcentage d'objectifs de la stratégie informatique qui soutiennent la stratégie d'entreprise
2. La stratégie informatique est rentable, appropriée, réaliste, réalisable, • Pourcentage d'initiatives de la stratégie informatique qui sont autofinancées (avantages financiers supérieurs
• Tendances du retour sur investissement des initiatives incluses dans la stratégie informatique
Stratégie informatique
3. Des objectifs clairs et concrets à court terme peuvent être dérivés et rattachés à des initiatives spécifiques à • Pourcentage de projets du portefeuille de projets informatiques pouvant être directement rattachés à la stratégie
4. L'informatique est un moteur de valeur pour l'entreprise. • Pourcentage d'objectifs stratégiques d'entreprise obtenus grâce à des
Initiatives informatiques
Développements informatiques
5. Il y a une connaissance de la stratégie informatique et une attribution claire des responsabilités en • Réalisation de résultats mesurables en matière de stratégie informatique faisant partie des objectifs
57
Machine Translated by Google
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
éaR
ids'l
caR
dcl
a
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
éaR
ids'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
ds
o
aprsésoep
toirpuoscfene
sitee
eéé
sessitrnpaeertgnie
aaB
gvl
d
toirpuoscfene
iapsmssu
pvsé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
iuéontpiivtsn
laedrtiécsn
itesrlue
tm
erutceltiiehscnra
im
ticm
iem
esirpséeetriu
o
lbeapspnoole
uo
tnaiotm
rqtsitnianom
a
/semme)aésgrtg
aue
n
uo
nm
étué
nm
noitraum
tnrue
uro
srn
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
tneem
Pratique de gestion
APO02.01
CCCACC CC C RCRR €€€
Comprendre l'orientation de l'entreprise.
APO02.02
Évaluer l'environnement, les CCCRCC C CCARRCCCCCC
capacités et le rendement actuels.
APO02.03
ACCCIR je C C CCRCCCCCCC
,rengilA
APO02.04
CRR C CRRRRRRRRRRC
Effectuer une analyse des écarts.
APO02.05
Définir le plan stratégique et la CICC C R. CC CCACCCCCCCC
feuille de route.
APO02.06
Communiquer la stratégie et IRI IRIAI je je je je je je je je IRI je je je je je je je
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
Activités
1. Développer et maintenir une compréhension de la stratégie et des objectifs de l'entreprise, ainsi que de l'environnement opérationnel et des défis actuels de l'entreprise.
4. Identifier et analyser les sources de changement dans l'entreprise et les environnements externes.
6. Comprendre l'architecture d'entreprise actuelle et travailler avec le processus d'architecture d'entreprise pour déterminer les lacunes architecturales potentielles.
58
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
APO02 Pratiques de processus, entrées/sorties et activités (suite)
l'informatique. Identifier les problèmes actuellement rencontrés et élaborer d'amélioration potentiels capacités actuelles
et
des recommandations dans les domaines qui pourraient bénéficier
APO09.01 Lacunes identifiées dans les Analyse SWOT des capacités Interne
d'améliorations. Tenez compte des différenciateurs et des options des
services informatiques à l'entreprise
prestataires de services, ainsi que de l’impact financier ainsi que des coûts
et avantages potentiels du recours à des services externes. APO09.04 Plans d'actions d'amélioration et de
remédiation
et de capacité
• Améliorations prioritaires
Activités
1. Développer une base de référence de l'environnement commercial et informatique actuel, des capacités et des services avec lesquels les exigences futures peuvent être comparées. Inclure les détails de
haut niveau pertinents de l'architecture d'entreprise actuelle (domaines commerciaux, d'information, de données, d'applications et technologiques), des processus métier, des processus et procédures
informatiques, de la structure organisationnelle informatique, de la fourniture de services externes, de la gouvernance informatique et des informations liées à l'informatique à l'échelle de l'entreprise. aptitudes
et compétences.
3. Identifier les écarts entre les capacités et services commerciaux et informatiques actuels et les normes et bonnes pratiques de référence, les capacités commerciales et informatiques des concurrents,
ainsi que les références comparatives des bonnes pratiques et de la fourniture de services informatiques émergents.
4. Identifier les problèmes, les forces, les opportunités et les menaces dans l'environnement actuel, les capacités et les services pour comprendre les performances actuelles. Identifier
domaines d'amélioration en termes de contribution de l'informatique aux objectifs de l'entreprise.
59
Machine Translated by Google
Activités
2. Identifier les menaces liées aux technologies en déclin, actuelles et nouvellement acquises.
3. Définir les objectifs/buts informatiques de haut niveau et la manière dont ils contribueront aux objectifs commerciaux de l'entreprise.
4. Définir les processus métier, les capacités informatiques et les services informatiques requis et souhaités et décrire les changements de haut niveau dans l'architecture de l'entreprise
(domaines commerciaux, d'information, de données, d'applications et technologiques), les processus et procédures commerciaux et informatiques, la structure organisationnelle informatique, les fournisseurs de services
,rengilA
5. Alignezvous et acceptez avec l'architecte d'entreprise les modifications proposées à l'architecture d'entreprise.
des investissements
Activités
1. Identifiez toutes les lacunes et tous les changements nécessaires pour réaliser l’environnement cible.
2. Considérez les implications de haut niveau de toutes les lacunes. Considérez la valeur des changements potentiels apportés aux capacités commerciales et informatiques, aux services informatiques et à l'entreprise.
3. Évaluer l'impact des changements potentiels sur les modèles opérationnels commerciaux et informatiques, les capacités de recherche et de développement informatique, et
Programmes d’investissement informatique.
4. Affinez la définition de l'environnement cible et préparez une déclaration de valeur présentant les avantages de l'environnement cible.
60
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
APO02 Pratiques de processus, entrées/sorties et activités (suite)
les processus métier, les services informatiques et les actifs informatiques. l'efficacité des ressources APO12.01
et
Demander au service informatique de définir les initiatives qui seront et des capacités
les initiatives et les combiner dans une feuille de route de haut niveau. pour remédier aux écarts
• Stratégie de
mise en œuvre et de
migration de haut niveau
de sécurité de l'information
Activités
1. Définir les initiatives nécessaires pour combler les lacunes et migrer de l'environnement actuel vers l'environnement cible, y compris le budget d'investissement/opérationnel, le financement
sources, stratégie d’approvisionnement et stratégie d’acquisition.
2. Identifier et traiter de manière adéquate les risques, les coûts et les implications des changements organisationnels, de l'évolution technologique, des exigences réglementaires, des activités commerciales.
la réingénierie des processus, la dotation en personnel, les opportunités d'internalisation et d'externalisation, etc., dans le processus de planification.
3. Déterminer les dépendances, les chevauchements, les synergies et les impacts entre les initiatives, et hiérarchiser les initiatives.
4. Identifier les besoins en ressources, le calendrier et les budgets d'investissement/opérationnels pour chacune des initiatives.
5. Créer une feuille de route indiquant la planification relative et les interdépendances des initiatives.
6. Traduire les objectifs en mesures de résultats représentés par des mesures (quoi) et des cibles (combien) qui peuvent être liées aux avantages de l'entreprise.
61
Machine Translated by Google
informatique, par le biais de la communication avec les parties Tous les BAI
prenantes et les utilisateurs appropriés dans toute l'entreprise. Tous les DSS
Activités
2. Élaborer un plan de communication couvrant les messages requis, les publics cibles, les mécanismes/canaux de communication et les calendriers.
3. Préparez un dossier de communication qui met en œuvre le plan de manière efficace en utilisant les médias et les technologies disponibles.
ITIL V3 2011 Stratégie de service, 4.1 Gestion de la stratégie pour les services informatiques
62
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
Domaine : Gestion
Description du processus
Établir une architecture commune composée de couches d'architecture de processus métier, d'informations, de données, d'applications et technologiques pour réaliser de manière efficace et efficiente les stratégies
d'entreprise et informatiques en créant des modèles et des pratiques clés qui décrivent les architectures de base et cibles. Définir les exigences en matière de taxonomie, de normes, de lignes directrices, de procédures, de
modèles et d'outils, et fournir un lien entre ces composants. Améliorez l’alignement, augmentez l’agilité, améliorez la qualité des informations et générez des économies potentielles grâce à des initiatives telles que la
et
Représenter les différents éléments constitutifs de l'entreprise et leurs interrelations ainsi que les principes guidant leur conception et leur évolution au fil du temps, permettant une réalisation standard, réactive et efficace
01 Alignement de la stratégie informatique et commerciale • Pourcentage d'objectifs et d'exigences stratégiques de l'entreprise pris en charge par
Objectifs stratégiques
informatiques • Niveau de satisfaction des parties prenantes quant à la portée du portefeuille prévu de
programmes et de services
09 Agilité informatique • Niveau de satisfaction des dirigeants d'entreprise quant à la réactivité de l'informatique aux nouvelles
exigences
• Nombre de processus métier critiques pris en charge par une infrastructure et des applications à
jour
• Délai moyen nécessaire pour transformer les objectifs informatiques stratégiques en une initiative
convenue et approuvée.
11 Optimisation des actifs, ressources et capacités informatiques • Fréquence des évaluations de maturité des capacités et d'optimisation des coûts
• Tendance des résultats de l'évaluation
• Niveaux de satisfaction des responsables commerciaux et informatiques à l'égard des coûts et des
1. L’architecture et les normes soutiennent efficacement l’entreprise. • Nombre d'exceptions aux normes d'architecture et aux lignes de base appliquées
pour et accordé
• Commentaires des clients sur le niveau d'architecture
• Avantages du projet réalisés qui peuvent être attribués à l'implication de l'architecture (par
2. Un portefeuille de services d'architecture d'entreprise soutient le changement agile de • Pourcentage de projets utilisant des services d'architecture d'entreprise
3. Il existe des architectures de domaine et/ou fédérées appropriées et à jour qui fournissent des informations • Date de la dernière mise à jour des architectures de domaine et/ou fédérées
d'architecture fiables. • Nombre de lacunes identifiées dans les modèles dans les domaines de l'architecture de l'entreprise, de
• Niveau d'architecture des commentaires des clients concernant la qualité des informations
fournies
4. Un cadre et une méthodologie d’architecture d’entreprise commune • Pourcentage de projets qui utilisent le cadre et la méthodologie pour réutiliser les composants définis
ainsi qu'un référentiel d'architecture intégré sont utilisés pour permettre une réutilisation efficace dans toute
• Nombre d'exceptions aux normes d'architecture et aux lignes de base demandées et accordées.
63
Machine Translated by Google
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
id
s'l
coaR
d
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
ds
soep
iuéontpiivtssnitee
eéé
sessitrnpaeertgnie
auietesrlueaaB
g
d
vl
ssu
sé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
laedrtiécsn
aprsé
tm
sm
pv
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
iap
tneemlbeapspnoole
uo
tm
rqtsitnianom
ae
sgrtg
srnuo
tnaio
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
/semme)aé
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
APO03.01
Développer la vision de ACCRCR CRCCCCRRCCC C
l'architecture d'entreprise.
APO03.02
CCCRCR CACCCCRRCCC C
Définir l'architecture de référence.
APO03.03
ACCRCR CRCCCCRRCCC
,rengilA
APO03.04
Définir la mise en ACRCCR CRCCCCRRCCC C
œuvre de l'architecture.
APO03.05
Fournir des services ACRCCR CRCCCCRRCCC C
d'architecture d'entreprise.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
64
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
APO03 Pratiques de processus, intrants/extrants et activités (suite)
APO03.01 Activités
1. Identifier les principales parties prenantes et leurs préoccupations/objectifs, et définir les principales exigences de l'entreprise à répondre ainsi que les vues d'architecture à développer pour
satisfaire les différentes exigences des parties prenantes.
2. Identifier les objectifs et les moteurs stratégiques de l'entreprise et définir les contraintes qui doivent être traitées, y compris à l'échelle de l'entreprise.
contraintes et contraintes spécifiques au projet (temps, calendrier, ressources, etc.).
et
4. Comprendre les capacités et les désirs de l'entreprise, puis identifier les options pour concrétiser ces capacités.
6. Définir ce qui est à l'intérieur et à l'extérieur de la portée des efforts d'architecture de base et d'architecture cible, en comprenant que la ligne de base et
la cible n’a pas besoin d’être décrite avec le même niveau de détail.
7. Confirmer et élaborer les principes d'architecture, y compris les principes d'entreprise. Assurezvous que toutes les définitions existantes sont à jour et clarifiez tous les domaines
d'ambiguïté.
8. Comprendre les buts et objectifs stratégiques actuels de l'entreprise et travailler avec le processus de planification stratégique pour garantir que l'entreprise liée à l'informatique
les opportunités d’architecture sont exploitées dans l’élaboration du plan stratégique.
9. Sur la base des préoccupations des parties prenantes, des exigences en matière de capacités commerciales, de la portée, des contraintes et des principes, créer la vision de l'architecture : une vue de haut niveau
des architectures de base et cible.
10. Définir les propositions de valeur, les objectifs et les mesures de l'architecture cible.
11. Identifier le risque de changement d'entreprise associé à la vision de l'architecture, évaluer le niveau initial de risque (par exemple, critique, marginal ou négligeable) et
élaborer une stratégie d’atténuation pour chaque risque important.
12. Élaborer une analyse de rentabilisation du concept d'architecture d'entreprise, décrire les plans et l'énoncé des travaux d'architecture, et obtenir l'approbation pour lancer un projet.
aligné et intégré à la stratégie de l’entreprise.
65
Machine Translated by Google
APO03.02 Activités
1. Maintenir un référentiel d'architecture contenant des normes, des composants réutilisables, des artefacts de modélisation, des relations, des dépendances et des vues pour permettre
uniformité de l'organisation architecturale et de l'entretien.
2. Sélectionnez des points de vue de référence dans le référentiel d'architecture qui permettront à l'architecte de démontrer comment les préoccupations des parties prenantes sont prises en compte.
abordé dans l’architecture.
3. Pour chaque point de vue, sélectionnez les modèles nécessaires pour prendre en charge la vue spécifique requise, en utilisant les outils ou méthodes sélectionnés et le niveau approprié.
de décomposition.
4. Élaborer des descriptions de domaine architectural de base, en utilisant la portée et le niveau de détail nécessaires pour prendre en charge l'architecture cible et, dans la mesure
possible, en identifiant les éléments constitutifs de l'architecture pertinents à partir du référentiel d'architecture.
5. Maintenir un modèle d'architecture de processus dans le cadre des descriptions de référence et des domaines cibles. Standardiser les descriptions et la documentation des processus.
Définissez les rôles et les responsabilités des décideurs du processus, du propriétaire du processus, des utilisateurs du processus, de l'équipe du processus et de toute autre partie prenante du
processus qui devrait être impliquée.
6. Maintenir un modèle d'architecture de l'information dans le cadre des descriptions de référence et des domaines cibles, cohérent avec la stratégie de l'entreprise pour permettre une utilisation
optimale des informations pour la prise de décision. Maintenez un dictionnaire de données d'entreprise qui favorise une compréhension commune et un système de classification qui comprend
des détails sur la propriété des données, la définition des niveaux de sécurité appropriés et les exigences de conservation et de destruction des données.
,rengilA
7. Vérifiez la cohérence et l'exactitude internes des modèles d'architecture et effectuez une analyse des écarts entre la référence et la cible. Hiérarchisez les lacunes et définissez les
composants nouveaux ou modifiés qui doivent être développés pour l’architecture cible. Résoudre les impacts potentiels tels que les incompatibilités, les incohérences ou les conflits au
sein de l'architecture envisagée.
8. Mener un examen formel des parties prenantes en vérifiant l'architecture proposée par rapport à la motivation initiale du projet d'architecture et à la
énoncé des travaux d'architecture.
9. Finaliser les architectures des domaines métier, information, données, applications et technologies, et créer un document de définition de l'architecture.
associés pour garantir que les initiatives architecturales sont alignées • Pilotes d'entreprise
et permettent ces initiatives dans le cadre du changement global
de l'entreprise.
Faitesen un effort de collaboration avec les principales parties
prenantes de l'entreprise, du secteur commercial et
Activités
1. Déterminer et confirmer les attributs clés du changement de l'entreprise, y compris la culture de l'entreprise et son impact sur la mise en œuvre de l'architecture d'entreprise, ainsi
que les capacités de transition de l'entreprise.
2. Identifier tous les facteurs d'entreprise qui pourraient limiter la séquence de mise en œuvre, y compris un examen des plans stratégiques et commerciaux de l'entreprise et du secteur
d'activité, et la prise en compte de la maturité actuelle de l'architecture d'entreprise.
3. Examiner et consolider les résultats de l'analyse des écarts entre les architectures de référence et cible et évaluer leurs implications en ce qui concerne les solutions/opportunités potentielles, les
interdépendances et l'alignement avec les programmes informatiques actuels.
4. Évaluer les exigences, les lacunes, les solutions et les facteurs pour identifier un ensemble minimal d'exigences fonctionnelles dont l'intégration dans les lots de travaux
conduirait à une mise en œuvre plus efficiente et efficace de l’architecture cible.
6. Affiner les dépendances initiales, en veillant à ce que toutes les contraintes sur les plans de mise en œuvre et de migration soient identifiées, et les consolider dans un
rapport d'analyse des dépendances.
8. Formuler une stratégie de mise en œuvre et de migration de haut niveau qui guidera la mise en œuvre de l'architecture cible et structurera la transition.
des architectures alignées sur les objectifs stratégiques et les délais de l'entreprise.
9. Identifier et regrouper les principaux lots de travaux en un ensemble cohérent de programmes et de projets, en respectant l'orientation stratégique de mise en œuvre de l'entreprise.
et approche.
10. Développer une série d'architectures de transition si nécessaire lorsque l'ampleur du changement requis pour réaliser l'architecture cible nécessite un
approche progressive.
66
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
APO03 Pratiques de processus, intrants/extrants et activités (suite)
et
Exigences de gouvernance de
l’architecture
Activités
1. Établir ce que le plan de mise en œuvre et de migration doit inclure dans le cadre de la planification du programme et du projet et garantir qu'il est aligné sur les
exigences des décideurs concernés.
2. Confirmez les incréments et les phases de l'architecture de transition et mettez à jour le document de définition de l'architecture.
Activités
1. Confirmer la portée et les priorités et fournir des conseils pour le développement et le déploiement de solutions.
2. Gérer le portefeuille de services d'architecture d'entreprise pour assurer l'alignement avec les objectifs stratégiques et le développement de solutions.
3. Gérer les exigences en matière d'architecture d'entreprise et prendre en charge les principes architecturaux, les modèles et les éléments de base.
4. Identifiez et alignez les priorités de l’architecture d’entreprise sur les moteurs de valeur. Définir et collecter des indicateurs de valeur, mesurer et communiquer sur l'entreprise
valeur architecturale.
5. Créer un forum technologique pour fournir des lignes directrices architecturales, des conseils sur les projets et des orientations sur la sélection de la technologie. Mesurer la conformité
à ces normes et directives, y compris le respect des exigences externes et leur pertinence commerciale.
TOGAF9 Au cœur de TOGAF se trouve la méthode de développement d'architecture (ADM), qui correspond aux pratiques COBIT 5 consistant à
développer une vision de l'architecture (ADM Phase A), à définir des architectures de référence (ADM Phases B, C, D), à
sélectionner des opportunités et des solutions ( ADM Phase E) et définition de la mise en œuvre de l'architecture (ADM Phases F,
G). Un certain nombre de composants TOGAF correspondent à la pratique COBIT 5 consistant à fournir des services d'architecture
d'entreprise. Ceuxci comprennent la gestion des exigences d'ADM, les principes d'architecture, la gestion des parties prenantes,
l'évaluation de l'état de préparation à la transformation opérationnelle, la gestion des risques, la planification basée sur les
capacités, la conformité de l'architecture et les contrats d'architecture.
67
Machine Translated by Google
68
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
Domaine : Gestion
Description du processus
Rester informé des tendances en matière de technologies de l'information et de services connexes, identifier les opportunités d'innovation et planifier comment bénéficier de l'innovation en fonction des besoins de l'entreprise.
Analysez les opportunités d'innovation ou d'amélioration commerciale qui peuvent être créées par les technologies émergentes, les services ou l'innovation commerciale basée sur l'informatique, ainsi que par les technologies
établies existantes et par l'innovation des processus commerciaux et informatiques. Influencer les décisions en matière de planification stratégique et d’architecture d’entreprise.
et
Bénéficiez d’un avantage concurrentiel, d’une innovation commerciale et d’une efficacité opérationnelle améliorée en exploitant les développements des technologies de l’information.
05 Bénéfices réalisés grâce au portefeuille d'investissements et de services informatiques • Pourcentage d'investissements informatiques dont la réalisation des avantages est surveillée tout au long du
ou dépassé
08 Utilisation adéquate des applications, des informations et des solutions technologiques • Pourcentage de responsables de processus métier satisfaits de la prise en charge des produits informatiques
Et services
• Niveau de compréhension des utilisateurs professionnels sur la manière dont les solutions
• Niveau de satisfaction des utilisateurs professionnels avec la formation et les manuels d'utilisation
• VAN montrant le niveau de satisfaction de l'entreprise quant à la qualité et à l'utilité des solutions technologiques
09 Agilité informatique • Niveau de satisfaction des dirigeants d'entreprise quant à la réactivité de l'informatique aux nouvelles
exigences
• Nombre de processus métier critiques pris en charge par une infrastructure et des applications à
jour
• Délai moyen nécessaire pour transformer les objectifs informatiques stratégiques en une initiative
convenue et approuvée.
11 Optimisation des actifs, ressources et capacités informatiques • Fréquence des évaluations de maturité des capacités et d'optimisation des coûts
• Tendance des résultats de l'évaluation
• Niveaux de satisfaction des responsables commerciaux et informatiques à l'égard des coûts et des
17 Connaissances, expertises et initiatives pour l’innovation des entreprises • Niveau de sensibilisation des dirigeants d'entreprise et de compréhension des possibilités
d'innovation informatique.
• Niveau de satisfaction des parties prenantes quant aux niveaux d'expertise en innovation informatique
et des idées
1. La valeur d’entreprise est créée grâce à la qualification et à la mise en scène des avancées et innovations • Augmentation de la part de marché ou de la compétitivité grâce aux innovations
les plus appropriées en matière de technologie, de méthodes et de solutions informatiques. • Perceptions et commentaires des parties prenantes de l'entreprise sur l'innovation informatique
2. Les objectifs de l'entreprise sont atteints avec des avantages de qualité améliorés et/ou une réduction • Pourcentage d'initiatives mises en œuvre qui génèrent les avantages escomptés
des coûts grâce à l'identification et à la mise en œuvre de solutions innovantes. • Pourcentage d'initiatives mises en œuvre ayant un lien clair avec un objectif de l'entreprise
3. L'innovation est encouragée et rendue possible et fait partie de la culture d'entreprise. • Inclusion d'objectifs liés à l'innovation ou aux technologies émergentes dans les objectifs de performance
du personnel concerné.
69
Machine Translated by Google
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
id
s'l
coaR
d
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
ds
soep
iuéontpiivtssnitee
eéé
sessitrnpaeertgnie
auietesrlueaaB
g
d
vl
ssu
sé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
laedrtiécsn
aprsé
tm
sm
pv
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
iap
tneemlbeapspnoole
uo
tm
rqtsitnianom
ae
sgrtg
srnuo
tnaio
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
/semme)aé
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
APO04.01
Créer un environnement UN €€€ R. €€€€ FR
propice à l'innovation.
APO04.02
Maintenir une compréhension de ARRC €€€€
l'environnement de l'entreprise.
APO04.03
,rengilA
APO04.04
Évaluer le potentiel des
je CCCI C ARRRR FR
technologies émergentes et
des idées d'innovation.
APO04.05
Recommander d'autres IRRA C €€€€ FR
initiatives appropriées.
APO04.06
Surveiller la mise en œuvre et DPA C RCCC CC
l'utilisation de l'innovation.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
APO04 Gérer les pratiques, les intrants/extrants et les activités du processus d'innovation
Activités
1. Créez un plan d'innovation qui comprend l'appétit pour le risque, le budget prévu à consacrer aux initiatives d'innovation et les objectifs d'innovation.
2. Fournir une infrastructure qui peut être un catalyseur d'innovation, comme des outils de collaboration pour améliorer le travail entre les emplacements géographiques et les divisions.
3. Créer un environnement propice à l'innovation en maintenant des initiatives RH pertinentes, telles que des programmes de reconnaissance et de récompense de l'innovation, une
rotation appropriée des postes et du temps discrétionnaire pour l'expérimentation.
4. Maintenir un programme permettant au personnel de soumettre des idées d'innovation et de créer une structure décisionnelle appropriée pour évaluer et prendre
ces idées en avant.
5. Encourager les idées d'innovation des clients, des fournisseurs et des partenaires commerciaux.
70
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
APO04 Gérer les pratiques, les intrants/extrants et les activités du processus d'innovation (suite)
et
puissent être identifiées.
Activités
1. Maintenir une compréhension des moteurs de l'activité, de la stratégie d'entreprise, des moteurs de l'industrie, des opérations de l'entreprise et d'autres problèmes afin que le potentiel
la valeur ajoutée des technologies ou de l’innovation informatique peut être identifiée.
2. Organiser des réunions régulières avec les unités commerciales, les divisions et/ou d'autres entités parties prenantes pour comprendre les problèmes commerciaux actuels, les goulots
d'étranglement des processus ou d'autres contraintes où les technologies émergentes ou l'innovation informatique peuvent créer des opportunités.
3. Comprendre les paramètres d'investissement des entreprises pour l'innovation et les nouvelles technologies afin d'élaborer des stratégies appropriées.
Activités
1. Comprendre l'intérêt et le potentiel de l'entreprise à adopter de nouvelles innovations technologiques et concentrer les efforts de sensibilisation sur les plus opportunistes.
innovations technologiques.
2. Effectuer des recherches et une analyse de l'environnement externe, y compris des sites Web, des revues et des conférences appropriés, pour identifier
les technologies émergentes.
3. Consulter des experts tiers si nécessaire pour confirmer les résultats de la recherche ou comme source d'informations sur les technologies émergentes.
4. Capturez les idées d'innovation informatique des membres du personnel et analysezles en vue d'une mise en œuvre potentielle.
Activités
1. Évaluer les technologies identifiées, en tenant compte d'aspects tels que le temps nécessaire pour atteindre la maturité, le risque inhérent aux nouvelles technologies (y compris les risques juridiques potentiels).
implications), l'adéquation à l'architecture de l'entreprise et le potentiel d'apporter une valeur supplémentaire.
2. Identifiez tous les problèmes qui pourraient devoir être résolus ou prouvés grâce à une initiative de validation de principe.
3. Portée de l'initiative de validation de principe, y compris les résultats souhaités, le budget requis, les délais et les responsabilités.
5. Mener des initiatives de validation de principe pour tester les technologies émergentes ou d'autres idées d'innovation, identifier tout problème et déterminer si d'autres
la mise en œuvre ou le déploiement doit être envisagé en fonction de la faisabilité et du retour sur investissement potentiel.
71
Machine Translated by Google
APO04 Gérer les pratiques, les intrants/extrants et les activités du processus d'innovation (suite)
Résultats et APO02.03
Évaluer et surveiller les résultats des initiatives de validation de
recommandations des BAI03.09
principe et, si ceuxci sont favorables, générer des recommandations
initiatives de validation de principe
pour d'autres initiatives et obtenir le soutien des parties prenantes.
Analyse des initiatives APO02.03
rejetées BAI03.08
Activités
1. Documenter les résultats de la validation de principe, y compris des orientations et des recommandations concernant les tendances et les programmes d'innovation.
2. Communiquer les opportunités d'innovation viables dans les processus de stratégie informatique et d'architecture d'entreprise.
3. Effectuer le suivi des initiatives de validation de principe pour mesurer dans quelle mesure elles ont été exploitées en investissements réels.
l'innovation.
Évaluations de l’utilisation APO02.04
Surveiller la mise en œuvre et l’utilisation des technologies et
d’approches innovantes BAI03.02
innovations émergentes pendant l’intégration, l’adoption et
pendant tout le cycle de vie économique afin de garantir que les Évaluation des APO05.04
avantages promis se concrétisent et d’identifier les enseignements bénéfices de l’innovation
tirés.
Plans d'innovation ajustés Interne
Activités
1. Évaluer la mise en œuvre des nouvelles technologies ou innovations informatiques adoptées dans le cadre des évolutions de la stratégie informatique et de l'architecture d'entreprise et leur
réalisation lors de la gestion du programme des initiatives.
Aucun
72
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
Domaine : Gestion
Description du processus
Exécuter l'orientation stratégique fixée pour les investissements conformément à la vision de l'architecture d'entreprise et aux caractéristiques souhaitées des portefeuilles d'investissement et de services connexes, et
considérer les différentes catégories d'investissements ainsi que les ressources et les contraintes de financement. Évaluer, hiérarchiser et équilibrer les programmes et services, en gérant la demande dans le cadre des
contraintes de ressources et de financement, en fonction de leur alignement avec les objectifs stratégiques, la valeur de l'entreprise et les risques. Déplacez les programmes sélectionnés vers le portefeuille de services actifs pour
exécution. Surveiller les performances du portefeuille global de services et de programmes, en proposant les ajustements nécessaires en réponse aux performances des programmes et des services ou à
et
Déclaration d'objectif du processus
Optimisez les performances du portefeuille global de programmes en réponse aux performances des programmes et des services et à l'évolution des priorités et des demandes de l'entreprise.
01 Alignement de la stratégie informatique et commerciale • Pourcentage d'objectifs et d'exigences stratégiques de l'entreprise pris en charge par les objectifs
stratégiques
informatiques. • Niveau de satisfaction des parties prenantes quant à la portée du portefeuille prévu de
programmes et de services.
05 Bénéfices réalisés grâce au portefeuille d'investissements et de services informatiques • Pourcentage d'investissements informatiques dont la réalisation des avantages est surveillée tout au long du
ou dépassé
13 Livraison de programmes apportant des bénéfices, dans les délais et dans les limites du budget, et • Nombre de programmes/projets dans les délais et dans les limites du budget
répondant aux exigences et aux normes de qualité • Pourcentage de parties prenantes satisfaites de la qualité du programme/projet
1. Une combinaison d'investissement appropriée est définie et alignée sur la stratégie de • Pourcentage d'investissements informatiques qui ont une traçabilité par rapport à la stratégie de l'entreprise
l'entreprise. • Degré selon lequel la direction de l'entreprise est satisfaite de la contribution de l'informatique
à la stratégie de l'entreprise.
2. Les sources de financement des investissements sont identifiées et disponibles. • Ratio entre les fonds alloués et les fonds utilisés
3. Les analyses de rentabilisation du programme sont évaluées et hiérarchisées avant les fonds • Pourcentage d'unités commerciales impliquées dans l'évaluation et
4. Il existe une vue complète et précise de la performance du portefeuille d'investissement. • Niveau de satisfaction par rapport aux rapports de suivi du portefeuille
5. Les modifications du programme d'investissement sont reflétées dans les portefeuilles de services • Pourcentage de changements par rapport au programme d'investissement reflétés dans les portefeuilles
6. Des bénéfices ont été réalisés grâce au suivi des bénéfices. • Pourcentage d'investissements pour lesquels les bénéfices réalisés ont été mesurés et
73
Machine Translated by Google
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
R
di
o
R
d'il
R
id
s'l
Rd
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
efn
prsodeefan
éa
ca
C
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
ds
éa
o
rxeta
soep
toirpuoscfene
sitee
eéé
sessitrnpaeertgnie
aaB
g
d
vl
toirpuoscfene
ssu
sé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
iuéontpiivtsn
laedrtiécsn
aprsé
auietesrlue
tm
sm
pv
erutceltiiehscnra
im
ticm
iem
esirpséeetriu
o
iap
lbeapspnoole
uo
tnaiotm
rqtsitnianom
a
/semme)aésgrtg
uo
nm
étué
nm
noitraum
tnrue
uro
srn
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
tneem
Pratique de gestion
APO05.01
APO05.02
Déterminer la disponibilité et les C UN R. C R.
APO05.03
,rengilA
APO05.04
Surveiller, optimiser et
ICCCCCR UN CCCC C
rendre compte du
rendement du portefeuille de placements.
APO05.05
je IRCA R. R. CC C
Tenir à jour les portefeuilles.
APO05.06
CCCARIR je CCRC C
Gérer l'obtention des avantages sociaux.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
Activités
1. Valider que les investissements informatiques et les services informatiques actuels sont alignés sur la vision de l'entreprise, les principes de l'entreprise, les buts et objectifs stratégiques,
vision et priorités de l’architecture d’entreprise.
2. Obtenir une compréhension commune entre l'informatique et les autres fonctions commerciales sur les opportunités potentielles pour l'informatique de piloter et de soutenir le
stratégie d'entreprise.
3. Créer une répartition des investissements qui permet d'atteindre le juste équilibre entre un certain nombre de dimensions, y compris un équilibre approprié entre le court et le long terme.
des rendements, des avantages financiers et non financiers et des investissements à risque élevé et faible.
4. Identifier les grandes catégories de systèmes d'information, d'applications, de données, de services informatiques, d'infrastructures, d'actifs informatiques, de ressources, de compétences, de pratiques, de contrôles et
relations nécessaires pour soutenir la stratégie de l’entreprise.
5. Convenir d'une stratégie et d'objectifs informatiques, en tenant compte des interrelations entre la stratégie de l'entreprise et les services informatiques, les actifs et autres
ressources. Identifiez et exploitez les synergies qui peuvent être réalisées.
74
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
APO05 Pratiques de processus, entrées/sorties et activités (suite)
et
BAI01.06
Activités
1. Comprendre la disponibilité actuelle et l'engagement des fonds, les dépenses actuelles approuvées et le montant réel dépensé à ce jour.
2. Identifier les options permettant d'obtenir des fonds supplémentaires pour les investissements informatiques, en interne et auprès de sources externes.
3. Déterminer les implications de la source de financement sur les attentes en matière de retour sur investissement.
APO09.03 SLA
avantages du programme
• Mandat et mémoire du
programme
• Analyse de rentabilité du
concept de programme
Activités
1. Reconnaître les opportunités d’investissement et les classer en fonction des catégories du portefeuille d’investissement. Préciser les résultats attendus de l'entreprise,
toutes les initiatives nécessaires pour atteindre les résultats, les coûts, les dépendances et les risques attendus, et comment tout cela serait mesuré.
2. Effectuer des évaluations détaillées de toutes les analyses de rentabilisation du programme, en évaluant l'alignement stratégique, les avantages de l'entreprise, les risques et la disponibilité des ressources.
3. Évaluer l'impact sur le portefeuille d'investissement global de l'ajout de programmes candidats, y compris tout changement qui pourrait être nécessaire pour
d'autres programmes.
4. Décidez quels programmes candidats doivent être déplacés vers le portefeuille d'investissement actif. Décidez si les programmes rejetés doivent être conservés pendant
un examen futur ou un financement de démarrage pour déterminer si l'analyse de rentabilisation peut être améliorée ou rejetée.
5. Déterminer les étapes requises pour le cycle de vie économique complet de chaque programme sélectionné. Allouer et réserver le financement total du programme par étape. Déplacez le
programme dans le portefeuille d’investissement actif.
6. Établir des procédures pour communiquer les aspects liés aux coûts, aux avantages et aux risques de ces portefeuilles à la priorisation budgétaire, à la gestion des coûts et
processus de gestion des prestations.
75
Machine Translated by Google
portefeuille de placements.
EDM02.01 Évaluation des portefeuilles Rapports sur le rendement EDM02.03
Surveiller et optimiser régulièrement la performance du
d'investissement et de services du portefeuille d'investissement APO09.04
portefeuille d'investissement et des programmes individuels tout au long
BAI01.06
du cycle de vie de l'investissement. EDM02.03 • Actions pour améliorer la
MEA01.03
création de valeur
• Commentaires sur les
performances du
portefeuille et du programme
Activités
1. Examiner régulièrement le portefeuille pour identifier et exploiter les synergies, éliminer la duplication entre les programmes et identifier et atténuer les risques.
2. Lorsque des changements se produisent, réévaluez et redéfinissez les priorités du portefeuille pour vous assurer qu'il est aligné sur la stratégie commerciale et que la combinaison cible
,rengilA
d'investissements est maintenue afin que le portefeuille optimise la valeur globale. Cela peut nécessiter que des programmes soient modifiés, reportés ou supprimés, et que de nouveaux programmes
soient lancés.
3. Ajuster les objectifs, les prévisions, les budgets de l'entreprise et, si nécessaire, le degré de surveillance pour refléter les dépenses à engager et les avantages de l'entreprise qui seront réalisés par les
programmes du portefeuille d'investissement actif. Intégrer les dépenses du programme dans les mécanismes de rétrofacturation.
4. Fournir une vue précise de la performance du portefeuille d’investissement à toutes les parties prenantes.
5. Fournir des rapports de gestion pour l'examen par la haute direction des progrès de l'entreprise vers les objectifs identifiés, indiquant ce qui reste à faire.
dépensé et accompli sur quels délais.
6. Inclure dans le suivi régulier des performances des informations sur la mesure dans laquelle les objectifs prévus ont été atteints, les risques atténués, les capacités
créés, les livrables obtenus et les objectifs de performance atteints.
8. Développer des mesures pour mesurer la contribution de l'informatique à l'entreprise et établir des objectifs de performance appropriés reflétant les objectifs requis en matière de capacités
informatiques et d'entreprise. Utilisez les conseils d’experts externes et des données de référence pour développer des mesures.
continues d’actifs
Activités
1. Créer et maintenir des portefeuilles de programmes d'investissement, de services informatiques et d'actifs informatiques, qui constituent la base du budget informatique actuel et
soutenir les plans tactiques et stratégiques informatiques.
2. Travailler avec les responsables de la prestation de services pour maintenir les portefeuilles de services et avec les responsables des opérations et les architectes pour maintenir les portefeuilles d'actifs.
Hiérarchiser les portefeuilles pour soutenir les décisions d’investissement.
3. Supprimer le programme du portefeuille d'investissement actif lorsque les avantages souhaités pour l'entreprise ont été obtenus ou lorsqu'il est clair que les avantages ne seront pas obtenus dans le cadre
des critères de valeur fixés pour le programme.
76
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
APO05 Pratiques de processus, entrées/sorties et activités (suite)
et
la réalisation des bénéfices améliorer la réalisation des bénéfices BAI01.06
Activités
1. Utilisez les paramètres convenus et suivez comment les avantages sont obtenus, comment ils évoluent tout au long du cycle de vie des programmes et des projets, comment ils sont
fournis par les services informatiques et comment ils se comparent aux références internes et sectorielles. Communiquer les résultats aux parties prenantes.
2. Mettre en œuvre des mesures correctives lorsque les bénéfices obtenus s'écartent considérablement des bénéfices attendus. Mettre à jour l'analyse de rentabilisation pour les nouvelles initiatives et
mettre en œuvre des améliorations aux processus commerciaux et aux services, si nécessaire.
3. Envisagez d'obtenir des conseils d'experts externes, de leaders de l'industrie et des données d'analyse comparative pour tester et améliorer les mesures et les objectifs.
Âge (SFIA)
77
Machine Translated by Google
78
Machine Translated by Google
Chapitre 5
plan
Contenu du guide de référence du processus COBIT 5
Alig
org
Domaine : Gestion
APO06 Gérer le budget et les coûts Domaine : aligner, planifier et organiser
Description du processus
et
Gérer les activités financières liées à l'informatique dans les fonctions commerciales et informatiques, couvrant la gestion du budget, des coûts et des avantages, ainsi que la
priorisation des dépenses grâce à l'utilisation de pratiques budgétaires formelles et d'un système juste et équitable de répartition des coûts à l'entreprise. Consulter les parties
prenantes pour identifier et contrôler les coûts et avantages totaux dans le contexte des plans stratégiques et tactiques informatiques, et lancer des mesures correctives si nécessaire.
05 Bénéfices réalisés grâce au portefeuille d'investissements et de services informatiques • Pourcentage d'investissements informatiques dont la réalisation des avantages est
surveillée tout au long du cycle de vie économique.
• Pourcentage de services informatiques où les avantages attendus sont
réalisés. • Pourcentage d'investissements informatiques où les avantages annoncés sont atteints.
ou dépassé
06 Transparence des coûts, avantages et risques informatiques • Pourcentage d'analyses de rentabilisation d'investissement avec des coûts et des avantages
informatiques attendus clairement définis et approuvés.
• Pourcentage de services informatiques dont les coûts opérationnels et les avantages attendus
sont clairement définis et approuvés.
• Enquête de satisfaction auprès des principales parties prenantes concernant le niveau
de transparence, de compréhension et d'exactitude des informations financières informatiques.
1. Un budget informatique transparent et complet reflète fidèlement • Nombre de modifications budgétaires dues à des omissions et des erreurs
dépenses prévues. • Nombre d'écarts entre les catégories budgétaires attendues et réelles
2. L'allocation des ressources informatiques aux initiatives informatiques est hiérarchisée en fonction • Pourcentage d'alignement des ressources informatiques sur les initiatives hautement prioritaires
3. Les coûts des services sont répartis de manière équitable. • Pourcentage des coûts informatiques globaux alloués selon les
modèles de coûts convenus
4. Les budgets peuvent être comparés avec précision aux coûts réels. • Pourcentage d'écart entre les budgets, les prévisions et les coûts réels
ri'D
d
astésrierpcitooéerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
R
di
o
R
d'il
R
ids'l
R
dcl
a
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
ids'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
efn
prsodeefan
éa
ca
rxetaC
E
S
dl
riC
P
d(
p
toirpuoscfeneéa
eriansneociitvsreeG
d
s
o
aprsésoep
toirpuoscfene
sitee
nsqe
sé
eéé
sessitrnpaeertgnie
tjoroelP
iapsmssu
auietesrlueaaB
gvl
d
o'C
d
tiduA
taéo
tm
iuéontpiivtsn
pv
laedrtiécsn
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
im
o
tnaiotm
rqtsitnianom
uo
étué
e
a
noitraum
/semme)aésgrtg
uo
nm
nm
n
uro
efiig
rue
srn
elbaéstsn
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
tn
sce
sersiu
éetlib
elsbea
aua
noeietlb
Pratique de gestion
APO06.01
ACC CR CC R.
Gérer les finances et la comptabilité.
APO06.02
IR CCCICC je AICCRCC
Prioriser l'allocation des ressources.
APO06.03
IA CCCCCC RCCCRCCC
Créer et maintenir des budgets.
APO06.04
C CCCCCC ACCCRCC
Modéliser et répartir les coûts.
APO06.05
R. CCCCCC ACCCRCC
Gérer les coûts.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
79
Machine Translated by Google
Capturez et répartissez les coûts réels, analysez les écarts entre les
Pratiques de planification Interne
prévisions et les coûts réels et créez des rapports à l'aide des
financière
systèmes de mesure financière de l'entreprise.
Activités
1. Définir les processus, les entrées et les sorties, ainsi que les responsabilités, conformément aux politiques et à l'approche de l'entreprise en matière de budgétisation et de comptabilité analytique pour piloter
systématiquement la budgétisation et l'établissement des coûts informatiques ; permettre une estimation juste, transparente, reproductible et comparable des coûts et des avantages informatiques à intégrer
au portefeuille de programmes commerciaux basés sur l'informatique ; et veiller à ce que les budgets et les coûts soient maintenus dans les portefeuilles d'actifs et de services informatiques.
2. Définir un système de classification pour identifier tous les éléments de coûts liés à l'informatique, comment ils sont répartis entre les budgets et les services, et comment ils sont capturés.
3. Utiliser les informations financières et de portefeuille pour contribuer aux analyses de rentabilité concernant les nouveaux investissements dans les actifs et services informatiques.
,rengilA
4. Définir comment analyser, rendre compte (à qui et comment) et utiliser les processus de contrôle budgétaire et de gestion des avantages.
5. Établir et maintenir des pratiques de planification financière, de gestion des investissements et de prise de décision, ainsi que d'optimisation des coûts opérationnels récurrents afin d'offrir une valeur
maximale à l'entreprise pour le minimum de dépenses.
des investissements
APO05.03 • Évaluations de
rentabilisation
• Activités du programme
cas
Activités
1. Créer un organe décisionnel chargé de prioriser les ressources commerciales et informatiques, y compris le recours à des prestataires de services externes dans le cadre des allocations budgétaires
de haut niveau pour les programmes informatiques, les services informatiques et les actifs informatiques, comme établi par les plans stratégiques et tactiques. Considérez les options d’achat ou de
développement d’actifs et de services capitalisés par rapport aux actifs et services utilisés en externe sur une base de paiement à l’utilisation.
2. Classez toutes les initiatives informatiques en fonction d'analyses de rentabilisation et de plans stratégiques et tactiques, et établissez des procédures pour déterminer les allocations budgétaires et les limites.
Établir une procédure pour communiquer les décisions budgétaires et les examiner avec les responsables du budget de l'unité commerciale.
3. Identifier, communiquer et résoudre les impacts importants des décisions budgétaires sur les analyses de rentabilisation, les portefeuilles et les plans stratégiques (par exemple, lorsque les budgets
peuvent nécessiter une révision en raison de l'évolution de la situation de l'entreprise, lorsqu'ils ne sont pas suffisants pour soutenir les objectifs stratégiques ou les objectifs de l'analyse de rentabilisation).
4. Obtenir la ratification du comité exécutif pour les modifications globales du budget informatique qui ont un impact négatif sur les plans stratégiques ou tactiques de l'entité et proposer des actions
suggérées pour résoudre ces impacts.
80
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
APO06 Pratiques de processus, intrants/extrants et activités (suite)
et
Communication budgétaire APO02.05
APO05.03
APO07.01
BAI03.11
Activités
1. Mettre en œuvre un budget informatique formel, comprenant tous les coûts informatiques attendus des programmes informatiques, des services informatiques et des actifs informatiques, conformément à la stratégie.
programmes et portefeuilles.
4. Demandez aux propriétaires de processus, de services et de programmes, ainsi qu'aux gestionnaires de projets et d'actifs, de planifier les budgets.
5. Examinez les plans budgétaires et prenez des décisions concernant les allocations budgétaires. Compiler et ajuster le budget en fonction de l'évolution des besoins de l'entreprise et
considérations financières.
6. Enregistrer, maintenir et communiquer le budget informatique actuel, y compris les dépenses engagées et les dépenses courantes, en tenant compte des projets informatiques
enregistrés dans les portefeuilles d’investissements informatiques et dans l’exploitation et la maintenance des portefeuilles d’actifs et de services.
7. Surveiller l'efficacité des différents aspects de la budgétisation et utiliser les résultats pour mettre en œuvre des améliorations afin de garantir que les futurs budgets soient plus précis, fiables et rentables.
informatiques.
Activités
1. Catégoriser tous les coûts informatiques de manière appropriée, y compris ceux liés aux prestataires de services, selon la direction de l'entreprise
cadre comptable.
2. Inspectez les catalogues de définitions de services pour identifier les services soumis à la rétrofacturation des utilisateurs et ceux qui sont des services partagés.
4. Concevoir le modèle de coûts pour qu'il soit suffisamment transparent pour permettre aux utilisateurs d'identifier leur utilisation et leurs frais réels, et pour mieux permettre la prévisibilité de l'informatique.
coûts et une utilisation efficiente et efficace des ressources informatiques.
5. Après examen avec les départements utilisateurs, obtenir l'approbation et communiquer les entrées et sorties du modèle de calcul des coûts informatiques à la direction de
départements utilisateurs.
6. Communiquer les modifications apportées au modèle de coût/refacturation aux propriétaires de processus d'entreprise.
81
Machine Translated by Google
avantages du programme
Activités
1. Assurer une autorité et une indépendance appropriées entre les responsables du budget informatique et les personnes qui capturent, analysent et déclarent les informations financières.
2. Établir des délais pour le fonctionnement du processus de gestion des coûts conformément aux exigences budgétaires et comptables.
3. Définir une méthode de collecte de données pertinentes pour identifier les écarts pour :
,rengilA
4. Définir comment les coûts sont consolidés pour les niveaux appropriés de l'entreprise et comment ils seront présentés aux parties prenantes. Les rapports fournissent
informations permettant d’identifier en temps opportun les actions correctives requises.
5. Demandez aux responsables de la gestion des coûts de capturer, collecter et consolider les données, puis de présenter et de communiquer les données aux autorités compétentes.
propriétaires de budget. Les analystes budgétaires et les propriétaires analysent conjointement les écarts et comparent les performances aux références internes et sectorielles. Le résultat de l'analyse
fournit une explication des écarts significatifs et des actions correctives proposées.
6. Veiller à ce que les niveaux de direction appropriés examinent les résultats de l'analyse et approuvent les mesures correctives suggérées.
7. Alignez les budgets et les services informatiques sur l'infrastructure informatique, les processus de l'entreprise et les propriétaires qui les utilisent.
8. Veiller à ce que les changements dans les structures de coûts et les besoins de l'entreprise soient identifiés et que les budgets et les prévisions soient révisés si nécessaire.
9. À intervalles réguliers, et en particulier lorsque les budgets sont réduits en raison de contraintes financières, identifier les moyens d'optimiser les coûts et de réaliser des gains d'efficacité.
sans compromettre les services.
ITIL V3 2011 Stratégie de service, 4.3 Gestion financière des services informatiques
82
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
Domaine : Gestion
Description du processus
Fournir une approche structurée pour garantir une structuration, un placement, des droits de décision et des compétences optimaux des ressources humaines. Cela comprend la communication des rôles et responsabilités définis, des
plans d'apprentissage et de croissance et des attentes en matière de performance, avec le soutien de personnes compétentes et motivées.
Optimisez les capacités des ressources humaines pour atteindre les objectifs de l’entreprise.
et
Le processus prend en charge la réalisation d’un ensemble d’objectifs informatiques principaux :
01 Alignement de la stratégie informatique et commerciale • Pourcentage d'objectifs et d'exigences stratégiques de l'entreprise pris en charge par les objectifs stratégiques
informatiques. • Niveau
de satisfaction des parties prenantes quant à la portée du portefeuille prévu de programmes et de services.
11 Optimisation des actifs, ressources et capacités informatiques • Fréquence des évaluations de maturité des capacités et d'optimisation des coûts
• Tendance des résultats de l'évaluation
• Niveaux de satisfaction des responsables commerciaux et informatiques à l'égard des coûts et des capacités
liés à l'informatique.
13 Livraison de programmes apportant des bénéfices, dans les délais et dans les limites du budget, et • Nombre de programmes/projets dans les délais et dans les limites du budget
répondant aux exigences et aux normes de qualité • Pourcentage de parties prenantes satisfaites de la qualité du programme/projet
16 Personnel commercial et informatique compétent et motivé • Pourcentage d'employés dont les compétences informatiques sont suffisantes pour les compétences requises
17 Connaissances, expertises et initiatives pour l’innovation des entreprises • Niveau de sensibilisation et de compréhension des dirigeants d'entreprise
• Niveau de satisfaction des parties prenantes quant aux niveaux d'expertise en innovation informatique
et des idées
1. La structure organisationnelle informatique et les relations sont flexibles et réactives. • Nombre de définitions de services et de catalogues de services
• Nombre de décisions qui n'ont pas pu être résolues au sein des structures de gestion et ont été transmises
2. Les ressources humaines sont gérées de manière efficace et efficiente. • Pourcentage de rotation du personnel
83
Machine Translated by Google
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
R
di
o
R
d'il
R
id
s'l
Rd
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
efn
prsodeefan
éa
ca
C
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
ds
éa
o
rxeta
soep
toirpuoscfene
sitee
eéé
sessitrnpaeertgnie
aaB
g
d
vl
toirpuoscfene
ssu
sé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
iuéontpiivtsn
laedrtiécsn
aprsé
auietesrlue
tm
sm
pv
erutceltiiehscnra
im
ticm
iem
esirpséeetriu
o
iap
lbeapspnoole
uo
tnaiotm
rqtsitnianom
a
/semme)aésgrtg
uo
nm
étué
nm
noitraum
tnrue
uro
srn
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
tneem
Pratique de gestion
APO07.01
Maintenir un effectif adéquat R. je R. ARRRRRRRR
et approprié.
APO07.02
R. R. ARRRRRRRR
Identifier le personnel informatique clé.
APO07.03
Maintenir les aptitudes et R. R. ARRRRRRRR
,rengilA
APO07.04
Évaluer le rendement au R. R. ARRRRRRRR
travail des employés.
APO07.05
Planifier et suivre l'utilisation des RCARR je €€€€€€€€€€€€€€€€€€€€€€€€€€€€€€
ressources humaines en TI et en entreprise.
APO07.06
R. R. ARRRRRRRR
Gérer le personnel contractuel.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
• Politiques et procédures RH
de l'entreprise
Activités
1. Évaluer les besoins en personnel sur une base régulière ou lors de changements majeurs pour s'assurer que :
• La fonction informatique dispose de ressources suffisantes pour soutenir de manière adéquate et appropriée les buts et objectifs de l'entreprise. •
L'entreprise dispose de ressources suffisantes pour prendre en charge de manière adéquate et appropriée les processus et contrôles commerciaux ainsi que les initiatives informatiques.
2. Maintenir les processus de recrutement et de rétention du personnel commercial et informatique conformément aux politiques et procédures globales en matière de personnel de l'entreprise.
3. Incluez des vérifications des antécédents dans le processus de recrutement informatique des employés, des soustraitants et des fournisseurs. L'étendue et la fréquence de ces contrôles devraient
dépendent de la sensibilité et/ou de la criticité de la fonction.
4. Établir des modalités de ressources flexibles pour répondre aux besoins changeants de l'entreprise, tels que le recours à des transferts, à des soustraitants externes et à des tiers.
modalités de services.
5. Veiller à ce qu'une formation polyvalente ait lieu et à ce que le personnel clé soit remplacé afin de réduire la dépendance envers une seule personne.
84
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
APO07 Pratiques de processus, intrants/extrants et activités (suite)
et
Activités
1. Minimiser le recours à une seule personne effectuant une fonction critique grâce à la capture des connaissances (documentation), au partage des connaissances et à la succession.
planification, relève du personnel, initiatives de formation polyvalente et de rotation des postes.
2. Par mesure de sécurité, fournissez des lignes directrices sur la durée minimale des vacances annuelles que doivent prendre les personnes clés.
3. Prendre des mesures rapides concernant les changements d'emploi, en particulier les licenciements.
APO07.03 Maintenir les aptitudes et les compétences du personnel. Depuis Description Description À
qualification et de certification le cas échéant. Offrir aux employés une gestion des ressources
formation continue et des opportunités de maintenir leurs connaissances,
BAI08.03 Référentiels de connaissances Examiner les rapports Interne
aptitudes et compétences à un niveau requis pour atteindre les
publiés
objectifs de l’entreprise.
BAI08.04 Programmes de sensibilisation et de
Activités
1. Définir les aptitudes et compétences requises et actuellement disponibles des ressources internes et externes pour atteindre les objectifs de l'entreprise, de l'informatique et des processus.
2. Fournir une planification de carrière et un développement professionnel formels pour encourager le développement des compétences, les opportunités d'avancement personnel et
dépendance réduite à l’égard des personnes clés.
3. Donner accès à des référentiels de connaissances pour soutenir le développement des aptitudes et des compétences.
4. Identifier les écarts entre les compétences requises et disponibles et élaborer des plans d'action pour y remédier sur une base individuelle et collective, tels que la formation (compétences techniques
et comportementales), le recrutement, le redéploiement et les stratégies d'approvisionnement modifiées.
5. Développer et dispenser des programmes de formation basés sur les exigences organisationnelles et de processus, y compris les exigences en matière de connaissances d'entreprise, de
contrôle interne, de conduite éthique et de sécurité.
6. Effectuer des revues régulières pour évaluer l'évolution des aptitudes et compétences des ressources internes et externes. Examinez la planification de la relève.
7. Examiner régulièrement le matériel et les programmes de formation pour garantir leur adéquation aux exigences changeantes de l'entreprise et à leur impact.
sur les connaissances, compétences et aptitudes nécessaires.
85
Machine Translated by Google
Activités
1. Considérez les objectifs fonctionnels/d’entreprise comme contexte pour définir des objectifs individuels.
,rengilA
2. Fixez des objectifs individuels alignés sur les objectifs des processus pertinents afin qu'il y ait une contribution claire aux objectifs informatiques et de l'entreprise. Basez les buts sur des objectifs
SMART (spécifiques, mesurables, réalisables, pertinents et limités dans le temps) qui reflètent les compétences de base, les valeurs de l'entreprise et les compétences requises pour le(s)
rôle(s).
5. Fournir des instructions spécifiques pour l'utilisation et le stockage des informations personnelles dans le processus d'évaluation, conformément aux données personnelles applicables.
et la législation du travail.
6. Fournir des commentaires en temps opportun sur les performances par rapport aux objectifs de l'individu.
7. Mettre en œuvre un processus de rémunération/reconnaissance qui récompense l'engagement approprié, le développement des compétences et la réussite des objectifs de performance. Veiller
à ce que le processus soit appliqué de manière cohérente et conforme aux politiques organisationnelles.
8. Élaborer des plans d'amélioration du rendement basés sur les résultats du processus d'évaluation et les exigences identifiées en matière de formation et de développement des compétences.
APO07.05 Planifier et suivre l'utilisation des ressources humaines Depuis Description Description À
en TI et en entreprise.
EDM04.02 Communication des Inventaire des affaires et BAI01.04
Comprendre et suivre la demande actuelle et future en ressources humaines
stratégies de ressources Ressources humaines informatiques
commerciales et informatiques ayant des responsabilités en matière
d'informatique d'entreprise. Identifier les lacunes et contribuer aux EDM04.03 Commentaires sur l’allocation Analyses du manque de BAI01.06
plans de sourcing, aux processus de recrutement d'entreprise et et l’efficacité des ressources ressources
informatiques, aux plans de sourcing et aux processus de et des capacités
recrutement commerciaux et informatiques.
APO06.02 Allocations budgétaires Enregistrements d'utilisation BAI01.06
des ressources
BAI01.04 Besoins en ressources et rôles
Activités
2. Comprendre la demande actuelle et future en ressources humaines pour soutenir la réalisation des objectifs informatiques et fournir des services et des solutions
en fonction du portefeuille d'initiatives informatiques actuelles, du futur portefeuille d'investissements et des besoins opérationnels quotidiens.
3. Identifier les lacunes et contribuer aux plans de sourcing ainsi qu'aux processus de recrutement d'entreprise et informatiques. Créer et réviser le plan de dotation,
garder une trace de l'utilisation réelle.
4. Conserver des informations adéquates sur le temps consacré aux différentes tâches, missions, services ou projets.
86
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
APO07 Pratiques de processus, intrants/extrants et activités (suite)
du projet
et
BAI01.14 Communication du retrait Examens des accords Interne
continues
Activités
1. Mettre en œuvre des politiques et des procédures qui décrivent quand, comment et quel type de travail peut être effectué ou augmenté par des consultants et/ou
soustraitants, conformément à la politique d'approvisionnement informatique de l'organisation à l'échelle de l'organisation et au cadre de contrôle informatique.
2. Obtenir l'accord formel des entrepreneurs au début du contrat selon lequel ils sont tenus de se conformer au contrôle informatique de l'entreprise
cadre, comme les politiques en matière d'habilitation de sécurité, de contrôle d'accès physique et logique, d'utilisation des installations, d'exigences en matière de confidentialité des informations et
d'accords de nondivulgation.
3. Informer les entrepreneurs que la direction se réserve le droit de surveiller et d'inspecter toute utilisation des ressources informatiques, y compris le courrier électronique, les communications vocales et
tous les programmes et fichiers de données.
4. Fournir aux entrepreneurs une définition claire de leurs rôles et responsabilités dans le cadre de leurs contrats, y compris des exigences explicites pour documenter leurs
travailler selon des normes et des formats convenus.
5. Examiner le travail des entrepreneurs et fonder l'approbation des paiements sur les résultats.
6. Définissez tous les travaux effectués par des parties externes dans des contrats formels et sans ambiguïté.
7. Effectuer des examens périodiques pour s'assurer que le personnel contractuel a signé et accepté tous les accords nécessaires.
8. Effectuer des examens périodiques pour garantir que les rôles et les droits d'accès des soustraitants sont appropriés et conformes aux accords.
87
Machine Translated by Google
88
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
Domaine : Gestion
Description du processus
Gérer la relation entre l'entreprise et l'informatique d'une manière formalisée et transparente qui garantit la concentration sur la réalisation d'un objectif commun et partagé de résultats d'entreprise réussis à l'appui des objectifs
stratégiques et dans le respect des contraintes budgétaires et de la tolérance au risque. Fondez la relation sur la confiance mutuelle, en utilisant des termes ouverts et compréhensibles et un langage commun et une volonté de
Créez de meilleurs résultats, une confiance accrue dans l’informatique et une utilisation efficace des ressources.
et
Le processus prend en charge la réalisation d’un ensemble d’objectifs informatiques principaux :
01 Alignement de la stratégie informatique et commerciale • Pourcentage d'objectifs et d'exigences stratégiques de l'entreprise pris en charge par
Objectifs stratégiques
informatiques • Niveau de satisfaction des parties prenantes quant à la portée du portefeuille prévu de
programmes et de services
07 Livraison de services informatiques en adéquation avec les besoins métiers • Nombre d'interruptions d'activité dues à des incidents de service informatique
12 Activation et prise en charge des processus métier en intégrant des applications et des • Nombre d'incidents de traitement métier causés par des erreurs d'intégration technologique
• Nombre de changements de processus métier qui doivent être retardés ou retravaillés en raison
17 Connaissances, expertises et initiatives pour l’innovation des entreprises • Niveau de sensibilisation des dirigeants d'entreprise et de compréhension des possibilités
d'innovation informatique.
• Niveau de satisfaction des parties prenantes quant aux niveaux d'expertise en innovation informatique
et des idées
1. Les stratégies, plans et exigences commerciaux sont bien compris, documentés et approuvés. • Pourcentage d'alignement des services informatiques avec les exigences
métier de l'entreprise
2. De bonnes relations existent entre l'entreprise et le service informatique. • Notes des enquêtes de satisfaction des utilisateurs et du personnel informatique
3. Les parties prenantes du monde des affaires sont conscientes des opportunités offertes par la technologie. • Enquête sur le niveau de sensibilisation à la technologie des parties prenantes de l'entreprise
89
Machine Translated by Google
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
ids'l
iuéontpiivtssniteecoaR
dcl
a
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
ids'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
rxetaC
E
S
dl
riC
P
d(
p
eriansneociitvsreeG
ds
aprsésoep
eéé
sessitrnpaeertgnie
tjoroelP
auietesrlueaaB
gvl
d
iapsmssu
pvsé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
laedrtiécsn
tm
erutceltiiehscnra
im
ticm
aiem
esirpséeetriu
o
tneemlbeapspnoole
uo
tm
rqtsitnianom
/semme)aésgrtg
srnuo
tnaio
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
APO08.01
Comprendre les attentes CCCCRC C C CCACRRCRRR
de l'entreprise.
APO08.02
APO08.03
Gérer la relation CCCRRI UN FR R.
d'affaires.
APO08.04
RIRRRI UN FR R.
Coordonner et communiquer.
APO08.05
Contribuer à l'amélioration C ICRI C CCCACRR RCC
continue des services.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
Activités
1. Identifiez les parties prenantes de l’entreprise, leurs intérêts et leurs domaines de responsabilités.
2. Examiner l'orientation actuelle de l'entreprise, les problèmes, les objectifs stratégiques et l'alignement avec l'architecture de l'entreprise.
3. Rester informé des processus métier et des activités associées et comprendre les modèles de demande liés aux volumes et à l'utilisation des services.
4. Clarifier les attentes de l'entreprise en matière de services et de solutions informatiques et garantir que les exigences sont définies avec l'acceptation commerciale associée
critères et mesures.
5. Confirmer l'accord sur les attentes commerciales, les critères d'acceptation et les mesures des parties pertinentes de l'informatique par toutes les parties prenantes.
6. Gérer les attentes en veillant à ce que les unités commerciales comprennent les priorités, les dépendances, les contraintes financières et la nécessité de planifier les demandes.
7. Comprendre l'environnement commercial actuel, les contraintes ou problèmes de processus, l'expansion ou la contraction géographique et les facteurs industriels/réglementaires.
90
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
APO08 Pratiques de processus, entrées/sorties et activités (suite)
Identifier les opportunités, les risques et les contraintes permettant aux TI Depuis Description Description À
d'améliorer l'entreprise.
APO09.01 Lacunes identifiées dans les Prochaines étapes et plans Interne
Identifiez les opportunités potentielles permettant à l’informatique de contribuer
services informatiques à l'entreprise d'action convenus
à l’amélioration des performances de l’entreprise.
APO09.04 • Plans d'actions
d'amélioration et de remédiation
et
• Rapports sur les
Activités
1. Comprendre les tendances technologiques et les nouvelles technologies et comment cellesci peuvent être appliquées de manière innovante pour améliorer les performances des processus métier.
2. Jouer un rôle proactif dans l'identification et la communication avec les principales parties prenantes sur les opportunités, les risques et les contraintes. Cela inclut les activités actuelles et émergentes
technologies, services et modèles de processus métier.
3. Collaborer pour convenir des prochaines étapes des nouvelles initiatives majeures en coopération avec la gestion de portefeuille, y compris l'élaboration d'une analyse de rentabilisation.
4. S'assurer que l'entreprise et l'informatique comprennent et apprécient les objectifs stratégiques et la vision de l'architecture d'entreprise.
5. Coordonner la planification de nouvelles initiatives informatiques pour assurer l'intégration et l'alignement avec l'architecture de l'entreprise.
• Demandes de service et
incidents clôturés
Activités
1. Désignez un responsable des relations comme point de contact unique pour chaque unité commerciale importante. Assurezvous qu'un seul homologue est identifié dans l'organisation
commerciale et que cet homologue possède une compréhension commerciale, une connaissance technologique suffisante et le niveau d'autorité approprié.
2. Gérer la relation d'une manière formalisée et transparente qui garantit la concentration sur la réalisation d'un objectif commun et partagé de résultats d'entreprise réussis à l'appui des objectifs
stratégiques et dans le respect des contraintes budgétaires et de la tolérance au risque.
3. Définir et communiquer une procédure de réclamation et d'escalade pour résoudre tout problème relationnel.
4. Planifier des interactions et des calendriers spécifiques en fonction d'objectifs mutuellement convenus et d'un langage commun (réunions d'évaluation des services et des performances,
examen de nouvelles stratégies ou plans, etc.).
5. Veiller à ce que les décisions clés soient convenues et approuvées par les parties prenantes responsables concernées.
91
Machine Translated by Google
connaissances acquises
Activités
1. Coordonner et communiquer les changements et les activités de transition tels que les plans de projet ou de changement, les calendriers, les politiques de version, les erreurs connues de version,
,rengilA
et la sensibilisation à la formation.
2. Coordonner et communiquer les activités opérationnelles, les rôles et les responsabilités, y compris la définition des types de demandes, l'escalade hiérarchique, les principales
les pannes (planifiées et non planifiées), ainsi que le contenu et la fréquence des rapports de service.
3. S'approprier la réponse de l'entreprise aux événements majeurs susceptibles d'influencer la relation avec l'entreprise. Fournir un soutien direct
si nécessaire.
4. Maintenir un plan de communication de bout en bout qui définit le contenu, la fréquence et les destinataires des informations sur la prestation de services, y compris l'état de
valeur délivrée et tout risque identifié.
services.
APO09.02 Catalogues de services Analyses de satisfaction APO09.04
Améliorer et faire évoluer continuellement les services informatiques et la
prestation de services à l'entreprise pour s'aligner sur l'évolution des APO11.03 • Examiner les résultats de la Définition de projets APO02.02
de la prestation des
solutions et des services
Activités
1. Effectuer une analyse de satisfaction des clients et des fournisseurs. Assurezvous que les problèmes sont résolus et signalez les résultats et l’état.
2. Travailler ensemble pour identifier, communiquer et mettre en œuvre des initiatives d'amélioration.
3. Travailler avec la gestion des services et les propriétaires de processus pour garantir que les services informatiques et les processus de gestion des services sont continuellement améliorés.
et les causes profondes de tout problème sont identifiées et résolues.
92
Machine Translated by Google
Chapitre 5
plan
Contenu du guide de référence du processus COBIT 5
Alig
org
Domaine : Gestion
APO09 Gérer les contrats de service Domaine : aligner, planifier et organiser
Description du processus
Alignez les services informatiques et les niveaux de service avec les besoins et les attentes de l'entreprise, y compris l'identification, la spécification, la conception, la publication, l'accord et la
et
surveillance des services informatiques, des niveaux de service et des indicateurs de performance.
07 Livraison de services informatiques en adéquation avec les besoins métiers • Nombre d'interruptions d'activité dues à des incidents de service informatique
• Pourcentage de parties prenantes de l'entreprise satisfaites que la prestation de services informatiques
14 Disponibilité d'informations fiables et utiles pour la prise de décision • Niveau de satisfaction des utilisateurs professionnels quant à la qualité et à
l'actualité (ou à la disponibilité) des informations de gestion.
• Nombre d'incidents de processus métier causés par la nondisponibilité des
informations
• Ratio et étendue des décisions commerciales erronées lorsqu'elles sont erronées ou
l'indisponibilité des informations était un facteur clé
1. L'entreprise peut utiliser efficacement les services informatiques tels que définis • Nombre de processus métier avec des contrats de service non définis
dans un catalogue.
2. Les contrats de service reflètent les besoins de l'entreprise et les capacités informatiques. • Pourcentage de services informatiques en direct couverts par des contrats de service
• Pourcentage de clients satisfaits que la prestation de services répond
aux niveaux convenus
3. Les services informatiques fonctionnent comme stipulé dans les contrats de service. • Nombre et gravité des violations de service
• Pourcentage de services surveillés jusqu'aux niveaux de service
• Pourcentage d'objectifs de service atteints
ri'D
d
astésrierpcitooéerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
ids'l
iuéontpiivtssniteecoaR
dcl
a
oaR
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
éaR
ids'l
étimrofnoC
etrcoefrneiD
Id'l
C
E
S
dl
riC
P
d(
p
eriansneociitvsreeG
d
s
laaitsnneodpifsnee
rxeta
aprsésoep
nsqe
sé
eéé
sessitrnpaeertgnie
tjoroelP
toirpuoscfene
iapsmssu
itesrlueaaB
gvl
d
o'C
d
tiduA
taéo
tm
pv
laedrtiécsn
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
imo
tm
rqtsitnianom
uo
aue
étué
e
a
noitraum
/semme)aésgrtg
srnuo
tnaio
nm
nm
n
uro
efiig
rue
elbaéstsn
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
tn
sce
sersiu
éetlib
elsbea
aua
noeietlb
Pratique de gestion
APO09.01
C RRRC je je IRICCCAI je
APO09.02
je je je je IRICCCAI je
APO09.03
Définir et préparer des ententes RC C C RCC CRRACC
de services.
APO09.04
APO09.05
Réviser les ententes et les contrats CA C C RCC CRRRRCCI
de service.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
93
Machine Translated by Google
Activités
1. Évaluez les services informatiques actuels et les niveaux de service pour identifier les écarts entre les services existants et les activités commerciales qu'ils prennent en charge. Identifier les zones à
amélioration des services existants et des options de niveau de service.
2. Analyser, étudier et estimer la demande future et confirmer la capacité des services informatiques existants.
3. Analyser les activités des processus métier pour identifier le besoin de services informatiques nouveaux ou repensés.
4. Comparez les exigences identifiées aux composants de service existants dans le portefeuille. Si possible, regroupez les composants de service existants (services informatiques, service
options de niveau et packages de services) en de nouveaux packages de services pour répondre aux exigences commerciales identifiées.
,rengilA
5. Dans la mesure du possible, faites correspondre les demandes aux offres de services et créez des services standardisés pour obtenir une efficacité globale.
6. Examiner régulièrement le portefeuille de services informatiques avec la gestion du portefeuille et la gestion des relations commerciales pour identifier les services obsolètes. S'accorder sur
prendre sa retraite et proposer des changements.
stratégies de ressources
Activités
1. Publier dans des catalogues les services informatiques en direct, les packages de services et les options de niveau de service pertinents du portefeuille.
2. Assurezvous en permanence que les composants de service du portefeuille et les catalogues de services associés sont complets et à jour.
3. Informer la direction des relations commerciales de toute mise à jour des catalogues de services.
OLA DSS01.02
DSS02.07
DSS04.03
DSS05.03
Activités
1. Analyser les exigences relatives aux accords de service nouveaux ou modifiés reçus de la gestion des relations commerciales pour garantir que les exigences peuvent être satisfaites. Tenez
compte d’aspects tels que les temps de service, la disponibilité, les performances, la capacité, la sécurité, la continuité, les problèmes de conformité et de réglementation, la convivialité et les
contraintes de demande.
2. Rédiger des contrats de service client basés sur les services, les packages de services et les options de niveau de service dans les catalogues de services concernés.
3. Déterminer, convenir et documenter les accords opérationnels internes pour soutenir les accords de service client, le cas échéant.
4. Assurer la liaison avec la direction des fournisseurs pour garantir que les contrats commerciaux appropriés avec les prestataires de services externes soutiennent le service client
accords, le cas échéant.
5. Finaliser les accords de service client avec la gestion des relations commerciales.
94
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
APO09 Pratiques de processus, intrants/extrants et activités (suite)
et
du portefeuille d'investissement de remédiation APO08.02
améliorer la réalisation
des bénéfices
• Résultats des bénéfices et
communications connexes
et suivi de la qualité de la
prestation de services
priorisés
Activités
1. Établir et maintenir des mesures pour surveiller et collecter des données sur les niveaux de service.
2. Évaluer les performances et fournir des rapports réguliers et formels sur les performances des accords de service, y compris les écarts par rapport aux valeurs convenues.
Distribuez ce rapport à la gestion des relations commerciales.
3. Effectuer des examens réguliers pour prévoir et identifier les tendances en matière de performances des niveaux de service.
4. Fournir les informations de gestion appropriées pour faciliter la gestion des performances.
5. Convenez des plans d'action et des mesures correctives pour tout problème de performance ou tendance négative.
Activités
1. Examiner régulièrement les contrats de service selon les conditions convenues pour s'assurer qu'ils sont efficaces et à jour et que les exigences évoluent,
Les services informatiques, les packages de services ou les options de niveau de service sont pris en compte, le cas échéant.
95
Machine Translated by Google
96
Machine Translated by Google
Chapitre 5
plan
Contenu du guide de référence du processus COBIT 5
Alig
org
Domaine : Gestion
APO10 Gérer les fournisseurs Domaine : aligner, planifier et organiser
Description du processus
Gérer les services liés à l'informatique fournis par tous les types de fournisseurs pour répondre aux exigences de l'entreprise, y compris la sélection des fournisseurs, la gestion des
et
relations, la gestion des contrats, ainsi que l'examen et le suivi des performances des fournisseurs pour en vérifier l'efficacité et la conformité.
04 Gestion des risques métiers liés à l’informatique • Pourcentage de processus métier critiques, de services informatiques et de
programmes métiers informatiques couverts par une évaluation des risques.
• Nombre d'incidents informatiques importants qui n'ont pas été identifiés lors de
l'évaluation des risques.
• Pourcentage d'évaluations des risques d'entreprise, y compris les risques liés à l'informatique
• Fréquence de mise à jour du profil de risque
07 Livraison de services informatiques en adéquation avec les besoins métiers • Nombre d'interruptions d'activité dues à des incidents de service informatique
• Pourcentage de parties prenantes de l'entreprise satisfaites que la prestation de services informatiques
réponde aux niveaux de service convenus
• Pourcentage d'utilisateurs satisfaits de la qualité de la prestation des services informatiques
09 Agilité informatique • Niveau de satisfaction des dirigeants d'entreprise quant à la réactivité de l'informatique
aux nouvelles exigences
• Nombre de processus métier critiques pris en charge par une infrastructure et
des applications à jour
• Délai moyen nécessaire pour transformer les objectifs informatiques stratégiques en une
initiative convenue et approuvée.
1. Les fournisseurs exécutent comme convenu. • Pourcentage de fournisseurs répondant aux exigences convenues
• Nombre de violations de service liées aux services informatiques causées par les fournisseurs
2. Le risque fournisseur est évalué et correctement traité. • Nombre d'événements liés aux risques conduisant à des incidents de service
• Fréquence des séances de gestion des risques avec le fournisseur
• Pourcentage d'incidents liés aux risques résolus de manière acceptable (délai et coût)
3. Les relations avec les fournisseurs fonctionnent efficacement. • Nombre de réunions d'évaluation des fournisseurs
• Nombre de litiges formels avec les fournisseurs
• Pourcentage de litiges résolus à l'amiable dans un délai raisonnable
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
ids'l
siteecoaR
dcl
a
laaitsnneodpifsneeoaR
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
éaR
ids'l
étimrofnoC
etrcoefrneiD
Id'l
C
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
d
s
rxeta
aprsésoep
nsqe
sé
eéé
sessitrnpaeertgnie
toirpuoscfene
iapsmssu
auietesrlueaaB
gvl
d
o'C
d
tiduA
astésrierpcitoo
taéo
tm
iuéontpiivtsn
pv
laedrtiécsn
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
im
o
tnaiotm
rqtsitnianom
uo
étué
ae
noitraum
/semme)aésgrtg
uo
nm
nm
n
uro
efiig
rue
srn
elbaéstsn
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
tn
sce
sersiu
éetlib
elsbea
aua
noeietlb
Pratique de gestion
APO10.01
Identifier et évaluer les relations et C C CCCACCCRCCC
les contrats avec les fournisseurs.
APO10.02
C C CCCACCCRCCC
Sélectionner les fournisseurs.
APO10.03
Gérer les relations et les contrats je CCCACRRRCCC
avec les fournisseurs.
APO10.04 Gérer
C R. CCCACRR CCCC
les risques liés aux fournisseurs.
APO10.05
Surveiller le rendement et la je C C CCCACRR CCCC
conformité des fournisseurs.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
97
Machine Translated by Google
APO10.01 Identifier et évaluer les relations et les contrats Depuis Description Description À
Activités
1. Établir et maintenir des critères relatifs au type, à l'importance et à la criticité des fournisseurs et des contrats avec les fournisseurs, permettant de se concentrer sur les priorités et les priorités.
fournisseurs importants.
2. Établir et maintenir des critères d'évaluation des fournisseurs et des contrats pour permettre un examen global et une comparaison des performances des fournisseurs de manière cohérente.
3. Identifier, enregistrer et catégoriser les fournisseurs et les contrats existants selon des critères définis pour maintenir un registre détaillé des fournisseurs privilégiés qui
doivent être gérés avec soin.
4. Évaluer et comparer périodiquement les performances des fournisseurs existants et alternatifs pour identifier les opportunités ou un besoin impérieux de reconsidérer
,rengilA
Activités
2. Évaluer les demandes d'information et les demandes de propositions conformément au processus/critères d'évaluation approuvés et conserver les preuves documentaires des évaluations.
Vérifier les références des fournisseurs candidats.
3. Sélectionnez le fournisseur qui correspond le mieux à l'appel d'offres. Documentez et communiquez la décision, puis signez le contrat.
4. Dans le cas spécifique de l'acquisition de logiciels, inclure et faire respecter les droits et obligations de toutes les parties dans les conditions contractuelles. Ces droits et
les obligations peuvent inclure la propriété et l'octroi de licences de propriété intellectuelle, la maintenance, les garanties, les procédures d'arbitrage, les conditions de mise à niveau et l'adéquation
à l'usage, y compris la sécurité, le dépôt et les droits d'accès.
5. Dans le cas spécifique de l'acquisition de ressources de développement, inclure et faire respecter les droits et obligations de toutes les parties dans les conditions contractuelles.
Ces droits et obligations peuvent inclure la propriété et l'octroi de licences de propriété intellectuelle ; adaptés à l'objectif, y compris les méthodologies de développement ; essai; les processus
de gestion de la qualité, y compris les critères de performance requis ; évaluations de performances ; base de paiement ; garanties; procédures d'arbitrage; Gestion des ressources humaines;
et le respect des politiques de l'entreprise.
6. Obtenir des conseils juridiques sur les accords d'acquisition de développement de ressources concernant la propriété et les licences de propriété intellectuelle.
7. Dans le cas spécifique de l'acquisition d'infrastructures, d'installations et de services connexes, inclure et faire respecter les droits et obligations de toutes les parties dans les conditions
contractuelles. Ces droits et obligations peuvent inclure les niveaux de service, les procédures de maintenance, les contrôles d'accès, la sécurité, l'évaluation des performances, la base de
paiement et les procédures d'arbitrage.
98
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
APO10 Pratiques de processus, entrées/sorties et activités (suite)
Gérer les relations et les contrats avec les fournisseurs. Depuis Description Description À
et
réglementaires. Gérer les litiges contractuels.
Résultats et améliorations Interne
suggérées
Activités
1. Attribuez des responsables de relation à tous les fournisseurs et rendezles responsables de la qualité du ou des services fournis.
2. Spécifiez un processus formel de communication et d'examen, y compris les interactions et les calendriers des fournisseurs.
3. Conclure, gérer, maintenir et renouveler les contrats formels avec le fournisseur. Veiller à ce que les contrats soient conformes aux normes de l'entreprise et aux lois et
exigences réglementaires.
4. Les contrats avec les principaux fournisseurs de services incluent des dispositions pour l'examen du site du fournisseur et des pratiques et contrôles internes par la direction ou
tiers indépendants.
6. Définir, communiquer et convenir des moyens de mettre en œuvre les améliorations requises dans la relation.
7. Utiliser des procédures établies pour traiter les litiges contractuels, en utilisant d'abord, dans la mesure du possible, des relations et des communications efficaces pour les surmonter.
problèmes de service.
8. Définir et formaliser les rôles et responsabilités de chaque fournisseur de services. Lorsque plusieurs fournisseurs s'associent pour fournir un service, envisagez d'attribuer un
rôle d'entrepreneur principal auprès de l'un des fournisseurs pour assumer la responsabilité d'un contrat global.
de profil de risque
Exigences contractuelles Interne
pour les parties prenantes
identifiées pour
minimiser les risques
Activités
1. Identifier, surveiller et, le cas échéant, gérer les risques liés à la capacité du fournisseur à fournir un service de manière efficiente, efficace, sûre et fiable.
et continuellement.
2. Lors de la définition du contrat, prévoyez les risques potentiels liés au service en définissant clairement les exigences du service, y compris les accords de dépôt de logiciels,
des fournisseurs alternatifs ou des accords de standby pour atténuer une éventuelle défaillance d'un fournisseur ; sécurité et protection de la propriété intellectuelle (PI); et toute exigence légale
ou réglementaire.
fournisseurs.
Critères de contrôle de la Interne
Examiner périodiquement les performances globales des fournisseurs, la
conformité des fournisseurs
conformité aux exigences contractuelles et le rapport qualitéprix, et
résoudre les problèmes identifiés. Résultats de l'examen de la MEA01.03
Activités
1. Définir et documenter les critères pour surveiller les performances des fournisseurs alignés sur les accords de niveau de service et garantir que le fournisseur rend compte régulièrement et
de manière transparente sur les critères convenus.
2. Surveiller et examiner la prestation de services pour s'assurer que le fournisseur fournit une qualité de service acceptable, répond aux exigences et adhère aux
conditions du contrat.
3. Examiner les performances des fournisseurs et leur rapport qualitéprix pour s'assurer qu'ils sont fiables et compétitifs par rapport aux fournisseurs alternatifs et
les conditions du marché.
4. Demander des examens indépendants des pratiques et contrôles internes des fournisseurs, si nécessaire.
5. Enregistrez et évaluez périodiquement les résultats des examens et discutezen avec le fournisseur pour identifier les besoins et les opportunités d'amélioration.
99
Machine Translated by Google
100
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
Domaine : Gestion
Description du processus
Définir et communiquer les exigences de qualité dans tous les processus, procédures et résultats d'entreprise associés, y compris les contrôles, la surveillance continue et l'utilisation de pratiques et de normes éprouvées dans
Assurer une livraison cohérente de solutions et de services pour répondre aux exigences de qualité de l'entreprise et satisfaire les besoins des parties prenantes.
et
Le processus prend en charge la réalisation d’un ensemble d’objectifs informatiques principaux :
05 Bénéfices réalisés grâce au portefeuille d'investissements et de services informatiques • Pourcentage d'investissements informatiques dont la réalisation des avantages est surveillée tout au long du
ou dépassé
07 Livraison de services informatiques en adéquation avec les besoins métiers • Nombre d'interruptions d'activité dues à des incidents de service informatique
13 Livraison de programmes apportant des bénéfices, dans les délais et dans les limites du budget, et • Nombre de programmes/projets dans les délais et dans les limites du budget
répondant aux exigences et aux normes de qualité • Pourcentage de parties prenantes satisfaites de la qualité du programme/projet
1. Les parties prenantes sont satisfaites de la qualité des solutions et des services. • Taux de satisfaction moyen des parties prenantes à l'égard des solutions et des services
2. Les résultats du projet et de la prestation de services sont prévisibles. • Pourcentage de projets examinés qui répondent aux buts et objectifs de qualité visés
• Pourcentage de solutions et de services fournis avec une certification formelle
3. Les exigences de qualité sont mises en œuvre dans tous les processus. • Nombre de processus avec une exigence de qualité définie
101
Machine Translated by Google
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
R
di
o
R
d'il
R
id
s'l
Rd
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
efn
prsodeefan
éa
ca
C
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
ds
éa
o
rxeta
soep
toirpuoscfene
sitee
eéé
sessitrnpaeertgnie
aaB
g
d
vl
toirpuoscfene
ssu
sé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
iuéontpiivtsn
laedrtiécsn
aprsé
auietesrlue
tm
sm
pv
erutceltiiehscnra
im
ticm
iem
esirpséeetriu
o
iap
lbeapspnoole
uo
tnaiotm
rqtsitnianom
a
/semme)aésgrtg
uo
nm
étué
nm
noitraum
tnrue
uro
srn
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
tneem
Pratique de gestion
APO11.01
Établir un système de gestion de C ACICI je C CCRCCCIRRI je je
la qualité (QMS).
APO11.02
Définir et gérer les normes,
C CRC R. C CCARRRRRRRR
pratiques et procédures
de qualité.
,rengilA
APO11.03
Concentrer la gestion de la ARC je CCRI je je IRI je
APO11.04
APO11.05
Intégrer la gestion de la qualité dans
CC je ACRR R.
les solutions de développement et
de prestation de services.
APO11.06
Maintenir l'amélioration CRC R. CCARRRRRRRR
continue.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
Activités
1. Veiller à ce que le cadre de contrôle informatique et les processus métiers et informatiques incluent une approche standard, formelle et continue de la gestion de la qualité
qui est alignée sur les exigences de l'entreprise. Dans le cadre de contrôle informatique et les processus commerciaux et informatiques, identifier les exigences et les
critères de qualité (par exemple, sur la base des exigences légales et des exigences des clients).
2. Définir les rôles, les tâches, les droits de décision et les responsabilités en matière de gestion de la qualité dans la structure organisationnelle.
3. Définir des plans de gestion de la qualité pour les processus, projets ou objectifs importants, conformément aux critères de gestion de la qualité de l'entreprise et
Stratégies. Enregistrez des données de qualité.
5. Aligner la gestion de la qualité informatique avec un système qualité à l'échelle de l'entreprise pour encourager une approche standardisée et continue de la qualité.
6. Obtenir l'avis de la direction et des parties prenantes externes et internes sur la définition des exigences de qualité et des critères de gestion de la qualité.
7. Communiquer efficacement l'approche (par exemple, par le biais de programmes réguliers et formels de formation de qualité).
8. Examiner régulièrement la pertinence, l'efficience et l'efficacité continues de processus spécifiques de gestion de la qualité. Surveiller la réalisation de
objectifs de qualité.
102
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
APO11 Pratiques de processus, entrées/sorties et activités (suite)
APO11.02 Définir et gérer les normes, pratiques et procédures de Depuis Description Description À
qualité.
BAI02.04 Examens de qualité approuvés Normes de gestion de la Tous les APO
Identifier et maintenir les exigences, les normes, les procédures
qualité Tous les BAI
et les pratiques pour les processus clés afin de guider l'entreprise dans Hors COBIT • Bonnes pratiques de l'industrie
Tous les DSS
la réalisation de l'intention du système de gestion de la qualité convenu. • Certifications de qualité
Tous les MEA
Cela doit être conforme aux exigences du cadre de contrôle disponibles
et
informatique. Envisagez une certification pour les processus clés, les
unités organisationnelles, les produits ou les services.
Activités
1. Définir les normes, pratiques et procédures de gestion de la qualité conformément aux exigences du cadre de contrôle informatique. Utiliser les bonnes pratiques du secteur
comme référence lors de l'amélioration et de l'adaptation des pratiques de qualité de l'entreprise.
APO11.03 Concentrer la gestion de la qualité sur les clients. Depuis Description Description À
Activités
1. Concentrer la gestion de la qualité sur les clients en déterminant les exigences internes et externes des clients et en assurant l'alignement des normes et pratiques informatiques. Définir et communiquer les
rôles et responsabilités concernant la résolution des conflits entre l'utilisateur/client et l'organisation informatique.
2. Gérer les besoins et les attentes de l'entreprise pour chaque processus métier, service opérationnel informatique et nouvelles solutions, et maintenir leur qualité
critères d’acceptation. Capturez les critères d’acceptation de la qualité à inclure dans les SLA.
3. Communiquer les exigences et les attentes des clients à travers l'ensemble de l'entreprise et de l'organisation informatique.
4. Obtenir périodiquement l'avis des clients sur les processus métier, la fourniture de services et la fourniture de solutions informatiques, afin de déterminer l'impact sur les normes informatiques et
pratiques et de garantir que les attentes des clients sont satisfaites et mises en œuvre.
5. Surveiller et examiner régulièrement le système de gestion de la qualité par rapport aux critères d'acceptation convenus. Incluez les commentaires des clients, des utilisateurs et de la direction. Répondre à
divergences dans les résultats des examens afin d’améliorer continuellement le système de gestion de la qualité.
103
Machine Translated by Google
processus pour améliorer la qualité. d'exécution et les tendances de service du processus Tous les BAI
Activités
1. Surveiller la qualité des processus et des services de manière continue et systématique en décrivant, mesurant, analysant, améliorant/ingénieant et
contrôler les processus.
4. Surveiller la qualité des processus, ainsi que la valeur qu'elle apporte. Veiller à ce que la mesure, la surveillance et l'enregistrement des informations soient utilisés par le propriétaire du processus pour
prendre les mesures correctives et préventives appropriées.
5. Surveiller les mesures de qualité axées sur les objectifs et alignées sur les objectifs de qualité globaux couvrant la qualité des projets et services individuels.
6. Veiller à ce que la direction et les propriétaires de processus examinent régulièrement les performances de gestion de la qualité par rapport aux mesures de qualité définies.
APO11.05 Intégrer la gestion de la qualité dans les solutions de Depuis Description Description À
Activités
1. Intégrer les pratiques de gestion de la qualité dans les processus et pratiques de développement de solutions.
2. Surveiller en permanence les niveaux de service et intégrer des pratiques de gestion de la qualité dans les processus et pratiques de prestation de services.
3. Identifier et documenter les causes profondes de la nonconformité, et communiquer les résultats à la direction informatique et aux autres parties prenantes en temps opportun pour
permettre de prendre des mesures correctives. Le cas échéant, effectuez des examens de suivi.
104
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
APO11 Pratiques de processus, entrées/sorties et activités (suite)
et
Exemples de bonnes pratiques à Tous les APO
Activités
2. Établir une plateforme pour partager les bonnes pratiques et capturer des informations sur les défauts et les erreurs afin de permettre d'en tirer des leçons.
3. Identifier des exemples récurrents de défauts de qualité, déterminer leur cause profonde, évaluer leur impact et leur résultat, et convenir d'actions d'amélioration avec les équipes de livraison de services et de projets.
4. Identifier des exemples de processus de livraison d'excellente qualité qui peuvent bénéficier à d'autres services ou projets, et les partager avec le service et le projet
6. Établir une boucle de rétroaction entre la gestion de la qualité et la gestion des problèmes.
7. Offrir aux employés une formation aux méthodes et outils d’amélioration continue.
8. Comparez les résultats des examens de qualité aux données historiques internes, aux directives de l'industrie, aux normes et aux données provenant de types d'entreprises similaires.
ISO/CEI 9001:2008
105
Machine Translated by Google
106
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
Domaine : Gestion
Description du processus
Identifiez, évaluez et réduisez en permanence les risques liés à l’informatique dans les limites des niveaux de tolérance fixés par la direction de l’entreprise.
Intégrez la gestion des risques d'entreprise liés à l'informatique à l'ERM globale et équilibrez les coûts et les avantages de la gestion des risques d'entreprise liés à l'informatique.
et
Le processus prend en charge la réalisation d’un ensemble d’objectifs informatiques principaux :
02 Conformité informatique et assistance à la conformité des entreprises aux lois et réglementations externes • Coût de la nonconformité informatique, y compris les règlements et les amendes, et l'impact de la perte
de réputation
• Nombre de problèmes de nonconformité liés aux accords contractuels avec les prestataires de services
informatiques
04 Gestion des risques métiers liés à l’informatique • Pourcentage de processus métier critiques, de services informatiques et de programmes métiers
• Nombre d'incidents informatiques importants qui n'ont pas été identifiés lors de l'évaluation des risques.
• Pourcentage d'évaluations des risques d'entreprise, y compris les risques liés à l'informatique
06 Transparence des coûts, avantages et risques informatiques • Pourcentage d'analyses de rentabilisation d'investissement avec des coûts et des avantages informatiques
• Pourcentage de services informatiques dont les coûts opérationnels et les avantages attendus sont
10 Sécurité des informations, des infrastructures de traitement et des applications • Nombre d'incidents de sécurité entraînant des pertes financières, des perturbations des activités ou un
embarras public
• Temps nécessaire pour accorder, modifier et supprimer les privilèges d'accès par rapport aux niveaux
de service convenus.
• Fréquence des évaluations de sécurité par rapport aux dernières normes et directives
13 Livraison de programmes apportant des bénéfices, dans les délais et dans les limites du budget, et • Nombre de programmes/projets dans les délais et dans les limites du budget
répondant aux exigences et aux normes de qualité • Pourcentage de parties prenantes satisfaites de la qualité du programme/projet
1. Les risques liés à l’informatique sont identifiés, analysés, gérés et signalés. • Degré de visibilité et de reconnaissance dans l'environnement actuel
• Nombre d'événements de perte avec des caractéristiques clés capturés dans les référentiels
2. Il existe un profil de risque actuel et complet. • Pourcentage de processus métier clés inclus dans le profil de risque
3. Toutes les actions significatives de gestion des risques sont gérées et sous contrôle. • Pourcentage de propositions de gestion des risques rejetées en raison du manque de prise en
compte d'autres risques connexes.
• Nombre d'incidents significatifs non identifiés et inclus dans le portefeuille de gestion des risques
4. Les actions de gestion des risques sont mises en œuvre efficacement. • Pourcentage de plans d'action contre les risques informatiques exécutés comme prévu
107
Machine Translated by Google
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
ids'l
iuéontpiivtssniteecoaR
dcl
a
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
ids'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
rxetaC
E
S
dl
riC
P
d(
p
eriansneociitvsreeG
ds
aprsésoep
eéé
sessitrnpaeertgnie
tjoroelP
auietesrlueaaB
gvl
d
iapsmssu
pvsé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
laedrtiécsn
tm
erutceltiiehscnra
im
ticm
aiem
esirpséeetriu
o
tneemlbeapspnoole
uo
tm
rqtsitnianom
/semme)aésgrtg
srnuo
tnaio
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
APO12.01
je R. R. FR je CCARRRRRRRR
Recueillir des données.
APO12.02
je R. C RC je RRACCCCCCCC
Analyser les risques.
APO12.03
je R. C CA je RRCCCCCCCC
Maintenir un profil de risque.
,rengilA
APO12.04
je R. C RC je CCACCCCCCCC
Expliquer le risque.
APO12.05
APO12.06
je R. R. FR je CCARRRRRRRR
Réagir aux risques.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
des risques
• Objectifs clés à surveiller
pour la gestion des
risques
• Politiques de gestion
des risques
108
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
APO12 Pratiques de processus, entrées/sorties et activités (suite)
APO12.01 Activités
1. Établir et maintenir une méthode de collecte, de classification et d'analyse des données liées aux risques informatiques, prenant en compte plusieurs types d'événements, plusieurs
catégories de risques informatiques et de multiples facteurs de risque.
2. Enregistrez les données pertinentes sur l'environnement opérationnel interne et externe de l'entreprise qui pourraient jouer un rôle important dans la gestion des risques informatiques.
3. Enquêter et analyser les données historiques sur les risques informatiques et l'expérience en matière de pertes à partir de données et de tendances disponibles en externe, de pairs du secteur via des données sectorielles.
journaux d'événements, bases de données et accords industriels pour la divulgation d'événements communs.
et
4. Enregistrer les données sur les événements à risque qui ont causé ou pourraient avoir des impacts sur les avantages/valeurs informatiques, la livraison des programmes et projets informatiques et/ou l'informatique.
opérations et prestation de services. Capturez les données pertinentes sur les problèmes, incidents, problèmes et enquêtes associés.
5. Pour des classes d’événements similaires, organisez les données collectées et mettez en évidence les facteurs contributifs. Déterminer les facteurs contributifs communs
plusieurs événements.
6. Déterminer les conditions spécifiques qui existaient ou étaient absentes lorsque les événements à risque se sont produits et la manière dont ces conditions ont affecté la fréquence des événements.
et l'ampleur des pertes.
7. Effectuer une analyse périodique des événements et des facteurs de risque pour identifier les problèmes de risque nouveaux ou émergents et pour comprendre les problèmes internes et externes associés.
facteurs de risque externes.
En dehors des avis de menace COBIT Résultats de l'analyse des risques EDM03.03
APO01.03
APO02.02
BAI01.10
Activités
1. Définir l’étendue et la profondeur appropriées des efforts d’analyse des risques, en tenant compte de tous les facteurs de risque et de la criticité des actifs pour l’entreprise. Définissez la portée de l’analyse des risques
après avoir effectué une analyse coûtsavantages.
2. Élaborer et mettre régulièrement à jour des scénarios de risques informatiques, y compris des scénarios composés de types de menaces en cascade et/ou fortuites, et développer des attentes en matière de risques informatiques.
3. Estimez la fréquence et l'ampleur des pertes ou des gains associés aux scénarios de risques informatiques. Prendre en compte tous les facteurs de risque applicables, évaluer les risques connus
contrôles opérationnels et estimer les niveaux de risque résiduels.
4 Comparez le risque résiduel à la tolérance au risque acceptable et identifiez les expositions qui peuvent nécessiter une réponse au risque.
5. Analyser le rapport coûtsavantages des options potentielles de réponse aux risques telles que éviter, réduire/atténuer, transférer/partager, et accepter et exploiter/saisir. Proposer le
réponse optimale au risque.
6. Spécifiez les exigences de haut niveau pour les projets ou programmes qui mettront en œuvre les réponses aux risques sélectionnées. Identifier les besoins et les attentes
pour des contrôles clés appropriés pour les réponses d’atténuation des risques.
7. Valider les résultats de l'analyse des risques avant de les utiliser dans la prise de décision, en confirmant que l'analyse est conforme aux exigences de l'entreprise et en vérifiant
que les estimations étaient correctement calibrées et examinées pour déceler tout biais.
109
Machine Translated by Google
menaces potentielles
Activités
1. Inventorier les processus opérationnels, y compris le personnel de soutien, les applications, l'infrastructure, les installations, les enregistrements manuels critiques, les vendeurs, les fournisseurs et
soustraitants et documenter la dépendance à l’égard des processus de gestion des services informatiques et des ressources de l’infrastructure informatique.
2. Déterminer et convenir des services informatiques et des ressources d'infrastructure informatique essentiels au fonctionnement des processus métier. Analyser
dépendances et identifier les maillons faibles.
3. Regroupez les scénarios de risques actuels par catégorie, secteur d'activité et domaine fonctionnel.
,rengilA
4. Sur une base régulière, capturez toutes les informations sur le profil de risque et consolidezles dans un profil de risque agrégé.
5. Sur la base de toutes les données de profil de risque, définir un ensemble d'indicateurs de risque permettant d'identifier et de surveiller rapidement les risques actuels et leurs tendances.
6. Capturez des informations sur les événements de risque informatique qui se sont matérialisés, pour les inclure dans le profil de risque informatique de l'entreprise.
7. Capturez des informations sur l'état du plan d'action contre les risques, pour les inclure dans le profil de risque informatique de l'entreprise.
Activités
1. Communiquer les résultats de l'analyse des risques à toutes les parties prenantes concernées dans des termes et formats utiles pour soutenir les décisions de l'entreprise. Dans la mesure du possible, incluez
les probabilités et les fourchettes de perte ou de gain ainsi que les niveaux de confiance qui permettent à la direction d'équilibrer risquerendement.
2. Fournir aux décideurs une compréhension des scénarios les plus pessimistes et les plus probables, des risques liés au devoir de diligence et des problèmes de réputation, juridiques et juridiques importants.
ou des considérations réglementaires.
3. Communiquer le profil de risque actuel à toutes les parties prenantes, y compris l'efficacité du processus de gestion des risques, l'efficacité des contrôles, les lacunes, les incohérences, les redondances, l'état
des mesures correctives et leurs impacts sur le profil de risque.
4. Examiner les résultats des évaluations objectives par des tiers, des examens d'audit interne et d'assurance qualité, et les mapper au profil de risque. Revoir
identifié les lacunes et les risques afin de déterminer la nécessité d’une analyse de risque supplémentaire.
5. Périodiquement, pour les domaines présentant une parité relative en matière de risque et de capacité de risque, identifier les opportunités liées à l'informatique qui permettraient d'accepter un risque plus élevé.
et une croissance et un rendement améliorés.
portefeuille d'actions.
Propositions de projets pour APO02.02
Gérer les opportunités pour réduire le risque à un niveau acceptable en
réduire les risques APO13.02
tant que portefeuille.
Activités
1. Tenir un inventaire des activités de contrôle qui sont en place pour gérer les risques et qui permettent de prendre des risques conformément à l'appétit et à la tolérance au risque.
Classez les activités de contrôle et associezles à des déclarations de risques informatiques spécifiques et à des agrégations de risques informatiques.
2. Déterminez si chaque entité organisationnelle surveille les risques et accepte la responsabilité de fonctionner dans le cadre de ses niveaux de tolérance individuels et de portefeuille.
3. Définir un ensemble équilibré de propositions de projets conçues pour réduire les risques et/ou des projets qui permettent des opportunités stratégiques d'entreprise, en tenant compte
coûts/avantages, effet sur le profil de risque et la réglementation actuels.
110
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
APO12 Pratiques de processus, entrées/sorties et activités (suite)
et
DSS04.02
Activités
1. Préparer, maintenir et tester des plans qui documentent les étapes spécifiques à suivre lorsqu'un événement à risque peut entraîner un problème opérationnel ou de développement important.
incident ayant de graves répercussions sur l’entreprise. Assurezvous que les plans incluent des voies de remontée d’informations dans l’ensemble de l’entreprise.
2. Catégorisez les incidents et comparez les expositions réelles aux seuils de tolérance au risque. Communiquer les impacts commerciaux aux décideurs dans le cadre du reporting et mettre à jour le
profil de risque.
3. Appliquer le plan d'intervention approprié pour minimiser l'impact lorsque des incidents à risque surviennent.
4. Examiner les événements indésirables/pertes passés et les opportunités manquées et déterminer les causes profondes. Communiquer la cause première, la réponse au risque supplémentaire
communiquer les exigences et les améliorations des processus aux décideurs concernés et garantir que la cause, les exigences de réponse et l'amélioration des processus sont incluses dans les
processus de gouvernance des risques.
ISO/CEI 27002:2011
111
Machine Translated by Google
112
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
Domaine : Gestion
APO13 Gérer la sécurité Domaine : aligner, planifier et organiser
Description du processus
et
Objectif lié à l'informatique Métriques associées
02 Conformité informatique et assistance à la conformité des entreprises aux lois et réglementations • Coût de la nonconformité informatique, y compris les règlements et les amendes, et l'impact de la
externes perte de réputation
• Nombre de problèmes de nonconformité liés aux technologies de l'information signalés au conseil
• Nombre de problèmes de nonconformité liés aux accords contractuels avec les prestataires de
services informatiques
04 Gestion des risques métiers liés à l’informatique • Pourcentage de processus métier critiques, de services informatiques et de programmes métiers
• Pourcentage d'évaluations des risques d'entreprise, y compris les risques liés à l'informatique
• Fréquence de mise à jour du profil de risque
06 Transparence des coûts, avantages et risques informatiques • Pourcentage d'analyses de rentabilisation d'investissement avec des coûts et des avantages informatiques
attendus clairement définis et approuvés.
• Pourcentage de services informatiques dont les coûts opérationnels et les avantages attendus sont
clairement définis et approuvés.
10 Sécurité des informations, des infrastructures de traitement et des applications • Nombre d'incidents de sécurité entraînant des pertes financières, des perturbations des activités ou un
embarras public
14 Disponibilité d'informations fiables et utiles pour la prise de décision • Niveau de satisfaction des utilisateurs professionnels quant à la qualité et à l'actualité (ou
1. Un système est en place qui prend en compte et répond efficacement aux exigences de sécurité des • Nombre de rôles de sécurité clés clairement définis
informations de l’entreprise. • Nombre d'incidents liés à la sécurité
2. Un plan de sécurité a été établi, accepté et communiqué dans toute l'entreprise. • Niveau de satisfaction des parties prenantes à l'égard du plan de sécurité dans toute l'entreprise
3. Les solutions de sécurité des informations sont mises en œuvre et exploitées de manière • Nombre de services dont l'alignement sur le plan de sécurité a été confirmé
cohérente dans toute l'entreprise. • Nombre d'incidents de sécurité causés par le nonrespect du plan de sécurité
113
Machine Translated by Google
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
ids'l
iuéontpiivtssniteecoaR
dcl
a
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
ids'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
rxetaC
E
S
dl
riC
P
d(
p
eriansneociitvsreeG
ds
aprsésoep
eéé
sessitrnpaeertgnie
tjoroelP
auietesrlueaaB
gvl
d
iapsmssu
pvsé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
laedrtiécsn
tm
erutceltiiehscnra
im
ticm
aiem
esirpséeetriu
o
tneemlbeapspnoole
uo
tm
rqtsitnianom
/semme)aésgrtg
srnuo
tnaio
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
APO13.01
C CCICI CACC CCRI IRIRCC
Établir et maintenir un SMSI.
je je
APO13.02
APO13.03
,rengilA
CRC R. UN CCRRRRRRRRRR
Surveiller et examiner le SMSI.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
1. Définir la portée et les limites du SMSI en termes de caractéristiques de l'entreprise, de l'organisation, de sa localisation, de ses actifs et de sa technologie.
Incluez des détails et une justification pour toute exclusion du champ d’application.
2. Définir un SMSI conforme à la politique de l'entreprise et aligné sur l'entreprise, l'organisation, son emplacement, ses actifs et sa technologie.
114
Machine Translated by Google
Chapitre 5
planif
Align
Contenu du guide de référence du processus COBIT 5
orga
APO13 Pratiques de processus, entrées/sorties et activités (suite)
APO13.02 Définir et gérer un plan de traitement des risques liés à Depuis Description Description À
la sécurité de l'information.
APO02.04 Lacunes et changements Plan de traitement des risques liés à la Tous les GED
Maintenir un plan de sécurité des informations qui décrit comment les
nécessaires pour réaliser sécurité de l'information Tous les APO
risques liés à la sécurité des informations doivent être gérés et alignés
la capacité cible Tous les BAI
sur la stratégie et l'architecture de l'entreprise. Veiller à ce que les
Tous les DSS
recommandations pour la mise en œuvre d'améliorations de la
et
Tous les MEA
sécurité soient basées sur des analyses de rentabilisation approuvées
et mises en œuvre en tant que partie intégrante du développement APO03.02 Descriptions des Analyses de rentabilisation en matière APO02.05
de services et de solutions, puis exploitées comme partie intégrante domaines de base et de sécurité de l'information
Activités
1. Formuler et maintenir un plan de traitement des risques liés à la sécurité de l'information aligné sur les objectifs stratégiques et l'architecture de l'entreprise. Veiller à ce que le plan identifie les pratiques de
gestion et les solutions de sécurité appropriées et optimales, ainsi que les ressources, responsabilités et priorités associées pour gérer les risques identifiés en matière de sécurité de l'information.
2. Maintenir, dans le cadre de l'architecture d'entreprise, un inventaire des composants de solution en place pour gérer les risques liés à la sécurité.
3. Élaborer des propositions pour mettre en œuvre le plan de traitement des risques liés à la sécurité de l'information, soutenus par des analyses de rentabilisation appropriées, qui incluent la prise en compte des
le financement et la répartition des rôles et des responsabilités.
4. Contribuer à la conception et au développement de pratiques et de solutions de gestion sélectionnées dans le plan de traitement des risques liés à la sécurité de l'information.
5. Définir comment mesurer l'efficacité des pratiques de gestion sélectionnées et préciser comment ces mesures doivent être utilisées pour évaluer
efficacité pour produire des résultats comparables et reproductibles.
7. Intégrer la planification, la conception, la mise en œuvre et la surveillance des procédures de sécurité de l'information et d'autres contrôles capables de permettre une
prévention, détection des événements de sécurité et réponse aux incidents de sécurité.
Activités
1. Entreprendre des examens réguliers de l'efficacité du SMSI, y compris le respect de la politique et des objectifs du SMSI, ainsi que l'examen des pratiques de sécurité. Prendre en compte les résultats des
audits de sécurité, les incidents, les résultats des mesures d'efficacité, les suggestions et les commentaires de toutes les parties intéressées.
3. Entreprendre régulièrement un examen de la direction du SMSI pour garantir que la portée reste adéquate et que des améliorations sont apportées au processus du SMSI.
sont identifiés.
4. Contribuer à la maintenance des plans de sécurité pour prendre en compte les conclusions des activités de surveillance et d'examen.
5. Enregistrez les actions et les événements qui pourraient avoir un impact sur l'efficacité ou la performance du SMSI.
ISO/CEI 27002:2011
Institut national des normes et Contrôles de sécurité recommandés pour les systèmes d'information fédéraux des ÉtatsUnis
Technologie (NIST) SP80053 Rév. 1
115
Machine Translated by Google
116
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
en
Construire, acquérir et mettre en œuvre (BAI)
et
01 Gérer les programmes et les projets.
10 Gérer la configuration.
117
Machine Translated by Google
118
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
Domaine : Gestion
BAI01 Gérer des programmes et des projets Domaine : Construire, acquérir et mettre en œuvre
Description du processus
Gérer tous les programmes et projets du portefeuille d'investissement en accord avec la stratégie de l'entreprise et de manière coordonnée. Initier, planifier, contrôler et exécuter des programmes et des projets, et clôturer par un
Réalisez des avantages commerciaux et réduisez le risque de retards inattendus, de coûts et d'érosion de la valeur en améliorant les communications et l'implication des entreprises et des utilisateurs finaux, en
garantissant la valeur et la qualité des livrables du projet et en maximisant leur contribution au portefeuille d'investissements et de services.
01 Alignement de la stratégie informatique et commerciale • Pourcentage d'objectifs et d'exigences stratégiques de l'entreprise pris en charge par les objectifs
stratégiques
informatiques. • Niveau de satisfaction des parties prenantes quant à la portée du portefeuille prévu de
programmes et de services.
en
• Pourcentage de facteurs de valeur informatique mappés aux facteurs de valeur commerciale
04 Gestion des risques métiers liés à l’informatique • Pourcentage de processus métier critiques, de services informatiques et de programmes métiers
• Nombre d'incidents informatiques importants qui n'ont pas été identifiés lors de l'évaluation des risques.
et
• Pourcentage d'évaluations des risques d'entreprise, y compris les risques liés à l'informatique
05 Bénéfices réalisés grâce au portefeuille d'investissements et de services informatiques • Pourcentage d'investissements informatiques dont la réalisation des avantages est surveillée tout au long du
ou dépassé
13 Livraison de programmes apportant des bénéfices, dans les délais et dans les limites du budget, et • Nombre de programmes/projets dans les délais et dans les limites du budget
répondant aux exigences et aux normes de qualité • Pourcentage de parties prenantes satisfaites de la qualité du programme/projet
1. Les parties prenantes concernées sont impliquées dans les programmes et les projets. • Pourcentage de parties prenantes effectivement engagées
• Niveau de satisfaction des parties prenantes à l'égard de l'implication
2. La portée et les résultats des programmes et des projets sont viables et • Pourcentage de parties prenantes approuvant les besoins de l'entreprise, sa portée, les résultats
3. Les plans de programme et de projet sont susceptibles d'atteindre les résultats • Pourcentage d'activités alignées sur la portée et les résultats attendus
escomptés. • Pourcentage de programmes actifs entrepris sans cartes de valeurs de programme valides et mises à
jour
4. Les activités du programme et du projet sont exécutées conformément • Fréquence des examens de statut
• Pourcentage d'approbations des parties prenantes pour les examens par étapes des
programmes actifs
5. Il existe suffisamment de ressources pour le programme et le projet pour réaliser les activités • Nombre de problèmes de ressources (par exemple, compétences, capacité)
6. Les bénéfices attendus du programme et du projet sont atteints et acceptés. • Pourcentage des bénéfices attendus obtenus
• Niveau de satisfaction des parties prenantes exprimé lors de la revue de clôture du projet
119
Machine Translated by Google
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
id
s'l
coaR
d
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
rxetaC
E
S
dl
riC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
iuéontpiivtssnitee
eéé
sessitrnpaeertgnie
tjoroelP
itesrlueaaB
g
d
vl
ssu
sé
nsqe
o'C
d
tiduA
astésrierpcitoo
taéo
tm
laedrtiécsn
tm
sm
pv
tnaio
erutceltiiehscnra
im
ticm
iem
esirpséeetriu
o
seelbusaqnsio
iap
tneemlbeapspnoole
uo
rqtsitnianom
a
/semme)aésgrtg
aue
n
srnuo
nm
étué
nm
noitraum
rue
uro
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
rule
tn
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
BAI01.01
Maintenir une approche
IACCR R. C C RCC
standard pour la gestion des
programmes et des projets.
BAI01.02
IRCCARRRR CCCC CCCC
Lancer un programme.
BAI01.03
Gérer l'engagement des ACRRRCRI je RCCC CCCC
parties prenantes.
BAI01.04
Élaborer et maintenir le CASC RRRC CCCCCC CCCC
plan du programme.
BAI01.05
Lancer et exécuter le CCAR RRIC CCRRRR CCCC
programme.
BAI01.06
Surveiller, contrôler et rendre ACIRRRC CRR CC C
compte des résultats du programme.
BAI01.07
Démarrer et initier des projets RRIAR CCRC CCCC
cœ
,eriruirreétsruvtntqueontm
C
a
e
BAI01.08
CIAR CCCCCCCCCC
Planifier des projets.
BAI01.09
Gérer la qualité des RRIAR C CCCCRC CCCC
programmes et des projets.
BAI01.10
BAI01.11
IRIAR C CRCCRC CCCC
Surveiller et contrôler les projets.
BAI01.12
Gérer les ressources du projet et RIAR C CCCCRC CCCC
les lots de travaux.
BAI01.13
CCIAR C CCCCCC CCCC
Fermer un projet ou une itération.
BAI01.14
ICCCARIRRR RCCC CCCC
Fermer un programme.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
120
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
BAI01 Pratiques de processus, entrées/sorties et activités
Maintenir une approche standard pour la gestion des Depuis Description Description À
en
APO10.04 Risque de livraison
fournisseur identifié
Activités
et
1. Maintenir et appliquer une approche standard de gestion de programmes et de projets alignée sur l'environnement spécifique de l'entreprise et avec de bonnes
pratique basée sur un processus défini et l’utilisation d’une technologie appropriée. Veiller à ce que l'approche couvre le cycle de vie complet et les disciplines à suivre, y compris la gestion de la portée,
des ressources, des risques, des coûts, de la qualité, du temps, de la communication, de l'implication des parties prenantes, des achats, du contrôle des changements, de l'intégration et de la
réalisation des avantages.
2. Mettre à jour l'approche de gestion du programme et du projet en fonction des enseignements tirés de son utilisation.
Activités
1. Convenir du parrainage du programme et nommer un conseil/comité du programme composé de membres ayant un intérêt stratégique dans le programme.
sera responsable de la prise de décision en matière d'investissement, sera considérablement influencé par le programme et sera nécessaire pour permettre la réalisation du changement.
2. Confirmer le mandat du programme auprès des sponsors et des parties prenantes. Articuler les objectifs stratégiques du programme, les stratégies potentielles pour
la prestation, l'amélioration et les avantages qui devraient en résulter, ainsi que la manière dont le programme s'intègre à d'autres initiatives.
3. Élaborer une analyse de rentabilisation détaillée pour un programme, si cela est justifié. Impliquer toutes les parties prenantes clés pour développer et documenter une compréhension complète des
résultats attendus de l'entreprise, de la manière dont ils seront mesurés, de la portée complète des initiatives requises, des risques impliqués et de l'impact sur tous les aspects de l'entreprise. Identifiez
et évaluez des plans d'action alternatifs pour atteindre les résultats souhaités par l'entreprise.
4. Élaborer un plan de réalisation des avantages qui sera géré tout au long du programme pour garantir que les avantages prévus ont toujours des propriétaires et sont atteints, durables et optimisés.
5. Préparer et soumettre pour approbation de principe l'analyse de rentabilité initiale (conceptuelle) du programme, en fournissant des informations essentielles à la prise de décision.
concernant le but, la contribution aux objectifs commerciaux, la valeur attendue créée, les délais, etc.
6. Nommer un responsable dédié au programme, doté des compétences et aptitudes correspondantes pour gérer efficacement le programme.
et efficacement.
121
Machine Translated by Google
planifier, identifier et impliquer les parties prenantes et gérer leurs Résultats des évaluations de Interne
Activités
1. Planifier la manière dont les parties prenantes à l'intérieur et à l'extérieur de l'entreprise seront identifiées, analysées, engagées et gérées tout au long du cycle de vie des projets.
2. Identifier, impliquer et gérer les parties prenantes en établissant et en maintenant des niveaux appropriés de coordination, de communication et de liaison pour garantir leur implication dans le
programme/projet.
3. Mesurer l'efficacité de l'engagement des parties prenantes et prendre les mesures correctives nécessaires.
Activités
1. Définir et documenter le plan de programme couvrant tous les projets, y compris ce qui est nécessaire pour apporter des changements dans l'entreprise ; son image, ses produits et services ;
processus d'affaires; compétences relationnelles et chiffres ; les relations avec les parties prenantes, les clients, les fournisseurs et autres ; les besoins technologiques ; et la restructuration
organisationnelle nécessaire pour atteindre les résultats d'entreprise attendus du programme.
2. Spécifiez les ressources et les compétences requises pour exécuter le projet, y compris les chefs de projet et les équipes de projet ainsi que les ressources commerciales. Précisez le
financement, le coût, le calendrier et les interdépendances de plusieurs projets. Préciser les bases de l'acquisition et de l'affectation de membres du personnel et/ou de soustraitants compétents
aux projets. Définir les rôles et responsabilités de tous les membres de l’équipe et des autres parties intéressées.
3. Attribuez clairement et sans ambiguïté les responsabilités pour chaque projet, y compris la réalisation des avantages, le contrôle des coûts, la gestion des risques et la coordination des
activités du projet.
4. Veiller à ce qu'il y ait une communication efficace des plans de programme et des rapports d'avancement entre tous les projets et avec l'ensemble du programme. Assurezvous que toutes les
modifications apportées aux plans individuels sont reflétées dans les autres plans du programme d'entreprise.
5. Maintenir le plan du programme pour s'assurer qu'il est à jour et reflète l'alignement avec les objectifs stratégiques actuels, les progrès réels et le matériel.
changements dans les résultats, les avantages, les coûts et les risques. Demandez à l'entreprise de définir les objectifs et de prioriser le travail tout au long pour garantir que le programme tel que
conçu répondra aux exigences de l'entreprise. Examiner l'avancement des projets individuels et ajuster les projets si nécessaire pour respecter les jalons prévus.
6. Mettre à jour et maintenir tout au long de la vie économique du programme l'analyse de rentabilisation et un registre des avantages pour identifier et définir les principaux avantages découlant de
la mise en œuvre du programme.
7. Préparer un budget de programme qui reflète l'ensemble des coûts du cycle de vie économique et les avantages financiers et non financiers associés.
122
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
BAI01 Pratiques de processus, entrées/sorties et activités (suite)
d'itération ou de sortie pour rendre compte des progrès du programme des objectifs du programme
et être en mesure de plaider en faveur du financement jusqu'à l'examen
Plans d'audit du programme MEA02.06
d'étape ou de sortie suivant.
Activités
1. Planifier, financer et commander les projets nécessaires pour atteindre les résultats du programme, sur la base de l'examen du financement et des approbations à chaque fois.
examen de la porte d'étape.
en
2. Établir des étapes convenues du processus de développement (points de contrôle de développement). À la fin de chaque étape, facilitez les discussions formelles sur les critères approuvés avec les parties
prenantes. Après avoir terminé avec succès les évaluations des fonctionnalités, des performances et de la qualité, et avant de finaliser les activités de l'étape, obtenez l'approbation et la signature
formelles de toutes les parties prenantes et du sponsor/propriétaire du processus métier.
3. Entreprendre un processus de réalisation des bénéfices tout au long du programme pour garantir que les bénéfices prévus ont toujours des propriétaires et sont susceptibles d'être atteints, durables et
et
optimisés. Surveillez la fourniture des avantages et établissez des rapports par rapport aux objectifs de performance au stade de l'étape ou des examens d'itération et de publication. Effectuer une analyse
des causes profondes des écarts par rapport au plan et identifier et prendre en charge toutes les mesures correctives nécessaires.
4. Gérer chaque programme ou projet pour garantir que les activités de prise de décision et de livraison sont axées sur la valeur en générant des avantages pour l'entreprise.
et les objectifs de manière cohérente, en traitant des risques et en répondant aux exigences des parties prenantes.
5. Mettre en place un ou plusieurs bureaux de gestion de programme/projet et planifier des audits, des examens de la qualité, des examens de phase/étape et des examens des avantages réalisés.
BAI01.06 Surveiller, contrôler et rendre compte des résultats Depuis Description Description À
du programme.
EDM02.03 Commentaires sur les performances Résultats des évaluations de MEA01.03
Surveiller et contrôler les performances du programme (livraison de la
du portefeuille et du programme performance du programme
solution) et de l'entreprise (valeur/résultat) par rapport au plan tout au
long du cycle de vie économique complet de l'investissement. APO05.02 Attentes de rendement Résultats de l'examen des portes d'étape EDM02.01
Signaler cette performance au comité de pilotage du programme et des investissements APO02.04
du portefeuille d'investissement
améliorer la réalisation
des bénéfices
• Résultats des avantages
et communications associées
ressources
• Analyses du manque de
ressources
modification
123
Machine Translated by Google
BAI01.06 Activités
1. Surveiller et contrôler les performances du programme global et des projets au sein du programme, y compris les contributions de l'entreprise et de l'informatique aux projets, et rendre compte en
temps opportun, de manière complète et précise. Les rapports peuvent inclure le calendrier, le financement, la fonctionnalité, la satisfaction des utilisateurs, les contrôles internes et l'acceptation des
responsabilités.
2. Surveiller et contrôler les performances par rapport aux stratégies et objectifs de l'entreprise et de l'informatique, et rendre compte à la direction des changements d'entreprise mis en œuvre,
des avantages réalisés par rapport au plan de réalisation des avantages et de l'adéquation du processus de réalisation des avantages.
3. Surveiller et contrôler les services, actifs et ressources informatiques créés ou modifiés à la suite du programme. Notez les dates de mise en œuvre et de mise en service.
Faire rapport à la direction sur les niveaux de performance, la prestation de services soutenue et la contribution à la valeur.
4. Gérer les performances du programme par rapport à des critères clés (par exemple, portée, calendrier, qualité, réalisation des avantages, coûts, risques, rapidité), identifier les écarts par rapport
le plan et prendre des mesures correctives en temps opportun, si nécessaire.
5. Surveiller les performances de chaque projet liées à la fourniture des capacités attendues, au calendrier, à la réalisation des avantages, aux coûts, aux risques ou à d'autres mesures afin
d'identifier les impacts potentiels sur les performances du programme. Prendre des mesures correctives en temps opportun si nécessaire.
6. Mettre à jour les portefeuilles informatiques opérationnels reflétant les changements résultant du programme dans les portefeuilles de services, d'actifs ou de ressources informatiques pertinents.
7. Conformément aux critères d'examen par étape, de publication ou d'itération, entreprendre des examens pour rendre compte de l'avancement du programme afin que la direction
peut prendre des décisions de nonparticipation ou d'ajustement et approuver un financement supplémentaire jusqu'à l'étape, la libération ou l'itération suivante.
BAI01.07 Démarrer et initier des projets au sein d'un programme. Depuis Description Description À
Activités
1. Pour créer une compréhension commune de la portée du projet parmi les parties prenantes, fournir aux parties prenantes une déclaration écrite claire définissant la nature, la portée et les avantages
de chaque projet.
,eriruirreétsruvtntqueoncœ
tm
C
a
e
2. Veiller à ce que chaque projet ait un ou plusieurs sponsors dotés d'une autorité suffisante pour gérer l'exécution du projet dans le cadre du programme global.
3. Veiller à ce que les principales parties prenantes et sponsors au sein de l'entreprise et du département informatique conviennent et acceptent les exigences du projet, y compris la définition des
critères de réussite (acceptation) du projet et indicateurs de performance clés (KPI).
4. Assurezvous que la définition du projet décrit les exigences d'un plan de communication du projet qui identifie les projets internes et externes.
communications.
5. Avec l'approbation des parties prenantes, maintenir la définition du projet tout au long du projet, reflétant l'évolution des exigences.
6. Pour suivre l'exécution d'un projet, mettre en place des mécanismes tels que des rapports réguliers et des examens d'étape, de publication ou de phase en temps opportun.
avec l'approbation appropriée.
Activités
1. Élaborer un plan de projet qui fournit des informations permettant à la direction de contrôler progressivement l'avancement du projet. Le plan doit inclure des détails sur
les livrables du projet et les critères d'acceptation, les ressources et responsabilités internes et externes requises, les structures de répartition du travail et les lots de travaux clairs, les estimations
des ressources requises, les jalons/plan/phases de version, les dépendances clés et l'identification d'un chemin critique.
2. Maintenir le plan de projet et tous les plans dépendants (par exemple, plan de risque, plan de qualité, plan de réalisation des avantages) pour garantir qu'ils sont à jour et reflètent les progrès réels et
les changements importants approuvés.
3. Veiller à ce qu'il y ait une communication efficace des plans de projet et des rapports d'avancement entre tous les projets et avec l'ensemble du programme. Assurezvous que toute modification
apportée aux plans individuels est reflétée dans les autres plans.
4. Déterminer les activités, les interdépendances ainsi que la collaboration et la communication requises entre plusieurs projets au sein d'un programme.
5. Assurezvous que chaque étape est accompagnée d'un livrable important nécessitant un examen et une approbation.
6. Établir une base de référence pour le projet (par exemple, coût, calendrier, portée, qualité) qui est correctement examinée, approuvée et intégrée au plan intégré.
plan de projet.
124
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
BAI01 Pratiques de processus, entrées/sorties et activités (suite)
Gérer la qualité des programmes et des projets. Depuis Description Plans Description À
les plans intégrés du programme et du projet. gestion de la qualité la vérification indépendante des
livrables
Activités
1. Identifier les tâches et les pratiques d'assurance requises pour soutenir l'accréditation des systèmes nouveaux ou modifiés pendant la planification des programmes et des projets, et les inclure dans
les plans intégrés. Veiller à ce que les tâches fournissent l'assurance que les contrôles internes et les solutions de sécurité répondent aux exigences définies.
en
2. Fournir une assurance qualité pour les livrables du projet, identifier la propriété et les responsabilités, les processus d'examen de la qualité, les critères de réussite et
indicateurs de performance.
3. Définir toutes les exigences en matière de validation et de vérification indépendantes de la qualité des livrables du plan.
4. Effectuer les activités d'assurance et de contrôle de la qualité conformément au plan de gestion de la qualité et au système de gestion de la qualité.
et
Pratique de gestion Contributions Les sorties
BAI01.10 Gérer les risques liés aux programmes et aux projets. Depuis Description Description À
indésirables. Les risques auxquels est confrontée la gestion des • Registre des risques liés l'évaluation des risques du projet
Activités
1. Établir une approche formelle de gestion des risques du projet alignée sur le cadre GRE. Veiller à ce que l'approche comprenne l'identification, l'analyse,
réagir, atténuer, surveiller et contrôler les risques.
2. Attribuer à un personnel dûment qualifié la responsabilité d'exécuter le processus de gestion des risques de projet de l'entreprise au sein d'un projet et veiller à ce que celuici soit intégré dans les
pratiques de développement de solutions. Pensez à confier ce rôle à une équipe indépendante, surtout si un point de vue objectif est requis ou si un projet est considéré comme critique.
3. Effectuer l'évaluation des risques du projet en identifiant et en quantifiant les risques en continu tout au long du projet. Gérer et communiquer les risques
de manière appropriée au sein de la structure de gouvernance du projet.
4. Réévaluer périodiquement les risques du projet, y compris au lancement de chaque phase majeure du projet et dans le cadre des évaluations des demandes de changements majeurs.
5. Identifiez les propriétaires pour les actions visant à éviter, accepter ou atténuer les risques.
6. Tenir et examiner un registre des risques du projet de tous les risques potentiels du projet, ainsi qu'un journal d'atténuation des risques de tous les problèmes du projet et leur résolution. Analyser le journal
périodiquement pour connaître les tendances et les problèmes récurrents afin de garantir que les causes profondes sont corrigées.
125
Machine Translated by Google
Activités
1. Établir et utiliser un ensemble de critères de projet comprenant, sans toutefois s'y limiter, la portée, le calendrier, la qualité, le coût et le niveau de risque.
2. Mesurer la performance du projet par rapport aux principaux critères de performance du projet. Analyser les écarts par rapport aux critères de performance clés du projet établis pour cause et
évaluer les effets positifs et négatifs sur le programme et ses projets composants.
3. Faire rapport aux principales parties prenantes identifiées sur les progrès du projet au sein du programme, les écarts par rapport aux critères de performance clés du projet établis, et
effets positifs et négatifs potentiels sur le programme et ses projets constitutifs.
4. Surveiller les changements apportés au programme et examiner les principaux critères de performance du projet existants pour déterminer s'ils représentent toujours des mesures valables de
progrès.
5. Documenter et soumettre tous les changements nécessaires aux principales parties prenantes du programme pour approbation avant adoption. Communiquer les critères révisés
aux chefs de projet pour utilisation dans les futurs rapports de performance.
6. Recommander et surveiller les mesures correctives, le cas échéant, conformément au cadre de gouvernance du programme et du projet.
7. Obtenez l'approbation et l'approbation des livrables produits à chaque itération, version ou phase de projet auprès des responsables et des utilisateurs désignés dans les fonctions
commerciales et informatiques concernées.
8. Fonder le processus d'approbation sur des critères d'acceptation clairement définis et convenus par les principales parties prenantes avant le début des travaux sur la phase du projet ou
itération livrable.
9. Évaluer le projet à des étapes, versions ou itérations majeures convenues et prendre des décisions formelles de démarrage ou d'arrêt basées sur des critères critiques prédéterminés.
critères de succès.
10. Établir et exploiter un système de contrôle des changements pour le projet afin que tous les changements apportés à la référence du projet (par exemple, coût, calendrier, portée, qualité) soient
être examiné, approuvé et intégré de manière appropriée dans le plan de projet intégré, conformément au cadre de gouvernance du programme et du projet.
,eriruirreétsruvtntqueoncœ
tm
C
a
e
BAI01.12 Gérer les ressources du projet et les lots de Depuis Description Description À
travaux.
Besoins en ressources APO07.05
Gérer les lots de travaux du projet en imposant des exigences
du projet APO07.06
formelles concernant l'autorisation et l'acceptation des lots de
travaux, ainsi qu'en attribuant et en coordonnant les ressources Rôles et responsabilités Interne
commerciales et informatiques appropriées. du projet
Activités
1. Identifier les besoins en ressources commerciales et informatiques pour le projet et cartographier clairement les rôles et responsabilités appropriés, avec escalade et prise de décision
les autorités étaient d’accord et comprises.
2. Identifier les compétences requises et les délais requis pour toutes les personnes impliquées dans les phases du projet en relation avec les rôles définis. Dotez les rôles en fonction des informations disponibles sur
3. Utiliser des ressources expérimentées en matière de gestion de projet et de chef d'équipe possédant des compétences adaptées à la taille, à la complexité et au risque du projet.
4. Considérez et définissez clairement les rôles et responsabilités des autres parties impliquées, notamment les finances, les services juridiques, les achats, les ressources humaines, l'audit interne et
conformité.
5. Définir clairement et convenir de la responsabilité de l'approvisionnement et de la gestion des produits et services tiers, et gérer les relations.
7. Identifiez les lacunes du plan de projet et fournissez des commentaires au chef de projet pour y remédier.
126
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
BAI01 Pratiques de processus, entrées/sorties et activités (suite)
Activités
1. Définir et appliquer les étapes clés de la clôture du projet, y compris les examens postmise en œuvre qui évaluent si un projet a atteint les résultats souhaités.
et des avantages.
en
2. Planifier et exécuter des examens postmise en œuvre pour déterminer si les projets ont apporté les avantages attendus et pour améliorer la méthodologie du processus de gestion de projet
et de développement de systèmes.
3. Identifier, attribuer, communiquer et suivre toutes les activités inachevées nécessaires pour atteindre les résultats et avantages prévus du projet de programme.
4. Régulièrement et à la fin du projet, recueillir auprès des participants au projet les leçons apprises. Passezles en revue ainsi que les activités clés qui ont conduit à
et
apporté des avantages et de la valeur. Analyser les données et faire des recommandations pour améliorer le projet en cours ainsi que la méthode de gestion de projet pour les projets futurs.
5. Obtenir l'acceptation des parties prenantes sur les livrables du projet et transférer la propriété.
Activités
1. Amener le programme à une clôture ordonnée, y compris l'approbation formelle, la dissolution de l'organisation du programme et de la fonction de soutien, la validation des livrables et la
communication du retrait.
2. Examiner et documenter les leçons apprises. Une fois le programme retiré, supprimezle du portefeuille d'investissement actif.
3. Mettez en place des responsabilités et des processus pour garantir que l'entreprise continue d'optimiser la valeur du service, de l'actif ou des ressources. Supplémentaire
des investissements pourraient être nécessaires à un moment ultérieur pour garantir que cela se produise.
PMBOK
PRINCE2
127
Machine Translated by Google
128
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
Domaine : Gestion
BAI02 Gérer la définition des exigences Domaine : Construire, acquérir et mettre en œuvre
Description du processus
Identifiez les solutions et analysez les exigences avant l'acquisition ou la création pour garantir qu'elles sont conformes aux exigences stratégiques de l'entreprise couvrant les processus commerciaux, les applications, les
informations/données, l'infrastructure et les services. Coordonner avec les parties prenantes concernées l'examen des options réalisables, y compris les coûts et avantages relatifs, l'analyse des risques et l'approbation des
Créez des solutions optimales réalisables qui répondent aux besoins de l’entreprise tout en minimisant les risques.
01 Alignement de la stratégie informatique et commerciale • Pourcentage d'objectifs et d'exigences stratégiques de l'entreprise pris en charge par
Objectifs stratégiques
informatiques • Niveau de satisfaction des parties prenantes quant à la portée du portefeuille prévu de
programmes et de services
en
• Pourcentage de facteurs de valeur informatique mappés aux facteurs de valeur commerciale
07 Livraison de services informatiques en adéquation avec les besoins métiers • Nombre d'interruptions d'activité dues à des incidents de service informatique
et
• Pourcentage d'utilisateurs satisfaits de la qualité de la prestation des services informatiques
12 Activation et prise en charge des processus métier en intégrant des applications et des • Nombre d'incidents de traitement métier causés par des erreurs d'intégration technologique
• Nombre de changements de processus métier qui doivent être retardés ou retravaillés en raison
1. Les exigences fonctionnelles et techniques de l’entreprise reflètent les besoins et les attentes de l’entreprise. • Pourcentage d'exigences retravaillées en raison d'un nonalignement avec les besoins et les attentes de
l'entreprise.
2. La solution proposée répond aux exigences fonctionnelles, techniques et de conformité de • Pourcentage d'exigences satisfaites par la solution proposée
l'entreprise.
3. Les risques associés aux exigences ont été pris en compte dans la solution proposée. • Nombre d'incidents non identifiés comme étant à risque
4. Les exigences et les solutions proposées répondent aux objectifs de l'analyse de rentabilisation (valeur • Pourcentage des objectifs de l'analyse de rentabilisation atteints par la solution proposée
attendue et coûts probables). • Pourcentage de parties prenantes n'approuvant pas la solution par rapport à l'analyse de rentabilisation
129
Machine Translated by Google
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
R
d'il
R
id
s'l
R
d
acl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
prsodeefan
toirpuoscfeneéa
coa
C
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
toirpuoscfeneéa
rxeta
iuéontpiivtssnitee
eéé
sessitrnpaeertgnie
itesrlueaaB
g
d
vl
ssu
sé
nsqe
o'C
d
tiduA
astésrierpcitoo
taéo
tm
laedrtiécsn
tm
sm
pv
tnaio
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
seelbusaqnsio
iap
tneemlbeapspnoole
uo
rqtsitnianom
ae
sgrtg
aue
n
srnuo
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
/semme)aé
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
BAI02.01
Définir et maintenir les exigences
IR RA C CCCRRC CCCC
fonctionnelles et techniques
de l'entreprise.
BAI02.02
Réaliser une étude de faisabilité FR RA CCCCRC CCCC
et formuler des solutions alternatives.
BAI02.03
FR RA R. CCRCRR CCCC
Gérer le risque lié aux exigences.
BAI02.04
Obtenir l'approbation des exigences FR RA CCCCCC CCCC
et des solutions.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
de solutions
130
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
BAI02 Pratiques de processus, entrées/sorties et activités (suite)
BAI02.01 Activités
1. Définir et mettre en œuvre une procédure de définition et de maintenance des exigences ainsi qu'un référentiel d'exigences adaptés à la taille, à la complexité, aux objectifs et au risque de
l'initiative que l'entreprise envisage d'entreprendre.
2. Exprimer les exigences de l'entreprise en termes de manière dont l'écart entre les capacités commerciales actuelles et souhaitées doit être comblé et comment un rôle sera
interagir avec et utiliser la solution.
3. Tout au long du projet, obtenir, analyser et confirmer que toutes les exigences des parties prenantes, y compris les critères d'acceptation pertinents, sont prises en compte, capturées, hiérarchisées et
enregistrées d'une manière compréhensible pour les parties prenantes, les sponsors commerciaux et le personnel technique de mise en œuvre, en reconnaissant que les exigences peuvent changer et
deviendront plus détaillés au fur et à mesure de leur mise en œuvre.
4. Spécifier et hiérarchiser les exigences informationnelles, fonctionnelles et techniques en fonction des exigences confirmées des parties prenantes. Incluez des exigences de contrôle des informations dans
les processus métier, les processus automatisés et les environnements informatiques pour gérer les risques liés aux informations et respecter les lois, réglementations et contrats commerciaux.
5. Validez toutes les exigences grâce à des approches telles que l'examen par les pairs, la validation du modèle ou le prototypage opérationnel.
en
6. Confirmer l'acceptation des aspects clés des exigences, y compris les règles d'entreprise, les contrôles de l'information, la continuité des activités, les aspects juridiques et réglementaires.
conformité, auditabilité, ergonomie, opérabilité et convivialité, sécurité et documentation justificative.
7. Suivre et contrôler la portée, les exigences et les changements tout au long du cycle de vie de la solution tout au long du projet afin de comprendre les
la solution évolue.
et
8. Tenir compte des exigences relatives aux politiques et normes d'entreprise, à l'architecture d'entreprise, aux plans informatiques stratégiques et tactiques, aux processus commerciaux et informatiques
internes et externalisés, aux exigences de sécurité, aux exigences réglementaires, aux compétences des personnes, à la structure organisationnelle, à l'analyse de rentabilisation et à la technologie
habilitante.
BAI02.02 Réaliser une étude de faisabilité et formuler des solutions Depuis Description Description À
alternatives.
APO03.05 Conseils pour le développement Rapport d'étude de faisabilité BAI03.02
Réaliser une étude de faisabilité des solutions alternatives
de solutions BAI03.03
potentielles, évaluer leur viabilité et sélectionner l’option privilégiée. Le cas
échéant, mettez en œuvre l’option sélectionnée à titre pilote pour déterminer APO10.01 Catalogue fournisseurs Acquisition de haut niveau/ APO10.02
Activités
1. Définir et exécuter une étude de faisabilité, un projet pilote ou une solution de travail de base qui décrit de manière claire et concise les solutions alternatives qui satisferont le
exigences commerciales et fonctionnelles. Inclure une évaluation de leur faisabilité technologique et économique.
2. Identifier les actions requises pour l'acquisition ou le développement de solutions basées sur l'architecture d'entreprise, et prendre en compte la portée et/ou le temps et/ou
limites budgétaires.
3. Examinez les solutions alternatives avec toutes les parties prenantes et sélectionnez la plus appropriée en fonction de critères de faisabilité, y compris le risque et le coût.
4. Traduire le plan d'action préféré en un plan d'acquisition/développement de haut niveau identifiant les ressources à utiliser et les étapes nécessitant une
décision aller/nonaller.
131
Machine Translated by Google
Activités
1. Impliquer les parties prenantes pour créer une liste d'exigences potentielles en matière de qualité, fonctionnelles et techniques, ainsi que des risques liés au traitement de l'information.
(en raison, par exemple, du manque d'implication des utilisateurs, d'attentes irréalistes, des développeurs ajoutant des fonctionnalités inutiles).
2. Analyser et hiérarchiser les risques liés aux exigences en fonction de leur probabilité et de leur impact. Le cas échéant, déterminez les impacts sur le budget et le calendrier.
3. Identifier les moyens de contrôler, d'éviter ou d'atténuer le risque lié aux exigences par ordre de priorité.
Activités
1. S'assurer que le sponsor commercial ou le propriétaire du produit prend la décision finale concernant le choix de la solution, l'approche d'acquisition et la conception de haut niveau, conformément
à l'analyse de rentabilisation. Coordonner les commentaires des parties prenantes concernées et obtenir l'approbation des autorités commerciales et techniques appropriées (par exemple,
propriétaire des processus métier, architecte d'entreprise, responsable des opérations, sécurité) pour l'approche proposée.
2. Obtenez des évaluations de qualité tout au long et à la fin de chaque étape clé du projet, itération ou version pour évaluer les résultats par rapport aux critères d'acceptation d'origine. Demandez
aux sponsors commerciaux et aux autres parties prenantes d’approuver chaque évaluation qualité réussie.
,eriruirreétsruvtntqueoncœ
tm
C
a
e
132
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
Domaine : Gestion
BAI03 Gérer l'identification et la création de solutions Domaine : Construire, acquérir et mettre en œuvre
Description du processus
Établir et maintenir des solutions identifiées conformément aux exigences de l'entreprise couvrant la conception, le développement, l'approvisionnement/l'approvisionnement et le partenariat avec les fournisseurs/
vendeurs. Gérer la configuration, la préparation des tests, les tests, la gestion des exigences et la maintenance des processus métier, des applications, des informations/données, de l'infrastructure et des services.
07 Livraison de services informatiques en adéquation avec les besoins métiers • Nombre d'interruptions d'activité dues à des incidents de service informatique
• Pourcentage de parties prenantes de l'entreprise satisfaites que la prestation de services informatiques
en
Objectifs et mesures du processus
1. La conception de la solution, y compris les composants pertinents, répond aux besoins de l'entreprise, • Nombre de conceptions de solutions retravaillées en raison d'un nonalignement avec
et
s'aligne sur les normes et répond à tous les risques identifiés. les exigences
• Temps nécessaire pour approuver que le livrable de conception réponde aux exigences
2. La solution est conforme à la conception, aux normes organisationnelles et dispose d'un contrôle, d'une • Nombre d'exceptions de solution à la conception constatées lors des revues d'étape
sécurité et d'une auditabilité appropriés.
3. La solution est de qualité acceptable et a été testée avec succès. • Nombre d'erreurs trouvées lors des tests
• Temps et efforts pour terminer les tests
4. Les modifications approuvées aux exigences sont correctement intégrées dans • Nombre de modifications approuvées suivies qui génèrent de nouvelles erreurs
la solution.
5. Les activités de maintenance répondent avec succès aux besoins commerciaux et • Nombre de demandes de maintenance restées insatisfaites
besoins technologiques.
133
Machine Translated by Google
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
éaR
id
s'l
oaR
d
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
éaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
toirpuoscfene
nitee
c
eéé
sessitrnpaeertgnie
toirpuoscfene
aaB
g
d
vl
ssu
sé
nsqe
o'C
d
tiduA
astésrierpcitoo
taéo
tm
laedrtiécsn
iuéontpiivtss
itesrlue
tm
sm
pv
tnaio
erutceltiiehscnra
im
ticm
iem
esirpséeetriu
o
seelbusaqnsio
iap
tneemlbeapspnoole
uo
rqtsitnianom
a
/semme)aésgrtg
aue
n
uo
nm
étué
nm
noitraum
tnrue
uro
srn
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
BAI03.01
R. IR CCCICC CCCC
Concevoir des solutions de haut niveau.
BAI03.02
BAI03.03
R. IR CCCICC CCCC
Développer les composants de la solution.
BAI03.04
IR je je CCAIRRRCCCC
Acquérir les composants de la solution.
BAI03.05
R. IR CCCICC CCCC
Créer des solutions.
BAI03.06
IR RA CCCIRC CCCC
Effectuer l'assurance qualité.
BAI03.07
R. IA CCI FR €€€€
Préparezvous aux tests de solution.
BAI03.08
R. IA je je je FR je je je je
BAI03.09
BAI03.10
R. R. CCCICC CCCC
Maintenir les solutions.
BAI03.11
Définir les services informatiques et je je je je IRICCCAI je
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
134
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
BAI03 Pratiques de processus, entrées/sorties et activités
en
prenantes
et
plan de développement
Activités
1. Établir une spécification de conception de haut niveau qui traduit la solution proposée en processus métier, services de support, applications,
une infrastructure et des référentiels d'informations capables de répondre aux exigences commerciales et d'architecture d'entreprise.
2. Impliquer des utilisateurs et des spécialistes informatiques dûment qualifiés et expérimentés dans le processus de conception pour garantir que la conception fournit une solution qui
utilise de manière optimale les capacités informatiques proposées pour améliorer le processus métier.
3. Créer une conception conforme aux normes de conception de l'organisation, à un niveau de détail approprié à la solution et à la méthode de développement et cohérente avec les stratégies
commerciales, d'entreprise et informatiques, l'architecture d'entreprise, le plan de sécurité et les lois et réglementations applicables. et les contrats.
4. Après l'approbation de l'assurance qualité, soumettez la conception finale de haut niveau aux parties prenantes du projet et au sponsor/propriétaire du processus métier, pour approbation sur la base
de critères convenus. Cette conception évoluera tout au long du projet à mesure que la compréhension se développera.
Assurezvous que la conception détaillée inclut les SLA et OLA domaines de base et
internes et externes. définition de l'architecture
de solutions
aux exigences
135
Machine Translated by Google
BAI03.02 Activités
1. Concevoir progressivement les activités des processus métier et les flux de travail qui doivent être exécutés en conjonction avec le nouveau système d'application pour
répondre aux objectifs de l'entreprise, y compris la conception des activités de contrôle manuel.
2. Concevoir les étapes de traitement des applications, y compris la spécification des types de transactions et des règles de traitement métier, des contrôles automatisés, des définitions de
données/objets métier, des cas d'utilisation, des interfaces externes, des contraintes de conception et d'autres exigences (par exemple, licences, juridiques, normes et internationalisation/
localisation).
3. Classez les entrées et sorties de données selon les normes d'architecture d'entreprise. Spécifier la conception de la collecte de données source, en documentant les données
les entrées (quelle que soit la source) et la validation pour le traitement des transactions ainsi que les méthodes de validation. Concevoir les résultats identifiés, y compris les sources de données.
7. Concevoir l'interface entre l'utilisateur et l'application système de manière à ce qu'elle soit facile à utiliser et autodocumentée.
8. Considérez l'impact du besoin de la solution en termes de performances de l'infrastructure, étant sensible au nombre d'actifs informatiques et à l'intensité de la bande passante.
et la sensibilité temporelle des informations.
9. Évaluer de manière proactive les faiblesses de la conception (par exemple, incohérences, manque de clarté, défauts potentiels) tout au long du cycle de vie, en identifiant les améliorations
si nécessaire.
10. Fournir la capacité de vérifier les transactions et d'identifier les causes profondes des erreurs de traitement.
Activités
1. Développer des processus métier, des services de support, des applications et des infrastructures, ainsi que des référentiels d'informations sur la base de spécifications et d'exigences
commerciales, fonctionnelles et techniques convenues.
2. Lorsque des fournisseurs tiers sont impliqués dans le développement de la solution, assurezvous que la maintenance, le support, les normes de développement et les licences sont respectés.
abordés et respectés dans les obligations contractuelles.
3. Suivre les demandes de changement et les examens de conception, de performance et de qualité, en garantissant la participation active de toutes les parties prenantes concernées.
4. Documenter tous les composants de la solution conformément aux normes définies et maintenir le contrôle des versions sur tous les composants développés et
documentation associée.
5. Évaluer l'impact de la personnalisation et de la configuration des solutions sur les performances et l'efficacité des solutions acquises et sur l'interopérabilité avec les applications, systèmes
d'exploitation et autres infrastructures existants. Adaptez les processus métier selon les besoins pour tirer parti des capacités de l'application.
6. Veiller à ce que les responsabilités liées à l'utilisation de composants d'infrastructure à haute sécurité ou à accès restreint soient clairement définies et comprises par ceux qui développent et
intègrent les composants d'infrastructure. Leur utilisation doit être surveillée et évaluée.
Activités
1. Créer et maintenir un plan pour l'acquisition de composants de solution, en tenant compte de la flexibilité future pour les ajouts de capacité, les coûts de transition, les risques et
mises à niveau tout au long de la durée de vie du projet.
2. Examiner et approuver tous les plans d'acquisition, en tenant compte des risques, des coûts, des avantages et de la conformité technique aux normes d'architecture d'entreprise.
3. Évaluer et documenter dans quelle mesure les solutions acquises nécessitent une adaptation des processus métier pour tirer parti des avantages de la solution acquise.
4. Suivre les approbations requises aux points de décision clés au cours des processus d'approvisionnement.
5. Enregistrer la réception de toutes les acquisitions d'infrastructures et de logiciels dans un inventaire des actifs.
136
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
BAI03 Pratiques de processus, intrants/extrants et activités (suite)
Activités
1. Intégrer et configurer les composants et les référentiels d'informations des solutions métiers et informatiques conformément aux spécifications détaillées et aux exigences de qualité.
Considérez le rôle des utilisateurs, des parties prenantes de l'entreprise et du propriétaire du processus dans la configuration des processus métier.
2. Compléter et mettre à jour les processus opérationnels et les manuels opérationnels, si nécessaire, pour tenir compte de toute personnalisation ou conditions particulières propres à
en
la mise en oeuvre.
3. Tenir compte de toutes les exigences pertinentes en matière de contrôle des informations lors de l'intégration et de la configuration des composants de la solution, y compris la mise en œuvre
de contrôles commerciaux, le cas échéant, dans des contrôles d'application automatisés afin que le traitement soit précis, complet, opportun, autorisé et vérifiable.
4. Mettre en œuvre des pistes d'audit lors de la configuration et de l'intégration du matériel et des logiciels d'infrastructure pour protéger les ressources et garantir la disponibilité
et
et l'intégrité.
5. Déterminez quand l'effet des personnalisations et des configurations cumulatives (y compris les modifications mineures qui n'ont pas été soumises aux spécifications de conception
formelles) nécessite une réévaluation de haut niveau de la solution et des fonctionnalités associées.
6. Assurer l'interopérabilité des composants de la solution avec des tests à l'appui, de préférence automatisés.
7. Configurer le logiciel d'application acquis pour répondre aux exigences de traitement de l'entreprise.
8. Définir des catalogues de services pour les groupes cibles internes et externes pertinents en fonction des exigences de l'entreprise.
exceptions et corrections
Activités
1. Définir un plan et des pratiques d'AQ comprenant, par exemple, la spécification des critères de qualité, les processus de validation et de vérification, la définition de la façon dont la qualité sera
examinés, les qualifications nécessaires des évaluateurs de la qualité, ainsi que les rôles et responsabilités pour l'atteinte de la qualité.
2. Surveiller fréquemment la qualité de la solution en fonction des exigences du projet, des politiques de l'entreprise, du respect des méthodologies de développement et de la qualité.
procédures de gestion et critères d’acceptation.
3. Utiliser l'inspection du code, les pratiques de développement basées sur les tests, les tests automatisés, l'intégration continue, les visites guidées et les tests des applications, le cas échéant. Faire
rapport sur les résultats du processus de surveillance et des tests à l'équipe de développement de logiciels d'application et à la direction informatique.
4. Surveiller toutes les exceptions de qualité et prendre toutes les mesures correctives. Tenir un registre de tous les examens, résultats, exceptions et corrections. Qualité de répétition
des examens, le cas échéant, en fonction de la quantité de retouches et d'actions correctives.
de support.
Activités
1. Créer un plan de test intégré et des pratiques adaptées à l'environnement de l'entreprise et aux plans technologiques stratégiques qui permettront
création d'environnements de test et de simulation appropriés pour aider à vérifier que la solution fonctionnera avec succès dans l'environnement réel et fournira les résultats escomptés et que les
contrôles sont adéquats.
2. Créer un environnement de test qui prend en charge toute la portée de la solution et reflète, aussi fidèlement que possible, les conditions réelles, y compris celles de l'entreprise.
processus et procédures, gamme d'utilisateurs, types de transactions et conditions de déploiement.
3. Créer des procédures de test qui s'alignent sur le plan et les pratiques et permettent d'évaluer le fonctionnement de la solution dans des conditions réelles. Veiller à ce que les procédures de test
évaluent l'adéquation des contrôles, sur la base de normes à l'échelle de l'entreprise qui définissent les rôles, les responsabilités et les critères de test, et soient approuvées par les parties
prenantes du projet et le sponsor/propriétaire du processus métier.
137
Machine Translated by Google
test. Identifiez, enregistrez et hiérarchisez les erreurs et les problèmes des résultats des tests
Activités
1. Entreprendre les tests des solutions et de leurs composants conformément au plan de test. Incluez des testeurs indépendants de l’équipe de solution, avec des propriétaires de processus métier et
des utilisateurs finaux représentatifs. Assurezvous que les tests sont effectués uniquement dans les environnements de développement et de test.
2. Utiliser des instructions de test clairement définies, telles que définies dans le plan de test, et considérer l'équilibre approprié entre les tests scriptés automatisés et
tests utilisateurs interactifs.
3. Entreprendre tous les tests conformément au plan et aux pratiques de test, y compris l'intégration des processus opérationnels et des composants de la solution informatique ainsi que des exigences non
fonctionnelles (par exemple, sécurité, interopérabilité, convivialité).
4. Identifier, enregistrer et classer les erreurs (par exemple mineures, significatives et critiques) pendant les tests. Répétez les tests jusqu'à ce que toutes les erreurs significatives aient été résolues.
Veiller à ce qu'une piste d'audit des résultats des tests soit conservée.
5. Enregistrer les résultats des tests et communiquer les résultats des tests aux parties prenantes conformément au plan de test.
BAI03.09 Gérer les modifications apportées aux exigences. Depuis Description Description À
Activités
1. Évaluer l'impact de toutes les demandes de changement de solution sur le développement de la solution, l'analyse de rentabilisation originale et le budget, et catégoriser et
,eriruirreétsruvtntqueoncœ
tm
C
a
e
priorisezles en conséquence.
2. Suivez les modifications apportées aux exigences, permettant à toutes les parties prenantes de surveiller, examiner et approuver les modifications. Veiller à ce que les résultats du changement
Le processus est entièrement compris et accepté par toutes les parties prenantes et le sponsor/propriétaire du processus métier.
3. Appliquer les demandes de modification, en maintenant l'intégrité de l'intégration et de la configuration des composants de la solution. Évaluez l'impact de toute mise à niveau majeure d'une solution
et classezla selon des critères objectifs convenus (tels que les exigences de l'entreprise), en fonction du résultat de l'analyse des risques impliqués (tels que l'impact sur les systèmes et processus
existants ou la sécurité), du coût. justification des prestations et autres exigences.
Activités
1. Élaborer et exécuter un plan de maintenance des composants de la solution qui comprend des examens périodiques par rapport aux besoins commerciaux et opérationnels.
exigences telles que la gestion des correctifs, les stratégies de mise à niveau, les risques, l’évaluation des vulnérabilités et les exigences de sécurité.
2. Évaluer l'importance d'une activité de maintenance proposée sur la conception, la fonctionnalité et/ou les processus opérationnels actuels de la solution. Tenez compte du risque, de l’impact sur les
utilisateurs et de la disponibilité des ressources. Assurezvous que les propriétaires des processus métier comprennent l’effet de la désignation des modifications comme maintenance.
3. En cas de changements majeurs dans les solutions existantes qui entraînent des changements significatifs dans les conceptions et/ou les fonctionnalités et/ou les processus commerciaux actuels,
suivre le processus de développement utilisé pour les nouveaux systèmes. Pour les mises à jour de maintenance, utilisez le processus de gestion des modifications.
4. Veiller à ce que le modèle et le volume des activités de maintenance soient analysés périodiquement pour détecter des tendances anormales indiquant des problèmes de qualité ou de
performances sousjacents, le coût/bénéfice d'une mise à niveau majeure ou un remplacement en lieu et place de la maintenance.
5. Pour les mises à jour de maintenance, utilisez le processus de gestion des modifications pour contrôler toutes les demandes de maintenance.
138
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
BAI03 Pratiques de processus, intrants/extrants et activités (suite)
portefeuille de services.
EDM04.01 Principes directeurs pour Définitions de services APO05.01
Définir et convenir des services informatiques nouveaux ou modifiés et
l’allocation des ressources et DSS01.03
des options de niveau de service. Documentez les définitions de service
des capacités
nouvelles ou modifiées et les options de niveau de service à mettre à jour
dans le portefeuille de services. APO02.04 • Déclaration de valeur et Portefeuille de services mis à jour APO05.05
d'avantages pour l'environnement cible
• Lacunes et changements
nécessaires pour réaliser
la capacité cible
en
• Budget et plan informatique
et
BAI10.03 Modifications approuvées
de la référence
Activités
1. Proposer des définitions des services informatiques nouveaux ou modifiés pour garantir que les services sont adaptés à leur objectif. Documentez les définitions de services proposées dans le
liste du portefeuille de services à développer.
2. Proposer des options de niveau de service nouvelles ou modifiées (durées de service, satisfaction des utilisateurs, disponibilité, performances, capacité, sécurité, continuité, conformité et
convivialité) pour garantir que les services informatiques sont adaptés à l’utilisation. Documentez les options de service proposées dans le portefeuille.
3. Interfacer avec la gestion des relations commerciales et la gestion du portefeuille pour convenir des définitions de service proposées et des options de niveau de service.
4. Si le changement de service relève de l'autorité d'approbation convenue, créez les services informatiques ou les options de niveau de service nouveaux ou modifiés. Sinon, passez le service
changement dans la gestion du portefeuille pour l'examen des investissements.
Aucun
139
Machine Translated by Google
140
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
Domaine : Gestion
Description du processus
Équilibrez les besoins actuels et futurs en matière de disponibilité, de performances et de capacité avec une fourniture de services rentable. Inclure l'évaluation des capacités actuelles, la prévision des besoins futurs
en fonction des exigences de l'entreprise, l'analyse des impacts sur l'entreprise et l'évaluation des risques pour planifier et mettre en œuvre des actions pour répondre aux exigences identifiées.
Maintenez la disponibilité des services, la gestion efficace des ressources et l’optimisation des performances du système grâce à la prévision des performances futures et des besoins en capacité.
07 Livraison de services informatiques en adéquation avec les besoins métiers • Nombre d'interruptions d'activité dues à des incidents de service informatique
en
• Pourcentage d'utilisateurs satisfaits de la qualité de la prestation des services informatiques
11 Optimisation des actifs, ressources et capacités informatiques • Fréquence des évaluations de maturité des capacités et d'optimisation des coûts
• Tendance des résultats de l'évaluation
• Niveaux de satisfaction des responsables commerciaux et informatiques à l'égard des coûts et des
et
capacités liés à l'informatique.
14 Disponibilité d'informations fiables et utiles pour la prise de décision • Niveau de satisfaction des utilisateurs professionnels quant à la qualité et à l'actualité (ou à la
1. Le plan de disponibilité anticipe les attentes de l'entreprise en matière de • Nombre de mises à niveau non planifiées de capacité, de performances ou de disponibilité
2. La capacité, les performances et la disponibilité répondent aux exigences. • Nombre de pics de transactions où les performances cibles sont dépassées
3. Les problèmes de disponibilité, de performances et de capacité sont identifiés et régulièrement • Nombre et pourcentage de problèmes non résolus de disponibilité, de performances et de capacité.
résolus.
141
Machine Translated by Google
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
R
d'il
R
id
s'l
R
d
acl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
prsodeefan
toirpuoscfeneéa
coa
C
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
toirpuoscfeneéa
rxeta
iuéontpiivtssnitee
eéé
sessitrnpaeertgnie
itesrlueaaB
g
d
vl
ssu
sé
nsqe
o'C
d
tiduA
astésrierpcitoo
taéo
tm
laedrtiécsn
tm
sm
pv
tnaio
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
seelbusaqnsio
iap
tneemlbeapspnoole
uo
rqtsitnianom
ae
sgrtg
aue
n
srnuo
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
/semme)aé
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
BAI04.01
Évaluer la disponibilité, les
je C Californie RCC
performances et la capacité
actuelles et créer une référence.
BAI04.02
UN C CR RCC
Évaluer l'impact sur les activités.
BAI04.03
Planifier les exigences de service R. C Californie RCC
nouvelles ou modifiées.
BAI04.04
Surveiller et examiner la disponibilité R. C Californie RCC
et la capacité.
BAI04.05
Enquêter et résoudre les
IR IRCA RI je
problèmes de disponibilité, de
performance et de capacité.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
Activités
1. Tenir compte des éléments suivants (actuels et prévus) dans l'évaluation de la disponibilité, des performances et de la capacité des services et des ressources : client
exigences, priorités commerciales, objectifs commerciaux, impact budgétaire, utilisation des ressources, capacités informatiques et tendances du secteur.
2. Surveillez les performances réelles et l'utilisation de la capacité par rapport aux seuils définis, pris en charge si nécessaire par un logiciel automatisé.
3. Identifier et suivre tous les incidents causés par des performances ou des capacités inadéquates.
4. Évaluez régulièrement les niveaux de performance actuels pour tous les niveaux de traitement (demande commerciale, capacité de service et capacité des ressources) en comparant
les comparer aux tendances et aux SLA, en tenant compte des changements de l’environnement.
142
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
BAI04 Pratiques de processus, entrées/sorties et activités (suite)
vous que, pour les fonctions commerciales vitales, les exigences de l'entreprise en matière de
disponibilité du SLA peuvent être satisfaites. disponibilité, de performance et de capacité
Activités
1. Identifiez uniquement les solutions ou services essentiels au processus de gestion de la disponibilité et de la capacité.
2. Mappez les solutions ou services sélectionnés avec les applications et l'infrastructure (informatique et installations) dont ils dépendent pour permettre de se concentrer sur les ressources critiques.
pour la planification des disponibilités.
en
3. Collectez des données sur les modèles de disponibilité à partir des journaux des pannes passées et de la surveillance des performances. Utilisez des outils de modélisation qui aident à prédire les pannes en fonction du passé
les tendances d'utilisation et les attentes de gestion du nouvel environnement ou des conditions d'utilisation.
4. Créez des scénarios basés sur les données collectées, décrivant les situations de disponibilité futures pour illustrer une variété de niveaux de capacité potentiels nécessaires pour atteindre l'objectif
de performance de disponibilité.
et
5. Déterminez la probabilité que l'objectif de performances de disponibilité ne soit pas atteint en fonction des scénarios.
6. Déterminez l'impact des scénarios sur les mesures de performance de l'entreprise (par exemple, revenus, bénéfices, services client). Engager le métier,
les dirigeants fonctionnels (en particulier financiers) et régionaux pour comprendre leur évaluation de l’impact.
7. Assurezvous que les propriétaires de processus métier comprennent parfaitement et acceptent les résultats de cette analyse. Obtenez auprès des propriétaires d’entreprise une liste de
scénarios de risques inacceptables qui nécessitent une réponse pour réduire les risques à des niveaux acceptables.
nouvelles ou modifiées.
BAI02.01 Critères d’acceptation Améliorations prioritaires APO02.02
Planifiez et hiérarchisez les implications en matière de disponibilité, de performances
confirmés par les parties prenantes
et de capacité en fonction de l'évolution des besoins de l'entreprise et des
documentés
Activités
1. Examiner les implications en matière de disponibilité et de capacité de l’analyse des tendances des services.
2. Identifier les implications en matière de disponibilité et de capacité de l'évolution des besoins commerciaux et des opportunités d'amélioration. Utilisez des techniques de modélisation pour valider
les plans de disponibilité, de performances et de capacité.
3. Hiérarchisez les améliorations nécessaires et créez des plans de disponibilité et de capacité justifiables en termes de coûts.
4. Ajuster les plans de performance et de capacité et les SLA en fonction de processus commerciaux et de services de support réalistes, nouveaux, proposés et/ou projetés,
les modifications apportées aux applications et à l'infrastructure, ainsi que des examens des performances réelles et de l'utilisation de la capacité, y compris les niveaux de charge de travail.
5. S'assurer que la direction effectue des comparaisons entre la demande réelle de ressources et l'offre et la demande prévues pour évaluer les prévisions actuelles.
techniques et apporter des améliorations lorsque cela est possible.
143
Machine Translated by Google
Activités
1. Établir un processus de collecte de données pour fournir à la direction des informations de suivi et de reporting sur la disponibilité, les performances et la charge de travail de capacité de
toutes les ressources liées à l'information.
2. Fournir des rapports réguliers sur les résultats sous une forme appropriée pour examen par la direction informatique et commerciale et communication avec
la gestion de l'entreprise.
3. Intégrer les activités de suivi et de reporting dans les activités itératives de gestion des capacités (surveillance, analyse, réglage et mises en œuvre).
de performance et de capacité.
Lacunes en matière de Interne
Corrigez les écarts en enquêtant et en résolvant les problèmes
performances et de capacités
identifiés de disponibilité, de performances et de capacité.
Mesures correctives APO02.02
d'urgence
Activités
1. Obtenez des conseils dans les manuels de produits des fournisseurs pour garantir un niveau approprié de disponibilité des performances pour les traitements et les charges de travail de pointe.
2. Identifier les lacunes en matière de performances et de capacités en fonction du suivi des performances actuelles et prévues. Utiliser la disponibilité, la continuité et la récupération connues
des spécifications pour classer les ressources et permettre la priorisation.
,eriruirreétsruvtntqueoncœ
tm
C
a
e
3. Définir des actions correctives (par exemple, déplacer la charge de travail, hiérarchiser les tâches ou ajouter des ressources, lorsque des problèmes de performance et de capacité sont identifiés).
4. Intégrer les actions correctives requises dans les processus appropriés de planification et de gestion du changement.
5. Définir une procédure d'escalade pour une résolution rapide en cas de problèmes de capacité et de performances d'urgence.
144
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
Domaine : Gestion
BAI05 Gérer l'activation du changement organisationnel Domaine : Construire, acquérir et mettre en œuvre
Description du processus
Maximisez les chances de mettre en œuvre avec succès un changement organisationnel durable à l’échelle de l’entreprise, rapidement et avec un risque réduit, en couvrant le cycle de vie complet du changement et
Préparez et engagez les parties prenantes au changement de l’entreprise et réduisez le risque d’échec.
08 Utilisation adéquate des applications, des informations et des solutions technologiques • Pourcentage de responsables de processus métier satisfaits de la prise en charge des produits informatiques
Et services
• Niveau de compréhension des utilisateurs professionnels sur la manière dont les solutions
• Niveau de satisfaction des utilisateurs professionnels avec la formation et les manuels d'utilisation
en
• VAN montrant le niveau de satisfaction de l'entreprise quant à la qualité et à l'utilité des solutions
technologiques
13 Livraison de programmes apportant des bénéfices, dans les délais et dans les limites du budget, et • Nombre de programmes/projets dans les délais et dans les limites du budget
répondant aux exigences et aux normes de qualité • Pourcentage de parties prenantes satisfaites de la qualité du programme/projet
et
• Nombre de programmes nécessitant des retouches importantes en raison de défauts de qualité
17 Connaissances, expertises et initiatives pour l’innovation des entreprises • Niveau de sensibilisation des dirigeants d'entreprise et de compréhension des possibilités
d'innovation informatique.
• Niveau de satisfaction des parties prenantes quant aux niveaux d'expertise en innovation informatique
et des idées
1. Le désir de changement des parties prenantes a été compris. • Niveau de désir des parties prenantes pour le changement
2. L’équipe de mise en œuvre est compétente et capable de conduire le changement. • Taux de satisfaction de l'équipe de mise en œuvre par les parties prenantes concernées
3. Le changement souhaité est compris et accepté par les parties prenantes. • Commentaires des parties prenantes sur le niveau de compréhension
4. Les acteurs sont habilités à apporter le changement. • Pourcentage d'acteurs dotés d'une autorité appropriée
5. Les acteurs sont habilités à opérer, utiliser et maintenir le changement. • Pourcentage d'acteurs formés
6. Le changement est intégré et durable. • Pourcentage d'utilisateurs correctement formés pour le changement
145
Machine Translated by Google
liesnoC
ri'D
d
astésrierpcitooéerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
R
d'il
R
id
s'l
R
d
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
prsodeefan
toirpuoscfeneéa
coa
C
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
toirpuoscfeneéa
rxeta
iuéontpiivtssnitee
eéé
sessitrnpaeertgnie
auietesrlueaaB
g
d
vl
ssu
sé
nsqe
o'C
d
tiduA
taéo
tm
laedrtiécsn
tm
sm
pv
tnaio
erutceltiiehscnra
im
ticm
iem
esirpséeetriu
o
seelbusaqnsio
iap
lbeapspnoole
uo
rqtsitnianom
a
sgrtg
srnuo
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
/semme)aé
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
tneem
Pratique de gestion
BAI05.01
RACCRCRR C RCCRCCCCCC
Établir le désir de changement.
BAI05.02
Former une équipe je ICACCRR RCPC RCCCCCC
de mise en œuvre efficace.
BAI05.03
ACCRIRI je je je je IRI je je je je je je je
BAI05.04
BAI05.05
VOITURE R. RCRR €€€€
Activer le fonctionnement et l'utilisation.
BAI05.06
€RRAR R. RCRR €€€€
Intégrer de nouvelles approches.
BAI05.07
€€€€ R. RCRR €€€€
Soutenir les changements.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
,eriruirreétsruvtntqueoncœ
tm
C
a
e
aux exigences
BAI03.02 Spécification de
conception détaillée approuvée
Activités
1. Évaluer la portée et l'impact du changement envisagé, les différentes parties prenantes concernées, la nature de l'impact et de l'implication requise de la part de
chaque groupe de parties prenantes, ainsi que la préparation et la capacité actuelles à adopter le changement.
2. Identifier, exploiter et communiquer les points faibles actuels, les événements négatifs, les risques, l'insatisfaction des clients et les problèmes commerciaux, ainsi que les premiers
les avantages, les opportunités et récompenses futures, ainsi que les avantages des concurrents, comme base pour établir le désir de changement.
3. Publier des communications clés du comité exécutif ou du PDG pour démontrer l'engagement envers le changement.
4. Assurer un leadership visible de la part de la haute direction pour établir une orientation et aligner, motiver et inspirer les parties prenantes à désirer le changement.
146
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
BAI05 Pratiques de processus, entrées/sorties et activités (suite)
Activités
1. Identifier et constituer une équipe de mise en œuvre de base efficace qui comprend les membres appropriés des secteurs commercial et informatique, capables de consacrer le temps requis et
d'apporter leurs connaissances, leur expertise, leur expérience, leur crédibilité et leur autorité. Envisagez d'inclure des parties externes telles que des consultants pour fournir un point de vue
indépendant ou pour combler les déficits de compétences. Identifiez les agents de changement potentiels au sein de différentes parties de l’entreprise avec lesquels l’équipe principale peut travailler
pour soutenir la vision et répercuter les changements vers le bas.
2. Créer la confiance au sein de l'équipe de mise en œuvre principale grâce à des événements soigneusement planifiés avec une communication efficace et des activités conjointes.
en
3. Développer une vision et des objectifs communs qui soutiennent les objectifs de l'entreprise.
et
personnes concernées. La communication doit être effectuée par la
haute direction et inclure la justification et les avantages du Communications visuelles BAI01.05
Activités
1. Élaborer un plan de communication de vision pour aborder les principaux groupes d'audience, leurs profils comportementaux et leurs besoins en informations, la communication
canaux et principes.
4. Vérifiez la compréhension de la vision souhaitée et répondez à tout problème souligné par le personnel.
BAI05.04 Donner du pouvoir aux acteurs et identifier les gains Depuis Description Description À
à court terme.
En dehors de la structure organisationnelle de COBIT Objectifs de performance RH APO07.04
Donnez du pouvoir à ceux qui jouent un rôle de mise en œuvre en
Enterprise alignés
veillant à ce que les responsabilités soient attribuées, en proposant
des formations et en alignant les structures organisationnelles Gains rapides identifiés BAI01.04
Activités
1. Identifier les structures organisationnelles compatibles avec la vision ; si nécessaire, apportez des modifications pour assurer l’alignement.
2. Planifiez la formation dont le personnel a besoin pour développer les compétences et les attitudes appropriées pour se sentir autonome.
3. Aligner les processus RH et les systèmes de mesure (par exemple, évaluation des performances, décisions en matière de rémunération, décisions de promotion, recrutement et embauche)
pour soutenir la vision.
4. Identifiez et gérez les dirigeants qui continuent de résister aux changements nécessaires.
5. Identifiez, priorisez et offrez des opportunités de gains rapides. Ceuxci pourraient être liés à des domaines de difficulté connus ou à des facteurs externes qui doivent être pris en compte.
être abordé de toute urgence.
6. Tirez parti des gains rapides obtenus en communiquant les avantages aux personnes concernées pour montrer que la vision est sur la bonne voie. Affiner la vision, garder les dirigeants en poste
monter à bord et créer une dynamique.
147
Machine Translated by Google
Activités
1. Élaborer un plan d’opération et d’utilisation du changement qui communique et s’appuie sur les gains rapides réalisés, aborde les aspects comportementaux et culturels de la transition plus large et
augmente l’adhésion et l’engagement. Assurezvous que le plan couvre une vue globale du changement et fournit de la documentation (par exemple, des procédures), du mentorat, de la formation,
du coaching, du transfert de connaissances, un soutien amélioré immédiat après la mise en service et un soutien continu.
2. Mettre en œuvre le plan d'exploitation et d'utilisation. Définissez et suivez les mesures de réussite, y compris les mesures commerciales strictes et les mesures de perception qui indiquent ce que
les gens pensent d'un changement, en prenant des mesures correctives si nécessaire.
Activités
1. Célébrez les réussites et mettez en œuvre des programmes de récompense et de reconnaissance pour renforcer le changement.
,eriruirreétsruvtntqueoncœ
tm
C
a
e
2. Utiliser des systèmes de mesure des performances pour identifier les causes profondes d’une faible adoption et prendre des mesures correctives.
4. Mener des audits de conformité pour identifier les causes profondes de la faible adoption et recommander des mesures correctives.
5. Assurer une sensibilisation continue grâce à une communication régulière sur le changement et son adoption.
l'engagement de la
direction
Activités
1. Assurer le mentorat, la formation, l’encadrement et le transfert de connaissances aux nouveaux employés pour soutenir le changement.
2. Maintenir et renforcer le changement par une communication régulière démontrant l'engagement de la haute direction.
3. Effectuer des revues périodiques du fonctionnement et de l'utilisation du changement et identifier les améliorations.
4. Capturer les enseignements tirés de la mise en œuvre du changement et partager les connaissances au sein de l'entreprise.
Kotter, John ; Diriger le changement, Harvard Business School Press, ÉtatsUnis, 1996
148
Machine Translated by Google
Chapitre 5
acqué
Contenu du guide de référence du processus COBIT 5
Const
œuvr
mettr
Domaine : Gestion
BAI06 Gérer les modifications Domaine : Construire, acquérir et mettre en œuvre
Description du processus
Gérez tous les changements de manière contrôlée, y compris les changements standard et la maintenance d'urgence liés aux processus métier, aux applications et à l'infrastructure.
Cela comprend les normes et procédures de changement, l'évaluation d'impact, la priorisation et l'autorisation, les changements d'urgence, le suivi, le reporting, la clôture et la
documentation.
en
Objectif lié à l'informatique Métriques associées
04 Gestion des risques métiers liés à l’informatique • Pourcentage de processus métier critiques, de services informatiques et de
programmes métiers informatiques couverts par une évaluation des risques.
• Nombre d'incidents informatiques importants qui n'ont pas été identifiés lors de
l'évaluation des risques.
et
• Pourcentage d'évaluations des risques d'entreprise, y compris les risques liés à l'informatique
• Fréquence de mise à jour du profil de risque
07 Livraison de services informatiques en adéquation avec les besoins métiers • Nombre d'interruptions d'activité dues à des incidents de service informatique
• Pourcentage de parties prenantes de l'entreprise satisfaites que la prestation de services informatiques
réponde aux niveaux de service convenus
• Pourcentage d'utilisateurs satisfaits de la qualité de la prestation des services informatiques
10 Sécurité des informations, des infrastructures de traitement et des applications • Nombre d'incidents de sécurité entraînant des pertes financières, des perturbations des
activités ou un embarras public
• Nombre de services informatiques avec des exigences de sécurité exceptionnelles
• Temps nécessaire pour accorder, modifier et supprimer les privilèges d'accès, par rapport
aux niveaux de service convenus.
• Fréquence des évaluations de sécurité par rapport aux dernières normes
et directives
1. Les modifications autorisées sont apportées en temps opportun et avec • Quantité de retouches causées par des modifications échouées
erreurs minimes. • Réduction du temps et des efforts nécessaires pour apporter des modifications
• Nombre et ancienneté des demandes de modification en retard
2. Les analyses d'impact révèlent l'effet du changement sur toutes les • Pourcentage de changements infructueux en raison d'évaluations d'impact inadéquates
composantes concernées.
3. Tous les changements d'urgence sont examinés et autorisés après le changement. • Pourcentage du total des modifications qui constituent des correctifs d'urgence
4. Les principales parties prenantes sont tenues informées de tous les aspects du changement. • Évaluations des commentaires des parties prenantes sur la satisfaction à l'égard des communications
ri'D
d
astésrierpcitooéerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
R
di
o
R
d'il
R
ids'l
R
dcl
a
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
ids'l
étimrofnoC
etrcoefrneiD
Id'l
oa
efn
prsodeefan
toirpuoscfeneéa
iuéontpiivtssniteecoa
C
E
S
dl
tjoroelrPiC
P
d(
p
toirpuoscfeneéa
eriansneociitvsreeG
d
s
laaitsnneodpifsnee
rxeta
aprsésoep
nsqe
sé
eéé
sessitrnpaeertgnie
auietesrlueaaB
gvl
d
iapsmssu
o'C
d
tiduA
taéo
tm
pv
laedrtiécsn
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
im
o
uo
tnaiotm
rqtsitnianom
étué
ae
noitraum
/semme)aésgrtg
srnuo
nm
n
nm
uro
efiig
rue
elbaéstsn
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
tn
sce
éetlib
sersiu
elsbea
aua
noeietlb
Pratique de gestion
BAI06.01
Évaluer, prioriser et autoriser les RA C C CCCRCRRCRC
demandes de changement.
BAI06.02
IA C CCRRIR CI
Gérer les changements d'urgence.
BAI06.03
CR C UN FR R.
Suivre et signaler l'état des modifications.
BAI06.04
Fermez et documentez RA R. C CCCRCRRI je
les modifications.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
149
Machine Translated by Google
Activités
1. Utiliser des demandes de modification formelles pour permettre aux propriétaires de processus métier et au service informatique de demander des modifications aux processus métier, à l'infrastructure, aux systèmes ou
applications. Assurezvous que tous ces changements surviennent uniquement via le processus de gestion des demandes de changement.
2. Catégoriser tous les changements demandés (par exemple, processus métier, infrastructure, systèmes d'exploitation, réseaux, systèmes d'application, achetés/emballés
logiciel d'application) et associez les éléments de configuration concernés.
3. Hiérarchisez toutes les modifications demandées en fonction des exigences commerciales et techniques, des ressources requises et des raisons juridiques, réglementaires et contractuelles
de la modification demandée.
4. Planifiez et évaluez toutes les demandes de manière structurée. Inclure une analyse d'impact sur les processus métier, l'infrastructure, les systèmes et les applications,
plans de continuité des activités (PCA) et prestataires de services pour garantir que tous les composants concernés ont été identifiés. Évaluer la probabilité d’avoir un impact négatif sur
l’environnement opérationnel et le risque de mise en œuvre du changement. Tenez compte des implications en matière de sécurité, juridiques, contractuelles et de conformité du changement
demandé. Tenez également compte des interdépendances entre les changements. Impliquez les propriétaires de processus métier dans le processus d’évaluation, le cas échéant.
5. Approuver formellement chaque changement par les propriétaires de processus métier, les gestionnaires de services et les parties prenantes techniques informatiques, le cas échéant. Des changements qui sont
les changements à faible risque et relativement fréquents devraient être préapprouvés en tant que changements standard.
,eriruirreétsruvtntqueoncœ
tm
C
a
e
7. Tenir compte de l'impact des prestataires de services sous contrat (par exemple, du traitement commercial externalisé, de l'infrastructure, du développement d'applications et des services
partagés) sur le processus de gestion du changement, y compris l'intégration des processus de gestion du changement organisationnel avec les processus de gestion du changement des
prestataires de services et l'impact sur les processus contractuels. conditions et SLA.
Activités
1. S'assurer qu'il existe une procédure documentée pour déclarer, évaluer, donner une approbation préliminaire, autoriser après le changement et enregistrer un changement d'urgence.
2. Vérifiez que toutes les dispositions d'accès d'urgence pour les modifications sont correctement autorisées, documentées et révoquées une fois la modification appliquée.
3. Surveiller tous les changements d'urgence et effectuer des examens postmise en œuvre impliquant toutes les parties concernées. L'examen doit envisager et lancer des actions correctives
basées sur les causes profondes telles que les problèmes liés aux processus métier, au développement et à la maintenance du système d'application, aux environnements de développement
et de test, à la documentation et aux manuels, ainsi qu'à l'intégrité des données.
150
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
BAI06 Pratiques de processus, entrées/sorties et activités (suite)
Activités
1. Catégoriser les demandes de changement dans le processus de suivi (par exemple, rejetées, approuvées mais pas encore initiées, approuvées et en cours, et clôturées).
2. Mettre en œuvre des rapports sur l'état des changements avec des mesures de performance pour permettre l'examen et la surveillance par la direction de l'état détaillé des changements et de l'état
général (par exemple, analyse chronologique des demandes de changement). Assurezvous que les rapports d'état forment une piste d'audit afin que les modifications puissent ensuite être suivies
depuis leur création jusqu'à leur disposition finale.
3. Surveiller les modifications ouvertes pour garantir que toutes les modifications approuvées sont clôturées en temps opportun, en fonction de la priorité.
en
4. Maintenir un système de suivi et de reporting pour toutes les demandes de changement.
et
Chaque fois que des changements sont implémentés, mettre
Documentation sur les modifications Interne
à jour en conséquence la solution et la documentation utilisateur ainsi
que les procédures affectées par le changement.
Activités
1. Inclure les modifications apportées à la documentation (par exemple, les procédures opérationnelles commerciales et informatiques, la documentation sur la continuité des activités et la reprise après sinistre,
informations de configuration, documentation de l'application, écrans d'aide et matériel de formation) dans le cadre de la procédure de gestion du changement en tant que partie intégrante du
changement.
2. Définir une période de conservation appropriée pour la documentation sur les modifications et la documentation système et utilisateur avant et après les modifications.
151
Machine Translated by Google
152
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
Domaine : Gestion
BAI07 Gérer l'acceptation des changements et la transition Domaine : Construire, acquérir et mettre en œuvre
Description du processus
Accepter formellement et rendre opérationnelles de nouvelles solutions, y compris la planification de la mise en œuvre, la conversion des systèmes et des données, les tests d'acceptation, la communication,
la préparation des versions, la promotion en production de processus commerciaux et de services informatiques nouveaux ou modifiés, le support de production précoce et un examen postimplémentation.
Mettre en œuvre des solutions en toute sécurité et conformément aux attentes et aux résultats convenus.
08 Utilisation adéquate des applications, des informations et des solutions technologiques • Pourcentage de responsables de processus métier satisfaits de la prise en charge des produits informatiques
Et services
• Niveau de compréhension des utilisateurs professionnels sur la manière dont les solutions
en
• Niveau de satisfaction des utilisateurs professionnels avec la formation et les manuels d'utilisation
• VAN montrant le niveau de satisfaction de l'entreprise quant à la qualité et à l'utilité des solutions
technologiques
12 Activation et prise en charge des processus métier en intégrant des applications et des • Nombre d'incidents de traitement métier causés par des erreurs d'intégration technologique
et
technologies dans les processus métier
• Nombre de changements de processus métier qui doivent être retardés ou retravaillés en raison
1. Les tests d'acceptation rencontrent l'approbation des parties prenantes et prennent en compte • Pourcentage de parties prenantes satisfaites de l'exhaustivité du processus de test
2. Les versions sont prêtes à être promues en production avec les parties prenantes • Nombre et pourcentage de versions qui ne sont pas prêtes à être publiées dans les délais.
préparation et soutien.
3. Les versions sont promues avec succès, sont stables et répondent aux attentes. • Nombre ou pourcentage de rejets qui ne parviennent pas à se stabiliser dans un délai
acceptable
4. Les leçons apprises contribuent aux versions futures. • Nombre et pourcentage d'analyses des causes profondes réalisées
153
Machine Translated by Google
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
éaR
id
s'l
oaR
d
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
éaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
toirpuoscfene
nitee
c
eéé
sessitrnpaeertgnie
toirpuoscfene
aaB
g
d
vl
ssu
sé
nsqe
o'C
d
tiduA
astésrierpcitoo
taéo
tm
laedrtiécsn
iuéontpiivtss
itesrlue
tm
sm
pv
tnaio
erutceltiiehscnra
im
ticm
iem
esirpséeetriu
o
seelbusaqnsio
iap
tneemlbeapspnoole
uo
rqtsitnianom
a
/semme)aésgrtg
aue
n
uo
nm
étué
nm
noitraum
tnrue
uro
srn
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
BAI07.01
Établir un CR CA R. CCRCRC RRRC
plan de mise en œuvre.
BAI07.02
BAI07.03
RA RI CI FR IRRC
Planifier les tests d'acceptation.
BAI07.04
RA RI je FR IRRC
Établir un environnement de test.
BAI07.05
RA RI je FR IRRC
Effectuer des tests d'acceptation.
BAI07.06
Promouvoir la production et R. IA je FR RI je je
BAI07.08
Effectuer un examen post R. IA CCI FR RCI je
,eriruirreétsruvtntqueoncœ
tm
C
a
e
implémentation.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
Activités
1. Créer un plan de mise en œuvre qui reflète la stratégie globale de mise en œuvre, la séquence des étapes de mise en œuvre, les besoins en ressources,
interdépendances, critères d'acceptation par la direction de la mise en œuvre de la production, exigences de vérification de l'installation, stratégie de transition pour
le support de production et mise à jour des PCA.
2. Confirmez que tous les plans de mise en œuvre sont approuvés par les parties prenantes techniques et commerciales et examinés par l'audit interne, le cas échéant.
3. Obtenir l'engagement des fournisseurs de solutions externes quant à leur implication à chaque étape de la mise en œuvre.
5. Examiner formellement les risques techniques et commerciaux associés à la mise en œuvre et s'assurer que le risque clé est pris en compte et traité dans le
processus de planification.
154
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
BAI07 Pratiques de processus, entrées/sorties et activités (suite)
BAI07.02 Planifier la conversion des processus opérationnels, des Depuis Description Description À
systèmes et des données.
Projet de migration DSS06.02
Préparez la migration des processus métier, des données des
services informatiques et de l'infrastructure dans le cadre des
méthodes de développement de l'entreprise, y compris des pistes
d'audit et un plan de reprise en cas d'échec de la migration.
Activités
1. Définir un processus métier, informatique : plan de migration des données de service et de l'infrastructure. Tenez compte, par exemple, du matériel, des réseaux, des systèmes d'exploitation, des logiciels, des
données de transaction, des fichiers maîtres, des sauvegardes et des archives, des interfaces avec d'autres systèmes (internes et externes), des exigences de conformité possibles, des procédures
commerciales et de la documentation du système, dans le développement de le plan.
2. Envisager tous les ajustements nécessaires aux procédures, y compris les rôles et responsabilités révisés et les procédures de contrôle, dans le processus opérationnel
projet de reconversion.
en
3. Incorporer dans le plan de conversion des données des méthodes de collecte, de conversion et de vérification des données à convertir, ainsi que d'identification et de résolution des erreurs éventuelles.
trouvé lors de la conversion. Incluez la comparaison des données originales et converties pour en vérifier l'exhaustivité et l'intégrité.
4. Confirmez que le plan de conversion des données ne nécessite pas de modification des valeurs des données, sauf si cela est absolument nécessaire pour des raisons commerciales. Modifications du document
apportées aux valeurs des données et obtenir l'approbation du propriétaire des données du processus métier.
et
5. Répétez et testez la conversion avant de tenter une conversion en direct.
6. Tenez compte du risque de problèmes de conversion, de planification de la continuité des activités et de procédures de repli dans le plan de migration des processus métier, des données et de
l'infrastructure lorsqu'il existe une gestion des risques, des besoins commerciaux ou des exigences réglementaires/de conformité.
7. Coordonner et vérifier le calendrier et l'intégralité du basculement de la conversion afin qu'il y ait une transition fluide et continue sans perte de transaction
données. Si nécessaire, en l’absence d’autre alternative, geler les opérations en direct.
8. Prévoyez de sauvegarder tous les systèmes et données pris avant la conversion. Maintenir des pistes d'audit pour permettre de retracer la conversion et garantir
qu'il existe un plan de récupération couvrant l'annulation de la migration et le retour au traitement précédent en cas d'échec de la migration.
9. Planifiez la conservation des données de sauvegarde et archivées pour vous conformer aux besoins de l'entreprise et aux exigences réglementaires ou de conformité.
Établissez un plan de test basé sur des normes à l’échelle de l’entreprise qui
BAI01.09 Exigences relatives à la Plan de test d'acceptation BAI01.04
définissent les rôles, les responsabilités et les critères d’entrée et de
vérification indépendante des approuvé BAI01.08
sortie. Assurezvous que le plan est approuvé par les parties concernées.
livrables
BAI03.08 • Communications
des résultats des tests
Activités
1. Élaborer et documenter le plan de test, qui s'aligne sur le plan qualité du programme et du projet et sur les normes organisationnelles pertinentes. Communiquer et consulter les propriétaires de processus métier
et les parties prenantes informatiques appropriés.
2. S'assurer que le plan de test reflète une évaluation des risques du projet et que toutes les exigences fonctionnelles et techniques sont testées. Basé sur
Lors de l'évaluation du risque de défaillance du système et des défauts lors de la mise en œuvre, le plan doit inclure des exigences en matière de performances, de stress, d'utilisabilité, de tests pilotes et de
sécurité.
3. Assurezvous que le plan de test répond au besoin potentiel d'accréditation interne ou externe des résultats du processus de test (par exemple,
exigences réglementaires).
4. Assurezvous que le plan de test identifie les ressources nécessaires pour exécuter les tests et évaluer les résultats. Des exemples de ressources incluent la construction d'environnements de test et
l'utilisation du temps du personnel pour le groupe de test, y compris le remplacement temporaire potentiel du personnel de test dans les environnements de production ou de développement. Veiller à ce que
les parties prenantes soient consultées sur les implications en termes de ressources du plan de test.
5. Assurezvous que le plan de test identifie les phases de test appropriées aux exigences opérationnelles et à l'environnement. Des exemples de telles phases de tests comprennent les tests unitaires, les
tests système, les tests d'intégration, les tests d'acceptation des utilisateurs, les tests de performances, les tests de résistance, les tests de conversion de données, les tests de sécurité, les tests de
préparation opérationnelle et les tests de sauvegarde et de récupération.
6. Confirmez que le plan de test prend en compte la préparation des tests (y compris la préparation du site), les exigences de formation, l'installation ou la mise à jour d'un environnement de test défini, la
planification/l'exécution/la documentation/la conservation des cas de test, la gestion des erreurs et des problèmes, la correction et l'escalade, et les formalités formelles. approbation.
7. Veiller à ce que le plan de test établisse des critères clairs pour mesurer le succès de chaque phase de test. Consultez les propriétaires de processus métier et les parties prenantes informatiques pour définir les
critères de réussite. Déterminer que le plan établit des procédures de remédiation lorsque les critères de réussite ne sont pas remplis (par exemple, en cas d'échecs importants lors d'une phase de test, le plan
fournit des indications sur l'opportunité de passer à la phase suivante, d'arrêter les tests ou de reporter la mise en œuvre).
8. Confirmez que tous les plans de test sont approuvés par les parties prenantes, y compris les propriétaires de processus métier et le service informatique, le cas échéant. Des exemples de ces parties prenantes sont
les responsables du développement d'applications, les chefs de projet et les utilisateurs finaux des processus métier.
155
Machine Translated by Google
Activités
1. Créez une base de données de données de test représentatives de l'environnement de production. Désinfectez les données utilisées dans l'environnement de test de l'environnement de
production en fonction des besoins de l'entreprise et des normes organisationnelles (par exemple, déterminez si les exigences de conformité ou réglementaires obligent l'utilisation de données
nettoyées).
2. Protéger les données et résultats de tests sensibles contre toute divulgation, y compris l'accès, la conservation, le stockage et la destruction. Considérons l'effet de l'interaction de
systèmes organisationnels avec ceux de tiers.
3. Mettre en place un processus permettant de conserver ou d'éliminer correctement les résultats des tests, les supports et autres documents associés afin de permettre un examen adéquat
et analyse ultérieure comme l'exige le plan de test. Tenez compte de l’effet des exigences réglementaires ou de conformité.
4. S'assurer que l'environnement de test est représentatif du futur paysage commercial et opérationnel, y compris les procédures et les rôles des processus métier, le stress probable de la
charge de travail, les systèmes d'exploitation, les logiciels d'application nécessaires, les systèmes de gestion de bases de données et l'infrastructure réseau et informatique trouvée
dans l'environnement de production.
5. Assurezvous que l'environnement de test est sécurisé et incapable d'interagir avec les systèmes de production.
en production
Activités
,eriruirreétsruvtntqueoncœ
tm
C
a
e
1. Examinez le journal catégorisé des erreurs trouvées dans le processus de test par l'équipe de développement, en vérifiant que toutes les erreurs ont été corrigées ou
formellement accepté.
2. Évaluer l'acceptation finale par rapport aux critères de réussite et interpréter les résultats des tests d'acceptation finale. Présentezles sous une forme
compréhensible pour les propriétaires de processus métier et le service informatique afin qu'un examen et une évaluation éclairés puissent avoir lieu.
3. Approuver l'acceptation avec l'approbation formelle des propriétaires de processus métier, des tiers (le cas échéant) et des parties prenantes informatiques avant
promotion à la production.
4. Veiller à ce que les tests des modifications soient effectués conformément au plan de test. Assurezvous que les tests sont conçus et réalisés par un groupe de test indépendant de l'équipe
de développement. Considérez dans quelle mesure les propriétaires de processus métier et les utilisateurs finaux sont impliqués dans le groupe de test. Assurezvous que les tests sont
effectués uniquement dans l’environnement de test.
5. S'assurer que les tests et les résultats attendus sont conformes aux critères de réussite définis dans le plan de test.
6. Envisagez d'utiliser des instructions de test (scripts) clairement définies pour mettre en œuvre les tests. Assurezvous que le groupe de test indépendant évalue et approuve chaque script de
test pour confirmer qu'il répond de manière adéquate aux critères de réussite des tests énoncés dans le plan de test. Pensez à utiliser des scripts pour vérifier dans quelle mesure le système
répond aux exigences de sécurité.
7. Réfléchissez à l'équilibre approprié entre les tests scriptés automatisés et les tests utilisateur interactifs.
8. Entreprendre des tests de sécurité conformément au plan de test. Mesurez l’étendue des faiblesses ou des failles de sécurité. Considérez l'effet des incidents de sécurité depuis la construction
du plan de test. Considérez l’effet sur les contrôles d’accès et de frontières.
9. Entreprendre des tests de performances du système et des applications conformément au plan de test. Tenez compte d'une gamme de mesures de performances (par exemple, les temps de réponse
de l'utilisateur final et les performances de mise à jour du système de gestion de base de données).
10. Lorsque vous effectuez des tests, assurezvous que les éléments de repli et de restauration du plan de test ont été pris en compte.
11. Identifier, enregistrer et classer les erreurs (par exemple mineures, significatives, critiques pour la mission) pendant les tests. Assurezvous qu’une piste d’audit des résultats des tests est disponible.
Communiquer les résultats des tests aux parties prenantes conformément au plan de test pour faciliter la correction des bogues et l'amélioration supplémentaire de la qualité.
156
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
BAI07 Pratiques de processus, entrées/sorties et activités (suite)
Activités
1. Préparer le transfert des procédures commerciales et des services, applications et infrastructures de support depuis les tests vers l'environnement de production dans
conformément aux normes de gestion du changement organisationnel.
en
2. Déterminer l'étendue de la mise en œuvre pilote ou du traitement parallèle des anciens et des nouveaux systèmes conformément au plan de mise en œuvre.
3. Mettre à jour rapidement la documentation pertinente sur les processus métier et le système, les informations de configuration et les documents du plan d'urgence, le cas échéant.
4. Assurezvous que toutes les bibliothèques multimédias sont mises à jour rapidement avec la version du composant de la solution transférée du test à la production.
environnement. Archivez la version existante et sa documentation complémentaire. Veiller à ce que la promotion vers la production des systèmes, des logiciels d'application et de l'infrastructure soit
et
sous contrôle de la configuration.
5. Lorsque la distribution des composants de la solution est effectuée par voie électronique, contrôler la distribution automatisée pour garantir que les utilisateurs sont informés et que la distribution a
lieu uniquement vers des destinations autorisées et correctement identifiées. Inclure dans le processus de publication des procédures d'annulation pour permettre la révision de la distribution des
modifications en cas de dysfonctionnement ou d'erreur.
6. Lorsque la distribution prend une forme physique, tenir un registre formel des articles qui ont été distribués, à qui, où ils ont été mis en œuvre et
lorsque chacun a été mis à jour.
Activités
1. Fournir des ressources supplémentaires, si nécessaire, aux utilisateurs finaux et au personnel d'assistance jusqu'à ce que la version soit stabilisée.
2. Fournir des ressources de systèmes informatiques supplémentaires, si nécessaire, jusqu'à ce que la version soit dans un environnement opérationnel stable.
157
Machine Translated by Google
de la prestation des
solutions et des services
Activités
1. Établir des procédures pour garantir que les examens postmise en œuvre identifient, évaluent et rendent compte de la mesure dans laquelle :
• Les exigences de l'entreprise ont été respectées.
• Les bénéfices attendus ont été réalisés.
• Le système est considéré comme utilisable.
• Les attentes des parties prenantes internes et externes sont satisfaites.
• Des impacts inattendus sur l'entreprise se sont produits.
• Le risque clé est atténué.
• Les processus de gestion du changement, d'installation et d'accréditation ont été exécutés de manière efficace et efficiente.
2. Consulter les propriétaires de processus métier et la direction technique informatique dans le choix des mesures permettant de mesurer le succès et la réalisation des objectifs.
exigences et avantages.
3. Effectuer l'examen postmise en œuvre conformément au processus de gestion du changement organisationnel. Engager les propriétaires de processus métier et
des tiers, le cas échéant.
4. Tenir compte des exigences en matière d'examen postmise en œuvre découlant des activités externes et de l'informatique (par exemple, audit interne, GRE, conformité).
5. Convenir et mettre en œuvre un plan d'action pour résoudre les problèmes identifiés lors de l'examen postmise en œuvre. Engager les propriétaires de processus métier et la direction
technique informatique dans l’élaboration du plan d’action.
,eriruirreétsruvtntqueoncœ
tm
C
a
e
ITIL V3 2011 • Transition des services, 4.1 Planification et prise en charge de la transition
• Transition des services, gestion des versions 4.4 et du déploiement
• Transition des services, 4.5 Validation et tests des services
• Transition des services, 4.6 Évaluation des changements
158
Machine Translated by Google
acqué
Chapitre 5
Const
Contenu du guide de référence du processus COBIT 5
œuvr
mettr
Domaine : Gestion
BAI08 Gérer le processus de Domaine : Construire, acquérir et mettre en œuvre
connaissances Description
Maintenir la disponibilité de connaissances pertinentes, actuelles, validées et fiables pour soutenir toutes les activités de processus et faciliter la prise de décision. Planifier
l’identification, la collecte, l’organisation, le maintien, l’utilisation et la retraite des connaissances.
en
09 Agilité informatique • Niveau de satisfaction des dirigeants d'entreprise quant à la réactivité de l'informatique
aux nouvelles exigences
• Nombre de processus métier critiques pris en charge par une
infrastructure et des applications à jour
• Délai moyen nécessaire pour transformer les objectifs informatiques stratégiques en une
et
initiative convenue et approuvée.
17 Connaissances, expertises et initiatives pour l’innovation des entreprises • Niveau de sensibilisation et de compréhension des dirigeants d'entreprise
Possibilités d'innovation informatique
• Niveau de satisfaction des parties prenantes quant aux niveaux d'expertise en innovation informatique et
idées
• Nombre d'initiatives approuvées résultant d'idées informatiques innovantes
Objectifs et mesures du processus
1. Les sources d'information sont identifiées et classées. • Pourcentage de catégories d'informations couvertes
• Volume d'informations classifiées
• Pourcentage d'informations catégorisées validées
2. Les connaissances sont utilisées et partagées. • Pourcentage de connaissances disponibles réellement utilisées
• Nombre d'utilisateurs formés à l'utilisation et au partage des connaissances
3. Le partage des connaissances est ancré dans la culture de l'entreprise. • Niveau de satisfaction des utilisateurs
• Pourcentage du référentiel de connaissances utilisé
4. Les connaissances sont mises à jour et améliorées pour répondre aux exigences. • Fréquence de mise à jour
ri'D
d
astésrierpcitooéerrm
P
d
p
oteietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
éaR
id
s'l
oaR
d
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
éaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
C
E
S
dl
riC
P
d(
p
eriansneociitvsreeG
d
s
rxeta
soep
toirpuoscfene
nitee
c
nsqe
sé
eéé
sessitrnpaeertgnie
tjoroelP
toirpuoscfene
aaB
gvl
d
ssu
o'C
d
tiduA
taéo
tm
pv
aprsé
iuéontpiivtss
laedrtiécsn
auietesrlue
sm
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
imo
iap
na
tm
rqtsitnianom
étué
noitraum
a
sgrtg
uo
tnaio
nm
u
nm
uro
efiig
rue
srn
elbaéstsn
/semme)aé
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
tn
sce
éetlib
sersiu
elsbea
aua
noeietlb
Pratique de gestion
BAI08.01
Entretenir et faciliter une RA RRRRRRRRRRR
culture de partage des connaissances.
BAI08.02
Identifier et classer les sources RA RCPC FR R.
d'information.
BAI08.03
Organiser et contextualiser C CI IA €€€
l'information pour en faire des connaissances.
BAI08.04
UN RRCCCRCCCC
Utiliser et partager les connaissances.
BAI08.05
UN CCRRRRRRRRRR
Évaluer et retirer l'information.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
159
Machine Translated by Google
Activités
1. Communiquer de manière proactive la valeur des connaissances pour encourager la création, l’utilisation, la réutilisation et le partage des connaissances.
2. Encourager le partage et le transfert de connaissances en identifiant et en tirant parti des facteurs de motivation.
3. Créer un environnement, des outils et des artefacts qui soutiennent le partage et le transfert des connaissances.
4. Intégrez les pratiques de gestion des connaissances dans d’autres processus informatiques.
5. Définir les attentes de la direction et démontrer une attitude appropriée concernant l'utilité des connaissances et la nécessité de les partager.
connaissance de l'entreprise.
Activités
1. Identifier les utilisateurs potentiels des connaissances, y compris les propriétaires d'informations qui pourraient avoir besoin de contribuer et d'approuver les connaissances. Obtenir les exigences en
matière de connaissances et les sources d’informations auprès des utilisateurs identifiés.
2. Tenir compte des types de contenu (procédures, processus, structures, concepts, politiques, règles, faits, classifications), des artefacts (documents, enregistrements, vidéo, voix) et des informations
structurées et non structurées (experts, médias sociaux, courrier électronique, messagerie vocale, Flux RSS).
3. Classer les sources d'informations sur la base d'un système de classification de contenu (par exemple, un modèle d'architecture de l'information). Associer les sources d’information aux
schéma de classement.
4. Recueillir, rassembler et valider les sources d'information sur la base de critères de validation de l'information (par exemple, compréhensibilité, pertinence, importance, intégrité,
exactitude, cohérence, confidentialité, actualité et fiabilité).
,eriruirreétsruvtntqueoncœ
tm
C
a
e
BAI08.03 Organiser et contextualiser l'information pour en faire des Depuis Description Description À
connaissances.
BAI03.03 Composants de solution Référentiels de connaissances APO07.03
Organiser les informations en fonction de critères de classification.
documentés publiés
Identifiez et créez des relations significatives entre les éléments
d’information et permettez l’utilisation des informations. BAI05.07 Plans de transfert de connaissances
Identifiez les propriétaires et définissez et mettez en œuvre des niveaux
d’accès aux ressources de connaissances.
Activités
1. Identifiez les attributs partagés et faites correspondre les sources d'informations, en créant des relations entre les ensembles d'informations (étiquetage des informations).
2. Créez des vues sur les ensembles de données associés, en tenant compte des exigences des parties prenantes et de l'organisation.
3. Concevoir et mettre en œuvre un système pour gérer les connaissances non structurées non disponibles via des sources formelles (par exemple, les connaissances d'experts).
4. Publier et rendre les connaissances accessibles aux parties prenantes concernées en fonction des rôles et des mécanismes d'accès.
Activités
1. Identifiez les utilisateurs potentiels des connaissances par classification des connaissances.
2. Transférer les connaissances aux utilisateurs des connaissances sur la base d'une analyse des lacunes des besoins et de techniques d'apprentissage et d'outils d'accès efficaces.
3. Éduquer et former les utilisateurs sur les connaissances disponibles, l'accès aux connaissances et l'utilisation des outils d'accès aux connaissances.
160
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
BAI08 Pratiques de processus, entrées/sorties et activités (suite)
Activités
1. Mesurer l’utilisation et évaluer l’utilité, la pertinence et la valeur des éléments de connaissances. Identifiez les informations connexes qui ne sont plus pertinentes par rapport aux besoins en
connaissances de l'entreprise.
2. Définir les règles de retrait des connaissances et retirer les connaissances en conséquence.
en
Norme connexe Référence détaillée
et
161
Machine Translated by Google
162
Machine Translated by Google
acqué
Chapitre 5
Const
Contenu du guide de référence du processus COBIT 5
œuvr
mettr
Domaine : Gestion
BAI09 Gérer les actifs Domaine : Construire, acquérir et mettre en œuvre
Description du processus
Gérer les actifs informatiques tout au long de leur cycle de vie pour garantir que leur utilisation génère de la valeur à un coût optimal, qu'ils restent opérationnels
(adaptés à leur objectif), qu'ils sont comptabilisés et physiquement protégés, et que les actifs essentiels au support de la capacité de service sont fiables et
disponibles. . Gérez les licences logicielles pour garantir que le nombre optimal est acquis, conservé et déployé par rapport à l'utilisation professionnelle requise, et que
les logiciels installés sont conformes aux accords de licence.
en
Objectif lié à l'informatique Métriques associées
06 Transparence des coûts, avantages et risques informatiques • Pourcentage d'analyses de rentabilisation d'investissement avec des coûts et des avantages
informatiques attendus clairement définis et approuvés.
• Pourcentage de services informatiques dont les coûts opérationnels et les avantages attendus
et
sont clairement définis et approuvés.
• Enquête de satisfaction auprès des principales parties prenantes concernant le niveau
de transparence, de compréhension et d'exactitude des informations financières informatiques.
11 Optimisation des actifs, ressources et capacités informatiques • Fréquence des évaluations de maturité des capacités et d'optimisation des coûts
• Tendance des résultats de l'évaluation
• Niveaux de satisfaction des responsables commerciaux et informatiques à l'égard des coûts et des
1. Les licences sont conformes et alignées sur les besoins de l'entreprise. • Pourcentage de licences utilisées par rapport aux licences payantes
2. Les actifs sont maintenus à des niveaux optimaux. • Nombre d'actifs non utilisés
• Coûts de référence
• Nombre d'actifs obsolètes
ri'D
d
éerrm
P
d
p
itjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
éaR
id
s'l
caR
d
a
cl
oaR
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
éaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
C
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
ds
laaitsnneodpifsnee
o
rxeta
soep
toirpuoscfene
nitee
nsqe
sé
eéé
sessitrnpaeertgnie
toirpuoscfene
auietesrlueaaB
gvl
d
ssu
o'C
d
tiduA
astésrierpcitoo
taéo
tm
pv
aprsé
iuéontpiivtss
laedrtiécsn
sm
esirpséeetriu
ticm
otee
erutceltiiehscnra
tneemlbeapspnoole
im
imo
iap
na
tnaiotm
rqtsitnianom
étué
noitraum
a
/semme)aésgrtg
uo
nm
u
nm
uro
efiig
rue
srn
elbaéstsn
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
tn
sce
éetlib
sersiu
elsbea
aua
noeietlb
Pratique de gestion
BAI09.01
Identifier et enregistrer les actifs C C ICCARC
courants.
BAI09.02
C CI CC RRARCCC
Gérer les actifs critiques.
BAI09.03
C CCARR
Gérer le cycle de vie des actifs.
BAI09.04
R. CI ARRRRRR
Optimiser les coûts des actifs.
BAI09.05
CI ARC RRRC
Gérer les licences.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
163
Machine Translated by Google
Activités
1. Identifiez tous les actifs détenus dans un registre d'actifs qui enregistre l'état actuel. Maintenir l'alignement avec la gestion du changement et la configuration
les processus de gestion, le système de gestion de la configuration et les registres de comptabilité financière.
2. Identifiez les exigences légales, réglementaires ou contractuelles qui doivent être prises en compte lors de la gestion de l'actif.
3. Vérifier l'existence de tous les actifs possédés en effectuant régulièrement des contrôles et des rapprochements d'inventaire physique et logique, y compris l'utilisation de logiciels.
outils de découverte.
4. Vérifiez que les actifs sont adaptés à leur usage (c'estàdire dans un état utile).
5. Déterminez régulièrement si chaque actif continue de fournir de la valeur et, si tel est le cas, estimez la durée de vie utile prévue pour générer de la valeur.
Activités
1. Identifiez les actifs essentiels à la fourniture de capacités de service en faisant référence aux exigences dans les définitions de service, les SLA et la configuration.
,eriruirreétsruvtntqueoncœ
tm
C
a
e
Système de gestion.
2. Surveiller les performances des actifs critiques en examinant les tendances des incidents et, si nécessaire, prendre des mesures pour les réparer ou les remplacer.
3. Tenez régulièrement compte du risque de défaillance ou de la nécessité de remplacer chaque actif critique.
4. Maintenir la résilience des actifs critiques en appliquant une maintenance préventive régulière, en surveillant les performances et, si nécessaire, en proposant des solutions alternatives.
et/ou des actifs supplémentaires pour minimiser la probabilité de défaillance.
5. Établir un plan de maintenance préventive pour tout le matériel, en tenant compte de l'analyse coûtsavantages, des recommandations du fournisseur, du risque de panne, des
personnel et d’autres facteurs pertinents.
6. Établir des accords de maintenance impliquant l'accès de tiers aux installations informatiques de l'organisation pour les activités sur site et hors site (par exemple, l'externalisation).
Établir des contrats de service formels contenant ou faisant référence à toutes les conditions de sécurité nécessaires, y compris les procédures d'autorisation d'accès, pour garantir le respect des
politiques et normes de sécurité de l'organisation.
7. Communiquer aux clients et utilisateurs concernés l'impact attendu (par exemple, restrictions de performances) des activités de maintenance.
8. Assurezvous que les services d'accès à distance et les profils d'utilisateurs (ou autres moyens utilisés pour la maintenance ou le diagnostic) sont actifs uniquement lorsque cela est nécessaire.
9. Incorporer les temps d'arrêt planifiés dans un calendrier de production global et planifier les activités de maintenance pour minimiser l'impact négatif sur
processus d'affaires.
164
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
BAI09 Pratiques de processus, intrants/extrants et activités (suite)
Gérer les actifs depuis l'achat jusqu'à leur élimination pour garantir que les
Demandes Interne
actifs sont utilisés de la manière la plus efficace et efficiente possible et
d’acquisition d’actifs approuvées
qu'ils sont comptabilisés et physiquement protégés.
Révisions du registre des actifs BAI10.03
Activités
1. Acquérir tous les actifs sur la base des demandes approuvées et conformément aux politiques et pratiques d'approvisionnement de l'entreprise.
2. Rechercher, recevoir, vérifier, tester et enregistrer tous les actifs de manière contrôlée, y compris l'étiquetage physique, si nécessaire.
3. Approuver les paiements et terminer le processus avec les fournisseurs conformément aux conditions contractuelles convenues.
en
4. Déployez les actifs en suivant le cycle de vie de mise en œuvre standard, y compris la gestion des changements et les tests d'acceptation.
5. Attribuez les actifs aux utilisateurs, en acceptant les responsabilités et en les approuvant, le cas échéant.
6. Réaffectez les actifs autant que possible lorsqu'ils ne sont plus nécessaires en raison d'un changement de rôle d'utilisateur, d'une redondance au sein d'un service ou d'un départ à la retraite.
et
d'une prestation.
7. Éliminer les actifs lorsqu'ils ne servent à rien en raison du retrait de tous les services associés, d'une technologie obsolète ou du manque d'utilisateurs.
8. Éliminez les actifs en toute sécurité, en tenant compte, par exemple, de la suppression permanente de toutes les données enregistrées sur les appareils multimédias et des dommages potentiels à l'environnement.
9. Planifier, autoriser et mettre en œuvre les activités liées à la retraite, en conservant les dossiers appropriés pour répondre aux besoins commerciaux et réglementaires continus.
Activités
1. Examinez régulièrement la base globale des actifs, pour déterminer si elle est conforme aux exigences de l'entreprise.
2. Évaluer les coûts de maintenance, considérer le caractère raisonnable et identifier les options les moins coûteuses, y compris, si nécessaire, le remplacement par de nouvelles alternatives.
3. Examinez les garanties et envisagez le rapport qualitéprix et les stratégies de remplacement pour déterminer les options les moins coûteuses.
4. Examiner la base globale pour identifier les opportunités de normalisation, de source unique et d'autres stratégies susceptibles de réduire les achats, le support et
coûts de maintenance.
5. Utiliser les statistiques de capacité et d'utilisation pour identifier les actifs sousutilisés ou redondants dont la cession ou le remplacement pourrait être envisagé pour réduire les coûts.
6. Examiner l'état général pour identifier les opportunités de tirer parti des technologies émergentes ou des stratégies d'approvisionnement alternatives pour réduire les coûts ou augmenter la valeur.
pour de l'argent.
165
Machine Translated by Google
Activités
1. Tenir un registre de toutes les licences logicielles achetées et des contrats de licence associés.
2. Réalisez régulièrement un audit pour identifier toutes les instances de logiciels sous licence installés.
4. Lorsque le nombre d'instances est inférieur au nombre détenu, décidez s'il est nécessaire de conserver ou de résilier les licences, en tenant compte du potentiel d'économies sur
maintenance, formation et autres coûts inutiles.
5. Lorsque le nombre d'instances est supérieur au nombre possédé, envisagez d'abord la possibilité de désinstaller les instances qui ne sont plus nécessaires ou justifiées, et
puis, si nécessaire, achetez des licences supplémentaires pour respecter le contrat de licence.
6. Réfléchissez régulièrement à la possibilité d'obtenir une meilleure valeur en mettant à niveau les produits et les licences associées.
ITIL V3 2011 Transition des services, 4.3 Gestion des actifs de service et de la configuration
,eriruirreétsruvtntqueoncœ
tm
C
a
e
166
Machine Translated by Google
acqué
Chapitre 5
Const
Contenu du guide de référence du processus COBIT 5
œuvr
mettr
Domaine : Gestion
BAI10 Gérer la configuration Domaine : Construire, acquérir et mettre en œuvre
Description du processus
Définir et maintenir les descriptions et les relations entre les ressources et capacités clés requises pour fournir des services informatiques, y compris la collecte d'informations de
configuration, l'établissement de lignes de base, la vérification et l'audit des informations de configuration et la mise à jour du référentiel de configuration.
en
02 Conformité informatique et assistance à la conformité des entreprises aux lois et • Coût de la nonconformité informatique, y compris les règlements et les amendes, et
réglementations externes l'impact de la perte de réputation
• Nombre de problèmes de nonconformité liés aux technologies de l'information signalés au conseil
et
• Nombre de problèmes de nonconformité liés aux accords contractuels avec les
prestataires de services informatiques
• Couverture des évaluations de conformité
11 Optimisation des actifs, ressources et capacités informatiques • Fréquence des évaluations de maturité des capacités et d'optimisation des coûts
• Tendance des résultats de l'évaluation
• Niveaux de satisfaction des responsables commerciaux et informatiques à l'égard des coûts et des
14 Disponibilité d'informations fiables et utiles pour la prise de décision • Niveau de satisfaction des utilisateurs professionnels quant à la qualité et à
l'actualité (ou à la disponibilité) des informations de gestion.
• Nombre d'incidents de processus métier causés par la nondisponibilité des
informations
• Ratio et étendue des décisions commerciales erronées lorsqu'elles sont erronées ou
l'indisponibilité des informations était un facteur clé
1. Le référentiel de configuration est précis, complet et à jour. • Nombre d'écarts entre le référentiel de configuration et la configuration réelle
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
R
di
o
R
d'il
R
id
s'l
Rd
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
efn
prsodeefan
éa
oa
C
E
S
dl
tjoroelrPiC
P
d(
p
toirpuoscfeneéa
eriansneociitvsreeG
d
s
rxeta
soep
toirpuoscfene
nitee
c
nsqe
sé
eéé
sessitrnpaeertgnie
auietesrlueaaB
gvl
d
ssu
o'C
d
tiduA
astésrierpcitoo
taéo
tm
pv
aprsé
iuéontpiivtss
laedrtiécsn
sm
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
iem
o
iap
uo
tnaiotm
rqtsitnianom
étué
noitraum
a
sgrtg
srnuo
nm
n
nm
uro
efiig
tnrue
elbaéstsn
/semme)aé
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
sce
éetlib
sersiu
elsbea
aua
noeietlb
Pratique de gestion
BAI10.01
Établir et maintenir un modèle C CCCIARR
de configuration.
BAI10.02
Établir et maintenir un
CRARR
référentiel de configuration et une
base de référence.
BAI10.03
Maintenir et contrôler les ACRRRC
éléments de configuration.
BAI10.04
Produire des rapports d'état et de je je ICCARI
configuration.
BAI10.05
Vérifier et examiner l'intégrité du je R. ARR R.
référentiel de configuration.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
167
Machine Translated by Google
configuration.
BAI07.06 Plan de sortie Portée du modèle de gestion Interne
Établir et maintenir un modèle logique des services, des
de configuration
actifs et de l'infrastructure et comment enregistrer les éléments de
configuration (CI) et les relations entre eux. Incluez les CI jugés Modèle de configuration Interne
nécessaires pour gérer efficacement les services et pour fournir une logique
Activités
1. Définir et convenir de la portée et du niveau de détail de la gestion de la configuration (c'estàdire quels services, actifs et infrastructures configurables
éléments à inclure).
2. Établir et maintenir un modèle logique pour la gestion de la configuration, comprenant des informations sur les types d'éléments de configuration, les attributs des éléments de configuration,
types de relation, attributs de relation et codes de statut.
base de référence.
BAI09.05 Registre des licences de Référentiel de configuration BAI09.01
Établissez et maintenez un référentiel de gestion de configuration
logiciels DSS02.01
et créez des lignes de base de configuration contrôlées.
Base de référence de configuration BAI03.11
Activités
2. Créer, examiner et convenir formellement des bases de configuration d'un service, d'une application ou d'une infrastructure.
BAI09.01 BAI03.11
,eriruirreétsruvtntqueoncœ
tm
C
a
e
Activités
2. Examinez les modifications proposées aux éléments de configuration par rapport à la référence pour garantir l'exhaustivité et l'exactitude.
3. Mettez à jour les détails de configuration pour les modifications approuvées des éléments de configuration.
4. Créez, examinez et acceptez formellement les modifications apportées aux lignes de base de configuration chaque fois que nécessaire.
Activités
1. Identifiez les changements d’état des éléments de configuration et établissez un rapport par rapport à la ligne de base.
2. Faites correspondre toutes les modifications de configuration avec les demandes de modification approuvées pour identifier toute modification non autorisée. Signaler les modifications non autorisées à
gestion du changement.
3. Identifier les exigences en matière de reporting de toutes les parties prenantes, y compris le contenu, la fréquence et les médias. Produire des rapports selon les
besoins identifiés.
168
Machine Translated by Google
Chapitre 5
œuvre
acquér
Contenu du guide de référence du processus COBIT 5
mettre
Constr
BAI10 Pratiques de processus, entrées/sorties et activités (suite)
Résultats de la Interne
Examinez périodiquement le référentiel de configuration et vérifiez
vérification
qu'il est complet et correct par rapport à la cible souhaitée.
physique des éléments de configuration
de l'exhaustivité du référentiel
Activités
1. Vérifiez périodiquement les éléments de configuration en direct par rapport au référentiel de configuration en comparant les configurations physiques et logiques et en utilisant les
outils de découverte, selon les besoins.
2. Signalez et examinez tous les écarts pour les corrections approuvées ou les actions visant à supprimer tout actif non autorisé.
en
3. Vérifiez périodiquement que tous les éléments de configuration physique, tels que définis dans le référentiel, existent physiquement. Signalez tout écart à la direction.
4. Définissez et examinez périodiquement l'objectif d'exhaustivité du référentiel de configuration en fonction des besoins de l'entreprise.
5. Comparer périodiquement le degré d'exhaustivité et d'exactitude par rapport aux objectifs et prendre des mesures correctives, si nécessaire, pour améliorer la qualité du
et
données du référentiel.
ITIL V3 2011 Transition des services, 4.3 Gestion des actifs de service et de la configuration
169
Machine Translated by Google
170
Machine Translated by Google
assistanc
Chapitre 5
Livraison,
Contenu du guide de référence du processus COBIT 5
service
Livraison, service et support (DSS)
01 Gérer les opérations.
et
04 Gérer la continuité.
171
Machine Translated by Google
172
Livraison
Machine Translated by Google
Chapitre 5
assistan
Contenu du guide de référence du processus COBIT 5
Domaine : Gestion
DSS01 Gérer les opérations Domaine : livraison, service et support
service
Description du processus
Coordonner et exécuter les activités et les procédures opérationnelles nécessaires à la fourniture de services informatiques internes et externalisés, y compris l'exécution de procédures
opérationnelles standard prédéfinies et les activités de surveillance requises.
04 Gestion des risques métiers liés à l’informatique • Pourcentage de processus métier critiques, de services informatiques et
Programmes commerciaux informatiques couverts par l’évaluation des risques
• Nombre d'incidents informatiques importants qui n'ont pas été identifiés lors de
l'évaluation des risques.
• Pourcentage d'évaluations des risques d'entreprise, y compris les risques liés à l'informatique
• Fréquence de mise à jour du profil de risque
07 Livraison de services informatiques en adéquation avec les besoins métiers • Nombre d'interruptions d'activité dues à des incidents de service informatique
• Pourcentage de parties prenantes de l'entreprise satisfaites que la prestation de services informatiques
11 Optimisation des actifs, ressources et capacités informatiques • Fréquence des évaluations de maturité des capacités et d'optimisation des coûts
• Tendance des résultats de l'évaluation
• Niveaux de satisfaction des responsables commerciaux et informatiques à l'égard des coûts et des
1. Les activités opérationnelles sont réalisées selon les besoins et selon le calendrier. • Nombre de procédures opérationnelles non standards exécutées
et
• Nombre d'incidents causés par des problèmes opérationnels
2. Les opérations sont surveillées, mesurées, signalées et corrigées. • Ratio d'événements par rapport au nombre d'incidents
• Pourcentage de types d'événements opérationnels critiques couverts par des systèmes
de détection automatique
ri'D
d
astésrierpcitooéerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
ids'l
iuéontpiivtssniteecoaR
dcl
a
oaR
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
ids'l
étimrofnoC
etrcoefrneiD
Id'l
C
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
d
s
laaitsnneodpifsnee
rxeta
aprsésoep
nsqe
sé
eéé
sessitrnpaeertgnie
iapsmssu
auietesrlueaaB
gvl
d
o'C
d
tiduA
taéo
tm
pv
laedrtiécsn
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
im
o
tnaiotm
rqtsitnianom
uo
étué
ae
noitraum
/semme)aésgrtg
srnuo
nm
n
nm
uro
efiig
tnrue
elbaéstsn
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
sce
sersiu
éetlib
elsbea
aua
noeietlb
Pratique de gestion
DSS01.01
UN CCC
Exécuter les procédures opérationnelles.
DSS01.02
je UN R.
Gérer les services informatiques externalisés.
DSS01.03
je C je CI Californie CC
Surveiller l'infrastructure informatique.
DSS01.04
je Californie CCCICR IRI
Gérer l'environnement.
DSS01.05
je Californie CCCICR IRI
Gérer les installations.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
173
Machine Translated by Google
Activités
1. Développer et maintenir des procédures opérationnelles et des activités connexes pour soutenir tous les services fournis.
2. Maintenir un calendrier des activités opérationnelles, exécuter les activités et gérer les performances et le débit des activités planifiées.
3. Vérifier que toutes les données attendues pour le traitement sont reçues et traitées de manière complète, précise et en temps opportun. Livrer des résultats conformément
avec les exigences de l'entreprise. Prise en charge des besoins de redémarrage et de retraitement. Assurezvous que les utilisateurs reçoivent les bons résultats de manière sécurisée et en temps opportun.
4. Veiller à ce que les normes de sécurité applicables soient respectées pour la réception, le traitement, le stockage et la sortie des données d'une manière qui répond aux objectifs de l'entreprise, à la
la politique de sécurité et les exigences réglementaires de l'entreprise.
5. Planifiez, effectuez et enregistrez des sauvegardes conformément aux politiques et procédures établies.
Activités
1. S'assurer que les exigences de l'entreprise en matière de sécurité des processus d'information sont respectées conformément aux contrats et aux SLA avec des tiers.
parties hébergeant ou fournissant des services.
2. Veiller à ce que les exigences opérationnelles et les priorités en matière de traitement informatique de l'entreprise pour la prestation de services soient respectées conformément aux contrats et aux
SLA avec des tiers hébergeant ou fournissant des services.
3. Intégrer les processus critiques de gestion informatique interne à ceux des prestataires de services externalisés, couvrant par exemple la planification des performances et des capacités,
gestion des changements, gestion de la configuration, gestion des demandes de service et des incidents, gestion des problèmes, gestion de la sécurité, continuité des activités et surveillance des
performances des processus et des rapports.
4. Planifier un audit indépendant et une assurance des environnements opérationnels des fournisseurs externalisés pour confirmer que les exigences convenues sont respectées.
adéquatement abordée.
Activités
1. Consigner les événements, en identifiant le niveau d'informations à enregistrer en fonction du risque et des performances.
2. Identifier et maintenir une liste des actifs d'infrastructure qui doivent être surveillés en fonction de la criticité du service et de la relation entre la configuration
etia
ivirsrvs
asctisa
e,cnnoe L
e
s
3. Définir et mettre en œuvre des règles qui identifient et enregistrent les dépassements de seuils et les conditions des événements. Trouvez un équilibre entre la génération d’événements mineurs
parasites et d’événements importants afin que les journaux d’événements ne soient pas surchargés d’informations inutiles.
4. Produire des journaux d'événements et les conserver pendant une période appropriée pour faciliter les enquêtes futures.
5. Établir des procédures de surveillance des journaux d'événements et effectuer des examens réguliers.
6. Assurezvous que les tickets d'incident sont créés en temps opportun lorsque la surveillance identifie des écarts par rapport aux seuils définis.
174
Machine Translated by Google
assistanc
Chapitre 5
Livraison,
Contenu du guide de référence du processus COBIT 5
service
Activités
1. Identifiez les catastrophes naturelles et d'origine humaine qui pourraient survenir dans la zone dans laquelle se trouvent les installations informatiques. Évaluer l’effet potentiel sur
les installations informatiques.
2. Identifiez comment les équipements informatiques, y compris les équipements mobiles et hors site, sont protégés contre les menaces environnementales. Veiller à ce que la politique limite ou exclue
le fait de manger, de boire et de fumer dans les zones sensibles, et interdise le stockage de papeterie et autres fournitures présentant un risque d'incendie dans les salles informatiques.
3. Situer et construire des installations informatiques pour minimiser et atténuer la vulnérabilité aux menaces environnementales.
4. Surveillez et entretenez régulièrement les appareils qui détectent de manière proactive les menaces environnementales (par exemple, le feu, l'eau, la fumée, l'humidité).
5. Répondez aux alarmes environnementales et autres notifications. Documenter et tester les procédures, qui doivent inclure la priorisation des alarmes et le contact
avec les autorités locales d'intervention d'urgence et former le personnel à ces procédures.
6. Comparez les mesures et les plans d'urgence avec les exigences de la police d'assurance et rapportez les résultats. Traiter les points de nonconformité de manière
en temps opportun.
7. Veiller à ce que les sites informatiques soient construits et conçus pour minimiser l'impact des risques environnementaux (par exemple, vol, air, incendie, fumée, eau, vibrations, terreur, vandalisme, produits
chimiques, explosifs). Envisagez des zones de sécurité spécifiques et/ou des cellules ignifuges (par exemple, en éloignant les environnements/serveurs de production et de développement les uns des autres).
8. Maintenir les sites informatiques et les salles de serveurs propres et sécuritaires à tout moment (c'estàdire pas de dégâts, pas de boîtes de papier ou de carton, pas de poubelles remplies, pas de
produits chimiques ou de matériaux inflammables).
et
conscience
Activités
1. Examiner les exigences des installations informatiques en matière de protection contre les fluctuations et les pannes de courant, conjointement avec d'autres exigences en matière de planification de la
continuité des activités. Procurezvous des équipements d'alimentation sans interruption appropriés (par exemple, batteries, générateurs) pour soutenir la planification de la continuité des activités.
2. Testez régulièrement les mécanismes de l'alimentation sans coupure et assurezvous que l'alimentation peut être commutée sur l'alimentation sans aucun effet significatif sur
Operations commerciales.
3. Assurezvous que les installations hébergeant les systèmes informatiques disposent de plusieurs sources pour les services publics dépendants (par exemple, électricité, télécommunications, eau, gaz).
Séparez l’entrée physique de chaque service public.
4. Confirmez que le câblage externe au site informatique est situé sous terre ou dispose d'une protection alternative appropriée. Déterminez que le câblage du site informatique est contenu dans des conduits
sécurisés et que l'accès aux armoires de câblage est réservé au personnel autorisé. Protégez correctement le câblage contre les dommages causés par le feu, la fumée, l'eau, les interceptions et les
interférences.
5. Assurezvous que le câblage et les correctifs physiques (données et téléphone) sont structurés et organisés. Les structures de câblage et de conduits doivent être documentées
(par exemple, plan de construction et schémas de câblage).
6. Analyser les installations hébergeant les systèmes à haute disponibilité pour les exigences de redondance et de basculement en matière de câblage (externe et interne).
7. Veiller à ce que les sites et installations informatiques soient en conformité continue avec les lois, réglementations, directives et spécifications des fournisseurs en matière de santé et de sécurité.
8. Éduquer régulièrement le personnel sur les lois, les réglementations et les directives pertinentes en matière de santé et de sécurité. Former le personnel aux exercices d'incendie et de sauvetage pour
garantir les connaissances et les mesures prises en cas d'incendie ou d'incidents similaires.
9. Enregistrer, surveiller, gérer et résoudre les incidents liés aux installations conformément au processus de gestion des incidents informatiques. Mettre à disposition des rapports sur les installations
incidents pour lesquels la divulgation est requise en termes de lois et de réglementations.
10. S'assurer que les sites et équipements informatiques sont entretenus conformément aux intervalles d'entretien et aux spécifications recommandés par le fournisseur. La maintenance
doit être effectué uniquement par du personnel autorisé.
11. Analyser les modifications physiques des sites ou locaux informatiques pour réévaluer le risque environnemental (par exemple, incendie ou dégâts des eaux). Communiquer les résultats de cette analyse à
la continuité des activités et à la gestion des installations.
175
Machine Translated by Google
176
Machine Translated by Google
assistanc
Chapitre 5
Livraison,
Contenu du guide de référence du processus COBIT 5
Domaine : Gestion
DSS02 Gérer les demandes de service et les incidents Domaine : livraison, service et support
Description du processus
Fournir une réponse rapide et efficace aux demandes des utilisateurs et résoudre tous les types d’incidents. Rétablir le service normal ; enregistrer et répondre aux demandes des utilisateurs ; et enregistrer, enquêter, diagnostiquer,
service
Augmentez votre productivité et minimisez les interruptions grâce à une résolution rapide des requêtes et des incidents des utilisateurs.
04 Gestion des risques métiers liés à l’informatique • Pourcentage de processus métier critiques, de services informatiques et de programmes métiers
• Nombre d'incidents informatiques importants qui n'ont pas été identifiés lors de l'évaluation des
risques.
• Pourcentage d'évaluations des risques d'entreprise, y compris les risques liés à l'informatique
07 Livraison de services informatiques en adéquation avec les besoins métiers • Nombre d'interruptions d'activité dues à des incidents de service informatique
1. Les services liés à l'informatique sont disponibles. • Nombre et pourcentage d'incidents entraînant une perturbation des processus
2. Les incidents sont résolus selon les niveaux de service convenus. • Pourcentage d'incidents résolus dans un délai convenu/acceptable
de temps
3. Les demandes de service sont traitées selon les niveaux de service convenus et à la satisfaction des • Niveau de satisfaction des utilisateurs concernant le traitement des demandes de service
utilisateurs. • Temps moyen écoulé pour traiter chaque type de demande de service
et
177
Machine Translated by Google
liesnoC
ri'D
d
astésrierpcitooéerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
id
s'l
coaR
d
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
iuéontpiivtssnitee
eéé
sessitrnpaeertgnie
itesrlueaaB
g
d
vl
ssu
sé
o'C
d
nsqe
tiduA
taéo
tm
laedrtiécsn
tm
sm
pv
tnaio
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
seelbusaqnsio
iap
tneemlbeapspnoole
uo
rqtsitnianom
ae
sgrtg
aue
n
srnuo
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
/semme)aé
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
DSS02.01
Définir les systèmes de classification C je je ACRR RCCC
DSS02.02
DSS02.03
demandes de service.
DSS02.04
DSS02.05
Résoudre les incidents et je je je CCI FR RA C
s'en remettre.
DSS02.06
DSS02.07
Suivre l'état et produire je je je je je je IA RI
des rapports.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
DSS02.01 Définir les systèmes de classification des incidents et des Depuis Description Description À
demandes de service.
APO09.03 SLA Schémas et modèles de Interne
Définir des schémas et des modèles de classification des incidents et
classification des incidents et
des demandes de service.
des demandes de service
Activités
1. Définir des schémas et des critères de classification et de priorisation des incidents et des demandes de service pour l'enregistrement des problèmes, afin de garantir des approches cohérentes pour
manipulation, information des utilisateurs et analyse des tendances.
2. Définir des modèles d'incidents pour les erreurs connues afin de permettre une résolution efficace et efficiente.
3. Définissez des modèles de demande de service en fonction du type de demande de service pour permettre une assistance autonome et un service efficace pour les demandes standard.
4. Définir les règles et procédures de remontée des incidents, notamment pour les incidents majeurs et les incidents de sécurité.
178
Machine Translated by Google
assistanc
Chapitre 5
Livraison,
Contenu du guide de référence du processus COBIT 5
Enregistrer, classer et hiérarchiser les demandes et les incidents. Depuis Description Description À
service
l'entreprise et des accords de service. BAI04.05 Procédure d'escalade Incidents et demandes de service APO08.03
Activités
1. Enregistrez toutes les demandes de service et incidents, en enregistrant toutes les informations pertinentes afin qu'ils puissent être traités efficacement et qu'un enregistrement historique complet puisse
être maintenu.
2. Pour permettre l'analyse des tendances, classez les demandes de service et les incidents en identifiant le type et la catégorie.
3. Hiérarchisez les demandes de service et les incidents en fonction de la définition du service SLA de l'impact commercial et de l'urgence.
DSS02.03 Vérifier, approuver et exécuter les demandes de service. Depuis Description Description À
Activités
1. Vérifiez le droit aux demandes de service en utilisant, si possible, un flux de processus prédéfini et des modifications standard.
2. Obtenir l'approbation ou l'approbation financière et fonctionnelle, si nécessaire, ou des approbations prédéfinies pour les modifications standard convenues.
3. Répondez aux demandes en exécutant la procédure de demande sélectionnée, en utilisant, si possible, des menus automatisés d'autoassistance et des modèles de demande prédéfinis.
pour les articles fréquemment demandés.
et
Enquêter, diagnostiquer et attribuer les incidents. Depuis Description Description À
Activités
1. Identifier et décrire les symptômes pertinents pour établir les causes les plus probables des incidents. Référencer les ressources de connaissances disponibles (y compris
erreurs et problèmes connus) pour identifier les résolutions possibles des incidents (solutions temporaires et/ou solutions permanentes).
2. Si un problème connexe ou une erreur connue n'existe pas déjà et si l'incident répond aux critères convenus pour l'enregistrement du problème, enregistrez un nouveau problème.
3. Attribuez les incidents à des fonctions spécialisées si une expertise plus approfondie est nécessaire et engagez le niveau de direction approprié, où et si nécessaire.
connaissances acquises
Activités
1. Sélectionnez et appliquez les résolutions d'incidents les plus appropriées (solution de contournement temporaire et/ou solution permanente).
2. Enregistrez si des solutions de contournement ont été utilisées pour la résolution des incidents.
4. Documenter la résolution des incidents et évaluer si la résolution peut être utilisée comme future source de connaissances.
179
Machine Translated by Google
DSS02.06 Clôture des demandes de service et des incidents. Depuis Description Description À
Activités
1. Vérifiez auprès des utilisateurs concernés (si convenu) que la demande de service a été satisfaite de manière satisfaisante ou que l'incident a été résolu de manière satisfaisante.
Activités
1. Surveiller et suivre les escalades et les résolutions d'incidents et demander des procédures de traitement pour progresser vers la résolution ou l'achèvement.
2. Identifier les parties prenantes de l'information et leurs besoins en données ou en rapports. Identifiez la fréquence et le support des rapports.
3. Analyser les incidents et les demandes de service par catégorie et type pour établir des tendances et identifier les modèles de problèmes récurrents, de violations des SLA ou
inefficacités. Utilisez les informations comme contribution à la planification de l’amélioration continue.
4. Produisez et distribuez des rapports en temps opportun ou fournissez un accès contrôlé aux données en ligne.
180
Machine Translated by Google
assistanc
Chapitre 5
Livraison,
Contenu du guide de référence du processus COBIT 5
Domaine : Gestion
Description du processus
Identifiez et classez les problèmes et leurs causes profondes et apportez une résolution rapide pour éviter les incidents récurrents. Fournir des recommandations d’améliorations.
service
Augmentez la disponibilité, améliorez les niveaux de service, réduisez les coûts et améliorez le confort et la satisfaction des clients en réduisant le nombre de problèmes opérationnels.
04 Gestion des risques métiers liés à l’informatique • Pourcentage de processus métier critiques, de services informatiques et de programmes métiers
• Nombre d'incidents informatiques importants qui n'ont pas été identifiés lors de l'évaluation des risques.
• Pourcentage d'évaluations des risques d'entreprise, y compris les risques liés à l'informatique
07 Livraison de services informatiques en adéquation avec les besoins métiers • Nombre d'interruptions d'activité dues à des incidents de service informatique
11 Optimisation des actifs, ressources et capacités informatiques • Fréquence des évaluations de maturité des capacités et d'optimisation des coûts
• Tendance des résultats de l'évaluation
• Niveaux de satisfaction des responsables commerciaux et informatiques à l'égard des coûts et des
14 Disponibilité d'informations fiables et utiles pour la prise de décision • Niveau de satisfaction des utilisateurs professionnels quant à la qualité et à l'actualité (ou à la
et
Objectif du processus Métriques associées
1. Les problèmes informatiques sont résolus afin qu’ils ne se reproduisent plus. • Diminution du nombre d'incidents récurrents causés par des problèmes non
résolus
• Pourcentage d'incidents majeurs pour lesquels des problèmes ont été enregistrés
problèmes.
• Nombre de problèmes pour lesquels une solution satisfaisante abordant les causes profondes a été trouvée
181
Machine Translated by Google
liesnoC
ri'D
d
astésrierpcitooéerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
ids'l
iuéontpiivtssniteecoaR
dcl
a
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
ids'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
eéé
sessitrnpaeertgnie
itesrlueaaB
gvl
d
iapsmssu
pvsé
o'C
d
nsqe
tiduA
taéo
tm
laedrtiécsn
tm
tnaio
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
seelbusaqnsio
tneemlbeapspnoole
uo
rqtsitnianom
ae
/semme)aésgrtg
aue
n
srnuo
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
DSS03.01
CI je je je IRCRR CA
Identifier et classer les problèmes.
DSS03.02
Enquêter et je je DPA FR
diagnostiquer les problèmes.
DSS03.03
UN FR
Générer des erreurs connues.
DSS03.04
CI je je CCICCR UN
Résoudre et clôturer les problèmes.
DSS03.05
Effectuer une gestion C RCC UN
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
Activités
1. Identifiez les problèmes grâce à la corrélation des rapports d'incidents, des journaux d'erreurs et d'autres ressources d'identification des problèmes. Déterminer les niveaux de priorité et
catégorisation pour résoudre les problèmes en temps opportun en fonction du risque commercial et de la définition du service.
2. Gérer formellement tous les problèmes avec accès à toutes les données pertinentes, y compris les informations du système de gestion des changements et la configuration/l'actif informatique.
et les détails de l'incident.
3. Définir des groupes de soutien appropriés pour aider à l'identification du problème, à l'analyse des causes profondes et à la détermination de solutions pour résoudre le problème.
gestion. Déterminez les groupes de support en fonction de catégories prédéfinies, telles que le matériel, le réseau, les logiciels, les applications et les logiciels de support.
4. Définir les niveaux de priorité en consultant l'entreprise pour garantir que l'identification des problèmes et l'analyse des causes profondes sont traitées en temps opportun,
conformément aux SLA convenus. Basez les niveaux de priorité sur l’impact commercial et l’urgence.
ivirsrvsetia
L
e
s
5. Signalez l'état des problèmes identifiés au centre de services afin que les clients et la direction informatique puissent être tenus informés.
asctisa
e,cnnoe
6. Maintenir un catalogue unique de gestion des problèmes pour enregistrer et signaler les problèmes identifiés et établir des pistes d'audit de la gestion des problèmes.
processus, y compris l'état de chaque problème (c'estàdire ouvert, rouvert, en cours ou fermé).
Activités
1. Identifier les problèmes qui peuvent être des erreurs connues en comparant les données d'incidents avec la base de données des erreurs connues et suspectées (par exemple, celles communiquées
par des fournisseurs externes) et classer les problèmes comme une erreur connue.
3. Produire des rapports pour communiquer les progrès réalisés dans la résolution des problèmes et pour surveiller l'impact continu des problèmes non résolus. Surveiller l'état de
le processus de gestion des problèmes tout au long de son cycle de vie, y compris les apports de la gestion des modifications et de la configuration.
182
Machine Translated by Google
assistanc
Chapitre 5
Livraison,
Contenu du guide de référence du processus COBIT 5
Dès que les causes profondes des problèmes sont identifiées, créez
Enregistrements d'erreurs connues DSS02.05
des enregistrements d'erreurs connues et une solution de
contournement appropriée, et identifiez les solutions potentielles. Solutions proposées aux BAI06.01
service
erreurs connues
Activités
1. Dès que les causes profondes des problèmes sont identifiées, créez des enregistrements d’erreurs connues et développez une solution de contournement appropriée.
2. Identifier, évaluer, prioriser et traiter (via la gestion du changement) les solutions aux erreurs connues sur la base d'une analyse de rentabilisation coûtsavantages et d'une stratégie commerciale.
impact et urgence.
Assurezvous que le personnel concerné est au courant des mesures incidents clôturés connaissances acquises DSS02.05
Activités
1. Fermez les enregistrements de problèmes soit après confirmation de l'élimination réussie de l'erreur connue, soit après accord avec l'entreprise sur la manière de traiter alternativement le
problème.
2. Informer le service d'assistance du calendrier de résolution du problème, par exemple le calendrier de correction des erreurs connues, la solution de contournement possible ou le fait que le problème
persistera jusqu'à ce que le changement soit mis en œuvre, et les conséquences de l'approche adoptée. Tenez les utilisateurs et les clients concernés informés, le cas échéant.
3. Tout au long du processus de résolution, obtenez des rapports réguliers de la gestion du changement sur les progrès réalisés dans la résolution des problèmes et des erreurs.
4. Surveiller l'impact continu des problèmes et des erreurs connues sur les services.
et
6. Assurezvous que les connaissances acquises lors de l'examen sont intégrées à une réunion d'examen du service avec le client professionnel.
DSS03.05 Effectuer une gestion proactive des problèmes. Depuis Description Description À
Activités
1. Capturez les informations sur les problèmes liés aux changements et incidents informatiques et communiquezles aux principales parties prenantes. Cette communication pourrait prendre la forme de
rapports et de réunions périodiques entre les propriétaires des processus de gestion des incidents, des problèmes, des changements et des configurations pour examiner les problèmes récents et les
actions correctives potentielles.
2. Veiller à ce que les propriétaires de processus et les responsables de la gestion des incidents, des problèmes, des changements et des configurations se réunissent régulièrement pour discuter des problèmes connus.
et les futurs changements prévus.
3. Pour permettre à l'entreprise de surveiller les coûts totaux des problèmes, capturer les efforts de changement résultant des activités du processus de gestion des problèmes
(par exemple, corrections de problèmes et d'erreurs connues) et en rendre compte.
4. Produire des rapports pour surveiller la résolution des problèmes par rapport aux exigences commerciales et aux SLA. Assurer la bonne escalade des problèmes, par exemple,
escalade vers un niveau de gestion supérieur selon des critères convenus, contact avec des fournisseurs externes ou référence au comité consultatif des changements pour augmenter la priorité
d'une demande urgente de changement (RFC) afin de mettre en œuvre une solution de contournement temporaire.
5. Pour optimiser l'utilisation des ressources et réduire les solutions de contournement, suivez les tendances des problèmes.
6. Identifier et initier des solutions durables (correction permanente) s'attaquant à la cause profonde et soulever des demandes de changement via le changement établi
processus de gestion.
183
Machine Translated by Google
184
Machine Translated by Google
assistanc
Chapitre 5
Livraison,
Contenu du guide de référence du processus COBIT 5
Domaine : Gestion
DSS04 Gérer la continuité Domaine : livraison, service et support
Description du processus
Établir et maintenir un plan pour permettre à l'entreprise et à l'informatique de répondre aux incidents et aux perturbations afin de poursuivre le fonctionnement des processus métier critiques et des services
informatiques requis et de maintenir la disponibilité des informations à un niveau acceptable pour l'entreprise.
service
Poursuivre les opérations commerciales critiques et maintenir la disponibilité des informations à un niveau acceptable pour l'entreprise en cas de perturbation importante.
04 Gestion des risques métiers liés à l’informatique • Pourcentage de processus métier critiques, de services informatiques et de programmes
métiers informatiques couverts par une évaluation des risques.
• Nombre d'incidents informatiques importants qui n'ont pas été identifiés lors de l'évaluation des
risques.
07 Livraison de services informatiques en adéquation avec les besoins métiers • Nombre d'interruptions d'activité dues à des incidents de service informatique
• Pourcentage de parties prenantes de l'entreprise satisfaites que la prestation de services informatiques
14 Disponibilité d'informations fiables et utiles pour la prise de décision • Niveau de satisfaction des utilisateurs professionnels quant à la qualité et à l'actualité (ou
à la disponibilité) des informations de gestion.
• Nombre d'incidents de processus métier causés par la nondisponibilité des informations
1. Les informations critiques pour l'entreprise sont disponibles pour l'entreprise conformément aux • Pourcentage de services informatiques répondant aux exigences de disponibilité
niveaux de service minimaux requis. • Pourcentage de restauration réussie et en temps opportun à partir de copies de sauvegarde ou de
supports alternatifs
• Pourcentage de supports de sauvegarde transférés et stockés en toute sécurité
et
2. Une résilience suffisante est en place pour les services critiques. • Nombre de systèmes d'entreprise critiques non couverts par le plan
3. Des tests de continuité de service ont vérifié l'efficacité du plan. • Nombre d'exercices et de tests ayant atteint les objectifs de récupération
• Fréquence des tests
4. Un plan de continuité à jour reflète les exigences commerciales actuelles. • Pourcentage d'améliorations convenues du plan qui ont été reflétées dans le plan
• Pourcentage de problèmes identifiés qui ont ensuite été traités dans le plan
5. Les parties internes et externes ont été formées au plan de continuité. • Pourcentage de parties prenantes internes et externes ayant reçu une formation
• Pourcentage de problèmes identifiés qui ont ensuite été abordés dans les supports de formation
185
Machine Translated by Google
liesnoC
ri'D
d
astésrierpcitooéerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
ids'l
iuéontpiivtssniteecoaR
dcl
a
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
ids'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
eéé
sessitrnpaeertgnie
itesrlueaaB
gvl
d
iapsmssu
pvsé
o'C
d
nsqe
tiduA
taéo
tm
laedrtiécsn
tm
tnaio
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
seelbusaqnsio
tneemlbeapspnoole
uo
rqtsitnianom
ae
/semme)aésgrtg
aue
n
srnuo
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
DSS04.01
Définir la politique, les objectifs et la ACR C RCC RCR R.
DSS04.02
ACR je CCRRCR R.
Maintenir une stratégie de continuité.
DSS04.03
Élaborer et mettre en œuvre IR ICCRCCR UN
DSS04.04
Exercer, tester et réviser IR je FR CR UN
le PCA.
DSS04.05
Réviser, maintenir et améliorer AIR je R. CR R.
le plan de continuité.
DSS04.06
IR R. €€€ UN
Organiser une formation sur le plan de continuité.
DSS04.07
Californie R.
Gérer les arrangements de sauvegarde.
DSS04.08
Effectuer un examen après CR je RCCRR UN
la reprise.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
Activités
1. Identifier les processus commerciaux et les activités de service internes et externalisés qui sont essentiels aux opérations de l'entreprise ou nécessaires pour respecter les exigences juridiques et/ou légales.
ou des obligations contractuelles.
2. Identifier les principales parties prenantes ainsi que les rôles et responsabilités pour définir et convenir de la politique et de la portée de la continuité.
3. Définir et documenter les objectifs politiques minimaux convenus et la portée de la continuité des activités et intégrer la nécessité d'une planification de la continuité dans le
culture d'entreprise.
4. Identifier les processus opérationnels de support essentiels et les services informatiques associés.
186
Machine Translated by Google
assistanc
Chapitre 5
Livraison,
Contenu du guide de référence du processus COBIT 5
service
sur l'impact des risques
perturbation majeur.
Options stratégiques approuvées APO02.05
Activités
1. Identifier les scénarios potentiels susceptibles de donner lieu à des événements susceptibles de provoquer des incidents perturbateurs significatifs.
2. Effectuer une analyse d'impact sur l'entreprise pour évaluer l'impact au fil du temps d'une perturbation des fonctions commerciales critiques et l'effet qu'une perturbation aurait
avoir sur eux.
3. Établir le temps minimum requis pour récupérer un processus métier et prendre en charge l'informatique en fonction d'une durée acceptable d'interruption des activités et
panne maximale tolérable.
4. Évaluer la probabilité de menaces susceptibles d'entraîner une perte de continuité des activités et identifier les mesures qui réduiront la probabilité et l'impact grâce à une meilleure prévention et une
résilience accrue.
5. Analyser les exigences de continuité pour identifier les options commerciales et techniques stratégiques possibles.
6. Déterminer les conditions et les propriétaires des décisions clés qui entraîneront l'invocation des plans de continuité.
7. Identifier les besoins en ressources et les coûts pour chaque option technique stratégique et formuler des recommandations stratégiques.
activités critiques.
Activités
et
1. Définir les actions de réponse aux incidents et les communications à prendre en cas de perturbation. Définir les rôles et responsabilités associés, y compris la responsabilité en matière de politique
et de mise en œuvre.
2. Développer et maintenir des PCA opérationnels contenant les procédures à suivre pour permettre le fonctionnement continu des processus commerciaux critiques et/ou
des modalités de traitement temporaires, y compris des liens vers des plans de prestataires de services externalisés.
3. Assurezvous que les principaux fournisseurs et partenaires externalisés disposent de plans de continuité efficaces. Obtenir des preuves vérifiées si nécessaire.
4. Définir les conditions et les procédures de reprise qui permettraient la reprise des traitements métier, y compris la mise à jour et le rapprochement des
bases de données d’informations pour préserver l’intégrité de l’information.
5. Définir et documenter les ressources nécessaires pour prendre en charge les procédures de continuité et de reprise, en tenant compte des personnes, des installations et de l'infrastructure informatique.
6. Définir et documenter les exigences de sauvegarde des informations requises pour soutenir les plans, y compris les plans et les documents papier ainsi que les fichiers de données,
et considérez le besoin de sécurité et de stockage hors site.
7. Déterminer les compétences requises pour les personnes impliquées dans l'exécution du plan et des procédures.
8. Distribuez les plans et les pièces justificatives en toute sécurité aux parties intéressées dûment autorisées et assurezvous qu'ils sont accessibles sous tous les
scénarios de catastrophe.
187
Machine Translated by Google
Activités
1. Définir les objectifs d'exercice et de test des systèmes commerciaux, techniques, logistiques, administratifs, procéduraux et opérationnels du plan à vérifier
l'exhaustivité du PCA pour faire face aux risques commerciaux.
2. Définir et convenir avec les parties prenantes d'exercices réalistes, valider les procédures de continuité et inclure les rôles, les responsabilités et les données
des dispositions de rétention qui perturbent le moins possible les processus opérationnels.
3. Attribuez des rôles et des responsabilités pour effectuer les exercices et les tests du plan de continuité.
4. Planifier les exercices et les activités de tests tels que définis dans le plan de continuité.
6. Élaborer des recommandations pour améliorer le plan de continuité actuel sur la base des résultats de l'examen.
Activités
1. Examiner régulièrement le plan de continuité et les capacités par rapport aux hypothèses formulées et aux objectifs opérationnels et stratégiques actuels de l'entreprise.
2. Déterminez si une évaluation révisée de l’impact sur les entreprises peut être nécessaire, selon la nature du changement.
3. Recommander et communiquer les changements apportés aux politiques, aux plans, aux procédures, à l'infrastructure, ainsi qu'aux rôles et responsabilités, pour approbation par la direction et
traitement via le processus de gestion du changement.
4. Examiner régulièrement le plan de continuité pour prendre en compte l'impact des changements nouveaux ou majeurs sur : l'organisation de l'entreprise, les processus métier,
les accords d'externalisation, les technologies, l'infrastructure, les systèmes d'exploitation et les systèmes d'application.
et compétences
Activités
etia
ivirsrvs
asctisa
e,cnnoe L
e
s
1. Définir et maintenir les exigences et les plans de formation pour ceux qui effectuent la planification de la continuité, les évaluations d'impact, les évaluations des risques, la communication
avec les médias et la réponse aux incidents. Veiller à ce que les plans de formation tiennent compte de la fréquence de la formation et des mécanismes de prestation de la formation.
2. Développer des compétences basées sur une formation pratique comprenant la participation à des exercices et des tests.
3. Surveiller les aptitudes et les compétences en fonction des résultats des exercices et des tests.
188
Machine Translated by Google
assistanc
Chapitre 5
Livraison,
Contenu du guide de référence du processus COBIT 5
Activités
service
1. Sauvegarder les systèmes, les applications, les données et la documentation selon un calendrier défini, en tenant compte :
• Fréquence (mensuelle, hebdomadaire, quotidienne, etc.)
• Mode de sauvegarde (par exemple, mise en miroir de disque pour des sauvegardes en temps réel ou DVDROM pour une conservation à
long terme) • Type de sauvegarde (par exemple, complète
ou incrémentielle) •
Type de support • Sauvegardes en ligne
automatisées • Types de données (par
exemple, vocales,
optiques) • Création de journaux • Données informatiques critiques de
l'utilisateur final (par exemple, feuilles de calcul) • Emplacement
physique et logique des sources de
données • Sécurité et droits d'accès • Chiffrement
2. Veiller à ce que les systèmes, applications, données et documentations conservés ou traités par des tiers soient correctement sauvegardés ou autrement sécurisés.
Pensez à exiger le retour des sauvegardes de tiers. Envisagez des modalités de dépôt ou de dépôt.
3. Définir les exigences en matière de stockage sur site et hors site des données de sauvegarde qui répondent aux exigences de l'entreprise. Considérez l’accessibilité requise pour
sauvegarder les données.
aux plans
et
Activités
2. Déterminer l'efficacité du plan, les capacités de continuité, les rôles et responsabilités, les aptitudes et compétences, la résilience à l'incident, les aspects techniques.
l’infrastructure, ainsi que les structures et relations organisationnelles.
3. Identifier les faiblesses ou les omissions dans le plan et les capacités et formuler des recommandations d'amélioration.
4. Obtenez l'approbation de la direction pour toute modification apportée au plan et appliquezla via le processus de contrôle des modifications de l'entreprise.
ITIL V3 2011 Conception des services, 4.6 Gestion de la continuité des services informatiques
189
Machine Translated by Google
190
Machine Translated by Google
assistanc
Chapitre 5
Livraison,
Contenu du guide de référence du processus COBIT 5
Domaine : Gestion
DSS05 Gérer les services de sécurité Domaine : livraison, service et support
Description du processus
Protéger les informations de l'entreprise pour maintenir le niveau de risque de sécurité des informations acceptable pour l'entreprise conformément à la politique de sécurité.
Établir et maintenir des rôles de sécurité des informations et des privilèges d'accès et effectuer une surveillance de la sécurité.
service
Minimisez l’impact commercial des vulnérabilités et des incidents opérationnels en matière de sécurité des informations.
02 Conformité informatique et assistance à la conformité des entreprises aux lois et réglementations • Coût de la nonconformité informatique, y compris les règlements et les amendes, et l'impact de la
externes perte de réputation
• Nombre de problèmes de nonconformité liés aux technologies de l'information signalés au conseil
• Nombre de problèmes de nonconformité liés aux accords contractuels avec les prestataires de
services informatiques
04 Gestion des risques métiers liés à l’informatique • Pourcentage de processus métier critiques, de services informatiques et de programmes métiers
• Pourcentage d'évaluations des risques d'entreprise, y compris les risques liés à l'informatique
• Fréquence de mise à jour du profil de risque
10 Sécurité des informations, des infrastructures de traitement et des applications • Nombre d'incidents de sécurité entraînant des pertes financières, des perturbations des activités ou un
embarras public
et
1. La sécurité des réseaux et des communications répond aux besoins des entreprises. • Nombre de vulnérabilités découvertes
• Nombre de violations du parefeu
2. Les informations traitées, stockées et transmises par les appareils terminaux sont protégées. • Pourcentage de personnes bénéficiant d'une formation de sensibilisation relative à l'utilisation des
terminaux.
3. Tous les utilisateurs sont identifiables de manière unique et disposent de droits d'accès conformément • Délai moyen entre changement et mise à jour des comptes
avec leur rôle commercial. • Nombre de comptes (par rapport au nombre d'utilisateurs/personnel autorisés)
4. Des mesures physiques ont été mises en œuvre pour protéger les informations contre tout accès non • Pourcentage de tests périodiques des dispositifs de sécurité environnementale
autorisé, tout dommage et toute interférence lors de leur traitement, stockage ou transmission. • Note moyenne pour les évaluations de sécurité physique
• Nombre d'incidents liés à la sécurité physique
5. Les informations électroniques sont correctement sécurisées lorsqu'elles sont stockées, transmises • Nombre d'incidents liés à un accès non autorisé à l'information
ou détruites.
191
Machine Translated by Google
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
R
d'il
R
ids'l
R
dcl
a
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
ids'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
prsodeefan
éa
ca
C
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
éa
o
rxeta
toirpuoscfene
sitee
eéé
sessitrnpaeertgnie
aaB
gvl
d
toirpuoscfene
iapsmssu
pvsé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
iuéontpiivtsn
tm
laedrtiécsn
auietesrlue
tm
tnaio
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
seelbusaqnsio
lbeapspnoole
uo
rqtsitnianom
e
a
/semme)aésgrtg
uo
nm
étué
nm
noitraum
tnrue
uro
srn
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
tneem
Pratique de gestion
DSS05.01
RI Californie RCCCIRR IR
Protéger contre les logiciels malveillants.
DSS05.02
Gérer la sécurité du je Californie CCCIRR IR
réseau et de la connectivité.
DSS05.03
je Californie CCCIRR IR
Gérer la sécurité des points de terminaison.
DSS05.04
Gérer l'identité des utilisateurs R. Californie ICCCICR IR C
et l'accès logique.
DSS05.05
Gérer l'accès physique aux je Californie CCCICR IRI
actifs informatiques.
DSS05.06
Gérer les documents sensibles et je DPA R.
DSS05.07
Surveiller l'infrastructure pour détecter je C IA CCCICR IRI je
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
Activités
etia
asctisaivirsrvs
e,cnnoe L
e
s
1. Communiquer la sensibilisation aux logiciels malveillants et appliquer les procédures et responsabilités de prévention.
2. Installez et activez les outils de protection contre les logiciels malveillants sur toutes les installations de traitement, avec des fichiers de définition de logiciels malveillants mis à jour selon les besoins.
(automatiquement ou semiautomatiquement).
3. Distribuez tous les logiciels de protection de manière centralisée (version et niveau de correctif) à l'aide d'une configuration centralisée et d'une gestion des modifications.
4. Examinez et évaluez régulièrement les informations sur les nouvelles menaces potentielles (par exemple, en examinant les avis de sécurité sur les produits et services des fournisseurs).
5. Filtrez le trafic entrant, tel que les emails et les téléchargements, pour vous protéger contre les informations non sollicitées (par exemple, les logiciels espions, les emails de phishing).
6. Organisez des formations périodiques sur les logiciels malveillants dans l'utilisation du courrier électronique et d'Internet. Formez les utilisateurs à ne pas installer de logiciels partagés ou non approuvés.
192
Machine Translated by Google
assistanc
Chapitre 5
Livraison,
Contenu du guide de référence du processus COBIT 5
connectivité.
APO01.06 Directives de classification Politique de sécurité de la connectivité APO01.04
Utilisez des mesures de sécurité et des procédures de gestion
des données
associées pour protéger les informations sur toutes les méthodes
service
de connectivité. APO09.03 SLA Résultats des tests d'intrusion MEA02.08
Activités
1. Sur la base des évaluations des risques et des exigences commerciales, établir et maintenir une politique de sécurité de la connectivité.
2. Autorisez uniquement les appareils autorisés à accéder aux informations de l'entreprise et au réseau de l'entreprise. Configurez ces appareils pour forcer la saisie du mot de passe.
3. Mettre en œuvre des mécanismes de filtrage du réseau, tels que des parefeu et des logiciels de détection d'intrusion, avec des politiques appropriées pour contrôler les flux entrants et
trafic sortant.
7. Établir des mécanismes fiables pour prendre en charge la transmission et la réception sécurisées des informations.
8. Effectuer des tests d'intrusion périodiques pour déterminer l'adéquation de la protection du réseau.
9. Effectuer des tests périodiques de sécurité du système pour déterminer l'adéquation de la protection du système.
et
DSS06.06 Rapports de violations
Activités
193
Machine Translated by Google
Activités
1. Maintenir les droits d’accès des utilisateurs conformément aux exigences des fonctions commerciales et des processus. Aligner la gestion des identités et des droits d’accès
les rôles et responsabilités définis, sur la base des principes du moindre privilège, du besoin d’avoir et du besoin de savoir.
2. Identifier de manière unique toutes les activités de traitement de l'information par rôles fonctionnels, en coordination avec les unités commerciales pour garantir que tous les rôles sont cohérents.
définis, y compris les rôles définis par l'entreprise ellemême dans les applications de processus métier.
3. Authentifier tous les accès aux actifs informationnels en fonction de leur classification de sécurité, en coordination avec les unités commerciales qui gèrent l'authentification
au sein des applications utilisées dans les processus métier pour garantir que les contrôles d’authentification ont été correctement administrés.
4. Administrer toutes les modifications apportées aux droits d'accès (création, modifications et suppressions) pour qu'elles prennent effet au moment approprié sur la base uniquement des informations approuvées et
7. S'assurer que tous les utilisateurs (internes, externes et temporaires) et leur activité sur les systèmes informatiques (application métier, infrastructure informatique, opérations système,
développement et maintenance) sont identifiables de manière unique. Identifiez de manière unique toutes les activités de traitement de l’information par utilisateur.
8. Maintenir une piste d'audit de l'accès aux informations classées comme hautement sensibles.
DSS05.05 Gérer l'accès physique aux actifs informatiques. Depuis Description Description À
Activités
1. Gérer la demande et l'octroi d'accès aux installations informatiques. Les demandes d'accès formelles doivent être complétées et autorisées par
gestion du site informatique, et les enregistrements de demandes conservés. Les formulaires doivent identifier spécifiquement les zones auxquelles la personne a accès.
2. Assurezvous que les profils d'accès restent à jour. Basez l'accès aux sites informatiques (salles de serveurs, bâtiments, zones ou zones) sur la fonction et les responsabilités du poste.
3. Enregistrez et surveillez tous les points d'entrée aux sites informatiques. Enregistrez tous les visiteurs, y compris les entrepreneurs et les fournisseurs, du site.
4. Demandez à tout le personnel d'afficher une pièce d'identité visible à tout moment. Empêcher la délivrance de cartes d'identité ou de badges sans autorisation appropriée.
5. Exiger que les visiteurs soient accompagnés à tout moment lorsqu'ils sont sur place. Si une personne non accompagnée et inconnue qui ne porte pas de pièce d'identité du personnel est identifiée,
alerter le personnel de sécurité.
6. Restreignez l'accès aux sites informatiques sensibles en établissant des restrictions de périmètre, telles que des clôtures, des murs et des dispositifs de sécurité sur les portes intérieures et extérieures.
etia
ivirsrvs
asctisa
e,cnnoe L
e
s
Assurezvous que les appareils enregistrent l’entrée et déclenchent une alarme en cas d’accès non autorisé. Des exemples de tels dispositifs comprennent les badges ou les cartesclés, les claviers, la
télévision en circuit fermé et les scanners biométriques.
194
Machine Translated by Google
assistanc
Chapitre 5
Livraison,
Contenu du guide de référence du processus COBIT 5
Gérer les documents sensibles et les périphériques de sortie. Depuis Description Description À
service
informatiques sensibles, tels que les formulaires spéciaux, les Privilèges d'accès Interne
Activités
1. Établir des procédures pour régir la réception, l'utilisation, le retrait et l'élimination des formulaires spéciaux et des dispositifs de sortie dans, à l'intérieur et à l'extérieur de l'entreprise.
2. Attribuez des privilèges d'accès aux documents et périphériques de sortie sensibles sur la base du principe du moindre privilège, en équilibrant les risques et les exigences commerciales.
3. Établir un inventaire des documents sensibles et des périphériques de sortie et effectuer des rapprochements réguliers.
4. Établir des protections physiques appropriées sur les formulaires spéciaux et les appareils sensibles.
5. Détruire les informations sensibles et protéger les périphériques de sortie (par exemple, démagnétisation des supports électroniques, destruction physique des périphériques de mémoire, fabrication
déchiqueteuses ou corbeilles à papier verrouillées disponibles pour détruire les formulaires spéciaux et autres documents confidentiels).
Activités
1. Consigner les événements liés à la sécurité signalés par les outils de surveillance de la sécurité des infrastructures, en identifiant le niveau d'informations à enregistrer en fonction d'une
prise en compte du risque. Conservezles pendant une période appropriée pour faciliter les enquêtes futures.
2. Définir et communiquer la nature et les caractéristiques des incidents potentiels liés à la sécurité afin qu'ils puissent être facilement reconnus ainsi que leurs impacts
compris pour permettre une réponse proportionnée.
3. Examinez régulièrement les journaux d'événements pour détecter les incidents potentiels.
et
4. Maintenir une procédure de collecte de preuves conforme aux règles locales en matière de preuves médicolégales et veiller à ce que tout le personnel soit informé des exigences.
5. Assurezvous que les tickets d'incident de sécurité sont créés en temps opportun lorsque la surveillance identifie des incidents de sécurité potentiels.
NIST SP80053 Rév. 1 Contrôles de sécurité recommandés pour les systèmes d'information fédéraux des ÉtatsUnis
195
Machine Translated by Google
196
Machine Translated by Google
assistanc
Chapitre 5
Livraison,
Contenu du guide de référence du processus COBIT 5
Domaine : Gestion
DSS06 Gérer les contrôles des processus métier Domaine : livraison, service et support
Description du processus
Définir et maintenir des contrôles de processus métier appropriés pour garantir que les informations liées et traitées par des processus métier internes ou externalisés satisfont à toutes les exigences pertinentes en matière
de contrôle des informations. Identifier les exigences pertinentes en matière de contrôle de l'information et gérer et mettre en œuvre des contrôles adéquats pour garantir que les informations et le traitement de
service
Déclaration d'objectif du processus
Maintenir l'intégrité des informations et la sécurité des actifs informationnels traités dans le cadre des processus métier de l'entreprise ou externalisés.
04 Gestion des risques métiers liés à l’informatique • Pourcentage de processus métier critiques, de services informatiques et de programmes métiers
• Nombre d'incidents informatiques importants qui n'ont pas été identifiés lors de l'évaluation des risques.
• Pourcentage d'évaluations des risques d'entreprise, y compris les risques liés à l'informatique
07 Livraison de services informatiques en adéquation avec les besoins métiers • Nombre d'interruptions d'activité dues à des incidents de service informatique
1. La couverture et l’efficacité des contrôles clés pour répondre aux exigences opérationnelles • Pourcentage de l'inventaire complété des processus critiques et des contrôles clés
en matière de traitement des informations sont complètes. • Pourcentage de couverture des contrôles clés dans les plans de test
• Nombre d'incidents et de conclusions du rapport d'audit indiquant une défaillance des contrôles
clés
2. L'inventaire des rôles, des responsabilités et des droits d'accès est aligné sur • Pourcentage de rôles de processus métier dotés de droits d'accès et de niveaux d'autorité attribués.
besoins commerciaux autorisés.
• Pourcentage de rôles liés aux processus métier avec une séparation claire des tâches
• Nombre d'incidents et de conclusions d'audit dus à des violations en matière d'accès ou de séparation
des tâches.
et
3. Les transactions commerciales sont conservées entièrement et comme requis dans les journaux. • Pourcentage d'exhaustivité du journal des transactions traçable
197
Machine Translated by Google
liesnoC
ri'D
d
astésrierpcitooéerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
ids'l
iuéontpiivtssniteecoaR
dcl
a
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
ids'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
eéé
sessitrnpaeertgnie
itesrlueaaB
gvl
d
iapsmssu
pvsé
o'C
d
nsqe
tiduA
taéo
tm
laedrtiécsn
tm
tnaio
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
seelbusaqnsio
tneemlbeapspnoole
uo
rqtsitnianom
ae
/semme)aésgrtg
aue
n
srnuo
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
DSS06.01
Aligner les activités de contrôle intégrées
CCCAR je je CCC C CC C
dans les processus métier avec
les objectifs de l'entreprise.
DSS06.02
Contrôler le traitement €RRAR je je CCC C CC
de l'information.
DSS06.03
Gérer les rôles, les responsabilités,
R. RA je CCCI C CR C
les privilèges d'accès et les
niveaux d'autorité.
DSS06.04
je IA CCI C R.
Gérer les erreurs et les exceptions.
DSS06.05
Assurer la traçabilité
Californie je CCC C CC
des événements
d'information et des responsabilités.
DSS06.06
CCCA je je CCC C CCC
Sécuriser les actifs informationnels.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
Activités
etia
asctisaivirsrvs
e,cnnoe L
e
s
1. Identifier et documenter les activités de contrôle des processus métier clés pour satisfaire aux exigences de contrôle en matière stratégique, opérationnelle, de reporting et
objectifs de conformité
2. Hiérarchiser les activités de contrôle en fonction du risque inhérent à l'entreprise et identifier les contrôles clés.
4. Surveiller continuellement les activités de contrôle de bout en bout pour identifier les opportunités d'amélioration.
198
Machine Translated by Google
assistanc
Chapitre 5
Livraison,
Contenu du guide de référence du processus COBIT 5
service
sécurisé (c'estàdire qu'il reflète une utilisation commerciale légitime et
autorisée).
Activités
1. Créer des transactions par des personnes autorisées selon des procédures établies, y compris, le cas échéant, une séparation adéquate des tâches concernant l'origination et l'approbation de ces
transactions.
3. Saisissez les transactions en temps opportun. Vérifiez que les transactions sont exactes, complètes et valides. Valider les données saisies et les modifier ou, le cas échéant, les envoyer
retour pour correction aussi près que possible du point d’origine.
4. Corrigez et soumettez à nouveau les données saisies par erreur sans compromettre les niveaux d'autorisation de transaction d'origine. Le cas échéant pour
reconstruction, conserver les documents sources originaux pendant la durée appropriée.
5. Maintenir l'intégrité et la validité des données tout au long du cycle de traitement. S'assurer que la détection des transactions erronées ne perturbe pas le traitement
de transactions valides.
6. Maintenir l'intégrité des données lors d'interruptions inattendues du traitement commercial et confirmer l'intégrité des données après des échecs de traitement.
7. Gérer la sortie de manière autorisée, livrer au destinataire approprié et protéger les informations pendant la transmission. Vérifier l'exactitude et
exhaustivité de la sortie.
8. Avant de transmettre des données de transaction entre les applications internes et les fonctions commerciales/opérationnelles (à l'intérieur ou à l'extérieur de l'entreprise), vérifiez que
adressage, authenticité de l’origine et intégrité du contenu. Maintenir l’authenticité et l’intégrité pendant la transmission ou le transport.
DSS06.03 Gérer les rôles, les responsabilités, les privilèges d'accès Depuis Description Description À
et
actifs informationnels liés aux processus d'information de l'entreprise, y du système de gestion de la qualité attribués
compris ceux sous la garde de l'entreprise, du service informatique
APO13.01 Énoncé du champ d'application du SMSI Droits d'accès attribués APO07.04
et de tiers. Cela garantit que l'entreprise sait où se trouvent les
données et qui les gère en son nom. DSS05.05 Journaux d'accès
Activités
1. Attribuez les rôles et les responsabilités en fonction des descriptions de poste approuvées et des activités de processus métier allouées.
2. Attribuer des niveaux d'autorité pour l'approbation des transactions, des limites et de toute autre décision relative au processus métier, en fonction des rôles professionnels approuvés.
3. Attribuez des droits d'accès et des privilèges en fonction uniquement de ce qui est requis pour effectuer les activités professionnelles, en fonction de rôles professionnels prédéfinis. Supprimer ou réviser
droits d'accès immédiats si le rôle du poste change ou si un membre du personnel quitte le domaine de processus métier. Examinez périodiquement pour vous assurer que l'accès est approprié aux
menaces, aux risques, à la technologie et aux besoins commerciaux actuels.
4. Attribuez des rôles aux activités sensibles afin qu'il y ait une séparation claire des tâches.
5. Assurer régulièrement une sensibilisation et une formation concernant les rôles et les responsabilités afin que chacun comprenne ses responsabilités ; l'importance des contrôles; et
l'intégrité, la confidentialité et la confidentialité des informations de l'entreprise sous toutes leurs formes.
6. Examinez périodiquement les définitions de contrôle d'accès, les journaux et les rapports d'exception pour vous assurer que tous les privilèges d'accès sont valides et alignés sur les membres actuels
du personnel et les rôles qui leur sont attribués.
199
Machine Translated by Google
Activités
1. Définir et maintenir des procédures pour attribuer la propriété, corriger les erreurs, remplacer les erreurs et gérer les conditions de déséquilibre.
3. Suivre, corriger, approuver et soumettre à nouveau les documents sources et les transactions.
5. Signalez les erreurs pertinentes dans les processus d'information commerciale en temps opportun pour effectuer une analyse des causes profondes et des tendances.
DSS06.05 Assurer la traçabilité des événements d'information et des Depuis Description Description À
responsabilités.
Exigences de conservation Interne
Assurezvous que les informations commerciales peuvent être
retracées jusqu'à l'événement commercial d'origine et aux parties Enregistrement des transactions Interne
Activités
1. Définir les exigences de conservation, en fonction des exigences de l'entreprise, pour répondre aux besoins opérationnels, financiers et de conformité.
2. Capturez les informations sources, les preuves à l’appui et l’enregistrement des transactions.
3. Éliminer les informations sources, les preuves à l'appui et l'enregistrement des transactions conformément à la politique de conservation.
Activités
1. Appliquer la classification des données, leur utilisation acceptable et les politiques et procédures de sécurité pour protéger les actifs informationnels sous le contrôle de l'entreprise.
etia
ivirsrvs
asctisa
e,cnnoe L
e
s
3. Restreindre l'utilisation, la distribution et l'accès physique aux informations en fonction de leur classification.
4. Identifier et mettre en œuvre des processus, des outils et des techniques pour vérifier raisonnablement la conformité.
5. Signaler aux entreprises et aux autres parties prenantes les violations et les écarts.
Aucun
200
Machine Translated by Google
Chapitre 5
Contenu du guide de référence du processus COBIT 5
Surveiller,
Surveiller, évaluer et évaluer (MEA)
évaluer
01 Surveiller, évaluer et évaluer les performances et la conformité.
et
201
Machine Translated by Google
202
Machine Translated by Google
Chapitre 5
Contenu du guide de référence du processus COBIT 5
Domaine : Gestion
MEA01 Surveiller, évaluer et évaluer les performances et la conformité Domaine : Surveiller, évaluer et évaluer
Description du processus
Collectez, validez et évaluez les objectifs et les mesures de l'entreprise, de l'informatique et des processus. Surveiller que les processus fonctionnent par rapport aux objectifs et mesures de performance et de conformité
Surveiller,
Déclaration d'objectif du processus
04 Gestion des risques métiers liés à l’informatique • Pourcentage de processus métier critiques, de services informatiques et de programmes métiers
• Nombre d'incidents informatiques importants qui n'ont pas été identifiés lors de l'évaluation des risques.
• Pourcentage d'évaluations des risques d'entreprise, y compris les risques liés à l'informatique
07 Livraison de services informatiques en adéquation avec les besoins métiers • Nombre d'interruptions d'activité dues à des incidents de service informatique
évaluer
réponde aux niveaux de service convenus
11 Optimisation des actifs, ressources et capacités informatiques • Fréquence des évaluations de maturité des capacités et d'optimisation des coûts
• Tendance des résultats de l'évaluation
• Niveaux de satisfaction des responsables commerciaux et informatiques à l'égard des coûts et des
15 Conformité informatique aux politiques internes • Nombre d'incidents liés au nonrespect de la politique
efficaces
1. Les objectifs et les mesures sont approuvés par les parties prenantes. • Pourcentage d'objectifs et de mesures approuvés par les parties prenantes
2. Les processus sont mesurés par rapport aux objectifs et aux mesures convenus. • Pourcentage de processus avec des objectifs et des indicateurs définis
3. L’approche de l’entreprise en matière de suivi, d’évaluation et d’information est efficace et opérationnelle. • Pourcentage de processus dont l'efficacité des objectifs et des mesures a été examinée et améliorée.
4. Les objectifs et les mesures sont intégrés dans les systèmes de surveillance de l'entreprise. • Pourcentage d'objectifs et de mesures alignés sur le système de surveillance de l'entreprise
5. Les rapports sur les performances et la conformité sont utiles et opportuns. • Pourcentage de rapports de performances livrés comme prévu
et
203
Machine Translated by Google
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
R
d'il
R
id
s'l
R
d
acl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
prsodeefan
éa
ca
C
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
éa
o
rxeta
toirpuoscfene
sitee
eéé
sessitrnpaeertgnie
aaB
g
d
vl
toirpuoscfene
ssu
sé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
iuéontpiivtsn
tm
laedrtiécsn
itesrlue
tm
sm
pv
tnaio
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
seelbusaqnsio
iap
lbeapspnoole
uo
rqtsitnianom
e
a
sgrtg
aue
n
uo
nm
étué
nm
noitraum
tnrue
uro
srn
elbaéstsn
/semme)aé
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
tneem
Pratique de gestion
MEA01.01
Établir une approche de ARRIC je CCCRICCICI je je
surveillance.
MEA01.02
Fixer des objectifs de je je RAI je C CCRRRIRI je je
performance et de conformité.
MEA01.03
Collecter et traiter les
CR je C UN RRIRI je je
données de
performances et de conformité.
MEA01.04
RA C CCCCCRRCRCCC
Analyser et rendre compte du rendement.
MEA01.05
Assurer la mise en œuvre des je je je ICR C CCCACRRRCRCCC
actions correctives.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
Activités
1. Identifiez les parties prenantes (par exemple, la direction, les propriétaires de processus et les utilisateurs).
2. S'engager avec les parties prenantes et communiquer les exigences et les objectifs de l'entreprise en matière de surveillance, d'agrégation et de reporting, en utilisant des outils communs.
définitions (par exemple, glossaire d'entreprise, métadonnées et taxonomie), référence et analyse comparative.
3. Aligner et maintenir continuellement l'approche de suivi et d'évaluation avec l'approche d'entreprise et les outils à utiliser pour la collecte de données et
reporting d'entreprise (par exemple, applications de business intelligence).
4. Convenez des objectifs et des mesures (par exemple, conformité, performance, valeur, risque), de la taxonomie (classification et relations entre les objectifs et les mesures)
et la conservation des données (preuves).
5. Convenir d'un processus de gestion du cycle de vie et de contrôle des changements pour le suivi et le reporting. Inclure des opportunités d'amélioration pour les rapports, les mesures,
approche, référencement et analyse comparative.
6. Demander, hiérarchiser et allouer des ressources pour le suivi (en tenant compte de la pertinence, de l'efficience, de l'efficacité et de la confidentialité).
7. Valider périodiquement l'approche utilisée et identifier les parties prenantes, les exigences et les ressources nouvelles ou modifiées.
,rerlleieuvlaruvtS
e
é
204
Machine Translated by Google
Chapitre 5
Contenu du guide de référence du processus COBIT 5
conformité.
APO01.07 Objectifs de performance et Objectifs de surveillance Tous les APO
Travailler avec les parties prenantes pour définir, examiner périodiquement,
Surveiller,
mesures du processus Tous les BAI
mettre à jour et approuver les objectifs de performance et de conformité
suivi des améliorations Tous les DSS
au sein du système de mesure des performances.
Tous les MEA
Activités
1. Définir et examiner périodiquement avec les parties prenantes les objectifs et les mesures pour identifier tout élément manquant important et définir le caractère raisonnable des objectifs
et les tolérances.
2. Communiquer les modifications proposées aux objectifs et tolérances de performance et de conformité (relatives aux mesures) avec les principales parties prenantes en matière de diligence raisonnable
(par exemple, juridique, audit, ressources humaines, éthique, conformité, finance).
4. Évaluer si les objectifs et les paramètres sont adéquats, c'estàdire spécifiques, mesurables, réalisables, pertinents et limités dans le temps (SMART).
évaluer
MEA01.03 Recueillir et traiter les données de performance et de Depuis Description Description À
conformité.
APO01.07 Évaluations de la Données de surveillance traitées Interne
Collectez et traitez des données opportunes et précises, alignées sur les
capacité des processus
approches de l'entreprise.
APO05.04 Rapports sur le rendement
du portefeuille d'investissement
installations
Activités
2. Évaluer l'efficacité (effort par rapport aux informations fournies) et la pertinence (utilité et signification) et valider l'intégrité (exactitude et exhaustivité) des données collectées.
3. Regroupez les données pour prendre en charge la mesure des paramètres convenus.
4. Alignez les données agrégées sur l'approche et les objectifs de reporting de l'entreprise.
5. Utiliser des outils et des systèmes adaptés au traitement et au format des données à analyser.
et
205
Machine Translated by Google
Activités
1. Concevoir des rapports sur les performances des processus concis, faciles à comprendre et adaptés aux différents besoins et publics de gestion. Facilitez une prise de décision efficace et rapide
(par exemple, tableaux de bord, rapports sur les feux de circulation) et assurezvous que la cause et l'effet entre les objectifs et les mesures sont communiqués de manière compréhensible.
2. Comparez les valeurs de performance aux objectifs et aux références internes et, si possible, aux références externes (secteur et principaux concurrents).
5. Analyser la cause des écarts par rapport aux objectifs, lancer des actions correctives, attribuer les responsabilités en matière de remédiation et assurer le suivi. Au moment approprié, examinez tous les
écarts et recherchez les causes profondes, si nécessaire. Documentez les problèmes pour obtenir des conseils supplémentaires si le problème se reproduit. Documenter les résultats.
6. Lorsque cela est possible, lier la réalisation des objectifs de performance au système de récompense et de rémunération de l'organisation.
MEA01.05 Assurer la mise en œuvre des actions correctives. Depuis Description Description À
Activités
1. Examiner les réponses, les options et les recommandations de la direction pour résoudre les problèmes et les écarts majeurs.
206
Machine Translated by Google
Chapitre 5
Contenu du guide de référence du processus COBIT 5
Domaine : Gestion
MEA02 Surveiller, évaluer et évaluer le système de contrôle interne Domaine : Surveiller, évaluer et évaluer
Description du processus
Surveiller et évaluer en permanence l'environnement de contrôle, y compris des autoévaluations et des examens d'assurance indépendants. Permettre à la direction d’identifier les déficiences et les inefficacités des
contrôles et d’initier des actions d’amélioration. Planifier, organiser et maintenir des normes pour les activités d’évaluation et d’assurance du contrôle interne.
Surveiller,
Déclaration d'objectif du processus
Obtenir de la transparence pour les principales parties prenantes sur l'adéquation du système de contrôles internes et ainsi assurer la confiance dans les opérations, la confiance dans la réalisation des objectifs de
02 Conformité informatique et assistance à la conformité des entreprises aux lois et réglementations • Coût de la nonconformité informatique, y compris les règlements et les amendes, et l'impact de la
externes perte de réputation
• Nombre de problèmes de nonconformité liés aux technologies de l'information signalés au conseil
• Nombre de problèmes de nonconformité liés aux accords contractuels avec les prestataires de
services informatiques
évaluer
04 Gestion des risques métiers liés à l’informatique • Pourcentage de processus métier critiques, de services informatiques et de programmes métiers
• Pourcentage d'évaluations des risques d'entreprise, y compris les risques liés à l'informatique
• Fréquence de mise à jour du profil de risque
15 Conformité informatique aux politiques internes • Nombre d'incidents liés au nonrespect de la politique
• Pourcentage de parties prenantes qui comprennent les politiques
• Pourcentage de politiques soutenues par des normes et des pratiques de travail
efficaces
• Fréquence de révision et de mise à jour des politiques
1. Les processus, les ressources et les informations répondent aux exigences du système de contrôle • Pourcentage de processus dont le résultat est garanti et qui atteint les objectifs dans
interne de l’entreprise. les limites des tolérances.
• Pourcentage de processus garantis comme étant conformes aux objectifs de contrôle interne
2. Toutes les initiatives d'assurance sont planifiées et exécutées efficacement. • Pourcentage d'initiatives d'assurance conformes aux normes approuvées des programmes
et plans d'assurance.
3. Assurance indépendante que le système de contrôle interne est opérationnel • Pourcentage de processus faisant l'objet d'un examen indépendant
et efficace est fourni.
4. Un contrôle interne est établi et les déficiences sont identifiées et signalées. • Nombre de faiblesses identifiées par les rapports externes de qualification et de certification
et
207
Machine Translated by Google
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
éaR
id
s'l
caR
d
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
éaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
o
toirpuoscfene
sitee
eéé
sessitrnpaeertgnie
aaB
g
d
vl
toirpuoscfene
ssu
sé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
iuéontpiivtsn
tm
laedrtiécsn
itesrlue
tm
sm
pv
tnaio
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
seelbusaqnsio
iap
tneemlbeapspnoole
uo
rqtsitnianom
e
a
sgrtg
aue
n
uo
nm
étué
nm
noitraum
tnrue
uro
srn
elbaéstsn
/semme)aé
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
MEA02.01
IICCR R. R. RRAIRRRRRRR
Surveiller les contrôles internes.
MEA02.02
Examiner l'efficacité des je IRIARI je je CRR C CCC
contrôles des processus opérationnels.
MEA02.03
Effectuer des auto IICCR R. R. RRAIRRRRRRR
évaluations de contrôle.
MEA02.04
Identifier et signaler les IICCR R. je je RRAIRRRRRRR
déficiences des contrôles.
MEA02.05
Veiller à ce que les prestataires de R. RAA
certification soient indépendants et qualifiés.
MEA02.06
UN CR C CCRCCCCCCCCC
Planifier les initiatives d'assurance.
MEA02.07
€€€ C CARCCCCCCCC
Initiatives d’assurance de la portée.
MEA02.08
je je CR C je je CARCCCCCCCC
Exécuter les initiatives d'assurance.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
Activités
1. Effectuer des activités de surveillance et d'évaluation du contrôle interne basées sur les normes de gouvernance organisationnelle et les cadres acceptés par l'industrie et
les pratiques. Inclure le suivi et l’évaluation de l’efficience et de l’efficacité des examens de supervision de la direction.
2. Envisager des évaluations indépendantes du système de contrôle interne (par exemple, par un audit interne ou par des pairs).
3. Identifier les limites du système de contrôle interne informatique (par exemple, réfléchir à la manière dont les contrôles internes informatiques de l'organisation prennent en compte les activités de
développement ou de production externalisées et/ou offshore).
4. S'assurer que les activités de contrôle sont en place et que les exceptions sont rapidement signalées, suivies et analysées, et que les mesures correctives appropriées sont priorisées
et mises en œuvre conformément au profil de gestion des risques (par exemple, classer certaines exceptions comme un risque clé et d'autres comme un risque non important). risque clé).
5. Maintenir le système de contrôle interne informatique, en tenant compte des changements continus dans l'entreprise et les risques informatiques, de l'environnement de contrôle organisationnel et des activités concernées.
et les processus informatiques, ainsi que les risques informatiques. Si des lacunes existent, évaluez et recommandez des changements.
6. Évaluer régulièrement les performances du cadre de contrôle informatique, en les comparant aux normes et bonnes pratiques acceptées par l'industrie. Considérer
,rerlleieuvlaruvtS
e
é
7. Évaluer l'état des contrôles internes des prestataires de services externes et confirmer que les prestataires de services se conforment aux exigences légales et réglementaires et
obligations contractuelles.
208
Machine Translated by Google
Chapitre 5
Contenu du guide de référence du processus COBIT 5
Surveiller,
contrôle
preuves de surveillance et de test, pour garantir que les contrôles au sein BAI05.07 Examens de l'utilisation opérationnelle
des processus opérationnels fonctionnent efficacement. Inclure des
activités visant à conserver la preuve du fonctionnement efficace des
contrôles au moyen de mécanismes tels que des tests périodiques
des contrôles, une surveillance continue des contrôles, des évaluations
indépendantes, des centres de commandement et de contrôle et
des centres d'exploitation du réseau. Cela donne à l’entreprise l’assurance
de l’efficacité des contrôles pour répondre aux exigences liées aux
Activités
évaluer
2. Identifier les contrôles clés et développer une stratégie adaptée à la validation des contrôles.
3. Identifiez les informations qui indiqueront de manière convaincante si l’environnement de contrôle interne fonctionne efficacement.
4. Élaborer et mettre en œuvre des procédures rentables pour déterminer que les informations convaincantes sont basées sur les critères d'information.
Activités
1. Maintenir les plans et la portée et identifier les critères d'évaluation pour mener des autoévaluations. Planifier la communication des résultats de l’autoévaluation
processus aux entreprises, à l'informatique, à la direction générale et au conseil d'administration. Tenir compte des normes d’audit interne lors de la conception des autoévaluations.
2. Déterminer la fréquence des autoévaluations périodiques, en tenant compte de l'efficacité globale et de l'efficience du suivi continu.
3. Attribuez la responsabilité de l'autoévaluation aux personnes appropriées pour garantir l'objectivité et la compétence.
4. Prévoir des examens indépendants pour garantir l'objectivité de l'autoévaluation et permettre le partage des bonnes pratiques de contrôle interne des
d'autres entreprises.
5. Comparez les résultats des autoévaluations aux normes et bonnes pratiques de l’industrie.
6. Résumer et rendre compte des résultats des autoévaluations et de l'analyse comparative des mesures correctives.
7. Définir une approche convenue et cohérente pour effectuer des autoévaluations de contrôle et assurer la coordination avec les auditeurs internes et externes.
et
209
Machine Translated by Google
DSS06.01 • Analyses des causes profondes et Des mesures correctives Tous les APO
Activités
1. Identifiez, signalez et enregistrez les exceptions de contrôle, et attribuez la responsabilité de les résoudre et de rendre compte de leur statut.
2. Tenir compte des risques d'entreprise associés pour établir des seuils de remontée des exceptions et des pannes de contrôle.
3. Communiquer les procédures de remontée des exceptions de contrôle, d'analyse des causes profondes et de reporting aux propriétaires de processus et aux parties prenantes informatiques.
4. Décidez quelles exceptions de contrôle doivent être communiquées à la personne responsable de la fonction et quelles exceptions doivent être signalées.
Informer les propriétaires de processus concernés et les parties prenantes.
5. Effectuer un suivi de toutes les exceptions pour garantir que les actions convenues ont été prises en compte.
6. Identifier, lancer, suivre et mettre en œuvre des mesures correctives découlant des évaluations de contrôle et des rapports.
MEA02.05 Veiller à ce que les prestataires de certification soient Résultats des évaluations Interne
Activités
1. Assurer le respect des codes et normes d'éthique applicables (par exemple, le Code d'éthique professionnelle de l'ISACA) et des normes d'assurance (spécifiques au secteur et à la géographie), par exemple les
normes d'audit et d'assurance informatiques de l'ISACA et le Conseil des normes internationales d'audit et d'assurance. (IAASB)
Cadre international pour les missions d’assurance (Cadre d’assurance de l’IAASB).
Activités
1. Déterminer les utilisateurs prévus des résultats de l’initiative d’assurance et l’objet de l’examen.
2. Effectuer une évaluation des risques de haut niveau et/ou une évaluation de la capacité des processus pour diagnostiquer les risques et identifier les processus informatiques critiques.
3. Sélectionner, personnaliser et parvenir à un accord sur les objectifs de contrôle des processus critiques qui constitueront la base de l'évaluation du contrôle.
,rerlleieuvlaruvtS
e
é
210
Machine Translated by Google
Chapitre 5
Contenu du guide de référence du processus COBIT 5
Surveiller,
de livraison de qualité
Activités
1. Définir la portée réelle en identifiant les objectifs d'entreprise et informatiques pour l'environnement examiné, l'ensemble des processus et ressources informatiques, ainsi que tous les
entités auditables pertinentes au sein de l'entreprise et à l'extérieur de l'entreprise (par exemple, les prestataires de services), le cas échéant.
3. Définir les pratiques de collecte et d'évaluation des informations provenant du ou des processus examinés afin d'identifier les contrôles à valider et les conclusions actuelles (à la fois l'assurance positive et
évaluer
les éventuelles lacunes) pour l'évaluation des risques.
4. Définir des pratiques pour valider la conception et les résultats des contrôles et déterminer si le niveau d'efficacité supporte un risque acceptable (requis par l'évaluation des risques organisationnels ou de
processus).
5. Lorsque l'efficacité du contrôle n'est pas acceptable, définir des pratiques pour identifier les risques résiduels (en préparation du reporting).
Activités
2. Affiner la portée des objectifs de contrôle clés pour le sujet de l'assurance informatique.
6. Communiquer avec la direction pendant l'exécution de l'initiative afin qu'il y ait une compréhension claire du travail effectué et un accord sur et
acceptation des conclusions et recommandations préliminaires.
7. Superviser les activités d'assurance et s'assurer que le travail effectué est complet, répond aux objectifs et est d'une qualité acceptable.
8. Fournir à la direction un rapport (aligné sur les termes de référence, la portée et les normes de reporting convenues) qui soutient les résultats de l'initiative et permet de se concentrer clairement sur les questions
clés et les actions importantes.
Aucun
211
Machine Translated by Google
212
Machine Translated by Google
Chapitre 5
Contenu du guide de référence du processus COBIT 5
Domaine : Gestion
MEA03 Surveiller, évaluer et évaluer la conformité aux exigences externes Domaine : Surveiller, évaluer et évaluer
Surveiller,
Description du processus
Évaluez que les processus informatiques et les processus métier pris en charge par l'informatique sont conformes aux lois, réglementations et exigences contractuelles.
Obtenez l’assurance que les exigences ont été identifiées et respectées, et intégrez la conformité informatique à la conformité globale de l’entreprise.
02 Conformité informatique et assistance à la conformité des entreprises aux lois et • Coût de la nonconformité informatique, y compris les règlements et les amendes, et
réglementations externes l'impact de la perte de réputation
• Nombre de problèmes de nonconformité liés aux technologies de l'information signalés au conseil
évaluer
• Nombre de problèmes de nonconformité liés aux accords contractuels avec les
prestataires de services informatiques
• Couverture des évaluations de conformité
04 Gestion des risques métiers liés à l’informatique • Pourcentage de processus métier critiques, de services informatiques et de
programmes métiers informatiques couverts par une évaluation des risques.
• Nombre d'incidents informatiques importants qui n'ont pas été identifiés lors de
l'évaluation des risques.
• Pourcentage d'évaluations des risques d'entreprise, y compris les risques liés à l'informatique
• Fréquence de mise à jour du profil de risque
1. Toutes les exigences de conformité externes sont identifiées. • Délai moyen entre l'identification des problèmes de conformité externes
et résolution
• Fréquence des contrôles de conformité
2. Les exigences de conformité externes sont correctement satisfaites. • Nombre de problèmes de nonconformité critiques identifiés par an
• Pourcentage de propriétaires de processus signant, confirmant la conformité
et
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
éaR
id
s'l
oaR
d
a
cl
oaR
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
C
E
S
dl
tjoroelrPiC
P
d(
p
éa
eriansneociitvsreeG
d
s
laaitsnneodpifsnee
rxeta
soep
toirpuoscfene
nitee
c
nsqe
sé
eéé
sessitrnpaeertgnie
toirpuoscfene
ssu
auietesrlueaaB
gvl
d
o'C
d
tiduA
astésrierpcitoo
taéo
tm
pv
aprsé
iuéontpiivtss
laedrtiécsn
sm
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
imo
iap
tnaiotm
rqtsitnianom
uo
étué
e
a
noitraum
sgrtg
uo
nm
nm
n
uro
efiig
tnrue
srn
elbaéstsn
/semme)aé
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
sce
sersiu
éetlib
elsbea
aua
noeietlb
Pratique de gestion
MEA03.01 RA €€€ R.
Identifier les
exigences de conformité externes.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
213
Machine Translated by Google
externes.
En dehors de COBIT Exigences de conformité Registre des exigences de Interne
Sur une base continue, identifier et surveiller les changements dans les
légales et réglementaires conformité
lois, réglementations et autres exigences externes locales et
internationales qui doivent être respectées du point de vue informatique. Journal des actions Interne
de conformité requises
Activités
1. Attribuer la responsabilité d'identifier et de surveiller tout changement dans les exigences légales, réglementaires et autres exigences contractuelles externes pertinentes à l'utilisation de
Ressources informatiques et traitement de l'information au sein des opérations commerciales et informatiques de l'entreprise.
2. Identifier et évaluer toutes les exigences de conformité potentielles et leur impact sur les activités informatiques dans des domaines tels que le flux de données, la confidentialité, les contrôles internes, les finances.
reporting, réglementations spécifiques à l’industrie, propriété intellectuelle, santé et sécurité.
3. Évaluer l'impact des exigences juridiques et réglementaires liées à l'informatique sur les contrats de tiers liés aux opérations informatiques, aux fournisseurs de services et aux activités
partenaires commerciaux.
4. Obtenir un conseil indépendant, le cas échéant, sur les modifications apportées aux lois, réglementations et normes applicables.
5. Tenir un journal à jour de toutes les exigences légales, réglementaires et contractuelles pertinentes, de leur impact et des actions requises.
6. Maintenir un registre global harmonisé et intégré des exigences de conformité externes pour l'entreprise.
externes.
Politiques, principes, APO01.07
Examiner et ajuster les politiques, principes, normes, procédures
procédures et normes mis à APO01.08
et méthodologies pour garantir que les exigences légales,
jour
réglementaires et contractuelles sont prises en compte et communiquées.
Tenez compte des normes industrielles, des codes de bonnes Communications des EDM01.01
pratiques et des conseils de bonnes pratiques pour l’adoption et exigences de conformité Tous les APO
Activités
1. Examiner et ajuster régulièrement les politiques, principes, normes, procédures et méthodologies pour vérifier leur efficacité à assurer la conformité nécessaire et à gérer les risques de l'entreprise en
faisant appel à des experts internes et externes, selon les besoins.
Activités
1. Évaluer régulièrement les politiques organisationnelles, les normes, les procédures et les méthodologies dans toutes les fonctions de l'entreprise pour garantir le respect des
exigences légales et réglementaires pertinentes en matière de traitement des informations.
2. Combler en temps opportun les lacunes en matière de conformité aux politiques, normes et procédures.
3. Évaluer périodiquement les processus et activités commerciaux et informatiques pour garantir le respect des exigences légales, réglementaires et contractuelles applicables.
4. Examinez régulièrement les modèles récurrents de manquements à la conformité. Si nécessaire, améliorer les politiques, les normes, les procédures, les méthodologies et
processus et activités associés.
,rerlleieuvlaruvtS
e
é
214
Machine Translated by Google
Chapitre 5
Contenu du guide de référence du processus COBIT 5
Surveiller,
d'approbation des rapports conformité
méthodologies. Confirmez que les mesures correctives visant à
obligatoires
combler les lacunes en matière de conformité sont corrigées en
temps opportun. EDM05.03 Évaluation de l’efficacité des Rapports sur les problèmes de non EDM01.03
rapports conformité et leurs causes profondes MEA02.07
Activités
1. Obtenez une confirmation régulière du respect des politiques internes auprès des propriétaires de processus commerciaux et informatiques et des chefs d'unité.
2. Effectuer des examens internes et externes réguliers (et, le cas échéant, indépendants) pour évaluer les niveaux de conformité.
3. Si nécessaire, obtenez des affirmations de fournisseurs de services informatiques tiers sur leur niveau de conformité aux lois et réglementations applicables.
4. Si nécessaire, obtenez des affirmations des partenaires commerciaux sur leurs niveaux de conformité aux lois et réglementations applicables en ce qui concerne les relations intersociétés.
transactions électroniques.
5. Surveiller et signaler les problèmes de nonconformité et, si nécessaire, enquêter sur la cause première.
évaluer
6. Intégrer le reporting sur les exigences légales, réglementaires et contractuelles à l'échelle de l'entreprise, en impliquant toutes les unités commerciales.
Aucun
et
215
Machine Translated by Google
216
Machine Translated by Google
Annexe A
Cartographie entre COBIT 5 et les anciens frameworks ISACA
Annexe A
Cartographie entre COBIT 5 et les anciens frameworks ISACA
La figure 13 montre les cadres ISACA inclus dans COBIT 5.
COBIT4.1
Carte pour
Objectifs de contrôle
COBIT5
Val Informatique 2.0
Gouvernance et
Gestion Carte pour
Gestion
Les pratiques
Les pratiques
Risque informatique
Les pratiques
La cartographie des composants COBIT 4.1, Val IT et Risk IT avec COBIT 5 est présentée dans les figures 14, 15 et 16.
AC1 Préparation et autorisation des données sources DSS06.02 ; DSS06.03 ; BAI03.02 ; BAI03.03 ; BAI03.05 ; BAI03.07
217
Machine Translated by Google
PO4.8 Responsabilité du risque, de la sécurité et de la conformité Supprimé : ces rôles spécifiques ne sont plus explicitement spécifiés en tant
que pratique.
OREN9.6 Maintien et suivi d’un plan d’action contre les risques APO12.0405
218
Machine Translated by Google
Annexe A
Cartographie entre COBIT 5 et les anciens frameworks ISACA
techniques de l'entreprise
AI2.5 Configuration et mise en œuvre des logiciels d'application acquis BAI03.03 ; BAI03.05
219
Machine Translated by Google
220
Machine Translated by Google
Annexe A
Cartographie entre COBIT 5 et les anciens frameworks ISACA
DS8.1 Bureau de service Supprimé : ITIL 3 ne fait pas référence à Service Desk en tant que processus.
DS11.6 Exigences de sécurité pour la gestion des données DSS001.01 ; DSS05.0205 ; DSS06.03 ; DSS06.06
221
Machine Translated by Google
ME4.2 Alignement stratégique Supprimé – Dans COBIT 5, l’alignement est considéré comme le résultat de toutes les
activités de gouvernance et de gestion.
gouvernance.
VG1.5 Assurer l’alignement et l’intégration des stratégies commerciales et informatiques avec les APO02.01
VG2.5 Établir, mettre en œuvre et communiquer les rôles, les responsabilités et les APO01.02
obligations de rendre compte.
VG3.3 Élaborer et communiquer des critères d’évaluation (pour chaque catégorie). EDM02.02
VG3.5 Définir les exigences relatives aux étapes et autres examens (pour EDM02.02
chaque catégorie).
VG4.2 Déterminer les exigences en matière de pratiques de planification financière en matière APO06.01
de gestion de la valeur.
VG4.4 Mettre en œuvre des pratiques de planification financière optimales pour la gestion de la valeur. APO06.01
222
Machine Translated by Google
Annexe A
Cartographie entre COBIT 5 et les anciens frameworks ISACA
la stratégie commerciale.
PM1,4 Traduire la stratégie et les objectifs commerciaux en stratégie et objectifs informatiques. APO05.01
d'entreprise).
PM3.2 Identifier les déficits (entre la demande actuelle et future en ressources humaines APO07.01
des entreprises).
PM3,4 Créer et maintenir des plans tactiques (pour les ressources humaines de l'entreprise). APO07.01
PM3,5 Surveiller, examiner et ajuster (attribution des fonctions commerciales et dotation en personnel). APO07.05
PM3,7 Comprendre la demande actuelle et future (en ressources humaines informatiques). APO07.05
PM3,8 Identifier les déficits (entre la demande actuelle et future en ressources APO07.05
humaines informatiques).
PM3,9 Créer et maintenir des plans tactiques (pour les ressources humaines informatiques). APO07.05
PM3.10 Surveiller, examiner et ajuster (attribution des fonctions informatiques et dotation en personnel). APO07.05
PM4.1 Évaluer et attribuer des scores relatifs aux analyses de rentabilisation du programme. APO05.03
PM4.4 Préciser les étapes et allouer des fonds aux programmes sélectionnés. APO05.03
PM4,5 Ajuster les objectifs commerciaux, les prévisions et les budgets. APO05.03
du candidat.
IM4.1 Identifiez les coûts et les avantages du cycle de vie complet. BAI01.04
IM9.1 Surveiller et rendre compte des performances du programme (livraison de solutions). BAI01.06
IM9.3 Surveiller et rendre compte des performances opérationnelles (prestation de services). BAI01.06
223
Machine Translated by Google
GR1.1 Effectuer une évaluation des risques informatiques de l’entreprise. EDM03.01 ; APO12.0203
RG1.6 Encouragez une communication efficace sur les risques informatiques. EDM03.03
RG2.3 Adaptez les pratiques en matière de risques informatiques aux pratiques en matière de risques de l’entreprise. EDM03.0102
RG2.4 Fournir des ressources adéquates pour la gestion des risques informatiques. EDM04.01 ; APO07.01 ; APO07.03
RG2.5 Fournir une assurance indépendante sur la gestion des risques informatiques. EDM03.03
RG3.1 Obtenez l’adhésion de la direction à l’approche d’analyse des risques informatiques. EDM01.0102 ; EDM03.02
RG3.3 Intégrez les considérations liées aux risques informatiques dans la prise de décision stratégique de l’entreprise. EDM03.01
RE2.4 Effectuer un examen par les pairs de l’analyse des risques informatiques. APO12.02
RE3.5 Tenir à jour le registre des risques informatiques et la cartographie des risques informatiques. APO12.03
RR1.2 Signaler les activités de gestion des risques informatiques et l’état de conformité. APO12.04
RR2.2 Surveiller l’alignement opérationnel avec les seuils de tolérance au risque. APO12.05
RR2,5 Signaler l’avancement du plan d’action contre les risques informatiques. APO12.05
224
Machine Translated by Google
Appendice B
Cartographie détaillée des objectifs de l'entreprise – Objectifs liés à l'informatique
Appendice B
Cartographie détaillée des objectifs de l'entreprise – Objectifs liés à l'informatique
La cascade d'objectifs COBIT 5 est expliquée au chapitre 2. La figure 17 contient : • Dans les colonnes, les
17 objectifs génériques d'entreprise définis dans COBIT 5, regroupés par dimension BSC. • Dans les lignes, les 17 objectifs liés à l'informatique,
également regroupés dans l'informatique. Dimensions BSC • Une cartographie de la manière dont chaque
objectif de l'entreprise est soutenu par les objectifs informatiques. Cette cartographie est exprimée à l'aide de l'échelle suivante : – « P » signifie primaire, lorsqu'il
existe une relation
importante, c'estàdire que l'objectif informatique est un support principal pour l'objectif informatique.
objectif de l'entreprise.
– « S » signifie secondaire, lorsqu'il existe encore une relation forte, mais moins importante, c'estàdire que l'objectif lié à l'informatique est un
soutien secondaire à l’objectif de l’entreprise.
Le tableau a été créé sur la base des apports suivants : • Recherche menée
par l'Institut de recherche sur l'alignement informatique et la gouvernance de l'École de gestion de l'Université d'Anvers. • Examens supplémentaires et avis
d'experts obtenus au cours du processus de développement et d'examen de COBIT 5.
225
Machine Translated by Google
Lorsque vous utilisez le tableau de la figure 17, veuillez tenir compte des remarques faites au chapitre 2 sur la façon d'utiliser la cascade
d'objectifs COBIT 5.
Figure 17 : Mappage des objectifs d'entreprise COBIT 5 avec les objectifs liés à l'informatique
Objectif d'entreprise
cisR
gc(
d
a
hrG
'd
pc
ortP
dcs
p
e
ecneerraèpicsnnaanrTif
sem
tiC
es
d
rurtP
ib
ds'l
lotunirt’C
d
p
e
C
arl
e
iirlC
dcs
o
orO
psc
d
perm
oO
df
p
orm
O
dc
p
prtP
o
e
d
p
C
ai
p
eV
pil
d
e
om
tD
pc
e
nlxsgtouxiéto
utn
orn
o
fsirsate
é
soee
roe
oéD
acr
u
à
e
scfrina
e
é
lrue
rpe
pe
odrséore
u
iloo
ro
rltvsan
a
e
istroee
ntsé
vtro
n
é
é
ste
eitcitso
so
endtrn
m
tninvtee
sa
tssitetéifcupeidm
h
reiertuse
vlpien
g
ogeiérseéotisa
cstisvtiû
esctitû
txe
oiitvip
tgn
pvsm
u
roqnfirn
q
)uvsé
rfe
ogrrin
reom
isa
uesen
rnoe
ruu
crgeeem
eeérctu
étéilitbsiusienrce
nointaossietiam
nasnsssoirm
nosituassssirm
itua
io
snn
éo
ita
vrtp
eem
pneea
neouitqanim
m
sseestisrnsrp
otcn
esue
noeitsaie
o
nsg
sestnesenetn
rm
snoitaéttnism
étsim
vin
eslfliu
smim
re
eldaria
situ
ne
n
elleéntlie
eisca
ee
séntiola
latn
stnem
stn
tnem
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17.
Apprentissage et
Objectif lié à l'informatique Financier Client Interne Croissance
réglementations externes
informatiques
226
Machine Translated by Google
Annexe C
Cartographie détaillée des objectifs liés à l'informatique – Processus liés à l'informatique
Annexe C
Cartographie détaillée des objectifs liés à l'informatique – Processus liés à l'informatique
La figure 18 contient :
• Dans les colonnes, les 17 objectifs génériques liés à l'informatique définis au chapitre 2, regroupés en dimensions IT BSC.
• Dans les lignes, les 37 processus COBIT 5, regroupés par domaine
• Une cartographie de la façon dont chaque objectif lié à l'informatique est soutenu par un processus informatique COBIT 5. Cette cartographie
s'exprime à l'aide de l'échelle suivante :
– 'P' signifie primaire, lorsqu'il existe une relation importante, c'estàdire que le processus COBIT 5 est un support primaire pour le
réalisation d’un objectif lié à l’informatique.
– « S » signifie secondaire, lorsqu'il existe encore une relation forte, mais moins importante, c'estàdire que le processus COBIT 5 est un
support secondaire pour l’objectif lié à l’informatique.
Lorsque vous utilisez le tableau de la figure 18, veuillez tenir compte des remarques faites au chapitre 2 sur la façon d'utiliser la cascade d'objectifs
COBIT 5.
iq
Lirl
p
o
b
e
a
n
d
noitacirbaf
enesém
G
ià
d
i’irl
nC
p
d
a
e
c'rli
icefénéD
iài'l
'B
g
a
p
e
d
sri
étiligA
trm
tnA
actli
e
d
p
utfnC
ai
p
C
ie
p’li
d
n
e
rtfe
iE
dfl
e
p
O
a
e
dcri
vé
ftm
nP
e
ci
xitn
rto
a
tn
vm
fieé
ufiré
ve
n
d
tn
ih
é
a
o
e
u
fx
rxia
eftnS
ra
eti
d
técsca
n
p
e
h
o
cfe
tnn
o
e
osgtou
n
e
ix
aée
o
snoitulos
iloo
rs
olis
pito
ré
roeo
érno
e
tistpe
éo
srirp
riutoistsqsfé
fsrtnT
a
e
d
icri
tisa
feséeivcrivntlonrâ
o
e
in
p
cirvié
ts
gta
n
d
x
rnru
s
tsoiréa
a
n
txe
o
vicrlh
tnemengilA
s
tlx
taU
id
a’tl
e
’D
eifl
u
à
d
ala
so
,osarsfip
ito
opvsrm
fn
e
itacregu
qnfirn
rnsg
e
irm
io
g
teea
rfre
euqsitnaomisrso
nsléiaita
o
dte
qae
v
a
o
rlcp
a
n
iq
g
s
o
trace
g
tirn
oe
ie
p
tcrsueia
tsnte
ce
rm
isflcn
euqitansmoree
o
û
a
rm
og
isutistcaeséim
unrts
ietsauerm
iirviavp
cm
so
a
noutoinstliae
qnistsoasensu
c
e
qstaciétsratuim
se
teném
rim
lfcb
rn
m
tuacnrqsiolhp
é
é
n
itgu
ta
spie
ttaatm
,d
e,stsn
istesa
ape
agcos
nm
m
tre
escenuseqeriatgaspam
enveo
nsrioe
o
inrta
oses
eétqtsntisim
euéqtsim
e
ssenisg
untoonciiée
u
stnee
llse
sase
iece
aittalm
iao
se,sm
tnem
uo
io
essq
snéotitliabnm
,secnn
sie
q
atln
sen
snoietaué
eto
se,ssrn
stnesmeeu
elu
eo
io
n
nig
sn
,nseo
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17
Apprentissage et
Processus COBIT 5 Financier Client Interne Croissance
P.
re
227
Machine Translated by Google
vfm
ib
L
d
e
a
sli
iq
Lirl
p
o
b
e
a
n
d
noitacirbaf
enesém
G
ià
d
i’irl
nC
p
d
a
e
c'rli
'B
g
a
p
e
d
sri
étiligA
trmnA
actli
e
d
p
utfnC
ai
p
xitnC
ie
p’li
d
n
e
rtfe
iE
ià
ei'l
p
d
O
a
e
dcri
vé
fm
tnP
e
ci
rto
a
rtn
te
vim
fieé
ufié
rixéra
ve
n
d
cfetn
ih
é
a
o
e
u
fx
eftnS
ra
eti
d
técsca
n
p
e
h
o
tnn
o
e
osgtou
n
e
ix
rée
o
iloo
oreeriutoistsqsfé
snoitulos
rs
rls
spito
ré
itoroeo
sefné
a
e
te
éo
srip
o
sfrtnT
a
e
d
icri
tisa
eivcrivntlonâ
a
o
e
in
p
cirvié
ts
tisp
lgta
n
d
x
rnru
a
a
n
tsoiré
txe
o
virclh
tnemengilA
s
tlx
taU
id
a’tl
e
’D
eifl
u
à
d
aa
é
so
,osarsfip
opvsrm
fn
e
csoign
c
qnfirn
rnsg
e
irm
io
g
teea
rfre
iita
o
dte
qae
v
rlcp
a
o
a
n
iq
g
s
o
trace
g
nsléa
tirn
oe
ie
p
tcrsueia
tsnte
euqitansm
rce
ase
cfesé
isflcn
m
o
û
a
rm
og
ceséim
unrts
ietsauerm
so
iirviavp
iitrs
cm
a
noutoinstliae
qnistsoasensu
e
qstaciétsratuim
se
tném
rim
flcb
a
rn
m
tuacnrqsiolhp
é
é
n
iotgu
agcos,dta
spie
utaatm
e,stsn
eseisstesa
ape
nm
m
tre
utista
escenuseqeriatgaspam
veo
e
ie
o
inrta
eétqtsntism
éqtsim
ie
ssenisg
nsro
is
te
ciié
an
stnee
llse
,secnnsaso
stn
iece
aittalm
iao
se,sm
qm
untoon
io
uo
ie
essq
snéotitliabnm
sie
q
atln
sen
é
eto
se,ssrn
itau
stnesmeeu
eu
ue
elu
eo
nio
nig
snoe
etn
sn
,nseo
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17
Apprentissage et
Processus COBIT 5 Financier Client Interne Croissance
S S S SPS S S P. PS
Activation du changement
228
,rerlleieuvlaruvtS
e
é e,cnnoeasctisaivirsrvsetia
Ls
e
Contrôles
Conformité
Processus COBIT 5
et les incidents
Contrôle interne
Machine Translated by Google
Évaluer le système de
Exigences externes
Évaluer les performances et
SS
01 02
snoe
itaué
eétqtsntism
ie
m
tre
ape
m
rrn
m
e
og
oe
rfre
fn
tlxn
a
o
ssgtou
n
e
ixo
h
fieré
to
nC
ap
d
a
e
c'rli
S
S
S
P.
P.
DSS05 Gérer le SP des services de sécurité
SSSPSSP
etn
ueqm
ie
stn
an
veo
m
iotgu
iitra
sscesoign
e
cé
sefné
a
e
rixéra
iE
ià
ei'l
p
d
P.
P.
P.
P.
Financier
euqitansm
oree
riutoistsqsfé
enesém
G
ià
d
i’irl
PS
PS
PS
PS
stnesmeeu
essq
llsieu
stistcaeséim
fcesé
eivcrivn
tlonrâ
aée
ufiré
o tn
'B
g
a
p
e
d
sri
escenuseqeriatgaspam
e,stsn
unrtsa
û
o
qae
vo
fsrtnT
a
e
d
icri
03 04 05 06 07 08 09 10
SSS
S
P.
P.
P.
P.
P. sen
uoqnistsoasensu
m
rce
iqo
a
cirvié
tse
o
rrés
ve
n
d
vfm
n
e
ib
L
d
e
a
sli
SS
Client
,nseo
nig
n
io
eto
aittalm
iao
tuacnrqsiolhp
é
isflcn
ie
dte
p taU
id
a’tl
e
S
S
snoitulos
SS
SSS
SSS
SSSS
étiligA
se,ssrn
untoonciié
u
e
ttaatm
rim
tcrsueia
rlcp
tsoiré
a
eftnS
p ra
eti
d
S
S
S
PS
Objectif lié à l'informatique
S
P.
P.
P.
11
sn
eou
sie
qstaciétsratuim
cm
,osarsfisp
o
tistpe
ca
fe
tn
O
a
e
dcri
Figure 18—Mappage des objectifs informatiques de COBIT 5 aux processus (suite)
ssenisg
noutoinstliae
a
o
strace
g
rnsg
e
vic
rlh
in
p
tisa
éo
té
csca
n
p
e
ih
tre
tm
nA
a
e
d
p
ctli
S
S
S
S
12
Interne
se,sm
tsnee
nm
agco,sd
ta
n
é
a
se
tsnte
irm
g
sn
a
io
g
aa
lgta
n
d
srirp
x ols
vim
é
a
o
e
u
fx
vré
tfe
iq
Lirl
p
o
b
e
a
n
d
S
snéotitliabnm
io
nsro
ie
o
spie
flcb
nsléa
iita
’D
eifl
u
à
d
noitacirbaf
SS
SS
PS
PS
13 14 15 16 17
SSSS
SSSS
SPSS
PSSS
S
euéqtsim
ietsauerm
o
qnfirn
txe
o
iloo
utfnC
ai
p
elu
atln
q
iece
inrta
teném
opvsrm
itoroeo
ftm
nP
e
ci
Annexe C
,secnn
sase
osesistesa
iirviavptirn
o
teea
rnru
spito
tnn
o
e
xitnC
ie
p’li
d
S
S
S
S
Croissance
229
Cartographie détaillée des objectifs liés à l'informatique – Processus liés à l'informatique
Apprentissage et
Machine Translated by Google
230