Le modle COBIT

Square des Utilisateurs

Management des technologies de l'information par les processus

Second volet de notre dossier processus, le modle COBIT nous est prsent par Claude Mauvais. Fautil y voir un concurrent de CMM et SPICE, ou plutt une approche complmentaire ? Nous parle-t-il des mmes processus que lISO 12207, couvre-t-il un domaine identique ou sensiblement diffrent ?Lapproche par le contrle et les risques est-elle compatible avec une dmarche damlioration de la qualit ? Chaque question en amne une autre. Souhaitons quun dbat souvre entre nos adhrents sur ces sujets, au travers de la lettre et au travers du forum Processus, ouvert sur lespace adhrents de notre site Web.

Le modle COBIT
L'utilisation des technologies de l'information (TI) est largement rpandue dans la plupart des entreprises. Les systmes d'information, oprationnels et stratgiques, sont porteurs davantages substantiels en termes de productivit et d'opportunit d'affaires. En revanche, ces systmes apparaissent vulnrables, face un large ventail de menaces souvent imprvisibles. La comprhension de ces risques et leur gestion est donc un problme majeur qui concerne les directions des entreprises, les propritaires des processus d'affaire et les auditeurs. Pour rpondre ce besoin de matrise globale des systmes d'information, l'ISACA1 a propos un cadre conceptuel de contrle ainsi que des outils pour la mise en place des contrles. Ce cadre concerne trois audiences :

d'abord,

les Dire ctions ; les pratiques indiques dans COBIT , gnralement acceptes, les aident quilibrer les investissements en moyens de contrle, face aux risques et de remplir leurs obligations vis--vis des parties prenantes de l'entreprise ( IT governance ) ;

ensuite, enfin,

les propri taire s de s proce ssus fonctionne ls qui disposent de l'ensemble des lments permettant d'avoir des garanties sur la scurit et les contrles des services fournis par les T I, qu'ils soient fournis en interne ou par un prestataire extrieur ; les audite urs en leur permettant de justifier leur opinion et d'apporter des recommandations aux directions en terme de contrle interne en matire de T I.

Les principes et concepts Le principe de base, sur lequel repose l'approche de contrle applicable aux technologies de l'information, consiste partir des besoins d'information de l'entreprise dcoulant de ses processus d'affaire, et de considrer que cette information est produite par l'utilisation de ressources qui doivent tre gres par des processus spcifiques aux technologies de l'information.

1 ISACA: Information Systems Audit and Control Association . Association de professionnels de la vrification, la

scurit et le contrle des technologies de l'information. L'ISACA a t fonde en 1969 sous le nom de EDP Auditors Association. Elle comprend aujourdhui plus de 20.000 professionnels dans plus de 100 pays.
La Lettre d'ADELI n 43 Avril 2001

27

L'inform ation

L'information prsente trois aspects :

l'aspect Q ualit comprend galement les aspects cot et dlai ; laspect Fiduciaire englobe l'efficacit et l'efficience des
l'information, le respect des lois et rglements ;

oprations, la fiabilit de

l'aspect S curit comporte 3 composantes: confidentialit, intgrit, disponibilit.

Ces aspects sont dclins selon 7 critres auxquels doit satisfaire l'information: Efficacit : proprit qui s'applique une information approprie et pertinente, dlivre dans les dlais, exacte, cohrente, et utilisable. Efficience : concerne la fourniture d'une information en utilisant les ressources de faon optimale. Confidentialit : concerne la protection d'une information sensible contre la divulgation ou la rvlation non autorises. Intgrit : proprit en rapport avec l'exactitude et l'exhaustivit de l'information, ainsi que sa valeur d'utilisation pour l'entreprise. Disponibilit : proprit d'une information, d'une ressource, d'un service d'tre disponible temps et de continuer l'tre pour l'accomplissement d'un processus fonctionnel. Elle concerne galement la protection des ressources et des moyens ncessaires. Conformit : il s'agit de la conformit aux lois et aux rglements en vigueur ainsi que le respect des contrats auxquels est soumis le processus fonctionnel, qui sont des contraintes externes. Fiabilit de l'information : proprit d'une l'information fournie la Direction lui permettant de diriger l'entreprise et de prsenter des tats financiers en conformit avec sa responsabilit.

Les critres sont mesurs suivant une mtrique deux valeurs. On distingue un niveau primaire lorsque le critre revt une importance primordiale pour l'objectif de contrle considr, et un degr secondaire lorsque l'impact est moins important ou indirect.
Les ressources L'information est produite par des systmes qui mobilisent les ressources suivantes.

Les

donnes comprennent les donnes structures et non structures : graphiques, images, sons etc.

Les applications comprennent des procdures programmes et des procdures manuelles. Les moyens technologiques le matriel, les systmes d'exploitation, les bases de donnes, les
rseaux, le multimdia, etc.

Les installations abritent ou supportent les systmes. Les personnes : avec leur formation, leur comptence et

leur capacit leur permettant de planifier, d'organiser, d'acqurir, de livrer, de supporter, et de surveiller les systmes et les services d'information.

28

La Lettre d'ADELI n 43 Avril 2001

Les processus TI Pour s'assurer que l'information rpond aux besoins de l'entreprise, les contrles des ressources doivent tre pralablement dfinis, mis en uvre et surveills, au niveau des activits de la fonction informatique et des utilisateurs de l'informatique. Comment une organisation s'assure t-elle que l'information possde les caractristiques souhaites ? C'est ici qu'apparat la ncessit d'un cadre bien tabli d'objectif de contrles T I. Le diagramme suivant illustre le concept.

Ce que lon obtient PROCESSUS DE GESTION

Ce dont on a besoin

INFORMATION

CRITRES
effic ac it e ffi ci ence c onfidenti al it i ntgri t di sponibil it c onformi t fi abil it

RESSOURCES INFORMATIQUES
donnes syst mes dappli cat ion t ec hnologi e i nstal la ti ons personne l

Concordance

Les ressources sont mobilises par des activits regroupes en 34 processus T I relis des objectifs de contrle. Les processus T I se dcomposent leur tour en objectifs de contrle dtaills. Les processus T I sont regroups dans 4 domaines : La planification et l'organisation : ce domaine couvre les activits lies aux aspects de stratgie, de planification, de communication et d'organisation. L'acquisition et la mise en place : la ralisation de la stratgie consiste identifier les solutions, puis les faire dvelopper en interne ou les acqurir auprs des fournisseurs et les intgrer dans les processus d'affaire. La maintenance de systmes existants fait galement partie de ce domaine. La distribution et le support : les systmes et les applications doivent tre exploits et scuriss, les utilisateurs doivent tre forms. La surveillance : consiste valuer de faon priodique et rgulire tous les processus T I et vrifier leur conformit par rapports aux exigences de l'entreprise. Ce domaine regroupe donc la surveillance assure par le contrle interne, les audits internes ou les audits externes.

Le concept de processus a t dfini par de nombreux auteurs et occupe actuellement une place centrale dans les proccupations de l'entreprise. Le lecteur peu familier ou qui souhaite approfondir le concept de processus peut se reporter la bibliographie fournie en fin darticle. Le modle peut tre reprsent sous la forme d'un cube qui permet dutiliser le modle en fonction des diffrentes perspectives.

La Lettre d'ADELI n 43 Avril 2001

29

Prenons par exemple le point de vue de la Direction : celle-ci peut sintresser aux aspects qualit,

scurit ou fiduciaire (traduits par COBIT en sept critres dinformation spcifiques). Un Dire cte ur informatique peut, quant lui, vouloir sintresser uniquement aux ressources informatiques dont il est responsable. Les propri taire s de s proce ssus, les informaticiens et les utilisateurs peuvent sintresser plus particulirement certains processus. Un audite ur devra dans sa dmarche s'intresser aux trois aspects. D'abord les processus qui couvrent son domaine d'audit, les ressources concernes, et les critres d'information en rapport avec les objectifs d'audit.

Les outils
L'ISACA fournit un certain nombre d'outils, disponibles en partie sur le site de l'ISACA.

Control objectives
dtaills.

dcrit de manire dtaille les processus et les objectifs de contrle,

Management

Guidelines dcrit certains outils pour le dploiement des processus T I et leur pilotage, en particulier une forme du tableau de bord quilibr de Kaplan, adapt aux T I. T ool set dcrit de faon informelle comment sensibiliser COBIT et apporte des tmoignages d'utilisateurs. Audit Guidelines donne des recommandations pour les auditeurs en systmes d'information qui ont valuer les contrles mis en place selon COBIT .

Implementation

30

La Lettre d'ADELI n 43 Avril 2001

La porte de COBIT
COBIT a t labor partir de rfrentiels techniques de contrle (IT SEC,.. ) et de l'Internal Control Integrated Framework publie aux USA en septembre 92 et connu sous l'acronyme COSO (traduction franaise : la nouvelle pratique du contrle interne , ditions d'Organisation). Le contrle interne est un processus mis en uvre par le conseil d'administration, les dirigeants et le personnel d'une organisation, destin fournir une assurance raisonnable quant la ralisation des objectifs suivants :

ralisation et optimisation des oprations ; fiabilit des informations financires ; conformit aux lois et aux rglementations en vigueur.
COSO met l'accent sur le fait que le contrle interne est un outil entre les mains de la Direction mais ne se substitue pas elle, et que les contrles doivent tre intgrs dans les activits oprationnelles et non rajouts, ultrieurement, aux activits. Le contrle interne est compos de cinq lments interdpendants qui dcoulent de la faon dont l'activit est gre et qui sont intgrs au processus de gestion. Ces composantes sont dcrites ci-dessous. L'e nvironne me nt de contrle : Les individus avec leurs qualits individuelles, mais surtout leur intgrit, leur thique, leur comptence et l'environnement dans lequel ils oprent sont l'essence mme de toute organisation. Ils en constituent le socle et le moteur. L' valuation de s risque s : L'entreprise doit tre consciente des risques et les matriser. Elle doit fixer des objectifs et les intgrer toutes ses activits. Elle doit galement instaurer des mcanismes permettant d'identifier, analyser et grer les risques correspondants. L'valuation des risques comprend l'identification et l'analyse des risques. Activit s de contrle : Les politiques et les procdures de contrle doivent tre labores et appliques pour s'assurer que les mesures identifies par le management sont excutes efficacement pour rduire les risques lis la ralisation des objectifs. Les activits de contrles comprennent les revues du contrle interne, les protections physiques, la sparation des tches, les contrles des systmes d'information. Information e t communication : Les systmes d'information et de communications sont articules autour des activits de contrle. Ils permettent aux personnels de recueillir et d'changer les informations ncessaires la conduite, la gestion et au contrle des oprations. l'intrieur de l'organisation, les personnels doivent recevoir le message qu'ils ont l'obligation de comprendre leur rle et de prendre leurs responsabilits au srieux au regard du contrle interne, et en cas de ncessit faire remonter les problmes aux plus hauts niveaux de la direction. destination des tiers clients et fournisseurs l'entreprise doit leur transmettre le message qu'elle ne tolrera pas les actions non correctes. Pilotage : L'ensemble du processus de contrle interne doit faire l'objet d'un suivi et des modifications doivent y tre apportes le cas chant. Ainsi le systme de contrle interne permettra de ragir rapidement en fonction du contexte. Chaque systme de contrle interne est unique et le systme de contrle interne est gnralement trs diffrent d'une socit l'autre. La direction surveille le contrle interne en examinant rgulirement les rsultats des activits de contrle et en diligentant des valuations supplmentaires.

La Lettre d'ADELI n 43 Avril 2001

31

Autres concepts Il existe un lien direct entre les trois catgories d'objectifs que l'organisation cherche atteindre et les composants du contrle interne ncessaires leur ralisation. Les cinq lments du contrle interne sont tous applicables et jouent tous un rle important dans la ralisation des objectifs oprationnels, financiers et de conformit Le contrle interne d'une entreprise peut tre jug efficace dans chacune des trois catgories d'objectifs lorsque le Conseil d'administration et la Direction estiment qu'ils disposent d'une assurance raisonnable leur permettant de considrer :

qu'ils

savent clairement dans quelle mesure les objectifs oprationnels de l'entit seront atteints ;

que les tats financiers publis sont tablis sur une base fiable ; que l'entreprise est en conformit avec les lois et rglement en vigueur.
Le schma suivant montre :

quil existe un que

lien direct entre les trois catgories dobjectifs (ce que lentreprise cherche atteindre) et les lments du contrle interne (qui reprsentent ce qui est ncessaire pour raliser les objectifs) ; les informations et la communication sont ncessaires pour atteindre les objectifs des trois catgories afin dassurer une gestion efficace des oprations, de prparer des tats financiers fiables et de contrler la conformit aux lois et rglementations.

PE

I AT

S ON

NS T IO E S A R R M IE FO N C I N I NA F

CO

R FO

IT

P IL O T A G E

U N ITE 2

IN F O R M A T IO N E T C O M M U N IC A T IO N (2)

U N ITE 1

(1 )

A C T IV IT E S D E P IL O T A G E

E V A L U A T IO N D E S RIS Q U E S

E N V IR O N N E M E N T D E C O N T R O L E

(3 )

Lie ns e ntre le s obje ctifs e t le s l me nts du contrle inte rne Le contrle interne sapplique toutes les units l'intrieur de l'entreprise. COBIT reprend les lments du contrle interne de COSO en les intgrant dans les processus conformment l'esprit d'intgration du contrle interne.

32

La Lettre d'ADELI n 43 Avril 2001

CONCLUSION
La matrise des systmes d'information dans les organisations n'a de sens que si les organisations sont matrises. C'est prcisment le but du Contrle Interne mis en uvre par la direction gnrale, la hirarchie, le personnel d'une entreprise et destin fournir une assurance raisonnable quant la ralisation d'objectifs concernant :

La ralisation et l'optimisation des oprations, La fiabilit des informations financires, La conformit aux lois et rglementations en vigueur.
Le rfrentiel COBIT a t labor partir de rfrentiels en provenance de diffrentes sources techniques et internationales (NIST , OCDE, IT SEC, ISO9000, ) en les intgrant selon les grandes lignes du rfrentiel de contrle interne COSO. Par consquent COBIT peut tre considr comme le rfrentiel de contrle interne de l'informatique. COBIT considre que les systmes d'information sont matriss lorsqu'ils fournissent l'information rpondant aux besoins de l'entreprise exprims en terme de critres de l'information. Le regroupement des activits relatives l'informatique en processus bien identifis permet de mobiliser les ressources dans ce but. Les recommandations pour le management de la version 3 de COBIT (Management guidelines) sont destines faciliter le dploiement de ces processus en les intgrant la stratgie de l'entreprise ( l'aide du tableau de bord quilibr de Kaplan) puis en les mesurant selon des indicateurs de rsultats et de performance. Un modle d'valuation calqu sur le modle d'valuation des capacits logiciel ( Capability Maturity Model ou CMM en anglais) est propos. Il permet l'entreprise de se situer dans une perspective d'amlioration continue. On retrouve ainsi dans COBIT des outils de management de la qualit qui sont de plus en plus compris et utiliss tous niveaux dans les entreprises, ce qui devrait, en retour, inciter celles-ci s'en inspirer.

Claude Mauvais Rfrences : Sur COBIT : sites Web www.isaca.org, www.itgi.org

Il existe 3 versions de COBIT .

La version 2 a t traduite en franais par l'AFAI (Association Franaise de l'Audit et du Conseil Informatique).

Sur les processus :

Mthodes et pratiques de la performance. Philippe LORINO. Les ditions d'Organisation. Dossier spcial de la Revue Franaise de Gestion N 104, 1995.

La Lettre d'ADELI n 43 Avril 2001

33

ANNEXE : Les processus du modle COBIT

Critres PROCESSUS (1) (2) (3) (4) (5) (6) (7) Ressources (a) (b) (c) (d) (e) S S S S P P S P P P S P P P S S S

Planification & organisation

PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10 PO11

Dfinir un plan stratgique Dfinir l'architecture d'information Dterminer la ligne stratgique Dfinir l'organisation informatique et ses liaisons Grer les investissements informatiques Communiquer les buts de la direction Grer les ressources humaines Assurer le respect des exigences externes valuer les risques Grer les projets Grer la qualit

P P P P P P P P S P P

S S S S P

Acquisition & Impl me ntatio

AI1 AI2 AI3 A14 AI5 AI6

Identifier les solutions Acqurir et maintenir les logiciels d'application Acqurir et maintenir l'architecture technologique Dvelopper et maintenir les procdures informatiques Installer et accrditer les sy stmes Grer les changements

P P P P P P

S P P P S S S S P P S P P S S S S

DS1 DS2 DS3

Dfinir les niveaux de service Grer les services sous-traits Grer les performances et les capacits Assurer la continuit des services Assurer la scurit des services Identifier et imputer les cots Former les utilisateurs Assister et conseiller les clients Grer la configuration Grer les problmes et les incidents Grer les donnes Grer les installations Grer les oprations Grer la configuration

P P P P

P P P S

S S

S S

S S S P

S S

S S

Livraison & Support

DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 DS9

P P P P P P P S

S P

S S P P P S S

P S

P P

Surve illance

M1 M2 M3 M4

Surveiller les processus Assurer l'adquation du contrle interne Donner une assurance indpendante Effectuer des audits indpendants

P P P P

S P P P

S S S S

S S S S

S S S S

S S S S

S S S S

Efficacit Efficience Confidentialit Intgrit Disponibilit Conformit Fiabilit P critre Primaire

(a) (b) (c) (d) (e)

Personnel Application Technologie Infrastructures Donnes

S critre secondaire

34

La Lettre d'ADELI n 43 Avril 2001