Processus COBIT

[pic 1]

L’audit des Systèmes d’Information

CobiT : PO9 Evaluer et gérer les risques

[pic 2]

Sommaire

Sommaire        1

Introduction        2

I)        Description des processus du COBIT        3

1-        Description schématique des processus du COBIT        3

2-        Objectifs et métriques de COBIT        6

II)        Processus PO9 : évaluer et gérer les risques informatiques        8

1-        La description du processus        8

2-        Les objectifs de contrôle        9

3-        Le guide du management        10

4-        Le modèle de maturité :        12

Conclusion        14

Introduction

Pour que l’informatique réponde correctement aux attentes de l’entreprise les dirigeants doivent mettre en place un système de contrôle ou de référence interne qui les guidera dans la gouvernance des SI. CobiT est devenu l’intégrateur des meilleures pratiques en technologies de l’information et le référentiel général de la gouvernance des SI qui aide à comprendre et à gérer les risques et les bénéfices qui leur sont associés. Les bonnes pratiques de CobiT sont le fruit d’un consensus d’experts. Elles sont très axées sur le contrôle au sens maîtrise et moins sur l’exécution. Elles ont pour but d’aider à optimiser les investissements informatiques, à assurer la fourniture des services et à fournir des métriques auxquelles se référer pour évaluer les dysfonctionnements. CobiT est en permanence tenu à jour et harmonisé avec les autres standards.

Le cadre de référence de contrôle de CobiT facilite la mise en place d’une gouvernance des SI en :

• Etablissant un lien avec les exigences métier de l’entreprise,
• Structurant les activités informatiques selon un modèle de processus largement reconnu,
• Identifiant les principales ressources informatiques à mobiliser,
• Définissant les objectifs de contrôle à prendre en compte.

Les dirigeants ont besoin d’objectifs de contrôle pour fournir l’assurance raisonnable que les objectifs de l’entreprise seront atteints et que des dispositifs sont en place pour prévenir ou détecter et corriger des événements indésirables. Les entreprises ont besoin de pouvoir mesurer objectivement où elles en sont et où elles doivent apporter des améliorations, et elles ont besoin d’implémenter des outils de gestion pour surveiller ces améliorations. La réponse à ce besoin de déterminer et de surveiller les niveaux de contrôle et de performance de l’informatique appropriés est apportée par CobiT sous forme de : test comparatifs, objectifs et métriques et objectifs des activités.

L’évaluation de la capacité des processus au moyen des modèles de maturité de CobiT est un élément clé de la mise en place d’une gouvernance des SI. Lorsqu’on a identifié les processus et les contrôles informatiques essentiels, le modèle de maturité permet de mettre en évidence les défauts de capacité et d’en faire la démonstration au management.

Par ailleurs, CobiT se compose de 34 processus répartis entre les quatre domaines de responsabilités qui sont la planification, la mise en place, le fonctionnement et la surveillance. Nous allons nous intéresser dans ce document sur le processus d’évaluation et de gestion des risques, qui fait partie du domaine de planification et d’organisation.

Il est donc question pour nous d’étudier la problématique suivante : quel est le rôle des processus du Cobit dans la gouvernance des systèmes d’information, et plus particulièrement le processus d’évaluation et de gestion des risques ? et comment peut-on auditer ce processus ?

Nous allons commencer dans un premier lieu par une brève description des processus du CobiT et les domaines de responsabilité, puis nous allons détailler le fonctionnement du processus « Evaluer et gérer les risques », et enfin nous allons décrire les étapes et les procédures liées à l’audit de ce processus.

1. Description des processus du COBIT

1. Description schématique des processus du COBIT

CobiT retient 34 processus regroupés en 4 domaines qui correspondent au cycle de vie des SI et à leur maîtrise :

• Planifier et Organiser (10 processus),
• Acquérir et Implémenter (7 processus),
• Délivrer et Supporter (13 processus),
• Surveiller et Evaluer (4 processus).

Chaque processus met en œuvre des ressources informatiques (applications, informations, infrastructures et personnes au sens compétences), fournit une information destinée à satisfaire les besoins métiers exprimés sous formes de critères (efficacité, efficience, confidentialité, intégrité, disponibilité, conformité, fiabilité) et concerne un ou plusieurs des domaines de la gouvernance des SI (alignement stratégique, apport de valeur, gestion des risques, gestion des ressources, mesure de la performance).

L’orientation métier de CobiT consiste à lier les objectifs métiers aux objectifs informatiques, à fournir les métriques (définir ce qui doit être mesuré et comment) et les modèles de maturité pour faire apparaître leur degré de réussite, et à identifier les responsabilités communes aux responsables de processus métier et de processus informatiques.

L’orientation processus de CobiT est illustrée par un modèle de processus qui subdivise l’informatique en 34 processus répartis entre les quatre domaines de responsabilités que sont planifier, mettre en place, faire fonctionner et surveiller, donnant ainsi une vision complète de l’activité informatique. Les concepts d’architecture d’entreprise aident à identifier les ressources essentielles au bon déroulement des processus comme les applications, l’information, les infrastructures et les personnes. Pour fournir les informations dont l'entreprise a besoin pour réaliser ses objectifs, les ressources informatiques doivent être gérées par un ensemble de processus regroupés selon une certaine logique

...