Supervis par :
- Mr R.KISSAMI
Ralis par :
2
Liste des figures
3
Introduction :
Le besoin de s'assurer de la valeur des SI, la gestion des risques qui leur sont lies et les
exigences croissantes de contrle sur l'information sont dsormais reconnus comme des
lments cls de la gouvernance d'entreprise. Valeur, risque et contrle constituent le cur de
la gouvernance des SI.
Sappuyant sur la version 5.0 de CobiT, cet expos en quatre volets replace ce
rfrentiel dans le contexte global de la gouvernance des systmes dinformation.
La premire partie sera une prsentation gnrale de CobiT. Dans la deuxime partie sont
dtaills les 5 principes de CobiT. La troisime partie est une comparaison entre le modle de
maturit de CobiT 4.1 et le modle de capacit des processus de CobiT 5.
4
Chapitre I : Gnralits sur Cobit.
1) Prsentation gnrale :
a) Historique :
CobiT est le rsultat des travaux collectifs raliss par les principaux acteurs de la
profession, auditeurs internes ou externes, fdrs au sein de lISACA (Information System
Audit and Control Association). Cette association mondiale base aux tats-Unis est dploye
dans les plus grandes villes du monde. Elle est reprsente en France par lAFAI (Association
franaise pour laudit et le conseil en informatique).
Dans ses premires versions, publies partir de 1996, CobiT (Control OBjectives for
Information and related Technology) se positionne comme un rfrentiel de contrle. Il
dcline sur le domaine IT les principes du rfrentiel COSO (Committee of Sponsoring
Organizations of the Treadway Commission), publis pour la premire fois en 1992 et dont
lobjectif est daider les entreprises valuer et amliorer leur systme de contrle interne.
La mise en chantier de CobiT rsultait donc de la volont des auditeurs de rpondre aux
exigences du COSO et de partager les mmes plans daudit. La plupart des grands cabinets
daudit internationaux (les big 6 lpoque) y ont particip. Cest ainsi devenu un standard de
fait, au moins pour les auditeurs informatiques. On y trouvait lessentiel de la structuration
actuelle en domaines, processus et objectifs de contrle dtaills.
Depuis une dizaine dannes, lITGI a men de nombreuses recherches au travers de groupes
de travail rpartis dans le monde entier. Le rsultat de ces recherches a notamment donn lieu
en 2000 la publication de la version V3 du rfrentiel CobiT proposant, paralllement un
guide daudit , un guide de management prfigurant les versions ultrieures.
la suite des scandales ayant eu lieu au dbut des annes 2000, le Congrs amricain vote, en
2002, la loi Sarbanes-Oxley (SOX) afin de redonner confiance aux investisseurs et aux
actionnaires en garantissant la fois la transparence des comptes, lexistence de processus
dalerte et lengagement des dirigeants (PDG, DAF). Ceci se traduit par un renforcement des
contrles lis aux processus financiers.
CobiT a t reconnu comme une rponse ces nouvelles exigences, tant en termes de contrle
que de gouvernance. La gnralisation de la loi SOX ou de ses dclinaisons locales ou
sectorielles (IFRS, International Financial Reporting Standards, LSF, Loi de scurit
financire, normes Ble II) a considrablement renforc le rle des auditeurs. Ces dispositions
5
rglementaires ont acclr la diffusion de CobiT comme rfrentiel de contrle et de
gouvernance des SI. Ensuite, lISACA a publi successivement la version 4 (dcembre 2005)
puis la version 4.1 (2007) de CobiT, en regroupant deux visions : le contrle et le
management des systmes dinformation (SI) et, plus largement, des technologies de
linformation (TI).
La version 5 de CobiT est disponible depuis avril 2012. CobiT 5 est, ce jour, le seul
rfrentiel qui est orient business pour la Gouvernance et la Gestion des Systmes
dInformation de lentreprise. Il reprsente une volution majeure du rfrentiel. CobiT 5 peut
tre adapt pour tous les types de modles business, denvironnements technologiques, toutes
les industries, les lieux gographiques et les cultures dentreprise. Il peut sappliquer :
La scurit de linformation
La gestion des risques
La gouvernance et la gestion du Systme dInformation de lentreprise
Les activits daudit
La conformit avec la lgislation et la rglementation
Les oprations financires ou les rapports sur la responsabilit sociale de lentreprise.
b) Dfinition :
CobiT (Control Objectives for Information and related Technology, en franais Objectifs
de contrle de lInformation et des Technologies Associes) est un outil fdrateur qui permet
d'instaurer un langage commun pour parler de la gouvernance des systmes d'information tout
en tentant d'intgrer d'autres rfrentiels tels que ISO 9000 et dautres.
La gouvernance des Systmes dInformation (SI) sest introduite au sein des entreprises dans
un contexte o dune part, lautomatisation des fonctions de lentreprise est devenue une
composante essentielle au sein de lentreprise et dautre part, o les dirigeants ne voient pas
comment les SI peuvent apporter de la valeur et de la performance dans lorganisation. Ainsi,
on peut parler de gouvernance des SI et donc de normes, certifications permettant cette
dernire. Cest galement dans un souci de transparence des informations que les SI se sont
dvelopps et que leur contrle est devenu incontournable. Le rfrentiel principal de
gouvernance et daudit des SI est le CobiT. En rsum le CobiT est un cadre de rfrence
pour maitriser la gouvernance des SI dans le temps. Il est fond sur un ensemble de bonnes
pratiques collectes auprs dexperts du SI.
Les directions dentreprises. Ce rfrentiel leur apporte une aide dans le contrle des
investissements de faon mieux grer les risques et remplir leurs obligations face aux
investisseurs et actionnaires, par exemple.
6
Les responsables informatiques chargs de la gestion du Systme dInformation et des
services fournis.
Les auditeurs, car ils peuvent apporter leurs recommandations aux directions sur le
contrle interne des Systmes dInformation.
c) La mission de COBIT :
2) Bnfices de COBIT :
Maintenir une information de qualit afin d'aider les prises de dcision mtier
Atteindre les objectifs stratgiques de l'entreprise et raliser les bnfices attendus par
l'utilisation efficace et innovante de l'informatique
Atteindre l'excellence oprationnelle via une utilisation fiable et efficiente de
l'informatique
Maintenir les niveaux de risques lis l'informatique un niveau acceptable
Optimiser les cots des services informatiques et des technologies correspondantes
Garantir la conformit aux lois et rglements en vigueur, ainsi que les politiques et
accords contractuels.
7
Chapitre II : COBIT 5 et la gouvernance des TI
1) Principes :
Au cours de la dernire dcennie, le terme gouvernance est pass lavant-plan de
la rflexion des entreprises. Des entreprises de par le monde ont su tirer profit de la mise en
place dune bonne gouvernance alors que dautres, dpourvues dune telle gouvernance, ont
subi des revers marquants.
Les entreprises qui russissent reconnaissent que le conseil dadministration et les dirigeants
doivent se proccuper de la gestion des systmes dinformation au mme titre que des autres
activits de lentreprise. Les conseils dadministration et les dirigeants, tant ceux des lignes
daffaires que ceux des TI, doivent collaborer pour intgrer les TI dans les approches de
gouvernance et de gestion. De plus, un nombre croissant de lois sont adoptes et des
rglements sont tablis pour rpondre ce besoin.
COBIT 5 fournit un rfrentiel complet qui aide les entreprises atteindre leurs
objectifs en matire de gouvernance et de gestion des TI. En bref, il aide les entreprises tirer
le maximum des TI en maintenant lquilibre entre la ralisation de bnfices, loptimisation
des niveaux de risque et lutilisation des ressources. COBIT 5 offre une approche holistique
de la gouvernance et de la gestion des TI applique lensemble de lentreprise.
Il tient compte de toutes les activits de lentreprise et des domaines fonctionnels des TI et
prend galement en considration les intrts des parties prenantes tant internes quexternes
en matire de TI. COBIT 5 est gnrique et utile pour les entreprises de toutes tailles, quil
sagisse dorganisations commerciales, dorganismes sans but lucratif ou du secteur public.
8
Principe 1 : Rpondre aux besoins des parties prenantes
Le rle des entreprises est de crer de la valeur pour leurs parties prenantes. Par
consquent, toute entreprise, commerciale ou non, aura la cration de valeur comme objectif
de gouvernance. Crer de la valeur signifie raliser des bnfices un cot optimal des
ressources, tout en optimisant les risques.
Les besoins des parties prenantes doivent tre traduits en actions stratgiques pouvant tre
mises en place dans lentreprise.
La cascade dobjectifs de COBIT 5 reprsente le mcanisme de traduction des besoins
des parties prenantes en objectifs dentreprise prcis, ralisables et personnaliss, en objectifs
lis aux TI et en objectifs facilitant. Cette traduction permet de fixer des objectifs prcis tous
les niveaux et dans tous les domaines de lentreprise, en appui aux objectifs gnraux et aux
exigences des parties prenantes, afin de soutenir efficacement lalignement entre les besoins
dentreprise et les solutions et services des TI.
Les besoins des parties prenantes sont influencs par un certain nombre de facteurs,
comme des changements de stratgie, un changement dans les affaires, lvolution de la
rglementation ou encore de nouvelles technologies.
Les besoins des parties prenantes sexpriment sous forme dobjectifs dentreprise
gnriques. Ces objectifs dentreprise ont t tablis en utilisant les dimensions du tableau de
bord prospectif, et ils reprsentent une liste dobjectifs couramment utiliss quune entreprise
peut dfinir pour elle-mme.
9
Figure 3 : Vue densemble de la cascade dobjectifs de COBIT 5
La cascade dobjectifs est importante, car elle permet de dfinir des priorits pour la mise en
uvre, lamlioration et lassurance de la gouvernance des TI de lentreprise et est base sur
des objectifs (stratgiques) de lentreprise ainsi que sur des risques connexes.
10
Dans la pratique, la cascade dobjectifs :
Dfinit des objectifs pertinents et concrets pour divers niveaux de responsabilit.
Filtre la base de connaissances de COBIT 5 en se basant sur les objectifs dentreprise, afin
dextraire des orientations pertinentes inclure dans des projets spcifiques de mise en uvre,
damlioration ou dassurance.
Couvre toutes les fonctions et les processus ncessaires pour gouverner et grer
linformation et les technologies lies lentreprise, quel que soit lendroit o cette
information est traite.
Linformation est lun des facilitateurs de COBIT. Le modle au moyen duquel COBIT 5
dfinit les facilitateurs permet toutes les parties prenantes de dfinir lensemble des
exigences lies linformation et au cycle de vie du traitement de linformation. Ainsi, il
permet de relier lentreprise, son besoin dinformation adquate et la fonction TI, tout en
soutenant les oprations et en sadaptant son contexte.
Approche de gouvernance :
Outre son objectif, les principaux lments constituant lapproche de gouvernance sont les
facilitateurs, la porte, les rles, les activits et les relations.
Facilitateurs de la gouvernance
Porte de la gouvernance
La gouvernance peut tre applique toute lentreprise, une entit, un actif tangible ou
intangible, etc. Autrement dit, il est possible de ne dfinir que certains aspects de lentreprise
auxquels sapplique la gouvernance. Il est essentiel de bien dfinir cette porte du systme de
gouvernance. COBIT 5 considre lentreprise dans son ensemble, mais fondamentalement,
COBIT 5 peut traiter tout aspect individuellement.
12
Figure 5 : Rles, activits et relations cls
Les structures organisationnelles sont les principales entits de dcision dans lentreprise.
13
La culture, lthique et le comportement des individus et de lentreprise sont trs
souvent sous-estims en tant que facteurs de russite dans les activits de gouvernance et de
gestion.
Le personnel, les aptitudes et les comptences sont lies aux individus et sont ncessaires
pour la russite de toutes les activits ainsi que pour la prise de dcisions claires et de
mesures correctives.
Certains facilitateurs prcdemment dfinis sont galement des ressources dentreprise qui
doivent tre gres et gouvernes. Ceci sapplique :
Linformation. Certaines informations, comme les rapports de gestion et les veilles
stratgiques, constituent des facilitateurs importants pour la gouvernance et la gestion de
lentreprise.
Le service, linfrastructure et les applications.
Le personnel, les aptitudes et les comptences.
14
La figure illustre la relation de la gouvernance dentreprise, dont celle des TI, avec les divers
lments ainsi que son rle, qui consiste atteindre les principaux objectifs de lentreprise.
Toute entreprise doit tenir compte dun ensemble de facilitateurs inter-relis.
Exemple : Gouvernance et gestion des TI de lentreprise
Le besoin de scurit de linformation exige la cration et la mise en uvre dun certain
nombre de politiques et de procdures. Ces politiques, leur tour, exigent la mise en uvre
dun certain nombre de pratiques lies la scurit. Toutefois, si la culture et lthique de
lentreprise et du personnel ne sont pas appropries, les processus et procdures de scurit de
linformation ne seront pas efficaces.
Dimensions des facilitateurs de COBIT 5 :
Tous les facilitateurs prsentent un ensemble de caractristiques communes (Figure 7) qui :
Fournit une faon commune, simple et structure pour grer les facilitateurs.
Permet une entit de grer ses interactions complexes.
Facilite lobtention de rsultats positifs par les facilitateurs.
15
Objectifs
Chaque facilitateur a un certain nombre dobjectifs, et tous procurent de la valeur en
permettant datteindre ces objectifs, qui peuvent tre dfinis en fonction des lments
suivants:
Rsultats attendus du facilitateur
Application ou fonctionnement du facilitateur
Les objectifs facilitant peuvent encore tre diviss en diffrentes catgories :
Qualit intrinsque : La mesure selon laquelle les facilitateurs agissent avec
prcision, de faon objective et fournissent des rsultats prcis, objectifs et fiables.
Qualit contextuelle : La mesure selon laquelle les facilitateurs et leurs rsultats sont
appropris au contexte dans lequel ils oprent.
Accs et scurit : La mesure selon laquelle les facilitateurs et leurs rsultats sont
accessibles et scuriss, cest--dire disponibles au moment opportun et au besoin,
avec accs limit aux personnes qui en ont besoin.
Cycle de vie
Chaque facilitateur possde un cycle de vie, qui va de sa cration son limination, en
passant par sa dure de vie oprationnelle et utile. Ceci sapplique linformation, aux
structures, aux processus, aux politiques, etc.
Bonnes pratiques
Les bonnes pratiques fournissent des exemples ou des suggestions sur la meilleure faon de
mettre en uvre les facilitateurs en prcisant les produits, les intrants ou les extrants requis.
Celles-ci contribuent latteinte des objectifs facilitant.
Gestion de la performance des facilitateurs
Les entreprises sattendent des rsultats positifs de la mise en uvre et de lutilisation
des facilitateurs. Pour grer la performance des facilitateurs, les questions qui suivent doivent
tre considres, et il faut par la suite y rpondre sur une base rgulire en fonction des
indicateurs:
Les besoins des parties prenantes sont-ils pris en compte?
Les objectifs facilitant sont-ils atteints?
Le cycle de vie des facilitateurs est-il gr?
Les bonnes pratiques sont-elles appliques?
Les deux premiers points peuvent tre appels indicateurs de rsultats , et les deux derniers
points peuvent tre appels indicateurs de fonctionnement .
16
Elle permet de dterminer lorientation par les priorits et la prise de dcisions. Enfin, elle
permet de contrler la performance et la conformit au regard des orientations et des objectifs
convenus.
Dans la plupart des entreprises, la gouvernance relve du conseil dadministration, sous la
direction de son prsident.
o Gestion :
Lquipe de gestion planifie, btit, excute et surveille les activits conformment
lorientation fixe par le groupe de gouvernance afin datteindre les objectifs dentreprise.
Dans la plupart des entreprises, la gestion relve de la haute direction, sous lautorit du
prsident-directeur gnral.
Daprs les dfinitions de la gouvernance et de la gestion, il est clair que ces deux fonctions
comprennent diffrents types dactivits et de responsabilits. tant donn le rle de la
gouvernance (valuer, diriger et surveiller), un ensemble dinteractions est ncessaire entre la
gouvernance et la gestion afin dobtenir un systme de gouvernance efficace.
Modle de rfrence du processus COBIT 5
COBIT 5 se dfend dimposer sa vision, mais recommande fortement aux entreprises de
mettre en uvre des processus de gouvernance et de gestion de telle sorte que les principaux
piliers soient couverts, comme le montre la figure 8.
17
Une entreprise peut dcider de ses propres processus, condition que tous les objectifs de
gouvernance et de gestion ncessaires soient couverts.
Le modle de rfrence de COBIT 5 divise lensemble des processus de lentreprise en deux
fonctions :
Gouvernance
Gestion :
Contient quatre domaines en lien avec la planification, la cration, lexcution et la
surveillance (PCES), qui contiennent cependant un plus grand nombre de verbes :
Aligner, planifier et organiser (APO)
Btir, acqurir et implanter (BAI)
Livrer, servir et soutenir (LSS)
Surveiller, valuer et mesurer (SEM)
La figure ci-dessous montre lensemble des 37 processus de gouvernance et de gestion de
COBIT 5.
18
2) Orientation de mise en uvre
Toute entreprise peut optimiser sa valeur en tirant profit de COBIT, pour autant
quelle se lapproprie et ladapte son contexte particulier. Chaque approche de mise en
uvre sera assortie dun lot de dfis particuliers, dont la gestion des changements culturels et
comportementaux.
Tenir compte du contexte de lentreprise
La gouvernance et la gestion des TI de lentreprise ne se font pas en vase clos. Chaque
entreprise doit concevoir son propre plan de mise en uvre en fonction de facteurs
environnementaux internes ou externes qui lui sont propres, tels que :
Lthique et la culture
Les lois, les rglements et les politiques applicables
La mission, la vision et les valeurs
Les politiques et les pratiques de gouvernance
Le plan daffaires et les intentions stratgiques
Le modle dexploitation et son niveau de maturit
Le style de gestion
La tolrance au risque
Les capacits et les ressources disponibles
Les pratiques de lindustrie
Crer un environnement appropri
La plupart des initiatives lies aux TI chouent en raison dune orientation, dune supervision
ou dun soutien inadquats de la part des diffrentes parties prenantes concernes. Le soutien
et lorientation des principales parties prenantes sont essentiels afin que les amliorations
proposes soient adoptes et maintenues. Dans un environnement dentreprise fragile
(caractris par un modle dexploitation global imprcis ou par un manque de facilitateurs de
gouvernance lchelle de lentreprise), ce soutien et cette participation sont dautant plus
importants.
Reconnatre les points sensibles et les vnements dclencheurs
Il existe un certain nombre de facteurs qui peuvent indiquer la ncessit damliorer la
gouvernance et la gestion des TI de lentreprise.
Lutilisation des points sensibles ou des vnements dclencheurs comme points de dpart
permet damliorer ladhsion et de crer un sentiment durgence au sein de lentreprise pour
donner le coup denvoi de la mise en uvre. De plus, des gains rapides peuvent tre identifis
et une valeur ajoute peut tre dmontre dans les domaines de lentreprise les plus visibles
ou reconnaissables.
Voici des exemples de quelques-uns des points sensibles courants pour lesquels une
gouvernance ou une gestion nouvelle ou amliore des facilitateurs des TI peut tre une
solution (ou une partie de la solution) :
Des incidents importants lis aux risques des TI, comme une perte de donnes ou lchec
dun projet.
Linsuffisance des ressources en TI, un personnel puis, insatisfait ou aux comptences
inadquates.
19
Des changements lis aux TI qui ne respectent pas les besoins de lentreprise et livrs en
retard ou dpassant les budgets.
Des modles complexes dexploitation des TI.
Favoriser le changement
Une mise en uvre russie dpend du choix du changement (les facilitateurs appropris de
gouvernance ou de gestion) et de la faon de le faire.
Il ne faut pas supposer que les diffrentes parties prenantes concernes ou touches par des
facilitateurs nouveaux ou amliors accepteront et adopteront facilement le changement. La
possibilit de lignorance ou de la rsistance au changement doit tre aborde au moyen dune
approche structure et proactive. De mme, il faut effectuer une sensibilisation optimale au
projet de mise en uvre grce un plan de communication qui dfinit ce qui sera
communiqu, de quelle manire, par qui et ce tout au long des diffrentes tapes du
programme.
20
dentreprise, les objectifs lis aux TI et les processus TI connexes, et en tenant compte des
scnarios de risque qui pourraient galement mettre en vidence des processus cls cibler.
Une valuation de ltat actuel doit ensuite tre effectue, de mme quune valuation de la
capacit du processus pour cerner les problmes ou lacunes.
Durant Ltape 3, il faut fixer une cible damlioration, suivie dune analyse dtaille tirant
parti des orientations de COBIT pour reprer des lacunes et dfinir des solutions possibles.
Ltape 4 vise cerner des solutions pratiques en dfinissant des projets appuys par des
dossiers daffaires justifiables.
Un plan de changement est galement labor pour la mise en uvre.
Les solutions proposes sont appliques aux pratiques quotidiennes durant ltape 5.
Ltape 6 est axe sur lexploitation durable des nouveaux facilitateurs et ceux amliors
ainsi que sur la surveillance de la ralisation des bnfices attendus.
Au cours de ltape 7, la russite globale de linitiative est rvise, des exigences
supplmentaires pour la gouvernance et la gestion des TI de lentreprise sont identifies et le
besoin damlioration continue est renforc.
Au fil du temps, le cycle de vie doit tre rpt pour que se btisse une approche durable
quant la gouvernance et la gestion des TI de lorganisation.
Ralisation du dossier daffaires
Pour que la mise en uvre des initiatives issues de COBIT soit un succs, le besoin dagir
doit tre largement reconnu et communiqu au sein de lentreprise.
Linitiative doit tre prise en charge par un promoteur, impliquer toutes les parties prenantes
majeures et tre fonde sur un dossier daffaires.
21
3) Le modle de maturit de CobiT 4.1 et le modle de capacit
des processus de CobiT 5
Les outils de COBIT 5 comprennent un modle de capacit des processus fond sur la norme
reconnue mondialement ISO/CEI 15504 Gnie logiciel Norme dvaluation des processus.
Cependant, le nouveau modle se distingue du modle de maturit de COBIT 4.1 dans sa
conception et son utilisation.
Cest pour cette raison que les sujets qui suivent sont abords :
Diffrences entre les modles de COBIT 5 et de COBIT 4.1 ;
Avantages du modle COBIT 5 ;
Lutilisation du modle de maturit de COBIT 4.1 pour amliorer les processus exigeait de
recourir aux lments de COBIT 4.1 suivants :
Premirement, valuer si les objectifs de contrle du processus taient atteints.
22
Ensuite, dterminer le profil de maturit du processus vis au moyen du modle inclus dans
les directives de gestion relatives chaque processus.
De plus, obtenir une perspective dtaille du niveau de maturit des processus en appliquant
chacun les six attributs distincts du modle de maturit gnrique de COBIT 4.1.
Enfin, puisque les contrles de processus rpondent aux objectifs de contrle gnriques, les
passer en revue lors de chaque valuation de processus. Soulignons que les contrles des
processus chevauchent partiellement les attributs du modle de maturit gnrique.
Lapproche de COBIT 5 quant la capacit des processus peut tre rsume de la faon
illustre la figure 12.
Il existe six niveaux de capacit quun processus peut atteindre, y compris un niveau
processus incomplet si les pratiques ne permettent pas de raliser lobjectif dsir :
0 Processus incomplet Le processus nest pas mis en uvre ou ne parvient pas raliser
la fonction dsire. ce niveau, il y a peu de preuves, voire aucune, que lobjectif du
processus est atteint systmatiquement.
1 Processus excut (un attribut) Le processus mis en uvre ralise la fonction dsire.
2 Processus gr (deux attributs) Le processus excut dcrit prcdemment est
maintenant mis en uvre et bien gr (planifi, surveill et ajust), et ses rsultats sont
adquatement tablis, contrls et maintenus.
3 Processus tabli (deux attributs) Le processus gr dcrit prcdemment est maintenant
mis en uvre selon une procdure dfinie qui permet latteinte des rsultats souhaits.
23
4 Processus prvisible (deux attributs) Le processus tabli dcrit prcdemment
fonctionne maintenant selon des limites dfinies qui assurent latteinte des rsultats souhaits.
5 Processus en optimisation (deux attributs) Le processus prvisible dcrit prcdemment
est amlior continuellement afin datteindre les objectifs daffaires pertinents actuels et
projets.
Chaque niveau de capacit ne peut tre atteint que lorsque les critres du niveau prcdent
sont entirement satisfaits.
titre dexemple, une capacit de niveau 3 (processus tabli) exige que les attributs de
dfinition et de dploiement du processus soient satisfaits en grande partie, en plus de la
satisfaction complte des attributs dune capacit de niveau 2 (processus gr).
Il existe une distinction importante entre le niveau de capacit 1 et les niveaux suprieurs.
Latteinte du niveau 1 exige que les attributs de performance du processus soient satisfaits en
grande partie, ce qui signifie concrtement que le processus est excut avec succs et que
lentreprise obtient les rsultats souhaits. Quant aux niveaux de capacit suprieurs,diffrents
attributs sajoutent. Selon ce modle dvaluation, latteinte du niveau de capacit 1, mme
sur une chelle de 5, constitue dj une ralisation importante pour une entreprise.
Mentionnons que par souci de rentabilit et de faisabilit, chaque entreprise dcidera de son
niveau cible ou dsir, lequel sera rarement lun des plus levs.
b) Avantages de changement :
Laccent est mis sur lamlioration du processus excut afin de confirmer quil ralise bien
sa fonction et quil donne les rsultats requis, comme prvu.
Une facilit dutilisation accrue des rsultats des valuations de la capacit des processus
puisque le nouveau modle tablit une base pour lexcution dvaluations plus rigoureuses et
formelles, aux fins dune utilisation interne et potentiellement externe.
Une conformit une norme dvaluation des processus gnralement accepte, entranant
un fort soutien envers lapproche dvaluation des processus sur le march.
24
Chapitre III : CobiT pour laudit et cas pratique
1) CobiT pour laudit :
CobiT a t et reste le rfrentiel daudit de la gouvernance des SI. Son utilisation dans les
missions daudit est quasi immdiate grce sa structure de base, aux nombreuses
publications qui viennent dtailler encore les objectifs de contrle et aux outils proposs sur le
march pour automatiser les contrles.
CobiT permet des auditeurs non informaticiens de mener de faon professionnelle des audits
informatiques intgrs aux audits gnraux.
CobiT est utilis comme une base solide de points de contrle, il permet de slectionner les
processus critiques et de les valuer.
Il permet aux auditeurs de justifier leurs opinions et/ou donner des conseils au management
sur les dispositifs de contrle interne.
2) Cas pratique :
Avec son sige social situ Riyad en Arabie Saoudite, Al Rajhi Bank dispose dun vaste
rseau de plus de 500 succursales, plus de 100 succursales ddies aux femmes, plus de 4 030
guichets automatiques bancaires (GAB), de 36 000 points de service (POS) installs chez des
marchands et de la plus grande clientle bancaire du royaume, en plus de 130 centres de
transfert de fonds dans tout le royaume.
25
La fonction de gouvernance des TI de la banque a t nouvellement tablie en 2014, et il tait
ncessaire que la banque respecte les exigences de conformit et de rglementation tablies
par la Banque centrale dArabie Saoudite. En outre, les rsultats de la vrification ont
dmontr la ncessit dun cadre de gestion du risque informatique et de contrles internes
amliors. La banque utilisait plusieurs rfrentiels et normes, dont ITIL, le bureau de
gestion de projet (BGP) et ISO/IEC 27001 pour rgir et grer les TI.
Choisir un rfrentiel
La banque reconnat la ncessit dutiliser un modle intgr pour rpondre aux diffrents
besoins tablis, notamment les exigences de conformit et de vrification. Il a galement t
jug essentiel quun modle intgr introduise un langage commun de la gestion du risque
pour permettre la banque de mieux valuer la performance des TI. La banque sest donc
tourne vers COBIT, parce quil a t jug appropri, afin de rpondre ses besoins. Tous les
besoins identifis de la banque taient en mesure de correspondre aux processus et aux
pratiques de processus de COBIT. De plus, les cinq grandes gammes de guides, doutils et de
formations de COBIT ont aid les parties prenantes de la banque amliorer leurs
connaissances de COBIT pour effectuer une mise en uvre plus russie.
Aide la gestion
Pour obtenir le soutien de la haute direction, les points faibles et les objectifs de la banque ont
t identifis. Les points faibles comprenaient le fait que plusieurs rfrentiels et normes de
gouvernance taient utiliss pour grer et rgir les TI et les irrgularits des vrifications
partir dorganismes internes et externes.
Les points faibles et les objectifs de l'entreprise ont t mis en correspondance avec les
pratiques de COBIT en utilisant la mthode de la cascade dobjectifs (figure 1). Les processus
de COBIT ont t mis en correspondance avec le modle dexploitation des TI de la banque.
26
Figure 1 : Cascade dobjectifs de CobiT 5
27
Atteindre les objectifs
Une feuille de route pour rpondre aux exigences de conformit et de gouvernance a t
dfinie dans un projet de trois phases (figure 3).
28
Aller de lavant
La banque a produit un modle dans lequel COBIT peut tre utilis pour rpondre aux
exigences de performance des TI, de vrification et de conformit au sein de la banque. La
cration dun tel modle permet la banque de reproduire le travail dj accompli et de
lappliquer facilement aux exigences futures de performance des TI, de vrification et de
conformit mesure quelles surviennent.
Un modle de gestion du risque a galement t produit dans le cadre dun projet deux
phases (figure 4).
29
CONCLUSION
COBIT peut tre utilis par des organisations pour amliorer la performance des TI et
rpondre aux exigences de conformit et de rglementation. Cest aussi le rfrentiel
incontournable de laudit de la gouvernance des systmes dinformation. Sa structure, ses
objectifs de contrle dtaills, les travaux incessants de recherche et les publications associes
en font un outil vivant et reconnu.
Bref, tout commence par ladhsion de la direction et la priorisation de processus ou de
pratiques de processus amliorer ou mettre en uvre.
30
Rfrences
31