Prsentation du Guide d'Audit

INTRODUCTION Le Guide dAudit est un outil complmentaire destin faciliter lapplication du Cadre de Rfrence et des Objectifs de Contrle de COBIT dans les missions daudit et dvaluation. Lobjet du Guide dAudit est de fournir une structure simple daudit et dvaluation des contrles base sur des pratiques daudit gnralement admises qui cadrent avec le schma global de COBIT. Les objectifs et les pratiques daudit particuliers varient considrablement dune entreprise lautre et il existe de nombreux mtiers concerns par les activits daudit comme les auditeurs externes, les auditeurs internes, les consultants, les chargs de revue qualit et les experts judiciaires. Cest pourquoi le Guide dAudit est gnrique et gnral. Les auditeurs doivent en gnral apporter au management et aux propritaires de processus de gestion assurance et conseil sur les contrles de lentreprise ; fournir une assurance raisonnable que les objectifs de contrle adquats sont atteints ; identifier les faiblesses importantes de ces contrles ; valuer les risques de telles faiblesses ; et enfin, conseiller ces responsables sur les actions correctives prendre. COBITfournit des politiques claires et des bonnes pratiques en matire de scurit et de contrle de linformation et des technologies associes. Ainsi, le fait dancrer solidement le Guide dAudit aux Objectifs de Contrle permet de replacer lopinion de lauditeur exprime par ses conclusions par rapport des critres qui font autorit (41 standards et tats de bonnes pratiques dfinis par des groupes publics et privs au niveau mondial). Le Guide dAudit fournit un modle pour prparer des plans daudit qui intgrent le Cadre de Rfrence et les Objectifs de Contrle dtaills deCOBIT. Il doit tre utilis conjointement au Cadre de Rfrence et aux Objectifs de Contrle de COBIT, et sert laborer des programmes daudit spcifiques. Il nest cependant ni exhaustif ni fig. Il napporte pas tout tout le monde et doit tre adapt des environnements particuliers. Quatre choses toutefois que le Guide nest pas : 1. Le Guide dAudit nest pas conu pour laborer un plan daudit ou de couverture gnrale qui prend en compte un ensemble de facteurs intgrant les anciennes faiblesses, les risques de lentreprise, les incidents rpertoris, les nouveaux dveloppements et les choix stratgiques. Si le Cadre de Rfrence et les Objectifs de Contrle fournissent une orientation, le modle correspondant parfaitement lactivit est en dehors du primtre du Guide dAudit.

2. Le Guide dAudit nest pas conu comme un outil dapprentissage des bases de laudit quand bien mme il intgre les bases gnralement reconnues de laudit et de laudit informatique. Le Guide dAudit nessaye pas dexpliquer de faon dtaille comment des outils de planification, dvaluation, danalyse et de documentation informatiques (qui incluent sans aller au-del les Techniques dAudit Assist par Ordinateur) peuvent tre employs pour aider et automatiser laudit des processus informatiques. Linformatique offre un norme potentiel pour accrotre lefficacit et lefficience des audits mais ce type de guide ne fait pas non plus partie du primtre du Guide dAudit. 3. Le Guide dAudit nest ni exhaustif ni fig mais voluera avec les Objectifs de Contrle de COBIT. 4. Le Guide dAudit de COBIT permet lauditeur de rapprocher la revue de processus informatiques spcifiques de celle recommande dans les Objectifs de Contrle pour rassurer le management lorsque les contrles sont suffisants ou pour le conseiller lorsque les processus doivent tre amliors. Dun point de vue management, les propritaires de processus peuvent se poser les questions : Ce que je fais est-il parfait ? Et si non, comment lamliorer ? Le Cadre de Rfrence et les Objectifs de Contrle de COBIT aideront apporter une rponse ces questions. Lapproche fournit un point de vue ractif mais les auditeurs doivent galement aider le management de faon proactive . Le Cadre de Rfrence et le Guide dAudit sont aussi utilisables de manire proactive lors des premires tapes des processus et projets de dveloppement - pour rpondre la question : De quoi ai-je besoin pour que cela fonctionne ? .

STRUCTURE GNRALE DU GUIDE DAUDIT Le modle le plus rpandu dvaluation du contrle est le modle daudit. Le modle danalyse des risques est une autre approche qui se dveloppe et sur lequel on reviendra la fin de cette introduction. Ceux qui sont en charge de lvaluation du contrle peuvent utiliser lun ou lautre modle. Les objectifs de laudit sont de :

donner au management une assurance raisonnable que les objectifs de contrle sont atteints, valuer les risques rsultant des faiblesses de contrle, et de conseiller le management sur les actions correctives. La structure daudit dun processus gnralement admise est :

identification et documentation, valuation, tests de conformit, tests dtaills.

Un processus informatique est donc audit ainsi :

Acqurir une bonne comprhension des exigences de gestion en termes de

risques et de dispositifs de contrle valuer si les contrles sont appropris

valuer la conformit des contrles en place par des tests pour dterminer sils

fonctionnent comme prvu, de faon cohrente et continue

valuer le risque de ne pas atteindre les objectifs de contrle laide de

techniques danalyse et/ou en consultant dautres sources.

Dans le but de fournir une aide au management sous la forme de conseils d'assurance, nous avons constitu un cadre de rfrence d'audit construit partir des exigences de COBIT :

prsent par niveaux orient objectifs de gestion orient processus centr sur les ressources grer les critres d'information requis. Au premier niveau cette approche gnrale de l'audit s'appuie sur :

le Cadre de Rfrence COBIT, particulirement le tableau rcapitulatif qui contient la classification des processus informatiques, les critres d'information applicables, et les ressources des TI (voir page 30) les besoins du processus d'audit lui-mme (voir section Besoins du Processus d'Audit page 24) les besoins gnriques pour l'audit des processus informatiques (voir la section Guide Gnrique d'Audit Informatique, page 24) principes gnraux de contrle (voir la section Observations sur le Processus de Contrle, pages 24-25) Le second niveau est constitu des principes dtaills d'audit pour chaque processus informatiques dcrit dans le corps principal de ce fascicule. Les principes ont t prsentes selon un modle standard qui adopte la structure commune suivante : Obtenir, valuer, Vrifier et Confirmer. Ce modle a t appliqu au Guide d'Audit gnrique aussi bien qu'au Guide d'Audit dtaill. Au niveau le plus dtaill, le troisime, l'auditeur peut enrichir le Guide d'Audit pour l'adapter aux circonstances spcifiques, conduisant ainsi la phase de planification de l'audit prendre en compte des points d'audits particuliers et influenant les objectifs de contrle dtaills au moyen de :

critres spcifiques au secteur standards de la branche professionnelle

lments spcifiques la plate-forme informatique techniques de contrle dtaills employe. Il est important ce niveau de comprendre que les objectifs de contrle ne s'appliquent pas ncessairement partout et tout le temps. Nous suggrons donc qu'une valuation gnrale du risque soit conduite de faon dterminer sur quels objectifs il faut se concentrer, et quels sont ceux qui peuvent tre laisss de ct. Tous ces lments sont proposs pour assister la planification et la performance des audits des TI, et pour permettre une application mieux intgre du guide daudit dtaill. Ce guide n'est ni exhaustif ni universellement applicable. L'information de premier niveau (guide gnrique, les besoins du processus d'audit, et les observations des contrles) aideront les auditeurs constituer le programme d'audit dont ils ont besoin.
STRUCTURE DTAILLE DE MISE EN PRATIQUE DU GUIDE D'AUDIT

BESOINS DU PROCESSUS D'AUDIT Ayant dfini ce que nous allons auditer et ce quoi nous allons donner une assurance, nous devons dterminer l'approche la plus approprie, ou notre stratgie pour mener

bien notre travail d'audit. Nous devons d'abord dterminer le bon primtre de l'audit. Dans ce but nous devons investiguer, analyser et dfinir :

les processus de gestion concerns les plates-formes et les systmes d'information sur lesquels s'appuient les processus de gestion, ainsi que leur interconnexion avec les autres plates-formes et les autres systmes les rles et les responsabilits au sein des TI, en distinguant les ressources internes et externes les risques lis aux choix stratgiques de l'entreprise. L'tape suivante consiste identifier les besoins en information qui concernent particulirement les processus de gestion. Puis il faudra identifier les risques inhrents aux TI de mme que les niveaux gnraux de contrle qui peuvent tre associs aux processus de gestion. Dans ce but nous identifions :

les changements rcents dans l'environnement professionnel qui ont un impact sur les TI les changements rcents dans l'environnement informatique, les nouveaux dveloppements, etc les incidents rcents en rapport avec les contrles et l'environnement professionnel les contrles de surveillance des TI appliqus par le management les rapports d'audits et/ou de certification rcents les rsultats rcents d'auto-valuations. Sur la base des informations obtenues nous pouvons maintenant slectionner les processus COBIT qui conviennent, ainsi que les ressources qui s'y appliquent. Cela peut impliquer qu'on fasse l'audit de certains processus COBIT plusieurs fois, une fois pour chaque type de plate-forme ou de systme diffrent. Il faut dterminer une stratgie d'audit en fonction du plan d'audit laborer ensuite ; par exemple, faut il se diriger vers une approche base sur des contrles, ou vers une approche plus large ? Finalement il faut prendre en compte toutes les tapes, toutes les tches, et tous les lments de dcision pour effectuer l'audit. On trouve dans l'Annexe V un exemple de processus gnrique d'audit qui suit le modle standard (avec les tapes, les tches et les lments de dcision).
BESOIN DU PROCESSUS D'AUDIT

GUIDE DAUDIT GNRIQUE Le modle de la page 26 prsente les besoins gnriques d'audit des processus TI destins fournir le premier niveau de guide d'audit, gnralement applicable tous les processus. Il est d'abord orient vers la comprhension des processus et la dtermination de sa proprit ; il devrait constituer le fondement et le cadre de rfrence de tout guide daudit dtaill. Ce mme modle est ensuite appliqu aux 34 processus identifis dans le Cadre de Rfrence COBIT. Guide d'Audit Gnrique

ACQURIR UNE BONNE COMPRHENSION

Travaux daudit effectuer pour documenter les activits sous-jacentes aux objectifs de contrle et pour identifier les mesures/procdures en place.

Interroger le management et les quipes concerns pour comprendre :

les exigences de gestion et les risques associs la structure de lorganisation les rles et responsabilits les politiques et procdures les lois et rglementations les mesures de contrle en place les rapports de gestion (tats, rapports de performance, listes dactions). Documenter les ressources informatiques particulirement impactes par le processus sous revue. Valider la bonne comprhension du processus sous revue, les indicateurs cls de performance du processus, les implications en terme de contrle, par ex. un processus qui y chappe.

VALUER LES CONTRLES

Travaux daudit effectuer pour valuer lefficacit des dispositifs de contrle en place ou le degr datteinte des objectifs de contrle. Dcider des tests raliser, de ce quil faut tester et comment. valuer le caractre appropri des mesures de contrle du processus sous revue par rapport des critres identifis et aux pratiques de la profession, les facteurs cls de succs des mesures de contrle et lexprience de lauditeur.

le processus est document il y a des livrables adquats les responsabilits sont claires et effectives il y a des contrles compensatoires si ncessaire valuer le degr datteinte de lobjectif.

VALUER LA CONFORMIT
Travaux daudit effectuer pour sassurer que les mesures de contrle dfinies fonctionnent comme prvu, de faon cohrente et continue, et pour conclure sur ladquation de lenvironnement de contrle. Prouver de faon directe ou indirecte sur une slection dlments ou de priodes que les procdures ont t conformes sur la priode rvise. Effectuer une revue limite de ladquation des livrables des processus. valuer le niveau de tests dtaills et de travail additionnel ncessaire pour fournir lassurance que le processus informatique est adquat.

JUSTIFIER LE RISQUE

Travaux daudit effectuer pour valuer le risque de ne pas atteindre lobjectif de contrle laide de techniques danalyses ou en utilisant dautres sources. Lobjectif est dtayer lopinion et de forcer le management agir. Les auditeurs doivent tre cratifs dans la recherche et la prsentation de cette information souvent sensible et confidentielle Documenter les faiblesses du contrle, les menaces et les vulnrabilits qui en rsultent. Identifier et documenter limpact actuel et potentiel (par ex. analyse causeconsquence) Fournir de linformation comparative (par ex. analyse comparative ou benchmark)

OBSERVATIONS SUR LE PROCESSUS DE CONTRLE Les principes gnraux de contrle peuvent aussi suggrer des ides sur la faon d'apporter des complments au Guide d'Audit. Ces principes sont avant tout centrs sur les responsabilits du contrle et des processus, les standards de contrle, et les flux d'informations de contrle. Le contrle, du point de vue de management, c'est dterminer ce qui est en train de s'accomplir ; en d'autres termes, c'est valuer la performance et si ncessaire appliquer des mesures correctives pour que la performance soit la hauteur de ce qui est prvu dans le plan. Le processus de contrle est constitu de quatre tapes. On spcifie d'abord un standard de performance souhaite pour un processus. Ensuite vient le moyen par lequel on voit ce qui se passe dans le processus : le processus fournit de l'information de contrle une unit de contrle. En troisime lieu, l'unit de contrle compare l'information au standard. Quatrimement, si ce qui se passe vraiment n'est pas conforme au standard, l'unit de contrle envoie l'action corrective entreprendre sous forme d'information en retour au processus.

A partir de ce modle, les observations de contrle suivantes peuvent tre pertinentes pour l'audit : 1. Pour que ce modle fonctionne, la responsabilit du processus de gestion (des TI, dans le cas prsent) doit tre attribue de faon claire et non ambigu. Dans le cas contraire les informations ne circuleront pas et les actions correctives ne seront pas entreprises. 2. Les standards peuvent tre d'une trs grande varit, des plans les plus gnraux aux Indicateurs Cls de Performances mesurables (ICP) et aux Facteurs Cls de Succs (FCS). Des standards clairement documents, actualiss et communiqus sont une condition imprative pour un bon processus de contrle. Une autre exigence pour un bon contrle est une responsabilit de conservation des standards clairement tablie. 3. Le processus de contrle a les mmes exigences : bien document sur sa manire de fonctionner, avec des responsabilits clairement tablies. La dfinition claire de ce qui constitue une dviation est un aspect important : quand considre-t-on que le processus dvie ? 4. L' propos, l'intgrit et la pertinence de l'information de contrle, comme pour les autres informations, sont fondamentaux pour le bon fonctionnement du systme de contrle, et sont des lments que l'auditeur doit aborder. 5. L'information de contrle et celle relative aux actions correctives auront des exigences en matire de preuve pour tablir la responsabilit a posteriori.

Les contrles oprent aussi diffrents niveaux en ce qui concerne le cycle traditionnel Planifier-Faire-Vrifier-Corriger auquel le management est habitu. Ce modle illustre :

la squence logique planifier-faire-vrifier et corriger le plan si ncessaire comment cela se passe aux niveaux stratgique, tactique et oprationnel plusieurs relations latrales et horizontales

le "faire" stratgique se traduit en plan tactique le "faire" tactique se traduit en plan oprationnel les activits "vrifier" et "faire" cooprent en permanence et s'influencent mutuellement l'activit "vrifier" au niveau oprationnel rapporte au "vrifier" du niveau suprieur tactique qui son tour rapporte au vrifier stratgique.

Au moment d'valuer les mcanismes de contrle, les rviseurs doivent tre conscients que les contrles oprent ces niveaux diffrents et qu'ils sont troitement intercorrls. L'orientation processus de COBIT fournit certaines indications sur diffrents processus de contrle, niveaux et inter-relations, mais une mise en place en vraie grandeur, ou l'valuation de systmes de contrle doivent prendre en compte cette dimension supplmentaire complexe.

EN DEUX MOTS

Pour rsumer disons que le Guide d'Audit dtaill peut toujours tre complt en tenant compte du Guide dAudit Gnrique et du processus sous revue, donnant ainsi de nouveaux points daudit pour rpondre aux objectifs de l'audit. Ltablissement du programme d'audit lui-mme peut tirer avantage des Besoins du Processus d'Audit, du Cadre de Rfrence COBIT, des Objectifs de Contrle Gnraux, et des Considrations de Contrle nonces plus haut.

LIEN ENTRE OBJECTIFS DE CONTRLE ET GUIDE D'AUDIT Les objectifs ont t conus dans une orientation processus car le management attend des conseils proactifs sur la faon de garder les TI sous contrle. Les Objectifs de Contrle aident le management tablir des contrles sur les processus, le Guide d'Audit aident l'auditeur ou l'valuateur fournir l'assurance que le processus est vritablement sous contrle, de faon ce que les besoins d'information ncessaire la ralisation des objectifs de gestion soient satisfaits.

Le lien entre les deux est le processus, ce qui a conduit laborer un Guide d'Audit pour chaque processus et non pour chaque objectif de contrle. Par analogie avec le rfrentiel de contrle reprsent par le modle en cascade, le Guide d'Audit peut tre vu comme un retour dinformation des processus de contrle vers les objectifs de gestion. Les objectifs de contrle sont le guide qui descend la cascade pour mettre les processus TI sous contrle. Le Guide d'Audit est le guide qui remonte la cascade avec la question : "Peut-on fournir lassurance que les objectifs de

gestion seront atteints ?" Parfois, le Guide d'Audit est une traduction directe des Objectifs de Contrle ; plus frquemment le guide cherche dmontrer que le processus est sous contrle.

OPPORTUNITS ET CHALLENGES POUR LES TCHES D'VALUATION L'utilisation du Cadre de Rfrence, des Objectifs de Contrle et du Guide d'Audit comme base des tches d'audit/valuation prsente certains avantages bien dtermins :

permet d'tablir les priorits des activits d'audit et des domaines audits, par l'utilisation des critres Primaire et Secondaire d'information conduit investiguer des domaines qui, sans un cadre de rfrence ou un modle, auraient normalement chapp l'examen une mise en place et une squence d'interviews plus logique peut tre dveloppe mesure que les auditeurs progressent dans le processus les investigations peuvent tre mieux cibles grce aux indicateurs qui montrent quelle ressource est plus importante pour quel processus comme standard pour dfinir les domaines auditables des TI, pour que le plan d'audit stratgique assure :

une couverture d'audit efficace l'acquisition/construction des comptences ncessaires en audit en temps utile.

Cependant intgrer un cadre de rfrence et des objectifs dans le travail d'audit constitue aussi un dfi :

le changement n'est jamais facile (attitude, ensemble d'outils, ensemble de comptences, etc.) la nature dtaille en rend l'application pesante au dbut, en particulier au moment de vrifier que tous les objectifs de contrle du domaine audit sont pris en compte et applicables il y a d'invitables rptitions dans le Guide d'Audit parce qu'il y a rarement une relation d'un un entre l'objectif de contrle et les mcanismes de contrle, un mcanisme contribuant de diffrentes faons plusieurs objectifs, et un objectif ncessitant plusieurs mcanismes pour se raliser oblige un certain formalisme (par exemple, enregistrer les informations de contexte) qui peut sembler superflu.

ANALYSE DU RISQUE VUE COMME UNE APPROCHE ALTERNATIVE DE L'VALUATION

Comparer cots et risques est la question suivante traiter, c'est dire faire des choix conscients sur la ncessit de mettre en place chaque objectif de contrle et comment le faire. L'approche par lanalyse du risque aide faire ce choix, mme si le principe d'anticipation reste valable ; les objectifs de contrle doivent tre appliqus d'abord pour satisfaire aux critres de contrle de l'information (efficacit, efficience, confidentialit, disponibilit, intgrit, conformit et fiabilit). Il est vident qu'il est indispensable que le management utilise une forme ou une autre d'valuation du risque dans l'entreprise pour dfinir les mesures mettre en place (voir OC PO9). Les auditeurs feront eux aussi une certaine valuation du risque en choisissant les domaines et les objectifs de contrle de laudit. Voici une approche de l'analyse du risque dans les TI communment accepte : Le modle part de l'estimation des actifs, qui dans le Cadre de Rfrence COBIT est constitu des informations qui satisfont aux critres requis pour aider la ralisation des objectifs de gestion (ces actifs incluent toutes les ressources ncessaires pour produire ces informations). L'tape suivante est l'analyse de vulnrabilit (1) qui examine l'importance des critres d'information dans le processus audit : si un processus de gestion est vulnrable du point de vue de l'intgrit, des mesures spcifiques doivent tre prises. Ensuite on examine les menaces susceptibles d'exploiter une certaine vulnrabilit. La probabilit de la menace, le degr de vulnrabilit et la gravit des consquences se combinent pour tablir la conclusion sur l'valuation des risques. Viennent ensuite une srie de contre-mesures (contrles) et une valuation de leur efficacit, ce qui conduit aussi identifier des risques rsiduels. La conclusion est un plan d'action aprs lequel le cycle peut recommencer.
(1) Le rsultat d'une analyse de vulnrabilit est l'identification des menaces susceptibles de se produire, et le rsultat d'une analyse des menaces est l'identification des vulnrabilits pouvant favoriser ces menaces.

COMMENT L'UTILISER
Pour faciliter l'utilisation efficace des objectifs de contrle qui sous-tendent les diffrents points de vue, des aides la navigation sont fournies avec la prsentation des objectifs de contrle gnraux. Pour chacune des trois facettes par laquelle on peut aborder le Cadre de Rfrence COBIT (les processus, les ressources et les critres d'information), une aide la navigation est fournie.

Les domaines informatiques sont identifis par cette icne situe dans le COIN SUPRIEUR DROIT de chaque page du fascicule Objectifs de Contrle ; le domaine consult est en surbrillance et agrandi.

Le

rappel des critres d'information sera affich dans le COIN SUPRIEUR GAUCHE dans le fascicule Objectifs de Contrle au moyen de cette mini-matrice qui identifiera le critre applicable chacun des Objectifs de Contrle gnraux ainsi que son degr (primaire ou secondaire).

Une deuxime mini-matrice situe dans le COIN INFRIEUR DROIT du fasciculeObjectifs de Contrle identifie les ressources informatiques les mieux gres par le processus

envisag (et non pas celles qui interviennent simplement dans le processus). Le processus " grer les donnes ", par exemple, est ax tout particulirement sur l'intgrit et la fiabilit de la ressource " donnes " tandis que la disponibilit et la confidentialit sont essentiellement fournies travers les processus qui grent les ressources utilisant les donnes (par ex. les applications et la technologie).

Prsentation du Guide de Management

SYNTHSE
Comment matriser les Technologies de l'Information (TI) pour qu'elles fournissent les donnes dont l'entreprise a besoin ? Comment grer les risques lis l'infrastructure dont nous sommes si dpendants, et comment scuriser celle-ci ? Comme de nombreux problmes lis au management, ces sujets minemment stratgiques amnent les questions traditionnelles suivantes auxquelles nous allons rpondre : Quel est le problme ? Quelle est la solution ? En quoi consiste-t-elle ? Est-ce que cela va fonctionner ? Comment vais-je procder ?

Une approche pour rpondre ces questions a t propose par le Cadre de rfrence de COBIT (Control Objectives for Information and related Technology). COBIT est un standard ouvert permettant de contrler les TI, dvelopp et promu par le IT Governance Institute. Le Cadre de rfrence identifie 34 processus informatiques, une approche globale du contrle de ces processus, ainsi que 318 objectifs de contrle dtaills et un guide d'audit permettant d'valuer les 34 processus. Il propose un standard universellement applicable et reconnu permettant au management de dterminer et de grer le niveau de contrle et de scurit informatique le mieux adapt l'entreprise.

Le IT Governance Institute a approfondi ses recherches sur le sujet, en coopration avec des experts mtiers, des analystes et des universitaires du monde entier. Ces travaux ont permis de dfinir le Guide de Management COBIT, compos de Modles

de Maturit, de Facteurs Cls de Succs (FCS), d'Indicateurs Cls d'Objectif (ICO) et d'Indicateurs Cls de Performance (ICP). Le rsultat a t l'amlioration significative d'un rfrentiel qui rpond aux besoins du management en matire de contrle et de mesure des technologies de l'information, en lui fournissant des outils permettant d'valuer et de quantifier son environnement informatique grce aux 34 processus identifis par COBIT.

Les nombreux changements intervenant dans les technologies de l'information et les rseaux augmentent la ncessit de mieux grer les risques lis ces technologies. Pour le fonctionnement des processus mtiers critiques, l'information lectronique et les systmes informatiques reprsentent des facteurs essentiels. La bonne marche des affaires passe par une meilleure gestion des technologies complexes qui irriguent l'entreprise, afin de ragir rapidement et srement aux besoins professionnels. De plus, le contexte rglementaire exige des contrles plus stricts de l'information. Ceci est motiv par la dcouverte de graves disfonctionnements dans les systmes d'information et par une fraude lectronique en augmentation. La gestion des risques lis aux TI est dsormais considre comme une fonction essentielle de la gouvernance d'entreprise.

Au sein de la gouvernance d'entreprise, la gouvernance des TI prend une importance sans cesse croissante pour la ralisation des objectifs, en produisant de la valeur ajoute tout en tablissant un quilibre entre les risques et les bnfices de l'informatique et de ses processus. La gouvernance des TI participe pleinement au succs de la gouvernance d'entreprise, en assurant des amliorations quantifiables, efficaces et efficientes des processus qui s'y rapportent. Elle constitue la structure qui relie les processus, les ressources et les donnes informatiques aux stratgies et aux objectifs de l'entreprise. De plus, la gouvernance des TI intgre et institutionnalise les bonnes pratiques (ou les meilleures) dans les domaines suivants : planification et organisation, acquisition et mise en place, distribution et support, surveillance ; elle garantit ainsi que le systme d'information et ses technologies associes, exploits de manire optimale, servent les objectifs mtiers de l'entreprise et lui permettent d'augmenter ses bnfices en crant de nouvelles opportunits et en la dotant d'avantages concurrentiels.

Dans notre conomie globale qui accorde une part de plus en plus importante l'lectronique, entranant ainsi l'accroissement des interconnexions et de la dpendance vis--vis des TI, la gestion globale et la matrise du risque dpendent de pratiques de management spcifiques. Dans nos environnements complexes, les Directions sont continuellement la recherche d'informations concises et jour leur permettant de prendre rapidement les bonnes dcisions, toujours difficiles, en matire de risque et de contrle. Voici quelques questions courantes et le type d'outils de gestion qui servent trouver des rponses :

Mais les tableaux de bord ncessitent des indicateurs, les tableaux de bord quilibrs des mesures et les tests comparatifs une chelle de comparaison. Fournir ces lments au management a t un objectif primordial dans le dveloppement du Guide de Management COBIT. Toute entreprise a un besoin vital d'apprhender l'tat de ses propres systmes informatiques et de dcider quel niveau de scurit et de contrle ils doivent assurer. Aucun des aspects de ce problme (apprhender le niveau de contrle ncessaire et en dcider) n'est vident. Obtenir une vue objective du niveau exact d'une entreprise n'est pas chose aise. Que doit-on valuer et comment ? Outre la ncessit d'valuer le niveau o se trouve sa propre entreprise, il faut galement tenir compte des progrs continus raliss dans le domaine de la scurit et du contrle informatique et de la ncessit d'un outil pour suivre ce progrs. Dterminer le bon niveau est galement une tche difficile. On demande souvent la direction des entreprises ou des organismes publics de prvoir les dpenses ncessaires pour amliorer le contrle et la scurit de l'infrastructure informatique. Peu de gens oseraient dire que ce n'est pas une bonne chose, et tous doivent de temps en temps se poser cette question :
Jusqu'o devons-nous aller, et le cot est-il justifi par le bnfice ?

La rponse est apporte par le Guide de Management COBIT dont la porte gnrale et le caractre dirig vers l'action lui donnent vocation de rpondre aux problmes de management suivants : valuation des performances - Quels sont les indicateurs de bonne performance ? Dfinition du profil des contrles informatiques - Quels sont les lments importants ? Quels Facteurs Cls de Succs utiliser dans le domaine du contrle ? Sensibilisation - Quels risques encourons-nous en n'atteignant pas nos objectifs ? Comparaison - Que font les autres ? Comment valuer et comparer ? Dfinir spcifiquement les lments suivants va permettre de dterminer et de grer un niveau de contrle et de scurit informatique appropri : Tests Comparatifs des pratiques de contrle informatique (sous forme de Modles de maturit) Indicateurs de Performance des processus informatiques (rsultats et performances) Facteurs Cls de Succs pour placer ces processus sous contrle Le Guide de Management s'inscrit dans la ligne des documents COBIT Cadre de Rfrence, Objectifs de Contrle et Guide d'Audit, et s'en inspire. De plus, la focalisation sur la gestion des performances a t facilite par l'utilisation des principes noncs dans l'ouvrage Tableau de Bord quilibr. (1)

Ces principes ont contribu dfinir les Indicateurs Cls d'Objectif qui permettent d'identifier et de mesurer les rsultats des processus, ainsi que les Indicateurs Cls de Performance qui valuent la qualit de fonctionnement des processus en quantifiant leurs facteurs. Dans notre environnement domin par les services d'information, l'Informatique est devenue le principal facteur des affaires. Par consquent, la relation entre les objectifs professionnels quantifis et l'informatique avec ses objectifs et ses mesures est trs importante ; elle peut tre dcrite de la manire suivante :

Pour utiliser des termes simples, ces mesures aideront le management grer son organisation informatique en rpondant aux questions suivantes : 1. Quelle est la proccupation du management ? S'assurer que les besoins de l'entreprise sont satisfaits. 2. O ceci est-il mesur ? Sur le Tableau de Bord quilibr, sous forme d'Indicateur Cl d'Objectif reprsentant un rsultat du processus de l'activit. 3. Quel est la proccupation de l'Informatique ? Que les processus informatiques fournissent l'entreprise la bonne information au bon moment. Ceci reprsente un Facteur Cl de Succs pour l'entreprise. 4. O ceci est-il mesur ? Sur le Tableau de Bord quilibr informatique, sous forme d'Indicateur Cl d'Objectif reprsentant le rsultat de l'informatique qui consiste dlivrer l'information selon les bons critres (efficacit, efficience, confidentialit, intgrit, disponibilit, conformit et fiabilit). 5. Que doit-on mesurer d'autre ? Si le rsultat est influenc positivement par un certain nombre de Facteurs Cls de Succs, ceux-ci doivent tre mesurs comme Indicateurs Cls de Performance refltant la qualit du travail de l'informatique.
" The Balanced Business Scorecard - Measurements that Drive Performance " , Robert S. Kaplan et David P. Norton, Harvard Business Review, Janvier-Fvrier 1992 (Le Tableau de Bord quilibr - Quantifier pour amliorer les performances)

MODLES DE MATURIT Servant contrler les processus informatiques, ils

consistent dvelopper une mthode d'valuation permettant une entreprise de se classer elle-mme sur une chelle gradue d'inexistant optimis (de 0 5). Cette approche est drive du Modle dfini par le Software Engineering Institute pour mesurer la maturit de la fonction de dveloppement de logiciel (2). Selon ces niveaux, dfinis pour chacun des 34 processus informatiques du COBIT, le management fait apparatre : L'tat actuel de l'entreprise - o se situe l'entreprise aujourd'hui L'tat actuel des meilleures pratiques du march - comparaison L'tat actuel des standards internationaux - comparaison supplmentaire La stratgie de l'entreprise en matire de progrs - o l'entreprise veut se situer

FACTEURS CLS DE SUCCS (FCS). Ils dfinissent les actions les plus
importantes entreprendre et les questions essentielles soulever par le management pour contrler les processus informatiques dans leur ensemble et dans le dtail. Ils doivent constituer des guides de mise en uvre orients management et mettre en lumire les tches les plus importantes entreprendre dans les domaines stratgiques, techniques, organisationnels et procduraux.

INDICATEURS CLS D'OBJECTIF (ICO). Ils dfinissent les mesures qui

indiqueront (a posteriori) au management si un processus informatique a rpondu aux besoins de l'entreprise. Ils sont gnralement exprims en termes de critres d'information : Disponibilit des informations requises pour rpondre aux besoins mtiers Absence de risques en matire d'intgrit et de confidentialit Rentabilit des processus et des oprations Confirmation de la fiabilit, de l'efficacit et de la conformit

INDICATEURS CLS DE PERFORMANCE (ICP). Ils dfinissent des

mesures dterminant la qualit de fonctionnement du processus informatique dans la ralisation des objectifs. Ils renseignent sur la probabilit d'atteindre un objectif. Ce sont de bons indicateurs d'aptitudes, de pratiques et de comptences. Dans ce Guide de Management les Facteurs Cls de Succs, les Indicateurs Cls d'Objectif et les Indicateurs Cls de Performance sont prsents sous une forme concise et cible, compltant le guide de contrle gnral propos par le fascicule CobiT Cadre de Rfrence (voir Annexe II), o il est dit que l'informatique aide l'entreprise en lui fournissant les informations dont elle a besoin.
2 Capability Maturity Model SM for Software, Version 1.1. Rapport technique CMU/SEI-93-TR-024, Software Engineering Institute, Carnegie Mellon University, Pittsburgh, PA, fvrier 1993

En rsum, ce guide s'est fix pour objectif de dfinir l'intention du management des lignes de conduite la fois gnrales et orientes vers l'action, pour matriser l'information de l'entreprise ainsi que les technologies et processus associs : MODLES DE MATURIT pour les choix stratgiques et les tests comparatifs. FACTEURS CLS DE SUCCS (FCS) pour mettre ces processus sous contrle. INDICATEURS CLS D'OBJECTIF (ICO) pour vrifier que les processus informatiques ont atteint leurs objectifs. INDICATEURS CLS DE PERFORMANCE (ICP) pour surveiller les performances au sein de chaque processus.

A une poque de croissance du commerce lectronique et de dpendance vis--vis des technologies, les entreprises devront augmenter les niveaux de scurit et de contrle de faon patente. Chacune d'elles devra analyser ses propres performances et mesurer ses progrs. Comparer quantitativement et qualitativement ses progrs avec ceux de ses pairs et avec la stratgie de l'entreprise est une faon d'atteindre un niveau de contrle et de scurit informatique comptitif. Via ses modles de maturit, ses facteurs cls et pratiques de succs et via ses suggestions en matire de performances mesurer, le Guide de Management CobiT permet de rpondre de faon pragmatique l'ternelle question :
Quel est le bon niveau de contrle exercer sur mes technologies de l'information pour qu'elles contribuent la ralisation des objectifs de mon entreprise ?

CADRE DE RFRENCE

1. MODLES DE MATURIT

On demande souvent aux dirigeants d'entreprises ou d'organismes publics de considrer qu'il est de l'intrt de leur entreprise de prvoir les dpenses en ressources ncessaires pour contrler l'infrastructure du systme d'information. Peu de gens oseraient dire que ce n'est pas une bonne chose, et tous doivent se poser cette question :
Jusqu'o devons-nous aller, et le cot est-il justifi par le bnfice ?

Pour faciliter la rponse, d'autres questions troitement lies sont souvent poses :
Quels sont les standards internationalement reconnus, et comment sommes-nous positionns par rapport eux ? Que font les autres et comment sommes-nous positionns par rapport eux ? Sur le march, quelles pratiques sont-elles considres comme les meilleures, et comment sommes-nous positionns par rapport elles ? En se basant sur ces comparaisons externes, peut-on dire que nous prenons des prcautions " raisonnables " pour prserver notre patrimoine informationnel ?

Il a gnralement t difficile de rpondre correctement ces questions, cause de l'absence d'outils permettant d'effectuer les valuations ncessaires. Au besoin de connatre les actions efficaces entreprendre et comment les mener, le management des TI rpond par la recherche continuelle d'outils de tests comparatifs et d'auto-valuation. A partir des processus de CobiT et d'objectifs de contrle gnraux, le propritaire d'un processus devrait tre en mesure de faire des essais comparatifs rpts vis--vis de cet objectif de contrle. Ceci rpond trois besoins :

(1) une mesure relative de la situation actuelle de l'entreprise (2) une manire efficace de dsigner le but atteindre (3) un outil permettant de mesurer la progression vers l'objectif
Le Cadre de rfrence CobiT dfinit 34 processus informatiques (voir Annexe II). Pour chaque processus sont indiqus un objectif de contrle global et de 3 30 objectifs de contrle dtaills. Le propritaire de processus devrait tre en mesure de dterminer le niveau d'adhsion aux objectifs de contrle, soit sous la forme d'une rapide autovaluation, soit en se rfrant une revue indpendante. Le management pourra replacer n'importe laquelle de ces valuations dans son contexte, en la comparant soit au march et l'environnement auquel elle appartient, soit l'tat d'volution des normes et rglementations internationales (c.--d. normes et rglementations en prparation). Pour exploiter facilement ces rsultats dans les runions de Direction o ils seront prsents comme une aide l'laboration des plans futurs, il faut utiliser une mthode de prsentation graphique. L'approche consiste utiliser les Modles de Maturit pour contrler les processus informatiques ; il s'agit de dvelopper une mthode d'valuation permettant une entreprise de se situer elle-mme sur une chelle gradue de 0 5 (d'Inexistant Optimis). Cette approche est base sur le Modle de Maturit dvelopp par le Software Engineering Institute pour le dveloppement de logiciels. Quel que soit le modle, les chelles ne doivent pas tre trop fines au risque de rendre le systme difficile utiliser en suggrant une prcision impossible justifier.

Au contraire, on doit se concentrer sur les niveaux de maturit bass sur un ensemble de conditions qui peuvent tre remplies sans ambigut. Pour chacun des 34 processus informatiques du CobiT, en regard des niveaux atteints, le management peut faire apparatre : L'tat actuel de l'entreprise - o elle se situe aujourd'hui L'tat actuel des meilleures pratiques du march - comparaison L'tat actuel des standards internationaux - autre comparaison La stratgie de l'entreprise en matire de progrs - o l'entreprise veut se situer

On a dfini pour chacun des 34 processus informatiques une chelle de mesure gradue de 0 5. Chaque graduation correspond une description qualitative gnrale provenant du Modle de Maturit, d' "Inexistant" "Optimis", comme suit :

Modle Gnral de Maturit

0 Inexistant. Absence totale de processus identifiables. L'entreprise n'a mme pas pris conscience qu'il s'agissait d'un problme tudier. 1 Initialis. Il est vident que l'entreprise a pris conscience de l'existence du problme et de la ncessit de l'tudier. Il n'existe toutefois aucun processus standardis, mais des approches dans ce sens tendent tre appliques individuellement ou au cas par cas. L'approche globale du management n'est pas organise. 2 Reproductible. Des processus se sont dvelopps jusqu'au stade o des personnes diffrentes excutant la mme tche utilisent des procdures similaires. Il n'y a pas de formation formelle ou de communication des procdures standard, et la responsabilit est laisse l'individu. On se repose beaucoup sur les connaissances individuelles, d'o une probabilit d'erreurs. 3 Dfini. Des procdures ont t standardises, documentes et communiques via des sances de formation. Toutefois, leur utilisation est laisse l'initiative de chacun, et il est probable que des dviations seront constates. Concernant les procdures elles-mmes, elles ne sont pas sophistiques mais formalisent des pratiques existantes.

4 Gr. Il est possible de contrler et de mesurer la conformit aux procdures et d'agir lorsque des processus semblent ne pas fonctionner correctement. Les processus sont en constante amlioration et correspondent une bonne pratique. L'automatisation et l'utilisation d'outils s'effectuent d'une manire limite ou partielle. 5 Optimis. Les processus ont atteint le niveau des meilleures pratiques, suite une amlioration constante et la comparaison avec d'autres entreprises (Modles de Maturit). L'informatique est utilise comme moyen intgr d'automatiser les flux de travaux, offrant des outils qui permettent d'amliorer la qualit et l'efficacit et de rendre l'entreprise rapidement adaptable. CobiT est un cadre de rfrence gnral destin au Management des TI ; ces chelles doivent par consquent tre d'application pratique et raisonnablement faciles comprendre. Toutefois, les sujets touchant aux risques et aux contrles appropris dans les processus de management informatique sont par essence subjectifs et imprcis et ne ncessitent pas l'approche plus mcaniste qu'on trouve dans les Modles de Maturit de l'ingnierie logicielle. L'avantage d'une approche base sur les Modles de Maturit est qu'elle permet assez facilement au management de se situer lui-mme sur l'chelle et d'apprcier les moyens mettre en uvre pour amliorer les performances. L'chelle commence par le degr zro parce qu'il est trs possible qu'il n'existe aucun processus. Elle est base sur une chelle de maturit unique indiquant la manire dont volue un processus, d'inexistant optimis. Dans la mesure o il s'agit de processus de management, l'augmentation de la maturit et des capacits est galement synonyme d'augmentation de la gestion du risque et de l'efficacit. Le Modle de Maturit est un moyen de mesurer le niveau de dveloppement des processus de management. Comme mentionn plus haut, ce niveau dpend des besoins professionnels. Les chelles reprsentent uniquement des exemples de pratiques pour un processus de gestion donn, montrant des schmas typiques pour chaque niveau de maturit. Les Critres d'Information contenus dans le Cadre de rfrence CobiT (voir Annexe II) aident se concentrer sur les bons aspects du management en dcrivant les pratiques relles. Par exemple, la planification et l'organisation ciblent les objectifs de management que sont l'efficacit et l'efficience, tandis qu'assurer la scurit des systmes concerne la gestion de la confidentialit et de l'intgrit. Les chelles des Modles de Maturit aideront les professionnels expliquer au management o se situent les points faibles du management des TI et fixer des objectifs atteindre, en comparant les pratiques de contrle de leur entreprise aux exemples des meilleures pratiques. Le bon niveau de maturit dpendra des objectifs de l'entreprise et de l'environnement oprationnel. En particulier, le niveau de maturit du contrle dpendra de la dpendance de l'entreprise envers les TI, de la sophistication des technologies et, avant tout, de la valeur de ses informations. Un lment de rfrence stratgique pour une entreprise dsireuse d'amliorer la scurit et les contrles pourrait galement consister considrer les standards internationaux naissants et les pratiques des "meilleurs de la classe". Les pratiques mergeantes d'aujourd'hui peuvent devenir le niveau attendu de performance de demain et, par consquent, tre utiles pour planifier les objectifs de positionnement d'une entreprise dans le temps. Les Modles de Maturit sont crs partir du modle qualitatif gnral (voir cidessus) auquel sont ajouts progressivement, en fonction du niveau, des pratiques et des principes issus des domaines suivants : Comprhension et sensibilisation aux risques et aux problmes touchant les contrles

 Formation et communication sur les problmes Processus et pratiques mis en uvre Techniques et automatisation augmentant l'efficacit et l'efficience des processus Degr de conformit la politique interne, aux lois et aux rglementations Type et importance des comptences spcialises employes (expertise) Le tableau suivant dcrit l'application progressive des pratiques aux diffrents domaines en fonction du niveau. Conjointement au modle qualitatif, il constitue un modle de maturit gnrique applicable la plupart des processus informatiques.
Formation Techniques Comprhension et communicati Processus et et automatisati et sensibilisation on pratiques on Conformit Expertise

Approche des Communication processus et sporadique des pratiques au cas Reconnaissance problmes par cas mergence d'un Communication sur processus le problme et les commun, Suivi des problmes besoins dans leur similaire mais Apparition d'outils isols, mais sans esprit Sensibilisation globalit intuitif communs de suite Des pratiques sont dfinies, standardises et Standardisation Implication documentes ; d'un ensemble Suivi sans mthode ; d'informatiFormation Dbut du d'outils ; utilisation mergence de mesures ; ciens spcialiinformelle l'appui partage des et application des adoption occasionnelle ss dans les Comprhension du d'initiatives meilleures pratiques dj de Tableaux de Bord ; processus besoin d'agir individuelles pratiques disponibles analyse causale intuitive mtiers Le propritaire du processus et les responsabilits sont dfinis. Le Utilisation de processus est techniques solide et matures ; Utilisation des tableaux complet ; On application d'outils de bord dans certains Implication de Formation applique les standards ; domaines ; les anomalies tous les formalise l'appui meilleures utilisation tactique sont experts des Comprhension d'un programme pratiques limite des signales ; standardisatio domaines complte des besoinsformel internes technologies n de l'analyse causale internes Formation et Application gnralise Utilisation communications Dploiement de des Tableaux de Bord ; d'experts l'appui des techniques les anomalies sont externes et meilleures On applique les sophistiques ; signales rgulirement de leaders de Comprhension pratiques externes meilleures utilisation intensive et traites ; appli-cation l'activit volue, dirige vers et utilisant des pratiques et optimise des systma-tique de l'ana- comme l'avenir concepts de pointe externes technologies lyse causale conseillers

En rsum, les Modles de Maturit : Concernent les besoins fondamentaux de l'entreprise et les facteurs tous les niveaux de maturit Reprsentent une chelle qui se prte aux comparaisons pragmatiques Reprsentent une chelle permettant de mesurer facilement les carts Peuvent tre reconnus comme tant un "profil" de l'entreprise en matire de gouvernance, scurit et contrle informatiques Facilitent le positionnement de la maturit "actuelle" et de la maturit "projete" en matire de gouvernance, scurit et contrle informatiques

 Permettent d'analyser les carts en vue de dterminer les tches accomplir pour atteindre le niveau choisi vitent, dans la mesure du possible, la discontinuit des niveaux, susceptible de crer des seuils difficiles franchir Appliquent de plus en plus les facteurs cls de succs Ne sont pas spcifiques une activit ni toujours applicables ; le type d'activit dtermine le modle utiliser

2. FACTEURS CLS DE SUCCS

Les Facteurs Cls de Succs proposent au management des conseils pour la mise en uvre d'un contrle des Technologies de l'Information et de leurs processus. C'est la liste des choses les plus importantes faire pour que ces derniers atteignent leurs objectifs. Ce sont des activits qui peuvent toucher la stratgie, la technique, l'organisation, aux processus ou procdures. Ces facteurs s'appuient en gnral sur les comptences et les aptitudes, et doivent tre brefs, cibls, et tourns vers l'action ; ils mettent en uvre les ressources essentielles pour le processus considr. On peut s'inspirer du modle de contrle standard ci-dessous. Il suit les principes que nous connaissons tous lorsque nous rglons le thermostat d'ambiance (standard) du systme de chauffage (processus) : il vrifie en permanence (comparer) la temprature de la pice (contrler l'information) et dclenche ventuellement l'action de chauffer davantage (agir). Ce modle et ses principes mettent en vidence un certain nombre de Facteurs Cls de Succs qui s'appliquent en gnral tous les processus qui s'appuient sur les informations suivantes : quel est le standard, qui le dfinit, qui contrle, qui en dclenche l'action, etc. ; ces facteurs sont : Des processus dfinis et documents Des politiques dfinies et documentes Des responsabilits clairement tablies Un soutien/un engagement fort de l'encadrement Une communication approprie, interne et externe Des pratiques de mesures cohrentes

Ces principes de contrle sont ncessaires aux trois niveaux suivants : stratgique, tactique et administratif. Il y a en gnral chaque niveau quatre types d'activits qui se suivent logiquement : planifier, faire, vrifier et corriger. Il faut utiliser les mcanismes de retour d'information et de contrle en boucle entre les niveaux ; par exemple "faire" au niveau stratgique nourrit "planifier" au niveau tactique, ou "vrifier" au niveau tactique renforce "vrifier" au niveau administratif, etc.

Au moment de dfinir les facteurs cls de succs, on peut s'inspirer des objectifs et des directives du Cadre de Rfrence de Gouvernance des TI . La responsabilit de la gouvernance des TI appartient aux dirigeants et aux actionnaires. C'est un systme de contrle qui permet de s'assurer que les objectifs de l'entreprise seront atteints. Cela consiste en gnral canaliser les efforts informatiques de l'entreprise aprs avoir mis en regard ses performances et quelques normes simples qui exigent que : l'informatique soit cale sur les mtiers de l'entreprise l'informatique apporte un plus l'activit, et maximise ses rsultats les ressources informatiques soient utilises de faon responsable les risques lis l'informatique soient grs comme il convient Le modle de contrle standard s'applique aux diffrents niveaux : les chefs d'quipes reoivent des instructions de leurs chefs de services auxquels ils rendent compte ; les chefs de services rendent compte la Direction Gnrale, qui elle-mme rend compte au Conseil d'Administration. Les rapports montrant qu'une action a dvi de sa cible proposeront en gnral dj des recommandations sur la nouvelle action approuver. L'illustration ci-dessous montre de faon conceptuelle l'interaction entre les objectifs et les activits informatiques du point de vue de la gouvernance des TI. On a voulu montrer ici les activits informatiques accompagnes des activits classiques de gestion : planifier, faire, vrifier et corriger. Depuis la parution du Cadre de Rfrence CobiT (voir Annexe II) la faon de reprsenter les Technologies de l'Information tend leur substituer les quatre domaines de CobiT : Planification et Organisation, Acquisition et Mise en en place, Distribution et Support, Surveillance.

Gouvernance des TI

A partir du modle de contrle standard et du Cadre de Rfrence de Gouvernance des TI , on peut dfinir un ensemble de facteurs cls de succs qui s'appliquent la plupart des processus informatiques :
1. Facteurs cls de succs s'appliquant l'ensemble des processus informatiques

Les processus informatiques sont dfinis de manire se conformer la stratgie du SI et aux objectifs de l'entreprise Les clients du processus et leurs attentes sont connus Les processus sont volutifs et leurs ressources sont gres et exploites au mieux Le niveau des personnels impliqus est adapt (formation, habitude de communiquer, motivation, etc.) ainsi que la disponibilit des comptences (recrutement, embauche, formation complmentaire). La performance des processus informatiques est mesure en termes financiers et en termes de satisfaction des clients : il s'agit de mesurer ce qu'ils apportent rellement, et ce qu'on peut en attendre dans l'avenir. Les responsables du SI sont rcompenss en fonction des rsultats de ces mesures. On constate un effort continu d'amlioration de la qualit.
2. Facteurs cls de succs s'appliquant la plupart des processus informatiques

Toutes les personnes concernes par les processus (utilisateurs, management etc.) sont conscientes des risques que font courir les technologies de l'information, mais aussi de leur importance et des opportunits qu'elles peuvent offrir ; elles s'impliquent personnellement fortement. Les buts et les objectifs sont connus dans tous les services, et compris de tous ; tous savent comment les processus travaillent la ralisation des objectifs, comment les progrs sont suivis en permanence, et qui en est responsable. Les personnels se concentrent sur les objectifs, et ont les bonnes informations sur les clients, sur les processus internes, et sur les consquences de leurs dcisions. Il existe une culture d'entreprise qui encourage la coopration inter-services, le travail d'quipe, et l'amlioration permanente des processus. Les processus les plus importants comme la gestion des changements, des problmes, des configurations sont intgrs et corrls. Des contrles rguliers sont mis en uvre pour optimiser l'utilisation des ressources et amliorer l'efficacit des processus.

3. Facteurs cls de succs s'appliquant la gouvernance des technologies de l'information

Des contrles sont pratiqus pour amliorer la transparence, le savoir, rduire la complexit, apporter souplesse et volutivit, et viter les failles de contrle interne, ainsi que les oublis. Une vigilance saine est mise en uvre : suivi de l'environnement humain et de la culture d'entreprise, code de conduite, valuation des risques comme pratique standard, auto-valuation, adhsion sans faille aux normes tablies, surveillance et suivi des insuffisances de contrles ainsi que des risques. La gouvernance des TI est reconnue et dfinie, et ses activits sont intgres dans le processus de gouvernance d'entreprise, procurant une vision claire de la stratgie des TI, un cadre de gestion des risques, un systme de contrles, et une politique de scurit. La gouvernance des TI apporte une attention particulire aux projets majeurs, aux initiatives nouvelles et aux efforts de qualit ; elle connat les principaux processus informatiques, et est consciente des responsabilits, des ressources et des aptitudes requises. Un comit d'audit est tabli pour engager un auditeur indpendant et pour suivre son travail, pour conduire le plan d'audit, et pour prendre connaissance des rsultats d'audits et des points de vues de tiers.

En rsum les facteurs cls de succs sont : Des facteurs centrs sur les processus, ou apportant un appui l'environnement Des choses, des conditions ncessaires, ou une activit recommande, pour un succs optimum Les choses les plus importantes faire pour augmenter la probabilit de succs du processus Les caractristiques observables - habituellement quantifiables - de l'organisation et du processus Par nature stratgiques, techniques, organisationnels ou procduraux Centrs sur l'obtention, le maintien et la mobilisation des capacits et des aptitudes Exprims en termes de processus, et pas ncessairement en termes de mtier de l'entreprise

3. INDICATEURS CLS D'OBJECTIF

Un Indicateur Cl d'Objectif (ICO), reprsente l'objectif du processus, et est la mesure de " ce qui " doit tre accompli. Cet indicateur, mesure la progression du processus, et est souvent dfini comme le but atteindre. Par comparaison, un Indicateur Cl de Performance, dont nous parlerons dans la section suivante, est la mesure de la " qualit " de la progression du processus. Le Tableau de Bord quilibr ci-dessous illustre cette relation : elle tend montrer la mesure du rsultat (ICO) selon l'objectif, et la mesure de la performance (ICP) selon les facteurs qui permettront d'atteindre l'objectif. Dans ce contexte il faut se souvenir que les Technologies de l'Information constituent des facteurs majeurs de l'entreprise.

Les TI, constituant l'un des facteurs majeurs de l'entreprise, auront leur propre tableau de bord. En tant que facteurs, leurs mesures seront des indicateurs de performance mettant en lumire la contribution l'atteinte des objectifs de l'entreprise. Il faut aussi remarquer que les mesures de performance de l'activit deviennent des mesures d'objectifs pour l'informatique, c'est--dire que les tableaux de bord quilibrs de l'activit se dclinent en paliers successifs (Voir Annexe III). Mais comment les objectifs de l'entreprise et des Technologies de l'Information et leur mesure sont-ils lis ? Le Cadre de Rfrence COBITexprime les objectifs des TI en termes de critres d'information ncessaires l'entreprise pour atteindre ses objectifs, ce qui s'exprime habituellement en termes de : Disponibilit des systmes et des services Absence de risques lis la confidentialit et l'intgrit Rentabilit des processus et des oprations Confirmation de la fiabilit, de l'efficacit et de la conformit. Dans cette optique l'objectif des TI peut alors s'exprimer ainsi : fournir l'information dont l'organisation a besoin pour rpondre ces critres. Ces critres d'information sont fournis dans le Guide de Management avec une indication de leur importance (primaire ou secondaire) vis--vis du processus considr. En pratique le Profil des Critres d'Information d'une entreprise s'adaptera sa spcificit.

"Profil" des Critres d'Information

Le degr d'importance de chacun des critres d'information ci-dessus est fonction de l'entreprise et de l'environnement dans lequel elle travaille. Le graphique ci-dessus n'est qu'un exemple. Chaque entreprise ou organisme devra dcider de l'importance de tel ou tel critre d'information. Tel qu'il est, le graphique exprime aussi le degr de risque auquel s'expose l'entreprise. Il faut cependant noter que l'importance des critres d'information peut aussi changer pour chacun des processus, chacun pouvant avoir ses propres objectifs. Nanmoins le but des TI est de fournir l'information dont l'entreprise a besoin pour atteindre ses objectifs, en fonction du profil des critres d'information. L'importance relative des critres d'information implique ventuellement de les slectionner dans les listes des meilleures pratiques proposes par COBIT : voir les Considrations dans le Cadre de Rfrence (voir Annexe II) ; Objectifs de Contrle ; ou mme les Facteurs Cls de Succs que nous venons d'voquer dans ce manuel. Pour mieux comprendre les Indicateurs d'Objectif et les Indicateurs de Performance nous avons aussi pris en compte les quatre dimensions du Tableau de Bord quilibr : Gestion financire : Comment les actionnaires nous voient-ils ? (c.--d. rsultat produit par rapport au budget) Clients : Comment les clients nous voient-ils ? (par ex. satisfaction du client, livraison dans les dlais, qualit perue du service) Processus interne : Comment nous considrons-nous nous-mmes ? (c.--d. orientation et qualit du processus) Connaissance/Innovation : Avons-nous la capacit de continuer amliorer nos produits/services, et crer de la valeur ? (c.--d. niveau de connaissance des salaris et infrastructure technique) Les Indicateurs Cls d'Objectif pour l'informatique sont orients activits et fournissent en gnral les chiffres dont l'entreprise a besoin pour alimenter les dimensions Gestion

Financire et Client du Tableau de Bord quilibr, ce qu'on voit dans le schma cidessous. Les Indicateurs Cls de Performance, comme nous le verrons dans la section suivante, se concentrent sur les deux autres dimensions du Tableau de Bord : les processus internes et l'innovation. Les rsultats financiers et la satisfaction clients sont typiquement des mesures faites a posteriori, lorsque l'entreprise a ralis ses objectifs. En revanche, l'excellence du processus et la capacit apprendre et innover sont des indicateurs qui montrent la qualit des processus en cours : ils donnent une indication sur la probabilit de russir a priori.

Les Indicateurs Cls d'Objectif sont des indicateurs a posteriori, puisqu'on ne peut les mesurer qu'aprs le rsultat, alors que les Indicateurs Cls de Performance sont des indicateurs a priori qui donnent des indications sur la russite avant que le rsultat soit connu. On peut aussi les dfinir ngativement, c'est--dire en terme de consquence si l'objectif n'est pas atteint. La section Justifier le Risque du Guide d'Audit deCOBIT donne pour chacun des 34 processus informatiques des exemples de ce qui peut mal fonctionner si le processus n'est pas contrl comme il faut. Les Indicateurs Cls d'Objectif ne doivent pas tre vagues, mais quantifiables, en valeur ou en pourcentage. Ces mesures doivent montrer que l'informatique contribue la mission et la stratgie de l'entreprise. Du fait que les buts et les objectifs sont spcifiques l'entreprise et son environnement, un sens (accroissement ou diminution) est attribu de nombreux Objectifs Cls. Exemple : disponibilit accrue, cot en baisse. En pratique le management devra prciser les buts viss, en tenant compte des performances passes et des objectifs futurs. Pour illustrer les points prcdents voici une liste de base d'Indicateurs Cls d'Objectif applicables en gnral tous les processus informatiques : Atteindre le niveau prvu de retours sur investissements ou de bnfices pour l'entreprise Meilleure gestion des performances Rduction des risques lis l'informatique Amlioration de la productivit Systmes d'approvisionnement intgrs Processus standardiss Forte hausse de la fourniture (vente) de services Conqute de nouveaux clients, et satisfaction des clients actuels (clients = destinataires des processus) Cration de nouveaux canaux de fourniture de services

 Bande passante satisfaisante, puissance informatique et mcanismes de mise disposition des technologies de l'information adapts l'activit de l'entreprise, ses pics et ses creux Attentes et exigences des clients du processus satisfaites dans les dlais et dans les limites budgtaires Nombre de clients, et cot par client servi Application des standards du march

En rsum les Indicateurs Cls d'Objectif sont : Une manire de reprsenter le but du processus, c.--d. un chiffre ou une cible atteindre La description du rsultat du processus, donc des indicateurs a posteriori, c.-d. chiffrables une fois le processus termin Des indicateurs immdiats de la russite du processus ou des indicateurs indirects des bnfices qu'il apporte l'entreprise ventuellement une mesure chiffre des consquences de non atteinte des objectifs du processus Focaliss sur les dimensions Client et Gestion Financire du Tableau de Bord quilibr Orients vers l'informatique, mais centrs sur l 'activit de l'entreprise Exprims en termes prcis et chiffrs, chaque fois que possible Centrs sur les critres d'information qui ont t identifis comme les plus importants pour ce processus.

4. INDICATEURS CLS DE PERFORMANCE

Les Indicateurs Cls de Performance (ICP) sont des mesures qui permettent au management de savoir qu'un processus informatique est en train d'atteindre les buts fixs, grce la surveillance de la performance des facteurs de ce processus. Construite sur les principes du Tableau de Bord quilibr, la relation entre les Indicateurs Cls de Performance et les Indicateurs Cls d'Objectif est la suivante :

Les Indicateurs Cls de Performance font ressortir la performance des facteurs inducteurs des processus des TI, montrant comment le processus a contribu positivement atteindre l'objectif. Ils sont courts, cibls, et quantifiables. Alors que les Indicateurs Cls d'Objectif s'intressent "quoi", les Indicateurs Cls de Performance

s'intressent "comment". Ils sont souvent la mesure d'un Facteur Cl de Succs, et, lorsqu'ils sont suivis de prs et qu'on agit en consquence, ils permettent d'identifier les opportunits d'amlioration du processus. Ces amliorations doivent influer positivement sur le rsultat, et, en tant que tels, les Indicateurs Cls de Performance ont une relation de cause effet avec les Indicateurs Cls d'Objectif du processus. Dans certains cas on peut imaginer que des Indicateurs Cls de Performance s'expriment par une mesure composite, comme cela peut arriver parfois pour les Indicateurs Cls d'Objectif. On peut par exemple imaginer d'exprimer par un seul chiffre le bon fonctionnement du service informatique ; ce chiffre exprimerait la fois l'implication des employs du service dans le projet d'entreprise, leur motivation, et leur satisfaction au travail. Un autre exemple pourrait tre un chiffre qui constituerait l'indice de qualit d'un plan, et serait le reflet la fois de son opportunit, de son caractre abouti et de son approche structure. Alors que les Indicateurs Cls d'Objectif sont orients activit, les Indicateurs Cls de Performance sont orients processus, et montrent souvent comment les processus et l'entreprise mobilisent et grent au mieux les ressources ncessaires. Comme les Indicateurs Cls d'Objectif ils sont souvent exprims par un nombre ou par un pourcentage. Un test trs rvlateur pour un Indicateur Cl de Performance est de vrifier s'il prvoit bien le succs ou l'chec d'un processus, et s'il apporte quelque chose ou non aux responsables pour l'amlioration du processus. Voici une liste de base d'Indicateurs Cls de Performance applicables en gnral tous les processus informatiques :
1. ICP s'appliquant l'ensemble des processus informatiques

Gain de temps : meilleure ractivit de l'informatique en production et en dveloppement Amlioration de la qualit ; plus d'innovation Utilisation optimale de la bande passante et de la puissance machine Disponibilit des services, et temps de rponse Satisfaction de personnes concernes (sondage, nombre de plaintes) Nombre d'employs forms aux nouvelles technologies, et comptences au service des clients
2. ICP s'appliquant la plupart des processus informatiques

Meilleure rentabilit du processus : rapport cots/livrables Productivit du personnel (nombre de livrables), et motivation (sondage) Nombre d'erreurs et de travaux refaire
3. ICP s'appliquant l'administration des processus informatiques

Tests comparatifs Nombre de rapports pour non-conformit

En rsum les Indicateurs Cls de Performance : Sont la mesure de la qualit de fonctionnement d'un processus Expriment la probabilit de succs ou d'chec, donc sont des Indicateurs a priori Sont orients processus, mais mis en uvre par l'informatique Se concentrent sur les dimensions processus et capacit d'information du Tableau de Bord quilibr S'expriment en termes mesurables avec prcision Aident l'amlioration des processus informatiques lorsqu'on les mesure et qu'on agit en consquence

 S'intressent en priorit aux ressources identifies comme les plus importantes pour le processus

5. CONCLUSION

Pour mettre les technologies de l'information sous contrle et faire en sorte qu'elles soient alignes avec l'activit en lui fournissant les informations dont elle a besoin, le Guide de Management propose diffrents outils de gestion. On peut exprimer le rapport qui existe entre les Facteurs Cls de Succs, le Modle de Maturit, les Indicateurs Cls de Performance, et les Indicateurs Cls d'Objectif de la manire suivante : "Les FCS sont ce que vous avez de plus important faire, en fonction des choix faits dans le Modle de Maturit, tout en surveillant grce aux ICP si vous avez des chances d'atteindre les objectifs fixs par les ICO." Il faut cependant mettre l'accent sur le fait que les principes noncs dans ce guide restent gnraux, applicables globalement, et qu'ils ne fournissent pas des outils spcifiques chaque type d'activit. Les utilisateurs devront souvent les adapter leur propre environnement professionnel. En partant du Cadre de Rfrence de COBIT, l'application de normes et de principes internationaux, ainsi que la recherche des meilleures pratiques ont conduit la rdaction des Objectifs de Contrle. Le Guide d'Audit a pour objet de vrifier si les Objectifs de Contrle ont t mis en uvre de faon adquate. Cependant le management a besoin d'un outil comme le Cadre de Rfrence pour s'auto-valuer, et faire des choix sur la mise en place des contrles, l'amlioration de son information et des technologies utilises. C'est le but principal de ce Guide de Management, rdig grce l'aide d'experts du monde entier en gouvernance des TI, gestion des performances, et scurit et contrle de l'information. Il propose un ensemble d'outils destins aider le management rpondre la question suivante : "Quel est le bon niveau de contrle sur mon informatique de manire ce qu'elle aide mon entreprise raliser ses objectifs ?"
PLANIFICATION ET ORGANISATION PO 1 Dfinir un plan informatique stratgique PO 2 Dfinir l'architecture de l'information PO 3 Dterminer l'orientation technologique PO 4 Dfinir l'organisation et les relations de travail PO 5 Grer l'investissement informatique PO 6 Faire connatre les buts et orientations du management PO 7 Grer les ressources humaines PO 8 Se conformer aux exigences externes PO 9 valuer les risques PO 10 Grer les projets PO 11 Grer la qualit ACQUISITION ET MISE EN PLACE AMP 1 Trouver des solutions informatiques AMP 2 Acqurir des applications et en assurer la DISTRIBUTION ET SUPPORT DS 1 Dfinir et grer des niveaux de services DS 2 Grer des services tiers DS 3 Grer la performance et la capacit DS 4 Assurer un service continu DS 5 Assurer la scurit des systmes DS 6 Identifier et imputer les cots DS 7 Instruire et former les utilisateurs DS 8 Assister et conseiller les clients DS 9 Grer la configuration DS 10 Grer les problmes et les incidents DS 11 Grer les donnes DS 12 Grer les installations DS 13 Grer l'exploitation SURVEILLANCE

maintenance AMP 3 Acqurir une infrastructure technologique et en assurer la maintenance AMP 4 Dvelopper les procdures et en assurer la maintenance AMP 5 Installer des systmes et les valider AMP 6 Grer les changements

S 1 Surveiller les processus S 2 valuer l'adquation du contrle interne S 3 Acqurir une assurance indpendante S 4 Disposer d'un audit indpendant

Les pages suivantes proposent des principes directeurs dtaills pour chacun des 34 processus COBIT, et on trouvera un guide de lecture l'Annexe I.

COMMENT L'UTILISER
1. LE GUIDE DE MANAGEMENT
Sur la page de gauche ce guide propose un certain nombre d'lments pour chacun des 34 processus COBIT :

Nom du processus nonc de l'objectif nonc des conditions qui favorisent le processus : comment le mettre sous contrle pour qu'il rponde son objectif Liste des ressources informatiques ; celles qui sont directement concernes par le processus sont coches Critres d'information avec une indication de leur importance : P : importance primaire, S : secondaire, rien : moindre importance sans tre pour autant ngligeable Facteurs Cls de Succs Indicateurs Cls d'Objectif Indicateurs Cls de Performance Ces lments sont structurs comme on le voit dans le graphique ci-dessous. La relation est base sur le principe du Tableau de Bord quilibr : on relie les objectifs et la mesure de leur rsultat (ICO) avec les facteurs et la mesure de leur performance (ICP). Les Facteurs Cls de Succs, grce l'utilisation de ressources spcifiques, rendent les facteurs plus spcifiques et plus concrets.

De plus on peut trouver de l'aide dans le Guide de Management d'un Processus Gnrique (voir Annexe IV) et dans le Guide de Gouvernance des TI (voir Annexe V). Ces deux guides donneront une rapide indication des exigences gnrales respecter pour qu'un processus informatique reste grable. Il faut enfin noter que ce guide ne propose pas d'appliquer systmatiquement toutes les pratiques mentionnes dans les FCS et les ICP pour tous les processus. Il faut en faire une slection approprie. Les modles de maturit (voir la section suivante de cette Annexe) proposs avec le guide de chaque processus peuvent aider faire cette slection. Cependant dans les entreprises qui ont des exigences de fiabilit leves pour l'informatique et dont la survie dpend de la disponibilit de l'information, l'application de presque toutes les rgles de gestion proposes constituerait un bonne pratique, aux niveaux 3 ou 4 de maturit.

2.

LE MODLE DE MATURIT
Un Modle de Maturit spcifique est propos sur la page de droite du Guide de Management pour chacun des 34 processus COBIT. Cet outil peut servir de base mthodologique pour :

Faire une auto-valuation de l'entreprise en la positionnant sur l'chelle Utiliser les rsultats de l'auto-valuation pour fixer les objectifs du dveloppent futur, en fonction du niveau que vise l'entreprise sur l'chelle, et qui n'est pas ncessairement le niveau 5 lanifier des projets d'atteinte d'objectifs, en s'appuyant sur l'analyse de l'cart entre ces objectifs et la situation prsente tablir la priorit de projets en fonction de leur classement et des avantages qu'ils prsentent par rapport leurs cots.

2.1 Auto-valuation et fixation des objectifs Pour chaque question valuer l'entreprise devrait utiliser les 6 degrs de l'chelle de 0 5 pour estimer sa position. On peut alors faire une comparaison graphique facile avec les trois points de rfrence : performance vise, standards internationaux et meilleures pratiques. Une entreprise qui fait une auto-valuation n'a besoin que de considrer chaque question valuer l'une aprs l'autre, en lisant les caractristiques des six chelons et en valuant lequel de ces chelons correspond le mieux la situation en cours. Plus le processus est important pour l'entreprise, plus le niveau sur l'chelle devrait tre lev. Par exemple, dans un environnement commercial relativement stable, le niveau de maturit progressif des 13 processus informatiques du domaine Distribution et Support est ce qui diffrencie une entreprise performante des autres. En revanche, dans un environnement commercial trs dynamique, le succs de l'entreprise, sinon sa survie, dpend fortement de la maturit des domaines Planification et Organisation et Acquisition et Mise en Place. Chaque point de comparaison dpend strictement du prcdent, et toutes les conditions mentionnes doivent tre remplies pour autoriser le classement un niveau. Il faut aussi noter qu'il y a une diffrence entre mesurer la capacit, et mesurer la performance. Par exemple, l'acquisition de capacits et de comptences pour certaines pratiques de scurit et de contrle est une dcision qu'il faut prendre et dont il faut surveiller l'excution, tandis que la mise en uvre continue de la capacit, partir du moment o on en dispose, doit en plus tre mesure. L'entreprise a aussi besoin de savoir lequel des six niveaux correspond le mieux sa stratgie informatique, en tenant particulirement compte du degr de dpendance des informations et de leur valeur pour satisfaire ses exigences mtiers. Des tests comparatifs externes peuvent tre trs utiles pour se forger une opinion sur le niveau raliste de scurit et de contrle dont l'entreprise a besoin en fonction de son environnement et de ses objectifs stratgiques. 2.2 Analyse de l'cart Dans beaucoup de cas les deux valuations (o l'on est et o l'on veut aller) seront spares par un cart sur le graphique dont la dimension permet de visualiser la tche qui reste accomplir pour atteindre l'objectif stratgique. Il faut cependant dcrire cet

cart plus en dtail pour faciliter l'utilisation de son analyse, et pour planifier un ensemble de projets qui permettront l'entreprise d'atteindre ses objectifs stratgiques en matire de scurit et de contrle des technologies. Le processus d'analyse d'carts tablira la liste de toutes les actions entreprendre pour annuler les carts entre "situation actuelle" et "objectif stratgique". A cette liste il convient de faire correspondre une liste des projets destins mener ces actions bien. Les correspondances entre les carts et les projets seront sans doute du type "plusieurs plusieurs" comme on le voit sur le diagramme ci-dessous. 2.3 Classement des projets Pour la facilit de la planification et de la communication on peut classer les projets selon les types suivants : initiatives Stratgiques, projets Tactiques, amliorations de l'Organisation ou dveloppement de Procdures. On accompagne alors chaque projet d'une squence unique de codes comme S1, T3, O2, P5 comme on le voit cidessous. 2.4 Attribution de priorits aux projets L'objectif est de dterminer quels sont les projets qui peuvent devenir vite rentables. Ce sont en gnral les projets pour lesquels l'cart est faible, pour lesquels le cot de la rduction de l'cart est faible, dont le risque d'chec est peu important, et dont l'impact sur les bnfices de l'entreprise sera le plus lev. Il faut donc valuer les projets en fonction de leur impact et du rapport cot/risque sur une chelle de 0 10 pour chacune de ces variables. On peut reprsenter les projets sur un graphique qui devient un outil de dcision pour le management, en faisant apparatre leurs impacts et leurs rapports cot/risques respectifs. Les projets ayant la fois un impact lev et un rapport cot/risque faible sont de bons candidats pour une rentabilit rapide.