JDE est un ERP centré sur finances et comptabilité et les exigences de la loi SOX sont parfaitement paramétrables avec ce type de progiciel, comme avec la majorité des progiciels de gestion d'ailleurs.

Le référentiel de gouvernance d'entreprise (corporate governance)  COSO date du début des années 1990. Il constitue un cadre très global qui mérite d'être complété et détaillé, en particulier pour que les systèmes d'information soient pris en compte. C'est la genèse de COBIT qui répondait à cette préoccupation. En résumé, COSO constitue un cadre trop général pour être directement opérationnel et demande à être affiné/détaillé (ISO 27001, COBIT) pour répondre à votre préoccupation.

COBIT propose un modèle de maturité générique décliné pour chacun des ses 34 processus. Il n'y a pas de synthèse pour apprécier la maturité globale d'une en entreprise au regard de COBIT ou d'un de ses 4 domaines, par exemple, comme pour c'est le cas pour le référentiel CMMi. Lorsqu'il s'agit de comparer des processus informatiques d'organisation différentes, on est tout d'abord confronté au modèle de découpage en processus de chacune d'elles. En effet, l'architecture des processus est très rarement la même d'une DSI à une autre. Ensuite, COBIT peut être utilisé pour créer un référentiel commun d'analyse et de comparaison. La réponse est donc oui...mais avec un effort préalable de mapping entre COBIT et des processus qui sont rarement complètement conformes au découpage préconisé dans COBIT.

La nouvelle version COBIT V4.0 marque un véritable tournant. En publiant d'abord le "guide de management", les équipes de l'ISACA mettent l'accent sur le gouvernance des systèmes d'information. Cette version apporte, en particulier:
- une légère simplification des processus qui restent au nombre de 34 (10 PO, 4 SE, AMP et 13 DS) avec un souci de mieux refléter un alignement, en particulier avec ITIL,
- pour chaque processus, un modèle de maturité adapté avec une proposition de contenu pour chaque niveau,
- une description des rôles et responsabilités (RACI)
- une proposition d'indicateurs de pilotage, indicateurs de performance et objectifs.
Le tout a donné depuis un an de nombreuses applications.

COBIT part plutôt d'un cadre de gouvernance global de l'informatique au travers des 10 processus stratégiques (PO: planning et organisation), pour s'intéresser à un niveau de détail intermédiaire aux services et aux projets.
Les deux principaux domaines d'ITIL que sont la fourniture des services et la gestion des services se concilient bien avec les processus correspondants de COBIT (dans la série des processus DS). C'est ainsi que l'on trouve dans COBIT les processus suivants: service desk et gestion des incidents, gestion des problèmes, gestion de la capacité, mise en production, etc.
L'ISACA (www.isaca.org fournit un mapping entre les processus COBIT et les processus ITIL.

Les démarches de certification ISO 9001 ne sont pas inconciliables avec ITIL. Elles ont, en général, été effectuées avant la diffusion d'ITIL en France. Leur inconvénient est de laisser chaque entreprise réinventer le découpage des processus et leur description.
ITIL, en revanche, présente le grand avantage d'offrir un standard détaillé des procesus des services et de la production qui a fait ses preuves et se révèle utile à l'organisation et à l'amélioration des activités.
Depuis un an, ITIL devient ISO 20000 et entre tout à fait dans la logique de la certification ISO.

Effectivement, la question mérite d'y réfléchir! Pour moi, ITIL est orienté production informatique et services aux clients et, en ce sens, quasi-incontournable. C'est en même temps un cadre commun entre services internes et services externalisés.
CMMi, en revanche, est plus adapté aux services de développements de logiciels (SSII ou gros Services Etudes internes). Si les développements sont sous-traités, mieux vaut s'en passer.
ISO 17799 (rebaptisé ISO 27002) est le pendant de la recommandation ISO 27001 et ne concerne que la sécurité.
Quant à COBIT, c'est une sorte de "chapeau" qui sert aussi bien pour la gouvernance des SI tout en se couplant très bien avec ITIL et ISO 17799.

Non! CISA (certified information systems auditor) est une certification pour être reconnu "auditeur informatique".
Même si l'organisme de certification du CISA est l'ISACA, ça n'a pas grand chose en commun.
A l'origine, le COBIT était spécialisé sur l'audit des SI. A présent, c'est moins vrai et les deux approches vivent leur vie séparemment!
On peut se demander si l'ISACA ne vas pas s'intéresser à une certification COBIT pour les entreprises (processus par processus, par exemple), comme pour ITIL ou CMMi, rien n'est arrêté sur ce point.

Le CIGREF a publié le résultat d'un groupe de travail sur ce sujet, en collaboration avec l'AFAI. Voir à ce sujet [url]http://www.itgi.org[/url] sur le plan comptable analytique d'une DSI.
Par ailleurs, le référentiel VAL IT s'intéresse plus spécifiquement aux investissements et à l'alignement entre investissements et stratégie.

Il existe au Fort d’Issy les Moulineaux un service de certification de la sécurité des logiciels, dépendant du 1er Ministre et appelé SCSSI Service Central de Sécurité des Systèmes d’Information. Il y a différents niveaux de certification selon les critères ITSEC, et le SCSSI accrédite des sociétés pour faire des audits dans ce référentiel.
Les sociétés accréditées par le SCSSI et le COFRAC (Comité Français d’Accréditation) réalisent des audits de sécurité conformément à l’ITSEC ou des évaluations de sécurité de type EAL. Les évaluations EAL peuvent être considérées comme une sorte de label de sécurité. Je connais des sociétés comme AQL ou OBS qui sont accréditées, mais il y en a d'autres (voir l'annuaire du CLUSIF).