COBIT pour l'auditeur informatique

A l'origine, les premières versions de COBIT ont été développées pour les auditeurs informatiques, dans la droite ligne des travaux de l'ISACA et du souci d'accompagner au mieux la profession des auditeurs des systèmes d'information.
Notons d'ailleurs que l'ISACA avait depuis plus de 10 ans lancé une certification mondiale des auditeurs de système d'information (CISA).
Dans cette logique, COBIT peut être utilisé pour mener toute forme d'investigation.
Le schéma n°2 illustre l'organisation du référentiel selon un cube permettant d'auditer un processus, un critère d'information et une ressource.
 

Comment est utilisé le COBIT

A partir de ce référentiel général, COBIT donne une liste détaillée de plus de 300 objectifs de contrôle qui permettent à l'auditeur de cadrer son investigation.
COBIT est utilisé comme une base solide de points de contrôles, il aide à la sélection des zones critiques et à leur évaluation. Même s'il est parfois nécessaire de le compléter en fonction des spécificités du sujet (pour un audit de sécurité il conviendra par exemple d'ajouter les aspects propres aux dispositifs de sécurité existants ; il en sera de même pour tout ce qui a trait au domaine légal et réglementaire), COBIT permet de prendre en compte des points qui n'auraient pas été évoqués, faute d'y songer ou par manque de connaissance.
Le référentiel d'audit et/ou de contrôle établi à partir de COBIT permet à des auditeurs non informaticiens de mener de façon professionnelle des audits informatiques intégrés aux audits généraux. Il sert aussi à établir les questions à dérouler lors des entretiens.
Construire un référentiel métier est une démarche de fond dont les entreprises ne peuvent faire l'économie. Le COBIT apparaît de l'avis général comme une bonne base pour cela. Ceci n'exclut pas pour autant de le compléter par d'autres référentiels (SAC Report, normes ISO, ITIL, par exemple).

Cobit pour le dialogue entre Audit Interne et DSI

Pour la DSI (Direction des Systèmes d'Information), COBIT est fréquemment utilisé comme outil d'auto évaluation.
C'est un moyen pour elle de démontrer à sa hiérarchie, et ce de façon proactive, que son niveau de maîtrise des systèmes d'information est bon, sur tous les aspects relevant de sa responsabilité.
Et les auditeurs peuvent valider la qualité de l'évaluation à l'aide du même outil. Cette approche peut être un moyen de justifier l'importance de mener des projets d'amélioration… et de débloquer des budgets !

COBIT pour le pilotage des systèmes d'information

Le guide de management COBIT est un outil précieux d'évaluation de la maturité des processus.
Une représentation graphique des résultats permet de donner clairement et simplement à une Direction Générale une vision des points forts et des points faibles de l'entreprise.
 

Cette approche met en lumière le niveau d'homogénéité des processus des systèmes d'information de l'entreprise. Identifier les maillons faibles amène parfois à réviser certaines stratégies manquant de cohérence.

Ce qu'apporte le COBIT sur la gouvernance des systèmes d'information

Les entreprises qui déploient des modèles de processus basés sur COBIT se rendent compte de la clarification et de la simplification que cela apporte aux processus.
Le management y trouve aussi une transparence qui permet de dépolitiser le débat autour de la valeur ajoutée des systèmes d'information. Tout ceci engendre un climat favorable aux bonnes prises de décision pour accroître l'efficience, optimiser les investissements et éclairer les choix, pour le plus grand bénéfice de l'entreprise.
A partir du standard COBIT, l'entreprise peut bâtir ses standards pour mettre sur pied un modèle de gouvernance des systèmes d'information (IT Gouvernance). Cette approche permet d'identifier les pistes de progrès que le management doit prendre en charge :

• adéquation des compétences aux enjeux,
• allocation des ressources,
• définition claire des processus ou réduction des risques en matière de sécurité des systèmes d'information.

Pour chacune des activités spécifiquement, le standard COBIT propose une série de facteurs clés de succès, des indicateurs cibles, des indicateurs de performance et un maillage entre processus (voir en particulier le chapitre : " définir des niveaux de service ") et un modèle de maturité dont les stades sont détaillés pour chaque processus.
COBIT est aussi utilisé pour faire un benchmark de différentes entités de l'entreprise.
Il permet, avec les restrictions d'usage, de se comparer avec d'autres entreprises. Plus facilement, il conduit à la définition de ses propres objectifs et à leur évaluation périodique.
Les membres de l'ISACA utilisent COBIT dans beaucoup de secteurs d'activité, partout dans le monde. Les spécificités culturelles, les différences d'avance au plan technologique, ne semblent pas limiter l'adéquation de COBIT pour l'alignement des systèmes d'information aux objectifs stratégiques de l'entreprise.

COBIT et le Balanced Scorecard

Le Balanced ScoreCard peut être utilisé pour la gouvernance des systèmes d'information, en application des méthodes préconisées par Kaplan pour la gouvernance d'entreprise.
 

Dans cette représentation, le quadrant Performances opérationnelles s'intéresse aux processus informatiques eux-mêmes qui peuvent faire l'objet de benchmarks et d'indicateurs concrets, au sein de l'entreprise ou d'une entreprise à une autre. Les efforts menés sur ce quadrant sont typiquement du ressort de la direction informatique qui cherche à se professionnaliser au mieux.
Dans cet effort de progression, elle se heurte à deux contraintes :

• Clients et utilisateurs à la fois sous l'angle du niveau de service à rendre mais aussi, sous l'angle de la consommation du service
• Contribution et Alignement qui mettent l'informatique sous contrainte de coûts, de flexibilité et de performance.

Le quadrant Futur et anticipation représente la veille qu'il faut mener pour optimiser à 3 à 5 ans le système d'information (choix d'investissement, recrutements, externalisation, etc.).
Cet outil de la gouvernance IT scorecard peut être mappé avec les processus de COBIT.

COBIT et le changement

COBIT est encore utilisé dans le cadre de refonte de méthodologie. C'est un outil d'accompagnement au changement. Il apporte une structure qui permet de clarifier les problèmes. Il contribue à faire travailler ensemble différents départements.
Enfin, en cas d'externalisation de tout ou partie de son activité informatique, ce référentiel aide à déterminer ce qu'on attend de son prestataire. Il permet également d'établir les mesures qui, à l'avenir, permettront de s'assurer que le contrat est correctement exécuté.
Dans le cadre d'approche qualité type ISO 9000, très orientée processus, COBIT est aussi un outil précieux.

En conclusion

COBIT est un outil fédérateur qui permet d'instaurer un langage commun pour parler de la gouvernance des systèmes d'information tout en intégrant les apports d'autres référentiels comme l'ISO 9000, ITIL, CMMi ou, de façon plus générale, les spécificités de l'entreprise.
Il a l'avantage d'avoir été conçu pour une approche globale et le désavantage, pour le pilotage, d'être issu de l'audit, ce qui fait que son volet guide de management est méconnu.
Enfin, un COBIT Quickstart permet un démarrage encore plus rapide et une bonne appropriation du référentiel.
Notons qu'une application de COBIT à l'IFRS est actuellement à l'étude, sur le modèle de ce qui a déjà été fait aux USA avec Sarbanes-Oxley.
 
 
 
D'après Dominique Moisand, vice-président de l'AFAI, directeur associé d'ASK conseil.
 

Annexe : liste des processus du COBIT

Planification et organisation

• PO1 - Définir un plan informatique stratégique
• PO2 - Définir l'architecture de l'information
• PO3 - Déterminer l'orientation technologique
• PO4 - Définir l'organisation et les relations de travail
• PO5 - Gérer l'investissement informatique
• PO6 - Faire connaître les buts et les orientations du management
• PO7 - Gérer les ressources humaines
• PO8 - Se conformer aux exigences externes
• PO9 - Évaluer les risques
• PO10 - Gérer les projets
• PO11 - Gérer la qualité

Acquisition et mise en place

• AMP1 - Trouver des solutions informatiques
• AMP2 - Acquérir des applications et en assurer la maintenance
• AMP3 - Acquérir une infrastructure et en assurer la maintenance
• AMP4 - Développer les procédures et en assurer la maintenance
• AMP5 - Installer les systèmes et les valider
• AMP6 - Gérer les changements

Distribution et support

• DS1 - Définir et gérer des niveaux de service
• DS2 - Gérer des services tiers
• DS3 - Gérer la performance et la capacité
• DS4 - Assurer un service continu
• DS5 - Assurer la sécurité des systèmes
• DS6 - Identifier et imputer les coûts
• DS7 - Instruire et former les utilisateurs
• DS8 - Assister et conseiller les clients
• DS9 - Gérer la configuration
• DS10 - Gérer les problèmes et les incidents
• DS11 - Gérer les données
• DS12 - Gérer les installations
• DS13 - Gérer l'exploitation

Surveillance

• S1 - Surveiller les processus
• S2 - Évaluer l'adéquation du contrôle interne
• S3 - Acquérir une assurance indépendante
• S4 - Disposer d'un audit indépendant