Beruflich Dokumente
Kultur Dokumente
José Bouaniche, CIA, CISA, est auditeur interne au sein du Groupe Caisse des Dépôts. Il a été
auparavant consultant interne en qualité des logiciels et en gestion de projet, et responsable sécurité
informatique. Il était antérieurement informaticien. Membre de l’IFACI et de l’AFAI, il a participé au
groupe AFAI de traduction de CobiT version 3.
Dans le cadre de cet article, nous nous intéresserons aux activités suivantes :
- Sensibiliser la direction à l’utilisation de CobiT ;
- Planifier les audits avec CobiT ;
- Mener des audits en utilisant concrètement le « Guide d’audit » de CobiT.
Le tableau « diagnostic des centres d’intérêts du management en informatique » (non repris dans
cet article) permet d’identifier les processus CobiT à mettre prioritairement sous contrôle à l’aide
d’une liste pré définie de préoccupations du management en matière d’informatique. Issue de travaux
1
Control Assessment for risk management and other practical applications, edited by Keith Wade & Andy Wynne, John Wiley & Sons Ltd
du Gartner Group, cette liste comprend 6 centres d’intérêts essentiels avec pour chacun des facteurs de
risque, qui sont croisés avec les processus CobiT. Ces centres d’intérêt sont les suivant :
• Management, pour lequel 6 facteurs de risques sont identifiés parmi lesquels la réduction
du coût de possession ou encore l’acquisition et le développement de nouvelles
compétences.
• Intranet / Internet, avec 6 facteurs de risque comme la fuite de données confidentielles, les
infections virales, etc.
• Progiciels, où 5 facteurs de risques sont proposés, par exemple problèmes de support
vendeur ou bien mise en place coûteuse et complexe.
• Architecture client /serveur, 6 facteurs de risque dont le contrôle des versions logiciel et
les coûts élevés de possession.
• Workgoup et Groupware, pour lesquels 5 facteurs de risque sont identifiés, dont l’intégrité
des données et le contrôle de la configuration.
• Administration du réseau, avec 6 facteurs de risques dont le contrôle de la configuration
ou la gestion des incidents.
Importance – Niveau d'importance pour l'organisation selon une Risque Qui le réalise
échelle de 1(pas du tout) à 5 (très)
Performance - Le niveau de satisfaction de 1 (je ne sais pas ou Qui est
mauvais) à 5 au regard du processus responsable ?
Audité – Oui, Non, ou ?
Officialisé – Existe-t-il un contrat, une convention de niveau de
L'informatique
Ne sais pas
ou ?)
Importance
Officiliaisé
Audité
Autre
Processus informatiques
PLANIFICATION ET ORGANISATION
PO1 Définir un plan stratégique
PO2 Définir l'architecture du système d'information
PO3 Déterminer l'orientation technologique
PO4 Définir l'organisation et les relations de travail
PO5 Gérer l'investissement en Informatique
PO6 Communiquer les objectifs et les orientations de la direction
PO7 Gérer les ressources humaines
PO8 Assurer la conformité aux exigences externes
PO9 Evaluer les risques
PO10 Gérer les projets
PO11 Gérer la qualité
ACQUISITION ET MISE EN PLACE
AMP1 Identifier les solutions
2
Pour CobiT, la combinaison de l’importance du processus au regard des objectifs de l’entreprise et de la performance dudit processus
constitue un bon indicateur de risque. Il nous paraît cependant plus approprié de parler de sensibilité.
2/5
AMP2 Acquérir est maintenir le logiciel d'application
AMP3 Acquérir et maintenir l'architecture technique
AMP4 Développer et maintenir des procédures informatiques
AMP5 Installer et accréditer les systèmes
AMP6 Gérer les changements
DISTRIBUTION ET SUPPORT
DS1 Définir les niveaux de service
DS2 Gérer les services assurés par des tiers
DS3 Gérer la performance et la capacité
DS4 Assurer la continuité de service
DS5 Assurer la sécurité des systèmes
DS6 Identifier et imputer les coûts
DS7 Sensibiliser et former les utilisateurs
DS8 Assister et conseiller les clients
DS9 Gérer la configuration
DS10 Gérer les problèmes et les incidents
DS11 Gérer les données
DS12 Gérer les installations
DS13 Gérer l'exploitation
SURVEILLANCE
S1 Surveiller les processus
S2 Evaluer l'adéquation du contrôle interne
S3 Obtenir une assurance indépendante
S4 Disposer d’un audit indépendant
Ces deux tableaux peuvent efficacement servir de support à des sessions d’auto-évaluation par la
direction de l’entreprise. Ces sessions permettent alors de réaliser une véritable étude des besoins de
maîtrise de l’informatique et donc, entre autres, de définir un programme d’audit. Le fascicule « Outils
de mise en œuvre » propose aussi des exemples d’autres démarches avec ces mêmes outils.
3/5
Par exemple le « formulaire d’évaluation des risques » peut s’utiliser de multiples façons : la
direction des systèmes d’information peut l’employer comme un tableau de bord de maîtrise des
processus dont elle a la charge, les auditeurs peuvent s’en servir conjointement avec la direction avant
le démarrage d’un audit, etc. Ce formulaire permet de qualifier pour chaque processus son importance,
le niveau de risque qui lui est attribué et la qualité des contrôles internes. CobiT préconise pour ce
faire d’avoir déjà une compréhension suffisante de la mission de l’organisation à auditer, de ses
principaux objectifs, des facteurs critiques de succès, des exigences légales et réglementaires et de la
structure de contrôle.
Enfin, des exemples d’adaptation de ces outils à des contextes réels sont fournis.
La deuxième étape doit permettre de préciser le champ de l’audit et déterminer les objectifs.
Afin de préciser le champ de l’audit, il convient d’affiner le choix des processus (fascicule " Cadre de
Référence") en étudiant les objectifs de contrôle détaillés (fascicule "Objectifs de Contrôle"). Une fois
le champ de l’audit délimité, les objectifs d'audit sont développés à partir du fascicule "Objectifs de
Contrôle". Le champ de l’audit et les objectifs d'audit doivent être re-discutés avec le client durant la
réunion de présentation de la mission. Cette étape peut être répétée autant de fois que nécessaire en
cours d'audit.
4/5
(d) En utilisant le fascicule « Guide d’Audit », énumérer les procédures d'audit à effectuer. Dans
cette étape, l'auditeur informatique doit choisir les procédures d'audit qui ont un rapport avec
les objectifs de contrôle détaillés choisis en (c).
(e) Pour compléter le programme d'audit, l'auditeur informatique peut alors ajouter des tests d'audit
propres à la plate-forme ou aux techniques auditées.
Conclusion
Schéma CobiT
objectifs de
l'entreprise
information
efficacité
efficience
confidentialité
intégrité pilotage et
disponibilité organisation
supervision conformité
fiabilité
ressources
informatiques
donnée
systèmes d'application
technologie
installation
ressources humaines
acquisition et mise en
distribution et support
place
CobiT propose des outils de mise en œuvre variés, dont l’adaptation est laissée au jugement et à
l’imagination de chacun, en fonction du terrain sur lequel il manœuvre. Deux aspects pratiques
apparaissent rapidement à la lecture du CobiT :
1. La vision managériale est essentielle pour bâtir un programme d’audit. La mise en pratique du
schéma CobiT implique que le système d'information s’évalue au travers du service rendu pour
atteindre les objectifs de l’entreprise.
2. Le dialogue est fondamental pour la réussite de toute mission d’audit. Les auditeurs ne détenant
pas par essence la vérité, seule la discussion entre le donneur d’ordre de la mission, les auditeurs et
les audités peut faire émerger une vision commune sur les objectifs et les moyens. CobiT fournit
tous les outils pour bâtir ce dialogue.
5/5