Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Introduction Constat : Le fonctionnement de la majorité des grandes entreprises

Introduction Constat : Le fonctionnement de la majorité des grandes entreprises, aujourd'hui, repose complètement sur le traitement de l'information. Nécessité : Il est vital, pour leur avenir, que le système d'information soit en cohérence avec les objectifs et la stratégie globale de l'entreprise. Volonté des dirigeants : Le SI doit apporter de la valeur ajouté et de la performance dans l’organisation. Le CobiT est un outil puissant qui a été conçu pour œuvrer dans ce sens. I. Présentation générale de CobiT 1. Historique de CobiT CobiT est le résultat des travaux collectifs réalisés par les principaux acteurs de la profession, auditeurs internes ou externes, fédérés au sein de l’ISACA (Information System Audit and Control Association). Cette association mondiale basée aux États-Unis est déployée dans les plus grandes villes du monde. Elle est représentée en France par l’AFAI (Association française pour l’audit et le conseil en informatique). Dans ses premières versions, publiées à partir de 1996, CobiT (Control OBjectives for Information and related Technology) se positionne comme un référentiel de contrôle. Il décline sur le domaine IT les principes du référentiel COSO (Committee of Sponsoring Organizations of the Treadway Commission), publiés pour la première fois en 1992 et dont l’objectif est d’aider les entreprises à évaluer et à améliorer leur système de contrôle interne. En 1998, l’ITGI (Information Technology Governance Institute) a été créé sur l’initiative de l’ISACA, en réponse à la place de plus en plus importante occupée par les technologies de l’information. En effet, dans la plupart des organisations ou des entreprises, l’un des principaux facteurs de succès réside dans la capacité des systèmes d’information à apporter à la fois la différenciation stratégique et le support des activités. Dans un tel contexte, la « gouvernance » des systèmes d’information devient aussi critique que la gouvernance d’entreprise. À la suite des scandales ayant eu lieu au début des années 2000 (Enron, etc.), le Congrès américain vote, en 2002, la loi Sarbanes-Oxley (SOX) afin de redonner confiance aux investisseurs et aux actionnaires en garantissant à la fois la transparence des comptes, l’existence de processus d’alerte et l’engagement des dirigeants (PDG, DAF). Ceci se traduit par un renforcement des contrôles liés aux processus financiers. Exemple : On retiendra, par exemple, la section 404 qui exige un contrôle strict des accès et des autorisations. Bref : CobiT a été reconnu comme une réponse à ces nouvelles exigences, tant en termes de contrôle que de gouvernance. Les dispositions réglementaires, comme la loi SOX (IFRS, International Financial Reporting Standards, LSF, Loi de sécurité financière, normes Bâle II) ont accéléré la diffusion de CobiT comme référentiel de contrôle et de gouvernance des SI. 2. CobiT et la gouvernance des SI En tant que référentiel de la gouvernance des systèmes d’information, le périmètre de CobiT dépasse celui dévolu à la direction des systèmes d’information pour englober toutes les parties prenantes des SI dans l’entreprise (stakeholders1). 1. Stakeholders : représente l’ensemble des acteurs concernés par la gouvernance des SI, aussi bien les actionnaires et la direction générale que les métiers. Ce terme est souvent traduit par les parties prenantes. Selon CobiT, « la gouvernance des systèmes d’information est de la responsabilité des dirigeants et du conseil d’administration, elle est constituée des structures et processus de commandement et de fonctionnement qui conduisent l’informatique de l’entreprise à soutenir les stratégies et les objectifs de l’entreprise, et à lui permettre de les élargir ». Shéma : Cette figure illustre aussi bien la responsabilité de la fonction IT sur les quatre grands domaines de la gouvernance selon CobiT (planifier et organiser, délivrer et supporter, surveiller et évaluer, acquérir et implémenter) que les responsabilités des métiers. CobiT se fixe des objectifs très pragmatiques reflétant les préoccupations de la direction générale, tels que : • articuler le système d’information aux besoins des métiers, c’est l’alignement stratégique ; • apporter des avantages concrets au fonctionnement des processus métier (efficacité et efficience) ; utiliser l’ensemble des ressources en liaison avec les SI (infrastructures,applications, informations et personnes) de façon optimisée et responsable; • maîtriser les risques liés au SI et leurs impacts pour les métiers. Structuré en processus1, CobiT prend en compte les besoins des métiers,et plus généralement des parties prenantes, dans une logique d’amélioration continue. Les entrées des processus CobiT sont basées sur les exigences négociées des parties prenantes (métiers, etc.) conduisant à des objectifs.Ensuite, l’exécution des processus est garantie par des responsabilités clairement affectées et des mesures de performances face aux objectifs fixés. La satisfaction des « clients » fait partie des mesures de performance. À ce stade, l’originalité de CobiT est sans doute de créer systématiquement un lien entre parties prenantes et DSI, ce qui nécessite bien souvent une petite révolution culturelle aussi bien pour les acteurs de la DSI dans leur tour d’ivoire que pour les métiers et la direction générale qui ignoreraient superbement le caractère stratégique des SI. Le point clé sous-jacent à cette démarche est l’instauration de dialogues constructifs à tous les niveaux de l’organisation, entre parties prenantes et DSI. Ce postulat posé, chaque processus propose une liste d’objectifs de contrôle qui nous semble solide et une vision du management du processus (activités principales, responsabilités et indicateurs) qui nous paraît plutôt indicative et sujette à contextualisation. Le référentiel CobiT, avec ses 34 processus génériques, est une proposition qui pourra être revue pour s’adapter à la cartographie propre de l’organisation considérée. De la même façon, on pourra facilement coupler CobiT à d’autres référentiels du marché (ISO 27001, ITIL pour Information Technology Infrastructure Library ou CMMI pour Capability Maturity Model Integration) en bâtissant un cadre de référence satisfaisant l’ensemble des exigences. Ceci est d’autant plus vrai que les processus de CobiT sont parfois globaux et s’interprètent souvent comme des « macroprocessus » de référentiels plus spécialisés. CobiT est donc un cadre fédérateur. CobiT sert aussi à comparer entre elles (benchmark) différentes entités de l’entreprise. Il permet également, avec les restrictions d’usage, de se comparer à d’autres entreprises. Plus couramment, il conduit à la définition de ses propres objectifs et à leur évaluation périodique. Les membres de l’ISACA utilisent CobiT dans de nombreux secteurs d’activité à travers le monde. Les spécificités culturelles et les différences d’avance de développement sur le plan technologique ne semblent pas limiter l’adéquation de CobiT pour l’alignement des systèmes d’information aux objectifs stratégiques de l’entreprise. 3. Les axes stratégiques de CobiT En réponse à la volonté d’exercer une bonne gouvernance des SI, CobiT s’attache aux cinq axes présentés ci-après :  L’alignement stratégique : Il consiste à s’assurer que les plans informatiques restent alignés sur les plans des métiers, à définir, tenir à jour et valider les propositions de valeur ajoutée de l’informatique, à aligner le fonctionnement de l’informatique sur le fonctionnement de l’entreprise. Exemple : Une direction marketing qui souhaite lancer un nouveau produit ou service. Il est indispensable de s’assurer que les exemplaires de ce produit, lorsqu’ils seront disponibles, pourront être commandés puis facturés. Si le canal de commande est le Web, la disponibilité de l’application de commande en ligne doit être assurée avec l’ensemble des éléments nécessaires à la commande du produit (références, prix, conditions particulières, etc.). Par alignement stratégique, il faut donc entendre la capacité à fournir les services souhaités en temps et en heure avec le niveau de qualité requis. Dans le cas de notre direction marketing, cela signiﬁe que le projet de mise à disposition de commande en ligne doit être identiﬁé et priorisé dès la réﬂexion amont par la direction marketing, ceci aﬁn d’être dans les temps au moment de l’annonce du produit au marché. L’alignement stratégique se matérialise par un plan stratégique qui devra traiter des budgets d’investissements et de fonctionnement, des sources de ﬁnancement, des stratégies de fourniture et d’achats tout en intégrant les exigences légales et réglementaires.  L’apport de valeur : Il consiste à mettre en œuvre la proposition de valeur ajoutée tout au long de la fourniture du service, à s’assurer que l’informatique apporte bien les bénéfices attendus sur le plan stratégique, à s’attacher à optimiser les coûts et à prouver la valeur intrinsèque des SI. Exemple : Dans le cas de notre direction marketing, l’apport de valeur va se matérialiser par la mise en place d’un canal de distribution adressant une nouvelle clientèle. Il permettra la vente permanente du produit tout en s’affranchissant des contraintes de la distribution classique organisée autour d’un lieu géographique et de plages horaires plus limitées que l’accès Web. Dans le processus de distribution, l’apport de l’informatique doit pouvoir être mesuré aﬁn d’identiﬁer la valeur apportée en termes de volume de ventes, de progression de chiffre d’affaires et de marge par rapport aux prévisions. L’apport de valeur se concrétise par la maîtrise des processus de fonctionnement en termes d’efficacité et d’efficience. Ceci vient compléter le processus de pilotage des investissements qui traitera des coûts, des bénéﬁces et des priorités en fonction de critères d’investissement établis (ROI [Return On Investment], durée d’amortissement, valeur nette actuelle).  La gestion des risques : Elle exige une conscience des risques de la part des cadres supérieurs, une uploads/Management/ cobit-et-gouvernance-des-si-1.pdf