Les r f rentiels de qualit et de contr le du si cobit
Download
1 / 24

Les référentiels de qualité et de contrôle du SI COBIT - PowerPoint PPT Presentation


  • 174 Views
  • Uploaded on
  • Presentation posted in: General

Les référentiels de qualité et de contrôle du SI COBIT. B Quinio M2CG - CCA 2010 - 2011. COBIT : AFAI. COBIT est l’intégrateur des meilleures pratiques en TI et le référentiel général de la gouvernance des SI aide à comprendre et à gérer les risques et les bénéfices qui leur sont associés.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha

Download Presentation

Les référentiels de qualité et de contrôle du SI COBIT

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Les r f rentiels de qualit et de contr le du si cobit
Les référentiels de qualité et de contrôle du SICOBIT

B Quinio

M2CG - CCA

2010 - 2011


Cobit afai
COBIT : AFAI

  • COBIT est l’intégrateur des meilleures pratiques en TI et le référentiel général de la gouvernance des SI

    • aide à comprendre et à gérer les risques et les bénéfices qui leur sont associés.

  • Les bonnes pratiques de CobiT sont le fruit d’un consensus d’experts.

    • Elles sont très axées sur le contrôle et moins sur l’exécution.

    • Elles ont pour but d’aider à optimiser les investissements informatiques, à assurer la fourniture des services et à fournir des métriques auxquelles se référer pour évaluer les dysfonctionnements.

  • COBIT est en permanence tenu à jour et harmonisé avec les autres standards.

    • Version actuelle V4

    • Panoplie d’outils : quickstart, ValIT, …


Cobit
COBIT

  • Conçu et géré par l’IT Governance Institute.

    • http://itgi-france.com/

    • http://www.afai.fr/

  • Indépendant et libre de droits.

  • Issu du milieu de l’audit SI (V1 : 1996).

    • Très utilisée dans les SI.

  • Diffusion mondiale.

  • Très nombreuses traductions.

    • L'AFAI a publié la version française de COBIT V4.1

  • Utilisation importante et en croissance forte.

  • Utilisé dans les cadres Sarbanes Oxley, IFRS, LSF.


  • Cobit et les processus
    COBIT et les processus

    COBIT : Structure de relations et de processus visant à diriger et contrôler l'entreprise pour qu'elle atteigne ses objectifs en générant de la valeur, tout en trouvant le bon équilibre entre les risques et les avantages des TI et de leurs processus.



    Structure de cobit
    Structure de COBIT

    Regroupement de processus

    Planifier / Construire / exploiter / contrôler

    Plan an Organize / Acquire and Implement / Deliver and Support / Monitor and Evaluate

    Domaines

    4

    Processus

    Série d’activités reliées entre elle

    34

    Processus

    Activité ou bonne pratique

    Tâches associées à un résultat mesurable (ce qu’on doit obtenir et pas comment)

    Activité

    318


    Exemple de structure de cobit
    Exemple de structure de COBIT

    • Processus PO9 Evaluer les riques  10 Activités

    • Déterminer l’alignement pour la gestion des risques (ex. évaluer les risques)

    • Identifier les objectifs métier stratégiques concernés

    • Identifier les objectifs processus métier concernés

    • Identifier les objectifs informatiques internes et établir leur contexte risque.

    • Identifier les événements associés aux objectifs [certains événements sont orientés métier ; certains sont orientés SI

    • Évaluer les risques associés aux événements

    • Évaluer les réponses aux risques

    • Planifier les activités de contrôle en tenant compte des priorités

    • Approuver les plans d’action de traitement des risques et en assurer le financement

    • Tenir à jour et surveiller un plan d’action de traitement des risques.


    Cobit mod le de maturit
    COBIT :Modèle de maturité

    Source AFAI


    Exemple de positionnement maturit source afai po9
    Exemple de positionnement maturitésource : AFAI PO9

    • PO9 Évaluer et gérer les risques

    • 0 Inexistante quand

      • On ne fait pas d'évaluation des risques liés aux processus ou aux décisions métier. L’entreprise ne prend pas en compte les conséquences pour son activité des faiblesses de sa sécurité et des incertitudes liées au développement de ses projets.

      • La gestion des risques n'a pas été identifiée comme pertinente dans l'acquisition de solutions et la livraison de services informatiques.

    • 1 Initialisée, quand

      • Les risques informatiques sont traités au cas par cas.

      • On fait des évaluations informelles des risques projet selon une approche spécifique à chaque projet.


    Autre exemple de positionnement de maturit
    Autre exemple de positionnement de maturité

    • AMP04 : Développer les procédures et en assurer la maintenance

      • documenter les applications afin de former les exploitants comme les utilisateurs.

      • Documenter tous les aspects : technique, opérationnel, niveaux de service.

    • « L’entreprise sans maturité en est au stade de la documentation sur papier, peu commode et non à jour. Lorsque la maturité croît, l’entreprise met la documentation sur l’Intranet et la formation est organisée. Si elle s’améliore encore, elle recherche le feedback des utilisateurs et met en place une gestion automatisée de la documentation » www.volle.com


    Cobit 3 objectifs et 3 types d indicateurs
    COBIT :3 Objectifs et 3 types d’indicateurs

    • 3 Objectifs

      • Objectif pour le métier ou l’activité concerné

      • Objectif pour le processus concerné

      • Objectifs pour l’informatique

    • 1 Indicateur Clé de Performance (ICP), est la mesure de la "qualité" de la progression du processus

      • Key Performance Indicator (KPI)

    • 2 indicateurs Clé d'Objectif (ICO)pour les processus et le TI

      • Process Key Goal Indicator (PKGI) et ITKGI


    Cobit 3 objectifs et 3 types d indicateurs1
    COBIT :3 Objectifs et 3 types d’indicateurs

    Objectif Processus

    Objectif Informatiques

    Objectif d’activité

    impacte

    impacte

    Est mesuré par

    Est mesuré par

    Est mesuré par

    ITKGI

    KPI

    PKGI


    Cobit 3 objectifs et 3 types d indicateurs2
    COBIT :3 Objectifs et 3 types d’indicateurs

    • Exemple pour le processus PO9 : Evaluer et gérer les risques

      • Objectif activité

        • Effectuer des évaluations de risques régulières avec le management

      • Objectif Processus :

        • Mettre en place des plans d’actions pour les risques informatiques critiques

      • Objectif Informatique

        • Protéger l’atteinte des objectifs informatiques critiques

      • KPI :

        • % d’évaluation de risques visées par le management

      • PKGI :

        • % de risques critiques avec des plans d’action développés

      • ITKGI :

        • % d’objectifs informatiques critiques pris en compte dans l’évaluation des risques


    Cobit 4 types de r les pour les acteurs concern s par une activit 1
    COBIT :4 types de rôles pour les acteurs concernés par une activité (1)

    • Responsable

      • Celui qui fait le travail ou qui fait en sorte que le travail soit fait, c’est-à-dire que le processus soit mis en oeuvre

    • Accontable :

      • Celui qui donne les directives et les priorités

      • GARANT en Français dans la traduction AFAI

    • Consulté :

      • Personne a qui on demande son avis pour la réalisation du processus

    • Informé :

      • Personne que l’on tient au courant

    • RACI (en version originale)  RGCI (en version française)


    Cobit 4 types de r les pour les acteurs concern s par une activit 2
    COBIT :4 types de rôles pour les acteurs concernés par une activité (2)

    • Exemple : pour 2 activités du PO9 Evaluer les riques

      Déterminer l’alignement pour la gestion des risques (ex. évaluer les risques)

      • Garant : Direction Générale

      • Responsable / Garant : Direction financière

      • Consulté : responsable métier et DSI

      • Informé : Responsable exploitation, et fonction support (juridique, sécurité)

    • Identifier les objectifs informatiques internes et établir leur contexte risque.

      • Garant / Responsable : DSI

      • Consulté : responsable architecture, responsable développement

      • Informé : fonction support (juridique, sécurité)


    Description d un processus cobit
    Description d’un processus COBIT une activité (2)

    • 1) High-Level control objective :

      • définition du processus et description succincte des besoins qu’il satisfait, des moyens qu’il utilise et des indicateurs de contrôle : PKGI, ITGI et KPI

    • 2) Detailed control objectives :

      • liste des fonctions que le processus doit remplir

      • décrites chacune en quelques lignes ;

    • 3) Management guidelines :

      • tableaux indiquant les relations avec d’autres processus

      • la répartition des responsabilités (selon la liste RACI : Responsible, Accountable, Consulted et Informed)

      • les objectifs et les indicateurs associés ;

    • 4) Maturity model :

      • décrit ce que font des entreprises types classées selon les six niveaux de maturité.

    • Exemple PO9

      • http://www.afai.fr/public/doc/351.pdf

    Source : volle.com


    Mise en oeuvre de cobit
    Mise en oeuvre de COBIT une activité (2)

    Choisir un domaine

    Domaines

    4

    Choisir un processus à contrôler et optimiser

    34

    Processus

    Activité

    Contrôler les activités associées

    318

    Maturité

    Se positionner sur l’échelle de maturité (de 0 à 5)


    Valit compl ment cobit
    ValIT : complément à COBIT une activité (2)

    • Val IT complète Cobit

      • traite de la création de valeur pour l'entreprise via les investissements technologiques

      • pour fournir un cadre de référence complet de la gouvernance des SI.

    • le référentiel Val IT porte sur la gestion des investissements, des portefeuilles de programmes/projets, ainsi que la gouvernance de la valeur.Val IT est disponible en françqis via l’AFAI


    Valit compl ment cobit1
    ValIT : complément à COBIT une activité (2)


    Pour les pme cobit quickstart
    Pour les PME : COBIT Quickstart une activité (2)

    • Source : AFAI

    • Une première approche aux nombreuses PME et autres entités pour lesquelles les TI ne sont ni un enjeu stratégique ni un élément clé de leur survie

    • Peut être un point de départ pour étudier la pertinence de COBIT

    • 30 processus sur les 34,– et

    • 62 objectifs de contrôle détaillés sur les 318 habituels.

    • Un test en ligne :

      • http://www.afai.fr/index.php?m=136


    Cobit quickstart
    COBIT Quickstart une activité (2)


    Logiciels supportant la d marche
    Logiciels supportant la démarche une activité (2)

    • Aide à la mise en œuvre

      • Construit autour de la structure COBIT (processus, KGI, KPI)

      • Environnement d’évaluation et de suivi de l’implantation

      • Origine : logiciels pour auditeurs et BPM

    • Par exemple :

      • CobiT Advisor (Methodware Ltd)

      • WorkflowGen


    Deux certifications pour les personnes physiques
    Deux certifications pour les personnes physiques une activité (2)

    • La certification CISA (Certified Information security Auditor) sanctionne la réussite à un examen dans le domaine de la compétence à l’audit informatique.

      • QCM de 200 questions à traiter en 4 heures

    • La certification CISM (Certified Information Security Manager) sanctionne la réussite à un examen dans le domaine de la compétence de la sécurité des systèmes d’information

    • Les deux sont valables 1 an avec 20h de formation


    ad
  • Login