BPMS.info Business Process Management - BPM Gestion des processus métiers Workflow - Guide d'Audit des Systèmes d'Information

Guide d'Audit des Systèmes d'Information - COBIT 4.1

1. OBJECTIFS DU GUIDE D’AUDIT

Le Guide d'audit des Systèmes d'Information fournit des recommandations détaillées aux professionnels de l'audit et de l'informatique, sur la façon d'utiliser COBIT pour favoriser diverses missions d'audit pour chacun des 34 Processus informatiques. Des conseils et principes d'audit sont fournis pour :
• les contrôles génériques qui s'appliquent à tous les processus (désignés dans le cadre de référence COBIT par l'identifiant CPn),
• les contrôles applicatifs (désignés dans le cadre de référence CobiT par l'identifiant CAn),
• les contrôles des processus spécifiques (désignés dans le cadre de référence CobiT par l'identifiant du domaine et le numéro de processus, par exemple PO6.3, AI4.1).

Le Guide d'audit des Systèmes d'Information peut être utilisé par les auditeurs pour répondre à de nombreux besoins. Ils peuvent, par exemple :
• obtenir une vue d'ensemble des bonnes pratiques actuelles sur les principes de contrôle et d'audit
• découvrir comment les différents composants COBIT et les produits de la famille COBIT peuvent favoriser la planification et le cadrage des missions d'audit
• disposer d'un référentiel complet de tous les objectifs de contrôle COBIT, favoriser les pratiques de contrôle et comprendre comment elles peuvent être contrôlées pour obtenir l'assurance qu'elles sont efficaces.

Le guide et les étapes d'audit proposées permettent d’évaluer :
• les contrôles associés à l'objectif de contrôle
• le résultat de l'objectif de contrôle (efficacité opérationnelle)
• les faiblesses de contrôle et leur impact.

2. PLAN D’ACTION ET DÉMARCHE D’AUDIT
La démarche d’audit retenue par le Guide d'audit des Systèmes d'Information s’appuie sur 3 phases : planification, cadrage et exécution :

3. COMPOSANTS DU GUIDE D’AUDIT
Le Guide d'audit des Systèmes d'Information est composé pour chaque processus des éléments suivants :
• Objectifs de contrôle : les entreprises admettent de plus en plus qu'il est impératif de contrôler les SI pour s'assurer qu'ils génèrent de la valeur pour l'entreprise, que les risques sont maîtrisés, que les obligations légales sont respectées et que les investissements informatiques génèrent un rendement raisonnable.

Les objectifs de contrôle des SI expriment le résultat désiré ou le but à atteindre par la mise en œuvre de pratiques de contrôle pour chaque processus informatique et font souvent directement référence à des activités spécifiques au sein du processus.

Les objectifs de contrôle de COBIT représentent les exigences élevées à prendre en considération pour bénéficier d'un contrôle efficace de chaque processus informatique.

Ils sont rédigés sous la forme de courtes pratiques de gestion axées sur l'action. Lorsque cela est possible, ils suivent un ordre logique de cycle de vie. Pour contrôler les objectifs, plusieurs possibilités s'offrent au management de l'entreprise.

Les membres de la direction doivent :
– sélectionner les objectifs de contrôle applicables
– équilibrer l'investissement requis pour mettre en œuvre les pratiques de gestion nécessaires à la réalisation de chaque objectif de contrôle, en tenant compte du risque lié à la non-réalisation des objectifs
– déterminer les pratiques de contrôle à mettre en œuvre
– choisir la façon de mettre en œuvre chaque pratique de contrôle.

Les objectifs de contrôle de COBIT (dont le nombre est supérieur à 200) définissent les éléments à gérer dans chaque processus informatique afin de tenir compte des exigences des métiers et de gérer les risques.

Ils permettent de définir des politiques claires, de renforcer les bonnes pratiques pour le contrôle des SI et d'encourager la propriété des processus. Ils constituent également un point de référence permettant de relier les bonnes pratiques et les exigences des métiers.

• Inducteurs de risque et de valeur : ces inducteurs apportent une contribution utile aux professionnels dans le cadre de la communication d'une justification métier pour la réalisation d'objectifs de contrôle particuliers et la mise en œuvre des pratiques de contrôle associées.

Les inducteurs de valeur fournissent des exemples des avantages métiers pouvant résulter d'un contrôle satisfaisant, tandis que les inducteurs de risque fournissent des exemples des risques potentiels à éviter ou à atténuer.

Ils fournissent aux auditeurs et aux responsables de la mise en œuvre de la Gouvernance des SI l'argument relatif à l'application des contrôles et accréditent l'impact de leur non-application.

• Étapes de contrôle : elles fournissent des conseils au niveau objectif de contrôle, destinés aux auditeurs qui réalisent une mission d'audit des SI.

Les étapes sont issues des pratiques de contrôle qui sont elles-mêmes issues de chaque objectif de contrôle. Les étapes de vérification :
– évaluent le plan de contrôle
– confirment que les contrôles sont appliqués
– évaluent l'efficacité opérationnelle des contrôles.

4. LES APPORTS DE COBIT À L’AUDIT DES SI
Les différents composants de COBIT favorisent l’efficacité et l’efficience des activités d’audit.

Le Guide d'audit des Systèmes d'Information (COBIT V4.1) est disponible en version française sous forme d’un livre dans lequel est encartée une version numérique sur cédérom.

Vous pouvez le commander sur ce site. L'AFAI propose également des formations à COBIT .

Source : AFAI

Dernière mise à jour : ( 18-05-2010 )