COBIT : contrôler et évaluer un SI (partie 3)

IV – Monitor and evaluate (contrôler et évaluer)

Cette partie considère quatre processus :
– Suivre et évaluer la performance du SI
– Suivre et évaluer le contrôle interne
– Assurer la conformité à la réglementation
– Assurer la gouvernance du SI

1) Suivre et évaluer la performance du SI : il s’agit de définir des indicateurs de performance du SI (coût, rentabilité, niveau de service, alignement stratégique) et d’agir si l’on constate des dérapages.

La liste de ces indicateurs est difficile à établir et COBIT ne formule pas ici de recommandation précise. Il n’aurait pas été mauvais d’indiquer une démarche, par exemple en s’appuyant sur les modèles de maturité que COBIT comporte.

Le modèle de maturité associé à ce processus est assez formel. Comme COBIT se concentre sur l’évaluation interne du SI, il lui aurait sans doute été difficile d’énoncer des critères d’efficacité (comme la qualité du poste de travail, du tableau de bord etc.) concernant le service rendu aux utilisateurs.

2) Suivre et évaluer le contrôle interne : il s’agit de définir un contrôle interne au SI puis de rendre compte de son efficacité. Il est conseillé de se référer aux meilleures pratiques de la profession, de faire des benchmarks, de faire procéder à des audits externes [7] , de faire porter le contrôle également sur les fournisseurs, de définir et mettre en œuvre les actions pour remédier aux défauts constatés.

3) Assurer la conformité à la réglementation : le SI doit être conforme à la réglementation notamment dans les domaines du commerce électronique, des échanges de données, de la confidentialité, du contrôle interne, du reporting financier, de la propriété intellectuelle, de l’hygiène et de la sécurité, enfin des régulations spécifiques au secteur d’activité.

La liste ci-dessus peut utilement alimenter une check-list.

Il est conseillé de faire vérifier la conformité par un auditeur externe indépendant et d’évaluer le coût éventuel des non-conformités.

4) Assurer la gouvernance du SI : il s’agit de définir les structures de l’organisation, les processus, les pouvoirs de décision, les rôles et responsabilités de façon à pouvoir s’assurer que le SI est conforme aux priorités et à la stratégie de l’entreprise. Il est conseillé de faire appel à un auditeur externe pour valider cette organisation.

La liste des objectifs détaillés, ainsi que le modèle de maturité, fournissent des indications utiles. L’alignement du SI sur le « business », c’est-à-dire sur les besoins des métiers de l’entreprise, est évidemment mentionné mais COBIT n’insiste pas sur le partage des responsabilités et sur le contenu du dialogue entre maîtrise d’œuvre et maîtrise d’ouvrage.

Il faut que les rôles et responsabilités dans le programme d’investissement et les projets soient définis sans ambiguïté ; le conseil d’administration et le comité de direction doivent partager une vue claire du rôle du SI, des possibilités techniques, de la contribution potentielle du SI à la stratégie de l’entreprise.

Cela implique (mais COBIT ne le dit pas explicitement) que l’entreprise se soit dotée d’un plan d’urbanisme du SI et qu’elle ait accompli, autour de ce plan, l’effort de communication nécessaire vers les décideurs.

Il faut organiser un comité stratégique du SI et encourager la co-responsabilité entre les métiers et la DSI.

C’est tout ce qui est dit dans COBIT sur la relation entre maîtrise d’œuvre et maîtrise d’ouvrage.

Il faut maîtriser l’économie du SI : suivre les produits tout au long de leur cycle de vie, s’assurer a posteriori que les objectifs de rentabilité du SI ont bien été atteints (nouveaux services, gains de productivité, meilleure réponse aux besoins des clients) ; il faut s’assurer que l’on utilise des technologies standard et que l’on respecte les contraintes d’interopérabilité. On doit vérifier que les ressources humaines et la politique d’achat permettent à l’entreprise de disposer des compétences nécessaires.

Suivre les produits au long de leur cycle de vie implique de connaître la dynamique qui relie le coût de maintenance et d’exploitation au coût d’acquisition, mais COBIT ne le dit pas explicitement.

Les risques liés au SI doivent être évalués et pondérés, en prenant en considération leur impact sur l’entreprise.

On doit mesurer la progression de l’entreprise vers les buts qu’elle s’est fixée. Les mesures de performance doivent être présentées et discutées devant le conseil d’administration et le comité de direction. Un comité d’audit indépendant doit assurer la conformité du SI à la politique de l’entreprise.

COBIT insiste, de façon opportune, sur la nécessité de faire remonter la discussion sur le SI aux plus hauts niveaux de décision de l’entreprise.

Dans le modèle de maturité, à l’étape « managed and measurable », on sait qui est l’utilisateur ; les responsabilités sont définies et gérées à travers les SLA, les propriétaires des processus sont identifiés (NB : COBIT ne dit pas ici s’il s’agit des processus de l’entreprise ou de ceux du SI) ; les parties prenantes sont averties des risques et possibilités qu’offre le SI. La gouvernance du SI a été intégrée dans la planification stratégique et opérationnelle, des indicateurs de performance sont disponibles.

Conclusion

1) COBIT est destiné aux auditeurs. Il leur fournit un guide pour évaluer un SI sans rien oublier d’important : détail de chaque processus, indicateurs, moyens à mettre en œuvre, répartition des responsabilités, liens entre les divers processus, niveaux de maturité etc. Cependant les autres acteurs du SI (maîtrise d’ouvrage, maîtrise d’œuvre, dirigeants) devront y trier ce qui relève de leur fonction.

2) COBIT ne distingue pas la grande entreprise de la petite entreprise et ne tient pas compte du secteur d’activité auquel l’entreprise appartient. Une PME ne pourra certainement pas faire tout ce que COBIT prescrit, une entreprise industrielle n’a pas les mêmes besoins qu’une entreprise de services. Il faudra donc dans chaque cas sélectionner dans COBIT les éléments à retenir. Il est d’ailleurs précisé, comme il est d’usage pour tout document de ce type, que COBIT est « illustratif mais non prescriptif ni exhaustif » : il fournit une base d’expertise « dans laquelle chaque entreprise devra sélectionner ce qui correspond à ses priorités » (p. 27)

3) Pour chaque processus COBIT indique seulement les lignes directrices et le but à atteindre ; il ne précise pas comment on pourra atteindre ce but.

4) COBIT est finement rédigé et satisfait le bon sens. Cependant les rubriques n’y sont pas mises dans l’ordre qui ferait apparaître leur importance relative. COBIT est donc intéressant, mais il risque d’être dangereux pour ceux qui l’utiliseraient sans avoir assez d’expérience.

5) COBIT ne distingue pas les diverses fonctions que le SI peut remplir (applications de gestion, workflow des processus, communication, système d’aide à la décision) alors que chacune d’entre elles doit répondre à des contraintes spécifiques.

6) Il semble enfin que COBIT s’appuie sur le modèle classique à trois couches qui distingue la plate-forme informatique et télécoms, les applications et les utilisateurs. Si l’on s’intéresse à l’articulation entre l’être humain organisé (EHO) et l’automate programmable doué d’ubiquité (APU), on se réfèrera à un autre modèle. L’APU est constitué par la plate-forme, les applications, le poste de travail et l’IHM (interface homme-machine). L’utilisateur est constitué par le couple formé par l’EHO et le poste de travail, articulé autour de l’IHM. L’ensemble APU + EHO est au service du processus de production. L’organisation spécifie le parcours de ce processus ainsi que le travail de l’EHO et ses exigences envers l’APU.

On peut certes discuter la pertinence de ce découpage mais, si on l’a présent à l’esprit, on verra les choses d’un autre point de vue que celui du modèle à trois couches utilisateurs – applications – plate-forme.

(7) Il est conseillé de recourir à des auditeurs « certifiés CISA » : COBIT a partie liée avec l’ISACA.

 Lire la première partie de l’article

Lire la deuxième partie de l’article

  Michel Volle
Source : www.volle.com

COBIT : contrôler et évaluer un SI (partie 3)