Você está na página 1de 139

Salah Eddine MAHRACH, CRISC

smahrach@menara.ma
2003 Acadys - all rights reserved

Sommaire

I. Introduction II. CoBIT et ses quatre domaines:


1. 2. 3. 4. PO: Planifier et Organiser AI: Acqurir et Implmenter DS: Distribuer et Supporter SE: Surveiller et Evaluer

III. Annexes:
1. Documents de rfrence de COBIT 2. Glossaire 3. QCM
2

Introduction

Pour beaucoup d'entreprises, l'information et la technologie sur laquelle elle s'appuie constituent les actifs les plus prcieux, mme si elles sont souvent les moins bien perues.

Le concept dindustrie du savoir contient suffisamment de dynamite pour envoyer les conomies traditionnelles sur orbite
Ken Boulding

Introduction

Le besoin de s'assurer de la valeur des SI, la gestion des risques qui leur sont lis et les exigences croissantes de contrle sur l'information sont dsormais reconnus comme des lments cls de la gouvernance d'entreprise. Valeur, risque et contrle constituent le c ur de la gouvernance des SI.

LIT Governance

La gouvernance des SI est de la responsabilit des dirigeants et du conseil d'administration, et elle est constitue des structures et processus de commandement et de fonctionnement qui conduisent l'informatique de l'entreprise soutenir les stratgies et les objectifs de l'entreprise, et lui permettre de les largir.

Domaines de lIT Governance

IT Governance

Gestion des Ressources

Domaines de lIT Governance

CoBIT: Cadre de rfrence

La mission de COBIT : Elle consiste imaginer, mettre au point, publier et promouvoir un cadre de rfrence de contrle de la gouvernance des SI, actualis, reconnu dans le monde entier et faisant autorit. Ce cadre de rfrence devra tre adopt par les entreprises et utilis quotidiennement par les dirigeants, les professionnels de l'informatique et les professionnels de l'assurance.

CoBIT: Cadre de rfrence

 Centr sur les mtiers:

CoBIT: Critres dInformation de CoBIT

- Efficacit : la mesure par laquelle linformation contribue au rsultat des processus mtier par rapport aux objectifs fixs ; - Efficience : la mesure par laquelle linformation contribue au rsultat des processus mtier au meilleur cot ; - Confidentialit : la mesure par laquelle linformation est protge des accs non autoriss ; - Intgrit : la mesure par laquelle linformation correspond la ralit de la situation ; - Disponibilit : la mesure par laquelle linformation est disponible pour les destinataires en temps voulu ; - Conformit : la mesure par laquelle les processus sont en conformit avec les lois, les rglements et les contrats ; - Fiabilit : la mesure par laquelle linformation de pilotage est pertinente.

10

CoBIT: Ressources Informatiques

- Application : les systmes automatiss et les procdures pour traiter linformation.

- Infrastructure : les technologies et les installations qui permettent le traitement des applications.

- Information : les donnes, comme entres ou sorties des systmes dinformation, quelle que soit leur forme.

- Personnes : les ressources humaines ncessaires pour organiser, planifier, acqurir, dlivrer, supporter, surveiller et valuer les systmes dinformation et les services.

11

CoBIT: Orient Processus

12

CoBIT: Les quatre domaines interdpendants de CoBIT

13

Domaine 1: Planifier et organiser

 Les stratgies de l'entreprise et de l'informatique sont-elles alignes ?  L'entreprise fait-elle un usage optimum de ses ressources ?  Est-ce que tout le monde dans l'entreprise comprend les objectifs de l'informatique ?  Les risques informatiques sont-ils compris et grs ?  La qualit des systmes informatiques est-elle adapte aux besoins mtiers ?

14

Domaine 2: Acqurir et implmenter

 Est-on sr que les nouveaux projets vont fournir des solutions qui correspondent aux besoins mtiers ?  Est-on sr que les nouveaux projets aboutiront en temps voulu et dans les limites budgtaires ?  Les nouveaux systmes fonctionneront-ils correctement lorsqu'ils seront mis en oeuvre ?  Les changements pourront-ils avoir lieu sans perturber les oprations en cours ?

15

Domaine 3: Dlivrer et Support

 Les services informatiques sont-ils fournis en tenant compte des priorits mtiers ?  Les cots informatiques sont-ils optimiss ?  Les employs sont-ils capables d'utiliser les systmes informatiques de faon productive et sre ?  La confidentialit, l'intgrit et la disponibilit sont-elles mises en oeuvre pour la scurit de l'information ?

16

Domaine 4: Surveiller et Evaluer

 La performance de l'informatique est-elle mesure de faon ce que les problmes soient mis en vidence avant qu'il ne soit trop tard ?  Le management s'assure-t-il que les contrles internes sont efficaces et efficients ?  La performance de l'informatique peut-elle tre relie aux objectifs mtiers ?  Des contrles de confidentialit, d'intgrit et de disponibilit appropris sont-ils mis en place pour la scurit de l'information ?

17


Marquons une pause !!!!!!!!!!!!!!!!!!

18

CoBIT et les Contrles:

 Les contrles gnraux sont ceux qui sont intgrs aux processus et aux services informatiques. Ils concernent, par exemple :
le dveloppement des systmes, la gestion des changements, la scurit, l'exploitation.

 On appelle communment "contrles applicatifs" les contrles intgrs aux applications des processus mtiers. Ils concernent, par exemple :
l'exhaustivit, l'exactitude, la validit, l'autorisation, la sparation des tches.
19

CoBIT et les modles de maturit

 Que font nos confrres/concurrents et comment sommes-nous positionns par rapport eux ?  Quelles sont les bonnes pratiques acceptables du march et comment nous situons-nous par rapport elles ?  D'aprs ces comparaisons, peut-on dire que nous en faisons assez ?  Comment identifie-t-on ce qu'il y a faire pour atteindre un niveau appropri de gestion et de contrle de nos processus informatiques ?

20

CoBIT et le modle de maturit

21

CoBIT et le modle de maturit

     

0: Inexistant 1: Initialis au cas par cas 2: Reproductible mais intuitif 3: dfini 4: Gr et mesurable 5: Optimis

22

Le cube CoBIT

23

Le cadre gnrale de CoBIT

24

Domaine CoBIT Planifier et Organiser

25

PO1 Dfinir un plan informatique stratgique PO2 Dfinir larchitecture de linformation PO3 Dterminer lorientation technologique PO4 Dfinir les processus, lorganisation et les relations de travail PO5 Grer les investissements informatiques PO6 Faire connatre les buts et les orientations du management PO7 Grer les ressources humaines de linformatique PO8 Grer la qualit PO9 valuer et grer les risques PO10 Grer les projets

26

PO1 Dfinir un plan informatique stratgique

 Un plan de stratgie informatique est ncessaire pour grer et orienter toutes les ressources informatiques vers les priorits stratgiques de lentreprise. La DSI et les parties prenantes de lentreprise ont la responsabilit de sassurer que la meilleure valeur possible est obtenue des portefeuilles de projets et de services

27

PO1 Dfinir un plan informatique stratgique

Reprsentation schmatique des flux internes du processus PO1


28

PO1 Dfinir un plan informatique stratgique

29

PO2 Dfinir l'architecture de linformation

 Les responsables des systmes informatiques doivent crer et mettre rgulirement jour un modle dinformation de lentreprise et dterminer quels sont les systmes appropris susceptibles doptimiser lutilisation de cette information. Cela comprend llaboration dun dictionnaire des donnes de lentreprise, des rgles de syntaxe de donnes propres lentreprise, dun systme de classification des donnes et de niveaux de scurit.

30

PO2 Dfinir l'architecture de linformation

Reprsentation schmatique des flux internes du processus PO2


31

PO2 Dfinir l'architecture de linformation

32


Marquons une pause !!!!!!!!!!!!!!!!!!

33

PO3 Dterminer l'orientation technologique


 Le SI dtermine lorientation technologique susceptible de favoriser lactivit de lentreprise. Cela exige la cration et la maintenance d'un plan d'infrastructure technologique et dun comit architecture des TI qui fixe et gre les attentes clairement exprimes et ralistes de ce que la technologie peut offrir en termes de produits, services et mcanismes de livraison.

34

PO3 Dterminer l'orientation technologique

Reprsentation schmatique des flux internes du processus PO3


35

PO3 Dterminer l'orientation technologique

36

PO4 Dfinir les processus, l'organisation et les relations de travail


 On dfinit lorganisation de linformatique en prenant en compte les besoins en personnel et en comptences, en prvoyant les fonctions, les rles et les responsabilits, la supervision, lautorit, et en sachant qui rend des comptes qui. Cette organisation fait partie dun cadre de rfrence de processus informatiques qui assure la transparence et le contrle ainsi que limplication de la direction gnrale et de la direction oprationnelle.

37

PO4 Dfinir les processus, l'organisation et les relations de travail

Reprsentation schmatique des flux internes du processus PO4


38

PO4 Dfinir les processus, l'organisation et les relations de travail

39

PO5 Grer les investissements informatiques


 Mettre en place et maintenir le budget oprationnel, pour les programmes dinvestissements informatiques, un cadre de rfrence qui couvre les cots, les bnfices, les priorits budgtaires, un processus de budgtisation formalis et une gestion conforme au budget. Travailler avec les parties prenantes pour identifier et contrler les cots et bnfices totaux dans le contexte des plans stratgiques et tactiques informatiques et initier des mesures correctives lorsque cest ncessaire.

40

PO5 Grer les investissements informatiques

Reprsentation schmatique des flux internes du processus PO5


41

PO5 Grer les investissements informatiques

42

PO6 Faire connatre les buts et orientations du management

 Le management dveloppe un cadre de contrle des SI pour lentreprise, dfinit et communique les politiques. Il met en place un programme de communication permanent, approuv et soutenu par le management, pour articuler la mission, les objectifs de fourniture de services, les politiques et les procdures, etc.

43

PO6 Faire connatre les buts et orientations du management

Reprsentation schmatique des flux internes du processus PO6


44

PO6 Faire connatre les buts et orientations du management

45

PO7 Grer les ressources humaines de linformatique

 Engager et conserver des collaborateurs comptents pour la cration et la fourniture de services informatiques lentreprise. Pour y arriver il faut suivre des pratiques dfinies et approuves en matire de recrutement, de formation, dvaluation, de promotion, et de dpart. Ce processus est critique car les personnes constituent un actif important, et la gouvernance et lenvironnement de contrle interne dpendent normment de la motivation et de la comptence du personnel.

46

PO7 Grer les ressources humaines de linformatique

Reprsentation schmatique des flux internes du processus PO7


47

PO7 Grer les ressources humaines de linformatique

48

PO8 Grer la qualit

 Un systme de gestion de la qualit est dvelopp et actualis, ce qui implique des processus et des standards de dveloppement et dachat prouvs. Ceci est rendu possible par la planification, la mise en place et lactualisation dun systme de gestion de la qualit, et par des exigences, des procdures et des politiques de qualit clairement dfinies.

49

PO8 Grer la qualit

Reprsentation schmatique des flux internes du processus PO8


50

PO8 Grer la qualit

51

PO9 valuer et grer les risques

 Un rfrentiel de gestion des risques est cr et maintenu niveau. Ce rfrentiel documente un niveau commun et agr de risques informatiques, de stratgies pour les rduire et de risques rsiduels. Tout impact potentiel dun vnement imprvu sur les objectifs de lentreprise est identifi, analys, et valu.

52

PO9 valuer et grer les risques

Reprsentation schmatique des flux internes du processus PO9


53

PO9 valuer et grer les risques

54

PO10 Grer les projets

 Un programme et un cadre de rfrence de gestion de projets pour la gestion de tous les projets informatiques est en place. Ce cadre permet de sassurer que tous les projets sont correctement coordonns et que les priorits sont tablies. Il prvoit un plan matre, lattribution de ressources, la dfinition des livrables, lapprobation par les utilisateurs, une approche de livraison par tapes, une assurance qualit, un plan de tests formalis, des tests et une revue aprs mise en place pour sassurer que la gestion des risques et que lapport de valeur lentreprise sont effectives

55

PO10 Grer les projets

Reprsentation schmatique des flux internes du processus PO10


56

PO10 Grer les projets

57

Domaine CoBIT Acqurir et Implmenter

58

AI1 Trouver des solutions informatiques AI2 Acqurir des applications et en assurer la maintenance AI3 Acqurir une infrastructure technique et en assurer la maintenance AI4 Faciliter le fonctionnement et lutilisation AI5 Acqurir des ressources informatiques AI6 Grer les changements AI7 Installer et valider les solutions et les modifications

59

AI1 Trouver des solutions informatiques

 Le besoin dune nouvelle application ou fonction impose une analyse avant achat ou cration pour sassurer que les exigences des mtiers seront satisfaites grce une approche efficace et efficiente. Ce processus recouvre la dfinition des besoins, la prise en compte de sources alternatives, lanalyse de la faisabilit technique et conomique, lanalyse des risques et du rapport cots/bnfices, et la dcision finale qui tranchera entre faire ou acheter.

60

AI1 Trouver des solutions informatiques

Reprsentation schmatique des flux internes du processus AI 1


61

AI1 Trouver des solutions informatiques

62

AI2 Acqurir des applications et en assurer la maintenance

 Les applications sont rendues disponibles en fonction des exigences des mtiers. Ce processus recouvre la conception des applications, les contrles applicatifs et les exigences de scurit appropris quil faut y inclure, ainsi que leur dveloppement et leur configuration conformment aux standards. Cela permet aux entreprises de disposer des applications informatiques qui conviennent pour supporter correctement les tches mtiers

63

AI2 Acqurir des applications et en assurer la maintenance

Reprsentation schmatique des flux internes du processus AI 2


64

AI2 Acqurir des applications et en assurer la maintenance

65


Marquons un stop !!!!!!!!!!!!!!!!!!

66

AI3 Acqurir une infrastructure technique et en assurer la maintenance


 Une entreprise dispose de processus pour lacquisition, la mise en place et la mise niveau de son infrastructure technique. Cela exige une approche planifie de lacquisition, de la maintenance et de la protection de linfrastructure en accord avec les stratgies technologiques adoptes et de disposer denvironnements de dveloppement et de tests. On est ainsi sr de disposer dun support technique permanent pour les applications mtiers.

67

AI3 Acqurir une infrastructure technique et en assurer la maintenance

Reprsentation schmatique des flux internes du processus AI 3


68

AI3 Acqurir une infrastructure technique et en assurer la maintenance

69

AI4 Faciliter le fonctionnement et lutilisation

 Les connaissances sur les nouveaux systmes sont rendues disponibles. Ce processus impose de produire de la documentation et des manuels pour les utilisateurs et pour linformatique, et de proposer des formations pour assurer une bonne utilisation et un bon fonctionnement des applications et de linfrastructure.

70

AI4 Faciliter le fonctionnement et lutilisation

Reprsentation schmatique des flux internes du processus AI 4


71

AI4 Faciliter le fonctionnement et lutilisation

72

AI5 Acqurir des ressources informatiques

 On a besoin dacqurir des ressources informatiques. Elles comprennent les personnes, le matriel, le logiciel et les services. Cela exige de dfinir et dappliquer des procdures de recrutement et dachat, la slection des fournisseurs, ltablissement darrangements contractuels, et lacte lui-mme de se procurer ces ressources. Cest ainsi quon peut assurer lentreprise toutes les ressources informatiques requises au bon moment et au meilleur cot.

73

AI5 Acqurir des ressources informatiques

Reprsentation schmatique des flux internes du processus AI 5


74

AI5 Acqurir des ressources informatiques

75

AI6 Grer les changements


 Tous les changements, y compris la maintenance et les correctifs durgence, concernant linfrastructure et les applications de lenvironnement de production sont grs et contrls de faon formelle. Les changements (y compris ceux relatifs aux procdures, processus, paramtres systmes et services) sont enregistrs dans un fichier, valus et autoriss avant mise en place, et confronts aux rsultats attendus ds leur mise en oeuvre. Cela rduit les risques de consquences ngatives pour la stabilit ou lintgrit de lenvironnement de production

76

AI6 Grer les changements

Reprsentation schmatique des flux internes du processus AI 6


77

AI6 Grer les changements

78

AI7 Installer et valider les solutions et les modifications

 Il faut mettre en exploitation les nouveaux systmes lorsque la phase de dveloppement est acheve. Cela exige deffectuer les bons tests sur les donnes dans un environnement ddi, de dfinir les instructions de dploiement et de migration, un planning de livraison et la mise en production proprement dite, et des revues aprs mise en place. Cela garantit que les systmes oprationnels sont en phase avec les attentes et les rsultats recherchs.

79

AI7 Installer et valider les solutions et les modifications

Reprsentation schmatique des flux internes du processus AI 7


80

AI7 Installer et valider les solutions et les modifications

81


Marquons une pause !!!!!!!!!!!!!!!!!!

82

Domaine CoBIT Dlivrer et Supporter

83

DS1 Dfinir et grer les niveaux de services DS2 Grer les services tiers DS3 Grer la performance et la capacit DS4 Assurer un service continu DS5 Assurer la scurit des systmes DS6 Identifier et imputer les cots DS7 Instruire et former les utilisateurs DS8 Grer le service dassistance client et les incidents DS9 Grer la configuration DS10 Grer les problmes DS11 Grer les donnes DS12 Grer lenvironnement physique DS13 Grer lexploitation
84

DS1 Dfinir et grer les niveaux de services

 Une communication efficace entre les responsables informatiques et les clients mtiers propos des services demands est facilite par des accords sur les services informatiques et sur les niveaux de services, et par leur dfinition et leur documentation

85

DS1 Dfinir et grer les niveaux de services

Reprsentation schmatique des flux internes du processus DS 1


86

DS1 Dfinir et grer les niveaux de services

87

DS2 Grer les services tiers

 Le besoin de garantir que les services fournis par des tiers (fournisseurs et partenaires) satisfont les exigences des mtiers impose un processus de gestion des services tiers. Ce processus exige de dfinir clairement les rles, responsabilits et les attentes dans les contrats avec des tiers, et aussi deffectuer des revues et une surveillance de lefficacit et de la conformit de tels contrats.

88

DS2 Grer les services tiers

Reprsentation schmatique des flux internes du processus DS 2


89

DS2 Grer les services tiers

90

DS3 Grer la performance et la capacit

 La bonne gestion des performances et des capacits des ressources informatiques exige quun processus les passe rgulirement en revue. Ce processus comporte la prvision des besoins futurs en fonction des exigences de charge de travail, de stockage et des imprvus. Ce processus assure que les ressources informatiques qui appuient les exigences des mtiers sont constamment disponibles.

91

DS3 Grer la performance et la capacit

Reprsentation schmatique des flux internes du processus DS 3


92

DS3 Grer la performance et la capacit

93

DS4 Assurer un service continu

 Le besoin dassurer la continuit des services informatiques exige de dvelopper, de maintenir et de tester des plans de continuit des SI, dutiliser des capacits de stockage de sauvegardes hors site et dassurer une formation priodique au plan de continuit. Un processus de service continu efficace rduit les risques et les consquences dune interruption majeure des services informatiques aux fonctions et processus mtiers cls.

94

DS4 Assurer un service continu

Reprsentation schmatique des flux internes du processus DS 4


95

DS4 Assurer un service continu

96

DS5 Assurer la scurit des systmes

 Le besoin de maintenir lintgrit de linformation et de protger les actifs informatiques exige un processus de gestion de la scurit. Ce processus comporte la mise en place et la maintenance de rles et responsabilits, politiques, plans et procdures informatiques. La gestion de la scurit implique aussi une surveillance de la scurit, des tests priodiques et des actions correctives lors dincidents ou de dcouverte de failles dans la scurit.

97

DS5 Assurer la scurit des systmes

Reprsentation schmatique des flux internes du processus DS 5


98

DS5 Assurer la scurit des systmes

99


Marquons une pause !!!!!!!!!!!!!!!!!!

100

DS6 Identifier et imputer les cots

 La ncessit dun systme loyal et quitable pour affecter les cots informatiques aux mtiers exige quils soient chiffrs avec prcision et quun accord soit conclu avec les utilisateurs mtiers sur une juste rpartition.

101

DS6 Identifier et imputer les cots

Reprsentation schmatique des flux internes du processus DS 6


102

DS6 Identifier et imputer les cots

103

DS7 Instruire et former les utilisateurs

 La formation efficace de tous les utilisateurs des systmes informatiques, y compris les informaticiens, exige de connatre les besoins en formation de chaque groupe dutilisateurs. Outre lidentification des besoins, ce processus doit aussi dfinir et mettre en oeuvre une stratgie de formation efficace et en mesurer les rsultats.

104

DS7 Instruire et former les utilisateurs

Reprsentation schmatique des flux internes du processus DS 7


105

DS7 Instruire et former les utilisateurs

106

DS8 Grer le service dassistance client et les incidents

 Apporter des rponses efficaces et au bon moment aux requtes et aux problmes des utilisateurs exige un processus bien conduit de gestion du service dassistance et de gestion des incidents. Ce processus comporte la mise en place dun service dassistance qui soccupe de l'enregistrement et de l'escalade des incidents, de lanalyse des tendances et des causes, et des solutions

107

DS8 Grer le service dassistance client et les incidents

Reprsentation schmatique des flux internes du processus DS 8


108

DS8 Grer le service dassistance client et les incidents

109

DS9 Grer la configuration

 Assurer lintgrit des configurations matrielles et logicielles exige de constituer et de tenir jour un rfrentiel de configuration prcis et complet. Ce processus doit comporter la collecte des informations de la configuration initiale, ltablissement de configurations de base, la vrification et laudit des informations de configuration, et la mise jour du rfrentiel de configuration lorsque cest ncessaire. Une gestion efficace de la configuration facilite une plus grande disponibilit du systme, la rduction des problmes de production et une rsolution plus rapide de ceux-ci.

110

DS9 Grer la configuration

Reprsentation schmatique des flux internes du processus DS 9


111

DS9 Grer la configuration

112

DS10 Grer les problmes

 Une gestion efficace des problmes exige de les identifier, de les classer, danalyser leurs causes initiales et de leur trouver des solutions. Le processus de gestion des problmes implique aussi de formuler des recommandations damlioration, de tenir jour les enregistrements des problmes et de vrifier o en sont les actions correctives. Un processus efficace de gestion des problmes favorise la disponibilit des systmes, amliore les niveaux de services, rduit les cots, rpond mieux aux besoins des clients et augmente donc leur satisfaction.

113

DS10 Grer les problmes

Reprsentation schmatique des flux internes du processus DS 10


114

DS10 Grer les problmes

115

DS11 Grer les donnes

 Une gestion efficace des donnes impose didentifier les exigences qui les concernent. Le processus de gestion des donnes ncessite aussi de mettre en place des procdures efficaces pour grer la mdiathque, les sauvegardes et la restauration des donnes, et llimination des mdias de faon approprie. Une gestion efficace des donnes aide garantir la qualit et la disponibilit au moment opportun des donnes mtiers.

116

DS11 Grer les donnes

Reprsentation schmatique des flux internes du processus DS 11


117

DS11 Grer les donnes

118

DS12 Grer lenvironnement physique

 La protection des quipements informatiques et du personnel exige des installations matrielles bien conues et bien gres. Le processus de gestion de lenvironnement matriel comporte la dfinition des exigences du site physique, le choix des installations adquates et la conception de processus efficaces de surveillance des facteurs environnementaux et de gestion des accs physiques.

119

DS12 Grer lenvironnement physique

Reprsentation schmatique des flux internes du processus DS 12


120

DS12 Grer lenvironnement physique

121

DS13 Grer lexploitation

 Pour un traitement complet et exact des donnes il faut une gestion efficace des procdures de traitement des donnes et une maintenance applique du matriel informatique. Ce processus implique de dfinir des politiques et des procdures dexploitation ncessaires une gestion efficace des traitements programms, de protger les sorties sensibles, de surveiller linfrastructure et deffectuer une maintenance prventive du matriel

122

DS13 Grer lexploitation

Reprsentation schmatique des flux internes du processus DS 13


123

DS13 Grer lexploitation

124

Domaine CoBIT Surveiller et Evaluer

125

SE1 Surveiller et valuer la performance des SI SE2 Surveiller et valuer le contrle interne SE3 Sassurer de la conformit aux obligations externes SE4 Mettre en place une gouvernance des SI

126

SE1 Surveiller et valuer les performances des SI

 Une gestion efficace des SI exige un processus de surveillance. Ce processus inclut la dfinition d'indicateurs pertinents de performance, la publication systmatique et en temps opportun de rapports sur la performance, et une raction rapide aux anomalies. Il faut une surveillance pour sassurer quon fait ce quil faut conformment aux orientations et aux politiques dfinies.

127

SE1 Surveiller et valuer les performances des SI

Reprsentation schmatique des flux internes du processus SE 1


128

SE1 Surveiller et valuer les performances des SI

129

SE2 Surveiller et valuer le contrle interne

 tablir un programme efficace de contrle interne de linformatique impose de bien dfinir un processus de surveillance. Ce processus comporte la surveillance et les rapports sur les anomalies releves, les rsultats des autovaluations et des revues par des tiers.

130

SE2 Surveiller et valuer le contrle interne

Reprsentation schmatique des flux internes du processus SE 2


131

SE2 Surveiller et valuer le contrle interne

132

SE3 Sassurer de la conformit aux obligations externes

 Un processus de revue est ncessaire pour garantir efficacement la conformit aux lois, aux rglements et aux obligations contractuelles. Ce processus implique didentifier les obligations de conformit, dvaluer et doptimiser la rponse donner, davoir lassurance dtre conforme aux obligations et, au final, dintgrer les rapports sur la conformit des SI ceux du reste de lentreprise.

133

SE3 Sassurer de la conformit aux obligations externes

Reprsentation schmatique des flux internes du processus SE 3


134

SE3 Sassurer de la conformit aux obligations externes

135

SE4 Mettre en place une gouvernance des SI

 Mettre en place un rfrentiel de gouvernance efficace impose de dfinir des structures organisationnelles, des processus, un leadership, des rles et des responsabilits pour sassurer que les investissements informatiques de lentreprise sont aligns sur ses stratgies et ses objectifs et quils travaillent pour eux.

136

SE4 Mettre en place une gouvernance des SI

137

SE4 Mettre en place une gouvernance des SI

138

Merci pour votre attention

139