Audit of IT Governance (Reference documents to be audited)
1. Audit de la gouvernance du système d’information
Les processus Cobit 5 associés à la notion de la gouvernance
Il y a d’abord 5 processus fixant la logique de la gouvernance :
EDS 01 : « Assurer la définition et l’entretien d’un cadre de gouvernance »
EDS 02 : « Assurer la création de la valeur »
EDS 03 : « Assurer la gestion des risques »
EDS 04 : « Assurer l’optimisation des ressources »
EDS 05 : « Assurer aux parties prenantes la transparence »
Il y a ensuite 7 processus concernant le positionnement de la démarche IT dans l’entreprise :
APO 01 : « Gérer le cadre de gestion des TI »
APO 02 : « Gérer la stratégie »
APO 03 : « Gérer l’architecture d’entreprise »
APO 04 : « Gérer l’innovation »
APO 05 : « Gérer le portefeuille »
APO 10 : « Gérer les fournisseurs »
APO 11 : « Gérer la qualité »
APO 12 : « Gérer les risque »
Ensuite COBIT 5 s’intéresse aux projets :
BAI 01 : « Gérer les programmes et les projets »
Aussi bien aux changements, c’est en effet un moment délicat puisque après le projet il faut arriver à
mettre en marche l’application et la faire fonctionner. Il repose sur trois processus importants :
BAI 05 : « Gérer le changement organisationnel »
BAI 06 : « Gérer les changements »
BAI 07 : « Gérer l’acceptation du changement et de la transition »
Enfin il ne faut pas oublier le contrôle interne avec le processus :
SEM 02 : « Surveiller, évaluer et mesurer le système de contrôles internes »
Et le processus suivant :
SEM 01 : «Surveiller, évaluer et mesurer la performance et la conformité »
2. Les documents à solliciter
Cadre interne de gouvernance du SI
Plan informatique stratégique (stratégie informatique adoptée)
o Plan opérationnel
o Schéma directeur
Plan d’infrastructure technique (plan d’urbanisation des ressources matérielles, applications
et services déployés)
Cartographie des produits et services (catalogue)
Normes, référentiels et réglementations utilisés (internes et externes)
o Exemples : ITIL, Cobit, ISO 27000
Fiches de fonction du personnel de la DSI (identification des rôles et responsabilités)
Classification des systèmes et processus selon leurs criticités
Cartographie des risques actuels
Plan de reprise en cas de désastre
Plan de continuité des services
Rapports :
o de la performance du SI
o de la performance du personnel de la DSI
o des pannes et problèmes enregistrés (matériels et logiciels)
o de la satisfaction des utilisateurs du SI (service Help Desk)
Tableau de bord (synthèse des différentes données de Reporting)
Liste des projets en cours (les investissements informatiques), exemples de projets :
o Acquisition du matériel
o Développement des services
o Déploiement des nouvelles solutions applicatives (ERP)
o Changement majeur (au niveau de l’infrastructure informatique)
Business Case des projets en cours
o Budgets
o État d’avancement
o Rapport Coûts/Bénéfices
o Écarts Coûts/Prévisions
o Outils utilisés
Risques des projets en cours (tout le long du cycle de vie d’un projet)
Contrats de services (maintenance et outsourcing) avec des tiers
o Exigences des contrats
Politique de sécurité mise en place pour la gestion des accès
Rapport de violation des pratiques de sécurité mise en place
Gouvernance et Stratégie
du SI
Gestion des
projets
Gestion des accès (accès
distants, mots de passe …)
Gestion des risques
informatiques
Mesure de la
performance
3. Les responsables à contacter
Le directeur des systèmes d’information
Le responsable de la gouvernance des TI (si cette fonction existe)
Les collaborateurs du DSI (responsables métiers)
Les cadres de référence et normes à utiliser
Cobit 5 (ISO/IEC 38500) (gouvernance des SI)
Val IT (optimisation des investissements)
Risk IT (gestion des risques)
ITIL (ISO/IEC 20000) (gestion des services)
CMMi (ISO/IEC 15504) (gestion des projets)
ISO 31000 (gestion des risques)
La famille ISO 27000 (sécurité des SI)
Vision croisée par secteur
Vision Top - down
Intégrés dans la version 5 du cadre de
contrôle, de gouvernance et d’audit
Cobit.
