La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 B Quinio Les référentiels de qualité et de contrôle du SI COBIT B Quinio M2CG - CCA 2010 - 2011.

Présentations similaires


Présentation au sujet: "1 B Quinio Les référentiels de qualité et de contrôle du SI COBIT B Quinio M2CG - CCA 2010 - 2011."— Transcription de la présentation:

1 1 B Quinio Les référentiels de qualité et de contrôle du SI COBIT B Quinio M2CG - CCA

2 2 B Quinio COBIT : AFAI l COBIT est lintégrateur des meilleures pratiques en TI et le référentiel général de la gouvernance des SI »aide à comprendre et à gérer les risques et les bénéfices qui leur sont associés. l Les bonnes pratiques de CobiT sont le fruit dun consensus dexperts. »Elles sont très axées sur le contrôle et moins sur lexécution. »Elles ont pour but daider à optimiser les investissements informatiques, à assurer la fourniture des services et à fournir des métriques auxquelles se référer pour évaluer les dysfonctionnements. l COBIT est en permanence tenu à jour et harmonisé avec les autres standards. »Version actuelle V4 »Panoplie doutils : quickstart, ValIT, …

3 3 B Quinio COBIT l Conçu et géré par lIT Governance Institute. –http://itgi-france.com/http://itgi-france.com/ –http://www.afai.fr/http://www.afai.fr/ l Indépendant et libre de droits. l Issu du milieu de laudit SI (V1 : 1996). »Très utilisée dans les SI. l Diffusion mondiale. l Très nombreuses traductions. »L'AFAI a publié la version française de COBIT V4.1 l Utilisation importante et en croissance forte. l Utilisé dans les cadres Sarbanes Oxley, IFRS, LSF.

4 4 B Quinio COBIT et les processus COBIT : Structure de relations et de processus visant à diriger et contrôler l'entreprise pour qu'elle atteigne ses objectifs en générant de la valeur, tout en trouvant le bon équilibre entre les risques et les avantages des TI et de leurs processus.

5 5 B Quinio

6 6 COBIT : 4 domaines et 34 processus

7 7 B Quinio Structure de COBIT Regroupement de processus Planifier / Construire / exploiter / contrôler Plan an Organize / Acquire and Implement / Deliver and Support / Monitor and Evaluate Domaines Processus Activité 4 Processus Série dactivités reliées entre elle Activité ou bonne pratique Tâches associées à un résultat mesurable (ce quon doit obtenir et pas comment)

8 8 B Quinio l Processus PO9 Evaluer les riques 10 Activités 1) Déterminer lalignement pour la gestion des risques (ex. évaluer les risques) 2) Identifier les objectifs métier stratégiques concernés 3) Identifier les objectifs processus métier concernés 4) Identifier les objectifs informatiques internes et établir leur contexte risque. 5) Identifier les événements associés aux objectifs [certains événements sont orientés métier ; certains sont orientés SI 6) Évaluer les risques associés aux événements 7) Évaluer les réponses aux risques 8) Planifier les activités de contrôle en tenant compte des priorités 9) Approuver les plans daction de traitement des risques et en assurer le financement 10) Tenir à jour et surveiller un plan daction de traitement des risques. Exemple de structure de COBIT

9 9 B Quinio COBIT :Modèle de maturité Source AFAI

10 10 B Quinio Exemple de positionnement maturité source : AFAI PO9 l PO9 Évaluer et gérer les risques l 0 Inexistante quand »On ne fait pas d'évaluation des risques liés aux processus ou aux décisions métier. Lentreprise ne prend pas en compte les conséquences pour son activité des faiblesses de sa sécurité et des incertitudes liées au développement de ses projets. »La gestion des risques n'a pas été identifiée comme pertinente dans l'acquisition de solutions et la livraison de services informatiques. l 1 Initialisée, quand »Les risques informatiques sont traités au cas par cas. »On fait des évaluations informelles des risques projet selon une approche spécifique à chaque projet.

11 11 B Quinio Autre exemple de positionnement de maturité l AMP04 : Développer les procédures et en assurer la maintenance »documenter les applications afin de former les exploitants comme les utilisateurs. »Documenter tous les aspects : technique, opérationnel, niveaux de service. l « Lentreprise sans maturité en est au stade de la documentation sur papier, peu commode et non à jour. Lorsque la maturité croît, lentreprise met la documentation sur lIntranet et la formation est organisée. Si elle saméliore encore, elle recherche le feedback des utilisateurs et met en place une gestion automatisée de la documentation »

12 12 B Quinio COBIT :3 Objectifs et 3 types dindicateurs l 3 Objectifs »Objectif pour le métier ou lactivité concerné »Objectif pour le processus concerné »Objectifs pour linformatique l 1 Indicateur Clé de Performance (ICP), est la mesure de la "qualité" de la progression du processus »Key Performance Indicator (KPI) l 2 indicateurs Clé d'Objectif (ICO) pour les processus et le TI »Process Key Goal Indicator (PKGI) et ITKGI

13 13 B Quinio COBIT :3 Objectifs et 3 types dindicateurs Objectif dactivité KPI Objectif Processus Objectif Informatiques Est mesuré par PKGI Est mesuré par ITKGI Est mesuré par impacte

14 14 B Quinio COBIT :3 Objectifs et 3 types dindicateurs l Exemple pour le processus PO9 : Evaluer et gérer les risques »Objectif activité –Effectuer des évaluations de risques régulières avec le management »Objectif Processus : –Mettre en place des plans dactions pour les risques informatiques critiques »Objectif Informatique –Protéger latteinte des objectifs informatiques critiques »KPI : –% dévaluation de risques visées par le management »PKGI : –% de risques critiques avec des plans daction développés »ITKGI : –% dobjectifs informatiques critiques pris en compte dans lévaluation des risques

15 15 B Quinio COBIT :4 types de rôles pour les acteurs concernés par une activité (1) l Responsable »Celui qui fait le travail ou qui fait en sorte que le travail soit fait, cest-à- dire que le processus soit mis en oeuvre l Accontable : »Celui qui donne les directives et les priorités »GARANT en Français dans la traduction AFAI l Consulté : »Personne a qui on demande son avis pour la réalisation du processus l Informé : »Personne que lon tient au courant l RACI (en version originale) RGCI (en version française)

16 16 B Quinio COBIT :4 types de rôles pour les acteurs concernés par une activité (2) l Exemple : pour 2 activités du PO9 Evaluer les riques Déterminer lalignement pour la gestion des risques (ex. évaluer les risques) »Garant : Direction Générale »Responsable / Garant : Direction financière »Consulté : responsable métier et DSI »Informé : Responsable exploitation, et fonction support (juridique, sécurité) Identifier les objectifs informatiques internes et établir leur contexte risque. »Garant / Responsable : DSI »Consulté : responsable architecture, responsable développement »Informé : fonction support (juridique, sécurité)

17 17 B Quinio Description dun processus COBIT l 1) High-Level control objective : »définition du processus et description succincte des besoins quil satisfait, des moyens quil utilise et des indicateurs de contrôle : PKGI, ITGI et KPI l 2) Detailed control objectives : »liste des fonctions que le processus doit remplir »décrites chacune en quelques lignes ; l 3) Management guidelines : »tableaux indiquant les relations avec dautres processus »la répartition des responsabilités (selon la liste RACI : Responsible, Accountable, Consulted et Informed) »les objectifs et les indicateurs associés ; l 4) Maturity model : »décrit ce que font des entreprises types classées selon les six niveaux de maturité. l Exemple PO9 »http://www.afai.fr/public/doc/351.pdfhttp://www.afai.fr/public/doc/351.pdf Source : volle.com

18 18 B Quinio Mise en oeuvre de COBIT Choisir un domaine Domaines Processus Activité 4 Choisir un processus à contrôler et optimiser Contrôler les activités associées Maturité Se positionner sur léchelle de maturité (de 0 à 5)

19 19 B Quinio ValIT : complément à COBIT l Val IT complète Cobit »traite de la création de valeur pour l'entreprise via les investissements technologiques »pour fournir un cadre de référence complet de la gouvernance des SI. l le référentiel Val IT porte sur la gestion des investissements, des portefeuilles de programmes/projets, ainsi que la gouvernance de la valeur. Val IT est disponible en françqis via lAFAI

20 20 B Quinio ValIT : complément à COBIT

21 21 B Quinio Pour les PME : COBIT Quickstart l Source : AFAI l Une première approche aux nombreuses PME et autres entités pour lesquelles les TI ne sont ni un enjeu stratégique ni un élément clé de leur survie l Peut être un point de départ pour étudier la pertinence de COBIT l 30 processus sur les 34, – et l 62 objectifs de contrôle détaillés sur les 318 habituels. l Un test en ligne : »http://www.afai.fr/index.php?m=136http://www.afai.fr/index.php?m=136

22 22 B Quinio COBIT Quickstart

23 23 B Quinio Logiciels supportant la démarche l Aide à la mise en œuvre »Construit autour de la structure COBIT (processus, KGI, KPI) »Environnement dévaluation et de suivi de limplantation »Origine : logiciels pour auditeurs et BPM l Par exemple : »CobiT Advisor (Methodware Ltd) »WorkflowGen

24 24 B Quinio Deux certifications pour les personnes physiques l La certification CISA (Certified Information security Auditor) sanctionne la réussite à un examen dans le domaine de la compétence à laudit informatique. »QCM de 200 questions à traiter en 4 heures l La certification CISM (Certified Information Security Manager) sanctionne la réussite à un examen dans le domaine de la compétence de la sécurité des systèmes dinformation l Les deux sont valables 1 an avec 20h de formation


Télécharger ppt "1 B Quinio Les référentiels de qualité et de contrôle du SI COBIT B Quinio M2CG - CCA 2010 - 2011."

Présentations similaires


Annonces Google