Download - Guide+d'Audit COBIT
Présentation du Guide d'Audit
INTRODUCTION
Le Guide d’Audit est un outil complémentaire destiné à faciliter l’application du Cadre de Référence et des Objectifs de Contrôle de COBIT dans les missions d’audit et d’évaluation. L’objet du Guide d’Audit est de fournir une structure simple d’audit et d’évaluation des contrôles basée sur des pratiques d’audit généralement admises qui cadrent avec le schéma global de COBIT.
Les objectifs et les pratiques d’audit particuliers varient considérablement d’une entreprise à l’autre et il existe de nombreux métiers concernés par les activités d’audit comme les auditeurs externes, les auditeurs internes, les consultants, les chargés de revue qualité et les experts judiciaires. C’est pourquoi le Guide d’Audit est générique et général.
Les auditeurs doivent en général apporter au management et aux propriétaires de processus de gestion assurance et conseil sur les contrôles de l’entreprise ; fournir une assurance raisonnable que les objectifs de contrôle adéquats sont atteints ; identifier les faiblesses importantes de ces contrôles ; évaluer les risques de telles faiblesses ; et enfin, conseiller ces responsables sur les actions correctives à prendre. COBITfournit des politiques claires et des bonnes pratiques en matière de sécurité et de contrôle de l’information et des technologies associées. Ainsi, le fait d’ancrer solidement le Guide d’Audit aux Objectifs de Contrôle permet de replacer l’opinion de l’auditeur exprimée par ses conclusions par rapport à des critères qui font autorité (41 standards et états de bonnes pratiques définis par des groupes publics et privés au niveau mondial).
Le Guide d’Audit fournit un modèle pour préparer des plans d’audit qui intègrent le Cadre de Référence et les Objectifs de Contrôle détaillés deCOBIT. Il doit être utilisé conjointement au Cadre de Référence et aux Objectifs de Contrôle de COBIT, et sert à élaborer des programmes d’audit spécifiques. Il n’est cependant ni exhaustif ni figé. Il n’apporte pas tout à tout le monde et doit être adapté à des environnements particuliers.
Quatre choses toutefois que le Guide n’est pas :
1. Le Guide d’Audit n’est pas conçu pour élaborer un plan d’audit ou de couverture générale qui prend en compte un ensemble de facteurs intégrant les anciennes faiblesses, les risques de l’entreprise, les incidents répertoriés, les nouveaux développements et les choix stratégiques. Si le Cadre de Référence et les Objectifs de Contrôle fournissent une orientation, le modèle correspondant parfaitement à l’activité est en dehors du périmètre du Guide d’Audit.
2. Le Guide d’Audit n’est pas conçu comme un outil d’apprentissage des bases de l’audit quand bien même il intègre les bases généralement reconnues de l’audit et de l’audit informatique. Le Guide d’Audit n’essaye pas d’expliquer de façon détaillée comment des outils de planification, d’évaluation, d’analyse et de documentation informatiques (qui incluent sans aller au-delà les Techniques d’Audit Assisté par Ordinateur) peuvent être employés pour aider et automatiser l’audit des processus informatiques. L’informatique offre un énorme potentiel pour accroître l’efficacité et l’efficience des audits mais ce type de guide ne fait pas non plus partie du périmètre du Guide d’Audit.
3. Le Guide d’Audit n’est ni exhaustif ni figé mais évoluera avec les Objectifs de Contrôle de COBIT.
4. Le Guide d’Audit de COBIT permet à l’auditeur de rapprocher la revue de processus informatiques spécifiques de celle recommandée dans les Objectifs de Contrôle pour rassurer le management lorsque les contrôles sont suffisants ou pour le conseiller lorsque les processus doivent être améliorés.
D’un point de vue management, les propriétaires de processus peuvent se poser les questions : « Ce que je fais est-il parfait ? Et si non, comment l’améliorer ? » Le Cadre de Référence et les Objectifs de Contrôle de COBIT aideront à apporter une réponse à ces questions. L’approche fournit un point de vue « réactif » mais les auditeurs doivent également aider le management de façon « proactive ».
Le Cadre de Référence et le Guide d’Audit sont aussi utilisables de manière proactive lors des premières étapes des processus et projets de développement - pour répondre à la question : « De quoi ai-je besoin pour que cela fonctionne ? ».
STRUCTURE GÉNÉRALE DU GUIDE D’AUDIT
Le modèle le plus répandu d’évaluation du contrôle est le modèle d’audit. Le modèle d’analyse des risques est une autre approche qui se développe et sur lequel on reviendra à la fin de cette introduction. Ceux qui sont en charge de l’évaluation du contrôle peuvent utiliser l’un ou l’autre modèle.
Les objectifs de l’audit sont de :
donner au management une assurance raisonnable que les objectifs de contrôle sont atteints,
évaluer les risques résultant des faiblesses de contrôle,
et de conseiller le management sur les actions correctives.
La structure d’audit d’un processus généralement admise est :
identification et documentation, évaluation,
tests de conformité,
tests détaillés.
Un processus informatique est donc audité ainsi :
Acquérir une bonne compréhension des exigences de gestion en termes de risques et de dispositifs de contrôle
Évaluer si les contrôles sont appropriés
Évaluer la conformité des contrôles en place par des tests pour déterminer s’ils fonctionnent comme prévu, de façon cohérente et continue
Évaluer le risque de ne pas atteindre les objectifs de contrôle à l’aide de techniques d’analyse et/ou en consultant d’autres sources.
Dans le but de fournir une aide au management sous la forme de conseils d'assurance, nous avons constitué un cadre de référence d'audit construit à partir des exigences de COBIT :
présenté par niveaux orienté objectifs de gestion
orienté processus
centré sur les ressources à gérer
les critères d'information requis.
Au premier niveau cette approche générale de l'audit s'appuie sur :
le Cadre de Référence COBIT, particulièrement le tableau récapitulatif qui contient la classification des processus informatiques, les critères d'information applicables, et les ressources des TI (voir page 30)
les besoins du processus d'audit lui-même (voir section Besoins du Processus d'Audit page 24)
les besoins génériques pour l'audit des processus informatiques (voir la section Guide Générique d'Audit Informatique, page 24)
principes généraux de contrôle (voir la section Observations sur le Processus de Contrôle, pages 24-25)
Le second niveau est constitué des principes détaillés d'audit pour chaque processus informatiques décrit dans le corps principal de ce fascicule.
Les principes ont été présentées selon un modèle standard qui adopte la structure commune suivante : Obtenir, Évaluer, Vérifier et Confirmer. Ce modèle a été appliqué au Guide d'Audit générique aussi bien qu'au Guide d'Audit détaillé.
Au niveau le plus détaillé, le troisième, l'auditeur peut enrichir le Guide d'Audit pour l'adapter aux circonstances spécifiques, conduisant ainsi la phase de planification de l'audit à prendre en compte des points d'audits particuliers et influençant les objectifs de contrôle détaillés au moyen de :
critères spécifiques au secteur standards de la branche professionnelle
éléments spécifiques à la plate-forme informatique
techniques de contrôle détaillés employée.
Il est important à ce niveau de comprendre que les objectifs de contrôle ne s'appliquent pas nécessairement partout et tout le temps. Nous suggérons donc qu'une évaluation générale du risque soit conduite de façon à déterminer sur quels objectifs il faut se concentrer, et quels sont ceux qui peuvent être laissés de côté.
Tous ces éléments sont proposés pour assister la planification et la performance des audits des TI, et pour permettre une application mieux intégrée du guide d’audit détaillé.
Ce guide n'est ni exhaustif ni universellement applicable. L'information de premier niveau (guide générique, les besoins du processus d'audit, et les observations des contrôles) aideront les auditeurs à constituer le programme d'audit dont ils ont besoin.
STRUCTURE DÉTAILLÉE DE MISE EN PRATIQUE DU GUIDE D'AUDIT
BESOINS DU PROCESSUS D'AUDIT
Ayant défini ce que nous allons auditer et ce à quoi nous allons donner une assurance, nous devons déterminer l'approche la plus appropriée, ou notre stratégie pour mener à bien notre travail d'audit. Nous devons d'abord déterminer le bon périmètre de l'audit. Dans ce but nous devons investiguer, analyser et définir :
les processus de gestion concernés
les plates-formes et les systèmes d'information sur lesquels s'appuient les processus de gestion, ainsi que leur interconnexion avec les autres plates-formes et les autres systèmes
les rôles et les responsabilités au sein des TI, en distinguant les ressources internes et externes
les risques liés aux choix stratégiques de l'entreprise.
L'étape suivante consiste à identifier les besoins en information qui concernent particulièrement les processus de gestion. Puis il faudra identifier les risques inhérents aux TI de même que les niveaux généraux de contrôle qui peuvent être associés aux processus de gestion. Dans ce but nous identifions :
les changements récents dans l'environnement professionnel qui ont un impact sur les TI
les changements récents dans l'environnement informatique, les nouveaux développements, etc
les incidents récents en rapport avec les contrôles et l'environnement professionnel
les contrôles de surveillance des TI appliqués par le management
les rapports d'audits et/ou de certification récents
les résultats récents d'auto-évaluations.
Sur la base des informations obtenues nous pouvons maintenant sélectionner les processus COBIT qui conviennent, ainsi que les ressources qui s'y appliquent. Cela peut impliquer qu'on fasse l'audit de certains processus COBIT plusieurs fois, une fois pour chaque type de plate-forme ou de système différent.
Il faut déterminer une stratégie d'audit en fonction du plan d'audit à élaborer ensuite ; par exemple, faut il se diriger vers une approche basée sur des contrôles, ou vers une approche plus large ?
Finalement il faut prendre en compte toutes les étapes, toutes les tâches, et tous les éléments de décision pour effectuer l'audit. On trouve dans l'Annexe V un exemple de processus générique d'audit qui suit le modèle standard (avec les étapes, les tâches et les éléments de décision).
BESOIN DU PROCESSUS D'AUDIT
GUIDE D’AUDIT GÉNÉRIQUE
Le modèle de la page 26 présente les besoins génériques d'audit des processus TI destinés à fournir le premier niveau de guide d'audit, généralement applicable à tous les processus. Il est d'abord orienté vers la compréhension des processus et la détermination de sa propriété ; il devrait constituer le fondement et le cadre de référence de tout guide d’audit détaillé.
Ce même modèle est ensuite appliqué aux 34 processus identifiés dans le Cadre de Référence COBIT.
Guide d'Audit Générique
ACQUÉRIR UNE BONNE COMPRÉHENSION
Travaux d’audit à effectuer pour documenter les activités sous-jacentes aux objectifs de contrôle et pour identifier les mesures/procédures en place.
Interroger le management et les équipes concernés pour comprendre :
les exigences de gestion et les risques associés la structure de l’organisation
les rôles et responsabilités
les politiques et procédures
les lois et réglementations
les mesures de contrôle en place
les rapports de gestion (états, rapports de performance, listes d’actions).
Documenter les ressources informatiques particulièrement impactées par le processus sous revue. Valider la bonne compréhension du processus sous revue, les indicateurs clés de performance du processus, les implications en terme de contrôle, par ex. un processus qui y échappe.
ÉVALUER LES CONTRÔLES
Travaux d’audit à effectuer pour évaluer l’efficacité des dispositifs de contrôle en place ou le degré d’atteinte des objectifs de contrôle. Décider des tests à réaliser, de ce qu’il faut tester et comment.
Évaluer le caractère approprié des mesures de contrôle du processus sous revue par rapport à des critères identifiés et aux pratiques de la profession, les facteurs clés de succès des mesures de contrôle et l’expérience de l’auditeur.
le processus est documenté il y a des livrables adéquats
les responsabilités sont claires et effectives
il y a des contrôles compensatoires si nécessaire
Évaluer le degré d’atteinte de l’objectif.
ÉVALUER LA CONFORMITÉ
Travaux d’audit à effectuer pour s’assurer que les mesures de contrôle définies fonctionnent comme prévu, de façon cohérente et continue, et pour conclure sur l’adéquation de l’environnement de contrôle.
Prouver de façon directe ou indirecte sur une sélection d’éléments ou de périodes que les procédures ont été conformes sur la période révisée.
Effectuer une revue limitée de l’adéquation des livrables des processus.
Évaluer le niveau de tests détaillés et de travail additionnel nécessaire pour fournir l’assurance que le processus informatique est adéquat.
JUSTIFIER LE RISQUE
Travaux d’audit à effectuer pour évaluer le risque de ne pas atteindre l’objectif de contrôle à l’aide de techniques d’analyses ou en utilisant d’autres sources. L’objectif est d’étayer l’opinion et de ‘forcer’ le management à agir. Les auditeurs doivent être créatifs dans la recherche et la présentation de cette information souvent sensible et confidentielle
Documenter les faiblesses du contrôle, les menaces et les vulnérabilités qui en résultent.
Identifier et documenter l’impact actuel et potentiel (par ex. analyse cause-conséquence)
Fournir de l’information comparative (par ex. analyse comparative ou benchmark)
OBSERVATIONS SUR LE PROCESSUS DE CONTRÔLE
Les principes généraux de contrôle peuvent aussi suggérer des idées sur la façon d'apporter des compléments au Guide d'Audit. Ces principes sont avant tout centrés sur les responsabilités du contrôle et des processus, les standards de contrôle, et les flux d'informations de contrôle.
Le contrôle, du point de vue de management, c'est déterminer ce qui est en train de s'accomplir ; en d'autres termes, c'est évaluer la performance et si nécessaire appliquer des mesures correctives pour que la performance soit à la hauteur de ce qui est prévu dans le plan.
Le processus de contrôle est constitué de quatre étapes. On spécifie d'abord un standard de performance souhaitée pour un processus. Ensuite vient le moyen par lequel on voit ce qui se passe dans le processus : le processus fournit de l'information de contrôle à une unité de contrôle. En troisième lieu, l'unité de contrôle compare l'information au standard. Quatrièmement, si ce qui se passe vraiment n'est pas conforme au standard, l'unité de contrôle envoie l'action corrective à entreprendre sous forme d'information en retour au processus.
A partir de ce modèle, les observations de contrôle suivantes peuvent être pertinentes pour l'audit :
1. Pour que ce modèle fonctionne, la responsabilité du processus de gestion (des TI, dans le cas présent) doit être attribuée de façon claire et non ambiguë. Dans le cas contraire les informations ne circuleront pas et les actions correctives ne seront pas entreprises.
2. Les standards peuvent être d'une très grande variété, des plans les plus généraux aux Indicateurs Clés de Performances mesurables (ICP) et aux Facteurs Clés de Succès (FCS). Des standards clairement documentés, actualisés et communiqués sont une condition impérative pour un bon processus de contrôle. Une autre exigence pour un bon contrôle est une responsabilité de conservation des standards clairement établie.
3. Le processus de contrôle a les mêmes exigences : bien documenté sur sa manière de fonctionner, avec des responsabilités clairement établies. La définition claire de ce qui constitue une déviation est un aspect important : quand considère-t-on que le processus dévie ?
4. L'à propos, l'intégrité et la pertinence de l'information de contrôle, comme pour les autres informations, sont fondamentaux pour le bon fonctionnement du système de contrôle, et sont des éléments que l'auditeur doit aborder.
5. L'information de contrôle et celle relative aux actions correctives auront des exigences en matière de preuve pour établir la responsabilité a posteriori.
Les contrôles opèrent aussi à différents niveaux en ce qui concerne le cycle traditionnel Planifier-Faire-Vérifier-Corriger auquel le management est habitué. Ce modèle illustre :
la séquence logique planifier-faire-vérifier et corriger le plan si nécessaire comment cela se passe aux niveaux stratégique, tactique et opérationnel
plusieurs relations latérales et horizontales
le "faire" stratégique se traduit en plan tactique
le "faire" tactique se traduit en plan opérationnel
les activités "vérifier" et "faire" coopèrent en permanence et s'influencent mutuellement
l'activité "vérifier" au niveau opérationnel rapporte au "vérifier" du niveau supérieur tactique qui à son tour rapporte au vérifier stratégique.
Au moment d'évaluer les mécanismes de contrôle, les réviseurs doivent être conscients que les contrôles opèrent à ces niveaux différents et qu'ils sont étroitement inter-corrélés. L'orientation processus de COBIT fournit certaines indications sur différents processus de contrôle, niveaux et inter-relations, mais une mise en place en vraie grandeur, ou l'évaluation de systèmes de contrôle doivent prendre en compte cette dimension supplémentaire complexe.
EN DEUX MOTS
Pour résumer disons que le Guide d'Audit détaillé peut toujours être complété en tenant compte du Guide d’Audit Générique et du processus sous revue, donnant ainsi de nouveaux points d’audit pour répondre aux objectifs de l'audit. L’établissement du programme d'audit lui-même peut tirer avantage des Besoins du Processus d'Audit, du Cadre de Référence COBIT, des Objectifs de Contrôle Généraux, et des Considérations de Contrôle énoncées plus haut.
LIEN ENTRE OBJECTIFS DE CONTRÔLE ET GUIDE D'AUDIT
Les objectifs ont été conçus dans une orientation processus car le management attend des conseils proactifs sur la façon de garder les TI sous contrôle. Les Objectifs de Contrôle aident le management à établir des contrôles sur les processus, le Guide d'Audit aident l'auditeur ou l'évaluateur à fournir l'assurance que le processus est véritablement sous contrôle, de façon à ce que les besoins d'information nécessaire à la réalisation des objectifs de gestion soient satisfaits.
Le lien entre les deux est le processus, ce qui a conduit à élaborer un Guide d'Audit pour chaque processus et non pour chaque objectif de contrôle.
Par analogie avec le référentiel de contrôle représenté par le modèle en cascade, le Guide d'Audit peut être vu comme un retour d’information des processus de contrôle vers les objectifs de gestion. Les objectifs de contrôle sont le guide qui descend la cascade pour mettre les processus TI sous contrôle. Le Guide d'Audit est le guide qui remonte la cascade avec la question : "Peut-on fournir l’assurance que les objectifs de
gestion seront atteints ?" Parfois, le Guide d'Audit est une traduction directe des Objectifs de Contrôle ; plus fréquemment le guide cherche à démontrer que le processus est sous contrôle.
OPPORTUNITÉS ET CHALLENGES POUR LES TÂCHES D'ÉVALUATION
L'utilisation du Cadre de Référence, des Objectifs de Contrôle et du Guide d'Audit comme base des tâches d'audit/évaluation présente certains avantages bien déterminés :
permet d'établir les priorités des activités d'audit et des domaines audités, par l'utilisation des critères Primaire et Secondaire d'information
conduit à investiguer des domaines qui, sans un cadre de référence ou un modèle, auraient normalement échappé à l'examen
une mise en place et une séquence d'interviews plus logique peut être développée à mesure que les auditeurs progressent dans le processus
les investigations peuvent être mieux ciblées grâce aux indicateurs qui montrent quelle ressource est plus importante pour quel processus
comme standard pour définir les domaines auditables des TI, pour que le plan d'audit stratégique assure :
une couverture d'audit efficace
l'acquisition/construction des compétences nécessaires en audit en temps utile.
Cependant intégrer un cadre de référence et des objectifs dans le travail d'audit constitue aussi un défi :
le changement n'est jamais facile (attitude, ensemble d'outils, ensemble de compétences, etc.)
la nature détaillée en rend l'application pesante au début, en particulier au moment de vérifier que tous les objectifs de contrôle du domaine audité sont pris en compte et applicables
il y a d'inévitables répétitions dans le Guide d'Audit parce qu'il y a rarement une relation d'un à un entre l'objectif de contrôle et les mécanismes de contrôle, un mécanisme contribuant de différentes façons à plusieurs objectifs, et un objectif nécessitant plusieurs mécanismes pour se réaliser
oblige à un certain formalisme (par exemple, enregistrer les informations de contexte) qui peut sembler superflu.
ANALYSE DU RISQUE VUE COMME UNE APPROCHE ALTERNATIVE DE L'ÉVALUATION
Comparer coûts et risques est la question suivante à traiter, c'est à dire faire des choix conscients sur la nécessité de mettre en place chaque objectif de contrôle et comment le faire. L'approche par l’analyse du risque aide à faire ce choix, même si le principe d'anticipation reste valable ; les objectifs de contrôle doivent être appliqués d'abord pour satisfaire aux critères de contrôle de l'information (efficacité, efficience, confidentialité, disponibilité, intégrité, conformité et fiabilité). Il est évident qu'il est indispensable que le management utilise une forme ou une autre d'évaluation du risque dans l'entreprise pour définir les mesures à mettre en place (voir OC PO9). Les auditeurs feront eux aussi une certaine évaluation du risque en choisissant les domaines et les objectifs de contrôle de l’audit.
Voici une approche de l'analyse du risque dans les TI communément acceptée :
Le modèle part de l'estimation des actifs, qui dans le Cadre de Référence COBIT est constitué des informations qui satisfont aux critères requis pour aider la réalisation des objectifs de gestion (ces actifs incluent toutes les ressources nécessaires pour produire ces informations). L'étape suivante est l'analyse de vulnérabilité (1) qui examine l'importance des critères d'information dans le processus audité : si un processus de gestion est vulnérable du point de vue de l'intégrité, des mesures spécifiques doivent être prises. Ensuite on examine les menaces susceptibles d'exploiter une certaine vulnérabilité. La probabilité de la menace, le degré de vulnérabilité et la gravité des conséquences se combinent pour établir la conclusion sur l'évaluation des risques. Viennent ensuite une série de contre-mesures (contrôles) et une évaluation de leur efficacité, ce qui conduit aussi à identifier des risques résiduels. La conclusion est un plan d'action après lequel le cycle peut recommencer.
(1) Le résultat d'une analyse de vulnérabilité est l'identification des menaces susceptibles de se produire, et le résultat d'une analyse des menaces est l'identification des vulnérabilités pouvant favoriser ces menaces.
COMMENT L'UTILISER
Pour faciliter l'utilisation efficace des objectifs de contrôle qui sous-tendent les différents points de vue, des aides à la navigation sont fournies avec la présentation des objectifs de contrôle généraux. Pour chacune des trois facettes par laquelle on peut aborder le Cadre de Référence COBIT (les processus, les ressources et les critères d'information), une aide à la navigation est fournie.
Les domaines informatiques sont identifiés par cette icône située dans le COIN SUPÉRIEUR DROIT de chaque page du fascicule Objectifs de Contrôle ; le domaine consulté est en surbrillance et agrandi.
Le rappel des critères d'information sera affiché dans le COIN SUPÉRIEUR GAUCHE dans le fascicule Objectifs de Contrôle au moyen de cette mini-matrice qui identifiera le critère applicable à chacun des Objectifs de Contrôle généraux ainsi que son degré (primaire ou secondaire).
Une deuxième mini-matrice située dans le COIN INFÉRIEUR DROIT du fasciculeObjectifs de Contrôle identifie les ressources informatiques les mieux gérées par le processus envisagé (et non pas celles qui interviennent simplement dans le processus). Le processus " gérer les données ", par exemple, est axé tout particulièrement sur l'intégrité et la fiabilité de la ressource " données " tandis que la disponibilité et la confidentialité sont essentiellement fournies à travers les processus qui gèrent les ressources utilisant les données (par ex. les applications et la technologie).
Présentation du Guide de Management
SYNTHÈSE
Comment maîtriser les Technologies de l'Information (TI) pour qu'elles fournissent les données dont l'entreprise a besoin ? Comment gérer les risques liés à l'infrastructure dont nous sommes si dépendants, et comment sécuriser celle-ci ? Comme de nombreux problèmes liés au management, ces sujets éminemment stratégiques amènent les questions traditionnelles suivantes auxquelles nous allons répondre :
Quel est le problème ?
Quelle est la solution ? En quoi consiste-t-elle ? Est-ce que cela va fonctionner ? Comment vais-je procéder ?
Une approche pour répondre à ces questions a été proposée par le Cadre de référence de COBIT (Control Objectives for Information and related Technology). COBIT est un standard ouvert permettant de contrôler les TI, développé et promu par le IT Governance Institute. Le Cadre de référence identifie 34 processus informatiques, une approche globale du contrôle de ces processus, ainsi que 318 objectifs de contrôle détaillés et un guide d'audit permettant d'évaluer les 34 processus. Il propose un standard universellement applicable et reconnu permettant au management de déterminer et de gérer le niveau de contrôle et de sécurité informatique le mieux adapté à l'entreprise.
Le IT Governance Institute a approfondi ses recherches sur le sujet, en coopération avec des experts métiers, des analystes et des universitaires du monde entier. Ces travaux ont permis de définir le Guide de Management COBIT, composé de Modèles de Maturité, de Facteurs Clés de Succès (FCS), d'Indicateurs Clés d'Objectif (ICO) et d'Indicateurs Clés de Performance (ICP). Le résultat a été l'amélioration significative d'un référentiel qui répond aux besoins du management en matière de contrôle et de mesure des technologies de l'information, en lui fournissant des outils permettant d'évaluer et de quantifier son environnement informatique grâce aux 34 processus identifiés par COBIT.
Les nombreux changements intervenant dans les technologies de l'information et les réseaux augmentent la nécessité de mieux gérer les risques liés à ces technologies. Pour le fonctionnement des processus métiers critiques, l'information électronique et les systèmes informatiques représentent des facteurs essentiels. La bonne marche des affaires passe par une meilleure gestion des technologies complexes qui irriguent l'entreprise, afin de réagir rapidement et sûrement aux besoins professionnels. De plus, le contexte réglementaire exige des contrôles plus stricts de l'information. Ceci est motivé par la découverte de graves disfonctionnements dans les systèmes d'information et par une fraude électronique en augmentation. La gestion des risques liés aux TI est désormais considérée comme une fonction essentielle de la gouvernance d'entreprise.
Au sein de la gouvernance d'entreprise, la gouvernance des TI prend une importance sans cesse croissante pour la réalisation des objectifs, en produisant de la valeur ajoutée tout en établissant un équilibre entre les risques et les bénéfices de l'informatique et de ses processus. La gouvernance des TI participe pleinement au succès de la gouvernance d'entreprise, en assurant des améliorations quantifiables, efficaces et efficientes des processus qui s'y rapportent. Elle constitue la structure qui relie les processus, les ressources et les données informatiques aux stratégies et aux objectifs de l'entreprise. De plus, la gouvernance des TI intègre et institutionnalise les
bonnes pratiques (ou les meilleures) dans les domaines suivants : planification et organisation, acquisition et mise en place, distribution et support, surveillance ; elle garantit ainsi que le système d'information et ses technologies associées, exploités de manière optimale, servent les objectifs métiers de l'entreprise et lui permettent d'augmenter ses bénéfices en créant de nouvelles opportunités et en la dotant d'avantages concurrentiels.
Dans notre économie globale qui accorde une part de plus en plus importante à l'électronique, entraînant ainsi l'accroissement des interconnexions et de la dépendance vis-à-vis des TI, la gestion globale et la maîtrise du risque dépendent de pratiques de management spécifiques. Dans nos environnements complexes, les Directions sont continuellement à la recherche d'informations concises et à jour leur permettant de prendre rapidement les bonnes décisions, toujours difficiles, en matière de risque et de contrôle. Voici quelques questions courantes et le type d'outils de gestion qui servent à trouver des réponses :
Mais les tableaux de bord nécessitent des indicateurs, les tableaux de bord équilibrés des mesures et les tests comparatifs une échelle de comparaison. Fournir ces éléments au management a été un objectif primordial dans le développement du Guide de Management COBIT.
Toute entreprise a un besoin vital d'appréhender l'état de ses propres systèmes informatiques et de décider quel niveau de sécurité et de contrôle ils doivent assurer. Aucun des aspects de ce problème (appréhender le niveau de contrôle nécessaire et en décider) n'est évident. Obtenir une vue objective du niveau exact d'une entreprise n'est pas chose aisée. Que doit-on évaluer et comment ? Outre la nécessité d'évaluer le niveau où se trouve sa propre entreprise, il faut également tenir compte des progrès continus réalisés dans le domaine de la sécurité et du contrôle informatique et de la nécessité d'un outil pour suivre ce progrès. Déterminer le bon niveau est également une tâche difficile. On demande souvent à la direction des entreprises ou des organismes publics de prévoir les dépenses nécessaires pour améliorer le contrôle et la sécurité de l'infrastructure informatique. Peu de gens oseraient dire que ce n'est pas une bonne chose, et tous doivent de temps en temps se poser cette question :“Jusqu'où devons-nous aller, et le coût est-il justifié par le bénéfice ?”
La réponse est apportée par le Guide de Management COBIT dont la portée générale et le caractère dirigé vers l'action lui donnent vocation de répondre aux problèmes de management suivants :
Évaluation des performances - Quels sont les indicateurs de bonne performance ?
Définition du profil des contrôles informatiques - Quels sont les éléments importants ? Quels Facteurs Clés de Succès utiliser dans le domaine du contrôle ? Sensibilisation - Quels risques encourons-nous en n'atteignant pas nos objectifs ? Comparaison - Que font les autres ? Comment évaluer et comparer ?
Définir spécifiquement les éléments suivants va permettre de déterminer et de gérer un niveau de contrôle et de sécurité informatique approprié :
Tests Comparatifs des pratiques de contrôle informatique (sous forme de Modèles de maturité) Indicateurs de Performance des processus informatiques (résultats et performances) Facteurs Clés de Succès pour placer ces processus sous contrôle
Le Guide de Management s'inscrit dans la ligne des documents COBIT Cadre de Référence, Objectifs de Contrôle et Guide d'Audit, et s'en inspire. De plus, la focalisation sur la gestion des performances a été facilitée par l'utilisation des principes énoncés dans l'ouvrage Tableau de Bord Équilibré. (1)
Ces principes ont contribué à définir les Indicateurs Clés d'Objectif qui permettent d'identifier et de mesurer les résultats des processus, ainsi que les Indicateurs Clés de Performance qui évaluent la qualité de fonctionnement des processus en quantifiant leurs facteurs. Dans notre environnement dominé par les services d'information, l'Informatique est devenue le principal facteur des affaires. Par conséquent, la relation entre les objectifs professionnels quantifiés et l'informatique avec ses objectifs et ses mesures est très importante ; elle peut être décrite de la manière suivante :
Pour utiliser des termes simples, ces mesures aideront le management à gérer son organisation informatique en répondant aux questions suivantes :
1. Quelle est la préoccupation du management ? S'assurer que les besoins de l'entreprise sont satisfaits.
2. Où ceci est-il mesuré ? Sur le Tableau de Bord Équilibré, sous forme d'Indicateur Clé d'Objectif représentant un résultat du processus de l'activité.
3. Quel est la préoccupation de l'Informatique ? Que les processus informatiques fournissent à l'entreprise la bonne information au bon moment. Ceci représente un Facteur Clé de Succès pour l'entreprise.
4. Où ceci est-il mesuré ? Sur le Tableau de Bord Équilibré informatique, sous forme d'Indicateur Clé d'Objectif représentant le résultat de l'informatique qui consiste à délivrer l'information selon les bons critères (efficacité, efficience, confidentialité, intégrité, disponibilité, conformité et fiabilité).
5. Que doit-on mesurer d'autre ? Si le résultat est influencé positivement par un certain nombre de Facteurs Clés de Succès, ceux-ci doivent être mesurés comme Indicateurs Clés de Performance reflétant la qualité du travail de l'informatique.
" The Balanced Business Scorecard - Measurements that Drive Performance " , Robert S. Kaplan et David P. Norton, Harvard Business Review, Janvier-Février 1992 (Le Tableau de Bord Équilibré - Quantifier pour améliorer les performances)
MODÈLES DE MATURITÉ Servant à contrôler les processus informatiques, ils consistent à développer une méthode d'évaluation permettant à une entreprise de se classer elle-même sur une échelle graduée d'inexistant à optimisé (de 0 à 5). Cette approche est dérivée du Modèle défini par le Software Engineering Institute pour mesurer la maturité de la fonction de développement de logiciel (2). Selon ces niveaux, définis pour chacun des 34 processus informatiques du COBIT, le management fait apparaître :
L'état actuel de l'entreprise - où se situe l'entreprise aujourd'hui L'état actuel des meilleures pratiques du marché - comparaison L'état actuel des standards internationaux - comparaison supplémentaire La stratégie de l'entreprise en matière de progrès - où l'entreprise veut se situer
FACTEURS CLÉS DE SUCCÈS (FCS). Ils définissent les actions les plus importantes à entreprendre et les questions essentielles à soulever par le management pour contrôler les processus informatiques dans leur ensemble et dans le détail. Ils doivent constituer des guides de mise en œuvre orientés management et mettre en lumière les tâches les plus importantes à entreprendre dans les domaines stratégiques, techniques, organisationnels et procéduraux.
INDICATEURS CLÉS D'OBJECTIF (ICO). Ils définissent les mesures qui indiqueront (a posteriori) au management si un processus informatique a répondu aux besoins de l'entreprise. Ils sont généralement exprimés en termes de critères d'information :
Disponibilité des informations requises pour répondre aux besoins métiers Absence de risques en matière d'intégrité et de confidentialité Rentabilité des processus et des opérations Confirmation de la fiabilité, de l'efficacité et de la conformité
INDICATEURS CLÉS DE PERFORMANCE (ICP). Ils définissent des mesures déterminant la qualité de fonctionnement du processus informatique dans la réalisation des objectifs. Ils renseignent sur la probabilité d'atteindre un objectif. Ce sont de bons indicateurs d'aptitudes, de pratiques et de compétences.
Dans ce Guide de Management les Facteurs Clés de Succès, les Indicateurs Clés d'Objectif et les Indicateurs Clés de Performance sont présentés sous une forme concise et ciblée, complétant le guide de contrôle général proposé par le fascicule CobiT Cadre de Référence (voir Annexe II), où il est dit que l'informatique aide l'entreprise en lui fournissant les informations dont elle a besoin.2 “Capability Maturity Model SM for Software,” Version 1.1. Rapport technique CMU/SEI-93-TR-024, Software Engineering Institute, Carnegie Mellon University, Pittsburgh, PA, février 1993
En résumé, ce guide s'est fixé pour objectif de définir à l'intention du management des lignes de conduite à la fois générales et orientées vers l'action, pour maîtriser l'information de l'entreprise ainsi que les technologies et processus associés :
MODÈLES DE MATURITÉ pour les choix stratégiques et les tests comparatifs. FACTEURS CLÉS DE SUCCÈS (FCS) pour mettre ces processus sous contrôle. INDICATEURS CLÉS D'OBJECTIF (ICO) pour vérifier que les processus informatiques ont atteint leurs objectifs. INDICATEURS CLÉS DE PERFORMANCE (ICP) pour surveiller les performances au sein de chaque processus.
A une époque de croissance du commerce électronique et de dépendance vis-à-vis des technologies, les entreprises devront augmenter les niveaux de sécurité et de contrôle de façon patente. Chacune d'elles devra analyser ses propres performances et mesurer ses progrès. Comparer quantitativement et qualitativement ses progrès avec ceux de ses pairs et avec la stratégie de l'entreprise est une façon d'atteindre un niveau de contrôle et de sécurité informatique compétitif. Via ses modèles de maturité, ses facteurs clés et pratiques de succès et via ses suggestions en matière de performances à mesurer, le Guide de Management CobiT permet de répondre de façon pragmatique à l'éternelle question :“Quel est le bon niveau de contrôle à exercer sur mes technologies de l'information pour qu'elles contribuent à la réalisation des objectifs de mon entreprise ?”
CADRE DE RÉFÉRENCE
1. MODÈLES DE MATURITÉ
On demande souvent aux dirigeants d'entreprises ou d'organismes publics de considérer qu'il est de l'intérêt de leur entreprise de prévoir les dépenses en ressources
nécessaires pour contrôler l'infrastructure du système d'information. Peu de gens oseraient dire que ce n'est pas une bonne chose, et tous doivent se poser cette question :“Jusqu'où devons-nous aller, et le coût est-il justifié par le bénéfice ?”
Pour faciliter la réponse, d'autres questions étroitement liées sont souvent posées :“Quels sont les standards internationalement reconnus, et comment sommes-nous positionnés par rapport à eux ?”
“Que font les autres et comment sommes-nous positionnés par rapport à eux ?”
“Sur le marché, quelles pratiques sont-elles considérées comme les meilleures, et comment sommes-nous positionnés par rapport à elles ?”
“En se basant sur ces comparaisons externes, peut-on dire que nous prenons des précautions " raisonnables " pour préserver notre patrimoine informationnel ?”
Il a généralement été difficile de répondre correctement à ces questions, à cause de l'absence d'outils permettant d'effectuer les évaluations nécessaires.
Au besoin de connaître les actions efficaces à entreprendre et comment les mener, le management des TI répond par la recherche continuelle d'outils de tests comparatifs et d'auto-évaluation. A partir des processus de CobiT et d'objectifs de contrôle généraux, le propriétaire d'un processus devrait être en mesure de faire des essais comparatifs répétés vis-à-vis de cet objectif de contrôle. Ceci répond à trois besoins :
(1) une mesure relative de la situation actuelle de l'entreprise
(2) une manière efficace de désigner le but à atteindre
(3) un outil permettant de mesurer la progression vers l'objectif
Le Cadre de référence CobiT définit 34 processus informatiques (voir Annexe II). Pour chaque processus sont indiqués un objectif de contrôle global et de 3 à 30 objectifs de contrôle détaillés. Le propriétaire de processus devrait être en mesure de déterminer le niveau d'adhésion aux objectifs de contrôle, soit sous la forme d'une rapide auto-évaluation, soit en se référant à une revue indépendante. Le management pourra replacer n'importe laquelle de ces évaluations dans son contexte, en la comparant soit au marché et à l'environnement auquel elle appartient, soit à l'état d'évolution des normes et réglementations internationales (c.-à-d. normes et réglementations en préparation). Pour exploiter facilement ces résultats dans les réunions de Direction où ils seront présentés comme une aide à l'élaboration des plans futurs, il faut utiliser une méthode de présentation graphique.
L'approche consiste à utiliser les Modèles de Maturité pour contrôler les processus informatiques ; il s'agit de développer une méthode d'évaluation permettant à une entreprise de se situer elle-même sur une échelle graduée de 0 à 5 (d'Inexistant à Optimisé). Cette approche est basée sur le Modèle de Maturité développé par le Software Engineering Institute pour le développement de logiciels. Quel que soit le modèle, les échelles ne doivent pas être trop fines au risque de rendre le système difficile à utiliser en suggérant une précision impossible à justifier.
Au contraire, on doit se concentrer sur les niveaux de maturité basés sur un ensemble de conditions qui peuvent être remplies sans ambiguïté. Pour chacun des 34 processus informatiques du CobiT, en regard des niveaux atteints, le management peut faire apparaître :
L'état actuel de l'entreprise - où elle se situe aujourd'hui L'état actuel des meilleures pratiques du marché - comparaison L'état actuel des standards internationaux - autre comparaison La stratégie de l'entreprise en matière de progrès - où l'entreprise veut se situer
On a défini pour chacun des 34 processus informatiques une échelle de mesure graduée de 0 à 5. Chaque graduation correspond à une description qualitative générale provenant du Modèle de Maturité, d' "Inexistant" à "Optimisé", comme suit :
Modèle Général de Maturité0 Inexistant. Absence totale de processus identifiables. L'entreprise n'a même pas pris conscience qu'il s'agissait d'un problème à étudier.
1 Initialisé. Il est évident que l'entreprise a pris conscience de l'existence du problème et de la nécessité de l'étudier. Il n'existe toutefois aucun processus standardisé, mais des approches dans ce sens tendent à être appliquées individuellement ou au cas par cas. L'approche globale du management n'est pas organisée.
2 Reproductible. Des processus se sont développés jusqu'au stade où des personnes différentes exécutant la même tâche utilisent des procédures similaires. Il n'y a pas de formation formelle ou de communication des procédures standard, et la responsabilité est laissée à l'individu. On se repose beaucoup sur les connaissances individuelles, d'où une probabilité d'erreurs.
3 Défini. Des procédures ont été standardisées, documentées et communiquées via des séances de formation. Toutefois, leur utilisation est laissée à l'initiative de chacun, et il est probable que des déviations seront constatées. Concernant les procédures elles-mêmes, elles ne sont pas sophistiquées mais formalisent des pratiques existantes.
4 Géré. Il est possible de contrôler et de mesurer la conformité aux procédures et d'agir lorsque des processus semblent ne pas fonctionner correctement. Les processus
sont en constante amélioration et correspondent à une bonne pratique. L'automatisation et l'utilisation d'outils s'effectuent d'une manière limitée ou partielle.
5 Optimisé. Les processus ont atteint le niveau des meilleures pratiques, suite à une amélioration constante et à la comparaison avec d'autres entreprises (Modèles de Maturité). L'informatique est utilisée comme moyen intégré d'automatiser les flux de travaux, offrant des outils qui permettent d'améliorer la qualité et l'efficacité et de rendre l'entreprise rapidement adaptable.
CobiT est un cadre de référence général destiné au Management des TI ; ces échelles doivent par conséquent être d'application pratique et raisonnablement faciles à comprendre. Toutefois, les sujets touchant aux risques et aux contrôles appropriés dans les processus de management informatique sont par essence subjectifs et imprécis et ne nécessitent pas l'approche plus mécaniste qu'on trouve dans les Modèles de Maturité de l'ingénierie logicielle.
L'avantage d'une approche basée sur les Modèles de Maturité est qu'elle permet assez facilement au management de se situer lui-même sur l'échelle et d'apprécier les moyens à mettre en œuvre pour améliorer les performances. L'échelle commence par le degré zéro parce qu'il est très possible qu'il n'existe aucun processus. Elle est basée sur une échelle de maturité unique indiquant la manière dont évolue un processus, d'inexistant à optimisé. Dans la mesure où il s'agit de processus de management, l'augmentation de la maturité et des capacités est également synonyme d'augmentation de la gestion du risque et de l'efficacité.
Le Modèle de Maturité est un moyen de mesurer le niveau de développement des processus de management. Comme mentionné plus haut, ce niveau dépend des besoins professionnels. Les échelles représentent uniquement des exemples de pratiques pour un processus de gestion donné, montrant des schémas typiques pour chaque niveau de maturité. Les Critères d'Information contenus dans le Cadre de référence CobiT (voir Annexe II) aident à se concentrer sur les bons aspects du management en décrivant les pratiques réelles. Par exemple, la planification et l'organisation ciblent les objectifs de management que sont l'efficacité et l'efficience, tandis qu'assurer la sécurité des systèmes concerne la gestion de la confidentialité et de l'intégrité.
Les échelles des Modèles de Maturité aideront les professionnels à expliquer au management où se situent les points faibles du management des TI et à fixer des objectifs à atteindre, en comparant les pratiques de contrôle de leur entreprise aux exemples des meilleures pratiques. Le bon niveau de maturité dépendra des objectifs de l'entreprise et de l'environnement opérationnel. En particulier, le niveau de maturité du contrôle dépendra de la dépendance de l'entreprise envers les TI, de la sophistication des technologies et, avant tout, de la valeur de ses informations.
Un élément de référence stratégique pour une entreprise désireuse d'améliorer la sécurité et les contrôles pourrait également consister à considérer les standards internationaux naissants et les pratiques des "meilleurs de la classe". Les pratiques émergeantes d'aujourd'hui peuvent devenir le niveau attendu de performance de demain et, par conséquent, être utiles pour planifier les objectifs de positionnement d'une entreprise dans le temps.
Les Modèles de Maturité sont créés à partir du modèle qualitatif général (voir ci-dessus) auquel sont ajoutés progressivement, en fonction du niveau, des pratiques et des principes issus des domaines suivants :
Compréhension et sensibilisation aux risques et aux problèmes touchant les contrôles Formation et communication sur les problèmes Processus et pratiques mis en œuvre
Techniques et automatisation augmentant l'efficacité et l'efficience des processus Degré de conformité à la politique interne, aux lois et aux réglementations Type et importance des compétences spécialisées employées (expertise)
Le tableau suivant décrit l'application progressive des pratiques aux différents domaines en fonction du niveau. Conjointement au modèle qualitatif, il constitue un modèle de maturité générique applicable à la plupart des processus informatiques.
Compréhension et
sensibilisation
Formation et communica
tionProcessus
et pratiques
Techniques et automatisa
tion Conformité Expertise
1 Reconnaissance
Communication sporadique des problèmes
Approche des processus et pratiques au cas par cas
2 Sensibilisation
Communication sur le problème et les besoins dans leur globalité
Émergence d'un processus commun, similaire mais intuitif
Apparition d'outils communs
Suivi des problèmes isolés, mais sans esprit de suite
3Compréhension du besoin d'agir
Formation informelle à l'appui d'initiatives individuelles
Des pratiques sont définies, standardisées et documentées ; Début du partage des meilleures pratiques
Standardisation d'un ensemble d'outils ; utilisation et application des pratiques déjà disponibles
Suivi sans méthode ;émergence de mesures ; adoption occasionnelle de Tableaux de Bord ; analyse causale intuitive
Implication d'informati-ciens spéciali-sés dans les processus métiers
4
Compréhension complète des besoins
Formation formalisée à l'appui d'un programme formel
Le propriétaire du processus et les responsabilités sont définis. Le processus est solide et complet ; On applique les meilleures pratiques internes
Utilisation de techniques matures ; application d'outils standards ; utilisation tactique limitée des technologies
Utilisation des tableaux de bord dans certains domaines ; les anomalies sont signalées ; standardisation de l'analyse causale
Implication de tous les experts des domaines internes
5
Compréhension évoluée, dirigée vers l'avenir
Formation et communications à l'appui des meilleures pratiques externes et utilisant des concepts de pointe
On applique les meilleures pratiques externes
Déploiement de techniques sophistiquées ; utilisation intensive et optimisée des technologies
Application généralisée des Tableaux de Bord ; les anomalies sont signalées régulièrement et traitées ; appli-cation systéma-tique de l'ana-lyse causale
Utilisation d'experts externes et de leaders de l'activité comme conseillers
En résumé, les Modèles de Maturité :
Concernent les besoins fondamentaux de l'entreprise et les facteurs à tous les niveaux de maturité Représentent une échelle qui se prête aux comparaisons pragmatiques Représentent une échelle permettant de mesurer facilement les écarts Peuvent être reconnus comme étant un "profil" de l'entreprise en matière de gouvernance, sécurité et contrôle informatiques Facilitent le positionnement de la maturité "actuelle" et de la maturité "projetée" en matière de gouvernance, sécurité et contrôle informatiques
Permettent d'analyser les écarts en vue de déterminer les tâches à accomplir pour atteindre le niveau choisi Évitent, dans la mesure du possible, la discontinuité des niveaux, susceptible de créer des seuils difficiles à franchir Appliquent de plus en plus les facteurs clés de succès Ne sont pas spécifiques à une activité ni toujours applicables ; le type d'activité détermine le modèle à utiliser
2. FACTEURS CLÉS DE SUCCÈS
Les Facteurs Clés de Succès proposent au management des conseils pour la mise en œuvre d'un contrôle des Technologies de l'Information et de leurs processus. C'est la liste des choses les plus importantes à faire pour que ces derniers atteignent leurs objectifs. Ce sont des activités qui peuvent toucher à la stratégie, à la technique, à l'organisation, aux processus ou procédures. Ces facteurs s'appuient en général sur les compétences et les aptitudes, et doivent être brefs, ciblés, et tournés vers l'action ; ils mettent en œuvre les ressources essentielles pour le processus considéré.
On peut s'inspirer du modèle de contrôle standard ci-dessous. Il suit les principes que nous connaissons tous lorsque nous réglons le thermostat d'ambiance (standard) du système de chauffage (processus) : il vérifie en permanence (comparer) la température de la pièce (contrôler l'information) et déclenche éventuellement l'action de chauffer davantage (agir). Ce modèle et ses principes mettent en évidence un certain nombre de Facteurs Clés de Succès qui s'appliquent en général à tous les processus qui s'appuient sur les informations suivantes : quel est le standard, qui le définit, qui contrôle, qui en déclenche l'action, etc. ; ces facteurs sont :
Des processus définis et documentés Des politiques définies et documentées Des responsabilités clairement établies Un soutien/un engagement fort de l'encadrement Une communication appropriée, interne et externe Des pratiques de mesures cohérentes
Ces principes de contrôle sont nécessaires aux trois niveaux suivants : stratégique, tactique et administratif. Il y a en général à chaque niveau quatre types d'activités qui se suivent logiquement : planifier, faire, vérifier et corriger. Il faut utiliser les mécanismes de retour d'information et de contrôle en boucle entre les niveaux ; par exemple "faire" au niveau stratégique nourrit "planifier" au niveau tactique, ou "vérifier" au niveau tactique renforce "vérifier" au niveau administratif, etc.
Au moment de définir les facteurs clés de succès, on peut s'inspirer des objectifs et des directives du Cadre de Référence de Gouvernance des TI . La responsabilité de la gouvernance des TI appartient aux dirigeants et aux actionnaires. C'est un système de contrôle qui permet de s'assurer que les objectifs de l'entreprise seront atteints. Cela consiste en général à canaliser les efforts informatiques de l'entreprise après avoir mis en regard ses performances et quelques normes simples qui exigent que :
l'informatique soit calée sur les métiers de l'entreprise l'informatique apporte un plus à l'activité, et maximise ses résultats les ressources informatiques soient utilisées de façon responsable les risques liés à l'informatique soient gérés comme il convient
Le modèle de contrôle standard s'applique aux différents niveaux : les chefs d'équipes reçoivent des instructions de leurs chefs de services auxquels ils rendent compte ; les chefs de services rendent compte à la Direction Générale, qui elle-même rend compte au Conseil d'Administration. Les rapports montrant qu'une action a dévié de sa cible proposeront en général déjà des recommandations sur la nouvelle action à approuver.
L'illustration ci-dessous montre de façon conceptuelle l'interaction entre les objectifs et les activités informatiques du point de vue de la gouvernance des TI. On a voulu montrer ici les activités informatiques accompagnées des activités classiques de gestion : planifier, faire, vérifier et corriger. Depuis la parution du Cadre de Référence CobiT (voir Annexe II) la façon de représenter les Technologies de l'Information tend à leur substituer les quatre domaines de CobiT : Planification et Organisation, Acquisition et Mise en en place, Distribution et Support, Surveillance.
Gouvernance des TI
A partir du modèle de contrôle standard et du Cadre de Référence de Gouvernance des TI , on peut définir un ensemble de facteurs clés de succès qui s'appliquent à la plupart des processus informatiques :1. Facteurs clés de succès s'appliquant à l'ensemble des processus informatiques
Les processus informatiques sont définis de manière à se conformer à la stratégie du SI et aux objectifs de l'entreprise Les clients du processus et leurs attentes sont connus Les processus sont évolutifs et leurs ressources sont gérées et exploitées au mieux Le niveau des personnels impliqués est adapté (formation, habitude de communiquer, motivation, etc.) ainsi que la disponibilité des compétences (recrutement, embauche, formation complémentaire). La performance des processus informatiques est mesurée en termes financiers et en termes de satisfaction des clients : il s'agit de mesurer ce qu'ils apportent réellement, et ce qu'on peut en attendre dans l'avenir. Les responsables du SI sont récompensés en fonction des résultats de ces mesures. On constate un effort continu d'amélioration de la qualité.2. Facteurs clés de succès s'appliquant à la plupart des processus informatiques
Toutes les personnes concernées par les processus (utilisateurs, management etc.) sont conscientes des risques que font courir les technologies de l'information, mais aussi de leur importance et des opportunités qu'elles peuvent offrir ; elles s'impliquent personnellement fortement. Les buts et les objectifs sont connus dans tous les services, et compris de tous ; tous savent comment les processus travaillent à la réalisation des objectifs, comment les progrès sont suivis en permanence, et qui en est responsable. Les personnels se concentrent sur les objectifs, et ont les bonnes informations sur les clients, sur les processus internes, et sur les conséquences de leurs décisions. Il existe une culture d'entreprise qui encourage la coopération inter-services, le travail d'équipe, et l'amélioration permanente des processus. Les processus les plus importants comme la gestion des changements, des problèmes, des configurations sont intégrés et corrélés. Des contrôles réguliers sont mis en œuvre pour optimiser l'utilisation des ressources et améliorer l'efficacité des processus.3. Facteurs clés de succès s'appliquant à la gouvernance des technologies de l'information
Des contrôles sont pratiqués pour améliorer la transparence, le savoir, réduire la complexité, apporter souplesse et évolutivité, et éviter les failles de contrôle interne, ainsi que les oublis. Une vigilance saine est mise en œuvre : suivi de l'environnement humain et de la culture d'entreprise, code de conduite, évaluation des risques comme pratique standard, auto-évaluation, adhésion sans faille aux normes établies, surveillance et suivi des insuffisances de contrôles ainsi que des risques. La gouvernance des TI est reconnue et définie, et ses activités sont intégrées dans le processus de gouvernance d'entreprise, procurant une vision claire de la stratégie des TI, un cadre de gestion des risques, un système de contrôles, et une politique de sécurité. La gouvernance des TI apporte une attention particulière aux projets majeurs, aux initiatives nouvelles et aux efforts de qualité ; elle connaît les principaux processus informatiques, et est consciente des responsabilités, des ressources et des aptitudes requises. Un comité d'audit est établi pour engager un auditeur indépendant et pour suivre son travail, pour conduire le plan d'audit, et pour prendre connaissance des résultats d'audits et des points de vues de tiers.
En résumé les facteurs clés de succès sont :
Des facteurs centrés sur les processus, ou apportant un appui à l'environnement Des choses, des conditions nécessaires, ou une activité recommandée, pour un succès optimum Les choses les plus importantes à faire pour augmenter la probabilité de succès du processus Les caractéristiques observables - habituellement quantifiables - de l'organisation et du processus Par nature stratégiques, techniques, organisationnels ou procéduraux Centrés sur l'obtention, le maintien et la mobilisation des capacités et des aptitudes Exprimés en termes de processus, et pas nécessairement en termes de métier de l'entreprise
3. INDICATEURS CLÉS D'OBJECTIF
Un Indicateur Clé d'Objectif (ICO), représente l'objectif du processus, et est la mesure de " ce qui " doit être accompli. Cet indicateur, mesure la progression du processus, et est souvent défini comme le but à atteindre.
Par comparaison, un Indicateur Clé de Performance, dont nous parlerons dans la section suivante, est la mesure de la " qualité " de la progression du processus. Le Tableau de Bord Équilibré ci-dessous illustre cette relation : elle tend à montrer la mesure du résultat (ICO) selon l'objectif, et la mesure de la performance (ICP) selon les facteurs qui permettront d'atteindre l'objectif. Dans ce contexte il faut se souvenir que les Technologies de l'Information constituent des facteurs majeurs de l'entreprise.
Les TI, constituant l'un des facteurs majeurs de l'entreprise, auront leur propre tableau de bord. En tant que facteurs, leurs mesures seront des indicateurs de performance mettant en lumière la contribution à l'atteinte des objectifs de l'entreprise. Il faut aussi remarquer que les mesures de performance de l'activité deviennent des mesures d'objectifs pour l'informatique, c'est-à-dire que les tableaux de bord équilibrés de l'activité se déclinent en paliers successifs (Voir Annexe III).
Mais comment les objectifs de l'entreprise et des Technologies de l'Information et leur mesure sont-ils liés ? Le Cadre de Référence COBITexprime les objectifs des TI en termes de critères d'information nécessaires à l'entreprise pour atteindre ses objectifs, ce qui s'exprime habituellement en termes de :
Disponibilité des systèmes et des services Absence de risques liés à la confidentialité et à l'intégrité Rentabilité des processus et des opérations Confirmation de la fiabilité, de l'efficacité et de la conformité.
Dans cette optique l'objectif des TI peut alors s'exprimer ainsi : fournir l'information dont l'organisation a besoin pour répondre à ces critères. Ces critères d'information sont fournis dans le Guide de Management avec une indication de leur importance (primaire ou secondaire) vis-à-vis du processus considéré. En pratique le Profil des Critères d'Information d'une entreprise s'adaptera à sa spécificité.
"Profil" des Critères d'Information
Le degré d'importance de chacun des critères d'information ci-dessus est fonction de l'entreprise et de l'environnement dans lequel elle travaille. Le graphique ci-dessus n'est qu'un exemple. Chaque entreprise ou organisme devra décider de l'importance de tel ou tel critère d'information. Tel qu'il est, le graphique exprime aussi le degré de risque auquel s'expose l'entreprise. Il faut cependant noter que l'importance des critères d'information peut aussi changer pour chacun des processus, chacun pouvant avoir ses propres objectifs. Néanmoins le but des TI est de fournir l'information dont l'entreprise a besoin pour atteindre ses objectifs, en fonction du profil des critères d'information.
L'importance relative des critères d'information implique éventuellement de les sélectionner dans les listes des meilleures pratiques proposées par COBIT : voir les Considérations dans le Cadre de Référence (voir Annexe II) ; Objectifs de Contrôle ; ou même les Facteurs Clés de Succès que nous venons d'évoquer dans ce manuel.
Pour mieux comprendre les Indicateurs d'Objectif et les Indicateurs de Performance nous avons aussi pris en compte les quatre dimensions du Tableau de Bord Équilibré :
Gestion financière : Comment les actionnaires nous voient-ils ? (c.-à-d. résultat produit par rapport au budget) Clients : Comment les clients nous voient-ils ? (par ex. satisfaction du client, livraison dans les délais, qualité perçue du service) Processus interne : Comment nous considérons-nous nous-mêmes ? (c.-à-d. orientation et qualité du processus)
Connaissance/Innovation : Avons-nous la capacité de continuer à améliorer nos produits/services, et à créer de la valeur ? (c.-à-d. niveau de connaissance des salariés et infrastructure technique)
Les Indicateurs Clés d'Objectif pour l'informatique sont orientés activités et fournissent en général les chiffres dont l'entreprise a besoin pour alimenter les dimensions Gestion Financière et Client du Tableau de Bord Équilibré, ce qu'on voit dans le schéma ci-dessous. Les Indicateurs Clés de Performance, comme nous le verrons dans la section suivante, se concentrent sur les deux autres dimensions du Tableau de Bord : les processus internes et l'innovation. Les résultats financiers et la satisfaction clients sont typiquement des mesures faites a posteriori, lorsque l'entreprise a réalisé ses objectifs. En revanche, l'excellence du processus et la capacité à apprendre et à innover sont des indicateurs qui montrent la qualité des processus en cours : ils donnent une indication sur la probabilité de réussir a priori.
Les Indicateurs Clés d'Objectif sont des indicateurs a posteriori, puisqu'on ne peut les mesurer qu'après le résultat, alors que les Indicateurs Clés de Performance sont des indicateurs a priori qui donnent des indications sur la réussite avant que le résultat soit connu. On peut aussi les définir négativement, c'est-à-dire en terme de conséquence si l'objectif n'est pas atteint. La section Justifier le Risque du Guide d'Audit deCOBIT donne pour chacun des 34 processus informatiques des exemples de ce qui peut mal fonctionner si le processus n'est pas contrôlé comme il faut.
Les Indicateurs Clés d'Objectif ne doivent pas être vagues, mais quantifiables, en valeur ou en pourcentage. Ces mesures doivent montrer que l'informatique contribue à la mission et à la stratégie de l'entreprise. Du fait que les buts et les objectifs sont spécifiques à l'entreprise et à son environnement, un sens (accroissement ou diminution) est attribué à de nombreux Objectifs Clés. Exemple : disponibilité accrue, coût en baisse. En pratique le management devra préciser les buts visés, en tenant compte des performances passées et des objectifs futurs.
Pour illustrer les points précédents voici une liste de base d'Indicateurs Clés d'Objectif applicables en général à tous les processus informatiques :
Atteindre le niveau prévu de retours sur investissements ou de bénéfices pour l'entreprise Meilleure gestion des performances Réduction des risques liés à l'informatique Amélioration de la productivité Systèmes d'approvisionnement intégrés Processus standardisés
Forte hausse de la fourniture (vente) de services Conquête de nouveaux clients, et satisfaction des clients actuels (clients = destinataires des processus) Création de nouveaux canaux de fourniture de services Bande passante satisfaisante, puissance informatique et mécanismes de mise à disposition des technologies de l'information adaptés à l'activité de l'entreprise, à ses pics et à ses creux Attentes et exigences des clients du processus satisfaites dans les délais et dans les limites budgétaires Nombre de clients, et coût par client servi Application des standards du marché
En résumé les Indicateurs Clés d'Objectif sont :
Une manière de représenter le but du processus, c.-à-d. un chiffre ou une cible à atteindre La description du résultat du processus, donc des indicateurs a posteriori, c.-à-d. chiffrables une fois le processus terminé Des indicateurs immédiats de la réussite du processus ou des indicateurs indirects des bénéfices qu'il apporte à l'entreprise Éventuellement une mesure chiffrée des conséquences de non atteinte des objectifs du processus Focalisés sur les dimensions Client et Gestion Financière du Tableau de Bord Équilibré Orientés vers l'informatique, mais centrés sur l 'activité de l'entreprise Exprimés en termes précis et chiffrés, chaque fois que possible Centrés sur les critères d'information qui ont été identifiés comme les plus importants pour ce processus.
4. INDICATEURS CLÉS DE PERFORMANCE
Les Indicateurs Clés de Performance (ICP) sont des mesures qui permettent au management de savoir qu'un processus informatique est en train d'atteindre les buts fixés, grâce à la surveillance de la performance des facteurs de ce processus. Construite sur les principes du Tableau de Bord Équilibré, la relation entre les Indicateurs Clés de Performance et les Indicateurs Clés d'Objectif est la suivante :
Les Indicateurs Clés de Performance font ressortir la performance des facteurs inducteurs des processus des TI, montrant comment le processus a contribué
positivement à atteindre l'objectif. Ils sont courts, ciblés, et quantifiables. Alors que les Indicateurs Clés d'Objectif s'intéressent à "quoi", les Indicateurs Clés de Performance s'intéressent à "comment". Ils sont souvent la mesure d'un Facteur Clé de Succès, et, lorsqu'ils sont suivis de près et qu'on agit en conséquence, ils permettent d'identifier les opportunités d'amélioration du processus. Ces améliorations doivent influer positivement sur le résultat, et, en tant que tels, les Indicateurs Clés de Performance ont une relation de cause à effet avec les Indicateurs Clés d'Objectif du processus.
Dans certains cas on peut imaginer que des Indicateurs Clés de Performance s'expriment par une mesure composite, comme cela peut arriver parfois pour les Indicateurs Clés d'Objectif. On peut par exemple imaginer d'exprimer par un seul chiffre le bon fonctionnement du service informatique ; ce chiffre exprimerait à la fois l'implication des employés du service dans le projet d'entreprise, leur motivation, et leur satisfaction au travail. Un autre exemple pourrait être un chiffre qui constituerait l'indice de qualité d'un plan, et serait le reflet à la fois de son opportunité, de son caractère abouti et de son approche structurée.
Alors que les Indicateurs Clés d'Objectif sont orientés activité, les Indicateurs Clés de Performance sont orientés processus, et montrent souvent comment les processus et l'entreprise mobilisent et gèrent au mieux les ressources nécessaires. Comme les Indicateurs Clés d'Objectif ils sont souvent exprimés par un nombre ou par un pourcentage. Un test très révélateur pour un Indicateur Clé de Performance est de vérifier s'il prévoit bien le succès ou l'échec d'un processus, et s'il apporte quelque chose ou non aux responsables pour l'amélioration du processus.
Voici une liste de base d'Indicateurs Clés de Performance applicables en général à tous les processus informatiques :1. ICP s'appliquant à l'ensemble des processus informatiques
Gain de temps : meilleure réactivité de l'informatique en production et en développement Amélioration de la qualité ; plus d'innovation Utilisation optimale de la bande passante et de la puissance machine Disponibilité des services, et temps de réponse Satisfaction de personnes concernées (sondage, nombre de plaintes) Nombre d'employés formés aux nouvelles technologies, et compétences au service des clients2. ICP s'appliquant à la plupart des processus informatiques
Meilleure rentabilité du processus : rapport coûts/livrables Productivité du personnel (nombre de livrables), et motivation (sondage) Nombre d'erreurs et de travaux à refaire3. ICP s'appliquant à l'administration des processus informatiques
Tests comparatifs Nombre de rapports pour non-conformité
En résumé les Indicateurs Clés de Performance :
Sont la mesure de la qualité de fonctionnement d'un processus Expriment la probabilité de succès ou d'échec, donc sont des Indicateurs a priori Sont orientés processus, mais mis en œuvre par l'informatique Se concentrent sur les dimensions processus et capacité d'information du Tableau de Bord Équilibré S'expriment en termes mesurables avec précision Aident à l'amélioration des processus informatiques lorsqu'on les mesure et qu'on agit en conséquence
S'intéressent en priorité aux ressources identifiées comme les plus importantes pour le processus
5. CONCLUSION
Pour mettre les technologies de l'information sous contrôle et faire en sorte qu'elles soient alignées avec l'activité en lui fournissant les informations dont elle a besoin, le Guide de Management propose différents outils de gestion. On peut exprimer le rapport qui existe entre les Facteurs Clés de Succès, le Modèle de Maturité, les Indicateurs Clés de Performance, et les Indicateurs Clés d'Objectif de la manière suivante :
"Les FCS sont ce que vous avez de plus important à faire, en fonction des choix faits dans le Modèle de Maturité, tout en surveillant grâce aux ICP si vous avez des chances d'atteindre les objectifs fixés par les ICO."
Il faut cependant mettre l'accent sur le fait que les principes énoncés dans ce guide restent généraux, applicables globalement, et qu'ils ne fournissent pas des outils spécifiques à chaque type d'activité. Les utilisateurs devront souvent les adapter à leur propre environnement professionnel.
En partant du Cadre de Référence de COBIT, l'application de normes et de principes internationaux, ainsi que la recherche des meilleures pratiques ont conduit à la rédaction des Objectifs de Contrôle. Le Guide d'Audit a pour objet de vérifier si les Objectifs de Contrôle ont été mis en œuvre de façon adéquate. Cependant le management a besoin d'un outil comme le Cadre de Référence pour s'auto-évaluer, et faire des choix sur la mise en place des contrôles, l'amélioration de son information et des technologies utilisées.
C'est le but principal de ce Guide de Management, rédigé grâce à l'aide d'experts du monde entier en gouvernance des TI, gestion des performances, et sécurité et contrôle de l'information. Il propose un ensemble d'outils destinés à aider le management à répondre à la question suivante :
"Quel est le bon niveau de contrôle sur mon informatique de manière à ce qu'elle aide mon entreprise à réaliser ses objectifs ?"
PLANIFICATION ET ORGANISATION
PO 1 Définir un plan informatique stratégique
PO 2 Définir l'architecture de l'information
PO 3 Déterminer l'orientation technologique
PO 4 Définir l'organisation et les relations de travail
PO 5 Gérer l'investissement informatique
PO 6 Faire connaître les buts et orientations du management
PO 7 Gérer les ressources humaines
PO 8 Se conformer aux exigences externes
PO 9 Évaluer les risques
PO 10 Gérer les projets
PO 11 Gérer la qualité
ACQUISITION ET MISE EN PLACE
AMP 1 Trouver des solutions informatiques
AMP 2 Acquérir des applications et en assurer la
DISTRIBUTION ET SUPPORT
DS 1 Définir et gérer des niveaux de services
DS 2 Gérer des services tiers
DS 3 Gérer la performance et la capacité
DS 4 Assurer un service continu
DS 5 Assurer la sécurité des systèmes
DS 6 Identifier et imputer les coûts
DS 7 Instruire et former les utilisateurs
DS 8 Assister et conseiller les clients
DS 9 Gérer la configuration
DS 10 Gérer les problèmes et les incidents
DS 11 Gérer les données
DS 12 Gérer les installations
DS 13 Gérer l'exploitation
SURVEILLANCE
S 1 Surveiller les processus
maintenance
AMP 3 Acquérir une infrastructure technologique et en assurer la maintenance
AMP 4 Développer les procédures et en assurer la maintenance
AMP 5 Installer des systèmes et les valider
AMP 6 Gérer les changements
S 2 Évaluer l'adéquation du contrôle interne
S 3 Acquérir une assurance indépendante
S 4 Disposer d'un audit indépendant
Les pages suivantes proposent des principes directeurs détaillés pour chacun des 34 processus COBIT, et on trouvera un guide de lecture à l'Annexe I.
COMMENT L'UTILISER
1. LE GUIDE DE MANAGEMENT
Sur la page de gauche ce guide propose un certain nombre d'éléments pour chacun des 34 processus COBIT :
Nom du processus Énoncé de l'objectif
Énoncé des conditions qui favorisent le processus : comment le mettre sous contrôle pour qu'il réponde à son objectif
Liste des ressources informatiques ; celles qui sont directement concernées par le processus sont cochées
Critères d'information avec une indication de leur importance : P : importance primaire, S : secondaire, rien : moindre importance sans être pour autant négligeable
Facteurs Clés de Succès
Indicateurs Clés d'Objectif
Indicateurs Clés de Performance
Ces éléments sont structurés comme on le voit dans le graphique ci-dessous. La relation est basée sur le principe du Tableau de Bord Équilibré : on relie les objectifs et la mesure de leur résultat (ICO) avec les facteurs et la mesure de leur performance (ICP). Les Facteurs Clés de Succès, grâce à l'utilisation de ressources spécifiques, rendent les facteurs plus spécifiques et plus concrets.
De plus on peut trouver de l'aide dans le Guide de Management d'un Processus Générique (voir Annexe IV) et dans le Guide de Gouvernance des TI (voir Annexe V). Ces deux guides donneront une rapide indication des exigences générales à respecter pour qu'un processus informatique reste gérable.
Il faut enfin noter que ce guide ne propose pas d'appliquer systématiquement toutes les pratiques mentionnées dans les FCS et les ICP pour tous les processus. Il faut en faire une sélection appropriée. Les modèles de maturité (voir la section suivante de cette Annexe) proposés avec le guide de chaque processus peuvent aider à faire cette sélection. Cependant dans les entreprises qui ont des exigences de fiabilité élevées pour l'informatique et dont la survie dépend de la disponibilité de l'information, l'application de presque toutes les règles de gestion proposées constituerait un bonne pratique, aux niveaux 3 ou 4 de maturité.
2. LE MODÈLE DE MATURITÉ
Un Modèle de Maturité spécifique est proposé sur la page de droite du Guide de Management pour chacun des 34 processus COBIT. Cet outil peut servir de base méthodologique pour :
Faire une auto-évaluation de l'entreprise en la positionnant sur l'échelle Utiliser les résultats de l'auto-évaluation pour fixer les objectifs du développent futur,
en fonction du niveau que vise l'entreprise sur l'échelle, et qui n'est pas nécessairement le niveau 5
lanifier des projets d'atteinte d'objectifs, en s'appuyant sur l'analyse de l'écart entre ces objectifs et la situation présente
Établir la priorité de projets en fonction de leur classement et des avantages qu'ils présentent par rapport à leurs coûts.
2.1 Auto-évaluation et fixation des objectifs
Pour chaque question à évaluer l'entreprise devrait utiliser les 6 degrés de l'échelle de 0 à 5 pour estimer sa position. On peut alors faire une comparaison graphique facile avec les trois points de référence : performance visée, standards internationaux et meilleures pratiques.
Une entreprise qui fait une auto-évaluation n'a besoin que de considérer chaque question à évaluer l'une après l'autre, en lisant les caractéristiques des six échelons et en évaluant lequel de ces échelons correspond le mieux à la situation en cours. Plus le processus est important pour l'entreprise, plus le niveau sur l'échelle devrait être élevé. Par exemple, dans un environnement commercial relativement stable, le niveau de maturité progressif des 13 processus informatiques du domaine Distribution et Support est ce qui différencie une entreprise performante des autres. En revanche, dans un environnement commercial très dynamique, le succès de l'entreprise, sinon sa survie, dépend fortement de la maturité des domaines Planification et Organisation et Acquisition et Mise en Place.
Chaque point de comparaison dépend strictement du précédent, et toutes les conditions mentionnées doivent être remplies pour autoriser le classement à un niveau. Il faut aussi noter qu'il y a une différence entre mesurer la capacité, et mesurer la performance. Par exemple, l'acquisition de capacités et de compétences pour certaines pratiques de sécurité et de contrôle est une décision qu'il faut prendre et dont il faut surveiller l'exécution, tandis que la mise en œuvre continue de la capacité, à partir du moment où on en dispose, doit en plus être mesurée.
L'entreprise a aussi besoin de savoir lequel des six niveaux correspond le mieux à sa stratégie informatique, en tenant particulièrement compte du degré de dépendance des informations et de leur valeur pour satisfaire ses exigences métiers. Des tests comparatifs externes peuvent être très utiles pour se forger une opinion sur le niveau réaliste de sécurité et de contrôle dont l'entreprise a besoin en fonction de son environnement et de ses objectifs stratégiques.
2.2 Analyse de l'écart
Dans beaucoup de cas les deux évaluations (où l'on est et où l'on veut aller) seront séparées par un écart sur le graphique dont la dimension permet de visualiser la tâche qui reste à accomplir pour atteindre l'objectif stratégique. Il faut cependant décrire cet
écart plus en détail pour faciliter l'utilisation de son analyse, et pour planifier un ensemble de projets qui permettront à l'entreprise d'atteindre ses objectifs stratégiques en matière de sécurité et de contrôle des technologies.
Le processus d'analyse d'écarts établira la liste de toutes les actions à entreprendre pour annuler les écarts entre "situation actuelle" et "objectif stratégique". A cette liste il convient de faire correspondre une liste des projets destinés à mener ces actions à bien. Les correspondances entre les écarts et les projets seront sans doute du type "plusieurs à plusieurs" comme on le voit sur le diagramme ci-dessous.
2.3 Classement des projets
Pour la facilité de la planification et de la communication on peut classer les projets selon les types suivants : initiatives Stratégiques, projets Tactiques, améliorations de l'Organisation ou développement de Procédures. On accompagne alors chaque projet d'une séquence unique de codes comme S1, T3, O2, P5 … comme on le voit ci-dessous.
2.4 Attribution de priorités aux projets
L'objectif est de déterminer quels sont les projets qui peuvent devenir vite rentables. Ce sont en général les projets pour lesquels l'écart est faible, pour lesquels le coût de la réduction de l'écart est faible, dont le risque d'échec est peu important, et dont l'impact sur les bénéfices de l'entreprise sera le plus élevé.
Il faut donc évaluer les projets en fonction de leur impact et du rapport coût/risque sur une échelle de 0 à 10 pour chacune de ces variables. On peut représenter les projets sur un graphique qui devient un outil de décision pour le management, en faisant apparaître leurs impacts et leurs rapports coût/risques respectifs. Les projets ayant à la fois un impact élevé et un rapport coût/risque faible sont de bons candidats pour une rentabilité rapide.
