25
II. Stratégie d'audit des projets
informatiques
II.1. Référentiels et recueils de bonnes
pratiques
Afin d'aborder les différentes problématiques
des projets informatiques, il existe une multitude de savoir-faire : des
normes, des référentiels, des méthodes, des guides de
bonne pratique, des corpus de connaissance, des livres blancs...
Pour mener définir la stratégie
générique d'audit de projet informatique, nous allons analyser
trois savoir-faire :
· CobiT (Control Objectives for Information and related
Technology) pour identifier et gérer les risques et
bénéfices des systèmes d'informations ;
· CMMI (Capability Maturity Model Integration) pour le
développement de logiciels ;
· PMBOK (Project Management Body of Knowledge) pour la
gestion de projets.
II.1.1. Control Objectives for Information and related
Technology (CobiT)
II.1.1.1. Présentation du CobiT
CobiT est mis au point en 1998 par l'ISACA (Information
System Audit & Control Association) et édité par l'ITGI (IT
Governance Institute). CobiT est un référentiel qui
établit les bonnes pratiques de contrôle interne liées
à la maîtrise de l'information et des systèmes
d'information
CobiT en version 4.1 paru en 2007, se compose de 4 publications
:
· Executive summary : vue d'ensemble de la
méthodologie CobiT. Cette synthèse présente les domaines,
les objectifs de contrôles généraux (appelés
processus) et le cadre de référence ;
· Framework : cadre de référence
explicatif de la méthode, des domaines et des processus. Il se compose
de 4 domaines, 34 processus et 210 objectifs de contrôle
détaillés ;
· Control objectives : 210 objectifs de
contrôle directement orientés vers le management et les
équipes en charge du système d'information des services
informatiques ;
·
26
« Management Guidelines » : le guide du
management dispose d'un modèle de maturité pour évaluer,
sur une échelle de cinq degrés, le niveau de maîtrise de
chacun des processus de l'organisation.
CobiT a vocation d'être utilisé par :
· la direction pour laquelle il aide à peser les
risques et contrôler les investissements dans un environnement
informatique souvent difficile à prévoir. CobiT constitue un
moyen d'aide à la décision ;
· les utilisateurs pour lesquels il permet d'obtenir des
garanties concernant la sécurité et les contrôles des
services informatiques fournies en interne ou par des tiers ;
· les auditeurs pour lesquels il permet de justifier
leur opinion et d'appuyer leurs recommandations.
En effet, CobiT leur offre :
· le moyen d'évaluer les 34 processus des
Technologies de l'Information (TI) par rapport aux meilleures pratiques du
marché. À chaque processus on associe un modèle de
maturité permettant de déterminer le niveau sur une
échelle de 0 (inexistant) à 5 (optimisé). À chaque
niveau on associe des facteurs clés de succès correspondant aux
actions à prendre afin de s'améliorer ;
· des indicateurs clés afin de mettre en oeuvre
de tableaux de bord pertinents. Il existe au sein de CobiT deux
catégories d'indicateurs :
§ les indicateurs clés de succès (Key Goal
Indicators) pour vérifier que les objectifs sont atteints. Ces
indicateurs sont à utiliser par les dirigeants des TI ;
§ les indicateurs clés de performance (Key
Performance Indicators) pour le suivi de la qualité des
opérations. Ces indicateurs sont à surveiller par les
équipes opérationnelles.
27
| 
