Après COBIT et Val IT, l’ISACA s’intéresse aux risques et publie Risk IT

L'ISACA (Information Systems Audit and Control Association), l'association qui gère la certification CISA (Certified Information Systems Auditor), publie Risk IT dans une démarche visant à aider les entreprises à « équilibrer création de valeur et risques ».  Basé sur Cobit (Control Objectives for Information and related Technology - Contrôle de l'Information et des Technologies Associées), ce premier cadre de référence de la maîtrise des risques informatiques est destiné à offrir une vue détaillée des risques d'entreprise associés à l'informatique et à ses évolutions.

Risk IT s'appuie sur Cobit, le cadre de référence de la gouvernance informatique reconnu mondialement, et fournit le chaînon manquant entre la gestion des risques au niveau de l'entreprise et la gestion et le contrôle des risques informatiques.  Rappelons que  CobiT a été  publié par l'ISACA en 1996. En France, l'ISACA est représenté en France depuis 1982 par l'AFAI (Association Française de l'Audit et du Conseil Informatiques). CobiT a évolué, la version 4 est apparue en France en 2006.

En 2006, L'ISACA avait également lancé l'initiative Val IT dont l'objectif est d'aider les directions d'entreprise à s'assurer qu'elles tirent tout le potentiel de leurs investissements informatiques. Val IT n'est pas une démarche concurrente à Cobit, mais plutôt complémentaire. Val IT se concentre sur les investissements - il répond aux questions : avez-nous fait les bons choix ? Retirons-nous en tous les bénéfices ? - alors que Cobit met l'accent sur l'exécution.

Prise en compte des risques IT

Les entreprises créent de la valeur en prenant des risques ; toutefois, elles essaient souvent d'éliminer les risques au détriment de bénéfices potentiels. Risk IT est conçu afin de permettre aux organisations de profiter des opportunités technologiques en gérant les risques associés au mieux, plutôt que d'essayer de les éliminer purement et simplement.

Le cadre de référence de Risk IT et la documentation associée est le résultat de milliers d'heures de travail d'une équipe d'experts aussi bien du domaine informatique que des métiers. 

 « Risk IT permet d'économiser du temps, des coûts et de l'énergie, en fournissant une méthodologie claire pour identifier les risques métiers liés à l'informatique, comme la fourniture tardive des services attendus, la non-conformité aux règles ou règlementations, le non-alignement stratégique, l'architecture informatique vieillissante ou dépassée, les problèmes de qualité de service » commente Urs Fischer, l'un des contributeurs de Risk IT en marge de la publication de Risk IT. « Risk IT fournit des éléments précis pour aider les dirigeants et le management des organisations à poser les questions clés, prendre des décisions adaptées au niveau des risques encourus, et guider leurs organisations afin que le risque soit géré de façon plus efficace. »

Risk IT entend fournir une vue unique mais complète des risques métier liés à l'informatique, risques qui peuvent, on l'a vu, coûter des millions aux organisations, par perte de revenus ou opportunités non saisies. Avec Risk IT, l'ISACA se fixe pour objectif d'aider  tous les niveaux de management de l'organisation à gérer les risques afin d'obtenir le plus grand bénéfice et à détecter les signaux d'alerte plus rapidement.

Risk IT : non mise en œuvre, application et performance

Risk IT complète Cobit et Val IT, mais peut aussi être utilisé seul. Puisque l'informatique est partout, une toute petite entreprise comme une multinationale peut en bénéficier. Ce référentiel peut aussi être adapté aux contraintes locales ou métier. Mais comme Cobit et Val IT, Risk IT se veut être un référentiel et un ensemble de pratiques de bonnes gouvernances. Ce qui implique que les entreprises peuvent en personnalisation des composants et les adapter à leurs spécificités et leurs secteurs d'activités.

Risk IT couvre l'ensemble des risques business liés à la possession, l'administration et à l'utilisation de l'informatique.  C'est une approche qui met en balance les risques et les bénéfices qui peut être retirés de l'informatique et ce, à trois niveaux :

- Les risques liés aux opportunités ratées dans l'utilisation des technologies pour améliorer l'efficacité des processus métier ou comme un « facilitateur » des initiatives métier ;

- Les risques liés à la mise en œuvre de nouvelles solutions ou de l'amélioration d'applications existantes ;

- Les risques à tous les aspects liés à la performance de systèmes et des services informatiques qui peuvent entraîneur création ou destruction de valeur pour l'entreprise.

Le framework Risk IT est basé sur les standards de la gestion des risques d'entreprise (ERM ou Enterprise Risk Management). Selon l'ISACA, le modèle Risk IT est destiné à une très large cible allant des cadres dirigeants de l'entreprise aux responsables de systèmes d'information, les experts en gestion des risques ainsi que les parties prenantes. Parallèlement au cadre général Risk IT, ISACA fournit le document The Risk Practitioner Guide qui adopte une approche pratiqueincluant des exemples pratiques et des méthodologies.

____________
Le Framework Risk IT est disponible (en anglais) en téléchargement via www.isaca.org/riskit. La version imprimée peut être obtenue via www.isaca.org/bookstore.