1 cobit. le référentiel de la gouvernance du système dinformation. présentation, principes de...

1

Cobit.Le référentiel de la gouvernance

du système d’information. Présentation, principes de mise en oeuvre

et perspectives.

Association Nationale des Directeurs de Systèmes d’Information.16 janvier 2007

[email protected]://www.delvaux-conseil.com

2Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.

Le contexte…

Source CIGREF


Agenda

• Présentation de COBIT– Historique– La Gouvernance des TI et les processus– Modèle de maturité– Tableau de bord équilibré

• « Mapping » entre COBIT et d’autres standards• Principes de mise en œuvre

– Une approche processus– Double stratégie– Identifier le commun et le spécifique– Planifier la mise en oeuvre– Réapproprier l’existant– Organisation– Logiciels supportant la démarche – Retour d’expérience

• Perspectives– COBIT V4– ValIT


Agenda



– Une approche processus– Double stratégie– Identifier le commun et le spécifique– Planifier la mise en oeuvre– Réapproprier l’existant– Organisation– Logiciels supportant la démarche– Retour d’expérience



COBIT Historique

• Conçu et géré par l’IT Governance Institute.– http://www.itgi.org/ – http://itgi-france.com/

• Indépendant et libre de droits.

• Forte évolution du positionnement.– Issu du milieu de l’audit SI (V1 : 1996).– Largement accaparé par le management des SI.

- Le présent exposé se place résolument dans cette approche.– La dernière version (V4 : 2006) consacre cette évolution.

• Intègre 41 Directives & Standards internationaux.

• Diffusion mondiale.

• Très nombreuses traductions.– L'AFAI publiera la version française de COBIT V4 début 2007.

• Utilisation importante et en croissance forte.

• Utilisé dans les cadres Sarbanes Oxley, IFRS, LSF.


COBIT Historique


COBIT La Gouvernance des TI et les processus



COBIT : Structure de relations et de processus visant à diriger et contrôler l'entreprise pour qu'elle atteigne ses objectifs en générant de la valeur, tout en trouvant le bon équilibre entre les risques et les avantages des TI et de leurs processus.


COBIT La Gouvernance des TI et les processus• Planification et Organisation (PO)

– Stratégie et tactique informatique– Contribution aux objectifs de l’entreprise– Planification, communication et gestion– Organisation adéquate et infrastructure technologique

• Acquisition et Mise en Place (AMP)– Mise en œuvre de la stratégie informatique– Identification, développement ou acquisition, mise en place des

solutions– Intégration des solutions aux processus de gestion– Modification et maintenance des systèmes

• Distribution et Support (DS)– Fourniture des services nécessaires– Sécurité de l’exploitation– Mise en place des processus de support– Traitement des données par les applications

• Surveillance (S)– Evaluation régulière de tous les processus informatiques– Conformité aux exigences de contrôle et qualité des contrôles



4

34

318

COBIT exprime le QUOI, pas le COMMENT.(OCD)


COBITModèle de maturité


COBITModèle de maturité

• Définition plus détaillée de chaque niveau de maturité.

• 6 dimensions de la maturité :– Compréhension & Sensibilisation– Formation & Communication– Processus & Pratiques– Techniques & Automatisation– Conformité– Expertise

• Déclinaison de chaque dimension pour tous les niveaux de maturité.

• Le modèle de maturité est décliné– Pour chaque processus– Pour chaque niveau de maturité.


COBIT Tableau de bord équilibré

• Un Indicateur Clé d'Objectif (ICO) est la mesure de "ce qui" doit être accompli. Cet indicateur est souvent défini comme le but à atteindre.

• Un Indicateur Clé de Performance (ICP), est la mesure de la "qualité" de la progression du processus.



• Vue externe.• Gestion financière

– Comment les actionnaires nous voient-ils ?• Clients

– Comment les clients nous voient-ils ? • Vue interne.

• Processus interne– Comment nous considérons-nous nous-mêmes ? (orientation et

qualité du processus)• Connaissance/Innovation

– Avons-nous la capacité de continuer à améliorer nos produits/services, et à créer de la valeur ?


Agenda






« Mapping » entre COBIT et d’autres standards

• Les différents « standards » ne sont pas concurrents mais complémentaires!

• COBIT est le standard intégrateur du SI de l’entreprise.

• COBIT adresse le SI de l’entreprise et donc s’adresse à l’ensemble des directions de l’entreprise.

• COBIT est un outil de leadership du DSI sur le SI de l’entreprise.

• ITIL et CMMI s’adressent aux responsables internes ou externes des opérations et du développement.

• Il importe de bien positionner le standard au bon niveau de responsabilité!

– Et les positionnements sont différents!

COBIT adresse le SI et s’adresse à l’ensemble de l’entreprise.


Project Program

ITILITIL

Deliver & SupportDeliver & SupportMonitorMonitor

Planning & Organization

Acquire & Implement

Planning & Organization

Acquire & ImplementPlan & OrganisePlan & OrganiseDefine

Strategic IT Plan

Define Strategic IT Plan

Define IT Organization

& Relationships

Define IT Organization

& Relationships

Manage IT InvestmentManage IT

Investment

Determine Technological

Direction

Determine Technological

Direction

Communicate Aims & Direction

Communicate Aims & Direction

Manage Human

Resource

Manage Human

Resource

Ensure Compliance With External

Standards

Ensure Compliance With External

Standards

Assess RisksAssess

Risks

Manage ProjectsManage

Projects

Manage QualityManage

Quality

Identify Automated Solutions

Identify Automated Solutions

Acquire & Maintain

Application Software

Acquire & Maintain

Application Software

Acquire & Maintain

Technology Infrastructure

Acquire & Maintain

Technology Infrastructure

Develop & Maintain

IT Procedures

Develop & Maintain

IT Procedures

Install & Accredit Systems

Install & Accredit Systems

Manage ChangeManage

Change

Manage Performance

& Capacity

Manage Performance

& Capacity

Ensure Continuous

Service

Ensure Continuous

Service

Ensure System Security

Ensure System Security

Identify & Allocate

Costs

Identify & Allocate

Costs

Manage Third-Party

Services

Manage Third-Party

Services

Define & Manage Service Levels

Define & Manage Service Levels

Educate &

Train Users

Educate &

Train Users

Assist & Advise

IT Customers

Assist & Advise

IT Customers

Manage ConfigurationManage

Configuration

Manage Problems & Incidents

Manage Problems & Incidents

Manage DataManage

Data

Manage FacilitiesManage

Facilities

Manage OperationsManage

Operations

Monitor The

Process

Monitor The

Process

Assess Internal Control

Adequacy

Assess Internal Control

Adequacy

Obtain Independent

Assurance

Obtain Independent

Assurance

Provide Independent

Audit

Provide Independent

Audit

Define Information

Architecture

Define Information

Architecture

PRINCE2

PRINCE2

ISO 9001ISO 9001

ASLASL

IIPIIPISO

17799ISO

17799

EFQMEFQMSix

SigmaSix

Sigma

No ProjectNo

Project

GartnerGartner



Source ITSMF France


Agenda






Mise en oeuvre de COBITUne approche processus

Mettre COBIT en œuvre c’est faire fonctionner

une sélection de processus

et viser un niveau de maturité.

Mettre COBIT en œuvre ce n’est pas

faire fonctionner indépendamment des activités.

4

34

318

Processus > Activités


Mise en oeuvre de COBIT Double stratégie

Type de stratégie Excellence ciblée Amélioration globale

Concerne les processus …

choisis en fonction des objectifs et du contexte de l’entreprise et de l’énergie

affectable à COBIT.

l’ensemble des autres processus COBIT.

COBIT est… le référentiel de gestion du SI. un langage commun des professionnels du SI.

Maturité cibleNiveau 4 : géré.

(Voire 5 optimisé - S1 par ex.)Niveau 3 : défini.

Mode d’organisation Démarche projet. Démarche « participative ».

Responsabilités Propriétaire de processus et typologie des responsabilités. Champion de processus.

Mesure ICO, ICP. -

Financement Spécifique. -

Démarche Top-Down. Bottom-Up.

Planification de la mise en oeuvre Plan de projet. -


Mise en oeuvre de COBIT Double stratégie

Temps

3

1

5

1 2 3

0,5 Niveau / an

1 Niveau / an

« Le temps ne respecte pas ce qu'on a fait sans lui. »SENEQUE

Mat

uri

té C

ible

Excellence ciblée

Amélioration globale


Mise en oeuvre de COBIT Identifier le commun et le spécifique

Commun à l’ensemble des processus :-fonctionnement en processus-structure COBIT-sensibilisation, formation-…

Spécifique à chaque processus COBIT-ICO, ICP-FCS-…

Processus Objectif

Pilotage

Support

ICOICP TBEActivité

OC

D

Activité

OC

D

Activité

OC

D

Activité

OC

D

Activité

OC

D

Activité

OC

D

FCS

COBIT laisse libre le COMMENT :-Existant-Bonnes pratiques-Meilleures pratiques


Mise en oeuvre de COBIT Planifier la mise en oeuvre

Temps

3

1

5

1 2 3

Mat

uri

té C

ible

Le plan est déterminé à partir :-des dimensions de la maturité-des niveaux de la maturité.

Plan d’actionPlan d’actionPlan d’actionPlan d’action

Plan d’actionPlan d’actionPlan d’actionPlan d’action1 Niveau / an

Pour chaque processus, viser un niveau égal pour chaque activité plutôt qu’un niveau élevé pour un nombre limité d’activités.

Veiller à respecter l’équilibre entre les différentes dimensions.


Mise en oeuvre de COBIT Réapproprier l’existant

Mettre en œuvre la gouvernance du SI, c’est aussi :- tabler sur la gestion existante - la remettre progressivement dans le cadre COBIT.

Existant

Cible

Sp

écif

iqu

e

Commun

Le fossé entre la cible et l’existantest généralement plus granden ce qui concerne le fonctionnement en processus


Mise en oeuvre de COBIT Organisation

Comité de pilotage des TIDSI

Dirigeants MoA

Propriétaire de processus« Excellence ciblée »






Direction Générale CA / Comité de Stratégie des TI

Champion de processus« Amélioration globale»










Responsable IT Gouvernance


Mise en oeuvre de COBITLogiciels supportant la démarche

• Approche suivi de la mise en œuvre– Construit autour de la structure COBIT (processus, OCD, FCS, …)– Environnement d’évaluation et de suivi de l’implantation– Origine : logiciels pour auditeurs

• Par exemple : CobiT Advisor (Methodware Ltd)– Version en français



• L’«ERP de la DSI ».– Pas de solution globale aujourd’hui, mais des solutions sur des parties

du paysage– Stratégies de développement par acquisition

- Mercury, Niku (Clarity CA), ITM Software, …

– Modèle COBIT (très) progressivement intégré.



• Plus simple…– Outils basiques et standards (Notes,

MS Project, …)– Open Source Tools?

• Dans tous les cas se focaliser d’abord sur

–Les meilleures pratiques

–La maturité des processus.


Mise en oeuvre de COBITRetour d’expérience

• Usinor– Approche Top-Down– Mise en avant de l’identification et le la gestion des risques– Prise en charge par la hiérarchie des métiers – COBIT = référentiel des risques – JP Delvaux : Gestion de l’information du Groupe.

• Arcelor– Approche Bottom-Up – Contexte de fusion– Réseau 50 top IT managers; international– COBIT = langage commun IT– JP Delvaux : « IT Governance Officer » rapportant au Group CIO.

• SMABTP– Démarche initiée et pilotée par le DSI– Accent mis sur l’implantation concrète dans le fonctionnement réel

- Étapes de sensibilisation, formation, planification, …

– Comité de pilotage, propriétaires de processus, …– Préparer Solvabilité 2– COBIT = Référentiel de gestion du SI– JP Delvaux : Consultant externe.


Agenda



– Une approche processus– Double stratégie– Identifier le commun et le spécifique– Planifier la mise en oeuvre– Réapproprier l’existant– Organisation– Logiciels supportant la démarche– Retour d’expérience



PerspectiveCOBIT V4

• Publié en novembre 2005; version française annoncée début 2007.• Entièrement orienté vers les gestionnaires des métiers et du

système d’information.– L’aspect audit du SI est totalement séparé.– Ce qui acte officiellement le glissement de fait de la cible de Cobit.

• L’accent est mis sur le rôle des gestionnaires (métier et SI) dans les processus de la gouvernance IT.

– Définition structurée des fonctions.– Croisement RACI avec les Processus.

• Fort alignement (des OCD) sur les référentiels de fait– Principalement ITIL, CMMI, ISO17799

• « Process Controls »– Génériques pour l’ensemble des processus; ils complètent les OCD

spécifiques à chaque processus.– Objectifs, Répétabilité, Rôles, Responsabilités, Performance, Plans,

Procédures, …• « Application controls »

– Identifie la responsabilité des propriétaires des processus métier pr aux applications.

– Complétude, validité, autorisation, séparation des responsabilités, …


PerspectiveCOBIT V4

• Plus forte capacité d’alignement des processus et objectifs IT sur les métiers.

• 20 Objectifs métier standardisés :– Vue financière

- Augmenter les parts de marché- ..

– Vue du client- Disponibilité du service- …

– Vue interne- Améliorer et maintenir les fonctionnalités des processus métier- …

– Vue Apprentissage & croissance- Acquérir et conserver du personnel qualitifé et motivé- …

• 28 « Objectifs IT » standardisés.– Intégrer les applications et les solutions technologiques harmonieusement

dans les processus des métiers– Assurer que les services IT sont disponibles comme requis– Livrer les projets à temps, dans le budget et en respectant les standards de

qualité.– …

• Tableaux croisés Processus / Objectifs métier / Objectifs IT


PerspectiveCOBIT V4

Gouvernance du SI

Alignement

stratégique

Fourniture

de valeur

G

esti

on

des

ris

qu

es

Gestion desressources

Mesu

re des

perfo

rman

ces

-Alignement avec l’activité professionnelle.-Solutions collaboratives.

- Preuves de la valeur du SI.- Optimisation des dépenses.

-Préservation des actifs informationnels.-Remise en service après incidents graves.-Continuité de l’activité.

Optimisation de la connaissance etdes infrastructures informatiques.

-Suivi des projets.-Suivi des services fournis par le SI.

• 5 domaines de la gouvernance– Croisement avec les processus


PerspectiveValIT


Merci de votre attention!

• Présentation de COBITPrésentation de COBIT– HistoriqueHistorique– La Gouvernance des TI et les processusLa Gouvernance des TI et les processus– Modèle de maturitéModèle de maturité– Tableau de bord équilibréTableau de bord équilibré

• « Mapping » entre COBIT et d’autres standards« Mapping » entre COBIT et d’autres standards• Principes de mise en œuvrePrincipes de mise en œuvre

– Une approche processusUne approche processus– Double stratégieDouble stratégie– Identifier le commun et le spécifiqueIdentifier le commun et le spécifique– Planifier la mise en oeuvrePlanifier la mise en oeuvre– Réapproprier l’existantRéapproprier l’existant– OrganisationOrganisation– Logiciels supportant la démarcheLogiciels supportant la démarche– Retour d’expérience Retour d’expérience

• PerspectivesPerspectives– COBIT V4COBIT V4– ValITValIT

1 cobit. le référentiel de la gouvernance du système dinformation. présentation, principes de...

Documents