670 likes | 1.38k Views
Cobit . L e référentiel de la gouvernance du système d’information. Présentation, principes de mise en oeuvre et perspectives. Association Nationale des Directeurs de Systèmes d’Information. 16 janvier 2007 jpd@delvaux-conseil.com http://www.delvaux-conseil.com. Le contexte….
E N D
Cobit.Le référentiel de la gouvernance du système d’information. Présentation, principes de mise en oeuvre et perspectives. Association Nationale des Directeurs de Systèmes d’Information. 16 janvier 2007 jpd@delvaux-conseil.com http://www.delvaux-conseil.com
Le contexte… Source CIGREF
Agenda • Présentation de COBIT • Historique • La Gouvernance des TI et les processus • Modèle de maturité • Tableau de bord équilibré • « Mapping » entre COBIT et d’autres standards • Principes de mise en œuvre • Une approche processus • Double stratégie • Identifier le commun et le spécifique • Planifier la mise en oeuvre • Réapproprier l’existant • Organisation • Logiciels supportant la démarche • Retour d’expérience • Perspectives • COBIT V4 • ValIT
Agenda • Présentation de COBIT • Historique • La Gouvernance des TI et les processus • Modèle de maturité • Tableau de bord équilibré • « Mapping » entre COBIT et d’autres standards • Principes de mise en œuvre • Une approche processus • Double stratégie • Identifier le commun et le spécifique • Planifier la mise en oeuvre • Réapproprier l’existant • Organisation • Logiciels supportant la démarche • Retour d’expérience • Perspectives • COBIT V4 • ValIT
COBIT Historique • Conçu et géré par l’IT Governance Institute. • http://www.itgi.org/ • http://itgi-france.com/ • Indépendant et libre de droits. • Forte évolution du positionnement. • Issu du milieu de l’audit SI (V1 : 1996). • Largement accaparé par le management des SI. • Le présent exposé se place résolument dans cette approche. • La dernière version (V4 : 2006) consacre cette évolution. • Intègre 41 Directives & Standards internationaux. • Diffusion mondiale. • Très nombreuses traductions. • L'AFAI publiera la version française de COBIT V4 début 2007. • Utilisation importante et en croissance forte. • Utilisé dans les cadres Sarbanes Oxley, IFRS, LSF.
COBIT La Gouvernance des TI et les processus COBIT : Structure de relations et de processus visant à diriger et contrôler l'entreprise pour qu'elle atteigne ses objectifs en générant de la valeur, tout en trouvant le bon équilibre entre les risques et les avantages des TI et de leurs processus.
COBIT La Gouvernance des TI et les processus • Planification et Organisation (PO) • Stratégie et tactique informatique • Contribution aux objectifs de l’entreprise • Planification, communication et gestion • Organisation adéquate et infrastructure technologique • Acquisition et Mise en Place (AMP) • Mise en œuvre de la stratégie informatique • Identification, développement ou acquisition, mise en place des solutions • Intégration des solutions aux processus de gestion • Modification et maintenance des systèmes • Distribution et Support (DS) • Fourniture des services nécessaires • Sécurité de l’exploitation • Mise en place des processus de support • Traitement des données par les applications • Surveillance (S) • Evaluation régulière de tous les processus informatiques • Conformité aux exigences de contrôle et qualité des contrôles
COBIT La Gouvernance des TI et les processus 4 34 318 COBIT exprime le QUOI, pas le COMMENT. (OCD)
COBITModèle de maturité • Définition plus détaillée de chaque niveau de maturité. • 6 dimensions de la maturité : • Compréhension & Sensibilisation • Formation & Communication • Processus & Pratiques • Techniques & Automatisation • Conformité • Expertise • Déclinaison de chaque dimension pour tous les niveaux de maturité. • Le modèle de maturité est décliné • Pour chaque processus • Pour chaque niveau de maturité.
COBIT Tableau de bord équilibré • Un Indicateur Clé d'Objectif (ICO)est la mesure de "ce qui" doit être accompli. Cet indicateurest souvent défini comme le but à atteindre. • Un Indicateur Clé de Performance (ICP), est la mesure de la "qualité" de la progression du processus.
COBIT Tableau de bord équilibré • Vue externe. • Gestion financière • Comment les actionnaires nous voient-ils ? • Clients • Comment les clients nous voient-ils ? • Vue interne. • Processus interne • Comment nous considérons-nous nous-mêmes ? (orientation et qualité du processus) • Connaissance/Innovation • Avons-nous la capacité de continuer à améliorer nos produits/services, et à créer de la valeur ?
Agenda • Présentation de COBIT • Historique • La Gouvernance des TI et les processus • Modèle de maturité • Tableau de bord équilibré • « Mapping » entre COBIT et d’autres standards • Principes de mise en œuvre • Une approche processus • Double stratégie • Identifier le commun et le spécifique • Planifier la mise en oeuvre • Réapproprier l’existant • Organisation • Logiciels supportant la démarche • Retour d’expérience • Perspectives • COBIT V4 • ValIT
« Mapping » entre COBIT et d’autres standards COBIT adresse le SI et s’adresse à l’ensemble de l’entreprise. • Les différents « standards » ne sont pas concurrents mais complémentaires! • COBIT est le standard intégrateur du SI de l’entreprise. • COBIT adresse le SI de l’entreprise et donc s’adresse à l’ensemble des directions de l’entreprise. • COBIT est un outil de leadership du DSI sur le SI de l’entreprise. • ITIL et CMMI s’adressent aux responsables internes ou externes des opérations et du développement. • Il importe de bien positionner le standard au bon niveau de responsabilité! • Et les positionnements sont différents!
Plan & Organise Planning & Organization Acquire & Implement Define Strategic IT Plan Determine Technological Direction Define Information Architecture Identify Automated Solutions Acquire & Maintain Application Software Install & Accredit Systems Manage Change Acquire & Maintain Technology Infrastructure Develop & Maintain IT Procedures Define IT Organization & Relationships Manage IT Investment Communicate Aims & Direction Project Program EFQM Six Sigma ITIL ASL Gartner Manage Human Resource Ensure Compliance With External Standards Assess Risks PRINCE 2 ISO 9001 IIP ISO 17799 No Project Manage Projects Manage Quality Monitor Deliver & Support Assess Internal Control Adequacy Monitor The Process Define & Manage Service Levels Manage Third-Party Services Manage Performance & Capacity Ensure Continuous Service Ensure System Security Identify & Allocate Costs Manage Operations Obtain Independent Assurance Educate & Train Users Assist & Advise IT Customers Manage Configuration Manage Problems & Incidents Manage Data Manage Facilities Provide Independent Audit
« Mapping » entre COBIT et d’autres standards Source ITSMF France
Agenda • Présentation de COBIT • Historique • La Gouvernance des TI et les processus • Modèle de maturité • Tableau de bord équilibré • « Mapping » entre COBIT et d’autres standards • Principes de mise en œuvre • Une approche processus • Double stratégie • Identifier le commun et le spécifique • Planifier la mise en oeuvre • Réapproprier l’existant • Organisation • Logiciels supportant la démarche • Retour d’expérience • Perspectives • COBIT V4 • ValIT
Mise en oeuvre de COBITUne approche processus 4 Processus > S Activités Mettre COBIT en œuvre c’est faire fonctionner une sélection de processus et viser un niveau de maturité. 34 Mettre COBIT en œuvre ce n’est pas faire fonctionner indépendamment des activités. 318
Mise en oeuvre de COBIT Double stratégie 5 Excellence ciblée Maturité Cible Amélioration globale 1 Niveau / an 3 0,5 Niveau / an 1 « Le temps ne respecte pas ce qu'on a fait sans lui. » SENEQUE Temps 1 2 3
Activité Activité Activité OCD OCD OCD OCD OCD OCD TBE ICP ICO Activité Activité Activité Mise en oeuvre de COBIT Identifier le commun et le spécifique Pilotage FCS Objectif Processus Support Spécifique à chaque processus COBIT -ICO, ICP -FCS -… • Commun à l’ensemble des processus : • fonctionnement en processus • structure COBIT • sensibilisation, formation • … COBIT laisse libre le COMMENT : -Existant -Bonnes pratiques -Meilleures pratiques
Plan d’action Plan d’action Plan d’action Plan d’action Plan d’action Plan d’action Plan d’action Plan d’action Mise en oeuvre de COBIT Planifier la mise en oeuvre • Le plan est déterminé à partir : • -des dimensions de la maturité • -des niveaux de la maturité. Veiller à respecter l’équilibre entre les différentes dimensions. 5 Maturité Cible 1 Niveau / an 3 Pour chaque processus, viser un niveau égal pour chaque activité plutôt qu’un niveau élevé pour un nombre limité d’activités. 1 1 2 Temps 3
Mise en oeuvre de COBIT Réapproprier l’existant Mettre en œuvre la gouvernance du SI, c’est aussi : - tabler sur la gestion existante - la remettre progressivement dans le cadre COBIT. Cible Spécifique Existant Le fossé entre la cible et l’existant est généralement plus grand en ce qui concerne le fonctionnement en processus Commun
Direction Générale CA / Comité de Stratégie des TI Mise en oeuvre de COBIT Organisation Comité de pilotage des TI DSI Dirigeants MoA Champion de processus « Amélioration globale» Propriétaire de processus « Excellence ciblée » Champion de processus « Amélioration globale» Propriétaire de processus « Excellence ciblée » Champion de processus « Amélioration globale» Propriétaire de processus « Excellence ciblée » Champion de processus « Amélioration globale» Propriétaire de processus « Excellence ciblée » Champion de processus « Amélioration globale» Propriétaire de processus « Excellence ciblée » Champion de processus « Amélioration globale» Propriétaire de processus « Excellence ciblée » Champion de processus « Amélioration globale» Responsable IT Gouvernance Champion de processus « Amélioration globale» Champion de processus « Amélioration globale» Champion de processus « Amélioration globale»
Mise en oeuvre de COBITLogiciels supportant la démarche • Approche suivi de la mise en œuvre • Construit autour de la structure COBIT (processus, OCD, FCS, …) • Environnement d’évaluation et de suivi de l’implantation • Origine : logiciels pour auditeurs • Par exemple : CobiT Advisor (Methodware Ltd) • Version en français
Mise en oeuvre de COBITLogiciels supportant la démarche • L’«ERP de la DSI ». • Pas de solution globale aujourd’hui, mais des solutions sur des parties du paysage • Stratégies de développement par acquisition • Mercury, Niku (Clarity CA), ITM Software, … • Modèle COBIT (très) progressivement intégré.
Mise en oeuvre de COBITLogiciels supportant la démarche • Plus simple… • Outils basiques et standards (Notes, MS Project, …) • Open Source Tools? • Dans tous les cas se focaliser d’abord sur • Les meilleures pratiques • La maturité des processus.
Mise en oeuvre de COBITRetour d’expérience • Usinor • Approche Top-Down • Mise en avant de l’identification et le la gestion des risques • Prise en charge par la hiérarchie des métiers • COBIT = référentiel des risques • JP Delvaux : Gestion de l’information du Groupe. • Arcelor • Approche Bottom-Up • Contexte de fusion • Réseau 50 top IT managers; international • COBIT = langage commun IT • JP Delvaux : « IT Governance Officer » rapportant au Group CIO. • SMABTP • Démarche initiée et pilotée par le DSI • Accent mis sur l’implantation concrète dans le fonctionnement réel • Étapes de sensibilisation, formation, planification, … • Comité de pilotage, propriétaires de processus, … • Préparer Solvabilité 2 • COBIT = Référentiel de gestion du SI • JP Delvaux : Consultant externe.
Agenda • Présentation de COBIT • Historique • La Gouvernance des TI et les processus • Modèle de maturité • Tableau de bord équilibré • « Mapping » entre COBIT et d’autres standards • Principes de mise en œuvre • Une approche processus • Double stratégie • Identifier le commun et le spécifique • Planifier la mise en oeuvre • Réapproprier l’existant • Organisation • Logiciels supportant la démarche • Retour d’expérience • Perspectives • COBIT V4 • ValIT
PerspectiveCOBIT V4 • Publié en novembre 2005; version française annoncée début 2007. • Entièrement orienté vers les gestionnaires des métiers et du système d’information. • L’aspect audit du SI est totalement séparé. • Ce qui acte officiellement le glissement de fait de la cible de Cobit. • L’accent est mis sur le rôle des gestionnaires (métier et SI) dans les processus de la gouvernance IT. • Définition structurée des fonctions. • Croisement RACI avec les Processus. • Fort alignement (des OCD) sur les référentiels de fait • Principalement ITIL, CMMI, ISO17799 • « Process Controls » • Génériques pour l’ensemble des processus; ils complètent les OCD spécifiques à chaque processus. • Objectifs, Répétabilité, Rôles, Responsabilités, Performance, Plans, Procédures, … • « Application controls » • Identifie la responsabilité des propriétaires des processus métier pr aux applications. • Complétude, validité, autorisation, séparation des responsabilités, …
PerspectiveCOBIT V4 • Plus forte capacité d’alignement des processus et objectifs IT sur les métiers. • 20 Objectifs métier standardisés : • Vue financière • Augmenter les parts de marché • .. • Vue du client • Disponibilité du service • … • Vue interne • Améliorer et maintenir les fonctionnalités des processus métier • … • Vue Apprentissage & croissance • Acquérir et conserver du personnel qualitifé et motivé • … • 28 « Objectifs IT » standardisés. • Intégrer les applications et les solutions technologiques harmonieusement dans les processus des métiers • Assurer que les services IT sont disponibles comme requis • Livrer les projets à temps, dans le budget et en respectant les standards de qualité. • … • Tableaux croisés Processus / Objectifs métier / Objectifs IT
Alignement stratégique Fourniture de valeur Gouvernance du SI Gestion des risques Mesure des performances Gestion des ressources PerspectiveCOBIT V4 • 5 domaines de la gouvernance • Croisement avec les processus -Alignement avec l’activité professionnelle. -Solutions collaboratives. - Preuves de la valeur du SI. - Optimisation des dépenses. -Préservation des actifs informationnels. -Remise en service après incidents graves. -Continuité de l’activité. -Suivi des projets. -Suivi des services fournis par le SI. Optimisation de la connaissance et des infrastructures informatiques.
Merci de votre attention! • Présentation de COBIT • Historique • La Gouvernance des TI et les processus • Modèle de maturité • Tableau de bord équilibré • « Mapping » entre COBIT et d’autres standards • Principes de mise en œuvre • Une approche processus • Double stratégie • Identifier le commun et le spécifique • Planifier la mise en oeuvre • Réapproprier l’existant • Organisation • Logiciels supportant la démarche • Retour d’expérience • Perspectives • COBIT V4 • ValIT