COBIT 5 Ses apports pour le management et la gouvernance du SI
25 Janvier 2013
Patrick Stachtchenko Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
1
Thèmes 1.
Evolution CobiT /COBIT
2.
Contexte du projet COBIT 5
3.
COBIT 5 : ses apports
4.
COBIT 5 : la suite
Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
2
Le monde de la Technologie en 10 ans! MM$
• Pourtant, le plus souvent, ce sont des entreprises avec des processus structurés s’appuyant sur de bonnes pratiques ! • Donc, pourquoi de telles différences ? • Quels sont les facteurs qui ont mené à cette situation? • Y-avait-il des préoccupations de gouvernance et de management? Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
3
Bonnes pratiques de gouvernance/management ! Dilbert : D’où vient la confiance ?
Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
4
Confiance? • Articles dans les publications scientifiques • Forte augmentation du nombre d’articles qui ont été retirés après leur publication (erreurs, fraudes, …) • Chaque année depuis 10 ans • 6 000 % d’augmentation sur cette période de 10 ans! • Causes : Dispositifs d’incitations, pression concurrentielle, classement des universités,….?
• AIG, Joseph Cassano, responsable des produits financiers (Août 2007) • “It is hard for us, without being flippant, to even see a scenario within any kind of realm of reason that would see us losing one dollar in any of these (credit default swap) transactions”
• Bernie Madoff (2007) • “In today’s regulatory environment, it’s virtually impossible to violate rules. This is something the public doesn’t really understand …. It’s impossible for a violation to go undetected certainly not for a considerable period of time”
• Mario Andretti • “If you are under control, then you are not going fast enough” Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
5
CobiT / COBIT Evolution De « Control Objectives » à « Governance and Management of Enterprise IT »
Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
6
CobiT / COBIT Evolution • 1970’s: Control Objectives • Orienté audit • Population visée : essentiellement des auditeurs
• 1991: ISACA Regional Presidents Council Meeting à Paris • Soutien pour un nouveau “Control Objectives” • Orienté business • Populations visées : management, utilisateurs de SI, auditeurs
• 1995 - 1996: Modification du programme CISA • Après un processus de 5 ans, modification des domaines et du contenu en fonction d’une étude des tâches effectuées • Introduction de critères business : efficacité, efficience, maîtrise
• 1995 - 1996: CobiT • “Control Objectives for Information and related technology” • Focus “Business” en ligne avec le programme CISA CISA / CobiT : Changement de contenu mais pas de changement du langage Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
7
CobiT / COBIT Evolution • 1996 : CobiT (Control OBjectives for Information and related Technology) • Mission : objectifs de contrôles généralement acceptés concernant les SI pour une utilisation au quotidien par le management et les auditeurs • Bonnes pratiques
• “Le référentiel s’appuie sur le fondement suivant” • Les ressources SI ont besoin d’être “managées” par un ensemble de pratiques IT regroupées naturellement pour fournir l’information dont ont besoin les organisations pour atteindre leurs objectifs • Population visée • “Il a été conçu non seulement pour être utilisé par les utilisateurs et les auditeurs en SI, mais aussi, et plus important encore, comme une “checklist” pour les propriétaires de processus pour qu’ils puissent avoir une responsabilité complète pour tous les aspects du processus” • Definitions • Contrôle : “les directives, procédures, pratiques et structures organisationnelles concues pour fournir une assurance raisonnable que les objectifs business seront atteints et que les évènement non désirés seront prévenus, décelés et corrigés.” • Objectif de contrôle IT : “l’énoncé du résultat souhaité ou de l’objectif à atteindre par la mise en oeuvre de la procédure de contrôle pour une activité informatique spécifique
Les objectifs versus le Patrick Stachtchenko langage? : Réunion AFAI du 25 janvier 2013
8
CobiT / COBIT Evolution • 1996 : Référentiel CobiT 1 • 5 ressources
• 7 critères business • • • •
Efficacité Efficience Confidentialityé Integrité
• Disponibilité • Conformité • Fiabilité
• 4 domaines • • • •
Planification et organisation Acquisition et mise en oeuvre Exploitation et soutien Pilotage et suivi
• Données • Applications • Technologie
• Locaux • Personnes
• 32 processus (271 sub-processus et objectifs de contrôle) • Connecté aux besoins business • Connected aux leviers • Connected aux préoccupations à prendre en compte
• Directives d’Audit pour chaque processus • • • • •
Qui doit ête interviewé? Quelles informations doivent être obtenues? Quels éléments de preuve doivent être considérés? Quels types de tests doivent être effectués ? Quel type d’information doit être obtenu et quel type de travail doit être effectué pour corroborer le niveau réel de risque?
Le contenu et la perception? Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
9
CobiT / COBIT Evolution • 1998 : CobiT 2 (Governance, Control and Audit for Information and related Technology) • Introduction de la Gouvernance des SI (création de l’IT Governance Institute) • Ajout d’une boîte à outils de mise en oeuvre
• 2000 : CobiT 3 (Governance, Control and Audit for Information and related Technology) • Notion de gouvernance des SI ajoutée • Ajout de Directives de Management (Modèles de Maturité, Critères clés de succès, Indicateurs clés d’objectifs, Indicateurs clés de performance)
• > 2000 : CobiT, un ensemble de publications • • • •
Board Briefing on IT Governance Management Guidelines IT Control objectives for Sarbanes Oxley IT Governance Implementation Guide
• Control Practices • IT assurance guide • CobiT Framework
• Control Objectives • CobiT Quickstart • CobiT Security Baseline,…
• 2005 : CobiT 4.0 (mise à jour en 2007, CobiT 4.1) (Framework, Control Objectives, Management Guidelines, Maturity Models) • Extension du concept de gouvernance : 5 domaines de focalisation (Alignement stratégique, Création de valeur, Management des Ressources, Management du risque, Mesure de la Performance) • Directives de Management : entrées, sorties, RACI, objectifs, métriques, modèles de maturité • Objectifs et métriques : objectifs d’activité, informatiques, des processus, et métriques associées
Langage et confusion? Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
10
CobiT / COBIT Evolution • 2006 : Val IT (mise à jour en 2008, Val IT 2), Référentiel et ensemble de publications traitant la gouvernance des investissements business soutenus par les SI • 2009 : Risk IT, Référentiel et ensemble de publications traitant la gouvernance et le management des risques SI • 2010 : BMIS, Business Model for Information Security, Modèle systémique de la sécurité • 2008 : ITAF, Cadre de référence de pratiques professionnelles pour l’audit informatique Positionnement / Confusion? Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
11
CobiT / COBIT Evolution Risk IT
Val IT
Risk Management
Value Management
drive
drive
Assess Risk & Opportunity CobiT IT related events IT activities
Copyright ITGI
CobiT : Gouvernance/Risques/Valeur? Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
12
CobiT / COBIT Evolution
Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
13
COBIT 5 : Contexte du projet
• 2007 : Préoccupations • 2007 : TGF (Taking Governance Forward) • 2008/2009 : Nouvelle stratégie de l’ISACA
Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
14
COBIT 5 : Contexte du projet • Plusieurs nouvelles préoccupations “Business” • Parties prenantes : nombreuses, intérêts différents voire divergents, plusieurs propositions de valeur possible, différents niveaux d’appétit au risque et de tolérance au risque, plusieurs possibilités de “sourcing”,.. • Inter-dépendances : approche systémique, holistique, besoin de confiance,.. • Langage et terminologie : confusion, vue incomplète,.. • Absence de vue intégrée exhaustive : silos, simple mais pas simpliste,.. • Intégration du SI au business : bureau du DSI, fonctions business, projets, politiques, structures, compétences, risques, .. • Management de l’information : TI/SI versus Information, “Big Data”, Applications,.. Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
15
COBIT 5 : Contexte du projet • Plusieurs préoccupations “Référentiel” • Multiplicité des référentiels : internes, externes • Incohérences entre les différentes publications : internes, externes • Terminologie : Confusion entre gouvernance et management, qualité and securité, risque et contrôle, objectif business et objectif de contrôle, pratiques de management and contrôles, … • Absence de vue intégrée • Focasilation sur le fonction SI et les processus SI et non pas sur l’information et les processus autour de l’information • En ligne avec l’évolution du “thought leadership”? • • • • •
Périmètre limité Pas une approche systémique Pas facile à utiliser Pas facile à maintenir Pas adaptable à son propre contexte Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
16
COBIT 5 : Contexte du projet • Exemples de préoccupations non traitées qui ont pu poser problème • Mise en oeuvre incohérente, incomplète ou inappropriée des leviers de gouvernance et de management • Schémas de rémunération et d’évaluation inappropriés ou incohérents menant à des décisions court terme (stock options, résultats trimestriels, …) • Composition inadaptée des structures de gouvernance menant à des opportunités ratées ou à des risques significatifs non identifiés (sousrepresentation de certaines parties prenantes, compétences insuffisantes, critère de disponibilité plus important que celui de la compétence ou de l’expérience,…) • Information insuffisante ou incomplète pour la prise de décision menant à des décisions inappropriées (pas assez de temps pour étudier le dossier, trop de détail, information non structurée, influence de certains lobbyistes,….),… Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
17
COBIT 5 : Contexte du projet • 2007 : TGF (Taking Governance Forward) •
Définition d’un système de gouvernance • “Un système de gouvernance est constitué de tous les moyens et mécanismes qui vont permettre à de multiples parties prenantes, à différents niveaux d’une entité, pour un but spécifique, d’avoir leur mot à dire de manière organisée dans la fixation des orientations et dans le suivi de la performance et de la conformité de manière à créer pour elles des avantages (i.e.benefits) acceptables, en prenant des niveaux de risque acceptables et en utilisant les ressources limitées de manière responsible”
•
Etablissement d’un référentiel de gouvernance
•
Positionnement de la Gouvernance IT dans le business
•
Positionnement des différents référentiels internes et externes dans le modèle de gouvernance Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
18
COBIT 5 : Contexte du projet • 2008/2009 : Nouvelle Stratégie ISACA • 1. Réaliser le plein potentiel de COBIT • COBIT est largement connu et adopté, lui procurant une position de leadership et une forte notoriété • Pour construire à partir de cette base, ISACA va étendre la famille de produits au travers de la création de nouvelles propriétés intellectuelles • En outre, la propriété intellectuelle existante (e.g., sur la création de valeur, sur la sécurité, sur les risques,…) sera incorporée dans la famille COBIT, conduisant à un référentiel intégré et holistique de la gouvernance et du management des SI Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
19
COBIT 5 : Contexte du projet • 2008/2009 : Nouvelle Stratégie ISACA
• Objectifs • Fournir une référentiel renouvellé de gouvernance et de management des SI faisant autorité et répondant aux attentes du marché en matière de référentiels (facile à comprendre, facile à utiliser, facile à maintenir, intégré,… mais pas simpliste) • Fondé sur CobiT, intégrant ou connectant les autres référentiels ou projets de recherche (Val IT, Risk IT, BMIS, ITAF, Board Briefing, Taking Governance Forward, …) • Intégrant ou connectant les principaux référentiels externes (ITIL, ISO, …) Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
20
COBIT 5 : Contexte du projet • Spécifications de conception •
Innovant : intégrant les dernières réflexions (ISACA, autres référentiels, académiques, …) • Incluant un “Information reference model”
•
Modulaire : flexible, permettant de multiple dimensions, navigation aisée, permettant des vues multiples pour les différentes populations visées, …
•
Permettant des contributions communautaires : utilisant le potentiel de Web 2.0
•
Complet et intégré: traitant tous les éléments critiques à une gouvernance et à un management efficace et efficient des SI
•
Facile à comprendre, facile à utiliser, facile à mantenir : utilisation de modèles, permettant une personnalisation, à base de couches, blocks réutilisables, migraion facile, aides à la mise en oeuvre, …
•
Connecté aux autres référentiels (ISACA, autres) : plans de migration, “mapping”,…
•
Permettant une évaluation des “capacités” : modèle des “capacités” des processus,…
•
Validé : revue d’experts, enquêtes, sondages, exposés sondages publiques,…
•
Soutenu par des outils : outil en ligne, assistance, … Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
21
COBIT 5 A Business Framework for the Governance and Management of Enterprise IT
Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
22
COBIT 5 Structure de développement • Framework Committee (11 membres) • COBIT 5 Task Force (12 membres) • COBIT 5 Development Team (6 personnes + staff) • COBIT 5 Development Workshops • Londres : 30 experts • Washington : 40 experts
• “Subject Matter Experts” • Première revue : >140 experts • Seconde revue: > 160 experts >1400 commentaires
• Exposé sondage • Conception : > 600 responses, 3000 commentaires • Volume 1 : Référentiel et Volume 2 : Processus : > 300 réponses
• Plusieurs Task Forces for les extensions de COBIT 5 : Securité, Risque, Audit, IRM,… Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
23
COBIT 5 Livrables Pages
• Volume 1 : A Business Framework for the Governance and Management of Enterprise IT
94
230
• Volume 2 : Enabling Processes 78
• Volume 3 : Implementation
Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
24
COBIT 5 Livrables • Volume 1 : A Business Framework for the Governance and Management of Enterprise IT • Executive Summary • Overview of COBIT 5 • Principle 1 : Meeting Stakeholders Needs • Principle 2 : Covering the Enterprise from End-to-end • Principle 3 : Applying a Single Integrated Framework • Principle 4 : Enabling a Holistic Approach • Principle 5 : Separating Governance from Management • Implementation Guidance • The COBIT 5 Process Capability Model Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
25
COBIT 5 Livrables •
Volume 1 : A Business Framework for the Governance and Management of Enterprise IT • • • • • • • •
•
Appendix A : References Appendix B : Detailed Mapping Enterprise Goals – IT- related Goals Appendix C : Detailed Mapping IT-related Goals – IT-related Processes Appendix D : Stakeholder Needs and Enterprise Goals Appendix E : Mapping of COBIT 5 with most relevant related standards and frameworks (ISO/IEC 38500, ITIL V3 2011 - ISO/IEC 20000, ISO/IEC 27000 Series, ISO/IEC 3100 Series, TOGAF, CMMI, PRINCE2) Appendix F : Comparison between COBIT 5 Information Reference Model and the COBIT 4.1 information criteria Appendix G : Detailed description of COBIT 5 Enablers Appendix H : Glossary
Appendix G: Detailed description of COBIT 5 Enablers • • • • • • • •
Introduction COBIT 5 Enabler : Principles, Policies and Frameworks COBIT 5 Enabler : Processes COBIT 5 Enabler : Organisational Structures COBIT 5 Enabler : Culture, Ethics and Behaviour COBIT 5 Enabler : Information COBIT 5 Enabler : Services, Infrastructures and Applications COBIT 5 Enabler : People, Skills and Competencies Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
26
COBIT 5 Livrables • Volume 2 : Enabling Processes • Introduction • The Goals Cascade and Metrics for Enterprise Goals and IT-related Goals • • •
COBIT 5 Goals Cascade : Stakeholders Drivers, Stakeholders Needs, Enterprise Goals, Enterprise Goals, IT Goals, Enabler Goals Using the COBIT 5 Goals Cascade 17 Enterprise Goals, 17 IT-related Goals, 59 IT-related Goals metrics Metrics : Enterprise, IT
• The COBIT 5 Process Model •
Enabler Performance Management
• The COBIT 5 Process Reference Model • •
Governance and Management Processes (5 governance processes and 32 management processes) Model
• COBIT 5 Process Reference Guide Contents • •
Inputs and Outputs Generic Guidance for Processes : • EDM : Evaluate, Direct and Monitor • APO : Align, Plan and Organize • BAI : Build, Acquire and Implement • DSS : Deliver, Service and Support • MEA : Monitor, Evaluate and Assess
• • • • •
129 IT Process Goals 266 IT Process Goal Metrics 207 IT Practices 26 business and IT roles in IT Practices 1108 IT Activities
• Appendix A : Mapping between COBIT 5 and legacy ISACA Frameworks • Appendix B : Detailed Mapping Enterprise Goals and IT-related Goals • Appendix C : Detailed Mapping IT-related Goals and IT-related Processes Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
27
COBIT 5 Livrables • Volume 3 : Implementation • • • • • • •
Introduction Positioning GEIT Taking the first steps towards GEIT Identifying implementation challenges and success factors Enabling change Implementation life cycle tasks, roles and responsibilities Using the COBIT 5 components
• • • • •
Appendix A : Mapping Pain Points to COBIT 5 Processes Appendix B : Example Decision Matrix Appendix C : Mapping Example Risk Scenarios to COBIT 5 Processes Appendix D : Example Business Case Appendix E : COBIT 4.1 Maturity Attribute Table Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
28
COBIT 5 : Caractéristiques clés •
5 principes • • • • •
•
7 catégories de leviers • • • • • • •
•
Processus Information Principes & Politiques Culture, Ethique & Comportement Structures Organisationnelles Compétences Capacité de Services
Création de valeur : 3 objectifs •
•
Focalisé sur la création de valeur pour les parties prenantes Couvrant l’entreprise de bout en bout Référentiel Intégrateur Facilitant une approche holistique Structuré autour de la Gouvernance et du Management •
•
4 dimensions génériques par levier • parties prenantes • objectifs • cycle de vie • bonnes pratiques (attributs) 2 types d’Inicateurs de performance • ”lead” indicators • ”lag” indicators
Avantages (Benefits), Risques, Resources
Levier processus • •
3 aspects de gouvernance (EDM) : 5 processus 4 aspects de management (PBRM) : 32 processes Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
29
COBIT 5 : Principes
Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
30
COBIT 5 P1 : Focalisé sur les parties prenantes Création de valeur • Qui sont les Parties Prenantes? • Quels sont leurs intérêts? • Quelles avantages (benefits) ? • Avantages (Benefits) pour qui? • Quels niveau de risques ? • Risques pour qui? • Quelles ressources? • Ressources de qui et pour qui?
Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
31
COBIT 5 P1 : Focalisé sur les parties prenantes Cascade des objectifs • Mécanismes pour traduire les facteurs business déclenchant en objectifs business, objectifs SI et objectifs leviers spécifiques, exploitables et personnalisées • Ces besoins concernent les objectifs de gouvernance de tout type d’entreprise : créer des avantages (benefits), à un niveau de risque acceptable en utilisant les ressources de manière optimisée • Cette traduction permet l‘établissement d’objectifs spécifiques à chaque niveau et pour chaque domaine de l’entreprise en appui aux objectifs d’ensemble et aux attentes des parties prenantes • Les besoins des Parties Prenantes sont influencés par un certain nombre de facteurs • Modification de Stratégie • Modification d’environnement business et règlementaire • Evolutions technologiques, …. Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
32
COBIT 5 P2 : Couvrant l’entreprise de bout en bout
Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
33
COBIT 5 P3 : Référentiel intégrateur • Aligné avec les autres référentiels pertinents, ce qui permet d’utiliser COBIT 5 en tant que référentiel général de gouvernance et de management • Intègre l’ensemble des référentiels existants de l’ISACA en un seul référentiel • Propose une architecture simple pour structurer l’ensemble des référentiels, directives, bonnes pratiques et autres études (livres blancs,...) Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
34
COBIT 5 P4 : Facilitant une approche holistique COBIT 5 Leviers : Modèle systémique avec des leviers inter-agissant Les interconnections illustrent le fait qu’un levier •A besoin d’inputs des autres leviers pour être efficace (e.g. les processus ont besoin d’information, les structures organisationnelles ont beoin de personnes, les personnes ont besoin de compétences et de comportememts, et vice versa) •Livre des outputs au service d’autres leviers e.g. les processus livre de l’information, les compétences et les comportements font que les processus soient efficients,… Ex : Le besoin d’une information sécurisée nécessite qu’un certain nombre de directives et de procédures soit créé et mis en oeuvre. Ces directives à leur tour nécessite que des pratiques soient mis en oeuvre. Néanmoins, si la culture d’entreprise et du personnel n’est pas appropriée les procédures et les processus ne seront pas très efficaces Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
35
COBIT 5 P4 : Facilitant une approche holistique Tous les leviers ont des dimensions communes qui : •Fournissent une manière simple, structuré et commune de traiter les leviers •Permettent à une entité de “manager” ses interactions complexes •Favorisent des résultats positifs de ces leviers
Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
36
COBIT 5 P5 : Structuré autour de la Gouvernance et du Management Gouvernance (EDM) La Gouvernance s’assure que •Les besoins, conditions et options des parties prenantes soient évalués pour déterminer des objectifs d’entreprise équilibrés et acceptés d’être atteints •Les orientations soient fixées au travers de prioritisation et prise de décision •Le suivi de la perfomance de la conformité soit effectué par rapport aux orientation et objectifs pré-déterminés
Management (PBRM) Le Management planifie, construit, exploite et suit les activités de manière alignée avec les orientations fixées par les organes de gouvernance pour atteindre les objectifs d’entreprise
Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
37
COBIT 5 Modèle de Référence des Processus • Il illustre tous les processus IT normalement trouvée dans une entreprise, fournissant un modèle de référence commun compréhensible aussi bien par les managers business et informatiques. • Le modèle proposé est complet mais n’est pas le seul possible • Chaque entité doit définir ses propres processus en prenant en compte son contexte spécifique
Combien de processus illustrés? 37!Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
38
COBIT 5 Contenu du Guide Enabling Processes • Identification du Processus : Index, Nom, Zone, Domaine • Description du processus • But du processus • Objectifs IT associés and Métriques correspondants
• 17 Objectifs IT, 59 Métriques IT • Objectifs des Processus et métriques correspondants • Gouvernance : 15 Objectifs de Processus IT et 37 métriques des Processus IT • Management : 114 Objectifs de Processus IT et 229 métriques des Processus IT
• Tableaux RACI : 26 rôles Business et IT concernés par les 207 pratiques IT • Descriptions détaillées des pratiques • Description, inputs et outputs avec leur origine/destination, activités • Gouvernance : 12 Pratiques IT de Gouvernance et 79 activités IT de Gouvernance • Management : 195 Pratiques IT de Management et 1029 activités IT de Management
• Références et guides Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
39
COBIT 5 Information : Cycle Figure 35—COBIT 5 Metadata—Information Cycle
Generate and Process
Business Processes
Drive
IT Processes
Data
Value
Knowledge
Information Transform
Transform
Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
Create
40
COBIT 5 Information : Critères Qualité intrinsèque : valeurs des données en conformité aveC les valeurs réelles •Exactitude : correcte et fiable •Objectivité : non biaisée et impartial •Crédibilité : considérée comme vraie et crédible •Réputation : bien considérée en termes de source et de contenu
Qualité contextuelle et représentationnelle : s’applique à la tache de l’utilisateur de l’information et est présenté de manière claire et intélligible •Pertinence : applicable et utile pour la tâche à effectuer •Exhaustivité : pas absente et à un niveau suffisant pour la tâche à effectuer •Actualité : suffisamment à jour pour la tâche à effectuer •Quantité d’information appropriée : appropriée pour la tâche à effectuer •Représentation concise : représentée de manière compacte •Représentation constante : présentée dans le même format •Interprétabilité :dans des langages, symboles et unités appropriés, et définitions claires •Compréhensibilité : facilement compréhensible •Facilité de manipulation : facile à manipuler et appliquer aux différentes tâches
Qualité de sécurité et d’accès : disponible et à laquelle on peut accéder •Disponibilité : disponible lorsque cela est requis, ou facilement et rapidement récupérable •Accès restreint : accès restreint aux entités autorisées et actions désirées Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
41
COBIT 5 Information : Attributs A. Niveau physique: Media de l’information (papier, signaux électriques, ondes sonores) B Niveau empirique: Canal d’accès (interfaces utilisateurs) C. Niveau syntactique: Code/langage/format D. Niveau sémantique: Sens de l’information • Type d’information: financier/non financier, interne/externe, valeurs prévisionnelles/valeurs observées • Actualité de l’information: information sur la passé, le présent, le futur • Niveau d’aggrégation: ventes par année, trimestre, mois, …
E. Niveau pragmatique: Utilisation de l’information • Période de rétention: pendant combien de temps faut-il conservée l’information avant de la détruire • Statut de l’information: information est opérationnelle ou historique • Nouveauté: nouvelle connaissance ou confirmation de la connaissance existente (i.e. information vs confirmation) • Contingence: est requise pur précéder cette information (pour qu’elle soit considérée comme de l’information)
F. Niveau social: Contexte (contrats, loi, culture) Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
42
COBIT 5 Information : Attributs La conception et les spécifications du nouveau système doivent indiquer : • Niveau physique —Où est conservée l’information? • Niveau empirique—Comment peut-on y avoir accès? • Niveau syntactique—Comment sera-t-elle structurée et codifiée? • Niveau sémantique—Quelle sorte d’information? Quel est le niveau d’information? • Niveau pragmatique—Quels sont les délais de rétention? Quelles autres informations sont requises pour que cette information soit utile et utilisable?
Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
43
COBIT 5 Structures Organisationnelles: Attributs Composition : Les structures sont composées de membres qui sont ou représentent des parties prenantes internes et externes. Ils ont un rôle spécifique en fonction du contexte de la structure Périmètre : Frontières des droits décisionnels de la structure organisationnelle Niveau d’autorité: Décisions que la structure est autorisée à prendre Principes opérationnels : Modalités pratiques de fonctionnement de la structure (fréquence des réunions, documentation, règles,…) Pouvoirs de délégation : Structure peut déléguer ces droits décisionnels (ou un sosu-ensemble) à d’autres structures qui lui sont rattachées Procédures d’escalade : Le circuit d’escalade décrit les actions nécessaires en cas de problèmes pour prendre des décisions Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
44
COBIT 5 Principes, Directives et Référentiels: Attributs Hierarchie : principes, politiques, directives, normes, règlements, standards, recommendations, avis, guides,… Périmètre Validité Principes Opérationnels • • •
Conséquences suite à la non conformité avec une politique Mécanismes pour traiter les exceptions Manière par laquelle la conformité avec une politique sera vérifiée et mesurée
Politiques doivent être alignées aux niveaux d’appétit et de tolérance au risque Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
45
COBIT 5 Personnes et Compétences: Attributs Position Education Qualifications Expérience Savoir/Connaissance Savoir faire Savoir être Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
46
COBIT 5 Culture, Ethique et Comportements Attributs Aussi bien pour les organisations que pour les individus Valeurs Comportement • Prise de risques • Non conformité • Résultats (positif, negatif, …) : apprendre, blâmer, …
Incitations Eléments disuasifs Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
47
COBIT 5 Capacités de services : Attributs Services : Applications, Infrastructure, …. Niveaux de service Architecture • Réutilisation • Acquisition / Développement • Simplicité • Agilité • Ouverture
Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
48
COBIT 5 Guide de Mise en Oeuvre
Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
49
COBIT 5 Evaluation de Capacité des Processus • Le modèle de maturité des processus de COBIT 4.1 remplacé par le modèle de capacité basé sur ISO/IEC 15504 pour s’aligner et appuyer une initiative spécifique de l’ ISACA: Programme d’évaluation de COBIT • Plusieurs bénéfices associées •
Focalisation sur le fait de confirmer qu’un processus atteint son but et livre les résultats attendus
•
Simplification du contenu appuyant l’évaluation du processus
•
Fiabilité et répétabilité améliorées des activités d’évaluation de la capacité des processus, diminution des débats et désaccords entre parties prenantes sur les résultats des évaluations. Amélioration de l’utilisabilité des résultats de l’évaluation, dans la mesure où la nouvelle approche établit une base pour des évaluations plus formelles et rigoureuses, pour des besoins aussi bien internes qu’externes.
•
Conformité avec un standard généralement accepté d’évaluation des processus et donc meilleur soutien du marché pour ce type d’approche Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
50
COBIT 5 Modèle de Capacité des Processus Comparaison
COBIT 5 Modèle de Capacité des Processus Comparaison
COBIT 5 Sommaire des caractéristiques nouvelles • Augmentation de la couverture horizontale de l’information et de la technologie associée en tant qu’actif de l’entreprise •Complet : couvre non seulement les processus mais aussi les autres leviers nécessaire à une gouvernance et un management efficace et efficient des SI • 7 categories de leviers : structures organisationnelles, principes et directives, etc…
•Approche systémique : interdépendence dynamique des interconnections •Couvre l’ensemble du cycle de vie (création à la destruction)
Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
53
COBIT 5 Sommaire des caractéristiques nouvelles • Augmentation de la couverture verticale avec le business • Point de départ : parties prenantes et création de valeur pour elles (bénéfices pour qui? risques pour qui? ressources de et pour qui?) • Cascade des objectifs : à partir des objectifs business, aux objectifs SI, aux objectifs des leviers • Métriques de résultats et métriques de performance des leviers • Modèle d’évaluation de la capacité des leviers • Modèles génériques de gouvernance et de management (objectifs, leviers, critères de qualité, capacité, etc..) pouvant couvrir toutes les fonctions de l’entreprise • Modèle relative à l’information: l’information est la plus forte connection entre le business et la technologie Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
54
COBIT 5 Sommaire des caractéristiques nouvelles • Intègre ou se connecte aux autres référentiels • ISACA : COBIT 4.1, VAL IT, RISK IT, BMIS • Externes : ISO, ITIL, …
• Permet la personnalisation en fonction de son contexte spécifique • • • •
Relié aux objectifs des parties prenantes Intégrant les processus et activités spécifiques à son entreprise Utilisant des critères de qualité contextuels Aides/directives spécifiques pour des contextes spécifiques
Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
55
COBIT 5 Sommaire des caractéristiques nouvelles • Facile à comprendre, utiliser et maintenir • Structure flexible et exhaustive • Modèles génériques qui peuvent couvrir n’importe lequel des fonctions de l’entreprise • Langage cohérent • Concepts clarifiés: gouvernance, management, qualité, securité, … • Base de connaissances commune • Abilité à fournir des vues spécifiques pour des populations, problématiques et leviers particuliers • Aide prévue avec des outils en ligne : remplacement de COBIT Online, Web 2.0, centres de connaissance par sujet, …. Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
56
Benefices liés à l’utilisation de COBIT 5 • Au niveau de l’enterprise • Augmentation de la confiance dans la création de valeur au travers d’une gouvernance et d’un managementt efficace de l’information et des technologies associées • Augmentation de la satisfaction des utilisateurs business avec les services informatiques, l’informatique étant considéré comme levier clé • Amélioration de la conformité avec les lois, règlementations et politiques • Amélioration de la transparence dans la prise de décision
• Fonction Informatique plus focalisée sur le business • Plus d’agilité, d’alignement avec le business, d’optimisation des ressources et des risques
• Augmentation des contributions des utilisateurs de COBIT 5 Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
57
COBIT 5 Suite
Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
58
COBIT 5 : Prochains livrables
Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
59
COBIT 5 : Prochains livrables • Vues étendues de COBIT 5 • Publié : Securité (220 pages de bonnes pratiques de gouvernance et de managemet couvrant les 7 leviers avec des exemples) • • • • • • •
principes (3) et directives (13) type de compétences (7) structures organisationnelles (5) type d’information (10) et parties prenantes (34) type de comportements (8) capacités de services (27) objectifs des processus (79), pratiques (188), activités (378) et métriques (154)
• En cours : Risque, Assurance, Information Reference Guidance • Autres ? (Avantages i.e. Benefits, PME, Directions Générales, Privacy, etc…)
• COBIT Online development : Facteur clé du succès opérationnel de COBIT 5 •Identification des fonctionnalités : conférence calls, enquête auprès de 600 personnes, groupe de travail, … •Possibilité d’intégrer des évolutions ou guides pratiques supplémentaires ? •Connexion à l’initiative Stratégie 2022 de l’ISACA (Membership des organisations?, Guides sectoriels?, ….)
• Référentiel de Gouvernance et de Management intégré (Business et IT) : Illustrations et guides pratiques ? Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013
60
COBIT 5 Futur? Impact des tendances IT sur les référentiels/guides • Internet of things (10 B appareils accèdant à internet, 20 – 50 B appareils en réseau, 1,7 B de “mobiles” accèdant à nternet) • Préoccupations : autonomisation des utilisateurs, problèmes organisationnels • Gartner : “Les utilisateurs prendront plus de contrôle des appareils qu’ils utilisent”
• Explosion de l’information Digitale (5 dernières années x 10, 10 prochaines années x 50) • Préoccupations : création de valeur, traitement des données personnelles, structures orgnanisationnelles • Gartner : “Avant 2015, > 85% des entreprises du Fortune 500 seront défaillantes en matière d’exploitation du “big data” pour leur avantage concurrentiel • Rôle du DSI: leaders de services business, intégrateurs de service business, rôles diffus entre le DSI et le business, plus architecte de solutions et managers de fournisseurs • Gartner : “Avant 2015, 35% des dépenses corporate IT seront managées à l’extérieur de la DSI”. “Les DSI auront à coordonner ceux qui ont les budgets, délivrent les services, sécurisent les données, et les utilisateurs qui souhaiteront mettre en oeuvre et utiliser l’IT à leur propre rythme.” • InformationWeek Priorité N° 2 du DSI: “Make IT one with the business”
• Fournisseurs Cloud : augmentation de leur diffusion et de leur dépendance • Gartner : “A la fin 2016, > 50% des 1000 companies les plus importantes dans le monde auront des données clients dans le “public cloud “. “40% des entreprises feront d’une attestation indépendante de test de securité du cloud un prérequis pour l’utilisation de leurs services dans le cloud”
• Focalisation plus importante sur les risques opérationnels
Gouverner et Manager l’introduction de ces tendances est une 61 des préoccupations IT les plus importantes