Académique Documents
Professionnel Documents
Culture Documents
ISACA®
Forte de ses 95 000 membres répartis dans 160 pays, l’ISACA (www.isaca.org) est un chef de file mondial en matière
de connaissances, de certifications, de soutien à la communauté, de sensibilisation et de formation dans les domaines
de la sécurité et de l’audit des systèmes d’information (SI), de la gestion et de la gouvernance des TI de l’entreprises
ainsi que de la gestion du risque et de la conformité liés aux TI. Fondée en 1969, l’ISACA, organisme indépendant
et sans but lucratif, organise des conférences internationales, publie la revue ISACA Journal® et élabore des normes
internationales en audit et contrôle des systèmes d’information afin d’aider ses membres à promouvoir des systèmes
d’information de confiance et créateurs de valeur. Elle fait également progresser les connaissances et l’expertise en
matière de TI et les vérifie par le biais des certifications mondialement reconnues du CISA® (Certified Information
Systems Auditor®), du CISM® (Certified Information Security Manager®), du CGEIT® (Certified in the Governance of
Enterprise IT®) et du CRISCMC (Certified in Risk and Information Systems ControlMC). L’ISACA tient continuellement
à jour le référentiel COBIT®, qui aide les professionnels des TI et les dirigeants d’entreprise à s’acquitter de leurs
responsabilités en matière de gouvernance et de gestion des TI, notamment dans les domaines de l’audit, de la sécurité,
des risques, du contrôle et de la création de valeur pour l’entreprise.
Énoncé de qualité
Ce travail a été traduit en français à partir de la version anglaise du COBIT® 5 Mise en oeuvre par la section de Québec
de l’ISACA® avec la permission de l’ISACA®. La section de Québec de l’ISACA® assume l’entière responsabilité de
l’exactitude et de la fidélité de la traduction.
Quality Statement
This Work is translated into French from the English language version of COBIT® 5 Implementation by the ISACA®
Quebec Chapter with the permission of ISACA®. The ISACA® Quebec Chapter assumes sole responsibility for the
accuracy and faithfulness of the translation.
Copyright
© 2012 ISACA. Tous droits réservés. Pour obtenir des guides d’utilisation, consultez le www.isaca.org/COBITuse.
Copyright
© 2012 ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse.
Avertissement
L’ISACA a conçu cette publication, intitulée COBIT® 5 : Mise en oeuvre (le « document »), principalement à des fins
éducatives pour les professionnels de l’audit, de la gestion du risque, de la sécurité et de la gouvernance des TI de
l’entreprise (GEIT). L’ISACA ne fait aucune revendication voulant que l’utilisation de toute partie du travail assure un
résultat positif. Le travail ne doit pas être considéré comme comportant toute l’information, les procédures et les tests
nécessaires, ni comme excluant d’autres renseignements, procédures et tests destinés raisonnablement à obtenir les
mêmes résultats. Afin de déterminer si une information, une procédure ou un test spécifique est approprié, les lecteurs,
professionnels de la gouvernance des systèmes d’information et de l’audit, de la sécurité et des risques doivent se faire
leur propre opinion en fonction des cas particuliers rencontrés dans leur environnement.
Disclaimer
ISACA has designed this publication, COBIT®5 Implementation (the ‘Work’), primarily as an educational resource for
governance of enterprise IT (GEIT), assurance, risk and security professionals. ISACA makes no claim that use of any
of the Work will assure a successful outcome. The Work should not be considered inclusive of all proper information,
procedures and tests or exclusive of other information, procedures and tests that are reasonably directed to obtaining
the same results. In determining the propriety of any specific information, procedure or test, readers should apply
their own professional judgement to the specific GEIT, assurance, risk and security circumstances presented by the
particular systems or information technology environment.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
Téléphone : 1 847 253-1545
Télécopieur : +1 847 253-1443
Courriel : info@isaca.org
Site Web : www.isaca.org
Commentaires : www.isaca.org/cobit
Participez au centre de connaissances de l’ISACA : www.isaca.org/knowledge-center
Suivez ISACA sur Twitter : https://twitter.com/ISACANews
Joignez-vous aux discussions relatives à COBIT sur Twitter : #COBIT
Rejoignez l’ISACA sur LinkedIn : ISACA (officiel), http://linkd.in/ISACAOfficial
Aimez ISACA sur Facebook : www.facebook.com/ISACAHQ
2
Personal Copy of: Mr. Immanuel Alexandru Giulea
REMERCIEMENTS
REMERCIEMENTS
ISACA tient à remercier :
Le groupe de travail sur COBIT 5 (2009 à 2011)
John W. Lainhart, IV, CISA, CISM, CGEIT, IBM Global Business Services, USA, Co-chair
Derek J. Oliver, Ph.D., DBA, CISA, CISM, CRISC, CITP, FBCS, FISM, MInstISP,
Ravenswood Consultants Ltd., UK, Co-chair
Pippa G. Andrews, CISA, ACA, CIA, KPMG, Australia
Elisabeth Judit Antonsson, CISM, Nordea Bank, Sweden
Steven A. Babb, CGEIT, CRISC, Betfair, UK
Steven De Haes, Ph.D., University of Antwerp Management School, Belgium
Peter Harrison, CGEIT, FCPA, IBM Australia Ltd., Australia
Jimmy Heschl, CISA, CISM, CGEIT, ITIL Expert, bwin.party digital entertainment plc, Austria
Robert D. Johnson, CISA, CISM, CGEIT, CRISC, CISSP, Bank of America, USA
Erik H.J.M. Pols, CISA, CISM, Shell International-ITCI, The Netherlands
Vernon Richard Poole, CISM, CGEIT, Sapphire, UK
Abdul Rafeq, CISA, CGEIT, CIA, FCA, A. Rafeq and Associates, India
L'équipe de développement
Gert du Preez, CGEIT, PwC, Canada
Gary Hardy, CGEIT, IT Winners, South Africa
Dirk Steuperaert, CISA, CGEIT, CRISC, IT In Balance BVBA, Belgique
3
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
REMERCIEMENTS (SUITE)
Le conseil d’experts
Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belgium, Chairman
Michael A. Berardi Jr., CISA, CGEIT, Bank of America, USA
John Ho Chi, CISA, CISM, CRISC, CBCP, CFE, Ernst & Young LLP, Singapour
Phillip J. Lageschulte, CGEIT, CPA, KPMG LLP, USA
Jon Singleton, CISA, FCA, Auditor General of Manitoba (retired), Canada
Patrick Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, France
4
Personal Copy of: Mr. Immanuel Alexandru Giulea
TABLE DES MATIÈRES
Chapitre 4. Identification des défis de mise en œuvre et des facteurs de succès .......................................................27
Création d’un environnement approprié .......................................................................................................................27
Phase 1 – Quelles sont les motivations? ................................................................................................................27
Phase 2 – Où en sommes-nous? et Phase 3 – Où voulons-nous aller? ..................................................................29
Phase 4 – Que faut-il faire? ...................................................................................................................................30
Phase 5 – Comment y parvenir? ............................................................................................................................31
Phase 6 – Y sommes-nous arrivés? et Phase 7 – Comment maintenir le rythme? ................................................33
5
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
Chapitre 6. Tâches, rôles et responsabilités liés au cycle de vie de la mise en œuvre ................................................39
Introduction...................................................................................................................................................................39
Phase 1 – Quelles sont les motivations? ................................................................................................................39
Phase 2 – Où en sommes-nous? ............................................................................................................................42
Phase 3 – Où voulons-nous aller?..........................................................................................................................45
Phase 4 – Que faut-il faire? ...................................................................................................................................48
Phase 5 – Comment y parvenir? ............................................................................................................................51
Phase 6 – Y sommes-nous arrivés?........................................................................................................................53
Phase 7 – Comment maintenir le rythme?.............................................................................................................56
Annexe A. Cartographier les points critiques selon les processus de COBIT 5 ........................................................65
Annexe C. Cartographier les exemples de scénarios de risque selon les processus de COBIT 5.............................71
6
Personal Copy of: Mr. Immanuel Alexandru Giulea
LISTE DES FIGURES
7
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
8
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 1
INTRODUCTION
CHAPITRE 1
INTRODUCTION
COBIT 5 : Mise en œuvre complète de COBIT 5 (figure 1). L’objectif de ce guide de référence est de fournir de bonnes
pratiques concernant la mise en œuvre de la GEIT en fonction d’un cycle de vie d’amélioration continue qui doit être
adapté aux besoins particuliers de l’entreprise.
COBIT® 5
COBIT 5 Guides facilitants
COBIT® 5 : COBIT® 5 : Autres
Processus facilitants Information facilitante guides facilitants
Le référentiel COBIT 5 repose sur cinq principes de base, qui seront abordés en détail et comprend des directives
détaillées sur les facilitateurs pour la gouvernance et la gestion des TI de l’entreprise.
L’amélioration de la gouvernance des TI de l’entreprise (GEIT) est largement reconnue par les membres des hautes
directions comme étant une partie essentielle de la gouvernance des entreprises. À une époque où chaque aspect
du monde des affaires et de la vie publique est touché par l’importance sans cesse croissante de l’information et de
l’omniprésence des technologies de l’information (TI), il est plus nécessaire que jamais de générer davantage de
valeur des investissements en TI et de gérer un éventail croissant de risques liés aux TI. En raison des règlements de
plus en plus nombreux, les conseils d’administration prennent conscience de l’importance d’avoir un environnement
informatique bien contrôlé et de la nécessité de se conformer aux obligations légales, réglementaires et contractuelles.
Une GEIT efficace se traduira par l’amélioration de la performance des entreprises ainsi que par la conformité aux
exigences externes, bien qu’une mise en œuvre réussie demeure difficile pour de nombreuses entreprises. Une GEIT
efficace exige la présence d’un ensemble de facilitateurs dont les rôles et les responsabilités sont établis avec soin et
correspondent au style et aux normes opérationnelles de l’entreprise. Ces facilitateurs comprennent une culture et un
comportement appropriés; des principes directeurs et des politiques; des structures organisationnelles; des processus de
gouvernance et de gestion bien définis et gérés; les informations requises pour prendre des décisions; des solutions et
des services de soutien; des compétences appropriées en matière de gouvernance et de gestion.
Ce guide est également soutenu par des outils de mise en œuvre qui contiennent une variété de ressources en
amélioration constante et que les membres de l’ISACA peuvent télécharger au www.isaca.org/cobit. Ce guide inclut :
• Des outils d’autoévaluation, de mesure et de diagnostic
• Des présentations
• Des articles connexes et des explications supplémentaires
L’une des raisons courantes de l’échec de la mise en œuvre de la GEIT est que cette dernière n’est pas instaurée et gérée
correctement, comme devrait l’être un programme visant l’obtention de bénéfices. Les programmes de GEIT doivent
être parrainés par la haute direction, leur portée doit être correctement établie et ils doivent contenir des objectifs
réalisables de sorte que l’entreprise puisse gérer le changement tel que prévu. La gestion des programmes est donc
considérée comme partie intégrante du cycle de vie de la mise en œuvre.
La mise en œuvre de la GEIT
De plus, on suppose que si une approche de programme et de projet est
doit être gérée comme un recommandée dans le but de gérer efficacement les initiatives d’amélioration,
programme parrainé par la elle vise également à mettre en place une « pratique d’affaires reconnue » et une
haute direction, sa portée doit approche durable de la gouvernance et de la gestion des TI de l’entreprise, et ce,
comme pour tout autre aspect de la gouvernance de l’entreprise. Pour ces raisons,
être correctement établie et les fondements de l’approche de mise en œuvre consistent à donner les moyens
elle doit contenir des objectifs nécessaires aux parties prenantes des unités d’affaires et des TI pour prendre des
réalisables. décisions à l’égard des activités de gouvernance et de gestion des TI, et ce, en
facilitant et en favorisant le changement. Le programme de mise en œuvre sera
terminé lorsque le processus de l’amélioration des priorités et de la gouvernance liées aux TI générera un bénéfice
mesurable et fera partie intégrante des activités courantes de l’entreprise.
Ce document ne constitue pas une approche normative ni une solution exhaustive, mais plutôt un guide pour éviter
les pièges, pour tirer parti des bonnes pratiques et pour contribuer à l’atteinte de résultats positifs de gouvernance et
de gestion au fil du temps. Chaque entreprise appliquera son propre plan ou sa propre feuille de route en fonction de
facteurs tels que son secteur d’activité, son milieu, sa culture et ses objectifs. Le point de départ, à ce moment, sera tout
aussi important. Peu d’entreprises ne possèdent aucune structure ou aucun processus de GEIT, même si ces structures
ou ces processus ne sont pas reconnus comme tels pour le moment. Par conséquent, plutôt que de réinventer quelque
chose de différent, il faut bâtir sur ce que l’entreprise a déjà mis en place, et particulièrement tirer parti des approches
existantes et fructueuses à l’échelle de l’entreprise qui peuvent être adoptées et, si nécessaire, être adaptées aux TI. En
outre, il n’est pas nécessaire de retravailler les améliorations précédentes utilisant COBIT 4.1 ou d’autres normes et
bonnes pratiques, mais elles peuvent, et doivent être, mises en place en utilisant COBIT 5 et ce guide mis à jour, en tant
que partie intégrante de l’amélioration continue.
Les utilisateurs de ce guide ont intérêt à se familiariser avec la GEIT, et l’équipe responsable de la mise en œuvre
doit avoir l’expertise nécessaire pour mettre en œuvre avec succès la GEIT à l’aide de COBIT 5. La mise en place de
programmes éducatifs assurera une bonne compréhension des concepts de COBIT 5, permettra d’expliquer comment
utiliser les composants de COBIT 5 et la façon d’appliquer cette méthode de mise en œuvre, et fournira d’autres
directives connexes en provenance de l’ISACA, y compris l’évaluation de la capacité des processus et les activités
d’assurance qui se basent sur COBIT 5. Le programme « Certified in the Governance of Enterprise IT » (CGEIT) de
l’ISACA prend également en charge le développement et la reconnaissance des aptitudes et des compétences en matière
de gouvernance des TI.
COBIT 5 peut être téléchargé gratuitement au www.isaca.org/cobit. Vous trouverez également sur cette page un lien
vers les produits de l’ISACA offerts pour soutenir la mise en œuvre.
Ce guide présente une meilleure compréhension et une expérience pratique liées à la mise en œuvre de la GEIT, les
leçons apprises lors de l’application et de l’utilisation de versions antérieures, et les mises à jour qui ont été apportées
par l’ISACA aux orientations de la GEIT. Puisque les TI évoluent rapidement, les utilisateurs de ce guide devraient
également être familier avec les publications professionnelles de l’ISACA ainsi que les normes et les bonnes pratiques
provenant d’autres organisations et qui peuvent être publiées de temps à autre pour traiter de nouveaux sujets.
CHAPITRE 2
POSITIONNEMENT DE LA GEIT
Compréhension du contexte
La GEIT ne se fait pas en vase clos. Sa mise en œuvre se déroule dans différentes conditions et circonstances
déterminées par de nombreux facteurs provenant de milieux internes et externes, tels que :
• L’éthique et la culture de la communauté
• Les lois, les règlements et les politiques applicables
• Les normes internationales
• Les pratiques de l’industrie
• L’environnement concurrentiel
• Les éléments qui suivent et qui concernent l’entreprise :
– Sa mission, sa vision, ses objectifs et ses valeurs
– Ses politiques et ses pratiques de gouvernance
– Sa culture et son style de gestion
– Ses modèles en matière de rôles et de responsabilités
– Ses plans d’affaires et ses intentions stratégiques
– Son modèle d’exploitation et son niveau de maturité
Par conséquent, la mise en œuvre de la GEIT sera différente pour chaque entreprise; le contexte doit être compris et
considéré pour concevoir un environnement optimal pour la GEIT, qu’il s’agisse d’un nouvel environnement ou d’un
environnement amélioré.
Le terme gouvernance provient du verbe grec kubernáo, qui signifie « orienter ». Un système de gouvernance permet
à plusieurs parties prenantes d’une entreprise d’avoir un droit de parole prévu sur l’évaluation des conditions et
des options, la définition de l’orientation et le suivi de la performance par rapport aux objectifs de l’entreprise. Le
conseil d’administration ou une entité équivalente est responsable d’établir et de maintenir l’approche de gouvernance
appropriée.
La gouvernance assure que les besoins, les conditions et les options des parties prenantes sont évalués dans
le but de déterminer des objectifs d’entreprise équilibrés et qui font consensus; elle permet de déterminer
l’orientation par l’établissement de priorités et la prise de décisions; elle permet de surveiller la performance
et la conformité concernant les orientations et les objectifs convenus.
La GEIT n’est pas une discipline isolée, mais bien une partie intégrante de la gouvernance d’une entreprise. Alors
que la nécessité d’une gouvernance à l’échelle de l’entreprise est principalement attribuable à la livraison de la valeur
pour les parties prenantes ainsi qu’à la demande de transparence et de gestion efficace du risque de l’entreprise, il
est nécessaire de mettre l’accent sur une GEIT dédiée et intégrée en raison des possibilités, des coûts et des risques
importants associés aux TI. La GEIT permet à une entreprise de profiter au maximum de ses TI, ce qui maximise les
bénéfices, permet de profiter des opportunités et procure un avantage compétitif.
Les TI peuvent être une ressource puissante pour aider les entreprises à atteindre leurs objectifs les plus importants.
À titre d’exemple, les TI peuvent générer des économies lors de transactions importantes, comme des fusions, des
acquisitions et des désinvestissements. Les TI peuvent permettre l’automatisation de processus clés, comme la chaîne
13
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
Bien que les TI aient le potentiel de transformer les affaires, elles représentent souvent un investissement très
important. Dans de nombreux cas, le coût réel des TI n’est pas transparent et les budgets sont répartis dans toutes les
unités d’affaires, les fonctions et les emplacements géographiques, et ce, sans supervision générale. La majorité des
dépenses est souvent dédiée aux initiatives visant à « demeurer fonctionnels » (initiatives de maintenance après la mise
en œuvre et coûts opérationnels) par opposition aux initiatives de transformation ou d’innovation. Lorsque des fonds
sont dépensés pour des initiatives stratégiques, il est fréquent qu’ils ne livrent pas les résultats attendus. Beaucoup
d’entreprises ne parviennent pas encore à démontrer une valeur commerciale concrète et mesurable pour leurs
investissements en TI et se concentrent sur la GEIT comme mécanisme pour remédier à cette situation.
En outre, l’économie en réseau comporte une variété de risques liés aux TI, comme
la non-disponibilité des systèmes d’affaires orientés client, la divulgation de
La plus récente étude sur la données exclusives ou de données sur la clientèle, ou les opportunités d’affaires
GEIT a permis de constater de manquées en raison d’une architecture informatique inflexible. La nécessité de
gérer ces situations ainsi que d’autres types de risques liés aux TI représente une
nombreux résultats positifs autre source de motivation pour le développement d’une meilleure GEIT.
pour les TI et les entreprises
en raison de l’adoption de L’importance de la GEIT peut également être attribuée à la réglementation
complexe à laquelle sont soumises aujourd’hui les entreprises dans de nombreux
pratiques liées à la GEIT. secteurs d’activité et sur différents territoires; une réglementation touchant souvent
directement les TI. En raison de l’accent mis sur les rapports financiers, on a
également accordé une grande importance aux contrôles liés aux TI. L’utilisation
de bonnes pratiques, telles que celles proposées par COBIT, a été exigée dans certains pays et pour certaines industries.
C’est notamment le cas pour la Banking Regulation and Supervision Agency (BRSA) de la Turquie, qui a exigé que
toutes les banques opérant en Turquie adoptent les bonnes pratiques de COBIT en matière de gestion des processus liés
aux TI. Le rapport Gouvernance d’entreprise en Afrique du Sud – King III – inclut, pour la première fois dans un code
national de gouvernance, un principe visant à implanter la GEIT et recommande l’adoption de cadres tels que COBIT.
Un cadre de gouvernance des TI peut permettre d’atteindre plus efficacement des exigences de conformité complexes.
La plus récente étude1 sur la GEIT menée par l’ISACA et PwC a examiné les principales initiatives liées aux TI que
planifiaient les répondants au cours des 12 prochains mois :
• 46 % des répondants planifiaient une importante mise en œuvre ou mise à niveau de leurs systèmes de TI.
• 45 % planifiaient des initiatives liées aux données ou à l’information.
Il s’agit là d’exemples d’initiatives pour lesquels les contextes sont complexes (parties prenantes multiples provenant de
différentes unités d’affaires et de TI) et qui renforcent la nécessité de mettre en place des facilitateurs appropriés pour la
GEIT.
En outre, l’étude sur la GEIT a permis de constater de nombreux résultats positifs pour les TI et les entreprises en
raison de l’adoption de pratiques liées à la GEIT.
• 38 % des répondants ont mentionné avoir observé une réduction des coûts des TI.
• 27 % ont connu une amélioration de la rentabilité des investissements dans les TI.
• 42 % des répondants ont signalé une amélioration de la gestion du risque lié aux TI.
• 28 % des répondants ont connu une amélioration de leur compétitivité.
1
ITGI, Global Status Report on the Governance of Enterprise IT (GEIT), É.-U., 2011
14
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 2
POSITIONNEMENT DE LA GEIT
Le cadre et les facilitateurs qui en résultent doivent être alignés sur, entre autres :
• Les politiques de l’entreprise, les stratégies, la gouvernance, les plans d’affaires et les approches d’audit.
• Le cadre de gestion du risque de l’entreprise.
• L’organisation, les structures et les processus de gouvernance existants.
COBIT 5 est conçu pour les entreprises de tous les types et de toutes les tailles, y compris celles à but non lucratif et
celles du secteur public; il est aussi conçu pour offrir des avantages commerciaux aux entreprises, y compris :
• L’augmentation de la création de valeur découlant de l’utilisation des TI; la satisfaction de l’utilisateur concernant
l’engagement et aux services des TI; la réduction des risques liés aux TI; et la conformité avec les lois, les règlements
et les exigences contractuelles.
• Le développement de solutions et services des TI plus centrés sur les affaires.
• La participation accrue, à l’échelle de l’entreprise, à des activités liées aux TI.
15
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
Principes et facilitateurs
COBIT 5 se base sur cinq principes et sept facilitateurs. Les principes qui sous-tendent COBIT 5 sont définis à la
figure 2.
1. Répondre aux
besoins des
parties prenantes
5. Séparer la
gouvernance 2. Couvrir
de la l’entreprise
gestion de bout en bout
Principes de
COBIT 5
4. Faciliter 3. Appliquer
une approche un référentiel
holistique unique et
intégré
Les facilitateurs qui doivent être pris en compte pour favoriser l’atteinte des objectifs liés au cadre de l’entreprise et
offrir de la valeur sont les suivants :
• Principes, politiques et référentiels
• Processus
• Structures organisationnelles
• Culture, éthique et comportement
• Information
• Services, infrastructures et applications
• Personnes, aptitudes et compétences
COBIT 5 comprend des processus qui aident à créer et à maintenir les facilitateurs de gouvernance et de gestion :
• EDS01 Assurer la définition et l’entretien d’un cadre de gouvernance (culture, éthique et comportement; principes,
politiques et cadres; structures organisationnelles; et processus).
• APO01 Gérer le cadre de gestion des TI (culture, éthique et comportement; principes, politiques et cadres; structures
organisationnelles; et processus).
• APO03 Gérer l’architecture de l’entreprise (information; services, infrastructures et applications).
• APO07 Gérer les ressources humaines (personnel, aptitudes et compétences).
Les cinq processus de gouvernance et de gestion de COBIT veillent à ce que les entreprises organisent leurs activités
liées aux TI d’une manière reproductible et fiable. Le modèle de référence de processus de COBIT 5, avec 5 domaines
et 37 processus qui forment la structure de l’orientation détaillée de COBIT 5, est décrit en détail dans COBIT® 5 :
Processus facilitants.
COBIT 5 se base sur une vision d’entreprise et s’aligne avec les bonnes pratiques de gouvernance de l’entreprise, ce
qui permet à la GEIT d’être mise en œuvre en tant que partie intégrante de la gouvernance globale de l’entreprise.
COBIT 5 fournit également une base pour intégrer efficacement d’autres référentiels, normes et pratiques, comme
l’Information Technology Infrastructure Library (ITIL®), le The Open Group Architecture Forum (TOGAF®) et
l’Organisation internationale de normalisation (ISO)/Commission électrotechnique internationale (CEI) 27000. Il
est également aligné sur la norme de la GEIT, ISO/CEI 38500:2008, qui définit les principes de haut niveau pour
la gouvernance des TI et qui couvre la responsabilité, la stratégie, l’acquisition, la performance, la conformité et le
comportement humain qu’un groupe de gouvernance, comme un conseil d’administration, doit évaluer, diriger et
surveiller. COBIT 5 est un référentiel global unique qui constitue une source cohérente et intégrée d’orientations
présentées dans un langage commun, non technique et indépendant des technologies.
16
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 3
PREMIERS PAS VERS LA GEIT
CHAPITRE 3
PREMIERS PAS VERS LA GEIT
Création de l’environnement approprié
Il est important que l’environnement approprié soit en place lors de la mise en
œuvre des améliorations de la GEIT. Cela permet de garantir que l’initiative elle- La direction de l’entreprise
même est régie et qu’elle est correctement guidée et soutenue par la direction. Les
initiatives importantes concernant les TI échouent souvent en raison d’un manque
doit préciser et concevoir
d’orientation, de soutien et de surveillance de la part de la direction. La mise en les principes directeurs, les
œuvre de la GEIT n’est pas différente; elle a plus de chances de réussir si elle est droits de décision et le cadre
bien régie et gérée.
de responsabilisation pour
Une orientation et un soutien inadéquats de la part des principales parties prenantes la gouvernance des TI de
peuvent, par exemple, faire en sorte que des initiatives concernant la GEIT l’entreprise.
produisent de nouvelles politiques et procédures qui n’ont pas de propriétaire
approprié. Les améliorations apportées aux processus sont peu susceptibles de
devenir des pratiques d’affaires normales sans une structure de gestion qui attribue les rôles et les responsabilités,
s’assure de leur fonctionnement continu et surveille la conformité.
Un environnement approprié doit donc être créé et maintenu pour garantir que la GEIT est mise en œuvre en tant que
partie intégrante d’une approche globale de la gouvernance au sein de l’entreprise. Ceci doit inclure l’orientation et
la supervision adéquates de l’initiative de mise en œuvre, y compris les principes directeurs. L’objectif est de fournir
un engagement, une orientation et un contrôle suffisants des activités afin qu’elles soient alignées sur les objectifs de
l’entreprise et qu’elles aient le soutien nécessaire du conseil d’administration et des cadres supérieurs pour leur mise en
œuvre.
L’expérience montre que, dans certains cas, une initiative de GEIT identifie des faiblesses importantes dans la
gouvernance globale d’une entreprise. Le succès de la GEIT est beaucoup plus difficile à obtenir dans un contexte
d’affaiblissement de la gouvernance d’une entreprise; par conséquent, il est encore plus critique d’obtenir le soutien
actif et la participation des directeurs seniors. Le conseil d’administration doit être conscient de la nécessité d’améliorer
la gouvernance globale ainsi que du risque de voir échouer la GEIT si cela n’est pas réalisé.
L’une des meilleures façons d’officialiser la GEIT et de fournir aux directeurs et au conseil d’administration un
mécanisme de supervision et de direction des activités liées aux TI, qui consiste à mettre sur pied un comité stratégique
des TI.3 Ce comité agit au nom du conseil d’administration (auquel il rend compte); il est responsable de la façon dont
les TI sont utilisées dans l’entreprise ainsi que de la prise de décisions clés concernant les TI de l’entreprise. Il doit
avoir un mandat clairement défini et devrait être présidé par un dirigeant de l’entreprise (idéalement un membre du
conseil d’administration); il doit inclure des cadres supérieurs de l’entreprise qui représentent les principales unités
d’affaires ainsi que le dirigeant principal de l’information et, si nécessaire, d’autres hauts responsables des TI. Les
fonctions d’audit et de risque internes devraient jouer un rôle consultatif.
2
L’annexe B contient un exemple de matrice de prise de décisions.
3
Souvent appelé comité de pilotage des TI, conseil des TI, comité exécutif des TI ou comité de gouvernance des TI.
17
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
Les dirigeants doivent prendre des décisions en se basant sur l’opinion des gestionnaires d’affaires et des TI, des
auditeurs et d’autres intervenants. Le référentiel COBIT 5 facilite ce processus en fournissant un langage commun pour
que les cadres puissent communiquer les objectifs et les résultats attendus.
Les figures 3 et 4 donnent des exemples de rôles génériques pour les parties prenantes clés ainsi que les responsabilités
des acteurs de la mise en œuvre lors de la création de l’environnement approprié pour soutenir la gouvernance et
garantir de bons résultats. Dans la section suivante, des tableaux similaires sont fournis pour chaque phase du cycle de
vie de la mise en œuvre.
Figure 3 – Rôles nécessaires pour la création de l’environnement approprié
Lorsque vous êtes... Votre rôle dans la création de l’environnement approprié est de...
Conseil d’administration et Établir l’orientation du programme, assurer son alignement sur la gouvernance et la gestion du risque à l’échelle
direction de l’entreprise, approuver les rôles clés du programme, définir les responsabilités et apporter un soutien et un
engagement visibles. Parrainer, communiquer et promouvoir l’initiative convenue.
Gestion des unités d’affaires Fournir les parties prenantes et les champions appropriés pour promouvoir l’engagement et pour soutenirle
programme. Déterminer les rôles clés au sein du programme, puis définir et attribuer les responsabilités.
Gestion des TI Veiller à ce que l’entreprise et les cadres supérieurs comprennent les enjeux et les objectifs de haut niveau liés
aux TI. Déterminer les rôles clés au sein du programme, puis définir et attribuer les responsabilités. Nommer une
personne pour conduire le programme en conformité avec l’entreprise.
Audit interne S’entendre sur le rôle et sur les modalités des rapports pour la participation aux audits. S’assurer qu’un niveau
adéquat de participation de l’unité d’audit est maintenu pour toute la durée du programme.
Risques, conformité et S’assurer qu’un niveau adéquat de participation est maintenu pour toute la durée du programme.
juridique
me
tio n
TI
ité
s
r am
al d
t ra
n ité
d es
TI
o rm
in is
su s d e s
D ir rm atiorin cip
d es
TI
ro g
re s s u
u tif
onf
d es
dm
up
d 'a an t n
f fai s d e
ce s re s
e
x éc
et c
I
r
p
es T
n ai
d ’a
ed
p ro rié tai
l'in an t
e
u es
tio n
l
ité
it d
t ag
se i
ig e
ig e
fo
p
Co m
Risq
Co n
Aud
Pilo
G es
Activités clés
Pro
D ir
La figure 6 illustre les sept phases du cycle de vie de la mise en œuvre. Le programme de mise en œuvre et
d’amélioration est habituellement continu et itératif. Au cours de la dernière phase, de nouveaux objectifs et de
nouvelles exigences seront déterminés et un nouveau cycle sera initié.
La nécessité d’adopter une initiative liée à la GEIT est souvent déclenchée par des états de situation de haut niveau ainsi
que des évaluations et des audits. Ces résultats peuvent être utilisés comme point de départ de la phase 1.
18
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 3
PREMIERS PAS VERS LA GEIT
nvironnement appro
réer l’e prié
C
ion de programme
Gest
changem
iliter le ent
Fac
Cycle de vie
d’amélioration
continue
e ryth
me? 1 Quelles so
te nir l nt l
es
in
ma mo
nt Lancer tiv
e ser un p at
om
m
Révi acité ro io
C ffic gra
ns
l’e mm
?
7
Établir
e
?
e de cha le be
uivr
vés
urs nge so
ces
Dé t les p
Où
Po me in
arri
n
e
fini
néfi
en
6 Y sommes-nous
Recon
iller
r les ssibilités
le b naît
Fo
rve
velles appro ou-
somm
s
Réaliser des bé
Su et er d’aesoin r
che
rme antation
d’i
• Gestion du programme
n
u
e
al gir
m
v
Intégrer de
r une
é
problèmes
(anneau externe)
pl
es-nous?
r
Évaltat
r
Utilise
mesure
actu
l’é
et
• Moteur de changement
équipe
uer
el
(anneau du milieu)
U t il liora
ét n ir
amé
D é l’
is e t
le
l
io n e s
r
su que
(anneau interne)
te
c
E x u tili
ts
s Cré er d es
ro u
et
ré u n i
lta
a m é li
plo s
ora tio n s
Exé
le r?
e
5C
m
it
er r m
de
C o es
cu
s al
l
om
le
ter
Identifier les
u il
ou
me
le
pl a cteurs
fe
s- n
an la
nt
ir
on
fin
yp
rv Dé
ul
Pla n vo
a
en ifier le programme
ir ? Où
3
4 Q u e f a u t- i l f a i re ?
19
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
Phase 2 – Où en sommes-nous?
La phase 2 permet d’aligner les objectifs liés aux TI avec les stratégies et les risques d’entreprise. La priorité est donnée
aux plus importants objectifs de l’entreprise, objectifs des TI et processus. COBIT 5 fournit une cartographie générique
des objectifs de l’entreprise par rapport aux objectifs des TI et aux processus des TI afin d’aider lors de la sélection.
Une fois les objectifs de l’entreprise et des TI sélectionnés, des processus critiques sont déterminés; ceux-ci doivent
avoir les capacités adéquates pour garantir de bons résultats. La direction doit connaître ses capacités actuelles et les
lacunes possibles. Pour ce faire, il faut réaliser une évaluation des capacités actuelles de traitement pour les processus
sélectionnés.
La gestion de programme et de projet se base sur les bonnes pratiques et fournit des points de contrôle à chacune des
sept phases afin de garantir que la performance du programme est sur la bonne voie, que le dossier d’affaires et les
risques sont mis à jour, et que la planification de la phase suivante est ajustée au besoin. On assume que l’approche
standard de l’entreprise est respectée. Des indications supplémentaires sur la gestion du programme et du projet se
trouvent également dans le processus BAI01 de COBIT 5. Bien que la production de rapports ne soit pas mentionnée
explicitement dans l’une des phases, elle doit être réalisée à toutes les phases et itérations.
Le temps passé pour chaque phase variera énormément selon, entre autres, l’environnement de l’entreprise, sa
maturité et la portée de l’initiative de mise en œuvre ou d’amélioration. Toutefois, le temps global consacré à chaque
itération du cycle de vie complet ne doit idéalement pas dépasser six mois et les améliorations doivent être appliquées
progressivement. Dans le cas contraire, il y a un risque d’affecter la dynamique du projet ainsi que l’acceptation par les
parties prenantes et l’attention de ces dernières. L’objectif est de mettre en place les améliorations de façon régulière.
20
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 3
PREMIERS PAS VERS LA GEIT
Les initiatives de plus grande envergure doivent être structurées comme de multiples itérations du cycle de vie.
Au fil du temps, le cycle de vie sera répété de façon itérative pour que se bâtisse une approche durable. Lorsque les
phases du cycle de vie font partie des activités quotidiennes et que l’amélioration continue se produit naturellement,
cela signifie que le processus est bien ancré dans les pratiques d’affaires.
21
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
• Les limites qu’imposent les TI aux capacités d’innovation et à l’agilité de l’entreprise. Il est couramment
reproché aux TI de jouer un rôle de fonction de soutien, alors qu’il est nécessaire que les capacités d’innovation
fournissent un avantage concurrentiel. Ce sont des symptômes qui peuvent refléter un manque d’alignement
bidirectionnel véritable entre les affaires et les TI, ce qui pourrait être causé par des problèmes de communication ou
de participation des affaires dans la prise de décisions liées aux TI. Cela pourrait aussi être causé par une implication
trop tardive des TI lors de la planification stratégique et lors d’initiatives pilotées par les affaires. Ce problème devient
généralement visible lorsque les conditions économiques nécessitent des réponses rapides de la part de l’entreprise,
comme l’introduction de nouveaux produits ou services.
• Une mauvaise performance des TI ou des problèmes de qualité des services des TI rapportés fréquemment par
les audits. Cela peut indiquer l’absence de niveaux de service ou leur mauvais fonctionnement, ou encore le manque
d’implication des affaires dans la prise de décisions liées aux TI.
• Les dépenses cachées et indésirables en TI. Une vision suffisamment transparente et complète des dépenses et des
investissements concernant les TI est souvent manquante. Les dépenses en TI peuvent souvent être « cachées » dans
les budgets des unités d’affaires ou non classées comme des dépenses en TI, ce qui crée une vue d’ensemble biaisée
des coûts des TI.
• La duplication ou le chevauchement des initiatives ou le gaspillage des ressources. Cela est souvent causé par
l’absence de portefeuilles ou d’une vision globale de toutes les initiatives des TI, et indique une absence de processus
et de capacité structurelle de décision liées aux portefeuilles et à la gestion de la performance.
• Des ressources insuffisantes liées aux TI ainsi qu’un manque de compétences de la part des employés, leur
épuisement et leur insatisfaction. Ce sont d’importants problèmes de gestion des ressources humaines; pour assurer
que la gestion du personnel et le perfectionnement des compétences sont traités efficacement, une surveillance
efficace et une bonne gouvernance sont nécessaires. Cela pourrait également être le signe, entre autres, de faiblesses
sous-jacentes dans les pratiques de gestion de la demande concernant les TI et de prestation de services internes.
• De fréquents échecs de mise en place de changements visant à répondre aux besoins d’affaires liés aux TI ainsi
qu’une livraison effectuée en retard ou encore des coûts qui surpassent les budgets. Ces points de douleur sont
peut-être liés à des problèmes d’alignement entre les affaires et les TI, à la définition des besoins de l’entreprise, à
l’absence d’un processus de réalisation des bénéfices ou à des processus de gestion de projet/programme et de mise en
œuvre perfectibles.
• Des efforts d’assurance multiples et complexes des TI. Cela pourrait être le signe d’une mauvaise coordination
entre les affaires et les TI à propos de la nécessité de réaliser des examens d’assurance des TI. Une faible confiance
de l’entreprise envers les TI pourrait représenter une cause sous-jacente, ayant pour effet que les unités d’affaires font
leurs propres examens. Une autre cause pourrait être un manque de prise de responsabilités adéquate de la part des
unités d’affaires envers les examens d’assurance des TI, faisant en sorte que les affaires ignorent quand ils ont lieu.
• La réticence des membres du conseil d’administration, de la dirigeants de l’entreprise ou des cadres supérieurs
à s’engager envers les TI, ou le manque de promoteurs de l’entreprise engagés et satisfaits envers les TI. Ce
sont deux points de douleur qui découlent souvent d'un manque de compréhension et de connaissance des TI par
les affaires, ou d’un manque de visibilité des TI aux niveaux appropriés, d’un manque de structures de gestion ou
d’enjeux liés aux mandats du conseil d’administration, souvent causés par une mauvaise communication entre les
affaires et les TI, ainsi que par une mauvaise compréhension des unités d’affaires et des promoteurs de l’entreprise
envers les TI.
• Des modèles complexes pour l’exploitation des TI. La complexité inhérente aux organisations des TI décentralisées
ou fédérées, par exemple, qui ont souvent des structures, des pratiques et des politiques différentes, nécessite qu’un
fort accent soit mis sur la GEIT pour assurer une prise de décisions et des opérations optimales concernant les TI. La
mondialisation rend souvent ce point de douleur plus important, car chaque territoire ou région peut avoir des facteurs
environnementaux internes et externes spécifiques et potentiellement uniques.
22
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 3
PREMIERS PAS VERS LA GEIT
humaines (RH) ou l’approvisionnement. Cela peut avoir des répercussions sur les TI, comme la consolidation des
applications fragmentées des TI ou des domaines d’infrastructure, et ce, en apportant des changements associés
aux structures ou aux processus de prise de décisions liés aux TI qui régissent ces applications et ces domaines.
L’externalisation de certaines fonctions liées aux TI et de certains processus d’affaires peut également mener à mettre
l’accent sur la GEIT.
• Nouvelles exigences réglementaires ou de conformité – Par exemple, des exigences accrues en matière de rapports
de gouvernance d’entreprise et de règlements financiers rendent nécessaires l’amélioration de la GEIT ainsi que la
protection des renseignements, et ce, en raison de l’omniprésence des TI.
• Changements technologiques importants ou changement de paradigme – Un exemple est la migration
de certaines entreprises vers une architecture orientée sur les services (AOS) et l’infonuagique. Cela change
fondamentalement la façon dont la fonctionnalité des infrastructures et des applications est développée et livrée; cela
peut en retour nécessiter d’apporter des changements à la façon dont sont gérés les processus associés et les autres
facilitateurs.
• Focalisation sur la gouvernance à l’échelle de l’entreprise, ou projets liés – De tels projets déclencheront
probablement des initiatives en matière de GEIT.
• L’arrivée d’un nouveau dirigeant principal de l’information, d’un directeur financier, d’un chef de la direction
ou d’un membre du conseil d’administration – La nomination de nouveaux dirigeants peut souvent mener à une
évaluation des initiatives et des mécanismes existants en matière de GEIT, le tout visant à régler les points faibles.
• Audits externes ou évaluation par des consultants – Une évaluation par une tierce partie en conformité avec les
pratiques appropriées peut généralement être le point de départ d’une initiative d’amélioration de la GEIT.
• Nouvelle stratégie ou priorité de l’entreprise – Mettre en œuvre une nouvelle stratégie d’entreprise aura des effets
sur la GEIT. Par exemple, une stratégie d’entreprise visant à se rapprocher de ses clients (c’est-à-dire, savoir qui ils
sont et quels sont leurs besoins, et ensuite répondre à ces besoins de la meilleure façon possible) peut exiger plus de
liberté en matière de prise de décisions liées aux TI à l’échelle de l’unité d’affaires ou du pays plutôt qu’à l’échelle de
l’entreprise.
• Volonté d’améliorer de façon importante la valeur des TI – La GEIT peut devenir prioritaire lorsque survient
la nécessité d’améliorer l’avantage concurrentiel, d’être innovant, d’optimiser les actifs ou de créer de nouvelles
occasions d’affaires.
La nécessité d’agir doit être reconnue, largement sollicitée et communiquée. Cette communication peut prendre
la forme d’un appel à l’action (dans lequel on discute des points de douleur) ou d’une annonce d’une occasion
d’amélioration à saisir et d’une présentation des bénéfices qui en découleront. Les points de douleur ou les événements
déclencheurs actuels de la GEIT constituent un point de départ. L’identification de ceux-ci peut généralement être faite
grâce à des états de situation de haut niveau, des diagnostics ou des évaluations de capacités. Ces techniques présentent
l’avantage supplémentaire de créer un consensus sur les questions à aborder. Il peut être bénéfique de demander à un
tiers de procéder à un examen pour obtenir une vision de haut niveau, indépendante et objective de la situation actuelle,
ce qui peut accroître l’acceptation du fait qu’il est nécessaire d’adopter des mesures.
Dès le départ, il est nécessaire de s’efforcer d’obtenir l’engagement et l’acceptation du conseil d’administration et de
la haute direction. Pour ce faire, le programme de GEIT, ses objectifs et ses bénéfices doivent être clairement exprimés
sur le plan des affaires. Un sentiment adéquat d’urgence doit être inculqué. En outre, le conseil d’administration et la
haute direction doivent être conscients de la valeur que des TI bien gérées peuvent apporter à l’entreprise ainsi que le
risque lié à l’inaction. Cela permettra également de prendre en compte, dès le départ, l’alignement entre le programme
de GEIT, les objectifs et la stratégie de l’entreprise, les objectifs de l’entreprise concernant les TI, la gouvernance de
l’entreprise et les initiatives de gestion du risque de l’entreprise (le cas échéant). L’identification et la réalisation de
certains gains rapides (problèmes visibles qui peuvent être résolus relativement rapidement et qui aident à établir la
crédibilité de l’initiative globale en démontrant les bénéfices) peuvent constituer un mécanisme utile pour obtenir
l’engagement de la part du conseil d’administration.
Une fois que l’orientation globale a été fixée, une vue d’ensemble de la facilitation du changement à apporter à tous les
niveaux doit être prise. L’ampleur et la portée du changement doivent d’abord être comprises sur le plan des affaires,
mais aussi du point de vue humain et comportemental. Toutes les parties prenantes concernées ou touchées par le
changement doivent être déterminées et leur position par rapport au changement doit être établie. L’étude de 2011
portant sur la GEIT4 a montré que la facilitation du changement peut représenter l’un des plus grands défis pour la
mise en œuvre de la GEIT : 38 % des répondants ont mentionné que la gestion du changement représentait un défi et
41 % ont rapporté des problèmes de communication. Un facteur clé pouvant motiver le changement est l’identification
d’incitatifs pour que les responsables d’affaires et des TI fassent la promotion de la mise en œuvre de la GEIT.
4
Rapport de situation, op. cit., ITGI GEIT
23
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
Les facteurs clés pour une mise en œuvre réussie sont les suivants :
• La haute direction fournit l’orientation et le mandat.
• Toutes les parties comprennent les objectifs de l’entreprise et les objectifs liés aux TI.
• La communication est efficace et les facilitateurs des changements à apporter à l’organisation et aux processus sont en
place.
• Les référentiels et les bonnes pratiques sont adaptés à l’objectif et à la structure de l’entreprise.
• L’objectif initial vise des gains rapides et accorde la priorité aux améliorations les plus bénéfiques et les plus faciles à
implanter afin de montrer les bénéfices et de renforcer la confiance pour la poursuite de l’amélioration.
24
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 3
PREMIERS PAS VERS LA GEIT
25
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
26
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 4
IDENTIFICATION DES DÉFIS DE MISE EN ŒUVRE ET DES FACTEURS DE SUCCÈS
CHAPITRE 4
IDENTIFICATION DES DÉFIS DE MISE EN ŒUVRE ET DES FACTEURS DE
SUCCÈS
Les expériences tirées des mises en œuvre de la GEIT ont montré que plusieurs problèmes pratiques doivent être
surmontés afin de réussir le projet et de maintenir une amélioration continue. Ce chapitre décrit plusieurs de ces défis
ainsi que les causes fondamentales et les facteurs qui devraient être considérés pour assurer un résultat satisfaisant.
27
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
28
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 4
IDENTIFICATION DES DÉFIS DE MISE EN ŒUVRE ET DES FACTEURS DE SUCCÈS
29
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
30
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 4
IDENTIFICATION DES DÉFIS DE MISE EN ŒUVRE ET DES FACTEURS DE SUCCÈS
31
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
32
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 4
IDENTIFICATION DES DÉFIS DE MISE EN ŒUVRE ET DES FACTEURS DE SUCCÈS
33
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
34
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 5
FACILITATION DU CHANGEMENT
CHAPITRE 5
FACILITATION DU CHANGEMENT
Le besoin de faciliter le changement
La réussite de la mise en œuvre ou de l’amélioration dépend de la mise en œuvre du bon changement (les bonnes
pratiques) effectuée de la bonne façon. Dans de nombreuses entreprises, on accorde énormément d’importance au
premier aspect, mais on ne met pas suffisamment l’accent sur la gestion des aspects humains, comportementaux et
culturels du changement ni sur les efforts pour motiver les parties prenantes dans l’acceptation du changement. La
facilitation du changement est l’un des plus grands défis de la mise en œuvre de la GEIT.
Il ne faut pas supposer que les différentes parties prenantes impliquées ou touchées par les dispositions, nouvelles
ou révisées, de la gouvernance accepteront et adopteront facilement le changement. La possibilité d’une réaction
d’indifférence ou de résistance au changement doit être abordée par une approche structurée et proactive. En outre, une
sensibilisation optimale au programme devrait être réalisée à l’aide d’un plan de communication qui définit ce qui sera
communiqué, de quelle manière et par qui, tout au long des différentes phases du programme.
Toutes les parties prenantes clés doivent être impliquées. À un haut niveau, la facilitation du changement implique
généralement :
• L’évaluation de l’impact du changement sur l’entreprise, ses employés et les autres parties prenantes.
• L’établissement de l’état futur (vision) du point de vue humain et comportemental et les mesures connexes qui le
décrivent.
• L’établissement de « plans de réponse au changement » pour gérer les effets du changement de façon proactive et
pour maximiser l’engagement tout au long du processus. Ces plans peuvent inclure la formation, la communication,
la conception organisationnelle (contenu du travail, structure organisationnelle), la refonte des processus et une mise à
jour des systèmes de gestion de la performance.
• La mesure en continu de la progression du changement vers l’état futur désiré.
En ce qui concerne une mise en œuvre typique de la GEIT, l’objectif de la facilitation du changement est de faire en
sorte que les parties prenantes de l’entreprise provenant de différentes unités d’affaires et des TI montrent l’exemple
aux membres du personnel à tous les niveaux et les encouragent à travailler de la nouvelle façon que l’on souhaite
implanter.
Voici des exemples de comportements souhaités :
• Suivi des processus approuvés.
• Participation à des structures de la GEIT définies, comme le comité consultatif ou d’approbation du changement.
• Application de principes directeurs, de politiques, de normes, de pratiques ou de processus définis tels qu’une
politique concernant la sécurité ou de nouveaux investissements.
Le meilleur moyen d’atteindre cet objectif est de gagner l’engagement des parties prenantes (diligence et prudence,
leadership, et communication et intervention auprès de la main-d’œuvre) et de faire la promotion des avantages. Il
peut être nécessaire de faire respecter la conformité. En d’autres termes, les barrières humaines, comportementales et
culturelles doivent être surmontées afin de susciter un intérêt commun à adopter la nouvelle façon de faire, d’insuffler
5
Walters, Jonathan; ‘Transforming Information Technology at the Department of Veterans Affairs’, IBM Center for the Business of Government, USA, 2009
35
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
L’approche Kotter a été choisie comme exemple et adaptée pour les besoins spécifiques d’une mise en œuvre ou d’une
amélioration de la GEIT. Elle est illustrée par le cycle de vie de la facilitation des changements à la figure 14.
Les paragraphes suivants donnent un aperçu de haut niveau, mais tout de même holistique, en abordant brièvement
chaque phase du cycle de vie de la facilitation des changements tel qu’elle est appliquée à une mise en œuvre typique
de la GEIT.
e ryth
me? 1 Quelles so
nir l nt l
ainte es
mo
m
nt er Lancer tiv
me vis un p at
Co
m Ré cacité ro io
gra
ffi
ns
l’e mm
?
7
Établir
e
?
e de cha le be
uivr
vés
urs nge so
ces
Dé t les p
Où
Po me in
arri
n
e
fini
néfi
en
6 Y sommes-nous
Recon
iller
r les ssibilités
le b naît
Fo
rve
velles appro ou-
somm
s
Réaliser des bé
Su et er d’aesoin r
che
rme antation
d’i
• Gestion du programme
n
u
e
a l gir
m
v
Intégrer de
r une
é
problèmes
(anneau externe)
pl
es-nous?
r
Évaltat
r
Utilise
mesure
actu
l’é
et
• Moteur de changement
équipe
uer
el
(anneau du milieu)
U t il liora
ét n ir
amé
Dé
is e t
le
l’
r
l
io n e s
r
su que
(anneau interne)
te
c
E x u tili
ts
s Cré er d es
ro u
et
ré u n i
lta
a m é li
plo s
ora tio n s
Exé
le r?
e
5C
m
it
er r m
de
C o es
cu
s al
l
om
lle
ter
Identifier les
ou
ui
me
le
pl a cteurs
fe
s- n
an la
nt
ni r
on
yp
fi
rv Dé
ul
Pla n vo
a
en ifier le programme
ir ? Où
3
4 Q u e f a u t- i l f a i re ?
36
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 5
FACILITATION DU CHANGEMENT
Il faut s’assurer dès le départ que les compétences et l’expérience nécessaires à la facilitation du changement sont
disponibles et utilisées, par exemple, en faisant appel aux ressources du service des RH ou en obtenant de l’aide
extérieure.
À l’issue de cette phase, il faut un juste équilibre d’activités directrices et inclusives liées à la facilitation du
changement pour offrir des bénéfices durables.
Les points de douleur et événements déclencheurs actuels peuvent fournir une bonne base pour établir le désir de
changement. « L’appel à l’action », une première communication sur le programme, peut être lié à des problèmes
concrets qu’éprouve l’entreprise. En outre, les avantages initiaux peuvent être liés à des domaines qui sont très visibles
dans l’entreprise, ce qui aura pour effet de créer un tremplin pour d’autres changements ainsi qu’un plus grand
engagement et une plus grande adhésion.
Même si la communication doit être constante tout au long de l’initiative de mise en œuvre ou d’amélioration, la
communication initiale ou appel à l’action est l’un des aspects les plus importants et devrait démontrer l’engagement
de la direction. Par conséquent, cette communication devrait idéalement être transmise par le comité exécutif ou le
directeur général.
Il est important d’identifier les agents de changement potentiels, au sein de différentes parties de l’entreprise, avec
lesquels l’équipe de base peut travailler afin de soutenir la vision et d’entraîner une cascade de changements dans tous
les niveaux de la hiérarchie.
La vision désirée pour le programme de mise en œuvre ou d’amélioration devrait être communiquée dans la langue
de ceux qui sont touchés par ladite vision. La communication doit inclure la raison d’être et les bénéfices de ce
changement ainsi que les conséquences inhérentes à l’absence de changement (but), la vision (portrait), la feuille de
route pour réaliser la vision (plan) et l’implication nécessaire des différentes parties prenantes (rôles).7 La direction
devrait diffuser des messages clés (comme la vision désirée). La communication devrait souligner tant les aspects
comportementaux et culturels que les aspects logiques devant être abordés, et le fait que l’accent est mis sur la
7
Les « quatre P » (purpose, picture, plan et part, soit but, portrait, plan et rôle) proviennent de : Bridges, William; Managing Transitions: Making the Most of
Change, Addison-Wesley, É.-U., 1999
37
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
communication bidirectionnelle. Les réactions, suggestions et autres commentaires devraient être notés et faire l’objet
d’un suivi.
Tous les gains rapides qui peuvent être réalisés sont importants dans une perspective de facilitation du changement.
Ceux-ci pourraient être liés aux points de douleur et aux événements déclencheurs décrits au chapitre 3. Des gains
rapides visibles et non ambigus peuvent créer des circonstances favorables et donner de la crédibilité au programme et
contribueront à faire tomber toute forme de scepticisme.
Les changements sont Il est impératif d’utiliser une approche participative dans la conception et
soutenus par les parties l’établissement des améliorations fondamentales. En mobilisant ceux qui sont
touchés par le changement et en les faisant participer concrètement à la conception,
prenantes. Par exemple, par par exemple, par des ateliers et des séances de révision, l’adhésion peut être
le renforcement conscient augmentée.
et par une campagne de
Phase 5 – Faciliter les opérations et l’utilisation
communication continue. Alors que les initiatives sont mises en œuvre dans le cycle de vie de la mise en
œuvre de base, les plans d’intervention liés au changement le sont également. Les
gains rapides qui ont été réalisés servent de fondations, et les aspects comportementaux et culturels de la transition
globale sont abordés (des enjeux tels que devoir composer avec les craintes de perte de responsabilité, les nouvelles
attentes et les tâches inconnues).
Il est important d’équilibrer les interventions de groupe et individuelles afin d’augmenter l’acceptation et l’engagement,
et de veiller à ce que toutes les parties prenantes aient une vue d’ensemble du changement.
Des solutions seront déployées et, durant ce processus, le mentorat et l’encadrement seront essentiels pour assurer
l’adoption dans l’environnement de l’utilisateur. Les exigences et les objectifs du changement fixés lors du démarrage
de l’initiative devraient être revus pour s’assurer qu’ils ont été correctement traités.
L’évaluation du succès devrait être définie et devrait inclure à la fois des mesures tangibles d’affaires et des mesures de
la perception qui illustrent les impressions des gens par rapport au changement.
La stratégie de communication devrait être maintenue pour soutenir une sensibilisation continue.
Phase 7 – Soutenir
Les changements sont soutenus par le renforcement délibéré et une campagne de communication constante. Ils sont
maintenus et mis en évidence par l’engagement continu de la haute direction.
Les plans de mesures correctives sont mis en œuvre, les leçons apprises sont notées et les connaissances sont partagées
avec l’ensemble de l’entreprise.
38
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 6
TÂCHES, RÔLES ET RESPONSABILITÉS LIÉS AU CYCLE DE VIE DE LA MISE EN ŒUVRE
CHAPITRE 6
TÂCHES, RÔLES ET RESPONSABILITÉS LIÉS AU CYCLE DE VIE DE LA
MISE EN ŒUVRE
Introduction
L’amélioration continue de la GEIT est accomplie à l’aide du cycle de vie de mise en œuvre en sept phases. Chaque
phase est décrite avec :
• Un tableau résumant les responsabilités de chaque groupe d’acteurs de la phase. Notez que ces rôles sont génériques;
il n’est pas nécessaire que chaque rôle existe en tant que fonction spécifique.
• Un tableau pour chaque phase contenant :
– Objectif de la phase
– Description de la phase
– Tâches d’amélioration continue
– Tâches de facilitation du changement
– Tâches de gestion du programme
– Exemples d’intrants qui seront possiblement requis
– Référentiel de l’ISACA ou autre dont l’utilisation est suggérée
– Les extrants qui doivent être produits
• Un tableau RACI indiquant qui est responsable, qui approuve, qui est consulté et qui est informé des activités
clés sélectionnées dans le cadre des tâches d’amélioration continue, de facilitation du changement et de gestion
de programme, avec les références correspondantes. Les activités couvertes dans le tableau RACI sont les plus
importantes; par exemple, celles qui produisent des livrables ou des résultats pour la phase suivante, celles qui font
comportent un jalon ou celles qui sont essentielles à la réussite de l’initiative globale. Dans un souci de conserver ce
guide concis, toutes les activités ne sont pas incluses.
Ce guide n’a pas pour but d’être normatif; il offre plutôt des phases génériques et un plan de tâches qui doit être adapté
à une mise en œuvre précise.
er ythme? 1 Quelles so
nir l nt l
inte es
ma mo
nt er Lancer tiv
me vis un at
Com Ré cacité pro
gra
io
fi
ns
f
l’e mm
?
7
Établir
e
du e
?
e de cha le be
uivr
vés
on m
2
sti am
urs nge so Gerogr
ces
Dé t les p
Où
Po me in
arri
p
n
e
fini
néfi
en
n t
6 Y sommes-nous
tio en
t
Recon
iller ita em
r les ssibilités
le b naît cil ng
Fo
rve
velles appro ou-
somm
s
Réaliser des bé
Fa cha
Su et er d’aesoin r
che
rme antation
d’i
u
n
u d
e
l gir
a
• Gestion du programme
m
év ion
Intégrer de
r une
problèmes
pl
at
or ue
(anneau externe)
es-nous?
éli tin
r
Évaltat
r
Utilise
Am con
mesure
actu
l’é
et
équipe
uer
• Moteur de changement
el
(anneau du milieu)
U t il liora
ét n ir
amé
ib a t
fi
D é l’
is e t
l
io n e s
r
su que
te
c
(anneau interne)
E x u tili
ts
s Cré er d es
rou
et
ré u n i
lta
a m é li
plo s
ora tio n s
Exé
le r?
5C
er
m
it
m
de
er C o es
cu
s al
l
om
le
ter
Identifier les
u il
ou
me
le
pl a cteurs
fe
s- n
an la
nt
ni r
on
yp
fi
rv Dé
ul
Pla n vo
a
en ifier le programme
ir ? Où
3
4 Q u e f a u t- i l f a i re ?
39
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
40
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 6
TÂCHES, RÔLES ET RESPONSABILITÉS LIÉS AU CYCLE DE VIE DE LA MISE EN ŒUVRE
Fig.
Figure 18 – Tableau RACI de la phase 1
me
tio n
I
e
ité
es T
r am
al d
t ra
n ité
o rm
es T
in is
su s d e s
D ir rm atiorin cip
TI
ro g
re s s u
u tif
onf
d es
re d
dm
up
n
f fai s d e
ce s re s
x éc
et c
I
fo n t p
es T
n ai
d ’a
ed
p ro rié tai
d 'a an t
e
u es
tio n
a
l
ité
it d
t ag
se i
ig e
ig e
p
Co m
Risq
Co n
Aud
Pilo
G es
Activités clés
l'in
Pro
D ir
41
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
Phase 2 – Où en sommes-nous?
Les figures 19, 20, 21 et 22 décrivent la phase 2.
e ryth
me? 1 Quelles so
nir l nt l
ainte es
mo
m
nt Lancer tiv
me ser un p at
om Révi acité ro io
C ffic gra
ns
l’e mm
?
7
Établir
e
?
e de cha le be
uivr
vés
2
urs nge so
ces
Dé t les p
Où
Po me in
arri
e
fini
néfi
en
6 Y sommes-nous
t
Recon
iller
r les ssibilités
le b naît
Fo
rve
velles appro ou-
somm
s
Réaliser des bé
Su et er d’aesoin r
che
rme antation
d’i
n
e
al gir
• Gestion du programme
o
v
Intégrer de
r une
é
problèmes
pl
(anneau externe)
es-nous?
r
Évaltat
r
Utilise
mesure
actu
l’é
et
équipe
uer
• Moteur de changement
el
Amélio
continration (anneau du milieu)
U t il liora
ét n ir
ue
amé
Fa
du chcilitation
ib a t
fi
D é l’ angem
is e t
ent
• Approche d’amélioration continue
le
r Gestio
l n du
io n e s
r
su que
progra
te
c mme
(anneau interne)
E x u tili
ts
s Cré er d es
ro u
et
ré u n i
lta
a m é li
plo s
ora tio n s
Exé
le r?
5C
e
m
it
er r m
C o es de
cu
s al
l
om
le
ter
Identifier les
u il
ou
me
le
pl a cteurs
fe
s- n
an la
nt
nir
on
yp
fi
rv Dé
ul
Pla n vo
a
en ifier le programme
ir ? Où
3
4 Q u e f a u t- i l f a i re ?
42
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 6
TÂCHES, RÔLES ET RESPONSABILITÉS LIÉS AU CYCLE DE VIE DE LA MISE EN ŒUVRE
L’accent est mis sur l’identification et l’analyse de la façon dont les TI créent de la valeur pour l'entreprise en
permettant la transformation des affaires d'une manière agile, en rendant les processus d'affaires actuels et l'entreprise
plus efficaces et en se conformant aux exigences liées à la gouvernance; par exemple, la gestion du risque, l'assurance
de la sécurité et le respect des exigences juridiques et réglementaires.
En fonction du profil de risque de l'entreprise, de son historique de risque et de son goût du risque, et en fonction
du risque réel facilitant le bénéfice/valeur, définir le risque facilitant le bénéfice/valeur, la livraison du programme/
projet ainsi que la livraison des services et des activités des TI pour l'entreprise et pour les objectifs des TI. L'annexe
C contient un tableau de correspondance entre des scénarios de risque génériques et les processus de COBIT 5 qui
peuvent être utilisés pour appuyer cette analyse.
La compréhension des forces motrices de l'entreprise et de gouvernance et une évaluation des risques sont utilisées
pour mettre l'accent sur les processus essentiels à l’atteinte des objectifs de TI. Il est ensuite nécessaire de connaître le
degré de maturité de ces processus et de savoir s'ils sont bien gérés et bien exécutés, en fonction des descriptions des
processus, des politiques, des normes, des procédures et des spécifications techniques, pour ensuite déterminer s'ils
sont susceptibles de soutenir les exigences des affaires et des TI. Ceci est réalisé en évaluant la capacité de chaque
processus.
La présence de points de douleur spécifiques dans une entreprise pourrait également contribuer à la sélection des
processus des TI sur lesquels se concentrer.
L'annexe A du présent document donne des exemples de correspondance de points de douleur communs (voir le
chapitre 4) avec les processus de COBIT 5. On y trouve également une illustration de l'ensemble des 37 processus au
sein du modèle de référence de processus.
Tâches d'amélioration Évaluer l'état actuel :
continue Comprendre dans quelle mesure les TI doivent soutenir les objectifs d'entreprise actuels (la documentation de COBIT 5
sur la cascade d'objectifs dans le référentiel COBIT 5 et COBIT 5 : Processus facilitants fournissent des exemples
génériques et des relations qui peuvent être utilisés) :
1. Définir les objectifs d'entreprise clés et les objectifs liés aux TI qui les soutiennent.
2. Déterminer l'importance et la nature de la contribution des TI (solutions et services) requise pour soutenir les
objectifs de l'entreprise.
3. Identifier les problèmes clés de gouvernance et les faiblesses liées aux solutions et services actuels et futurs; définir
également l'architecture d'entreprise nécessaire pour soutenir les objectifs liés aux TI ainsi que les contraintes ou
les limites.
4. Identifier et sélectionner les processus critiques de soutien aux objectifs des TI et, le cas échéant, les pratiques de
gestion clés pour chacun des processus sélectionnés.
5. Évaluer le risque facilitant le bénéfice/valeur, la livraison du programme/projet ainsi que la livraison des services et
des activités des TI liés aux processus critiques des TI.
6. Identifier et sélectionner les processus critiques des TI de manière à s’assurer que le risque est évité.
7. Comprendre la position d'acceptation du risque définie par la gestion.
43
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
44
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 6
TÂCHES, RÔLES ET RESPONSABILITÉS LIÉS AU CYCLE DE VIE DE LA MISE EN ŒUVRE
me
tio n
s TI
ité
s
r am
al d
t ra
n ité
o rm
e
es T
in is
su s d e s
D ir rm atiorin cip
ro g
es T
re s s u
u tif
onf
re d
dm
up
n
f fai s d e
ce s re s
x éc
et c
I
fo n t p
es T
n ai
d ’a
ed
p ro rié tai
d 'a an t
e
u es
tio n
a
l
ité
it d
t ag
se i
ig e
ig e
p
Co m
Risq
Co n
Aud
Pilo
G es
Activités clés
l'in
Pro
D ir
Identifier les objectifs des TI clés qui soutiennent les objectifs d’affaires (CI1). I C R C R C C C A
Identifier les processus critiques qui appuient les objectifs des TI et d’affaires (CI4). I R C R C C C A
Évaluer le risque lié à l’atteinte des objectifs (CI5). I R C R R C R A
Identifier les processus critiques afin de s’assurer que le risque est évité (CI6). I R R R C C R A
Évaluer le rendement actuel des processus critiques (CI1 to CI11). I R C R R C C A
Assembler une équipe centrale à partir de l’entreprise et des TI (CE1). I R R C C C C A
Réviser et évaluer l’analyse de rentabilité (PM1). I A R R C C C C R
Un tableau RACI identifie les personnes qui sont responsables (R), qui approuvent (A), qui sont consultées (C) et qui sont informées (I).
l’e mm
?
7
Établir
e
?
e de cha le be
uivr
vés
urs nge so
ces
Dé t les p
Où
Po me in
arri
n
e
fini
néfi
en
6 Y sommes-nous
Recon
iller
r les ssibilités
le b naît
Fo
rve
velles appro ou-
somm
s
Réaliser des bé
Su et er d’aesoin r
che
rme antation
d’i
n
u
e
l gir
a
• Gestion du programme
m
év
Intégrer de
r une
problèmes
pl
es-nous?
(anneau externe)
r
Évaltat
r
Utilise
mesure
actu
l’é
et
équipe
uer
• Moteur de changement
el
(anneau du milieu)
U t il liora
ét n ir
amé
ib a t
fi
Amcontin
D é l’
is e t
r
élio ue
l
io n e s
r
su que
te
c
rat
E x u tili
(anneau interne)
ts
s Cré er d es
ion
rou
et
ré u n i
lta
a m é li
plo s
ora tio n s
Exé
le r?
5C
er
m
it
m
de
er C o es
du
cu
Fachange
s al
c
l
om
le
ilita me
ter
Identifier les
u il
tion nt
ou
me
le
pl a cteurs
fe
s- n
an la
nt
nir
on
yp
Ges gram
fi
pro
rv Dé
ul
vo
tion me
Pla n
a
en ifier le programme
Où
du
ir ?
3
4 Q u e f a u t- i l f a i re ?
45
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
Une fois que la capacité actuelle du processus a été déterminée et que la capacité cible a été planifiée, les écarts entre
l'état actuel et l'état souhaité doivent être évaluées et les possibilités d'amélioration doivent être cernées. Quand les
écarts ont été définies, les causes fondamentales, les problèmes communs, le risque résiduel, les forces existantes et
les bonnes pratiques doivent être déterminés afin d'éliminer ces écarts.
Cette phase peut identifier certaines améliorations relativement faciles à réaliser, comme l'amélioration de la formation
ou le partage des bonnes pratiques et des procédures de normalisation; cependant, l'analyse des écarts exige une
expérience considérable en matière de techniques de gestion des affaires et des TI afin d'élaborer des solutions
pratiques. Une expérience en matière de changement comportemental et organisationnel est aussi nécessaire.
Il peut également être nécessaire de détenir une bonne compréhension des techniques de processus, une expertise
technique et des affaires avancée, ainsi qu’une connaissance des applications et services de logiciels de gestion
d'entreprise. Pour s’assurer que cette phase est exécutée efficacement, il est important que l'équipe travaille avec les
propriétaires de processus d'affaires et des TI ainsi qu'avec d'autres parties prenantes détenant de l'expertise interne.
Si nécessaire, il faut également obtenir des conseils externes. Les risques non atténués après l'élimination des écarts
doivent être répertoriés et formellement acceptés par la direction.
Tâches d'amélioration Définir l'état cible et analyser les écarts :
continue 1. Définir la cible d'amélioration :
• En fonction des exigences de l'entreprise en matière de performance et de conformité, décider des niveaux de
capacité cibles initiaux idéaux à court et à long termes pour chaque processus.
• Dans la mesure du possible, donner des points de référence internes pour identifier les meilleures pratiques qui
peuvent être adoptées.
• Dans la mesure du possible, donner des points de référence externes avec des concurrents et des pairs afin
d'aider à déterminer si le niveau cible choisi est approprié.
• Réaliser un « test de cohérence » du caractère raisonnable du niveau cible (de façon individuelle et dans
l'ensemble), en regardant ce qui est réalisable et souhaitable, et ce qui peut avoir le plus grand impact positif
dans le délai choisi.
2. Analyser les écarts :
• Utiliser la compréhension de la capacité actuelle (par attribut) et la comparer au niveau de capacité cible.
• Miser autant que possible sur les forces existantes pour traiter les écarts; pour éliminer les écarts restants, obtenir
de l'aide en consultant les pratiques et activités de gestion de COBIT 5 et d'autres bonnes pratiques et normes
comme ITIL, ISO/CEI 27000, TOGAF et Project Management Body of Knowledge (PMBOK).
• Rechercher des schémas qui indiquent des causes fondamentales à traiter.
3. Repérer les améliorations possibles :
• Réunir les écarts en vue d’améliorations potentielles.
• Cerner le risque résiduel non atténué et s'assurer de l'accepter formellement.
Tâches de facilitation du Décrire et communiquer le résultat souhaité :
changement 1. Décrire le plan et les objectifs de facilitation du changement de haut niveau, qui comprennent les tâches et les
éléments suivants.
2. Élaborer une stratégie de communication (y compris les destinataires de base, le profil comportemental et les
exigences d'information par groupe, les messages de base, les canaux de communication optimaux et les principes
de communication) afin d'optimiser la conscientisation et l’adhésion.
3. Obtenir la volonté de participer (donner le portrait du changement).
4. Exprimer la raison d'être et les avantages de ce changement afin de soutenir la vision et décrire les impacts de
l'absence de changement (objectif du changement).
5. Référer aux objectifs de l'initiative dans les communications et démontrer comment le changement permettra de
réaliser le bénéfice.
6. Décrire la feuille de route de haut niveau qui permettra de réaliser la vision (plan de changement) ainsi que
l'implication nécessaire des différentes parties prenantes (rôle dans le changement).
7. Utiliser les membres de la direction pour livrer des messages clés afin de « donner le ton à partir des plus hauts
échelons ».
8. Faire appel à des agents de changement pour transmettre des communications informelles en plus des
communications formelles.
9. Communiquer par l'action; l'équipe de direction doit donner l'exemple.
10. Faire appel aux émotions si nécessaire pour amener les gens à modifier leurs comportements.
11. Obtenir des commentaires au sujet de la communication initiale (réactions et suggestions) et adapter la stratégie
de communication en conséquence.
46
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 6
TÂCHES, RÔLES ET RESPONSABILITÉS LIÉS AU CYCLE DE VIE DE LA MISE EN ŒUVRE
TI
l de
ité
s
r am
t ra
n ité
d es
o rm
D ir m atio n cip a
es T
in is
su s d e s
I
ro g
es T
re s s u
u tif
onf
re d
dm
up
n
f fai s d e
ce s re s
fo r p ri
x éc
et c
I
es T
n ai
d ’a
ed
p ro rié tai
l'in an t
d 'a an t
e
u es
tio n
l
ité
it d
t ag
se i
ig e
ig e
p
Co m
Risq
Co n
Aud
Pilo
G es
Activités clés
Pro
D ir
47
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
er ythme? 1 Quelles so
nir l nt l
inte es
ma mo
nt er Lancer tiv
me vis un at
Ré cacité
m pro io
Co gra
fi
ns
f
l’e mm
?
7
Établir
e
?
e de cha le be
uivr
vés
2
urs nge so
ces
Dé t les p
Po
Où
me in
arri
nt
e
fini
néfi
en
6 Y sommes-nous
Recon
iller
r les ssibilités
le b naît
Fo
rve
velles appro ou-
somm
s
Réaliser des bé
Su et er d’a esoin r
che
rme antation
d’i
• Gestion du programme
n
e
a lu gir
o
év
Intégrer de
r une
problèmes
(anneau externe)
pl
es-nous?
r
Évaltat
r
Utilise
mesure
actu
l’é
et
• Moteur de changement
équipe
uer
el
(anneau du milieu)
U t i l lio r a
ét n ir
amé
Am
ib a t
fi
D é l’
ise t
le
tinu ion
l
io n e s r
r
su q u e
c (anneau interne)
te
e
E x u t i li
s Créer des ts
ro u
et
ré u n i
lta
a m é li
plo s
o r a ti o n s
Ex é
le r?
er
5C
m
du Facilit
it
m
de
cha atio
er C o es
cu
s al
nge n
l
om
le
ter
Identifier les
me
u il
ou
nt
me
le
pl a cte urs
fe
s-n
an la
nt
nir
proestion
on
G
yp
gra du
fi
Dé
ul
rv
mm
vo
a
en Pla n
ifier le programme
e
ir? Où
3
4 Q u e f a u t- il f a i re ?
48
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 6
TÂCHES, RÔLES ET RESPONSABILITÉS LIÉS AU CYCLE DE VIE DE LA MISE EN ŒUVRE
En se basant sur un tableau des opportunités, sur les définitions du projet, sur le plan des ressources et sur le budget
des TI, les améliorations identifiées et priorisées sont maintenant transformées en un ensemble de projets documentés
qui appuient le programme global d'amélioration. L'impact sur l'entreprise de l'exécution du programme est déterminé
et un plan de changement est préparé; on y trouve une description des activités du programme qui permettront
d'assurer, en termes pratiques, que les améliorations apportées par les projets seront intégrées dans l'entreprise
d'une manière durable. Au cours de cette phase, il est important de définir des indicateurs, c'est-à-dire des moyens
de mesurer le succès du programme, afin de vérifier si les améliorations sont susceptibles de fournir les bénéfices
d’affaires prévus. Le calendrier complet du programme d'amélioration doit être documenté dans un diagramme de
Gantt.
De nouveaux projets peuvent créer un besoin de changement ou d'amélioration des structures organisationnelles ou
d’autres facilitateurs requis pour soutenir une gouvernance efficace. Le cas échéant, il peut être nécessaire d'inclure
des mesures pour améliorer l'environnement (voir le chapitre 5).
Tâches d'amélioration Concevoir et créer des améliorations :
continue 1. Pour chaque amélioration, évaluer les bénéfices potentiels et la facilité de mise en œuvre (coût, effort, durabilité).
2. Inscrire les améliorations sur une grille d’opportunités afin de cibler des actions prioritaires (en fonction des
bénéfices et de la facilité de mise en œuvre).
3. Mettre l'accent sur les choix qui affichent de forts bénéfices ou qui sont faciles à mettre en œuvre.
4. Examiner toute autre action générant des bénéfices élevés, mais dont la mise en œuvre n'est pas facile, pour créer
des améliorations à plus petite échelle (décomposer cette action en améliorations de moindre envergure et passer
en revue les avantages et la facilité de mise en œuvre).
5. Prioriser et sélectionner des améliorations.
6. Analyser les améliorations sélectionnées dans le détail requis afin de définir un projet de haut niveau, en tenant
compte de l'approche, des livrables, des ressources requises, des coûts estimés, des délais estimés, des
dépendances et du risque du projet. Utiliser les bonnes pratiques et normes disponibles pour préciser les exigences
d'amélioration. Discuter avec les gestionnaires et les équipes chargés du processus.
7. Évaluer la faisabilité, mettre en lien avec les facteurs clés d'origine de valeur et de risque, et convenir des projets à
inclure dans le dossier d’affaires pour approbation.
8. Garder les projets et initiatives non approuvés dans un registre pour un potentiel examen futur.
Tâches de facilitation du Habiliter les acteurs et identifier les gains rapides :
changement 1. Obtenir l’adhésion de ceux qui sont touchés par le changement en les impliquant dans la conception par des
mécanismes tels que des ateliers ou des processus de révision, et en leur donnant la responsabilité d'accepter la
qualité des résultats.
2. Concevoir des plans de réponse au changement pour gérer de façon proactive les impacts du changement et pour
maximiser l'engagement tout au long du processus de mise en œuvre (ceci pourrait inclure des changements
organisationnels, par exemple au contenu des description d’emploi ou à la structure organisationnelle; des
changements dans la gestion du personnel, par exemple à la formation aux systèmes de gestion de la performance
ou aux systèmes d'incitatifs, de rémunération et de récompenses).
3. Identifier les gains rapides qui prouvent le concept du programme d'amélioration. Ceux-ci doivent être visibles et
sans équivoque, doivent créer des circonstances favorables et doivent renforcer positivement le processus.
4. Lorsque cela est possible, miser sur les forces existantes identifiées dans la phase 2 afin de réaliser des gains
rapides.
5. Déterminer les forces dans les processus d'entreprise existants qui pourraient être mises à profit. Par exemple,
d'autres secteurs de l'entreprise peuvent avoir des forces en gestion de projet, tels que le développement de
produits (éviter de réinventer la roue et s'aligner autant que possible avec des approches actuelles à l'échelle de
l'entreprise).
49
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
Figu
Figure 30 – Tableau RACI de la phase 4
I
l de
ité
es T
r am
t ra
n ité
TI
o rm
D ir m atio n cip a
in is
su s d e s
d es
TI
ro g
re s s u
u tif
onf
d es
dm
up
n
f fai s d e
ce s re s
fo r p ri
e
x éc
et c
I
r
es T
d ’a
n ai
ed
p ro rié tai
l'in an t
d 'a an t
e
u es
tio n
l
ité
it d
t ag
se i
ig e
ig e
p
Co m
Risq
Co n
Aud
Pilo
G es
Activités clés
Pro
D ir
50
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 6
TÂCHES, RÔLES ET RESPONSABILITÉS LIÉS AU CYCLE DE VIE DE LA MISE EN ŒUVRE
ns
f
l’e mm
?
7
Établir
e
?
e de cha le be
uivr
vés
2
urs nge so
ces
Dé t les p
Où
Po me in
arri
e
fini
néfi
en
6 Y sommes-nous
t
Recon
iller
r les ssibilités
le b naît
Fo
rve
velles appro ou-
somm
s
Réaliser des bé
Su et er d’aesoin r
che
rme antation
d’i
• Gestion du programme
n
e
a l gir
o
év
Intégrer de
r une
problèmes
pl
(anneau externe)
es-nous?
r
Évaltat
r
Utilise
mesure
actu
l’é
et
équipe
uer
co in
• Moteur de changement
el
Amélnt ue
iorati
du ch on
an
Facilit gement
ation (anneau du milieu)
U t il liora
prog ét n ir
amé
Gestira mm
on due ib a t
• Approche d’amélioration continue
fi
D é l’
is e t
le
r
l
io n e s
r
su que
te
c (anneau interne)
E x u tili
ts
s Cré er d es
rou
et
ré u n i
lta
a m é li
plo s
ora tio n s
Exé
le r?
5C
e
m
it
er r m
de
C o es
cu
s al
l
om
le
ter
Identifier les
u il
ou
me
le
pl a cteurs
fe
s- n
an la
nt
nir on
yp
fi
rv Dé
ul
Pla n vo
a
en ifier le programme
ir ? Où
3
4 Q u e f a u t- i l f a i re ?
51
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
Cette phase est généralement la plus longue et nécessite le plus d'efforts par rapport à toutes les autres phases du
cycle de vie. Toutefois, il est recommandé que la taille et le temps requis ne soient pas excessifs afin de s'assurer que
cette phase se gère bien et que les avantages soient livrés dans un délai raisonnable. Ceci est particulièrement vrai
pour les premières itérations, qui constituent également une expérience d'apprentissage pour toutes les personnes
impliquées.
Surveiller la performance de chaque projet afin d'assurer que les objectifs sont atteints. Informer les parties prenantes
à intervalles réguliers pour s'assurer que les progrès sont compris et pour vérifier qu'ils sont sur la bonne voie.
Tâches d'amélioration Mettre en œuvre les améliorations :
continue 1. Développer et, au besoin, acquérir des solutions qui comprennent la pleine portée des activités requises; par
exemple, la culture, l'éthique et le comportement; les structures organisationnelles; les principes et les politiques;
les processus; les capacités de service; les aptitudes et les compétences; et l'information.
2. Lors de l'utilisation de bonnes pratiques, adopter et adapter les orientations en fonction de l'approche de
l'entreprise en matière de politiques et de procédures.
3. Tester la faisabilité et la durabilité des solutions dans l'environnement de travail réel.
4. Déployer les solutions en tenant compte des processus existants et des exigences en matière de migration.
Tâches de facilitation du Faciliter les opérations et leur utilisation :
changement 1. Tirer parti des circonstances favorables et de la crédibilité qui peuvent être créés par des gains rapides, puis
introduire les aspects les plus globaux et difficiles du changement.
2. Communiquer les gains rapides; reconnaître et récompenser ceux qui y ont participé.
3. Mettre en œuvre les plans de réponse au changement.
4. S'assurer que le plus grand nombre possible d'acteurs clés ont les compétences, les ressources et les
connaissances requises, ainsi que l’adhésion et l'engagement envers le changement.
5. Équilibrer les interventions individuelles et de groupe afin de s'assurer de donner aux parties prenantes une vue
globale du changement.
6. Planifier les aspects culturels et comportementaux de la transition générale (gérer les craintes de perte de
responsabilité, d'indépendance et d'autorité, gérer les nouvelles attentes et les tâches inconnues).
7. Communiquer les rôles et responsabilités pour utilisation.
8. Définir les mesures de succès, y compris celles en provenance du point de vue affaires et les mesures de
perception.
9. Mettre en place un système de mentorat et d’accompagnement afin d'assurer l'assimilation et l’adhésion.
10. Faire en sorte que toutes les exigences de changement aient été abordées.
11. Surveiller l'efficacité de la facilitation du changement et prendre des mesures correctives si nécessaire.
Tâches de gestion de Exécuter le plan :
programme 1. S'assurer que l'exécution du programme se base sur le plan à jour et intégré (affaires et TI) des projets au sein du
programme.
2. Diriger et surveiller la contribution de tous les projets du programme pour assurer la livraison des résultats attendus.
3. Fournir des rapports réguliers aux parties prenantes pour s'assurer que les progrès sont compris et pour vérifier
qu'ils sont sur la bonne voie.
4. Documenter et surveiller les importants risques et problèmes du programme, et convenir des mesures correctives.
5. Approuver le lancement de chaque phase majeure du programme et le communiquer à toutes les parties prenantes.
6. Approuver les changements majeurs aux plans de programme et de projet.
Intrants • Définitions du projet d'amélioration.
• Plans de réponse au changement définis.
• Gains rapides identifiés.
• Registre des projets non approuvés.
• Plan de programme avec les ressources allouées, les priorités et les livrables.
• Plans de projet et procédures de rapport.
• Indicateurs de réussite.
• Définitions du projet, diagrammes de Gantt du projet, plans de réponse au changement, stratégie de changement.
• Plans de programme et de projet intégrés.
Ressources de l'ISACA • COBIT 5 : Processus facilitants (comme bonnes pratiques et BAI01), www.isaca.org/cobit.
• Produits de soutien de l'ISACA tels que définis actuellement au www.isaca.org.
Extrants • Améliorations mises en œuvre.
• Plans de réponse au changement mis en œuvre.
• Gains rapides réalisés et visibilité du succès du changement.
• Communications des réussites.
• Rôles et responsabilités définis et communiqués dans l'environnement d'affaires habituel.
• Registre des changements au projet et registres des problèmes et des risques.
• Mesures de réussite définies des affaires et des perceptions.
• Suivi des bénéfices pour en surveiller la réalisation.
52
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 6
TÂCHES, RÔLES ET RESPONSABILITÉS LIÉS AU CYCLE DE VIE DE LA MISE EN ŒUVRE
me
tio n
TI
l de
ité
s
r am
t ra
n ité
d es
o rm
D ir m atio n cip a
es T
in is
su s d e s
I
ro g
es T
re s s u
u tif
onf
re d
dm
up
n
f fai s d e
ce s re s
fo r p ri
x éc
et c
I
es T
d ’a
n ai
ed
p ro rié tai
l'in an t
d 'a an t
e
u es
tio n
l
ité
it d
t ag
se i
ig e
ig e
p
Co m
Risq
Co n
Aud
Pilo
G es
Activités clés
Pro
D ir
Développer et, si nécessaire, acquérir des solutions (CI1). A C C R R C C R
Adopter des bonnes pratiques et les adapter (CI2). I R C R R C C A
Tester et utiliser les solutions (CI3 and CI4). I R C R R C C A
Capitaliser sur les gains rapides (CE1 and CE2). I C C/I R R C/I C/I A
Mettre en œuvre les plans de réponse au changement (CE3). I I R C R R I I A
Diriger et surveiller les projets au sein du programme (PM2). I A C C R C I I R
e ryth
me? 1 Quelles so
te nir l nt l
es
in
ma mo
nt er Lancer tiv
me vis un p at
Co
m Ré cacité ro io
gra
ffi
ns
l’e mm
?
7
e
mm u
Établir
e
ra d
og ion
?
e de cha le be
uivr
pr est
vés
G
urs nge so
ces
Dé t les p
Où
Po me in
arri
t
en
em n
n
e
fini
ng tio
néfi
en
ha ilita
6 Y sommes-nous
Recon
c
iller
du Fac
r les ssibilités
le b naît
Fo
rve
velles appro ou-
somm
s
Réaliser des bé
Su et er d’aesoin r
che
rme antation
d’i
• Gestion du programme
n
u
e
e n
l
inu io
a gir
m
év
nt rat
Intégrer de
r une
problèmes
co élio
pl
(anneau externe)
es-nous?
Am
r
Évaltat
r
Utilise
mesure
actu
l’é
et
équipe
uer
• Moteur de changement
el
(anneau du milieu)
U t il liora
ét n ir
amé
ib a t
D é l’
is e t
le
l
io n e s
r
su que
te
c (anneau interne)
E x u tili
ts
s Cré er d es
rou
et
ré u n i
lta
a m é li
plo s
ora tio n s
Exé
le r?
5C
e
m
it
er r m
de
C o es
cu
s al
l
om
le
ter
Identifier les
u il
ou
me
le
pl a cteurs
fe
s- n
an la
nt
nir
on
yp
fi
rv Dé
ul
Pla n vo
a
en ifier le programme
ir ? Où
3
4 Q u e f a u t- i l f a i re ?
53
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
Pour assurer le succès, il est essentiel de signaler à toutes les parties prenantes les résultats positifs et négatifs des
mesures de performance. Cela renforcera la confiance et permettra de prendre des mesures correctives à temps. Les
projets en cours de développement doivent être surveillés en utilisant les techniques de gestion des programmes et des
projets. Il est nécessaire d'être prêt à modifier le plan ou à annuler le projet si les premières indications démontrent que
le projet n'est pas sur la bonne voie et pourrait ne pas atteindre les jalons critiques.
Tâches d'amélioration Exploiter et mesurer :
continue 1. Définir des cibles pour chaque indicateur pour une période convenue. Les cibles doivent favoriser la performance et
les actions d'amélioration des TI, et doivent permettre de déterminer le succès ou l'échec potentiel.
2. Lorsque cela est possible, obtenir des mesures réelles actuelles.
3. Sur une base régulière (p. ex. mensuellement), recueillir les mesures réelles, les comparer aux cibles et enquêter sur
les écarts importants.
4. Si les écarts indiquent que des actions correctives sont nécessaires, développer et convenir des mesures correctives.
5. Si nécessaire, ajuster les cibles à long terme en fonction de l'expérience.
6. Communiquer à toutes les parties prenantes les résultats tant positifs que négatifs du suivi de la performance ainsi
que les recommandations sur les mesures correctives à entreprendre.
Tâches de facilitation du Intégrer les nouvelles approches :
changement 1. Veiller à ce que les nouvelles façons de travailler fassent désormais partie de la culture de l'entreprise (la façon dont
nous faisons les choses), c'est-à-dire qu'elles soient ancrées dans les normes et les valeurs de l'entreprise. Cette
étape est importante afin d'obtenir des résultats concrets.
2. Lors du passage du mode de projet au mode récurrence, les comportements doivent être ajustés à l'aide de
descriptions d'emploi révisées, de systèmes de rémunération et de récompenses, d'indicateurs clés de performance
et de procédures d'exploitation à mettre en œuvre tout au long du plan de réponse aux changements.
3. Surveiller si les rôles et les responsabilités assignés ont été assumés.
4. Effectuer le suivi du changement et évaluer l'efficacité des plans de réponse au changement, reliant les résultats
aux objectifs de changement d'origine. Ceci doit inclure à la fois des mesures d'affaires difficiles et des mesures de
perception; par exemple, des sondages de perception, des séances de rétroaction ou des formulaires d'évaluation de
la formation.
5. Miser sur des exemples d'excellence afin de fournir une source d'inspiration.
6. Maintenir la stratégie de communication afin d’assurer une sensibilisation continue et de souligner les réussites.
7. S'assurer que tous les acteurs communiquent ouvertement pour résoudre les problèmes.
8. Si des problèmes ne peuvent être résolus, requérir l'aide des promoteurs.
9. Si cela est nécessaire, faire appliquer le changement par l'autorité de gestion.
10. Documenter les leçons apprises lors de la facilitation du changement pour de futures initiatives de mise en œuvre.
54
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 6
TÂCHES, RÔLES ET RESPONSABILITÉS LIÉS AU CYCLE DE VIE DE LA MISE EN ŒUVRE
me
tio n
TI
l de
ité
s
r am
t ra
n ité
d es
o rm
D ir m atio n cip a
es T
in is
su s d e s
I
ro g
es T
re s s u
u tif
onf
ed
dm
up
n
f fai s d e
ce s re s
fo r p ri
x éc
et c
I
r
es T
d ’a
n ai
ed
p ro rié tai
l'in an t
d 'a an t
e
u es
tio n
l
ité
it d
t ag
se i
ig e
ig e
p
Co m
Risq
Co n
Aud
Pilo
G es
Activités clés
Pro
D ir
55
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
e ryth
me? 1 Quelles so
nir l nt l
ainte es
mo
programme
Gestion du
m
nt er Lancer tiv
me vis un at
Ré cacité
m pro io
Co fi gra
ns
f
l’e mm
?
7
du changement
Facilitation
Établir
e
?
e de cha le be
uivr
vés
2
urs nge so
ces
Dé t les p
Po
Où
me in
arri
nt
e
fini
néfi
en
6 Y sommes-nous
Recon
iller Amélioration
r les ssibilités
le b naît
Fo
rve
velles appro ou-
continue
somm
s
Réaliser des bé
Su et er d’aesoin r
che
rme antation
d’i
n
e
a lu gir
• Gestion du programme
o
év
Intégrer de
r une
problèmes
pl
(anneau externe)
es-nous?
r
Évaltat
r
Utilise
mesure
actu
l’é
et
équipe
uer
• Moteur de changement
el
(anneau du milieu)
U t i l li o r a
ét n ir
a mé
ib at
fi
D é l’
• Approche d’amélioration continue
is e t
le
r
l
io n e s
r
su q u e
c
te
(anneau interne)
E x u t i li
ts
s Créer des
ro u
et
ré u n i
lt a
a m é li
pl o s
or a ti o n s
Exé
ler?
er
5C
m
it
m de
er Co es
cu
s al
l
om
le
ter
Identifier les
u il
ou
me
le
pl a cteurs
fe
s- n
an la
nt
ni r
on
yp
fi
rv Dé
ul
Pla n vo
a
en ifier le programme
ir ? Où
3
4 Q u e f a u t - i l f a i re ?
56
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 6
TÂCHES, RÔLES ET RESPONSABILITÉS LIÉS AU CYCLE DE VIE DE LA MISE EN ŒUVRE
Surveiller en permanence la performance, veiller à ce que les résultats soient régulièrement rapportés et favoriser
l'engagement et l'appropriation de toutes les responsabilités.
Description de la phase Cette phase permet à l'équipe de déterminer si le programme a livré les résultats attendus. Cela peut être réalisé en
comparant les résultats aux critères de réussite originaux ainsi qu'en recueillant les commentaires de l'équipe de mise
en œuvre et des parties prenantes au moyen d'entrevues, d'ateliers et de sondages de satisfaction. Les leçons apprises
peuvent être la source d'informations précieuses pour les membres de l'équipe et les parties prenantes du projet, et
il sera possible de les utiliser dans des initiatives et projets d'amélioration en cours. Cela implique une surveillance
continue, des rapports réguliers et transparents, et la confirmation des responsabilités.
D'autres améliorations peuvent être dégagées et utilisées pour l'itération suivante du cycle de vie.
Au cours de cette phase, l'entreprise doit miser sur les réussites et les leçons apprises du projet de mise en œuvre de
la gouvernance, afin d’accroître et de renforcer l'engagement de toutes les parties prenantes des TI et des affaires pour
améliorer continuellement la gouvernance des TI.
Des politiques, des structures organisationnelles, des rôles, des responsabilités et des processus de gouvernance
doivent être développés et optimisés afin que la GEIT fonctionne efficacement dans le cadre d'une pratique normale
d'affaires; ceci doit être soutenu par la culture d'entreprise et démontré par la haute direction.
Tâches d'amélioration Surveiller et évaluer :
continue 1. Définir les nouveaux objectifs et exigences de gouvernance en fonction de l'expérience acquise, des objectifs
opérationnels actuels des TI ou d'autres événements déclencheurs :
a. Recueillir des commentaires et effectuer un sondage sur la satisfaction des parties prenantes.
b. Mesurer les résultats réels et en rendre compte des mesures de succès établies au départ; effectuer une
surveillance continue et faire des rapports.
c. Réaliser un processus d’examen du projet facilité avec les membres de l'équipe du projet et les parties prenantes
afin d'obtenir et de transmettre les leçons apprises.
d. Rechercher d'autres possibilités d'amélioration de la GEIT à fort impact et à faible coût.
2. Identifier les leçons apprises.
3. Communiquer aux parties prenantes les exigences d'améliorations et les documents à utiliser pour la prochaine
itération du cycle de vie.
Tâches de facilitation du Soutenir :
changement 1. Offrir un renforcement délibéré et préparer une campagne de communication continuelle, et démontrer l'engagement
continu de la haute direction.
2. Confirmer la conformité avec les objectifs et les exigences.
3. Surveiller de manière continue l'efficacité du changement lui-même, les activités de facilitation du changement et
l’adhésion des parties prenantes.
4. Mettre en œuvre des plans de mesures correctives au besoin.
5. Fournir une rétroaction sur la performance, récompenser ceux qui sont responsables de succès et faire connaître les
réussites.
6. S’appuyer sur les leçons apprises.
7. Faire part des connaissances issues de l'initiative à toute l'entreprise.
Tâches de gestion de Examiner l'efficacité du programme :
programme 1. À la fin du programme, veiller à ce que se tienne un examen du programme et en approuver les conclusions.
2. Examiner l'efficacité du programme.
Intrants • Tableaux de bord mis à jour du projet et du programme.
• Mesures d'efficacité du changement (mesures tant sur le plan des affaires que sur celui des perceptions).
• Rapports expliquant les résultats du tableau de bord.
• Rapport d’examen post-mise en œuvre.
• Rapports de performance.
• Stratégie d'entreprise et des TI.
• Nouveaux éléments déclencheurs tels que de nouvelles exigences réglementaires.
Ressources de l'ISACA • COBIT 5 : Processus facilitants (EDS01, APO01, BAI08, SEM01), www.isaca.org/cobit
• Produits de soutien de l'ISACA tels que définis actuellement au www.isaca.org.
Extrants • Recommandations pour d'autres activités de GEIT.
• Sondage de satisfaction auprès des parties prenantes.
• Documentation des succès et des leçons apprises.
• Plan de communication en cours.
• Système de récompense de la performance.
57
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
me
tio n
I
l de
ité
es T
r am
t ra
n ité
s TI
o rm
D ir m atio n cip a
in is
su s d e s
TI
ro g
re s s u
e
u tif
onf
d es
re d
dm
up
n
f fai s d e
ce s re s
fo r p ri
x éc
et c
I
es T
n ai
d ’a
ed
p ro rié tai
l'in an t
d 'a an t
e
u es
tio n
l
ité
it d
t ag
se i
ig e
ig e
p
Co m
Risq
Co n
Aud
Pilo
G es
Activités clés
Pro
D ir
Identifier de nouveaux objectifs de gouvernance (CI1). C A R R C C C C I
Identifier les leçons apprises (CI2). I A C R R C C I
Maintenir et renforcer le changement (CE1). A R R R R C C I
Confirmer la conformité aux objectifs et exigences (CE2). I A R C R R R I R
Conclure le programme avec un examen formel de l’efficacité (PM1). I A C C C C C C R
Un tableau RACI identifie les personnes qui sont responsables (R), qui approuvent (A), qui sont consultées (C) et qui sont informées (I).
58
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 7
UTILISATION DES COMPOSANTS DE COBIT 5
CHAPITRE 7
UTILISATION DES COMPOSANTS DE COBIT 5
Principes de transition pour les utilisateurs de COBIT 4.1, de Val IT et de
Risk IT
Les utilisateurs de COBIT 4.1, de Val IT et de Risk IT ayant déjà entrepris des activités de mise en œuvre de la GEIT
peuvent passer à COBIT 5 et profiter des toutes dernières orientations améliorées qui sont proposées, au cours des
prochaines révisions du cycle de vie d’amélioration de leur entreprise. COBIT 5 s’appuie sur les versions précédentes
de COBIT, de Val IT et de Risk IT pour que les entreprises puissent, elles aussi, se fonder sur ce qu’elles ont déjà mis
en œuvre avec les versions antérieures. Les mises en œuvre seront toujours adaptées à l’environnement et aux besoins
précis de l’entreprise, tout en adoptant la dernière version de COBIT et des autres orientations, au besoin. Au fil du
temps, ces documents continueront d’évoluer à mesure que changent les conditions et que s’améliorent les pratiques.
Les principes de COBIT 5 sont indiqués à la figure 43.
1. Répondre aux
besoins des
parties prenantes
5. Séparer la
gouvernance 2. Couvrir
de la l’entreprise
gestion de bout en bout
Principes de
COBIT 5
4. Faciliter 3. Appliquer
une approche un référentiel
holistique unique et
intégré
Voici un résumé des changements majeurs apportés à COBIT 5 et leurs répercussions sur la mise en œuvre.
59
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
Les éléments suivants résument la manière d’exécuter une analyse des écarts selon la norme :
• Identifier et prioriser les domaines d’amélioration (comme décrit dans la phase 3) en considérant :
– Les forces, les faiblesses et les risques ciblés;
– Les objectifs de l’entreprise;
– Les possibilités d’améliorer la satisfaction du client;
– L’orientation de COBIT 5 et les autres normes et bonnes pratiques;
– Les points de référence qui fournissent un cadre de comparaison de base pour les résultats d’évaluation;
– Les objectifs et indicateurs de performance du processus qui peuvent indiquer les causes fondamentales liées aux
facteurs d’amélioration;
– Le risque de ne pas atteindre les objectifs d’amélioration énoncés.
60
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 7
UTILISATION DES COMPOSANTS DE COBIT 5
Les approches basées sur le modèle de maturité de la capacité de COBIT 4.1, Val IT et Risk IT ne sont pas jugées
compatibles avec l’approche ISO/IEC 15504 de COBIT 5, car les méthodes utilisent des attributs et des échelles
de mesure différentes. ISACA considère que l’approche de COBIT 5 est plus robuste, fiable et reproduisible, et
prendra aussi en charge une évaluation formelle par des évaluateurs accrédités, permettant à l’entreprise d’obtenir
une évaluation indépendante et certifiée conformément à la norme ISO/IEC. Le chapitre 8 de COBIT 5 fournit
une description complète du nouveau modèle de capacité des processus et établit la comparaison avec l’approche
précédente de COBIT 4.1,Val IT et Risk IT.
Les utilisateurs de COBIT 4.1, Val IT et Risk IT qui souhaitent passer à la nouvelle approche de COBIT 5 devront
redéfinir leurs évaluations précédentes, adopter et apprendre la nouvelle méthode et mettre en place une nouvelle
série d’évaluations pour profiter de la nouvelle approche. Bien que certaines informations provenant d’évaluations
précédentes puissent être réutilisables, il faudra en effectuer soigneusement la migration, car les exigences présentent
des différences importantes.
Les utilisateurs de COBIT 4.1, Val IT et Risk IT qui souhaitent maintenir l’approche basée sur le modèle de maturité
de la capacité, soit de façon intérimaire ou continuelle, peuvent utiliser l’orientation de COBIT 5, mais ils doivent
utiliser le tableau des attributs généraux de COBIT 4.1 sans les modèles à haut niveau de maturité. Voici le résumé de la
procédure :
1. Comparer la portée du processus avec les pratiques et activités de gouvernance ou de gestion de COBIT 5 pour cibler
les écarts (en supposant que la direction a accepté et approuvé la pleine portée de l’orientation de COBIT 5). Pour
satisfaire le niveau 3 (défini) et plus, toutes les pratiques doivent être considérées.
2. Comparer le processus détaillé du processus avec le tableau des attributs de maturité de COBIT 4.1 (annexe E) et
déterminer le niveau atteint pour chaque attribut. Lors de l’évaluation de chaque attribut, vérifier dans quelle mesure
l’orientation du processus suivant de COBIT 5 est mise en application :
• Connaissance et communication—EDS01.02 et APO01.04
• Politiques, plans et procédures—EDS01.02, APO01.03 et APO01.08
• Outils et automatisation—APO03.02
• Compétences et expertise—APO07.03
• Responsabilité et reddition de comptes—Tableau RACI du processus, EDS01.02 et APO01.02
• Établissement et mesure des objectifs—APO07.04 et SEM01
3. Faire la comparaison avec les références et modèles disponibles existants pour établir la plausibilité de l’évaluation.
4. Définir le niveau de maturité général selon le niveau d’attribut le plus faible (sauf si l’attribut n’est pas suffisamment
important pour la capacité du processus), tout en tenant compte de l’étendue des pratiques de gouvernance ou de
gestion. Pour l’évaluation, utiliser des nombres entiers plutôt que des nombres fractionnaires ou des pourcentages.
Un niveau est atteint seulement si toutes les conditions sont satisfaites. Pour parrainer les améliorations, la direction a
besoin d’une perspective transparente et réaliste.
5. Analyser les écarts entre les niveaux actuels et ciblés en tenant compte des forces et faiblesses du processus actuel
par rapport à l’orientation des pratiques et activités de gouvernance et de gestion de COBIT 5, aux facilitateurs de
COBIT 5 et aux autres normes et bonnes pratiques pertinentes.
61
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
La relation peut se résumer dans la séquence de haut en bas suivante. COBIT 5 contribue à la réalisation de
l’alignement stratégique et oriente ce qu’il y a à faire, le tout soutenu par les objectifs de l’entreprise jusqu’aux
objectifs liés aux TI et jusqu’à la cascade des processus des TI. Cette cascade se présente et s’explique ainsi :
– Objectifs de l’entreprise
– Objectifs liés aux TI
– Exigences de la gouvernance et de la gestion
– Processus critiques des TI
– Pratiques et activités prioritaires de gouvernance et de gestion
Trois raisons expliquent pourquoi il est très utile de bien connaître les besoins des parties prenantes en matière de GEIT
(comme décrit au chapitre 3, figures 6 et7 et mentionné dans COBIT 5) ainsi que les objectifs actuels de l’entreprise et
leur influence sur la GEIT :
• Les besoins des parties prenante et les objectifs de l’entreprise influencent les exigences et les priorités de la GEIT.
Par exemple, l’accent pourrait être mis sur la réduction des coûts, la conformité ou le lancement d’un nouveau produit,
et chacun de ces derniers pourrait se répercuter différemment sur les priorités actuelles de la gouvernance.
• Les besoins des parties prenantes et les objectifs de l’entreprise aident à concentrer l’attention au bon endroit lors de
l’amélioration de la GEIT.
• Cela aide les fonctions d’affaires et des TI à mieux planifier à long terme les occasions permettant d’ajouter de la
valeur à l’entreprise.
COBIT 5 fournit de l’orientation et des exemples utiles à la définition des objectifs de l’entreprise et de ceux liés
aux TI et à la façon dont ils sont interreliés. Un ensemble général d’objectifs de l’entreprise et d’objectifs liés aux TI
est présenté sous forme de cascade dans COBIT 5 et COBIT 5: Processus facilitants. Ces exemples permettent aux
utilisateurs de COBIT de lier l’environnement d’affaires et des TI actuel de leur entreprise à des objectifs précis, puis de
les associer aux processus les plus susceptibles de mener à l’atteinte de ces objectifs.
Mesure de la performance
Un principe important de bonne gouvernance veut que la direction fournisse une orientation à l’aide d’objectifs
clairement définis et communiqués, puis qu’elle gère l’adhésion aux objectifs en appliquant les pratiques appropriées.
Le suivi de la performance par l’utilisation d’indicateurs permet à la direction de garantir l’atteinte des objectifs.
Dans COBIT 5, les objectifs d’entreprise et les objectifs liés aux TI servent de base à la définition des objectifs
des TI et à l’établissement d’un cadre de mesure de la performance. Les objectifs des TI sont exprimés en buts qui
doivent être harmonisés avec les objectifs de l’entreprise. COBIT 5 fournit des structures de définition des buts sur
trois niveaux : celui de l’entreprise, celui des TI en général et celui des processus des TI. Ces buts sont soutenus par
des indicateurs correspondant aux mesures des résultats, car ils évaluent le résultat d’un but donné. À un niveau
déterminé, les indicateurs jouent le rôle de facteurs de performance pour l’atteinte de buts à un niveau plus élevé. Ces
buts et indicateurs peuvent être utilisés pour définir des objectifs et surveiller la performance, en établissant des fiches
d’évaluation et des rapports de performance, de même que pour favoriser les améliorations.
COBIT 5 fournit des orientations sur la façon de définir et de subdiviser les objectifs et de créer des indicateurs de
surveillance basés sur le TBP.
62
Personal Copy of: Mr. Immanuel Alexandru Giulea
CHAPITRE 7
UTILISATION DES COMPOSANTS DE COBIT 5
Les pratiques et activités de COBIT 5 sont basées sur les normes et bonnes pratiques pertinentes actuelles, lesquelles
doivent aussi être utilisées pour obtenir des orientations plus détaillées.
Rôles et responsabilités
Pour chaque processus, COBIT 5 propose des exemples de tableaux RACI qui déterminent les personnes responsables
ou qui approuvent et les personnes devant être consultées ou informées des activités du processus pour divers acteurs
(de bout en bout, affaires et TI). Les acteurs peuvent être des personnes (comme le directeur des finances ou le
directeur de l’exploitation) ou des structures (comme le conseil d’administration ou le comité du risque d’entreprise).
La définition des responsabilités et de la reddition de compte représente un principe important de la GEIT. Ces tableaux
peuvent servir de base à l’adaptation de tableaux RACI spécifiques pour les processus des TI.
63
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
64
Personal Copy of: Mr. Immanuel Alexandru Giulea
ANNEXE A
CARTOGRAPHIE DES POINTS DE DOULEUR ET DES PROCESSUS DE COBIT 5
ANNEXE A
CARTOGRAPHIER LES POINTS CRITIQUES SELON LES PROCESSUS DE
COBIT 5
La figure 44 montre la série complète des 37 processus de gouvernance et de gestion de COBIT 5. Les détails de tous
les processus, selon le modèle de processus décrit précédemment, sont inclus dans COBIT 5 : Processus facilitants.
SEM01 Surveiller,
évaluer et mesurer la
performance et la
APO08 Gérer APO09 Gérer les APO10 Gérer APO11 Gérer APO12 Gérer APO13 Gérer conformité
les relations accords de service les fournisseurs la qualité le risque la sécurité
65
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
La figure 45 présente des exemples de points de douleur (comme discuté au chapitre 3) et des exemples de processus
de COBIT 5 qui pourraient être sélectionnés en guise d’orientation pour ces points de douleur.
66
Personal Copy of: Mr. Immanuel Alexandru Giulea
ANNEXE B
EXEMPLE DE MATRICE DE PRISE DE DÉCISIONS
ANNEXE B
EXEMPLE DE MATRICE DE PRISE DE DÉCISIONS
La figure 46 représente un exemple de la manière de déterminer les domaines clés pour lesquels des rôles et des
responsabilités clairs pour la prise de décision sont essentiels. Cet exemple constitue un guide et s’il s’avère utile, il
peut être modifié et adapté à l’entreprise et à ses exigences spécifiques.8
Comité de pilotage du
Comité de sécurité
Comité exécutif
Gestion des TI
programme
Employés
Domaine
décisionnel Portée
Gouvernance • Alignement avec la gouvernance de l’entreprise.
A/R R C C R I
• Établissement des principes, structures, objectifs.
Stratégie de • Définition des buts et objectifs de l’entreprise.
l’entreprise • Décision relative à l’endroit et la façon dont les TI peuvent faciliter A/R R C C R I
et soutenir les objectifs de l’entreprise.
Politiques des TI • Fourniture aux parties prenantes des politiques, des procédures,
des directives et d’autres documents qui soient exacts,
compréhensibles et approuvés. I A C R C C
• Développement et déploiement de politiques sur les TI.
• Faire appliquer les politiques des TI.
Stratégie des TI • Intégration de la gestion des TI et des affaires dans la transposition
des exigences d’affaires en offre de service, et élaboration de
stratégies pour fournir ces services d’une manière transparente et
efficace.
• Collaboration avec la direction des unités d’affaires et la direction
I A C I R C C
de l’entreprise et la direction pour rapprocher la planification
stratégique des TI des exigences d’affaires actuelles et futures.
• Compréhension des capacités actuelles des TI.
• Prévision d’un système de hiérarchisation des objectifs de
l’entreprise qui quantifient les exigences de l’entreprise.
Orientation • Fourniture de plateformes appropriées aux applications
technologique d’affaires et conforme avec l’architecture des TI et les normes
des TI technologiques.
I C C A/R C C
• Élaboration d’un plan d’acquisition de technologie qui soit aligné
sur le plan d’infrastructure de la technologie.
• Planification de l’entretien de l’infrastructure.
Cadres et • Établissement de structures organisationnelles des TI qui sont
méthodes relatifs transparentes, souples et dynamiques, et définition et mise en
aux TI œuvre des processus des TI qui intègrent les propriétaires, les
rôles et les responsabilités dans les processus d’affaires et de
décision. I C C I I A/R I I
• Définition d’un cadre des processus des TI.
• Établissement d’entités et d’une structure organisationnels
appropriés.
• Définition des rôles et des responsabilités.
8
Cet exemple est basé sur la matrice de GEIT utilisée en interne par Deloitte Afrique du Sud et développée par IT Winners; utilisée avec leur permission.
67
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
Comité de pilotage du
Comité de sécurité
Comité exécutif
Gestion des TI
programme
Employés
Domaine
décisionnel Portée
Architecture • Définition et mise en œuvre d’une architecture et de normes qui
d’entreprise reconnaissent des opportunités technologiques et en tirent parti.
• Établissement d’un forum pour guider l’architecture et vérifier la
conformité.
• Établissement d’un plan d’architecture qui tienne compte des
coûts, du risque et des exigences.
• Définition de l’architecture de l’information, y compris
A C C I I R R C
l’établissement d’un modèle de données d’entreprise qui
comprenne un schéma de classification des données.
• Assurance de l’exactitude de l’architecture d’information et du
modèle de données.
• Assignation de la propriété des données.
• Classification de l’information en utilisant un schéma de
classification convenu.
Hiérarchisation • Prise de décisions efficaces quant à l’investissement et au
des priorités liées portefeuille facilités par les TI.
à l’investissement • Prévision et répartition des budgets.
I A C C R
et au portefeuille • Définition des critères formels d’investissement.
facilités par les TI • Mesure et évaluation de la valeur d’affaires par rapport aux
prévisions.
Priorisation de • Établissement et surveillance des budgets des TI conformément à
l’investissement la stratégie des TI et des décisions d’investissement.
et du programme • Mesure et évaluation de la valeur d’affaires par rapport aux
facilités par les TI prévisions.
• Définition d’une approche de gestion de programme et de projet
qui s’applique aux projets des TI et qui permette la participation
des parties prenante et la surveillance en ce qui a trait au risque et I A R C C/I C/I C/I
à l’évolution du projet.
• Définition et application de cadres et d’une approche de
programme et de projet.
• Émission de directives de gestion de projet.
• Réalisation de la planification de chaque projet décrit dans le
portefeuille.
Gestion, suivi et • Identification des exigences de service, accord sur les niveaux de
évaluation des service et surveillance des niveaux de service.
accords de niveau • Formalisation des ententes internes et externes conformément aux
de service (ANS) exigences et aux capacités de livraison.
• Rapport sur l’atteinte du niveau de service (rapports et rencontres).
I A R R R I
• Identification des exigences de service nouvelles et révisées et
communication de ces exigences à la planification stratégique.
• Atteinte des niveaux de service opérationnel pour le traitement
prévu des données, la protection des données sensibles et la
surveillance et l’entretien de l’infrastructure.
68
Personal Copy of: Mr. Immanuel Alexandru Giulea
ANNEXE B
EXEMPLE DE MATRICE DE PRISE DE DÉCISIONS
Comité de pilotage du
Comité de sécurité
Comité exécutif
Gestion des TI
programme
Employés
Domaine
décisionnel Portée
Gestion des • Détermination des solutions réalisables sur le plan technique et de
applications des TI la rentabilité.
• Définition des exigences d’affaires et techniques.
• Réalisation d’études de faisabilité, comme défini dans les normes
de développement.
• Approbation (ou rejet) des exigences et des résultats des études
de faisabilité.
• Assurance qu’un processus de développement rentable et I I C A/R C C
opportun soit en place.
• Transposition des exigences d’affaires en spécifications de
conception.
• Adhésion aux normes de développement pour toutes les
modifications.
• Séparation des activités de développement, d’essai et
opérationnelles.
Gestion de • Exploitation de l’environnement des TI selon les niveaux de service
l’infrastructure convenus et les instructions établies. I I C A/R C C
des TI • Entretien de l’infrastructure des TI.
Sécurité des TI • Définition des politiques, plans et procédures de sécurité des
TI, puis surveillance, détection, signalement et correction des
vulnérabilités et des incidents liés à la sécurité.
• Compréhension des exigences de sécurité, des vulnérabilités et
I A R R R C/I
des menaces quant à la sécurité en lien avec les exigences de
l’entreprise et les impacts sur celle-ci.
• Gestion des identités et des autorisations de manière uniforme.
• Test régulier de la sécurité.
Approvisionnement • Acquisition et entretien des ressources des TI conformément
et contrats à la stratégie de livraison, établissement d’une infrastructure
des TI intégrée et standardisée, et réduction du risque
d’approvisionnement des TI.
I I C A/R C C
• Obtention de conseils juridiques et contractuels professionnels.
• Définition de procédures et de normes d’approvisionnement.
• Acquisition de matériel, de logiciels et de services demandés
conformément aux procédures définies.
Conformité des TI • Identification de toutes les lois, règlements et contrats applicables
ainsi que le niveau correspondant de conformité des TI, puis
optimisation des processus des TI pour atténuer le risque de non-
conformité.
C/I A C A/R C C/I
• Identification des exigences légales, réglementaires et
contractuelles liées aux TI.
• Évaluation de l’impact des exigences de conformité.
• Surveillance et rapport de la conformité avec ces exigences.
69
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
70
Personal Copy of: Mr. Immanuel Alexandru Giulea
ANNEXE C
CARTOGRAPHIER LES EXEMPLES DE SCÉNARIOS DE RISQUE SELON LES PROCESSUS DE COBIT 5
ANNEXE C
CARTOGRAPHIER LES EXEMPLES DE SCÉNARIOS DE RISQUE SELON
LES PROCESSUS DE COBIT 5
Figure 47 – Scénarios de risque et capacités des processus de COBIT 5
Scénario de risque Capacités des processus de COBIT 5
Si le scénario ...étant donné ces exemples négatifs… ...alors déterminer si ces processus de COBIT 5 doivent
est pertinent et être améliorés. Remarque : Dans cette colonne, juste à côté
intrinsèquement du numéro de processus, se trouve un exemple provenant
possible… du processus à considérer. Il ne s’agit pas des noms de
processus.
Risque lié à la facilitation des bénéfices/valeurs
Sélection de • Une sélection de programmes inadéquats pour la mise en • APO02 Stratégie d’affaires et des TI alignées
programme des TI oeuvre et non conformes à la stratégie et aux priorités de • APO03 Compatibilités avec l’architecture d’entreprise
l’entreprise. • APO04 Identification des opportunités d’innovation
• Des chevauchements entre les différents projets. • APO05 Décisions en matière de gestion du portefeuille
• Un programme nouveau et important occasionne une • BAI01 Planification et coordination de la gestion de
incompatibilité à long terme avec l’architecture de l’entreprise. programme
Nouvelles • Le défaut d’adopter et d’exploiter des nouvelles technologies • EDS04 Direction ou supervision de la gestion des
technologies (c’est-à-dire fonctionnalité, optimisation) de manière opportune. ressources
• Les tendances technologiques nouvelles et importantes ne sont • APO02 Stratégie d’identification des opportunités
pas identifiées. technologiques
• L’incapacité à utiliser la technologie pour obtenir les résultats • APO03 Architecture d’entreprise harmonisée avec les
souhaités (par ex. le défaut d’apporter des modifications tendances actuelles en matière de technologie
nécessaires au modèle d’affaires ou à l’organisation). • APO04 Tendances technologiques nouvelles et
importantes identifiées
• BAI02 Capacité à utiliser les nouvelles technologies pour
définir de nouveaux modèles d’affaires
• BAI03 Adoption et exploitation de nouvelles technologies
Sélection des • La sélection de technologies inadéquates (c’est-à-dire coût, • APO02 Sélection stratégique et efficace des technologies
technologies performance, caractéristiques, compatibilité) pour la mise en • APO03 Technologie d’architecture d’entreprise cohérente
œuvre. • BAI03 Identification et élaboration des solutions
• APO13 Impacts de la sélection des technologies sur la
sécurité
Prise de décision • Les gestionnaires ou représentants de l’entreprise ne sont pas • EDS02 Direction ou supervision de la gestion de la valeur
relativement aux impliqués dans la prise de décisions importantes concernant • APO02 Implication des affaires dans la planification
investissements les investissements en TI, particulièrement en ce qui à trait stratégique des TI
en IT aux nouvelles applications, la priorisation ou les possibilités de • APO03 Investissement convenant à l’architecture
nouvelles technologies. d’entreprise cible
• APO05 Décisions en matière de gestion du portefeuille
• APO06 Surveillance des investissements
• APO08 Compréhension des attentes de l’entreprise et des
opportunités de tirer parti des TI
• BAI01 Définition des étapes de la gestion de programme
Reddition de • Les affaires n’assument pas la reddition de comptes quant aux • EDS01-05 Reddition de compte de la direction de
compte quant domaines des TI qui les concernent, telle que les exigences l’entreprise quant aux décisions relatives aux TI
aux TI fonctionnelles, les priorités de développement et l’évaluation • APO01 Rôles et responsabilités liés aux affaires et aux TI
des opportunités par le biais des nouvelles technologies. • APO09 Ententes de service claires et approuvées
• APO10 Ententes et relations avec le fournisseur définies
et gérées
• BAI05 Facilitation des changements organisationnels
quant à la reddition de compte liée aux TI et à la GEIT
Fin de projet • Les projets qui échouent pour des raisons de coût, de retard, de • EDS01 Politiques de GEIT, structures organisationnelles
des TI dérive d’objectif ou qui ne sont pas terminés à temps en raison et rôles
de changement aux priorités de l’entreprise. • EDS02 Surveillance de la gouvernance de la valeur
• EDS04 Surveillance de la gouvernance des ressources
• BAI01 Définition des étapes de la gestion de programme/
projet
• APO05 Prise de décisions efficace en matière de gestion
du portefeuille
• APO06 Surveillance des investissements
• SEM01 Surveillance de la performance
71
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
Qualité de projet • La qualité des livrables de projet est insuffisante en raison du • APO03 Normes liées à l’architecture
logiciel, de la documentation ou de problèmes de conformité • APO11 Activités de gestion de la qualité cohérentes et
avec les exigences fonctionnelles. efficaces
• BAI01 Planification et surveillance de la gestion de la
qualité du programme/projet
72
Personal Copy of: Mr. Immanuel Alexandru Giulea
ANNEXE C
CARTOGRAPHIER LES EXEMPLES DE SCÉNARIOS DE RISQUE SELON LES PROCESSUS DE COBIT 5
Vol lié à • Le vol d’ordinateurs portatifs contenant des données sensibles. • APO01 Politiques et orientation en matière de protection
l’infrastructure • Le vol d’un nombre important de serveurs de développement. des actifs
• APO07 Vérification des références et des antécédents des
nouveaux employés et sous-traitants
• BAI03 Protection des actifs essentiels durant les activités
d’entretien
• LSS05 Mesures de sécurité physiques
Destruction • La destruction d’un centre de données due au sabotage ou à • LSS01 Protection de l’environnement et gestion des
d’infrastructure d’autres causes. installations
• La destruction accidentelle d’ordinateurs portatifs individuels. • LSS05 Mesures de sécurité physiques
Personnel des TI • Le départ ou l’indisponibilité prolongée d’employés importants • APO07 Perfectionnement et rétention des ressources
des TI. humaines des TI
• Le départ de l’entreprise d’une équipe de développement • BAI08 Gestion des connaissances tacites
importante.
• L’incapacité de recruter du personnel des TI.
Expertise et • Le manque ou l’inadéquation des compétences liées aux TI • APO07 Définition et élaboration des exigences liées aux
compétences au sein du service des TI dus aux nouvelles technologies ou à compétences du personnel des affaires et des TI
en TI d’autres causes. • BAI08 Soutien des connaissances
• Le personnel des TI ne comprend pas suffisamment les affaires.
73
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
74
Personal Copy of: Mr. Immanuel Alexandru Giulea
ANNEXE C
CARTOGRAPHIER LES EXEMPLES DE SCÉNARIOS DE RISQUE SELON LES PROCESSUS DE COBIT 5
75
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
76
Personal Copy of: Mr. Immanuel Alexandru Giulea
ANNEXE D
EXEMPLE DE DOSSIER D’AFFAIRES
ANNEXE D
EXEMPLE DE DOSSIER D’AFFAIRES
Remarque : Cet exemple sert de guide générique non prescriptif visant à encourager la préparation d’un dossier
d’affaires pour justifier un investissement dans un programme de mise en œuvre de la GEIT. Chaque entreprise a ses
propres raisons pour améliorer la GEIT et sa propre approche pour la préparation des dossiers d’affaires; une entreprise
peut opter pour une approche détaillée mettant l’accent sur les bénéfices quantifiés alors qu’une autre peut choisir une
approche qualitative de haut niveau. Les entreprises devraient respecter les pratiques concernant les dossiers d’affaires
ainsi que les approches de justification de l’investissement qui existent à l’interne, le cas échéant, et devraient utiliser
les exemples et les orientations contenus dans cette publication pour mettre l’accent sur tous les enjeux qui devraient
être abordés. D’autres conseils sur le développement de dossiers d’affaires sont proposés dans le processus APO05 de
COBIT 5 et dans Le guide sur les dossiers d’affaires : utilisation de Val ITTM 2.0.
Le scénario utilisé en exemple met en scène une grande entreprise multinationale comprenant un mélange d’unités
d’affaires traditionnelles bien établies ainsi que de nouvelles divisions basées sur Internet et utilisant les plus récentes
technologies. Bon nombre d’unités d’affaires ont été acquises et sont implantées dans différents pays; il faut donc
conjuguer diverses politiques locales et différents environnements culturels et économiques. La direction générale du
groupe central a été influencée par la dernière orientation de gouvernance d’entreprise, y compris COBIT, qu’elle a
utilisée de façon centralisée pendant un certain temps. Les membres de la direction veulent s’assurer que l’expansion
rapide et que l’adoption de TI de pointe dans bon nombre de leurs divisions apporteront la valeur attendue et une
nouvelle gestion du risque significatif. Ils ont donc exigé, à l’échelle de l’entreprise, l’adoption d’une approche
uniforme de la GEIT, une approche qui comprend également la participation au moyen des fonctions d’audit et de
gestion du risque ainsi qu’un rapport annuel interne émis par la direction de l’unité d’affaires concernant la pertinence
des contrôles dans toutes les entités.
Bien que l’exemple soit inspiré de situations réelles, il ne reflète pas un fait vécu dans une entreprise en particulier.
Sommaire exécutif
Ce dossier d’affaires, qui est basé sur COBIT, précise la portée du programme de GEIT proposé pour Acme
Corporation.
Un dossier d’affaires adéquat est nécessaire pour assurer que le conseil d’Acme Corporation et que chaque unité
d’affaires adhèrent à l’initiative, reconnaissent les bénéfices potentiels et surveillent le dossier d’affaires afin de
garantir que les bénéfices escomptés se matérialisent.
La portée à l’échelle des entités d’affaires qui composent Acme Corporation est globale. En raison des ressources
limitées du programme, un certain processus de priorisation sera appliqué à toutes les entités pour assurer une
couverture initiale par le programme de GEIT.
Un bon nombre de parties prenantes s’intéressent aux résultats du programme de GEIT, du conseil d’administration
d’Acme Corporation à la direction locale de chaque entité, sans oublier les parties prenantes externes comme les
actionnaires et les organismes gouvernementaux.
Tout comme le risque, certains défis importants doivent être pris en considération dans la mise en œuvre du programme
de GEIT requise dans l’ensemble de l’entreprise. Un des aspects les plus difficiles à gérer est la nature entrepreneuriale
de la plupart des activités liées à Internet ainsi que le modèle d’affaires décentralisé ou fédéral qui existe au sein
d’Acme Corporation.
Le programme de GEIT sera réalisé en mettant l’accent sur les capacités des processus et sur les autres facilitateurs
d’Acme, capacités qui seront comparées à celles définies dans COBIT et qui sont propres à chaque unité d’affaires.
En commençant par les objectifs d’affaires de chaque unité, les processus pertinents et prioritaires qui recevront une
attention particulière dans chaque entité seront identifiés lors d’un atelier animé par les membres du programme de
GEIT et au moyen des scénarios de risques d’affaires liés aux TI qui s’appliquent à l’unité d’affaires en question.
L’objectif du programme de GEIT est de veiller à ce que les structures de gouvernance adéquates soient en place
et d’augmenter le niveau de la capacité et la pertinence des processus des TI, dans l’espoir que si la capacité
d’un processus des TI s’améliore, le risque associé diminuera proportionnellement et que l’efficacité et la qualité
augmenteront. Ainsi, de réels bénéfices d’affaires peuvent être réalisés par chaque unité d’affaires.
77
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
Une fois que le processus d’évaluation du niveau de capacité au sein de chaque unité d’affaires a été mis en place, il est
prévu que les autoévaluations se poursuivent au sein de chaque unité d’affaires à titre de pratique d’affaires normale.
Le programme de GEIT comportera deux phases distinctes. La première phase est une phase de développement,
pendant laquelle l’équipe précisera et testera l’approche et un ensemble d’outils qui seront utilisés dans l’ensemble
d’Acme Corporation. À la fin de la phase 1, les résultats seront présentés à la direction du groupe pour approbation
finale. Après l’obtention de l’approbation finale sous forme de dossier d’affaires approuvé, le programme de GEIT sera
déployé dans l’ensemble de l’entité suivant la stratégie convenue.
Il est à noter qu’il n’appartient pas au programme de GEIT de mettre en œuvre les actions correctives relevées pour
chaque unité d’affaires. Le programme de GEIT se limite à la consolidation des progrès tels qu’ils sont indiqués par
chaque unité.
Le dernier défi qui devra être relevé par le programme de GEIT est celui de rendre compte des résultats de manière
durable. Cet aspect, qui demandera du temps et qui sera l’objet de nombreuses discussions et d’un important
développement, devrait se traduire par une amélioration des mécanismes de reddition de compte et de bilans
d’entreprise déjà en place.
Un budget initial pour la phase de développement du programme de GEIT a été prévu. Le budget est détaillé dans
un échéancier distinct. Un budget détaillé sera également préparé pour la phase 2 du projet et fera l’objet d’une
approbation par la direction du groupe.
Les TI sont intégrées dans les activités d’Acme Corporation et pour nombre d’entre elles, en particulier les activités
liées à Internet,
les TI sont le point central. La GEIT respecte donc la structure de gestion du groupe, c’est-à-dire une forme
décentralisée. La direction de chaque filiale ou unité d’affaires est responsable d’assurer la mise en œuvre des
procédures appropriées et pertinentes pour la GEIT.
Chaque année, la direction de chaque filiale importante est tenue de présenter un rapport écrit officiel au comité des
risques concerné, comité formé de membres du conseil d’administration, à propos de la mesure dans laquelle les
politiques de la GEIT ont été mises en œuvre au cours de l’année financière. Les exceptions importantes doivent être
signalées lors de chaque réunion prévue du comité des risques concerné.
Le conseil d’administration, assisté par les comités des audits et des risques, veillera à ce que la performance du groupe
en matière de GEIT soit évaluée, surveillée, inscrite dans un rapport et communiquée dans un énoncé de GEIT qui fera
partie du rapport intégré. Un tel énoncé sera basé sur les rapports fournis par les équipes responsables de la gestion du
risque, de la conformité et des audits internes et par la direction de chaque filiale importante, et ce, afin d’offrir aux
parties prenantes internes et externes des informations pertinentes et fiables sur la qualité de la performance du groupe
en matière de GEIT.
Les services chargés des audits internes fourniront l’assurance de la pertinence et l’efficacité de la GEIT à la direction
et au comité responsable des audits.
Dans le cadre du processus de gestion du risque, les risques d’affaires liés aux TI seront rapportés et feront l’objet de
discussion dans les registres des risques présentés au comité concerné.
L’intention est de ne pas entraver les activités liées aux TI des différentes entités opérationnelles. On vise alors à
améliorer le profil de risque des entités de la manière la plus appropriée aux différents milieux d’affaires. On vise
78
Personal Copy of: Mr. Immanuel Alexandru Giulea
ANNEXE D
EXEMPLE DE DOSSIER D’AFFAIRES
également à améliorer la qualité et l’efficacité des services, tout en étant explicitement conformes non seulement à la
charte de GEIT d’Acme Corporation, mais aussi à toute autre loi et exigence réglementaire ou contractuelle.
Ainsi, l’objectif du programme de GEIT est d’accorder la priorité à l’amélioration du niveau de capacité et du caractère
adéquat des processus et des contrôles liés aux TI qui soient adaptés à chaque unité d’affaires.
Le résultat devrait être qu’un risque important a été identifié et formulé, et la direction est en mesure de traiter le risque
et de faire rapport sur son état. Au fur et à mesure que le niveau de capacité de chaque unité d’affaires augmente, le
profil de risque d’affaires lié aux TI de chaque entité devrait diminuer et la qualité et l’efficacité devraient augmenter
proportionnellement.
Choisi par Acme Corporation, COBIT devient le cadre privilégié pour la mise en œuvre de la GEIT et devrait donc être
adopté par l’ensemble des filiales.
COBIT ne doit pas nécessairement être mis en œuvre dans son intégralité; seuls les domaines pertinents à la filiale ou à
l’unité d’affaires particulière pourraient être implantés, tout en tenant compte des éléments suivants :
1. le stade de développement de chaque entité dans le cycle de vie de l’entreprise;
2. les objectifs d’affaires de chaque entité;
3. l’importance des TI pour l’unité d’affaires;
4. le risque d’affaires lié aux TI auquel fait face chaque entité;
5. les exigences légales et contractuelles;
6. toute autre raison pertinente.
Lorsqu’un autre cadre est déjà implanté dans une filiale ou une unité d’affaires, ou qu’une implantation est prévue dans
un avenir proche, ce cadre devrait être intégré à COBIT pour faciliter les audits et la production de rapports et pour
assurer la clarté des contrôles internes.
9
King III est le rapport intitulé Gouvernance d’entreprise en Afrique du Sud.
79
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
Solution proposée
Le programme de GEIT comporte deux phases distinctes.
Portée du programme
Le programme de GEIT couvrira les éléments suivants :
1. Toutes les entités du groupe; toutefois, pour faciliter l’interaction, les entités devront être classées par priorité en
raison
des ressources du programme qui sont assez limitées
2. La méthode d’établissement des priorités. Il faudra convenir d’une méthode avec la direction d’Acme Corporation,
mais elle pourrait être composée des éléments de base suivant :
a. Taille de l’investissement
b. Revenus/contribution au groupe
c. Profil de risque du point de vue de groupe
d. Une combinaison de tous ces éléments.
3. La liste des entités à couvrir pendant l’exercice en cours. La liste n’est pas encore finalisée et doit être approuvée par
la direction d’Acme Corporation.
80
Personal Copy of: Mr. Immanuel Alexandru Giulea
ANNEXE D
EXEMPLE DE DOSSIER D’AFFAIRES
L’approche commence avec les objectifs d’affaires et les propriétaires objectifs, généralement le chef de la direction et
le directeur financier. Cette approche devrait garantir le parfait alignement des résultats du programme sur les résultats
et les priorités d’affaires attendus.
Une fois que les objectifs de l’entreprise ont été couverts, il est primordial de se concentrer ensuite sur les activités des
TI, généralement sous le contrôle du directeur des technologies ou du dirigeant principal de l’information; on considère
alors un plus grand nombre de détails sur les risques et les objectifs d’affaires liés aux TI.
Les affaires et les objectifs liés aux TI ainsi que les risques d’affaires liés aux TI sont ensuite combinés en un outil (basé
sur les orientations de COBIT) qui fournira un ensemble d’axes de travail prioritaires au sein du processus de COBIT
qui sera évalué par l’unité d’affaires. Ainsi, l’unité d’affaires sera en mesure de prioriser ses efforts d’assainissement
pour aborder les risques liés aux TI.
Livrables du programme (voir le chapitre 6. Tâches, rôles et responsabilités liés au cycle de vie
de la mise en œuvre)
Comme mentionné précédemment, l’objectif global du programme de GEIT est d’intégrer les bonnes pratiques de
GEIT dans les activités en cours, et ce, dans les différentes entités du groupe.
Des résultats particuliers seront produits dans le cadre du programme de GEIT pour permettre à Acme Corporation
d’évaluer les résultats attendus par l’intermédiaire du programme de GEIT. Ces résultats sont, entre autres, les suivants :
1. Le programme de GEIT facilitera le partage des connaissances à l’interne grâce à l’utilisation de la plateforme
intranet, et renforcera nos relations avec les fournisseurs, au profit des unités d’affaires.
2. Des rapports détaillés sur chaque interaction facilitée avec les unités d’affaires seront produits. Les rapports seront
composés des éléments suivants :
a. Les objectifs opérationnels actuels hiérarchisés, et les objectifs pour les TI qui en découlent fondés sur COBIT
b. Les risques liés aux TI déterminés par l’unité d’affaires dans un format normalisé, et les domaines convenus
auxquels l’unité d’affaires devra accorder son attention, basés sur les processus et les pratiques de COBIT et autres
facilitateurs recommandés
c. Les éléments ci-dessus peuvent être dérivés de l’outil d’évaluation du programme de GEIT
3. Des rapports de progrès généraux sur la couverture prévue des unités d’affaires d’Acme Corporation par le
programme de GEIT seront produits.
4. Le rapport consolidé du groupe sera composé des éléments suivants :
a. Les progrès des unités d’affaires travaillant sur leurs projets de mise en œuvre basée sur la surveillance de
indicateurs de performance convenus
b. Une synthèse des risques liés aux TI dans l’ensemble des entités d’Acme Corporation
c. Les exigences particulières du comité de gestion des risques
5. Des rapports financiers seront produits faisant état de la comparaison du budget du programme par rapport aux coûts
réels.
6. Le bénéfice de la surveillance et de la création de rapports sera supérieur aux objectifs et aux indicateurs de
définition de la valeur de l’entreprise.
81
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
7. Les structures des comités appropriés pour superviser le programme. Par exemple, les progrès de l’ensemble du
programme de GEIT pourraient devenir un élément de l’ordre du jour du comité exécutif des TI. Des équivalents
locaux devront également être produits. Cela pourrait être reproduit dans divers endroits, ainsi qu’à l’échelle de la
société de portefeuille locale, le cas échéant.
Parties prenantes (voir la section 4 du chapitre 3. Reconnaissance des rôles et des exigences
des parties prenantes)
Les acteurs suivants ont été reconnus comme des parties prenantes dans l’issue du programme de GEIT :
1. Comité de gestion des risques
2. Comité exécutif des TI
3. Équipe de gouvernance
4. Personnel responsable de la conformité
5. Direction régionale
6. Direction de l’entité locale (y compris la gestion des TI)
7. Services d’audit interne
Une liste définitive comportant le nom des différents acteurs sera dressée et publiée après consultation de la direction
du groupe.
Le programme de GEIT demande que les parties prenantes recensées fournissent les renseignements suivants :
1. Des directives quant à l’orientation générale du programme de GEIT. Ces directives comprennent les importantes
décisions sur les sujets liés à la gouvernance présentée dans un tableau RACI selon les orientations de COBIT;
l’établissement des priorités, l’accord sur le financement et l’approbation des objectifs de valeur y sont également
présentés.
2. L’acceptation des livrables, et la surveillance des bénéfices escomptés, du programme de GEIT.
Analyse coût-bénéfice
Le programme devrait préciser les avantages escomptés, et s’assurer qu’une réelle valeur est générée à partir de
l’investissement. La gestion locale devrait encourager et soutenir le programme. Une bonne GEIT devrait produire
de bons bénéfices qui seront définis comme des cibles particulières pour chaque unité d’affaires, et surveillés, puis
mesurés lors de la mise en œuvre afin d’assurer que ces bénéfices soient réalisés. Les bénéfices sont les suivants :
1. La concrétisation optimale des occasions d’affaires à l’aide des TI, tout en abaissant les risques d’affaires liés aux TI
à des niveaux acceptables, afin de s’assurer que le risque est mesuré de façon responsable en tenant compte de toutes
les initiatives d’affaires possibles.
2. Le soutien des objectifs d’affaires par des investissements clés et par un rendement optimal de ces investissements
favorisant ainsi l’alignement parfait des initiatives et des objectifs avec la stratégie d’entreprise.
3. La conformité juridique, réglementaire et contractuelle ainsi que la conformité interne et le respect des procédures.
4. Une approche cohérente pour mesurer et surveiller les progrès et l’efficacité
5. L’amélioration de la qualité de la prestation de services
6. La réduction des coûts liés aux activités des TI ou l’augmentation de la productivité des TI seront possibles en
accomplissant toujours plus de travail en moins de temps et avec moins de ressources.
Les dépenses centrales du groupe comprennent le temps nécessaire à la gestion du programme, les ressources
consultatives externes et les formations initiales. Ces dépenses centrales du groupe ont été estimées pour la phase 1. Les
coûts des ateliers d’évaluation auxquels participent la direction de chacune des unités d’affaires et les responsables de
processus seront défrayés localement et un devis sera fourni. Les initiatives particulières d’amélioration de projet pour
chaque unité d’affaires seront estimées au cours de la phase 2 et examinées au cas par cas ainsi que dans la globalité. Le
groupe pourra ainsi maximiser l’efficacité et la normalisation.
Défis et facteurs de réussite (voir le chapitre 4. Définition des facteurs de succès et des défis
concernant la mise en œuvre)
La figure 48 résume les défis qui pourraient affecter le programme de GEIT pendant la période de mise en œuvre et les
facteurs de succès essentiels qui devraient être examinés afin d’assurer la réussite.
82
Personal Copy of: Mr. Immanuel Alexandru Giulea
ANNEXE D
EXEMPLE DE DOSSIER D’AFFAIRES
83
Personal Copy of: Mr. Immanuel Alexandru Giulea
MISE EN ŒUVRE
84
Personal Copy of: Mr. Immanuel Alexandru Giulea
Figure 49 – Tableau de maturité de COBIT 4.1
Sensibilisation et Politiques, plans et procédures Outils et automatisation Compétences et expertise Responsabilité Définition des objectifs et
communication opérationnelle et métriques
responsabilité finale
1 On commence à L’approche par processus et les pratiques Il peut exister certains outils; la On n’a pas identifié quelles compétences étaient Les responsabilités Les objectifs ne sont pas clairs et rien
reconnaître la nécessité sont envisagées au cas par cas. pratique se base sur les outils de nécessaires au fonctionnement du processus. opérationnelles et les n’est mesuré.
des processus. bureautique standards. responsabilités finales ne
ANNEXE E
Les processus et les politiques ne sont Il n’existe pas de plan de formation et aucune sont pas définies. Les gens
On communique de pas définis. Il n’y a pas d’approche planifiée de formation n’est officiellement organisée. s’attribuent la propriété des
temps en temps sur ces l’utilisation des outils. problèmes à résoudre de leur
questions. propre initiative en fonction
des situations.
2 On a conscience du On commence à utiliser des processus Il existe des approches communes On a identifié les compétences minimales Une personne assume ses On fixe certains objectifs; on mesure
besoin d’agir. semblables mais ils sont largement intuitifs de certains outils, mais elles requises pour les domaines stratégiques. responsabilités et en est certains flux financiers mais seule la
car basés sur l’expertise individuelle. sont basées sur des solutions habituellement tenue pour direction est au courant. On surveille
La direction développées par des individus clés. On fournit une formation en cas de besoin responsable (garante), certains secteurs isolés mais pas de
communique sur les Certains aspects des processus sont plutôt que selon un plan approuvé, et certaines même si cela n’a pas été façon organisée.
questions générales. reproductibles grâce à l’expertise Des outils ont pu être achetés chez formations informelles ont lieu « sur le tas ». formellement convenu.
individuelle, et il peut exister une forme des fournisseurs, mais ils ne sont Lorsque des problèmes
de documentation et de compréhension sans doute pas utilisés correctement, surviennent, on ne sait plus
informelle de la politique et des et sont peut-être même des produits qui est responsable et une
TABLEAU
on anticipe sur les selon des objectifs personnels et d’entreprise prendre des décisions et performance de l’informatique aux
évolutions. La documentation des processus a évolué Les outils sont pleinement intégrés clairement définis. d’agir. Le fait d’accepter des objectifs métiers par l’application
en workflow automatisé. On a standardisé entre eux pour supporter le responsabilités a été déployé générale du tableau de bord équilibré
Il existe une et intégré les processus, les politiques et processus de bout en bout. La formation et l’enseignement s’appuient sur de façon cohérente à tous les informatique. La direction prend
communication les procédures pour permettre une gestion les meilleures pratiques externes et utilisent échelons de l’entreprise. systématiquement note des exceptions
proactive sur les et des améliorations de tous les maillons On utilise des outils pour favoriser des concepts et des techniques de pointe. Le et on applique l’analyse causale.
tendances du moment, de la chaîne. l’amélioration des processus et pour partage des connaissances est une culture L’amélioration continue fait désormais
on applique des détecter automatiquement les cas d’entreprise et on déploie des systèmes à base partie de la culture d’entreprise.
techniques éprouvées d’exception au contrôle. de connaissances. On s’appuie sur l’expérience
et des outils intégrés d’experts externes et d’entreprises leaders de
pour la communication. la branche.
85
COBIT 4.1
ANNEXE E
MISE EN ŒUVRE
86
Personal Copy of: Mr. Immanuel Alexandru Giulea