Académique Documents
Professionnel Documents
Culture Documents
À propos de l'ISACA
L'ISACA® (isaca.org), qui approche de son 50e anniversaire, est une association mondiale qui aide les
particuliers et les entreprises à exploiter le potentiel positif de la technologie. La technologie est le
moteur du monde actuel et l'ISACA fournit aux professionnels les connaissances, les diplômes,
l'éducation et la communauté nécessaires pour faire progresser leur carrière et transformer leur
organisation. L'ISACA s'appuie sur l'expertise de son demi-million de professionnels engagés dans la
sécurité de l'information et la cybersécurité, la gouvernance, l'assurance, le risque et l'innovation,
ainsi que sur sa filiale de performance d'entreprise, le CMMI® Institute, pour aider à faire progresser
l'innovation par la technologie. L'ISACA est présente dans plus de 188 pays, dont plus de 217 sections
et bureaux aux États-Unis et en Chine.
Clause de non-responsabilité
L'ISACA a conçu et créé le cadre COBIT® 2019 : Introduction et méthodologie (le "travail")
principalement comme ressource éducative pour les professionnels de la gouvernance d'entreprise
en matière d'information et de technologie (EGIT), d'assurance, de risque et de sécurité. L'ISACA ne
prétend pas que l'utilisation de l'un ou l'autre des travaux assurera un résultat positif. Le travail ne
doit pas être considéré comme incluant toutes les informations, procédures et tests appropriés, ni
comme excluant d'autres informations, procédures et tests qui visent raisonnablement à obtenir les
mêmes résultats. Pour déterminer la pertinence d'une information, d'une procédure ou d'un test
spécifique, les professionnels de la gouvernance d'entreprise en matière d'information et de
technologie (EGIT), de l'assurance, des risques et de la sécurité doivent appliquer leur propre
jugement professionnel aux circonstances spécifiques présentées par les systèmes particuliers ou
l'environnement informatique.
Copyright
2018 ISACA. Tous droits réservés. Pour les directives d'utilisation, voir www.isaca.org/COBITuse.
ISACA
1700 E. Golf Road, Suite 400 Schaumburg, IL 60173, USA Phone : +1.847.660.5505
Fax : +1.847.253.1755
ISBN 978-1-60420-763-7
Dédié à John Lainhart, président du conseil d'administration de l'ISACA 1984-1985. John a contribué à
la création du cadre COBIT® et, plus récemment, a présidé le groupe de travail COBIT® 2019, qui a
abouti à la création de ce travail. Au cours des quatre décennies qu'il a passées au sein de l'ISACA,
John a participé à de nombreux aspects de l'association, tout en détenant les certifications CISA,
CRISC, CISM et CGEIT de l'ISACA. John laisse derrière lui un héritage personnel et professionnel
remarquable, et ses efforts ont eu un impact significatif sur l'ISACA.
CADRE COBIT® 2019 : INTRODUCTION ET MÉTHODOLOGIE
Remerciements
REMERCIEMENTS
John Lainhart, Président, CISA, CRISC, CISM, CGEIT, CIPP/G, CIPP/US, Grant Thornton, USA Matt
Conboy, Cigna, USA
Ron Saull, CGEIT, CSP, Great-West Lifeco & IGM Financial (retraité), Canada
Équipe de développement
Steven De Haes, Ph.D., Antwerp Management School, Université d'Anvers, Belgique Matthias
Goorden, PwC, Belgique
Sarah Ahmad Abedin, CISA, CRISC, CGEIT, Grant Thornton LLP, États-Unis
Floris Ampe, CISA, CRISC, CGEIT, CIA, ISO27000, PRINCE2, TOGAF, PwC, Belgique
Krzystof Baczkiewicz, CHAMP, CITAM, CSAM, Transpectit, Pologne Christopher M. Ballister, CRISC,
CISM, CGEIT, Grant Thornton, USA Gary Bannister, CGEIT, CGMA, FCMA, Autriche
Graciela Braga, CGEIT, auditeur et conseiller, Argentine Ricardo Bria, CISA, CRISC, CGEIT, COTO CICSA,
Argentine Sushil Chatterji, CGEIT, Edutech Enterprises, Singapour
Peter T. Davis, CISA, CISM, CGEIT, évaluateur COBIT 5, CISSP, CMA, CPA, PMI-RMP, PMP,
James Doss, CISM, CGEIT, EMCCA, PMP, SSGB, TOGAF 9, ITvalueQuickStart.com, USA
Yalcin Gerek, CISA, CRISC, CGEIT, Expert ITIL, Prince2, ISO 20000LI, ISO27001LA, TAC AS., Turquie
J. Winston Hayden, CISA, CISM, CRISC, CGEIT, Afrique du Sud Jimmy Heschl, CISA, CISM, CGEIT, Red
Bull, Autriche
John Jasinski, CISA, CRISC, CISM, CGEIT, COBIT 5 Assessor, CSM, CSPO, IT4IT-F, ITIL Expert, Lean IT-F,
MOF, SSBB, TOGAF-F, USA
Glenn Keaveny, CEH, CISSP, Grant Thornton, USA Eddy Khoo S. K., CGEIT, Kuala Lumpur, Malaisie
Joao Souza Neto, CRISC, CGEIT, Universidade Católica de Brasília, Brésil Tracey O'Brien, CISA, CISM,
CGEIT, IBM Corp (retraité), États-Unis
Opeyemi Onifade, CISA, CISM, CGEIT, BRMP, CISSP, ISO 27001LA, M.IoD, Afenoid Enterprise Limited,
Nigeria Andre Pitkowski, CRISC, CGEIT, CRMA-IIA, OCTAVE, SM, APIT Consultoria de Informatica Ltd,
Brésil
Dirk Reimers, Entco Deutschland GmbH, A Micro Focus Company Steve Reznik, CISA, CRISC, ADP, LLC,
États-Unis
Bruno Horta Soares, CISA, CRISC, CGEIT, PMP, GOVaaS - Conseillers en gouvernance, à la demande,
Portugal Dr. Katalin Szenes, Ph.D., CISA, CISM, CGEIT, CISSP, John von Neumann Faculty of
Informatics,
Remerciements (suite)
Experts réviseurs
Peter Tessin, CISA, CRISC, CISM, CGEIT, Discover, USA Mark Thomas, CRISC, CGEIT, Escoute, USA
John Thorp, CMC, ISP, ITCP, The Thorp Network, Canada Greet Volders, CGEIT, COBIT Assessor,
Voquals N.V., Belgique
Markus Walter, CISA, CISM, CISSP, ITIL, PMP, TOGAF, PwC Singapour/Suisse David M. Williams, CISA,
CAMS, Westpac, Nouvelle-Zélande
Brennan Baybeck, CISA, CRISC, CISM, CISSP, Oracle Corporation, USA, Vice-président Tracey Dedrick,
ancien Chief Risk Officer de la Hudson City Bancorp, USA
Leonard Ong, CISA, CRISC, CISM, CGEIT, COBIT 5 Mise en œuvre et évaluation, CFE, CIPM, CIPT, CISSP,
CITBCM, CPP, CSSLP, GCFA, GCIA, GCIH, GSNA, ISSMP-ISSAP, PMP, Merck & Co, Inc.
R.V. Raghu, CISA, CRISC, Versatilist Consulting India Pvt. Ltd, Inde
Gabriela Reynaga, CISA, CRISC, Fondation COBIT 5, GRCP, Holistics GRC, Mexique Gregory Touhill,
CISM, CISSP, Cyxtera Federal Group, USA
Tichaona Zororo, CISA, CRISC, CISM, CGEIT, COBIT 5 Assesseur, CIA, CRMA, EGIT | Gouvernance
d'entreprise des TI, Afrique du Sud
Theresa Grafenstine, CISA, CRISC, CGEIT, CGAP, CGMA, CIA, CISSP, CPA, Deloitte & Touche LLP, USA,
présidente du conseil d'administration de l'ISACA, 2017-2018
Chris K. Dimitriadis, Ph.D., CISA, CRISC, CISM, INTRALOT, Grèce, président du conseil d'administration
de l'ISACA, 2015-2017 Matt Loeb, CGEIT, CAE, FASAE, directeur général, ISACA, États-Unis
Robert E Stroud (1965-2018), CRISC, CGEIT, XebiaLabs, Inc., USA, président du conseil
d'administration de l'ISACA, 2014-2015
L'ISACA est profondément attristée par le décès de Robert E Stroud en septembre 2018.
6
3.1Introduction17
4. 6Cascade de buts28
5.1 Objet33
6.1Définition37
8.3Relation entre le Guide de conception COBIT® 2019 et le Guide de mise en œuvre COBIT®
201952
9.1Affaire commerciale53
9. 2Résumé exécutif53
9.3 Contexte54
9.5.1Phase 1 . Préplanification56
9.5.7Parties prenantes59
Chapitre 1. IntrodUCtion
Figure 4.7 - Facteurs de conception du profil de risque (catégories de risque en matière de TI) 24
Figure 4.13 - Facteur de conception des méthodes de mise en œuvre des TI27
Figure 8.2 - Points de connexion entre le Guide de conception COBIT et le Guide d'application
COBIT52
CHAPITRE 1 INTRODUCTION
Chapitre 1 IntrodUCtion
1.1 Gouvernance des entreprises en matière d'information et de technologie
Les entreprises numérisées sont de plus en plus dépendantes de l'I&T pour leur survie et leur
croissance.
Entreprises/Valeur informatique
Gouvernance de l'ITAlignmentCreation
Réalisation des bénéfices - Il s'agit de créer de la valeur pour l'entreprise grâce à l'I&T, de
maintenir et d'augmenter la valeur dérivée des investissements I&T1 existants et d'éliminer les
initiatives et les actifs informatiques qui ne créent pas suffisamment de valeur. Le principe de base de
la valeur I&T est la fourniture de services et de solutions adaptés à l'objectif, dans les délais
1 Tout au long de ce texte, le terme "TI" est utilisé pour désigner le département organisationnel qui
a la responsabilité principale de la technologie. L'expression I&T utilisée dans ce texte fait référence à
toutes les informations que l'entreprise génère, traite et utilise pour atteindre ses objectifs, ainsi qu'à
la technologie qui les soutient dans l'ensemble de l'entreprise.
et dans les limites du budget, qui génèrent les avantages financiers et non financiers escomptés. La
valeur que l'I&T apporte doit être directement alignée sur les valeurs sur lesquelles l'entreprise est
axée. La valeur informatique doit également être mesurée de manière à montrer l'impact et les
contributions des investissements informatiques dans le processus de création de valeur de
l'entreprise.
L'optimisation des ressources - Elle permet de s'assurer que les capacités appropriées sont en
place pour exécuter le plan stratégique et que des ressources suffisantes, appropriées et efficaces
sont fournies. L'optimisation des ressources garantit la mise en place d'une infrastructure
informatique intégrée et économique, l'introduction de nouvelles technologies selon les besoins de
l'entreprise et la mise à jour ou le remplacement des systèmes obsolètes. Parce qu'elle reconnaît
l'importance des personnes, en plus du matériel et des logiciels, elle se concentre sur la formation, la
promotion de la rétention et la garantie de la compétence du personnel informatique clé. Les
données et les informations constituent une ressource importante, et l'exploitation des données et
des informations pour obtenir une valeur optimale est un autre élément clé de l'optimisation des
ressources.
Dans une vaste étude de cas portant sur une compagnie aérienne internationale, il a été démontré
que les avantages d'EGIT comprennent : une réduction des coûts de continuité liés aux TI, une
capacité d'innovation accrue grâce aux TI, un meilleur alignement entre les investissements
numériques et les objectifs et la stratégie des entreprises, une confiance accrue entre les entreprises
et les TI, et une évolution vers un "esprit de valeur" autour des biens numériques.2
Des recherches ont montré que les entreprises dont les approches d'EGIT sont mal conçues ou mal
adoptées obtiennent de moins bons résultats dans l'alignement des stratégies et des processus
commerciaux et d'I&T. En conséquence, ces entreprises ont beaucoup moins de chances de réaliser
leurs stratégies commerciales prévues et de réaliser la valeur commerciale qu'elles attendent de la
transformation numérique.3
Il est donc clair que la gouvernance doit être comprise et mise en œuvre bien au-delà de
l'interprétation souvent rencontrée (c'est-à-dire étroite) suggérée par l'acronyme gouvernance,
risque et conformité (GRC). L'acronyme GRC lui-même suggère implicitement que la conformité et le
risque associé représentent le spectre de la gouvernance.
Au fil des ans, des cadres de meilleures pratiques ont été élaborés et promus pour aider au processus
de compréhension, de conception et de mise en œuvre d'EGIT. COBIT® 2019 s'appuie sur plus de 25
ans de développement dans ce domaine et les intègre, non seulement en intégrant les nouvelles
connaissances scientifiques, mais aussi en les mettant en pratique.
Depuis sa fondation dans la communauté des auditeurs informatiques, COBIT® s'est développé en un
cadre de gouvernance et de gestion de l'I&T plus large et plus complet et continue à s'imposer
comme un cadre généralement accepté pour la gouvernance de l'I&T.
3 De Haes, Steven ; A. Joshi ; W. van Grembergen ; "State and Impact of Governance of Enterprise IT
in Organizations : Key Findings of an International Study", ISACA® Journal, vol. 4, 2015,
https://www.isaca.org/Journal/archives/2015/Volume-4/Pages/state-and-impact-of-governance-of-
enterprise-it- in-organizations.aspx. Voir également op cit De Haes et van Grembergen.
12
CHAPITRE 1 INTRODUCTION
Avant de décrire le cadre COBIT actualisé, il est important d'expliquer ce qu'est et ce que n'est pas le
COBIT :
Le cadre COBIT établit une distinction claire entre la gouvernance et la gestion. Ces deux disciplines
englobent des activités différentes, nécessitent des structures organisationnelles différentes et
servent des objectifs différents.
Les besoins, les conditions et les options des parties prenantes sont évalués afin de
déterminer des objectifs d'entreprise équilibrés et convenus.
Les performances et la conformité sont contrôlées par rapport aux orientations et aux
objectifs convenus.
Dans la plupart des entreprises, la gestion est du ressort de la direction générale, sous la direction du
directeur général (PDG).
COBIT définit les facteurs de conception qui doivent être pris en compte par l'entreprise pour
construire un système de gouvernance adapté.
COBIT aborde les questions de gouvernance en regroupant les éléments de gouvernance pertinents
en objectifs de gouvernance et de gestion qui peuvent être gérés aux niveaux de capacité requis.
COBIT n'est pas une description complète de tout l'environnement informatique d'une
entreprise.
COBIT n'est pas un cadre permettant d'organiser les processus commerciaux.
COBIT n'est pas un cadre (IT-)technique pour gérer toutes les technologies.
4 Tout au long de cette publication, les références au "cadre pour la gouvernance des TI" impliquent
l'intégralité de cette description.
Le chapitre 3 explique les principes des systèmes de gouvernance pour l'I&T, et les principes
des cadres de bonne gouvernance.
Le chapitre 6 explique comment est conçu le suivi des performances dans COBIT® 2019 et, en
particulier, comment sont introduits les niveaux de capacités inspirés du modèle CMMI® (Capability
Maturity Model Integration).
Le chapitre 10 énumère les normes, cadres et règlements qui ont été utilisés lors de
l'élaboration du COBIT® 2019.
14
Le public cible de COBIT est constitué des parties prenantes pour l'EGIT et, par extension, des parties
prenantes pour la gouvernance d'entreprise. Ces parties prenantes et les avantages qu'elles peuvent
tirer de COBIT sont présentés dans la figure 2.1.
Direction généraleFournit des conseils sur la manière d'organiser et de contrôler les performances
de l'I&T dans l'entreprise
Gestionnaires d'entreprisesAide pour comprendre comment obtenir les solutions I&T dont les
entreprises ont besoin et comment exploiter au mieux les nouvelles technologies pour de nouvelles
opportunités stratégiques
Partenaires commerciauxAide à garantir que les opérations d'un partenaire commercial sont sûres,
fiables et conformes aux règles et réglementations applicables
Le public cible comprend les responsables tout au long du cycle de vie de la solution de gouvernance,
de la conception à l'exécution et à l'assurance. En effet, les fournisseurs d'assurance peuvent
appliquer la logique et le flux de travail développés dans cette publication pour créer un programme
d'assurance bien étayé pour l'entreprise.
Chapitre 3
Principes COBIT
3.1IntrodUCtion
Principes qui décrivent les exigences fondamentales d'un système de gouvernance pour
l'information et la technologie d'entreprise
Principes pour un cadre de gouvernance pouvant être utilisé pour construire un système de
gouvernance pour l'entreprise
Les six principes d'un système de gouvernance sont les suivants (figure 3.1) :
Chaque entreprise a besoin d'un système de gouvernance pour satisfaire les besoins des
parties prenantes et pour générer de la valeur à partir de l'utilisation de l'I&T. La valeur reflète un
équilibre entre les avantages, les risques et les ressources, et les entreprises ont besoin d'une
stratégie et d'un système de gouvernance permettant de réaliser cette valeur.
Un système de gouvernance pour les entreprises I&T est constitué d'un certain nombre de
composantes qui peuvent être de différents types et qui fonctionnent ensemble de manière
holistique.
Un système de gouvernance doit être dynamique. Cela signifie que chaque fois qu'un
ou plusieurs des facteurs de conception sont modifiés (par exemple, un changement de stratégie ou
de technologie), l'impact de ces changements sur le système EGIT doit être pris en compte. Une
vision dynamique d'EGIT conduira à un système d'EGIT viable et à l'épreuve du temps.
Un système de gouvernance doit établir une distinction claire entre les activités et les
structures de gouvernance et de gestion.
Valeur
2. Approche holistique
3. Gouvernance dynamique
Système
5. Adapté à l'entreprise
Besoins
6 Huygh, T. ; S. De Haes ; "Using the Viable System Model to Study IT Governance Dynamics :
Evidence from a Single Case Study", Actes de la 51e conférence internationale d'Hawaï sur les
sciences des systèmes, 2018,
https://scholarspace.manoa.hawaii.edu/bitstream/10125/50501/1/paper0614.pdf
Les trois principes d'un cadre de gouvernance sont les suivants (figure 3.2) :
Un cadre de gouvernance devrait être basé sur un modèle conceptuel, identifiant les
composants clés et les relations entre les composants, afin de maximiser la cohérence et de
permettre l'automatisation.
Un cadre de gouvernance doit s'aligner sur les principales normes, cadres et réglementations
connexes.
3.4COBIT® 2019
Le COBIT® 2019 améliore les versions précédentes du COBIT dans les domaines suivants :
Application prescriptive - Les modèles tels que le COBIT peuvent être descriptifs et
prescriptifs. Le modèle conceptuel COBIT est construit et présenté de telle sorte que son
instanciation (c'est-à-dire l'application de composantes de gouvernance COBIT adaptées) est perçue
comme une prescription pour un système de gouvernance informatique adapté.
Gestion des performances des TI - La structure du modèle de gestion des performances
COBIT est intégrée dans le modèle conceptuel. Les concepts de maturité et de capacité sont
introduits pour un meilleur alignement avec le CMMI.
Le guide COBIT utilise indifféremment les termes "gouvernance de l'information et des technologies
de l'entreprise", "gouvernance de l'information et des technologies de l'entreprise", "gouvernance
des technologies de l'information" et "gouvernance des technologies de l'information".
18
Chapitre 4
La famille de produits COBIT® 2019 est ouverte et conçue pour la personnalisation. Les publications
suivantes sont actuellement disponibles:7
Cadre COBIT® 2019 : Introduction et méthodologie présente les concepts clés du COBIT®
2019.
Cadre COBIT® 2019 : Objectifs de gouvernance et de gestion décrit de manière exhaustive les
40 objectifs fondamentaux de gouvernance et de gestion, les processus qu'ils contiennent et d'autres
éléments connexes. Ce guide fait également référence à d'autres normes et cadres.
Guide de mise en œuvre COBIT® 2019 : Implementing and Optimizing an Information and
Technology Governance Solution représente une évolution du guide de mise en œuvre COBIT® 5 et
développe une feuille de route pour l'amélioration continue de la gouvernance. Il peut être utilisé en
combinaison avec le Guide de conception COBIT® 2019.
La figure 4.1 présente un aperçu général de COBIT® 2019 et illustre la manière dont les différentes
publications de l'ensemble couvrent différents aspects.
COBIT 5
Normes, cadres,
RèglementEDM01-Gouvernance assurée
Communauté
ContributionI& Cadre nt
APO01-Géré
T Manageme
APO08-Relations gérées
BAI08-Connaissances gérées
DSS01-Opérations gérées
COBIT® 2019
Noyau COBIT
ptimizatioEngagement
APO02 - Géré APO03 - Géré APO04 - Géré APO05 - Géré APO06 - Géré APO07 - Stratégie
gérée Portefeuille de l' innovation des entreprises Budget et coûts
Ressources humaines
Architecture
APO09 - Géré APO10 - Géré APO11 - Géré APO12 - Géré APO13 - Géré APO14 - Service
géré
BAI09 - Projets de configuration des actifs gérés BAI10 - Projets de configuration des actifs gérés
BAI11
DSS02-Géré DSS03-Géré DSS04-Géré DSS05-Géré DSS06-Géré Demandes de service
Problèmes Continuité Sécurité Pr Businessrols
-Stratégie d'entreprise
-Exigences de conformité
-Etc .
Facteurs de conception
Domaine d'intervention
MEA03-PME gérées
Exigences - Sécurité
-Risque
MEA04-Managed Assurance-DevOps
-Etc .
Le contenu identifié comme domaines d'intervention dans la figure 4.1 contiendra des orientations
plus détaillées sur des thèmes spécifiques8 .
Le COBIT® 2019 est basé sur le COBIT® 5 et d'autres sources faisant autorité. Le COBIT est aligné sur
un certain nombre de normes et de cadres connexes. La liste de ces normes est incluse dans le
chapitre 10. L'analyse des normes connexes et l'alignement du COBIT sur ces normes sous-tendent la
position établie du COBIT, qui est le cadre de gouvernance I&T général.
À l'avenir, COBIT fera appel à sa communauté d'utilisateurs pour proposer des mises à jour de
contenu, à appliquer en tant que contributions contrôlées sur une base continue, afin de tenir COBIT
au courant des dernières idées et évolutions.
Les sections suivantes expliquent les principaux concepts et termes utilisés dans COBIT® 2019.
Pour que l'information et la technologie contribuent aux objectifs de l'entreprise, un certain nombre
d'objectifs de gouvernance et de gestion doivent être atteints. Les concepts de base relatifs aux
objectifs de gouvernance et de gestion sont les suivants
Les objectifs de gouvernance et de gestion de COBIT sont regroupés en cinq domaines. Les domaines
ont des noms avec des verbes qui expriment le but principal et les domaines d'activité de l'objectif
qu'ils contiennent :
Les objectifs de gouvernance sont regroupés dans le domaine "Évaluer, diriger et surveiller"
(EDM). Dans ce domaine, l'organe de gouvernance évalue les options stratégiques, dirige la haute
direction sur les options stratégiques choisies et surveille la réalisation de la stratégie.
Le DSS (Deliver, Service and Support) concerne la fourniture et le soutien opérationnels des
services d'I&T, y compris la sécurité.
8 Un certain nombre de ces guides de contenu des domaines d'intervention sont déjà en
préparation ; d'autres sont prévus. La série de guides des domaines d'intérêt est ouverte et
continuera à évoluer. Pour obtenir les dernières informations sur les publications et autres contenus
actuellement disponibles et prévus, veuillez consulter le site www.isaca.org/cobit.
20
EDM01-Assuré
Architecture
AccordsVendeurs
BAI02-ManagedBAI03-Managed RequirementsIdSolutions n
Définitionentificatio
et construire
et incidents
APO04-Innovation gérée
Changer
DSS05-ManagedDSS06-Managed Security Entreprises
APO14-Données gérées
Gouvernance
Définition du cadre
et l'entretien
APO01-Géré
Gestion I&T
Cadre MEA01-Géré
Performance et
Conformité
Suivi
APO08-Géré
Relations
MEA02-Géré
Système de
BAI01-Géré Contrôle
Programmes
BAI08-Connaissances gérées
Externe
Exigences
DSS01-Opérations gérées
Pour satisfaire les objectifs de gouvernance et de gestion, chaque entreprise doit établir, adapter et
maintenir un système de gouvernance constitué de plusieurs éléments.
Les composants interagissent les uns avec les autres, ce qui donne lieu à un système de
gouvernance holistique pour l'I&T.
Les composants peuvent être de différents types. Les plus connus sont les processus.
Cependant, les composantes d'un système de gouvernance comprennent également les structures
organisationnelles, les politiques et les procédures, les éléments d'information, la culture et le
comportement, les aptitudes et les compétences, ainsi que les services, les infrastructures et les
applications (figure 4.3).
Les structures organisationnelles sont les principales entités décisionnelles d'une entreprise.
L'information est omniprésente dans toute organisation et comprend toutes les informations
produites et utilisées par l'entreprise. COBIT se concentre sur les informations nécessaires au
fonctionnement efficace du système de gouvernance de l'entreprise.
Les personnes, les aptitudes et les compétences sont nécessaires pour prendre de bonnes
décisions, exécuter des mesures correctives et mener à bien toutes les activités.
Les composants de tous types peuvent être génériques ou être des variantes de composants
génériques :
Les composantes génériques sont décrites dans le modèle de base COBIT (voir figure 4.2) et
s'appliquent en principe à toute situation. Toutefois, ils sont de nature générique et doivent
généralement être personnalisés avant d'être mis en œuvre dans la pratique.
Les variantes sont basées sur des composants génériques mais sont adaptées à un objectif ou
un contexte spécifique dans un domaine d'intérêt particulier (par exemple, pour la sécurité de
l'information, les DevOps, un règlement particulier).
Un domaine d'intérêt décrit un certain sujet, domaine ou question de gouvernance qui peut être
traité par un ensemble d'objectifs de gouvernance et de gestion et leurs composantes. Parmi les
exemples de domaines d'intérêt, on peut citer : les petites et moyennes entreprises, la cybersécurité,
la transformation numérique, l'informatique en nuage, la protection de la vie privée et les opérations
de développement9 .
9 DevOps illustre à la fois une variante de composant et un domaine d'intérêt. Pourquoi ? DevOps est
un thème d'actualité sur le marché et nécessite des orientations spécifiques, ce qui en fait un
domaine d'intérêt. DevOps comprend un certain nombre d'objectifs génériques de gouvernance et
de gestion du modèle COBIT de base, ainsi qu'un certain nombre de variantes de processus et de
structures organisationnelles liés au développement, aux opérations et au suivi.
22
Le nombre de domaines d'intervention est pratiquement illimité. C'est ce qui rend le COBIT ouvert.
De nouveaux domaines d'intérêt peuvent être ajoutés selon les besoins ou à mesure que des experts
et des praticiens contribuent au modèle COBIT ouvert.
Les facteurs de conception sont des facteurs qui peuvent influencer la conception du système de
gouvernance d'une entreprise et la positionner pour le succès dans l'utilisation de l'I&T.
Les facteurs de conception comprennent toute combinaison des éléments suivants (figure 4.4) :
Stratégie d'entreprise - Les entreprises peuvent avoir différentes stratégies, qui peuvent être
exprimées sous la forme d'un ou plusieurs des archétypes présentés dans la figure 4.5. Les
organisations ont généralement une stratégie primaire et, au plus, une stratégie secondaire.
Archétype de la stratégieExplication
10 Correspond à prospecteur dans la typologie Miles-Snow. Voir "Miles and Snow's Typology of
Defender, Prospector, Analyzer, and Reactor", Elibrary,
https://ebrary.net/3737/management/miles_snows_typology_defender_prospector_analyzer_react
or.
11 Voir Reeves, Martin ; Claire Love, Philipp Tillmanns, "Your Strategy Needs a Strategy", Harvard
Business Review, septembre 2012,
13 Correspond aux défenseurs de la typologie Miles-Snow. Voir op cit "Miles and Snow's Typology of
Defender, Prospector, Analyzer, and Reactor".
Catégorie ReferenceRisk
13Mise en conformité
14Questions géopolitiques
15Action industrielle
16Actes de la nature
17Innovation basée sur la technologie
18Environnement
24
4. questions liées à l'I&T - Une méthode connexe d'évaluation des risques liés à l'I&T pour
l'entreprise consiste à examiner les questions liées à l'I&T auxquelles elle est actuellement
confrontée, ou, en d'autres termes, le risque lié à l'I&T qui s'est matérialisé. Les questions les plus
courantes15 sont celles qui figurent à la figure 4.8.
RéférenceDescription
CSignificant Incidents liés aux TI, tels que les pertes de données, les failles de sécurité, les échecs de
projets et les erreurs d'application, liés aux TI
KRéticence des membres du conseil d'administration, des cadres ou de la direction à s'engager dans
les TI, ou absence de parrainage commercial engagé en faveur des TI
N'a pas empêché ou échoué la mise en œuvre de nouvelles initiatives ou innovations causées
par l'architecture et les systèmes informatiques actuels
L'écart entre les connaissances commerciales et techniques, qui fait que les utilisateurs
commerciaux et les spécialistes de l'information et/ou des technologies parlent des langues
différentes
QUn niveau élevé d' informatique pour l'utilisateur final, créant (entre autres problèmes) un
manque de surveillance et de contrôle de la qualité des applications qui sont développées et mises
en service
Les départements d'entreprises mettant en œuvre leurs propres solutions d'information avec
peu ou pas d'implication du département informatique de l'entreprise16
5) Paysage de menaces - Le paysage de menaces dans lequel l'entreprise opère peut être classé
comme suit
figure 4.9.
Paysage de menacesExplication
NormalL' entreprise fonctionne dans des conditions considérées comme des niveaux de
menace normaux.
15 Voir également la section 3.3.1 Points de douleur typiques, dans ISACA, COBIT® 2019
Implementation Guide : Implementing and Optimizing an Information and Technology Governance
Solution, États-Unis, 2018.
16 Ce problème est lié à l'informatique des utilisateurs finaux, qui est souvent le résultat d'un
mécontentement à l'égard des solutions et des services informatiques.
Environnement réglementaireExplication
Exigences de conformité élevéesL' entreprise est soumise à des exigences de conformité plus
élevées que la moyenne, le plus souvent liées au secteur industriel ou aux conditions géopolitiques.
7 Rôle de l'informatique - Le rôle de l'informatique pour l'entreprise peut être classé comme
indiqué dans la figure 4.11.
Rôle de l'IT1711Explication
SupportIT n'est pas crucial pour le fonctionnement et la continuité des processus et services
commerciaux, ni pour leur innovation.
StrategicIT est essentiel à la fois pour faire fonctionner et innover les processus et services de
l'organisation.
ExternalisationL' entreprise fait appel aux services d'un tiers pour la fourniture de services
informatiques.
CloudL' entreprise maximise l'utilisation du cloud pour fournir des services informatiques à ses
utilisateurs.
InsourcedL' entreprise fournit son propre personnel et ses propres services informatiques.
HybrideUn modèle mixte est appliqué, combinant les trois autres modèles à des degrés divers.
17 Les rôles figurant dans ce tableau sont tirés de McFarlan, F. Warren ; James L. McKenney ; Philip
Pyburn ; "The Information Archipelago-Plotting a Course", Harvard Business Review, janvier 1993,
https://hbr.org/1983/01/the-information-archipelago-plotting-a-course.
26
9. Méthodes de mise en œuvre des TI - Les méthodes adoptées par l'entreprise peuvent être
classées comme indiqué dans la figure 4.13.
AgileL' entreprise utilise des méthodes de travail de développement Agile pour son développement
logiciel.
Stratégie d'adoption des technologies - La stratégie d'adoption des technologies peut être
classée comme indiqué dans la figure 4.14.
Premier arrivéL' entreprise adopte généralement les nouvelles technologies le plus tôt
possible et essaie de tirer parti de l'avantage de first-mover.
L' entreprise attend généralement que les nouvelles technologies se généralisent et fassent
leurs preuves avant de les adopter.
Adopter lentementL' entreprise est très en retard dans l'adoption des nouvelles technologies.
Taille de l'entreprise-Deux catégories, comme indiqué dans la figure 4.15, sont identifiées
pour la conception du système de gouvernance d'une entreprise18 .
Grande entreprise (par défaut) Entreprise de plus de 250 salariés à temps plein (ETP)
4. 6Cascade de buts
Les besoins des parties prenantes doivent être transformés en une stratégie d'action pour
l'entreprise. La cascade d'objectifs (figure 4.16) soutient les objectifs de l'entreprise, ce qui est l'un
des facteurs clés de la conception d'un système de gouvernance. Elle soutient la hiérarchisation des
objectifs de gestion sur la base de la hiérarchisation des objectifs de l'entreprise.
Cascade vers
Objectifs de l'entreprise
Cascade vers
Objectifs d'alignement
Cascade vers
La cascade d'objectifs soutient en outre la traduction des objectifs de l'entreprise en priorités pour
les objectifs d'alignement. La cascade d'objectifs a été mise à jour en profondeur dans COBIT® 2019 :
Les objectifs des entreprises ont été consolidés, réduits, mis à jour et clarifiés.
Les objectifs d'alignement mettent l'accent sur l'alignement de tous les efforts informatiques
avec les objectifs commerciaux.19 Cette expression actualisée cherche également à éviter le
malentendu fréquent selon lequel ces objectifs indiquent des objectifs purement internes du
département informatique au sein d'une entreprise. Tout comme les objectifs de l'entreprise, les
objectifs d'alignement ont été consolidés, réduits, mis à jour et clarifiés si nécessaire.
19 Les objectifs d'alignement ont été appelés objectifs liés aux TI dans COBIT 5.
28
Les parties prenantes doivent être associées en cascade aux objectifs de l'entreprise. La figure 4.17
montre l'ensemble des 13 objectifs de l'entreprise ainsi qu'un certain nombre d'exemples de
mesures.
Ratio des incidents significant qui n'étaient pas identified dans les évaluations des risques par
rapport au nombre total d'incidents
Pourcentage d'entreprises Percent dont la prestation de services aux clients atteint les
niveaux convenus
Nombre d'incidents causés par des décisions commerciales incorrectes basées sur des
informations inexactes
Le temps de fournir des informations d'appui pour permettre des décisions commerciales
efficaces
Le niveau de satisfaction des clients par rapport aux capacités de prestation de services
Pourcentage du personnel dont les compétences sont insufficient par rapport aux
compétences requises pour leurs fonctions
Pourcentage de politiques soutenues par des normes et des pratiques de travail efficaces
Satisfaction des parties prenantes quant aux niveaux d'expertise et d'idées en matière de
produits et d'innovation
RéférenceIT BSC
DimensionAlignment GoalMetrics
Nombre de problèmes de non-conformité liés aux accords contractuels avec les prestataires
de services informatiques
Pourcentage d'évaluations des risques des entreprises incluant les risques liés à l'I&T
Nombre d'incidents liés à significant I&T qui n'ont pas été identified dans une évaluation des
risques
30
RéférenceIT BSC
DimensionAlignment GoalMetrics
Pourcentage de services I&T pour lesquels les Percent prévus (comme indiqué dans les
accords de niveau de service) sont réalisés
AG04FinancialQuality of technology-related financial information Satisfaction des
principales parties prenantes concernant le niveau de transparence, de compréhension et de
précision des informations sur les TI financial
Délai moyen de mise sur le marché des nouveaux services et applications liés à l'I&T
Délai moyen pour transformer les objectifs stratégiques d'I&T en une initiative convenue et
approuvée
Nombre d'incidents de disponibilité provoquant une perte de financial, une perturbation des
activités ou une gêne pour le public
Nombre d'incidents liés à l'intégrité qui ont entraîné une perte de financial, une perturbation
des activités ou une gêne pour le public
Nombre de programmes d'entreprise axés sur l'I&T retardés ou entraînant des coûts
supplémentaires en raison de problèmes d'intégration technologique
AG09InterneLivraison des programmes dans les délais, le budget et le respect des exigences et des
normes de qualité Nombre de programmes/projets dans les délais et dans les limites du
budget
Ratio et étendue des décisions commerciales erronées dans lesquelles des informations
erronées ou non disponibles liées à l'I&T ont été un facteur clé
RéférenceIT BSC
DimensionAlignment GoalMetrics
Chapitre 5
Dans la section 4.2, figure 4.2, le modèle de base COBIT a été présenté, y compris les 40 objectifs de
gouvernance et de gestion. La figure 5.1 énumère tous les objectifs de gouvernance et de gestion,
chacun avec sa déclaration d'intention. La déclaration d'intention est une élaboration plus poussée -
un niveau de détail supplémentaire - de chaque objectif de gouvernance et de gestion.
ReferenceNamePurpose
EDM02Ensured benefits deliverySécuriser la valeur optimale des initiatives, des services et des
actifs basés sur l'I&T ; la fourniture rentable de solutions et de services ; et une image fiable et
précise des coûts et de la probabilité benefits afin que les besoins des entreprises soient soutenus
efficacement et efficiently.
Figure 5.1 - Modèle de base du CBIT : Objectifs et finalité de la gouvernance et de la gestion (suite)
ReferenceNamePurpose
BAI02Managed requirements definitionCreate solutions optimales qui répondent aux besoins des
entreprises tout en minimisant les risques.
34
Figure 5.1 - Modèle de base du CBIT : Objectifs et finalité de la gouvernance et de la gestion (suite)
ReferenceNamePurpose
BAI08Connaissances géréesFournir les connaissances et les informations de gestion nécessaires
pour soutenir l'ensemble du personnel dans la gouvernance et la gestion de l'I&T des entreprises et
permettre une prise de décision éclairée.
BAI09Actifs gérésCompter tous les actifs I&T et optimiser la valeur fournie par leur
utilisation.
BAI10Managed configurationProvide sufficient informations sur les actifs du service pour permettre
une gestion efficace du service. Évaluer l'impact des changements et traiter les incidents de service.
BAI11Projets gérésRéalisez les résultats des projets defined et réduisez le risque de retards
imprévus, de coûts et d'érosion de la valeur en améliorant la communication et l'implication des
entreprises et des utilisateurs finaux. Assurer la valeur et la qualité des résultats des projets et
maximiser leur contribution aux programmes et au portefeuille d'investissement de defined.
DSS01Managed operationsDonner les résultats des produits et services opérationnels d'I&T comme
prévu.
Chapitre 6
6.1Définition
La gestion des performances est un élément essentiel d'un système de gouvernance et de gestion. La
"gestion des performances" représente un terme général pour toutes les activités et méthodes. Elle
exprime la qualité du fonctionnement du système de gouvernance et de gestion et de toutes les
composantes d'une entreprise, ainsi que la manière dont elles peuvent être améliorées pour
atteindre le niveau requis. Elle comprend des concepts et des méthodes tels que les niveaux de
capacité et les niveaux de maturité. COBIT utilise le terme de gestion des performances COBIT (CPM)
pour décrire ces activités, et le concept fait partie intégrante du cadre COBIT.
Le RPC doit être cohérent avec le modèle conceptuel COBIT et le soutenir. Il doit
permettre de gérer la performance de tous les types de composantes du système de gouvernance ; il
doit être possible de gérer la performance des processus ainsi que la performance d'autres types de
composantes (par exemple, les structures organisationnelles ou les informations), si les utilisateurs le
souhaitent.
Le CPM doit être flexible, afin de pouvoir répondre aux exigences de différentes
organisations ayant des priorités et des besoins différents.
La RPC devrait soutenir différents types d'évaluation, des auto-évaluations aux évaluations
ou audits formels.
Le modèle CPM (figure 6.1) s'aligne largement sur les concepts de CMMI® Development V2.020 et les
étend :
Les activités de processus sont associées aux niveaux de capacité. Ceci est inclus dans le
cadre COBIT® 2019 : Guide des objectifs de gouvernance et de gestion.
CMMI 2.0
MaturitéMaturité
ProcessusCapacitéCapacitéCapacité
Capacité
Si les entreprises souhaitent continuer à utiliser le modèle de capacité de processus COBIT 5 basé sur
le modèle 15504 de l'Organisation internationale de normalisation (ISO)/Commission
électrotechnique internationale (CEI) (maintenant ISO/CEI 33000, dans lequel les niveaux de capacité
ont des significations très différentes), elles ont toutes les informations nécessaires pour le faire dans
le cadre COBIT® 2019 : Objectifs de gouvernance et de gestion. Aucune publication séparée du
modèle d'évaluation des processus (PAM) n'est nécessaire, et ils ne seront pas fournis avec le COBIT®
2019.
Dans COBIT® 2019, les résultats ou les objectifs explicites du processus sont remplacés par les
pratiques du processus elles-mêmes. Il en résulte la situation suivante pour une évaluation
ISO/IEC33000 :
Les résultats du processus sont maintenant liés aux pratiques du processus sur une base
individuelle (c'est-à-dire que les résultats du processus sont l'achèvement réussi des pratiques du
processus). Note : les pratiques du processus sont formulées comme des pratiques et les
résultats peuvent en être dérivés. Exemple : APO01.01 Concevoir le système de gestion pour l'I&T de
l'entreprise a comme résultat de processus APO01.01 : un système de gestion pour l'I&T de
l'entreprise est conçu.
Les pratiques de base sont égales aux pratiques du processus COBIT® 2019 pour chaque
objectif de gouvernance et de gestion.
Les produits du travail sont égaux aux flux d'information et aux éléments du volet C de
chaque objectif de gouvernance/gestion.
Ainsi, la cartographie des résultats pour les pratiques de base et les produits du travail est faite par
définition dans COBIT® 2019.
COBIT® 2019 prend en charge un schéma de capacité de processus basé sur le CMMI. Le processus
au sein de chaque objectif de gouvernance et de gestion peut fonctionner à différents niveaux de
capacité, allant de 0 à 5. Le niveau de capacité est une mesure de la qualité de la mise en œuvre et
de la performance d'un processus. La figure 6.2 illustre le modèle, les niveaux de capacité croissants
et les caractéristiques générales de chacun.
38
Le modèle de base COBIT attribue des niveaux de capacité à toutes les activités de processus, ce qui
permet de définir clairement les processus et les activités nécessaires pour atteindre les différents
niveaux de capacité. Voir le cadre COBIT® 2019 : Objectifs de gouvernance et de gestion pour plus de
détails.
Un niveau de capacité peut être atteint à des degrés divers, qui peuvent être exprimés par un
ensemble de notations. L'éventail des notations disponibles dépend du contexte dans lequel
l'évaluation des performances est effectuée :
Les méthodes moins formelles (souvent utilisées dans le cadre de l'amélioration des
performances) fonctionnent mieux avec un plus large éventail de notations, comme l'ensemble
suivant :
Entièrement - Le niveau de capacité est atteint à plus de 85 %. (Cela reste une question de
jugement, mais elle peut être justifiée par l'examen ou l'évaluation des composantes du facilitateur,
telles que les activités de processus, les objectifs de processus ou les bonnes pratiques de la structure
organisationnelle).
Parfois, un niveau plus élevé est nécessaire pour exprimer la performance sans la granularité
applicable aux évaluations de la capacité des processus individuels. Les niveaux de maturité peuvent
être utilisés à cette fin. Le COBIT® 2019 définit les niveaux de maturité comme une mesure de la
performance au niveau du domaine d'intérêt, comme le montre la figure 6.3.
Bien qu'il n'existe pas de méthode généralement acceptée ou formelle pour évaluer les structures
organisationnelles, elles peuvent être évaluées de manière moins formelle selon les critères suivants.
Pour chaque critère, un certain nombre de sous-critères peuvent être définis, liés aux différents
niveaux de capacité. Ces critères sont les suivants :
Exécution réussie des pratiques de processus dont la structure organisationnelle (ou le rôle)
est responsable (un A ou un R, respectivement, dans un tableau RACI [Responsible-accountable-
consulted-informed])
Application réussie d'un certain nombre de bonnes pratiques pour les structures
organisationnelles, telles que :
Principes de fonctionnement
-Les réunions régulières ont lieu comme défini dans les principes de fonctionnement.
Composition
40
-Les réunions régulières ont lieu comme défini dans les principes de fonctionnement.
Délégation de pouvoirs
Procédures d'escalade
Les interfaces entre la structure organisationnelle et les autres parties prenantes sont gérées
de manière à assurer à la fois une communication efficace et une attribution claire des
responsabilités.
En ce qui concerne les processus, les faibles niveaux de capacité exigent qu'un sous-ensemble de ces
critères soit satisfait, et les niveaux de capacité plus élevés exigent que tous les critères soient
satisfaits. Mais, comme nous l'avons déjà indiqué, il n'existe aucun schéma généralement accepté
pour évaluer les structures organisationnelles. Cela n'empêche toutefois pas une entreprise de
définir son propre schéma de capacités pour les structures organisationnelles.
Bien qu'il n'existe pas de méthode généralement acceptée ou formelle pour évaluer les éléments
d'information, ils peuvent être évalués de manière moins formelle selon le modèle de référence des
informations présenté pour la première fois dans COBIT® 5 : Enabling Information.21
Ce modèle définit trois critères de qualité principaux pour l'information et 15 sous-critères, comme
l'illustre la figure 6.4.
21 Voir ISACA, COBIT® 5 : Enabling Information, section 3.1.2 Goals, USA, 2013 ,
http://www.isaca.org/COBIT/Pages/COBIT-5-Enabling-Information- product-page.aspx
La mesure dans laquelle les informations sont considérées comme vraies et crédibles
La mesure dans laquelle l'information est hautement considérée en termes de source ou de contenu
La mesure dans laquelle les informations sont applicables et utiles pour la tâche à accomplir
manque et est d'une profondeur et d'une ampleur suffisantes pour la tâche à accomplir
La mesure dans laquelle les informations sont suffisamment à jour pour la tâche à accomplir
La mesure dans laquelle le volume d'informations est adapté à la tâche à accomplir
La mesure dans laquelle les informations sont présentées dans le même format
La mesure dans laquelle les informations sont présentées dans les langues, symboles et unités
appropriés, et les définitions sont claires
La mesure dans laquelle l'information est facile à manipuler et à appliquer à différentes tâches
La mesure dans laquelle les informations sont disponibles au moment voulu, ou facilement et
rapidement accessibles
La mesure dans laquelle l'accès à l'information est limité de manière appropriée aux parties
autorisées
Un élément d'information peut être évalué en examinant la mesure dans laquelle les critères de
qualité pertinents, tels que définis dans
42
Cadre COBIT® 2019 : Objectifs de gouvernance et de gestion définit les aspects de la composante
culture et comportement pour la plupart des objectifs. À partir de là, il est possible d'évaluer dans
quelle mesure ces conditions ou comportements sont respectés.
Le contenu des domaines d'intérêt, qui contiendra un ensemble plus détaillé de comportements
souhaités, sera développé à l'avenir. Il est conseillé à l'utilisateur de consulter isaca.org/cobit pour
connaître le statut le plus récent et les conseils disponibles sur les domaines d'intérêt.
Chapitre 7
Cette section donne un aperçu de haut niveau de l'impact potentiel des facteurs de conception sur
un système de gouvernance pour l'I&T des entreprises. Elle décrit également, à un niveau élevé, un
processus de conception d'un système de gouvernance sur mesure pour l'entreprise. Vous trouverez
plus d'informations sur ces sujets dans le Guide de conception COBIT® 2019.
46
La figure 7.2 illustre le flux proposé pour concevoir un système de gouvernance adapté.
1. comprendre le contexte de l'entreprise et
stratégie.
système.
système.
4. conclure la gouvernance
la conception du système.
-2.2 Tenir compte des objectifs de l'entreprise et appliquer la cascade d'objectifs COBIT.
profil. - 2.3 Tenir compte du profil de risque - 3.4 Tenir compte de la source d'approvisionnement
de l'entreprise.
modèle.
-3 .5 Envisager l'informatique
Les différentes étapes et phases du processus de conception, comme l'illustre la figure 7.2,
donneront lieu à des recommandations pour hiérarchiser les objectifs de gouvernance et de gestion
ou les composantes du système de gouvernance qui s'y rapportent, pour les niveaux de capacité
cibles ou pour l'adoption de variantes spécifiques d'une composante du système de gouvernance.
Certaines de ces étapes ou sous-étapes peuvent donner lieu à des orientations contradictoires, ce qui
est inévitable lorsque l'on considère un plus grand nombre de facteurs de conception, la nature
générique globale des orientations relatives aux facteurs de conception et les tableaux de
correspondance utilisés.
Il est recommandé de consigner sur un canevas de conception toutes les indications obtenues au
cours des différentes étapes et, à la dernière étape du processus de conception, de résoudre (dans la
mesure du possible) les conflits entre les éléments du canevas de conception et de conclure.
Il n'y a pas de formule magique. La conception finale sera décidée au cas par cas, sur la base de tous
les éléments du canevas de conception. En suivant ces étapes, les entreprises mettront en place un
système de gouvernance adapté à leurs besoins.
Chapitre 8
Le guide de mise en œuvre COBIT® 2019 met l'accent sur une vision globale de la gouvernance des
I&T. Ce guide reconnaît que l'I&T est omniprésente dans les entreprises et qu'il n'est ni possible, ni
une bonne pratique de séparer les activités liées à l'entreprise et à l'informatique. La gouvernance et
la gestion de l'I&T d'entreprise devraient donc être mises en œuvre comme partie intégrante de la
gouvernance d'entreprise, couvrant l'ensemble des domaines fonctionnels de bout en bout de
l'entreprise et des TI.
L'une des raisons courantes de l'échec de la mise en œuvre de certains systèmes de gouvernance est
qu'ils ne sont pas initiés puis gérés correctement en tant que programmes pour garantir que les
bénéfices soient réalisés. Les programmes de gouvernance doivent être parrainés par la direction
générale, avoir une portée appropriée et définir des objectifs réalisables. Cela permet à l'entreprise
d'absorber le rythme du changement comme prévu. La gestion des programmes est donc abordée
comme une partie intégrante du cycle de vie de la mise en œuvre.
Il est également supposé que si une approche par programme et projet est recommandée pour
conduire efficacement les initiatives d'amélioration, l'objectif est également d'établir une pratique
commerciale normale et une approche durable pour gouverner et gérer les I&T des entreprises,
comme tout autre aspect de la gouvernance d'entreprise. Pour cette raison, l'approche de mise en
œuvre est basée sur l'autonomisation des parties prenantes et des acteurs de l'entreprise et des TI
pour qu'ils s'approprient les décisions et les activités de gouvernance et de gestion liées aux TI en
facilitant et en permettant le changement. Le programme de mise en œuvre est clôturé lorsque le
processus de concentration sur les priorités liées aux TI et l'amélioration de la gouvernance génère
un avantage mesurable et que le programme s'est intégré dans l'activité commerciale en cours.
Vous trouverez également plus d'informations sur ces sujets dans le Guide de mise en œuvre COBIT®
2019.
Où en sommes-nous ?
Où voulons-nous être ?
Sommes-nous arrivés là ?
La phase 1 de l'approche de mise en œuvre identifie les moteurs de changement actuels et crée, au
niveau de la direction générale, un désir de changement qui est ensuite exprimé dans une ébauche
d'analyse de rentabilité. Un moteur de changement est un événement interne ou externe, une
condition ou une question clé qui sert de stimulus au changement. Les événements, les tendances
(industrielles, commerciales ou techniques), les insuffisances de performance, les mises en œuvre de
logiciels et même les objectifs de l'entreprise peuvent tous agir comme des moteurs de changement.
Le risque associé à la mise en œuvre du programme lui-même est décrit dans l'analyse de
rentabilisation et géré tout au long du cycle de vie. La préparation, le maintien et le suivi d'une
analyse de rentabilisation sont des disciplines fondamentales et importantes pour justifier, soutenir
et ensuite assurer le succès de toute initiative, y compris l'amélioration du système de gouvernance.
Elles garantissent une focalisation continue sur les avantages du programme et leur réalisation.
La phase 2 aligne les objectifs liés à l'I&T sur les stratégies et les risques de l'entreprise, et donne la
priorité aux objectifs les plus importants de l'entreprise, aux objectifs d'alignement et aux processus.
Le guide de conception COBIT® 2019 fournit plusieurs facteurs de conception pour aider à la
sélection.
Sur la base des objectifs de l'entreprise et des objectifs informatiques sélectionnés et d'autres
facteurs de conception, l'entreprise doit identifier les objectifs de gouvernance et de gestion
essentiels et les processus sous-jacents qui sont suffisamment performants pour garantir des
résultats satisfaisants. La direction doit connaître ses capacités actuelles et les lacunes éventuelles.
Cela peut être réalisé par une évaluation de la capacité des processus sélectionnés.
50
Certaines solutions seront des gains rapides et d'autres des tâches plus difficiles et à long terme. La
priorité doit être donnée aux projets plus faciles à réaliser et susceptibles de donner le plus grand
bénéfice. Les tâches à plus long terme doivent être décomposées en éléments gérables.
La phase 4 décrit comment planifier des solutions réalisables et pratiques en définissant des projets
soutenus par des analyses de rentabilité justifiables et un plan de changement pour la mise en
œuvre. Une analyse de rentabilité bien élaborée peut contribuer à garantir que les avantages du
projet sont identifiés et contrôlés en permanence.
La phase 5 prévoit de mettre en œuvre les solutions proposées par le biais de pratiques quotidiennes
et d'établir des mesures et des systèmes de suivi pour garantir l'alignement des entreprises et la
mesure des performances.
La gestion des programmes et des projets est basée sur les bonnes pratiques et prévoit des points de
contrôle à chacune des sept phases pour s'assurer que les performances du programme sont sur la
bonne voie, que l'analyse de rentabilité et le risque sont mis à jour et que la planification de la phase
suivante est ajustée en conséquence. Il est supposé que l'approche standard de l'entreprise serait
suivie.
Des orientations supplémentaires sur la gestion des programmes et des projets sont également
disponibles dans les objectifs de gestion COBIT BAI01 Programmes gérés et BAI11 Projets gérés. Bien
que les rapports ne soient mentionnés explicitement dans aucune des phases, ils constituent un fil
conducteur continu à travers toutes les phases et itérations.
8.3Relation entre le Guide de conception COBIT® 2019 et le Guide de mise en œuvre COBIT®
2019
Le flux de travail expliqué dans le Guide de conception COBIT® 2019 a les points de connexion
suivants avec le Guide de mise en œuvre COBIT® 2019. Le Guide de conception COBIT® 2019 élabore
un ensemble de tâches définies dans le Guide de mise en œuvre COBIT® 2019. La figure 8.2 donne un
aperçu de haut niveau de ces points de connexion. Des informations plus détaillées peuvent être
trouvées dans le Guide de conception COBIT® 2019.
Figure 8.2 - Points de connexion entre le guide de conception COBIT et le guide d'application COBIT
Phase 1 - Quels sont les moteurs ? (Tâches d'amélioration continue [IC]) €Etape 1-
Comprendre le contexte et la stratégie de l'entreprise.
Chapitre 9
L'exemple de scénario est celui d'Acme Corporation, une grande entreprise multinationale composée
d'un mélange d'unités commerciales traditionnelles bien établies ainsi que de nouvelles entreprises
basées sur Internet qui adoptent les toutes dernières technologies. Nombre de ces unités
commerciales ont été acquises et existent dans divers pays dont l'environnement politique, culturel
et économique local est différent. L'équipe de direction du groupe central a été influencée par les
dernières orientations en matière de gouvernance d'entreprise, notamment COBIT, qu'elle utilise au
niveau central depuis un certain temps.
Ils veulent s'assurer que l'expansion et l'adoption rapides des technologies de l'information avancées
apporteront la valeur attendue ; ils ont également l'intention de gérer de nouveaux risques
importants. Ils ont donc imposé l'adoption d'une approche EGIT uniforme à l'échelle de l'entreprise.
Cette approche comprend l'implication des fonctions d'audit et de risque ainsi qu'un rapport annuel
interne de la direction des unités opérationnelles sur l'adéquation des contrôles dans toutes les
entités.
Bien que l'exemple soit tiré de situations réelles, il ne reflète pas une entreprise spécifique existante.
Cette analyse de rentabilité décrit la portée du programme EGIT proposé pour Acme Corporation sur
la base du COBIT.
Une analyse de rentabilité appropriée est nécessaire pour s'assurer que le conseil d'administration
de l'Acme Corporation et les unités commerciales adhèrent à l'initiative et identifient les avantages
potentiels. Acme Corporation assurera le suivi de l'analyse de rentabilité afin de garantir que les
avantages escomptés se concrétisent.
Le champ d'application, en termes d'entités commerciales qui composent Acme Corporation, est
global. Il est reconnu qu'une certaine forme de hiérarchisation sera appliquée à toutes les entités
pour la couverture initiale par le programme EGIT en raison des ressources limitées du programme.
Diverses parties prenantes sont intéressées par les résultats du programme EGIT, du conseil
d'administration de l'Acme Corporation à la direction locale de chaque entité, ainsi que des parties
prenantes externes telles que les actionnaires et les agences gouvernementales.
Il faut tenir compte de certains défis importants, ainsi que des risques, dans la mise en œuvre du
programme EGIT à l'échelle mondiale requise. L'un des aspects les plus difficiles est la nature
entrepreneuriale de nombreuses entreprises Internet, ainsi que le modèle commercial décentralisé,
ou fédéré, qui existe au sein d'Acme Corporation.
Le programme EGIT sera réalisé en se concentrant sur la capacité des processus de l'Acme et d'autres
composantes du système de gouvernance par rapport à ceux qui sont définis dans COBIT, pertinents
pour chaque unité commerciale. Les objectifs de gouvernance et de gestion pertinents et
hiérarchisés qui feront l'objet d'une attention particulière dans chaque entité seront identifiés par le
biais d'un
facilitated workshop approach by the members of the EGIT program. The objectives will start with
the strategy and enterprise goals of each unit, as well as the IT-related business risk scenarios that
apply to the specific business unit.
The objective of the EGIT program is to ensure that an adequate governance system, including
governance structures, is in place and to increase the level of capability and adequacy of the relevant
IT processes. The expectation is that as the capability of an IT process increases, so too will its
efficiencies and quality. Simultaneously, the associated risk will proportionally decrease. In this way,
real business benefits can be realized by each business unit.
Once the process of assessing the capability level within each business unit has been established, it is
anticipated that self-assessments will continue within each business unit as normal business practice.
The EGIT program will be delivered in two distinct phases. The first phase is a development phase, in
which the team will develop and test the approach and tool set that will be used across the Acme
Corporation. At the end of phase 1, the results will be presented to group management for final
approval. Once the final approval has been obtained, in the form of an approved business case, the
EGIT program will be rolled out across the entity in the agreed manner (implementation, phase 2).
It must be noted that it is not the responsibility of the EGIT program to implement the remedial
actions identified at each business unit. The EGIT program will merely consolidate and report
progress as supplied by each unit.
The final challenge that will need to be met by the EGIT program is that of reporting the results in a
sustainable manner going forward. This aspect will take time and a significant amount of discussion
and development. This discussion and development should result in an enhancement to the existing
corporate reporting mechanisms and scorecards.
An initial budget for the development phase of the EGIT program has been prepared. The budget is
detailed in a separate schedule. A detailed budget will also be completed for phase 2 of the project
and submitted for approval by group management.
9.3 BackgroUnd
EGIT is an integral part of overall enterprise governance and is focused on IT performance and the
management of risk attributable to the enterprise’s dependencies on IT.
IT is integrated into the operations of Acme Corporation businesses. For many, the Internet is at the
core of their operations. EGIT, therefore, follows the management structure of the group: a
decentralized format. Management of each subsidiary/business unit is responsible for ensuring that
proper processes are implemented relevant to EGIT.
Annually, the management of each significant subsidiary company is required to submit a formal
written report to the appropriate risk committee, which is a subset of the board of directors. This
report will detail the extent to which it has implemented the EGIT policy during the financial year.
Significant exceptions are to be reported at each scheduled meeting of the appropriate risk
committee.
The board of directors, assisted by the risk and audit committees, will ensure that the group’s EGIT
performance is assessed, monitored, reported and disclosed in an EGIT statement as part of the
enterprise’s integrated annual report. The statement will be based on reports obtained from the risk,
compliance and internal audit teams and the management of each significant subsidiary company. It
will provide both internal and external stakeholders with relevant and reliable information about the
quality of the group’s EGIT performance.
Internal audit services will provide assurance to management and to the audit committee on the
adequacy and effectiveness of EGIT.
54
IT-related business risk will be reported on and discussed as part of the risk management process in
the risk registers presented to the relevant risk committee.
Due to the pervasive nature of IT and the pace of technology change, a reliable framework is
required to adequately control the full IT environment and avoid control gaps that may expose the
enterprise to unacceptable risk.
The intention is not to impede the IT operations of the various operating entities. Instead, it is to
improve the risk profile of the entities in a manner that makes business sense and provides increased
quality of service and efficiencies, while explicitly achieving compliance not only with the Acme
Corporation’s group EGIT charter, but also with any other legislative, regulatory and/or contractual
requirements.
Complicated IT assurance efforts due to the entrepreneurial nature of many of the business
units
Complex IT operating models due to the Internet service-based business models in use
IT’s balancing of the enterprise’s drive for innovation capabilities and business agility with the
need to manage risk and have adequate control
The setting of risk and tolerance levels for each business unit
An increasing need to focus on meeting regulatory (privacy) and contractual (Payment Card
Industry [PCI]) compliance requirements
Regular audit findings about poor IT controls and reported problems related to IT quality of
service
Successful and on-time delivery of new and innovative services in a highly competitive
market
There is currently no groupwide approach or framework for EGIT or use of IT good practices and
standards. Among local business units, there are variable levels of adoption of good practice with
regard to EGIT. As a result, very little attention has traditionally been paid to the level of IT process
capability. Based on experience, the levels are generally low.
The objective of the EGIT program is, therefore, to increase the level of capability and adequacy of IT-
related processes and controls appropriate to each business unit, in a prioritized manner.
The outcome should be that significant risk has been identified and articulated, and management can
address the risk and report on its status. As the capability level of each business unit increases,
quality and efficiency should increase proportionally as well and the IT-related business risk profile of
each entity should decrease.
26 Empirical research exists to support the statement. For example, see op cit De Haes, Joshi and van
Grembergen.
Many IT frameworks exist, each intended to control specific aspects of IT. The COBIT framework is
regarded by many as the world’s leading EGIT and control framework. It has already been
implemented by some subsidiaries of Acme Corporation.
COBIT was chosen by Acme as the preferred framework for EGIT implementation and should,
therefore, be adopted by all subsidiaries.
COBIT does not have to be implemented in its entirety; only those areas relevant to the specific
subsidiary or business unit need to be implemented, taking into account the following:
1. The core team structure is finalized among the stakeholders and participants on the project.
3. Workshops with the core team are conducted to define an approach for the group.
6. Current committee structures, roles and responsibilities, decision rules, and reporting
arrangements are clarified and realigned, if required.
7. A business case for the EGIT program is developed and maintained, as a foundation for the
successful implementation of the program.
8. A communication plan is created for guiding principles, policies and expected benefits
throughout the program.
9. The assessment and reporting tools for use during the life of the program and beyond are
developed.
10. The approach is tested at one local entity. This activity is for ease of logistics and to facilitate
the refinement of the approach and tools.
11. The refined approach is piloted at one of the foreign entities. This is to understand and
quantify the difficulties of running the EGIT program assessment phase under more challenging
business conditions.
56
12. The final business case and approach are presented, including a roll-out plan to Acme
Corporation executive management for approval.
The EGIT program is designed to start an ongoing program of continual improvement, based on a
facilitated, iterative life cycle by following these steps:
1. Determine the drivers for improving EGIT, from both an Acme Corporation group perspective
and at the business unit level.
4. Determine what needs to be implemented at the business unit level to enable local business
objectives, and thereby align with group expectations.
5. Implement the identified and agreed improvement projects at the local business unit level.
1. All of the group entities. However, the entities will be prioritized for interaction due to
limited program resources.
2. The method of prioritization. It will need to be agreed with Acme Corporation management,
but could be done on the following basis:
a. Size of investment
3. The list of entities to be covered during the current financial year. This should be finalized
and agreed with Acme Corporation management.
The EGIT program will achieve its mandate by using a facilitated, interactive workshop approach with
all the entities.
The approach starts with the business objectives and the objective owners, typically the CEO and
chief financial officer (CFO). This approach should ensure that the program outcomes are closely
aligned to the expected business outcomes and priorities.
Once the business objectives have been covered, the focus shifts to IT operations, typically under the
control of the chief technology officer (CTO) or chief information officer (CIO). At the IT operations
level, further details of the IT-related business risk and objectives are considered.
CADRE COBIT® 2019 : INTRODUCTION ET MÉTHODOLOGIE
The business and IT objectives, as well as the IT-related business risk, are then combined in a tool
(based on COBIT guidance) that will provide a set of focus areas within the COBIT processes for
consideration by the business unit. In this fashion, the business unit can prioritize its remediation
efforts to address the areas of IT risk.
As mentioned earlier, an overall goal of the EGIT program is to embed the good practices of EGIT into
the continuing operations of the various group entities.
Specific outcomes will be produced by the EGIT program to enable Acme Corporation to gauge the
delivery of the intended outcomes. These include the following:
1. The EGIT program will facilitate internal knowledge sharing via the intranet platform and
leverage existing relationships with vendors to the advantage of the individual business units.
2. Detailed reports on each facilitation with the business units will be created derived from the
EGIT program assessment tool. The reports will include:
a. The current prioritized business objectives, and consequent IT objectives, based on COBIT
b. The IT-related risk identified by the business unit in a standardized format, and the agreed
focus areas for attention by the business unit based on COBIT processes and practices and other
recommended components
3. Overall progress reports on the intended coverage of the Acme Corporation business units by
the EGIT program will be created.
a. Progress from business units engaged with their agreed implementation projects based on
monitoring agreed performance metrics
5. Financial reporting on the program budget vs. actual amount spent will be generated.
6. Benefit monitoring and reporting against business-unit-defined value objectives and metrics
will be created.
The following are considered potential types of risk to the successful initiation and ongoing success
of the Acme Corporation EGIT program. Risk will be mitigated by focusing on change enablement and
will be monitored and addressed continually via program reviews and a risk register. These types of
risk are:
1. Management commitment and support for the program, both at the group level as well as
the local business unit level
2. Demonstrating actual value delivery and benefits to each local entity through the adoption of
the program. The local entities should want to adopt the process for the value it will deliver, rather
than doing it because of the policy in place.
6. Successful integration with any governance or compliance initiatives that exist within the
group
7. The appropriate committee structures to oversee the program. For example, the progress of
the EGIT program overall could become an agenda item of the IT executive committee. Local
equivalents would also need to be constituted. This could be replicated geographically, as well as at
the local holding company level, where appropriate.
58
9.5.7 Stakeholders
The following have been identified as stakeholders in the outcome of the EGIT program:
1. Risk committee
2. IT executive committee
3. Governance team
4. Compliance staff
5. Regional management
A final structure containing the individual names of stakeholders will be compiled and published after
consultation with group management.
The EGIT program needs the identified stakeholders to provide the following:
1. Guidance as to the overall direction of the EGIT program. This includes decisions on
significant governance- related topics defined in a group RACI chart according to COBIT guidance. It
further includes setting priorities, agreeing on funding and approving value objectives.
2. Acceptance of the deliverables and monitoring the expected benefits of the EGIT program
The program should identify the expected benefits and monitor to ensure that real business value is
being generated from the investment. Local management should motivate and sustain the program.
Sound EGIT should result in benefits that will be set as specific targets for each business unit and
monitored and measured during implementation to ensure that they are realized. The benefits
include:
1. Maximizing the realization of business opportunities through IT, while mitigating IT-related
business risk to acceptable levels, thus ensuring that risk is responsibly weighed against opportunity
in all business initiatives
2. Support of the business objectives by key investments and optimum returns on those
investments, thus aligning IT initiatives and objectives directly with business strategy
3. Legislative, regulatory and contractual compliance as well as internal policy and procedural
compliance
Central costs will include the time required for group program management, external advisory
resources and initial training courses. These central costs have been estimated for phase 1. The cost
of assessment workshops for individual business unit management and process owners (attendance,
venue, facilitators and other related costs) will be funded locally and an estimate provided. Specific
project improvement initiatives for each business unit will be estimated in phase 2 and considered on
a case-by-case basis and overall. This will enable the group to maximize efficiency and
standardization.
Figure 9.1 summarizes the challenges that could affect the EGIT program during the implementation
period of the program and the critical success factors that should be addressed to ensure a successful
outcome.
Figure 9.1—Challenges and Planned Actions for Acme Corporation
Inability to gain and sustain support for improvement objectives Mitigate through
committee structures within the group (to be agreed and constituted).
Lack of trust and good relationships between IT and the enterprise Foster open and
transparent communication about performance, with links to corporate performance management.
Publish positive outcomes and lessons learned to help establish and maintain credibility.
Ensure the CIO maintains credibility and leadership in building trust and relations.
Formalize governance roles and responsibilities in the business so accountability for decisions
is clear.
Identify and communicate evidence of real issues, risk that needs to be avoided and benefits
to be gained (in business terms) relating to proposed improvements.
Lack of understanding of the Acme environment by those responsible for the EGIT program
Apply a consistent assessment methodology.
Resistance to change Ensure that implementation of the life cycle also includes change
enablement activities.
Break down the overall project into small achievable projects, building experience and
benefits.
Trying to do too much at once; IT tackling overly complex and/or difficult problems Apply
program and project management principles.
Use milestones.
Prioritize 80/20 tasks (80 percent of the benefit with 20 percent of the effort) and be careful
about sequencing in the correct order. Capitalize on quick wins.
Build trust/confidence. Have skills and experience to keep it simple and practical.
IT in fire-fighting mode and/or not prioritizing well and unable to focus on EGIT Apply good
leadership skills.
Gain commitment and drive from top management so people are made available to focus on
EGIT.
60
Absence of required IT skills and competencies, such as understanding of the business, processes,
soft skills Focus on change enablement planning:
Development
Training
Coaching
Mentoring
Cross-training
Improvements not adopted or applied Use a case-by-case approach with agreed principles
for the local entity. It must be practical to implement.
One of the guiding principles applied throughout the development of COBIT® 2019 was to maintain
the positioning of COBIT as an umbrella framework. This means that COBIT continues to align with a
number of relevant standards, frameworks and/or regulations.
In this context, alignment means that COBIT does not contradict any guidance in the related
standards. At the same time, it is important to remember that COBIT does not copy the contents of
these related standards. Instead, it usually provides equivalent statements or references to related
guidance.
Standards and guidance used during the development of the COBIT® 2019 update include:
CIS® Center for Internet Security®, The CIS Critical Security Controls for Effective Cyber
Defense, Version 6.1, August 2016
Information Security Forum (ISF), The Standard of Good Practice for Information Security
2016
ISO/IEC 20000-1:2011(E)
ISO/IEC 27001:2013/Cor.2:2015(E)
ISO/IEC 27002:2013/Cor.2:2015(E)
ISO/IEC 27004:2016(E)
ISO/IEC 27005:2011(E)
ISO/IEC 38500:2015(E)
ISO/IEC 38502:2017(E)
Institute of Internal Auditors® (IIA®), “Core Principles for the Professional Practice of Internal
Auditing”
“Options for Transforming the IT Function Using Bimodal IT,” MIS Quarterly Executive (white
paper)
A Guide to the Project Management Body of Knowledge: PMBOK® Guide, Sixth Edition, 2017