HH FR

Abonnez-vous à DeepL Pro pour éditer ce document.
Visitez www.DeepL.com/Pro pour en savoir plus.
Copie personnelle de : M. Salah Riahi
CADRE COBIT® 2019 : INTRODUCTION ET MÉTHODOLOGIE
À propos de l'ISACA
L'ISACA® (isaca.org), qui approche de son 50e anniversaire, est une association mondiale qui aide les
particuliers et les entreprises à exploiter le potentiel positif de la technologie. La technologie est le
moteur du monde actuel et l'ISACA fournit aux professionnels les connaissances, les diplômes,
l'éducation et la communauté nécessaires pour faire progresser leur carrière et transformer leur
organisation. L'ISACA s'appuie sur l'expertise de son demi-million de professionnels engagés dans la
sécurité de l'information et la cybersécurité, la gouvernance, l'assurance, le risque et l'innovation,
ainsi que sur sa filiale de performance d'entreprise, le CMMI® Institute, pour aider à faire progresser
l'innovation par la technologie. L'ISACA est présente dans plus de 188 pays, dont plus de 217 sections
et bureaux aux États-Unis et en Chine.
Clause de non-responsabilité
L'ISACA a conçu et créé le cadre COBIT® 2019 : Introduction et méthodologie (le "travail")
principalement comme ressource éducative pour les professionnels de la gouvernance d'entreprise
en matière d'information et de technologie (EGIT), d'assurance, de risque et de sécurité. L'ISACA ne
prétend pas que l'utilisation de l'un ou l'autre des travaux assurera un résultat positif. Le travail ne
doit pas être considéré comme incluant toutes les informations, procédures et tests appropriés, ni
comme excluant d'autres informations, procédures et tests qui visent raisonnablement à obtenir les
mêmes résultats. Pour déterminer la pertinence d'une information, d'une procédure ou d'un test
spécifique, les professionnels de la gouvernance d'entreprise en matière d'information et de
technologie (EGIT), de l'assurance, des risques et de la sécurité doivent appliquer leur propre
jugement professionnel aux circonstances spécifiques présentées par les systèmes particuliers ou
l'environnement informatique.
Copyright
2018 ISACA. Tous droits réservés. Pour les directives d'utilisation, voir www.isaca.org/COBITuse.
ISACA
1700 E. Golf Road, Suite 400 Schaumburg, IL 60173, USA Phone : +1.847.660.5505
Fax : +1.847.253.1755
Contactez-nous : https://support.isaca.org Site web : www.isaca.org

Participez aux forums en ligne de l'ISACA : https://engage.isaca.org/onlineforums
Twitter : http://twitter.com/ISACANews LinkedIn : http://linkd.in/ISACAOfficial Facebook :

www.facebook.com/ISACAHQ Instagram : www.instagram.com/isacanews/
Cadre COBIT® 2019 : Introduction et méthodologie
ISBN 978-1-60420-763-7
IN MEMORIAM : JOHN LAINHART (1946-2018)
In Memoriam : John Lainhart (1946-2018)
Dédié à John Lainhart, président du conseil d'administration de l'ISACA 1984-1985. John a contribué à
la création du cadre COBIT® et, plus récemment, a présidé le groupe de travail COBIT® 2019, qui a
abouti à la création de ce travail. Au cours des quatre décennies qu'il a passées au sein de l'ISACA,
John a participé à de nombreux aspects de l'association, tout en détenant les certifications CISA,
CRISC, CISM et CGEIT de l'ISACA. John laisse derrière lui un héritage personnel et professionnel
remarquable, et ses efforts ont eu un impact significatif sur l'ISACA.
Page intentionnellement laissée vide

4
Remerciements
REMERCIEMENTS
L'ISACA tient à le reconnaître :
Groupe de travail COBIT (2017-2018)
John Lainhart, Président, CISA, CRISC, CISM, CGEIT, CIPP/G, CIPP/US, Grant Thornton, USA Matt
Conboy, Cigna, USA
Ron Saull, CGEIT, CSP, Great-West Lifeco & IGM Financial (retraité), Canada
Équipe de développement
Steven De Haes, Ph.D., Antwerp Management School, Université d'Anvers, Belgique Matthias
Goorden, PwC, Belgique
Stefanie Grijp, PwC, Belgique Bart Peeters, PwC, Belgique
Geert Poels, docteur, Université de Gand, Belgique
Dirk Steuperaert, CISA, CRISC, CGEIT, IT In Balance, Belgique

Experts réviseurs
Sarah Ahmad Abedin, CISA, CRISC, CGEIT, Grant Thornton LLP, États-Unis
Floris Ampe, CISA, CRISC, CGEIT, CIA, ISO27000, PRINCE2, TOGAF, PwC, Belgique
Elisabeth Antonssen, Banque Nordea, Suède
Krzystof Baczkiewicz, CHAMP, CITAM, CSAM, Transpectit, Pologne Christopher M. Ballister, CRISC,
CISM, CGEIT, Grant Thornton, USA Gary Bannister, CGEIT, CGMA, FCMA, Autriche
Graciela Braga, CGEIT, auditeur et conseiller, Argentine Ricardo Bria, CISA, CRISC, CGEIT, COTO CICSA,
Argentine Sushil Chatterji, CGEIT, Edutech Enterprises, Singapour
Peter T. Davis, CISA, CISM, CGEIT, évaluateur COBIT 5, CISSP, CMA, CPA, PMI-RMP, PMP,
Peter Davis+Associates, Canada
James Doss, CISM, CGEIT, EMCCA, PMP, SSGB, TOGAF 9, ITvalueQuickStart.com, USA
Yalcin Gerek, CISA, CRISC, CGEIT, Expert ITIL, Prince2, ISO 20000LI, ISO27001LA, TAC AS., Turquie
James L. Golden, Golden Consulting Associates, États-Unis
J. Winston Hayden, CISA, CISM, CRISC, CGEIT, Afrique du Sud Jimmy Heschl, CISA, CISM, CGEIT, Red
Bull, Autriche
Jorge Hidalgo, CISA, CISM, CGEIT, Chili
John Jasinski, CISA, CRISC, CISM, CGEIT, COBIT 5 Assessor, CSM, CSPO, IT4IT-F, ITIL Expert, Lean IT-F,
MOF, SSBB, TOGAF-F, USA
Joanna Karczewska, CISA, Pologne
Glenn Keaveny, CEH, CISSP, Grant Thornton, USA Eddy Khoo S. K., CGEIT, Kuala Lumpur, Malaisie
Joao Souza Neto, CRISC, CGEIT, Universidade Católica de Brasília, Brésil Tracey O'Brien, CISA, CISM,
CGEIT, IBM Corp (retraité), États-Unis
Zachy Olorunojowon, CISA, CGEIT, PMP, BC Ministry of Health, Victoria, BC Canada
Opeyemi Onifade, CISA, CISM, CGEIT, BRMP, CISSP, ISO 27001LA, M.IoD, Afenoid Enterprise Limited,
Nigeria Andre Pitkowski, CRISC, CGEIT, CRMA-IIA, OCTAVE, SM, APIT Consultoria de Informatica Ltd,
Brésil
Dirk Reimers, Entco Deutschland GmbH, A Micro Focus Company Steve Reznik, CISA, CRISC, ADP, LLC,
États-Unis
Bruno Horta Soares, CISA, CRISC, CGEIT, PMP, GOVaaS - Conseillers en gouvernance, à la demande,
Portugal Dr. Katalin Szenes, Ph.D., CISA, CISM, CGEIT, CISSP, John von Neumann Faculty of
Informatics,
Université d'Obuda, Hongrie

Remerciements (suite)
Experts réviseurs
Peter Tessin, CISA, CRISC, CISM, CGEIT, Discover, USA Mark Thomas, CRISC, CGEIT, Escoute, USA
John Thorp, CMC, ISP, ITCP, The Thorp Network, Canada Greet Volders, CGEIT, COBIT Assessor,
Voquals N.V., Belgique
Markus Walter, CISA, CISM, CISSP, ITIL, PMP, TOGAF, PwC Singapour/Suisse David M. Williams, CISA,
CAMS, Westpac, Nouvelle-Zélande
Greg Witte, CISM, G2 Inc, États-Unis
Conseil d'administration de l'ISACA
Rob Clyde, CISM, Clyde Consulting LLC, États-Unis, Président
Brennan Baybeck, CISA, CRISC, CISM, CISSP, Oracle Corporation, USA, Vice-président Tracey Dedrick,
ancien Chief Risk Officer de la Hudson City Bancorp, USA
Leonard Ong, CISA, CRISC, CISM, CGEIT, COBIT 5 Mise en œuvre et évaluation, CFE, CIPM, CIPT, CISSP,
CITBCM, CPP, CSSLP, GCFA, GCIA, GCIH, GSNA, ISSMP-ISSAP, PMP, Merck & Co, Inc.
R.V. Raghu, CISA, CRISC, Versatilist Consulting India Pvt. Ltd, Inde
Gabriela Reynaga, CISA, CRISC, Fondation COBIT 5, GRCP, Holistics GRC, Mexique Gregory Touhill,
CISM, CISSP, Cyxtera Federal Group, USA
Ted Wolff, CISA, Vanguard, Inc, États-Unis
Tichaona Zororo, CISA, CRISC, CISM, CGEIT, COBIT 5 Assesseur, CIA, CRMA, EGIT | Gouvernance
d'entreprise des TI, Afrique du Sud
Theresa Grafenstine, CISA, CRISC, CGEIT, CGAP, CGMA, CIA, CISSP, CPA, Deloitte & Touche LLP, USA,
présidente du conseil d'administration de l'ISACA, 2017-2018
Chris K. Dimitriadis, Ph.D., CISA, CRISC, CISM, INTRALOT, Grèce, président du conseil d'administration
de l'ISACA, 2015-2017 Matt Loeb, CGEIT, CAE, FASAE, directeur général, ISACA, États-Unis
Robert E Stroud (1965-2018), CRISC, CGEIT, XebiaLabs, Inc., USA, président du conseil
d'administration de l'ISACA, 2014-2015
L'ISACA est profondément attristée par le décès de Robert E Stroud en septembre 2018.
6
TABLE DES MATIÈRES
TABLE DES MATIÈRES
Liste des FigUres 9

Chapitre 1. IntrodUCtion 11
1. 1Gouvernance des entreprises en matière d' information et de technologie11
1.2 Avantages de la gouvernance de l'information et de la technologie11
1.3COBIT en tant que cadre de gouvernance I&T12
1.3.1 Qu' est-ce que le COBIT et qu'est-ce qu'il n'est pas ? 13
1.4Structure de la présente publication14
Chapitre 2. Public visé 15
2.1 Parties prenantes de la gouvernance15
Chapitre 3. Principes COBIT17
3.1Introduction17
3.2Six principes pour un système de gouvernance17
3.3Trois principes pour un cadre de gouvernance18
3.4 COBIT® 201918
Chapitre 4. Concepts de base : Système de gouvernance et composantes19
4.1 Vue d'ensemble du COBIT19
4.2Objectifs de gouvernance et de gestion20
4.3Composantes du système de gouvernance21
4.4Domaines d' intervention22
4.5 Facteurs de conception23
4. 6Cascade de buts28
4.6.1 Objectifs de l'entreprise29
4.6.2 Objectifs de l'alignement30
Chapitre 5. Objectifs de gouvernance et de gestion de COBIT33
5.1 Objet33
Chapitre 6. La gestion des performances dans COBIT37
6.1Définition37
6.2 Principes de gestion des performances du COBIT37
6.3 Aperçu de la gestion des performances du COBIT37
6.4 Gérer la performance des processus38
6.4.1 Niveaux de capacité des processus38
6.4.2 Évaluation des activités de processus39

6.4.3 Niveaux de maturité des domaines d'intervention39
6.5 Gérer les performances des autres composantes du système de gouvernance40
6.5.1 Gestion de la performance des structures organisationnelles40
6.5.2 Gestion de la performance des éléments d'information41
6.5.3 Gestion de la performance de la culture et du comportement43
Chapitre 7. Concevoir un système de gouvernance sur mesure45
7.1Impact des facteurs de conception45
7.2 Étapes et étapes du processus de conception47
Chapitre 8. Mise en œuvre de la gouvernance d'entreprise des TI49
8.1 Guide de mise en œuvre du programme COBIT Objectif49
8.2 Approche de mise en œuvre du programme COBIT49
8.2.1Phase 1 - Quels sont les conducteurs ? 50
8.2.2Phase 2 - Où en sommes-nous maintenant ? 50
8.2.3 Phase 3 - Où voulons-nous être ? 51
8.2.4Phase 4 - Que faut-il faire ? 51
8.2.5Phase 5-Comment y parvenir ? 51
8.2.6Phase 6 - Y sommes-nous parvenus ? 51
8.2.7 Phase 7 - Comment maintenir l'élan ? 51
8.3Relation entre le Guide de conception COBIT® 2019 et le Guide de mise en œuvre COBIT®
201952
Chapitre 9. Démarrer avec le COBIT : présentation des arguments53
9.1Affaire commerciale53
9. 2Résumé exécutif53
9.3 Contexte54
9. 4Défis pour les entreprises55
9.4.1 Analyse des lacunes et objectif55
9.4.2 Autres solutions envisagées56

9.5 Solution proposée56
9.5.1Phase 1 . Préplanification56
9.5.2Phase 2 . Mise en œuvre du programme57
9.5.3 Portée du programme57
9.5.4 Méthodologie et alignement du programme57
9.5.5Produits livrables du programme58
9.5. 6Risque lié au programme58
9.5.7Parties prenantes59
9.5.8 Analyse coûts-avantages59
9.5.9Défis et facteurs de réussite60
Chapitre 10. COBIT et autres normes63
10.1 Principe directeur63
10.2Liste des normes référencées63

8
LISTE DES CHIFFRES
LISTE DES CHIFFRES
Chapitre 1. IntrodUCtion
Figure 1.1 - Le contexte de la gouvernance d'entreprise dans le domaine de l'information et des

technologies11
Chapitre 2. Public visé
Figure 2.1 - Les parties prenantes du COBIT15
Chapitre 3. Principes COBIT
Figure 3.1 - Principes du système de gouvernance17
Figure 3.2 - Principes du cadre de gouvernance18
Chapitre 4. Concepts de base : Système de gouvernance et composantes
Figure 4.1 - Aperçu du CBIT19
Figure 4.2 - Modèle de base du CBIT21
Figure 4.3-COBIT Composantes d'un système de gouvernance22
Figure 4.4- Facteurs de conception du CBIT23
Figure 4.5 - Facteur de conception de la stratégie d'entreprise23
Figure 4.6 - Facteur de conception des objectifs de l'entreprise24
Figure 4.7 - Facteurs de conception du profil de risque (catégories de risque en matière de TI) 24
Figure 4.8 - Facteur de conception des questions liées à l'I&T25

Figure 4.9 - Facteur de conception du paysage de menace25
Figure 4.10 - Facteur de conception des exigences de conformité26
Figure 4.11 - Rôle du facteur de conception des TI26
Figure 4.12 - Modèle d'approvisionnement pour le facteur de conception informatique26
Figure 4.13 - Facteur de conception des méthodes de mise en œuvre des TI27
Figure 4.14 - Facteur de conception de la stratégie d'adoption des technologies27
Figure 4.15 - Facteur de conception de la taille de l'entreprise27
Figure 4.16 - Cascade d'objectifs du COBIT28
Figure 4.17 - Cascade de buts : Objectifs et mesures de l'entreprise29
Figure 4.18 - Cascade de buts : Objectifs et mesures d'alignement30
Chapitre 5. Objectifs de gouvernance et de gestion de COBIT
Figure 5.1 - Modèle de base du CBIT : Objectifs et finalité de la gouvernance et de la gestion33
Chapitre 6. Gestion des performances dans le cadre du COBIT
Figure 6.1 - Niveaux de capacité38
Figure 6.2 - Niveaux de capacité des processus39
Figure 6.3 - Niveaux de maturité pour les domaines d'intervention40
Figure 6.4 - Modèle de référence de l'information : Critères de qualité pour l'information42
Chapitre 7. Concevoir un système de gouvernance sur mesure
Figure 7.1-Incidence des facteurs de conception sur un système de gouvernance et de gestion45
Figure 7.2 - Flux de travail pour la conception du système de gouvernance47
Chapitre 8. Mise en œuvre de la gouvernance d'entreprise dans le domaine des technologies de

l'information
Figure 8.1 - Feuille de route pour la mise en œuvre du COBIT50
Figure 8.2 - Points de connexion entre le Guide de conception COBIT et le Guide d'application
COBIT52
Chapitre 9. Démarrer avec le COBIT : présentation des arguments
Figure 9.1 - Défis et actions prévues pour Acme Corporation60

10
CHAPITRE 1 INTRODUCTION
Chapitre 1 IntrodUCtion
1.1 Gouvernance des entreprises en matière d'information et de technologie
À la lumière de la transformation numérique, l'information et la technologie (I&T) sont devenues

cruciales dans le soutien, la durabilité et la croissance des entreprises. Auparavant, les conseils
d'administration et les cadres supérieurs pouvaient déléguer, ignorer ou éviter les décisions liées aux
I&T. Dans la plupart des secteurs et des industries, de telles attitudes sont aujourd'hui malavisées. La
création de valeur pour les parties prenantes (c'est-à-dire la réalisation de bénéfices à un coût
optimal des ressources tout en optimisant les risques) est souvent motivée par un degré élevé de
numérisation dans les nouveaux modèles d'entreprise, les processus efficaces, les innovations
réussies, etc.
Les entreprises numérisées sont de plus en plus dépendantes de l'I&T pour leur survie et leur
croissance.
Compte tenu de la place centrale qu'occupent les technologies de l'information et de la

communication dans la gestion des risques et la création de valeur des entreprises, un intérêt
particulier pour la gouvernance des technologies de l'information et de la communication par les
entreprises (EGIT) s'est manifesté au cours des trois dernières décennies. L'EGIT fait partie intégrante
de la gouvernance d'entreprise. Il est exercé par le conseil d'administration qui supervise la définition
et la mise en œuvre des processus, des structures et des mécanismes relationnels dans l'organisation
qui permettent aux responsables des entreprises et des TI d'assumer leurs responsabilités en vue de
soutenir l'alignement des entreprises sur les TI et la création de valeur pour l'entreprise à partir des
investissements des entreprises dans les I&T (figure 1.1).
Figure 1.1 - Le contexte de la gouvernance d'entreprise en matière d'information et de technologie
Entreprises/Valeur informatique
Gouvernance de l'ITAlignmentCreation
Source : De Haes, Steven ; W. Van Grembergen ; Enterprise Governance of Information Technology :

Achieving Alignment and Value, Featuring COBIT 5, 2e édition, Springer International Publishing,
Suisse, 2015, https://www.springer.com/us/book/9783319145464
La gouvernance de l'information et de la technologie par les entreprises est complexe et multiforme.

Il n'existe pas de solution miracle (ou de moyen idéal) pour concevoir, mettre en œuvre et maintenir
une EGITE efficace au sein d'une organisation. C'est pourquoi les membres des conseils
d'administration et de la direction générale doivent généralement adapter leurs mesures et leur mise
en œuvre d'EGIT à leur propre contexte et à leurs besoins spécifiques. Ils doivent également être
prêts à accepter une plus grande responsabilité en matière d'I&T et à adopter un état d'esprit et une
culture différents pour apporter une valeur ajoutée à l'I&T.
1.2 Avantages de la gouvernance de l'information et des technologies
Fondamentalement, EGIT s'intéresse à la création de valeur à partir de la transformation numérique

et à l'atténuation des risques commerciaux qui résultent de la transformation numérique. Plus
précisément, trois résultats principaux peuvent être attendus après l'adoption réussie d'EGIT :
Réalisation des bénéfices - Il s'agit de créer de la valeur pour l'entreprise grâce à l'I&T, de
maintenir et d'augmenter la valeur dérivée des investissements I&T1 existants et d'éliminer les
initiatives et les actifs informatiques qui ne créent pas suffisamment de valeur. Le principe de base de
la valeur I&T est la fourniture de services et de solutions adaptés à l'objectif, dans les délais
1 Tout au long de ce texte, le terme "TI" est utilisé pour désigner le département organisationnel qui
a la responsabilité principale de la technologie. L'expression I&T utilisée dans ce texte fait référence à
toutes les informations que l'entreprise génère, traite et utilise pour atteindre ses objectifs, ainsi qu'à
la technologie qui les soutient dans l'ensemble de l'entreprise.
et dans les limites du budget, qui génèrent les avantages financiers et non financiers escomptés. La
valeur que l'I&T apporte doit être directement alignée sur les valeurs sur lesquelles l'entreprise est
axée. La valeur informatique doit également être mesurée de manière à montrer l'impact et les
contributions des investissements informatiques dans le processus de création de valeur de
l'entreprise.
Optimisation des risques - Il s'agit de traiter le risque commercial associé à l'utilisation, la

propriété, l'exploitation, l'implication, l'influence et l'adoption de l'I&T au sein d'une entreprise. Le
risque commercial lié à l'I&T consiste en des événements liés à l'I&T qui pourraient potentiellement
avoir un impact sur l'entreprise. Alors que la création de valeur se concentre sur la création de
valeur, la gestion des risques se concentre sur la préservation de la valeur. La gestion des risques liés
à l'I&T doit être intégrée dans l'approche de gestion des risques de l'entreprise afin de garantir que
l'entreprise se concentre sur l'informatique. Elle devrait également être mesurée de manière à
montrer l'impact et les contributions de l'optimisation des risques commerciaux liés à l'I&T sur la
préservation de la valeur.
L'optimisation des ressources - Elle permet de s'assurer que les capacités appropriées sont en
place pour exécuter le plan stratégique et que des ressources suffisantes, appropriées et efficaces
sont fournies. L'optimisation des ressources garantit la mise en place d'une infrastructure
informatique intégrée et économique, l'introduction de nouvelles technologies selon les besoins de
l'entreprise et la mise à jour ou le remplacement des systèmes obsolètes. Parce qu'elle reconnaît
l'importance des personnes, en plus du matériel et des logiciels, elle se concentre sur la formation, la
promotion de la rétention et la garantie de la compétence du personnel informatique clé. Les
données et les informations constituent une ressource importante, et l'exploitation des données et
des informations pour obtenir une valeur optimale est un autre élément clé de l'optimisation des
ressources.
L'alignement stratégique et la mesure des performances sont d'une importance primordiale et

s'appliquent globalement à toutes les activités pour garantir que les objectifs liés à l'I&T sont alignés
sur les objectifs de l'entreprise.
Dans une vaste étude de cas portant sur une compagnie aérienne internationale, il a été démontré
que les avantages d'EGIT comprennent : une réduction des coûts de continuité liés aux TI, une
capacité d'innovation accrue grâce aux TI, un meilleur alignement entre les investissements
numériques et les objectifs et la stratégie des entreprises, une confiance accrue entre les entreprises
et les TI, et une évolution vers un "esprit de valeur" autour des biens numériques.2
Des recherches ont montré que les entreprises dont les approches d'EGIT sont mal conçues ou mal
adoptées obtiennent de moins bons résultats dans l'alignement des stratégies et des processus
commerciaux et d'I&T. En conséquence, ces entreprises ont beaucoup moins de chances de réaliser
leurs stratégies commerciales prévues et de réaliser la valeur commerciale qu'elles attendent de la
transformation numérique.3
Il est donc clair que la gouvernance doit être comprise et mise en œuvre bien au-delà de
l'interprétation souvent rencontrée (c'est-à-dire étroite) suggérée par l'acronyme gouvernance,
risque et conformité (GRC). L'acronyme GRC lui-même suggère implicitement que la conformité et le
risque associé représentent le spectre de la gouvernance.
1.3COBIT en tant que cadre de gouvernance I&T
Au fil des ans, des cadres de meilleures pratiques ont été élaborés et promus pour aider au processus
de compréhension, de conception et de mise en œuvre d'EGIT. COBIT® 2019 s'appuie sur plus de 25
ans de développement dans ce domaine et les intègre, non seulement en intégrant les nouvelles
connaissances scientifiques, mais aussi en les mettant en pratique.
Depuis sa fondation dans la communauté des auditeurs informatiques, COBIT® s'est développé en un
cadre de gouvernance et de gestion de l'I&T plus large et plus complet et continue à s'imposer
comme un cadre généralement accepté pour la gouvernance de l'I&T.
2 De Haes, S. ; W. van Grembergen ; Enterprise Governance of IT : Achieving Alignment and Value,

Featuring COBIT 5, Springer International Publishing, Suisse, 2e éd. 2015,
https://www.springer.com/us/book/9783319145464
3 De Haes, Steven ; A. Joshi ; W. van Grembergen ; "State and Impact of Governance of Enterprise IT
in Organizations : Key Findings of an International Study", ISACA® Journal, vol. 4, 2015,
https://www.isaca.org/Journal/archives/2015/Volume-4/Pages/state-and-impact-of-governance-of-
enterprise-it- in-organizations.aspx. Voir également op cit De Haes et van Grembergen.
12
CHAPITRE 1 INTRODUCTION
1.3.1 Qu' est-ce que le COBIT et qu'est-ce qu'il n'est pas ?
Avant de décrire le cadre COBIT actualisé, il est important d'expliquer ce qu'est et ce que n'est pas le
COBIT :
COBIT est un cadre pour la gouvernance et la gestion de l'information et des technologies de

l'entreprise4 , qui s'adresse à l'ensemble de l'entreprise. Par I&T d'entreprise, on entend l'ensemble
des technologies et du traitement de l'information que l'entreprise met en place pour atteindre ses
objectifs, quel que soit l'endroit où cela se produit dans l'entreprise. En d'autres termes, l'I&T
d'entreprise ne se limite pas au département informatique d'une organisation, mais l'inclut
certainement.
Le cadre COBIT établit une distinction claire entre la gouvernance et la gestion. Ces deux disciplines
englobent des activités différentes, nécessitent des structures organisationnelles différentes et
servent des objectifs différents.
La gouvernance garantit cela :
Les besoins, les conditions et les options des parties prenantes sont évalués afin de
déterminer des objectifs d'entreprise équilibrés et convenus.
L'orientation est déterminée par l'établissement de priorités et la prise de décisions.
Les performances et la conformité sont contrôlées par rapport aux orientations et aux
objectifs convenus.
Dans la plupart des entreprises, la gouvernance globale est la responsabilité du conseil

d'administration, sous la direction du président. Des responsabilités spécifiques de gouvernance
peuvent être déléguées à des structures organisationnelles spéciales à un niveau approprié, en
particulier dans les grandes entreprises complexes.
La direction planifie, construit, dirige et surveille les activités, conformément à l'orientation

fixée par l'organe de gouvernance, pour atteindre les objectifs de l'entreprise.
Dans la plupart des entreprises, la gestion est du ressort de la direction générale, sous la direction du
directeur général (PDG).
Le COBIT définit les éléments permettant de construire et de maintenir un système de gouvernance :

processus, structures organisationnelles, politiques et procédures, flux d'informations, culture et
comportements, compétences et infrastructure5 .
COBIT définit les facteurs de conception qui doivent être pris en compte par l'entreprise pour
construire un système de gouvernance adapté.
COBIT aborde les questions de gouvernance en regroupant les éléments de gouvernance pertinents
en objectifs de gouvernance et de gestion qui peuvent être gérés aux niveaux de capacité requis.
Plusieurs idées fausses sur le COBIT devraient être dissipées :
COBIT n'est pas une description complète de tout l'environnement informatique d'une
entreprise.
COBIT n'est pas un cadre permettant d'organiser les processus commerciaux.
COBIT n'est pas un cadre (IT-)technique pour gérer toutes les technologies.
Le COBIT ne prend ni ne prescrit aucune décision relative aux technologies de l'information. Il

ne décidera pas de la meilleure stratégie informatique, de la meilleure architecture, ni du coût de
l'informatique. Au contraire, COBIT définit tous les éléments qui décrivent les décisions à prendre, et
comment et par qui elles doivent être prises.
4 Tout au long de cette publication, les références au "cadre pour la gouvernance des TI" impliquent
l'intégralité de cette description.
5 Ces composantes ont été appelées "facilitateurs" dans COBIT® 5.
1.4 structure de cette publication
Le reste de cette publication contient les chapitres suivants :
Le chapitre 2 traite du public cible de COBIT.
Le chapitre 3 explique les principes des systèmes de gouvernance pour l'I&T, et les principes
des cadres de bonne gouvernance.
Le chapitre 4 explique les concepts et la terminologie de base de COBIT® 2019, y compris le

modèle COBIT de base actualisé avec ses 40 objectifs de gouvernance et de gestion.
Le chapitre 5 détaille les 40 objectifs de gouvernance et de gestion.
Le chapitre 6 explique comment est conçu le suivi des performances dans COBIT® 2019 et, en
particulier, comment sont introduits les niveaux de capacités inspirés du modèle CMMI® (Capability
Maturity Model Integration).
Le chapitre 7 contient une brève introduction et un aperçu du déroulement du Guide de

conception COBIT® 2019.
Le chapitre 8 contient une brève introduction et un aperçu du Guide de mise en œuvre

COBIT® 2019.
Le chapitre 9 contient un exemple détaillé pour illustrer les arguments en faveur de
l'adoption et de la mise en œuvre de COBIT dans une entreprise.
Le chapitre 10 énumère les normes, cadres et règlements qui ont été utilisés lors de
l'élaboration du COBIT® 2019.
14
CHAPITRE 2 PUBLIC VISÉ
Chapitre 2 Public visé
2. 1Parties prenantes de la gouvernance
Le public cible de COBIT est constitué des parties prenantes pour l'EGIT et, par extension, des parties
prenantes pour la gouvernance d'entreprise. Ces parties prenantes et les avantages qu'elles peuvent
tirer de COBIT sont présentés dans la figure 2.1.
Figure 2.1 - Les parties prenantes du COBIT
Avantages du COBIT pour les parties prenantes
Parties prenantes internes
Conseils d'administrationFournit des informations sur la manière de tirer profit de l'utilisation

de l'I&T et explique les responsabilités pertinentes des conseils d'administration
Direction généraleFournit des conseils sur la manière d'organiser et de contrôler les performances
de l'I&T dans l'entreprise
Gestionnaires d'entreprisesAide pour comprendre comment obtenir les solutions I&T dont les
entreprises ont besoin et comment exploiter au mieux les nouvelles technologies pour de nouvelles
opportunités stratégiques
IT ManagersFournit des conseils sur la meilleure façon de construire et de structurer le département

informatique, de gérer les performances de l'informatique, de gérer un efficient et une opération
informatique efficace, de contrôler les coûts informatiques, d'aligner la stratégie informatique sur les
professionnels de l'entreprise, etc.
Fournisseurs d'assuranceAide à gérer la dépendance vis-à-vis des fournisseurs de services externes, à

obtenir une assurance sur les TI et à garantir l'existence d'un système de contrôles internes
efficace et efficient
Gestion des risquesAide à assurer la identification et la gestion de tous les risques liés aux
technologies de l'information
Parties prenantes externes
RégulateursAide à garantir que l'entreprise se conforme aux règles et réglementations

applicables et dispose d'un système de gouvernance adéquat pour gérer et maintenir la conformité
Partenaires commerciauxAide à garantir que les opérations d'un partenaire commercial sont sûres,
fiables et conformes aux règles et réglementations applicables
Fournisseurs de services informatiquesAide à garantir que les opérations d'un fournisseur de

services informatiques sont sûres, fiables et conformes aux règles et réglementations applicables
Un certain niveau d'expérience et une compréhension approfondie de l'entreprise sont nécessaires

pour bénéficier du cadre COBIT. Cette expérience et cette compréhension permettent aux
utilisateurs de personnaliser les orientations de base de COBIT - qui sont de nature générique - pour
obtenir des orientations sur mesure et ciblées pour l'entreprise, en tenant compte du contexte de
l'entreprise.
Le public cible comprend les responsables tout au long du cycle de vie de la solution de gouvernance,
de la conception à l'exécution et à l'assurance. En effet, les fournisseurs d'assurance peuvent
appliquer la logique et le flux de travail développés dans cette publication pour créer un programme
d'assurance bien étayé pour l'entreprise.

16
CHAPITRE 3 PRINCIPES DE COBIT
Chapitre 3
Principes COBIT
3.1IntrodUCtion
COBIT® 2019 a été développé sur la base de deux séries de principes :
Principes qui décrivent les exigences fondamentales d'un système de gouvernance pour
l'information et la technologie d'entreprise
Principes pour un cadre de gouvernance pouvant être utilisé pour construire un système de
gouvernance pour l'entreprise
3.2Six principes pour un système de gouvernance
Les six principes d'un système de gouvernance sont les suivants (figure 3.1) :
Chaque entreprise a besoin d'un système de gouvernance pour satisfaire les besoins des
parties prenantes et pour générer de la valeur à partir de l'utilisation de l'I&T. La valeur reflète un
équilibre entre les avantages, les risques et les ressources, et les entreprises ont besoin d'une
stratégie et d'un système de gouvernance permettant de réaliser cette valeur.
Un système de gouvernance pour les entreprises I&T est constitué d'un certain nombre de
composantes qui peuvent être de différents types et qui fonctionnent ensemble de manière
holistique.
Un système de gouvernance doit être dynamique. Cela signifie que chaque fois qu'un
ou plusieurs des facteurs de conception sont modifiés (par exemple, un changement de stratégie ou
de technologie), l'impact de ces changements sur le système EGIT doit être pris en compte. Une
vision dynamique d'EGIT conduira à un système d'EGIT viable et à l'épreuve du temps.
Un système de gouvernance doit établir une distinction claire entre les activités et les
structures de gouvernance et de gestion.
Un système de gouvernance doit être adapté aux besoins de l'entreprise, en utilisant un

ensemble de facteurs de conception comme paramètres pour personnaliser et hiérarchiser les
composantes du système de gouvernance.
Un système de gouvernance devrait couvrir l'entreprise de bout en bout, en se concentrant

non seulement sur la fonction informatique mais aussi sur toutes les technologies et tous les
traitements de l'information que l'entreprise met en place pour atteindre ses objectifs, quel que soit
l'endroit où se situe le traitement dans l'entreprise6 .
Figure 3.1 - Principes du système de gouvernance
1. Fournir aux parties prenantes
Valeur
2. Approche holistique
3. Gouvernance dynamique
Système
4. Une gouvernance distincte de la gestion
5. Adapté à l'entreprise
Besoins
6. Gouvernance de bout en bout

Système
6 Huygh, T. ; S. De Haes ; "Using the Viable System Model to Study IT Governance Dynamics :
Evidence from a Single Case Study", Actes de la 51e conférence internationale d'Hawaï sur les
sciences des systèmes, 2018,
https://scholarspace.manoa.hawaii.edu/bitstream/10125/50501/1/paper0614.pdf
3.3Trois principes pour un cadre de gouvernance
Les trois principes d'un cadre de gouvernance sont les suivants (figure 3.2) :
Un cadre de gouvernance devrait être basé sur un modèle conceptuel, identifiant les
composants clés et les relations entre les composants, afin de maximiser la cohérence et de
permettre l'automatisation.
Un cadre de gouvernance doit être ouvert et flexible. Il devrait permettre l'ajout de

nouveaux contenus et la possibilité d'aborder de nouvelles questions de la manière la plus souple
possible, tout en préservant l'intégrité et la cohérence.
Un cadre de gouvernance doit s'aligner sur les principales normes, cadres et réglementations
connexes.
3.4COBIT® 2019
Le COBIT® 2019 améliore les versions précédentes du COBIT dans les domaines suivants :
Flexibilité et ouverture - La définition et l'utilisation de facteurs de conception permettent

d'adapter COBIT pour un meilleur alignement avec le contexte particulier d'un utilisateur.
L'architecture ouverte de COBIT permet d'ajouter de nouveaux domaines d'intérêt (voir section 4.4)
ou de modifier les domaines existants, sans conséquences directes sur la structure et le contenu du
modèle de base de COBIT.
Actualité et pertinence - Le modèle COBIT permet de se référer et de s'aligner sur des

concepts provenant d'autres sources (par exemple, les dernières normes informatiques et les
règlements de conformité).
Application prescriptive - Les modèles tels que le COBIT peuvent être descriptifs et
prescriptifs. Le modèle conceptuel COBIT est construit et présenté de telle sorte que son
instanciation (c'est-à-dire l'application de composantes de gouvernance COBIT adaptées) est perçue
comme une prescription pour un système de gouvernance informatique adapté.
Gestion des performances des TI - La structure du modèle de gestion des performances
COBIT est intégrée dans le modèle conceptuel. Les concepts de maturité et de capacité sont
introduits pour un meilleur alignement avec le CMMI.
Le guide COBIT utilise indifféremment les termes "gouvernance de l'information et des technologies
de l'entreprise", "gouvernance de l'information et des technologies de l'entreprise", "gouvernance
des technologies de l'information" et "gouvernance des technologies de l'information".
18
CHAPITRE 4 CONCEPTS DE BASE : SYSTÈME DE GOUVERNANCE ET SES COMPOSANTES
Chapitre 4
Concepts de base : Système de gouvernance et composantes
4.1 Vue d'ensemble du COBIT
La famille de produits COBIT® 2019 est ouverte et conçue pour la personnalisation. Les publications
suivantes sont actuellement disponibles:7
Cadre COBIT® 2019 : Introduction et méthodologie présente les concepts clés du COBIT®
2019.
Cadre COBIT® 2019 : Objectifs de gouvernance et de gestion décrit de manière exhaustive les
40 objectifs fondamentaux de gouvernance et de gestion, les processus qu'ils contiennent et d'autres
éléments connexes. Ce guide fait également référence à d'autres normes et cadres.
Guide de conception COBIT® 2019 : Concevoir une solution de gouvernance de l'information

et de la technologie explore les facteurs de conception qui peuvent influencer la gouvernance et
comprend un flux de travail pour planifier un système de gouvernance adapté à l'entreprise.
Guide de mise en œuvre COBIT® 2019 : Implementing and Optimizing an Information and
Technology Governance Solution représente une évolution du guide de mise en œuvre COBIT® 5 et
développe une feuille de route pour l'amélioration continue de la gouvernance. Il peut être utilisé en
combinaison avec le Guide de conception COBIT® 2019.
La figure 4.1 présente un aperçu général de COBIT® 2019 et illustre la manière dont les différentes
publications de l'ensemble couvrent différents aspects.
Figure 4.1 - Vue d'ensemble du COBIT

Contributions à COBIT® 2019
COBIT 5
Normes, cadres,
RèglementEDM01-Gouvernance assurée
Mise en place et maintien du cadre
Communauté
ContributionI& Cadre nt
APO01-Géré
T Manageme
APO08-Relations gérées
Programmes gérés par BAI01
BAI08-Connaissances gérées
DSS01-Opérations gérées
Publications de base COBIT
COBIT® 2019
Noyau COBIT
Modèle de référence des objectifs de gouvernance et de gestion

EDM02-AssuréEDM03-AssuréEDM04-AssuréEDM05-Assuré Prestation de services Optimisation
des risquesRessource n Partie prenante
ptimizatioEngagement
APO02 - Géré APO03 - Géré APO04 - Géré APO05 - Géré APO06 - Géré APO07 - Stratégie
gérée Portefeuille de l' innovation des entreprises Budget et coûts
Ressources humaines
Architecture
APO09 - Géré APO10 - Géré APO11 - Géré APO12 - Géré APO13 - Géré APO14 - Service
géré
Accords Vendeurs QualitéRisquesSécuritéDonnées
BAI02-Managed BAI03-Manage BAI04-Manage BAI05-ManageBAI07-Manage des

exigences IdSolutions n Disponibilité organisationnelle BAI06-Manage des
changements informatiques Ac nd Définition entif et Capacité Changements informatiques
ceptance a
et la transition des bâtiments
BAI09 - Projets de configuration des actifs gérés BAI10 - Projets de configuration des actifs gérés
BAI11
DSS02-Géré DSS03-Géré DSS04-Géré DSS05-Géré DSS06-Géré Demandes de service
Problèmes Continuité Sécurité Pr Businessrols
et IncidentsServices ocess Cont
-Stratégie d'entreprise
Système de gouvernance d'entreprise sur mesure pour l'information et la technologie
➢Priority objectifs de gouvernance et de gestion
➢Specific orientation des domaines d'intervention
➢Target conseils sur la gestion des capacités et des performances
-Objectifs de l' entreprise
-Taille de l' entreprise
-Rôle de l' informatique
-Modèle d' approvisionnement pour les technologies de

l'information
-Exigences de conformité
-Etc .
Facteurs de conception
Domaine d'intervention
MEA03-PME gérées
Exigences - Sécurité
-Risque
MEA04-Managed Assurance-DevOps
-Etc .
7 Au moment de la publication du présent cadre COBIT® 2019 : Introduction et Méthodologie, des

titres supplémentaires sont prévus pour la famille de produits COBIT® 2019, mais pas encore publiés.
Le contenu identifié comme domaines d'intervention dans la figure 4.1 contiendra des orientations
plus détaillées sur des thèmes spécifiques8 .
Le COBIT® 2019 est basé sur le COBIT® 5 et d'autres sources faisant autorité. Le COBIT est aligné sur
un certain nombre de normes et de cadres connexes. La liste de ces normes est incluse dans le
chapitre 10. L'analyse des normes connexes et l'alignement du COBIT sur ces normes sous-tendent la
position établie du COBIT, qui est le cadre de gouvernance I&T général.
À l'avenir, COBIT fera appel à sa communauté d'utilisateurs pour proposer des mises à jour de
contenu, à appliquer en tant que contributions contrôlées sur une base continue, afin de tenir COBIT
au courant des dernières idées et évolutions.
Les sections suivantes expliquent les principaux concepts et termes utilisés dans COBIT® 2019.
4.2Objectifs de gouvernance et de gestion
Pour que l'information et la technologie contribuent aux objectifs de l'entreprise, un certain nombre
d'objectifs de gouvernance et de gestion doivent être atteints. Les concepts de base relatifs aux
objectifs de gouvernance et de gestion sont les suivants
Un objectif de gouvernance ou de gestion se rapporte toujours à un processus (avec un nom

identique ou similaire) et à une série de composantes connexes d'autres types pour aider à atteindre
l'objectif.
Un objectif de gouvernance est lié à un processus de gouvernance (représenté sur le fond

bleu foncé de la figure 4.2), tandis qu'un objectif de gestion est lié à un processus de gestion
(représenté sur le fond bleu plus clair de la figure 4.2). Les conseils d'administration et la direction
générale sont généralement responsables des processus de gouvernance, tandis que les processus
de gestion sont du ressort de l'encadrement supérieur et intermédiaire.
Les objectifs de gouvernance et de gestion de COBIT sont regroupés en cinq domaines. Les domaines
ont des noms avec des verbes qui expriment le but principal et les domaines d'activité de l'objectif
qu'ils contiennent :
Les objectifs de gouvernance sont regroupés dans le domaine "Évaluer, diriger et surveiller"
(EDM). Dans ce domaine, l'organe de gouvernance évalue les options stratégiques, dirige la haute
direction sur les options stratégiques choisies et surveille la réalisation de la stratégie.
Les objectifs de gestion sont regroupés en quatre domaines :
Aligner, planifier et organiser (APO) concerne l'organisation, la stratégie et les activités de

soutien globales pour l'I&T.
Build, Acquire and Implement (BAI) traite de la définition, de l'acquisition et de la mise en

œuvre de solutions I&T et de leur intégration dans les processus d'entreprise.
Le DSS (Deliver, Service and Support) concerne la fourniture et le soutien opérationnels des
services d'I&T, y compris la sécurité.
Le programme "Suivi, évaluation et appréciation" (MEA) traite du suivi des performances et

de la conformité de l'I&T avec les objectifs de performance internes, les objectifs de contrôle interne
et les exigences externes.
8 Un certain nombre de ces guides de contenu des domaines d'intervention sont déjà en
préparation ; d'autres sont prévus. La série de guides des domaines d'intérêt est ouverte et
continuera à évoluer. Pour obtenir les dernières informations sur les publications et autres contenus
actuellement disponibles et prévus, veuillez consulter le site www.isaca.org/cobit.
20

Figure 4.2- Modèle de base du CBIT
EDM01-Assuré
EDM02 - Prestations assurées
APO02-ManagedAPO03-Stratégie gérée Entreprise
Architecture
APO09 - Service géré APO10 - Service géré
AccordsVendeurs
BAI02-ManagedBAI03-Managed RequirementsIdSolutions n
Définitionentificatio
et construire
BAI09-ManagedBAI10-Managed Assets Configuration

DSS02-ManagedDSS03-Managed Service Requests Problèmes
et incidents
EDM03 - Optimisation des risques assurés
APO04-Innovation gérée
APO11 - Qualité gérée
BAI04-Disponibilité et capacité gérées
Projets gérés par BAI11

DSS04-Continuité gérée
EDM04 - Optimisation des ressources assurées
APO05-Géré APO06-Portefeuille géréBudget et coûts
APO12 - Gestion des risques APO13 - Gestion des risques - Sécurité
BAI05-ManagedBAI06-Managed Organizational Changements informatiques
Changer
DSS05-ManagedDSS06-Managed Security Entreprises
ServicesContrôles des processus
EDM05 - Engagement assuré des parties prenantes
APO07-Ressources humaines gérées
APO14-Données gérées
BAI07 - Acceptation et transition des changements informatiques
Gouvernance
Définition du cadre
et l'entretien
APO01-Géré
Gestion I&T
Cadre MEA01-Géré
Performance et
Conformité
Suivi
APO08-Géré
Relations
MEA02-Géré
Système de
BAI01-Géré Contrôle
Programmes
BAI08-Connaissances gérées
MEA03-Conformité gérée avec
Externe
Exigences
DSS01-Opérations gérées
MEA04 - Assurance gérée
4.3Composantes du système de gouvernance
Pour satisfaire les objectifs de gouvernance et de gestion, chaque entreprise doit établir, adapter et
maintenir un système de gouvernance constitué de plusieurs éléments.
Les composantes sont des facteurs qui, individuellement et collectivement, contribuent au

bon fonctionnement du système de gouvernance de l'entreprise en matière d'I&T.
Les composants interagissent les uns avec les autres, ce qui donne lieu à un système de
gouvernance holistique pour l'I&T.
Les composants peuvent être de différents types. Les plus connus sont les processus.
Cependant, les composantes d'un système de gouvernance comprennent également les structures
organisationnelles, les politiques et les procédures, les éléments d'information, la culture et le
comportement, les aptitudes et les compétences, ainsi que les services, les infrastructures et les
applications (figure 4.3).
Les processus décrivent un ensemble organisé de pratiques et d'activités visant à atteindre

certains objectifs et à produire un ensemble de résultats qui soutiennent la réalisation des objectifs
généraux liés aux TI.
Les structures organisationnelles sont les principales entités décisionnelles d'une entreprise.
Les principes, les politiques et les cadres traduisent le comportement souhaité en

orientations pratiques pour la gestion quotidienne.
L'information est omniprésente dans toute organisation et comprend toutes les informations
produites et utilisées par l'entreprise. COBIT se concentre sur les informations nécessaires au
fonctionnement efficace du système de gouvernance de l'entreprise.
La culture, l'éthique et le comportement des individus et de l'entreprise sont souvent sous-

estimés en tant que facteurs de réussite des activités de gouvernance et de gestion.
Les personnes, les aptitudes et les compétences sont nécessaires pour prendre de bonnes
décisions, exécuter des mesures correctives et mener à bien toutes les activités.
Les services, l'infrastructure et les applications comprennent l'infrastructure, la technologie

et les applications qui fournissent à l'entreprise le système de gouvernance pour le traitement I&T.
Les composants de tous types peuvent être génériques ou être des variantes de composants
génériques :
Les composantes génériques sont décrites dans le modèle de base COBIT (voir figure 4.2) et
s'appliquent en principe à toute situation. Toutefois, ils sont de nature générique et doivent
généralement être personnalisés avant d'être mis en œuvre dans la pratique.
Les variantes sont basées sur des composants génériques mais sont adaptées à un objectif ou
un contexte spécifique dans un domaine d'intérêt particulier (par exemple, pour la sécurité de
l'information, les DevOps, un règlement particulier).
4.4Les domaines d'intervention
Un domaine d'intérêt décrit un certain sujet, domaine ou question de gouvernance qui peut être
traité par un ensemble d'objectifs de gouvernance et de gestion et leurs composantes. Parmi les
exemples de domaines d'intérêt, on peut citer : les petites et moyennes entreprises, la cybersécurité,
la transformation numérique, l'informatique en nuage, la protection de la vie privée et les opérations
de développement9 .
9 DevOps illustre à la fois une variante de composant et un domaine d'intérêt. Pourquoi ? DevOps est
un thème d'actualité sur le marché et nécessite des orientations spécifiques, ce qui en fait un
domaine d'intérêt. DevOps comprend un certain nombre d'objectifs génériques de gouvernance et
de gestion du modèle COBIT de base, ainsi qu'un certain nombre de variantes de processus et de
structures organisationnelles liés au développement, aux opérations et au suivi.
22
Le nombre de domaines d'intervention est pratiquement illimité. C'est ce qui rend le COBIT ouvert.
De nouveaux domaines d'intérêt peuvent être ajoutés selon les besoins ou à mesure que des experts
et des praticiens contribuent au modèle COBIT ouvert.
4.5 Facteurs de conception
Les facteurs de conception sont des facteurs qui peuvent influencer la conception du système de
gouvernance d'une entreprise et la positionner pour le succès dans l'utilisation de l'I&T.
Les facteurs de conception comprennent toute combinaison des éléments suivants (figure 4.4) :
Stratégie d'entreprise - Les entreprises peuvent avoir différentes stratégies, qui peuvent être
exprimées sous la forme d'un ou plusieurs des archétypes présentés dans la figure 4.5. Les
organisations ont généralement une stratégie primaire et, au plus, une stratégie secondaire.
Figure 4.5 - Facteur de conception de la stratégie d'entreprise
Archétype de la stratégieExplication
Croissance/AcquisitionL' entreprise se concentre sur la croissance (revenus).10
Innovation/DifférenciationL' entreprise s'efforce d'offrir des produits et services différents et/ou

innovants à ses clients11 .
Leadership en matière de coûtsL' entreprise met l'accent sur la minimisation des coûts à court
terme.12
Service à la clientèle/StabilitéL' entreprise s'efforce de fournir un service stable et orienté vers le

client.13
10 Correspond à prospecteur dans la typologie Miles-Snow. Voir "Miles and Snow's Typology of
Defender, Prospector, Analyzer, and Reactor", Elibrary,
https://ebrary.net/3737/management/miles_snows_typology_defender_prospector_analyzer_react
or.
11 Voir Reeves, Martin ; Claire Love, Philipp Tillmanns, "Your Strategy Needs a Strategy", Harvard
Business Review, septembre 2012,
https://hbr.org/2012/09/your-strategy-needs-a-strategy, en particulier en ce qui concerne la vision

et le façonnage.
12 Correspond au leadership en matière de coûts ; voir Université de Cambridge, "Porter's Generic

Competitive Strategies (ways of competing)", Institute for Manufacturing (IfM) Management
Technology Policy, https://www.ifm.eng.cam.ac.uk/research/dstools/porters-generic-competitive-
strategies/. Correspond également à l'excellence opérationnelle ; voir Treacy, Michael ; Fred
Wiersema, "Customer Intimacy and Other Value Disciplines", Harvard Business Review,
janvier/février 1993, https://hbr.org/1993/01/customer-intimacy-and-other-value-disciplines
13 Correspond aux défenseurs de la typologie Miles-Snow. Voir op cit "Miles and Snow's Typology of
Defender, Prospector, Analyzer, and Reactor".
Objectifs de l'entreprise soutenant la stratégie d'entreprise - La stratégie d'entreprise est

réalisée par la réalisation de (un ensemble d') objectifs de l'entreprise. Ces objectifs sont définis dans
le cadre COBIT, structurés selon les dimensions du tableau de bord prospectif (BSC), et comprennent
les éléments indiqués dans la figure 4.6.
Figure 4.6 - Facteur de conception des objectifs de l'entreprise
Fiche d'évaluation équilibrée ( BSC) DimensionEnterprise Objectif
EG01Portefeuille financier de produits et services compétitifs
EG02Risque d'entreprise géré financièrement
EG03FinancierConformité aux lois et règlements extérieurs
EG04Qualité financière de l'information financial
EG05ClientCulture de service orientée vers le client
EG06CustomerBusiness-continuité et disponibilité du service

EG07ClientQualité de l' information de gestion
EG08InterneOptimisation de la fonctionnalité des processus opérationnels internes
EG09InterneOptimisation des coûts des processus d'entreprise
EG10Compétences, motivation et productivité du personnel interne
EG11InterneConformité aux politiques internes
EG12Programmes de transformation numérique gérés par la croissance
EG13CroissanceProduits et innovation des entreprises
Profil de risque de l'entreprise et questions actuelles en matière d'I&T - Le profil de risque

identifie le type de risque lié à l'I&T auquel l'entreprise est actuellement exposée et indique les
domaines de risque qui dépassent l'appétit pour le risque. Les catégories de risques14
énumérées à la figure 4.7 méritent d'être prises en considération.
Figure 4.7 - Facteur de conception du profil de risque (catégories de risques informatiques)
Catégorie ReferenceRisk
1IT prise de décision d'investissement, portefeuille definition et maintenance
2Gestion du cycle de vie des programmes et des projets
Coût et contrôle du 3IT
Expertise, compétences et comportement des 4IT
5L' architecture d'entreprise / informatique
Incidents liés à l'infrastructure opérationnelle du 6IT
7Actions non autorisées
8 Problèmes d'adoption/utilisation des logiciels
9Incidents liés au matériel
10 Défaillances des logiciels
11Attentats logiques (piratage, logiciels malveillants, etc.)
12Incidents avec des tiers ou des fournisseurs
13Mise en conformité
14Questions géopolitiques
15Action industrielle
16Actes de la nature
17Innovation basée sur la technologie
18Environnement
19Gestion des données et de l'information
14 Modifié à partir de ISACA, The Risk IT Practitioner Guide, USA, 2009
24
4. questions liées à l'I&T - Une méthode connexe d'évaluation des risques liés à l'I&T pour
l'entreprise consiste à examiner les questions liées à l'I&T auxquelles elle est actuellement
confrontée, ou, en d'autres termes, le risque lié à l'I&T qui s'est matérialisé. Les questions les plus
courantes15 sont celles qui figurent à la figure 4.8.
Figure 4.8 - Facteur de conception des questions liées à l'I&T
RéférenceDescription
La frustration entre les différentes entités informatiques de l'organisation en raison de la

perception d'une faible contribution à la valeur de l'entreprise
La frustration entre les départements commerciaux (c'est-à-dire le client informatique) et le

département informatique en raison d'initiatives ratées ou d'une perception de faible contribution à
la valeur de l'entreprise
CSignificant Incidents liés aux TI, tels que les pertes de données, les failles de sécurité, les échecs de
projets et les erreurs d'application, liés aux TI
Problèmes de prestation de services DS par le(s) sous-traitant(s) informatique(s)
Les manquements aux exigences réglementaires ou contractuelles liées aux technologies de

l'information
Audit régulier findings ou autres rapports d'évaluation concernant les mauvaises

performances informatiques ou les problèmes de qualité ou de service informatique signalés
Les dépenses informatiques cachées et frauduleuses, c'est-à-dire les dépenses informatiques

des services utilisateurs qui échappent au contrôle des mécanismes normaux de décision
d'investissement informatique et des budgets approuvés
HDuplications ou chevauchements entre diverses initiatives, ou autres formes de gaspillage

de ressources
IInsufficient Ressources informatiques, personnel aux compétences insuffisantes ou épuisement

professionnel/insatisfaction du personnel
Les changements ou les projets basés sur le JIT ne répondent souvent pas aux besoins
des entreprises et sont livrés en retard ou en dépassement de budget
KRéticence des membres du conseil d'administration, des cadres ou de la direction à s'engager dans
les TI, ou absence de parrainage commercial engagé en faveur des TI
Modèle d'exploitation informatique complexe et/ou mécanismes de décision peu clairs

pour les décisions liées aux technologies de l'information
Coût excessivement élevé des technologies de l'information
N'a pas empêché ou échoué la mise en œuvre de nouvelles initiatives ou innovations causées
par l'architecture et les systèmes informatiques actuels
L'écart entre les connaissances commerciales et techniques, qui fait que les utilisateurs
commerciaux et les spécialistes de l'information et/ou des technologies parlent des langues
différentes
Questions réglementaires relatives à la qualité des données et à l'intégration des données

provenant de diverses sources
QUn niveau élevé d' informatique pour l'utilisateur final, créant (entre autres problèmes) un
manque de surveillance et de contrôle de la qualité des applications qui sont développées et mises
en service
Les départements d'entreprises mettant en œuvre leurs propres solutions d'information avec
peu ou pas d'implication du département informatique de l'entreprise16
Ignorance et/ou non-respect de la réglementation relative à la protection de la vie privée
TInsibilité d' exploiter de nouvelles technologies ou d'innover en utilisant l'I&T
5) Paysage de menaces - Le paysage de menaces dans lequel l'entreprise opère peut être classé
comme suit
figure 4.9.
Figure 4.9 - Facteur de conception du paysage de menace
Paysage de menacesExplication
NormalL' entreprise fonctionne dans des conditions considérées comme des niveaux de
menace normaux.
HighEn raison de sa situation géopolitique, de son secteur d'activité ou de profile en

particulier, l'entreprise évolue dans un environnement très menaçant.
15 Voir également la section 3.3.1 Points de douleur typiques, dans ISACA, COBIT® 2019
Implementation Guide : Implementing and Optimizing an Information and Technology Governance
Solution, États-Unis, 2018.
16 Ce problème est lié à l'informatique des utilisateurs finaux, qui est souvent le résultat d'un
mécontentement à l'égard des solutions et des services informatiques.
6) Exigences de conformité - Les exigences de conformité auxquelles l'entreprise est soumise

peuvent être classées selon les catégories énumérées à la figure 4.10.
Figure 4.10 - Facteur de conception des exigences de conformité
Environnement réglementaireExplication
Faibles exigences de conformitéL' entreprise est soumise à un ensemble minimal d'exigences de

conformité régulières qui sont inférieures à la moyenne.
Exigences de conformité normalesL' entreprise est soumise à un ensemble d'exigences de

conformité régulières qui sont communes à différents secteurs.
Exigences de conformité élevéesL' entreprise est soumise à des exigences de conformité plus
élevées que la moyenne, le plus souvent liées au secteur industriel ou aux conditions géopolitiques.
7 Rôle de l'informatique - Le rôle de l'informatique pour l'entreprise peut être classé comme
indiqué dans la figure 4.11.
Figure 4.11 - Rôle du facteur de conception des TI
Rôle de l'IT1711Explication
SupportIT n'est pas crucial pour le fonctionnement et la continuité des processus et services
commerciaux, ni pour leur innovation.
UsineQuand l' informatique tombe en panne, il y a un impact immédiat sur le fonctionnement et la

continuité des processus et des services de l'entreprise. Cependant, l'informatique n'est pas
considérée comme un moteur de l'innovation des processus et services opérationnels.
TurnaroundIT est considéré comme un moteur de l'innovation des processus et services

commerciaux. Toutefois, à l'heure actuelle, il n'existe pas de dépendance critique vis-à-vis de
l'informatique pour le fonctionnement et la continuité des processus et des services commerciaux.
StrategicIT est essentiel à la fois pour faire fonctionner et innover les processus et services de
l'organisation.
Modèle d'approvisionnement pour les TI - Le modèle d'approvisionnement adopté par

l'entreprise peut être classé comme indiqué dans la figure 4.12.
Figure 4.12 - Modèle d'approvisionnement pour le facteur de conception des TI
Modèle d'approvisionnement Explication
ExternalisationL' entreprise fait appel aux services d'un tiers pour la fourniture de services
informatiques.
CloudL' entreprise maximise l'utilisation du cloud pour fournir des services informatiques à ses
utilisateurs.
InsourcedL' entreprise fournit son propre personnel et ses propres services informatiques.
HybrideUn modèle mixte est appliqué, combinant les trois autres modèles à des degrés divers.
17 Les rôles figurant dans ce tableau sont tirés de McFarlan, F. Warren ; James L. McKenney ; Philip
Pyburn ; "The Information Archipelago-Plotting a Course", Harvard Business Review, janvier 1993,
https://hbr.org/1983/01/the-information-archipelago-plotting-a-course.
26
9. Méthodes de mise en œuvre des TI - Les méthodes adoptées par l'entreprise peuvent être
classées comme indiqué dans la figure 4.13.
Figure 4.13 - Facteur de conception des méthodes de mise en œuvre des TI
Méthode de mise en œuvre des TIExplication
AgileL' entreprise utilise des méthodes de travail de développement Agile pour son développement
logiciel.
DevOpsL' entreprise utilise les méthodes de travail DevOps pour la construction, le

déploiement et les opérations de logiciels.
TraditionnelL' entreprise utilise une approche plus classique du développement de logiciels

(cascade) et sépare le développement de logiciels des opérations.
HybrideL' entreprise utilise un mélange de mise en œuvre informatique traditionnelle et
moderne, souvent appelée "informatique bimodale".
Stratégie d'adoption des technologies - La stratégie d'adoption des technologies peut être
classée comme indiqué dans la figure 4.14.
Figure 4.14 - Facteur de conception de la stratégie d'adoption des technologies
Stratégie d'adoption des technologiesExplication
Premier arrivéL' entreprise adopte généralement les nouvelles technologies le plus tôt
possible et essaie de tirer parti de l'avantage de first-mover.
L' entreprise attend généralement que les nouvelles technologies se généralisent et fassent
leurs preuves avant de les adopter.
Adopter lentementL' entreprise est très en retard dans l'adoption des nouvelles technologies.
Taille de l'entreprise-Deux catégories, comme indiqué dans la figure 4.15, sont identifiées
pour la conception du système de gouvernance d'une entreprise18 .
Figure 4.15 - Facteur de conception de la taille de l'entreprise
Taille des entreprisesExplication
Grande entreprise (par défaut) Entreprise de plus de 250 salariés à temps plein (ETP)
Petites et moyennes entreprisesEntreprise de 50 à 250 ETP

18 Les micro-entreprises, c'est-à-dire les entreprises de moins de 50 employés, ne sont pas prises en
compte dans cette publication.
4. 6Cascade de buts
Les besoins des parties prenantes doivent être transformés en une stratégie d'action pour
l'entreprise. La cascade d'objectifs (figure 4.16) soutient les objectifs de l'entreprise, ce qui est l'un
des facteurs clés de la conception d'un système de gouvernance. Elle soutient la hiérarchisation des
objectifs de gestion sur la base de la hiérarchisation des objectifs de l'entreprise.
Figure 4.16 - Cascade d'objectifs du COBIT
Les motivations et les besoins des parties prenantes
Cascade vers
Objectifs de l'entreprise
Cascade vers
Objectifs d'alignement
Cascade vers
Objectifs de gouvernance et de gestion
La cascade d'objectifs soutient en outre la traduction des objectifs de l'entreprise en priorités pour
les objectifs d'alignement. La cascade d'objectifs a été mise à jour en profondeur dans COBIT® 2019 :
Les objectifs des entreprises ont été consolidés, réduits, mis à jour et clarifiés.
Les objectifs d'alignement mettent l'accent sur l'alignement de tous les efforts informatiques
avec les objectifs commerciaux.19 Cette expression actualisée cherche également à éviter le
malentendu fréquent selon lequel ces objectifs indiquent des objectifs purement internes du
département informatique au sein d'une entreprise. Tout comme les objectifs de l'entreprise, les
objectifs d'alignement ont été consolidés, réduits, mis à jour et clarifiés si nécessaire.
19 Les objectifs d'alignement ont été appelés objectifs liés aux TI dans COBIT 5.
28
4.6.1 Objectifs de l'entreprise
Les parties prenantes doivent être associées en cascade aux objectifs de l'entreprise. La figure 4.17
montre l'ensemble des 13 objectifs de l'entreprise ainsi qu'un certain nombre d'exemples de
mesures.
Figure 4.17 - Cascade de buts : Objectifs et mesures de l'entreprise
RéférenceBSC DimensionEntreprise ButExemple de mesures
EG01Portefeuille financier de produits et services compétitifs Pourcentage de

produits et services qui atteignent ou dépassent les objectifs en termes de recettes et/ou de part de
marché
Pourcentage de produits et services qui atteignent ou dépassent les objectifs de satisfaction

des clients
Pourcentage de produits et de services offrant un avantage concurrentiel
Délai de mise sur le marché des nouveaux produits et services
EG02Risque d'entreprise géré financièrement Pourcentage d'objectifs et de services

commerciaux essentiels couverts par l'évaluation des risques
Ratio des incidents significant qui n'étaient pas identified dans les évaluations des risques par
rapport au nombre total d'incidents
Fréquence appropriée de mise à jour du risque profile

EG03FinancierConformité aux lois et règlements extérieurs Coût de la non-
conformité réglementaire, y compris les règlements et fines
Nombre de problèmes de non-conformité réglementaire ayant suscité des commentaires du

public ou une publicité négative
Nombre de cas de non-conformité constatés par les autorités de régulation ou de

surveillance
Nombre de problèmes de non-conformité réglementaire liés aux accords contractuels avec

les partenaires commerciaux
EG04Qualité financière de l'information financial Enquête de satisfaction auprès des

principales parties prenantes concernant la transparence, la compréhension et la précision des
informations sur les entreprises financial
Coût de la non-conformité aux réglementations liées à finance
EG05ClientCulture de service orientée vers le client Nombre d'interruptions du

service à la clientèle
Pourcentage d'entreprises Percent dont la prestation de services aux clients atteint les
niveaux convenus
Nombre de plaintes des clients
Tendance des résultats de l'enquête sur la satisfaction des clients
EG06CustomerBusiness continuité et disponibilité du service Nombre d'interruptions du

service à la clientèle ou des processus commerciaux à l'origine d'incidents sur significant
Coût des incidents pour les entreprises
Nombre d'heures de traitement des affaires perdues en raison d'interruptions de service

imprévues
Pourcentage de plaintes en fonction des objectifs de disponibilité des services
EG07ClientQualité de l' information de gestion Degré de satisfaction du conseil

d'administration et de la direction générale quant à l'information décisionnelle
Nombre d'incidents causés par des décisions commerciales incorrectes basées sur des
informations inexactes
Le temps de fournir des informations d'appui pour permettre des décisions commerciales
efficaces
Actualité des informations de gestion
Figure 4.17 - Cascade de buts : Objectifs et mesures de l'entreprise (suite)
RéférenceBSC DimensionEntreprise ButExemple de mesures

EG08InterneOptimisation de la fonctionnalité des processus opérationnels internes
Niveaux de satisfaction du conseil d'administration et de la direction générale en ce qui
concerne les capacités des processus d'entreprise
Le niveau de satisfaction des clients par rapport aux capacités de prestation de services
Niveaux de satisfaction des fournisseurs en ce qui concerne les capacités de la chaîne

d'approvisionnement
EG09InterneOptimisation des coûts des processus d'entreprise Rapport entre les

coûts et les niveaux de service atteints
Niveaux de satisfaction du conseil d'administration et de la direction générale en ce qui

concerne les coûts de traitement des affaires
EG10Compétences, motivation et productivité du personnel interne Productivité

du personnel par rapport aux critères de référence
Niveau de satisfaction des parties prenantes quant à l'expertise et aux compétences du

personnel
Pourcentage du personnel dont les compétences sont insufficient par rapport aux
compétences requises pour leurs fonctions
Pourcentage du personnel de Percent
EG11InterneConformité aux politiques internes Nombre d'incidents liés au non-

respect de la politique
Pourcentage de parties prenantes qui comprennent les politiques
Pourcentage de politiques soutenues par des normes et des pratiques de travail efficaces
EG12Programmes de transformation numérique gérés par la croissance

Nombre de programmes réalisés dans les délais et dans les limites du budget
Pourcentage de parties prenantes Percent avec la mise en œuvre du programme
Pourcentage de programmes de transformation des entreprises qui ont été arrêtés
Pourcentage de programmes de transformation des entreprises ayant fait l'objet de rapports

réguliers sur leur état d'avancement
EG13CroissanceProduit et innovation d'entreprise Niveau de sensibilisation et de

compréhension des possibilités d'innovation des entreprises
Satisfaction des parties prenantes quant aux niveaux d'expertise et d'idées en matière de
produits et d'innovation
Nombre d'initiatives de produits et de services approuvées résultant d'idées novatrices
4.6.2 Objectifs de l'alignement

Les objectifs de l'entreprise cascadent vers les objectifs d'alignement. La figure 4.18 contient
l'ensemble des objectifs d'alignement et des exemples de mesures.
Figure 4.18 - Cascade de buts : Objectifs et mesures d'alignement
RéférenceIT BSC
DimensionAlignment GoalMetrics
AG01Conformité I&T financière et soutien à la conformité des entreprises aux lois et

réglementations externes Coût de la non-conformité informatique, y compris les
règlements et fines, et l'impact de la perte de réputation
Nombre de problèmes de non-conformité liés aux technologies de l'information signalés au

conseil d'administration ou ayant suscité des commentaires ou des embarras dans le public
Nombre de problèmes de non-conformité liés aux accords contractuels avec les prestataires
de services informatiques
AG02Risque lié à la gestion financière de l' I&T Fréquence appropriée de

mise à jour du risque profile
Pourcentage d'évaluations des risques des entreprises incluant les risques liés à l'I&T
Nombre d'incidents liés à significant I&T qui n'ont pas été identified dans une évaluation des
risques
30
Figure 4.18 - Cascade de buts : Objectifs et mesures d'alignement (suite)
RéférenceIT BSC
AG03FinancialRealized benefits du portefeuille d'investissements et de services I&T

Pourcentage d'investissements I&T pour lesquels les objectifs fixés dans le dossier Percent
sont atteints ou dépassés
Pourcentage de services I&T pour lesquels les Percent prévus (comme indiqué dans les
accords de niveau de service) sont réalisés
AG04FinancialQuality of technology-related financial information Satisfaction des
principales parties prenantes concernant le niveau de transparence, de compréhension et de
précision des informations sur les TI financial
Pourcentage de services I&T avec defined et coûts opérationnels approuvés et prévus

Percent
AG05CustomerLivraison de services I&T conformes aux besoins des entreprises

Pourcentage des entreprises Percent qui estiment que la fourniture de services
informatiques respecte les niveaux de service convenus
Nombre d'interruptions d'activité dues à des incidents de service informatique
Pourcentage d'utilisateurs Percent ayant la qualité de la prestation de services

informatiques
AG06CustomerAgilité à transformer les besoins des entreprises en solutions opérationnelles

Niveau de satisfaction des dirigeants d'entreprises quant à la réactivité des TI aux nouvelles
exigences
Délai moyen de mise sur le marché des nouveaux services et applications liés à l'I&T
Délai moyen pour transformer les objectifs stratégiques d'I&T en une initiative convenue et
approuvée
Nombre de processus commerciaux critiques soutenus par une infrastructure et des

applications à jour
AG07Sécurité intérieure des informations, des infrastructures de traitement et des

applications, et respect de la vie privée Nombre d'incidents confidentiality causant une perte,
une perturbation des activités ou une gêne publique à financial
Nombre d'incidents de disponibilité provoquant une perte de financial, une perturbation des
activités ou une gêne pour le public
Nombre d'incidents liés à l'intégrité qui ont entraîné une perte de financial, une perturbation
des activités ou une gêne pour le public
AG08InternationalPermettre et soutenir les processus commerciaux en intégrant les applications

et la technologie Temps d'exécution des services ou des processus d'entreprise
Nombre de programmes d'entreprise axés sur l'I&T retardés ou entraînant des coûts
supplémentaires en raison de problèmes d'intégration technologique
Nombre de modifications des processus commerciaux qui doivent être retardées ou

retravaillées en raison de problèmes d'intégration technologique
Nombre d'applications ou d'infrastructures critiques fonctionnant en silos et non intégrées
AG09InterneLivraison des programmes dans les délais, le budget et le respect des exigences et des
normes de qualité Nombre de programmes/projets dans les délais et dans les limites du
budget
Nombre de programmes devant être retravaillés par significant en raison de défauts de

qualité
Pourcentage de parties prenantes Percent ayant une qualité de programme/projet
AG10InterneQualité de l'information de gestion I&T Niveau de satisfaction des utilisateurs

quant à la qualité, l'opportunité et la disponibilité des informations de gestion liées à l'I&T, en tenant
compte des ressources disponibles
Ratio et étendue des décisions commerciales erronées dans lesquelles des informations
erronées ou non disponibles liées à l'I&T ont été un facteur clé
Pourcentage d'informations répondant aux critères de qualité
Figure 4.18 - Cascade de buts : Objectifs et mesures d'alignement (suite)
RéférenceIT BSC
AG11Conformité des politiques internes en matière d'I&T Nombre d'incidents

liés au non-respect des politiques relatives aux TI
Nombre d'exceptions aux politiques internes
Fréquence de la révision et de la mise à jour des politiques
AG12Apprentissage et croissanceUn personnel compétent et motivé ayant une

compréhension mutuelle de la technologie et des affaires Pourcentage d'hommes
d'affaires ayant une bonne connaissance des I&T (c'est-à-dire ceux qui ont les connaissances et la
compréhension des I&T nécessaires pour guider, diriger, innover et voir les opportunités des I&T
dans leur domaine d'expertise)
Pourcentage de personnes ayant une bonne connaissance des technologies de l'information

(c'est-à-dire celles qui ont les connaissances et la compréhension requises des domaines d'activité
pertinents pour guider, diriger, innover et voir les possibilités d'I&T pour le domaine d'activité)
Nombre ou pourcentage de chefs d'entreprise ayant une expérience de la gestion des

technologies
AG13Apprentissage et croissanceConnaissances , expertise et initiatives pour l'innovation

dans les entreprises Niveau de sensibilisation et de compréhension des dirigeants
d'entreprises quant aux possibilités d'innovation en matière d'I&T
Nombre d'initiatives approuvées résultant d'idées innovantes en matière d'I&T
Nombre de champions de l'innovation reconnus/récompensés
CHAPITRE 5 OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT
Chapitre 5
Objectifs de gouvernance et de gestion COBIT

5.1 Objet
Dans la section 4.2, figure 4.2, le modèle de base COBIT a été présenté, y compris les 40 objectifs de
gouvernance et de gestion. La figure 5.1 énumère tous les objectifs de gouvernance et de gestion,
chacun avec sa déclaration d'intention. La déclaration d'intention est une élaboration plus poussée -
un niveau de détail supplémentaire - de chaque objectif de gouvernance et de gestion.
Figure 5.1 - Modèle de base du CBIT : Objectifs et finalité de la gouvernance et de la gestion
ReferenceNamePurpose
EDM01Mise en place et maintenance d'un cadre de gouvernance garantiFournir une

approche cohérente, intégrée et alignée sur l'approche de la gouvernance d'entreprise. Les décisions
relatives à l'I&T doivent être prises en conformité avec les stratégies et les objectifs de l'entreprise et
la valeur souhaitée est réalisée. À cette fin, il convient de veiller à ce que les processus liés à l'I&T
soient supervisés de manière efficace et transparente, à ce que les exigences légales, contractuelles
et réglementaires soient respectées (confirmed) et à ce que les exigences en matière de gouvernance
pour les membres du conseil d'administration soient respectées.
EDM02Ensured benefits deliverySécuriser la valeur optimale des initiatives, des services et des
actifs basés sur l'I&T ; la fourniture rentable de solutions et de services ; et une image fiable et
précise des coûts et de la probabilité benefits afin que les besoins des entreprises soient soutenus
efficacement et efficiently.
EDM03Optimisation des risques assurésS'assurer que le risque d'entreprise lié à l'I&T

ne dépasse pas l'appétit pour le risque et la tolérance au risque de l'entreprise, l'impact du risque
d'I&T sur la valeur de l'entreprise est identified et géré, et le potentiel de défaillances de conformité
est minimisé.
EDM04Optimisation des ressources assuréeS'assurer que les besoins en ressources de

l'entreprise sont satisfaits de manière optimale, que les coûts d'I&T sont optimisés et qu'il y a une
probabilité accrue de réalisation de benefit et de préparation aux changements futurs.
EDM05Engagement assuré des parties prenantesS'assurer que les parties prenantes

soutiennent la stratégie et la feuille de route en matière d'I&T, que la communication avec les parties
prenantes est efficace et opportune, et que la base des rapports est établie pour accroître les
performances. Identifier les domaines à améliorer, et confirm que les objectifs et les stratégies liés à
l'I&T sont en accord avec la stratégie de l'entreprise.
APO01Cadre de gestion I&T géréMettre en œuvre une approche de gestion cohérente

pour les exigences de gouvernance d'entreprise à respecter, couvrant les composantes de la
gouvernance telles que les processus de gestion, les structures organisationnelles, les rôles et
responsabilités, les activités fiables et reproductibles, les éléments d'information, les politiques et
procédures, les aptitudes et compétences, la culture et le comportement, ainsi que les services,
l'infrastructure et les applications.
APO02Stratégie géréeSoutient la stratégie de transformation numérique de l'organisation

et apporte la valeur souhaitée grâce à une feuille de route de changements progressifs. Utiliser une
approche I&T holistique, en veillant à ce que chaque initiative soit clairement liée à une stratégie
globale. Permettre le changement dans tous les différents aspects de l'organisation, des canaux et
des processus aux données, à la culture, aux compétences, au modèle de fonctionnement et aux
incitations.
APO03L' architecture d'entreprise géréeReprésente les différents éléments constitutifs

de l'entreprise et ses interrelations, ainsi que les principes qui guident leur conception et leur
évolution dans le temps, afin de permettre une réalisation standardisée, réactive et efficient des
objectifs opérationnels et stratégiques.
APO04Managed innovationAffichez un avantage concurrentiel, des innovations

commerciales, une meilleure expérience client et une efficacité opérationnelle accrue et efficiency en
exploitant les développements I&T et les technologies émergentes.
Figure 5.1 - Modèle de base du CBIT : Objectifs et finalité de la gouvernance et de la gestion (suite)
APO05Portefeuille géréOptimiser les performances du portefeuille global de

programmes en fonction des performances de chaque programme, produit et service et de
l'évolution des priorités et de la demande de l'entreprise.
APO06Budget et coûts gérésFavoriser un partenariat entre les acteurs des TI et des

entreprises afin de permettre une utilisation efficace et efficient efficient des ressources liées à
l'I&T et d'assurer la transparence et la responsabilité du coût et de la valeur commerciale des
solutions et des services. Permettre à l'entreprise de prendre des décisions éclairées concernant
l'utilisation des solutions et des services d'I&T.
APO07Ressources humaines géréesOptimiser les capacités des ressources humaines pour

atteindre les objectifs de l'entreprise.
APO08Les relations géréesPermettent d'acquérir les connaissances, les compétences et les

comportements adéquats pour obtenir de meilleurs résultats, une confidence plus grande, une
confiance mutuelle et une utilisation efficace des ressources qui stimulent une relation productive
avec les acteurs économiques.
APO09Accords de services gérésAssurer que les produits, services et niveaux de

service I&T répondent aux besoins actuels et futurs des entreprises.
APO10Fournisseurs gérésOptimiser les capacités I&T disponibles pour soutenir la stratégie

et la feuille de route I&T, minimiser le risque associé aux fournisseurs non performants ou non
conformes, et garantir des prix compétitifs.
APO11Qualité géréeAssurer une fourniture cohérente de solutions et de services

technologiques pour répondre aux exigences de qualité de l'entreprise et satisfaire les besoins des
parties prenantes.
APO12Managed riskIntégrer la gestion du risque d'entreprise lié à l'I&T à la gestion
globale du risque d'entreprise (ERM) et équilibrer les coûts et benefits de la gestion du risque
d'entreprise lié à l'I&T.
APO13Sécurité gérée Maintenir l' impact et la fréquence des incidents de sécurité de

l'information dans les limites du niveau de risque de l'entreprise.
APO14Données géréesAssurer une utilisation efficace des actifs de données critiques

pour atteindre les buts et objectifs de l'entreprise.
BAI01Programmes gérésRéalisez la valeur commerciale souhaitée et réduisez le risque

de retards, de coûts et d'érosion de la valeur inattendus. Pour ce faire, améliorer la communication
et l'implication des entreprises et des utilisateurs finaux, assurer la valeur et la qualité des
prestations des programmes et le suivi des projets au sein des programmes, et maximiser la
contribution des programmes au portefeuille d'investissement.
BAI02Managed requirements definitionCreate solutions optimales qui répondent aux besoins des
entreprises tout en minimisant les risques.
BAI03Solutions gérées identification et buildAssurer la fourniture agile et évolutive de

produits et services numériques. Mettre en place des solutions opportunes et rentables (technologie,
processus commerciaux et workflows) capables de soutenir les objectifs stratégiques et
opérationnels de l'entreprise.
BAI04Managed availability and capacityMaintaintain service availability, efficient gestion des

ressources et optimisation des performances du système par la prédiction des besoins futurs en
matière de performances et de capacités.
BAI05Gestion du changement organisationnelPréparer et engager les parties prenantes au

changement de l'entreprise et réduire le risque d'échec.
BAI06Gestion des changements informatiquesPermettre la mise en œuvre rapide et

fiable des changements dans l'entreprise. Atténuer le risque d'impact négatif sur la stabilité ou
l'intégrité de l'environnement modifié.
BAI07Gestion de l' acceptation et de la transition des changements informatiquesMise en œuvre

de solutions sûres et conformes aux attentes et aux résultats convenus.
34
CHAPITRE 5 OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT
Figure 5.1 - Modèle de base du CBIT : Objectifs et finalité de la gouvernance et de la gestion (suite)
BAI08Connaissances géréesFournir les connaissances et les informations de gestion nécessaires
pour soutenir l'ensemble du personnel dans la gouvernance et la gestion de l'I&T des entreprises et
permettre une prise de décision éclairée.
BAI09Actifs gérésCompter tous les actifs I&T et optimiser la valeur fournie par leur
utilisation.
BAI10Managed configurationProvide sufficient informations sur les actifs du service pour permettre
une gestion efficace du service. Évaluer l'impact des changements et traiter les incidents de service.
BAI11Projets gérésRéalisez les résultats des projets defined et réduisez le risque de retards
imprévus, de coûts et d'érosion de la valeur en améliorant la communication et l'implication des
entreprises et des utilisateurs finaux. Assurer la valeur et la qualité des résultats des projets et
maximiser leur contribution aux programmes et au portefeuille d'investissement de defined.
DSS01Managed operationsDonner les résultats des produits et services opérationnels d'I&T comme
prévu.
DSS02Demandes de service et incidents gérésAméliorer la productivité et minimiser les

interruptions grâce à une résolution rapide des demandes et incidents des utilisateurs. Évaluez
l'impact des changements et traitez les incidents de service. Résoudre les demandes des utilisateurs
et rétablir le service en réponse aux incidents.
DSS03Problèmes gérésAugmenter la disponibilité, améliorer les niveaux de service,

réduire les coûts, améliorer le confort et la satisfaction des clients en réduisant le nombre de
problèmes opérationnels, et identifier les causes profondes dans le cadre de la résolution des
problèmes.
DSS04Managed continuityAdapter rapidement, poursuivre les opérations commerciales et

maintenir la disponibilité des ressources et des informations à un niveau acceptable pour l'entreprise
en cas de perturbation de significant (par exemple, menaces, opportunités, demandes).
DSS05Services de sécurité gérésMinimiser l'impact commercial des vulnérabilités et des

incidents liés à la sécurité des informations opérationnelles.
DSS06Contrôles des processus d'entreprise gérésMaintenir l' intégrité de l'information et la

sécurité des actifs d'information traités dans le cadre des processus d'entreprise dans l'entreprise ou
de son fonctionnement externalisé.
MEA01Surveillance des performances et de la conformitéGarantie de la transparence

des performances et de la conformité et incitation à la réalisation des objectifs.
MEA02Système de contrôle interne géréObtenir , pour les principales parties

prenantes, la transparence sur l'adéquation du système de contrôle interne et ainsi assurer la
confiance dans les opérations, confidence dans la réalisation des objectifs de l'entreprise et une
compréhension adéquate du risque résiduel.
MEA03Conformité aux exigences externes géréesS' assurer que l'entreprise est

conforme à toutes les exigences externes applicables.
MEA04Managed assurancePermettre à l' organisation de concevoir et de développer

efficient et des initiatives d'assurance efficaces, en fournissant des conseils sur la planification, la
portée, l'exécution et le suivi des examens d'assurance, en utilisant une feuille de route basée sur des
approches d'assurance bien acceptées.

36
CHAPITRE 6 GESTION DES PERFORMANCES A COBIT
Chapitre 6
Gestion de la performance dans COBIT
6.1Définition
La gestion des performances est un élément essentiel d'un système de gouvernance et de gestion. La
"gestion des performances" représente un terme général pour toutes les activités et méthodes. Elle
exprime la qualité du fonctionnement du système de gouvernance et de gestion et de toutes les
composantes d'une entreprise, ainsi que la manière dont elles peuvent être améliorées pour
atteindre le niveau requis. Elle comprend des concepts et des méthodes tels que les niveaux de
capacité et les niveaux de maturité. COBIT utilise le terme de gestion des performances COBIT (CPM)
pour décrire ces activités, et le concept fait partie intégrante du cadre COBIT.
6.2 Principes de gestion des performances du COBIT
Le COBIT® 2019 est basé sur les principes suivants :
1) Le MPC doit être simple à comprendre et à utiliser.
Le RPC doit être cohérent avec le modèle conceptuel COBIT et le soutenir. Il doit
permettre de gérer la performance de tous les types de composantes du système de gouvernance ; il
doit être possible de gérer la performance des processus ainsi que la performance d'autres types de
composantes (par exemple, les structures organisationnelles ou les informations), si les utilisateurs le
souhaitent.
La RPC doit fournir des résultats fiables, reproductibles et pertinents.
Le CPM doit être flexible, afin de pouvoir répondre aux exigences de différentes
organisations ayant des priorités et des besoins différents.
La RPC devrait soutenir différents types d'évaluation, des auto-évaluations aux évaluations
ou audits formels.
6.3 Aperçu de la gestion des performances du COBIT
Le modèle CPM (figure 6.1) s'aligne largement sur les concepts de CMMI® Development V2.020 et les
étend :
Les activités de processus sont associées aux niveaux de capacité. Ceci est inclus dans le
cadre COBIT® 2019 : Guide des objectifs de gouvernance et de gestion.
D'autres types de composantes de gouvernance et de gestion (par exemple, les structures

organisationnelles, l'information) peuvent également avoir des niveaux de capacité définis pour eux
dans des orientations futures.
Les niveaux de maturité sont associés à des domaines d'intervention (c'est-à-dire un
ensemble d'objectifs de gouvernance et de gestion et de composantes sous-jacentes) et seront
atteints si tous les niveaux de capacité requis sont atteints.
20 CMMI® Development V2.0, CMMI Institute, USA, 2018, https://cmmiinstitute.com/model-

viewer/dashboard
Figure 6.1 - Niveaux de capacité
COBIT 5 PAM (ISO/IEC 15504➔ ISO/IEC 33000)
CMMI 2.0
Mise à jour COBIT
MaturitéMaturité
ProcessusCapacitéCapacitéCapacité
Autres types de composantes de la gouvernance et de la gestion
Capacité
Si les entreprises souhaitent continuer à utiliser le modèle de capacité de processus COBIT 5 basé sur
le modèle 15504 de l'Organisation internationale de normalisation (ISO)/Commission
électrotechnique internationale (CEI) (maintenant ISO/CEI 33000, dans lequel les niveaux de capacité
ont des significations très différentes), elles ont toutes les informations nécessaires pour le faire dans
le cadre COBIT® 2019 : Objectifs de gouvernance et de gestion. Aucune publication séparée du
modèle d'évaluation des processus (PAM) n'est nécessaire, et ils ne seront pas fournis avec le COBIT®
2019.
Dans COBIT® 2019, les résultats ou les objectifs explicites du processus sont remplacés par les
pratiques du processus elles-mêmes. Il en résulte la situation suivante pour une évaluation
ISO/IEC33000 :
Les résultats du processus sont maintenant liés aux pratiques du processus sur une base
individuelle (c'est-à-dire que les résultats du processus sont l'achèvement réussi des pratiques du
processus). Note : les pratiques du processus sont formulées comme des pratiques et les
résultats peuvent en être dérivés. Exemple : APO01.01 Concevoir le système de gestion pour l'I&T de
l'entreprise a comme résultat de processus APO01.01 : un système de gestion pour l'I&T de
l'entreprise est conçu.
Les pratiques de base sont égales aux pratiques du processus COBIT® 2019 pour chaque
objectif de gouvernance et de gestion.
Les produits du travail sont égaux aux flux d'information et aux éléments du volet C de
chaque objectif de gouvernance/gestion.
Ainsi, la cartographie des résultats pour les pratiques de base et les produits du travail est faite par
définition dans COBIT® 2019.
6.4 Gérer la performance des processus
6.4.1 Niveaux de capacité des processus
COBIT® 2019 prend en charge un schéma de capacité de processus basé sur le CMMI. Le processus
au sein de chaque objectif de gouvernance et de gestion peut fonctionner à différents niveaux de
capacité, allant de 0 à 5. Le niveau de capacité est une mesure de la qualité de la mise en œuvre et
de la performance d'un processus. La figure 6.2 illustre le modèle, les niveaux de capacité croissants
et les caractéristiques générales de chacun.
38
Le modèle de base COBIT attribue des niveaux de capacité à toutes les activités de processus, ce qui
permet de définir clairement les processus et les activités nécessaires pour atteindre les différents
niveaux de capacité. Voir le cadre COBIT® 2019 : Objectifs de gouvernance et de gestion pour plus de
détails.
6.4.2 Évaluation des activités du processus
Un niveau de capacité peut être atteint à des degrés divers, qui peuvent être exprimés par un
ensemble de notations. L'éventail des notations disponibles dépend du contexte dans lequel
l'évaluation des performances est effectuée :
Certaines méthodes formelles conduisant à une certification indépendante utilisent un

ensemble de notations binaires de réussite/échec.
Les méthodes moins formelles (souvent utilisées dans le cadre de l'amélioration des
performances) fonctionnent mieux avec un plus large éventail de notations, comme l'ensemble
suivant :
Entièrement - Le niveau de capacité est atteint à plus de 85 %. (Cela reste une question de
jugement, mais elle peut être justifiée par l'examen ou l'évaluation des composantes du facilitateur,
telles que les activités de processus, les objectifs de processus ou les bonnes pratiques de la structure
organisationnelle).
Largement - Le niveau de capacité est atteint entre 50 et 85 %.
Partiellement - Le niveau de capacité est atteint entre 15 et 50 %.
Non - Le niveau de capacité est atteint à moins de 15 %.
6.4.3 Niveaux de matUrité de la zone FocUS
Parfois, un niveau plus élevé est nécessaire pour exprimer la performance sans la granularité
applicable aux évaluations de la capacité des processus individuels. Les niveaux de maturité peuvent
être utilisés à cette fin. Le COBIT® 2019 définit les niveaux de maturité comme une mesure de la
performance au niveau du domaine d'intérêt, comme le montre la figure 6.3.

Les niveaux de maturité sont associés à des domaines d'intervention (c'est-à-dire un ensemble
d'objectifs de gouvernance et de gestion et de composantes sous-jacentes) et un certain niveau de
maturité est atteint si tous les processus contenus dans le domaine d'intervention atteignent ce
niveau de capacité particulier.
6.5 Gérer les performances des autres composantes du système de gouvernance
6.5.1 Gestion de la performance des structures organisationnelles
Bien qu'il n'existe pas de méthode généralement acceptée ou formelle pour évaluer les structures
organisationnelles, elles peuvent être évaluées de manière moins formelle selon les critères suivants.
Pour chaque critère, un certain nombre de sous-critères peuvent être définis, liés aux différents
niveaux de capacité. Ces critères sont les suivants :
Exécution réussie des pratiques de processus dont la structure organisationnelle (ou le rôle)
est responsable (un A ou un R, respectivement, dans un tableau RACI [Responsible-accountable-
consulted-informed])
Application réussie d'un certain nombre de bonnes pratiques pour les structures
organisationnelles, telles que :
Principes de fonctionnement
-La structure organisationnelle est formellement établie.
-La structure organisationnelle a un mandat clair, documenté et bien compris.
-Les principes de fonctionnement sont documentés.
-Les réunions régulières ont lieu comme défini dans les principes de fonctionnement.
-Les rapports et procès-verbaux des réunions sont disponibles et significatifs.
Composition
-La structure organisationnelle est formellement établie.
40

Étendue du contrôle
-La structure organisationnelle a un mandat clair, documenté et bien compris.
-Les principes de fonctionnement sont documentés.
-Les réunions régulières ont lieu comme défini dans les principes de fonctionnement.
-Les comptes rendus de réunion sont disponibles et sont significatifs.
Niveau d'autorité et droits de décision
-Les droits de décision de la structure organisationnelle sont définis et documentés.
-Les droits de décision de la structure organisationnelle sont respectés et appliqués

(également une question de culture/comportement).
Délégation de pouvoirs
-La délégation de pouvoir est mise en œuvre de manière significative.
Procédures d'escalade
-Les procédures de montée en charge sont définies et appliquées.
Application réussie d'un certain nombre de pratiques de gestion de la structure

organisationnelle (pratiques non fonctionnelles découlant du point de vue de la structure
organisationnelle) :
Les objectifs de performance des structures organisationnelles sont identifiés.
La performance de la structure organisationnelle est planifiée et contrôlée.
La performance de la structure organisationnelle est ajustée pour répondre aux plans.
Les ressources et les informations nécessaires à la structure organisationnelle sont

identifiées, mises à disposition, allouées et utilisées.
Les interfaces entre la structure organisationnelle et les autres parties prenantes sont gérées
de manière à assurer à la fois une communication efficace et une attribution claire des
responsabilités.
Des évaluations régulières entraînent l'amélioration continue nécessaire de la structure

organisationnelle - dans sa composition, son mandat ou tout autre paramètre.
En ce qui concerne les processus, les faibles niveaux de capacité exigent qu'un sous-ensemble de ces
critères soit satisfait, et les niveaux de capacité plus élevés exigent que tous les critères soient
satisfaits. Mais, comme nous l'avons déjà indiqué, il n'existe aucun schéma généralement accepté
pour évaluer les structures organisationnelles. Cela n'empêche toutefois pas une entreprise de
définir son propre schéma de capacités pour les structures organisationnelles.
6.5.2 Gestion de la performance des éléments d'information

La composante information pour un système de gouvernance de l'I&T est plus ou moins équivalente
aux produits de travail de processus tels que décrits dans le cadre COBIT® 2019 : Objectifs de
gouvernance et de gestion.
Bien qu'il n'existe pas de méthode généralement acceptée ou formelle pour évaluer les éléments
d'information, ils peuvent être évalués de manière moins formelle selon le modèle de référence des
informations présenté pour la première fois dans COBIT® 5 : Enabling Information.21
Ce modèle définit trois critères de qualité principaux pour l'information et 15 sous-critères, comme
l'illustre la figure 6.4.
21 Voir ISACA, COBIT® 5 : Enabling Information, section 3.1.2 Goals, USA, 2013 ,
http://www.isaca.org/COBIT/Pages/COBIT-5-Enabling-Information- product-page.aspx
Figure 6.4 - Modèle de référence de l'information : Critères de qualité pour l'information
La mesure dans laquelle les informations sont correctes et fiables
La mesure dans laquelle l'information est impartiale, sans préjugés et
La mesure dans laquelle les informations sont considérées comme vraies et crédibles
La mesure dans laquelle l'information est hautement considérée en termes de source ou de contenu
La mesure dans laquelle les informations sont applicables et utiles pour la tâche à accomplir
La mesure dans laquelle l'information n'est pas
manque et est d'une profondeur et d'une ampleur suffisantes pour la tâche à accomplir
La mesure dans laquelle les informations sont suffisamment à jour pour la tâche à accomplir
La mesure dans laquelle le volume d'informations est adapté à la tâche à accomplir
La mesure dans laquelle l'information est représentée de manière compacte
La mesure dans laquelle les informations sont présentées dans le même format
La mesure dans laquelle les informations sont présentées dans les langues, symboles et unités
appropriés, et les définitions sont claires
La mesure dans laquelle l'information est facile à manipuler et à appliquer à différentes tâches
La mesure dans laquelle les informations sont disponibles au moment voulu, ou facilement et
rapidement accessibles
La mesure dans laquelle l'accès à l'information est limité de manière appropriée aux parties
autorisées
Un élément d'information peut être évalué en examinant la mesure dans laquelle les critères de
qualité pertinents, tels que définis dans
figure 6.4, sont atteints.
42

6.5.3 Gestion de la performance de l'enseignement et du comportement
Pour la composante "gouvernance de la culture et des comportements", il devrait être possible de

définir un ensemble de comportements souhaitables (et/ou indésirables) pour la bonne gouvernance
et la gestion des TI, et d'attribuer à chacun d'eux différents niveaux de capacité.
Cadre COBIT® 2019 : Objectifs de gouvernance et de gestion définit les aspects de la composante
culture et comportement pour la plupart des objectifs. À partir de là, il est possible d'évaluer dans
quelle mesure ces conditions ou comportements sont respectés.
Le contenu des domaines d'intérêt, qui contiendra un ensemble plus détaillé de comportements
souhaités, sera développé à l'avenir. Il est conseillé à l'utilisateur de consulter isaca.org/cobit pour
connaître le statut le plus récent et les conseils disponibles sur les domaines d'intérêt.

44
CHAPITRE 7 : CONCEVOIR UN SYSTÈME DE GOUVERNANCE ADAPTÉ
Chapitre 7
Concevoir un système de gouvernance sur mesure
7.1 Incidence des facteurs de conception
Cette section donne un aperçu de haut niveau de l'impact potentiel des facteurs de conception sur
un système de gouvernance pour l'I&T des entreprises. Elle décrit également, à un niveau élevé, un
processus de conception d'un système de gouvernance sur mesure pour l'entreprise. Vous trouverez
plus d'informations sur ces sujets dans le Guide de conception COBIT® 2019.
Les facteurs de conception influencent de différentes manières l'adaptation du système de

gouvernance d'une entreprise. Cette publication distingue trois types d'impact différents, illustrés
dans la figure 7.1.
Priorité/sélection des objectifs de gestion - Le modèle COBIT de base contient 40 objectifs de

gouvernance et de gestion, chacun comprenant le processus et un certain nombre de composantes
connexes. Ils sont intrinsèquement équivalents ; il n'y a pas d'ordre naturel de priorité entre
eux. Cependant, des facteurs de conception peuvent influencer cette équivalence et rendre certains
objectifs de gouvernance et de gestion plus importants que d'autres, parfois au point que certains
objectifs de gouvernance et de gestion peuvent devenir négligeables. Dans la pratique, cette
importance accrue se traduit par la fixation de niveaux de capacité cibles plus élevés pour les
objectifs importants de gouvernance et de gestion.

2. variation des composantes - Les composantes sont nécessaires pour atteindre les objectifs de
gouvernance et de gestion. Certains facteurs de conception peuvent influencer l'importance d'une ou
plusieurs composantes ou peuvent exiger des variations spécifiques.
3. nécessité de domaines d'intérêt spécifiques - Certains facteurs de conception, tels que le

paysage des menaces, les risques spécifiques, les méthodes de développement des objectifs et la
mise en place des infrastructures, entraîneront la nécessité de varier le contenu du modèle COBIT de
base en fonction d'un contexte spécifique.
22 Au moment de la publication du cadre COBIT® 2019 : Introduction et Méthodologie, le contenu du

domaine d'intérêt des petites et moyennes entreprises était en cours d'élaboration et n'avait pas
encore été publié.
23 Au moment de la publication du cadre COBIT® 2019 : Introduction et méthodologie, le contenu du

domaine d'intérêt DevOps était en cours d'élaboration et n'avait pas encore été publié.
24 Au moment de la publication du cadre COBIT® 2019 : Introduction et Méthodologie, le contenu du

domaine d'intérêt des petites et moyennes entreprises était en cours d'élaboration et n'était pas
encore publié.
46
CHAPITRE 7 : CONCEVOIR UN SYSTÈME DE GOUVERNANCE ADAPTÉ
7.2 Étapes et étapes du processus de conception
La figure 7.2 illustre le flux proposé pour concevoir un système de gouvernance adapté.
1. comprendre le contexte de l'entreprise et
stratégie.
2. déterminer le champ d'application initial de la gouvernance
système.
3. affiner le champ d'application de la gouvernance
système.
4. conclure la gouvernance
la conception du système.
-1.1 Comprendre la stratégie de l'entreprise.
-1.2 Comprendre les objectifs de l'entreprise.
-1.3 Comprendre le risque
-2.1 Considérer la stratégie d'entreprise.
-2.2 Tenir compte des objectifs de l'entreprise et appliquer la cascade d'objectifs COBIT.
-3 .1 Considérer le paysage des menaces.

-3 .2 Envisager les exigences de conformité.
-3 .3 Considérer le rôle des technologies de l'information.
-4 .1 Résoudre les conflits de priorité inhérents.
-4 .2 Conclure la conception du système de gouvernance.
profil. - 2.3 Tenir compte du profil de risque - 3.4 Tenir compte de la source d'approvisionnement
-1.4 Comprendre les questions actuelles liées à l'I&T.
de l'entreprise.
-2.4 Examiner les questions actuelles liées à l'I&T.
modèle.
-3 .5 Envisager l'informatique
les méthodes de mise en œuvre.
-3 .6 Envisager la stratégie d'adoption des TI.
-3 .7 Tenir compte de la taille de l'entreprise.
Les différentes étapes et phases du processus de conception, comme l'illustre la figure 7.2,
donneront lieu à des recommandations pour hiérarchiser les objectifs de gouvernance et de gestion
ou les composantes du système de gouvernance qui s'y rapportent, pour les niveaux de capacité
cibles ou pour l'adoption de variantes spécifiques d'une composante du système de gouvernance.
Certaines de ces étapes ou sous-étapes peuvent donner lieu à des orientations contradictoires, ce qui
est inévitable lorsque l'on considère un plus grand nombre de facteurs de conception, la nature
générique globale des orientations relatives aux facteurs de conception et les tableaux de
correspondance utilisés.
Il est recommandé de consigner sur un canevas de conception toutes les indications obtenues au
cours des différentes étapes et, à la dernière étape du processus de conception, de résoudre (dans la
mesure du possible) les conflits entre les éléments du canevas de conception et de conclure.
Il n'y a pas de formule magique. La conception finale sera décidée au cas par cas, sur la base de tous
les éléments du canevas de conception. En suivant ces étapes, les entreprises mettront en place un
système de gouvernance adapté à leurs besoins.

48
CHAPITRE 8 MISE EN ŒUVRE DE LA GOUVERNANCE D'ENTREPRISE
Chapitre 8
Mise en œuvre de la gouvernance d'entreprise dans le domaine des technologies de l'information
8.1 GUIDE DE MISE EN ŒUVRE DU COBIT
Le guide de mise en œuvre COBIT® 2019 met l'accent sur une vision globale de la gouvernance des
I&T. Ce guide reconnaît que l'I&T est omniprésente dans les entreprises et qu'il n'est ni possible, ni
une bonne pratique de séparer les activités liées à l'entreprise et à l'informatique. La gouvernance et
la gestion de l'I&T d'entreprise devraient donc être mises en œuvre comme partie intégrante de la
gouvernance d'entreprise, couvrant l'ensemble des domaines fonctionnels de bout en bout de
l'entreprise et des TI.
L'une des raisons courantes de l'échec de la mise en œuvre de certains systèmes de gouvernance est
qu'ils ne sont pas initiés puis gérés correctement en tant que programmes pour garantir que les
bénéfices soient réalisés. Les programmes de gouvernance doivent être parrainés par la direction
générale, avoir une portée appropriée et définir des objectifs réalisables. Cela permet à l'entreprise
d'absorber le rythme du changement comme prévu. La gestion des programmes est donc abordée
comme une partie intégrante du cycle de vie de la mise en œuvre.
Il est également supposé que si une approche par programme et projet est recommandée pour
conduire efficacement les initiatives d'amélioration, l'objectif est également d'établir une pratique
commerciale normale et une approche durable pour gouverner et gérer les I&T des entreprises,
comme tout autre aspect de la gouvernance d'entreprise. Pour cette raison, l'approche de mise en
œuvre est basée sur l'autonomisation des parties prenantes et des acteurs de l'entreprise et des TI
pour qu'ils s'approprient les décisions et les activités de gouvernance et de gestion liées aux TI en
facilitant et en permettant le changement. Le programme de mise en œuvre est clôturé lorsque le
processus de concentration sur les priorités liées aux TI et l'amélioration de la gouvernance génère
un avantage mesurable et que le programme s'est intégré dans l'activité commerciale en cours.
Vous trouverez également plus d'informations sur ces sujets dans le Guide de mise en œuvre COBIT®
2019.
8.2 Approche de la mise en œuvre du programme COBIT
L'approche de mise en œuvre de COBIT comporte sept phases :
Quels sont les conducteurs ?
Où en sommes-nous ?
Où voulons-nous être ?
Que faut-il faire ?

Comment s'y rendre ?
Sommes-nous arrivés là ?
Comment maintenir l'élan ?
La figure 8.1 résume l'approche de la mise en œuvre de COBIT.

8.2.1Phase 1 - Quels sont les conducteurs ?
La phase 1 de l'approche de mise en œuvre identifie les moteurs de changement actuels et crée, au
niveau de la direction générale, un désir de changement qui est ensuite exprimé dans une ébauche
d'analyse de rentabilité. Un moteur de changement est un événement interne ou externe, une
condition ou une question clé qui sert de stimulus au changement. Les événements, les tendances
(industrielles, commerciales ou techniques), les insuffisances de performance, les mises en œuvre de
logiciels et même les objectifs de l'entreprise peuvent tous agir comme des moteurs de changement.
Le risque associé à la mise en œuvre du programme lui-même est décrit dans l'analyse de
rentabilisation et géré tout au long du cycle de vie. La préparation, le maintien et le suivi d'une
analyse de rentabilisation sont des disciplines fondamentales et importantes pour justifier, soutenir
et ensuite assurer le succès de toute initiative, y compris l'amélioration du système de gouvernance.
Elles garantissent une focalisation continue sur les avantages du programme et leur réalisation.
8.2.2Phase 2 - Où en sommes-nous maintenant ?
La phase 2 aligne les objectifs liés à l'I&T sur les stratégies et les risques de l'entreprise, et donne la
priorité aux objectifs les plus importants de l'entreprise, aux objectifs d'alignement et aux processus.
Le guide de conception COBIT® 2019 fournit plusieurs facteurs de conception pour aider à la
sélection.
Sur la base des objectifs de l'entreprise et des objectifs informatiques sélectionnés et d'autres
facteurs de conception, l'entreprise doit identifier les objectifs de gouvernance et de gestion
essentiels et les processus sous-jacents qui sont suffisamment performants pour garantir des
résultats satisfaisants. La direction doit connaître ses capacités actuelles et les lacunes éventuelles.
Cela peut être réalisé par une évaluation de la capacité des processus sélectionnés.
50
CHAPITRE 8 MISE EN ŒUVRE DE LA GOUVERNANCE D'ENTREPRISE
8.2.3 Phase 3 - Où voulons-nous être ?

La phase 3 fixe un objectif d'amélioration, suivi d'une analyse des lacunes pour identifier les solutions
potentielles.
Certaines solutions seront des gains rapides et d'autres des tâches plus difficiles et à long terme. La
priorité doit être donnée aux projets plus faciles à réaliser et susceptibles de donner le plus grand
bénéfice. Les tâches à plus long terme doivent être décomposées en éléments gérables.
8.2.4Phase 4 - Que faut-il faire ?
La phase 4 décrit comment planifier des solutions réalisables et pratiques en définissant des projets
soutenus par des analyses de rentabilité justifiables et un plan de changement pour la mise en
œuvre. Une analyse de rentabilité bien élaborée peut contribuer à garantir que les avantages du
projet sont identifiés et contrôlés en permanence.
8.2.5Phase 5-Comment y parvenir ?
La phase 5 prévoit de mettre en œuvre les solutions proposées par le biais de pratiques quotidiennes
et d'établir des mesures et des systèmes de suivi pour garantir l'alignement des entreprises et la
mesure des performances.
Le succès nécessite l'engagement, la sensibilisation et la communication, la compréhension et

l'engagement de la direction générale, et l'appropriation par les responsables des processus
commerciaux et informatiques concernés.
8.2.6Phase 6 - Y sommes-nous parvenus ?
La phase 6 se concentre sur la transition durable de l'amélioration des pratiques de gouvernance et

de gestion vers des opérations commerciales normales. Elle se concentre également sur le suivi de la
réalisation des améliorations en utilisant les mesures de performance et les bénéfices attendus.
8.2.7Phase 7-Comment maintenir le rythme ?
La phase 7 examine le succès global de l'initiative, identifie d'autres exigences en matière de

gouvernance ou de gestion et renforce la nécessité d'une amélioration continue. Elle donne
également la priorité à d'autres possibilités d'améliorer le système de gouvernance.
La gestion des programmes et des projets est basée sur les bonnes pratiques et prévoit des points de
contrôle à chacune des sept phases pour s'assurer que les performances du programme sont sur la
bonne voie, que l'analyse de rentabilité et le risque sont mis à jour et que la planification de la phase
suivante est ajustée en conséquence. Il est supposé que l'approche standard de l'entreprise serait
suivie.
Des orientations supplémentaires sur la gestion des programmes et des projets sont également
disponibles dans les objectifs de gestion COBIT BAI01 Programmes gérés et BAI11 Projets gérés. Bien
que les rapports ne soient mentionnés explicitement dans aucune des phases, ils constituent un fil
conducteur continu à travers toutes les phases et itérations.
8.3Relation entre le Guide de conception COBIT® 2019 et le Guide de mise en œuvre COBIT®
2019
Le flux de travail expliqué dans le Guide de conception COBIT® 2019 a les points de connexion
suivants avec le Guide de mise en œuvre COBIT® 2019. Le Guide de conception COBIT® 2019 élabore
un ensemble de tâches définies dans le Guide de mise en œuvre COBIT® 2019. La figure 8.2 donne un
aperçu de haut niveau de ces points de connexion. Des informations plus détaillées peuvent être
trouvées dans le Guide de conception COBIT® 2019.
Figure 8.2 - Points de connexion entre le guide de conception COBIT et le guide d'application COBIT
Guide de mise en œuvre COBIT Guide de conception COBIT
Phase 1 - Quels sont les moteurs ? (Tâches d'amélioration continue [IC]) €Etape 1-
Comprendre le contexte et la stratégie de l'entreprise.
Phase 2 - Où en sommes-nous ? (Tâches de l'IC)€Phase 2-Déterminer la portée initiale du système

de gouvernance.
Étape 3-Refine le champ d'application du système de gouvernance.
Étape 4 - Conclure la conception du système de gouvernance.
Phase 3 - Où voulons-nous être ? (tâches de CI) €étape 4-Conclure la conception du système de

gouvernance.
52
CHAPITRE 9 : COMMENCER AVEC COBIT : FAIRE VALOIR SES ARGUMENTS
Chapitre 9
Démarrer avec COBIT : présentation des arguments
9.1 Affaire BUSiness
La pratique commerciale courante impose de préparer un dossier commercial pour analyser et

justifier le lancement d'un grand projet et/ou d'un investissement financier. Cet exemple est fourni à
titre de guide non normatif et générique pour encourager la préparation d'un dossier commercial
afin de justifier l'investissement dans un programme de mise en œuvre d'EGIT. Chaque entreprise a
ses propres raisons d'améliorer EGIT et sa propre approche de la préparation des analyses de
rentabilité. Cela peut aller d'une approche détaillée mettant l'accent sur les avantages quantifiés à
une perspective plus qualitative et de haut niveau. Les entreprises doivent suivre les approches
internes existantes en matière d'analyse de rentabilité et de justification des investissements, si elles
existent. Cet exemple et les conseils de cette publication sont fournis pour aider à se concentrer sur
les questions qui devraient être abordées dans une analyse de rentabilité.
L'exemple de scénario est celui d'Acme Corporation, une grande entreprise multinationale composée
d'un mélange d'unités commerciales traditionnelles bien établies ainsi que de nouvelles entreprises
basées sur Internet qui adoptent les toutes dernières technologies. Nombre de ces unités
commerciales ont été acquises et existent dans divers pays dont l'environnement politique, culturel
et économique local est différent. L'équipe de direction du groupe central a été influencée par les
dernières orientations en matière de gouvernance d'entreprise, notamment COBIT, qu'elle utilise au
niveau central depuis un certain temps.
Ils veulent s'assurer que l'expansion et l'adoption rapides des technologies de l'information avancées
apporteront la valeur attendue ; ils ont également l'intention de gérer de nouveaux risques
importants. Ils ont donc imposé l'adoption d'une approche EGIT uniforme à l'échelle de l'entreprise.
Cette approche comprend l'implication des fonctions d'audit et de risque ainsi qu'un rapport annuel
interne de la direction des unités opérationnelles sur l'adéquation des contrôles dans toutes les
entités.
Bien que l'exemple soit tiré de situations réelles, il ne reflète pas une entreprise spécifique existante.
9.2 RÉSUMÉ EXÉCUTIF
Cette analyse de rentabilité décrit la portée du programme EGIT proposé pour Acme Corporation sur
la base du COBIT.
Une analyse de rentabilité appropriée est nécessaire pour s'assurer que le conseil d'administration
de l'Acme Corporation et les unités commerciales adhèrent à l'initiative et identifient les avantages
potentiels. Acme Corporation assurera le suivi de l'analyse de rentabilité afin de garantir que les
avantages escomptés se concrétisent.
Le champ d'application, en termes d'entités commerciales qui composent Acme Corporation, est
global. Il est reconnu qu'une certaine forme de hiérarchisation sera appliquée à toutes les entités
pour la couverture initiale par le programme EGIT en raison des ressources limitées du programme.
Diverses parties prenantes sont intéressées par les résultats du programme EGIT, du conseil
d'administration de l'Acme Corporation à la direction locale de chaque entité, ainsi que des parties
prenantes externes telles que les actionnaires et les agences gouvernementales.
Il faut tenir compte de certains défis importants, ainsi que des risques, dans la mise en œuvre du
programme EGIT à l'échelle mondiale requise. L'un des aspects les plus difficiles est la nature
entrepreneuriale de nombreuses entreprises Internet, ainsi que le modèle commercial décentralisé,
ou fédéré, qui existe au sein d'Acme Corporation.
Le programme EGIT sera réalisé en se concentrant sur la capacité des processus de l'Acme et d'autres
composantes du système de gouvernance par rapport à ceux qui sont définis dans COBIT, pertinents
pour chaque unité commerciale. Les objectifs de gouvernance et de gestion pertinents et
hiérarchisés qui feront l'objet d'une attention particulière dans chaque entité seront identifiés par le
biais d'un
facilitated workshop approach by the members of the EGIT program. The objectives will start with
the strategy and enterprise goals of each unit, as well as the IT-related business risk scenarios that
apply to the specific business unit.
The objective of the EGIT program is to ensure that an adequate governance system, including
governance structures, is in place and to increase the level of capability and adequacy of the relevant
IT processes. The expectation is that as the capability of an IT process increases, so too will its
efficiencies and quality. Simultaneously, the associated risk will proportionally decrease. In this way,
real business benefits can be realized by each business unit.
Once the process of assessing the capability level within each business unit has been established, it is
anticipated that self-assessments will continue within each business unit as normal business practice.
The EGIT program will be delivered in two distinct phases. The first phase is a development phase, in
which the team will develop and test the approach and tool set that will be used across the Acme
Corporation. At the end of phase 1, the results will be presented to group management for final
approval. Once the final approval has been obtained, in the form of an approved business case, the
EGIT program will be rolled out across the entity in the agreed manner (implementation, phase 2).
It must be noted that it is not the responsibility of the EGIT program to implement the remedial
actions identified at each business unit. The EGIT program will merely consolidate and report
progress as supplied by each unit.
The final challenge that will need to be met by the EGIT program is that of reporting the results in a
sustainable manner going forward. This aspect will take time and a significant amount of discussion
and development. This discussion and development should result in an enhancement to the existing
corporate reporting mechanisms and scorecards.
An initial budget for the development phase of the EGIT program has been prepared. The budget is
detailed in a separate schedule. A detailed budget will also be completed for phase 2 of the project
and submitted for approval by group management.
9.3 BackgroUnd
EGIT is an integral part of overall enterprise governance and is focused on IT performance and the
management of risk attributable to the enterprise’s dependencies on IT.
IT is integrated into the operations of Acme Corporation businesses. For many, the Internet is at the
core of their operations. EGIT, therefore, follows the management structure of the group: a
decentralized format. Management of each subsidiary/business unit is responsible for ensuring that
proper processes are implemented relevant to EGIT.
Annually, the management of each significant subsidiary company is required to submit a formal
written report to the appropriate risk committee, which is a subset of the board of directors. This
report will detail the extent to which it has implemented the EGIT policy during the financial year.
Significant exceptions are to be reported at each scheduled meeting of the appropriate risk
committee.
The board of directors, assisted by the risk and audit committees, will ensure that the group’s EGIT
performance is assessed, monitored, reported and disclosed in an EGIT statement as part of the
enterprise’s integrated annual report. The statement will be based on reports obtained from the risk,
compliance and internal audit teams and the management of each significant subsidiary company. It
will provide both internal and external stakeholders with relevant and reliable information about the
quality of the group’s EGIT performance.
Internal audit services will provide assurance to management and to the audit committee on the
adequacy and effectiveness of EGIT.
54
IT-related business risk will be reported on and discussed as part of the risk management process in
the risk registers presented to the relevant risk committee.
9.4 BUSiness Challenges
Due to the pervasive nature of IT and the pace of technology change, a reliable framework is
required to adequately control the full IT environment and avoid control gaps that may expose the
enterprise to unacceptable risk.
The intention is not to impede the IT operations of the various operating entities. Instead, it is to
improve the risk profile of the entities in a manner that makes business sense and provides increased
quality of service and efficiencies, while explicitly achieving compliance not only with the Acme
Corporation’s group EGIT charter, but also with any other legislative, regulatory and/or contractual
requirements.
Some examples of likely pain points include:25
 Complicated IT assurance efforts due to the entrepreneurial nature of many of the business
units
 Complex IT operating models due to the Internet service-based business models in use
 Geographically dispersed entities made up of diverse cultures and languages
 The decentralized/federated and largely autonomous business control model employed

within the group
 Implementation of reasonable levels of IT management, given a highly technical and, at

times, volatile IT workforce
 IT’s balancing of the enterprise’s drive for innovation capabilities and business agility with the
need to manage risk and have adequate control
 The setting of risk and tolerance levels for each business unit
 An increasing need to focus on meeting regulatory (privacy) and contractual (Payment Card
Industry [PCI]) compliance requirements
 Regular audit findings about poor IT controls and reported problems related to IT quality of
service
 Successful and on-time delivery of new and innovative services in a highly competitive
market
9.4.1 Gap Analysis and Goal
There is currently no groupwide approach or framework for EGIT or use of IT good practices and
standards. Among local business units, there are variable levels of adoption of good practice with
regard to EGIT. As a result, very little attention has traditionally been paid to the level of IT process
capability. Based on experience, the levels are generally low.
The objective of the EGIT program is, therefore, to increase the level of capability and adequacy of IT-
related processes and controls appropriate to each business unit, in a prioritized manner.
The outcome should be that significant risk has been identified and articulated, and management can
address the risk and report on its status. As the capability level of each business unit increases,
quality and efficiency should increase proportionally as well and the IT-related business risk profile of
each entity should decrease.
Ultimately, business value should increase as a result of effective EGIT.26

25 This enumeration is a subset of the one in section 4.5 (Design Factors) and is also discussed in the
COBIT® 2019 Implementation Guide.
26 Empirical research exists to support the statement. For example, see op cit De Haes, Joshi and van
Grembergen.
9.4.2 Alternatives Considered
Many IT frameworks exist, each intended to control specific aspects of IT. The COBIT framework is
regarded by many as the world’s leading EGIT and control framework. It has already been
implemented by some subsidiaries of Acme Corporation.
COBIT was chosen by Acme as the preferred framework for EGIT implementation and should,
therefore, be adopted by all subsidiaries.
COBIT does not have to be implemented in its entirety; only those areas relevant to the specific
subsidiary or business unit need to be implemented, taking into account the following:
1. The development stage of each entity in the business life cycle
2. The business objectives of each entity
3. The importance of IT for the business unit
4. The IT-related business risk faced by each entity
5. Legal and contractual requirements
6. Any other pertinent reasons
If a specific subsidiary or business unit has already implemented another framework, or an

implementation is planned in the future, the implementation should be mapped to COBIT for reasons
of reporting, audit and clarity of internal control.
9.5 Proposed SolUtion
The EGIT program is being planned in two distinct phases.
9.5.1 Phase 1. Pre-planning

Phase 1 of the EGIT program is the development stage. During this stage of the program, the
following steps are undertaken:
1. The core team structure is finalized among the stakeholders and participants on the project.
2. The core team completes COBIT foundation training.
3. Workshops with the core team are conducted to define an approach for the group.
4. An online community is created within Acme Corporation to act as a repository for

knowledge sharing.
5. All stakeholders and their needs are identified.
6. Current committee structures, roles and responsibilities, decision rules, and reporting
arrangements are clarified and realigned, if required.
7. A business case for the EGIT program is developed and maintained, as a foundation for the
successful implementation of the program.
8. A communication plan is created for guiding principles, policies and expected benefits
throughout the program.
9. The assessment and reporting tools for use during the life of the program and beyond are
developed.
10. The approach is tested at one local entity. This activity is for ease of logistics and to facilitate
the refinement of the approach and tools.
11. The refined approach is piloted at one of the foreign entities. This is to understand and
quantify the difficulties of running the EGIT program assessment phase under more challenging
business conditions.
56
12. The final business case and approach are presented, including a roll-out plan to Acme
Corporation executive management for approval.
9.5.2 Phase 2. Program Implementation
The EGIT program is designed to start an ongoing program of continual improvement, based on a
facilitated, iterative life cycle by following these steps:
1. Determine the drivers for improving EGIT, from both an Acme Corporation group perspective
and at the business unit level.
2. Determine the current status of EGIT.
3. Determine the desired state of EGIT (both short- and long-term).
4. Determine what needs to be implemented at the business unit level to enable local business
objectives, and thereby align with group expectations.
5. Implement the identified and agreed improvement projects at the local business unit level.
6. Realize and monitor the benefits.
7. Sustain the new way of working by keeping the momentum going.
9.5.3 Program Scope
The EGIT program will cover:
1. All of the group entities. However, the entities will be prioritized for interaction due to
limited program resources.
2. The method of prioritization. It will need to be agreed with Acme Corporation management,
but could be done on the following basis:
a. Size of investment
b. Earnings/contribution to the group
c. Risk profile from a group perspective
d. A combination of these criteria
3. The list of entities to be covered during the current financial year. This should be finalized
and agreed with Acme Corporation management.
9.5.4 Program Methodology and Alignment
The EGIT program will achieve its mandate by using a facilitated, interactive workshop approach with
all the entities.
The approach starts with the business objectives and the objective owners, typically the CEO and
chief financial officer (CFO). This approach should ensure that the program outcomes are closely
aligned to the expected business outcomes and priorities.
Once the business objectives have been covered, the focus shifts to IT operations, typically under the
control of the chief technology officer (CTO) or chief information officer (CIO). At the IT operations
level, further details of the IT-related business risk and objectives are considered.
The business and IT objectives, as well as the IT-related business risk, are then combined in a tool
(based on COBIT guidance) that will provide a set of focus areas within the COBIT processes for
consideration by the business unit. In this fashion, the business unit can prioritize its remediation
efforts to address the areas of IT risk.
9.5.5 Program Deliverables
As mentioned earlier, an overall goal of the EGIT program is to embed the good practices of EGIT into
the continuing operations of the various group entities.
Specific outcomes will be produced by the EGIT program to enable Acme Corporation to gauge the
delivery of the intended outcomes. These include the following:
1. The EGIT program will facilitate internal knowledge sharing via the intranet platform and
leverage existing relationships with vendors to the advantage of the individual business units.
2. Detailed reports on each facilitation with the business units will be created derived from the
EGIT program assessment tool. The reports will include:
a. The current prioritized business objectives, and consequent IT objectives, based on COBIT
b. The IT-related risk identified by the business unit in a standardized format, and the agreed
focus areas for attention by the business unit based on COBIT processes and practices and other
recommended components
3. Overall progress reports on the intended coverage of the Acme Corporation business units by
the EGIT program will be created.
4. Consolidated group reporting will cover:
a. Progress from business units engaged with their agreed implementation projects based on
monitoring agreed performance metrics
b. Consolidated IT risk view across the Acme Corporation entities
c. Specific requirements of the risk committee(s)
5. Financial reporting on the program budget vs. actual amount spent will be generated.
6. Benefit monitoring and reporting against business-unit-defined value objectives and metrics
will be created.
9.5.6 Program Risk
The following are considered potential types of risk to the successful initiation and ongoing success
of the Acme Corporation EGIT program. Risk will be mitigated by focusing on change enablement and
will be monitored and addressed continually via program reviews and a risk register. These types of
risk are:
1. Management commitment and support for the program, both at the group level as well as
the local business unit level
2. Demonstrating actual value delivery and benefits to each local entity through the adoption of
the program. The local entities should want to adopt the process for the value it will deliver, rather
than doing it because of the policy in place.
3. Local management’s active participation in the implementation of the program
4. Identifying key stakeholders at each entity for participation in the program
5. Business insight within the IT management ranks
6. Successful integration with any governance or compliance initiatives that exist within the
group
7. The appropriate committee structures to oversee the program. For example, the progress of
the EGIT program overall could become an agenda item of the IT executive committee. Local
equivalents would also need to be constituted. This could be replicated geographically, as well as at
the local holding company level, where appropriate.
58
9.5.7 Stakeholders
The following have been identified as stakeholders in the outcome of the EGIT program:
1. Risk committee
2. IT executive committee
3. Governance team
4. Compliance staff
5. Regional management
6. Local entity-level executive management (including IT management)
7. Internal audit services
A final structure containing the individual names of stakeholders will be compiled and published after
consultation with group management.
The EGIT program needs the identified stakeholders to provide the following:
1. Guidance as to the overall direction of the EGIT program. This includes decisions on
significant governance- related topics defined in a group RACI chart according to COBIT guidance. It
further includes setting priorities, agreeing on funding and approving value objectives.
2. Acceptance of the deliverables and monitoring the expected benefits of the EGIT program
9.5.8 Cost-Benefit Analysis
The program should identify the expected benefits and monitor to ensure that real business value is
being generated from the investment. Local management should motivate and sustain the program.
Sound EGIT should result in benefits that will be set as specific targets for each business unit and
monitored and measured during implementation to ensure that they are realized. The benefits
include:
1. Maximizing the realization of business opportunities through IT, while mitigating IT-related
business risk to acceptable levels, thus ensuring that risk is responsibly weighed against opportunity
in all business initiatives
2. Support of the business objectives by key investments and optimum returns on those
investments, thus aligning IT initiatives and objectives directly with business strategy
3. Legislative, regulatory and contractual compliance as well as internal policy and procedural
compliance
4. A consistent approach to measuring and monitoring progress, efficiency and effectiveness
5. Improved quality of service delivery
6. Lowered cost of IT operations and/or increased IT productivity by accomplishing more work

consistently in less time and with fewer resources
Central costs will include the time required for group program management, external advisory
resources and initial training courses. These central costs have been estimated for phase 1. The cost
of assessment workshops for individual business unit management and process owners (attendance,
venue, facilitators and other related costs) will be funded locally and an estimate provided. Specific
project improvement initiatives for each business unit will be estimated in phase 2 and considered on
a case-by-case basis and overall. This will enable the group to maximize efficiency and
standardization.
9.5.9 Challenges and SUCCess Factors
Figure 9.1 summarizes the challenges that could affect the EGIT program during the implementation
period of the program and the critical success factors that should be addressed to ensure a successful
outcome.
Figure 9.1—Challenges and Planned Actions for Acme Corporation
Challenge Critical Success Factor—Actions Planned
Inability to gain and sustain support for improvement objectives  Mitigate through
committee structures within the group (to be agreed and constituted).
Communication gap between IT and the business  Involve all stakeholders.
Cost of improvements outweighing perceived benefits  Focus on benefit identification.
Lack of trust and good relationships between IT and the enterprise  Foster open and
transparent communication about performance, with links to corporate performance management.
 Focus on business interfaces and service mentality.
 Publish positive outcomes and lessons learned to help establish and maintain credibility.
 Ensure the CIO maintains credibility and leadership in building trust and relations.
 Formalize governance roles and responsibilities in the business so accountability for decisions
is clear.
 Identify and communicate evidence of real issues, risk that needs to be avoided and benefits
to be gained (in business terms) relating to proposed improvements.
 Focus on change enablement planning.
Lack of understanding of the Acme environment by those responsible for the EGIT program 
Apply a consistent assessment methodology.
Various levels of complexity (technical, organizational, operating model)  Treat the

entities on a case-by-case basis. Benefit from lessons learned and sharing knowledge.
Understanding of EGIT frameworks, procedures and practices  Train and mentor.
Resistance to change  Ensure that implementation of the life cycle also includes change
enablement activities.
Adoption of improvements  Enable local empowerment at the entity level.
Difficulty in integrating EGIT with the governance models of outsourcing partners 

Involve suppliers/third parties in EGIT activities.
 Incorporate conditions and right to audit in contracts.
Failure to realize EGIT implementation commitments  Manage expectations.
 Keep it simple, realistic and practical.
 Break down the overall project into small achievable projects, building experience and
benefits.
Trying to do too much at once; IT tackling overly complex and/or difficult problems  Apply
program and project management principles.
 Use milestones.
 Prioritize 80/20 tasks (80 percent of the benefit with 20 percent of the effort) and be careful
about sequencing in the correct order. Capitalize on quick wins.
 Build trust/confidence. Have skills and experience to keep it simple and practical.
 Reuse what is there as a base.
IT in fire-fighting mode and/or not prioritizing well and unable to focus on EGIT  Apply good
leadership skills.
 Gain commitment and drive from top management so people are made available to focus on
EGIT.
 Address root causes in the operational environment (external intervention, management

prioritizing IT).
 Apply tighter discipline over/management of business requests.
 Obtain external assistance.
60
Figure 9.1—Challenges and Planned Actions for Acme Corporation (cont.)
Challenge Critical Success Factor—Actions Planned
Absence of required IT skills and competencies, such as understanding of the business, processes,
soft skills  Focus on change enablement planning:
 Development
 Training
 Coaching
 Mentoring
 Feedback into recruitment process
 Cross-training
Improvements not adopted or applied  Use a case-by-case approach with agreed principles
for the local entity. It must be practical to implement.
Benefits difficult to show or prove  Identify performance metrics.
Loss of interest and momentum  Build group-level commitment, including

communication.

62
CHAPTER 10 COBIT AND OTHER STANDARDS

Chapter 10
COBIT and Other Standards
10.1 GUiding Principle
One of the guiding principles applied throughout the development of COBIT® 2019 was to maintain
the positioning of COBIT as an umbrella framework. This means that COBIT continues to align with a
number of relevant standards, frameworks and/or regulations.
In this context, alignment means that COBIT does not contradict any guidance in the related
standards. At the same time, it is important to remember that COBIT does not copy the contents of
these related standards. Instead, it usually provides equivalent statements or references to related
guidance.
10.2 List of Referenced Standards
Standards and guidance used during the development of the COBIT® 2019 update include:
 CIS® Center for Internet Security®, The CIS Critical Security Controls for Effective Cyber
Defense, Version 6.1, August 2016
 Cloud standards and good practices:
 Amazon Web Services (AWS®)
 Security Considerations for Cloud Computing, ISACA
 Controls and Assurance in the Cloud: Using COBIT® 5, ISACA
 CMMI® Cybermaturity Platform, 2018
 CMMI® Data Management Maturity (DMM)SM model, 2014
 CMMI® Development V2.0, CMMI Institute, USA, 2018
 Committee of Sponsoring Organizations (COSO) Enterprise Risk Management (ERM)

Framework, June 2017
 European Committee for Standardization (CEN), e-Competence Framework (e-CF) - A

common European Framework for ICT Professionals in all industry sectors - Part 1: Framework, EN
16234-1:2016
 HITRUST® Common Security Framework, version 9, September 2017
 Information Security Forum (ISF), The Standard of Good Practice for Information Security
2016
 International Organization for Standardization / International Electrotechnical Commission

(ISO/IEC) standards
 ISO/IEC 20000-1:2011(E)
 ISO/IEC 27001:2013/Cor.2:2015(E)
 ISO/IEC 27002:2013/Cor.2:2015(E)
 ISO/IEC 27004:2016(E)
 ISO/IEC 27005:2011(E)
 ISO/IEC 38500:2015(E)
 ISO/IEC 38502:2017(E)
 Information Technology Infrastructure Library (ITIL®) v3, 2011
 Institute of Internal Auditors® (IIA®), “Core Principles for the Professional Practice of Internal
Auditing”
 King IV Report on Corporate Governance™, 2016
 US National Institute of Standards and Technology (NIST) standards:
 Framework for Improving Critical Infrastructure Cybersecurity V1.1, April 2018
 Special Publication 800-37, Revision 2 (Draft), May 2018
 Special Publication 800-53, Revision 5 (Draft), August 2017
 “Options for Transforming the IT Function Using Bimodal IT,” MIS Quarterly Executive (white
paper)
 A Guide to the Project Management Body of Knowledge: PMBOK® Guide, Sixth Edition, 2017
 PROSCI® 3-Phase Change Management Process
 Scaled Agile Framework for Lean Enterprises (SAFe®)
 Skills Framework for the Information Age (SFIA®) V6, 2015
 The Open Group IT4IT™ Reference Architecture, version 2.0
 The Open Group Standard TOGAF® version 9.2, 2018
 The TBM Taxonomy, The TBM Council

HH FR

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

HH FR

Transféré par

Droits d'auteur :

Formats disponibles

Abonnez-vous à DeepL Pro pour éditer ce document.

Visitez www.DeepL.com/Pro pour en savoir plus.

Copie personnelle de : M. Salah Riahi

CADRE COBIT® 2019 : INTRODUCTION ET MÉTHODOLOGIE

Contactez-nous : https://support.isaca.org Site web : www.isaca.org

Twitter : http://twitter.com/ISACANews LinkedIn : http://linkd.in/ISACAOfficial Facebook :

Cadre COBIT® 2019 : Introduction et méthodologie

IN MEMORIAM : JOHN LAINHART (1946-2018)

In Memoriam : John Lainhart (1946-2018)

Page intentionnellement laissée vide

L'ISACA tient à le reconnaître :

Groupe de travail COBIT (2017-2018)

Stefanie Grijp, PwC, Belgique Bart Peeters, PwC, Belgique

Geert Poels, docteur, Université de Gand, Belgique

Dirk Steuperaert, CISA, CRISC, CGEIT, IT In Balance, Belgique

Elisabeth Antonssen, Banque Nordea, Suède

Peter Davis+Associates, Canada

James L. Golden, Golden Consulting Associates, États-Unis

Jorge Hidalgo, CISA, CISM, CGEIT, Chili

Joanna Karczewska, CISA, Pologne

Zachy Olorunojowon, CISA, CGEIT, PMP, BC Ministry of Health, Victoria, BC Canada

Université d'Obuda, Hongrie

Greg Witte, CISM, G2 Inc, États-Unis

Conseil d'administration de l'ISACA

Rob Clyde, CISM, Clyde Consulting LLC, États-Unis, Président

Ted Wolff, CISA, Vanguard, Inc, États-Unis

TABLE DES MATIÈRES

TABLE DES MATIÈRES

Liste des FigUres 9

1. 1Gouvernance des entreprises en matière d' information et de technologie11

1.2 Avantages de la gouvernance de l'information et de la technologie11

1.3COBIT en tant que cadre de gouvernance I&T12

1.3.1 Qu' est-ce que le COBIT et qu'est-ce qu'il n'est pas ? 13

1.4Structure de la présente publication14

Chapitre 2. Public visé 15

2.1 Parties prenantes de la gouvernance15

Chapitre 3. Principes COBIT17

3.2Six principes pour un système de gouvernance17

3.3Trois principes pour un cadre de gouvernance18

3.4 COBIT® 201918

Chapitre 4. Concepts de base : Système de gouvernance et composantes19

4.1 Vue d'ensemble du COBIT19

4.2Objectifs de gouvernance et de gestion20

4.3Composantes du système de gouvernance21

4.4Domaines d' intervention22

4.5 Facteurs de conception23

4.6.1 Objectifs de l'entreprise29

4.6.2 Objectifs de l'alignement30

Chapitre 5. Objectifs de gouvernance et de gestion de COBIT33

Chapitre 6. La gestion des performances dans COBIT37

6.2 Principes de gestion des performances du COBIT37

6.3 Aperçu de la gestion des performances du COBIT37

6.4 Gérer la performance des processus38

6.4.1 Niveaux de capacité des processus38

6.4.2 Évaluation des activités de processus39

6.5 Gérer les performances des autres composantes du système de gouvernance40

6.5.1 Gestion de la performance des structures organisationnelles40

6.5.2 Gestion de la performance des éléments d'information41

6.5.3 Gestion de la performance de la culture et du comportement43

Chapitre 7. Concevoir un système de gouvernance sur mesure45

7.1Impact des facteurs de conception45

7.2 Étapes et étapes du processus de conception47

Chapitre 8. Mise en œuvre de la gouvernance d'entreprise des TI49