Resumé : Cobit 5 Foundation

Concepts de Cobit 5 : Principes de Cobit 5 : PRINCIPE 4 : FACILITER UNE APPROCHE GLOBALE

Les objectifs majeurs du développement de COBIT 5 : PRINCIPE 1 : RÉPONDRE AUX BESOINS DES PARTIES PRENANTES
• Permettre aux parties prenantes d’exprimer davantage Puisque les buts visés varient en fonction de l’entreprise, une La gouvernance exige une
leurs attentes concernant l’information. organisation peut adapter COBIT 5 à son contexte grâce à la cascade approche globale qui tient
• Traiter la dépendance croissante de la réussite de d’objectifs, qui permet de convertir des objectifs d’entreprise compte de plusieurs éléments
l’entreprise envers des entreprises extérieures généraux en objectifs TI clairs, gérables et liés à des pratiques et
interagissant entre eux. COBIT
• Traiter la quantité d’information, qui a augmenté de processus précis.
5 définit un ensemble de
manière significative Cascade d’objectifs :
facilitateurs pour appuyer la
• Composer avec l’omniprésence des TI La cascade d’objectifs de COBIT 5
mise en œuvre d’un système
• Couvrir l’ensemble de l’entreprise et les responsabilités représente le mécanisme de
complet de gouvernance IT
fonctionnelles des TI traduction des besoins des parties
• Faire le lien et, le cas échéant, s’aligner avec d’autres prenantes en objectifs d’entreprise
référentiels et normes majeures du marché précis, réalisables et personnalisés, PRINCIPE 5 : DISTINGUER LA GOUVERNANCE DE LA GESTION
• Assurer à l’entreprise : La création de valeur grâce à en objectifs liés aux TI et en
l’utilisation efficace TI; La satisfaction de la clientèle objectifs facilitants. La gouvernance :
envers les services des TI; Le respect des lois
applicables; Une meilleure correspondance entre les PRINCIPE 2 : COUVRIR L’ENTREPRISE DE BOUT EN BOUT Consiste à évaluer les besoins,
besoins d’affaires et les objectifs des TI. COBIT 5 intègre la gouvernance des TI à la gouvernance d’entreprise les règles et les options des
parties prenantes dans le but
Qui utilise COBIT? de déterminer des objectifs
• Entreprises de toute taille, commerciales, à but non Facilitateurs de la gouvernance : La gestion :
d’entreprise équilibrés qui
lucratif ou du secteur public les ressources organisationnelles,
L’équipe de gestion font consensus. Elle permet de
• Responsables des processus d’affaires les ressources de l’entreprise et le
planifie, bâtit, exécute et déterminer l’orientation par
• Gestionnaires et consultants IT personnel et l’information
surveille les activités les priorités et la prise de
Rôle de Cobit 5 Portée de la gouvernance (toutes
conformément à décisions. Enfin, elle permet
Il aide les entreprises à tirer le maximum des TI en maintenant l’entreprise, une partie..)
l’orientation fixée par le de contrôler la performance et
l’équilibre entre la réalisation de bénéfices, l’optimisation des Rôles, activités et relations
niveaux de risque et l’utilisation des ressources. groupe de gouvernance la conformité au regard des
afin d’atteindre les orientations et des objectifs
Avantages de Cobit 5 objectifs d’entreprise. convenus.
• Définit le point de départ des activités de gouvernance
et de gestion et relie les besoins des parties prenantes
à l’entreprise IT. PRINCIPE 3 : APPLIQUER UN RÉFÉRENTIEL UNIQUE ET INTÉGRÉ
• Holistique, intégration complète entre la gouvernance • S’aligner sur d’autres normes et référentiels pertinents.
d'entreprise et le management IT. • Réunir les orientations existantes de l’ISACA (COBIT 4.1, Val
• Crée un langage commun entre l’IT et l'entreprise IT 2.0, Risk IT, BMIS) dans ce référentiel unique
• Est conforme aux normes de gouvernance d'entreprise • Il fournit une architecture simple pour structurer les
généralement acceptées - aide ainsi à répondre aux documents d’orientation.
exigences réglementaires

Khadija-elyousfi@live.fr www.ekvalue.com 0662158074


Facilitateurs de Cobit 5 :
I. Les principes, les politiques et les référentiels
• Les parties prenantes : les unes définissent et établissent les
politiques, les autres doivent s’y conformer.
• Les objectifs et les indicateurs : Les principes doivent être : –
Limités en nombre – Rédigés en termes simples
Les politiques fournissent des orientations détaillées sur la
manière d’appliquer les principes et influencent l’alignement de
la prise de décision avec ceux-ci.
Les bonnes politiques sont : – Efficaces – Elles réalisent la
fonction annoncée. – Efficientes – Elles garantissent la mise en
œuvre des principes de la façon la plus efficace possible. – Non
intrusives – Elles semblent logiques pour ceux qui doivent les
respecter.
• Le cycle de vie : un référentiel de politique fournit une structure
qui permet la création et le maintien d’un ensemble cohérent de
politiques, en plus d’aider à la navigation entre les différentes
politiques.
Les bonnes pratiques : – Le référentiel de politique doit décrire
les éléments suivants : • La portée et la validité • Les
conséquences de la non-conformité à la politique • Les moyens
de gérer les exceptions • La méthode utilisée pour vérifier et
évaluer la conformité à la politique
II. Processus
• Les parties prenantes : les parties prenantes et leurs niveaux de
responsabilité sont documentés dans les tableaux RACI.
• Les objectifs et les indicateurs :
– Objectifs intrinsèques : Adapté à l’objectif – Objectifs
contextuels : Adapté à l’utilisation –Objectifs d’accessibilité et de
sécurité – Le processus demeure confidentiel, si nécessaire, est
connu et est accessible.
• Le cycle de vie : créé, exploité, surveillé, ajusté, mis à jour ou
retiré.
Les bonnes pratiques : -Pratiques : énoncés proposant des
mesures visant à réaliser les bénéfices. – Activités : Tiennent
compte des intrants et des extrants du processus
Khadija-elyousfi@live.fr
Resumé : Cobit 5 Foundation
III. Structures organisationnelles
• Les parties prenantes : peuvent être internes et externes à
l’entreprise.
• Les objectifs et les indicateurs : Le résultat du facilitateur des
structures organisationnelles doit inclure un certain nombre d’activités
pertinentes et de décisions éclairées.
• Le cycle de vie : Elle est créée, existe et est ajustée, et finalement peut
être dissoute
Les bonnes pratiques : –Les principes de fonctionnement – La
composition – L’étendue du contrôle – Le niveau d’autorité et les droits
de décision – Les procédures de recours à la hiérarchie.
IV. Culture, éthique et comportement
• Les parties prenantes : Les parties prenantes internes comprennent
l’ensemble de l’entreprise, tandis que les parties prenantes externes
comprennent les organismes de réglementation.
• Les objectifs et les indicateurs : – L’éthique organisationnelle,
déterminée par les valeurs de l’entreprise. – L ’éthique individuelle,
déterminée par les valeurs personnelles de chaque individu de
l’entreprise. – Les comportements individuels, qui déterminent
collectivement la culture d’une entreprise. • Le cycle de vie : À partir
d’une culture existante, une entreprise peut définir les changements
requis et travailler à leur mise en œuvre. Plusieurs outils décrits dans
les bonnes pratiques peuvent être utilisés.
Les bonnes pratiques : – La communication à l’échelle de l’entreprise
des comportements souhaités. – renforcée par l’exemple donné par la
haute direction et autres champions. – Les mesures incitatives pour
encourager le comportement souhaité et mesures de dissuasion pour
le faire respecter.
V. Information
• Les parties prenantes : Toutes les parties prenantes il faut définir
pourquoi elles se soucient de l’information ou pourquoi elles s’y
intéressent.
• Le cycle de vie : définir les changements requis et travailler à leur mise
en œuvre. Plusieurs outils décrits dans les bonnes pratiques peuvent
être utilisés.
www.ekvalue.com
• Les objectifs et les indicateurs :
Qualité intrinsèque : – Précision (Correcte et fiable) – Objectivité
(sans préjugés et impartiale) – Crédibilité (Vraie et crédible) –
Réputation (matière de source)
Qualité contextuelle : – Pertinence (applicable et utile) – Intégralité
(aucune information ne manque) – Actualisation (actuelle pour la
tâche à accomplir) – Quantité appropriée d’information (le volume
d’information est adéquat pour la tâche à accomplir). –
Représentation concise (est représentée de façon condensée). –
Représentation constante (présentée dans le même format). –
Intelligibilité (la langue appropriée et claires). – Compréhensibilité
(facilement comprise). – Facilité d’usage (facile à manipuler).
Qualité de sécurité et d’accessibilité (est disponible ou peut être
obtenue). – Accès restreint (l’accès à l’information est limité).
Les bonnes pratiques : • Couche du monde physique (par exemple,
papier, signaux électriques, ondes sonores.) • Couche empirique
(par exemple, des interfaces utilisateur.) • Couche syntaxique
(Code / langage) • Couche sémantique – (Type d’information Par
exemple, l’information financière) – Information à jour (c’est-à-dire
de l’information sur le passé, le présent ou l’avenir). – Niveau
d’information (les ventes par année, trimestre, mois.)
• Couche pragmatique – Période de rétention (temps l’information
peut être conservée avant d’être détruite). – Statut de l’information
(opérationnelle ou historique). – Nouveauté (si l’information crée
de nouvelles connaissances). – Contingence (L’attribut qui définit
l’information qui doit précéder cette information) • Couche du
monde social Contexte (Par exemple, le contexte culturel)
• Le cycle de vie : Définir les
changements requis et travailler
à leur mise en œuvre. Plusieurs
outils décrits dans les bonnes
pratiques peuvent être utilisés.
0662158074
 Resumé : Cobit 5 Foundation

VI. Services, infrastructures et applications ORIENTATIONS DE MISE EN ŒUVRE Etape 3 : Ou voulons nous aller ?

• Les parties prenantes : Les parties prenantes des capacités de •Définir la feuille de route
service •Communiquer les résultats
• Les objectifs et les indicateurs : – Les objectifs de la capacité de
•Définir l’état cible
niveau de service seront exprimés en matière de services
(applications, infrastructures, technologie) et de niveaux de
service.
• Le cycle de vie : Les capacités de service futures ou planifiées Etape 4 : Que faut-il faire ?
sont généralement décrites dans une architecture cible.
•Planifier le programme
Les bonnes pratiques : • Réutilisation –• Achat ou conception –
• Simplicité (simple que possible • Agilité – L’architecture Gestion de programme Moteur de changement Amélioration Contenue •Identifier les acteurs
d’entreprise doit intégrer l’agilité pour répondre d’une manière •Créer des améliorations
Etape 1 : Quelles sont les motivations ?
efficace aux besoins changeants de l’entreprise. • Ouverture –
Déclencheurs : Points sensibles et les événements déclencheurs sont
L’architecture d’entreprise doit tirer parti des normes ouvertes de
des facteurs typiques qui peuvent indiquer la nécessité d'améliorer la
l’industrie. Etape 5: Comment y parvenir ?
gouvernance et la gestion des IT d'entreprise.
Utilisation de dossier d’affaire pour la justification continue de
VII. Personnes, aptitudes et compétences •Exécuter le plan
programme
• Les parties prenantes : Les parties prenantes détentrices
•Exploiter et utiliser
d’aptitudes et de compétences sont internes et externes à •Lancer le programme
l’entreprise •Utiliser les améliorations
• Les objectifs et les indicateurs : – Les objectifs en matière •Etablir le besoin de changement
d’aptitudes et de compétences se rapportent à des niveaux de •Reconnaitre le besoin d’agir
formation et de qualification, à des compétences techniques, à
l’expérience, aux connaissances et aux compétences Etape 6 : Y Sommes-nous arrivés ?
comportementales nécessaires pour exécuter avec succès les Etape 2 : Ou en somme nous ?
activités de processus. •Réaliser des bénéfices
• Le cycle de vie : Une entreprise doit savoir quelle est sa base de •Définir les problèmes et les possibilités •Intégrer de nouvelles approches
compétences actuelle et planifier ce qu’elle doit être. •Former une équipe d’implantation •Utiliser et mesurer
Les bonnes pratiques : Pour chaque niveau d’aptitude approprié
dans chaque catégorie d’aptitudes, une définition doit être •Evaluer l’état actuel
disponible. Les catégories d’aptitudes correspondent aux
activités liées aux TI, par exemple, la gestion de l’information,
l’analyse d’affaires.

Khadija-elyousfi@live.fr www.ekvalue.com 0662158074

 Resumé : Cobit 5 Foundation

Etape 7 : Comment Maintenir le rythme ?
•Réviser l’efficacité
•Poursuivre
•Surveiller et évaluer
MODÈLE DE CAPACITÉ DES PROCESSUS DE COBIT 5
• 0 Processus incomplet – Le processus n’est pas mis en œuvre
ou ne parvient pas à réaliser la fonction désirée. À ce niveau, il y
a peu de preuves, voire aucune, que l’objectif du processus est
atteint systématiquement.
• 1 Processus exécuté (un attribut Performance du processus) –
Le processus mis en œuvre réalise la fonction désirée.
• 2 Processus géré (deux attributs Gestion de la performance et
Gestion des résultats de l’activité) – Le processus exécuté décrit
précédemment est maintenant mis en œuvre et bien géré
(planifié, surveillé et ajusté), et ses résultats sont adéquatement
établis, contrôlés et maintenus.
• 3 Processus établi (deux attributs Définition du processus et
Déploiement du processus) – Le processus géré décrit
précédemment est maintenant mis en œuvre selon une
procédure définie qui permet l’atteinte des résultats souhaités.
• 4 Processus prévisible (deux attributs Gestion du processus et
Contrôle du processus) – Le processus établi décrit
précédemment fonctionne maintenant selon des limites définies
qui assurent l’atteinte des résultats souhaités.
• 5 Processus en optimisation (deux attributs Innovation du
processus et Optimisation du processus) – Le processus
prévisible décrit précédemment est amélioré continuellement
afin d’atteindre les objectifs d’affaires pertinents actuels et
projetés
Complètement atteint • Preuve d'une approche complète et systématique et de la pleine réalisation
(>85%)
Largement atteint (>50%, • Preuve d'une approche systématique et d'une réalisation significative de
<=85%)
Partiellement atteint (>15%, • Quelques preuves d'une approche et d'une certaine réalisation de l'attribut
<=50%)
Non accompli (<=15% • Il y a peu ou pas de preuves de l'atteinte de l'attribut défini dans le
d’accomplissement)
de l'attribut défini dans le processus évalué. Aucune faiblesse significative
liée à cet attribut n'existe dans le processus évalué
l'attribut défini dans le processus évalué. Une faiblesse liée à cet attribut
peut exister dans le processus évalué
défini dans le processus évalué. Certains aspects de la réalisation de
l'attribut peuvent être imprévisibles
processus évalué
Différences entre le modèle de maturité de COBIT 4.1 et le
modèle de capacité des processus de COBIT 5
• L’accent est mis sur l’amélioration du processus exécuté afin de
confirmer qu’il réalise bien sa fonction et qu’il donne les résultats
requis, comme prévu.
• Un contenu simplifié grâce à l’élimination des chevauchements.
En effet, pour appuyer l’évaluation d’un processus, le modèle de
maturité de COBIT 4.1 nécessitait l’utilisation de plusieurs
composants précis, incluant le modèle de maturité générique, les
modèles de maturité des processus, les objectifs de contrôle et les
processus de contrôle.
• Une meilleure fiabilité et reproductibilité des activités
d’évaluation de la capacité des processus, ce qui minimise les
débats et désaccords entre parties prenantes quant aux résultats
d’évaluation.
• Une facilité d’utilisation accrue des résultats des évaluations de
la capacité des processus puisque le nouveau modèle établit une
base pour l’exécution d’évaluations plus rigoureuses et formelles,
aux fins d’une utilisation interne et potentiellement externe.
• Une conformité à une norme d’évaluation des processus
généralement acceptée, entraînant un fort soutien envers
l’approche d’évaluation des processus sur le marché.
Exécution des évaluations de la capacité des processus dans
COBIT 5
• Permettre au groupe de gouvernance et à la direction d’établir
des jalons quant à la capacité des processus.
• Permettre des vérifications de l’état actuel et désiré afin
d’appuyer la prise de décisions quant aux investissements
consentis par le groupe de gouvernance et la direction pour
améliorer les processus.
• Fournir une analyse des écarts et l’information de planification
des améliorations afin d’appuyer la définition de projets
d’amélioration justifiables.
• Fournir au groupe de gouvernance et à la direction des notes
d’évaluation permettant de mesurer et de contrôler les capacités
actuelles

Khadija-elyousfi@live.fr www.ekvalue.com 0662158074