COBIT®5RETOURSD’EXPÉRIENCES

12Avril2016

AlainBonneaudCGEIT®-COBIT®-ITIL®-RESILIA®-ISO27001–ISO20000

-ISO22301–LeanIT–PRINCE2®

CASN°1IMPLÉMENTATION

©ABConsul3ng-2016 2

Contexte

•  Munich(Bavière–Allemagne)•  Période:Janvier2012-…•  Secteurfinancier(Banque)•  Contexteéconomique

–  Economieforte–  Tauxdechômagefaible(del’ordre

de2%)–  Contextebancaire

•  Loisetréglementa3onsapplicables–  Europe/Allemagne/Bavière–  Réglementa3onbancaire

•  E3que,Cultureetcomportement•  Pra3quesdel’industrie

©ABConsul3ng-2016 3

LecontextedelaBanque•  Environ1000employés–DSIenviron120personnes•  Joint-ventureentredeuxgrandesins3tu3onsbancaires

Européennes•  Ethiqueetculture

–  Mul3-culturel(prèsde20na3onalités)–  Pasdecommunica3onentreDSIetmé3ers

•  Mission,vision,valeurs–  Différencesprofondesdevisionentrelesdeuxassociés

•  Stratégiedesmé3ersdelabanque•  Modèled’opéra3on

–  DeuxDirecteursGénéraux–  Organisa3onensilos

•  StyledeManagement(DSI,Mé3ers)•  Appé3tdurisque•  Ap3tudesetressourcesdisponibles

4©ABConsul3ng-2016

L’originedel’ini3a3vedeGRC•  Auditréaliséàlademanded’undesdeuxassociés(àlademandeduGroupe)–  Auditexterneréaliséparl’Inspec3onGénérale–  Périmètre:GouvernanceduSI

•  UnedouzainedeprocessusTIauniveau1•  Organisa3on•  SystèmedeGouvernance•  Poli3ques,systèmedemanagement•  Repor3ngetmonitoring•  Ressourceshumaines•  Informa3ons/Sécurité

–  Equiped’audit:7personnes–4mois(07/09/11–28/11/11)

5©ABConsul3ng-2016

L’événementdéclencheur–  Résultatsdel’audit

•  33problèmesimportantsiden3fiés– 5classésàrisquecri3que– 23classésàrisquemoyen– 5rela3fsàl’efficience

•  38recommanda3onsàimplémenter–  1avant29/02/2012–  5avant31/03/2012–  1avant31/05/2012– 17avant30/06/2012–  9avant30/09/2012–  5avant31/12/2012

6©ABConsul3ng-2016

Résultatsetrecommanda3ons•  Implémenta3on/Améliora3onexigéede10processus

–  Ges3ondesincidents–  Ges3ondesproblèmes–  Ges3ondeschangements(2recommanda3ons)–  Ges3ondelacapacitéetdelaperformance–  Ges3ondesniveauxdeservice–  Ges3ondesprojetsetdesprogrames(2recommanda3ons)–  Ges3ondelasécurité–  Ges3ondesconfigura3ons(2recommanda3ons))–  Ges3ondelasécurité(8recommanda3ons)–  Ges3ondesdéploiements(nonexplicite)

•  L’implémenta3on et l’améliora3on des processus est unprérequis pour les autres recommanda3ons (Contrôle,repor3ng,monitoring,Gouvernance…)

7©ABConsul3ng-2016

Les7axesdel’ini3a3ve(facilitateurs)

8©ABConsul3ng-2016

Approcheproposée

Inventairdesdocumentsexistants

Prototypage

Cartographiedesprocessus

Valida3on

Développement/réalisa3on

Sensibilisa3onetforma3on

Passageen“produc3on”

Auditinterne Améliora3oncon3nue

Prototypage CréaFonetintégraFon ImplémentaFon AmélioraFon

Uneàquatresemaines Deuxàcinqsemaines Quatreàhuitsemaines

M2 M7M4M3 M5 M6 M8M1

Réuniond’orienta3on

Valida3on Valida3onfinale

RapportAudit

Kick-offMee3ng

Lancementcomm.

DébutAuditRéunionderevue

M9

Revuepériodique

M0

9©ABConsul3ng-2016

Facteursclésdesuccès

•  Direc3on,mandatetengagementfortdonnésparlesdeuxDirecteursGénéraux

•  Compréhension par lesmé3ers et les TI des enjeux,objec3fsetcontraintesliésàlaGouvernanceduSI

•  Communica3onefficaceetfacilita3onduchangement•  Ne jamais men3onner COBIT® mais s’appuyer surCOBIT® pour amener les par3es-prenantes àconcevoirleurpropresfacilitateurs

•  Priorisez sur la base de « quick-wins » encommençantparcequiestfacileetvisible

10©ABConsul3ng-2016

L’approched’implémenta3on

11©ABConsul3ng-2016

Conclusion•  Cen’estpasuneini3a3ve«court-terme»!!!

–  Plusieursannéessontnécessairespourunemiseenœuvresignifica3ve–  Chaquecycledoitêtrelimitéenambi3onetendélai

•  6moismaximum•  Nejamaisperdredevuequel’objec3fcentraldel’Organisa3onestdecréerdela

valeurgrâceàsesmé3ersdebase–  Lesprioritésmé3ersdoiventêtreévaluéesenpermanence

•  Meyrel’accentsurlacommunica3onetlafacilita3onduchangement–  Vitalpourlesuccès

•  Rester«lite»et«agile»–  Restercohérentaveclatailledel’Organisa3on–  Nepasconstruireune«cathédrale»maiss’assurerquel’innova3onparlesmé3ersresteau

centredespréoccupa3ons•  Nepas«ré-inventerlaroue»•  Ne pas imposer des bonnes pra3ques venues d’ailleurs mais s’appuyer sur ces

bonnespra3quesetlesadapterpourconstruiresurlesforcesdel’organisa3on•  Capitaliser enpermanence sur la réussited’objec3fs à court termeetobtenir le

«buy-in»dupersonneldel’Organisa3on–  Ayen3onànepascréerdefrustra3ons

•  L’engagement fort de la Direc3on est clé pour la réussite à moyen et longterme!!!! 12©ABConsul3ng-2016

Ques3ons/Réponses

©ABConsul3ng-2015 13

CASN°2AUDITDERISQUES

©ABConsul3ng-2016 14

Contexte•  IledesCaraïbes•  Période:Mai–Juillet2015•  Opérateurtélécom•  Contexteéconomique

–  Economieforte–  Tauxdechômagefaible–  Opérateurhistorique

•  Loisetréglementa3onsapplicables–  Na3onale,interna3onale–  Réglementa3onTelcos

•  Ethique,Cultureetcomportement–  Syndicatspuissants

•  Pra3quesdel’industrie–  Concurrenceforte–  Opérateursbienstructuréset

organisés

©ABConsul3ng-2016 15

Lecontextedel’Entreprise•  Environ1000employés–UnecentainedepersonnesàlaDSI•  Deuxac3onnaires:Etat+Unesociétédetéléphonieprivéeobligéedese

re3rerducapital•  Ethiqueetculture

–  Culturetrès«sociale»–  Peudecommunica3onentreDSIetmé3ers

•  Mission,vision,valeurs–  Différencesprofondesdevisionentrelesdeuxac3onnaires

•  Stratégiedesurviedansunmondeconcurren3el–  Findumonopole–  Portabilitédunuméro–  Réduc3ondescoûts(plansocial)

•  Modèled’opéra3on–  Comitéexécu3f«faible»–  Organisa3onensilos

•  StyledeManagement(DSI,Mé3ers)•  Appé3tdurisque•  Ap3tudesetressourcesdisponibles 16©ABConsul3ng-2016

L’originedel’ini3a3ve•  Auditréglementaireréaliséannuellementparlecabinet

Ernst&Young–  Exigenced’avoirunauditdesrisquesduSI–  ChoixdeCOBIT®5parlecomitéd’auditdel’Entreprise–  Périmètre:Gouvernance&Ges3ondesrisquesduSI

•  Deuxprocessuscentrauxauniveau1minimum(EDM03etAPO12)•  Autresprocessusinduits(notammentges3ondelasécuritéAPO13)•  Organisa3on•  SystèmedeGouvernance•  Poli3ques,systèmedemanagement•  Repor3ngetmonitoring•  Ressourceshumaines•  Informa3ons/Sécurité

–  Equiped’audit:2personnes–2mois(Mai-Juin2015)

17©ABConsul3ng-2016

Laperspec3veRisquesselonCOBIT®5

©ABConsul3ng-2015 18

Laperspec3vedesrisquesvueparCOBIT®

COBIT5forRiskfournitdeslignesdirectricessurlafaçondontchaque

facilitateurcontribueàlagouvernanceetàlages3ondurisqueglobal

d’Entreprise. 19©ABConsul3ng-2016

Perspec3vedeges3ondesrisques

–  QuelsProcessusilestnécessairededéfiniretd’op3miserpoursoutenirla

fonc3onrisque,gouverneretgérerlesrisquesauseindel’Entreprise,

–  Quels Flux d’informaFon doivent exister pour gouverner et gérer le

risque(universderisque,profilsderisque)

–  Quelles Structures organisaFonmelles sont nécessaires pour gouverner

et gérer le risque efficacement (Enterprise Risk Commiyee, Fonc3on

Risque)

–  Quels Personnels et avec quelles compétences doivent être désignés

pourétabliretopérerunefonc3onrisqueefficace

©ABConsul3ng-2015 20

20

Perspec3vedeges3ondesrisques

COBIT 5 for Risk fournit des conseils spécifiques pour chacun des

facilitateurafindegérerefficacementlerisque:

§ LesprocessusclésdeGesFondes risquesnécessaireà l’implémenta3onefficaceetefficiente

d’une ges3on des risques d’Entreprise permeyant de créer de la valeur pour les par3es-

prenantesdel’entreprise

§ Desscénariosderisqueconcrets,tangiblesetmesurablesdereprésenaFondurisque,(c-a-d

lesélémentsd’informa3onclésnécessairesàl’iden3fica3on,l’analyseetlaréponseaurisque)

et comment les facilitateurs de COBIT® 5 permeyent de répondre efficacement aux risques

correspondants21©ABConsul3ng-2016

Driverspourlages3ondesrisquesLesprincipauxdriverspour la ges3ondesrisquesincluentlafourniture:

§ Aux par3es-prenantes, d’avisargumentés et cohérents sur leniveaucourantdurisqueauquelestexposéel’Entreprise

§ De conseils sur commentmaintenirlesrisquesdanslecadreacceptabledel’appé3tdurisquedel’Entreprise

§ Deconseils sur comment créeruneculturede ges3ondes risquesdansl’Entreprise

§ Si poss ib le , des évalua3onsq u a n 3 t a 3 v e s d e s r i s q u e spermeyant aux par3es-prenantesde prendre une décision sur lanécessité de meyre en place unplanderéponse

Pour ayeindre ces objec3fs, lapublica3onCOBIT5forRiskfournit:

§ Des conseils sur l’u3lisa3on deC O B I T ® 5 p o u r s o u t e n i rl’établissement de laGouvernanceet de la Ges3on du risque dansl’Entreprise

§ Des conseils et une approchestructurée sur l’u3lisa3on desprincipes et des facilitateurs deCOBIT® 5 pour Gouverner et GérerlesrisquesliésauSI

§ Une compréhension claire del’alignement de COBIT 5 for Riskaveclesautrescadresexistants

©ABConsul3ng-2016

QuipeutbénéficierdeCOBIT®5pourlages3ondesrisques?

§  Lesprofessionnelsdurisquesdansl’Entreprise•  Aide pour intégrer le risque lié au SI au système global de ges3on des

risquesdansl’Entreprise

§  Conseilsd’Administra3onetComitésdeDirec3on:•  Compréhension claire de leurs rôles et respondabilités en ma3ère de

risquedansl’Entreprise,notammentenma3èredeconformité•  L’implica3on des risques liés au SI sur les objec3fs stratégiques de

l’Organisa3on•  Commentop3miser l’u3lisa3onduSIpourmieuxréussir l’exécu3onde la

stratégied’Entreprise

§  Ges3onnairesITetmé3ers:•  Comprendrecomment iden3fieretgérer lerisqueTIetcommuniquersur

cesujetaveclesdécisionnaires

23©ABConsul3ng-2016

Evalua3ond’ap3tudedeprocessus

1–Démarrage

2–PlanificaFondel’évaluaFon

3–InstrucFons

4–Collectedesdonnées

5–ValidaFondesdonnées

6–NotaFondesa_ributsdesprocessus

7–Rapportd’audit

BaséesurCOBIT®5

24©ABConsul3ng-2016

1–Démarrage

©ABConsul3ng-2016

Rôles&responsibilités

Sponsor

Coordinateur

Propriétairesdeprocessus

Par3esprenantesdesprocessus

LeadAssessor

AutresPar3cipants

26©ABConsul3ng-2016

Rôles&ResponsabilitésKeyRolesandResponsibiliFesinaCOBITAssessmentProgrammeAssignment

Roles ResponsibiliFesq  Verifythattheleadassessorisacompetentassessor.Anindica3oniswhether

thepersonisacer3fiedassessor,ifsuchacer3fica3onisavailable.q Ensurethatresourcesaremadeavailabletoconducttheassessment.q Ensurethattheassessmentteamhasaccesstotherelevantresources.q Agreetotheassessmentscope.q Acceptassessmentresultsonbehalfoftheorganiza3on.

Sponsor

LeadAssessor q  Confirmthesponsor’scommitmenttoproceedwiththeassessment.q  Ensurethattheassessmentisconductedinaccordancewiththerequirements

oftheCOBITassessmentprogramme.q  Ensurethatpar3cipantsintheassessmentarebriefedonthepurpose,scope

andapproachoftheassessment.q  Ensurethatallmembersoftheassessmentteamhaveknowledgeandskills

appropriatetotheirroles.q  Ensurethatallmembersoftheassessmentteamhaveaccesstoappropriate

documentedguidanceonhowtoperformthedefinedassessmentac3vi3es.q  Ensurethattheassessmentteamhasthecompetenciestousethetoolschosen

tosupporttheassessment.q  Confirmreceiptoftheassessmentresultdeliverablesbythesponsor.q  Oncomple3onoftheassessment,verifyanddocumenttheextentof

conformanceoftheassessmenttotheCOBITassessmentprogrammeandISO/IEC15504

©ABConsul3ng-2016

1–Phasededémarrage

KeyRolesandResponsibiliFesinaCOBITAssessmentProgrammeAssignment

Roles ResponsibiliFes

Assessor

Co-ordinator

q  EnsurethattheassessmentisconductedinaccordancewiththerequirementsoftheCOBITassessmentprogramme.

q  Ratetheprocessayributesnecessarytocompletetheprocessprofile.q  Carryouttheassignedac3vi3esassociatedwiththeassessment(detailed

planning,datacollec3on,datavalida3onandrepor3ng)q  andensurethattheyaresupportedbyproperevidencece.q  Ensurethattheassessmentteamhasadequateinterac3onwiththenecessary

organisa3onalrolesneededtocompletetheassessment.q  Ensurethatresourcesaremadeavailableina3melymannertomeetthe

assessmentschedule.q  Serveasinterfaceforlogis3calconcernstoensurethatboththeneedsofthe

businessandtheneedsoftheassessmentareadequatelyserved.

28©ABConsul3ng-2016

1-Phasededémarrage

L’étape de démarrage commence par la confirmaFon du sponsor, lavérifica3on qu’il y a bien un accord sur l’objet et le périmètre del’évaluaFon.Aucoursdeceyeétape,ilseraégalementnécessaired’idenFfiertouteslescontraintes,deproduireunplanninginiFaldel’évaluaFon(ycomprisdesinforma3ons complémentaires suscep3bles d’être nécessaires),de choisirlesparFcipantsàl’évaluaFonainsiquelatotalitédel’équiped’auditeurs,etdedéfinirlesrôlesdechacundesmembresdel’équipe.

29©ABConsul3ng-2016

2–Planifica3ondel’évalua3on

Auditeurs30©ABConsul3ng-2016

2-Planifica3ondel’évalua3on

Laplanifica3ond’uneévalua3on COBIT®5nécessitel’élabora3ond’unpland’audit décrivant l’ensemble des ac3vités de lamission d’audit incluant lacollectedesévidencesetlaconduitedel’évalua3on.Probléma.quesclés:•  Ges3ondeprojet(unauditestunprojetensoi)•  Niveaud’effortrequis(Périmètre,Classedel’évalua3onetniveau

d’ap3tude)•  Ou3lsu3lisés•  Stratégiedecollectedesdonnées

31©ABConsul3ng-2016

Classedel’évalua3on

32©ABConsul3ng-2016

Classedel’évalua3on

33©ABConsul3ng-2016

3–Instruc3onsauxpar3cipants

Auditeurs34©ABConsul3ng-2016

3-Instruc3onsauxpar3cipants

Avantdecommencerlacollectedesdonnées,leLeadAssessordoitd’abords’assurer que l’équipe d’auditeurs comprend le processus d’audit, lesentréesetlessorFes.Lespersonnesde l’Entreprisequidoiventêtreconsultéesdans lecadredel’évaluaFondoiventégalementêtreinforméesdelafaçondontl’évaluaFonse déroulera, des objecFfs visés ainsi que des entrées et des sorFesa_endues. C’est une évaluaFon d’apFtude des processus et non au auditsurlafaçondetravaillerdupersonnel.

35©ABConsul3ng-2016

4–Collectedesévidences

Assessors36©ABConsul3ng-2016

4-CollectedesévidencesLacollectedesdonnéesviseàobtenirdesévidencessoutenantl’évalua3ond’ap3tudedesprocessussélec3onnésdanslepérimètredel’évalua3on.Unestratégiedecollectedoitêtreélaborée,rédigéeetapprouvéedurantceyephase.Ilestimportantdenoterquelapériodedecollectedesdonnéesdoitêtresoigneusement choisie car elle peut avoir un impact sur les résultats del’évalua3on.Probléma.quesclés:•  Stratégiedecollectedesdonnéesrédigéeetvalidée•  Choixdesinstancesduprocessus•  Exigencesrela3vesauxévidences•  Enregistrementsystéma3que•  Prépara3on

37©ABConsul3ng-2016

5–Valida3ondesdonnées

Sponsor

Coordinateur

Auditeurs

Propriétairesdeprocessus

Professionnelsimpliquésdanslesprocessus

LeadAssessor

38©ABConsul3ng-2016

5-Valida3ondesdonnées

La valida3on des données implique la confirma3on que les évidencescollectées sont bien objec3ves et suffisantes pour couvrir l’étendue dupérimètre et pour sa3sfaire l’objet de l’évalua3on ainsi que la cohérenceglobaledesdonnéescollectées.Probléma.quesclés:•  Revuedesdonnéescollectées•  Gérerleséventuellesdéficiences

39©ABConsul3ng-2016

6–Nota3ondesayributs

40©ABConsul3ng-2016

6-Nota3ondesayributs

Pour chaque processus évalué, une note est a_ribuées à chacun desa_ributsduprocessus,jusqu’auniveaud’évaluaFonquiaétédécidélorsdeladéfiniFondupérimètre.Lanoteestcalculéesurlabasedesdonnéesvalidéeslorsdel’étape5.La traçabilité doit impéra3vement êtremaintenue entre les évidencescollectéesetlanotea_ribuéeàchaquea_ributduprocessus.Pourchaquea_ributnoté, la relaFonentre les indicateurset l’évidenceelle-mêmedoitimpéraFvementêtreenregistrée.Probléma.quesclés:•  Leniveau1d’ap3tude•  L’échelledenota3on•  Leprocessusdedécision

41©ABConsul3ng-2016

7–Rapportd’évalua3on

COBIT5©2012ISACAAllrightsreserved 42

7–Rapportd’évalua3onAucoursdeceyephase,lesrésultatsdel’évaluaFonsontanalysésetprésentésausponsoretauxautresparFes-prenantesselonlescas.

Commesoulignédanslaphase1(démarragedelamissiond’évalua3on),ilestimportantdesoulignerquelerapportest:

q  Un rapport d’évaluaFon d’apFtude de processus, basé sur COBIT® 5, réalisé sous laconduited’unauditeur compétent (COBIT®5CerFfiedAssessorby ISACA) et en aucuncasuneayesta3ondecer3fica3onouun rapportdonnant l’assurancede l’efficacitédescontrôles internes, de la ges3on des risques ou de tout autre aspect rela3f à laperformancedel’Entreprise

q  Des3né à une uFlisaFon strictement interne par le management de l’Entreprise pourcomprendreleniveaud’apFtudedesprocessusITbasésurlePAMdeCOBIT®5et(sicelafait par3e du périmètre) à permeyre une ini3a3ve d’améliora3on des processuscorrespondantssurlabasedesrésultatsdel’évalua3onréalisée

Probléma.quesclés:•  Naturedel’engagement•  Rapport•  Contenu•  Implica3onsdesrésultatsdel’évalua3on•  Présenta3onauxpar3cipants

43©ABConsul3ng-2016

Ques3ons/Réponses

©ABConsul3ng-2015 44