Embed Size (px)
DESCRIPTION
Citation preview
Comment implanter COBIT 5 pour bien gouverner l’organisation ?ISACA - Section de Québec, le 7 novembre 2013
Compte-rendu de la table ronde d’experts
Animateur / Modérateur : Dimitri Souleliac, ing., CISSP
Mise en contexte
Cinq questions ont été posées aux experts ci-dessous dans le cadre d’un échange ouvert et d’interactions avec les participants : Paul Brousseau, Directeur, Richter Robert Marchand, Consultant Expert André Boutin, Consultant, Excelsa Technologies Consulting Gilles Gravel, Consultant Expert Marc Lafrance, VP, Planification, Architecture et Gouvernance, Caisse de dépôt et placements du Québec
Pourquoi COBIT 5 ?COBIT 5 est un cadre de référence qui permet de définir un langage commun. Toutefois, la création de sens est primordiale dans tout projet d’implantation car cela va permettre d’établir les liens avec la mission de l’entreprise est surtout d’expliquer pourquoi changer.
Dans un premier temps on est porté à parler de contrôles de conformité, encore associés à COBIT 4.1. Toutefois, COBIT 5 amène d’avantage de sens en se rapprochant des risques organisationnels et des risques d’affaires. Au-delà du contrôle, le rôle du vérificateur change de dimension dans une logique de réduction des risques inhérente à toute démarche de création de valeur.
Question du public : COBIT est toujours introduit par le biais d’une conformité. Est-ce que COBIT peut réellement donner l’impression d’apporter plus d’efficience et de valeur à l’organisation?
Réponse : Il faut garder à l’esprit que si COBIT n’est pas relié à la mission de l’entreprise et simplement vécu comme une obligation de conformité, alors les difficultés seront trop importantes pour permettre une implantation efficace à l’échelle de l’organisation.
Quels sont les déclencheurs et les leviers possibles ?
Chaque organisation est différente, mais dans tous les cas des raisons profondes doivent être à la source du changement (incidents de sécurité, nécessité de démontrer une bonne gestion des investissements ou des actifs, requis stratégique pour une introduction en bourse, etc.).
Par ailleurs, l’arrivée d’un nouveau responsable des technologies de l’information (CIO) ou un besoin de conformité externe peuvent être des déclencheurs. Toutefois, des difficultés vécues concernant la gestion de l’Information, le besoin d’innover ou de se démarquer par rapport à la compétition peuvent constituer des éléments déclencheurs d’une implantation de COBIT 5. En tout cas, l’information demeure la richesse de l’entreprise, à la base des relations d’affaires et de l’économie du savoir.
COBIT 5 étant plus descriptif, il est très facile de réaliser des diagnostics ponctuels, sans nécessairement améliorer les processus. En conséquence, sans déclencheur relié à des problèmes de gouvernance affectant des processus fondamentaux de planification ou d’organisation, il est très difficile d’insuffler le changement.
Dépendamment des entreprises, l’implantation de COBIT 5 ne vient pas nécessairement du CIO. En effet, le président (CEO) peut être le déclencheur car il souhaite être à l’avant-garde ou conquérir de nouveaux marchés. De plus, COBIT 5 positionne les éléments d’architecture d’entreprise en tant que processus au service des affaires. Au-delà des problèmes, vus en tant que facteurs déclencheurs, COBIT 5 peut être implanté pour soutenir une démarche d’avant-garde et positionner l’entreprise comme un leader
En conclusion, on peut implanter COBIT pour des raisons de gouvernance, mais dans tous les cas il est primordial de trouver une « histoire » qui permet de raccrocher les personnes et leur faire comprendre pourquoi ce n’est pas une option.
… sans problèmes fondamentaux vus par les gestionnaires de l’organisation, il peut être difficile d’obtenir l’adhésion pour implanter COBIT 5…
« Sans histoire valable, des secteurs entiers de l’entreprise peuvent ne pas être alignés et passer à côté d’un projet qu’ils voient comme une initiative des secteurs
de conformité qui ne leur apporte pas de valeur. »
« …COBIT 5 va s’attaquer aux vrais éléments pour donner de la valeur ajoutée à l’entreprise tout en contrôlant les risques. Sans valeur ajoutée, il n’y pas plus
d’entreprise, et sans entreprise il n’y a plus de contrôles… »
Est-ce compliqué d’implanter COBIT 5 ?
On n’implante pas COBIT 5 en soit, mais des processus, des contrôles et des redditions de comptes. Toutefois, l’objectif est d’implanter un cadre de gouvernance qui apporte de la valeur ajoutée, tout en optimisant les ressources et réduisant les risques. Avec COBIT 5, nous avons désormais un cadre principalement axé sur la gouvernance et sur la valeur de l’information au sein de l’entreprise.Les
efforts nécessaires à l’implantation dépendent de la taille de l’organisation. Toutefois, la première marche est la plus difficile car elle semble toujours plus haute que les autres. La difficulté n’est pas d’implanter COBIT 5 en soit car cela ne diffère pas de l’implantation d’autres référentiels ou de processus issus de TOGAF, ITIL ou PMBOK qui sont largement connus dans les entreprises. Le plus important est que la démarche vienne de la haut gestion afin d’être initiée correctement.
Par ailleurs, il est plus facile d’implanter COBIT 5 que la version 4.1. En effet, le positionnement de la gouvernance et l’adhésion à haut niveau est maintenant beaucoup plus claire avec moins d’éléments étant sujets à interprétation. De plus, des efforts d’alignements avec d’autres référentiels ont été faits, positionnant ainsi COBIT à la bonne place et sans ambiguïté.
En pratique, il existe une taille minimale requise pour implanter COBIT car cela suppose des coûts incompressibles qui peuvent être difficiles à supporter pour des petites structures. Par ailleurs, la gouvernance présuppose la notion de responsabilités partagées et donc l’existence de plusieurs rôles dans l’entreprise (ce qui n’est pas le cas pour une entreprise à propriétaire unique par exemple).
Question du public : Connaissez-vous des expériences d’implantation de COBIT dans le milieu gouvernemental et à des niveaux stratégiques?
Réponse : Certains ministères ont implantés COBIT pour répondre à la loi 133 du Québec (portant sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement). Dernièrement le gouvernement de l’Afrique du Sud a implanté COBIT 5 (voir communiqué de presse : http://bit.ly/13w7Swz et documents officiels : http://bit.ly/1gWVGvr).
À noter que dans le cadre d’une organisation qui possède une entité supérieure fédératrice, il peut y avoir un enjeu à implanter COBIT dans les autres unités qui s’y rattachent. En effet, dépendamment de l’autonomie des unités, on ne peut pas imposer des moyens et des façons de faire issues de COBIT en même temps que des responsabilités, au risque de faire perdre l’imputabilité aux responsables de l’unité concernée. La définition des rôles et responsabilités est donc primordiale.
« … le passage de COBIT 4.1 à 5 est un véritable saut quantique… on sort des contrôles pour s’en aller vers les processus d’affaires, tout en impliquant la haute direction... »
« … il faut une organisation de taille significative pour implanter COBIT 5… toutefois la philosophie de création de la valeur ajoutée et de contrôle des
risques s’applique à toute entreprise.. »
Question du public : Doit tenir compte du niveau de maturité avant d’implanter COBIT ou alors se servir de COBIT comme un outil de diagnostic de la maturité?
Réponse : une bonne avenue est de proposer l’implantation de COBIT et parallèlement de réaliser les diagnostics pour identifier les zones de faible maturité concernant les 5 piliers de la gouvernance informatique de l’ITGI (voir http://bit.ly/1dKDfWz). Toutefois, cela dépend de la taille des organisations et de leur maturité car il existe des clivages importants entre les grandes entreprises et les structures de moins 500 employés, pour qui des approches d’implantation plus directes peuvent être envisagées.
Le secteur d’activité est également un facteur important pour déterminer la complexité d’implantation de COBIT. En effet, certaines entreprises du secteur primaire ont de nombreux employés mais peu d’information à manipuler, ainsi qu’une faible informatisation de leurs processus. Il faut donc se poser la question de la valeur et de l’importance de l’information pour l’entreprise.
Concernant les coûts d’implantation, il faut prévoir une personne à temps plein pendant toute la durée du projet (1 an) qui va faire le lien entre tous les processus et les contrôles (vue globale). Cette personne va également jouer le rôle de facilitateur avec les différents propriétaires de processus. En plus d’une ressource dédiée, 1 semaine/personne par processus doit être ajouté, sans oublier les efforts de gestion de projet et surtout de communication.
Bien souvent, une ressource externe qui va apporter un regard neuf est nécessaire du fait que l’implantation de COBIT 5 est un projet de transformation organisationnelle. Par ailleurs, il est nécessaire de prévoir le transfert de connaissance, ainsi que les coûts de formation des ressources internes.
Enfin, il faut être conscient que si l’organisation n’est pas prête ou que le projet est mené comme un projet TI parmi d’autres alors les risque d’échecs sont important, aussi grandes soient les sommes d’argent investies.
Gestion du changement
Qui sont les plus réticents?Bien souvent, le niveau de gestion intermédiaire est le plus réticent (directeurs de section, directeurs intermédiaires, chefs de division, coordonnateurs). De façon pragmatique, la gestion du changement vient avec la dimension du changement qui peut varier d’une unité à l’autre. Toutefois, les acteurs de l’entreprise qui sont aux opérations souhaitent que les problèmes se règlent et son bien souvent de bons moteurs du changement. En tout cas, il est important de bien maîtriser les rumeurs et de s’assurer que les personnes sont bien informées.
Par ailleurs, la résistance au changement peut venir de personnes qui ont peur de se faire reprocher de ne pas avoir fait les choses correctement et, de façon plus étonnante, les réticences peuvent venir des équipes TI qui sont à la base porteuses du projet.
« … il est surprenant de voir des grandes entreprises qui ont des niveaux très faibles de maturité dans certains de leur processus. Alors des efforts d’évaluation de
maturité doivent être prévus avant d’implanter COBIT... »
« En pratique, on s’aperçoit rapidement qu’il y a des personnes réticentes… lorsqu’on fait circuler un questionnaire de diagnostic et que les personnes n’y répondent pas, il s’agit
d’un bon indicateur de résistance aux changements à venir… »
Question du public : Faut-il choisir un moment propice de décristallisation pour implanter COBIT 5 et mieux gérer le changement?
Réponse : il peut être important de choisir une période de décristallisation de l’organisation, sinon l’implantation de COBIT peut entrer en compétition avec les autres projets des lignes d’affaires qui sont généralement plus prioritaires. De plus, les structures évoluent et changent en fonction des problèmes rencontrés, sans que cela ne soit nécessairement relié à l’implantation de COBIT.
Les ressources doivent s’impliquer comme acteur du changement et non comme des spectateurs qui se placent en observateurs des activités menées par un consultant externe.
De plus, des facteurs de motivation peuvent être l’atteinte d’objectifs à la fin de l’année, mais aussi d’indicateurs qui démontrent que des problèmes sont résolus, comme par exemple la baisse du nombre d’incidents. À noter que ces indicateurs de performance doivent être définis avec les gestionnaires qui vivent les problèmes à leur niveau.
Comment gérer la communication?Le défi d’un plan de communication est de garder les parties impliquées informées, sans oublier les « parties intéressées » qui pourraient se démobiliser. En effet, comme les processus ne sont tous implantés en même temps, il est crucial de maintenir l’intérêt de l’ensemble des parties prenantes.
Par ailleurs, le facteur de succès le plus important réside dans le fait d’avoir un appui à haut niveau et l’implication d’un « champion » ayant toute la force pour communiquer et diffuser le projet dans chacun des secteurs.
Quelles sont les indicateurs à utiliser?Lors d’une implantation, il est important d’identifier les processus les plus critiques et de se fixer des objectifs de maturité réalistes et ne pas viser un niveau 5 en partant. En fonction du contexte d’affaires de l’entreprise, il est possible de ne choisir qu’une partie des processus en première itération, en fonction de leur valeur ajoutée et de leur importance pour l’organisation.
Dans COBIT 5, la notion de capacité est utilisée plutôt que celle de maturité avec une échelle à 6 niveaux (de 0 à 5) pour les 37 processus. Lors de l’exercice d’évaluation, il faut prendre en compte le fait que les unités opérationnelles peuvent avoir tendance à se sous-évaluer afin de mettre l’emphase sur un besoin de rehaussement des moyens (budgets, temps, etc.). À contrario, le niveau de gestion peut avoir tendance à surévaluer la maturité, sauf dans le cas d’un gestionnaire qui serait nouvellement arrivé en poste.
Reddition : comment bien choisir des indicateurs de performance?
« Les critères de maturité sont très différents dans COBIT 5 … les évaluations de capacités sont plus rigoureuses et alignées sur ISO 15504, enlevant la subjectivité des évaluations »
« En pratique, on s’aperçoit rapidement qu’il y a des personnes réticentes… lorsqu’on fait circuler un questionnaire de diagnostic et que les personnes n’y répondent pas, il s’agit
d’un bon indicateur de résistance aux changements à venir… »
Le plus important dans la reddition de compte est de bien comprendre qui est l’audience et à qui on s’adresse (Conseil d’administration, Comité de direction, Comité de risques opérationnels, etc.). De plus, il faut éviter de démultiplier les redditions sur un même sujet et adapter le message en fonction des instances visées :
Le Conseil d’administration doit comprendre dans quelle mesure la stratégie est alignée sur les affaires, Le Comité de risques opérationnels doit avoir la conviction que l’ensemble des risques sont couverts et
que les plus importants soient connus et fassent l’objet de plans de mitigations, Le Comité de vérification doit avoir la connaissance des vulnérabilités plus tactiques et être convaincu
que l’on respecte les engagements et que les processus soient suivis, Les tableaux de bords opérationnels au niveau des Comités de gestion TI doivent détailler la
performance des 37 processus, avec chacun des contrôles et leur efficacité.
Une des meilleures approches est un tableau de bord équilibré (Balanced Scorecard) qui couvre aussi bien des objectifs d’affaires, de risques, de reddition, de suivi et de contrôles.
Enfin, il est très important que les indicateurs de performance proviennent des secteurs d’affaires et non qu’ils adhérent à des indicateurs décidés par ailleurs. Il s’agit alors de traduire les contrôles en indicateurs de performance qui ont du sens pour les affaires, dans une approche de personnalisation des métriques proposées dans COBIT 5.
