La gouvernance au cœur de la transformation numérique - Le contexte et la situation actuels du développement des référentiels et des bonnes pratiques

« Comment placer la Gouvernance au cœur de la transformation numérique ?»

(1/2)

Les jeudis de l’AFAI

Patrick Stachtchenko 2 Avril 2015

1 Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015

Patrick Stachtchenko Coordonnées

• Mobile : +33 6 86 68 35 76

• Email : [email protected]


Le contexte et la situation actuels du développement

des référentiels et des bonnes pratiques


• “Internet of things” : un monde hyper connecté

• >10 MM unités avec accès internet, 20 - 50 MM unités en réseau, 3 MM mobiles avec accès internet

• Explosion de l’information numérisée : un monde hyper “informé”

• 5 dernières années x 10, 10 prochaines x 50, > 90 MM d’emails/jour, > 1 MM recherches Google/jour, > 3 MM comptes réseaux sociaux, géolocalisation

• Fournisseurs Cloud : un monde de services (HAAS, SAAS,.) accessible à tous

• Présence croissante, dépendance plus forte

• Rôle du DSI : un (des) rôle(s) à reinventer

• Leader / Intégrateur de “business services”, Rôles mal définis entre business et informatique, Plus architectes de solutions et managers de fournisseurs

• Focalisation plus importante sur les risques opérationnels : des opportunités fortes mais des risques forts (pas de prise de risques, pas de succès!)

4

Tendances « IT »

Gouverner/manager ces tendances, une des «top» préoccupations informatiques

Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015

Préoccupations “IT” • Parties prenantes (entreprise “étendue”): multiples, intérêts multiples, divergents, mouvants, conflictuels /

contradictoires, CT/LT, … propositions de valeur multiples, niveaux d’appétit et de tolérance au risque multiples, … (valeur pour qui?, priorités, arbitrage, résolution des conflits, conflits d’intérêts, … )

• Dépendances / Inter-dépendances (entreprise “étendue”): communication, énergie, personnes, fournisseurs de services, information, … (confiance?, Approche holistique, systémique)

• Langage/terminologie (langage commun pour entreprise étendue): confusion, vue incomplète, perceptions,..

– “Words are, of course, the most powerful drug used by mankind.” Rudyard Kipling

• Vue/Décision/Action intégrée (vision étendue): silos, responsibilités, désintermédiation, simple pas simpliste

• Intégration des fonctions et des préoccupations dans le business (vision étendue): Bureau du DSI, DF, RH, …, Projets, directives, structures, compétences, risques (Prise de risque : Agressif vs Conservateur, Culture apprenante vs Culture du blâme, Conformité vs non-conformité, Incitations et Aspects dissuasifs, …)

• Information (opportunités/risques au coeur de l’entreprise étendue): IT/IS versus Information, Valeur, Big Data, Applications, Vie privé, Délit d’initié, Manipulation, Espionnage industriel, Formulation, Traçabilité, Opinion, Perception, Biais, Divulgation, “Whistle blowing”, Automatisation, Prévisions, Destruction, …

• Traitement du contexte et du changement (entreprise étendue adaptée, mouvante et pérenne): technologie, culture, législation, compétition, environnement business, …, agilité, innovation, conformité, ….

• Mesure de Performance/Conformité (entreprise étendue pilotée sous contrôle): Indicateurs, CT/LT, benchmark, capacités/résultats, bénéfices/risques/ressources, incitations/aspects dissuasifs, …

Prise de décision : gouvernance

Alignement / Exécution : management

Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015 5 Informatique / Référentiels « traditionnels » plutôt absents !

Gouvernance : Définition

“Un système de gouvernance est constitué de tous les

moyens et mécanismes qui vont permettre à de multiples

parties prenantes, à différents niveaux d’une entité, pour

un but spécifique, d’avoir leur mot à dire de manière

organisée dans la fixation des orientations et dans le

suivi de la performance et de la conformité de manière à

créer pour elles des avantages (i.e.benefits) acceptables,

en prenant des niveaux de risque acceptables et en

utilisant les ressources limitées de manière responsable”

Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015 6

Impératif

“…trust in, and value from,

information and information

systems…”


Impératif Confiance

8

• Exigences : Transparence, Responsabilité, Preuves, Traçabilité, Spécifiques par partie prenante

• Niveaux : Notion d’assurance raisonnable

• Objets : Leviers, Résultats

• Moyens internes : Gouvernance / Management / Contrôle interne / Gestion des risques / Sécurité / Référentiels / Bonnes pratiques

• Moyens externes : Certifications / Audits / Niveaux de maturité / Niveaux de capacité / Benchmarks

• Indicateurs de performance / conformité : moyens et résultats • Sans mesure, pas de contrôle, sans contrôle, pas de confiance

• Cohérence : Maillon faible, Approche holistique, systémique, contextuelle, …

• Pérennité : Court terme vs Long terme, Agilité, Continuité

« La sécurité de la cité tient moins à la solidité de ses fortifications qu’à la fermeté d’esprit de ses habitants. »


Impact des tendances


Impacts des Tendances Passé Inf. Bus. Passé/Présent Inf. Bus. Présent/Futur Inf. Bus. Num.


Contexte Business •Support à l’automatisation des fonctions traditionnelles de gestion

(facturation, paye, compta, …)

•Gains d’efficacité, amélioration de la fiabilité, accès sécurisé

•Support business «add-ons» aux fonctions traditionnelles (ventes, produits, infos financières, intelligence de marché, reporting)

•Meilleure connaissance à jour et utilisation de cette connaissance pour la prise de décision et le suivi

•Développement business et transformation. Le business est numérique. Tout est numérique.

•mobilité, choix interactifs, accès intuitif, autonomie, jetable, réutilisable, … • partenaires, clients, fournisseurs, employés, communautés,… • interconnexion, partage, interaction, travail

•Pertinence business et survie • innovation, avantage compétitif, croissance pérenne, nouveaux

business modèles, bénéfices liés à la valeur de l’information, nouveaux modes de travail, expertise collective, règlementation croissante, vie privée, cyber

Impacts des Tendances Passé

Inf. Bus. Passé/Présent

Inf. Bus.

Présent/Futur

Inf. Bus. Num.


Réponse en matière de référentiel • Orienté informatique. Cycle de vie rigoureux. Bonnes pratiques informatiques. Contrôlé. Utilisation business prévue par informatique

•CobiT 1, 2 and 3, ITIL, ISO, … bien adaptés.

•Tel ci-dessus avec perspective business en plus (Gouvernance, priorités, bénéfices, risques et objectifs informatiques) ou effectué de manière séparée par business avec soutien limité référentiel informat.

•COBIT 4, Val IT et Risk IT en combinaison, ITIL, ISO

•Holistique, Systémique, Intégré au business.

•Focalisé sur parties prenantes (value for many, gouvernance est clé)

•Proposition de valeur intégrée (bénéfices, risques, ressources)

•Focalisation sur information versus technologie

•Ecosystème intégré : matériel, logiciel, services, technologies

•Leviers intégrés (informatique intégrée aux structures, directives, référentiels, processus, compétences, langage, culture, services, projets, initiatives, indicateurs de performance, menaces business)

•COBIT 5 référentiel holistique, systémique, contextuel, intégré efficace

Impacts des Tendances Passé Inf. Bus. Passé/Présent Inf. Bus. Présent/Futur Inf. Bus. Num.

12


Risques •Besoins matures, relativement stables. Solutions matures et efficaces.

Chaîne de commande limitée. Référentiels et pratiques rigoureuses en place. Niveau de risque relativement faible.

•Pour les services externalisés, utilisation de solutions et de pratiques matures (cf. ci-dessus) limite aussi le niveau de risques.

•Lorsque « add-ons » intégrés au système central, risques similaires. Mais, besoins business associés moins matures. Plus d’implication business nécessaire. Niveau de risque plus élevé. Référentiels tels CobiT 4 limitent les risques.

•Lorsque « add-ons » non intégrés, rôle du business plus élevé. Pratiques et méthodologies moins rigoureuses. Niveau de risque plus élevé. Mais, périmètre limité, simplicité d’utilisation et impact limité sur le système central, limitent quelque peu le niveau de risque.

•Besoins non matures, implication multiples acteurs/organisations, intégration chaîne de valeur complète (besoins, technologies, capacités, fournisseurs, clients), responsabilités multiples, multiplicité et sophistication des solutions, utilisation référentiels et pratiques non matures, complexité pour gouverner et manager environnement avec expérience limitée engendrent un niveau très élevé des risques.

Les référentiels actuels répondent-ils au nouveau contexte?


Les référentiels internationaux de SI Gouvernance et Management des SI

Comparaison avec le périmètre de COBIT 5

14

Plusieurs organisations utilisent plusieurs référentiels en combinaison Copyright ISACA


Plupart des référentiels actuels : Non prise en compte des tendances


Prise de décision (Gouvernance) Exécution et alignement (Management)

--

--

--

--

--

--

--

--

• Parties prenantes (entreprise “étendue)

• Dépendances / Inter-dépendances (entreprise “étendue”)

• Langage/terminologie (langage commun pour entreprise étendue)

• Vue/Décision/Action intégrée (vision étendue)

• Intégration des fonctions et des préoccupations dans le business (vision étendue)

• Information (opportunités/risques au coeur de l’entreprise étendue)

• Traitement du contexte et du changement (entreprise étendue adaptée, mouvante et pérenne)

• Mesure de Performance/Conformité (entreprise étendue pilotée sous contrôle)

COBIT 5 potentiel : Prise en compte des tendances



++

++

++

++

++

++

+

++


• Dépendances/Inter-dépendances (entreprise “étendue”)







COBIT 5 avec aides actuels : Prise en compte partielle des tendances



+

+

+

+

-

+

-

+


• Dépendances / Inter-dépendances (entreprise “étendue”)







Comment COBIT 5 peut répondre à ce nouveau contexte?


COBIT 5 : Caractéristiques Clés • Une démarche s’appuyant sur des modèles

• Holistique, Systémique, Contextuelle, Intégrée, Simple mais pas Simpliste

• Des exemples de bonnes pratiques et des outils (plusieurs ”vues” et niveaux de détail)

• 5 principes • Orienté Création de Valeur pour les Parties Prenantes • Couvrant l’Entreprise de Bout en Bout • Appliquant un Référentiel Intégré Unique • Favorisant une Approche Holistique • Distinguant la Gouvernance du Management

• 7 catégories de leviers • Processus • Information • Principes, Directives et Référentiels • Culture, Ethique et Comportements • Structures Organisationnelles • Aptitudes, Compétences , RH • Services, Infrastructure and Applic ations

• Création de Valeur : 3 objectifs intégrés • Bénéfices, Risques, Ressources

• Levier (Processus) • 3 aspects de gouvernance (EDM) (5 dommaines/processus) • 4 aspects de management (PBRM) (32 domaines/processus)


• 4 dimensions génériques par levier • Parties Prenantes • Buts / Objectifs • Cycle de Vie • Bonnes Pratiques (attributs)

• 2 types d’indicateurs de Performance • Indicateurs de Résultats • Indicateurs de Moyens

COBIT 5 : Les principes

Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015 20

Principe 1 : « Meeting Stakeholders Needs » Création de Valeur : La Cascade des Objectifs


Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved.

• Mécanisme pour traduire

• Les moteurs business contextuels (modifications de stratégie, environnement business et réglementaire changeant, évolutions technologiques, ….)

• Les intérêts et besoins des parties prenantes

en objectifs d’entreprise, informatiques et de leviers spécifiques, personnalisés et actionnables

• Ces objectifs peuvent être liés aux objectifs de gouvernance de toute organisation : livrer des bénéfices, à un niveau de risque acceptable, en optimisant l’utilisation des ressources (Value for Many)

• Cette traduction permet d’établir des objectifs spécifiques à chaque niveau et dans tous les domaines de l’entreprise en soutien aux objectifs généraux et aux besoins des parties prenantes

• Aides concernant les objectifs Business, IT et des leviers et les indicateurs de performance (incluant les cartographies)

Principe 1 : « Meeting Stakeholders Needs » Création de Valeur et Gouvernance

22

• Quelles parties prenantes ? • Quels intérêts pour ces parties prenantes ?

• Quels bénéfices / avantages ? • Tangibles et intangibles ? • Bénéfices / Avantages pour qui?

• Quels risques ? • Risques pour qui ? • Appétit / Tolérance / Capacité ?

• Quelles ressources ? • Ressources pour qui ? • Utilisation efficiente et responsable ?

• Propositions de création de valeur • Préoccupation de gouvernance • Value for “Many”

• Aides (Technologies émergentes, …)

• Différents types et niveaux de valeur requis pour différentes parties prenantes • Opportunités? Risques? Qui prend les décisions ? Comment les décisions sont prises?

Comment sont-elles influencées? Comment s’assure-t-on qu’elles sont mises en oeuvre? Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015

Copyright ISACA

Principe 2 : « Covering the Enterprise End to end » Les différents acteurs : activités, rôles et responsabilités



• Toutes les parties prenantes ont un rôle à jouer

• Evaluation des options et orientations stratégiques arrêtées: type de bénéfices, niveau d’appétit et de tolérance au risque, niveau de ressources à mobiliser

• Suivi de la performance et de la conformité à ces orientations

• Alignement stratégique • Planification • Conception et mise en œuvre des solutions • Exploitation • Suivi et contrôle

• Exécution

Principe 3 : « Enabling a Holistic Approach »



• Les interconnections illustrent le fait qu’un levier

• A besoin d’inputs des autres leviers pour être efficace (e.g. les processus ont besoin d’information, les structures organisationnelles ont besoin de personnes, les personnes ont besoin de compétences et de comportememts, et vice versa)

• Livre des outputs au service d’autres leviers e.g. les processus livre de l’information, les compétences et les comportements font que les processus soient efficients,…

• Ex : Le besoin d’une information sécurisée nécessite qu’un certain nombre de directives et de procédures soit créé et mis en oeuvre. Ces directives à leur tour nécessitent que des pratiques soient mis en oeuvre. Néanmoins, si la culture d’entreprise et du personnel n’est pas appropriée, les procédures et les processus ne seront pas très efficaces

Principe 3 : « Enabling a Holistic Approach »

25

Favorisant une approche holistique, systémique et contextuelle intégrée Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015


Pour tous les leviers, un modèle générique qui procure une approche commune, simple et structurée, orienté résultats, permettant de prendre en compte leurs interactions complexes

- Identification des parties prenantes externes et internes

- Identification des intérêts et des objectifs des parties prenantes

- Connexion au cycle de vie et aux bonnes pratiques

- Identification des indicateurs de « résultats » et de « moyens » (Sans mesures, pas de contrôle)

Principe 4 : « Applying a Single Framework »



• COBIT 5 est aligné avec les derniers référentiels et standards utilisés pas les entreprises:

• Enterprise: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000

• IT: ISO/IEC 38500, ITIL, ISO/IEC 27000 series, TOGAF, PMBOK/PRINCE2, CMMI)

• Ceci permet d’utiliser COBIT 5 comme le référentiel intégrateur de gouvernance and management de l’entreprise

• Il est complet dans sa couverture de l’entreprise, procurant une base pour intégrer efficacement les autres référentiels, pratiques et standards utilisés (Cartographies)

• Il procure une architecture simple pour structurer un ensemble cohérent d’aides dans un langage business non technique et intégrer l’ensemble des référentiels existants

Principe 5 : « Separating Governance from Management »



Gouvernance (EDM)

La Gouvernance s’assure que

• Les besoins, conditions et options des parties prenantes soient évalués pour déterminer les objectifs d’entreprise équilibrés et acceptés à atteindre

• Les orientations soient fixées au travers de prioritisation et prise de décision

• Le suivi de la perfomance et de la conformité soit effectué par rapport aux orientations et objectifs pré-déterminés

Management (PBRM)

Le Management planifie, construit, exploite et suit les activités de manière alignée avec les orientations fixées par les organes de gouvernance pour atteindre les objectifs de l’entreprise

Principe 5 : « Separating Governance from Management »

28

Copyright ISACA


• Il illustre tous les processus normalement trouvés dans une entreprise, fournissant un modèle de référence commun compréhensible aussi bien par les managers business et informatiques

• Le modèle proposé est complet mais n’est pas le seul possible

• Chaque entité doit définir ses propres processus en prenant en compte son contexte spécifique

• Chaque processus traite son cycle de vie, identifie ses inputs et outputs, ses activités, les responsabilités et les indicateurs de performance

Technology

La gouvernance au cœur de la transformation numérique - Le contexte et la situation actuels du développement des référentiels et des bonnes pratiques