Upload
antoine-vigneron
View
587
Download
0
Embed Size (px)
Citation preview
« Comment placer la Gouvernance au cœur de la transformation numérique ?»
(1/2)
Les jeudis de l’AFAI
Patrick Stachtchenko 2 Avril 2015
1 Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Patrick Stachtchenko Coordonnées
• Mobile : +33 6 86 68 35 76
• Email : [email protected]
2 Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Le contexte et la situation actuels du développement
des référentiels et des bonnes pratiques
3 Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
• “Internet of things” : un monde hyper connecté
• >10 MM unités avec accès internet, 20 - 50 MM unités en réseau, 3 MM mobiles avec accès internet
• Explosion de l’information numérisée : un monde hyper “informé”
• 5 dernières années x 10, 10 prochaines x 50, > 90 MM d’emails/jour, > 1 MM recherches Google/jour, > 3 MM comptes réseaux sociaux, géolocalisation
• Fournisseurs Cloud : un monde de services (HAAS, SAAS,.) accessible à tous
• Présence croissante, dépendance plus forte
• Rôle du DSI : un (des) rôle(s) à reinventer
• Leader / Intégrateur de “business services”, Rôles mal définis entre business et informatique, Plus architectes de solutions et managers de fournisseurs
• Focalisation plus importante sur les risques opérationnels : des opportunités fortes mais des risques forts (pas de prise de risques, pas de succès!)
4
Tendances « IT »
Gouverner/manager ces tendances, une des «top» préoccupations informatiques
Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Préoccupations “IT” • Parties prenantes (entreprise “étendue”): multiples, intérêts multiples, divergents, mouvants, conflictuels /
contradictoires, CT/LT, … propositions de valeur multiples, niveaux d’appétit et de tolérance au risque multiples, … (valeur pour qui?, priorités, arbitrage, résolution des conflits, conflits d’intérêts, … )
• Dépendances / Inter-dépendances (entreprise “étendue”): communication, énergie, personnes, fournisseurs de services, information, … (confiance?, Approche holistique, systémique)
• Langage/terminologie (langage commun pour entreprise étendue): confusion, vue incomplète, perceptions,..
– “Words are, of course, the most powerful drug used by mankind.” Rudyard Kipling
• Vue/Décision/Action intégrée (vision étendue): silos, responsibilités, désintermédiation, simple pas simpliste
• Intégration des fonctions et des préoccupations dans le business (vision étendue): Bureau du DSI, DF, RH, …, Projets, directives, structures, compétences, risques (Prise de risque : Agressif vs Conservateur, Culture apprenante vs Culture du blâme, Conformité vs non-conformité, Incitations et Aspects dissuasifs, …)
• Information (opportunités/risques au coeur de l’entreprise étendue): IT/IS versus Information, Valeur, Big Data, Applications, Vie privé, Délit d’initié, Manipulation, Espionnage industriel, Formulation, Traçabilité, Opinion, Perception, Biais, Divulgation, “Whistle blowing”, Automatisation, Prévisions, Destruction, …
• Traitement du contexte et du changement (entreprise étendue adaptée, mouvante et pérenne): technologie, culture, législation, compétition, environnement business, …, agilité, innovation, conformité, ….
• Mesure de Performance/Conformité (entreprise étendue pilotée sous contrôle): Indicateurs, CT/LT, benchmark, capacités/résultats, bénéfices/risques/ressources, incitations/aspects dissuasifs, …
Prise de décision : gouvernance
Alignement / Exécution : management
Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015 5 Informatique / Référentiels « traditionnels » plutôt absents !
Gouvernance : Définition
“Un système de gouvernance est constitué de tous les
moyens et mécanismes qui vont permettre à de multiples
parties prenantes, à différents niveaux d’une entité, pour
un but spécifique, d’avoir leur mot à dire de manière
organisée dans la fixation des orientations et dans le
suivi de la performance et de la conformité de manière à
créer pour elles des avantages (i.e.benefits) acceptables,
en prenant des niveaux de risque acceptables et en
utilisant les ressources limitées de manière responsable”
Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015 6
Impératif
“…trust in, and value from,
information and information
systems…”
7 Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Impératif Confiance
8
• Exigences : Transparence, Responsabilité, Preuves, Traçabilité, Spécifiques par partie prenante
• Niveaux : Notion d’assurance raisonnable
• Objets : Leviers, Résultats
• Moyens internes : Gouvernance / Management / Contrôle interne / Gestion des risques / Sécurité / Référentiels / Bonnes pratiques
• Moyens externes : Certifications / Audits / Niveaux de maturité / Niveaux de capacité / Benchmarks
• Indicateurs de performance / conformité : moyens et résultats • Sans mesure, pas de contrôle, sans contrôle, pas de confiance
• Cohérence : Maillon faible, Approche holistique, systémique, contextuelle, …
• Pérennité : Court terme vs Long terme, Agilité, Continuité
« La sécurité de la cité tient moins à la solidité de ses fortifications qu’à la fermeté d’esprit de ses habitants. »
Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Impact des tendances
9 Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Impacts des Tendances Passé Inf. Bus. Passé/Présent Inf. Bus. Présent/Futur Inf. Bus. Num.
10 Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Contexte Business •Support à l’automatisation des fonctions traditionnelles de gestion
(facturation, paye, compta, …)
•Gains d’efficacité, amélioration de la fiabilité, accès sécurisé
•Support business «add-ons» aux fonctions traditionnelles (ventes, produits, infos financières, intelligence de marché, reporting)
•Meilleure connaissance à jour et utilisation de cette connaissance pour la prise de décision et le suivi
•Développement business et transformation. Le business est numérique. Tout est numérique.
•mobilité, choix interactifs, accès intuitif, autonomie, jetable, réutilisable, … • partenaires, clients, fournisseurs, employés, communautés,… • interconnexion, partage, interaction, travail
•Pertinence business et survie • innovation, avantage compétitif, croissance pérenne, nouveaux
business modèles, bénéfices liés à la valeur de l’information, nouveaux modes de travail, expertise collective, règlementation croissante, vie privée, cyber
Impacts des Tendances Passé
Inf. Bus. Passé/Présent
Inf. Bus.
Présent/Futur
Inf. Bus. Num.
11 Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Réponse en matière de référentiel • Orienté informatique. Cycle de vie rigoureux. Bonnes pratiques informatiques. Contrôlé. Utilisation business prévue par informatique
•CobiT 1, 2 and 3, ITIL, ISO, … bien adaptés.
•Tel ci-dessus avec perspective business en plus (Gouvernance, priorités, bénéfices, risques et objectifs informatiques) ou effectué de manière séparée par business avec soutien limité référentiel informat.
•COBIT 4, Val IT et Risk IT en combinaison, ITIL, ISO
•Holistique, Systémique, Intégré au business.
•Focalisé sur parties prenantes (value for many, gouvernance est clé)
•Proposition de valeur intégrée (bénéfices, risques, ressources)
•Focalisation sur information versus technologie
•Ecosystème intégré : matériel, logiciel, services, technologies
•Leviers intégrés (informatique intégrée aux structures, directives, référentiels, processus, compétences, langage, culture, services, projets, initiatives, indicateurs de performance, menaces business)
•COBIT 5 référentiel holistique, systémique, contextuel, intégré efficace
Impacts des Tendances Passé Inf. Bus. Passé/Présent Inf. Bus. Présent/Futur Inf. Bus. Num.
12
Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Risques •Besoins matures, relativement stables. Solutions matures et efficaces.
Chaîne de commande limitée. Référentiels et pratiques rigoureuses en place. Niveau de risque relativement faible.
•Pour les services externalisés, utilisation de solutions et de pratiques matures (cf. ci-dessus) limite aussi le niveau de risques.
•Lorsque « add-ons » intégrés au système central, risques similaires. Mais, besoins business associés moins matures. Plus d’implication business nécessaire. Niveau de risque plus élevé. Référentiels tels CobiT 4 limitent les risques.
•Lorsque « add-ons » non intégrés, rôle du business plus élevé. Pratiques et méthodologies moins rigoureuses. Niveau de risque plus élevé. Mais, périmètre limité, simplicité d’utilisation et impact limité sur le système central, limitent quelque peu le niveau de risque.
•Besoins non matures, implication multiples acteurs/organisations, intégration chaîne de valeur complète (besoins, technologies, capacités, fournisseurs, clients), responsabilités multiples, multiplicité et sophistication des solutions, utilisation référentiels et pratiques non matures, complexité pour gouverner et manager environnement avec expérience limitée engendrent un niveau très élevé des risques.
Les référentiels actuels répondent-ils au nouveau contexte?
13 Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Les référentiels internationaux de SI Gouvernance et Management des SI
Comparaison avec le périmètre de COBIT 5
14
Plusieurs organisations utilisent plusieurs référentiels en combinaison Copyright ISACA
Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Plupart des référentiels actuels : Non prise en compte des tendances
15 Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Prise de décision (Gouvernance) Exécution et alignement (Management)
--
--
--
--
--
--
--
--
• Parties prenantes (entreprise “étendue)
• Dépendances / Inter-dépendances (entreprise “étendue”)
• Langage/terminologie (langage commun pour entreprise étendue)
• Vue/Décision/Action intégrée (vision étendue)
• Intégration des fonctions et des préoccupations dans le business (vision étendue)
• Information (opportunités/risques au coeur de l’entreprise étendue)
• Traitement du contexte et du changement (entreprise étendue adaptée, mouvante et pérenne)
• Mesure de Performance/Conformité (entreprise étendue pilotée sous contrôle)
COBIT 5 potentiel : Prise en compte des tendances
16 Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Prise de décision (Gouvernance) Exécution et alignement (Management)
++
++
++
++
++
++
+
++
• Parties prenantes (entreprise “étendue)
• Dépendances/Inter-dépendances (entreprise “étendue”)
• Langage/terminologie (langage commun pour entreprise étendue)
• Vue/Décision/Action intégrée (vision étendue)
• Intégration des fonctions et des préoccupations dans le business (vision étendue)
• Information (opportunités/risques au coeur de l’entreprise étendue)
• Traitement du contexte et du changement (entreprise étendue adaptée, mouvante et pérenne)
• Mesure de Performance/Conformité (entreprise étendue pilotée sous contrôle)
COBIT 5 avec aides actuels : Prise en compte partielle des tendances
17 Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Prise de décision (Gouvernance) Exécution et alignement (Management)
+
+
+
+
-
+
-
+
• Parties prenantes (entreprise “étendue)
• Dépendances / Inter-dépendances (entreprise “étendue”)
• Langage/terminologie (langage commun pour entreprise étendue)
• Vue/Décision/Action intégrée (vision étendue)
• Intégration des fonctions et des préoccupations dans le business (vision étendue)
• Information (opportunités/risques au coeur de l’entreprise étendue)
• Traitement du contexte et du changement (entreprise étendue adaptée, mouvante et pérenne)
• Mesure de Performance/Conformité (entreprise étendue pilotée sous contrôle)
Comment COBIT 5 peut répondre à ce nouveau contexte?
18 Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
COBIT 5 : Caractéristiques Clés • Une démarche s’appuyant sur des modèles
• Holistique, Systémique, Contextuelle, Intégrée, Simple mais pas Simpliste
• Des exemples de bonnes pratiques et des outils (plusieurs ”vues” et niveaux de détail)
• 5 principes • Orienté Création de Valeur pour les Parties Prenantes • Couvrant l’Entreprise de Bout en Bout • Appliquant un Référentiel Intégré Unique • Favorisant une Approche Holistique • Distinguant la Gouvernance du Management
• 7 catégories de leviers • Processus • Information • Principes, Directives et Référentiels • Culture, Ethique et Comportements • Structures Organisationnelles • Aptitudes, Compétences , RH • Services, Infrastructure and Applic ations
• Création de Valeur : 3 objectifs intégrés • Bénéfices, Risques, Ressources
• Levier (Processus) • 3 aspects de gouvernance (EDM) (5 dommaines/processus) • 4 aspects de management (PBRM) (32 domaines/processus)
19 Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
• 4 dimensions génériques par levier • Parties Prenantes • Buts / Objectifs • Cycle de Vie • Bonnes Pratiques (attributs)
• 2 types d’indicateurs de Performance • Indicateurs de Résultats • Indicateurs de Moyens
COBIT 5 : Les principes
Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015 20
Principe 1 : « Meeting Stakeholders Needs » Création de Valeur : La Cascade des Objectifs
21 Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved.
• Mécanisme pour traduire
• Les moteurs business contextuels (modifications de stratégie, environnement business et réglementaire changeant, évolutions technologiques, ….)
• Les intérêts et besoins des parties prenantes
en objectifs d’entreprise, informatiques et de leviers spécifiques, personnalisés et actionnables
• Ces objectifs peuvent être liés aux objectifs de gouvernance de toute organisation : livrer des bénéfices, à un niveau de risque acceptable, en optimisant l’utilisation des ressources (Value for Many)
• Cette traduction permet d’établir des objectifs spécifiques à chaque niveau et dans tous les domaines de l’entreprise en soutien aux objectifs généraux et aux besoins des parties prenantes
• Aides concernant les objectifs Business, IT et des leviers et les indicateurs de performance (incluant les cartographies)
Principe 1 : « Meeting Stakeholders Needs » Création de Valeur et Gouvernance
22
• Quelles parties prenantes ? • Quels intérêts pour ces parties prenantes ?
• Quels bénéfices / avantages ? • Tangibles et intangibles ? • Bénéfices / Avantages pour qui?
• Quels risques ? • Risques pour qui ? • Appétit / Tolérance / Capacité ?
• Quelles ressources ? • Ressources pour qui ? • Utilisation efficiente et responsable ?
• Propositions de création de valeur • Préoccupation de gouvernance • Value for “Many”
• Aides (Technologies émergentes, …)
• Différents types et niveaux de valeur requis pour différentes parties prenantes • Opportunités? Risques? Qui prend les décisions ? Comment les décisions sont prises?
Comment sont-elles influencées? Comment s’assure-t-on qu’elles sont mises en oeuvre? Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Copyright ISACA
Principe 2 : « Covering the Enterprise End to end » Les différents acteurs : activités, rôles et responsabilités
23 Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved.
• Toutes les parties prenantes ont un rôle à jouer
• Evaluation des options et orientations stratégiques arrêtées: type de bénéfices, niveau d’appétit et de tolérance au risque, niveau de ressources à mobiliser
• Suivi de la performance et de la conformité à ces orientations
• Alignement stratégique • Planification • Conception et mise en œuvre des solutions • Exploitation • Suivi et contrôle
• Exécution
Principe 3 : « Enabling a Holistic Approach »
24 Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved.
• Les interconnections illustrent le fait qu’un levier
• A besoin d’inputs des autres leviers pour être efficace (e.g. les processus ont besoin d’information, les structures organisationnelles ont besoin de personnes, les personnes ont besoin de compétences et de comportememts, et vice versa)
• Livre des outputs au service d’autres leviers e.g. les processus livre de l’information, les compétences et les comportements font que les processus soient efficients,…
• Ex : Le besoin d’une information sécurisée nécessite qu’un certain nombre de directives et de procédures soit créé et mis en oeuvre. Ces directives à leur tour nécessitent que des pratiques soient mis en oeuvre. Néanmoins, si la culture d’entreprise et du personnel n’est pas appropriée, les procédures et les processus ne seront pas très efficaces
Principe 3 : « Enabling a Holistic Approach »
25
Favorisant une approche holistique, systémique et contextuelle intégrée Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved.
Pour tous les leviers, un modèle générique qui procure une approche commune, simple et structurée, orienté résultats, permettant de prendre en compte leurs interactions complexes
- Identification des parties prenantes externes et internes
- Identification des intérêts et des objectifs des parties prenantes
- Connexion au cycle de vie et aux bonnes pratiques
- Identification des indicateurs de « résultats » et de « moyens » (Sans mesures, pas de contrôle)
Principe 4 : « Applying a Single Framework »
26 Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved.
• COBIT 5 est aligné avec les derniers référentiels et standards utilisés pas les entreprises:
• Enterprise: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000
• IT: ISO/IEC 38500, ITIL, ISO/IEC 27000 series, TOGAF, PMBOK/PRINCE2, CMMI)
• Ceci permet d’utiliser COBIT 5 comme le référentiel intégrateur de gouvernance and management de l’entreprise
• Il est complet dans sa couverture de l’entreprise, procurant une base pour intégrer efficacement les autres référentiels, pratiques et standards utilisés (Cartographies)
• Il procure une architecture simple pour structurer un ensemble cohérent d’aides dans un langage business non technique et intégrer l’ensemble des référentiels existants
Principe 5 : « Separating Governance from Management »
27 Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved.
Gouvernance (EDM)
La Gouvernance s’assure que
• Les besoins, conditions et options des parties prenantes soient évalués pour déterminer les objectifs d’entreprise équilibrés et acceptés à atteindre
• Les orientations soient fixées au travers de prioritisation et prise de décision
• Le suivi de la perfomance et de la conformité soit effectué par rapport aux orientations et objectifs pré-déterminés
Management (PBRM)
Le Management planifie, construit, exploite et suit les activités de manière alignée avec les orientations fixées par les organes de gouvernance pour atteindre les objectifs de l’entreprise
Principe 5 : « Separating Governance from Management »
28
Copyright ISACA
Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
• Il illustre tous les processus normalement trouvés dans une entreprise, fournissant un modèle de référence commun compréhensible aussi bien par les managers business et informatiques
• Le modèle proposé est complet mais n’est pas le seul possible
• Chaque entité doit définir ses propres processus en prenant en compte son contexte spécifique
• Chaque processus traite son cycle de vie, identifie ses inputs et outputs, ses activités, les responsabilités et les indicateurs de performance