Guide COBIT 2019 : de A jusqu’à Z

COBIT 2019 vient d’être publié par l’ISACA et les certifications commencent tout juste à être disponibles. Pour l’instant seul le niveau Foundation et le Bridge sont proposés. Le reste suivra en Avril. C’est donc le bon moment, me semble-t-il, pour comprendre ce que COBIT 2019 apporte vraiment aux organisations. Il fallait trouver une façon un peu ludique de vous le présenter. J’ai donc choisi cette approche originale d’un guide sous forme d’un abécédaire. Je vous laisse le découvrir en vous amusant et j’attends vos commentaires..

J’ai déjà eu l’occasion de décrire quelques aspects importants de COBIT 2019, notamment dans mon introduction à COBIT 2019. C’était fin 2018, au moment de la publication des deux premiers volumes par l’ISACA. Depuis, les 4 volumes constituant l’ossature de COBIT 2019 ont été publiées par l’ISACA. Désormais, le cursus complet de formations et de certifications COBIT 2019 est également disponible.

COBIT est un cadre conçu pour prendre en charge la gouvernance et la gestion de l’information d’entreprise, incluant les technologies associées. Il aide les organisations à créer de la valeur pour divers groupes de parties prenantes en priorisant leurs besoins. Il aide également les organisations à atteindre leurs objectifs en établissant un partenariat entre l’informatique et le reste de l’entreprise, plutôt que de traiter la DSI comme une entité à part.

Bien sûr, COBIT 2019 va beaucoup plus loin que cela. C’est pourquoi j’écris aujourd’hui cet article afin de donner un aperçu de haut niveau de ce qu’est vraiment COBIT. Cela complète un précédent article : « 10 étapes pour bien démarrer avec COBIT 2019« . Je vous invite également à jeter un coup d’œil à mon dernier article « Atteignez vos objectifs de gouvernance grâce à COBIT 2019 » qui met en lumière les principaux changements entre COBIT 5 datant de 2012 et la nouvelle version améliorée.

Alignement des objectifs

Un des mécanismes essentiels de COBIT est la cascade d’objectifs. Le concept de cascade d’objectifs consiste en une approche descendante qui aide les organisations à créer des objectifs d’entreprise à partir des besoins et facteurs de motivation des parties-prenantes. Ces objectifs d’entreprise (ou objectifs stratégiques) se transforment ensuite en objectifs d’alignement. Dans le domaine informatique, les objectifs d’alignement «mettent l’accent sur l’alignement de tous les efforts informatiques avec les objectifs commerciaux». Enfin, les objectifs d’alignement se transforment en objectifs de gouvernance et de gestion de l’information et des technologies associées (EGIT).

Bénéfices pour les parties prenantes

L’ISACA déclare qu ’«… une majorité d’entreprises indiquent que moins de la moitié de leurs initiatives informatiques apportent réellement les avantages attendus.»

Si vous travaillez dans l’informatique (ou tout autre service dépendant des services informatiques), vous avez sûrement dû rencontrer, par exemple, un produit technologique acheté et installé avec toutes les promesses du monde. Mais vous constaterez que finalement, il ne livre pas ce qui était attendu. Le but recherché c’est la réalisation des bénéfices commerciaux et c’est ce que COBIT aide les organisations à faire: utiliser les technologies de l’information pour obtenir les résultats souhaités.

Composants de gouvernance de COBIT 2019

Dans COBIT 2019, des composants – vous les connaissez peut-être en tant que facilitateurs ou « enablers » dans COBIT 5 – existent pour aider une entreprise à gouverner et gérer avec succès son information et la technologie associée. Le but de chaque composant est défini par les objectifs d’alignement de l’organisation dans le cadre d’un processus en cascade d’objectifs. 

Dans COBIT, il y a sept composants:

1. Les processus
2. Structures organisationnelles
3. Les flux d’information et éléments
4. Personnes, aptitudes et compétences
5. Politiques et procédures
6. Culture, éthique et comportement
7. Services, infrastructure et applications.

Ces sept composants fonctionnent ensemble pour garantir que l’objectif de gouvernance est en adéquation avec la stratégie de l’organisation.

DevOps

COBIT 2019 intègre désormais explicitement DevOps. DevOps illustre à la fois une variante de composant et une zone d’intérêt. Pourquoi? DevOps est un thème actuel sur le marché et nécessite certainement des orientations spécifiques. Cela en fait donc une zone d’intérêt (Voir la lettre Z).

DevOps comprend un certain nombre d’objectifs génériques de gouvernance et de gestion du modèle central COBIT, ainsi qu’un certain nombre de variantes de processus et de structures organisationnelles liés au développement, aux opérations et à la surveillance. DevOps nécessite également la mise en place d’une certaine culture et d’une  attitude d’ouverture d’esprit, de partage des compétences ainsi que sortir les équipes de leur zone de confort. De même DevOps nécessite une certain niveau d’automatisation (services, infrastructures et applications). Il est clair que DevOps constitue une zone d’intérêt, priorisée parmi les premières et en cours de développement.

Economique et efficient

COBIT vise à maintenir la conformité des organisations et à réduire les risques au sein de l’informatique, ce qui peut les aider à économiser de l’argent. Par exemple, être exposé à un risque particulier pourrait entraîner des conséquences très coûteuses et indésirables pour une entreprise, tant sur le plan financier que sur le plan de la réputation.

Il aide également à traduire les besoins des parties prenantes en objectifs et utilise des méthodes approfondies (telles que les tableaux de bords équilibrés mentionnée ci-dessous) pour garantir que les activités opérationnelles restent sur la bonne voie (performances) et restent alignées sur la vision de l’entreprise. Cela aussi permet d’économiser de l’argent à long terme, car l’argent n’est pas gaspillé pour des activités ou des processus qui n’apportent aucune valeur à l’organisation.

Facteurs de conception

Les facteurs de conception sont des facteurs qui peuvent influer sur la conception du système de gouvernance d’une entreprise et la positionner de manière appropriée pour réussir dans l’utilisation de son SI.

COBIT répartit les facteurs de conception dans11 catégories qui peuvent d’ailleurs se combiner entre eux.

Gouvernance de l’information et des technologies

L’objectif principal de COBIT 2019 est de fournir aux entreprises des lignes directrices sur la gouvernance ET la gestion de l’information et des technologies de l’information d’entreprise.

COBIT considère ces disciplines comme des domaines distincts et les traite donc comme tels. L’aspect gouvernance de COBIT aide les organisations à rester en conformité et à réduire les risques liés à l’informatique. La direction doit ensuite planifier, élaborer, exécuter et surveiller les activités conformément à l’orientation fournie par la gouvernance pour atteindre les objectifs de l’organisation.

Hollistique

Le cadre permet une approche globale de la gouvernance et de la gestion de l’informatique d’entreprise. Le tableau de bord équilibré (décrit à la lettre T) aide à faire correspondre les objectifs de l’informatique à ceux de l’organisation et montre leur lien avec les objectifs de gouvernance de COBIT.

En utilisant cette approche globale, c’est-à-dire en fusionnant informatique et business, les relations entre l’organisation et les TI peuvent être considérablement améliorées. L’informatique devient alors une partie intégrante de l’entreprise au lieu d’être traitée comme une entité distincte.

Intégré (cadre de gouvernance et de management)

L’un des principes sous-jacents de COBIT est qu’il s’intègre bien à d’autres référentiels et normes du secteur, tels que ISO, ITIL, TOGAF, PMBOK, SFIA, etc..

Le point important, c’est qu’il ne cherche pas à remplacer d’autres cadres. Au lieu de cela, les autres cadres devraient être utilisés ensemble pour atteindre les résultats souhaités. COBIT aide également les entreprises à utiliser pleinement les cadres qui sont peut-être déjà en place. Considérez-le donc comme un cadre global permettant de les intégrer.

aJustable aux organisations

Chaque entreprise se distingue des autres par de nombreux aspects: taille, secteur, environnement réglementaire, spectre des menaces, rôle de l’informatique dans l’organisation, choix tactiques liés à la technologie, etc.

COBIT les désigne collectivement comme des « facteurs de conception » – (voir F comme facteurs de conception).

Les organisations doivent adapter leur système de gouvernance pour tirer le meilleur parti de l’utilisation de leur SI. Il n’existe pas de système de gouvernance unique pour l’information et la technologie d’entreprise qui convienne à tous.

La personnalisation signifie qu’une entreprise part du modèle central COBIT et applique des modifications à ce cadre générique. La réalisation de ces modifications intervient en fonction de la pertinence et de l’importance d’une série de facteurs de conception.

Ce processus s’appelle «conception du système de gouvernance de l’information et de la technologie d’entreprise».

Kanban et autres méthodes agiles

Dans sa conception même, COBIT 2019 intègre les concepts issus des méthodes agiles (Kanban, SAFE, Scrum, Lean IT, DevOps). Il s’adapte donc à toute organisation souhaitant améliorer son agilité business sur la base de son système d’information et de la technologie associée.

Lois et réglementations

Le monde du droit et de la réglementation peut être très déroutant et difficile à maîtriser. Comme dans le monde des technologies, les choses peuvent évoluer très rapidement.

COBIT peut aider les organisations à rester en conformité. En effet, il s’aligne sur les normes de gouvernance acceptées dans le monde entier. Il s’appuie également sur les lois, les réglementations et les accords contractuels, et facilite l’élaboration de politiques internes en matière de conformité.

Mapping

C’est certainement un mot que nous pouvons associer à COBIT, car la cartographie apparaît dans plusieurs domaines:

• Les objectifs sont mis en correspondance avec les objectifs de gouvernance du tableau de bord équilibré
• Les besoins des parties prenantes sont mis en correspondance avec les objectifs de l’entreprise
• Le cadre COBIT peut être mappé sur d’autres cadres, travaillant ensemble pour réussir.

Nouveautés de COBIT 2019

La publication de COBIT 2019 date de novembre 2018. Il contient un certain nombre d’éléments nouveaux, modifiés et mis à jour. J’ai déjà mentionné les composants, les zones d’intérêt et les facteurs de conception. Le management de la performance dans COBIT 2019 est un autre exemple qu’on doit mentionner. Il examine le fonctionnement du système de gouvernance et de gestion de votre organisation, ainsi que de tous les composants.

Pour connaître le détail des nouveautés de COBIT 2019, je vous invite à lire un de mes précédents articles : COBIT 2019 – Les nouveautés.

Objectifs de gouvernance et de management

Les objectifs de Gouvernance et de Management sont maintenant au nombre de 40. Chaque objectif est supporté par un processus qui sera associé aux autres composants permettant d’atteindre cet objectif. Les objectifs se répartissent en cinq domaines.

Performance (management de la)

Le management de la Performance COBIT (CPM) fait référence au fonctionnement du système de gouvernance et de gestion et de tous les composants d’une entreprise, ainsi qu’à la manière les améliorer au niveau requis. Il inclut des concepts et des méthodes tels que les niveaux de capacité et les niveaux de maturité. COBIT 2019 repose sur les principes suivants:

• Simple à comprendre et à utiliser
• Conformité avec le modèle conceptuel COBIT, et prise en charge de ce modèle
• Fournir des résultats fiables, reproductibles et pertinents
• Doit être flexible
• Devrait supporter différents types d’évaluations

Le modèle CPM s’aligne largement sur les concepts CMMI® Development 2.0 et les étend:

• Les activités de processus sont associées à des niveaux de capacité. Ceci est inclus dans le guide COBIT: Objectifs de gouvernance et de gestion.
• D’autres types de composants de gouvernance et de gestion (structures organisationnelles, informations, par exemple) peuvent également avoir des niveaux de capacité définis pour eux dans les futures directives que l’ISACA pourrait publier.
• Les niveaux de maturité sont associés à des zones d’intérêt (c’est-à-dire un ensemble d’objectifs de gouvernance et de gestion et des composants sous-jacents) et seront atteints si tous les niveaux de capacité requis sont atteints.

Qualité de l’information

Toute organisation ayant besoin de technologie pour conserver et transmettre ses informations peut utiliser COBIT. Il fournit des conseils sur les systèmes d’information de l’organisation afin de s’assurer qu’ils sont conformes, sécurisés et fiables. De plus, COBIT fournit aux entreprises les informations dont elles ont besoin pour comprendre, utiliser et gérer les processus et l’infrastructure informatiques.

Risque et ressources optimisées pour créer de la valeur

L’objectif principal de COBIT en matière de gouvernance est défini comme suit: «création de valeur», basée sur trois éléments:

1. Réalisation des bénéfices – la citation, «la seule raison valable d’investir dans un changement fondé sur la technologie est de générer des bénéfices» est un bon point de départ pour décrire cet élément.
2. Optimisation des risques – il existe deux types de risques, le mauvais et le bon. L’optimisation des risques consiste à éviter autant que possible les mauvais risques et à rechercher de manière proactive les bons risques qui rapporteront.
3. Optimisation des ressources: il s’agit de veiller à ce que le service informatique dispose des ressources appropriées pour atteindre les objectifs de l’entreprise. Cela comprend la technologie, les ressources humaines et les processus. Il se concentre sur l’optimisation de ces ressources pour une fourniture efficace et cohérente de services informatiques. Et, sans les ressources adéquates en place, les organisations peuvent gaspiller de l’argent, laisser tomber les consommateurs et nuire au moral du personnel.

Le cadre aide à trouver le meilleur équilibre entre ces facteurs, de manière à ce que chaque groupe de parties prenantes puisse bénéficier d’une valeur optimale.

Système de gouvernance pour la transformation numérique

La nouvelle version mise à jour de COBIT reconnaît que la transformation numérique modifie le mode de travail des entreprises. Elle indique qu’il n’est plus acceptable que le conseil d’administration d’une organisation «délègue, ignore ou évite des décisions relatives à l’information et à la technologie». L’information et la technologie sont des outils essentiels dans un monde numérique. Les conseils d’administration et les cadres supérieurs doivent donc être étroitement associés. alors même que la création de valeur dépend de plus en plus de la numérisation.

Tableaux de bord équilibrés (BSC)

Le système de tableaux de bord équilibrés (Balanced Score Cards) est utilisé depuis de nombreuses années dans les entreprises pour aider les organisations à suivre leurs activités opérationnelles et s’assurer qu’elles s’efforcent de respecter la vision, la mission et les objectifs de l’entreprise. COBIT apporte le système de tableaux de bord équilibrés au service informatique pour aider à aligner les objectifs informatiques sur les besoins de l’entreprise.

Le tableau de bord équilibré (BSC) lui-même comporte quatre dimensions:

1. Financier (l’organisation travaille-t-elle dans les limites de son budget et réalise-t-elle un bénéfice?)
2. Client (l’organisation fournit-elle des services / produits que le client aime?)
3. Interne (l’organisation optimise-t-elle tous ses processus pour fournir ses services de manière efficace?)
4. Apprentissage et croissance (l’organisation est-elle en constante amélioration?)

Les objectifs de COBIT se répartissent sur les quatre dimensions des BSC. Le cadre précise si la relation de chaque objectif est primaire ou secondaire par rapport aux objectifs de gouvernance de COBIT. L’objectif de gouvernance est, rappelons-le la réalisation de bénéfices, l’optimisation des risques et l’optimisation des ressources.

Utilisateurs mieux satisfaits

Avec COBIT, les besoins des utilisateurs professionnels sont analysés et intégrés à des objectifs. Cela les aide à accroître leur satisfaction à la fois de l’utilisation des services (car ceux-ci répondent désormais à leurs besoins) et de l’interaction avec les technologies de l’information (parce qu’ils sont pris en compte dans le développement du processus). Dès lors, le cadre, ainsi que d’autres éléments, aident le service informatique à fournir la meilleure expérience utilisateur possible.

Valeur assurée pour les parties prenantes

Les parties prenantes sont toujours le point de départ de COBIT. L’analyse des parties prenantes consiste notamment à déterminer qui elles sont, ce dont elles ont besoin et ce qu’elles veulent.

Il est important ensuite de différencier leurs besoins et leurs désirs. Les désirs sont souvent «agréables à avoir», ce qui n’est tout simplement pas réalisable. Par contre, les besoins sont des exigences. L’organisation doit impérativement les satisfaire afin de fournir une valeur aux parties prenantes. En effet, comme le dit COBIT, la création de valeur est la raison pour laquelle les organisations existent.

Worldwide

Des entreprises du monde entier utilisent COBIT comme cadre de gouvernance. Reconnu dans le monde entier, il peut être mis en œuvre dans toute organisation qui s’appuie sur l’information et la technologie pour faciliter ses opérations commerciales. L’ISACA met à disposition des utilisateurs, sur son site web un document montrant les principales utilisations de COBIT comme cadre de gouvernance ou d’audit dans les différents pays du monde.

eXemples de mise en oeuvre

Se voulant clairement moins théorique que la version précédente, la documentation de COBIT 2019 inclut désormais de nombreux exemples destinés aux responsable de la conception et de la mise en oeuvre d’un système de gouvernance spécifique dans leur organisation. COBIT 2019 apparaît désormais comme une boîte à outils directement utilisable dans toute organisation.

Yes you can

Pour reprendre la devise du Président Obama, vous pouvez, vous aussi participer à l’évolution de COBIT 2019.

COBIT a été développé à l’origine par l’ISACA. L’ISACA est  une association professionnelle indépendante à but non lucratif regroupant plus de 140 000 professionnels de la gouvernance, de la sécurité, des risques et de l’assurance dans 187 pays.

L’ISACA a choisi un modèle «open source» pour COBIT 2019. Les utilisateurs ont donc désormais la possibilité de fournir de manière proactive un retour d’information et de proposer des améliorations, et de nouvelles évolutions qui seront publiées au besoin.

Zones d’intérêt

Une zone d’intérêt (focus area) décrit un sujet, un domaine ou un problème de gouvernance qui peut être traité par un ensemble d’objectifs de gouvernance et de gestion et leurs composants.

Les zones d’intérêt peuvent contenir une combinaison de composants de gouvernance génériques et de variantes.

Le nombre de zones d’intérêts est pratiquement illimité. C’est ce qui rend COBIT ouvert. L’ajout de nouvelles zones d’intérêt interviendra à la demande ou avec la contribution d’experts et de praticiens.

Les 4 zones d’intérêts actuellement priorisées et en cours de publication sont :

• Petites et moyennes entreprises,
• Cybersécurité,
• Risques,
• DevOps

Voici donc mon abécédaire de COBIT 2019, de A jusqu’à Z. Je ne vous cache pas que cela n’a pas été facile de trouver les mots adéquats pour certaines lettres rarement utilisées en français (K, W, Y, Z par exemple). J’ai essayé d’inclure les modifications de la version 2019 autant que possible. Pensez-vous qu’il faudrait ajouter d’autres sujets? N’hésitez pas à laisser vos remarques et commentaires. Nous vous en remercions.