COBIT 5: Gouvernance de l’IT et alors ?

COBIT 5: Gouvernance de l’IT et alors ?
La gouvernance des systèmes d’information  est une préoccupation majeure des dirigeants d’entreprise et CIO.
COBIT “Control Objectives for Information and related Technology » est un référentiel de bonnes pratiques de gouvernance des systèmes d’information promu par l’ISACA (Information Systems Audit and Control Association).
Ce référentiel créé en 1996 a, au fil des années, étendu son périmètre avec pour ambition de proposer une synthèse des meilleures pratiques: COSO (Référentiel de contrôle interne pour l’audit des entreprises), mais aussi les référentiels IT les plus connus (ITIL, CMMI, PMI, ISO 2700x, ISO 9000).
Dans un monde en ébullition, anticiper et prévoir est le nerf de la guerre. Dans ce cadre, le système d’information représente  le système nerveux de l’entreprise, jouant le rôle  de support ou médiateur pour en activer toutes ses fonctions.
Ce que COBIT propose, c’est de donner les moyens aux décideurs d’analyser et de comprendre l’articulation entre la gouvernance de l’entreprise,  d’une part, et le management du système d’information, d’autre part, en distinguant clairement les deux activités et les processus afférant.
Tout ceci est ambitieux et peut sembler  complexe et théorique en première approche. Cependant, vous m’accorderez que décrire et  comprendre une entreprise et son système d’information est une matière complexe.
COBIT va permettre de modéliser, et donc de simplifier, la compréhension du système dans  l’objectif  d’aider à la prise de décisions en matière d’organisation et d’amélioration de processus IT.
Il n’en reste pas moins que, comme tout référentiel ou méthode, COBIT n’est que ce que l’on en fait.  Au-delà de la dimension première analytique du modèle, COBIT fournit les outils permettant une approche pragmatique allant du questionnement des parties prenantes et la définition des objectifs d’entreprise,  jusqu’à la cascade en objectifs IT au sein de chacun des processus.
Cette approche va permettre:
  • Un alignement des objectifs d’entreprise et IT
  • Une analyse de l’alignement, ou pas, des différents processus avec une qualification de leur maturité et efficience
  • Une identification de l’organisation et des acteurs impactés
  • Une identification des informations  et des données par processus (Entrée, sortie notamment)
 

Regardons de plus près les grands principes de COBIT pour mieux appréhender le modèle.

COBIT repose sur 5 grands principes :
  1. Répondre aux attentes des parties prenantes
  2. Avoir une couverture complète de l’entreprise (de bout en bout)
  3. Appliquer un seul et unique référentiel
  4. Permettre une approche holistique
  5. Séparer la gouvernance du management
Les principes 1, 3 et 5 sont compréhensibles d’emblée. Sans entrer dans le détail, je souhaite cependant zoomer sur les deux autres grands principes qui vont vous permettre  de mieux appréhender la portée, et aussi de mon point de vue, la simplicité de COBIT.
*Simplicité au sens de « c’est plus simple que ça en a l’air en définitive ! »

Principe No 2 – Avoir une couverture complète de l’entreprise

COBIT vise à décrire tous les processus depuis la gouvernance en passant par le management jusqu’aux opérations et modélise son approche comme suit:
Comme on le voit la gouvernance se concentre sur trois éléments :
  • La définition des objectifs
  • La gestion des risques (comprendre surtout arbitrer)
  • L’optimisation des ressources (au sens des moyens)*
 

Principe No 4 – Permettre une approche holistique

COBIT couvre dans son approche  l’ensemble des domaines permettant de couvrir le système d’information :
  • Principe, normes  et référentiel appliqués
  • Processus
  • Structure d’organisation
  • Culture, principe éthique et comportement
  • Information
  • Services d’infrastructure et application
  • Personne, compétences et connaissance.

 

En synthèse

COBIT a évolué au fil des années. Au départ un référentiel pour aider les auditeurs dans l’analyse de la gouvernance IT des entreprises, il s’est enrichi progressivement en intégrant d’autres référentiels avec notamment : la dimension sécurité  (référentiel BMIS), l’analyse de la valeur (référentiel Val-IT) et la gestion des risques (référentiel Risk-IT).
A signaler aussi que la dimension Lean management est prégnante au modèle au travers des modèles de maturité de processus, mais aussi dans la démarche d’implémentation que je pourrai aborder dans  un autre article.
Bien sûr, ce modèle présente ses propres limites notamment :
  • Non prise en compte du facteur temps et de la dynamique des systèmes (approche en terme « d’alignement » qui suppose un état figé du système à un instant T).
  • Faible intégration des problématiques de comportement des acteurs (Behaviour)**
COBIT a néanmoins pour avantage d’avoir de nombreuses années d’application, d’être en constante évolution et de disposer d’une  communauté très active (auditeur, consultant, formateur) portée par l’ISACA.
Nous avons abordé ici COBIT 5 publié en 2012, la dernière version COBIT 2019 enrichit le référentiel sur plusieurs points :
  • Intégration du modèle de maturité CMMI
  • Enrichissement des processus de management
  • Alignement aux standards de sécurité
J’espère que cet article a pu vous éclairer et vous donner quelques clés sur ce référentiel qui reste peu diffusé en France mais qui de mon point de vue propose une bonne synthèse entre une vision orientée SI  et une approche plus globale du management et de la gouvernance.
*De fait, la gouvernance ne concerne que le comité de direction et tout ce qui concerne la mise en oeuvre de cette gouvernance relève du management. Parler de « gouvernance programme ou projet » est donc impropre  mais souvent utilisé par « mauvaise » habitude en lieu et place de la notion de système de management (le contexte permet de s’y retrouver)
**COBIT est une approche top/down alors que par exemple l’agilité et SAFe s’inscrivent plutôt dans une approche comportementale et de dynamique de groupe pour adresser progressivement les problématiques de management jusqu’à la gestion de portefeuille (mais pas encore le niveau gouvernance). Dans ce cas, l’agilité est plutôt à considérer comme une approche bottom/up du management.  Ce sujet mériterait d’autres développements et j’y reviendrai plus tard dans un autre article.

Cf cet article par exemple pour illustrer cette problématique :https://www.itforbusiness.fr/gouvernance-traditionnelle-ou-agile-demandez-au-pmo-18666

#Gouvernance

#Agilité

 #COBIT

#Performance

#SAFe

 

 

 

0