Similar to La gouvernance au cœur de la transformation numérique - Le contexte et la situation actuels du développement des référentiels et des bonnes pratiques
inoo / Construire un écosystème entrepreneurial dans l'économie numériqueGuillaume Maison
Similar to La gouvernance au cœur de la transformation numérique - Le contexte et la situation actuels du développement des référentiels et des bonnes pratiques (20)
La gouvernance au cœur de la transformation numérique - Le contexte et la situation actuels du développement des référentiels et des bonnes pratiques
1. « Comment placer la Gouvernance au cœur de la
transformation numérique ?»
(1/2)
Les jeudis de l’AFAI
Patrick Stachtchenko 2 Avril 2015
1Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
3. Le contexte et la situation
actuels du développement
des référentiels et des bonnes
pratiques
3Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
4. • “Internet of things” : un monde hyper connecté
• >10 MM unités avec accès internet, 20 - 50 MM unités en réseau, 3 MM
mobiles avec accès internet
• Explosion de l’information numérisée : un monde hyper “informé”
• 5 dernières années x 10, 10 prochaines x 50, > 90 MM d’emails/jour, > 1 MM
recherches Google/jour, > 3 MM comptes réseaux sociaux, géolocalisation
• Fournisseurs Cloud : un monde de services (HAAS, SAAS,.) accessible à tous
• Présence croissante, dépendance plus forte
• Rôle du DSI : un (des) rôle(s) à reinventer
• Leader / Intégrateur de “business services”, Rôles mal définis entre business et
informatique, Plus architectes de solutions et managers de fournisseurs
• Focalisation plus importante sur les risques opérationnels : des
opportunités fortes mais des risques forts (pas de prise de risques, pas de
succès!)
4
Tendances « IT »
Gouverner/manager ces tendances, une des «top» préoccupations informatiques
Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
5. Préoccupations “IT”
• Parties prenantes (entreprise “étendue”): multiples, intérêts multiples, divergents, mouvants, conflictuels /
contradictoires, CT/LT, … propositions de valeur multiples, niveaux d’appétit et de tolérance au risque
multiples, … (valeur pour qui?, priorités, arbitrage, résolution des conflits, conflits d’intérêts, … )
• Dépendances / Inter-dépendances (entreprise “étendue”): communication, énergie, personnes, fournisseurs
de services, information, … (confiance?, Approche holistique, systémique)
• Langage/terminologie (langage commun pour entreprise étendue): confusion, vue incomplète, perceptions,..
– “Words are, of course, the most powerful drug used by mankind.” Rudyard Kipling
• Vue/Décision/Action intégrée (vision étendue): silos, responsibilités, désintermédiation, simple pas simpliste
• Intégration des fonctions et des préoccupations dans le business (vision étendue): Bureau du DSI, DF, RH, …,
Projets, directives, structures, compétences, risques (Prise de risque : Agressif vs Conservateur, Culture
apprenante vs Culture du blâme, Conformité vs non-conformité, Incitations et Aspects dissuasifs, …)
• Information (opportunités/risques au coeur de l’entreprise étendue): IT/IS versus Information, Valeur, Big
Data, Applications, Vie privé, Délit d’initié, Manipulation, Espionnage industriel, Formulation, Traçabilité,
Opinion, Perception, Biais, Divulgation, “Whistle blowing”, Automatisation, Prévisions, Destruction, …
• Traitement du contexte et du changement (entreprise étendue adaptée, mouvante et pérenne): technologie,
culture, législation, compétition, environnement business, …, agilité, innovation, conformité, ….
• Mesure de Performance/Conformité (entreprise étendue pilotée sous contrôle): Indicateurs, CT/LT,
benchmark, capacités/résultats, bénéfices/risques/ressources, incitations/aspects dissuasifs, …
Prise de décision : gouvernance Alignement / Exécution : management
Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
5Informatique / Référentiels « traditionnels » plutôt absents !
6. Gouvernance : Définition
“Un système de gouvernance est constitué de tous les
moyens et mécanismes qui vont permettre à de multiples
parties prenantes, à différents niveaux d’une entité, pour
un but spécifique, d’avoir leur mot à dire de manière
organisée dans la fixation des orientations et dans le
suivi de la performance et de la conformité de manière à
créer pour elles des avantages (i.e.benefits) acceptables,
en prenant des niveaux de risque acceptables et en
utilisant les ressources limitées de manière responsable”
Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015 6
7. Impératif
“…trust in, and value from,
information and information
systems…”
7
Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
8. Impératif
Confiance
8
• Exigences : Transparence, Responsabilité, Preuves, Traçabilité, Spécifiques par
partie prenante
• Niveaux : Notion d’assurance raisonnable
• Objets : Leviers, Résultats
• Moyens internes : Gouvernance / Management / Contrôle interne / Gestion des
risques / Sécurité / Référentiels / Bonnes pratiques
• Moyens externes : Certifications / Audits / Niveaux de maturité / Niveaux de
capacité / Benchmarks
• Indicateurs de performance / conformité : moyens et résultats
• Sans mesure, pas de contrôle, sans contrôle, pas de confiance
• Cohérence : Maillon faible, Approche holistique, systémique, contextuelle, …
• Pérennité : Court terme vs Long terme, Agilité, Continuité
« La sécurité de la cité tient moins à la solidité de ses fortifications qu’à la fermeté
d’esprit de ses habitants. »
Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
10. Impacts des Tendances
Passé
Inf. Bus.
Passé/Présent
Inf. Bus.
Présent/Futur
Inf. Bus.
Num.
10
Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Contexte Business
•Support à l’automatisation des fonctions traditionnelles de gestion
(facturation, paye, compta, …)
•Gains d’efficacité, amélioration de la fiabilité, accès sécurisé
•Support business «add-ons» aux fonctions traditionnelles (ventes,
produits, infos financières, intelligence de marché, reporting)
•Meilleure connaissance à jour et utilisation de cette connaissance
pour la prise de décision et le suivi
•Développement business et transformation. Le business est
numérique. Tout est numérique.
• mobilité, choix interactifs, accès intuitif, autonomie, jetable,
réutilisable, …
• partenaires, clients, fournisseurs, employés, communautés,…
• interconnexion, partage, interaction, travail
•Pertinence business et survie
• innovation, avantage compétitif, croissance pérenne, nouveaux
business modèles, bénéfices liés à la valeur de l’information,
nouveaux modes de travail, expertise collective, règlementation
croissante, vie privée, cyber
11. Impacts des Tendances
Passé
Inf. Bus.
Passé/Présent
Inf. Bus.
Présent/Futur
Inf. Bus.
Num.
11Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Réponse en matière de référentiel
• Orienté informatique. Cycle de vie rigoureux. Bonnes pratiques
informatiques. Contrôlé. Utilisation business prévue par informatique
•CobiT 1, 2 and 3, ITIL, ISO, … bien adaptés.
•Tel ci-dessus avec perspective business en plus (Gouvernance,
priorités, bénéfices, risques et objectifs informatiques) ou effectué de
manière séparée par business avec soutien limité référentiel informat.
•COBIT 4, Val IT et Risk IT en combinaison, ITIL, ISO
•Holistique, Systémique, Intégré au business.
•Focalisé sur parties prenantes (value for many, gouvernance est clé)
•Proposition de valeur intégrée (bénéfices, risques, ressources)
•Focalisation sur information versus technologie
•Ecosystème intégré : matériel, logiciel, services, technologies
•Leviers intégrés (informatique intégrée aux structures, directives,
référentiels, processus, compétences, langage, culture, services,
projets, initiatives, indicateurs de performance, menaces business)
•COBIT 5 référentiel holistique, systémique, contextuel, intégré efficace
12. Impacts des Tendances
Passé
Inf. Bus.
Passé/Présent
Inf. Bus.
Présent/Futur
Inf. Bus.
Num.
12
Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Risques
•Besoins matures, relativement stables. Solutions matures et efficaces.
Chaîne de commande limitée. Référentiels et pratiques rigoureuses en
place. Niveau de risque relativement faible.
•Pour les services externalisés, utilisation de solutions et de pratiques
matures (cf. ci-dessus) limite aussi le niveau de risques.
•Lorsque « add-ons » intégrés au système central, risques similaires.
Mais, besoins business associés moins matures. Plus d’implication
business nécessaire. Niveau de risque plus élevé. Référentiels tels
CobiT 4 limitent les risques.
•Lorsque « add-ons » non intégrés, rôle du business plus élevé.
Pratiques et méthodologies moins rigoureuses. Niveau de risque plus
élevé. Mais, périmètre limité, simplicité d’utilisation et impact limité
sur le système central, limitent quelque peu le niveau de risque.
•Besoins non matures, implication multiples acteurs/organisations,
intégration chaîne de valeur complète (besoins, technologies,
capacités, fournisseurs, clients), responsabilités multiples, multiplicité
et sophistication des solutions, utilisation référentiels et pratiques
non matures, complexité pour gouverner et manager environnement
avec expérience limitée engendrent un niveau très élevé des risques.
13. Les référentiels actuels répondent-ils au nouveau contexte?
13Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
14. Les référentiels internationaux de SI
Gouvernance et Management des SI
Comparaison avec le périmètre de COBIT 5
14
Plusieurs organisations utilisent plusieurs référentiels en combinaison
Copyright ISACA
Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
15. Plupart des référentiels actuels : Non prise en compte des tendances
15Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Prise de décision (Gouvernance) Exécution et alignement (Management)
--
--
--
--
--
--
--
--
• Parties prenantes (entreprise “étendue)
• Dépendances / Inter-dépendances (entreprise “étendue”)
• Langage/terminologie (langage commun pour entreprise étendue)
• Vue/Décision/Action intégrée (vision étendue)
• Intégration des fonctions et des préoccupations dans le business (vision
étendue)
• Information (opportunités/risques au coeur de l’entreprise étendue)
• Traitement du contexte et du changement (entreprise étendue adaptée,
mouvante et pérenne)
• Mesure de Performance/Conformité (entreprise étendue pilotée sous
contrôle)
16. COBIT 5 potentiel : Prise en compte des tendances
16Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Prise de décision (Gouvernance) Exécution et alignement (Management)
++
++
++
++
++
++
+
++
• Parties prenantes (entreprise “étendue)
• Dépendances/Inter-dépendances (entreprise “étendue”)
• Langage/terminologie (langage commun pour entreprise étendue)
• Vue/Décision/Action intégrée (vision étendue)
• Intégration des fonctions et des préoccupations dans le business (vision
étendue)
• Information (opportunités/risques au coeur de l’entreprise étendue)
• Traitement du contexte et du changement (entreprise étendue adaptée,
mouvante et pérenne)
• Mesure de Performance/Conformité (entreprise étendue pilotée sous
contrôle)
17. COBIT 5 avec aides actuels : Prise en compte partielle des tendances
17Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Prise de décision (Gouvernance) Exécution et alignement (Management)
+
+
+
+
-
+
-
+
• Parties prenantes (entreprise “étendue)
• Dépendances / Inter-dépendances (entreprise “étendue”)
• Langage/terminologie (langage commun pour entreprise étendue)
• Vue/Décision/Action intégrée (vision étendue)
• Intégration des fonctions et des préoccupations dans le business (vision
étendue)
• Information (opportunités/risques au coeur de l’entreprise étendue)
• Traitement du contexte et du changement (entreprise étendue adaptée,
mouvante et pérenne)
• Mesure de Performance/Conformité (entreprise étendue pilotée sous
contrôle)
18. Comment COBIT 5 peut répondre à ce nouveau contexte?
18Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
19. COBIT 5 : Caractéristiques Clés
• Une démarche s’appuyant sur des modèles
• Holistique, Systémique, Contextuelle, Intégrée, Simple mais pas Simpliste
• Des exemples de bonnes pratiques et des outils (plusieurs ”vues” et niveaux de détail)
• 5 principes
• Orienté Création de Valeur pour les Parties Prenantes
• Couvrant l’Entreprise de Bout en Bout
• Appliquant un Référentiel Intégré Unique
• Favorisant une Approche Holistique
• Distinguant la Gouvernance du Management
• 7 catégories de leviers
• Processus
• Information
• Principes, Directives et Référentiels
• Culture, Ethique et Comportements
• Structures Organisationnelles
• Aptitudes, Compétences , RH
• Services, Infrastructure and Applications
• Création de Valeur : 3 objectifs intégrés
• Bénéfices, Risques, Ressources
• Levier (Processus)
• 3 aspects de gouvernance (EDM) (5 dommaines/processus)
• 4 aspects de management (PBRM) (32 domaines/processus)
19Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
• 4 dimensions génériques par levier
• Parties Prenantes
• Buts / Objectifs
• Cycle de Vie
• Bonnes Pratiques (attributs)
• 2 types d’indicateurs de Performance
• Indicateurs de Résultats
• Indicateurs de Moyens
20. COBIT 5 : Les principes
Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015 20
22. Principe 1 : « Meeting Stakeholders Needs »
Création de Valeur et Gouvernance
22
• Quelles parties prenantes ?
• Quels intérêts pour ces parties prenantes ?
• Quels bénéfices / avantages ?
• Tangibles et intangibles ?
• Bénéfices / Avantages pour qui?
• Quels risques ?
• Risques pour qui ?
• Appétit / Tolérance / Capacité ?
• Quelles ressources ?
• Ressources pour qui ?
• Utilisation efficiente et responsable ?
• Propositions de création de valeur
• Préoccupation de gouvernance
• Value for “Many”
• Aides (Technologies émergentes, …)
• Différents types et niveaux de valeur requis pour différentes parties prenantes
• Opportunités? Risques? Qui prend les décisions ? Comment les décisions sont prises?
Comment sont-elles influencées? Comment s’assure-t-on qu’elles sont mises en oeuvre?
Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
Copyright ISACA
28. Principe 5 : « Separating Governance from Management »
28
Copyright ISACA
Patrick Stachtchenko Jeudis de l'AFAI 2 Avril 2015
• Il illustre tous les processus
normalement trouvés dans
une entreprise, fournissant
un modèle de référence
commun compréhensible
aussi bien par les managers
business et informatiques
• Le modèle proposé est
complet mais n’est pas le
seul possible
• Chaque entité doit définir ses
propres processus en
prenant en compte son
contexte spécifique
• Chaque processus traite son
cycle de vie, identifie ses
inputs et outputs, ses
activités, les responsabilités
et les indicateurs de
performance