Journée cob it isaca compte-rendu panel experts 07-11-2013
1. Comment implanter COBIT 5 pour bien gouverner l’organisation ?
ISACA - Section de Québec, le 7 novembre 2013
Compte-rendu de la table ronde d’experts
Animateur / Modérateur : Dimitri Souleliac, ing.,CISSP
Mise en contexte
Cinq questions ont été posées aux experts ci-dessous dans le cadre d’un échange ouvert et d’interactions avec
les participants :
Paul Brousseau, Directeur, Richter
Robert Marchand, Consultant Expert
André Boutin, Consultant,Excelsa Technologies Consulting
Gilles Gravel, Consultant Expert
Marc Lafrance, VP, Planification, Architecture et Gouvernance, Caisse de dépôt et placements du Québec
Pourquoi COBIT 5?
COBIT 5 est un cadre de référence qui permet de définir un langage commun. Toutefois, la création de sens est
primordiale dans tout projet d’implantation car cela va permettre d’établir les liens avec la mission de
l’entreprise est surtout d’expliquer pourquoi changer.
Dans un premier temps on est porté à parler de contrôles de conformité, encore associés à COBIT 4.1. Toutefois,
COBIT 5 amène d’avantage de sens en se rapprochant des risques organisationnels et des risques d’affaires. Audelà du contrôle, le rôle du vérificateur change de dimension dans une logique de réduction des risques
inhérente à toute démarche de création de valeur.
2. Question du public :COBIT est toujours introduit par le biais d’une conformité. Est-ce que COBIT peut réellement
donner l’impression d’apporter plus d’efficience et de valeur à l’organisation?
Réponse :Il faut garder à l’esprit que si COBIT n’est pas relié à la mission de l’entreprise et simplement vécu
comme une obligation de conformité, alors les difficultés seront trop importantes pour permettre une
implantation efficace à l’échelle de l’organisation.
« …COBIT 5 va s’attaquer aux vrais éléments pour donner de la valeur ajoutée à
l’entreprise tout en contrôlant les risques. Sans valeur ajoutée, il n’y pas plus
d’entreprise, et sans entreprise il n’y a plus decontrôles… »
Quels sont les déclencheurs et les leviers possibles?
Chaque organisation est différente, mais dans tous les cas des raisons profondes doivent être à la source du
changement (incidents de sécurité, nécessité de démontrer une bonne gestion des investissements ou des
actifs, requis stratégique pour une introduction en bourse, etc.).
Par ailleurs, l’arrivée d’un nouveau responsable des technologies de l’information (CIO) ou un besoin de
conformité externe peuvent être des déclencheurs. Toutefois, des difficultés vécues concernant la gestion de
l’Information, le besoin d’innover ou de se démarquer par rapport à la compétition peuvent constituer des
éléments déclencheurs d’une implantation de COBIT 5. En tout cas, l’information demeure la richesse de
l’entreprise, à la base des relations d’affaires et de l’économie du savoir.
… sans problèmes fondamentaux vus par les gestionnaires de l’organisation,
il peut être difficile d’obtenir l’adhésion pour implanter COBIT 5…
COBIT 5 étant plus descriptif, il est très facile de réaliser des diagnostics ponctuels, sans nécessairement
améliorer les processus. En conséquence, sans déclencheur relié à des problèmes de gouvernance affectant des
processus fondamentaux de planification ou d’organisation, il est très difficile d’insuffler le changement.
Dépendamment des entreprises, l’implantation de COBIT 5 ne vient pas nécessairement du CIO. En effet, le
président (CEO) peut être le déclencheur car il souhaite être à l’avant-garde ou conquérir de nouveaux marchés.
De plus, COBIT 5 positionne les éléments d’architecture d’entreprise en tant que processus au service des
affaires. Au-delà des problèmes, vus en tant que facteurs déclencheurs, COBIT 5 peut être implanté pour
soutenir une démarche d’avant-garde et positionner l’entreprise comme un leader
« Sans histoire valable, des secteurs entiers de l’entreprise peuvent ne pas être
alignés et passer à côté d’un projet qu’ils voient comme une initiative des secteurs
de conformité qui ne leur apporte pas de valeur. »
En conclusion, on peut implanter COBIT pour des raisons de gouvernance, mais dans tous les cas il est primordial
de trouver une « histoire » qui permet de raccrocher les personnes et leur faire comprendre pourquoi ce n’est
pas une option.
3. Est-ce compliqué d’implanter COBIT 5 ?
On n’implante pas COBIT 5 en soit, mais des processus, des contrôles et des redditions de comptes. Toutefois,
l’objectif est d’implanter un cadre de gouvernance qui apporte de la valeur ajoutée, tout en optimisant les
ressources et réduisant les risques. Avec COBIT 5, nous avons désormais un cadre principalement axé sur la
gouvernance et sur la valeur de l’information au sein de l’entreprise.
« … le passage de COBIT 4.1 à 5 est un véritable saut quantique… on sort des contrôles
pour s’en aller vers les processus d’affaires, tout en impliquant la haute direction... »
Les efforts nécessaires à l’implantation dépendent de la taille de l’organisation. Toutefois, la première marche
est la plus difficile car elle semble toujours plus haute que les autres. La difficulté n’est pas d’implanter COBIT 5
en soit car cela ne diffère pas de l’implantation d’autres référentiels ou de processus issusde TOGAF, ITIL ou
PMBOK qui sont largement connus dans les entreprises. Le plus important est que la démarche vienne delahaut
gestion afin d’être initiée correctement.
Par ailleurs, il est plus facile d’implanter COBIT 5 que la version 4.1. En effet, le positionnement de la
gouvernance et l’adhésion à haut niveau est maintenant beaucoup plus claire avec moins d’éléments étant
sujets à interprétation. De plus, des efforts d’alignements avec d’autres référentiels ont été faits, positionnant
ainsi COBIT à la bonne place et sans ambiguïté.
En pratique, il existe une taille minimale requise pour implanter COBIT car cela suppose des coûts
incompressibles qui peuvent être difficiles à supporter pour des petites structures. Par ailleurs, la gouvernance
présuppose la notion de responsabilités partagées et donc l’existence de plusieurs rôles dans l’entreprise (ce qui
n’est pas le cas pour une entreprise à propriétaire unique par exemple).
« … il faut une organisation de taille significative pour implanter COBIT 5…
toutefois la philosophie de création de la valeur ajoutée et de contrôle des
risques s’applique à toute entreprise.. »
Question du public :Connaissez-vous des expériences d’implantation de COBIT dans le milieu gouvernemental et
à des niveaux stratégiques?
Réponse :Certains ministères ont implantés COBIT pour répondre à la loi 133 du Québec (portant sur la
gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du
gouvernement). Dernièrement le gouvernement de l’Afrique du Sud a implanté COBIT 5 (voir communiqué de
presse :http://bit.ly/13w7Swz et documents officiels : http://bit.ly/1gWVGvr).
À noter que dans le cadre d’une organisation qui possède une entité supérieure fédératrice, il peut y avoir un
enjeu à implanter COBIT dans les autres unités qui s’y rattachent. En effet, dépendamment de l’autonomie des
unités, on ne peut pas imposer des moyens et des façons de faire issues de COBITen même temps que des
responsabilités, au risque de faire perdre l’imputabilité aux responsables de l’unité concernée. La définition des
rôles et responsabilités est donc primordiale.
4. Question du public :Doit tenir compte du niveau de maturité avant d’implanter COBIT ou alors se servir de
COBIT comme un outil de diagnostic de la maturité?
Réponse :une bonne avenue est de proposer l’implantation de COBIT et parallèlement de réaliser les diagnostics
pour identifier les zones de faible maturité concernant les 5 piliers de la gouvernance informatique de l’ITGI (voir
http://bit.ly/1dKDfWz). Toutefois, cela dépend de la taille des organisations et de leur maturité car il existe des
clivages importants entre les grandes entreprises et les structures de moins 500 employés, pour qui des
approches d’implantation plus directes peuvent être envisagées.
« … il est surprenant de voir des grandes entreprises qui ont des niveaux très faibles
de maturité dans certains de leur processus. Alors des efforts d’évaluation de
maturité doivent être prévus avant d’implanter COBIT... »
Le secteur d’activité est également un facteur important pour déterminer la complexité d’implantation de
COBIT. En effet, certaines entreprises du secteur primaire ont de nombreux employés mais peu d’information à
manipuler, ainsi qu’une faible informatisation de leurs processus. Il faut donc se poser la question de la valeur et
de l’importance de l’information pour l’entreprise.
Concernant les coûts d’implantation, il faut prévoir une personne à temps plein pendant toute la durée du
projet (1 an) qui va faire le lien entre tous les processus et les contrôles (vue globale). Cette personne va
également jouer le rôle de facilitateur avec les différents propriétaires de processus. En plus d’une ressource
dédiée, 1 semaine/personne par processus doit être ajouté, sans oublier les efforts de gestion de projet et
surtout de communication.
Bien souvent, une ressource externe qui va apporter un regard neuf est nécessaire du fait que l’implantation de
COBIT 5 est un projet de transformation organisationnelle. Par ailleurs, il est nécessaire de prévoir le transfert de
connaissance, ainsi que les coûts de formation des ressources internes.
Enfin, il faut être conscient que si l’organisation n’est pas prête ou que le projet est mené comme un projet TI
parmi d’autres alors les risque d’échecs sont important, aussi grandes soient les sommes d’argent investies.
Gestion du changement
Qui sont les plus réticents?
Bien souvent, le niveau de gestion intermédiaire est le plus réticent (directeurs de section, directeurs
intermédiaires, chefs de division, coordonnateurs). De façon pragmatique, la gestion du changement vient avec
la dimension du changement qui peut varier d’une unité à l’autre. Toutefois, les acteursde l’entreprise qui sont
aux opérations souhaitent que les problèmes se règlent et son bien souvent de bons moteurs du changement.
En tout cas, il est important de bien maîtriser les rumeurs et de s’assurer que les personnes sont bien informées.
Par ailleurs, la résistance au changement peut venir de personnes qui ont peur de se faire reprocher de ne pas
avoir fait les choses correctement et, de façon plus étonnante, les réticences peuvent venir des équipes TI qui
sont à la base porteuses du projet.
5. « En pratique, on s’aperçoit rapidement qu’il y a des personnes réticentes… lorsqu’on fait
circuler un questionnaire de diagnostic et que les personnes n’y répondent pas, il s’agit
d’un bon indicateur de résistance aux changements à venir… »
Question du public :Faut-il choisir un moment propice de décristallisationpour implanter COBIT 5 et mieux gérer
le changement?
Réponse :il peut être important de choisir une période de décristallisation de l’organisation, sinon l’implantation
de COBIT peut entrer en compétition avec les autres projets des lignes d’affaires qui sont généralement plus
prioritaires.De plus, les structures évoluent et changent en fonction des problèmes rencontrés, sans que cela ne
soit nécessairement relié à l’implantation de COBIT.
Les ressources doivent s’impliquer comme acteur du changement et non commedes spectateurs qui se placent
en observateurs des activités menées par un consultant externe.
De plus, des facteurs de motivation peuvent être l’atteinte d’objectifs à la fin de l’année, mais aussi d’indicateurs
qui démontrent que des problèmes sont résolus, comme par exemple la baisse du nombre d’incidents. À noter
que ces indicateurs de performance doivent être définis avec les gestionnaires qui vivent les problèmes à leur
niveau.
Comment gérer la communication?
Le défi d’un plan de communication est de garder les parties impliquées informées, sans oublier les « parties
intéressées » qui pourraient se démobiliser. En effet, comme les processus ne sont tous implantés en même
temps, il est crucial de maintenir l’intérêt de l’ensemble des parties prenantes.
Par ailleurs, le facteur de succès le plus important réside dans le fait d’avoir un appui à haut niveau et
l’implication d’un « champion » ayant toute la force pour communiquer et diffuser le projet dans chacun des
secteurs.
Quelles sont les indicateurs à utiliser?
Lors d’une implantation, il est important d’identifier les processus les plus critiques et de se fixer des objectifs de
maturité réalistes et ne pas viser un niveau 5 en partant. En fonction du contexte d’affaires de l’entreprise, il est
possible de ne choisir qu’une partie des processus en première itération, en fonction de leur valeur ajoutée et
de leur importance pour l’organisation.
« Les critères de maturité sont très différents dans COBIT 5 … les évaluations de capacités sont plus
rigoureuses et alignées sur ISO 15504, enlevant la subjectivité des évaluations »
Dans COBIT 5, la notion de capacité est utilisée plutôt que celle de maturité avec une échelle à 6 niveaux (de 0 à
5) pour les 37 processus. Lors de l’exercice d’évaluation, il faut prendre en compte le fait que les unités
opérationnelles peuvent avoir tendance à se sous-évaluer afin de mettre l’emphase sur un besoin de
rehaussement des moyens (budgets, temps, etc.). À contrario, le niveau de gestion peut avoir tendance à
surévaluer la maturité, sauf dans le cas d’un gestionnaire qui serait nouvellement arrivé en poste.
6. Reddition : comment bien choisir des indicateurs de performance?
Le plus important dans la reddition de compte est de bien comprendre qui est l’audience et à qui on s’adresse
(Conseil d’administration, Comité de direction, Comité de risques opérationnels, etc.). De plus, il faut éviter de
démultiplier les redditions sur un même sujet et adapter le message en fonction des instances visées :
Le Conseil d’administration doit comprendre dans quelle mesure la stratégie est alignée sur les affaires,
Le Comité de risques opérationnels doit avoir la conviction que l’ensemble des risques sont couverts et
que les plus importants soient connus et fassent l’objet de plans de mitigations,
Le Comité de vérification doit avoir la connaissance des vulnérabilités plus tactiques et être convaincu
que l’on respecte les engagements et que les processus soient suivis,
Les tableaux de bords opérationnels au niveau des Comités de gestion TI doivent détaillerla
performance des 37 processus, avec chacun des contrôles et leur efficacité.
Une des meilleuresapproches est un tableau de bord équilibré (BalancedScorecard) qui couvre aussi bien des
objectifs d’affaires, de risques, de reddition, de suivi et de contrôles.
Enfin, il est très important que les indicateurs de performance proviennent des secteurs d’affaires et non qu’ils
adhérent à des indicateurs décidés par ailleurs. Il s’agit alors de traduire les contrôles en indicateurs de
performance qui ont du sens pour les affaires, dans une approche de personnalisation des métriques proposées
dans COBIT 5.