SlideShare una empresa de Scribd logo

Journée cob it isaca compte-rendu panel experts 07-11-2013

Descargar como DOCX, PDF
Yann Riviere CCSK, CISSP, CRISC, CISM
Yann Riviere CCSK, CISSP, CRISC, CISM
1 de 6
Comment implanter COBIT 5 pour bien gouverner l’organisation ? ISACA - Section de Québec, le 7 novembre 2013 Compte-rendu de la table ronde d’experts Animateur / Modérateur : Dimitri Souleliac, ing.,CISSP Mise en contexte Cinq questions ont été posées aux experts ci-dessous dans le cadre d’un échange ouvert et d’interactions avec les participants :  Paul Brousseau, Directeur, Richter  Robert Marchand, Consultant Expert  André Boutin, Consultant,Excelsa Technologies Consulting  Gilles Gravel, Consultant Expert  Marc Lafrance, VP, Planification, Architecture et Gouvernance, Caisse de dépôt et placements du Québec Pourquoi COBIT 5? COBIT 5 est un cadre de référence qui permet de définir un langage commun. Toutefois, la création de sens est primordiale dans tout projet d’implantation car cela va permettre d’établir les liens avec la mission de l’entreprise est surtout d’expliquer pourquoi changer. Dans un premier temps on est porté à parler de contrôles de conformité, encore associés à COBIT 4.1. Toutefois, COBIT 5 amène d’avantage de sens en se rapprochant des risques organisationnels et des risques d’affaires. Audelà du contrôle, le rôle du vérificateur change de dimension dans une logique de réduction des risques inhérente à toute démarche de création de valeur.
Question du public :COBIT est toujours introduit par le biais d’une conformité. Est-ce que COBIT peut réellement donner l’impression d’apporter plus d’efficience et de valeur à l’organisation? Réponse :Il faut garder à l’esprit que si COBIT n’est pas relié à la mission de l’entreprise et simplement vécu comme une obligation de conformité, alors les difficultés seront trop importantes pour permettre une implantation efficace à l’échelle de l’organisation. « …COBIT 5 va s’attaquer aux vrais éléments pour donner de la valeur ajoutée à l’entreprise tout en contrôlant les risques. Sans valeur ajoutée, il n’y pas plus d’entreprise, et sans entreprise il n’y a plus decontrôles… » Quels sont les déclencheurs et les leviers possibles? Chaque organisation est différente, mais dans tous les cas des raisons profondes doivent être à la source du changement (incidents de sécurité, nécessité de démontrer une bonne gestion des investissements ou des actifs, requis stratégique pour une introduction en bourse, etc.). Par ailleurs, l’arrivée d’un nouveau responsable des technologies de l’information (CIO) ou un besoin de conformité externe peuvent être des déclencheurs. Toutefois, des difficultés vécues concernant la gestion de l’Information, le besoin d’innover ou de se démarquer par rapport à la compétition peuvent constituer des éléments déclencheurs d’une implantation de COBIT 5. En tout cas, l’information demeure la richesse de l’entreprise, à la base des relations d’affaires et de l’économie du savoir. … sans problèmes fondamentaux vus par les gestionnaires de l’organisation, il peut être difficile d’obtenir l’adhésion pour implanter COBIT 5… COBIT 5 étant plus descriptif, il est très facile de réaliser des diagnostics ponctuels, sans nécessairement améliorer les processus. En conséquence, sans déclencheur relié à des problèmes de gouvernance affectant des processus fondamentaux de planification ou d’organisation, il est très difficile d’insuffler le changement. Dépendamment des entreprises, l’implantation de COBIT 5 ne vient pas nécessairement du CIO. En effet, le président (CEO) peut être le déclencheur car il souhaite être à l’avant-garde ou conquérir de nouveaux marchés. De plus, COBIT 5 positionne les éléments d’architecture d’entreprise en tant que processus au service des affaires. Au-delà des problèmes, vus en tant que facteurs déclencheurs, COBIT 5 peut être implanté pour soutenir une démarche d’avant-garde et positionner l’entreprise comme un leader « Sans histoire valable, des secteurs entiers de l’entreprise peuvent ne pas être alignés et passer à côté d’un projet qu’ils voient comme une initiative des secteurs de conformité qui ne leur apporte pas de valeur. » En conclusion, on peut implanter COBIT pour des raisons de gouvernance, mais dans tous les cas il est primordial de trouver une « histoire » qui permet de raccrocher les personnes et leur faire comprendre pourquoi ce n’est pas une option.
Est-ce compliqué d’implanter COBIT 5 ? On n’implante pas COBIT 5 en soit, mais des processus, des contrôles et des redditions de comptes. Toutefois, l’objectif est d’implanter un cadre de gouvernance qui apporte de la valeur ajoutée, tout en optimisant les ressources et réduisant les risques. Avec COBIT 5, nous avons désormais un cadre principalement axé sur la gouvernance et sur la valeur de l’information au sein de l’entreprise. « … le passage de COBIT 4.1 à 5 est un véritable saut quantique… on sort des contrôles pour s’en aller vers les processus d’affaires, tout en impliquant la haute direction... » Les efforts nécessaires à l’implantation dépendent de la taille de l’organisation. Toutefois, la première marche est la plus difficile car elle semble toujours plus haute que les autres. La difficulté n’est pas d’implanter COBIT 5 en soit car cela ne diffère pas de l’implantation d’autres référentiels ou de processus issusde TOGAF, ITIL ou PMBOK qui sont largement connus dans les entreprises. Le plus important est que la démarche vienne delahaut gestion afin d’être initiée correctement. Par ailleurs, il est plus facile d’implanter COBIT 5 que la version 4.1. En effet, le positionnement de la gouvernance et l’adhésion à haut niveau est maintenant beaucoup plus claire avec moins d’éléments étant sujets à interprétation. De plus, des efforts d’alignements avec d’autres référentiels ont été faits, positionnant ainsi COBIT à la bonne place et sans ambiguïté. En pratique, il existe une taille minimale requise pour implanter COBIT car cela suppose des coûts incompressibles qui peuvent être difficiles à supporter pour des petites structures. Par ailleurs, la gouvernance présuppose la notion de responsabilités partagées et donc l’existence de plusieurs rôles dans l’entreprise (ce qui n’est pas le cas pour une entreprise à propriétaire unique par exemple). « … il faut une organisation de taille significative pour implanter COBIT 5… toutefois la philosophie de création de la valeur ajoutée et de contrôle des risques s’applique à toute entreprise.. » Question du public :Connaissez-vous des expériences d’implantation de COBIT dans le milieu gouvernemental et à des niveaux stratégiques? Réponse :Certains ministères ont implantés COBIT pour répondre à la loi 133 du Québec (portant sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement). Dernièrement le gouvernement de l’Afrique du Sud a implanté COBIT 5 (voir communiqué de presse :http://bit.ly/13w7Swz et documents officiels : http://bit.ly/1gWVGvr). À noter que dans le cadre d’une organisation qui possède une entité supérieure fédératrice, il peut y avoir un enjeu à implanter COBIT dans les autres unités qui s’y rattachent. En effet, dépendamment de l’autonomie des unités, on ne peut pas imposer des moyens et des façons de faire issues de COBITen même temps que des responsabilités, au risque de faire perdre l’imputabilité aux responsables de l’unité concernée. La définition des rôles et responsabilités est donc primordiale.
Question du public :Doit tenir compte du niveau de maturité avant d’implanter COBIT ou alors se servir de COBIT comme un outil de diagnostic de la maturité? Réponse :une bonne avenue est de proposer l’implantation de COBIT et parallèlement de réaliser les diagnostics pour identifier les zones de faible maturité concernant les 5 piliers de la gouvernance informatique de l’ITGI (voir http://bit.ly/1dKDfWz). Toutefois, cela dépend de la taille des organisations et de leur maturité car il existe des clivages importants entre les grandes entreprises et les structures de moins 500 employés, pour qui des approches d’implantation plus directes peuvent être envisagées. « … il est surprenant de voir des grandes entreprises qui ont des niveaux très faibles de maturité dans certains de leur processus. Alors des efforts d’évaluation de maturité doivent être prévus avant d’implanter COBIT... » Le secteur d’activité est également un facteur important pour déterminer la complexité d’implantation de COBIT. En effet, certaines entreprises du secteur primaire ont de nombreux employés mais peu d’information à manipuler, ainsi qu’une faible informatisation de leurs processus. Il faut donc se poser la question de la valeur et de l’importance de l’information pour l’entreprise. Concernant les coûts d’implantation, il faut prévoir une personne à temps plein pendant toute la durée du projet (1 an) qui va faire le lien entre tous les processus et les contrôles (vue globale). Cette personne va également jouer le rôle de facilitateur avec les différents propriétaires de processus. En plus d’une ressource dédiée, 1 semaine/personne par processus doit être ajouté, sans oublier les efforts de gestion de projet et surtout de communication. Bien souvent, une ressource externe qui va apporter un regard neuf est nécessaire du fait que l’implantation de COBIT 5 est un projet de transformation organisationnelle. Par ailleurs, il est nécessaire de prévoir le transfert de connaissance, ainsi que les coûts de formation des ressources internes. Enfin, il faut être conscient que si l’organisation n’est pas prête ou que le projet est mené comme un projet TI parmi d’autres alors les risque d’échecs sont important, aussi grandes soient les sommes d’argent investies. Gestion du changement Qui sont les plus réticents? Bien souvent, le niveau de gestion intermédiaire est le plus réticent (directeurs de section, directeurs intermédiaires, chefs de division, coordonnateurs). De façon pragmatique, la gestion du changement vient avec la dimension du changement qui peut varier d’une unité à l’autre. Toutefois, les acteursde l’entreprise qui sont aux opérations souhaitent que les problèmes se règlent et son bien souvent de bons moteurs du changement. En tout cas, il est important de bien maîtriser les rumeurs et de s’assurer que les personnes sont bien informées. Par ailleurs, la résistance au changement peut venir de personnes qui ont peur de se faire reprocher de ne pas avoir fait les choses correctement et, de façon plus étonnante, les réticences peuvent venir des équipes TI qui sont à la base porteuses du projet.
« En pratique, on s’aperçoit rapidement qu’il y a des personnes réticentes… lorsqu’on fait circuler un questionnaire de diagnostic et que les personnes n’y répondent pas, il s’agit d’un bon indicateur de résistance aux changements à venir… » Question du public :Faut-il choisir un moment propice de décristallisationpour implanter COBIT 5 et mieux gérer le changement? Réponse :il peut être important de choisir une période de décristallisation de l’organisation, sinon l’implantation de COBIT peut entrer en compétition avec les autres projets des lignes d’affaires qui sont généralement plus prioritaires.De plus, les structures évoluent et changent en fonction des problèmes rencontrés, sans que cela ne soit nécessairement relié à l’implantation de COBIT. Les ressources doivent s’impliquer comme acteur du changement et non commedes spectateurs qui se placent en observateurs des activités menées par un consultant externe. De plus, des facteurs de motivation peuvent être l’atteinte d’objectifs à la fin de l’année, mais aussi d’indicateurs qui démontrent que des problèmes sont résolus, comme par exemple la baisse du nombre d’incidents. À noter que ces indicateurs de performance doivent être définis avec les gestionnaires qui vivent les problèmes à leur niveau. Comment gérer la communication? Le défi d’un plan de communication est de garder les parties impliquées informées, sans oublier les « parties intéressées » qui pourraient se démobiliser. En effet, comme les processus ne sont tous implantés en même temps, il est crucial de maintenir l’intérêt de l’ensemble des parties prenantes. Par ailleurs, le facteur de succès le plus important réside dans le fait d’avoir un appui à haut niveau et l’implication d’un « champion » ayant toute la force pour communiquer et diffuser le projet dans chacun des secteurs. Quelles sont les indicateurs à utiliser? Lors d’une implantation, il est important d’identifier les processus les plus critiques et de se fixer des objectifs de maturité réalistes et ne pas viser un niveau 5 en partant. En fonction du contexte d’affaires de l’entreprise, il est possible de ne choisir qu’une partie des processus en première itération, en fonction de leur valeur ajoutée et de leur importance pour l’organisation. « Les critères de maturité sont très différents dans COBIT 5 … les évaluations de capacités sont plus rigoureuses et alignées sur ISO 15504, enlevant la subjectivité des évaluations » Dans COBIT 5, la notion de capacité est utilisée plutôt que celle de maturité avec une échelle à 6 niveaux (de 0 à 5) pour les 37 processus. Lors de l’exercice d’évaluation, il faut prendre en compte le fait que les unités opérationnelles peuvent avoir tendance à se sous-évaluer afin de mettre l’emphase sur un besoin de rehaussement des moyens (budgets, temps, etc.). À contrario, le niveau de gestion peut avoir tendance à surévaluer la maturité, sauf dans le cas d’un gestionnaire qui serait nouvellement arrivé en poste.
Reddition : comment bien choisir des indicateurs de performance? Le plus important dans la reddition de compte est de bien comprendre qui est l’audience et à qui on s’adresse (Conseil d’administration, Comité de direction, Comité de risques opérationnels, etc.). De plus, il faut éviter de démultiplier les redditions sur un même sujet et adapter le message en fonction des instances visées : Le Conseil d’administration doit comprendre dans quelle mesure la stratégie est alignée sur les affaires, Le Comité de risques opérationnels doit avoir la conviction que l’ensemble des risques sont couverts et que les plus importants soient connus et fassent l’objet de plans de mitigations, Le Comité de vérification doit avoir la connaissance des vulnérabilités plus tactiques et être convaincu que l’on respecte les engagements et que les processus soient suivis, Les tableaux de bords opérationnels au niveau des Comités de gestion TI doivent détaillerla performance des 37 processus, avec chacun des contrôles et leur efficacité. Une des meilleuresapproches est un tableau de bord équilibré (BalancedScorecard) qui couvre aussi bien des objectifs d’affaires, de risques, de reddition, de suivi et de contrôles. Enfin, il est très important que les indicateurs de performance proviennent des secteurs d’affaires et non qu’ils adhérent à des indicateurs décidés par ailleurs. Il s’agit alors de traduire les contrôles en indicateurs de performance qui ont du sens pour les affaires, dans une approche de personnalisation des métriques proposées dans COBIT 5.

Recomendados

Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)ISACA Chapitre de Québec
 
Panorama 2013 du Business Process Management : Le BPM en marche
Panorama 2013 du Business Process Management : Le BPM en marchePanorama 2013 du Business Process Management : Le BPM en marche
Panorama 2013 du Business Process Management : Le BPM en marcheEY
 
Agile du point de vue d'un PMP
Agile du point de vue d'un PMPAgile du point de vue d'un PMP
Agile du point de vue d'un PMPPyxis Technologies
 
SOD Segregation Of Duties - Séparation de Droits et Responsabilités
SOD Segregation Of Duties - Séparation de Droits et ResponsabilitésSOD Segregation Of Duties - Séparation de Droits et Responsabilités
SOD Segregation Of Duties - Séparation de Droits et ResponsabilitésCOMPETENSIS
 
Portail 2.0 & conduite du changement : les 10 clés pour réussir
Portail 2.0 & conduite du changement : les 10 clés pour réussirPortail 2.0 & conduite du changement : les 10 clés pour réussir
Portail 2.0 & conduite du changement : les 10 clés pour réussirPhilippeC
 
Agile du point de vue d'un PMP
Agile du point de vue d'un PMPAgile du point de vue d'un PMP
Agile du point de vue d'un PMPPyxis Technologies
 
TLS Point de Vue (Français) Marris Consulting
TLS Point de Vue (Français) Marris ConsultingTLS Point de Vue (Français) Marris Consulting
TLS Point de Vue (Français) Marris ConsultingMARRIS Consulting
 
Pmilq colloque 2018 p. huot mise sur pied et developpement d un bureau de projet
Pmilq colloque 2018 p. huot mise sur pied et developpement d un bureau de projetPmilq colloque 2018 p. huot mise sur pied et developpement d un bureau de projet
Pmilq colloque 2018 p. huot mise sur pied et developpement d un bureau de projetPMI Lévis-Québec
 

Recomendados

Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)ISACA Chapitre de Québec
 
Panorama 2013 du Business Process Management : Le BPM en marche
Panorama 2013 du Business Process Management : Le BPM en marchePanorama 2013 du Business Process Management : Le BPM en marche
Panorama 2013 du Business Process Management : Le BPM en marcheEY
 
Agile du point de vue d'un PMP
Agile du point de vue d'un PMPAgile du point de vue d'un PMP
Agile du point de vue d'un PMPPyxis Technologies
 
SOD Segregation Of Duties - Séparation de Droits et Responsabilités
SOD Segregation Of Duties - Séparation de Droits et ResponsabilitésSOD Segregation Of Duties - Séparation de Droits et Responsabilités
SOD Segregation Of Duties - Séparation de Droits et ResponsabilitésCOMPETENSIS
 
Portail 2.0 & conduite du changement : les 10 clés pour réussir
Portail 2.0 & conduite du changement : les 10 clés pour réussirPortail 2.0 & conduite du changement : les 10 clés pour réussir
Portail 2.0 & conduite du changement : les 10 clés pour réussirPhilippeC
 
Agile du point de vue d'un PMP
Agile du point de vue d'un PMPAgile du point de vue d'un PMP
Agile du point de vue d'un PMPPyxis Technologies
 
TLS Point de Vue (Français) Marris Consulting
TLS Point de Vue (Français) Marris ConsultingTLS Point de Vue (Français) Marris Consulting
TLS Point de Vue (Français) Marris ConsultingMARRIS Consulting
 
Pmilq colloque 2018 p. huot mise sur pied et developpement d un bureau de projet
Pmilq colloque 2018 p. huot mise sur pied et developpement d un bureau de projetPmilq colloque 2018 p. huot mise sur pied et developpement d un bureau de projet
Pmilq colloque 2018 p. huot mise sur pied et developpement d un bureau de projetPMI Lévis-Québec
 
Conduite du changement, le grand tabou
Conduite du changement, le grand tabouConduite du changement, le grand tabou
Conduite du changement, le grand tabouMicrosoft Ideas
 
Agile culture-sd2015-v4-finale
Agile culture-sd2015-v4-finaleAgile culture-sd2015-v4-finale
Agile culture-sd2015-v4-finaleEtienne Laverdière
 
Les nouveautés de Cobit 5
Les nouveautés de Cobit 5Les nouveautés de Cobit 5
Les nouveautés de Cobit 5Digicomp Academy Suisse Romande SA
 
Quelle métrique pour fédérer Dev & Ops ?
Quelle métrique pour fédérer Dev & Ops ? Quelle métrique pour fédérer Dev & Ops ?
Quelle métrique pour fédérer Dev & Ops ? Jacky Galicher
 
Metiers & IT : boosting innovation ?
Metiers & IT : boosting innovation ?Metiers & IT : boosting innovation ?
Metiers & IT : boosting innovation ?Jérôme DIDAT
 
2020-01-30 Nicolas Cote implantation pmo entreprise multi-site
2020-01-30 Nicolas Cote implantation pmo entreprise multi-site2020-01-30 Nicolas Cote implantation pmo entreprise multi-site
2020-01-30 Nicolas Cote implantation pmo entreprise multi-sitePMI Lévis-Québec
 
Marouane harmach et wail aaminou conduite changement pmo-ppm2013 - managemen...
Marouane harmach et wail aaminou conduite changement pmo-ppm2013 - managemen...Marouane harmach et wail aaminou conduite changement pmo-ppm2013 - managemen...
Marouane harmach et wail aaminou conduite changement pmo-ppm2013 - managemen...Marouane Harmach
 
Agilité RH
Agilité RHAgilité RH
Agilité RHOCTO Technology
 
Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...
Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...
Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...PMI-Montréal
 
PMILQ_Colloque_2020_Bernard-Plante_Hybride_Avenir_de_la_gestion_de_projet
PMILQ_Colloque_2020_Bernard-Plante_Hybride_Avenir_de_la_gestion_de_projetPMILQ_Colloque_2020_Bernard-Plante_Hybride_Avenir_de_la_gestion_de_projet
PMILQ_Colloque_2020_Bernard-Plante_Hybride_Avenir_de_la_gestion_de_projetPMI Lévis-Québec
 
Бизнес-модель (МГУ)
Бизнес-модель (МГУ)Бизнес-модель (МГУ)
Бизнес-модель (МГУ)Moscow State University, SKOLKOVO business school
 
Hymnes orphiques (traduction leconte de lisle) - http://www.projethomere.com
Hymnes orphiques (traduction leconte de lisle) - http://www.projethomere.comHymnes orphiques (traduction leconte de lisle) - http://www.projethomere.com
Hymnes orphiques (traduction leconte de lisle) - http://www.projethomere.comHélène Kémiktsi
 
Perú y sus maravillas
Perú y sus maravillasPerú y sus maravillas
Perú y sus maravillasMaritha Jimenez Garcia
 
Qu'enseigne réellement la bible
Qu'enseigne réellement la bibleQu'enseigne réellement la bible
Qu'enseigne réellement la bibleJoseph-eugene
 
Histoire de joué 6 les chateaux
Histoire de joué 6 les chateauxHistoire de joué 6 les chateaux
Histoire de joué 6 les chateauxDenis Berthault
 
RTB9 - Atelier 7 - L'accueil conseilles moi si tu peux !
RTB9 - Atelier 7 - L'accueil conseilles moi si tu peux !RTB9 - Atelier 7 - L'accueil conseilles moi si tu peux !
RTB9 - Atelier 7 - L'accueil conseilles moi si tu peux !R-Evolutions Touristiques de Brive
 
Pf 2015
Pf 2015Pf 2015
Pf 2015ivan8bb
 
Jobs
JobsJobs
JobsBudjav
 
Die Nadel im Heuhaufen finden mit der SIEM Technologie
Die Nadel im Heuhaufen finden mit der SIEM TechnologieDie Nadel im Heuhaufen finden mit der SIEM Technologie
Die Nadel im Heuhaufen finden mit der SIEM Technologietopsoft - inspiring digital business
 
Travel Technology bei Reiseveranstaltern: Im Spannungsfeld zwischen Datenmana...
Travel Technology bei Reiseveranstaltern: Im Spannungsfeld zwischen Datenmana...Travel Technology bei Reiseveranstaltern: Im Spannungsfeld zwischen Datenmana...
Travel Technology bei Reiseveranstaltern: Im Spannungsfeld zwischen Datenmana...Realizing Progress
 
Barometre accessibilité APF_2011
Barometre accessibilité APF_2011Barometre accessibilité APF_2011
Barometre accessibilité APF_2011Agence Excel
 
Autismo y jurisprudencia
Autismo y jurisprudenciaAutismo y jurisprudencia
Autismo y jurisprudenciaMarta Montoro
 

Más contenido relacionado

La actualidad más candente

Conduite du changement, le grand tabou
Conduite du changement, le grand tabouConduite du changement, le grand tabou
Conduite du changement, le grand tabouMicrosoft Ideas
 
Quelle métrique pour fédérer Dev & Ops ?
Quelle métrique pour fédérer Dev & Ops ? Quelle métrique pour fédérer Dev & Ops ?
Quelle métrique pour fédérer Dev & Ops ? Jacky Galicher
 
Metiers & IT : boosting innovation ?
Metiers & IT : boosting innovation ?Metiers & IT : boosting innovation ?
Metiers & IT : boosting innovation ?Jérôme DIDAT
 
2020-01-30 Nicolas Cote implantation pmo entreprise multi-site
2020-01-30 Nicolas Cote implantation pmo entreprise multi-site2020-01-30 Nicolas Cote implantation pmo entreprise multi-site
2020-01-30 Nicolas Cote implantation pmo entreprise multi-sitePMI Lévis-Québec
 
Marouane harmach et wail aaminou conduite changement pmo-ppm2013 - managemen...
Marouane harmach et wail aaminou conduite changement pmo-ppm2013 - managemen...Marouane harmach et wail aaminou conduite changement pmo-ppm2013 - managemen...
Marouane harmach et wail aaminou conduite changement pmo-ppm2013 - managemen...Marouane Harmach
 
Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...
Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...
Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...PMI-Montréal
 
PMILQ_Colloque_2020_Bernard-Plante_Hybride_Avenir_de_la_gestion_de_projet
PMILQ_Colloque_2020_Bernard-Plante_Hybride_Avenir_de_la_gestion_de_projetPMILQ_Colloque_2020_Bernard-Plante_Hybride_Avenir_de_la_gestion_de_projet
PMILQ_Colloque_2020_Bernard-Plante_Hybride_Avenir_de_la_gestion_de_projetPMI Lévis-Québec
 

La actualidad más candente (10)

Conduite du changement, le grand tabou
Conduite du changement, le grand tabouConduite du changement, le grand tabou
Conduite du changement, le grand tabou
 
Agile culture-sd2015-v4-finale
Agile culture-sd2015-v4-finaleAgile culture-sd2015-v4-finale
Agile culture-sd2015-v4-finale
 
Les nouveautés de Cobit 5
Les nouveautés de Cobit 5Les nouveautés de Cobit 5
Les nouveautés de Cobit 5
 
Quelle métrique pour fédérer Dev & Ops ?
Quelle métrique pour fédérer Dev & Ops ? Quelle métrique pour fédérer Dev & Ops ?
Quelle métrique pour fédérer Dev & Ops ?
 
Metiers & IT : boosting innovation ?
Metiers & IT : boosting innovation ?Metiers & IT : boosting innovation ?
Metiers & IT : boosting innovation ?
 
2020-01-30 Nicolas Cote implantation pmo entreprise multi-site
2020-01-30 Nicolas Cote implantation pmo entreprise multi-site2020-01-30 Nicolas Cote implantation pmo entreprise multi-site
2020-01-30 Nicolas Cote implantation pmo entreprise multi-site
 
Marouane harmach et wail aaminou conduite changement pmo-ppm2013 - managemen...
Marouane harmach et wail aaminou conduite changement pmo-ppm2013 - managemen...Marouane harmach et wail aaminou conduite changement pmo-ppm2013 - managemen...
Marouane harmach et wail aaminou conduite changement pmo-ppm2013 - managemen...
 
Agilité RH
Agilité RHAgilité RH
Agilité RH
 
Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...
Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...
Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...
 
PMILQ_Colloque_2020_Bernard-Plante_Hybride_Avenir_de_la_gestion_de_projet
PMILQ_Colloque_2020_Bernard-Plante_Hybride_Avenir_de_la_gestion_de_projetPMILQ_Colloque_2020_Bernard-Plante_Hybride_Avenir_de_la_gestion_de_projet
PMILQ_Colloque_2020_Bernard-Plante_Hybride_Avenir_de_la_gestion_de_projet
 

Destacado

Hymnes orphiques (traduction leconte de lisle) - http://www.projethomere.com
Hymnes orphiques (traduction leconte de lisle) - http://www.projethomere.comHymnes orphiques (traduction leconte de lisle) - http://www.projethomere.com
Hymnes orphiques (traduction leconte de lisle) - http://www.projethomere.comHélène Kémiktsi
 
Qu'enseigne réellement la bible
Qu'enseigne réellement la bibleQu'enseigne réellement la bible
Qu'enseigne réellement la bibleJoseph-eugene
 
Histoire de joué 6 les chateaux
Histoire de joué 6 les chateauxHistoire de joué 6 les chateaux
Histoire de joué 6 les chateauxDenis Berthault
 
Travel Technology bei Reiseveranstaltern: Im Spannungsfeld zwischen Datenmana...
Travel Technology bei Reiseveranstaltern: Im Spannungsfeld zwischen Datenmana...Travel Technology bei Reiseveranstaltern: Im Spannungsfeld zwischen Datenmana...
Travel Technology bei Reiseveranstaltern: Im Spannungsfeld zwischen Datenmana...Realizing Progress
 
Barometre accessibilité APF_2011
Barometre accessibilité APF_2011Barometre accessibilité APF_2011
Barometre accessibilité APF_2011Agence Excel
 
Autismo y jurisprudencia
Autismo y jurisprudenciaAutismo y jurisprudencia
Autismo y jurisprudenciaMarta Montoro
 
Projet de carriere
Projet de carriereProjet de carriere
Projet de carrierecarlosdponte
 
Wieviel Gebet ErhöRt Gott (Format Powerpoint 2007)
Wieviel Gebet ErhöRt Gott (Format Powerpoint 2007)Wieviel Gebet ErhöRt Gott (Format Powerpoint 2007)
Wieviel Gebet ErhöRt Gott (Format Powerpoint 2007)wusternberg
 
Respir@dom : Accompagnement du patient
Respir@dom : Accompagnement du patient Respir@dom : Accompagnement du patient
Respir@dom : Accompagnement du patient RESEAU MORPHEE
 
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...topsoft - inspiring digital business
 
Bürger Präsentation
Bürger PräsentationBürger Präsentation
Bürger Präsentationguest3456f6
 
Predigt, 2009 03 22, Tempel
Predigt, 2009 03 22, TempelPredigt, 2009 03 22, Tempel
Predigt, 2009 03 22, Tempelwusternberg
 

Destacado (20)

Бизнес-модель (МГУ)
Бизнес-модель (МГУ)Бизнес-модель (МГУ)
Бизнес-модель (МГУ)
 
Hymnes orphiques (traduction leconte de lisle) - http://www.projethomere.com
Hymnes orphiques (traduction leconte de lisle) - http://www.projethomere.comHymnes orphiques (traduction leconte de lisle) - http://www.projethomere.com
Hymnes orphiques (traduction leconte de lisle) - http://www.projethomere.com
 
Perú y sus maravillas
Perú y sus maravillasPerú y sus maravillas
Perú y sus maravillas
 
Qu'enseigne réellement la bible
Qu'enseigne réellement la bibleQu'enseigne réellement la bible
Qu'enseigne réellement la bible
 
Histoire de joué 6 les chateaux
Histoire de joué 6 les chateauxHistoire de joué 6 les chateaux
Histoire de joué 6 les chateaux
 
RTB9 - Atelier 7 - L'accueil conseilles moi si tu peux !
RTB9 - Atelier 7 - L'accueil conseilles moi si tu peux !RTB9 - Atelier 7 - L'accueil conseilles moi si tu peux !
RTB9 - Atelier 7 - L'accueil conseilles moi si tu peux !
 
Pf 2015
Pf 2015Pf 2015
Pf 2015
 
Jobs
JobsJobs
Jobs
 
Die Nadel im Heuhaufen finden mit der SIEM Technologie
Die Nadel im Heuhaufen finden mit der SIEM TechnologieDie Nadel im Heuhaufen finden mit der SIEM Technologie
Die Nadel im Heuhaufen finden mit der SIEM Technologie
 
Travel Technology bei Reiseveranstaltern: Im Spannungsfeld zwischen Datenmana...
Travel Technology bei Reiseveranstaltern: Im Spannungsfeld zwischen Datenmana...Travel Technology bei Reiseveranstaltern: Im Spannungsfeld zwischen Datenmana...
Travel Technology bei Reiseveranstaltern: Im Spannungsfeld zwischen Datenmana...
 
Barometre accessibilité APF_2011
Barometre accessibilité APF_2011Barometre accessibilité APF_2011
Barometre accessibilité APF_2011
 
Autismo y jurisprudencia
Autismo y jurisprudenciaAutismo y jurisprudencia
Autismo y jurisprudencia
 
Projet de carriere
Projet de carriereProjet de carriere
Projet de carriere
 
Wieviel Gebet ErhöRt Gott (Format Powerpoint 2007)
Wieviel Gebet ErhöRt Gott (Format Powerpoint 2007)Wieviel Gebet ErhöRt Gott (Format Powerpoint 2007)
Wieviel Gebet ErhöRt Gott (Format Powerpoint 2007)
 
Respir@dom : Accompagnement du patient
Respir@dom : Accompagnement du patient Respir@dom : Accompagnement du patient
Respir@dom : Accompagnement du patient
 
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
 
Joab
JoabJoab
Joab
 
Bürger Präsentation
Bürger PräsentationBürger Präsentation
Bürger Präsentation
 
Predigt, 2009 03 22, Tempel
Predigt, 2009 03 22, TempelPredigt, 2009 03 22, Tempel
Predigt, 2009 03 22, Tempel
 
Aquarela
AquarelaAquarela
Aquarela
 

Similar a Journée cob it isaca compte-rendu panel experts 07-11-2013

Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 
Aligner son organisation IT sur la création de valeurs pour le client
Aligner son organisation IT sur la création de valeurs pour le clientAligner son organisation IT sur la création de valeurs pour le client
Aligner son organisation IT sur la création de valeurs pour le clientMielabelo
 
Présentation soutenance thèse mastère management et direction de projets E...
Présentation soutenance thèse mastère management et direction de projets E...Présentation soutenance thèse mastère management et direction de projets E...
Présentation soutenance thèse mastère management et direction de projets E...mohamed mbitel
 
JDN - Les 5 règles de la transformation numérique
JDN - Les 5 règles de la transformation numériqueJDN - Les 5 règles de la transformation numérique
JDN - Les 5 règles de la transformation numériqueBruno A. Bonechi
 
#PortraitDeCDO - MACSF - Edouard Perrin
#PortraitDeCDO - MACSF - Edouard Perrin#PortraitDeCDO - MACSF - Edouard Perrin
#PortraitDeCDO - MACSF - Edouard PerrinOCTO Technology
 
Conduite du changement dans un projet portail 2.0
Conduite du changement dans un projet portail 2.0Conduite du changement dans un projet portail 2.0
Conduite du changement dans un projet portail 2.0PhilippeC
 
Dynamiser pour réussir : les enjeux d'une infogérance collaborative
Dynamiser pour réussir : les enjeux d'une infogérance collaborativeDynamiser pour réussir : les enjeux d'une infogérance collaborative
Dynamiser pour réussir : les enjeux d'une infogérance collaborativeEric NIZARD
 
Les Echos - Transformation digitale et impacts sur les organisations
Les Echos - Transformation digitale et impacts sur les organisationsLes Echos - Transformation digitale et impacts sur les organisations
Les Echos - Transformation digitale et impacts sur les organisationsBruno A. Bonechi
 
Magellan consulting > Gestion de programmes complexes : comment réussir ? Les...
Magellan consulting > Gestion de programmes complexes : comment réussir ? Les...Magellan consulting > Gestion de programmes complexes : comment réussir ? Les...
Magellan consulting > Gestion de programmes complexes : comment réussir ? Les...Magellan Consulting
 
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Wavestone
 
#PortraitDeCDO - François-Régis Martin - BNP Paribas Leasing Solutions
#PortraitDeCDO - François-Régis Martin - BNP Paribas Leasing Solutions#PortraitDeCDO - François-Régis Martin - BNP Paribas Leasing Solutions
#PortraitDeCDO - François-Régis Martin - BNP Paribas Leasing SolutionsOCTO Technology
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesAntoine Vigneron
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...polenumerique33
 
Petit-déjeuner OCTO Management 3.0 - Le Book
Petit-déjeuner OCTO Management 3.0 - Le BookPetit-déjeuner OCTO Management 3.0 - Le Book
Petit-déjeuner OCTO Management 3.0 - Le BookOCTO Technology
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5ISACA Chapitre de Québec
 
#PortraitDeCDO - Juliette De Maupeou - Total
#PortraitDeCDO - Juliette De Maupeou - Total#PortraitDeCDO - Juliette De Maupeou - Total
#PortraitDeCDO - Juliette De Maupeou - TotalOCTO Technology
 
JDN - Les 7 piliers d'une stratégie de transformation numérique pour les dire...
JDN - Les 7 piliers d'une stratégie de transformation numérique pour les dire...JDN - Les 7 piliers d'une stratégie de transformation numérique pour les dire...
JDN - Les 7 piliers d'une stratégie de transformation numérique pour les dire...Bruno A. Bonechi
 
Les Echos - Les 5 règles de la transformation numérique
Les Echos - Les 5 règles de la transformation numériqueLes Echos - Les 5 règles de la transformation numérique
Les Echos - Les 5 règles de la transformation numériqueBruno A. Bonechi
 

Similar a Journée cob it isaca compte-rendu panel experts 07-11-2013 (20)

Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
 
Aligner son organisation IT sur la création de valeurs pour le client
Aligner son organisation IT sur la création de valeurs pour le clientAligner son organisation IT sur la création de valeurs pour le client
Aligner son organisation IT sur la création de valeurs pour le client
 
Présentation soutenance thèse mastère management et direction de projets E...
Présentation soutenance thèse mastère management et direction de projets E...Présentation soutenance thèse mastère management et direction de projets E...
Présentation soutenance thèse mastère management et direction de projets E...
 
JDN - Les 5 règles de la transformation numérique
JDN - Les 5 règles de la transformation numériqueJDN - Les 5 règles de la transformation numérique
JDN - Les 5 règles de la transformation numérique
 
#PortraitDeCDO - MACSF - Edouard Perrin
#PortraitDeCDO - MACSF - Edouard Perrin#PortraitDeCDO - MACSF - Edouard Perrin
#PortraitDeCDO - MACSF - Edouard Perrin
 
Conduite du changement dans un projet portail 2.0
Conduite du changement dans un projet portail 2.0Conduite du changement dans un projet portail 2.0
Conduite du changement dans un projet portail 2.0
 
Cobit
CobitCobit
Cobit
 
Dynamiser pour réussir : les enjeux d'une infogérance collaborative
Dynamiser pour réussir : les enjeux d'une infogérance collaborativeDynamiser pour réussir : les enjeux d'une infogérance collaborative
Dynamiser pour réussir : les enjeux d'une infogérance collaborative
 
Les Echos - Transformation digitale et impacts sur les organisations
Les Echos - Transformation digitale et impacts sur les organisationsLes Echos - Transformation digitale et impacts sur les organisations
Les Echos - Transformation digitale et impacts sur les organisations
 
Magellan consulting > Gestion de programmes complexes : comment réussir ? Les...
Magellan consulting > Gestion de programmes complexes : comment réussir ? Les...Magellan consulting > Gestion de programmes complexes : comment réussir ? Les...
Magellan consulting > Gestion de programmes complexes : comment réussir ? Les...
 
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
 
#PortraitDeCDO - François-Régis Martin - BNP Paribas Leasing Solutions
#PortraitDeCDO - François-Régis Martin - BNP Paribas Leasing Solutions#PortraitDeCDO - François-Régis Martin - BNP Paribas Leasing Solutions
#PortraitDeCDO - François-Régis Martin - BNP Paribas Leasing Solutions
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériques
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
 
Petit-déjeuner OCTO Management 3.0 - Le Book
Petit-déjeuner OCTO Management 3.0 - Le BookPetit-déjeuner OCTO Management 3.0 - Le Book
Petit-déjeuner OCTO Management 3.0 - Le Book
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
 
#PortraitDeCDO - Juliette De Maupeou - Total
#PortraitDeCDO - Juliette De Maupeou - Total#PortraitDeCDO - Juliette De Maupeou - Total
#PortraitDeCDO - Juliette De Maupeou - Total
 
JDN - Les 7 piliers d'une stratégie de transformation numérique pour les dire...
JDN - Les 7 piliers d'une stratégie de transformation numérique pour les dire...JDN - Les 7 piliers d'une stratégie de transformation numérique pour les dire...
JDN - Les 7 piliers d'une stratégie de transformation numérique pour les dire...
 
Les Echos - Les 5 règles de la transformation numérique
Les Echos - Les 5 règles de la transformation numériqueLes Echos - Les 5 règles de la transformation numérique
Les Echos - Les 5 règles de la transformation numérique
 

Más de Yann Riviere CCSK, CISSP, CRISC, CISM

Más de Yann Riviere CCSK, CISSP, CRISC, CISM (6)

OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingOWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référence
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
Programme isaca 2013_2014
Programme isaca 2013_2014Programme isaca 2013_2014
Programme isaca 2013_2014
 
ISACA QUEBEC GIA
ISACA QUEBEC GIAISACA QUEBEC GIA
ISACA QUEBEC GIA
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
 

Journée cob it isaca compte-rendu panel experts 07-11-2013

  • 1. Comment implanter COBIT 5 pour bien gouverner l’organisation ? ISACA - Section de Québec, le 7 novembre 2013 Compte-rendu de la table ronde d’experts Animateur / Modérateur : Dimitri Souleliac, ing.,CISSP Mise en contexte Cinq questions ont été posées aux experts ci-dessous dans le cadre d’un échange ouvert et d’interactions avec les participants :  Paul Brousseau, Directeur, Richter  Robert Marchand, Consultant Expert  André Boutin, Consultant,Excelsa Technologies Consulting  Gilles Gravel, Consultant Expert  Marc Lafrance, VP, Planification, Architecture et Gouvernance, Caisse de dépôt et placements du Québec Pourquoi COBIT 5? COBIT 5 est un cadre de référence qui permet de définir un langage commun. Toutefois, la création de sens est primordiale dans tout projet d’implantation car cela va permettre d’établir les liens avec la mission de l’entreprise est surtout d’expliquer pourquoi changer. Dans un premier temps on est porté à parler de contrôles de conformité, encore associés à COBIT 4.1. Toutefois, COBIT 5 amène d’avantage de sens en se rapprochant des risques organisationnels et des risques d’affaires. Audelà du contrôle, le rôle du vérificateur change de dimension dans une logique de réduction des risques inhérente à toute démarche de création de valeur.
  • 2. Question du public :COBIT est toujours introduit par le biais d’une conformité. Est-ce que COBIT peut réellement donner l’impression d’apporter plus d’efficience et de valeur à l’organisation? Réponse :Il faut garder à l’esprit que si COBIT n’est pas relié à la mission de l’entreprise et simplement vécu comme une obligation de conformité, alors les difficultés seront trop importantes pour permettre une implantation efficace à l’échelle de l’organisation. « …COBIT 5 va s’attaquer aux vrais éléments pour donner de la valeur ajoutée à l’entreprise tout en contrôlant les risques. Sans valeur ajoutée, il n’y pas plus d’entreprise, et sans entreprise il n’y a plus decontrôles… » Quels sont les déclencheurs et les leviers possibles? Chaque organisation est différente, mais dans tous les cas des raisons profondes doivent être à la source du changement (incidents de sécurité, nécessité de démontrer une bonne gestion des investissements ou des actifs, requis stratégique pour une introduction en bourse, etc.). Par ailleurs, l’arrivée d’un nouveau responsable des technologies de l’information (CIO) ou un besoin de conformité externe peuvent être des déclencheurs. Toutefois, des difficultés vécues concernant la gestion de l’Information, le besoin d’innover ou de se démarquer par rapport à la compétition peuvent constituer des éléments déclencheurs d’une implantation de COBIT 5. En tout cas, l’information demeure la richesse de l’entreprise, à la base des relations d’affaires et de l’économie du savoir. … sans problèmes fondamentaux vus par les gestionnaires de l’organisation, il peut être difficile d’obtenir l’adhésion pour implanter COBIT 5… COBIT 5 étant plus descriptif, il est très facile de réaliser des diagnostics ponctuels, sans nécessairement améliorer les processus. En conséquence, sans déclencheur relié à des problèmes de gouvernance affectant des processus fondamentaux de planification ou d’organisation, il est très difficile d’insuffler le changement. Dépendamment des entreprises, l’implantation de COBIT 5 ne vient pas nécessairement du CIO. En effet, le président (CEO) peut être le déclencheur car il souhaite être à l’avant-garde ou conquérir de nouveaux marchés. De plus, COBIT 5 positionne les éléments d’architecture d’entreprise en tant que processus au service des affaires. Au-delà des problèmes, vus en tant que facteurs déclencheurs, COBIT 5 peut être implanté pour soutenir une démarche d’avant-garde et positionner l’entreprise comme un leader « Sans histoire valable, des secteurs entiers de l’entreprise peuvent ne pas être alignés et passer à côté d’un projet qu’ils voient comme une initiative des secteurs de conformité qui ne leur apporte pas de valeur. » En conclusion, on peut implanter COBIT pour des raisons de gouvernance, mais dans tous les cas il est primordial de trouver une « histoire » qui permet de raccrocher les personnes et leur faire comprendre pourquoi ce n’est pas une option.
  • 3. Est-ce compliqué d’implanter COBIT 5 ? On n’implante pas COBIT 5 en soit, mais des processus, des contrôles et des redditions de comptes. Toutefois, l’objectif est d’implanter un cadre de gouvernance qui apporte de la valeur ajoutée, tout en optimisant les ressources et réduisant les risques. Avec COBIT 5, nous avons désormais un cadre principalement axé sur la gouvernance et sur la valeur de l’information au sein de l’entreprise. « … le passage de COBIT 4.1 à 5 est un véritable saut quantique… on sort des contrôles pour s’en aller vers les processus d’affaires, tout en impliquant la haute direction... » Les efforts nécessaires à l’implantation dépendent de la taille de l’organisation. Toutefois, la première marche est la plus difficile car elle semble toujours plus haute que les autres. La difficulté n’est pas d’implanter COBIT 5 en soit car cela ne diffère pas de l’implantation d’autres référentiels ou de processus issusde TOGAF, ITIL ou PMBOK qui sont largement connus dans les entreprises. Le plus important est que la démarche vienne delahaut gestion afin d’être initiée correctement. Par ailleurs, il est plus facile d’implanter COBIT 5 que la version 4.1. En effet, le positionnement de la gouvernance et l’adhésion à haut niveau est maintenant beaucoup plus claire avec moins d’éléments étant sujets à interprétation. De plus, des efforts d’alignements avec d’autres référentiels ont été faits, positionnant ainsi COBIT à la bonne place et sans ambiguïté. En pratique, il existe une taille minimale requise pour implanter COBIT car cela suppose des coûts incompressibles qui peuvent être difficiles à supporter pour des petites structures. Par ailleurs, la gouvernance présuppose la notion de responsabilités partagées et donc l’existence de plusieurs rôles dans l’entreprise (ce qui n’est pas le cas pour une entreprise à propriétaire unique par exemple). « … il faut une organisation de taille significative pour implanter COBIT 5… toutefois la philosophie de création de la valeur ajoutée et de contrôle des risques s’applique à toute entreprise.. » Question du public :Connaissez-vous des expériences d’implantation de COBIT dans le milieu gouvernemental et à des niveaux stratégiques? Réponse :Certains ministères ont implantés COBIT pour répondre à la loi 133 du Québec (portant sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement). Dernièrement le gouvernement de l’Afrique du Sud a implanté COBIT 5 (voir communiqué de presse :http://bit.ly/13w7Swz et documents officiels : http://bit.ly/1gWVGvr). À noter que dans le cadre d’une organisation qui possède une entité supérieure fédératrice, il peut y avoir un enjeu à implanter COBIT dans les autres unités qui s’y rattachent. En effet, dépendamment de l’autonomie des unités, on ne peut pas imposer des moyens et des façons de faire issues de COBITen même temps que des responsabilités, au risque de faire perdre l’imputabilité aux responsables de l’unité concernée. La définition des rôles et responsabilités est donc primordiale.
  • 4. Question du public :Doit tenir compte du niveau de maturité avant d’implanter COBIT ou alors se servir de COBIT comme un outil de diagnostic de la maturité? Réponse :une bonne avenue est de proposer l’implantation de COBIT et parallèlement de réaliser les diagnostics pour identifier les zones de faible maturité concernant les 5 piliers de la gouvernance informatique de l’ITGI (voir http://bit.ly/1dKDfWz). Toutefois, cela dépend de la taille des organisations et de leur maturité car il existe des clivages importants entre les grandes entreprises et les structures de moins 500 employés, pour qui des approches d’implantation plus directes peuvent être envisagées. « … il est surprenant de voir des grandes entreprises qui ont des niveaux très faibles de maturité dans certains de leur processus. Alors des efforts d’évaluation de maturité doivent être prévus avant d’implanter COBIT... » Le secteur d’activité est également un facteur important pour déterminer la complexité d’implantation de COBIT. En effet, certaines entreprises du secteur primaire ont de nombreux employés mais peu d’information à manipuler, ainsi qu’une faible informatisation de leurs processus. Il faut donc se poser la question de la valeur et de l’importance de l’information pour l’entreprise. Concernant les coûts d’implantation, il faut prévoir une personne à temps plein pendant toute la durée du projet (1 an) qui va faire le lien entre tous les processus et les contrôles (vue globale). Cette personne va également jouer le rôle de facilitateur avec les différents propriétaires de processus. En plus d’une ressource dédiée, 1 semaine/personne par processus doit être ajouté, sans oublier les efforts de gestion de projet et surtout de communication. Bien souvent, une ressource externe qui va apporter un regard neuf est nécessaire du fait que l’implantation de COBIT 5 est un projet de transformation organisationnelle. Par ailleurs, il est nécessaire de prévoir le transfert de connaissance, ainsi que les coûts de formation des ressources internes. Enfin, il faut être conscient que si l’organisation n’est pas prête ou que le projet est mené comme un projet TI parmi d’autres alors les risque d’échecs sont important, aussi grandes soient les sommes d’argent investies. Gestion du changement Qui sont les plus réticents? Bien souvent, le niveau de gestion intermédiaire est le plus réticent (directeurs de section, directeurs intermédiaires, chefs de division, coordonnateurs). De façon pragmatique, la gestion du changement vient avec la dimension du changement qui peut varier d’une unité à l’autre. Toutefois, les acteursde l’entreprise qui sont aux opérations souhaitent que les problèmes se règlent et son bien souvent de bons moteurs du changement. En tout cas, il est important de bien maîtriser les rumeurs et de s’assurer que les personnes sont bien informées. Par ailleurs, la résistance au changement peut venir de personnes qui ont peur de se faire reprocher de ne pas avoir fait les choses correctement et, de façon plus étonnante, les réticences peuvent venir des équipes TI qui sont à la base porteuses du projet.
  • 5. « En pratique, on s’aperçoit rapidement qu’il y a des personnes réticentes… lorsqu’on fait circuler un questionnaire de diagnostic et que les personnes n’y répondent pas, il s’agit d’un bon indicateur de résistance aux changements à venir… » Question du public :Faut-il choisir un moment propice de décristallisationpour implanter COBIT 5 et mieux gérer le changement? Réponse :il peut être important de choisir une période de décristallisation de l’organisation, sinon l’implantation de COBIT peut entrer en compétition avec les autres projets des lignes d’affaires qui sont généralement plus prioritaires.De plus, les structures évoluent et changent en fonction des problèmes rencontrés, sans que cela ne soit nécessairement relié à l’implantation de COBIT. Les ressources doivent s’impliquer comme acteur du changement et non commedes spectateurs qui se placent en observateurs des activités menées par un consultant externe. De plus, des facteurs de motivation peuvent être l’atteinte d’objectifs à la fin de l’année, mais aussi d’indicateurs qui démontrent que des problèmes sont résolus, comme par exemple la baisse du nombre d’incidents. À noter que ces indicateurs de performance doivent être définis avec les gestionnaires qui vivent les problèmes à leur niveau. Comment gérer la communication? Le défi d’un plan de communication est de garder les parties impliquées informées, sans oublier les « parties intéressées » qui pourraient se démobiliser. En effet, comme les processus ne sont tous implantés en même temps, il est crucial de maintenir l’intérêt de l’ensemble des parties prenantes. Par ailleurs, le facteur de succès le plus important réside dans le fait d’avoir un appui à haut niveau et l’implication d’un « champion » ayant toute la force pour communiquer et diffuser le projet dans chacun des secteurs. Quelles sont les indicateurs à utiliser? Lors d’une implantation, il est important d’identifier les processus les plus critiques et de se fixer des objectifs de maturité réalistes et ne pas viser un niveau 5 en partant. En fonction du contexte d’affaires de l’entreprise, il est possible de ne choisir qu’une partie des processus en première itération, en fonction de leur valeur ajoutée et de leur importance pour l’organisation. « Les critères de maturité sont très différents dans COBIT 5 … les évaluations de capacités sont plus rigoureuses et alignées sur ISO 15504, enlevant la subjectivité des évaluations » Dans COBIT 5, la notion de capacité est utilisée plutôt que celle de maturité avec une échelle à 6 niveaux (de 0 à 5) pour les 37 processus. Lors de l’exercice d’évaluation, il faut prendre en compte le fait que les unités opérationnelles peuvent avoir tendance à se sous-évaluer afin de mettre l’emphase sur un besoin de rehaussement des moyens (budgets, temps, etc.). À contrario, le niveau de gestion peut avoir tendance à surévaluer la maturité, sauf dans le cas d’un gestionnaire qui serait nouvellement arrivé en poste.
  • 6. Reddition : comment bien choisir des indicateurs de performance? Le plus important dans la reddition de compte est de bien comprendre qui est l’audience et à qui on s’adresse (Conseil d’administration, Comité de direction, Comité de risques opérationnels, etc.). De plus, il faut éviter de démultiplier les redditions sur un même sujet et adapter le message en fonction des instances visées : Le Conseil d’administration doit comprendre dans quelle mesure la stratégie est alignée sur les affaires, Le Comité de risques opérationnels doit avoir la conviction que l’ensemble des risques sont couverts et que les plus importants soient connus et fassent l’objet de plans de mitigations, Le Comité de vérification doit avoir la connaissance des vulnérabilités plus tactiques et être convaincu que l’on respecte les engagements et que les processus soient suivis, Les tableaux de bords opérationnels au niveau des Comités de gestion TI doivent détaillerla performance des 37 processus, avec chacun des contrôles et leur efficacité. Une des meilleuresapproches est un tableau de bord équilibré (BalancedScorecard) qui couvre aussi bien des objectifs d’affaires, de risques, de reddition, de suivi et de contrôles. Enfin, il est très important que les indicateurs de performance proviennent des secteurs d’affaires et non qu’ils adhérent à des indicateurs décidés par ailleurs. Il s’agit alors de traduire les contrôles en indicateurs de performance qui ont du sens pour les affaires, dans une approche de personnalisation des métriques proposées dans COBIT 5.