Cobit®5 : une invitation à revisiter la gouvernance de système d'information de l'entreprise numérique [jan 2013]

Pour les entreprises ayant assuré leur gouvernance de systèmes d'information selon le référentiel Cobit®4, la version 5 invite, s'il en est besoin à l'heure de la transformation numérique des entreprises,  à revisiter la gouvernance de systèmes d'information  d'entreprise.

Les points d'attention différent suivant les auteurs.

L'ISACA, l'éditeur du référentiel Cobit,  pointe les onze Processes suivants qu'il qualifie de "New and modified processes" [1] :

• APO03 Manage enterprise architecture. 
• APO04 Manage innovation. 
• APO05 Manage portfolio. 
• APO06 Manage budget and costs. 
• APO08 Manage relationships. 
• APO13 Manage security. 
• BAI05 Manage organisational change enablement. 
• BAI08 Manage knowledge. 
• BAI09 Manage assets. 
• DSS05 Manage security service. 
• DSS06 Manage business process controls. 

Le professeur Wim Van Grembergen, un professeur de l'Université d'Anvers consulté par l'ISACA lors de l'élaboration de Cobit 5,  relève sept Processes à revisiter [2]

• APO03 Manage enterprise architecture. 
• APO04 Manage innovation. 
• BAI02 Define requirements
• BAI05 Manage organisational change enablement. 
• BAI08 Manage knowledge. 
• BAI09 Manage assets. 
• DSS06 Manage business process controls.

Dans le cadre de la transformation numérique des entreprises, nous suggérons de revisiter plus particulièrement les processus suivants:

• EDM01 "Ensure governance framework setting and maintenance", un "Process" qui affine la séparation entre la gouvernance et le management,
• APO04 "Manage innovation", un "Process" qui permet de repositionner le SI comme source d'innovation au lieu de source de productivité,
• APO08 "Manage relationships", pour prendre en compte les nouvelles approches de coproduction avec les utilisateurs, 
• APO10 "Manage suppliers", pour prendre en compte les nouvelles offres (cloud computing, open source)

Plus généralement, une analyse croisée des référentiels Cobit 4 et Cobit 5 met évidence les points d'attention pour assurer la transformation numérique de l'entreprise (en blanc sur le tableau).

Cette analyse peut être consolidée avec la mise en regard des Process EDM02 "Ensure Benefits Delivery" et EDM03 "Ensure Risk Optimisation"  avec respectivement les référentiels ValIT et de RiskIT édités par l'ISACA.

Note : 
le tableau croisé Cobit 4 x Cobit 5:  Cobit®5 pour la transformation de la gouvernance des systèmes d'information, L'entreprise Numérique Créative, 29 janvier 2013


Note:
Un design management de la fonction informatique de l'entreprise numérique, Tru Dô-Khac, 31 janvier 2013, Le Cercle Les Echos , Le répertoire de l'Entreprise numérique créative
Gouverner la DSI par le "design management, Tru Dô-Khac, 12 février 2013, Le Cercle Les Echos", Le répertoire de l'entreprise numérique créative

[1] Comparing COBIT 4.1 with COBIT 5.0, ISACA, supports de présentation, Isaca
[2] Cobit 5, Wim Van Grembergen, Antwerp Management School.,supports de présentation sous pdf

  COBIT® is a registered trademark of the Information Systems Audit and Control Association® (ISACA®).


Mise à jour du 6 mai 2019

• Gouvernance SI des grandes entreprises numériques : évolution mais aussi disruption, Gouvernance numérique d'entreprise, 26 mars 2019 
•  Gouvernance SI : éléments de doctrine dans les entreprises françaises, Gouvernance numérique d'entreprise, 6 mai 2019

Organisation d'un développement agile

Pour des informations complémentaires, groupe Re-Invent IT sur LinkeIn, discussion "Organisation du support applicatif"

COBIT®5, le referentiel SI de l'entreprise 2.0 ? [jan 2013]

Objet d'un investissement considérable entreprise part de l'ISACA® depuis 2010 [1], la version du référentiel de gestion de système d'information Cobit® 5 intègre des retours d'expérience de l'ensemble de la communauté ISACA..

Datant de 2007, la version 4.1 montrait quelques lacunes pour aborder l'entreprise 2.0 (notion réputée avoir été introduite par le Pr. Andrew McAfee en 2006).

Cobit®5 répond-t-il aux attentes du gestionnaire de l'entreprise 2.0 ?


Une discussion a été lancée sur le groupe LinkedIn AFAI :
"Recherche des CAS d'ECOLE pour éprouver COBIT®5 à l'aune de l'Entreprise Numérique"


[1a] "L'IT governance devient IT Regime Management " Tru Dô-Khac, Best practices Systèmes d'Information
[1b] Cobit Design Paper – Exposure Draft, ISACA, 2010.

 COBIT® is a registered trademark of the Information Systems Audit and Control Association® (ISACA®).

COBIT® 5 : avantage business N°1 (pour un prestataire expert)

COBIT® 5, c'est plus de 1000 "Activities" référencées selon une structure d' ensembles emboités : ainsi les deux "Areas" (Governance - Management) sont raffinées en 5 "Domains" (EDM, APO,...), puis un Domain en "Processes", un Process en "Practices", et une Practice en "Activities".

Plus précisément, nous avons :

• 2 "Areas" : Governance - Management
• 5 "Domains" : "Evaluate, Direct & Monitor" (EDM), "Align Plan & Organize" (APO), etc.
• 37 "Processes" : "Ensure Governance Framework Setting and Maintenance", (EDM01), etc.
• 210 "Practices" : "Evaluate the governance system" (EDM01.01), etc.
• plus de 1000 "Activities" : "Analyse and identify the internal and external environmental factors (legal, regulatory and contractual obligations) and trends in the business environment that may influence governance design". (EDM01.01.1), etc.

Pour un prestataire proposant une expertise pointue, la granularité et la couverture [1] de Cobit 5 offre un outil de référence innovant pour positionner cette expertise vis-à-vis des entreprises utilisatrices ainsi que des grands intégrateurs fournisseurs de solutions globales.


[1]Cobit 5, Appendix E. Mapping of Cobit 5 With the Most Relevant Related Standards and Frameworks, page 61


PS : A titre d'exemple, je propose pour ma part des prestations dans EDM01, APO04, APO08, APO10 ;-))

COBIT® is a registered trademark of the Information Systems Audit and Control Association® (ISACA®).

----------------------------------------------------------------------------------------------------------------------------------------------
Sur ce site
"Cobit®5 : une invitation à revisiter la gouvernance de système d'information de l'entreprise numérique"

COBIT® 5, quels premiers retours d'expérience ?

En avril dernier, le référentiel en gestion de système d'information (SI) Cobit®5 était rendu disponible sur le site de l'ISACA®, une association professionnelle revendiquant plus de 100 000 membres dans 180 pays dont la France avec l'AFAI® (L’Association Française de l’Audit et du Conseil Informatiques), et provoquait en quelques jours plus de 50 000 téléchargements.

Huit mois après sa mise à disposition générale, quels sont les retours d'expériences ?

Pour l'entreprise utilisatrice SI, quels apports par rapport à la gouvernance SI en place?

Pour le prestataire SI, quels avantages business par rapport à Cobit®4?
 
Trois discussions ont été lancées sur des groupes  LinkedIn francophones
- sur le groupe RE Invent IT, 
- sur le groupe AFAI,
- sur le groupe CRIP/IT forums.


Notes :
Définition : un référentiel de gestion de système d'information (SI) est un ouvrage en gestion de SI reconnu et utilisé par un ensemble de professionnels et/ou d'entreprises.

Un référentiel SI peut être propre à une entreprise/administration qui en impose souvent l'utilisation à ses fournisseurs (par exemple, en architecture d'entreprise, le référentiel AGATE du ministère de la défense).

Un article à paraître
"Cobit®5, un "design management" de la fonction informatique de l'entreprise numérique", Tru Dô-Khac, à paraître.
Accès via le répertoire d'articles sur IT Regime Management

Sur ce blog professionnel :
"Cobit®5, une invitation à revisiter la gouvernance de système d'information de l'entreprise numérique"


 “COBIT® is a registered trademark of the Information Systems Audit and Control Association® (ISACA®).

Définition : RACI gouverné (Ang : governed RACI) [jan 2013]

Lorsque l'on organise une fonction informatique, une bonne pratique est l'utilisation du modèle RACI, qui permet de définir "qui fait quoi" lors de la fourniture d'un livrable.

• R : Responsable, celui qui signe [1]
• A : Acteur, celui qui fait
• C : Consulté, celui qui donne un avis
• I : Informé, celui qui suit

D'ailleurs, la plupart des auteurs des référentiels SI utilisent à leur profit ce modèle en proposant des "matrices RACI",  qui sont des matrices 2x2 avec, en ligne, des tâches et, en colonnes, des acteurs.

Si l'on s'intéresse à une relation entre un client et un fournisseur régie par un cycle en V, la production du cahier des charges est le plus souvent portée par le client.

Mais, il existe des cas où ce cahier des charges est porté par le fournisseur : par exemple en services de télécommunications mobiles grand public, ou, si l'on se place en inter-entreprise, en services Cloud.

Ainsi, suivant le régime informatique applicable, la matrice RACI peut être modulée : c'est la notion de "RACI gouverné" (Ang : governed RACI) ou RACI soumis à un régime informatique (Ang : IT regime).



[1] Cette interprétation n'est pas l'interprétation canonique où les rôles "R" (Réalisateur) et "A" (Approbateur) sont permutés et où le rôle en top liste est celui qui fait.
RACI selon wikipedia.fr
RACI selon wikipedia.ang