Gouvernance IT: Tirez rapidement parti de COBIT

Dans un précédent article, je présentais tout l’apport de COBIT en termes d’organisation des processus IT et des relations avec les métiers, la Direction Générale et les organes de pilotage et de contrôle. COBIT promeut la mise en œuvre d’une gouvernance IT, ce qui inclus les rôles et responsabilités, la comitologie et activités nécessaires pour fournir des services IT de qualité (correspondants aux attentes des métiers). Ces activités donnent assurance à toutes les parties prenantes de l’entreprise que l’IT est correctement gérée et apporte la valeur attendue.

Mettre en œuvre une gouvernance SI est un projet en tant que tel bien entendu. Des documents existent pour aider le praticien à mettre en œuvre COBIT : par exemple l’ISACA publie un document nommé « IT Governance implementation Guide » qui donne des lignes directrices sur la mise en œuvre de COBIT 4, et l’ouvrage « COBIT 5 Implementation » pour la dernière version du référentiel. Par ailleurs, de nombreux ouvrages existent sur le sujet, qui parlent d’approches générales non appuyées sur des référentiels.

Dans tous les cas, la mise en œuvre de la gouvernance IT doit absolument être identifié comme un projet (voir un programme) et être sponsorisé par le management exécutif de l’entreprise. La fin de ce projet interviendra lorsque les bénéfices liés à la mise en œuvre seront mesurables ; ce qui impose de se mettre d’accord sur les indicateurs dès le début du projet (COBIT propose des indicateurs pour aider le sponsor ou le chef de projet sur ce point) et de la mesurer au fur et à mesure.

En substance COBIT soutient que l’IT est là pour délivrer la bonne information aux métiers de l’entreprise. Cette information est utilisée par des processus métier dans le cadre de l’activité courante de l’entreprise. Cette information provient de la manipulation de données par des applications, ces données étant hébergées sur des systèmes. On retrouve naturellement les couches d’architecture d’entreprise préconisées par TOGAF ou le programme de certification CGEIT (Certified in Governance of Enterprise IT) de l’ISACA :

Infrastructure IT ↔ Données ↔ Applications ↔ Informations ↔ Processus métier

Ce mécanisme sous-tend aussi l’alignement des activités IT sur les besoins métier formalisé par le balanced scorecard COBIT. C’est pourquoi ce balanced scorecard est le coeur du réacteur COBIT.

La démarche standard de mise en œuvre d’une gouvernance IT est donc la suivante :

  1. Identifier les objectifs métier prioritaires de l’entreprise

  2. Identifier les objectifs IT déclinés des objectifs métier par l’utilisation du balanced scorecard de COBIT

  3. Identifier les processus IT soutenant les objectifs IT et les prioriser sous l’angle des métiers

  4. Définir les niveaux de maturité souhaités pour chaque processus IT en utilisant IS015504 pour COBIT 5 (en utilisant le référentiel de maturité natif de COBIT4)

  5. définir les feuilles de route permettant de monter en maturité sur les processus IT identifiés ; ceci inclus la définition des indicateurs permettant la mesure de la progression tout au long du projet d’implantation.

Ces 5 étapes pourraient constituer un plan projet si une approche classique de projet est adoptée.

Si on préfère un mode agile, COBIT5 propose un cycle d’amélioration standard en 7 étapes :

  1. Quels sont les drivers du projet ?

  2. Où en est-on aujourd’hui ?

  3. Où souhaite-t-on aller ?

  4. Qu’est-ce qui doit être réalisé ?

  5. Comment peut-on y arriver ?

  6. Est-ce qu’on y est arrivé ?

  7. Comment garder la dynamique impulsée ?

A chaque étape, COBIT met en avant des thèmes qui aident le praticien : par exemple pour l’étape 1 (l’identification des drivers du projet) COBIT a recensé les « irritants » ou « peines » ayant donné naissance à un projet de gouvernance IT:

  • une frustration des métiers quant aux initiatives lancées et avortées de transformer les processus métier ; l’augmentation des coûts IT, ou une perception faible de la valeur apportée par l’IT
  • des incidents IT ayant eu un impact sur l’activité business, comme par exemple des pertes de données ou des projets en échec
  • des problèmes liés à l’externalisation de services IT qui n’ont pas été au niveau de qualité attendu
  • des difficultés à répondre à des contraintes réglementaires
  • la difficulté de la DSI à soutenir les besoins changeants du métier et à soutenir son agilité
  • des audits mettant en avant un faible performance des services IT, leur qualité ou des problèmes récurrents
  • des coûts cachés ou indirects liés à l’IT
  • des activités réalisées par plusieurs acteurs ou des sur-allocations de ressources IT
  • des changements dans les processus ou les services IT qui peinent à soutenir les métiers ou qui ont été livrés hors-délais ou hors-coûts
  • des sponsors métier peu impliqués dans les choix/orientations IT
  • une organisation IT peu lisible

Ces drivers sont puissants et peuvent être adressés par la gouvernance IT. Ils constituent un excellent point de départ à la vente du projet de mise en œuvre. Si on les prends dans l’autre sens, ils sont les symptômes d’une différence entre la situation actuelle et la situation souhaitée, c’est-à-dire la stratégie de l’entreprise. On reboucle donc sur le balanced scorecard.

Pour en savoir plus : https://www.skills4all.com/formation-certification/gouvernance-si-systeme-information/15-COBIT-framework/

Quel intérêt d’être certifié Lean Six-Sigma Black Belt?

Dans un précédent article (Lean Six-Sigma, c’est quoi?) j’ai tenté d’expliquer la méthodologie Lean Six-Sigma et montrer sa puissance. Venue de l’industrie (automobile et électronique), la méthodologie Lean Six-Sigma donne des résultats spectaculaires sur des processus de production transverses. Ceux-là mêmes sur lesquels reposent la valeur ajoutée de l’entreprise aux yeux des clients. Originellement, des processus de production industriels (chaînes de montage, chaînes de production de composants ou plaques de silicium, etc).

Depuis quelques années, les sociétés dans le secteur des Services ont compris que cette méthodologie était utilisable en leur sein. Tous les jours, de nouveaux retours d’expérience confirment que Lean Six-Sigma est capable d’améliorer des processus dans les domaines de l’assurance, de la banque, de la santé, des Administrations (collectivités, hôpitaux, services de l’État) parmi tant d’autres. De nombreux exemples existent déjà sur des processus très industrialisés comme les centres de service (call centers), les processus d’engagement/facturation et processus de traitement de dossiers. Des benchmarks sectoriels commencent à apparaître.

Bien sûr, le secteur des Services a adopté bien plus récemment Lean Six-Sigma que l’industrie (30 années les séparent). Comme la maturité du sujet en entreprise n’est pas la même, on peut se poser la question du niveau de certification (Yellow Belt, Green Belt et Black Belt) : à quoi sert-il de se certifier au plus haut niveau de la méthodologie (Black Belt) alors que les processus de l’entreprise ne sont pas encore maîtrisés, ni même parfois, documentés ?

Eh bien, justement..

Etre certifié au plus haut niveau de la méthodologie, c’est avoir en tête l’ensemble des outils et techniques utilisables dans ses propres processus. Avant d’emprunter une route, on regarde les moyens de transport, et on choisit le plus adapté ; mais cela nécessite de connaître les moyens de transports eux-mêmes et toutes les options dont vous pourriez disposer.

La certification Lean Six-Sigma Black Belt, en plus d’être une certification extrêmement recherchée et valorisante, vous permet de savoir :

  • comment découvrir et documenter un processus, pour le comprendre en détails et pouvoir l’améliorer rapidement ;

  • comment utiliser la documentation du processus pour créer une émulation autour du projet d’amélioration et dynamiser la communication ;

  • quels sont les gains immédiats qui peuvent être dégagés en identifiant les gaspillages de tous types dans le processus et les éradiquer rapidement ;

  • en quoi la mesure est fondamentale dans l’amélioration ; impossible de ne pas être sensibilisé à ce point après être passé par une formation Lean Six-Sigma ! Améliorer un processus, c’est le mesurer, le mettre sous monitoring et récolter le plus de données possible ;

  • en quoi les mesures quand elles existent, sont souvent mal interprétées : en quoi les outils statistiques permettent d’interpréter les données, surtout quand on dispose de peu de données (plutôt le cas dans le domaine des Services à l’inverse de l’industrie). Le mot d’ordre : il vaut mieux peu de données imprécises que pas de données du tout ;

  • Comment des outils simples comme les Cartes de Contrôle permettent de maîtriser un processus et d’identifier les dysfonctionnements rapidement. Comment elles permettent de représenter le fonctionnement du processus et évaluer son niveau de contrôle ;

  • Comment quantifier la qualité des livrables produits par le processus et prédire le taux de défauts (nombre d’erreurs par dossier traité, nombre de bugs dans une application, temps de réponse d’un centre de services, etc.) ;

  • quels sont les outils utilisables pour identifier une amélioration, simuler son effet et prioriser les améliorations en fonction de leur apport ;

  • Quelles sont les méthodes qui permettent de collecter des données rapidement lorsqu’on n’en dispose pas, même si cet ensemble de données n’est pas complet ou imprécis ;

Peut-être que vous n’utiliserez pas toutes ces techniques dans le cadre de vos processus d’entreprise pour le moment ; mais les connaître, c’est identifier plus rapidement les causes de dysfonctionnement, et savoir comment les traiter. C’est tester des hypothèses sur des données concrètes, car sans mesure, l’amélioration n’est pas possible.

Pour en savoir plus :

https://www.skills4all.com/formation-certification/lean-IT/17-formation-lean-six-sigma-en-ligne/

Vous n’avez pas idée de la puissance de COBIT…

Et si vous disposiez d’un référentiel qui vous permette :

  • d’auditer tout votre système d’information, en allant de l’infrastructure au plan stratégique informatique, en passant par tous les processus IT ;
  • d’identifier les processus qui devraient être mis en place à la DSI pour couvrir l’ensemble des activités permettant de construire et de faire vivre un système d’information ;
  • d’évaluer la maturité des processus IT et de vous donner une feuille de route pour l’amélioration de ces processus ;
  • d’identifier des métriques permettant de mesurer vos processus et d’en évaluer la performance ;
  • de prioriser les investissements IT nécessaires pour soutenir l’entreprise, en plein alignement avec la stratégie ?

Et bien ne cherchez plus, c’est COBIT, qui signifie Control Objectives for IT.

Oui, COBIT vous offre tout ça. C’est un référentiel extrêmement puissant qui intègre toutes ces réponses.

Originellement, dans les années 95, COBIT était un cadre d’audit. Il a rapidement évolué vers le contrôle, pour effectuer un audit complet des systèmes d’information, mais aussi faire des préconisations pour en atténuer les faiblesses. Au début des années 2000, COBIT a évolué vers un cadre de management, comprenant l’audit et le contrôle , mais aussi les processus qui devraient être mis en place pour traiter toutes les activités dans une DSI.

En 2005, la version 4 de COBIT est sortie en intégrant la gouvernance des systèmes d’information : on y retrouvait tout le dispositif de management, étendu du dispositif de gouvernance qui distribue les rôles et responsabilités de l’IT dans l’entreprise. Cette version 4 intégrait pour la première fois un système d’alignement des objectifs informatiques avec les objectifs métier de l’entreprise. C’était la première apparition du balanced scorecard de Norton & Kaplan. Ce balanced scorecard est un apport considérable dans COBIT, car il permet de prioriser les efforts d’organisation et de performance sur les processus les plus alignés avec les attentes de l’entreprise : exemple l’agilité, l’alignement des projets IT sur les projets métier, la sécurité, le respect des engagements (contrats de service) et la continuité d’activité.

Dans cette version 4 on trouvait également un pentagone représentant les 5 dimensions majeures que doivent adresser toutes les DSI :

  • l’apport de valeur de l’IT : en quoi la DSI apporte-t-elle de la valeur aux métiers ? Valeur tangible mais aussi valeur intangible, car il n’est pas toujours facile de chiffrer le ROI de tous les services ou projets IT. En termes de valeur intangible on parle d’ergonomie, de confort d’utilisation, etc.
  • la gestion des risques IT : l’IT amène un certain nombre de risques spécifiques (risques de vol de données, risque d’indisponibilité des systèmes, risques d’altération des données) souvent traités dans le cadre de la sécurité IT. Mais l’IT permet aussi de mitiger certains risques notamment via le PCI (Plan de Continuité Informatique) qui permet normalement d’assurer une continuité des processus métier supportés par l’IT. C’est pourquoi depuis quelques années, les projets de mise en œuvre de Plan de Continuité d’Activité (BCP : Business Continuity Plan) se multiplient (notamment grâce à l’adoption d’ISO22301) ;
  • la gestion des ressources IT : qu’elles soient humaines ou matérielles, cette dimension traite de la capacité et de l’adéquation des moyens. Des processus sont directement en lien avec ce domaine, comme le Capacity Management d’ITIL ou la gestion des ressources humaines liées à l’IT, en lien avec la DRH. Il y a des liens forts également avec la gestion de la Demande découlant de la saisonnalité ;
  • la mesure de la performance : cette dimension très importante répond à la nécessité de la Direction Générale de mesurer la qualité des services IT et le soutien de l’IT à la performance de l’entreprise. Cette dimension intègre l’amélioration continue car sans mesure, il n’y a pas d’amélioration quantifiable ;
  • l’alignement stratégique : dernier aspect extrêmement important de la gouvernance IT. L’alignement stratégique vise à donner à la Direction Générale l’assurance que les investissements IT sont bien en ligne avec les orientations de l’entreprise. Intervient à ce niveau le balanced scorecard intégré à COBIT, notamment via la gestion des projets et des programmes : si la DSI est partie prenante intégrante des programmes de l’entreprise, l’alignement est beaucoup mieux assuré que si l’IT gère ses projets et programmes se son côté.

Depuis 2014, l’ISACA a sorti la version 5 de COBIT qui amène quelques améliorations, mais présente quelques régressions par rapport à la version 4. J’en parlerai dans un prochain article.

En résumé, COBIT est un excellent référentiel pour organiser, piloter, développer et auditer une DSI. COBIT devrait être l’outil de travail au quotidien du Directeur des Systèmes d’Information, de l’auditeur, du contrôle IT et de la qualité.

Pour en savoir plus : https://www.skills4all.com/formation-certification/gouvernance-si-systeme-information/15-COBIT-framework/