IT Gouvernance. Le point sur la mise en œuvre. ANDSI Association Nationale des Directeurs de Systèmes d Information.

Transcription

1 IT Gouvernance. Le point sur mise œuvre. ANDSI Association Nationale s Directeurs Systèmes d Information. 12 janvier 2010 Salons Etoile Wagram, 16, avue Wagram, Paris 8 ème. Jean-Pierre Delvaux, CGEIT jpd@lvaux-conseil.com 1

2 Agda ANDSI Rapi rappel: l IT Gouvernance COBIT. Les évolutions COBIT. V4.1 Val IT V2 Risk IT Mes rcontres avec COBIT. «Faire bonnes choses». Donner un cadre global à gouvernance du SI. «Faire bi choses» Garnir le cadre avec s pratiques internes. Garnir le cadre avec s référtiels choisis fonction l treprise. Impnter une IT Gouvernance. La feuille route élémts Cobit. Construire garnir le cadre. Installer un système Pilotage, Supervision Evaluation. Le point sur le déploiemt l IT Gouvernance. IT Governance Global Status Report, 2008, ITGI Business Case for CobiT and Val IT, 2009, ISACA An Executive View of IT Governance, 2009, ITGI 2

3 Rapi rappel: l IT Gouvernance COBIT. Pce gouvernance du SI dans gouvernance générale d treprise. Institut Gouvernance du SI. CIGREF & AFAI

4 Les évolutions COBIT. V4.1 Objectifs Métiers Perspective Financière Perspective Clit Fonctionnemt Interne Apprtissage & Croissance Objectifs Informatiques Processus Entrées Sorties s processus. RACI 4

5 Les évolutions COBIT. Val IT V2.0: La valeur du SI. Etablir un learship informé gagé. mtre pce processus. caractéristiques du portefeuille. Gouvernance valeur Aligner intégrer gestion valeur dans le pnning financier l'treprise. Etablir une surveilnce efficace gouvernance. Améliorer continuellemt pratiques gestion valeur. Etablir une direction stratégique une répartition cible s investissemts. Déterminer disponibilité sources du financemt. disponibilité s humaines. Gestion portefeuille Evaluer sélectionner programmes à financer. Monitorer rdre compte performance du portefeuille d'investissemts. Optimiser performance du portefeuille d investissemts. Développer le cas d affaire initial du programme. Comprdre le programme candidat ses options d impntation. Développer le pn du programme Développer coûts bénéfices sur l tièré du cycle vie. Développer le cas d affaire détaillé du programme candidat. Lancer le le programme. Ltre à jour portefeuil IT opérationnels. Gestion s investissemts Mtre à jour le cas d affaire. Monitorer le programme rdre-compte Rirer le programme. 5

6 Les évolutions COBIT. Risk IT: Le risque lié au SI. 6

7 Les évolutions COBIT. Le futur. 7

8 Mes rcontres avec COBIT. COBIT= Entreprise Secteur Contexte Démarche Approche Ma posture Langage commun IT. Arcelor Industrie Fusion internationale à 3 partaires égaux. Montante. Réseau 50 top IT managers. Group IT Governance Officer. Référtiel gouvernance du SI. SMABTP Assurances Solvabilité 2 Commissaires aux comptes Initiée pilotée par le DSI. Consultant externe. Référtiel gouvernance du SI. Mairie Rueil- Malmaison Collectivités loca. Spécification pnification démarche Gouvernance du SI. Initiée par le DSI. Consultant externe. Référtiel s risques. Usinor Industrie Mise avant l intification le gestion s risques. Descdante Responsable gestion l information du Groupe. Référtiel s risques. Magotteaux Industrie Changemt d actionnariat. Intification s risques. Initiée supervisée par le CEO. Transition Managemt of the IS. Référtiel s rô s responsabilités. La Citalle Hospitalier Remise ordre s rô par rapport au SI. (Métiers Interne DSI) Initiée supervisée par le DG. DSI transition. Outil gouvernance s systèmes d'information. HEC (Paris) Ecole s Mines (Paris). Enseignemt Mastères (Spécialisé & Executive) «Managemt s SI». MSIT. Animation séminaires. Cadre d une certification professionnelle. ISACA / ITGI (IT Governance Institute) Programme parrainage. CGEIT (Certified in the Governance of Enterprise IT ) 8

9 «Faire bonnes choses» «Faire bi choses». Faire bi choses Efficice Commt Garnir le cadre avec s pratiques internes ou s meilleures pratiques. Faire bonnes choses Efficacité Quoi Donner un cadre global à gouvernance du SI. 9

10 «Faire bonnes choses». Donner un cadre global à gouvernance du SI. Pnifier & Organiser Acquérir & Implémter PO1 PO1 PO2 PO2 PO3 PO3 AI1 AI1 AI2 AI2 AI3 AI3 AI4 AI4 AI5 AI5 AI6 AI6 AI7 AI7 RiskIT PO4 PO4 PO5 PO5 PO6 PO6 PO7 PO7 PO8 PO8 PO9 PO9 ValIT PO10 PO10 -Les lis Val IT & Risk IT avec Cobit. -Basé sur le flux s livrab trée sortie s processus. -Esstiellemt PO SE. -PO1: un pn informatique stratégique -PO4: processus, l'organisation retions travail -PO5: investissemts -PO9: Évaluer risques -PO7: humaines l informatique -SE1: Surveiller performances s SI SE1 SE1 SE3 SE3 Surveiller & Evaluer SE2 SE2 SE4 SE4 DS1 DS1 DS8 DS8 DS2 DS2 DS9 DS9 Délivrer & Supporter DS3 DS3 DS10 DS10 DS4 DS4 DS11 DS11 DS5 DS5 DS12 DS12 DS6 DS6 DS13 DS13 DS7 DS7 10

11 «Faire bonnes choses». Donner un cadre global à gouvernance du SI. un pn un informatique pn informatique stratégique stratégique processus, processus, l'organisation l'organisation retions retions travail travail Pnifier & Organiser Déterminer l'architecture Déterminer l'architecture l'oritation l'oritation technologique l information technologique l information Faire connaître Faire connaître buts investissemts oritations buts investissemts oritations du managemt du managemt Évaluer humaines Évaluer humaines qualité qualité risques l informatique risques l informatique projs projs Surveiller & Evaluer Trouver s Trouver s Acquérir s Acquérir applications s applications assurer assurer Acquérir & Implémter Acquérir une Acquérir infrastructure une Faciliter le Acquérir infrastructure s Acquérir technique fonctionnemt Faciliter le technique fonctionnemt s assurer l utilisation assurer l utilisation changemts changemts COBIT constitue LE cadre gouvernance du SI l treprise. COBIT est ce qui reste quand on a externalisé tout le SI. La responsabilité tous processus appartit forcémt toujours à l treprise. Complétu: COBIT couvre l semble du SI l treprise. COBIT définit le QUOI pas le COMMENT. Les 34 processus du SI. Les indicateurs débouchant sur le TBE du SI. Le modèle d évaluation maturité s processus. Les objectifs contrôle à atteindre. Les rô responsabilités s parties prantes. Les Entrées / Sorties génériques. Délivrer & Supporter Installer Installer valir valir modifications modifications Surveiller Surveiller performances performances s SI s SI Surveiller Surveiller le contrôle le contrôle interne interne niveaux niveaux tiers tiers performance performance capacité capacité un service un service continu continu sécurité s sécurité systèmes s systèmes Intifier Intifier imputer imputer coûts coûts Instruire Instruire former former utilisateurs utilisateurs S assurer S assurer conformité aux conformité obligations aux obligations externes externes Mtre Mtre pce une gouvernance pce une gouvernance s SI s SI le service d assistance le service d assistance clit clit incints incints configuration configuration problèmes problèmes données données l vironnemt l vironnemt physique physique l exploitation l exploitation 11

12 «Faire bi choses» Garnir le cadre avec s pratiques internes. un pn un informatique pn informatique stratégique stratégique processus, processus, l'organisation l'organisation retions retions travail travail humaines humaines l informatique l informatique projs projs Surveiller Surveiller performances performances s SI s SI S assurer S assurer conformité aux conformité obligations aux obligations externes externes Pnifier & Organiser l'architecture l'architecture l information l information Déterminer Déterminer l'oritation l'oritation technologique technologique Faire connaître Faire connaître buts investissemts oritations buts investissemts oritations du managemt du managemt qualité qualité Surveiller & Evaluer Trouver s Priorité numéro un: Trouver s intifier pratiques développées interne cartographier dans le cadre COBIT. Ensuite: Evaluer commt ces pratiques existantes atteignt ou non objectifs s processus COBIT. Surveiller Surveiller le contrôle le contrôle interne interne Mtre Mtre pce une gouvernance pce une gouvernance s SI s SI Évaluer Évaluer risques risques Enfin: Fixer stratégie pour chaque processus. Soit: Maintir pratique interne parce qu elle est jugée bonne. Améliorer pratique interne. Ne ri faire. Rempcer pratique interne par une s meilleures pratiques ou standards externes. niveaux niveaux le service d assistance le service d assistance clit clit incints incints Acquérir s Acquérir applications s applications assurer assurer tiers tiers configuration configuration Acquérir une Acquérir infrastructure une Faciliter le Acquérir infrastructure s Acquérir technique fonctionnemt Faciliter le technique fonctionnemt s assurer l utilisation assurer l utilisation performance performance capacité capacité problèmes problèmes Acquérir & Implémter Délivrer & Supporter un service un service continu continu données données sécurité s sécurité systèmes s systèmes «Par ma foi, il y a plus quarante ans que je dis prose, sans que j' susse ri ; je vous suis le plus obligé du mon, m'avoir appris ce.» (Le Bourgeois Gtilhomme, Molière) l vironnemt l vironnemt physique physique changemts changemts Intifier Intifier imputer imputer coûts coûts l exploitation l exploitation Installer Installer valir valir modifications modifications Instruire Instruire former former utilisateurs utilisateurs 12

13 «Faire bi choses» Garnir le cadre avec s meilleures pratiques. un pn un informatique pn informatique stratégique stratégique processus, processus, l'organisation l'organisation retions retions travail travail Pnifier & Organiser Déterminer l'architecture Déterminer l'architecture l'oritation l'oritation technologique l information technologique l information Faire connaître Faire connaître buts investissemts oritations buts investissemts oritations du managemt du managemt Évaluer humaines Évaluer humaines qualité qualité risques l informatique risques l informatique projs projs Surveiller & Evaluer Trouver s Trouver s Acquérir s Acquérir applications s applications assurer assurer Acquérir & Implémter Acquérir une Acquérir infrastructure une Faciliter le Acquérir infrastructure s Acquérir technique fonctionnemt Faciliter le technique fonctionnemt s assurer l utilisation assurer l utilisation changemts changemts Le SI sa gouvernance passt l ère artisanale à l ère industrielle. Des standards s meilleures pratiques externes grand nombre. Qui évolut vite. Qui se recouvrt qui isst s vis. Qui ont s niveaux différts granurité. Qui ont s statuts différts ( norme ISO à propriétaire). Qui ont s ancinés s notoriétés différtes. Des mappings: Entre COBIT nombreux référtiels. Souvt très détaillés. Etablis théoriquemt. La question esstielle n est pas «lequel choisir?» mais bi «commt le cadrer dans globalité du SI?» Délivrer & Supporter Installer Installer valir valir modifications modifications Surveiller Surveiller performances performances s SI s SI Surveiller Surveiller le contrôle le contrôle interne interne niveaux niveaux tiers tiers performance performance capacité capacité un service un service continu continu sécurité s sécurité systèmes s systèmes Intifier Intifier imputer imputer coûts coûts Instruire Instruire former former utilisateurs utilisateurs S assurer S assurer conformité aux conformité obligations aux obligations externes externes Mtre Mtre pce une gouvernance pce une gouvernance s SI s SI le service d assistance le service d assistance clit clit incints incints configuration configuration problèmes problèmes données données l vironnemt l vironnemt physique physique l exploitation l exploitation 13

14 «Faire bi choses» Garnir le cadre avec s meilleures pratiques choisies fonction l treprise. un pn un informatique pn informatique stratégique stratégique processus, processus, l'organisation l'organisation retions retions travail travail Pnifier & Organiser Déterminer l'architecture CMMI. Déterminer l'oritation 2009 by Carnegie Mellon University l'architecture Acquérir s l'oritation Trouver s Acquérir technologique applications s l information Trouver technologique s applications l information assurer assurer Faire connaître Faire connaître buts investissemts oritations buts investissemts oritations du managemt du managemt Acquérir & Implémter Acquérir une Installer Acquérir infrastructure une Adoption Faciliter le d ITIL. Acquérir Enquête itsmf France. Installer valir infrastructure s Acquérir technique fonctionnemt Faciliter le s changemts valir technique fonctionnemt assurer l utilisation changemts assurer l utilisation modifications modifications humaines humaines l informatique l informatique qualité qualité Évaluer Évaluer risques risques projs projs Contextualiser le choix s meilleures pratiques prant compte: L audice cible le profil l treprise. (Le SI l treprise, organisations service, Surveiller Surveiller performances performances s SI s SI Surveiller & Evaluer organisations développant intsivemt du logiciel ). Le point d trée (Taille l treprise). Le niveau Surveiller Surveiller diffusion. le niveaux Les référtiels contrôle sectoriels le correspondant niveaux domaine contrôle d activité l treprise interne interne (etom, FDA ). Les risques opportunités s référtiels le service propriétaires (MOF, Mtre SunTone ), fonction d assistance le l oritation service Mtre pce une technologique d assistance clit gouvernance pce une stratégie d achat l treprise. clit Les obligations gouvernance s léga SI qui s impost incints s SI à l treprise (LSF, LOLF ). incints Les «noyaux» réellemt utilisés s référtiels. S assurer S assurer conformité aux conformité obligations aux obligations externes externes tiers tiers configuration configuration performance performance capacité capacité problèmes problèmes Délivrer & Supporter un service un service continu continu données données Les pratiques du sourcing IT France Ae-SCM. sécurité s sécurité systèmes s systèmes l vironnemt l vironnemt physique physique Intifier Intifier imputer imputer coûts coûts l exploitation l exploitation Instruire Instruire former former utilisateurs utilisateurs 14

15 «Faire bi choses». Garnir le cadre avec s meilleures pratiques choisies fonction l treprise. Pnifier & Organiser un pn un Déterminer l'architecture Déterminer informatique pn l'architecture l'oritation l'oritation informatique technologique stratégique l information technologique stratégique l information Faire connaître processus, Faire connaître buts processus, l'organisation investissemts oritations buts l'organisation retions investissemts oritations du retions travail managemt du travail managemt Évaluer Évaluer humaines humaines qualité qualité risques risques l informatique l informatique projs projs Trouver s Trouver s EFQM PRINCE2 Acquérir s Acquérir applications s applications assurer assurer Acquérir & Implémter Acquérir une Acquérir infrastructure une Faciliter le Acquérir infrastructure technique fonctionnemt Faciliter le s Acquérir technique assurer fonctionnemt l utilisation s assurer l utilisation ITIL escm-cl Standards, bonnes pratiques, TCO 6 Sigma ISO (27002) Bchmark Coûts 2009 CIGREF CMMI Nomcture Emploi Métier CIGREF changemts changemts ISO 9001 TOGAF V8 TOGAF V8 Installer Installer valir valir modifications modifications Surveiller & Evaluer Délivrer & Supporter Surveiller Surveiller performances performances s SI s SI Surveiller Surveiller le contrôle le contrôle interne interne niveaux niveaux tiers tiers performance performance capacité capacité un service un service continu continu sécurité s sécurité systèmes s systèmes Intifier Intifier imputer imputer coûts coûts Instruire Instruire former former utilisateurs utilisateurs S assurer S assurer conformité aux conformité obligations aux obligations externes externes Mtre Mtre pce une gouvernance pce une gouvernance s SI s SI le service d assistance le service d assistance clit clit incints incints configuration configuration problèmes problèmes données données l vironnemt l vironnemt physique physique l exploitation l exploitation 15

16 Impnter une IT Gouvernance. La feuille route élémts Cobit. Pilotage du SI pour dirigeants d treprises ValIT Processus COBIT RiskIT Objectifs s processus Objectifs Métiers Objectifs SI OCD Gestion portefeuille Modèle maturité s processus Garnir le cadre TBE du SI Faire bi choses Garnir le cadre avec s pratiques. Mo Proj Efficice Faire bonnes choses Donner un cadre global à gouvernance du SI. Mo Processus Efficacité Construire durablemt RACI IT Governance Implemtation Gui: Using COBIT and Val IT TM, ITGI 16

17 RACI. -Rô (Cobit) -Désignation s parties prantes -Suivi s tâches -Msg rappel Impnter une IT Gouvernance. Installer un système Pilotage, Supervision Evaluation. TBE -4 Vues. -Calcul s valeurs. -Graphique. Processus -Objectifs Contrôle (Cobit) -Contrô Processus (Cobit) -Définition suivi du pn d action Tableau Pilotage. Lis Cobit tre -Vues TBE -Objectifs Métiers -Objectifs SI -Processus Indicateurs. -Définition (Cobit) -Enregistremt s Valeurs -Suivi s mises à jour -Graphiques Livrab. -Entrées sorties s processus (Cobit). -Base connaissance -Suivi s mises à jour s consultations Maturité. -Actuelle -Cible Auteur: Marc-Noël Fauvel, DSI Rueil-Malmaison 17

18 Le point sur le déploiemt l IT Gouvernance. L état l IT Gouvernance. Vu par DSI. Les paramètres l échantillonnage. IT Governance Global Status Report 2008, ITGI 18

19 Le point sur le déploiemt l IT Gouvernance. L état l IT Gouvernance. Vu par DSI. IT Governance Global Status Report 2008, ITGI 19

20 Le point sur le déploiemt l IT Gouvernance. L état l IT Gouvernance. Vu par DSI. IT Governance Global Status Report 2008, ITGI 20

21 Le point sur le déploiemt l IT Gouvernance. L état l IT Gouvernance. Vu par DSI. IT Governance Global Status Report 2008, ITGI 21

22 Le point sur le déploiemt l IT Gouvernance. Retion tre performance mise œuvre Cobit / ValIT. Vue s membres l ISACA. ISACA members from 538 terprises Building the Business Case for CobiT and Val ITTM: Executive Briefing , ISACA. 22

23 Le point sur le déploiemt l IT Gouvernance. Retion tre performance mise œuvre Cobit / ValIT. Vue s membres l ISACA. Maturité s processus COBIT Maturité s processus Val IT Building the Business Case for CobiT and Val ITTM: Executive Briefing , ISACA. 23

24 Le point sur le déploiemt l IT Gouvernance. Une vue s Executives (Non IT) l IT Gouvernance. La Contribution du SI à - l Innovation - l Efficice - l Efficacité. -Top NON IT Executives -250 Interviews -Asie-Pacifique, Europe, Amérique du Nord du Sud. -Mai / Août 2008 Taille s treprises: - Moitié pites ( employés) - Moitié grans (plus 500 employés) - Entreprises plus pites que 100 employés n ont pas été Considérées comme s cib pour cte quête. Secteur d activité: - Industriel: presque moitié - Sociétés service: 14 % - Le reste est partagé égalemt tre IT/telecoms, finance, distribution, transport autres. An Executive View of IT Governance 2009, ITGI 24

25 Le point sur le déploiemt l IT Gouvernance. Une vue s Executives (Non IT) l IT Gouvernance. Tdances: - Indépdant taille. - Europe. - Le SI à l agda du ComEx. - Recours au conseil extérieur. - Utilisation référtiels. -Importance l IT pour l treprise. -Maturité gouvernance IT. -Résultats l IT pour l treprise. -Profils (Clustering). An Executive View of IT Governance 2009, ITGI 25

26 Merci votre atttion! Rapi rappel: l IT l Gouvernance COBIT. Les évolutions COBIT. V4.1 Val IT V2 Risk IT Mes rcontres avec COBIT. «Faire bonnes choses». Donner un cadre global à gouvernance du SI. «Faire bi choses» Garnir le cadre avec s pratiques internes. Garnir le cadre avec s référtiels r rtiels choisis fonction l treprise. Impnter une IT Gouvernance. La feuille route élémts Cobit. Construire garnir le cadre. Installer un système Pilotage, Supervision Evaluation. Le point sur le déploiemt d l IT l Gouvernance. IT Governance Global Status Report 2008, ITGI Business Case for CobiT and Val ITTM 2009, ISACA An Executive View of IT Governance 2009, ITGI 26