Gouvernance IT: Tirez rapidement parti de COBIT

Dans un précédent article, je présentais tout l’apport de COBIT en termes d’organisation des processus IT et des relations avec les métiers, la Direction Générale et les organes de pilotage et de contrôle. COBIT promeut la mise en œuvre d’une gouvernance IT, ce qui inclus les rôles et responsabilités, la comitologie et activités nécessaires pour fournir des services IT de qualité (correspondants aux attentes des métiers). Ces activités donnent assurance à toutes les parties prenantes de l’entreprise que l’IT est correctement gérée et apporte la valeur attendue.

Mettre en œuvre une gouvernance SI est un projet en tant que tel bien entendu. Des documents existent pour aider le praticien à mettre en œuvre COBIT : par exemple l’ISACA publie un document nommé « IT Governance implementation Guide » qui donne des lignes directrices sur la mise en œuvre de COBIT 4, et l’ouvrage « COBIT 5 Implementation » pour la dernière version du référentiel. Par ailleurs, de nombreux ouvrages existent sur le sujet, qui parlent d’approches générales non appuyées sur des référentiels.

Dans tous les cas, la mise en œuvre de la gouvernance IT doit absolument être identifié comme un projet (voir un programme) et être sponsorisé par le management exécutif de l’entreprise. La fin de ce projet interviendra lorsque les bénéfices liés à la mise en œuvre seront mesurables ; ce qui impose de se mettre d’accord sur les indicateurs dès le début du projet (COBIT propose des indicateurs pour aider le sponsor ou le chef de projet sur ce point) et de la mesurer au fur et à mesure.

En substance COBIT soutient que l’IT est là pour délivrer la bonne information aux métiers de l’entreprise. Cette information est utilisée par des processus métier dans le cadre de l’activité courante de l’entreprise. Cette information provient de la manipulation de données par des applications, ces données étant hébergées sur des systèmes. On retrouve naturellement les couches d’architecture d’entreprise préconisées par TOGAF ou le programme de certification CGEIT (Certified in Governance of Enterprise IT) de l’ISACA :

Infrastructure IT ↔ Données ↔ Applications ↔ Informations ↔ Processus métier

Ce mécanisme sous-tend aussi l’alignement des activités IT sur les besoins métier formalisé par le balanced scorecard COBIT. C’est pourquoi ce balanced scorecard est le coeur du réacteur COBIT.

La démarche standard de mise en œuvre d’une gouvernance IT est donc la suivante :

1. Identifier les objectifs métier prioritaires de l’entreprise
2. Identifier les objectifs IT déclinés des objectifs métier par l’utilisation du balanced scorecard de COBIT
3. Identifier les processus IT soutenant les objectifs IT et les prioriser sous l’angle des métiers
4. Définir les niveaux de maturité souhaités pour chaque processus IT en utilisant IS015504 pour COBIT 5 (en utilisant le référentiel de maturité natif de COBIT4)
5. définir les feuilles de route permettant de monter en maturité sur les processus IT identifiés ; ceci inclus la définition des indicateurs permettant la mesure de la progression tout au long du projet d’implantation.

Ces 5 étapes pourraient constituer un plan projet si une approche classique de projet est adoptée.

Si on préfère un mode agile, COBIT5 propose un cycle d’amélioration standard en 7 étapes :

1. Quels sont les drivers du projet ?
2. Où en est-on aujourd’hui ?
3. Où souhaite-t-on aller ?
4. Qu’est-ce qui doit être réalisé ?
5. Comment peut-on y arriver ?
6. Est-ce qu’on y est arrivé ?
7. Comment garder la dynamique impulsée ?

A chaque étape, COBIT met en avant des thèmes qui aident le praticien : par exemple pour l’étape 1 (l’identification des drivers du projet) COBIT a recensé les « irritants » ou « peines » ayant donné naissance à un projet de gouvernance IT:

• une frustration des métiers quant aux initiatives lancées et avortées de transformer les processus métier ; l’augmentation des coûts IT, ou une perception faible de la valeur apportée par l’IT
• des incidents IT ayant eu un impact sur l’activité business, comme par exemple des pertes de données ou des projets en échec
• des problèmes liés à l’externalisation de services IT qui n’ont pas été au niveau de qualité attendu
• des difficultés à répondre à des contraintes réglementaires
• la difficulté de la DSI à soutenir les besoins changeants du métier et à soutenir son agilité
• des audits mettant en avant un faible performance des services IT, leur qualité ou des problèmes récurrents
• des coûts cachés ou indirects liés à l’IT
• des activités réalisées par plusieurs acteurs ou des sur-allocations de ressources IT
• des changements dans les processus ou les services IT qui peinent à soutenir les métiers ou qui ont été livrés hors-délais ou hors-coûts
• des sponsors métier peu impliqués dans les choix/orientations IT
• une organisation IT peu lisible

Ces drivers sont puissants et peuvent être adressés par la gouvernance IT. Ils constituent un excellent point de départ à la vente du projet de mise en œuvre. Si on les prends dans l’autre sens, ils sont les symptômes d’une différence entre la situation actuelle et la situation souhaitée, c’est-à-dire la stratégie de l’entreprise. On reboucle donc sur le balanced scorecard.