www.gfimaroc.com

IT Governance – COBIT – IT BSC

Mohamed SAADCIO - Bourse de CasablancaBest Practices Evangelist

Avril 20141

Mohamed SAAD Best Practices Evangelist

@mail: saad@casablanca-bourse.com

2

Sommaire

3

Corporate Governance

COBIT 5 et l’IT Governance

L’IT BSC pour mesurer l’IT Governance

Corporate Governance

4

Gouvernante• Ne pas mentir

• Ne pas tricher

• Ne pas voler

• Ne pas jouer avec

l’argent

• Respecter les autres

• Respecter les anciens

• Tenir sa parole

• Etre responsable

Gouvernance• Sincérité des comptes

• Transparence

• Ethique

• Création de valeur

• Parties Prenantes

• Pouvoir du conseil

• Respect des objectifs

• Responsabilité

Gouvernance d’Entreprise : Définition

Gouvernance d’Entreprise

C’est Quoi ?Ensemble des principes

et règles d’organisation

Ensemble des principes et règles de

transparence

Assurer l’équilibre entre la direction et le

contrôle de l’entreprise

Assurer la protection des actionnaires Pourquoi ?

Ensemble des principes et règles de

comportement

Crises de Gouvernance…

7

D’hier…… Les années 2000

Enron's Kenneth Lay & Jeffrey Skilling

2008…

Necessity is mother of Invention…

8

Définiti

on

Depuis l’antiquité, l’objectif fondamental de la Gouvernance est d’assurer qu’un état ou un système soit juste, libre et géré

efficacement, à la fois pour les instances dirigeantes (CA, actionnaires) ainsi que pour les citoyens.

Depuis l’antiquité, l’objectif fondamental de la Gouvernance est d’assurer qu’un état ou un système soit juste, libre et géré

efficacement, à la fois pour les instances dirigeantes (CA, actionnaires) ainsi que pour les citoyens.

Objectif de la Gouvernance: Création de la valeur

Objectif de la Gouvernance

9

Réalisation des bénéfices

Management des Risques

Optimisation des Ressources

Besoins des Parties Prenantes

BSC DIMENSION ENTERPRISE GOALS BENEFITS REALISATION

RISK MANAGEMENT

RESOURCE OPTIMIZATION

FINANCIAL

1. STAKEHOLDER VALUE OF BUSINESS INVESTMENTS P

2. PORTFOLIO OF COMPETITIVE PRODUCTS AND SERVICES P S

3. MANAGED BUSINESS RISKS (SAFEGUARDING OF ASSETS) P S

4. COMPLIANCE WITH EXTERNAL LAWS AND REGULATIONS P

5. FINANCIAL TRANSPARENCY P S S

CUSTOMER

6. CUSTOMER ORIENTED SERVICE CULTURE‐ P S

7. BUSINESS SERVICE CONTINUITY AND AVAILABILITY P

8. AGILE RESPONSES TO A CHANGING BUSINESS ENVIRONMENT P S

9. INFORMATION BASED STRATEGIC DECISION MAKING‐ P P P

10. OPTIMISATION OF SERVICE DELIVERY COSTS P S

INTERNAL

11. OPTIMISATION OF BUSINESS PROCESS FUNCTIONALITY P P

12. OPTIMISATION OF BUSINESS PROCESS COSTS P P

13. MANAGED BUSINESS CHANGE PROGRAMMES P P S

14. OPERATIONAL AND STAFF PRODUCTIVITY P P

15. COMPLIANCE WITH INTERNAL POLICIES P

LEARNINGAND

GROWTH

16. SKILLED AND MOTIVATED PEOPLE S S P

17. PRODUCT AND BUSINESS INNOVATION CULTURE P 10

GOVERNANCE OBJECTIVES

Besoins des Parties Prenantes cascadés sur les objectifs de l’entreprise

IT BSC Dim Information and Related Technology Goals

FINANCIAL

1- ALIGNMENT OF IT AND BUSINESS STRATEGY2- IT COMPLIANCE AND SUPPORT FOR BUSINESS COMPLIANCE WITH EXTERNAL LAWS AND REGULATIONS

3- COMMITMENT OF EXECUTIVE MANAGEMENT FOR MAKING IT‐RELATED DECISIONS

4- MANAGED IT‐RELATED BUSINESS RISKS

5- REALISED BENEFITS FROM IT‐ENABLED INVESTMENTS AND SERVICES PORTFOLIO

6- TRANSPARENCY OF IT COSTS, BENEFITS AND RISK

CUSTOMER 7- DELIVERY OF IT SERVICES IN LINE WITH BUSINESS REQUIREMENTS

8- ADEQUATE USE OF APPLICATIONS, INFORMATION AND TECHNOLOGY SOLUTIONS

INTERNAL

9- IT AGILITY

10- SECURITY OF INFORMATION AND PROCESSING INFRASTRUCTURE AND APPLICATIONS

11- OPTIMISATION OF IT ASSETS, RESOURCES AND CAPABILITIES12- ENABLEMENT AND SUPPORT OF BUSINESS PROCESSES BY INTEGRATING APPLICATIONS AND 13- TECHNOLOGY INTO BUSINESS PROCESSES14- DELIVERY OF PROGRAMMES ON TIME, ON BUDGET, AND MEETING REQUIREMENTS AND QUALITY STANDARDS

15- AVAILABILITY OF RELIABLE AND USEFUL INFORMATION

16- IT COMPLIANCE WITH INTERNAL POLICIES

LEARNING AND GROWTH

17- COMPETENT AND MOTIVATED IT PERSONNEL

18- KNOWLEDGE, EXPERTISE AND INITIATIVES FOR BUSINESS INNOVATION11

Buts IT

COBIT ou comment mettre en place

l’IT Governance

12

L’évolution informatique…

13

L’Automatisation

L’Information

La Transformation

Evolution économique…

14

Centre de coûts

Ressources

Coûts

IT

CA

Centre de profits ou d’investissements

Ressources

Coûts

IT

Produits& services

Centre de valeur

IT

Produits& services

Valeur

Evolution stratégique…

15

L’informatique en tant que ...

… fournisseur de services

Relation client-fournisseur

… partenaire stratégique

Partenariat

EntrepriseDépartement

Utilisateur

Priorités

321

123

Un peu d’histoire

16

Dév

.

info

rmat

ique

50,60,70

Bon

se

ns

Bes

t of

bre

ed,

ER

Ps,

SG

BD

, L4

G

MM

P p

ropr

iéta

ire,

AX

IAL,

RA

CIN

E,

ME

RIS

E, M

CX

…

70s,80s

• Offres des SSII: +++• Criticité de l’IT: +++• Outils de dév: +++

• Exigences des Users: +++++

ITILCoBITCMMI

ITIL V2Prince IICoBIT

V3PMBoKCOSO

Fin 80s 90s

CoBIT V4.1PMBoK V4 ISO 27 00x

COSO ERMAGILE,

SCRUM, XP…

2000+

ITIL V3CoBIT V5

PMBoK V5 ISO 38 500ISO 31 000

2010+

IT Governance

IT Governance

17

> La Direction doit piloter les orientations d’entreprise en:•S’assurant que la stratégie informatique est alignée avec celle de l’entreprise •S’assurant que l’informatique répond bien aux besoins de l’entreprise•Gérant la stratégie informatique en équilibrant investissements et fonctionnement•Réfléchissant où les ressources informatiques doivent être employées

> La Direction doit piloter directement la valeur générée au travers de l’informatique en:•Livrant les projets dans les délais et le budget•Accroissant l’image, la maîtrise et l’efficacité•Donnant confiance aux clients tout en étant compétitif par rapport au marché

> La Direction doit mesurer sa performance en:•Définissant et mesurant des indicateurs de performance afin de vérifier que les objectifs sont bien atteints•Utilisant le tableau de bord prospectif pour s’assurer de l’adéquation avec les enjeux fondamentaux du management de l’entreprise.

Rôle de la Direction

18

>Définition:

Une structure de relations et de processus

pour diriger et contrôler l’entreprise afin

d’atteindre les objectifs de l’organisation

en ajoutant de la valeur, en évaluant le

risque par rapport aux bénéfices introduit

par les processus IT

IT Governance: Une 1ere définition par l’ITGI

Sou

rce:

IT

GI

19

ISO 38500Corporate Governance of Information Technology

1. Principes:

1. Principe 1: Responsabilité

2. Principe 2: Stratégie

3. Principe 3: Acquisition

4. Principe 4: Performance

5. Principe 5: Conformité

6. Principe 6: Comportement

humain

ISO 38500

Responsabilité

Stratégie

AcquisitionConformité

Comportement humain

Performance

Gouverner et Manager: 2 concepts a dissocier

Besoins des Parties Prenantes

Evaluer

Diriger Piloter

Plan(APO)

Build(BAI)

Run(DSS)

Monitor(MEA)

ManagementFeed back

Gouvernance

Management

Processes for Governance of Enterprise ITEvaluate, Direct and Monitor

Processes for Management of Enterprise IT

Align, Plan and Organise

Build, Acquire and Implement

Deliver, Service and Support

EDM01 Ensure Governance

Framework Setting and Maintenance

EDM02 Ensure Benefits Delivery

EDM03 Ensure Risk

Optimisation

EDM04 Ensure Resource

Optimisation

EDM05 Ensure Stakeholders Transparency

APO01 Manage the IT Management Framework

APO02 Manage Strategy

APO03 Manage

Enterprise Architecture

APO04 Manage

Innovation

APO05 Manage Portfolio

APO06 Manage

Budget and Costs

APO07 Manage HR

APO08 Manage

Relationships

APO09 Manage Service

Agreements

APO10Manage Suppliers

APO11 Manage Quality

APO12 Manage Risk

APO13 Manage Security

BAI01 Manage Programmes and projects

BAI02 Manage Requirements

definition

BAI03 Manage Solutions

Identification and Build

BAI04 Manage Availability

and capacity

BAI05 Manage Organizational

change enablement

BAI06 Manage Changes

BAI07 Manage Changes

Acceptance and Transitioning

BAI08 Manage knowledge

BAI09 Manage Assets

BAI10 Manage configuration

DSS01 Manage

operations

DSS02 Manage Service

Requests and incidents

DSS03 Manage

Problems

DSS04 Manage

Continuity

DSS05 Manage Security Services

DSS06 Manage Business Process

Controls

MEA01 Monitor, Evaluate and

Assess Performance and

Conformance

MEA02 Monitor, Evaluate and

Assess the System of Internal Control

MEA03 Monitor, Evaluate and

Assess Compliance with External Requirements

Monitor, Evaluate and

Assess

21

22

Governance of Enterprise IT

COBIT 5

IT Governance

COBIT4.0/4.1

Management

COBIT3

Control

COBIT2

A business framework from ISACA, at www.isaca.org/cobit

Audit

COBIT1

Evolution du COBIT

2005/720001998

Evo

lutio

n o

f sco

pe

1996 2012

Val IT 2.0(2008)

Risk IT(2009)

© 2012 ISACA® All rights reserved.

Les BSC ou comment mesurer la

mise en place de l’IT Governance

23

Critiquant les systèmes traditionnels de gestion, Kaplan et Norton ont développé au début des années 90, un tableau de bord (“ Balanced Scorecard ”) reposant sur les quatre dimensions suivantes :

les données financières exprimant le résultat d’actions passées

le client

les processus internes

l’innovation organisationnelle

Selon les auteurs, contrairement aux systèmes traditionnels de mesures, un tel tableau de bord met l’accent sur les stratégies et les perspectives de l’entreprise.

Le BSC: Tableau de bord prospectif: Kaplan et Norton

“Comment apparaissons-nous à nos dirigeants?”

(coûts/bénéfices)

Perspective Financière

“Quels sont les processuscréateurs de valeur?”

(interne/externe)

Processus InternePerspective Client

“Comment nous jugentnos clients?”

(managers, utilisateurs…)

Formation & Innovation

“Sommes-nous capablesde préparer l’avenir?”

(formation, innovation, etc.)

Vision etStratégie

Vision externe

Vision intern

e

Les différentes dimensions :

Passé

Futur

Présent

Le BSC: Tableau de bord prospectif (ou équilibré)

“Comment apparaissons-nous à nos dirigeants?”

(coûts/bénéfices)

Perspective Financière

“Quels sont les processuscréateurs de valeur?”

(interne/externe)

Processus InternePerspective Client

“Comment nous jugentnos clients?”

(managers, utilisateurs…)

Formation & Innovation

“Sommes-nous capablesde préparer l’avenir?”

(formation, innovation, etc.)

Vision etStratégie

1. Définir une vision claire pour

l’informatique

2. Élaborer les objectifs

3. Identifier et mesurer

les indicateurs pertinents

4. Analyser lesrésultats et définirles plans d’action

L’IT Balanced ScoreCard

Etude de Cas: Application des ITBSC à l’IT Governance

27

Perspective Objectif Indicateur

Corporate • Alignement : Business / IT• Valeur ajoutée• Management des risques• Synergie

• Approbation du budget• Performance des BU• Résultats des Audits IT• …

Partie Prenante • Satisfaction client• Coûts des services• Performance de Développement orienté client• Performance opérationnelle

• Atteinte des objectifs des coûts unitaires• Scores des projets majeures• Atteinte des obj. Nvx Sces

Excellence Opérationnelle

• Processus de développement• Processus opérationnels• Maturité des processus• Architecture d’entreprise

• Mesures des Points de Fonction• Efficacité du Change management• Niveau des processus IT• Etat d’évaluation de l’infra

Future • Management des HR• Satisfaction des employés• Niveau de KM

• Turnover du staff• Scores des enq. Satisfaction• implémentation des leçons apprises

28

Etude de Cas: Application des ITBSC à l’IT GovernanceRelations Cause à effets entre les différentes perspectives

Corporate« Assurer un maximum de profit grâce à

L’IT avec un risque raisonnable »• Alignement stratégique• VA• Risk management

Future«Construire des fondations

durables de l’IT Gov »• Compétences et Connaissance• Partenariat Business/IT

Partie Prenantes«Mesurer les attentes des PP »

• Satisfaction des PP• Management des besoins des

PP• Conformité légale et éthique

Excellence Opérationnel« Assurer une IT Gov efficace et durable »

• Structures• Processus• Maturité

IT Governance

1- Corporate

29

Perspective Contribution Corporate

Mission Assurer un bénéfice des IT en manageant et minimisant les risques

Objectifs:

Alignement Stratégique:Mesures:

• Degré d’atteinte des objectifs Des projets majeures• % capacité engagée dans les projets stratégiques• % des objectifs business supportés par les objectifs IT

Valeur ajoutée:Mesures:

• Management des performances des BU• Valeur business des projets IT majeures (ROI, NPV, IRR…)• Ratio Coût IT / CA • Coûts IT refacturé au business

Management des risques:Mesures:

• Nombre de nouvelles initiatives sécurité implémentées• Taux de croissance (ou diminution) des brèches sécurité• Taux d’efficacité du PCA• Nombre d’audits IT et évaluation des remarques

2- Parties Prenantes:

30

Perspective Orientation Parte Prenante

Mission Mesurer les attentes des PP

Objectifs:

Satisfaction des PP:Mesures:

• Enquêtes de satisfaction des PP périodiques• Nombres de réclamations des PP• Registre de disponibilité des Sces rendus aux PP

Management des besoins des PP:Mesures:

• Nombre de réunions avec les PP• Clarté de la Communication avec le Board de l’entreprise• Taux de Sponsorship des projets IT par le Top management• Nombre de projets IT respectant les SLAs

Conformité légale et éthique: Mesures:

• Conformité aux règles et réglementations• Adhésion et conformité aux règles éthiques et codes de bonnes

conduites

3- Excellence opérationnelle:

31

Perspective Excellence opérationnelle

Mission Assurer une IT Gouvernance efficace et durable

Objectifs:

Structures:Mesures:

• Nombre de réunions des Comités Stratégie IT et de pilotage• Composition des comités de pilotage• Présence des membres des comités

Processus:Mesures:

• Niveau de planification stratégique IT• Nombres de réunions/heures passées sur des problèmes IT/business• Existence de métriques de mesures des IT et du business• Efficacité de la cartographie des processus IT• Nombres de processus IT couverts par ITIL / CoBIT• Niveau de maturité des processus IT• Evaluation des SLAs / Objectifs SLAs

Maturité: Mesures:

• Niveau global de maturité des processus IT Governance

4- Orientation future:

32

Perspective Orientation future

Mission Construire des fondations durables de l’IT Gouvernance

Objectifs:

Compétences et connaissances:Mesures:

• Nombre et niveau de sessions de formation transversales (IT/Business)• % de session de sensibilisation/formation sur la problématique de l’IT

Gov.• Nombre de sessions de sensibilisation au Top management sur l’IT

Gov.• Niveau et utilisation du système de connaissances IT Gov

Partenariat IT/Business:Mesures:

• % des Seniors managers sensibilisés à l’IT (IT-literate)• % des responsables IT sensibilisés au business (Business-literate)• Niveau de perception du staff business à l’IT

Mohamed SAADChief Information OfficerBest Practices Evangelist

Bourse de Casablancasaad@casablanca-bourse.com

33

ma.linkedin.com/in/mohamedsaadcisa/

http://fr.slideshare.net/saadcse/