ANNEXE E : CORRESPONDANCE DE COBIT 5

              AVEC LES NORMES ET LES RÉFÉRENTIELS LES PLUS PERTINENTS

ANNEXE E
CORRESPONDANCE ENTRE COBIT 5 ET LES NORMES ET

RÉFÉRENTIELS CONNEXES LES PLUS PERTINENTS

Introduction

Cette annexe compare COBIT 5 aux normes et référentiels les plus pertinents et les plus utilisés dans le domaine de
la gouvernance. Pour ISO/CEI 38500, cette comparaison se fait au moyen de ses propres principes; pour les autres
comparaisons, on utilise un tableau dans lequel les processus de COBIT 5 sont mis en correspondance avec le contenu
équivalent de la norme ou du référentiel auquel on fait référence.

COBIT 5 et ISO/CEI 38500

Ce qui suit résume en quoi COBIT 5 appuie l’adoption des principes standards et de l’approche de mise en œuvre. La
norme ISO/CEI 38500:2008 – Gouvernance des technologies de l’information par l’entreprise est fondée sur six principes
clés. Les implications pratiques de chacun de ces principes sont expliquées ici, tout comme les moyens par lesquels les
orientations de COBIT 5 permettent une bonne pratique.

Principes ISO/CEI 38500

PRINCIPE 1 – RESPONSABILITÉ
Ce que cela signifie en pratique :
L’entreprise (le client) et les TI (le fournisseur) doivent collaborer selon un modèle de partenariat, privilégier les
communications efficaces fondées sur une relation de confiance positive et identifier clairement la responsabilité et
l’imputabilité de chacun. Dans les grandes entreprises, un comité exécutif des TI (aussi appelé comité stratégique des TI),
agissant pour le compte du conseil d’administration et présidé par un membre de celui-ci, constitue un mécanisme efficace
d’évaluation, de direction et de surveillance de l’utilisation des TI. Il s’agit également d’une excellente façon d’orienter
le conseil face aux enjeux de TI cruciaux. Les dirigeants de petites et moyennes entreprises dotées d’une structure
hiérarchique simple et de voies de communication brèves doivent adopter une approche plus directe quant à la supervision
des activités des TI. Dans tous les cas, des structures organisationnelles de gouvernance, des rôles et des responsabilités
doivent être attribués par le groupe de gouvernance afin d’établir la propriété et les approbation des décisions et des tâches
importantes. Cela s’applique aussi aux relations avec les principaux fournisseurs de services de TI externes.

Comment les orientations de l’ISACA permettent une bonne pratique :
1. Le cadre de référence de COBIT 5 définit différents facilitateurs pour la gouvernance des TI en entreprise. Les

  facilitateurs des processus et des structures organisationnelles, combinés aux tableaux RACI13, sont particulièrement
  pertinents dans ce contexte. Ils encouragent fortement l’attribution de responsabilités et donnent des exemples de rôles
  et de responsabilités des membres du conseil et de la direction, et ce, pour tous les processus et activités clés.
2. Le document COBIT 5 Mise en œuvre explique les responsabilités des parties prenantes et autres parties concernées au
  moment de la mise en œuvre ou de l’amélioration des ententes de gouvernance des TI.
3. COBIT 5 propose deux niveaux de surveillance. Le premier est pertinent dans un contexte de gouvernance. Le
  processus EDS05 Assurer aux parties prenantes la transparence explique le rôle du directeur dans la surveillance et
  l’évaluation de la gouvernance et de la performance des TI à l’aide d’une méthode générique d’établissement des buts et
  objectifs ainsi que d’indicateurs connexes.

PRINCIPE 2 – STRATÉGIE

Ce que cela signifie en pratique :
La planification stratégique des TI constitue une activité complexe et critique qui exige une coordination étroite entre les
unités d’affaires de toute l’entreprise et les plans stratégiques de TI. Il est également crucial d’accorder la priorité aux
plans les plus susceptibles de procurer les bénéfices souhaités et d’attribuer les ressources efficacement. Les objectifs
de haut niveau doivent se traduire en plans tactiques réalisables afin de minimiser les échecs et les surprises. Le but est
de créer une valeur qui appuie les objectifs stratégiques tout en tenant compte des risques connexes, en fonction de la
tolérance au risque du conseil d’administration. Bien qu’il soit important de définir des plans en cascade, de haut en bas,
ceux-ci doivent également être souples et adaptables afin de satisfaire les exigences d’affaires et les opportunités en TI qui
évoluent rapidement.

De plus, la présence ou l’absence de capacité en TI peut faciliter ou entraver les stratégies d’affaires; par conséquent,
la planification stratégique des TI doit inclure une planification transparente et adéquate des capacités en TI. Cette

13 Les tableaux RACI décrivent qui est responsable, qui approuve, qui est consulté et qui est informé pour une tâche.

                                                                                                                           61

                          Personal Copy of: Cédric Cals