Blog de Youssouf Chotia

L'ISACA, association internationale spécialisée dans le domaine de la gouvernance et de l'audit des systèmes d'information a développé une nouvelle certification baptisée CGEIT (Certified in the Governance of Enterprise IT). Lancée après les normes CISA et CISM, respectivement apparues en 1978 et en 2002, CGEIT se concentre sur cinq domaines :

• l'alignement stratégique
• la gestion des ressources
• la gestion du risque
• la mesure de performance
• la contribution du SI à la création de valeur pour l'entreprise.

Cinq années d'expérience en gouvernance des SI est requis pour obtenir la certification CGEIT. Le remier examen pour l'obtention de cette certification aura lieu en écembre 2008.

J'ai du mal à comprendre la pertinence de cette formation. J'ai plutôt l'impression que l'ISACA a simplement créé un nouveau nom pour adresser un nouveau public. En effet, au niveau du contenu je me demande quelles sont les différences significatives avec CISA.
 
Mais au niveau marketing c'est sûrement intéressant d'avoir une nouvelle certification (CISA date de presque 30 ans). C'est aussi l'occasion de se faire connaître en élargissant le public intéressé. Sur le modèle des juteuses certifications ITIL ? A priori non étant donné le pré-requis de 5 ans en gouvernance. Encore faut il voir les justifications demandées...

Certified in the Governance of Enterprise IT™ sur le site de l'ISACA

Pour rappel l'ISACA est connu pour être l'auteur des référentiels de gouvernance IT :  COBIT, ValIT

Why do you need eSCM  (eSourcing Capability Model) ?

Can you control an outsourcing contract based only on contractual
indicators ?

Probably yes; if everything occurs well, if the scope doesn't evolve a lot, if you don't wait for  significant profit of productivity; in short or a static organization (in a disapearing way)

But things occur sometimes well (at the beginning) but very often the trend is getting worse ;  particularly when you have to  manage/undergo multiple changes.

The relevance of the externalisation is less and less questioned, so it is now the hour to rationalize and industrialize the process of outsourcing; s well as the others.  Indeed, the causes of incomprehension,dysfunction, progressive degradation are very numerous and requires to cure it through a comprehensive and global framework.

Despite of its youth (2004), the credibility of eSCM restsalready on several points:

1 – Firstable, it is a question of meeting a true need (expressed in an increasingly explicit way by the customers)

2 - The ITsqc (department of the university Carnégie Mellon) at the origin of the eSCM framework have a true credibility as regards with their support with CMMI

3 - The main actors who initialize the framework are significant actors of the market: EDS, IBM, Accenture and Satyam (India),

4 - The model itself is presented in a very didactic
three-dimensional way

   - Level of maturity from 1 to 5

   - 10 fields to follow (performance, RH, threat,technology, reversibility, …)

5 – A vision of outsourcing like a true partnership (rather han a simple customer-supplier relation ) with the clear juxtaposition between duties" of the service provider  (eSCM SP) and "duties" of the customer (eSCM SC). A relatively new approach whichstresses the shared responsabilities. Indeed it is rare to note that the drifts of an outsourcing contract are due to only one of the two parts.

6 - The reflexion of the working group on the level of covering of eSCM with the other standards currently in work in IT

In conclusion: From controlling to governing outsourcing contract through a framework specificely designed for it

eSCM kesako ?  eSourcing Capability Model (Modèle d'aptitude à l'infogérence)

Peut on se permettre de piloter une infogérance uniquement en se fondant sur le suivi des indicateurs contractuels ?

Probablement oui ; si tout se passe bien, si le périmêtre évolue peu, si on n'attend pas de gain significatif de productivité ; bref pour une organisation plus ou moins figée ...

Mais en général les choses se passent parfois bien (au début) mais au fil du temps les rouages ont sérieusement tendance à se gripper ;  a fortiori quand on est amené à gérer/subir  de multiples changements.

La pertinence de l'externalisation n'étant plus vraiment  remise en cause, il est désormais l'heure de rationaliser et d'industrialiser ce processus d'infogérence ; au même titre que les autres.  En effet, les causes d'incompréhension, de dysfonctionnement, de dérapage, de dégradation progressive sont très nombreuses et nécessite pour y remédier de s’accorder sur un cadre global. 

Malgré sa jeunesse (2004), la crédibilité  de eSCM repose déjà sur plusieurs points :

1- D'abord il s'agit de répondre à un véritable besoin (exprimé de manière de plus en plus explicite par les clients)

2- Le département ITsqc de l'université Carnégie Mellon à l’origine de la démarche possède une vraie crédibilité en matière de référentiel IT avec leur support à CMMI (quand est ce que les universités françaises décideront de mettre à profit leur compétences au services de ce type de besoins opérationnel ? Peut être encore trop terre à terre et pas assez "conceptuel" ... )

3- La réflexion autour de la méthode à impliqué un groupe restreint mais significatif d'acteurs du marché : EDS, IBM, Accenture et Satyam (Inde),

(on recherche toujours une entreprise européenne)

4- Le modèle en lui même qui se présente de  manière tridimensionnelle très didactique

   - Niveau de maturité de 1 à 5

   - Les 10 domaines à suivre (performance, RH, menace, technologie, reversibilité, 

   - Les différentes étapes dans le temps d'une infogérance

5- La vision de l'infogérance comme un véritable partenariat (plutôt qu’une relation simple client-fournisseur) avec la juxtaposition  claire entre "devoirs" de l'infogéreur (eSCM SP) et "dévoirs" du client (eSCM SC). Une  vision relativement neuve qui met l'accent sur le partage des responsabilités. En effet il est rare de constater que les dérives d’une externalisation sont dues à une seule de deux parties.

6- La réflexion du groupe de travail sur le niveau de recouvrement de eSCM avec les autres normes actuellement en oeuvre en IT

En conclusion : Du pilotage à la gouvernance de l'infogérance grâce à un référentiel de qualité

Enfin de manière très pragmatique, eSCM est disponible de manière gratuite pour faciliter sa diffusion et son "évangélisation". L'intérêt de  ITsqc se situant évidemment sur sa diffusion rapide, sur le retour des "early adopters" et des futures certifications qui en découleront... (Un modèle presque open source :-)  )