Beaucoup de DSI s'interrogent sur les conditions de mise en oeuvre d'une stratégie de gouvernance des systèmes d'information qui permette à la fois de régler de façon transparente les problèmes opérationnels, ce qui est très souvent leur priorité immédiate, mais aussi de créer un courant durable d'intérêt et d'engagement de leur direction générale sur les thématiques systèmes d'information encore souvent perçues comme opaques... La réconciliation de ces objectifs souvent jugés contradictoires est indispensable. La bonne nouvelle est qu'elle est possible.
Ce texte a été publié dans un ouvrage collectif écrit par les enseignants de l'Ecole de Management des Systèmes d'Information de Grenoble "Stratégie et pilotage des systèmes d'information", qui développe une vue complète d'une approche contemporaine des systèmes d'information telle qu'elle est enseignée dans cette structure dynamique.
Le fonctionnement des grandes structures, entreprises comme organisations publiques a été totalement transformé par les moyens informatiques qui y ont été déployés depuis maintenant quarante ans. Plus récemment les PME et les entreprises individuelles ont également pu exploiter les bénéfices des technologies de l’information, qui se sont démocratisées grâce à la micro-informatique et au web. Mettant en œuvre ces techniques, les entreprises ont pu accélérer leur cycle de développement, croître tout en gagnant en fiabilité, en productivité et en réactivité dans leur gestion courante. Plus encore l’informatique a nourri l’innovation en permettant d’exploiter de nouveaux territoires commerciaux, géographiques, techniques. Sortant de leur isolement par l’échange de données informatisé puis internet, les entreprises se sont constituées en réseaux « d’entreprise étendue » au sein desquels se nouent des coopérations et partenariats qui dépassent la simple relation client/fournisseur. Puissant moyen de développement des relations entre les acteurs, au sein des entreprises comme entre entreprises, et, ultimement avec le client final l’informatique en réseau constitue le système nerveux de cet ensemble de flux d’informations et de connaissances qui caractérise « la société de l’information ».
Si la production et l’échange de produits et services sont aujourd’hui, dans le monde, totalement soutenus par le déploiement de moyens de traitement de l’information, cette économie nouvelle dépend, pour son développement, de la maîtrise de l’ensemble des composants techniques, organisationnels et comportementaux qui ont permis son essor. L’informatique est progressivement devenue une ressource critique dont la performance dépend de multiples décisions, émanant d’une pluralité d’acteurs, dont la coordination et la pertinence ne peuvent résulter de mécanismes spontanés.
Cette complexité, source de fragilité et de risques, doit être pilotée. Naguère intuitif et pragmatique, ce pilotage doit devenir industriel, prédictif et mesurable. C’est pourquoi les choix des entreprises en matière de technologie de l’information, la maîtrise de leur fiabilité, de leur coût et de leur usage ont rendu nécessaire l’émergence d’une nouvelle discipline, la gouvernance des systèmes d’information. L’observation des règles et pratiques qu’elle propose est une garantie de la pertinence des choix et de l’alignement des ressources informationnelles au regard des attentes des organisations.
- L’informatique, un perpétuel mouvement
Si les outils informatiques ont permis cette profonde transformation du monde économique, l’industrie informatique elle-même y a également largement contribué par son dynamisme propre. Ce secteur, marqué par la croissance, l’innovation et l’entrepreneuriat, représente un modèle pour les industries traditionnelles et une vitrine de la mise en œuvre de ses propres solutions. Fédéerant de nombreux acteurs, constructeurs, éditeurs, intégrateurs, sociétés de conseil et de service, a elle-même connu de puissantes vagues de transformations depuis les années soixante. Naguère élitiste, rare et chère, l’industrie informatique, qui se confond aujourd’hui avec celle des télécommunications, est devenue une industrie de masse puissante et globale, s’adressant aussi bien au monde professionnel qu’au monde de la consommation domestique.
Le déploiement des systèmes d’information en entreprise n’est pas un processus simple par lequel les entreprises exerceraient un choix raisonné entre solutions stables proposées sur étagère par le marché autour de normes qui s’imposeraient à tous. C’est au contraire un mouvement continu d’élaboration itérative de solutions entre les différents acteurs du système, fournisseurs comme clients. La puissance propre de l’industrie des technologies de l’information est un facteur majeur d’influence sur les décideurs. Mais au-delà des limites du « marché professionnel » qui est resté étanche aux influences externes pendant quarante ans, un fait nouveau s’est imposé : l’informatique et les solutions se déploient désormais plus vite hors du périmètre professionnel dans le monde grand public. Cette généralisation du fait numérique remet profondément en cause les méthodes de conception, de production et de distribution des « programmes informatiques », désormais regroupés dans une approche globale de « systèmes d’information ». Naguère technique, l’approche moderne des systèmes d’information accorde une place majeure aux décideurs des métiers comme aux utilisateurs, appelés à intervenir dans la conception des systèmes comme dans l’optimisation de leurs usages. Elle intègre également l’influence des pratiques et comportements issus du grand public dans cette vague d’innovation identifiée comme le Web 2.0.
Globale, omniprésente dans la vie des entreprises comme des particuliers, l’informatique tend désormais à se fondre dans un ensemble de services, que certains appellent « le nuage » et qui va progressivement regrouper les composants historiques des systèmes d’information. Cette évolution va bouleverser à nouveau dans les années à venir les concepts d’organisation comme les outils techniques des systèmes d’information, et le partage historique entre l’informatique professionnelle et l’informatique grand public.
Si l’articulation entre les composants systèmes va sans nul doute se transformer une fois encore, il est indispensable de comprendre et maîtriser cette évolution qui ne fait pas disparaître les finalités propres de l’informatique et des systèmes d’information au service de l’entreprise.
La politique des systèmes d’information d’une entreprise doit permettre d’apporter les réponses les mieux adaptées à ses besoins stratégiques et opérationnels, compatibles avec ses ressources. Elle doit donc être en mesure de répondre aux deux questions fondamentales de la direction générale : dispose-t-on de la meilleure combinatoire de systèmes au regard de notre stratégie ? gère-t-on avec efficacité et efficience les ressources que l’on consacre à cette mission ?
Si la question de l’alignement des systèmes sur les finalités de l’entreprise se pose depuis les origines du mouvement d’informatisation dans les années soixante-dix, période où les coûts étaient si élevés qu’il fallait opérer des choix drastiques entre les fonctions à « informatiser », l’informatique a longtemps échappé aux logiques de contrôle qui ont été déployées plus précocement dans les autres fonctions. Son caractère novateur, et donc instable, lui a conféré ce privilège temporaire Ce n’est que depuis dix ans que l’on a pris conscience de l’ampleur des risques pris par une médiocre maîtrise de la fonction informatique et système d’information, ce qui a donné au concept de gouvernance de systèmes d’information une forte visibilité.
En effet, le contrôle de la gouvernance des systèmes d’information prend encore plus de sens quand l’omniprésence des outils informatiques conditionne totalement les performances des entreprises et des personnes.
2. L’alignement du système d’information, un exercice indispensable et complexe
L’informatique désormais dégagée de son statut privilégié d’industrie pionnière doit répondre aux mêmes normes de contrôle que les autres vecteurs qui contribuent à la performance des entreprises. Comme pour toute autre ressource, les finances, la technologie, les compétences, la force commerciale, la seule finalité de l’informatique et des systèmes d’information est de servir la stratégie de l’entreprise et son adaptation permanente au contexte dans lequel elle opère.
Si ce principe est bien clairement posé dans les intentions des commanditaires des systèmes d’information comme dans celles de leurs réalisateurs – architectes, développeurs, exploitants- , la réalité perçue dans les entreprises est très souvent décevante. Cette distorsion entre la vision et la perception tient à la complexité des systèmes d’information qui résultent de l’addition de couches techniques elles-mêmes instables et d’une organisation et de comportements sociaux et psychologiques qui confèrent aux systèmes d’information leur spécificité socio-technique.
La problématique du contrôle revêt donc depuis quelques années une dimension capitale. Force est de reconnaître qu’elle ne se simplifie pas. On a constaté que la seule innovation technique contenue dans les outils ne permettait plus l’atteinte des résultats exigée par le niveau croissant d’investissements que requièrent les systèmes d’information. Cette exigence appelle donc une nouvelle approche de la politique des systèmes d’information beaucoup plus centrée sur l’atteinte de résultats probants que sur le déploiement de techniques, plus sur la transformation des usages que sur la gestion des moyens.
2.1 Un développement induit par les opportunités techniques
Le prodigieux succès du déploiement de l’informatique dans les entreprises s’est réalisé en plusieurs vagues induites par des innovations techniques. De ce fait, les technologies de l’information se sont progressivement insérées au cœur du fonctionnement des entreprises par poussées successives, sans plan cohérent, au gré des propositions techniques, de la stratégie marketing et des réussites commerciales des éditeurs et constructeurs de matériels. Il s’agissait de faire mieux et plus vite les tâches habituelles du monde de l’entreprise en introduisant à la fois l’esprit de modernité associé aux technologies et la recherche d’efficacité… Ce sont les processus quantitatifs et répétitifs qui ont été les premiers à être informatisés : comptabilité, commandes, facturation, paye. Puis compte tenu de la capacité des outils, d’autres processus au cœur des métiers ont fait progressivement l’objet d’une informatisation : ordonnancement, gestion de production, maintenance, conception.
Les systèmes d’information ont été d’abord développés dans les plus grandes entreprises, dotés de compétences internes et de capacité d’achat de ressources du marché. Chaque entreprise a donc construit son propre parcours en assurant la convergence des besoins exprimés par ses propres utilisateurs et des ressources techniques internes et acquises. Ce modèle fragmenté n’a pas favorisé la standardisation des techniques et des ressources. Les solutions de marché comme les progiciels et les solutions intégrées – ou ERP, enterprise resource planning – ne sont apparues que dans les années quatre-vingt-dix et leur adoption a été accélérée par la perspective du passage à l’an 2000 qui a nécessité la mise à niveau de la plupart des solutions propriétaires. Mais malgré les intentions initiales, le degré de standardisation s’est révélé faible.
Il est compréhensible que dans ce contexte technique et organisationnel, le développement des systèmes d’information n’ait pas été harmonisé, chaque projet se dotant en général de son propre modèle de données, souvent imposé par la technique choisie, et de ses propres règles d’architecture technique et fonctionnelle.
L’usage des systèmes s’est intégré de façon plus ou moins fluide dans le fonctionnement des entreprises, ajoutant au fil du temps de nouveaux outils aux pratiques traditionnelles de management. La planification globale de ces développements, en dépit des tentatives de la structurer au sein de schémas directeurs des systèmes d’information, n’a pas réussi à convaincre en dépit des moyens significatifs accordés par les entreprises à l’élaboration des ces outils. La vitesse de déploiement de ces schémas directeurs s’est révélée insuffisante par rapport aux attentes des organisations. Ainsi, les mouvements se sont réalisés la plupart du temps au détriment de la cohérence, et donc des coûts. Le système d’information s’est donc élaboré par couches et la mise en convergence a posteriori des différentes couches se révèle un exercice délicat et coûteux. Aussi les informaticiens préfèrent obtenir le niveau minima requis d’interopérabilité par des moyens techniques, qui viennent à leur tout alourdir le système global, plutôt que par une refonte globale perçue comme encore plus aléatoire. Ces solutions apparaissent à court terme comme des palliatifs, qui pénalisent les entreprises anciennes par rapport aux nouveaux venus.
Or les entreprises dépendent de plus en plus fortement de l’efficacité de leur système d’information pour atteindre leurs objectifs. Des solutions nouvelles de gouvernance ont émergé et se déploient de façon inégale dans les organisations. Une approche réaliste de la gouvernance s’impose pour faire franchir aux entreprises un palier de performance nouveau en matière de SI.
2.2 L’alignement stratégique face à des défis nouveaux
L’alignement stratégique entre les systèmes d’information et les objectifs de l’entreprise est devenu aujourd’hui une préoccupation constante des DSI comme des directions générales. Mais ce thème recouvre aujourd’hui des situations plus larges et plus complexes que lors de la phase initiale de couverture fonctionnelle. La plupart des grands processus transactionnels des entreprises sont désormais supportés par des systèmes d’information qu’il fait maintenir et faire évoluer. Mais au-delà de ce socle, de nombreux besoins apparaissent pour répondre aux sollicitations d’un environnement mouvant. Il y a ainsi consensus pour reconnaître que les ressources informationnelles et cognitives constituent un moyen majeur de différenciation compétitive dans une économie de l’immatériel. Or leur gestion est moins mature et se révèle plus délicate que les autres ressources de l’entreprise. Si dans les premières décennies du développement de l’informatique il s’agissait surtout de rationaliser des processus conventionnels pour accroître la productivité et la vitesse, les enjeux de l’investissement dans les technologies de l’information, de la communication de la connaissance ont changé de nature. La logique de pilotage de l’informatique doit intégrer cette nouvelle donne sans négliger la gestion sans cesse plus coûteuse des systèmes historiques (ou « legacy systems »).
Construits pour résoudre les problèmes économiques internes, les commandes, la facturation, la paye, la comptabilité, les systèmes d’information ont fondamentalement été conçus dans une logique « centripète » et régalienne pour ramener l’information de la périphérie vers le centre, le siège, et consolider l’image patrimoniale, juridique et sociale de l’entreprise.
Or pour répondre aux défis des entreprises modernes, les systèmes d’information doivent obéir aujourd’hui à quatre impératifs complémentaires que l’on peut qualifier de « centrifuge » : satisfaire aux besoins de l’entreprise étendue, mettre le consommateur au cœur de l’entreprise, être capable de composer de nouvelles combinatoires de ressources en cas de changement de périmètre et attirer de nouveaux collaborateurs imaginatifs et motivés.
- La dynamique de l’entreprise étendue
L’économie moderne impose au contraire que l’entreprise soit en permanence accessible de l’extérieur par tous ceux qui contribuent à son fonctionnement. Elle doit devenir ouverte et polycentrique. La satisfaction des contraintes légales et sociales comme des nécessités du pilotage doivent être conçues comme un sous-produit des processus opérationnels, et non plus comme un objectif majeur. Ses systèmes doivent être accessibles à tous les fournisseurs pour leur permettre de connaître, sans intermédiaire ni délai, les prévisions de production, les appels d’offres, les commandes, l’état des règlements… Les portails doivent ainsi devenir plus attractifs, plus simples et efficaces. Convaincre un fournisseur par la réduction des coûts d’intermédiation est aussi un argument de négociation
- La transformation de la relation avec le client
Comme le fournisseur, le client revendique le droit à être traité en partenaire. Mais, dans une économie fluide et compétitive, il est encore plus vital pour l’entreprise de le convaincre et de le fidéliser. Pour cela elle doit apprendre à communiquer avec lui dans sa langue mais aussi dans son langage. Le client veut à tout moment tout savoir des produits et services qu’on lui propose, et pas seulement pendant les heures ouvrables. Ainsi un catalogue est le plus souvent vu de l’intérieur de l’entreprise à partir des impératifs internes, ou habitudes, techniques, commerciales, organisationnelles. Le client n’a que faire de ces considérations. Il n’attend qu’une chose, sa satisfaction, et si possible immédiate. D’immenses progrès doivent être accomplis pour rendre l’entreprise, et ses produits, accessible, ouverte, compréhensible. Or l’expérience démontre que le client pressé de la génération internet est toujours mieux informé que le vendeur du réseau classique. Il ne se borne pas à éplucher les notices des producteurs, mais consulte les sites des revues spécialisées et les forums pour recueillir l’avis et les conseils de ses pairs, jugés plus objectifs et mieux informés que le point de vue officiel. Or ces sites ne renvoient jamais à ces sources d’information multiples. La coopération entre le point de vue officiel de l’entreprise – ou des collectivités – et ces réseaux informels d’où émergent une véritable expertise est encore embryonnaire. Les entreprises n’ont pas encore intégré le fait qu’elles ne disposent plus du monopole de l’information et répugnent à orienter vers d’autres points de vue.
- La flexibilité organisationnelle dans des périmètres en mouvement
La demande de nouveaux systèmes est alimentée par l’évolution constante du contexte de l’entreprise. La concurrence accrue accélérant le cycle de vie des produits, les nouvelles contraintes réglementaires, l’élargissement des territoires, avec leur diversité juridique et fiscale, le degré plus ou moins intime de coopération entre les composants de l’entreprise étendue sont autant de facteurs qui induisent des évolutions de système d’information. L’entreprise doit être en mesure de se recomposer et de se réinventer rapidement. Changer d’organisation, ouvrir de nouveaux territoires, acquérir de nouvelles entités ou se marier avec des concurrents sont des exercices que l’informatique conventionnelle rend lents, compliqués, aléatoires. Or l’informatique héritière des millions de lignes de code fruits de trente ans d’histoire ne peut constituer un frein aux changements indispensables. Dans le processus de rapprochement entre entités, la vitesse est essentielle ; c’est elle qui permettra de dégager les synergies désirées, de repenser les structures pour leur donner de la visibilité et du sens et engager vis-à-vis des clients comme du personnel une nouvelle dynamique de performance. La perspective d’une accélération de la modification des périmètres des entreprises rend nécessaire un découpage novateur de leurs architectures de systèmes et de leurs infrastructures.
- La réponse aux attentes de nouvelles générations de salariés
Le changement de comportement des collaborateurs est lié à l’apparition de jeunes générations rompues dès leur jeune âge au maniement d’outils informatiques sophistiqués qu’ils s’étonnent de ne pas avoir exploités en entreprise. Or ces outils sociaux et coopératifs sont fondés sur des logiques d’échanges constants qui ne connaissent pas de barrières spatio-temporelles.
Alors que la mobilisation de « l’intelligence compétitive», ou « business intelligence », au cœur de l’économie de l’immatériel, demeure une pratique floue où se mêlent l’usage de systèmes techniques coûteux et mal exploités, comme les outils de management de la connaissance et d’aide à la décision, et des pratiques de management conventionnelles, l’observation et l’adoption des pratiques issues du web constitue pour les entreprises une opportunité de transformation. La réflexion sur le soutien permanent à la prise de décision et au développement des connaissances constitue un des thèmes les novateurs de l’alignement.
A ces facteurs de mutation interne, se sont récemment ajoutés de nouvelles perspectives techniques qui apportent dans le paysage des systèmes d’information de fortes opportunités de rupture. Le mouvement dialectique entre l’évolution des besoins de l’entreprise et l’offre du marché continue mais en transcendant le cadre classique du processus expression de besoins/ déploiement de solutions. Il s’agit des offres classées sous le vocable générique « software as a service » (SaaS) dont la spécificité est de proposer une solution sur étagère, directement accessible sur internet, et dont la mise en œuvre n’implique ni développement interne, ni capacité de production informatique propre, ni investissement. Il s’agit de s’abonner à un service, payé à l’acte, dont on exploite le potentiel pour résoudre des problèmes internes. Ces services répondent parfaitement bien aux besoins génériques de l’entreprise, comme la messagerie, voire les outils de productivité individuelle, d’autant plus que l’entreprise n’a pas de base installée. Leur pénétration est plus complexe dès lors qu’il s’agit de systèmes fonctionnels faisant appel à d’autres données de l’entreprise.
La montée en puissance de ce type de solution offre des possibilités très intéressantes dans la capacité des entreprises à exploiter, à la demande, les seuls outils dont elles ont besoin, sans délai ni coût initial. Ces solutions ne dispensent en aucun cas d’une réflexion sur leur adéquation en termes de coût et de valeur aux problématiques de l’entreprise.
- Pratiques de la gouvernance
Si le terme « gouvernance » n’a fait que récemment son apparition dans le vocabulaire des systèmes d’information, la gouvernance, comme « ensemble de règles et de méthodes pour piloter rationnellement le système d’information en adéquation avec les objectifs et aux ressources de l’entreprise », est une pratique ancienne même si elle n’était pas codifiée. Le champ de l’informatique, création intellectuelle permettant à partir de concepts, de principes et de règles de construire des programmes automatiques s’est nourri dès l’origine de réflexions méthodologiques permettant de se structurer de façon cohérente. La gouvernance des systèmes d’information est une discipline qui fédère ces multiples acquis pour permettre aux acteurs de prendre, en toute connaissance de cause, des décisions documentées et pertinentes. Il est désormais indispensable que toutes les entreprises et collectivités publiques en déploient les principes de façon appropriée.
3.1 Un cadre d’arbitrage incontesté
Des logiques contradictoires s’affrontent dans le processus d’évolution des systèmes d’information. Le besoin en système d’information est en constante mutation. Cette dynamique implique un renouvellement rapide des systèmes pour répondre sans délai aux besoins perçus, alors que les règles de rigueur et de méthode imposent une discipline forte, le respect de rôles, de formes et de délais afin de construire des systèmes robustes et opérables dans le temps.
Le champ de la décision sur les systèmes d’information n’échappe pas aux contingences internes : priorités non arbitrées, conflits d’influence, contraintes conjoncturelles. La persistance des contraintes techniques pèse sur les choix. Alors que la volonté des métiers est de saisir les opportunités d’innovation technique pour servir de nouveaux processus, les DSI doivent intégrer la gestion du poids des investissements antérieurs : couches historiques de solutions techniques difficiles à maintenir, obsolescence de solutions logicielles, montée de version inéluctable des progiciels.
L’inertie des systèmes, le poids du portefeuille applicatif, les réticences des maîtrises d’ouvrage, les risques d’échecs des projets nouveaux limitent les marges de manœuvre comme la capacité pour investir dans les solutions plus modernes et moins coûteuses. La tentation de greffer, malgré tout, des techniques nouvelles sur des logiques anciennes d’organisation risque de conduire à pérenniser l’organisation ancienne et de renforcer la complexité des systèmes. On a ainsi vu de nombreuses interfaces web totalement déphasées par rapport aux processus qu’elles étaient sensées rajeunir.
Les dirigeants d’entreprise ont à la fois conscience de l’importance majeure que l’information peut avoir sur le succès de leur entreprise et le sentiment que le contrôle leur échappe. Ils contestent le volume des ressources budgétaires allouées à la fonction informatique tout en regrettant de ne pas disposer des outils les plus modernes. La cohabitation de ces attitudes extrêmes créé une frustration au cœur de laquelle se situe les DSI. Si l‘histoire de l’informatique, de ses promesses et de ses échecs a pu justifier que l’informatique ne soit pas perçue et gérée comme une ressource comme les autres, la poursuite d’un tel traitement est aujourd’hui dangereuse alors qu’il existe maintenant des outils fiables permettant de comprendre les risques et d’exploiter les bénéfices des technologies de l’information.
3.2. Les objectifs de la gouvernance
Doter la fonction informatique et systèmes d’information d’un modèle de gouvernance efficace est une décision d'entreprise que le DSI doit faire émerger et instrumenter. Cette logique est incontournable pour les managers de la DSI, et de façon plus large, pour chaque entreprise ou organisation quelque en soit le métier ou la taille. C’est à la fois une obligation de bonne gestion interne, mais c’est également répondre à une contrainte externe que la loi américaine Sarbanes-Oaxley a établi comme référence dont les régulateurs nationaux s’inspirent sous des formes diverses.
La gouvernance impose une discipline collective fondée sur le partage d’outils d’analyse, de décision et d’action. La gouvernance vise à répondre à une demande de clarification des relations entre acteurs et de transparence des décisions. Ce souci émane bien sûr des directions générales qui souhaitent être rassurées quant à la bonne exploitation des ressources de l’entreprise dans les technologies de l’information, mais aussi des actionnaires qui prennent conscience de la vulnérabilité d'une entreprise dont le système d'information n'est plus compétitif. Les directions utilisatrices et des informaticiens en attendent également les conditions d’un dialogue serein sur l’évaluation des performances et la recherche d’une meilleure efficacité dans l’allocation des ressources. En effet pour les métiers, l’utilisation des systèmes d’information n’est qu’un moyen de parvenir à leurs objectifs en concurrence avec d’autres investissements. Enfin, les régulateurs publics ont compris les enjeux de la transparence des systèmes et ne cessent de hausser leur niveau d’exigence
i. Les objectifs du cadre de référence
Les fondements d’une politique de gouvernance se situent aux sources des meilleures pratiques managériales. Sans en dresser un tableau idyllique, il faut admettre que l’application de ces règles de base du management à la complexité du système d’information permet de clarifier un débat souvent maintenu confus faute d’un investissement suffisant des acteurs en méthodes et en langage commun. Or ce qui pouvait être difficilement accessible il y a quelques années est aujourd’hui possible grâce aux efforts de mise en forme et de rationalisation mis en œuvre par les différentes entités qui contribuent à l’élaboration d’un corpus de principes et de règles pour les entreprises.
Il faut en particulier mettre en valeur le travail réalisé par l’IT Governance Institute qui capitalise l’expérience de centaines d’experts et publie le « cadre de référence CobiT » (« Control Objectives for Information and related Technologies »), dont la version la plus récente est la 4.1. Le COBIT (« Control Objectives for Information and related technology »), dont la première version a été publiée en 1996, constitue la pièce maîtresse du dispositif de gouvernance. La mission du COBIT est de « rechercher, développer, faire connaître et promouvoir un ensemble d’objectifs de contrôle internationaux en technologies de l’information qui soit généralement acceptés, à jour, et fassent autorité pour l’utilisation au jour le jour par les managers et les auditeurs ». Issu du monde de l’audit à des fins de contrôle, COBIT est devenu un outil de référence permettant aux managers de l’informatique de construire une organisation et une politique cohérente par rapport aux finalités de l’entreprise. COBIT ne doit pas inquiéter par son caractère formel et exhaustif car c’est un outil souple et pertinent qu’il faut déployer en fonction de ses moyens propres. Les analyses suivantes utiliseront largement les définitions et références issues de ce corpus exhaustif.
Les entreprises performantes ont compris les risques et les bénéfices des technologies de l’information en trouvant les moyens concrets de gérer simultanément une série d’axes critiques :
- aligner la stratégie systèmes d’information et la stratégie de l’entreprise
- assurer les actionnaires et les investisseurs que la gestion du risque lié aux technologies de l’information est opérée selon les règles de l’art
- faire partager à chaque niveau de l’organisation la stratégie et les objectifs en matière de systèmes d’information
- faire apparaître la valeur créée par les investissements en TIC
- mettre en place l’organisation et les processus qui permettent de déploiement de la stratégie et l’appropriation des objectifs
- créer un climat constructif de confiance et des relations partenariales entre les métiers et la DSI, et avec les partenaires extérieurs
- mesurer les performances des technologies de l’information
-
Le cadre de référence doit permettre de garantir simultanément :
- une meilleure évaluation de la performance des SI
- une gestion des ressources des SI plus efficace
- une gestion des risques plus pertinente
- une amélioration de la valeur des services de l'entreprise par le biais de ses SI
- une meilleure adéquation des SI à la stratégie de l'entreprise
ii. Les outils de la gouvernance
Prendre des décisions rationnelles dans le champ des systèmes d’information n’implique pas de façon absolue de déployer des référentiels propres aux systèmes d’information.
Les outils classiques de l’entreprise, notamment les modèles utilisés en matière de qualité totale, comme le référentiel EFQM (European Foundation for Quality Management) ou l’application de la norme ISO 9001 sont appropriés. Il est même indispensable pour la fonction SI de s’intégrer dans ces démarches collectives.
Néanmoins, l’exploitation des outils propres aux champs qui composent le système d’information représente un intérêt indiscutable.
Les outils se sont multipliés et recouvrent désormais toutes les étapes du système d’information : planification globale et organisation, développement applicatif, exploitation, outsourcing, conduite de projet… Le processus de gouvernance doit constamment veiller à ce que «les méthodes et procédures, disciplinées et pro-actives, sont mises en œuvre pour garantir que les niveaux de service appropriés sont fournis à tous les utilisateurs des technologies de l’information en phase avec les priorités métiers et à un coût acceptable » (Foundations of Service Level Management, CobiT).
La DSI, compte tenu de ses moyens, doit mettre en œuvre les référentiels appropriés aux missions à conduire : ITIL s’impose pour le pilotage de l’exploitation, alors que le modèle de maturité de Carnegie Mellon (CMMI) est approprié à la production et à la maintenance applicative. Le référentil CSMF permet de piloter le srelations contractuelles avec les fournisseurs, partciMais il faut assurer l’articulation des ces outils de façon légère et efficace pour éviter toute dérive bureaucratique.
La logique des « balanced scorecards » introduite au début des années quatre-vingt permet de construire un système global de management. L’application de cette méthode aux outils de la performance informatique apporte des réponses pratiques au défi de la gouvernance informatique. Définir de façon claire et synthétique les liens qui mettent en relation les différents facteurs de performance pour construire un outil de pilotage et dialogue est pour tous les DSI une préoccupation centrale qui conditionne leur efficacité et leur crédibilité. C’est un moyen d’administrer la preuve que leur direction n'est plus seulement un centre de coûts, mais un outil tonique de création de valeur,.
Le CIGREF publie sur son site en accès libre, plusieurs documents issus de cette coopération : " Vers un standard de pilotage des coûts informatiques", le plan de comptes informatiques, le modèle IGSI de benchmarking des coûts informatiques. Ces outils sont précieux et doivent aider les contrôleurs de gestion de l'informatique, qui tendent à devenir de véritables directeurs de la performance économique des systèmes d'information, à remplir non seulement leur mission d'orientation et de contrôle mais aussi de se tranformer en pédagogues de l'économie de l'information.
Le CIGREF milite pour que l’informatique devienne un champ économique maîtrisé où les décisions sont prises avec clairvoyance et sont suivies en toute transparence. Il ne fait aucun doute que cette approche désormais largement instrumentée, et parfaitement insérée dans la logique de la gouvernance et du référentiel COBIT, sera suivie avec grand intérêt par tous les DSI et leurs dirigeants soucieux de faire bénéficier efficacement leurs entreprises de toute la puissance des technologies de l’information
La mise en œuvre des bonnes pratiques de gouvernance reste hétérogène et globalement insuffisante selon les études de l’ISACA. Plus de 30% des entreprises interrogées, au plan mondial, avouent ne pas disposer d’un cadre formel de gouvernance. La persistance de cet empirisme ne peut que nuire au bon usage de la ressource informationnelle.
Appliquer à l’informatique dans l’ensemble de ses composantes des règles de bonne gestion et de transparence donne confiance aux acteurs de l’entreprise sur la pertinence des objectifs et sur l’adaptation des moyens engagés à ces objectifs. La gouvernance permet d’apporter une réponse instrumentée sur la stratégie informatique, les investissements, la qualité de service, la gestion des projets, la maîtrise des risques, la qualité de formation et la motivation des personnels, la politique d’achats et la performance des fournisseurs…
3.3 L’adaptation stratégique et tactique du système d’information aux objectifs de l’entreprise
Mettre en œuvre une démarche globale de gouvernance des systèmes d’information représente encore pour beaucoup de DSI un objectif difficile à atteindre. Les difficultés sont multiples et tiennent à la complexité de la gestion des différents composants techniques et fonctionnels du système d’information au moins autant qu’à l’impréparation et au scepticisme des acteurs.
3.3.1 Conviction, communication
La première étape consiste donc à convaincre la direction générale que l’informatique doit et peut sortir d’une situation floue par l’utilisation des référentiels désormais proposés sur le marché. Elle comprend une indispensable démarche de communication, puis de formation, sur ces outils qui restent encore insuffisamment connus des dirigeants comme des DSI eux-mêmes.
Au-delà cette première étape, il est indispensable de créer rapidement un climat de confiance entre tous les acteurs :
- vérifier que les membres de la direction générale et les principaux dirigeants disposent d’une information suffisante sur les risques et les opportunités de création de valeur par les TIC (connaissance des principaux systèmes, de leur contribution aux procès critiques, de leurs coûts réels…)
- faire en sorte que les sujets IT soient régulièrement abordés lors des réunions de direction générale
- créer un espace spécifique où les sujets TIC soient abordés entre dirigeants avec la rigueur et la franchise nécessaires et donnent lieu à des décisions engageantes
- dynamiser la gestion de portefeuille applicatif en ne travaillant pas que sur les projets mais aussi sur les systèmes clefs de l’entreprise à partir d’une vision précise de leur « coût total de possession » et de leur état de santé, notamment par rapport à la concurrence
3.3.2 Documentation et transparence
Parmi tous les leviers de rationalisation de la politique systèmes d’information, il appartient au DSI en accord avec l’équipe de direction générale d’opérer un choix. Il existe en effet désormais de multiples outils accessibles sur le marché. Il est essentiel que le système de pilotage soit approprié en volume, coût et fréquence au cadre général de l’entreprise. Le risque est de sur-spécifier le système de gouvernance de la DSI en accumulant les outils dans un souci d’exhaustivité alors que le but est de se concentrer pour répondre aux problèmes réels ou perçus de la fonction informatique.
Dans un contexte économique exigeant, le système d’information doit directement contribuer à la flexibilité de l’entreprise. Les directions générales demandent donc aux DSI un effort particulier d’adaptabilité au contexte économique et organisationnel mouvant. Alors que le poids du passé tend à rendre les modifications complexes et coûteuses, ceci impose une démarche stricte et rigoureuse de déploiement des meilleures pratiques :
- Déclinaison d’une vision globale à travers les référentiels d’entreprise et l’urbanisation
- Choix explicite des niveaux d’intervention des acteurs du marché
- Pilotage strict des relations contractuelles
- Maîtrise de la demande de systèmes tant en travaux neufs qu’en maintenance
- Implication du management opérationnel de l’entreprise dans les décisions de lancement et de déploiement de nouveaux systèmes
Il faut garder fermement le cap sur l’objectif de la gouvernance : le cadre général de décision doit permettre d’allouer de façon transparente les dépenses en rendant les mécanismes et facteurs de décision compréhensibles à toutes les parties prenantes. Le DSI doit pouvoir être jugé à la fois sur le fonctionnement opérationnel de l’entité de service dont il a la responsabilité et sur la contribution mesurée de la performance de systèmes d’information aux résultats de l’entreprise Ces deux niveaux de compréhension de la performance des systèmes ne doivent pas être confondus.
Aussi, quatre séries de questions doivent trouver réponse dans les outils proposés par la DSI pour ses besoins propres et pour le positionnement de la fonction au sein de l’entreprise :
- Indicateurs de qualité de service mesurés du point de vue du contrat de service qui lie la DSI aux directions métiers ; c’est la qualité contractuelle, ou excellence opérationnelle
- Indicateurs de qualité de service mesurés du point de vue de l’utilisateur final ; c’est la qualité perçue, les utilisateurs mettant désormais en parallèle le niveau de service dont ils disposent à titre personnel et ce que propose l’entreprise
- Indicateurs de contribution à la performance de l’entreprise permettant de vérifier que l’entreprise exploite tout le potentiel de l’IT ; c’est l’excellence stratégique
- Indicateurs de préparation des évolutions futures ; c’est la pertinence de la vision, la capacité d’anticipation garantissant à l’entreprise que ses systèmes ne deviendront pas obsolètes. C’est un angle d’analyse insuffisamment traité mais qui revêt un caractère stratégique.
Ces indicateurs doivent apporter une visibilité sur les cinq ressources exploitées par la DSI : données, applications, matériel et installations, technologies, ressources humaines, quel qu’en soit le mode de gestion, interne ou externalisé.
Il est évident qu'appliquer à l’informatique dans l’ensemble de ses composantes des règles de bonne gestion et de transparence donne confiance aux acteurs de l’entreprise sur la pertinence des objectifs et sur l’adaptation des moyens engagés à ces objectifs. La gouvernance permet d’apporter une réponse instrumentée sur la stratégie informatique, les investissements, la qualité de service, la gestion des projets, la maîtrise des risques, la qualité de formation et la motivation des personnels, la politique d’achats et la performance des fournisseurs…
Ce n'est pas un luxe, mais une obligation qu'il faut rendre accessible, naturelle et efficace. La gouvernance des systèmes d’information met un terme à une tradition d’opacité de l’informatique et permet d’en faire une ressource connue, maîtrisée et respectée.
Stratégie et pilotage des Systèmes d'information