Gouvernance du Système d'Information

La Gouvernance des Technologies de l’Information (en Anglais Information Technology Governance ou IT Governance) est une sous discipline du gouvernement d’entreprise axée sur la technologie de l’information et de la communication. Cette discipline s’intéresse plus particulièrement à la gestion des risques et à la performance des technologies de l’information.

L’intérêt croissant porté à la gouvernance est en partie dû aux différentes initiatives de conformité qui ont été entreprises ces dernières années. On retrouve ces initiatives par exemple dans la Loi Sarbanes-Oxley aux Etats-Unis et dans les accords de Bâle II en Europe. Mais cet attrait pour la gouvernance s’explique également par la prise de conscience générale que les projets de technologies de l’information peuvent échapper au contrôle des entreprises, et que cela peut avoir un impact profond sur le rendement et le fonctionnement d’un organisme.

Sommaire 1 Définition 2 A l'origine 3 Les objectifs 4 Limites et problèmes 5 Certification 6 Le conseil pour démarrer 6.1 Référence externe

Définition

Selon le COBIT, la gouvernance des systèmes d’information est la structure de relations et de processus visant à diriger et contrôler l’entreprise pour qu’elle atteigne ses objectifs en générant de la valeur, tout en trouvant le bon équilibre entre les risques et les avantages des Technologies de l’Information et de leurs processus.

Jean-Louis Leignel, vice-président de l'AFAI, définit la gouvernance informatique comme une démarche de management concernant toute l´entreprise, fondée sur des bonnes pratiques visant à tirer le meilleur parti des coûts engagés par le système d’information, et ce en toute transparence.

« La gouvernance des TI est un processus de gestion, fondé sur l’utilisation de bonnes pratiques, qui permet à l’organisation d’optimiser ses investissements informatiques dans le but de contribuer aux objectifs de création de valeur; d’accroître la performance des processus informatiques et de leur orientation clients; garantir que les risques liés au système d’information sont sous contrôle; de maîtriser les aspects financiers du système d’information; et développer les solutions et les compétences en TI, dont l’organisation aura besoin dans le futur, tout en développant la transparence d’action. »

Source : Institut de la Gouvernance des TI (ITGI)

En résumé, la gouvernance des technologies de l’information a pour objectif de travailler en collaboration avec la stratégie de l’entreprise afin de saisir les différentes opportunités de développement qui s’offrent à elle. Ainsi la gouvernance des TI participe à la création de valeur, permet d’optimiser l’utilisation des ressources informatiques et de gérer les risques potentiels.

A l'origine

La gouvernance regroupe l'ensemble des moyens permettant de piloter et contrôler les activités de l'entreprise. La notion de gouvernance est récemment réapparue suite aux lois de finances (SOX, Bâle II, LOLF 2); les actionnaires (privés ou publics tel que l'Etat) demandent plus de transparence et d'efficacité.

Aligner le SI sur les métiers, induit que le SI participe à la création de valeur et donc de richesse.

Il y a trois étapes dans la vie d'une DSI :

• La DSI comme centre de coûts,
• La DSI comme centre de services,
• La DSI comme partenaire à la création de richesse.

Il est indispensable que les dirigeants soient moteur; en effet, la richesse provenant des métiers coeurs de l'entreprise (Core Business), la DSI doit connaître leur processus et leur stratégie qu'elle traduira en moyens informatiques.

Les objectifs

L’enjeu majeur est de participer à la création de valeur, et donc de richesse. Elle a aussi pour objectif d’améliorer les processus de gestion, de maitriser les aspects financiers de l’entreprise dont l’objectif final est d’anticiper les besoins futurs de l’entreprise. Elle vise l’efficience et l’efficacité des DSI.

Pour cela, elle doit :

• aligner le système d’information sur la stratégie de l’entreprise
• apprécier et optimiser la performance du système d’information
• évaluer la valeur et la rentabilité du système d’information déployé
• identifier et maîtriser le risque opérationnel lié au système d’information
• anticiper et prendre en compte de manière pragmatique les évolutions du futur

Selon Gina Gullà-Ménez Directeur de l’Audit des Processus et des Projets SI chez Sanofi-Aventis

La gouvernance des SI suppose un système dans lequel toutes les parties prenantes de l’entreprise, y compris le conseil d’administration, les clients internes et l’ensemble des différents départements de l’entreprise tel que le département finance, apportent une contribution suffisante dans le processus de décision.

La gouvernance des SI permet ainsi d’éviter le cas de figure dans lequel les projets relatifs aux TI sont réalisés de façon indépendante et que ce soient ces personnes plus tard qui soient tenues responsables de la prise de mauvaises décisions.

La gouvernance des SI permet également de se prémunir contre les utilisateurs qui pourraient se plaindre que le système ne s’effectue pas ou pas comme prévu.

Cette théorie a été développée dans le Harvard Business Review par l’article de R. Nolan : “A board needs to understand the overall architecture of its company's IT applications portfolio … The board must ensure that management knows what information resources are out there, what condition they are in, and what role they play in generating revenue…” Nolan, R. and F. W. McFarlan (2005). “Information Technology and the Board of Directors.” Harvard Business Review (October 2005).

Limites et problèmes

La stratégie générale de l’entreprise doit être alignée avec celle de la direction des systèmes d’information.

La gouvernance du système d’information reste trop souvent un discours, un document théorique et formel. C’est parfois difficile à mettre en place concrètement.

La gouvernance du système d’information est très sensible au jeu des acteurs et à leurs enjeux de pouvoir. Il y a un problème de relation d’agence car la DSI est mandaté par la direction générale et c’est un domaine de compétences qu’elle ne connait que très peu.

Les évolutions de l’entreprise : changements de stratégie, réorganisations internes, sont de nature à rendre inadéquates et obsolètes les démarches mises en œuvre. La gouvernance doit être évolutive afin qu’elle s’adapte à la croissance inévitable de l’entreprise.

Certification

La certification est une procédure destinée à faire reconnaître par un organisme la conformité des SI dans le but de donner confiance aux partenaires de l’entité. Le processus de certification s’inscrit dans un cadre de référence qui est composé de multiples outils parmi lesquels l’entité doit un choix en rapport à ses besoins.

Le cadre de référence doit permettre de garantir :

• Une meilleure évaluation de la performance des SI
• Une gestion plus efficace des ressources des SI
• Une gestion des risques plus pertinente
• Une amélioration de la valeur des services de l’entité grâce aux SI
• Une meilleure adéquation des SI à la stratégie de l’entité

C’est en se posant les bonnes questions qu’une solution peut apparaître. Il faut avant tout définir un besoin réel. S’agit-il :

• D’entreprendre une démarche d’amélioration interne
• De rassurer ses clients et ses actionnaires
• De convaincre un client dans sa démarche de sélection de fournisseurs
• De se mettre en conformité en conformité avec une réglementation telle que Sarbannes-Oxley
• D’évaluer l’entreprise, le personnel, les produits et ses services

Une fois le besoin clairement défini, l’entité peut alors choisir parmi la boîte à outils des certifications SI celui ou celles qui apportent une réponse efficace d’autant que certaines sont complémentaires.

La certification des SI peut être complétée par celle des personnes. L’ISACA (Information Systems Audit and Control Association) a créé en 2007 une certification dans le domaine de la gouvernance d’entreprise appelée Governance of Enterprise Information Technology (CGEIT). Cette certification est destinée aux professionnels expérimentés qui peuvent démontrer 5 années d’expérience ou plus passées dans un poste de direction ou de conseil axé sur la gouvernance et le contrôle des Technologies de l’information à un niveau de l’entreprise. Cette certification exige également l’obtention d’un examen de quatre heures servant à évaluer les compétences générales des postulants à la certification en termes de gouvernance et de gestion des technologies de l’information. Le premier examen aura lieu en Décembre 2008

Le conseil pour démarrer

• Commencer par connaître les métiers qui créent de la richesse (ceux que l'entreprise vend)
• Identifier la participation de l'informatique dans les métiers et se poser la question : quel est la perte d'exploitation sans SI

Référence externe

• Association Française de l'Audit et du conseil Informatique (AFAI) [1]