problematique de la gouvernance du systeme d`information

PROBLEMATIQUE DE LA GOUVERNANCE DU SYSTEME
D’INFORMATION
Florescu Vasile
Chaire Informatique de gestion, Académie d’Etudes Economiques de Bucarest, Adresse : Caderea
Bastiliei nr. 2-10, si Piata Romana nr. 6, Sector 1, Bucuresti, Mél : [email protected],
Téléphone :0213191901/382
Dumitru Valentin
Chaire Informatique de gestion, Académie d’Etudes Economiques de Bucarest, Adresse : Caderea
Bastiliei nr. 2-10, si Piata Romana nr. 6, Sector 1, Bucuresti, Mél : [email protected],
Téléphone : 0213191901/382
Le développement durable, dans un contexte de globalisation, exige un pilotage des activités, celles de la
direction système information (DSI) inclus, sur des critères de performance et de conformités. Les
dernières années on assiste à l’intensification des recherches ayant pour thème la définition du cadre
méthodologique et la construction d’un référentiel de bonnes pratiques pour assurer le manageant et le
contrôle du system d’information des organisation en mettant en jeu les trois acteurs clés de l’entreprise :
les actionnaires (le pouvoir Patrimonial), les administrateurs (le pouvoir Managérial) et les systèmes
d’informations (informatiques).
Notre papier fait une revue de la littérature et présente nos réflexions au sujet de la gouvernance du
système d’information (GSI) : (1) les concept de GSI, (2) principes de la GSI, et (3) les référentiels des
bonnes pratiques pour la GSI.
Mots clés: Système d’Information, gouvernance du système d’information, alignement stratégique,
management des risques informatiques, référentiels de bonnes pratiques, pilotage du SI
1. Introduction
La tendance actuelle à la mondialisation de la concurrence pousse les entreprises à conquérir sans cesse
de nouveaux marchés et à mettre en œuvre des stratégies fondées sur la performance de toute activité et
sur la conformité. Transformées en prestataires de services internes, les Directions des Systèmes
d’Information se voient demander de justifier de leur efficacité, de leur productivité ou encore de leurs
dépenses. La gouvernance du système d’information (en anglais, IT Gouvernance) devient un support
important de la gouvernance d’entreprise (Corporate governance).
Selon le Cigref (2004) la gouvernance du système d'information peut apporter :
- Une meilleure prise de décision concernant l'ensemble du système d'information afin d'accroître
son efficacité ;
- Une clarification des rôles des différents acteurs afin de créer des synergies ;
- Une meilleure définition des responsabilités des acteurs afin de faire prendre conscience des droits
et devoirs de chacun ;
- Une meilleure connaissance du processus clés liés au système d'information afin de faire partager
la compréhension de la complexité de leur mise en œuvre.
•
La mis en œuvre de la gouvernance du système d’information dans les organisations exige un
cadre méthodologique de gouvernance (Chamfrault, 2005) et l’accompagnement par de réflexions et de
plans d'action concernant l'alignement stratégique du système d'information, la valeur ajoutée du système
d'information et l'urbanisation du système d'information.
•
Le cadre méthodologique de la GSI s'appuie sur un ensemble des modèles, référentiels des bonnes
pratiques (ITIL-IT Infrastructure Library ; COBIT- Objectifs de Contrôle de l’Information et des
Technologies associées) et normes (Audit du système d’information de l’ISACA-Information Systems
Audit and Control Association ; ISO 27001- Management de la sécurité de l’information ; ISO 19011Management qualité et environnemental). Le contrôle du système d’information vise aussi sa mise en
1381
conformité avec les - très - nombreuses réglementations de gestion des données financières (SarbanesOxley Act, Loi de Sécurité Financière, Bâle II, …) tout en assurant la transparence.
Notre travail de recherche a pour objectif d’assurer compréhension de la problématique de la
gouvernance du système d’information : concepts, principes et référentiels de bonnes pratiques.
2. Les concept de gouvernance du SI
La GSI a pour mission fondamentale d’assurer aux dirigeants d’entreprise ainsi qu’aux actionnaires que
la fonction système d’information est parfaitement gère. Le terme gouvernance du système d’information
est maintenant fréquemment utilisé pour désigner les activités d’orientation et de contrôle relevant de
l’instance administrative supérieure d’une organisation, soit celle qui tient le gouvernail. La Gouvernance
du SI est vue comme un processus de management, fondé sur des bonnes pratiques, qui permet à
l’entreprise d’optimiser ses investissements en « système d’information » dans le but d’attendre un
ensemble d’objectifs (contribuer à ses objectifs de création de valeur, accroître la performance des
processus informatiques et leur orientation clients, maîtriser les aspects financiers du système
d’information, développer les solutions et les compétences en système d’information dont l’entreprise aura
besoin dans le futur, garantir que les risques liés au système d’information sont sous contrôle) tout en
développant la transparence (Leignel, 2006).
La « gouvernance du SI» est la transposition au niveau « SI » des principes de Corporate Governance
(figure 1)
ACTIONNAIRES
Monitoring
Objectifs
GOUVERNANCE DE L’ENTREPRISE
Gouvernance de conformité
Gouvernance de performance
GOUVERNANCE DU SI/IT GOVERNANCE)
- Alignement stratégique,
- Managements des risques,
- Conformite,
- Mesurer la performance
Outil de pilotage Score
Référentiel de bonnes pratiques
FACTEURS IMPLIQUES
Direction générale
Direction métier
Clients/Fournisseurs
Figure 1. Cadre général de la ITGI
(source : Florescu & al (2007))
1382
Tiers
Les facteurs impliqués de la gouvernance du système d’information de l’entreprise sont :
•
Les actionnaires (le pouvoir Patrimonial), qui fixent les objectives et assurent le monitoring ;
•
Les administrateurs (le pouvoir Managérial) avec de responsabilités pour la réalisation des objectifs
en condition de performance et conformité et en toute transparence;
• Les services systèmes d’information (Direction SI), qui gère les ressources et les processus SI.
Dans le processus de la gouvernance on fait appel aux référentiels de bonnes pratiques (tel que le
référentiel COBIT) et aux outils de pilotage (tel que IT Scorecard).
3. Les principes de la gouvernance du systeme d’information
La GSI est fondée sur cinq principes de base : alignemnet strategique, la fourniture de la valeur, la
mesure de la performance, la gestion des ressources et la gestion des risques (figure 2).
Figure 2. Principes de la gouvernance du SI
Source : Delavaux(2007)
L’alignement strategique (IT Strategic Alignment), concerne l’alignement de la strategie du systeme
d’information á la strategie d’affaires (Henderson & Venkatraman, 1993 ; Florescu& Tamas, 2006).
La forniture de la valeur (IT Value Delivery), concerne l’amélioration de la valeur des services de
l'entreprise par le biais du systeme d’information (Corbel & al.2004 ).
La mesure de la performance (Performance Measurement), concerne l'analyse des pratiques en matière de
pilotage et de contrôle de gestion informatique (tableaux de bord, reporting, etc.).
La gestion des ressources (IT Resource Management), il s'agit d'analyser la connaissance et les principes de
gestion des actifs matériels et logiciels, des ressources humaines, ainsi que des politiques de sous-traitance
et d'externalisation.
La gestion des risques (IT Risk Management), il s'agit d'analyser la connaissance du risque pris par
l'entreprise à travers ses systèmes informatiques (cf. cartographie du risque informatique) et ce, en termes
d'impact métier.
Les principes de gouvernance du systeme d’information sont en phase avec les pratiques managériales
fondamentales : établir une stratégie efficace, disposer d'outils de pilotage pertinents, démontrer la valeur et
la contribution de ses actions, connaître les risques encourus et gérer le patrimoine informatique.
1383
4. Referentiels des bonnes pratiques
4.1. Classification
La littérature qui traite de la gouvernance du système d’information cite plusieurs référentiels de bonnes
pratiques, qui présentent d’intérêt pour la gouvernance du système d’information:
•
ITIL (Information Technology Infrastructure Library), élaboré par les autorités britanniques et dédié
à optimiser les services informatiques au sein de l'entreprise ;
•
COBIT (Control Objectives for Business & Related Technology) développé par l’ISACA (Information
System Audit & Control Association) et dédié a la gouvernance et l'audit des systèmes d'information ;
•
CMMi (Capability Maturity Model intégration) dédié au développement de systèmes et
logiciels (www.ssi.fr/html/presentation/cnmi.html) ;
• ISO 27001, norme pour assurer la sécurité du système d’information.
Dans ce travail de recherche notre intérêt porte sur les référentiels COBIT, le plus complet et à la fois
intégrateur.
4.2. Le référentiel COBIT
A l’origine COBIT a été conçu ISACA (Systems Audit and Control Association ( www.isaca.org) pour les
auditeurs (figure 3).
Figure 3. COBIT pour les auditeurs
(Source : Moissand Dominique, Doc. AFAI)
Ultérieurement l’IT Governance Institute (www.itgovernance.org) a développé COBIT (sa quatrième
version de COBIT on assure l’harmonisation des termes et des principes pour faciliter l’intégration de
COBIT et des référentiels ITIL, CMM, COSO, ISO 27001, 19011) qui est devenu ainsi :
•
Un norme de gouvernance et un référentiel de bonnes pratiques à utilisés pour mettre en oeuvre la
gouvernance informatique et améliorer les contrôles du système d’information ;
•
Un modèle de maturité, on peut évaluer l’atteinte d’un ou plusieurs objectifs généraux sous forme
d’une échelle ;
•
Un outil de management, comprend des conseils pour les conseils d'administration et tous les niveaux
de management ;
•
Un outil d’audit du système d’information ;
1384
• Un outil de conformité (voir la réglementation Sarbanes-Oxley).
Dans le cadre du référentiel COBIT les processus et les contrôles sont repartis en quatre domaines:
Le domaine Planification & Organisation, concerne la stratégie et les tactiques, l’identification des
moyens permettant à l’informatique de contribuer le plus efficacement à la réalisation des objectifs
commerciaux de l’entreprise.
Le domaine Acquisition & Mise en place, concerne la réalisation de la stratégie informatique,
l’identification, l’acquisition, le développement et l’installation des solutions informatiques et leur
intégration dans les processus commerciaux.
Le domaine Distribution & Support, concerne la distribution des prestations informatiques exigées, ce qui
comprend l’exploitation, la sécurité, les plans d’urgence et la formation
Le domaine Surveillance et évaluer, permet au management d’évaluer la qualité et la conformité des
processus informatiques aux exigences de contrôle.
Chaque domaine regroupe des processus qui sont décomposés à en activités.
Les bonnes pratiques à mettre en œuvre s’appliquent aux vecteurs suivant de la Gouvernance du
SI (Leignel, 2006) :
•
planification du SI et intégration dans le processus global de planification de l’entreprise ;
•
gestion du portefeuille de projets orientée création de valeur ;
•
alignement de l’organisation informatique par rapport aux processus métiers ;
•
urbanisme et architecture d’entreprise ;
•
transparence des budgets et des coûts et du contrôle de gestion ;
•
maîtrise de l’optimisation de l’efficacité des projets ;
•
fourniture de services d’information et optimisation des processus informatiques vis-à-vis des services
aux clients ;
•
gestion et maîtrise des risques liés au SI ;
•
gestion prospective des compétences informatiques ;
•
gestion et mesure de la performance du SI ;
• gestion de la communication relative au SI.
La mis en oeuvre les bonnes pratiques pour chacun de ces vecteurs, dans une approche Qualité, permettra
de tendre vers une bonne GSI.
5. Conclusions
Stratégie et gouvernance apparaissent comme deux vecteurs indissociables d'un changement induit par de
nouvelles pratiques de management et de performance organisationnelle, recherchée par de nouveaux
modèles de création de valeur dans les entreprises de toute taille. Dans le cadre du contrôle interne, le
COBIT vient s'insérer dans le cadre des actions du COSO (Committee of Sponsoring Organisations of the
Treadway Commission - Internal Control). L'ISO 27000 et l'ITIL peuvent être considérés comme des mises
en application du COBIT dans le domaine du service SI et de la sécurité.
Une question inspiré de la littérature professionnelle traitant de la GSI: L’activité « système d’information
» pourrait disposer d’un standard définissent les critères d’information a communiquer aux shareholders ?
Bibliographie
1.
2.
3.
CIGREF (2004),
Gouvernance du sytème d'information, Rapports CIGREF (le "Club
informatique des grandes entreprises françaises) , http://www.cigref.fr
Chamfrault, T., (2005), itSMF, www.itsmf.fr, ITIL : Information Technology Infrastructure
Library, Atelier BNP PARISBAS, avril
Corbel, P., Jean-Philippe Denis, J-Ph. & Taha R., (2004), Systèmes d'information, innovation et
création de valeur : premiers enseignements du programme MINE France, Cigref, Cahier No 2
1385
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
Decalf, G. (2008), COBIT : Une démarche de pilotage des risques informatiques, Publication online
Delavaux, J-P. (2007), COBIT : La Gouvernance des TI et les processus, Exposé à l’ANDSI
(Association Nationale des Directeurs de Systèmes d’Information), France
Florescu, V. et Tamas, I., (2006), Strategic Alignement: Ensuring that IT Strategy is Aligned with
Business Strategy, Workshop IE & SI, Departement of Business information Systems and
Statistics, Timisoara, May
Florescu, V, Anica-Popa, L & Anica-Popa, I., Governance of Information System and Audit,
ConferinĠa internaĠională The Balkan Countries' 1'st International Conference on Accounting and
Auditing BCAA, 2007 Edirne, Turcia, PUBLICAT ÎN: The Balkan Countries' 1'st International
Conference on Accounting and Auditing BCAA, ISBN 978-975-01960-0-3
Henderson J. C. & Venkatraman N. (1993), Strategic Alignment: A Model for Organizational
Transforming via Information Technology, Oxford University Press, New York.
IGSI (2005), Place de la gouvernance du systèmes d’information dans la gouvernance générale :
Equilibrer, Performance et Conformité, www.itgi-France.com
IGSI (2004), IT Governance : pilotage de l'informatique pour dirigeants d'entreprises, modèle de
référence, Institut de la gouvernance des systèmes d'information, Paris
IT Governance Institute, Site Web: http://www.isaca.org
http://www.itgi.org
http://www.isaca.org/cobit
Jomaa, H., (2004), Les déterminants de la création de valeur par les TIC : le cas des projets ERP,
Cigref, Cahier No 2
Jouas, J-P. & Roule, J-L (2007), Mehari 2007 : présentation générale, Mehari & Clusif, Document
on-line
Leignel, J-L., (2006), Gouvernance du système d’information, CIO Stratégie, Nice, France
Moisand, D. (2004), Gouverner son système d’information : le tableau de bord BSC, La revue No
77, Dossier IT Governance
1386