LES TI - Expertise Hec Ca Hec MontréAl
Transcription
LES TI - Expertise Hec Ca Hec MontréAl
La gestion des Technologies de l’information Tirez le maximum de vos systèmes d’informations Objectifs de la formation • Se familiariser avec: • La gouvernance des TI • Les cadres de référence en gestion des TI ©HEC Montréal Aperçu du contenu du module • Séance 1: La gouvernance des TI • Séance 2: Les cadres de référence en gestion des TI ©HEC Montréal Module 2: Séance 1:La gouvernance des TI ©HEC Montréal LES TI: Une préoccupation de gestion ? • Selon Gartner Group, en 2013, les dépenses mondiales en TI seront de l’ordre de 3,786 trilliards de $. Une hausse de 2,5% par rapport à 2012. • De ce montant, 71% seront effectuées par les entreprises (2,679 T$) • Pour les secteurs de l’industrie et de l’énergie, la croissance est estimée à 2,3% • Et ce, malgré une obsession de contrôle des dépenses en TI …. L’évolution des TI Valeur des TI dans l’organisation Moteur de l’innovation Support aux stratégies d’affaires Centre de profits Centre de coûts Boîte noire La Gestion des Processus d’affaires (GPA/BPM) 1960 1970 1980 1990 2000 + La gouvernance des TI et le cadres de référence 2010 Pourquoi la gouvernance des Ti est-elle si importante? • L’impact des TI sur l’organisation et la quantité de ressources (humaines et financières) qui y est injectée exige un resserrement de la gestion et du contrôle qui y sont associés • Les risques associés à l’utilisation des TI ont grandement augmenté dans les dernières années – Impacts de pannes (non disponibilité) ou d’erreurs sont souvent majeurs pour l’entreprise – Le piratage sous toutes ses formes – Impacts économiques de mauvaises décisions d’investissements en TI ©HEC Montréal Quels sont les grandes préoccupations de la haute direction en rapport avec ses TI? • Est-ce que j’en ai pour mon argent en valeur livrée des TI, autant par l’équipe à l’interne que par les fournisseurs externes ? • Comment est-ce que mes TI se comparent par rapport aux entreprises de comparaison ? • Est-ce qu’il y a un écart entre les aspirations des unités d’affaires et la capacité de livrer des TI ? • Est-ce que mes infrastructures (technologie, RH, processus) qui supportent mes TI sont adéquates avec l’évolution de mon entreprise ? ©HEC Montréal Quels sont les bénéfices de la gouvernance des TI ? • Transparence et responsabilisation – Meilleure transparence des coûts , des processus et du portefeuille de projets TI – Relation TI/Unités d’affaires plus claire et responsabilisation améliorée de la prise de décision • Valeur du retour sur investissement – Meilleur compréhension de l’ensemble des coûts TI et des impacts sur les « business cases » – Meilleur compréhensions des actionnaires sur les risques vs les bénéfices TI – Contribution améliorée des TI sur le retour sur investissements des opportunités d’affaires Source: Information System Audit and Control Association (ISACA) ©HEC Montréal Quels sont les bénéfices de la gouvernance des TI ? • Opportunités et partenariat – Positionne les TI comme un partenaire d’affaires – Facilite la participation des TI dans la stratégie d’affaire de l’entreprise (et vice-versa) – Apporte une approche structuré dans la prise de risques – Facilite le partenariat avec fournisseurs externes • Amélioration de la performance d’affaires des TI – Permet une mesure claire de l’apport d’un service/projet TI pour l’entreprise – Permet d’avoir un focus constant sur l’amélioration – Évite des dépenses inutiles en assurant une adéquation des investissements TI avec les objectifs d’entreprise Source: Information System Audit and Control Association (ISACA) ©HEC Montréal Quelle est l’étendue de la gouvernance des TI ? • La gouvernance des TI couvre 7 aspects: 1. La mesure de la performance des TI 2. La gestion du risque en s’assurant que les processus sont en place pour gérer adéquatement les risques associés aux TI 3. La gestion de la capacité (humaine, technologique) pour assurer une expertise adéquate des TI 4. La gouvernance de l’architecture 5. La gestion des investissements en TI 6. La gestion des fournisseurs 7. La sécurité de l’information Source: Information System Audit and Control Association (ISACA) ©HEC Montréal 1. La mesure de la performance • La mesure de la performance est un élément essentiel de la gouvernance – « Teams that don’t keep score are only practising », Tom Malone président Miliken & Cie • Les mesures de performance fournies par l’équipe TI permettent de savoir si leurs processus livrent la marchandise de façon efficiente (fiabilité, sécurité, performance, agilité, créativité, compétence) • La mesure de performance est souvent utilisée comme point de départ d’une initiative de gouvernance Source: Information System Audit and Control Association (ISACA) ©HEC Montréal Les motifs de la mesure de la performance • L’amélioration des processus TI pour anticiper et prévenir les problèmes • Obtenir des éléments de comparaison réalistes avec des comparables • Établir le focus sur le client pour en augmenter le niveau de satisfaction • Permet, en connaissance factuelle de la situation actuelle, de faire les changements requis pour obtenir la situation désirée • La compréhension et la réduction des coûts Source: Information System Audit and Control Association (ISACA) ©HEC Montréal Les FCS de la mesure de la performance • Utilisation un langage commun approprié et compréhensible par l’audience visée • Approbation par la haute direction • En ligne avec la culture de l’organisation • En ligne avec des objectifs déclinés des objectifs de l’unité TI • Des éléments de mesures facilement récoltables • Aligner sur une méthode de « balance scorecard » • Composés de mesures positives (motivation) et négatives (correction) • En quantité limitée mais suffisante Source: Information System Audit and Control Association (ISACA) ©HEC Montréal Les FCS de la mesure de la performance • • • • Faciles à interpréter Permettant une introspection et une vision d’amélioration Compatibles avec des éléments de comparaison du marché Intégrées, si possible, avec des mesures de performance de l’entreprise Source: Information System Audit and Control Association (ISACA) ©HEC Montréal Méta-processus de la mesure de la performance Donner les alignements Définir les objectifs Se comparer Activités TI Mesures de performances Source: Information System Audit and Control Association (ISACA) ©HEC Montréal 2. La gestion du risque • La gestion du risque est la pierre d’assise de la gouvernance car elle permet de s’assurer que les objectifs stratégiques de l’entreprise ne sont pas menacés par des problèmes de TI (brèches de sécurité, pannes de systèmes stratégiques, etc…) • Les risques sont multiples – – – – Financiers Technologiques (infrastructure, disponibilité) Sécurité de l’information Opérationnels (satisfaction client, images de la cie) Source: Information System Audit and Control Association (ISACA) ©HEC Montréal Méta-processus de la gestion des risques Définir le canevas Identifier les risques Identifier les prop des risques Faire le postmortem Vérifier l’efficacité des mesures Évaluer les risques Implanter les mesures de mitigation Définir les mesures de mitigations Définir le niveau acceptable Source: Information System Audit and Control Association (ISACA) ©HEC Montréal 3. La gestion de la capacité des TI • L’amélioration de la capacité des TI à supporter sa stratégie actuelle et future permet de réduire les risques et d’augmenter l’efficacité • La capacité des TI s’étend aux ressources, applications, infrastructures, installations, données, …) • La haute direction des entreprises a généralement de la difficulté à jauger la capacité des TI dont elle dépend de plus en plus • Depuis les dernières années, beaucoup d’entreprises ont adopté des stratégies d’affaires agressives sans se poser la question si leur TI pouvaient les supporter • La gestion de la capacité des TI est également une source importante pour la réduction des coûts et des inefficiences Source: Information System Audit and Control Association (ISACA) ©HEC Montréal Ce à quoi la haute direction s’attend des TI pour la gestion de la capacité • Les façons de faire quant à l’acquisition/développement de solutions TI sont comprises et appliquées • Une méthodologie et de l’expertise adéquate sont présentes pour gérer et supporter les projets et applications TI • Une stratégie de recrutement et encore plus de rétention d’expertise TI doit être implantée • Les besoins en gestion des compétences sont clairement identifiés et adressés Source: Information System Audit and Control Association (ISACA) ©HEC Montréal Comment mesurer la capacité des TI ? • Doit être alignés sur les objectifs TI découlant des objectifs d’affaires • Alignés sur les processus TI critiques au succès de l’entreprise – – – – – Déterminer la capacité actuelle Déterminer la capacité requise Analyser les écarts Définir et justifier les différents projets d’amélioration Réajuster, si requis, la stratégie TI Source: Information System Audit and Control Association (ISACA) ©HEC Montréal Comment augmenter la capacité des TI ? • Déterminer le niveau de capacité à atteindre – Le Capacity Maturity Model (CMM) est souvent utilisé comme base ©HEC Montréal Comment augmenter la capacité des TI ? • Déterminer un modèle de référence basé sur des standards et qui sont adaptés à votre entreprise (CobiT, ITIL, CMMI, Six Sigma, ISO9000/9001, PMBOK) • Déterminer une méthodologie de mesures entendues avec la haute direction • Définir des objectifs raisonnables • Limiter le nombre de critères pour minimiser « l’overhead » de mesurage et la surinformation Source: Information System Audit and Control Association (ISACA) ©HEC Montréal 4. La gouvernance de l’architecture • Étant donnés la complexité et l’évolution rapide des TI, l’architecture TI est essentielle pour définir les orientations technologiques dans un formalisme supportant l’évolution et le changement: La gouvernance de l’architecture permet de s’assurer que les principes d’architectures sont appliqués à la conception et la maintenance des systèmes Source: Information System Audit and Control Association (ISACA) ©HEC Montréal La gouvernance de l’architecture permet de: • S’assurer que les processus d’architecture sont financés adéquatement • Assurer un canal de communication entre les unités d’affaires • Aligner l’architecture avec la stratégie d’affaires et la culture de l’entreprise • Partager des informations concises et structurées avec les partenaires externes Source: Information System Audit and Control Association (ISACA) ©HEC Montréal La gouvernance de l’architecture consiste à: • • • • • La définition des standards technologiques La planification globale des infrastructures TI La veille technologique et réglementaire L’évaluation des opportunités technologiques La planification des acquisitions matérielles et logicielles Source: Information System Audit and Control Association (ISACA) ©HEC Montréal 5. La gestion des investissements en TI • En 2002, Gartner 1 déclare que 20% des investissements en TI sont rebutées (USD 500M$) • Depuis lors, une saine obsession de la gestion des investissements en TI s’est installée dans la plupart des entreprises • La gestion des investissements consiste essentiellement à: – Faire les bons choix d’investissements – Assurer une saine gestion jusqu’à l’implantation – Valider que les bénéfices escomptés sont au rendez-vous 1: The elusive value of IT, august 2002 ©HEC Montréal Faire les bons choix – la gestion du portefeuille d’application • En collaboration avec les unités d’affaires, créer et maintenir un portefeuille des investissements TI (actuels et futurs) nécessaires à l’atteinte des objectifs d’affaires • Aligner le portefeuille avec les orientations stratégiques de l’entreprise pour obtenir la juste balance de investissements • Implanter un processus de décision pour prioriser l’allocation des ressources pour obtenir un retour sur investissements optimal (« who shout loudest sysndrom ») • Analyser de façon continue la valeur du portefeuille d’application (Application Portfolio Management) ©HEC Montréal Gérer la livraison des bénéfices • Tout projet d’investissement en TI doit être géré comme un portefeuille d’investissement • Un projet d’investissement en TI doit comprendre l’ensemble complet des activités requises • Un projet d’investissement doit géré et mesuré tout au long de sa vie utile • Le monitoring des bénéfices doit être continu et doit réagir rapidement à toute déviation (-) constatée • Les unités d’affaires doivent prendre la responsabilité du suivi des bénéfices et l’équipe TI doit assurer la livraison du service au meilleur coût • Les investissements en TI doivent être standardisés autant que possible pour éviter les explosions de coûts dus à une prolifération de technologies ©HEC Montréal 6. La gestion des fournisseurs • Une tendance marquée de l’industrie des TI est de confier à des entreprises externes une partie ou la totalité des composantes supportant des processus stratégiques pour l’entreprise (infrastructures, gestion des centres d’appels, acquisition biens/matériel) • Il devient donc impératif de s’assurer de gérer les risques et la valeur ajoutée de l’investissement dans nos fournisseurs externes • Le processus complet de partenariat incluant l’émission du cahier de charge, la sélection, le suivi doit être fait par l’unité responsable du processus externalisé de concert avec l’unité de gouvernance des TI et l’équipe informatique ©HEC Montréal 6. La gestion des fournisseurs • Les raisons d’échecs d’un partenariat selon « outsourcing center » ©HEC Montréal 6. La gestion des fournisseurs • Les FCS pour un bon partenariat – – – – – De la discipline dans la gestion du contrat Garder son indépendance VS le fournisseur Conserver la responsabilité des décisions clés Assurer une situation gagnant-gagnant Consigner dans un manuel de procédures où se situent les limites de responsabilités des partis et comment doivent se faire les procédures d’escalade ©HEC Montréal 6. La gestion des fournisseurs • La recette pour sélectionner le bon fournisseur – Faire une liste épurée des candidats potentiels – Considérer la taille du fournisseur par rapport à votre organisation et à vos besoins – Considérer si vous avez à intégrer plusieurs fournisseurs – Faire une demande de proposition complète mais réaliste – Rencontrer les personnes clés chez les fournisseurs – Considérer, si possible, un pilote pour tester les fournisseurs en fin de liste – Prendre des références – Considérer l’impact des activités « off shore » – Faire un « due diligence » – Élaborer un Service Level Agreement ©HEC Montréal 6. La sécurité de l’information • « A l’heure où l’information circule à travers le cyberespace de façon routinière et que les systèmes d’informations prennent une valeur de plus en plus grande, les organisations ont un besoin grandissant de se protéger et de protéger l’information sensible contre les risques inhérents. La sécurité devient donc omniprésente, stratégique tout en demeurant alignée avec les préoccupations de l’entreprise » Source: IFAC – Statement on Managing Security of Information ©HEC Montréal 6. Qu’est-ce que la gouvernance de la sécurité de l’information Développement de politiques de sécurité Définition des rôles et responsabilités en matière de sécurité Développement de standards de sécurité Classification des données Gestion des risques en rapport avec la classification des données • Surveillance des failles de sécurité et action correctives • Formation • • • • • Source: IFAC – Statement on Managing Security of Information ©HEC Montréal 6. Les FCS de la sécurité de l’information • Sensibilisation: Informer tous et chacun de l’importance de la sécurité de l’information et de l’existence des politiques à cet effet • Acceptation: La propriété et la responsabilité sont acceptées et partagées par la haute direction et les TI • Responsabilisation: Nommer un gestionnaire de la sécurité ne suffit pas, il faut que la sécurité soit l’affaire de tous • Compétence: Assurer une quantité adéquate d’expertise en sécurité Source: IFAC – Statement on Managing Security of Information ©HEC Montréal