PROBLEMATIQUE DE LA GOUVERNANCE DU SYSTEME D INFORMATION

Transcription

1 PROBLEMATIQUE DE LA GOUVERNANCE DU SYSTEME D INFORMATION Florescu Vasile Chaire Informatique de gestion, Académie d Etudes Economiques de Bucarest, Adresse : Caderea Bastiliei nr. 2-10, si Piata Romana nr. 6, Sector 1, Bucuresti, Mél : vasile.florescu@gmail.com, Téléphone : /382 Dumitru Valentin Chaire Informatique de gestion, Académie d Etudes Economiques de Bucarest, Adresse : Caderea Bastiliei nr. 2-10, si Piata Romana nr. 6, Sector 1, Bucuresti, Mél : valentin.dumitru@soft-expert.info, Téléphone : /382 Le développement durable, dans un contexte de globalisation, exige un pilotage des activités, celles de la direction système information (DSI) inclus, sur des critères de performance et de conformités. Les dernières années on assiste à l intensification des recherches ayant pour thème la définition du cadre méthodologique et la construction d un référentiel de bonnes pratiques pour assurer le manageant et le contrôle du system d information des organisation en mettant en jeu les trois acteurs clés de l entreprise : les actionnaires (le pouvoir Patrimonial), les administrateurs (le pouvoir Managérial) et les systèmes d informations (informatiques). Notre papier fait une revue de la littérature et présente nos réflexions au sujet de la gouvernance du système d information (GSI) : (1) les concept de GSI, (2) principes de la GSI, et (3) les référentiels des bonnes pratiques pour la GSI. Mots clés: Système d Information, gouvernance du système d information, alignement stratégique, management des risques informatiques, référentiels de bonnes pratiques, pilotage du SI 1. Introduction La tendance actuelle à la mondialisation de la concurrence pousse les entreprises à conquérir sans cesse de nouveaux marchés et à mettre en œuvre des stratégies fondées sur la performance de toute activité et sur la conformité. Transformées en prestataires de services internes, les Directions des Systèmes d Information se voient demander de justifier de leur efficacité, de leur productivité ou encore de leurs dépenses. La gouvernance du système d information (en anglais, IT Gouvernance) devient un support important de la gouvernance d entreprise (Corporate governance). Selon le Cigref (2004) la gouvernance du système d'information peut apporter : - Une meilleure prise de décision concernant l'ensemble du système d'information afin d'accroître son efficacité ; - Une clarification des rôles des différents acteurs afin de créer des synergies ; - Une meilleure définition des responsabilités des acteurs afin de faire prendre conscience des droits et devoirs de chacun ; - Une meilleure connaissance du processus clés liés au système d'information afin de faire partager la compréhension de la complexité de leur mise en œuvre. La mis en œuvre de la gouvernance du système d information dans les organisations exige un cadre méthodologique de gouvernance (Chamfrault, 2005) et l accompagnement par de réflexions et de plans d'action concernant l'alignement stratégique du système d'information, la valeur ajoutée du système d'information et l'urbanisation du système d'information. Le cadre méthodologique de la GSI s'appuie sur un ensemble des modèles, référentiels des bonnes pratiques (ITIL-IT Infrastructure Library ; COBIT- Objectifs de Contrôle de l Information et des Technologies associées) et normes (Audit du système d information de l ISACA-Information Systems Audit and Control Association ; ISO Management de la sécurité de l information ; ISO Management qualité et environnemental). Le contrôle du système d information vise aussi sa mise en 1381

2 conformité avec les - très - nombreuses réglementations de gestion des données financières (Sarbanes- Oxley Act, Loi de Sécurité Financière, Bâle II, ) tout en assurant la transparence. Notre travail de recherche a pour objectif d assurer compréhension de la problématique de la gouvernance du système d information : concepts, principes et référentiels de bonnes pratiques. 2. Les concept de gouvernance du SI La GSI a pour mission fondamentale d assurer aux dirigeants d entreprise ainsi qu aux actionnaires que la fonction système d information est parfaitement gère. Le terme gouvernance du système d information est maintenant fréquemment utilisé pour désigner les activités d orientation et de contrôle relevant de l instance administrative supérieure d une organisation, soit celle qui tient le gouvernail. La Gouvernance du SI est vue comme un processus de management, fondé sur des bonnes pratiques, qui permet à l entreprise d optimiser ses investissements en «système d information» dans le but d attendre un ensemble d objectifs (contribuer à ses objectifs de création de valeur, accroître la performance des processus informatiques et leur orientation clients, maîtriser les aspects financiers du système d information, développer les solutions et les compétences en système d information dont l entreprise aura besoin dans le futur, garantir que les risques liés au système d information sont sous contrôle) tout en développant la transparence (Leignel, 2006). La «gouvernance du SI» est la transposition au niveau «SI» des principes de Corporate Governance (figure 1) ACTIONNAIRES Monitoring Objectifs GOUVERNANCE DE L ENTREPRISE Gouvernance de conformité Gouvernance de performance GOUVERNANCE DU SI/IT GOVERNANCE) - Alignement stratégique, - Managements des risques, - Conformite, Référentiel de bonnes pratiques - Mesurer la performance Outil de pilotage Score FACTEURS IMPLIQUES Direction générale Direction métier Clients/Fournisseurs Tiers Figure 1. Cadre général de la ITGI (source : Florescu & al (2007)) 1382

3 Les facteurs impliqués de la gouvernance du système d information de l entreprise sont : Les actionnaires (le pouvoir Patrimonial), qui fixent les objectives et assurent le monitoring ; Les administrateurs (le pouvoir Managérial) avec de responsabilités pour la réalisation des objectifs en condition de performance et conformité et en toute transparence; Les services systèmes d information (Direction SI), qui gère les ressources et les processus SI. Dans le processus de la gouvernance on fait appel aux référentiels de bonnes pratiques (tel que le référentiel COBIT) et aux outils de pilotage (tel que IT Scorecard). 3. Les principes de la gouvernance du systeme d information La GSI est fondée sur cinq principes de base : alignemnet strategique, la fourniture de la valeur, la mesure de la performance, la gestion des ressources et la gestion des risques (figure 2). Figure 2. Principes de la gouvernance du SI Source : Delavaux(2007) L alignement strategique (IT Strategic Alignment), concerne l alignement de la strategie du systeme d information á la strategie d affaires (Henderson & Venkatraman, 1993 ; Florescu& Tamas, 2006). La forniture de la valeur (IT Value Delivery), concerne l amélioration de la valeur des services de l'entreprise par le biais du systeme d information (Corbel & al.2004 ). La mesure de la performance (Performance Measurement), concerne l'analyse des pratiques en matière de pilotage et de contrôle de gestion informatique (tableaux de bord, reporting, etc.). La gestion des ressources (IT Resource Management), il s'agit d'analyser la connaissance et les principes de gestion des actifs matériels et logiciels, des ressources humaines, ainsi que des politiques de sous-traitance et d'externalisation. La gestion des risques (IT Risk Management), il s'agit d'analyser la connaissance du risque pris par l'entreprise à travers ses systèmes informatiques (cf. cartographie du risque informatique) et ce, en termes d'impact métier. Les principes de gouvernance du systeme d information sont en phase avec les pratiques managériales fondamentales : établir une stratégie efficace, disposer d'outils de pilotage pertinents, démontrer la valeur et la contribution de ses actions, connaître les risques encourus et gérer le patrimoine informatique. 1383

4 4. Referentiels des bonnes pratiques 4.1. Classification La littérature qui traite de la gouvernance du système d information cite plusieurs référentiels de bonnes pratiques, qui présentent d intérêt pour la gouvernance du système d information: ITIL (Information Technology Infrastructure Library), élaboré par les autorités britanniques et dédié à optimiser les services informatiques au sein de l'entreprise ; COBIT (Control Objectives for Business & Related Technology) développé par l ISACA (Information System Audit & Control Association) et dédié a la gouvernance et l'audit des systèmes d'information ; CMMi (Capability Maturity Model intégration) dédié au développement de systèmes et logiciels ( ; ISO 27001, norme pour assurer la sécurité du système d information. Dans ce travail de recherche notre intérêt porte sur les référentiels COBIT, le plus complet et à la fois intégrateur Le référentiel COBIT A l origine COBIT a été conçu ISACA (Systems Audit and Control Association ( pour les auditeurs (figure 3). Ultérieurement l IT Governance Institute ( a développé COBIT (sa quatrième version de COBIT on assure l harmonisation des termes et des principes pour faciliter l intégration de COBIT et des référentiels ITIL, CMM, COSO, ISO 27001, 19011) qui est devenu ainsi : Un norme de gouvernance et un référentiel de bonnes pratiques à utilisés pour mettre en oeuvre la gouvernance informatique et améliorer les contrôles du système d information ; Un modèle de maturité, on peut évaluer l atteinte d un ou plusieurs objectifs généraux sous forme d une échelle ; Un outil de management, comprend des conseils pour les conseils d'administration et tous les niveaux de management ; Un outil d audit du système d information ; Figure 3. COBIT pour les auditeurs (Source : Moissand Dominique, Doc. AFAI) 1384

5 Un outil de conformité (voir la réglementation Sarbanes-Oxley). Dans le cadre du référentiel COBIT les processus et les contrôles sont repartis en quatre domaines: Le domaine Planification & Organisation, concerne la stratégie et les tactiques, l identification des moyens permettant à l informatique de contribuer le plus efficacement à la réalisation des objectifs commerciaux de l entreprise. Le domaine Acquisition & Mise en place, concerne la réalisation de la stratégie informatique, l identification, l acquisition, le développement et l installation des solutions informatiques et leur intégration dans les processus commerciaux. Le domaine Distribution & Support, concerne la distribution des prestations informatiques exigées, ce qui comprend l exploitation, la sécurité, les plans d urgence et la formation Le domaine Surveillance et évaluer, permet au management d évaluer la qualité et la conformité des processus informatiques aux exigences de contrôle. Chaque domaine regroupe des processus qui sont décomposés à en activités. Les bonnes pratiques à mettre en œuvre s appliquent aux SI (Leignel, 2006) : 1385 vecteurs suivant de la Gouvernance du planification du SI et intégration dans le processus global de planification de l entreprise ; gestion du portefeuille de projets orientée création de valeur ; alignement de l organisation informatique par rapport aux processus métiers ; urbanisme et architecture d entreprise ; transparence des budgets et des coûts et du contrôle de gestion ; maîtrise de l optimisation de l efficacité des projets ; fourniture de services d information et optimisation des processus informatiques vis-à-vis des services aux clients ; gestion et maîtrise des risques liés au SI ; gestion prospective des compétences informatiques ; gestion et mesure de la performance du SI ; gestion de la communication relative au SI. La mis en oeuvre les bonnes pratiques pour chacun de ces vecteurs, dans une approche Qualité, permettra de tendre vers une bonne GSI. 5. Conclusions Stratégie et gouvernance apparaissent comme deux vecteurs indissociables d'un changement induit par de nouvelles pratiques de management et de performance organisationnelle, recherchée par de nouveaux modèles de création de valeur dans les entreprises de toute taille. Dans le cadre du contrôle interne, le COBIT vient s'insérer dans le cadre des actions du COSO (Committee of Sponsoring Organisations of the Treadway Commission - Internal Control). L'ISO et l'itil peuvent être considérés comme des mises en application du COBIT dans le domaine du service SI et de la sécurité. Une question inspiré de la littérature professionnelle traitant de la GSI: L activité «système d information» pourrait disposer d un standard définissent les critères d information a communiquer aux shareholders? Bibliographie 1. CIGREF (2004), Gouvernance du sytème d'information, Rapports CIGREF (le "Club informatique des grandes entreprises françaises), 2. Chamfrault, T., (2005), itsmf, ITIL : Information Technology Infrastructure Library, Atelier BNP PARISBAS, avril 3. Corbel, P., Jean-Philippe Denis, J-Ph. & Taha R., (2004), Systèmes d'information, innovation et création de valeur : premiers enseignements du programme MINE France, Cigref, Cahier No 2

6 4. Decalf, G. (2008), COBIT : Une démarche de pilotage des risques informatiques, Publication online 5. Delavaux, J-P. (2007), COBIT : La Gouvernance des TI et les processus, Exposé à l ANDSI (Association Nationale des Directeurs de Systèmes d Information), France 6. Florescu, V. et Tamas, I., (2006), Strategic Alignement: Ensuring that IT Strategy is Aligned with Business Strategy, Workshop IE & SI, Departement of Business information Systems and Statistics, Timisoara, May 7. Florescu, V, Anica-Popa, L & Anica-Popa, I., Governance of Information System and Audit, Conferin a interna ional The Balkan Countries' 1'st International Conference on Accounting and Auditing BCAA, 2007 Edirne, Turcia, PUBLICAT ÎN: The Balkan Countries' 1'st International Conference on Accounting and Auditing BCAA, ISBN Henderson J. C. & Venkatraman N. (1993), Strategic Alignment: A Model for Organizational Transforming via Information Technology, Oxford University Press, New York. 9. IGSI (2005), Place de la gouvernance du systèmes d information dans la gouvernance générale : Equilibrer, Performance et Conformité, IGSI (2004), IT Governance : pilotage de l'informatique pour dirigeants d'entreprises, modèle de référence, Institut de la gouvernance des systèmes d'information, Paris 11. IT Governance Institute, Site Web: Jomaa, H., (2004), Les déterminants de la création de valeur par les TIC : le cas des projets ERP, Cigref, Cahier No Jouas, J-P. & Roule, J-L (2007), Mehari 2007 : présentation générale, Mehari & Clusif, Document on-line 14. Leignel, J-L., (2006), Gouvernance du système d information, CIO Stratégie, Nice, France 15. Moisand, D. (2004), Gouverner son système d information : le tableau de bord BSC, La revue No 77, Dossier IT Governance 1386