De la GOUVERNANCE D'ENTREPRISE à la GOUVERNANCE DU SI. Le rôle-clé des «processus métiers»

Transcription

1 De la GOUVERNANCE D'ENTREPRISE à la GOUVERNANCE DU SI Le rôle-clé des «processus métiers» IAE de Paris Alumni Club Management des Systèmes d Information Serge Yablonsky/Jean-Louis Leignel 27 Septembre

2 la Gouvernance : Gérer un voyage aléatoire vers une destination incertaine» Un processus d orientation et d ajustement continuel Savoir où on veut aller Planifier le voyage Connaître la situation au départ Un travail d équipe : «tous dans un même bateau» Adapter sa trajectoire à la situation réelle Tirer le meilleur parti des courants et des vents Se situer en permanence Eviter les écueils Source : IT Governance Institute, 2006

3 la GOUVERNANCE D'ENTREPRISE Un «processus» en tant que tel au-dessus des «processus métiers» IAE de Paris Alumni Club Management des Systèmes d Information Serge Yablonsky/Jean-Louis Leignel 27 Septembre

4 Qu est ce que la gouvernance d entreprise? Un ensemble de décisions prises tout au long de la vie de l entreprise et à tous niveaux de responsabilité dans le but de créer durablement de la valeur : en assurant le développement à moyen/long terme de l entreprise grâce à la pertinence de la stratégie élaborée et l optimisation des ressources mises à sa disposition ; en veillant à ce que les risques susceptibles de la menacer soient rapidement identifiés et maîtrisés ; en s assurant de l application d une stratégie unique décidée par la direction et déclinée sur l ensemble des acteurs de la chaîne de décision. 4

5 Une gouvernance d entreprise pour qui? pour les administrateurs qui gagneront en connaissance de l entreprise et de ses modes de fonctionnement ; pour tous les managers qui trouveront un cadre de réflexion et de bonnes pratiques ; pour toutes les parties prenantes qui disposeront d une mesure de la qualité des processus de management. 5

6 Mise en évidence d un processus d un nouveau type : Le Processus de Gouvernance d Entreprise 2 Déclinaison opérationnelle de la stratégie Ressources 4 1 Création de l offre Obtention et traitement des commandes 1 opérationnels Attentes clients Support, 3 Monitoring : Maîtrise des Risques 5 Source Jean-Louis Leignel / Serge Yablonsky 5 axes d application des «bonnes pratiques» 1 facteur-clé de succès «transverse» : les «macro processus opérationnels» 6

7 Axe n 1 : Elaboration de la stratégie L entreprise prend en compte les attentes de ses stakeholders : Clients actuels et futurs] Concurrents Actionnaires Salariés Fournisseurs partenaires Banquiers Pouvoirs publics et les évolutions prévisibles de l environnement : Economique Social Financier Ecologique Politique/géopolitique. dans une démarche formalisée (de type Porter). 7

8 Axe n 1 : Elaboration de la stratégie Elle s assure de l implication des acteurs pertinents («right men») : Direction Générale Administrateurs Managers au bon endroit dans le processus de prise de décisions («right place») et au bon moment («right time»). De cette démarche doivent résulter, pour chacune des familles de produits de l entreprise, des objectifs à la fois ambitieux et réalistes en termes de : croissance ; moyens à mettre en œuvre pour atteindre cette croissance ; besoin en capital humain et financier. 8

9 Axe n 1 : Elaboration de la stratégie 9

10 Axe n 2 : Déclinaison opérationnelle de la stratégie La planification à moyen terme de l entreprise permet d affecter aux «macro-processus» opérationnels : Order to cash Création de l Offre Prise en compte des attentes Clients Supports des objectifs concrets d amélioration cohérents avec les objectifs stratégiques. en associant le management : Direction Générale, Directions opérationnelles, Direction Financière, Contrôle de Gestion, Direction des Systèmes d Information Audit. 10

11 Axe n 2 : Déclinaison opérationnelle de la stratégie 11

12 Axe n 3 : Management des ressources Les objectifs d amélioration associés dans un premier temps aux «macro processus» de l entreprise sont des «objectifs de résultats» : réduction du délai de mise sur le marché d un nouveau produit pour le processus «création de l offre», réduction des coûts de production pour le processus «supply chain», amélioration du taux de satisfaction clients pour le processus «gestion des attentes clients», etc ) Ils doivent maintenant être traduits en «objectifs d activités» affectables aux responsables en charge des fonctions concourant au fonctionnement du processus : optimisation du plan de charge de production, raccourcissement des délais de réponse aux interrogations clients, idées de nouveaux produits ou services mieux ciblées, conception plus rapide de nouveaux produits ou services, etc 12

13 Axe n 3 : Management des ressources Dans le cadre de la démarche budgétaire, les «objectifs d activités» affectables aux responsables opérationnels se déclineront en plans d actions susceptibles de mobiliser les ressources de l entreprise : Organisation Compétences internes ou externes Systèmes d Information.. pour atteindre les objectifs fixés. 13

14 Axe n 3 : Management des ressources 14

15 Axe n 4 : Pilotage de la performance Le processus d amélioration continue des performances conduit à vérifier l atteinte des objectifs assignés aux processus opérationnels dans le but de : mettre en place les mesures préventives ou correctives nécessaires aux projets en cours, capitaliser sur les expériences acquises, tirer les leçons d échecs éventuels pour donner le maximum de chances de réussite pour des projets futurs, voire adapter la trajectoire s il s avère que les objectifs ne sont pas atteignables ou ne sont plus d actualité. 15

16 Axe n 4 : Pilotage de la performance 16

17 Axe n 5 : Maîtrise des risques La gestion des risques de l entreprise est un processus mis en œuvre par le conseil d administration, les dirigeants et le personnel d une organisation dans le but de : maîtriser les risques afin qu ils soient dans les limites de «l appétence au risque» de l organisation, identifier les événements potentiels pouvant affecter l organisation, fournir une assurance raisonnable quant à la réalisation des objectifs de l organisation. Elle se décline en : Risques de non atteinte des objectifs de performance, Audit de projets en-cours Démarche d amélioration continue Risques liés au fonctionnement des processus opérationnels : disponibilité, intégrité confidentialité, Risques liés au contrôle interne : conformité aux lois et aux réglementations en vigueur ; fiabilité des informations financières ; réalisation et optimisation des opérations. Risques liés à des défaillances du système de régulation : Indépendance du Conseil d'administration Respect des règles d'éthique par le management conditions d'exercice du droit des actionnaires Autoévaluation 17

18 Axe n 5 : Maîtrise des risques 18

19 Axe n 5 : Maîtrise des risques 19

20 1 facteur-clé de succès : les «processus opérationnels» : Alors que les responsables de l entreprise appartiennent à une structure hiérarchique organisée par fonctions : Production Commercial, Marketing, Conception, Développement Ressources humaines, Finances,. Les «macro-processus» tels que : Order to cash, Création de l Offre, Prise en compte des attentes clients, Supports,. donnent une vision transversale «orientée clients» de l entreprise. 20

21 1 facteur-clé de succès : les «processus opérationnels» : Exemple de décomposition des «macro-processus» en «fonctions» : Macro-Processus «création de l Offre» : Marketing stratégique Conception produits Business Case Développement Mise en Production Mise sur le marché Bilan Macro-Processus «Order to Cash» : Prise de commande Planification production Achats Approvisionnem ents Fabrication Livraison Facturation Encaissement 21

22 1 facteur-clé de succès : les «processus opérationnels» : Ils permettent : d apprécier la performance opérationnelle de l'entreprise de fixer des objectifs concrets d amélioration par rapport aux attentes présentes et futures des clients, tels que :» Order to cash : amélioration de la qualité, respect des délais de livraison, réduction des coûts de production,..» Création de l Offre : réduction du «time to market», développement du co-engineering,» Prise en compte des attentes clients : amélioration du % de clients très satisfaits, 22

23 la GOUVERNANCE du Système d Information Le rôle-clé des «processus métiers» IAE de Paris Alumni Club Management des Systèmes d Information Serge Yablonsky/Jean-Louis Leignel 27 Septembre

24 Le rôle-clé des processus «business» dans la déclinaison de la stratégie d entreprise jusqu au SI 2 Déclinaison opérationnelle de la stratégie Ressources 4 1 Création de l offre Obtention et traitement des commandes 1 SI opérationnels Attentes clients Support, 3 Monitoring : Maîtrise des Risques 5 Source Jean-Louis Leignel / Serge Yablonsky Les projets SI doivent être vus comme des volets SI de projets business 24

25 Déclinaison du concept de Gouvernance au niveau du Système d Information de l entreprise Une démarche de management, fondée sur des bonnes pratiques, concernant toute l entreprise, qui vise à tirer le meilleur parti pour son développement des coûts engagés dans son SI de sorte à : obtenir la contribution maximale à la création de valeur? en optimisant la consommation des ressources? et avec un niveau de risque maîtrisé et adapté aux enjeux?.tout en développant la transparence. Copyright (c) Jean-Louis Leignel Source: IGSI

26 Déclinaison du concept de Gouvernance au niveau du Système d Information de l entreprise Une démarche de management, fondée sur des bonnes pratiques, concernant toute l entreprise, qui vise à tirer le meilleur parti pour son développement des coûts engagés dans son SI de sorte à : obtenir la contribution maximale à la création de valeur? en optimisant la consommation des ressources? et avec un niveau de risque maîtrisé et adapté aux enjeux?.tout en développant la transparence. Copyright (c) Jean-Louis Leignel Source: IGSI

27 Des enjeux financiers et stratégiques importants qui montrent à quel point il est important de maîtriser les SI Successful Failed Challenged Gartner: 600 milliards US $ dilapidés chaque année par des projets IT mal conçus ou mal exécutés Standish Group: environ 20% des projets se plantent, 50% sont remis en question, seulement 30% réussissent «Check-list des «mauvaises pratiques» conduisant à l échec des projets : 0% 20% 40% 60% 80% 100% 1. processus de prise de décisions trop influencé par des décisions «politiques» 2. choix technologiques beaucoup trop risqués (syndrome du projet «pharaonique») 3. Choix d»outils» avant d avoir bien défini les besoins fonctionnels réels 4. conception fonctionnelle trop «monolithique» pour faire face aux évolutions du contexte 5. sous-estimation des compétences entraînant une dépendance par rapport aux intervenants extérieurs 6. organisation de projet trop complexe et surtout «déresponsabilisant» la Direction «métier» et «noyant» l essentiel 7. «processus métier» progressivement perdus de vue au fur et à mesure des difficultés rencontrées. 8. «découplage» entre le suivi «juridico budgétaire» et le suivi «opérationnel. 9. «fuite en avant» provoquée par un refus de blocage contractuel, malgré de lourdes défaillances. 10. absence de PAQ formellement validé entre les parties, ainsi que d outils de pilotage adaptés 11. «acharnement thérapeutique» Expérience tirée d une mission d audit : un projet arrêté au bout de 8 ans.et 300 M 27

28 Le Schéma Directeur SI : un cadre global permettant de structurer le processus de prise de décisions pour le lancement des projets Ie Schéma Directeur SI vise à offrir : une vision globale partagée de la situation existante as-is une vision globale partagée de la situation souhaitable as wished un cadrage du plan de route pour passer du as is au as wished Evolutions du SI Risques sur le SI existant Nouvelles Techno. «As-wished» Objectifs «métiers» Contrairement au Business Case, qui concerne un projet en particulier, le SDSI apporte une vision prospective globale «As-is» Projets Legacy Normes & standards Cohérence de l architecture Temps 28

29 Alignement Stratégique du Portefeuille Projets : les projets SI sont lancés sur la base de «business cases» dont ils constituent un «volet» «Business Case» &. Processus de sélection Schéma-cible SI Idée Et si. Décision Décision Décision Etude de cadrage «métier» Etude exploratoire «SI» Business case Projet validé «Métier» : Portée du projet, périmètre, Coûts grossiers, cohérence avec le «schéma-cible SI» «SI» : Impacts sur les processus, coûts, Risques, délais, esquisse des Modalités de réalisation Responsabilités, budget et ROI, Indicateurs à suivre, impact détaillé sur les processus, alignement stratégique, calendrier. 29

30 SDSI et Business case ne servent pas à grand chose en l absence d une instance de décision concernant le SI au niveau de la DG 3 comités clès : Executive Board 1 IT and Procurement Policy Board 2 Comité de pilotage des risques liés à l information IT Leadership Council 3 IT & Procurement policy board sous-groupe du comité exécutif (y compris CIO) 6 fois / an Alignement IT avec la stratégie «métier» Secteurs d activité Comité de normalisation et d architecture informatique Comité des infrastructures stratégiques IT Leadership council DSI des secteurs métiers et géographies Exécution de la politique décidée par le Policy board Banque de dépôt Financement et Investissement Assurance Europe Assurance Asie/ Pacifique Assurance Amériques ING Direct Pilotage des risques IT Rattaché au Policy board Groupe d infrastructure régionale 3 outils fondamentaux : 1 - Conseil exécutif 2 - Commission de politique d Achat et TI 3 - Conseil de Direction des TI Plan IT à 3 ans Budget annuel Tableau de Bord Source : IT Governance Institute,

31 Déclinaison du concept de Gouvernance au niveau du Système d Information de l entreprise Une démarche de management, fondée sur des bonnes pratiques, concernant toute l entreprise, qui vise à tirer le meilleur parti pour son développement des coûts engagés dans son SI de sorte à : obtenir la contribution maximale à la création de valeur? en optimisant la consommation des ressources? et avec un niveau de risque maîtrisé et adapté aux enjeux?.tout en développant la transparence. Copyright (c) Jean-Louis Leignel Source: IGSI

32 Optimisation des «ressources financières» : La maîtrise du Budget IT est une condition «sine qua non» pour allouer les ressources de façon pertinente DG/DF Budget et Coûts IT Source: Jean-Louis Leignel DSI Communication? Transparence? Maîtrise? DO 32

33 Optimisation des «ressources financières» : «Récurrent» et «Projets» 2 logiques de gestion radicalement différentes Produits (récurrent) Entre 70% et 80% du budget consacrés aux Produits - Mise à disposition des PC - Mise à disposition d applications - Support utilisateurs -. Logique de production Run Le «catalogue de services» est le point de départ indispensable Ce qui est «projet» devient «récurrent» Projets (Transformation) Build Entre 20% et 30% du budget consacrés aux Projets Logique d investissement Le rôle-clé du «Business Case» Objectif Objectif Amélioration de la productivité Baisse des coûts Source: Jean-Louis Leignel Augmentation de la rentabilité Création de valeur 33

34 Optimisation des «ressources humaines» : anticipation articulée avec les objectifs stratégiques de l entreprise et les «nouveaux usages» du SI Planification à MT du SI > Objectifs stratégiques de l entreprise > «Nouveaux usages» du SI : Réseaux sociaux Télétravail Temps de travail choisi, Degré de maîtrise visé Fort Moyen Faible A construire rapidement en interne Que faut-il développer en interne? Veille? Si besoin renforcer en interne et/ou partenariat Préparer un désengagement progressif Capacité à spécifier, à maintenir en interne Maîtrise de la sous-traitance à assurer en interne Que faut-il conserver en interne? Externaliser Compétences Poids - Intégration Progiciels - Maintenance - Réseaux - Architecte SOA - RSSI - Chef de projet -. - Web - Virtualisation PC - Cloud computing - SaaS - BYOD -.. P1 P2 Projets. Contribution des projets à l'atteinte des objectifs X Pn Contribution des compétences IT à la réussite des projets = Degré de maîtrise souhaité Émergente Croissante ou mature Déclinante Degré de maturité Copyright Jean-Louis Leignel 34

35 Déclinaison du concept de Gouvernance au niveau du Système d Information de l entreprise Une démarche de management, fondée sur des bonnes pratiques, concernant toute l entreprise, qui vise à tirer le meilleur parti pour son développement des coûts engagés dans son SI de sorte à : obtenir la contribution maximale à la création de valeur? en optimisant la consommation des ressources? et avec un niveau de risque maîtrisé et adapté aux enjeux?.tout en développant la transparence. Copyright (c) Jean-Louis Leignel Source: IGSI

36 Les 3 grandes typologies de risques : 3- Opportunités technologiques Risque de ne pas créer assez de valeur pour l entreprise 2- Volet SI des Projets 1- Services récurrents Source ISACA / Risk IT Risque de perdre de la valeur déjà créée 36

37 1- Risques liés à la fourniture de services récurrents Gérer les risques de sécurité : analyser et évaluer les menaces, impacts et vulnérabilités auxquels les actifs informationnels sont exposés et la probabilité de leur survenance. Déterminer les mesures de sécurité pouvant être implantées pour réduire les risques et leur impact à un coût acceptable. Menace Risque Vulnérabilité Risque résiduel Actions de sécurisation Valeur des actifs SI Source ISO

38 1- Risques liés à la fourniture de services récurrents : la réponse doit être adaptée aux «enjeux business» (Disponibilité, Intégrité, Confidentialité) Criticité des Composants SI regroupés en «zones de sécurité» = Enjeux Business des processus x Contribution des composants SI aux processus Très élevé Élevé «composants SI» à protéger en priorité Moyen Faible Très faible Très faible Faible Moyen Élevé Très élevé Effectivité de la Menace = Probabilité de la menace x Vulnérabilité du «composant 38SI»

39 2- Risques liés aux volets SI des projets: Audit en cours de réalisation Objectifs : S'assurer que le projet s'inscrit toujours dans son cadre initial : l'audit peut donc conclure qu'il est préférable d'arrêter le projet, d'augmenter les ressources, de le décaler dans le temps, etc. Vérifier avant la mise en production que les hypothèses de départ se sont avérées correctes exemples : performances attendues, structure des données, migration, etc. Vérifier a posteriori que les objectifs du "Business Case" ont été atteints Démarche : S'assurer que les hypothèses de départ sont toujours actuelles : ROI, besoin, périmètre, etc. S'assurer que les ressources dédiées au projet sont appropriées : key user, chef de projet, analyste, etc. Identifier les phases critiques du projet et auditer celles-ci exemple : reprise des données dans le cadre d'un projet ERP Faire un Bilan de Projet, lorsque le régime de fonctionnement normal est atteint 39

40 Les «11 vecteurs» d amélioration de la Gouvernance du SI 1 Planification du SI et intégration dans le processus global de planification de l entreprise Gestion et mesure de la performance du SI Urbanisme et architecture d entreprise mis au service des enjeux stratégiques Gestion du portefeuille de projets orientée création de valeur Alignement de l organisation informatique par rapport aux processus métiers Gestion budgétaire et contrôle des coûts IT favorisant la transparence Maîtrise de la réalisation des projets par rapport aux objectifs «business» Fourniture de services informatiques optimisés par rapport aux attentes clients Gestion de la communication relative au SI 8 Gestion prospective des compétences informatiques 10 9 Maîtrise des risques liés au SI adaptée aux enjeux «business» Source: IGSI 11 40

41 Les «11 vecteurs» d amélioration de la Gouvernance du SI Les 3 niveaux Structuration du guide : les 3 niveaux La Gouvernance du SI concerne 3 niveaux de façon indissociable Il est illusoire de vouloir positionner le SI au niveau stratégique.. si les opérations ne sont pas sous contrôle A l inverse, un SI performant au niveau opérationnel ne garantit pas nécessairement sa contribution au développement de l entreprise Source IGSI En tout état de cause, les activités de «support» doivent contribuer à développer la transparence et la proximité entre la DSI et les «métiers» 41

42 Les principaux référentiels de Gouvernance SI : de l IT au BUSINESS! et du Quoi au Comment! des référentiels de contrôle de l IT CobiT Framework Val IT Framework au Business Risk ITFramework TOGAF ITIL Prince 2 CMMi IT scorecard AFAI Val IT Business Case aux bonnes pratiques pour mise en oeuvre Modèle Coûts IT AFAI Rentabilité projets SI AFAI MOA projets SI AFAI Source : AFAI / groupe Tutorial 42

43 GOUVERNANCE D'ENTREPRISE et GOUVERNANCE DU SI Comment enclencher un processus d amélioration continue? IAE de Paris Alumni Club Management des Systèmes d Information Serge Yablonsky/Jean-Louis Leignel 27 Septembre

44 Pour enclencher un processus d amélioration continue : sensibiliser la DG par une évaluation indépendante de la maturité de l entreprise en matière de gouvernance Entreprise & SI puis déployer des plans d actions d amélioration correspondant aux sources de progrès identifiées et aux priorités de l entreprise. Des enquêtes menées par l Académie & par l AFAI montrent que la plupart des entreprises ont un potentiel d amélioration très important. Académie/AFAI/Serge Académie Yablonsky/Jean-Louis Leignel Leignel 44

45 En «Gouvernance d Entreprise», la maturité des entreprises ne dépasse pas 2 sur 5 quelque soit le critère Maximum de chaque axe Moyenne (60) Maitrise des riques Moyenne des 60 sociétés Elaboration de la stratégie Déclinaison opérationnelle de la stratégie Pilotage de performance Management des ressources Les résultats font apparaître que la moyenne des 60 sociétés ayant répondu se situe en dessous de «2» (début de mise en œuvre) pour tous les axes, la note la plus basse (0,7) étant obtenue par la «maîtrise des risques», le «pilotage de la performance» ayant un score à peine meilleur (1). 45

46 Moyenne des 11 sociétés ayant souhaité avoir en retour un radar personnalisé : Maximum de chaque axe Moyenne (11) Moyenne des 11 sociétés Elaboration de la stratégie 5 Maitrise des riques Déclinaison opérationnelle de la stratégie Pilotage de performance Management des ressources La moyenne de ces 11 entreprises fait apparaître un score globalement meilleur que celui de la moyenne générale, sauf en ce qui concerne la «maîtrise des risques». Sur les autres axes, elles atteignent un niveau voisin de «3», qui est honorable, mais malgré tout assez loin des «bonnes pratiques». 46

47 «Gouvernance des SI» : Les résultats de l enquête AFAI sont dans la même lignée que ceux de l Académie pour la «Gouvernance d Entreprise» Exemple de «radar» issu de l enquête AFAI visant à évaluer la maturité des entreprises françaises en Gouvernance du SI par l entreprise Best Practices ENTREPRISE Score le + faible Orientation CLIENTS ALIGNEMENT 5,0 4,0 3,0 2,0 1,0 0,0 Perf PROCESSUS IT méthodologie principalement fondée sur Val IT, Risk IT, CobiT, ITIL, CMMi, TOGAF,. Compétences et FUTUR RISQUES Maîtrise GESTION 47

48 4 profils très différents susceptibles de générer des plans d action adaptés à chacun d eux Score IT Gov moyen Best practices Best Practices Indus Lourde Orientation CLIENTS ALIGNEMENT Perf PROCESSUS IT Best Practices Administration Orientation CLIENTS ALIGNEMENT Perf PROCESSUS IT Compétences et FUTUR Maîtrise GESTION Compétences et FUTUR Maîtrise GESTION RISQUES RISQUES Best Practices Best Practices Banque/Finance Orientation CLIENTS Compétences et FUTUR ALIGNEMENT Perf PROCESSUS IT Maîtrise GESTION Energie Orientation CLIENTS Compétences et FUTUR ALIGNEMENT Perf PROCESSUS IT Maîtrise GESTION RISQUES RISQUES 48

49 La Gouvernance SI : une démarche d amélioration continue La Gouvernance du SI est bien plus qu une recette processus-organisation La Gouvernance du SI répond avant tout à des objectifs de management, qui doivent prendre en compte la culture de l entreprise C est un long voyage... Raison de plus pour commencer tout de suite! 49

50 Pour vous permettre de participer aux enquêtes. et obtenir votre «radar» personnalisé (traité en toute confidentialité), Gouvernance d Entreprise : Merci de remplir le questionnaire téléchargeable sur le site de l Académie : egouvernanceg25+fev+2012.xlsx Gouvernance SI : Merci de remplir le questionnaire téléchargeable sur le site de l AFAI : et de les adresser à : Jl.leignel@mageplus.fr 50