IT BUSINESS FOUNDATION (ITBF) Analyse du concept ITBF à l origine de la gouvernance des systèmes d information

Transcription

1 White Paper Stratégie et Gouvernance IT 1 WHITE PAPER IT BUSINESS FOUNDATION (ITBF) Analyse du concept ITBF à l origine de la gouvernance des systèmes d information Frédéric Georgel Sr Consultant IT Gouvernance Edition : Fr / Octobre Révision 10/12/05 Utilisation de ce document : Ce document peut être lu ou reproduit librement, dans la stricte limite des conditions ci-dessous précisées : (1) Cette publication doit être utilisée aux seules fins d informations, elle ne peut être ni vendue, ni distribuée que ce soit dans un but commercial et/ou politique et/ou religieux ; (2) Elle ne doit en aucun cas être modifiée ; (3) les mentions des copyrights (droits d auteur) devront être visibles sur chaque publication utilisant tout ou partie du présent document. Tous droits attachés au copyright restent la propriété de l auteur. L auteur n assume aucune responsabilité en cas d erreurs ou d omissions dans le contenu de ce document. De ce fait, l auteur ne fait aucune déclaration et ne donne aucune garantie relative à l exactitude des informations contenues dans ce document et n est tenu expressément à aucune obligation de mise à jour de ces informations.

2 White Paper Stratégie et Gouvernance IT 2 Préambule Ce document s inscrit dans la continuité du livre intitulé «IT Gouvernance : Maîtrise d'oeuvre d'un système d'information», paru chez l éditeur Dunod en 2005 dans la collection InfoPro sous la référence ISBN : Sa lecture préalable est recommandée car le présent document s y réfère ponctuellement. Cet ouvrage est disponible dans la plupart des librairies, des bibliothèques et sur internet. Pour plus d informations à ce sujet, vous pouvez consulter le site de l éditeur : Objet Ce document a pour objet de présenter et d analyser l approche du système d information en tant que fondation primaire de toute activité d une organisation. Conceptualisée sous la dénomination d IT Business Foundation (ITBF), cette théorie est aujourd hui considérée comme le principal fondement de la pratique de gouvernance des systèmes d information. Elle en détermine les enjeux, l architecture et les mécanismes. Introduction La gouvernance des systèmes d information (IT Gouvernance) est une pratique qui se développe de plus en plus en Europe et dans le monde tant au niveau des organisations publiques que des compagnies privées. Si ce constat est plutôt encourageant, il ne doit pas pour autant masquer la réalité d une certaine défiance de la part du management. En effet, beaucoup de cadres dirigeants au sein des entreprises ont encore du mal à percevoir l intérêt d une telle démarche. Il convient donc de préciser sur quelle logique est fondée l IT Gouvernance (ITG), afin de pouvoir en maîtriser son champ d application, ses mécanismes et la contribution qu elle cherche à apporter à l entreprise. La pratique de la gouvernance des systèmes d information est depuis quelques années appréhendée à travers le concept d IT Business Foundation (ITBF). Ce concept se fonde sur le fait que quelque soient l activité, la taille, la localisation, la forme juridique d une compagnie, chacun de ces processus d activité dépend directement ou indirectement d un ensemble de ressources IT. Clients Marché Produits ou services Métiers Processus Fonctions Hommes Matières Finance Système d information Concept ITBF

3 White Papers Stratégie et Gouvernance IT 3 Comme le montre la figure précédente, le SI doit désormais être appréhendé comme le socle principal de l entreprise. Cette position implique une approche managériale différente qui nécessite préalablement de bien comprendre le sens de cette nouvelle fondation. L ITBF étend ainsi la définition du système d information proposée par M. Robert Reix* de la façon suivante : «Un système d information est un ensemble organisé de ressources : matériels, logiciels, personnel, données, procédures permettant d acquérir, de traiter, de stocker, de communiquer des informations dans des organisations», afin que les processus d activité soient efficients et offrent des capacités de performance alignées sur des objectifs stratégiques. Cet avenant à la définition initiale de R. Reix est important car il signifie que la gestion d un SI ne relève plus d une problématique technique mais bel et bien d une problématique managériale. Elle conforte ainsi l idée d une séparation entre gestion stratégique (ITG) et gestion technique (DSI). Principe décrit dans l ouvrage IT Gouvernance (Dunod) et souligné par Christophe Georget, Associé Ernst & Young Entrepreneurs Conseil, en préface du livre Système d Information Organisationnels (Pearson Education). L extension des principes de SOX (Sarbanes-Oxley) Dans l approche nord-américaine, la Gouvernance des Systèmes d Information est à l origine appréhendée comme une conséquence de la Loi Sarbanes-Oxley (SOX). Pour beaucoup, SOX est la loi de référence définissant les principes de Corporate Gouvernance (Gouvernance d Entreprise). Cette vision déformée de la gouvernance est à l origine d importantes confusions. Nous allons donc revenir sur les notions fondamentales de la Gouvernance. a) Dimension structurelle de la gouvernance Gouvernance Principe de gouvernance (Régulation des pouvoirs) Gouvernance d Entreprise Gouvernance Publique Domaines de gouvernance (Mécanismes spécifiques) IT Gouvernance Classes de gouvernance (Propriétés particulières) Gouvernance Financière Gouvernance Sociétale * Robert Reix : Directeur honoraire de l'institut d'administration des Entreprises de Montpellier, Professeur émérite en Sciences de Gestion à l'université de Montpellier II - Auteur de Système d Information et Management des Organisations - Vuibert (2004).

4 White Paper Stratégie et Gouvernance IT 4 Le schéma précédent montre que la Gouvernance d Entreprise hérite directement des principes fondamentaux de la gouvernance. Elle est en outre constituée de trois classes de gouvernance distinctes (appelée aussi Gouvernances Appliquées) mais néanmoins dépendantes les unes des autres. On remarque aussi que chaque classe de gouvernance correspond aux éléments fondamentaux de l entreprise dans sa définition contemporaine, à savoir : l argent, les hommes et l information. b) Dimension historique (cf Livre IT Gouvernance Dunod) Rappel des faits : Le Royaume-Uni (commission Cadbury) publie : Report of the Committee on the Financial Aspects of Corporate Governance Le Canada publie : Guidelines of Improved Corporate Governance Les Etats-Unis publient : Principles of Corporate Governance La France publie le rapport Vienot sur la Gouvernance d Entreprise La France adopte la Nouvelle loi de Régulation Economique (NRE) Les Etats-Unis adoptent la loi Sarbanes-Oxley (SOX) La France adopte la Loi de Sécurité Financière (LSF) Cette présentation chronologique, mais non exhaustive, montre que les mécanismes de Gouvernance ne datent pas de 2002 et ne sont pas issus de la Loi Sarbanes-Oxley. En outre, elle fait apparaître que les principes de Corporate Gouvernance sont depuis 1992 essentiellement appréhendés par la dimension financière. La confusion entre la dimension de Gouvernance d Entreprise et de Gouvernance Financière commence ici. SOX est une loi permettant d organiser la Gouvernance Financière, elle est équivalente à la Loi de Sécurité Financière de 2003 pour la France (LSF). Si beaucoup de professionnels présentent Sarbanes-Oxley comme étant à l origine du concept d IT Gouvernance c est avant tout parce que cette loi impose certaines règles dans la gestion des SI. L influence des principes de gouvernance financière sur la gestion des systèmes d information est donc bel et bien réelle. La section 404 de Sarbanes-Oxley est souvent mise en avant pour expliquer et justifier la démarche de gouvernance des systèmes d information. Rappelons ici que toute entreprise américaine cotée aux USA, dont la capitalisation boursière est égale ou supérieure à 75 millions USD doit être conforme à la SOA 404 (Sarbanes-Oxley ACT Section 404). Section 404 : Management Assessment of Internal Controls Part a : Rules Required Part b : Internal Control Evaluation and Reporting Résumé : La section 404 précise que les auditeurs (financiers) doivent certifier les processus et les contrôles mis en œuvre lorsqu une entreprise fait une déclaration financière (rapport financier). Elle implique donc une évaluation des mécanismes de contrôle tant au niveau des processus que du cadre lui-même. En réalité, la section 404 est essentiellement destinée à soutenir la section 302 (Corporate Responsability for Financial Report) qui stipule que les déclarations financières doivent être complètes et précises (principes de complétude et d exactitude). Les ERP et plus précisément les systèmes financiers (modules FI), doivent en conséquence être contrôlés et documentés de façon fiable afin de garantir une intégrité et une traçabilité parfaite de l information (financière). Pour ce faire, un premier cadre de contrôle reconnu par la SEC est apparu : COSO (Committee of Sponsoring Organizations). Ne donnant que peu d informations sur les processus de contrôle à mettre en œuvre, il a été par la suite complété par l ISACA avec Cobit (Control Objectives for Information and related Technology) dont le champ d action offre depuis la version 3 une couverture à la fois plus large et plus complète, répondant à présent au concept d IT Business Foundation.

5 White Papers Stratégie et Gouvernance IT 5 Le schéma suivant illustre l approche de l IT Gouvernance, lorsque celle-ci est considérée en tant que conséquence directe du SOX404. Gouvernance d Entreprise (Versus Finance) SOX (US) LSF (France) Management COSO IT Gouvernance DSI Cette vision de la gouvernance des systèmes d information pose un certain nombre de problèmes que l on peut résumer ainsi : - Elle est spécifique puisqu elle ne répond qu à une dimension de l entreprise : la finance. - Elle est incomplète car elle ne prend paradoxalement pas en compte la relation vis-à-vis de l actionnaire et notamment le principe d information. Le concept d IT Gouvernance et plus globalement de Gouvernance d Entreprise est encore trop récent pour être considéré comme stable. Les évolutions auxquelles nous assistons montrent en effet d importants changements. Comme nous l avons précédemment évoqué, le Corporate Governance est à l origine défini à partir de la dimension financière et sur la base d une logique sécuritaire qui considère que plus le risque est faible, plus la performance est élevée. Cette théorie fréquemment mise en avant par les évangélistes de la Gouvernance est en réalité l un des fondements de la société américaine. L IT Gouvernance n échappe pas à cette pensée, qui est naturellement reprise par l IT Governance Institute (ITGI) dirigé par l ISACA. Depuis quelques années, le concept de Gouvernance d Entrepise tend à évoluer à travers une appréhension plus globale comme le montre le schéma page 3. Il se présente comme une combinaison de trois classes de gouvernance distinctes et interdépendantes. Gouvernance d Entreprise Social Governance (Gouvernance Sociétale) SOG Financial Governance (Gouvernance Financière) FIG ITG IT Governance (Gouvernance des TI)

6 White Paper Stratégie et Gouvernance IT 6 Si cette nouvelle approche poursuit le même but : la performance, elle n est pas fondée sur une approche sécuritaire. Elle considère en effet que la gestion du risque évite les pertes, les dérives, les dysfonctionnements, mais ne produit pas en tant que tel de performance. Pour obtenir de la performance, une organisation doit avoir une approche multidimentionelle de ses composantes fondamentales à travers un mode de management avancé : la Gouvernance. Ce raisonnement considère donc que l actionnaire est mieux protégé si on peut lui garantir que l ensemble du système d information contribue efficacement au fonctionnement de l entreprise. On comprend alors que la gouvernance des systèmes d information est une démarche appréhendant l entreprise de façon globale et non parcellaire qui doit prendre en compte des principes obligataires (Art 117 LSF ou SOA 404) et des principes volontaires (IT Accountability, Contrôle de gestion, etc ) La figure suivante illustre la dimension relationnelle entre les différents acteurs de l entreprise à partir du concept d IT Business Foundation. Elle montre que l IT Gouvernance n est pas simplement basée sur une relation bilatérale entre Management et DSI. C est une relation à trois niveaux et sur deux plans : 1 er plan Relation avec deux autres classes de gouvernance. 2 eme plan Relation entre DSI, Management et Shareholders. Actionnaire Management Gouvernance d Entreprise Gouvernance Financière Gouvernance Sociétale IT Gouvernance Système d information Finance Lois et référentiels Matières Hommes Processus Fonctions Métiers DSI L IT Gouvernance ne peut alors plus être appréhendée par le seul prisme du contrôle. Huit paramètres sont identifiés pour obtenir une couverture répondant à ces nouveaux enjeux. 1 L alignement sur la stratégie de l entreprise et les processus, 2 Le management des ressources et des infrastructures, 3 La gestion de la gouvernance et des ressources humaines, 4 La maîtrise des risques sur le plan technologique et structurel, 5 La gestion de la performance des services délivrés, 6 Le contrôle et audit des processus et des systèmes, 7 La valeur économique des ressources informatiques, 8 La maturité des infrastructures et des processus.

7 White Papers Stratégie et Gouvernance IT 7 On notera en outre que le principe d information à l égard des ayant droits (actionnaires) est réaffirmé au niveau de chaque classe de gouvernance : Financial Accountability, Societal Accountability, IT Accountability. Ces paramètres de gestion de la gouvernance des systèmes d information doivent être mis en œuvre à travers des règles, méthodes et outils spécifiques (Cobit, Itil, CMMi, EAF, PMO, etc ). La logique de processus L IT Business Foundation prend en compte une seconde dimension à savoir celle des processus (dimension que l on retrouve dans le P02 de Cobit : Define Business Process & Information Architecture). Cela s explique par le fait que, pour être efficace, le système d information doit soutenir de façon efficace l exécution des processus d activité de l entreprise. Pour saisir ce que cela implique, il faut avant tout comprendre le concept de Processus d Activité connu aussi sous la dénomination de BP (Business Process). Les produits ou les services sont le fruit d un ensemble de processus identifiables et décomposables de la dimension macroscopique à la dimension élémentaire. Dans une économie mondialisée et hyper concurrentielle ce n est plus le produit (ou le service) qui crée la différence, mais les processus mis en oeuvre. L exemple suivant montre une décomposition macroscopique de la livraison d un livre à un client par une librairie en ligne de type Amazon. PROCESSUS DE LIVRAISON Planification Exécution Evaluation Processus d attribution des ressources internes (hommes, produits, etc ) Planification Exécution Evaluation Processus d attribution des ressources externes Planification Exécution Evaluation Processus de gestion interne des stocks et de facturation Planification Exécution Evaluation Cet exemple est intéressant à plus d un titre. Il met en relief trois points clés : 1) D une part la cartographique des processus à travers une modélisation standardisée, 2) D autre part la description du processus dans un langage «qualité» par l intégration du cycle PDCA (Plan/Do/Check/Act) isu de l ISO 9000, 3) Enfin la structure hiérarchique des processus.

8 White Paper Stratégie et Gouvernance IT 8 Rappelons qu un processus est une combinaison d activités reliées entre elles en vue d atteindre un objectif. Il a une structure constante composée d un ensemble d activités utilisant un certain nombre de ressources. Activité Activité Activité Processus Une activité est donc définie comme une tâche devant être réalisée avec des ressources (personnes, technologies, matières premières, méthodes). Elle a un point d entrée et un point de sortie et peut avoir un inducteur. ENTREE TACHE A EFFECTUER SORTIE CONTROLE Activité Cette structure est très importante car elle permet de rester compatible avec les méthodes ACB (Activity Based Costing) et ABB (Activity-Based Budgeting), utilisées dans le cadre du contrôle de gestion, mais aussi avec les méthodes de capacités organisationnelles* permettant de conduire des phases d optimisation de manière conforme aux principes Kaizen**. Contrôle de gestion Capacités organisationnelles Suivi financier du coût des ressources affectées Activité Processus Capacité de progrès liée aux ressources disponibles * Capacités organisationnelles: Référentiel conçu par Gilles ST-AMANT et Laurent RENARD, Professeurs au département de management & technologie de l Université du Québec à Montréal, utilisé par le Gouvernement du Québec dans le cadre de la démarche de progrès des services gouvernementaux en ligne ( ** Kaizen : Concept japonais ; "KAIZEN" signifiant «amélioration continue». Il fut modélisé en 1986 par Masaaki Imai pour optimiser les processus industriels.

9 White Papers Stratégie et Gouvernance IT 9 La cartographie des processus d activités est essentielle pour une organisation. Elle sert en effet de base à la construction d autres cartes permettant d analyser : la couverture fonctionnelle des applicatifs intégrés au SI, le coût réel de chaque ressource IT vis-à-vis d un processus, les flux de données, etc Elle est ainsi une composante clé dans la démarche d urbanisation du SI. Cartographie des coûts Cartographie technologique du SI Cartographie applicative du SI Cartographie des flux Cartographie des processus d activité Cartographie de l organisation Elle permet de mieux gérer l alignement sur les objectifs stratégiques, puisque ces derniers peuvent être matérialisés au niveau des processus d activités. La visualisation de l évolution des processus en regard des objectifs sur des périodes de 5 ans offre aux services en charge des systèmes d information une approche proactive basée sur l anticipation. Système d information Cartographie des processus à instant T Alignement sur Objectifs Objectifs stratégiques Modification des processus à T +5 Système d information à T+5 Paradoxalement, il faut constater que peu d organisations disposent en réalité d une cartographie de leurs processus. On peut néanmoins citer le groupe Air France qui, depuis maintenant plusieurs années, a intégré au sein de la Direction de la Coordination des Systèmes d'information une cellule en charge de la cartographie de l ensemble des processus du groupe. L absence d une cartographie précise et complète des processus dans une entreprise se révèle généralement lors de l intégration des ERP. En effet, ces derniers imposent une gestion par processus ce qui leur a donné une forte réputation de facteur structurant pour l entreprise. Il faut cependant rester prudent sur ce point. Dans une communication récente* Redouane El Amrani et Frantz Rowe, chercheurs à l Université de Nantes, ont étudié les dérives d un projet ERP devant être intégré sous SAP R3-4.6 dans une grande entreprise industrielle. Ils montrent que le projet initialement budgété à

10 White Paper Stratégie et Gouvernance IT 10 hauteur de 8 Millions d Euros et prévu sur une durée de 8 mois (Septembre 2000 > Avril 2001) a finalement coûté 30 Millions d Euros et s est terminé en décembre 2004! La raison de cette dérive vient essentiellement du fait que l entreprise s est structurée (voire restructurée) à cause de l implémentation de son ERP et donc pendant la phase d intégration. En d autres termes, elle a défini (ou redéfini) l ensemble de ses processus activités de façon réactive c est-à-dire lors l intégration de SAP. Plusieurs conclusions s imposent : a) Si l ERP peut effectivement être ici vu comme structurant pour l entreprise, le prix à payer est ici injustifiable b) La technologie n est pas responsable d un défaut de management c) L entreprise qui n identifie ni ne gère le phénomène de dérive sur un projet IT s expose à un risque financier important. L IT Business Foundation définit donc le processus comme le principal élément de liaison entre l activité de l entreprise et le système d information. Conclusion L IT Business Foundation est un concept global qui permet de structurer la pratique de gouvernance de systèmes d information. Il définit les paramètres fondamentaux de l IT Gouvernance permettant de rendre plus efficient chaque processus mis en œuvre dans une organisation. IT Business Foundation IT Gouvernance Système d information * Gouverner autrement : les piliers de la stratégie managériale dans un projet ERP d une grande entreprise Redouane El AMRANI ATER-Docteur en Sciences de Gestion & Frantz ROWE Professeur Université de Nantes - AIM Septembre 2005