PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE Gouvernance du Système d Information Comment bien démarrer? Page 1 Soirée «Gouverner son informatique et sa sécurité : le défi des entreprises» CLUSIS / ISACA / GRI Lausanne le 15 mai 2008
Préambule et objectifs du document Dans le cadre du Partenariat de l Observatoire technologique, un groupe de travail à étécréédébut 2007 dans le but de publier un guide pratique intitulé «Gouvernance du SI : Comment bien démarrer et élaborer une stratégie de mise en œuvre?» L objectif du présent document est de présenter le périmètre d étude et les objectifs du groupe de travail, d illustrer les travaux déjà menés et les résultats obtenus Page 2
Le point de départ d de nos travaux D un coté, des dirigeants d entreprise se posant souvent les mêmes questions au sujet de leur SI : Page 3 Direction Générale / Finance Comment le SI contribue t il au développement de l entreprise et à sa performance? Comment se compare le budget lié au SI par rapport àla concurrence? Pourquoi le budget lié au SI est il en constante augmentation? La direction informatique est elle bien gérée? Direction Informatique Ne fait on réellement que des choses utiles pour l entreprise? Comment se compare nos coûts par rapport à l extérieur? Satisfaisons nous toutes les attentes de notre environnement? Comment mettre en évidence notre productivité? Comment satisfaire les demandes de projets tout en restant dans une enveloppe budgétaire en réduction?? Direction Opérationnelles clientes du SI Nos investissements en SI sont ils rentables? Comment le SI peut il nous aider à être plus réactifs par rapport aux attentes de nos clients? Les coûts liés au SI qui me sont affectés reflètent ils la réalité? Est ce que les mêmes prestations ne seraient pas moins chères àl extérieur? Audit interne Les biens et les opérations de l entreprise sont ils correctement protégés? Les principaux risques pour le business sont ils maîtrisés? Les processus de contrôle et les pistes d audit sont ils en place et efficaces? Source : Jean Louis Leignel
Le point de départ d de nos travaux De l autre coté, un concept de plus en plus présent : la gouvernance du SI, mais pas toujours facile à appréhender Référentiels Comment impliquer les dirigeants? Comment améliorer la situation? Bonnes pratiques VAL IT ITIL Structures Cartographie et Urbanisation COBIT Service Desk Project office Plan stratégique et alignement du SI Gestion de projet Comité d architecture technique Comment suivre les progrès? Par quoi démarrer? CMMI AMOA Catalogue de services et SLA Page 4
Notre ambition dans ce contexte Bonnes pratiques et référentiels Cadre méthodologique reconnu Expertises thématiques Expériences professionnelles GUIDE PRATIQUE ET CONCRET POUR AIDER LES DIRIGEANTS A CONDUIRE UNE DEMARCHE D AMELIORATION DE LA GOUVERNANCE DE LEUR SI Page 5
Les questions auxquelles ce guide pratique tente de répondre Comment mesurer le niveau de maturité de son entreprise en terme de gouvernance du SI? Comment identifier une cible réaliste à atteindre pour s améliorer? Quels leviers d amélioration actionner en priorité pour atteindre la cible? Comment communiquer et fédérer autour d un projet commun? Page 6
Le cadre méthodologique que nous utilisons Merci à l AFAI (Association( Française aise d Audit d et de Conseil Informatiques), chapitre français ais de l ISACA, l et à son Vice Pr Président (Jean Louis Louis Leignel) pour nous avoir fourni ce cadre méthodologique nén des travaux menés s en collaboration avec le CIGREF (Club Informatique des Grandes Entreprises Françaises) aises) au sein de l IGSI l (Institut de la Gouvernance du SI) Page 7
Avant d aller d plus loin : Le SI de quoi parle t on? «Un système d'information est constitué de l'ensemble des informations formelles et informelles échangées dans l entreprise, des traitements manuels ou automatisés de ces informations et des processeurs humains et machines qui assurent leur traitement» Jean Louis le Moigne «En informatique le terme système d'information possède la signification suivante : un ensemble organisé de ressources (personnel, données, procédures, matériel, logiciel, ) permettant d'acquérir, de stocker, de structurer et de communiquer des informations sous forme de textes, images, sons, ou de données codées dans des organisations.» WIKIPEDIA Page 8
La gouvernance du SI : la définition d de l IGSI l La Gouvernance du SI est un processus de management, fondé sur des bonnes pratiques, qui permet àl entreprise d optimiser ses investissements informatiques dans le but de : Contribuer àses objectifs de création de valeur Accroître la performance des processus informatiques et leur orientation clients Maîtriser les aspects financiers du SI Développer les solutions et les compétences en SI dont l entreprise aura besoin dans le futur Garantir que les risques liés au SI sont sous contrôle Page 9.tout en développant la transparence.
Gouvernance du SI : comment démarrer d? Par un diagnostic basé sur des critères couvrant le champ complet de la gouvernance du SI L outil pour identifier ces critères : L IT SCORECARD Transposition au niveau du SI du concept de BALANCED SCORECARD 5 «vues»et des critères associés pour juger du niveau de maturité en gouvernance du SI Alignement / Création de valeur Performance des processus «Informatiques» Maîtrise économique du SI Maîtrise des risques liés au SI Page 10 Attente des clients du SI Gestion des compétences et préparation du futur
L IT Scorecard : pour piloter la gouvernance du SI L IT Scorecard joue un rôle clé dans la mise en place d une démarche de Gouvernance : en proposant des critères «systémiques»permettant d évaluer le niveau de maturité initiale, puis en permettant de piloter la progression de la démarche, grâce à des indicateurs de performance associés Création de VALEUR Attentes des Clients du SI Performances des processus SI Maîtrise économique du SI Compétences SI & préparation du futur Page 11 Maîtrise des RISQUES Source: Source Jean-Louis : Jean Louis Leigne Leignel
L IT SCORECARD : exemple de critères res par axe Initiatives stratégiques de la DSI Intégration des projets IT dans les projets "Business" Business Cases Processus de sélection des projets impliquant le Top Management Création de VALEUR Valeur Business des Projets - Croissance du CA - Réduction des coûts -Accroissement de la satisfaction clients -... Positionnement stratégique des projets Page 12 Source AFAI : IT scorecard & stratégie d entreprise
L IT SCORECARD : exemple de critères res par axe Contrôle des dépenses informatiques (périmètre, budget, ) Évaluation financière des Projets (ROI,...) Productivité informatique (coûts Produits / Services, ABC / ABM, ) Satisfaction des utilisateurs Partenariat IT - Business Qualité niveau de service Développement d'applications : conformité aux attentes Attentes des Clients du SI Performances des processus SI Maîtrise économique du SI Compétences SI & préparation du futur Efficacité du développement d'applications Opérations hardware Réactivité Gestion des risques Page 13 Démarches d'amélioration continue Efficacité de la gestion du personnel Nouvelles technologies de l'information Gestion des compétences Source AFAI : IT scorecard & stratégie d entreprise
L IT SCORECARD : exemple de critères res par axe Niveau stratégique Politique de sécurité Transparence des risques vis-à-vis de la DG et du Conseil d'administration Confidentialité CNIL, Maîtrise des RISQUES Contraintes fiscales CFCI, Niveau opérationnel Intégration d'une analyse de risques dans l'ensemble des processus IT (projets,exploitation, ) Page 14 Source AFAI : IT scorecard & stratégie d entreprisel
Comment réaliser r le diagnostic? D abord, en répondant à un questionnaire simple et cohérent, structuré selon les axes de l IT scorecard (auxquels on ajoute la notion de transparence) : AE ALIGNEMENT / Création de VALEUR Page 15 0 : rien n'existe 1: cela existe 8 Les objectifs stratégiques de l'entreprise sont-ils connus de la DSI? 0 9 Avez-vous un Plan informatique à moyen terme (3 ans)? 1 Si oui, est-il articulé avec le Plan à moyen terme (2010) de l'entreprise? 0 10 Avez-vous un Schéma-cible des SI à moyen terme (3 ans)? 0 Si oui, a-t-il été élaboré avec les Métiers et validé par la DG? 0 11 Avez-vous un Comité d'orientation et de Décision Informatique composé de 1 membres du niveau DG? QUESTION Si oui, à quelle fréquence se réunit-il? note de fréquence 0.2 Si oui, décide-t-il du lancement de tous les projets? 0 12 L' Entreprise dispose-t-elle d'une cartographie des Processus Métiers partagée 1 par les responsables de l' Entreprise? Si oui, sont-ils utilisés pour les prises de décision de management? 0 13 Les décisions de lancement de Projets sont-elles basées sur des "Business 0 cases"? Si oui, font-ils référence aux Processus Métiers et à leurs objectifs de progrès? 0 15 La DSI a-t-elle mis en place des Tableaux de Bord pour décliner ses objectifs 0 et suivre sa performance? Si oui, sont-ils de type Balanced Scorecard? 0 26 Si vous avez mis en place un REFERENTIEL tel que COBIT, est-il 0 réellement utilisé pour l'alignement de l'informatique avec les objectifs stratégiques de l'entreprise?
Comment réaliser r le diagnostic? (suite) Puis en utilisant un algorithme permettant, en fonction des réponses fournies, d attribuer une note de «maturité»à l entreprise : 0 1 2 3 4 5 Inexistant Prise de conscience Début de Formalisation Pilotage Optimisation mise en oeuvre Création de Valeur pour le Busine ss «alignement» Gestion de s compétences Informatiques et Préparation du Futur Performance des proce ssus informatiques Niveau de maturité de l Entreprise Performance Économique de l informatique Orientation «clients» De l informatique Page 16 Source: Jean-Louis Leignel Transparence Gestion de s risque s informatiques
Que faire une fois le diagnostic effectué? Identifier des priorités parmi les axes à améliorer puis mettre en œuvre progressivement les bonnes pratiques les plus adaptées L outil pour lier bonnes pratiques et priorités identifiées : les 11 vecteurs d amélioration de la gouvernance du SI GESTION ET DE LA PERFORMANCE 1 2 3 4 5 6 7 8 PLANIFICATION STRATEGIQUE DU SI URBANISATION DU SI GESTION DU PORTEFEUILLE DE PROJETS ALIGNEMENT DE L ORGANISATION INFORMATIQUE GESTION BUDGETAIRE ET CONTRÔLE DES COÛTS MAÎTRISE DE LA REALISATION DES PROJETS FOURNITURE DE SERVICES OPTIMISES GESTION PROSPECTIVE DES CONNAISSANCES GESTION ET DE LA COMMUNICATION Page 17 9 MAÎTRISE DES RISQUES 10 11 Source : IGSI
Les vecteurs : pour choisir les bonnes pratiques A partir de référentiels reconnus notamment CobiT et ValIT, Mais aussi grâce à l apport des experts membres du groupe Des bonnes pratiques ont été identifiées pour chaque vecteur qu il faut mettre en œuvre progressivement de façon adaptée et dans le cadre d une démarche qualité Fiche VECTEUR 1 : PLANIFICATION STRATEGIQUE DU SI DEFINITION xxxx CONTRIBUTION A LA GSI xxxx BONNES PRATIQUES RECOMMANDEES xxxx Page 18 AE S DE L IT SCORECARD CONCERNES xxxx
Les vecteurs : pour choisir les bonnes pratiques Les axes de l IT scorecard Création de valeur pour l entreprise Clients du SI Processus du SI Maîtrise économique du SI Compétences SI Gestion des ri sque s du SI Transparence et gestion des relations Planification du SI Urbanisme Gestion du portefeuille de projets Les 11 vecteurs Alignement de l organisation informatique Gestion budgétaire Maîtrise des projets Fourniture de services optimisé s Gestion de s compétences informatiques Maîtrise des risques liés au SI Gestion et mesure de la performance du SI Communication relative au SI Source: IGSl Page 19 Source : IGSI
Exemple de fiche par vecteur Vecteur 2 : Urbanisation du SI Voir document Word Vecteur 9 : Maîtrise des risques liés au SI Voir document Word Page 20
Synthèse de notre approche Pour améliorer le niveau de maturité en Gouvernance du SI, évalué en fonction des axes de l IT SCORECARD, il existe des bonnes pratiques regroupées en 11 vecteurs d amélioration, identifiées à partir de référentiels reconnus qu il faut mettre en œuvre progressivement dans le cadre d une démarche qualité Page 21
Ce qu il nous reste à faire Finaliser le questionnaire permettant le diagnostic initial Recueillir et formaliser les bonnes pratiques pour les vecteurs restants (7) Confronter et enrichir l ensemble auprès de professionnels dirigeants Valoriser l ensemble au travers d une publication AFAI / Collection Pratiques Professionnelles Page 22
Conclusion La Gouvernance du SI est bien plus qu une recette processus organisation La Gouvernance du SI répond avant tout àdes objectifs de management, qui doivent prendre en compte la culture de l entreprise C est un long voyage... Page 23
Page 24 Merci
Quelques référencesr rences Gouvernance des SI : IT Governance : Pilotage de l informatique pour dirigeants d entreprise. Institut de la Gouvernance des Systèmes d Information, Paris, 2004. Collection AFAI Conduite informatique des petites et moyennes entreprises : démarche et guide pratique. Paris, 2000. Collection AFAI CobiT V3 (la traduction française de la V4 sera disponible courant 2006). AFAI Selon les 11 vecteurs de la Gouvernance des SI : Planification du SI Accroître l agilité du système d information (CIGREF) Gestion du portefeuille de projets Analyse post projets (CIGREF) Alignement stratégique des projets de systèmes d information Paris, 2005. Collection AFAI. Pilotage de la valeur d un portefeuille de projets (à paraître): résultat des travaux du groupe DFCG/AFAI Gestion de portefeuille de projets (CIGREF) (à paraître) Alignement de l organisation informatique Alignement stratégique du SI (CIGREF) Page 25
Quelques référencesr rences Urbanisme Cadre de référence de Zachman (www.zifa.com) Pratiques de l urbanisation (Club Urba SI) Indice d urbanisation (Club Urba SI) Interface et urbanisation des systèmes d informations Paris, 2001. Collection AFAI Transparence des budgets et coûts Maîtriser les coûts informatiques. Modèle de référence Paris, 2003, Collection AFAI Plan de comptes informatiques et Modèle de benchmarking des coûts informatiques (IGSI) Vers un standard de pilotage des coûts informatiques (IGSI) Maîtrise de l optimisation de l efficacité des projets Accompagnement du changement (CIGREF) Rentabilité des projets informatiques Paris, 2004. Collection AFAI Maîtrise d ouvrage des projets de système d information Paris, 2001. Collection AFAI CMMi (www.sei.cmu.edu/cmmi ) PMBoK (www.pmbok.de) Prince (www.prince2.com) SPICE (ISO 15504) Page 26
Quelques référencesr rences Fourniture de services et optimisation des processus SI Support client (à paraître). Paris, 2006. Collection AFAI ITIL (www.itil.org) Six Sigma, ISO 9000:2000, qualité totale Gestion et maîtrise des risques du SI COSO Enterprise Risk Management (www.coso.org) Cadre de référence de la gestion des risques (FERMA www.theirm.org) ISO/IEC Guide 73:2002 ISO/CEI 27002 Code de bonne pratique pour la gestion de la sécurité de l'information ISO/CEI 27001 Exigences pour les systèmes de gestion de sécurité de l'information Gestion prospective des compétences SI Référentiel emploi métier de la DSI (CIGREF) Page 27
Quelques référencesr rences Gestion de la communication relative au SI Dynamique de la relation entre direction générale et direction des systèmes d'information (CIGREF McKinsey) Marketing de l'informatique auprès des décideurs (CIGREF) Gestion et mesure de la performance du SI Piloter la performance : IT Scorecard (Symposium IT Governance 2005) IT Scorecard et stratégie d entreprise. Paris, 2003. Collection AFAI Métrique de la rentabilité (CIGREF) Page 28