Comprendre la gouvernance de l informatique Xavier Flez Novembre 2006 Propriété Yphise yphise@yphise.com 1
Plan Introduction Ce qu est la gouvernance informatique Sa traduction en terme de management opérationnel d une DSI En particulier pour la Production 2
Introduction (1/2) On parle beaucoup de gouvernance depuis quelques années D abord en terme de «gouvernance d entreprise» dans le sillage de différents scandales financiers Depuis 2002, se développe l idée d une «gouvernance de l informatique» Le terme gouvernance est maintenant complètement galvaudé (ex on parle de «SOA governance» pour désigner des outils de gestion de composants logiciel!!!) Mais il y a une réalité de fond qu il est important de comprendre et connaître Yphise a particulièrement travaillé depuis 2004 la «traduction sur le terrain» des exigences de la gouvernance 3
Introduction (2/2) Toutes les DSI font aujourd hui des efforts sur leurs méthodes de travail, outils et compétences pour mieux aligner leur performance sur les attentes de l entreprise Nous allons voir que la notion de gouvernance de l informatique permet d approfondir le lien entre nos efforts et les attentes de l entreprise ; ce qui est nécessaire à la réussite de ces efforts Nous allons en particulier voir la continuité entre «gouvernance principes ISO 9001:2000 référentiels de type ITIL» Cette continuité est particulièrement puissante. Nous avons innové en la démontrant dès 2004 ; notre expérience depuis renforce cette conviction 4
Ce qu est la gouvernance informatique 5
Définition (1/2) «La gouvernance de l'informatique est de la mission du conseil d'administration (board of directors) et des décideurs (executive management) Elle fait partie intégrante de la gouvernance d'entreprise Elle est constituée du leadership, des organes et des process qui garantissent que l'informatique supporte et contribue aux objectifs et à la stratégie de l'entreprise» (traduction par nous) (Board Briefing on IT Governance) 6
Définition (2/2) «La gouvernance se décline en cinq sujets Deux sujets expriment la finalité de la gouvernance Garantir de livrer la valeur (value delivery) Gérer le risque (risk management) Les trois autres, des moyens pour y parvenir L alignement stratégique (strategic alignment) La gestion des ressources (resource management) La mesure de la performance (performance measurement)» 7
Une idée de «cycle continu» Un schéma en boucle est proposé visant à exprimer l'idée d'un cycle continu. Mais l'explication de ces liens n'est ni claire, ni convaincante L'alignement stratégique répond à la demande des mandataires ou propriétaires de l'entreprise (stakeholders) L'alignement stratégique est nécessaire pour faire la valeur L'ensemble repose sur la gestion des ressources Les autres liens nous paraissent nettement moins porteurs de sens et simplifient exagérément la réalité (mais peu importe) IT Strategic Alignment IT Value Delivery Stakeholder Value Drivers Performance Measurement IT Resource Management Risk Management Board Briefing on IT Governance (2 ème édition - 2003) 8
Et en pratique derrière ces généralités...? L'IT Governance Institute propose une description de haut niveau des cinq sujets (Board Briefing on IT Governance 2003 60 pages). Les difficultés sérieuses apparaissent pour le comité de direction DSI qui veut agir L'exposé sur chaque sujet n'est pas de même niveau : considérations générales sur certains (ex risk management), description de moyens sur d autres (ex performance management), recouvrements C est un ouvrage collectif. Ses principaux promoteurs sont de grands cabinets d'audit (Deloitte, Ernst & Young, KPMG, Price Waterhouse Coopers). L'objectif est d'exposer des grandes lignes, ce qu'il fait bien ; il n'est pas de fournir une méthode opérationnelle permettant à une DSI de passer à l'action La traduction française (AFAI 2004) est difficile à utiliser parce que trop approximative. La faute n'en incombe pas aux traducteurs, mais à un manque de consistance de la rédaction initiale en anglais 9
Ce qu il faut retenir En deux mots, la gouvernance = Valeur et Risque pour l entreprise de ses systèmes d information Il faut savoir concrètement manager les différentes activités opérationnelles d une DSI selon ces préoccupations Mais on ne nous dit pas comment passer à la pratique... 10
Sa traduction en terme de management opérationnel d une DSI 11
Reprenons ce que dit la gouvernance sur chacun des 5 sujets 1. «Drive enterprise alignment» 2. «Deliver measurable value» 3. «Manage enterprise risk» 4. «Manage resources» 5. «Measure performance» sur chacun de ces sujets, une lecture approfondie permet de «traduire» les exigences de la gouvernance sous une forme «la DSI fait telle chose» (les pages qui suivent sont une formulation Yphise) 12
1/ «Drive enterprise alignment» 1. La DSI aligne les moyens et investissements en informatique avec les objectifs de l'entreprise 2. La DSI équilibre les investissements entre systèmes qui permettent de maintenir l'entreprise, la développer et la positionner sur de nouvelles opportunités 3. La DSI sait concentrer les ressources sur la réalisation des systèmes qui permettent l'alignement 4. La DSI évalue les bénéfices retirés des projets informatiques une fois déployés 5. La DSI surveille les conséquences du système d'information (applications, infrastructure) sur les métiers de l'entreprise 13
2/ «Deliver measurable value» 1. La DSI mesure et gère le respect des budgets, des délais, et des niveaux de service 2. La DSI mesure et gère les coûts et les retours sur investissement 3. Au delà la DSI cherche à évaluer la création de valeur pour l'entreprise 14
3/ «Manage enterprise risk» 1. La DSI identifie et donne la visibilité sur les vulnérabilités pour l'entreprise liées à la sécurité et aux sinistres informatiques 2. La DSI réalise un contrôle interne et une gestion préventive du risque 3. La DSI fait en sorte que la gestion du risque soit intégrée au fonctionnement opérationnel 15
4/ «Manage resources» 1. La DSI a établi ses processus, les responsabilités sont définies 2. La DSI a des méthodes et compétences appropriées et gérées ; une gestion des ressources humaines qui garantit la disponibilité des compétences nécessaires 3. La DSI a un contrôle des coûts de fonctionnement 4. La DSI évalue la valeur des prestations externalisées 5. La DSI sait définir et s'engager sur des engagements de service exprimés en termes métier (business oriented) 6. La DSI a une gestion efficace du cycle de vie des actifs (= matériels, licences logiciels, contrats de service) 7. La DSI a des mesures de performances qui permettent d'arbitrer entre niveau de service et coût, réalisation interne ou prestation externe 16
5/ «Measure performance» 1. La DSI a un Tableau de Bord Prospectif (Balanced ScoreCard) 17
Comment y voir clair concrètement dans tout cela... Tous ces «la DSI fait telle chose» parlent de management opérationnel d une DSI ; ils disent 2 choses 1. Il faut que la DSI sache gérer et améliorer ses processus et compétences 2. + il faut que la DSI fasse un effort particulier sur quelques «processus d excellence» pour la gouvernance Les attentes de la gouvernance 2. Centrer l'effort Les processus d'excellence pour la gouvernance 1. Fondation La traduction concrète Des processus et des compétences gérées 18
1/ Gérer et améliorer ses processus et compétences (1/2) = un management conforme aux principes ISO 9001:2000 ISO 9001:2000 définit les principes du management opérationnel d une activité de sorte à garantir la valeur pour son client (pour une DSI, le client est classiquement les métiers de l entreprise) c est-à-dire de sorte à assurer la qualité («la qualité = ce qui est important pour son client») ISO 9001:2000 c'est : 1/ des processus établis surveillés et mesurés, des compétences gérées, savoir s'améliorer... 2/... selon ce qui fait de la valeur pour son client 19
1/ Gérer et améliorer ses processus et compétences (2/2) Ce résultat est très important pour 2 raisons 1. On revient en terrain connu : toutes les DSI font aujourd hui des efforts en terme de management de leurs processus et compétences 2. ISO 9001:2000 est une référence synthétique (14 pages), internationale, non spécifique à une DSI et dont le contenu est excellent efficace et pragmatique Elle permet une certification On sait aujourd hui être conforme à ISO 9001/2000 en étant simple et souple dans la mise en oeuvre 20
2/ + un effort particulier sur des «processus d excellence» Valeur = Accompagner les métiers dans leur réflexion prospective + Service Level Management + Architecture /urbanisme des SI + Utiliser /maitriser l externalisation Risque = Plan de secours + Sécurité (dont contrôle) La valeur... Le risque...... est affaire d'alignement des efforts sur ce qui est important pour l'entreprise...... nécessite en particulier une capacité à gérer des engagements de service orientés métier et à externaliser à bon escient... considère les vulnérabilités liées à la sécurité et aux sinistres...... avec en particulier une exigence de contrôle interne Les processus d'excellence de la gouvernance 21
Ce sur quoi l effort doit porter est donc défini En d autres termes on a défini en quoi consiste un management opérationnel d une DSI 1/ Drive enterprise alignment 2/ Deliver measurable value 3/ Manage enterprise risk 4/ Manage resources 5/ Measure performance aligné sur les exigences de gouvernance informatique Les exigences de la gouvernance 2. Centrer l'effort Accompagner les métiers Architecturer le SI Piloter strat externalisation Gérer contrats de service Sécuriser La fondation Gérer plan de secours Les processus d'excellence pour la gouvernance La traduction concrète 1. Fondation SMQ ISO 9001:2000 Un SMQ conforme aux principes d'iso 9001:2000 Aligner la DSI selon les exigences de gouvernance 22
Cobit Nous insistons : le respect des exigences de gouvernance est d abord affaire d un bon management opérationnel Une erreur fréquente, entretenue par des acteurs qui y ont intérêt, est de promouvoir l idée que «gouvernance = audit sur le référentiel Cobit mise en oeuvre des «pratiques» Cobit» Il y a bien une dimension contrôle dans la gouvernance. Cobit est conçu pour cela. Mais attention 1. Le contrôle n est pas la totalité loin de là 2. Cobit est référentiel d audit - énorme et compliqué - ; il n est pas structuré ou conçu pour du management opérationnel, contrairement à ISO 9001:2000 Vouloir «appliquer Cobit» ne garantit pas une progression de l efficacité, et peut amener un «monstre de procédures» 23
En particulier pour la Production 24
Deux préoccupations de «Production» Deux des «processus d excellence» de la gouvernance touchent plus particulièrement des préoccupations du monde de la production Service Level Management Plan de secours On retrouve ici la mise en oeuvre d ITIL avec les approfondissements Yphise pour lever les limites ITIL 25
Service Level Management Le processus SLM définit les SLA ; les moyens d exploitation selon ces SLA sont mis en place à l occasion des projets ; le support intervient conformément aux SLA SLM 1 SUPPORT Service Desk --> Incident Mngt --> Problem Mngt Projet Industrialisation Maintenance corrective CHANGE - Configuration Mngt - Change Mngt - Release Mngt Souligné Normal Sujet traité par ITIL - terminologie ITIL Hors ITIL Exploitation 1 Au sens ITIL de la gestion des SLA et de la relation métier 26
Plan de secours Le processus ITSCM planifie les moyens à l occasion des projets ; il pilote la reprise lorsqu un événement (sinistre ou incident) nécessite de redémarrer un processus métier SUPPORT Service Desk --> Incident Mngt --> Problem Mngt ITSCM Projet Industrialisation CHANGE - Configuration Mngt - Change Mngt - Release Mngt Souligné Normal Sujet traité par ITIL - terminologie ITIL Hors ITIL Exploitation 27
Merci 28