Pages

jeudi 12 avril 2012

Présentation de Christophe Legrenzi sur le thème : Gouvernance et bonnes pratiques des systèmes d'information

Christophe Legrenzi a présenté lors de la dernière réunion de l'ISG France, le 14 mars 2012, l’état de ses réflexions en matière de gouvernance des systèmes d'information et le rôle des bonnes pratiques (pour télécharger la présentation de Christophe Legrenzi). Pour cela il commence par retrace l'histoire du concept de gouvernance. Il vient de loin. Sur cette base il s'attache à évaluer les conditions de mise en place du concept de gouvernance à l'informatique et aux systèmes d'information.
Historique de la gouvernance des systèmes d'information

L’idée de gouvernance est très ancienne. Elle remonte aux philosophes pré-socratiques et en particulier à Hérodote, inventeur de la notion d’histoire. Le terme de gouvernance vient de « gubernare » c’est-à-dire l’art du gouvernement. Cette notion a été reprise par Platon dans la République. Le point de départ est simple : que faut-il pour que la cité soit bien gouvernée ? Il faut mettre en place des dispositifs adaptés :
-      Casser la transmission du pouvoir par le sang.
-      La transmission du pouvoir est assurée par le peuple.
-      Le pouvoir est accordé pour une période limitée.
-      Les assemblées, le sénat, le conseil constitutionnel sont les gardiens des lois.
-      Le peuple a le droit de se révolter.
C’est la base des états démocratiques.
La Révolution Française est en partie due aux philosophes comme Diderot, Rousseau, Voltaire,… Or ils se sont fortement inspirés de la République de Platon.
Il y a une notion sous-jacente : le pouvoir rend fou. Il faut pour cela mettre en place des contre-pouvoirs.
L’origine de la gouvernance d’entreprise

Le thème de la gouvernance d’entreprise est lié à la crise de 1929. Adolf Berle et Gardiner Means se sont interrogés sur la gouvernance dans : « The Modern Corporation and Private Property » (1932). De même il faut citer les travaux de Ronald Coase sur la nature de la firme (1931). C’est la base de la gouvernance d’entreprise. Ces travaux sont à l’origine de la création de la SEC,  Securities and Exchange Commission, en 1934.
Ensuite la gouvernance d’entreprise a été oubliée pendant plus de 60 ans. Il est réapparu avec les faillites d’Ebron, WorldCom, Parmalat,... Certains patrons type Kenneth Lay sont des fous furieux et il faut se protéger contre leurs comportements dangereux. Avec la loi SOX (Sarbannes Oxley) l’Etat Américain a voulu frapper fort. Cela s’est traduit par Bâle II, Slovency, la LSF,… Mais déjà au préalable les rapports Vienot et Bouton insistaient sur la gouvernance de l’entreprise.
Un des points clés de SOX est la traçabilité des informations : de la source à sa restitution des données. Cependant la gouvernance informatique est différente de la gouvernance de l’entreprise. 
Gouvernance versus best-practices

La gouvernance est un facteur exogène. Il faut s’assurer qu’on fait bien ce qu’on doit faire. C’est la notion d’efficience. Ce n’est pas de la gestion.
Les bonnes pratiques sont une notion endogène. Itil, CMMI, ISO 27002 sont des recueils de bonnes pratiques établies par des experts.
La gouvernance est une logique d’efficacité. 
La définition de la gouvernance informatique de l’ITGI/ISACA

La définition de la gouvernance informatique repose sur cinq piliers qui sont chacun basés sur des modèles sous-jacents :
-      La stratégie. C’est une vision un peu basique.
-      La création de valeur. C’est plus intéressant. Il faut arriver à une réduction des coûts d’unité d’œuvre de 3 à 5 % par an. Ceci concerne les infrastructures, les applications informatiques mais aussi la réduction des délais de mise en place.
-      La gestion des risques.
-      La mesure de la performance et notamment le BSC.
-      La gestion de l’informatique. 

La norme ISO 38500
Ce document propose 6 principes. Parmi ceux-ci 3 critères viennent de l’ITGI. La notion de risque est diluée. La vraie innovation est la notion de responsabilité. La gouvernance c’est la responsabilité des Directions Générales et des Conseils d’Administration.
La gouvernance informatique repose sur 10 piliers :
      • l’alignement stratégique (« IT Strategic Alignment »)
      • la création de Valeur (« IT Value Delivery »)
      • la gestion du risque informatique (« IT Risk Management »)
      • la mesure de performance (« IT Performance Measurement »)
      • l’acquisition des solutions (« IT Acquisition »)
      • la gestion des ressources (« IT Resource Management » )
      • les responsabilités (« IT Responsibility »)
      • la conformité (« IT Compliance »)
      • la déontologie (« IT Human Behaviour »)
      • l’environnement de contrôle (« IT Control »)
Il faut ensuite passer de la gouvernance informatique à la gouvernance du système d’information.

La gouvernance informatique et la gouvernance des systèmes d’information

Cette notion s’est développée grâce à de récents travaux de recherche. Pour la première fois on a réussi à établir une corrélation entre la gouvernance des systèmes d’information et la performance des entreprises :
-      Les entreprises ayant un fort niveau de gouvernance de leurs SI génère 2 ou 3 fois plus de bénéfices. Il ne faut pas informatiser une fonction ou un processus si on n’a pas l’intention de faire évoluer l’organisation.
-      Le positionnement de la DSI a aussi une influence directe. Plus le comité de direction est hétérogène meilleure est la performance de l’entreprise. La présence du directeur informatique au comité de direction est un facteur d’hétérogénéité et a une influence positive sur les performances de l’entreprise.

mardi 3 avril 2012

La gestion des prestataires informatique

Le monde des prestataires de services informatique s’est complexifié et l’appel à ces prestataires s’est généralisé. De plus, la collaboration entre une entreprise cliente et ses prestataires de service est essentielle pour la bonne gouvernance du Système d’Information. Ce message a pour objectif de proposer une approche éclairante, du moins je l’espère, sur ce sujet pour les entreprises clientes faisant appel à des prestataires informatiques.
De quoi parle-t’on ?
La définition du secteur économique des prestataires informatiques est rendue délicate par la multiplicité des nomenclatures officielles : CEREQ, OCDE, SYNTEC ce qui donne des chiffres très fantaisistes sur le nombre d’informaticiens en France.
Nous nous contentons ici de distinguer la prestation de service, en complément plus qu’en opposition avec la prestation de produit.
Faire appel à un prestataire externe consiste à externaliser, peu ou prou, une partie de la prestation informatique. Au sens le plus large, elle se définit comme un couple (produit, service) dont les parts relatives se situent sur un continuum qui va du produit stricto sensu (machine, logiciel) au service pur (conseil).
En partant de cette base, voici le modèle (au sens management du terme) qui est proposé.

Un modèle à trois niveaux
Le modèle de compréhension de la gestion des prestataires que je propose se décline en trois niveaux :
  La prestation, en tant que couple (produit, service) à réaliser.
-   Le prestataire en tant qu’entreprise réalisatrice.
-   Le personnel qui représente la ou les personnes physiques réalisant la prestation.
A titre d’illustration, dans le cadre d’un développement d’application « offshore », la prestation est l’activité de développement à réaliser, le prestataire est la société de service réalisatrice (indienne par exemple) et le personnel est constitué de l’équipe des développeurs et de l’encadrement chez le prestataire.
La prestation
La prestation spécifique est souvent associée à une valeur ajoutée forte, dans un environnement instable et avec un apport de compétences rares. A l’opposé, la prestation standard est vue avec une valeur ajoutée faible, dans un environnement plus stable et avec un apport de compétences plus facile à trouver. Un exemple type de prestation standard est la mise en œuvre d’une TMA, Tierce Maintenance Applicative. Un exemple de prestation spécifique est l’étude de faisabilité pour la mise en place d’un progiciel.
Le prestataire
Le prestataire réalise la prestation par l’entremise de son personnel et à destination de l’entreprise cliente. La durée, en tant qu’ancienneté de la relation avec le prestataire, apparaît souvent comme un gage de réussite.
Est-ce que le Système d'Information  est un domaine d’activité comme un autre, pour lequel les demandes de sourcing relèvent d’une politique générale, ou a-t-il un positionnement spécifique qui nécessite une politique d’achat ad hoc ?
Le personnel
Sur le plan de la compétence technique, son appréciation se mesure à l’aune de ce dont on dispose - ou non - en interne. Cela peut être subi (« je ne dispose pas, hélas, de cette compétence ») ou maîtrisé (« je ne veux pas de cette compétence en interne, je ne pourrai pas la réutiliser »). Sur le plan de la compétence métier, où l’entreprise cliente est sur son terrain, l’appréciation est plus objective. La durée de la relation est une caractéristique forte de la relation sur ce niveau : le personnel peut être très intégré à l’entreprise voire plus ancien que beaucoup de salariés.

Les 4 temps de la gestion des prestataires
  • La sélection des prestataires, ou qualification, est effectuée par la direction générale ou celle des métiers avec une intervention de plus en plus importante de la fonction Achats. La sélection d'un prestatire peut être faite en vue d'un type de prestation défini ou plus généralement par rapport à un niveau de compétence recherché.
  • La contractualisation de la prestation est l’étape fondatrice de l’établissement de la relation. Les deux types d’engagement, sur le résultat ou sur les moyens, se retrouvent dans le domaine des prestations de services informatiques. L’écriture et la complétude des contrats sont ici déterminantes, d’où l’influence accrue des services juridiques de part et d’autres.
  • L’exécution est un moment clé dans la gestion de la relation et met en évidence la différenciation sur les trois niveaux. « Suivre l’exécution » n’aura ni les mêmes objectifs, ni les mêmes modalités, ni les mêmes acteurs selon le niveau concerné.
  • La capitalisation de la relation concerne la clôture et/ou l’évaluation. C’est l’étape nécessaire à l’amélioration continue de la maîtrise des trois niveaux présentés. C’est hélas la moins réalisée : tout le monde croit en son aspect bénéfique mais peu la pratiquent !

En croisant les 3 niveaux du modèle avec les 4 temps : on avance
Je cite ici quelques exemples de réflexions suscitées par ce modèle.
La sélection puis le choix du prestataire, ne peut faire l’économie d’une analyse fine qui portera sur la prestation, puis le prestataire et enfin le personnel détaché par ce dernier.
Le rôle de plus important des achats doit être envisagé sur les 3 niveaux (et non que sur la négociation d’un prix par prestation) et sur la durée de la relation. On connaît bien le comportement de certains prestataires qui baissent la tête devant les achats pour la relever vivement au moindre évènement non prévu pendant le déroulement de la prestation.
Le pilotage de la relation par le client peut se faire, globalement, en appuyant sur le contrôle et / ou en agissant sur la confiance qu’elle soit calculée ou affective. Là aussi, selon le temps de la relation et selon les niveaux concernés, on pourra agir différemment.
En conclusion, pour une entreprise cliente, une « bonne gouvernance » du Système d'Information demande un ministère des affaires étrangères qui gère dans la durée et à tous les niveaux la relation avec les prestataires de services informatiques.
Bernard Quinio