Christophe Legrenzi a présenté lors de la dernière réunion de l'ISG France, le 14 mars 2012, l’état de ses réflexions en matière de gouvernance des systèmes d'information et le rôle des bonnes pratiques (pour télécharger la présentation de Christophe Legrenzi). Pour cela il commence par retrace l'histoire du concept de gouvernance. Il vient de loin. Sur cette base il s'attache à évaluer les conditions de mise en place du concept de gouvernance à l'informatique et aux systèmes d'information.
Historique de la gouvernance des systèmes d'informationL’idée de gouvernance est très ancienne. Elle remonte aux philosophes pré-socratiques et en particulier à Hérodote, inventeur de la notion d’histoire. Le terme de gouvernance vient de « gubernare » c’est-à-dire l’art du gouvernement. Cette notion a été reprise par Platon dans la République. Le point de départ est simple : que faut-il pour que la cité soit bien gouvernée ? Il faut mettre en place des dispositifs adaptés :
- Casser la transmission du pouvoir par le sang.
- La transmission du pouvoir est assurée par le peuple.
- Le pouvoir est accordé pour une période limitée.
- Les assemblées, le sénat, le conseil constitutionnel sont les gardiens des lois.
- Le peuple a le droit de se révolter.
C’est la base des états démocratiques.
La Révolution Française est en partie due aux philosophes comme Diderot, Rousseau, Voltaire,… Or ils se sont fortement inspirés de la République de Platon.
Il y a une notion sous-jacente : le pouvoir rend fou. Il faut pour cela mettre en place des contre-pouvoirs.
L’origine de la gouvernance d’entreprise
Le thème de la gouvernance d’entreprise est lié à la crise de 1929. Adolf Berle et Gardiner Means se sont interrogés sur la gouvernance dans : « The Modern Corporation and Private Property » (1932). De même il faut citer les travaux de Ronald Coase sur la nature de la firme (1931). C’est la base de la gouvernance d’entreprise. Ces travaux sont à l’origine de la création de la SEC, Securities and Exchange Commission, en 1934.
Ensuite la gouvernance d’entreprise a été oubliée pendant plus de 60 ans. Il est réapparu avec les faillites d’Ebron, WorldCom, Parmalat,... Certains patrons type Kenneth Lay sont des fous furieux et il faut se protéger contre leurs comportements dangereux. Avec la loi SOX (Sarbannes Oxley) l’Etat Américain a voulu frapper fort. Cela s’est traduit par Bâle II, Slovency, la LSF,… Mais déjà au préalable les rapports Vienot et Bouton insistaient sur la gouvernance de l’entreprise.
Un des points clés de SOX est la traçabilité des informations : de la source à sa restitution des données. Cependant la gouvernance informatique est différente de la gouvernance de l’entreprise.
Gouvernance versus best-practices
La gouvernance est un facteur exogène. Il faut s’assurer qu’on fait bien ce qu’on doit faire. C’est la notion d’efficience. Ce n’est pas de la gestion.
Les bonnes pratiques sont une notion endogène. Itil, CMMI, ISO 27002 sont des recueils de bonnes pratiques établies par des experts.
La gouvernance est une logique d’efficacité.
La définition de la gouvernance informatique de l’ITGI/ISACA
La définition de la gouvernance informatique repose sur cinq piliers qui sont chacun basés sur des modèles sous-jacents :
- La stratégie. C’est une vision un peu basique.
- La création de valeur. C’est plus intéressant. Il faut arriver à une réduction des coûts d’unité d’œuvre de 3 à 5 % par an. Ceci concerne les infrastructures, les applications informatiques mais aussi la réduction des délais de mise en place.
- La gestion des risques.
- La mesure de la performance et notamment le BSC.
- La gestion de l’informatique.
La norme ISO 38500
Ce document propose 6 principes. Parmi ceux-ci 3 critères viennent de l’ITGI. La notion de risque est diluée. La vraie innovation est la notion de responsabilité. La gouvernance c’est la responsabilité des Directions Générales et des Conseils d’Administration.
La gouvernance informatique repose sur 10 piliers :
- l’alignement stratégique (« IT Strategic Alignment »)
- la création de Valeur (« IT Value Delivery »)
- la gestion du risque informatique (« IT Risk Management »)
- la mesure de performance (« IT Performance Measurement »)
- l’acquisition des solutions (« IT Acquisition »)
- la gestion des ressources (« IT Resource Management » )
- les responsabilités (« IT Responsibility »)
- la conformité (« IT Compliance »)
- la déontologie (« IT Human Behaviour »)
- l’environnement de contrôle (« IT Control »)
La gouvernance informatique et la gouvernance des systèmes d’information
Cette notion s’est développée grâce à de récents travaux de recherche. Pour la première fois on a réussi à établir une corrélation entre la gouvernance des systèmes d’information et la performance des entreprises :
- Les entreprises ayant un fort niveau de gouvernance de leurs SI génère 2 ou 3 fois plus de bénéfices. Il ne faut pas informatiser une fonction ou un processus si on n’a pas l’intention de faire évoluer l’organisation.
- Le positionnement de la DSI a aussi une influence directe. Plus le comité de direction est hétérogène meilleure est la performance de l’entreprise. La présence du directeur informatique au comité de direction est un facteur d’hétérogénéité et a une influence positive sur les performances de l’entreprise.
Aucun commentaire:
Enregistrer un commentaire