Pages

samedi 26 octobre 2013

Les bonnes pratiques en matière de fonctionnement des systèmes d'information

Dans un message précédant (Voir sur ce blog le message du 1er Août 2013 : « Les bonnes pratiques en matière de conception des systèmes d'information ») nous avons analysé les bonnes pratiques concernant la conception des systèmes d'information. Dans ce message nous nous efforceront d’identifier celles concernant le fonctionnement des systèmes d'information. Dans des messages à venir nous étudierons les bonnes pratiques des domaines suivants :
-       Le pilotage des évolutions des systèmes d'information 
Les modifications du système d'information se réalisent progressivement. Les évolutions se font dans la durée. Il est pour cela nécessaire de piloter enchaînement de ces opérations. La perte de contrôle de ce processus risque de se traduire par une dégradation du système d’information.
-       L'évolution des systèmes d'information
Les changements apportés au système d'information nécessitent une réflexion de type stratégique (reposant sur une vision à moyen terme), une démarche planifiée avec un positionnement des changements dans le temps et un contrôle des opérations effectuées.
Le fonctionnement des systèmes d'information concerne l’exécution des opérations courantes prises en charge par le personnel d’exécution ([1]) repose sur une vingtaine de bonnes pratiques. Il en existe peut-être d’autres mais elles sont moins importantes.

  1. 1.    Désigner un responsable du système d’information. Un système d’information peut concerner plusieurs départements ou divisions de l’entreprise. Ainsi, par exemple, le système d’information des achats implique le département achats mais aussi la production, les stocks, la comptabilité,... Plusieurs responsables peuvent intervenir sur le fonctionnement quotidien du système d’information. Pour éviter d’éventuels conflits il est nécessaire de désigner un responsable unique de l’ensemble du système d'information. Il a mission d’assurer le fonctionnement régulier du système d’information. Il doit superviser son fonctionnement et, en cas de dérive, intervenir rapidement et de manière efficace. Ce peut être un responsable métier ou de processus, un maître d’ouvrage,… C'est, généralement, un responsable hiérarchique car il est nécessaire qu’il ait une autorité suffisante pour prendre rapidement les décisions qui s’imposent afin d'assurer son fonctionnement régulier. 
  2. Contrôler l’ensemble du système d’information. La gestion opérationnelle d’un système d’information peut souvent être répartie entre plusieurs personnes. Ceci fait que des problèmes de coordination et de pilotage peuvent survenir. Il est, pour cela, nécessaire que le responsable du système d’information puisse suivre l'ensemble des activités placées sous sa responsabilité afin de détecter rapidement d'éventuels dysfonctionnements. Il doit avoir une vision d’ensemble du système d’information et pas seulement d’une partie de celui-ci. Un certain nombre d’indicateurs de gestion doivent être périodiquement suivis (quotidien, hebdomadaire, mensuel) et se retrouvent dans un tableau de bord. Il est notamment important de suivre des indicateurs de performances du système d’information.
  3. Alimenter une base de données mémorisant l’ensemble des opérations de façon à établir un tableau de bord de l’activité du système d’information. Le système d'informatique sous-jacent au système d’information doit disposer d’une base de données enregistrant le détail des opérations effectuées afin de produire à la demande un rapport analysant l’activité d’une période donnée. Le terme technique définissant cette base est « le log ». Périodiquement une synthèse est établie sous forme d'un tableau de bord. Les indicateurs suivis permettent de mesurer l’activité du système d’information et d’apprécier ses performances comme par exemple : le nombre d’opérations effectuées au cours d’un mois, le délai moyen de traitement d’une opération, le nombre d’opérations traitées par personne et par jour,...
  4.  Suivre le détail des opérations. Le système informatique sous-jacent au système d’information permet de suivre l’évolution du détail des opérations exécutées par le système d’information. Il est ainsi possible de remonter d’une opération finale à l’ensemble des événements qui sont à leur origine. Ainsi dans un système d’information assurant la gestion des ventes on doit pouvoir remonter de la facture au bon de livraison, à la sortie des stocks et finalement au bon de commande reçu du client. C’est la traçabilité des opérations. Il est pour cela nécessaire de garder toutes les informations intermédiaire nécessaires permettant de visualiser l'enchaînement des opérations.
  5. Garantir la sécurité des opérations et des bases de données. Un système d’information demande d’avoir un niveau de sécurité adapté au niveau des risques constatés. Ainsi, il est important de s’assurer que seules les personnes autorisées peuvent accéder aux données et aux traitements. S’il y a des risques ou des enjeux importants il est nécessaire de mettre en place des dispositifs de sécurité renforcés avec des authentifications fortes. Le responsable de la sécurité des systèmes d’information (RSSI) doit s’assurer que le niveau de sécurité du système d’information est satisfaisant. Si c’est nécessaire il peut se faire relayer par un administrateur de base de données sous le contrôle du responsable du système d’information.
  6. Auditer périodiquement le système d’information. Il est périodiquement important de s’assurer que le système d’information respecte les règles de contrôle interne de l’entreprise et que le management et les différentes parties prenantes ont une assurance raisonnable de son fonctionnement régulier et sans interruption. Ces contrôles doivent être effectués par des auditeurs expérimentés. Des fonctions de contrôles sont à la disposition des auditeurs notamment pour vérifier le contenu des principales bases de données. Pour cela ils doivent pouvoir effectuer des requêtes sur l’ensemble des bases de données du système d’information. On peut renforcer les dispositifs en mettant en place des contrôles continus (CCM : Continuous Control Monitoring) de façon à s’assurer en temps réel que les règles de contrôle internes sont respectés.
  7.  Enregistrer tous les incidents et les tentatives de forçage. Dans le cadre du fonctionnement régulier du système d’information il peut arriver que des incidents soient détectés (Voir le point 8 ci-dessous). Ils sont enregistrés de façon à pouvoir être ensuite analysé. Ce peuvent être aussi des tentatives de forçage, voire des fraudes. Tous ces incidents sont systématiquement enregistrés de façon à les identifier et les analyser afin de prendre des mesures pour éviter qu’ils ne puissent pas se reproduire.
  8. Enregistrer toutes les anomalies qui surviennent. Dans le cadre du fonctionnement normal du système d’information des anomalies peuvent survenir. Parmi celles-ci certains peuvent être dues à des erreurs de programme : les « bugs ». Ils doivent être rapidement corrigés. Mais il y a d’autres causes possibles d’anomalies : données inexactes, mauvaises manipulations, …. Elles sont normalement détectées par le système informatique mais certaines anomalies sont constatées par les personnes chargées des opérations courantes. Celles qui sont détectées par les systèmes informatiques sont automatiquement enregistrées. Les autres anomalies doivent être saisies manuellement par les personnes la constatant. Ensuite le principe des opérations est simple : toutes les anomalies constatées dans le cadre de fonctionnement du système d'information sont recensées, centralisées et analysées de façon à comprendre leur origine et pouvoir les corriger. 
  9.  Effectuer un suivi des anomalies constatées. La base de données des anomalies permet de les recenser de manière exhaustive. Une personne qualifiée va périodiquement les analyser et prendre, si c’est nécessaire, les mesures qui s’imposent. Dans certains cas il est possible d’effectuer ce suivi en temps réel ou en temps légèrement différé mais la plupart du temps ce travail est fait de manière asynchrone. Périodiquement on va mesurer le taux d’anomalies réelles observé et le délai moyen de résolution des problèmes constatés. Un tableau de bord des anomalies permet de mesurer leur nombre, celui des bugs détectés et qui sont ceux qui sont corrigés, l'avancement des corrections effectuées ainsi que le délai moyen de réalisation de ces corrections.
  10.  Vérifier le contenu des bases de données. Il doit être possible d’analyser le contenu de toutes les bases de données mis en œuvre par le système d’information afin de pouvoir vérifier leurs contenus et de s'assurer qu'elles ne comprennent pas de données inexactes. Il peut arriver que les données soient physiquement réparties sur plusieurs bases de données. Il est souhaitable de les voir comme si elles constituaient une seule base. Des fonctions intégrées ou un logiciel spécifique permettent d’effectuer des analyses, des sélections, des classements,… sur cet ensemble de données.
  11.  Mettre en place des contrôles suffisants. L’objectif est de s'assurer de la qualité de l’ensemble du système d’information : 
·       Les données saisies pour alimenter le système d'information doivent être contrôlées de manière exhaustive dès leur saisie. On doit s’assurer que toutes les données saisies sont effectivement contrôlées et que les bases de données ne sont pas mises à jour avec des données erronées. Lors de la saisie toute anomalie est immédiatement signalée pour être rapidement corrigée. Pendant ce temps, la mise à jour de la base de données est bloquée tant que les informations inexactes ne sont pas corrigées. Cette logique de contrôle s’applique aux opérations de saisie faites au clavier. Les mêmes contrôles sont effectués lors du transfert de données effectuées de manière automatique entre systèmes.
·       Les bases de données existantes doivent pouvoir être contrôlées à tout moment de façon à pouvoir détecter d’éventuelles anomalies. Il est ainsi possible de détecter des informations se trouvant en double dans les bases de données. De même il doit être possible de détecter des informations manquantes ou dégradées.
·       Les traitements effectués sont contrôlés de façon à détecter des erreurs qui pourraient concernées les données, l’exécution des opérations, les bases de données mises à jour,… Un état « recap » ou une transaction de contrôle sont produits à la fin des traitements permettant de s’assurer qu’ils se sont correctement déroulés et ont donné les résultats attendus.
·       Les différentes sorties notamment les éditions, la production de fichiers de transfert de données, les transactions de consultation,… peuvent être contrôlés pour s’assurer que les données affichées ou imprimées sont bien celles qui devraient y figurer.
L’expérience montre que les contrôles de données sont généralement de bonne qualité par contre le contrôle des bases de données, des traitements effectués et des différentes sorties sont plus fragiles.

12. Effectuer des contrôles particuliers des transactions délicates. Un certain nombre de transactions peuvent mettre en péril la sécurité du système d’information. Ainsi des changements de certaines données peuvent recouvrir des fraudes comme par exemple le changement de RIB d’un fournisseur, la réception d’une facture sans qu’il y ait eu au préalable une commande, une sortie de stocks qui n’est pas imputée à un client ou à un ordre de fabrication, …. Ces transactions particulières sont signalées en temps réel à un responsable, qui est chargé de les valider. En cas de situations critiques ces transactions sont enregistrées dans une base spécifique.

13. Établir un tableau de bord du contrôle interne du système d’information. L’ensemble des informations de contrôle interne disponibles est regroupé dans un document unique permettant d’avoir une assurance raisonnable du fonctionnement régulier du système d’information. Il est important de suivre le nombre, la fréquence et le degré de gravité des incidents détectés.
14.  Documenter le système d’information. Pour que les utilisateurs maîtrisent correctement le système d’information il est nécessaire qu’ils disposent d’un document de référence. Il décrit le fonctionnement du système d’information, non seulement sa partie informatique mais aussi l’ensemble des fonctions qu’il met en œuvre et l’organisation à mettre en place. Il comprend au moins quatre parties :

·       une description détaillée de l’ensemble des fonctions disponibles,
·       la liste des contrôles manuels ou informatiques en place,
·       la liste des problèmes qui peuvent survenir dans le fonctionnement du système d’information,
·       la manière de corriger ces incidents. 
 15.     Disposer d’une procédure écrite. Un système d’information assure le fonctionnement d’un ou de plusieurs processus. Ainsi dans le cas des achats il y a deux grands processus : la passation des commandes d’approvisionnement et le choix des fournisseurs puis l’établissement des contrats. Pour éviter toute dérive il est nécessaire de décrire de manière suffisamment détaillé enchaînement des opérations permettant d’assurer le fonctionnement en système d’information. C’est le rôle de la procédure écrite. C’est un point de contrôle important. L’absence d’un document de ce type est indiscutablement une fragilité. 
16 . Mesurer des indicateurs de performances significatifs. Pour piloter un système d’information il est nécessaire de mesurer régulièrement ses performances comme le nombre de dossiers reçus et traités, le délai moyen de traitement des dossiers, les temps de réponses observés, la charge transactionnelle, la disponibilité,…. Le responsable du système d’information pilote ce dernier sur la base de ces indicateurs. Il est aussi très utile d’évaluer la charge transactionnelle maximum supportée par une configuration donnée de façon à anticiper une éventuelle dégradation des temps de réponse.
17.  Mesurer des indicateurs de productivité. Il est aussi important de mesurer régulièrement la productivité du système d’information et d’apprécier l’évolution de cet indicateur. Pour être efficace il doit couvrir l’ensemble de l’activité du système d’information. C’est par exemple le nombre de dossiers traités par personne et par jour ou le temps moyen de traitement d’un dossier. Normalement les actions réalisées pour améliorer la productivité doivent se traduire par des variations significatives de cet indicateur. S’il n’est pas sensible à ces actions il est possible que les mesures prises ne sont pas adaptées mais ceci peut aussi être dû au fait que l’indicateur est mal défini.
18. Suivre le coût global du système d’information. Pour maîtriser le système d'information il est nécessaire de suivre ses coûts, non seulement les coûts informatique mais le coût complet du système d’information c’est-à-dire comprenant l’ensemble des dépenses du personnel chargé de le faire fonctionner, le coût des locaux, les quotes-parts de direction,… Ce suivi doit être régulièrement effectué, normalement à périodicité mensuelle où, à la rigueur, trimestrielle. L’ignorance de ce coût ou son absence de suivi sont indiscutablement des faiblesses du management en charge du système d’information.
19.  Calculer le coût moyen par unité produite. Le coût total d’un système d’information est un montant qui n’est pas toujours facile à interpréter. Il est plus significatif de calculer le coût moyen par unité produite. Cet indicateur de gestion permet d’apprécier la qualité du management du système d’information. On va par exemple suivre le coût d’une commande reçue ou envoyée, d’un dossier de prêt accordé, d’une pièce comptable, … Cet indicateur doit être conforme aux habitudes des métiers. Ainsi dans la banque on s’intéresse au coût de traitement d’un chèque ou d’un paiement par carte. La méconnaissance de cet indicateur est indiscutablement une faiblesse du management du système d’information.
20.   Travailler les coûts unitaires. Il est nécessaire de mesurer périodiquement les coûts unitaires de façon à s’assurer de son évolution dans le temps. Si le système d’information est correctement géré les coûts unitaires doivent régulièrement diminuer notamment grâce aux investissements effectués dans le système informatique et aux efforts de formation du personnel. Périodiquement il est nécessaire d’analyser les coûts unitaires du système d'information et de suivre leur évolution dans le temps. Il est toujours possible de diminuer les coûts unitaires par quelques mesures simples comme d’arrêter de renouveler les équipements, décaler la maintenance des matériels et des logiciels, stopper les nouveaux développements, confier le travail a du personnel peu qualifié ou peu encadré, ... Mais est-ce vraiment raisonnable ? Tôt au tard il faut bien renouveler les matériels et assurer la maintenance des équipements ou des logiciels. Dans ce cas, tôt ou tard, inéluctablement le coût unitaire remonte.
21.  Analyser le détail des opérations effectuées. Il est nécessaire de revoir périodiquement le détail des opérations effectuées. On va pour cela repérer les tâches effectuées, les décomposer en tâches élémentaires, les analyser, étudier leurs enchaînements, … Il est presque toujours possible de dégager des améliorations leur exécution. Dans ce but on va identifier les tâches, voir s’il est possible de les supprimer, de les automatiser, de les regrouper, ... Ainsi en regroupant toutes les tâches manuelles ensemble il est possible d’améliorer l’efficacité des processus. De même en renforçant et en automatisant les contrôles on peut améliorer la productivité du système d’information. Ce travail de rationalisation doit être périodiquement effectué afin d’améliorer de manière significative la productivité des systèmes d’information.

Comme on le voit la gouvernance du fonctionnement d’un système d’information repose sur l’application de quelques bonnes pratiques. Pour qu’un système d'information fonctionne de manière régulière et efficace il est nécessaire de s’assurer qu’un responsable le gère et le pilote. Il faut ensuite s’assurer qu’il fonctionne de manière performante et sécurisée.

Voir la suite : Les bonnes pratiques en matière de pilotage des systèmes d'information et
 Les bonnes pratiques en matière de gestion de l’évolution des systèmes d'information




[1] - Très souvent on appelle le personnel d’exécution les « utilisateurs ». Ce terme est imprécis. Ce sont des employés, des techniciens et des cadres chargés des opérations quotidiennes, hebdomadaires et mensuelles. 

vendredi 27 septembre 2013

The era of communication

Much has been said and done in data governance . The open data and open data are the order of the day, starting with public bodies. It is recognized for the development of Web 2.0 and dematerialization, the documentary approach and archiving have taken on new forms. The management of information and communication systems who feels invested this mission is to consolidate this issue within the information governance.
But the opening has several dimensions : the flow of information , the sharing, but also reciprocal links between actors.  These concepts have a different meaning depending on whether one looks at the modern era generated by industry or that of postmodernism based on the connected digital economy.
Steel and wood are visible real resources. Information is an invisible resource, malleable and infinitely reproducible which differs as follows :
1 . The flow of wood or steel in a factory to switch products to real sketched finished products, step by step. Intentions are reported by clear objectives. However, the flow of information, which is composed of data is the key to success when the exchange value co- creating value in co- constructing "during the road " digital content. Circulating this information is enriched over its circulation by different actors - contributors.
2 . More information circulates, the more it can be shared, and more sharing features not only the facts but also new ideas that emerge from this movement and this share ( the 'pollinating’ effect ). Therefore, the information assets pollinated increases in value in proportion to the degree of control by the actors and also the richness and relevance (not volume ) of content that can lead to innovative products and services.
3 . Reciprocal trade that accompanies this distribution, the fertilization of the facts and ideas in turn feeds collaborative innovation. Therefore, CIO  can not simply remain a support function and limited to an operational function. It contributes to reciprocity and amplifies, not an overabundance of data, but the focus of everyone's attention on the real needs. Do we still have the collective will to identify.

These mechanisms three stage nested collaboration remain unclear in the minds of many actors and writers since firstly the distinction between each of these stages is not clearly made​​, and secondly the last stage, which that is to say, that of reciprocity requires mutual trust, a voluntary one confidentiality, equal access to knowledge and experience that appeals to new qualities and skills of the manager conditions.
The animation features of information governance consisting bring forth innovation instead of just maintaining order within the organization requires a good understanding / ownership of all traffic flows, sharing and reciprocity.

The circulation of a digital document are the movement and fluidity of the process. His sharing refers to how to distribute the information. Reciprocal trade has an objective of mutual relations between different actors in the process. All three are components of the "communication" but they do not have the same objectives.
The information is not communication but it is the secular arm. I promote for more than 20 years the "C" communication adjoining the " DSI " (in french) function (CIO). I note that these ideas make their way and maturity advance step by step. Attitudes are changing.

• For example : the presence of the General Directorate of Information and Communication Systems ( DGSIC ) within a public organization is a challenging Advanced ((http://www.defense.gouv.fr/actualites/communaute-defense/la-gouvernance-des-donnees-une-responsabilite-des-decideurs-et-des-metiers).  
• Another example is to demonstrate that the IS (Information system (IS)  can not be dissociated from the communication ( ISC ) according to Les Echos, 26 and 27 April 2013, P 22,  «  l’entreprise Bloomberg a résisté à la crise en procédant à divers acquisitions pour acquérir des clients et des bases de données et développer des systèmes d’information et de communication [SIC] en direction de ces nouvelles communautés ».  (" Bloomberg  company has weathered the crisis through various acquisitions acquire customers and develop databases and information systems and communication [ SIC ] in the direction of these new communities. ").

The orchestration of the transition to digital business needs of " DGSIC." Innovation is more "collaborative" is based on communication as three floors above. Those who stay at one level (traffic) can try to understand the underlying reasons that do not allow them to reach the other two stages of maturity ( sharing and reciprocity).

The collaborative innovation at the time of opening the data depends primarily on political will from the summit. This gives the example from above but this signal is not enough to innovate. Collaboration, such as communication, are complex dimensions.

That is why I am involved in writing this book about "co-governance" of  information for a digital business ( www.cogouvernance.com ). The list of projects to be launched is plentiful and ambitious. But where to start, when to start and what are responsible for starting to circulate and share ... the urge to get involved ?

Gérard Balantzian
26 septembre 2013
(traduction Google)

jeudi 1 août 2013

Les bonnes pratiques en matière de conception des systèmes d'information

La gouvernance des systèmes d’information comprend quatre grands domaines (Voir sur ce blog le message du 9 juillet 2012 : « La gouvernance des projets de système d’information » ) :
-       La conception des systèmes d'information :
Un système d'information, quel qu'il soit, est bâti sur une conception d'ensemble. La qualité de cette démarche détermine en bonne partie l'efficacité du système d'information.
-       Le fonctionnement des systèmes d'information :
Il est important de s’assurer que le système d'information fonctionne de manière régulière et efficace. Il faut s’assurer qu’il est performant et sécurisé. Un responsable gère et pilote le système d’information.
-       Le pilotage des évolutions des systèmes d'information :
Les modifications du système d'information se font dans la durée. Il est pour cela nécessaire de piloter ces opérations. La perte de contrôle de ce processus se traduit par une dégradation du système d’information.
-       L'évolution des systèmes d'information
Les changements apportés au système d'information nécessitent une réflexion de type stratégique, une démarche planifiée et un contrôle des opérations effectuées.
Ces quatre domaines sont le cœur de la gouvernance des systèmes d’information.
Dans ce message nous allons nous intéresser à la conception des systèmes d’information. L’observation montre qu’ils ne se développent pas au hasard. Ce sont des objets construits selon des règles et des principes clairs et compréhensibles. Comme pour bâtir une maison on commence par les fondations et on finit par le toit. Il est difficile de faire l’inverse. C’est la même chose en matière de conception de système d’information. Il est nécessaire de suivre une logique assez rigoureuse et cela permet de construire un système d’information efficace. On parle, d’ailleurs, d’une architecture. Le terme est un peu excessif mais il décrit bien ce qui est effectué. On s’efforce de construire en suivant une démarche cohérente.
Un système d'information, quel qu'il soit, est bâti sur la base d’une conception d'ensemble. La différence entre un système d'information de qualité et efficace et celui qui ne l’est pas tient à la qualité de leur conception. Bien conçu il sera facile à maîtriser et à piloter. Mal conçu il devient très vite une sorte de machine folle. Ensuite, une fois ces systèmes mis en place, ils peuvent évoluer pour s’adapter aux évolutions demandées par les métiers, les clients et les utilisateurs mais ils restent conditionnés par leur conception.
Ces règles et ces usages sont connus de tous et chacun s’efforce de les appliquées, mais elles ne sont pas systématiquement appliquées. Ces bonnes pratiques sont la base de la gouvernance des systèmes d’information.
Il existe une vingtaine de bonnes pratiques en matière de conception de système d’information. C’est un ordre de grandeur. Il y en a peut-être d’autres mais elles sont moins importantes :

1.      Concevoir l’architecture du système d’information. Un système d'information efficace repose sur une architecture claire et efficace. C’est un principe simple. Elle comprend deux volets : la conception de l’application informatique et la définition de l’organisation qui va être mise en place. Il arrive que certains systèmes d'information souffrent d’erreurs de conception. Ceci fait qu’ils ont une certaine difficulté à fonctionner dans de bonnes conditions. Cela entraine des performances médiocres et des coûts de maintenance élevés. De même il est nécessaire de concevoir une architecture de l’organisation performante. La qualité de l’architecture est un facteur clé de la gouvernance des systèmes d’information.

2.      Gérer le projet en mode projet. La définition, la réalisation et la mise en place d’un système d’information se fait en mode projet comme c’est le cas pour la partie informatique dès que le volume de développement dépasse certain un seuil ([1]). En fait, il existe deux projets : le premier concerne la réalisation et le test des logiciels, le second concerne l’évolution de l’organisation. Cette évolution est délicate et se fait en mode projet. Ce n’est pas un petit projet d’organisation effectué dans le cadre d’un grand projet informatique. Ce sont en fait deux projets qu’il faut être capable de mener de front.

3.      Accorder une grande importance de l’organisation. L’efficacité du système d’information dépend pour une grande partie de la qualité de l’organisation mis en place. Elle comprend différents types de travaux :
-      l’identification des tâches, leur regroupement, leur suppression, leur fusion,…
-      la répartition des tâches entre les différents intervenants,
-      l’efficacité des contrôles mis en place,
-      le développement des compétences du personnel,
-      la formation des intervenants,
-     
La qualité de la conception de l’organisation est un facteur clé de l’efficacité des systèmes d’information.

4.      Définir la conception globale en deux étapes. La première phase du développement d’un système d’information est celui de la conception. C’est un processus complexe. Il est généralement effectué en deux étapes. La première consiste à définir les caractéristiques générales du futur système d’information. C’est l’étude de faisabilité. La seconde phase permet d’identifier les fonctions à mettre en œuvre et l’organisation à mettre en place. C’est le but de l’analyse fonctionnelle et le document de conception de l’organisation. Il est toujours possible d’effectuer ces deux étapes en une seule mais l’expérience montre que ce regroupement a pour conséquence d’augmenter le niveau de risque.

5.      Rédiger un document de référence. La conception du système d'information se traduit par un document qui peut porter différents noms comme celui de schéma directeur, d’analyse fonctionnelle, de cahier des charges, de schéma d’organisation ou d’analyse de processus. Il décrit les principales fonctions à mettre en œuvre. Il peut être complété par la description du modèle d’organisation, la présentation de l’architecture du système d’information, l’identification et l’analyse des processus. L’absence de ce document de référence risque de rendre le développement du système d’information assez aléatoire. 

6.      Identifier des fonctions et des processus. La conception de l'architecture du système d'information repose sur l'identification des différentes fonctions à mettre en œuvre. Elle est basée sur le repérage des tâches nécessaires et la définition de leur enchaînement. Celles-ci Elles peuvent être manuelles ou informatisées. Chaque tâche est évaluée. Elles peuvent être maintenues tels quelles, étendues, regroupées, supprimées, éclatées en plusieurs tâches, … Il est ainsi possible de définir de nouvelles fonctions et de redéfinir les processus qui sont la base de l’organisation du futur système d’information.

7.      Prendre en compte le rôle particulier joué par le système informatique. Le fonctionnement du système d'information repose en grande partie sur un système informatique sous-jacent mais ce n'est pas tout le système. Confondre le système d’information avec le système informatique est source de difficultés. L’application informatique n’est qu’une partie du système. C’est un ensemble significatif mais ce n’est pas l’intégralité du système d’information. Il est important de s’assurer que le système informatique est adapté à l'organisation en place et aux compétences des personnes chargées de le faire fonctionner.

8.      Faire participer les personnes concernées par le futur système d’information à sa conception. Le système d’information va être mis en œuvre et rendu opérationnel grâce aux différentes personnes qui sont chargées de saisir les données et d’exploiter les résultats. Il est important qu’elles participent à la définition de l'organisation à mettre en place et aussi à l’identification des différentes fonctions à mettre en œuvre. Enfin elles doivent participer à la validation de l'architecture du système d'information.

9.      Partir de l’existant et le faire évoluer. La plupart du temps la conception du nouveau système d'information se fait à partir d’un système informatique et une organisation préexistante. Il est donc important de commencer la conception du futur système d’information par une analyse de l’existant faisant apparaître les points forts et les points faibles. Ensuite en tenant compte des menaces et des opportunités les concepteurs du système d’information vont définir la manière de le faire évoluer.

10.   Désigner un responsable du système d'information. Il est nécessaire qu’une personne soit responsable de la conception du système d’information et ensuite de son fonctionnement. Ce peut être la même personne mais souvent ce sont deux personnes différentes. Souvent on nomme un responsable hiérarchique mais on peut aussi confier cette charge à un responsable fonctionnel. Pour être efficace il est nécessaire qu’il ait la responsabilité de l’ensemble du système d’information et pas seulement d’une partie.

11.   Choisir une architecture adaptée. Il existe différentes approches en matière de conception de système d'information : décentralisation ou centralisation, intégration ou segmentation, approche par fonction ou par processus, … A la fin des années 90 on a surtout cherché à développer des systèmes décentralisés. Aujourd’hui on cherche à mettre en œuvre des systèmes centralisés. Cela n’a pas les mêmes conséquences. Il est nécessaire de faire des choix entre ces différentes options. Ce sont des choix structurant qui ont un impact important sur l’organisation du système d’information et sur les contrôles à mettre en place.

12.   Respecter les règles de contrôle interne. Il est important de s’assurer que le futur système d’information dispose d’un niveau de contrôle interne adapté en fonction du niveau du risque. Des contrôles suffisant doivent être mis en place :
-      Ils peuvent être effectués au fur et à mesure de la saisie des opérations ou de la réalisation des traitements.
-      Il est possible de regrouper tous les contrôles effectués en une session à la fin de période.
Ces contrôles doivent donner une assurance suffisante de la maîtrise des opérations.

13.   Evaluer et suivre les risques. Il est nécessaire d’effectuer une évaluation des risques liés à la conception du système d’information. Elle est effectuée dès le lancement du projet et répétée aux principales étapes du développement du système d’information. Au minimum il est nécessaire d’établir la liste des risques et effectuer leur cotation mais il est préférable d’estimer le montant de l’espérance mathématique des risques. Ceux-ci concernent l’informatique mais aussi l’évolution de l’organisation.

14.   Définir des dispositifs de sécurité adaptés. Il est nécessaire de prévoir dès la conception du système d’information des outils permettant d’assurer un niveau de sécurité satisfaisant.  Il est nécessaire de :
·       contrôler les accès aux systèmes, aux données et aux traitements,
·       vérifier l’exactitude des traitements effectués,
·       éviter les copies de bases de données.

15.   Chiffrer le montant de l’investissement. La conception, la réalisation et la mise en œuvre d’un système d’information est un investissement significatif. Il est important de l’évaluer dès le lancement du projet. Ce montant comprend les développements informatiques, les achats de matériels,… mais aussi toutes les autres charges comme les frais de mis en place, de formation, de réorganisation,…. Ce chiffrage va être mis à jour à chaque étape du projet de façon à détecter d’éventuels dérives.

16.   Suivre l’avancement du projet. Il est nécessaire de faire périodiquement sur l’avancement du projet. Il ne s’agit pas uniquement de suivre la réalisation du logiciel mais de couvrir l’ensemble des opérations liées à la conception du système d’information :
·       la conception de l’organisation,
·       la conception du système informatique,
·       la réalisation du logiciel,
·       les tests du logiciel,
·       la mise en place de l’organisation,
·       la formation des personnes concernées,
·       le démarrage notamment s’il y a de nombreux sites.

17.   Assurer le suivi des dépenses investies. Une fois le projet en cours de réalisation Il est nécessaire de mettre en place un dispositif comptable permettant de connaître le niveau des dépenses effectuées. Comparé au degré d’avancement du projet il est possible d’affiner l’estimation du coût final du projet. L’objectif est de détecter rapidement toute dérive budgétaire significative.

18.   Estimer les coûts prévisionnels de fonctionnement du système d’information. Il est de même très important d’évaluer de manière prévisionnelle le niveau des dépenses courantes du futur système d’information ainsi que les coûts immobiliers, les quotes-parts de frais généraux,…. Ce sont des coûts complets comprenant non seulement les coûts informatiques mais aussi les coûts des personnels chargés de faire fonctionner ces systèmes d’information. Une fois le système d’information opérationnel il est souhaitable de mesurer le niveau des dépenses effectivement constatées et de justifier les écarts constatés.

19.   Evaluer la rentabilité de l’investissement. Parmi toutes les opportunités d’investissement ceux faits dans le domaine des systèmes d’information ont les rentabilités les plus élevées. Faut-il encore que cette rentabilité soit mesurée ! C’est vital. Or trop souvent ce calcul n’est pas fait ([2]). Cette bonne pratique être impérativement mise en œuvre sans cela on a toujours le risque d’effectuer des investissements peu ou pas rentables et de ne s’en apercevoir que tardivement une fois le système d’information est en place.

20.   Accorder au management de l’entreprise un rôle clé. Les orientations concernent le futur système d’information doivent être discutées et approuvées par le management de l'entreprise. C’est le rôle du comité de pilotage ou des comités de direction. Il détermine les grandes orientations, valide les principaux choix, fixe les priorités, arrête les budgets, … L’absence d’engagement du management est une cause fréquente de dérive des opérations.

21.   Faire valider le projet par toutes les parties prenantes. Les principales orientations du futur système d’information doivent être validées par les différentes personnes qui vont le mettre en place puis ensuite le faire fonctionner. Ceci est, pour l’essentiel, effectué au moment de la validation du cahier des charges mais cette validation concerne surtout la partie informatique du système d’information. La définition de l’organisation et la manière dont le nouveau système va se mettre en place et faire l’objet d’une validation mais c’est moins courant. Ceci explique fréquemment le rejet du changement.

22.   Mettre en place un tableau de bord du projet de système d’information. Un projet de système d’information est toujours une opération délicate à piloter. Pour y arriver dans de bonnes conditions il est nécessaire de mettre en place d’un suivi du projet, non seulement de la partie informatique mais de l’ensemble du système d’information. Il est pour cela nécessaire de mettre en place un tableau de bord permettant de détecter rapidement d’éventuels dérapages de façon à réagir à temps. L’absence de tableau de bord où sa limitation à la seule étape de la réalisation informatique est une fragilité.

Comme on le voit il est important de faire la différence entre le système d’information et le système informatique. Le principal objectif n’est pas de produire du code mais de définir une nouvelle organisation et de mettre en œuvre l’application informatique la supportant.

Voir la suite : Les bonnes pratiques en matière de fonctionnement des systèmes d'information
Les bonnes pratiques en matière de pilotage des systèmes d'information et
 Les bonnes pratiques en matière de gestion de l’évolution des systèmes d'information




[1] - Ce seuil est variable. Au-delà de 50 mois-hommes (1.000 jours-hommes) il est impératif de mettre en place un dispositif de gestion de projet. Souvent le seuil est abaissé et peut descendre jusqu’à 10 mois-hommes (200 jours-hommes). En dessous, de ce seuil il est rare de rencontrer une organisation en mode projet digne de ce nom.
[2] - Il est assez étonnant de comparer les efforts effectués pour mesurer les coûts des projets et le faible intérêt porté à leur rentabilité.