Pages

samedi 11 janvier 2014

Les bonnes pratiques en matière de pilotage des systèmes d'information

Un système d’information est un ensemble complexe qui doit être piloté. L’expérience montre qu’un pilotage faible ou incertain peut se traduire par des pertes d’efficacité voir même des dégradations du système d’information. Dans les deux précédant messages (Voir sur ce blog le message du 1er Août 2013 : « Les bonnes pratiques enmatière de conception des systèmes d'information » et le message du 25 Octobre 2013 : « Les bonnes pratiques en matière de fonctionnement des systèmes d’information ») nous avons analysé les bonnes pratiques concernant la conception et le fonctionnement régulier des systèmes d'information.
Dans ce message nous nous efforcerons d’identifier celles concernant le pilotage des systèmes d'information et notamment le pilotage des corrections ponctuelles qu’il est nécessaire d’effectuer régulièrement et qui sont souvent la cause des dérives constatées. Dans un prochain message nous étudierons la gestion des évolutions à moyen terme des systèmes d'information. Ils nécessitent d’avoir une réflexion de type stratégique, une démarche planifiée et un contrôle des opérations effectuées.
Le pilotage des systèmes d'information repose sur une vingtaine de bonnes pratiques. Il en existe peut-être d’autres mais elles sont moins importantes :

1.     Désigner un pilote du système d’information. Un système d’information est un objet complexe. Pour le gérer de manière efficace il est nécessaire qu’il soit piloté par une personne ayant une vision d'ensemble du système. Il doit avoir la double responsabilité de gérer l’ensemble des opérations quotidiennes et périodiques et de piloter les évolutions qui seront réalisés dans les années à venir ([1]). Il a la responsabilité de détecter les goulets d’étranglement et de décider les mesures nécessaires pour améliorer le fonctionnement du système d’information. Très souvent celles-ci se traduisent par des modifications des programmes informatiques ou de l’organisation. Le pilote du système d’information doit prendre des décisions et ensuite s’assurer que ces mesures sont effectivement appliquées.

2.     Avoir un décideur consensuel, reconnu par les autres décideurs concernés. Les différentes parties prenantes concernées par le système d'information doivent avoir confiance dans le pilote. Il dirige par consensus. S’il ne bénéficie pas de cet accord implicite il aura du mal à faire correctement fonctionner le système d’information. Pour cette raison il est recommandé qu’il puisse s’adosser à un comité de pilotage (voir ci-dessous le point 5).

3.     Veiller à ce que le pilote ait des pouvoirs suffisants. Le pilote doit avoir une autorité suffisante afin d'être capable de faire exécuter les décisions qu'il est amené à prendre. Si ses choix et ses arbitrages sont contestés par les autres décideurs et leurs collaborateurs le pilotage du système d’information et la mise en place des mesures nécessaires seront difficiles à mettre en œuvre.

4.     Nommer une personne réactive. Un pilote chargé de gérer le système d’information doit être capable de réagir rapidement à tout changement du contexte. Rien n’est pire qu’un pilote qui laisse filer en se disant que les « choses rentrerons dans l’ordre d’elle-même ». Un bon pilote doit même être capable d’anticiper les dérives possibles. Pour cela il doit sentir les évolutions du contexte, éventuellement avant que les changements soient manifestes.

5.     Disposer d'un organe de pilotage adapté. La plupart des systèmes d’information sont utilisés par de nombreux partenaires de l’entreprise ([2]). Il est donc nécessaire de coordonner les opérations entre les différents responsables qui se partagent le management du fonctionnement du système d'information. Cela se fait en mettant en place un comité de pilotage dont font partie les différentes parties prenantes concernées. Ce comité doit être régulièrement informé du fonctionnement du système d’information et, le cas échant, il recommande les actions à entreprendre, fixe des priorités, dégage les ressources nécessaires,… Il ne se substitue pas au pilote, il renforce son pouvoir et son autorité ([3]).

6.     Rendre périodiquement des comptes. Le pilote agit par délégation des différents responsables concourant au fonctionnement du système d’information. En conséquence il a l’obligation d’informer régulièrement ces différents décideurs du fonctionnement du système d’information, des incidents et des difficultés rencontrées, des changements en cours et de leur mise en œuvre. Ceci peut se faire par le biais d’une réunion périodique ou, à défaut, par une note d’information ou un tableau de bord.

7.     Mettre en place un tableau de bord. Le pilote doit disposer d'un tableau de bord lui permettant de suivre le fonctionnement du système d'information. Il a pour but de lui donner une bonne visibilité sur l'ensemble du système d'information et sur toutes ses évolutions en cours. Il est recommandé de le mettre en diffusion auprès de tous les partenaires concourant au fonctionnement du système d’information de façon à ce que chacun dispose des mêmes informations. Une attention particulière doit être portée au choix des indicateurs qui permettent de suivre :
·       Les volumes d’opérations traitées par période et les pointes de charge,
·       Le nombre et la gravité des incidents constatés,
·       Le délai moyen de traitement des opérations,
·       Le nombre de modifications ou d’adaptations en cours,
·       La productivité des opérations,
·       Le coût des opérations (coût informatique, coût du système d’information)
Il peut contenir d’autres types d’information mais la liste ci-dessus est un minima à respecter.
Le tableau de bord du système d’information permet de connaître la situation actuelle du système d’information et de définir son plan d’évolution à moyen terme.

8.     Mettre en place une procédure d’escalade des problèmes. Dans le cadre de l’exécution des opérations courantes des difficultés peuvent survenir. Certaines sont simples et sont traitées par le personnel ou l’encadrement. D’autres sont plus complexes et seront pris en charge par un « help-desk » ou une équipe d’assistance. Tous les incidents doivent être enregistrés (voir point 10 ci-dessous) et analysés et sur la base de ces informations des améliorations informatiques, des formations ou des actions d’organisation doivent être apportées au système d’information.

9.     Prévenir l’apparition des conflits et les traiter dès qu’ils se manifestent. Souvent, les différentes unités concourant au fonctionnement du système d’information ont, face à une opération ou un incident donné, des approches assez différentes. Cela peut se traduire par des tensions, voir des conflits entre les unités concernées. Le pilote du système d’information doit rapidement détecter ces problèmes potentiels et prendre des mesures pour qu’ils ne s’enveniment pas. Dans la mesure du possible il doit veiller à prévenir leur apparition.

10.  Suivre les incidents. De nombreuses difficultés peuvent survenir dans le cadre du fonctionnement normal des systèmes d’information car ce sont des mécanismes délicats à régler. Lorsqu’un incident survient, quelque que soit la partie du système d’information concernée, il doit être enregistré, analysé et traité ([4]). Pour les suivre et les gérer il est nécessaire de disposer d’une base de données des incidents qui est accessible et renseignée par tous les intervenants. Une personne désignée doit être chargée d’analyser et de statuer sur les incidents signalés. Une information doit être retournée vers la personne ayant signalée l’incident. Certains problèmes rencontrés peuvent donner lieu à des modifications de programmes ou à des changements dans l’organisation des tâches. Le délai moyen de traitement des incidents est un indicateur important qui doit être suivi.

11.  Consulter périodiquement les utilisateurs et les décideurs pour recenser les demandes d’évolution qu’ils souhaitent mettre en œuvre ([5]). Périodiquement, et au moins une fois par an, il est souhaitable de consulter l’ensemble des personnes concernées par le fonctionnement du système d’information en leur demandant de signaler les améliorations qu’elles souhaitent voir mises en œuvre. Elles peuvent concerner les logiciels, leur paramétrage, les matériels, l’organisation ou la formation. Ce survol doit faire l’objet d’une synthèse largement diffusée. Elle permet d’identifier les opérations qui pourraient être effectuées et fixer leur priorité.

12.  Sélectionner les demandes en fonctions de critères simples (5). Toutes les opérations suggérées par les utilisateurs et les décideurs n’ont pas la même importance. Certaines sont urgentes alors que d’autres sont plutôt accessoires. Pour établir un planning des opérations il est nécessaire de les classer en fonction de critères simples comme, par exemple, la complexité du travail à effectuer, la charge de travail nécessaire, les conséquences des changements notamment organisationnelles, les coûts et les délais.

13.  Planifier les changements (5). Le pilote du système d’information a la responsabilité de définir un plan d’évolution à moyen terme du système d’information dont il a la charge. Il doit le fixer sur la base d’éléments objectifs et aussi subjectifs. Il doit évaluer la charge de travail de chaque opération demandée, la disponibilité des développeurs, la capacité de l’organisation à prendre en compte ces changements, … Il est aussi très important de tenir compte des appréciations des différentes parties prenantes. C’est l’aspect subjectif de la planification.

14.  Pratiquer la délégation de pouvoir. Le pilote n’a pas le temps d’effectuer lui-même toutes les opérations qui doivent être effectuées, notamment les changements importants. Ce sont souvent des opérations délicates qui peuvent représenter une charge de travail conséquente. Il les confie à des tiers. Cela se traduit par une délégation d’une partie de ses pouvoirs à des chefs de projets chargés, par exemple, de la réalisation de la partie informatique du système d'information, à des formateurs pour les actions de formation, à des managers et des organisateurs ([6]) afin de faire évoluer les méthodes de travail ou les processus.

15.  Suivre le planning et mesurer l’avancement (5). Le pilote doit nécessairement établir un planning des opérations qui doivent être effectuées et, périodiquement, il va mesurer leur avancement. C’est particulièrement le cas des changements apportés au système d’information mais ce suivi s’applique aussi aux opérations périodiques le concernant comme, par exemple, les clôtures (mensuelles, trimestrielles, annuelles) ainsi que certaines opérations quotidiennes délicates qui méritent d’être surveillées.

16.  Prévoir et suivre la charge de travail (5). Il est indispensable de prévoir la charge de travail nécessaire permettant d’assurer les évolutions du système d'information et ensuite de suivre la charge consommée. C’est en particulier le cas du travail des informaticiens mais aussi celui des utilisateurs et de leur encadrement qui participent au développement des systèmes d’information ([7]). Un suivi du rythme de consommation de la charge doit être régulièrement effectué.

17.  Fixer et suivre le budget des opérations (5). Chaque évolution apportée à un système d'information doit être identifiée et un budget doit être établi. Il doit comprendre les coûts correspondants à la charge de travail mais aussi tous les autres coûts notamment l’achat de matériels et de logiciels. Pour des raisons pratiques il est possible de regrouper ensemble différentes opérations. Périodiquement il est nécessaire de rapprocher le budget et les dépenses réelles afin de vérifier s’il n'y a pas eu sur ou sous-consommation de ressources. 

18.  Vérifier l’impact des changements. Une fois que les changements ont été effectués, que ce soit des modifications de programme ou des adaptations de l’organisation, il est nécessaire de s’assurer qu’elles ont effectivement été mises en œuvre et qu’elles ont produites les effets attendus.

19.  Effectuer périodiquement une évaluation du système d’information. Un système d’information opérationnel évolue, dérive et fini par dysfonctionner. Pour éviter cela il doit être périodiquement audité. Ceci doit normalement être effectué tous les deux ou trois ans. Ce travail doit être confié à un tiers neutre et compétent. Généralement il porte sur trois domaines :
·       La sécurité (accès au système, sécurité des données et des traitements, contrôles en place,…) ;
·       Les fonctions du système et en particulier leur adaptation aux travaux à effectuer, aux compétences des personnes, ...
·       Les performances du système d’information.

20.  Evaluer la valeur crée par le processus. Les systèmes d’information contribuent à la création de valeur par l’entreprise. Certains ont une influence massive indiscutable alors d’autres ont un impact plus incertain. De plus cet effet peut changer dans le temps et s’amenuiser dans le temps. Pour cette raison il est souhaitable d’effectuer périodiquement une appréciation de la contribution effective de chaque système d’information à la valeur crée par l’entreprise et d’évaluer l’impact des changements récents.  

21.  Gérer les risques. Tout système d’information doit faire face à des risques, notamment celui de cesser d’être opérationnel, de fonctionner en mode dégradé ou que des erreurs soient commises sans être détectées. Il est pour cela nécessaire d’identifier les principaux facteurs de risque et de les évaluer de façon à s’assurer que leur niveau reste raisonnable. S’il est trop élevé, des mesures doivent être prises pour diminuer le niveau de risque et, au cas où le ou les risques se manifestent, on doit avoir prévu des mesures pour reprendre le contrôle des opérations et diminuer l’impact de l’incident.

22.  Gérer la sécurité. Les systèmes d’information doivent être protégés contre les fraudes, les incidents et aussi les erreurs que peuvent commettre des différents opérateurs intervenants dans le cadre de ce système. Il faut s’assurer que des dispositifs de sécurité ont été mis en place, qu’ils sont suffisants pour atteindre le niveau de sécurité recherché et qu’ils fonctionnent effectivement. De même des consignes doivent avoir été données au personnel et il est nécessaire de s’assurer qu’elles sont effectivement appliquées.

23.  S’assurer du respect des règles de contrôle interne. Les systèmes d’information doivent respecter un certain nombre de règles fondamentales de contrôle interne comme le suivi des opérations, l’existence d’un tableau de bord, une définition claire des responsabilités, l’évaluation des risques, la gestion de la sécurité, la complétude de la documentation,…. Le management a la responsabilité de mettre en œuvre ces différents dispositifs.

Comme on le voit le pilotage des systèmes d’information est une tâche délicate. Il est pour cela nécessaire de mettre en place un dispositif adapté et efficace. La gestion des changements apportés demande une réflexion de type stratégique, une démarche planifiée et un contrôle des opérations effectuées. L’objectif est d’arriver à faire évoluer les systèmes d’information de manière régulière et efficace. Il est pour cela indispensable qu’il existe un responsable de la gestion et du pilotage de ses évolutions de chaque système d’information.

Voir la suite : Les bonnes pratiques en matière de gestion de l’évolution des systèmes d'information



[1] - Il ne faut pas confondre la fonction de pilote d'un système d'information avec celle de maître d'ouvrage qui est un terme très général qui désigne la personne ayant la responsabilité de la conception du système d’information. Il faut noter que ce schéma ne correspond pas toujours aux pratiques observées.
[2] - S’il n’y a qu’un seul utilisateur du système d’information le pilotage devient beaucoup plus simple, mais ce n’est pas la situation la plus fréquente.
[3] - Parfois, il arrive que le comité de pilotage ait tendance à devenir un organisme chargé de juger le pilote du système d’information. Mais imaginer que c’est un tribunal est une mauvaise pratique contre laquelle il faut lutter.
[4] - Ce traitement ne doit pas être confondu avec l’ouverture des tickets au helpdesk lorsqu’un utilisateur l’appel. Cependant une partie des problèmes qui sont signalés par les utilisateurs sont des incidents mais il y a dans le flux d’appels de nombreuses autres demandes.
[5] - Cette bonne pratique est commune à ce domaine et au domaine suivant : « les bonnes pratiques en matière de gestion de l’évolution des systèmes d’information ».
[6] - Jadis de nombreuses entreprises, notamment les banques et compagnies d’assurance, avaient dans leurs équipes des organisateurs. Aujourd’hui ils ont disparu. Leur rôle est pris en charge par les chefs de projets, le maître d’ouvrage, les analystes,… Il n’est pas certain qu’on ait gagné au change.
[7] - Très souvent la charge de travail des utilisateurs, des maîtres d’ouvrage et des décideurs n’est pas pris en compte dans les budgets. Ceci amène des sous-évaluations significatives et entraîne l’apparition de goulets d’étranglement qui peuvent se traduire par des retards significatifs.