Principes fondamentaux de la gouvernance, déclinée jusqu'à la gouvernance SI. Origine, définition, fondations, objectifs, acteurs, compétences, outils.
Bonjour,
Je vais vous présenter ce qu’est la gouvernance,
et plus particulièrement la gouvernance informatique ou la gouvernance des systèmes d’informations,
que l’on nomme « GOUVERNANCE IT ».
Je suis Nicolas PIGNAL, Consultant Coach de 53 ans;
J’ai passé l’essentiel de ma carrière à accompagner des managers dans le cadre de directions de projets importants ou de conseils;
Depuis 4 ans, j’interviens aussi en qualité de coach et utilise cette compétence en complément de mes interventions de consulting.
Je me suis spécialisé dans
le management,
l’assistance à Maîtrise d’ouvrage,
la gestion des relations internes et le coaching,
la conception et la mise en œuvre de processus d’entreprise,
les tableaux de bord et le suivi qualité informatique.
Déroulement de cette formation :
Nous allons tout d’abord nous efforcer de définir la notion de gouvernance et de ses déclinaisons (G. d’entreprise, G. IT et 1 mot sur les autres types);
Nous verrons ensuite sur quoi s’appuie la gouvernance IT, quels sont les piliers permettant de répondre aux attentes d’une bonne gouvernance;
Puis nous identifierons les compétences sollicitées
et les outils permettant de mettre en œuvre une gouvernance de qualité.
Cette formation dure environ 25mn.
4
5
6
LA GOUVERNANCE D’ENTREPRISE :
Hormis l’identification spécifique des acteurs, l’ensemble des principes de gouvernance s’applique complètement à la Gouvernance d’Entreprise.
Pour une bonne Gouvernance d’Entreprise, les acteurs principaux sont :
les actionnaires
les partenaires de l’Entreprise (fournisseurs et clients inclus)
les dirigeants
les managers
et les représentants des employés
La Gouvernance d’Entreprise est constituée de
l’ensemble des organes et règles de décision, d’information et de surveillance
permettant aux ayants droit et partenaires d’une institution (entreprise),
de voir leurs intérêts respectés et leurs voix entendues dans le fonctionnement de celle-ci.
Cela consiste à mettre en œuvre tous les moyens pour que l’entreprise puisse atteindre ses objectifs de façon
transparente,
efficiente,
et respectueuse des attentes de ses parties prenantes.
C’est le conseil d’administration qui
fixe les orientations stratégiques au travers de plans directeurs ou business plan,
assure la supervision de la direction grâce aux assemblées du CA
et favorise l’émergence de valeurs de probité (c’est-à-dire l’observation scrupuleuse des règles et devoirs) et d’excellence au sein de l’entreprise en définissant
les principes fondamentaux de fonctionnement,
les objectifs à atteindre,
l’image à véhiculer,
et les moyens de mise en œuvre.
LA GOUVERNANCE INFORMATIQUE
La gouvernance d’entreprise peut se diviser en sous-ensembles tels
que la gouvernance financière,
la gouvernance sociétale
et la gouvernance informatique.
Il pourrait y avoir d’autres type de gouvernance comme par exemple la gouvernance de production.
La Gouvernance IT est la déclinaison de la gouvernance d’entreprise au domaine des technologies de l’information.
Elle représente un intérêt particulier du fait de son impact global en termes de gestion, de production, de GRH, ou de finances.
Par conséquent, c’est plutôt sur celle-ci qu’il est, le plus souvent, mis l’accent.
Les acteurs sont :
le CA
la direction des SI
les managers du service informatique
Sa vocation est de permettre de prendre des décision et d’informer le CA
dans le respect des règles de transparence,
garantissant que l’organisation informatique supporte parfaitement les objectifs et stratégies de l’entreprise.
La gouvernance IT s’appuie sur 5 piliers
permettant de répondre aux attentes des parties prenantes
en respectant les règles de transparence définies.
Ces 5 piliers sont :
l’Alignement de la stratégie informatique avec celle de l’entreprise
l’Apport de valeur, la création de plus-value, l’optimisation, la recherche d’efficience
la Gestion des risques informatiques, mise en corrélation avec les risques de l’entreprise
la Gestion des ressources, techniques, financières, humaines, de façon rationnelle et équilibrée
la Mesure de la performance en termes de quantités, de qualité, et d’amélioration continue
Nous allons voir comment construire ces 5 piliers de façon à garantir leur solidité, et ainsi permettre à l’entreprise de s’appuyer sur son service informatique non seulement sans risque, mais avec la certitude de fournir un produit sain dans les meilleurs conditions.
L’ALIGNEMENT STRATEGIQUE
Il s’agit de s’assurer que le service informatique est aligné avec l’entreprise sur :
Les orientations, le business plan, les plans stratégiques, les plans métiers, le schéma directeur, le plan de développement, les plans opérationnels, les plans marketing, les plan de communication, etc…,
Le fonctionnement du service informatique qui doit être en harmonie avec celui de l’entreprise, en termes de méthodologie, de principes adoptés, de gestion des risques et de niveau de risques adopté,
Les investissements, le budget, le contrôle des dépenses informatiques. Les investissements doivent correspondre à la réponse objective des projections de business,
Et enfin, la valeur attendue par l’entreprise et les métiers consommateurs, clairement définis par des indicateurs pertinents.
L’APPORT DE VALEUR :
La première valeur que doit apporter le service informatique est le respect de son engagement de base, à savoir :
« livrer les projets dans les délais et les coûts prévus, avec la qualité voulue ».
Mais au-delà, la valeur produite par le service informatique peut prendre différentes formes :
création directe de bénéfices pour l’entreprise, par exemple en fournissant plus d’information plus pertinentes, plus lisibles et plus rapidement que sans l’informatique
réduction des coûts, par exemples en remplaçant un système gourmand en logistique et en ressources par un traitement informatique
optimisation des processus d’entreprise, par exemple en les simplifiant, en augmentant les ajustements automatisés, en les rendant plus rapides, en assurant une meilleure surveillance et une meilleure réactivité
La valeur crée ne peut être mesurée que si elle est comparée à des objectifs chiffrés proposés en amont. D’où la nécessité de définir ces objectifs, ainsi que les indicateurs associés, lors de l’établissement des plans directeurs.
Des contrôles d’application des règles permettant de produire la valeur promise devront se faire tout au long du cycle de fourniture du service informatique. Il s’agit essentiellement d’un suivi qualité des processus de production.
La direction du service informatique devra aussi rassurer le conseil d’administration et les métiers sur sa capacité et fiabilité en garantissant sa compétitivité avec les autres offres du marché. Donc, il devra mettre en place un système de veille technologique pour ne pas être dépassé, et une veille au niveau des offres de service externes à l’entreprise, afin de démontrer en permanence le bien fondé de son existence.
Afin de s’assurer qu’il apporte bien les bénéfices attendus, le service informatique devra confronter en permanence se qu’il produit et les conditions dans lesquels il le produit, avec les attentes définies dans le plan stratégique de l’entreprise. Les indicateurs suivis permettront de s’ajuster.
Comme on l’a vu plus haut, le service informatique devra rester vigilant sur toutes les opportunités d’optimisation qui peuvent démontrer la valeur intrinsèque des SI. Cette vigilance est aussi un gage de confiance pour le CA.
Enfin, le service informatique ne manquera pas d’assurer un plan de communication mettant en valeur la maîtrise de son activité, son efficience, et son apport à la bonne image de l’entreprise.
LA GESTION DES RISQUES :
Une bonne gestion des risques informatiques fait appel à plusieurs exigences :
la conscience des risques de la part des managers et une vision claire de l’appétence de l’entreprise pour le risque, permettant de prendre des risques en rapport avec ceux pris au niveau de l’entreprise
bien connaître les exigences de conformité et mettre en œuvre les règles associées permettant de limiter les risques, s’appuyer sur des référentiels tels que RiskIT ou la norme ISO 27001
une surveillance pointue, une grande réactivité, et la transparence sur les risques identifiés
une organisation, des processus, et des responsabilités clairement définis sur la gestion des risques
Le service informatique assurera sa légitimité à gérer les risques en :
Informant rapidement des risques significatifs
Assurant qu’en dernier ressort, la responsabilité de la gestion des risques incombe au Conseil d’Administration
Démontrant que le système de contrôle interne mis en place pour gérer les risques a souvent la capacité de générer de la rentabilité, la capacité d’anticipation permettant souvent d’éviter des dépenses importantes
Montrant qu’une approche transparente et proactive de la gestion du risque peut créer un avantage concurrentiel et doit faire partie du fonctionnement de l’entreprise
LA GESTION DES RESSOURCES :
La gestion des ressources concerne les ressources techniques, humaines, et financières.
Les ressources techniques couvrent le matériel hardware, les logiciels et programmes software, et les infrastructures et services liés aux réseaux internes et externes (le Netware).
On s’attachera à utiliser et allouer les ressources correctement, avec un investissement optimal, dans le seul but de répondre aux besoins de l’entreprise.
On aura tout intérêt à faire évoluer les ressources humaines en augmentant le niveau de connaissance par des formations, des transferts de compétences, et la pratique.
Il sera aussi profitable d’optimiser l’infrastructure technique, particulièrement au niveau des réseaux, qui constitue un levier à fort potentiel, du fait de la rapidité de leur évolution et de leur intégration, et de l’évolution permanente des services fournis.
De plus, la possibilité d’externaliser une partie du service informatique peut s’avérer intéressante. Les solutions proposées aujourd’hui sont de plus en plus compétitives et de mieux en mieux encadrée par des bonnes pratiques. Une analyse détaillée du « quoi, où, comment, et pour combien ? » externaliser est nécessaire. On pourra s’appuyer sur le référentiel e-SCM pour réussir une externalisation.
La DSI doit s’assurer :
que les responsabilités et leur périmètre sont clairement définis
qu’on applique bien les méthodes pour gérer les projets et systèmes informatiques, et que les compétences sont suffisantes
que les ressources techniques, humaines et financières sont utilisées à bon escient
que la gestion des RH et les besoins en formation sont pris en compte
et que le temps nécessaire et les moyens pour gérer l’activité sont prévus
Globalement, la Direction doit s’assurer que les ressources informatiques sont utilisées avec efficience.
LA MESURE DE LA PERFORMANCE :
Il s’agit de l’ensemble des systèmes mis en place pour assurer la surveillance de la performance aux niveaux de :
la mise en œuvre de la stratégie,
le suivi et la réalisation des projets,
l’utilisation des ressources,
l’efficacité des processus,
et la fourniture des services.
Pour parvenir à réaliser convenablement la mesure de performance, il convient d’utiliser les outils décisionnels permettant de :
fixer les indicateurs à surveiller,
d’assurer leur suivi,
et de contrôler leur alignement avec les attentes du Conseil d’Administration.
En tout état de cause, pour délivrer un reporting efficace, le service informatique doit assurer :
la transparence de l’information,
l’accessibilité à l’information,
la fiabilité des données,
la sécurité des données,
et la traçabilité de l’information
Afin de mettre en œuvre la gouvernance, il convient de réaliser au préalable une analyse de maturité.
Il s’agit, pour chaque dimension de la gouvernance informatique :
de faire un état des lieux,
d’élaborer des recommandations,
et enfin, d’établir un plan d’actions.
L’analyse portera au moins sur les points suivants :
Pour l’alignement stratégique :
le schéma directeur, (stratégie SI, plans opérationnels),
le positionnement de la DSI au sein de l’entreprise, (poids dans les décisions, dépendances hiérarchiques, composition, délégations),
l’organisation et maturité (utilisation de méthodes, bonnes pratiques, référentiels),
et compétences (niveau, plan d’amélioration, externalisation),
Pour la création de valeur, l’analyse portera sur :
la démonstration de la valeur (tant au niveau des projets que des activités de la DSI, l’existence d’indicateurs, le feedback du Conseil d’Administration et des métiers),
la justification économique des projets (investissements à de bonnes fins, compétitivité),
la typologie de bénéfices (création directe, réduction de coûts ou optimisation des processus),
la diversité du portefeuille de projets
la perception de la DSI et son impact sur l’image d’entreprise (DSI capable, efficace, souple, réactive, communicante).
Pour la gestion du risque, elle portera sur :
l’existence d’une gestion des risques,
la clarté des responsabilités,
sa réactivité et son efficacité en cas de crise.
Pour la gestion des ressources, on regardera :
la gestion des actifs matériels et logiciels,
les plans d’amélioration et d’optimisation,
leur allocation et utilisation rationnelle,
la politique de sous-traitance et d’externalisation.
Enfin, pour la mesure de performance, l’analyse portera sur :
les pratiques en matière de pilotage et de contrôle de la gestion informatique (tableaux de bord, reporting, etc.).
Pour mettre en place un système de gouvernance, de nombreuses compétences sont sollicités, de la bonne utilisation des méthodes, des référentiels et des outils, au savoir-être.
En termes de méthodes :
La bonne connaissance des concepts de gouvernance et du fonctionnement d’un Conseil d’Administration est nécessaire,
Ainsi que ce qu’est un schéma directeur, un business plan ou un plan opérationnel,
La pratique du pilotage d’activité, de la définition des indicateurs et du contrôle qualité est recommandée.
Les référentiels et recommandations suivantes devront être connus afin de s’inscrire directement dans les bonnes pratiques de la gouvernance :
Les référentiels informatiques (gestion, développement, pilotage, externalisation, …),
Gestion des risques,
Recommandations à l’origine des règles de gouvernance.
Les outils qui permettront la mise en œuvre d’une gouvernance, mais aussi ceux qui seront utilisés pour la gouvernance elle-même doivent être maîtrisés :
Identification des rôles,
Modélisation de processus,
Amélioration continue,
Anglais,
Tableaux de bord prospectifs,
Identification des opportunités,
Reporting et outils de représentation graphique.
Enfin, certaines compétences humaines sont indispensables pour mener à bien une mission de mise en place d’un système de gouvernance. Il s’agit essentiellement de compétences relationnelles.
Tout d’abord COBIT.
Il s’agit du référentiel principal de gouvernance des SI. Il permet de d’établir les liens entre
les besoins métiers
les ressources informatiques
les processus IT
et l’information du Conseil d’Administration
COBIT (V4) regroupe un ensemble de bonnes pratiques dans un cadre de référence par domaine et par processus et présente les activités dans une structure logique facile à appréhender.
Les bonnes pratiques de COBIT sont le fruit d’un consensus d’experts.
Elles sont très axées sur le contrôle et moins sur l’exécution des processus.
Elles ont pour but d’aider à optimiser les investissements informatiques, à assurer la fourniture des services et à fournir des outils de mesure auxquels se référer pour évaluer les dysfonctionnements.
Les processus sont répartis en 4 processus majeurs :
Planifier et Organiser,
Acquérir et Implémenter,
Délivrer et Supporter,
Surveiller et Évaluer.
Ceux-là sont ensuite répartis en 34 processus.
Le Radar est un exemple de représentation graphique particulièrement bien adapté au besoin du suivi de la gouvernance.
La roue de Deming, aussi appelée « cycle PDCA » est un concept de démarche qualité qui recommande l’enchaînement perpétuel de 4 étapes :
Planifier (Plan),
Réaliser (Do),
Contrôler (Check),
Agir (Act).
Chaque étapes est détaillée de façon à garantir une amélioration continue, que ce soit au niveau du produit ou du processus de production.
Le SWOT permet de comprendre les
forces (Strengths) et
faiblesses (Weaknesses),
et d’identifier à la fois les opportunités (Opportunities) qui s’offrent
et les menaces (Threats) auxquels l’entreprise ou l’entité est confrontée.
Cela permet d’échafauder une stratégie pour se distinguer ou pour répondre à une nécessité.
Le Balanced ScoreCard :
Il s’agit d’un ensemble de tableaux de bord prospectifs permettant d'élaborer une stratégie en respectant l'équilibre selon 4 perspectives pour lesquelles on se pose une question fondamentale :
Perspective Financière : Quelle est la valeur créée pour les actionnaires ?
Au niveau des Clients : Quelle est la valeur créée pour les clients ?
Pour les Processus Internes : Quelle est la performance des processus-clés de la réussite ?
Au sujet de l’Apprentissage Organisationnel : Quelle est notre capacité à progresser ?
Le CMMI est un modèle d'évaluation de maturité pour le développement de systèmes, produits, ou logiciels. Il participe à la démarche d’amélioration continue.
Il a pour objectif la maîtrise des processus d'ingénierie et par conséquent la maîtrise de la qualité des produits et des services issus de ces processus.
Ce modèle s'appuie sur 25 domaines de processus, permettant à l’entreprise d'initier un travail de réflexion et d'actions sur ses processus organisationnels.
Les 25 domaines sont regroupés par niveaux de maturité sur une échelle de 1 à 5.
L’entreprise peut alors gravir les niveaux au fur et à mesure de l’amélioration de ses compétences.
ITIL est un référentiel de bonnes pratiques en matière de gestion du système d’information,
basé sur une démarche centrée sur le client et orientée processus.
La gouvernance implique une vision exogène la distinguant du simple pilotage
Elle touche à la réflexion, la prise de décision, et à l'évaluation d’une activité
Elle est basée sur un principe de transparence
Ses 5 piliers sont :
L’alignement stratégique
La création de valeur
La gestion des risques
La gestion des ressources
La mesure de la performance
Les outils de mesure de maturité sont aussi des outils de pilotage de la gouvernance
Cette formation se termine,
Vous connaissez maintenant les bases de la gouvernance IT …
Si vous êtes intéressés pour aller plus loin,
sachez que j’interviens en missions
d’assistance managériale
de management de transition
formation
consulting
ou de coaching
Je vous remercie pour votre attention.