Gouvernance des technologies de l'information

La gouvernance des Technologies de l'Information concerne la direction des opérations, les structures de l'organisation et les processus à mettre en œuvre qui permettent à l'organisation informatique de supporter et de développer la stratégie et les objectifs de l'organisation^[1].

La gouvernance des technologies de l'information (en anglais Information Technology Governance ou IT Governance) fait partie du domaine de la gouvernance d'entreprise appliquée au domaine des Technologies Informatiques et plus généralement des Technologies de l'Information. Son objectif est de mieux les contrôler. Son objectif est d'améliorer les processus de création de valeur, tout en tenant compte de de la gestion des risques et des performances des Technologies Informatiques. L’intérêt croissant porté au gouvernement d'entreprise est lui même dû aux différentes initiatives prises au cours de ces dernières années pour renforcer le niveau de contrôle interne des entreprises comme par exemple dans la loi Sarbanes-Oxley aux États-Unis et la réglementation bancaire Bâle II en Europe. D'une manière plus générale cet attrait pour la gouvernance s’explique par la prise de conscience générale que les investissements dans les Technologies de l’Information peuvent échapper au contrôle du management des entreprises, et que cela peut avoir un impact important sur les performances de l'organisation.

Une des idées clé de la gouvernance des technologies de l'Information est d'éviter que l'informatique soit une boîte noire. Traditionnellement, le management général des entreprises se sent peu concerné par l'informatique et, quand un problème survient, on s'en remet au responsable informatique de l'entreprise. Il faut corriger cela.

La gouvernance des technologies de l'Information vise à l'implication de toutes les parties prenantes y compris les membres du Comité de Direction de l'entreprise, voire le conseil d’administration, ainsi que les principaux clients internes de l'informatique.

C'est une démarche reposant sur la mise en œuvre des bonnes pratiques, qui permet à l’organisation de s'assurer que ses investissements informatiques contribuent à la création de valeur, d’accroître la performance des processus informatiques et de leur orientation clients, de garantir que les risques liés au système d’information sont sous contrôle, de maîtriser les aspects financiers du système d’information, et de développer les solutions et les compétences en TI, dont l’organisation aura besoin dans le futur, tout en développant la transparence de ses actions entreprises^[1].

Enjeux de la gouvernance des Technologies de l'Information

L'idée clé de la gouvernance des technologies de l'Information est d'aligner l'informatique sur la stratégie de l'entreprise. Elle montre aussi le rôle du management du système d'information et du management général de l'entreprise dans sa mise en œuvre.

Selon l'ITGI les cinq piliers de la gouvernance informatique ^[2]sont :

• l’alignement stratégique (« IT Strategic Alignment »),
• la fourniture de valeur (« IT Value Delivery »),
• la gestion des risques informatiques (« IT Risk Management »),
• la gestion des ressources informatique (« IT Resource Management » ).
• la mesure des performances (« Performance Measurement »),

La gouvernance des technologies de l’information a pour objectif de mettre en œuvre la stratégie de l’entreprise et notamment de saisir les différentes opportunités de développement qui s’offrent à l'entreprise. Ainsi la gouvernance des TI participe à la création de valeur, permet d’optimiser l’utilisation des ressources informatiques et de gérer les risques liés à sa mise en œuvre.

L’enjeu majeur de la gouvernance des TI est de développer la création de valeur, et donc des richesses de l'entreprise. Elle a aussi pour objectif d’améliorer les processus de gestion de l’entreprise et de mieux maîtriser les aspects financiers de son activité. On va pour cela chercher à anticiper les besoins futurs de l’entreprise. Cette démarche a pour but d'améliorer l’efficience et l’efficacité des DSI.

Cette approche a été développée à partir d'un article paru en 2005 dans la Harvard Business Review par l’article de Richard Nolan et F. Warren McFarlan : « Un comité de direction a besoin de comprendre l'ensemble de l'architecture du portefeuille des applications informatiques de l'entreprise .... Le comité de direction doit s'assurer que le management connaît les ressources informatiques qui lui sont affectées, quelles sont les conditions de leur mise en oeuvre et le rôle qu'elles vont jouer afin de créer de nouveaux revenus... » A board needs to understand the overall architecture of its company's IT applications portfolio … The board must ensure that management knows what information resources are out there, what condition they are in, and what role they play in generating revenue…^[3].

Cette idée a été reprise par l'ITGI : "Les objectifs généraux de la gouvernance des TI sont de comprendre leurs enjeux et leur importance stratégique, pour s'assurer que l'entreprise peut maintenir sa capacité opérationnelle et qu'elle peut mettre en place les stratégies nécessaires à l'extension de ses activités dans l'avenir. La gouvernance des TI vise à s'assurer que les TI répondent bien à ce qu'on attend d'elles, et que les risques sont contenus"^[4].

Démarche de mise en place d'une gouvernance des technologies d'information

Étapes de la démarche

Démarche théorique

La gouvernance des TI repose sur cinq axes d'actions^[5]:

• aligner le système d’information sur la stratégie de l’entreprise,
• apprécier et optimiser la performance du système d’information,
• évaluer la valeur et la rentabilité du système d’information déployé,
• identifier et maîtriser le risque opérationnel lié au système d’information,
• anticiper et prendre en compte de manière pragmatique les évolutions futures.

La gouvernance des TI regroupe l'ensemble des moyens permettant de piloter et contrôler les activités de l'entreprise. La notion de gouvernance s'est développée avec la législation et la réglementation Sarbanes-Oxley (SOX, Bâle II, LOLF 2). De même les actionnaires (privés ou publics) demandent plus de transparence et d'efficacité.

Aligner les Technologies de l'Information sur les métiers, induit que les SI participent à la création de valeur et donc de richesse par l'entreprise. C'est l'objectif de la démarche Val IT : "Le cadre de référence Val IT est une démarche facile à comprendre et pragmatique qui favorise la création de valeur à partir des investissements informatiques effectués. Conçu pour s'aligner et compléter CobiT, Val IT comprend un ensemble de principes de gouvernance, pratiques et ayant fait leurs preuves, de processus, de pratiques et d'orientations qui aide les conseils d'administration, les équipes de dirigeants et les autres décideurs de l'entreprise à maximiser la valeur dégagée de leurs investissements informatiques" ^[6]

Il y a trois étapes dans la vie d'une Direction du Système d'Information :

• La DSI comme centre de coûts,
• La DSI comme centre de services,
• La DSI comme partenaire à la création de richesse.

Il est indispensable que les dirigeants soient moteur; en effet, la richesse provenant des métiers cœurs de l'entreprise (Core Business), la DSI doit connaître leur processus et leur stratégie qu'elle traduira en moyens informatiques.

Les évolutions de l’entreprise : changements de stratégie, réorganisations internes, sont de nature à rendre inadéquates et obsolètes les démarches mises en œuvre. La gouvernance doit être évolutive afin qu’elle s’adapte à la croissance inévitable de l’entreprise.

L'évaluation de la gouvernance des TI

C'est une démarche destinée à faire reconnaître par un organisme la conformité de la gouvernance des TI dans le but de donner confiance à ses différents partenaires. Cette démarche repose sur un cadre de référence reconnu. Il doit permettre de garantir :

• Une meilleure évaluation de la performance des Systèmes d'information,
• Une gestion plus efficace des ressources informatiques,
• Une gestion des risques pertinente,
• Une amélioration de la valeur des services de l’organisation grâce aux Technologies de l'Information,
• Une meilleure adéquation des Systèmes d'Information à la stratégie de l’entité.

Sur la base de cette évaluation il est possible de proposer un certain nombre de recommandations.

Certification

La certification de la gouvernance des TI est une certification des personnes qui effectuent ces missions. L’ISACA (Information Systems Audit and Control Association) a créé en 2007 une certification dans le domaine de la gouvernance d’entreprise appelée Governance of Enterprise Information Technology (CGEIT). Cette certification est destinée aux professionnels expérimentés qui peuvent démontrer 5 années d’expérience ou plus passées dans un poste de direction ou de conseil axé sur la gouvernance et le contrôle des Technologies de l’Information à un niveau de l’entreprise. Cette certification nécessite de réussir un examen de quatre heures servant à évaluer les compétences générales des postulants à la certification en termes de gouvernance et de gestion des technologies de l’information. Le premier examen a eu lieu en décembre 2008.

Normalisation de la Gouvernance TI

L'ISO a publié en 2008 une norme définissant la Gouvernance des technologies de l'information par l'entreprise : ISO/IEC 38500^[7]. Elle reprend la norme australienne AS8015 définie par l'Australien Computer Society Governance of ICT Committee. C'est un guide destiné au management des entreprises précisant leur rôle pour la mettre en place : "Les directeurs doivent mettre en place la gouvernance IT grâce à trois tâches principales :

1. L'évaluation de l'utilisation de l'informatique actuelle et future.
2. La préparation directe et la mise en place de plans et de politiques pour assurer que les applications informatiques concourent effectivement à la réalisation des objectifs généraux de l'entreprise.
3. Piloter la conformité des politiques et des performances permises grâce à la mise en place des plans."

La norme liste les tâches que les directeurs doivent effectuer pour assurer la gouvernance des TI. Elles concernent :

1. leurs responsabilités dans ce domaine,
2. la stratégie qu'ils doivent mettre en œuvre,
3. l'acquisition des investissements informatiques,
4. les performances obtenues grâce à ces opérations,
5. la conformité des systèmes informatiques,
6. les comportements des personnes.

Limites et problèmes

Très souvent on confond la gouvernance des technologies de l'information et la gouvernance des systèmes d'information. Ce n'est pas le même objet ni la même démarche. La gouvernance des technologies de l'information s'occupe de l'utilisation efficace de l'informatique pour améliorer l'efficacité et la productivité des entreprises ou des organisations. La gouvernance des systèmes d'information a pour but d'améliorer le fonctionnement des systèmes d'information des entreprises et, plus généralement des organisations. Elle concerne non seulement la Direction du Système d'Information mais aussi tous les métiers de l'entreprise qui concourent à la création de valeur grâce aux systèmes d'information.

La gouvernance du système d’information reste trop souvent un discours et se traduit par un document théorique et formel. Dans ces conditions il est assez difficile à la mettre en place de manière opérationnelle. Ceci est dû à la confusion des objectifs et des démarches.

La gouvernance du système d’information consiste d'abord à définir le domaine du système d'information puis à lui fixer des objectifs liés à la stratégie de l'entreprise. Ensuite il est nécessaire de définir la manière dont le système contribue à la création de valeur par l'entreprise enfin il est important de préciser le rôle des différents acteurs en tenant compte de leurs enjeux de pouvoir. Notamment, est-ce que le Direction du Système d'Information est responsable de la mise en œuvre du système d'information où n'est ce pas plutôt le rôle des métiers ou des maîtres d'ouvrage ?

Notes et références

1. ↑ ^{a et b} Source : Institut de la Gouvernance des TI (ITGI)
2. ↑ IT Governance : Pilotage de l'informatique pour dirigeants d'entreprise, pages 33 à 45, AFAI
3. ↑ Nolan, Richard. and F. Warren. McFarlan (2005). Information Technology and the Board of Directors., Harvard Business Review (October 2005)
4. ↑ IT governance : pilotage de l'informatique pour dirigeants d'entreprises, page 11, AFAI
5. ↑ Selon Gina Gullà-Ménez, Directeur de l’Audit des Processus et des Projets SI chez Sanofi-Aventis
6. ↑ Entreprise Value : Governance of IT Investments, The Val IT Framework 2.0, IT Governance Institue, ISACA
7. ↑ ISO/IEC 38500 Corporate Governance of information technology

Voir aussi

Articles connexes

• Management du système d'information
• CobiT
• Val IT
• Association Française de l’Audit et du Conseil Informatiques
• Gestion des données de référence
• Qualité des données
• Architecte de données
• Gouvernance des systèmes d'information

Liens externes

• Association Française de l'Audit et du conseil Informatique (AFAI) [1]
• Club Européen de la Gouvernance des Systèmes d'information [2] ou Information Systems Governance European Club [3]
• Australien Computer Society Governance of ICT Committee [4]

Bibliographie

• IT Governance : Pilotage de l'informatique pour dirigeants d'entreprises, traduction de "Board Brifing on IT governance", 2th edition 2003, en français AFAI, Cigref, ITGI, 2004,ISBN : 2-915007-00-4
• Van Grembergen W., Strategies for Information technology Governance, IDEA Group Publishing, 2004, ISBN 1-59140-284-0
• Georgel F., IT Gouvernance : Maîtrise d'un système d'information, Dunod, 2004(Ed1) 2006(Ed2), 2009(Ed3) (ISBN 2-10-052574-3)
• Franck Régnier-Pécastaing, Michel Gabassi et Jacques Finet, MDM - Enjeux et méthodes de la gestion des données, Collection InfoPro - Management des Systèmes d'Information, éditions Dunod (2008).