De l’importance de la Gouvernance du SI
Beaucoup pensent que la Gouvernance du Système d’Information (en anglais GEIT) est un sujet complexe. Les mots qui viennent immédiatement à l’esprit sont «Aride, Ennuyeux, Vague, Irréaliste ». Ceci est essentiellement dû à l’utilisation intensive de jargon comme « alignement stratégique, transformation organisationnelle, création de valeur, création de synergie », d’énoncés compliqués de vision et de mission, que le commun des mortels trouve difficile à comprendre.
Le résultat est que la gouvernance du SI est aussi mal adoptée que la gouvernance des entreprises en raison de l’absence de compréhension de son rôle vis à vis d’une Organisation.
La Gouvernance du SI? C’est quoi?
Bien évidemment, elle est sans importance pour les start-ups et les entreprises nouvellement créées au moins durant leurs premières années d’activité, jusqu’à ce qu’elles atteignent un certain niveau de maturité et une taille critique qui les amèneront à se doter d’un conseil d’administration, lequel aura besoin d’un cadre de gouvernance. Ce cadre met en place des politiques de haut niveau, nécessite un alignement de l’entreprise sur les attentes de ses parties-prenantes (actionnaires et/ou propriétaires, partenaires d’affaires, clients, état), un grand niveau de transparence dans le fonctionnement de l’entreprise, des méthodes pour en mesurer la performance et, plus important, se conformer aux lois, règlementations et accords contractuels.
Supposons que nous n’avons pas l’obligation de fournir des rapports au conseil d’administration et que nous ne sommes pas non plus obligés de respecter la conformité à des lois telles que SOX qui nous oblige à considérer la gouvernance comme une pratique incontournable.
L’objectif de cet article est donc simplement d’étudier dans quelle mesure une initiative d’implémentation de gouvernance du SI peut bénéficier à des petites et moyennes entreprises (PME).
Voici quelques raisons :
- Tirer un avantage business concurrentiel grâce à l’innovation ou à l’adoption précoce d’une technologie nouvelle.
- S’aligner sur les stratégies et les objectifs de l’Organisation et aider ses métiers à les atteindre.
- Déplacer la focalisation de l’informatique vers les résultats business plutôt que sur des aspects technologiques.
- Définir les structures et les processus qui assurent un retour sur l’investissement informatique grâce aux avantages business apportés et permettent d’assurer la transparence des dépenses informatiques.
- Gérer les risques de l’entreprise liés aux technologies de l’information.
- Permettre de répondre dans des délais courts aux besoins changeants de l’entreprise, du marché ou des facteurs environnementaux.
- Gérer l’augmentation exponentielle des coûts informatiques qui ne génère aucune augmentation directe de la valeur au niveau de l’entreprise.
- Couvrir le besoin de sécurité de l’information, des processus, des infrastructures et des applications.
- Empêcher l’IT de devenir un goulot d’étranglement pour l’Entreprise lorsque la demande de ressources informatiques croît de façon exponentielle.
- Atteindre l’excellence opérationnelle à travers l’utilisation fiable, efficace de la technologie.
- Améliorer globalement l’expérience d’engagement du business avec l’IT et ses services.
- Transformer les données en informations de qualité nécessaires à la prise de décisions business
COBIT, encore un autre référentiel?
Le référentiel COBIT®, publié par l’ISACA, est aujourd’hui le standard de l’industrie et cadre le plus largement adopté en matière de Gouvernance du SI. Depuis sa création en 1996, il a évolué d’une grille d’audit informatique vers un cadre de contrôle et finalement un cadre de gouvernance du SI avec la publication de COBIT® 5 en 2012. COBIT® 5 est un référentiel complet en termes de couverture, qui doit être adapté à chaque entreprise, en tenant compte de la nature de ses activités et de ses besoins spécifiques, du caractère unique de sa fonction informatique et de divers facteurs internes et externes.
COBIT® 5 a été conçu pour s’aligner avec les autres normes, cadres, méthodologies et meilleures pratiques du marché tels que ITIL®, TOGAF, PRINCE2® / PMBOK, ISO31000, ISO 27001, etc. Ses 37 processus se recouvrent avec ceux définis dans les autres normes et référentiels et fait de COBIT® 5 un cadre dominant l’entreprise de façon globale, de bout en bout.
OK, mais on a déjà implémenté ITIL ! Et ISO 27001 !!
L’adoption de cadres de bonnes pratiques par les départements informatiques a pour but de fournir, de façon plus efficace et efficiente, des services IT aux entités business en fonction de leur demande. Quand l’IT démarre son périple en vue de mieux soutenir le Business, une chaîne d’événements va s’enclencher qui exige d’adopter des normes et des bonnes pratiques qui répondant aux besoins de services des métiers de la façon suivante :
- Le besoin initial de fournir une qualité de service de soutien au quotidien nous amène souvent à adopter les meilleures pratiques dans la gestion des services IT, à savoir ITIL®.
- Pour répondre aux besoins urgents de sécurité, on entreprend l’implémentation d’un SMSI (système de management de la sécurité de l’information) basé sur la norme ISO27001.
- Une augmentation ultérieure des investissements informatiques amène à l’adoption de référentiels de gestion de portefeuille, de programme et gestion de projet et, par exemple, à l’adoption de PRINCE2® / PMBOK.
- Les investissements continuels dans l’IT résultent en une infrastructure informatique très complexe qui nécessite d’envisager sérieusement des modèles d’architecture d’entreprise tels que TOGAF.
… et ainsi de suite…
Dans quel ordre on procède?
L’ordre d’adoption des différentes normes et référentiels peut varier d’une Organisation à l’autre, mais pour superviser et coordonner tout cela, à un moment donné, la nécessité d’un cadre global de gouvernance s’impose.
COBIT® 5 se base sur 5 principes, 7 facilitateurs (Enablers) et 37 processus répartis sur 5 domaines. Afin de rester concis, concentrons-nous, dans cet article, sur les 37 processus illustrés dans le schéma ci-dessous et sur leur alignement avec les autres normes et référentiels de bonnes pratiques.
Pour mieux comprendre et apprécier la manière dont toutes les normes / cadres / méthodologies / bonnes pratiques cohabitent dans le modèle de référence des processus COBIT 5 et vous présenter de façon simple une information qui est par ailleurs difficile à trouver, j’ai réalisé un petit tableau, non exhaustif, qui cartographie diverses aspects de COBIT® 5 par rapport aux autres normes et référentiels existant.
Alors, pas besoin de tout jeter?
Si l’on a mis en œuvre certaines des normes et bonnes pratiques ci-dessus au cours du cycle de croissance de l’entreprise, alors il n’est pas nécessaire d’implémenter l’ensemble des processus de COBIT 5. Ces normes et bonnes pratiques peuvent être mappées aux processus correspondants dans COBIT® 5 pour permettre la gouvernance de ces activités à l’aide d’un seul tableau de bord.
Par exemple, une organisation qui a adopté les processus et les orientations de l’ITIL® pour sa gestion des services peut mapper ses processus existants avec les processus COBIT® 5 correspondants. Les avantages de cette cartographie sont de permettre à l’Organisation d’utiliser directement les objectifs des processus COBIT® 5 recommandés ainsi que les mesures de succès associées et les suggestions de rôles et responsabilités proposées par le digramme RACI. COBIT® 5 assure la transparence pour les parties prenantes en définissant la relation entre les objectifs de l’IT et les objectifs de l’entreprise, une traçabilité non fournie par ITIL.
Un point important qu’il convient de souligner : les normes et référentiels de bonnes pratiques tels que COBIT, ITIL et quelques autres définissent CE QU’IL FAUT FAIRE mais pas comment cela devrait être fait. Par conséquent, un grand nombre d’implémentations sont basées sur les connaissances individuelles des acteurs du projet et leurs expériences passées dans différentes organisations, et ne sont pas nécessairement universellement reconnues comme des meilleures pratiques.
Et si on a besoin d’aide?
Ainsi, dans le choix du meilleur professionnel de la Gouvernance du SI susceptible de vous accompagner, une connaissance globale de l’ensemble des normes et référentiels de bonnes pratiques sera un critère important car cela permettra de pouvoir les associer et les combiner pour obtenir le meilleur cadre, adapté à votre Organisation, en vue de la fourniture de services IT aux métiers.
Pour un DSI, il est recommandé d’équilibrer son temps entre la gestion des personnes, des processus et de la technologie qui sont les trois pierres angulaires d’une bonne gouvernance. Par conséquent, si l’on veut mettre l’accent sur les processus pour améliorer la qualité globale du service plutôt que d’implanter sans cesse des nouvelles couches technologiques, on peut envisager de réexaminer la mise en œuvre des normes et bonnes pratiques du marché et d’en mesurer les avantages.
Il existe, par conséquent, de multiples façons de mettre en œuvre la gouvernance du SI.
Cela peut résulter en un débat sans fin mais à travers cette série d’articles, je vais essayer de vous aider à vous concentrer sur l’objectif principal et déterminer la valeur réelle créée. Quelle que soit la taille de votre entreprise, une certaine forme de gouvernance du SI doit faire partie de votre organisation.
Pour plus d’informations ou pour vous abonner à notre newsletter, merci de remplir le formulaire de contact :
3 thoughts on “De l’importance de la Gouvernance du SI”