Deuxième partie

L’EVALUATION ET LE CONTROLE DES SYSTEMES D’INFORMATION

Contrôler un système, c'est en maîtriser la conduite. Cela implique, en particulier:

- de mesurer la performance réalisée par rapport aux objectifs visés ;
- d'évaluer la qualité des actes de gestion et l'usage des ressources;
- de motiver et guider les acteurs, en se situant dans une perspective d'amélioration
continue, donc d'apprentissage organisationnel.

Ensemble constitué par l'assemblage de ressources coûteuses, le système d'information doit

respecter les principes généraux du contrôle. Cependant les méthodes usuelles du contrôle n'ont
été appliquées qu'avec retard et, souvent, de manière limitée au développement et à l'utilisation
des systèmes d'information. La justification la plus souvent évoquée pour ces carences des
pratiques de contrôle a été celle de la nécessité de favoriser les comportements innovants dans
l'usage des TI et, par conséquent de ne pas trop contraindre l'initiative des acteurs par
l'instauration de règles trop strictes. Cependant compte tenu du développement continuel de
l’usage des TI, des coûts de mise en place importants qu'elles engendrent l'idée de l'intérêt d'un
contrôle accru des systèmes d'information s'impose progressivement.

Objet abstrait complexe aux limites incertaines, le SI pose des problèmes de contrôle
spécifiques qui seront abordés dans le chapitre 3. Parallèlement à ces préoccupations d'ordre
général, le recours accru aux technologies de l'information (en particulier comme support direct
des transactions marchandes) a confirmé l'importance cruciale d'un impératif de
fonctionnement des systèmes d'information: celui de la sécurité. Ce problème spécifique du
contrôle des SI sera l'objet dans le chapitre 4.

Chapitre 3
Le contrôle des systèmes d'information
I. Le contrôle des systèmes d'information
Le développement tardif et limité des pratiques de contrôle des systèmes d'information a été
justifié, comme nous l'avons indiqué ci-avant, par le souci de ne pas « brider» les capacités
d'innovation des utilisateurs. Au-delà de cette justification, plus ou moins fondée, ce faible
développement s'explique également par des difficultés propres à l'objet du contrôle : le SI. Ces
difficultés concernent d'une part ce que l'on peut appeler la problématique générale du contrôle
(pourquoi et comment contrôler un SI ?) et, d'autre part, le problème spécifique de la mesure
du succès d'un SI, de sa performance propre.

1.1. La problématique générale du contrôle des systèmes d'information

La mise en place d'un système de contrôle implique que des réponses cohérentes soient
apportées à deux questions fondamentales:
- Pourquoi contrôler ? Quels sont les objectifs poursuivis ? Que cherche-t-on à obtenir par la
mise en place d'un système de contrôle ?
- Comment contrôler ? Comment agencer les différents moyens propres à améliorer le degré de
contrôle du SI ? Quelles procédures doit-on organiser ?

1.1.1. Pourquoi contrôler ?

Le contrôle est normalement conçu pour favoriser le progrès dans l'organisation, en facilitant
l'apprentissage organisationnel.

1. La diversité des situations de contrôle

La pluralité des objectifs s'explique par la diversité des contextes de contrôle; ces contextes
peuvent être définis selon deux dimensions :
- l’utilisateur (pour qui est demandé le contrôle ?) ;
- la décision à prendre (pour quoi faire ?).
Sans viser un recensement exhaustif, nous pouvons décrire quelques situations couramment
observées.

a- Contrôle de la gestion du service informatique

L'utilisateur immédiat est le responsable du service informatique ; son objectif principal est
de contrôler l'évolution des coûts qu'il maîtrise directement (matériel, logiciel, personnel
informaticien…) et de justifier, s'il y a lieu, des demandes de moyens auprès de sa direction
générale. Cette dernière est souvent un utilisateur de ce type de contrôle de gestion puisqu'elle
doit décider ou non l'allocation de ressources complémentaires à partir de résultats observés ou
prévisionnels.

b- Evaluation après implantation

Lorsqu’un projet est achevé, que l'application est mise en place, certaines entreprises
procèdent, dans les mois qui suivent l'implantation, à une évaluation ponctuelle. Celle-ci est
destinée, en priorité, au chef de projet; on vérifie ainsi dans quelle mesure les objectifs du projet
ont été atteints et l'on cherche à corriger, par des actions de maintenance, les
dysfonctionnements révélés par t'utilisation du système.

c- Etude d'opportunité ; élaboration du schéma directeur

Un responsable de domaine (cas de l'étude préalable d'un projet) ou la direction générale
(cas du schéma directeur) cherche à évaluer prévisionnellement l'intérêt économique et la
faisabilité d'un projet ou d'un ensemble de projets avant d'y affecter des ressources en matériel,
logiciel, personnel...

d- Révision à caractère comptable

Le demandeur est ici un expert-comptable, un commissaire aux comptes qui, dans le cadre
d'une mission légale ou contractuelle, doit affirmer la régularité et la sincérité des comptes pour
une décision de certification ou de rejet. Il s'agit ici de contrôler certains aspects de la qualité
de l'information produite par tes différents systèmes d'information.

e- Diagnostic stratégique
Dans le cadre général de la planification des SI, dans la perspective de l'alignement
stratégique, l’entreprise souhaite évaluer l'état actuel de son portefeuille d'applications pour
mieux définir les bases de son schéma directeur.
Ces quelques exemples sont très révélateurs du caractère hétérogène des contextes
dévaluation, donc des objectifs de contrôle. La préoccupation immédiate de l'utilisateur
principal se révèle à travers la perspective dominante :
- technique: très axée sur l'outil (ordinateur, réseau..) dont on surveille le fonctionnement
(ainsi, le directeur informatique va suivre l'évolution des temps de réponse, des débits, des taux
de panne...);
- économique: elle s'exprime en termes de coûts (plus ou moins directement rattachés à
l’utilisation d'outils), d'efficience (résultats obtenus par rapport aux moyens engagés),
d'efficacité (résultats évalués par rapport à des objectifs) ;
- organisationnelle: elle s'exprime par des évaluations en termes de satisfaction exprimée
par des utilisateurs (exemple ci-avant) ou en termes de performance de l’organisation (par
exemple délai moyen d’une prise de décision).
À la diversité de ces préoccupations va donc correspondre une grande diversité des objets de
contrôle, abordés selon des perspectives différenciées.

2. La diversité des objets de contrôle

Selon les préoccupations dominantes, les entités sur lesquelles porte le contrôle sont
différentes. Ainsi peut-on contrôler:
- les moyens utilisés: par exemple, le matériel informatique ou l'ensemble matériel,
logiciel et personnel spécialisé. Ces moyens étaient à l'origine, facilement identifiables (il y
avait un service informatique aux fonctions clairement définies); la dispersion des ressources,
liée au développement des réseaux. la multiplication des outils rendent désormais cette
identification un peu plus compliquée ;
- le produit et les services offerts: la «qualité» de l'information et des fonctions fournies
par le système d'information est un autre objet de contrôle. La difficulté d'évaluation est plus
grande car il importe de tenir compte des différentes utilisations qui en sont faites par différents
utilisateurs;
- des processus: on peut vouloir contrôler la « qualité» du processus de construction des
systèmes d'information (par exemple, un projet a été réalisé dans les délais et au coût prévus)
et également les processus d'utilisation (qu'est-ce qui est utilisé ? dans quelles conditions ?);
- des résultats: l'utilisation du système d'information s'est-elle traduite par une
amélioration des résultats mesurables (baisse de coût, hausse de chiffre d'affaires, gains
financiers) au niveau d'un service ou au niveau global? On notera que, dans la plupart des cas,
les résultats obtenus découlent à la fois des décisions prises par les gestionnaires (utilisateurs
du système d'information) et de facteurs externes non maîtrisables.
Exemple
Un grand hôtel avait mis en place un système informatique perfectionné d'aide à la
gestion des réservations et constaté une hausse sensible de son taux de remplissage.
Pouvait-on en conclure que le passage d'un taux moyen de remplissage de 60 à 72 %
était le résultat de l'informatisation ? Pas obligatoirement, car une étude plus approfondie
sur une période plus longue a montré que ce taux de remplissage avait été fortement
influencé par la hausse du dollar par rapport à l'euro, rendant le séjour en France plus
attractif pour les touristes américains !

La diversité de ces objets de contrôle est illustrée par la figure 1.

Ces différents objets du contrôle vont être abordés selon des perspectives différentes en
fonction des objectifs privilégiés par l'action de contrôle, en particulier:
- perspective d'efficience où l'on rapproche les résultats des moyens utilisés; on
trouvera ainsi des mesures simples de productivité directe en nature (nombre de lignes
imprimées. nombre de transactions supportées... rapportés au montant investi) ou de
 productivité en valeur; rapport d'un résultat mesuré en valeur monétaire aux ressources
consommées (chiffre d'affaires réalisé par terminal de vente par exemple) ou de coûts;

- perspective d'efficacité où l'on rapproche des résultats et des objectifs

(accroissement du nombre de clients correspondant à 80 % des objectifs annoncés grâce
à un système de publipostage par exemple). Ces mesures d'efficacité, comme souvent
celle de la productivité en valeur, sont compliquées parce qu'il est toujours délicat de
séparer les différentes causes de variation du résultat (votre l'exemple de l'hôtel ci-
dessus) ;
- perspective de satisfaction : c'est une vision particulière de l'efficacité
organisationnelle exprimée au travers des perceptions des utilisateurs. Ces perceptions
peuvent découler de causes multiples (image a priori du service informatique, utilisation
plus ou moins agréable d'un système d'information, relations personnelles du
répandant.).

Figure 1. Les objets de contrôle des systèmes d’information

Ces perspectives appliquées aux différents objets du contrôle, à titre prévisionnel ou

rétrospectif, aboutissent à une très grande diversité des modalités du contrôle ; il semble
évident que toute étude sur la mise en place d'un système de contrôle des systèmes
d'information doit s'appuyer sur une réflexion préalable quant aux objectifs poursuivis.
Evaluer l'efficience technique d'un système informatique centralisé n'est pas le même
problème qu'évaluer l'efficacité globale d'un système de communication à usage collectif et
constitue également un problème différent de l'évaluation d'un SIAD en gestion de production
ou d'un site Web pour le commerce électronique. À la différenciation des objectifs du contrôle
va correspondre la très grande variété dans l'organisation des modalités de contrôle.

2.1.1. Comment contrôler ?

Quel que soit le contexte d'utilisation, tout système de contrôle doit, de manière générale :
- inciter à gérer les ressources de manière productive, c'est-à-dire efficiente ;
- induire des comportements cohérents avec les objectifs annoncés, c'est-à-dire efficaces.
Cela passe par une organisation du système de contrôle qui doit fournir les données
pertinentes pour les différentes décisions à prendre (décisions d’investissement, choix des
domaines d'application, politiques d'initiation ou de limitation de l’utilisation).

L'organisation du contrôle des systèmes d'information obéit à ces principes généraux et

combine deux types de réponse (figure 2) :
- l'une permanente, correspondant à l'organisation du contrôle interne des SI ;
- l'autre périodique, à la demande, correspondant à l'audit des systèmes d'information.

Figure 2. Combinaison des formes de contrôle du SI

INSTITUTIONNALISATION
CONTROLE PERMANENT
NORMES, PROCEDURES...
INFRASTRUCTURE,
PROJETS...

COMMENT
CONTROLER ?
+
EVALUATION PERIODIQUE
AUDITS A VOCATION
SPECIFIQUE

1. L’organisation du système institutionnalisé de contrôle

L'objectif de cette forme de contrôle est de mettre en place des normes et des procédures
de contrôle à respecter lors des différentes prises de décision relatives aux SI. On organise la
collecte et le traitement des données de base concernant les projets et l’utilisation de
l'information TI, par exemple, par le recours systématique aux budgets, le suivi des
réalisations, la mesure des coûts et l'usage de tableaux de bord par les différents responsables.

a- Les pratiques observables

L’observation de la pratique des entreprises fait apparaître différentes catégories de solutions
mises en place:
- planification limitée et contrôle inexistants : certaines entreprises n'ont pratiquement aucun
dispositif organisé de contrôle de leur système d'information ;

- planification forte et faible contrôle a posteriori : les entreprises de cette catégorie évaluent
soigneusement a priori, l'efficacité au niveau du schéma directeur et des études préalables. En
revanche, très peu de suivi est organisé pour vérifier si les objectifs ont été atteints et dans
quelles conditions ils l'ont été;

- planification restreinte mais contrôle fort de l'utilisation et de la satisfaction des utilisateurs:

les entreprises de cette catégorie n'accordent qu'une place réduite à l'évaluation prévisionnelle
mais contrôlent systématiquement, après la mise en œuvre, comment les utilisateurs « utilisent»
et quel est leur degré de satisfaction à l'aide de questionnaires dévaluation ;

- contrôle fort à dominante technique : le contrôle du « service informatique » est obtenu grâce
à des indicateurs techniques (volume d’activité, incidents...) et quelques indicateurs de coûts
(coût global, répartition des grandes masses de coût...) ;

- contrôle de gestion intégré aux procédures générales du contrôle: on applique aux systèmes
d'information la même démarche de contrôle que celle appliquée aux autres activités de
l'entreprise : élaboration des plans d'action, préparation de budgets détaillés par nature de
charges et par destination, enregistrement systématique des données réelles, calcul et analyse
des écarts.
Cette dernière catégorie correspond à l'institutionnalisation complète des instruments de
planification et de contrôle dans des procédures systématiques. Seules les entreprises ayant une
forte culture du contrôle formel pratiquent cette formule (on notera que des entreprises ayant
un fort contrôle institutionnel n'ont pas encore étendu cette démarche au domaine des systèmes
d'information). Cela s'explique soit par la volonté expresse de favoriser au mieux la diffusion
des technologies de l’information, soit par de réelles difficultés de mesure, comme nous le
montrerons ci-après.

b- Le contrôle des ressources communes

L'infrastructure informatique mobilise des ressources considérables et son usage est partagé
entre de nombreux utilisateurs. Le contrôle de l'utilisation efficiente de ces ressources peut
s'appuyer sur des principes de contrôle différents concernant l'imputation des coûts communs :

- Première solution: centre de coûts non répartis. Les coûts d'infrastructure sont considérés
comme des « charges de structure générales » dont la responsabilité incombe à la direction
générale. Cette solution présente plusieurs avantages : simplicité (pas de calcul de répartition),
motivation forte des utilisateurs à l'utilisation de ressources dont ils ne supportent pas le coût.
En revanche, la formule ne garantit ni l'efficience ni l'efficacité dans l'utilisation (possibilités
de gaspillage).

- Deuxième solution: centre de coût avec répartition. Les dépenses d'infrastructure (y compris
les dépenses relatives aux prestations d'études et de conseils des spécialistes internes…) font
l'objet d'une facturation interne, donc d'une répartition entre les différents utilisateurs.
Cette solution offre l'avantage incontestable de responsabiliser les différents utilisateurs dans
leur demande: elle est donc un facteur important de l’efficacité. La politique de refacturation
oblige tes directions informatiques à justifier leurs investissements et les utilisateurs à réfléchir
à leurs véritables besoins.
Cependant, elle est relativement compliquée à mettre en œuvre, car le système de coût à
appliquer doit être compréhensible et contrôlable par les utilisateurs et relativement stable dans
le temps. Selon les cas, on utilise des facturations au coût total marginal, à un coût standard
(plus ou moins complet).

- Troisième solution: centre de profit et contrôle par le marché. Le service SI, en charge de
l’infrastructure, fonctionne comme un centre de profit devant couvrir ses dépenses par la
facturation de ses services aux usagers et est soumis à la concurrence des prestataires extérieurs
à l'entreprise. La facturation est donc « au prix du marché » après négociation avec le service
utilisateur. Dans cette logique, le service SI peut se révéler non compétitif et exposé à réduire
ses moyens, voire à disparaître, victime d'une décision d'externalisation.
L'examen de ces deux questions spécifiques (formes du contrôle institutionnalisé, gestion des
ressources communes) montre qu'il n'y a pas de solution universelle, mais des solutions
contingentes. L'état actuel du développement des TI dans l'entreprise, le degré de maturité des
utilisateurs, la répartition géographique des moyens, l'organisation générale du contrôle de
gestion... sont quelques-uns des facteurs à prendre en compte lors de l'organisation des
modalités de contrôle des SI.

2. La pratique d’audits spécifiques

L'ensemble des dispositifs du contrôle interne institutionnalisé doit être complété et vérifié par
des examens périodiques, sous forme d'audits.
En complément des dispositifs institutionnels de contrôle, l'audit est un examen critique qui
permet de vérifier, inspecter... les conditions de fonctionnement des systèmes d'information.
C’est une mission ponctuelle, confiée généralement à des spécialistes extérieurs à l'entreprise
(des «auditeurs», par exemple des experts-comptables); certaines grandes organisations
possèdent également des services d'audit interne assurant cette mission de manière plus
continue.

À l'intérieur de ce cadre de définition générale, on peut distinguer différentes missions d'audit

en fonction de leur objectif spécifique: (On distingue ainsi: l'audit stratégique chargé d'apprécier
l'adéquation entre les systèmes d'information et les objectifs stratégiques de l'entreprise ; l'audit
des applications chargé de vérifier la qualité méthodologique de la conception et du
développement, la qualité des logiciels réalisés; l'audit d'exploitation s'attachant à vérifier les
procédures d'exploitation et les causes de dysfonctionnement.).

La distinction la plus importante conduit à définir d'une part l'audit opérationnel et, d'autre part,
l'audit financier: Dans la perspective de l'audit opérationnel, le contrôle est orienté à titre
principal vers l'efficacité et l'efficience des systèmes d'information ; dans la perspective de
l'audit financier, le contrôle est orienté vers la validité des informations et donc, très
directement, vers la qualité et la sécurité dans les systèmes d'information.

Pour répondre à ces préoccupations, l'audit va se situer à différents niveaux d'intervention :

1) l’entreprise (son organisation, ses normes de fonctionnement.) ;
2) la fonction « système d'information » dans l'entreprise ;
3) l'application: domaine couvert par les traitements, correspondant à une unité de réalisation ;
4) les données issues de l'application.

La figure 3 résume les principaux aspects abordés au cours des deux types de missions.
On notera que l'audit (financier» des SI se révèle d'intérêt majeur pour la qualité de l'information
comptable (et donc pour le processus de certification des comptes). La quasi-totalité des
informations comptables est en effet issue d'applications informatiques dont il faut
impérativement contrôler la fiabilité des résultats.
Figure 3. Notion d’audit des systèmes d’information

AUDIT DES SYSTEMES D’INFORMATION

NIVEAUX D’INTERVENTION PERSPECTIVE
ADOPTEE

AUDIT « FINANCIER » AUDIT « OPERATIONNEL »

(Validité des infos) (la gestion du SI)
1- L’ENTREPRISE Organisation et procédures (normes de contrôle)
Qualification du personnel
Existence du contrôle interne
2 - LA FONCTION Audit de sécurité Audit de sécurité
« SYSTEME (accès, procédures...) Audit de la fonction
D’INFORMATION » (efficience, efficacité, performances,
Audit des sauvegardes organisation...)
3 - L’APPLICATION Respect obligations légales et règlementaires Respect des normes
Respect des normes de développement
Sécurité des traitements Optimisation
Fiabilité des données Cout/ performances
Documentation
Contrôles
Méthodologie
4 - LES DONNEES Contrôle direct de la fiabilité des résultats Contrôle indirect de la fiabilité,
(exactitude, exhaustivité des informations) exhaustivité, exactitude....

L'audit « opérationnel» peut avoir des objectifs très variés.

Toute mission d'audit repose sur un diagnostic, construit à partir d'une collecte systématique de
données. Les intervenants utilisent en général des questionnaires d'audit, dans une démarche de
collecter très structurée. Après analyse, l’intervenant propose des recommandations. L'intérêt
de l'audit est de déclencher des mesures curatives et préventives fondées sur une démarche
rigoureuse. Il constitue donc un complément utile aux dispositifs institutionnels du contrôle.
Mais les deux démarches sont généralement confrontées à une difficulté commune: celle de la
définition d'indicateurs pertinents susceptibles de traduire correctement le succès d'un système
d'information.