GOUVERNANCE DES SI

INTRODUCTION
1. NOTION DE GOUVERNANCE
• Le terme « Gouvernance » désigne la capacité d'une organisation d'être
en mesure de contrôler et de réguler son propre fonctionnement afin
d'éviter les conflits d'intérêts liés à la séparation entre les ayants droits
(actionnaires) et les acteurs.
• Dans le cas d'une société ou un groupe industriel, on parle de
« gouvernance d'entreprise ».
• 2. GOUVERNANCE DES SI
• La « Gouvernance des Systèmes d'Information » ou « Gouvernance
informatique » (en anglais « IT gouvernance ») renvoie aux moyens de
gestion et de régulation des Systèmes d'Information (SI) mises en place
dans une entreprise pour atteindre ses objectifs. A ce titre, la
gouvernance IT fait partie intégrante de la gouvernance d'entreprise.
• Si la gouvernance d'entreprise (corporate governance) est devenue une
urgence suite aux différents scandales financiers ( Enron, Worldcom,
Tyco...), transposer le concept à la gestion du système d'information
n'est pas si surprenant.
• Il s'agit en effet de s'assurer que le système d'information en action soit
bien piloté avec rigueur et transparence.
• Il s'agit de s'assurer que le système d'information réponde bien,
aujourd'hui et demain, aux attentes des différentes parties prenantes
internes et externes: utilisateurs et clients, financiers et financeurs,
concepteurs et techniciens...
• Aligner le système d'information sur la stratégie d'entreprise, on en parle
depuis bien longtemps.
• Ainsi, tous ceux qui considèrent encore aujourd'hui l'informatique
comme un centre de coût à juguler compromettent la mise en œuvre
des stratégies gagnantes du 21ème siècle. L’entreprise est toujours plus
intégrée. Quels que soient les activités, les métiers et les marchés, les
processus sont de plus en plus dépendants de la technologie. Les
questions de services, de qualité, de sécurité et d'évolution de concert
avec les exigences stratégiques, sont désormais des impératifs.
• La question de la gouvernance des systèmes d'information est
particulièrement complexe. Et comme pour toutes questions complexes,
les décideurs sont plutôt enclins à se reposer sur les experts et les
méthodes du moment. La tendance est particulièrement forte, en tout
cas pour les moins risqueurs d'entre- eux.
• Pourtant, cette question touche à l'essentiel. Elle concerne l'ensemble
des décideurs même s'ils sont encore relativement nombreux à ne pas
considérer ce point à sa juste valeur et continuent à penser que
l'informatique n'est qu'une affaire de technicien.
• La gouvernance des technologies de l'information s'articule autour de
cinq domaines principaux :
• Gestion de la valeur
• Gestion des risques
• Gestion de la performance
• Gestion des ressources
• Alignment stratégique
• Le flux d’information devient de plus en plus nombreux et leur gestion
s’avèrent délicate mais hautement stratégique. Il est important
d’appréhender le rôle et la place du SI et de prendre en compte
l’ensemble des problématiques qui contribuent à la création de valeur et
à la stratégie.
 CONCEPTS
Système d’informations (SI)
Management des SI (MSI)
Direction SI (DSI)
EXPLICATIONS
Ensemble organisé des ressources permettant d’acquérir, de
traiter, de stocker et de communiquer des informations dans et
entre des organisations
Etudes des problématiques à la fois technologiques,
organisationnelles et managériales liées au développement des
SI.
Etudes des usages par les différents acteurs au sein d’une
organisation, avec son environnement et ses parties prenantes.
La DSI est le service d’une entreprise en charge de la
conception, du développement, de la mise en œuvre, de
l’administration et de la maintenance des systèmes
d’information.
La DSI est dirigée par un directeur des SI.
La DSI est en interaction avec la Direction générale (DG) et les
directions métiers (DM) afin de permettre d’adéquation du SI
avec les orientations stratégiques et les processus métiers.
Quelques définitions de la gouvernances des SI :
• La gouvernance des SI (gouvernance SI ou en Anglais IS governance)
consiste d’abord à fixer aux systèmes d’information des objectifs liés à la
stratégie de l’entreprise.
• Cette démarche permet de définir la manière dont le système
d’information contribue à la création de valeur par l’entreprise et précise
le rôle des différents acteurs.
• Les différents métiers de l’entreprise sont donc directement affectés par
la gouvernance des systèmes d’information. D’une manière plus
générale, les systèmes d’information jouent un rôle fondamental dans le
processus de la croissance économique mesurée par le ratio VA/salarié.
• Le développement des SI représente des investissements importants
qu’il faut gérer. C’est le point clé de la réussite des entreprises à
dominante de système d’information OBI (organisation basée sur
l’information ou en Anglais IBO Information based organization).
• Exemple des OBI : Google, Amazon, Dell, Wall-Mart. Ce sont des
entreprises un peu particulières parce que tous leurs fonctionnements
dépendent de l’information.
• La gouvernance des SI consiste d’abord à fixer aux systèmes
d’information des objectifs liées à la stratégie de l’entreprise.
• Cette démarche permet de définir la manière dont le système
d’information contribue à la création de valeur par l’entreprise et précise
le rôle des différents acteurs.
• Mais comment faire pour déterminer la part du SI dans la création de
valeur d’une entreprise ? c’est une question récurrente depuis 1987,
quand Robert Solow, prix Nobel d’économie 1987, dit :
• ’’ you can see the computer age everywhere but in the productivity
statistics’’
• ’’ vous pouvez voir l’ère informatique partout sauf dans les statistiques
de productivité’’.
• C’est ce que l’on appelle le paradoxe de la productivité. Il est très difficile
de mesurer (de quantifier) la productivité due à l’informatique.
• Selon l’ITGI (Information Technology Governance Institute) crée en 1998
dans le cadre de l’ISACA (Information System Audit and Control
Association) et le CIGREF (Club Informatique des Grandes Entreprises
Françaises) crée en 1970, la gouvernance des systèmes d’information est
un processus de management, fondé sur les bonnes pratiques,
permettant à l’entreprise de diriger la fonction SI dans le but de :
-Soutenir ses objectifs de création de valeur.
-Accroître la performance des processus du SI et leur orientation clients.
-Maitriser les aspects financiers du SI.
-Développer des solutions et des compétences en SI dont l’entreprise aura
besoin dans le futur.
-Assurer que les risques liés au SI sont gérés
-Soutenir ses objectifs de création de valeur.
-Accroître la performance des processus du SI et leur orientation clients.
-Maitriser les aspects financiers du SI.
-Développer des solutions et des compétences en SI dont l’entreprise aura
besoin dans le futur.
-Assurer que les risques liés au SI sont gérés
Création de valeur
La gouvernance des systèmes d'information a pour premier objectif de
développer la capacité de l'entreprise à créer de la valeur. Il est ainsi
possible de dégager plus de chiffre d'affaires par salarié, d'améliorer le
taux de marge de l'entreprise et ainsi d'améliorer sa rentabilité globale.
Elle repose sur la mise en œuvre de quatre stratégies différentes:
Création et le développement des services
Grâce au développement des systèmes d'information il est possible de
proposer de nouveaux services à ses clients comme la consultation d'un
catalogue à jour, la mise à disposition d'une documentation technique et
de plans, la prise de commande en ligne, le suivi d'une commande en
cours, etc. On fait la même chose mais on le fait plus vite et avec moins
d'efforts (exemple : e-commerce, l’utilisation de la technologie RFID etc.).
Creation de nouveaux produits
Un nombre croissant de fonctions sont prises en charge par les systèmes
d'information. Certaines d'entre elles permettent l'amélioration de la
qualité ou de l'efficacité des produits existants mais aussi le
développement de nouveaux produits, qui contribuent à créer de la valeur
supplémentaire. Ainsi les voitures utilisent de plus en plus des systèmes
d'information améliorant la gestion de la consommation d'énergie, la
régulation de la vitesse, la sécurité du véhicule, etc. De même, de plus en
plus de systèmes gèrent la maintenance d'équipement grâce à des
systèmes informatiques (photocopieurs par exemple);
Amélioration des processus de l'entreprise
Les systèmes d'information permettent de gérer plus efficacement les
processus de l'entreprise et notamment la production. Il est ainsi possible
de fournir des produits et des services davantage susceptibles de créer
plus de valeur pour le client. C'est le rôle de la CRM.
La gestion de la relation client(GRC), ou gestion des relations avec la
clientèle, en anglais Customer Relationship management (CRM), est
l'ensemble des outils et techniques destinés à capter, traiter, analyser les
envies et les attentes des clients et des prospects, afin de les fidéliser et
les satisfaire en leur offrant ou proposant des services.
Développement des partenariats
Une stratégie de développement des systèmes d'information consiste à
développer les relations de l'entreprise avec ses interfaces (fournisseurs et
clients). Les systèmes d'information permettent de relier l'entreprise à ses
partenaires dans des conditions économiques et efficaces (consultation
des stocks de produits disponibles et passage de commandes par les
clients directement dans le système d'information de l'entreprise, gestion
des livraisons, etc.) Les frontières traditionnelles de l'entreprise
s'estompent au profit d'une plus grande fluidité des échanges.
GESTION DE RISQUE
la gestion des risques peut être considéré, à l’heure actuelle, comme une
réelle « ressource » susceptible de générer pour les entreprises un
avantage compétitif. Elle renforce la capacité de l’entreprise à mieux
maîtriser les risques inhérents à ses choix stratégiques, mais également à
saisir les diverses opportunités de développement qui s’offre à elle et
améliorer ses performances (élargissement des marchés, partenariats
technologiques ,etc).
La gestion de risque doit être analyser comme un processus complet qui
invite le dirigent à définir le niveau de risque acceptable que son
entreprise est capable de supporter, à identifier les risques encourus et les
évaluer en terme de criticité afin de les hiérarchiser, à planifier et mettre
en œuvre les mesures appropriées de traitement des risques considérés
Comme prioritaires et, enfin, à communiquer cette démarche aux acteurs
internes à l’organisation et à ses parties prenantes externes.
Les pratiques de gestion de risque se développent dans les entreprises,
notamment sous l’impulsion de nouveaux cadres de référence
internationaux qui placent le management de risques au centre de leurs
préoccupations.
Par exemple le référentiel COSO (committee Of Sporizing Organizations)
-Entreprise Risk Management et la norme ISO 31000-management de
risque.
loi Sarbanes-Oxley
• Aux États-Unis d’Amérique, la loi de 2002 sur la réforme de la comptabilité
des sociétés cotées et la protection des investisseurs est une loi fédérale
imposant de nouvelles règles sur la comptabilité et la transparence
financière. Elle fait suite aux différents scandales financiers révélés dans le
pays aux débuts des années 2000, tels ceux d'Enron et de Worldcom. Le
texte est couramment appelé loi Sarbanes-Oxley, du nom de ses
promoteurs les sénateurs Paul Sarbanes et Mike Oxley. Ce nom peut être
abrégé en SOX, Sarbox, ou SOA.
• La loi du 31 juillet 2002 dite Sarbanes-Oxley Act a introduit :
l'obligation pour les présidents et les directeurs financiers de certifier
personnellement les comptes ;
l'obligation de nommer des administrateurs indépendants au comité
d’audit du conseil d’administration ;
l'encadrement des avantages particuliers des dirigeants (perte de
l’intéressement en cas de diffusion d’informations inexactes, interdiction
des emprunts auprès de l’entreprise, possibilité donnée à la SEC - Securities
and Exchange Commission, l'autorité de régulation des marchés boursiers
américains - d’interdire tout mandat social pour les dirigeants soupçonnés
de fraude).
• Cette loi oblige aussi à mettre en œuvre un contrôle interne s'appuyant sur
un cadre conceptuel. En pratique le COSO est le référentiel le plus utilisé.
LE REFERENTIEL COSO
• Le référentiel COSO est basé sur les principes de base suivants :
• Le contrôle interne est un process : c’est un moyen, pas une fin ; il ne se cantonne pas à
un recueil de procédures mais nécessite l’implication de tous à chaque niveau de
l’organisation.
• Le contrôle interne doit procurer l’assurance raisonnable (mais non absolue) d’un
management et d’une direction respectueuse des lois.
• Le contrôle interne est adapté à la réalisation effective des objectifs
• Le référentiel COSO "Internal Control Integrated Framework" définit le contrôle interne
comme un processus mis en œuvre par les dirigeants à tous les niveaux de l’entreprise
et destiné à fournir une assurance raisonnable quant à la réalisation des trois objectifs
suivants :
la réalisation et l'optimisation des opérations,
la fiabilité des informations financières,
et la conformité aux lois et règlements
• On notera que ces objectifs correspondent en grande partie aux
préoccupations des investisseurs.
• Le COSO 2, "Enterprise Risk Management Framework" est aujourd'hui le
cadre de référence de la gestion des risques.
• Le COSO 2 propose un cadre de référence pour la gestion des risques de
l’entreprise (Enterprise Risk Management Framework). La gestion des
risques de l’entreprise est un processus mis en œuvre par le conseil
d’administration, les dirigeants et le personnel d’une organisation,
exploité pour l’élaboration de la stratégie et transversal à l’entreprise,
destiné à :
identifier les événements potentiels pouvant affecter l’organisation,
maîtriser les risques afin qu’ils soient dans les limites du « Risk Appetite
(appétence au risque)» de l’organisation,
fournir une assurance raisonnable quant à la réalisation des objectifs de
l’organisation.
Il apparaît que le COSO 2 inclut les éléments du COSO 1 au travers du
troisième point et le complète sur le concept de gestion des risques. Le
COSO 2 est basé sur une vision orientée risques de l’entreprise.
LA FONCTION SI DANS L’ENTREPRISE
Impacte de la gouvernance SI dans l’entreprise :
• Une gouvernance efficace contribue également à une harmonisation et
une cohérence plus poussées en ce qui concerne les niveaux de sécurité
informatique, les méthodes de gestion des projets informatiques et, de
manière plus générale, les systèmes informatiques et télématiques. Une
structure de gouvernance efficace aide à sensibiliser comme il convient
la direction et le personnel à l’importance stratégique des technologies
de l’information et de communication ; elle permet aussi de promouvoir
ces technologies en tant qu’outil indispensable pour renforcer l’efficacité
et l’efficience de l’organisation et pour faciliter la gestion du
changement.
La fonction SI n’a pas toujours été considérée comme stratégique :
• D’abord limitée à un centre de coût et de support ;
• Elle est aujourd’hui considérée comme un centre de services à la
disposition des métiers, voire un centre d’investissement et de profit.
• La place de la direction des SI (DSI) a ainsi évolué au fil des années et
occupe dans des nombreuses entreprises un rôle important. 
• Son directeur possède ainsi de nombreuses missions et doit travailler en
étroite collaboration avec la direction générale (DG) et les directeurs
métiers (DM) de l’entreprise pour contribuer à la performance et à la
transformation (numérique) de l’entreprise.
Un métier désigne une activité de l’organisation ou BU Business Unit en
Anglais.
ORGANISATION DE LA FONCTION
L’organisation de la fonction SI varie selon la taille et l’activité de l’entreprise :
Dans les entreprises de petite taille, il n’y pas forcément un service informatique interne. Il
peut y avoir quelques postes de techniciens informatiques assurant l’assistance aux
utilisateurs et la maintenance matérielle et logicielle, ou strictement aucune compétence en
interne spécifique.
• A partir d’une cinquantaine de personnes environ, la fonction se matérialise
généralement en tant que département ou service informatique.
• Au-delà de certain seuil, environ 200 personnes, elle se constitue en direction avec des
noms qui ont évolué au fil du temps :
• Direction informatique (DI) ;
• Direction des technologies de l’information (DTI) ;
• Direction des systèmes d’informatiques (DSI) ;
• Direction des systèmes d’information et de l’organisation (DSIO) ;
• Direction des systèmes d’information et du numérique (DSIN)
Ces changements de noms de noms successifs ce sont accompagnés d’un
élargissement de champs de compétence.

DSIN
DSI + solutions
Numériques

DSI
DI + Vision métier

DI
Vision
exclusivement
technique
• Les organisations peuvent opter pour internaliser ou externaliser tout ou
une partie de la fonction SI .
• Les petites entreprises ne disposant pas ou peu de compétences en
interne font généralement appel l’externalisation pour des raisons de
coût et d’expertise ;
• Les entreprises de tailles plus conséquentes possédant des ressources
internes importantes, ont tendance à privilégier l’internalisation ;
• Des entreprises optent également pour une informatique partiellement
externalisée afin de bénéficier de l’expertise de prestataires (entreprise
de services numériques ESN, sociétés de conseils,…) sur un domaine
précis en fonction des projets à réaliser.
• La DSI peut être rattachée directement à la direction générale ou au même
niveau que les directions métiers.
• Dans de nombreuses entreprises, l’organisation de la DSI est centralisée
afin de mutualiser les ressources : organigramme hiérarchique classique ;
• Mais on peut avoir des DSI décentralisée pour mieux répondre aux besoins
des entités, avec la présence d’une DSI groupe et de DSI métiers /filiales
bénéficiant d’une certaine autonomie : organigramme matriciel.
• On trouve aussi des DSI « filialisée » dans le cadre des GIE (Groupement
d’intérêt économique) avec un statut de prestataire interne.
• L’organigramme peut alors être organisé de façon horizontal (avec un
découpage fonctionnel des activités), Vertical (par projets), ou matricielle
(combinaison des deux formats précédents).
Un bon organigramme fonctionnel devrait séparer l’activité en 2
branches :
1. L’aspect définition des processus, gestion des projets, évolution du
système (adaptation, projets, …) orienté vers le FUTUR
2. L’aspect maintenance informatique du système (continuité de service,
maintenance, … orienté vers le PRÉSENT
Un exemple de diagramme:
Directeur (rice) SI

Assistance

Maintenance Projet
(Présent) (Futur)