Outils de Gouvernance des SI

L’objectif n’est pas de décrire précisément les différentes normes et référentiels mais de positionner le champ d’application des différents outils et méthodes et de donner quelques références permettant si besoin d’approfondir.

Comme indiqué dans la figure, les champs d’application des bonnes pratiques comme l’ITIL, le CobiT et CMMI semblent assez clairs et distincts :

ITIL pour le management de la production,

CMMI pour le management de l’organisation des projets.

COBIL pour le pilotage des processus.

Les premières versions de ces bonnes pratiques respectaient peu ou prou ce découpage. Les différentes versions et évolutions ont élargi le champ d’application et nous avons aujourd’hui un recouvrement entre ces bonnes pratiques.

Le champ d’action de l’ISO est beaucoup plus vaste que l’IT. Le caractère international et normatif de cet organisme confère à l’utilisation de l’ISO un caractère très « officiel ». Le principal objectif de l’application de ces normes est la certification et cela s’inscrit souvent dans un programme d’entreprise plus large et pas uniquement limité au domaine informatique.

En pratique…

Le recouvrement et la tendance un peu « commerciale » des différents référentiels ne doit pas cacher leur richesse et ne doit pas nous décourager de nous y intéresser. Au contraire, nous avons la chance que notre profession soit très bien documentée et il faut en tirer partie. Il serait ridicule de « réinventer la roue ».

Cependant, il convient de construire sa propre démarche d’analyse et d’implémentation et de l’adapter à son environnement, à la culture de son entreprise et à la taille de ses équipes. Les 34 processus du CobiT ne sont pas forcément directement applicables dans toutes les entreprises et la complétude de leur implémentation peut être perçue comme lourde et très « administrative ». Les acteurs du projet doivent se retrouver dans la démarche et il vaut mieux une implémentation incomplète, comprise et partagée qu’une complète mais mal acceptée et partiellement assimilée.

Un cas d’utilisation des concepts du COBIT pour intégrer la DSI dans une démarche processus entreprise sera détaillé ultérieurement.

S’appuyer sur des standards internationaux reconnus est également rassurant pour une direction générale. Les comparatifs externes existent et il est plus facilement possible de dialoguer avec les auditeurs sur des pratiques standardisées plutôt que sur des pratiques spécifiques.

Cependant, je pense que le « jargon » employé par ces différents référentiels est extrêmement typé informatique et ce n’est probablement pas le meilleur outil de communication avec une direction générale. Je ne suis pas certain que les indicateurs du processus de Gestion des incidents de l’ITIL ou du processus REQM de gestion des exigences soit pertinent au niveau d’une instance de gouvernance d’entreprise.

L’ensemble de ces « bonnes pratiques » est avant tout destiné aux professionnels de l’informatique pour leur permettre de gérer au mieux leurs activités.

La Direction des Systèmes d’Information doit utiliser les mêmes indicateurs de performance que les autres directions de l’entreprise pour communiquer avec la direction générale comme par exemple :

  • La mesure de la performance, le pilotage et le contrôle des coûts.
  • La capacité à accompagner la stratégie de l’entreprise
  • La contribution à la performance de l’entreprise.
  • La gestion des actifs matériels et immatériels
  • La gestion des ressources humaines et de la sous-traitance
  • La capacité à générer de la Valeur pour l’entreprise
  • Le respect de la réglementation et la maitrise des risques.

Il faudra donc établir un lien entre les indicateurs opérationnels dédiés à l’évaluation du bon fonctionnement au quotidien de la fonction informatique et les indicateurs de gouvernance destinés à répondre aux préoccupations de la direction générale.

.