La gouvernance informatique déformée
La gouvernance n'est pas synonyme de bonnes pratiques internes et ce concept a été largement dévoyé. Non, Cobit, ITIL ou CMM ne permettent pas d'assurer une bonne gouvernance informatique.
PublicitéDepuis l'Antiquité, l'objectif fondamental de la gouvernance est d'assurer qu'un état ou un système soit juste, libre et géré efficacement, à la fois pour les instances dirigeantes (CA, actionnaires) et les citoyens. Cela montre sans discussion aucune que la gouvernance possède avant tout un caractère exogène. Elle s'adresse principalement, voire uniquement, aux instances externes à l'organisation. Que ce soient les philosophes grecs, les philosophes des Lumières ou plus récemment les États qui ont légiféré en ce domaine, ils ont toujours eu cette perspective et cette préoccupation. Alors pourquoi cette précision ? Tout simplement parce que le concept de gouvernance informatique a largement été dévoyé en dépit de ses racines et de ses fondements. Dans le microcosme franco-français, on a une nouvelle fois (cas de la maîtrise d'ouvrage-maîtrise d'oeuvre) une définition très endémique de la gouvernance informatique, en contradiction totale avec les définitions élémentaires et la science managériale. Le plus grave est que ce sont les instances officielles devant représenter ce mouvement qui sont à l'origine de cette confusion, pour ne pas dire cacophonie. Plus concrètement, on n'hésite pas à affirmer haut et fort que Cobit, ITIL ou CMM sont des référentiels (voire synonymes) permettant d'assurer une bonne gouvernance informatique. C'est évidemment faux et doit être réfuté au plus vite, sous peine d'entraîner des entreprises et les DSI sur de bien mauvaises voies. En citant Cobit, ITIL ou CMM/CMM-I, on fait une erreur de management assez basique en confondant allègrement la notion de "bonnes pratiques de gestion interne", qui représentent avant tout une vision endogène, et celle de "gouvernance", dont l'orientation est principalement exogène. La gouvernance n'est pas, et n'a jamais été synonyme de bonnes pratiques de gestion interne. Il ne s'agit nullement de critiquer ces bonnes pratiques internes, fort utiles au demeurant, mais d'affirmer qu'elles ne répondent pas en grande majorité aux questions que se posent les actionnaires ou les dirigeants d'une entreprise à propos de l'informatique. Ces bonnes pratiques internes sont avant tout destinées aux professionnels de l'informatique afin de gérer au mieux leurs activités. Les acteurs externes à l'informatique, actionnaires, dirigeants, sont intéressés par des informations d'un autre niveau. Ainsi de telles questions : quelle est la nature du gaz employé dans le centre de calcul en cas d'incendie (cf. Cobit) ? comment est structuré le processus de gestion des sauvegardes informatique (cf. ITIL) ? quel est le niveau de maturité du processus de gestion des projets informatiques (cf. CMM/CMM-I), qualifient avant tout le niveau de professionnalisation de la fonction informatique, mais ne répondent en aucun cas aux questions fondamentales que se posent les acteurs externes. Ce leurre franco-français - aucun autre pays francophone n'a commis cette erreur grossière - est d'autant plus inexplicable que l'Isaca, association mondiale des auditeurs certifiés en informatique et éditeur depuis ses débuts de Cobit, a créé l'Institut de la gouvernance informatique (IT Governance Informatique ou ITGI) où elle a proposé une toute autre définition que celle proposée par les soi-disant experts ou plutôt promoteurs maladroits de la gouvernance informatique en France. La définition proposée par l'ITGI est certes critiquable et encore largement perfectible. Mais elle a le mérite d'exister. De plus, elle est conforme à l'esprit du concept de gouvernance tel que promulgué depuis l'Antiquité et est parfaitement en phase avec cette vision exogène de la gouvernance. Il s'agit bel et bien d'assurer aux acteurs externes que la fonction informatique est bien gérée. N'oublions pas que l'ITGI est affilié à l'Isaca, seule organisation habilitée à certifier des auditeurs informatiques. La conséquence est simple mais importante. Si aujourd'hui, un actionnaire ou un dirigeant d'entreprise souhaite effectuer un audit de gouvernance informatique ou sur les pratiques managériales de la DSI, et que cet audit est confié à un auditeur certifié - une pratique quasi systématique dans les pays anglo-saxons, moins courante dans les pays latins -, alors l'audit sera effectué suivant la définition de l'ITGI. On remarquera au passage qu'à aucun moment Cobit, ITIL ou CMM-I ne sont mentionnés. Les cinq piliers de la gouvernance informatique tels que définis par l'ITGI sont : - l'alignement stratégique (IT Strategic Alignment) ; - la création de valeur (IT Value Delivery) ; - la gestion du risque informatique (IT Risk Management) ; - la mesure de performance (Performance Measurement) ; - la gestion des ressources (IT Resource Management). Chaque pilier pourrait être l'objet d'un article en décrivant à la fois la vision de l'ITGI et en la confrontant aux meilleures pratiques. Aussi, il ne s'agit pas dans cet article de reproduire la vision détaillée de l'ITGI, mais plutôt de résumer sommairement l'esprit de la définition de la gouvernance informatique. Pour chaque pilier il s'agit de faire un état des lieux, d'élaborer des recommandations et enfin établir un plan d'action. * L'alignement stratégique Il s'agit d'analyser le schéma directeur, ainsi que les plans informatiques opérationnels, d'étudier le positionnement de la DSI au sein de l'entreprise, ses attributions, son organisation et ses compétences, etc. * La création de valeur Les méthodes de gestion de la valeur des SI, tant au niveau des projets que des activités, sont étudiées (justification économique des projets, typologie de bénéfices, matrices de portefeuilles, analyse de la valeur, etc.). * La gestion du risque Il s'agit d'analyser la connaissance du risque pris par l'entreprise à travers ses systèmes informatiques (cf. cartographie du risque informatique) et ce, en termes d'impact métier. * La mesure de performance Cela concerne l'analyse des pratiques en matière de pilotage et de contrôle de gestion informatique (tableaux de bord, reporting, etc.). * La gestion des ressources Il s'agit d'analyser la connaissance et les principes de gestion des actifs matériels et logiciels, des ressources humaines, ainsi que des politiques de sous-traitance et d'externalisation. N'en déplaise à tous les promoteurs opportunistes ou maladroits de la gouvernance informatique, certaines vérités se doivent d'être rappelées. L'objectif de ce modeste article est bel et bien de se remémorer les fondamentaux (quitte à être impopulaire), de les resituer à la fois historiquement et dans l'esprit de la science managériale pour mieux les comprendre et ainsi les utiliser. La gouvernance est un sujet extrêmement sérieux qui se doit d'être traité sérieusement. Il l'est d'autant plus que les DSI sont aujourd'hui à un carrefour important de leur existence. La DSI a un avenir florissant au sein des entreprises à condition de réaliser les bons tournants. Une voie est aujourd'hui incontournable : la maîtrise des pratiques managériales. Compte tenu des enjeux et comme nous l'avons déjà titré à maintes reprises : le DSI du futur doit être un manager et un leader ou ne sera pas ! Dans ce contexte, l'utilisation des principes de gouvernance peuvent lui permettre de se rapprocher de sa direction générale en initiant des débats qui sont de son niveau sur de véritables enjeux. Ces principes de gouvernance sont en phase avec les pratiques managériales fondamentales : établir une stratégie efficace, disposer d'outils de pilotage pertinents, démontrer la valeur et la contribution de ses actions, connaître les risques encourus et gérer le patrimoine informatique. Aussi, les DSI ont tout intérêt, et ce dès à présent, à faire le point sur leur propre situation et à lancer les actions qui leur permettront de se rapprocher des meilleures pratiques managériales. Il est important de garder un esprit critique et de ne pas succomber aux sirènes qui chantent faux. L'avenir de la fonction informatique ainsi que le futur du DSI se jouent sans aucun doute sur ce terrain.
Article rédigé par
Christophe Legrenzi, PDG de la société de conseil Acadys
Ingénieur en informatique de gestion, en informatique industrielle, Docteur ès sciences de gestion, auditeur informatique certifié (CISA) et expert auprès des tribunaux, Christophe Legrenzi est spécialisé dans les domaines du management et de la mesure de la performance des organisations informatisées. Il est PDG de la société de conseil Acadys. Il a également participé aux travaux de l'IT Governance Institute (USA) et coordonne aujourd'hui le club : «Société de l'information et performance d'entreprise» au sein de l'Association Nationale des Docteurs en Sciences Economiques et Sciences de Gestion.
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire