Les bonnes pratiques en matière de gouvernance des systèmes d'information
La gouvernance des systèmes d’information comprend quatre grands domaines différents :
- La gouvernance de la conception des systèmes d'information :
Un système d'information, quel qu'il soit, est bâti sur une conception d'ensemble. La qualité de cette démarche détermine en bonne partie l'efficacité du système d'information. Les bonnes pratiques correspondantes sont détaillées dans le chapitre 1.
- La gouvernance du fonctionnement des systèmes d'information :
Il est important de s’assurer que le système d'information fonctionne de manière régulière et efficace. Il faut s’assurer qu’il est performant et sécurisé. Un responsable gère et pilote le système d’information. Les bonnes pratiques correspondantes sont détaillées dans le chapitre 2.
- La gouvernance du pilotage des systèmes d'information :
Les modifications du système d'information se font dans la durée. Il est pour cela nécessaire de piloter ces opérations. La perte de contrôle de ce processus se traduit par une dégradation significative du système d’information. Les bonnes pratiques correspondantes sont détaillées dans le chapitre 3.
- La gouvernance de l'évolution des systèmes d'information
Les changements apportés au système d'information nécessitent une réflexion de type stratégique, une démarche planifiée et un contrôle des opérations effectuées. Les bonnes pratiques correspondantes sont détaillées dans le chapitre 4.
Ces quatre domaines sont le cœur de la gouvernance des systèmes d’information.
Chapitre 1 – La gouvernance en matière de conception des systèmes d'information
L’observation montre que les systèmes d’information ne se développent pas au hasard. Ce sont des objets construits selon des règles et des principes clairs et compréhensibles. Comme pour bâtir une maison on commence par les fondations et on finit par le toit. Il est difficile de faire l’inverse. C’est la même chose en matière de conception de système d’information. Il est nécessaire de suivre une logique assez rigoureuse et cela permet de construire un système d’information efficace. On parle, d’ailleurs, d’une architecture. Le terme est un peu excessif mais il décrit bien ce qui est effectué. On s’efforce de construire en suivant une démarche cohérente.
Un système d'information, quel qu'il soit, est bâti sur la base d’une conception d'ensemble. La différence entre un système d'information de qualité et efficace et celui qui ne l’est pas tient à la qualité de sa conception. Bien conçu il sera facile à maîtriser et à piloter. Mal conçu il devient très vite une sorte de machine folle. Ensuite, une fois ces systèmes mis en place, ils peuvent évoluer pour s’adapter aux évolutions demandées par les métiers, les clients et les utilisateurs mais ils restent conditionnés par leur conception.
Ces règles et ces usages sont connus de tous et chacun s’efforce de les appliquer, mais ils ne sont pas systématiquement appliqués. Ces bonnes pratiques sont la base de la gouvernance des systèmes d’information.
Il existe vingt-cinq bonnes pratiques en matière de conception de système d’information. C’est un ordre de grandeur. Il y en a peut-être d’autres mais elles sont moins importantes :
1 . 1 S’assurer l’intégration du futur système d’information dans la stratégie de l’entreprise. Un nouveau système d’information doit aller dans le même sens que la stratégie de l’entreprise. S’il va dans un sens différent d’elle ou bien, ce qui est pire, s’il est en opposition avec cette dernière il risque de fonctionner de manière défectueuse où être rejeté. L’alignement stratégique est une condition indispensable de réussite des projets. Chaque système d’information doit renforcer la stratégie de l’entreprise et améliorer son efficacité. Faut-il encore que l’entreprise ait une stratégie et qu’elle soit concrètement applicable.
1 . 2 Evaluer la création de valeur par le système d’information. Il est indispensable de s’assurer qu’un nouveau système d’information permet d’augmenter de manière significative la capacité de l’entreprise à créer de la richesse. Un système d’information qui n’apporte rien ou, pire, qui a un effet négatif sur ses résultats sera très vite abandonnée ou contournée. Pour éviter ce type de situation il est nécessaire de s’assurer, dès sa conception, qu’il va contribuer à de la création de valeur. Si elle est faible ou incertaine c’est, pour tout décideur un indicateur d’alerte qui doit l’amener à chercher une solution plus efficace.
1 . 3 Concevoir l’architecture du système d’information. Un système d'information efficace repose sur une architecture claire et efficace. C’est un principe simple. Elle comprend deux volets : la conception de l’application informatique et la définition de l’organisation qui va être mise en place. Il arrive que certains systèmes d'information souffrent d’erreurs de conception. Ceci fait qu’ils ont une certaine difficulté à fonctionner dans de bonnes conditions. Cela entraîne des performances médiocres et des coûts de maintenance élevés. De même, il est nécessaire de concevoir une architecture de l’organisation performante. La qualité de l’architecture est un facteur clé de la gouvernance des systèmes d’information.
1 . 4 S’intégrer dans l’architecture existante. Un nouveau système d’information doit prendre place dans un ensemble de traitements préexistants. Il est pour cela nécessaire de définir des interfaces avec ces systèmes, de partager des données et de mettre en commun des fonctions identiques. C’est une partie importante de la conception d’un système d’information. Une médiocre intégration risque de dégrader les performances du système d’information et peut finalement réduire brutalement sa durée de vie.
1 . 5 Gérer le projet en mode projet. La définition, la réalisation et la mise en place d’un système d’information se fait en mode projet comme c’est le cas pour la partie informatique dès que le volume de développement dépasse un certain seuil ([1]). En fait, il existe deux projets : le premier concerne la réalisation et le test des logiciels, le second concerne l’évolution de l’organisation. Cette évolution est délicate et se fait en mode projet. Ce n’est pas un petit projet d’organisation effectué dans le cadre d’un grand projet informatique. Ce sont en fait deux projets qu’il faut être capable de mener de front.
1 . 6 Accorder une grande importance à l’organisation. L’efficacité du système d’information dépend pour une grande partie de la qualité de l’organisation mis en place. Elle comprend différents types de travaux :
- l’identification des tâches, leur regroupement, leur suppression, leur fusion,…
- la répartition des tâches entre les différents intervenants,
- l’efficacité des contrôles mis en place,
- le développement des compétences du personnel,
- la formation des intervenants,
- …
La qualité de la conception de l’organisation est un facteur clé de l’efficacité des systèmes d’information.
1 . 7 Définir la conception globale en deux étapes. La première phase du développement d’un système d’information est celui de la conception. C’est un processus complexe. Il est généralement effectué en deux étapes. La première consiste à définir les caractéristiques générales du futur système d’information. C’est l’étude de faisabilité. La seconde phase permet d’identifier les fonctions à mettre en œuvre et l’organisation à mettre en place. C’est le but de l’analyse fonctionnelle et le document de conception de l’organisation. Il est toujours possible d’effectuer ces deux étapes en une seule mais l’expérience montre que ce regroupement a pour conséquence d’augmenter le niveau de risque.
1 . 8 Rédiger un document de référence. La conception du système d'information se traduit par un document qui peut porter différents noms comme celui de schéma directeur, d’analyse fonctionnelle, de cahier des charges, de schéma d’organisation ou d’analyse de processus. Il décrit les principales fonctions à mettre en œuvre. Il peut être complété par la description du modèle d’organisation, la présentation de l’architecture du système d’information, l’identification et l’analyse des processus. L’absence de ce document de référence risque de rendre le développement du système d’information assez aléatoire.
1 . 9 Identifier des fonctions et des processus. La conception de l'architecture du système d'information repose sur l'identification des différentes fonctions à mettre en œuvre. Elle est basée sur le repérage des tâches nécessaires et la définition de leur enchaînement. Celles-ci peuvent être manuelles ou informatisées. Chaque tâche est évaluée. Elles peuvent être maintenues telles quelles, étendues, regroupées, supprimées, éclatées en plusieurs tâches, … Il est ainsi possible de définir de nouvelles fonctions et de redéfinir les processus qui sont la base de l’organisation du futur système d’information.
1 . 10 Prendre en compte le rôle particulier joué par le système informatique. Le fonctionnement du système d'information repose en grande partie sur un système informatique sous-jacent mais ce n'est pas tout le système. Confondre le système d’information avec le système informatique est source de difficultés. L’application informatique n’est qu’une partie du système. C’est un ensemble significatif mais ce n’est pas l’intégralité du système d’information. Il est important de s’assurer que le système informatique est adapté à l'organisation en place et aux compétences des personnes chargées de le faire fonctionner.
1 . 11 Faire participer les personnes concernées par le futur système d’information à sa conception. Le système d’information va être mis en œuvre et rendu opérationnel grâce aux différentes personnes qui sont chargées de saisir les données et d’exploiter les résultats. Il est important qu’elles participent à la définition de l'organisation à mettre en place et aussi à l’identification des différentes fonctions à mettre en œuvre. Enfin elles doivent participer à la validation de l'architecture du système d'information.
1 . 12 Partir de l’existant et le faire évoluer. La plupart du temps la conception du nouveau système d'information se fait à partir d’un système informatique et une organisation préexistante. Il est donc important de commencer la conception du futur système d’information par une analyse de l’existant faisant apparaître les points forts et les points faibles. Ensuite en tenant compte des menaces et des opportunités les concepteurs du système d’information vont définir la manière de le faire évoluer.
1 . 13 Désigner un responsable du système d'information. Il est nécessaire qu’une personne soit responsable de la conception du système d’information et ensuite de son fonctionnement. Ce peut être la même personne mais souvent ce sont deux personnes différentes. Souvent on nomme un responsable hiérarchique mais on peut aussi confier cette charge à un responsable fonctionnel. Pour être efficace il est nécessaire qu’il ait la responsabilité de l’ensemble du système d’information et pas seulement d’une partie.
1 . 14 Choisir une architecture adaptée. Il existe différentes approches en matière de conception de système d'information : décentralisation ou centralisation, intégration ou segmentation, approche par fonction ou par processus, … A la fin des années 90 on a surtout cherché à développer des systèmes décentralisés. Aujourd’hui on cherche à mettre en œuvre des systèmes centralisés. Cela n’a pas les mêmes conséquences. Il est nécessaire de faire des choix entre ces différentes options. Ce sont des choix structurant qui ont un impact important sur l’organisation du système d’information et sur les contrôles à mettre en place.
1 . 15 Respecter les règles de contrôle interne. Il est important de s’assurer que le futur système d’information dispose d’un niveau de contrôle interne adapté en fonction du niveau du risque. Des contrôles suffisant doivent être mis en place :
- Ils peuvent être effectués au fur et à mesure de la saisie des opérations ou de la réalisation des traitements.
- Il est possible de regrouper tous les contrôles effectués en une session à la fin de période.
- Ces contrôles doivent donner une assurance suffisante de la maîtrise des opérations.
1 . 16 Evaluer et suivre les risques. Il est nécessaire d’effectuer une évaluation des risques liés à la conception du système d’information. Elle est effectuée dès le lancement du projet et répétée aux principales étapes du développement du système d’information. Au minimum il est nécessaire d’établir la liste des risques et effectuer leur cotation mais il est préférable d’estimer le montant de l’espérance mathématique des risques. Ceux-ci concernent l’informatique mais aussi l’évolution de l’organisation.
1 . 17 Définir des dispositifs de sécurité adaptés. Il est nécessaire de prévoir dès la conception du système d’information des outils permettant d’assurer un niveau de sécurité satisfaisant. Il est nécessaire de :
- contrôler les accès aux systèmes, aux données et aux traitements,
- vérifier l’exactitude des traitements effectués,
- éviter les copies de bases de données.
1 . 18 Chiffrer le montant de l’investissement. La conception, la réalisation et la mise en œuvre d’un système d’information est un investissement significatif. Il est important de l’évaluer dès le lancement du projet. Ce montant comprend les développements informatiques, les achats de matériels, … mais aussi toutes les autres charges comme les frais de mis en place, de formation, de réorganisation, ... Ce chiffrage va être mis à jour à chaque étape du projet de façon à détecter d’éventuels dérives.
1 . 19 Suivre l’avancement du projet. Il est nécessaire de faire périodiquement un suivi de l’avancement du projet. Il ne s’agit pas uniquement de suivre la réalisation du logiciel mais de couvrir l’ensemble des opérations liées à la conception du système d’information :
- la conception de l’organisation,
- la conception du système informatique,
- la réalisation du logiciel,
- les tests du logiciel,
- la mise en place de l’organisation,
- la formation des personnes concernées,
- le démarrage notamment s’il y a de nombreux sites.
1 . 20 Assurer le suivi des dépenses investies. Une fois le projet en cours de réalisation Il est nécessaire de mettre en place un dispositif comptable permettant de connaître le niveau des dépenses effectuées. Comparé au degré d’avancement du projet il est possible d’affiner l’estimation du coût final du projet. L’objectif est de détecter rapidement toute dérive budgétaire significative.
1 . 21 Estimer les coûts prévisionnels de fonctionnement du système d’information. Il est de même très important d’évaluer de manière prévisionnelle le niveau des dépenses courantes du futur système d’information ainsi que les coûts immobiliers, les quotes-parts de frais généraux, ... Ce sont des coûts complets comprenant non seulement les coûts informatiques mais aussi les coûts des personnels chargés de faire fonctionner ces systèmes d’information. Une fois le système d’information opérationnel, il est souhaitable de mesurer le niveau des dépenses effectivement constatées et de justifier les écarts constatés.
1 . 22 Evaluer la rentabilité de l’investissement. Parmi toutes les opportunités d’investissement ceux faits dans le domaine des systèmes d’information ont les rentabilités les plus élevées. Faut-il encore que cette rentabilité soit mesurée ! C’est vital. Or trop souvent ce calcul n’est pas fait ([2]). Cette bonne pratique doit être impérativement mise en œuvre sans cela on a toujours le risque d’effectuer des investissements peu ou pas rentables et de ne s’en apercevoir que tardivement une fois que le système d’information est mis est en place.
1 . 23 Accorder au management de l’entreprise un rôle clé. Les orientations concernent le futur système d’information doivent être discutées et approuvées par le management de l'entreprise. C’est le rôle du comité de pilotage ou des comités de direction. Il détermine les grandes orientations, valide les principaux choix, fixe les priorités, arrête les budgets, … L’absence d’engagement du management est une cause fréquente de dérive des opérations.
1 . 24 Faire valider le projet par toutes les parties prenantes. Les principales orientations du futur système d’information doivent être validées par les différentes personnes qui vont le mettre en place puis ensuite le faire fonctionner. Ceci est, pour l’essentiel, effectué au moment de la validation du cahier des charges mais cette validation concerne surtout la partie informatique du système d’information. La définition de l’organisation et la manière dont le nouveau système va se mettre en place et faire l’objet d’une validation mais c’est moins courant. Ceci explique fréquemment le rejet du changement.
1 . 25 Mettre en place un tableau de bord du projet de système d’information. Un projet de système d’information est toujours une opération délicate à piloter. Pour y arriver dans de bonnes conditions il est nécessaire de mettre en place un suivi du projet, non seulement de la partie informatique mais de l’ensemble du système d’information. Il est pour cela nécessaire de mettre en place un tableau de bord permettant de détecter rapidement d’éventuels dérapages de façon à réagir à temps. L’absence de tableau de bord où sa limitation à la seule étape de la réalisation informatique est une fragilité.
Comme on le voit il est important de faire la différence entre le système d’information et le système informatique. Le principal objectif n’est pas de produire du code mais de définir une nouvelle organisation et de mettre en œuvre l’application informatique la supportant.
Chapitre 2 – La gouvernance en matière de fonctionnement des systèmes d'information
Le fonctionnement des systèmes d'information concerne l’exécution des opérations courantes prises en charge par le personnel d’exécution ([3]). L’objectif est d’avoir une organisation performante et efficace. Les opérations doivent s’enchaîner les unes derrières les autres sans anicroche. Elles doivent être simples à exécuter et les traitements doivent être fiables. Pour y arriver, il est nécessaire de mettre en place une organisation adaptée permettant de le piloter. Le fonctionnement régulier du système d’information repose sur la mise en œuvre d’une vingtaine de bonnes pratiques. Il en existe peut-être d’autres mais elles sont moins importantes.
2 . 1 Désigner un responsable du système d’information. Un système d’information peut concerner plusieurs départements ou divisions de l’entreprise. Ainsi, par exemple, le système d’information des achats implique le département achats mais aussi la production, les stocks, la comptabilité, ... Plusieurs responsables peuvent intervenir sur le fonctionnement quotidien du système d’information. Pour éviter d’éventuels conflits il est nécessaire de désigner un responsable unique de l’ensemble du système d'information. Il a mission d’assurer le fonctionnement régulier du système d’information. Il doit superviser son fonctionnement et, en cas de dérive, intervenir rapidement et de manière efficace. Ce peut être un responsable métier ou de processus, un maître d’ouvrage, … C'est, généralement, un responsable hiérarchique car il est nécessaire qu’il ait une autorité suffisante pour prendre rapidement les décisions qui s’imposent afin d'assurer son fonctionnement régulier.
2 . 2 Contrôler l’ensemble du système d’information. La gestion opérationnelle d’un système d’information peut souvent être répartie entre plusieurs personnes. Ceci fait que des problèmes de coordination et de pilotage peuvent survenir. Il est, pour cela, nécessaire que le responsable du système d’information puisse suivre l'ensemble des activités placées sous sa responsabilité afin de détecter rapidement d'éventuels dysfonctionnements. Il doit avoir une vision d’ensemble du système d’information et pas seulement d’une partie de celui-ci. Un certain nombre d’indicateurs de gestion doivent être périodiquement suivis (quotidien, hebdomadaire, mensuel) et se retrouvent dans un tableau de bord. Il est notamment important de suivre des indicateurs de performances du système d’information.
2 . 3 Alimenter une base de données mémorisant l’ensemble des opérations de façon à établir un tableau de bord de l’activité du système d’information. Le système informatique sous-jacent au système d’information doit disposer d’une base de données enregistrant le détail des opérations effectuées afin de produire à la demande un rapport analysant l’activité d’une période donnée. Le terme technique définissant cette base est « le log ». Périodiquement une synthèse est établie sous forme d'un tableau de bord. Les indicateurs suivis permettent de mesurer l’activité du système d’information et d’apprécier ses performances comme par exemple : le nombre d’opérations effectuées au cours d’un mois, le délai moyen de traitement d’une opération, le nombre d’opérations traitées par personne et par jour, ...
2 . 4 Suivre le détail des opérations. Le système informatique sous-jacent au système d’information permet de suivre l’évolution du détail des opérations exécutées par le système d’information. Il est ainsi possible de remonter d’une opération finale à l’ensemble des événements qui sont à leur origine. Ainsi dans un système d’information assurant la gestion des ventes on doit pouvoir remonter de la facture au bon de livraison, à la sortie des stocks et finalement au bon de commande reçu du client. C’est la traçabilité des opérations. Il est pour cela nécessaire de garder toutes les informations intermédiaire nécessaires permettant de visualiser l'enchaînement des opérations.
2 . 5 Garantir la sécurité des opérations et des bases de données. Un système d’information demande d’avoir un niveau de sécurité adapté au niveau des risques constatés. Ainsi, il est important de s’assurer que seules les personnes autorisées peuvent accéder aux données et aux traitements. S’il y a des risques ou des enjeux importants il est nécessaire de mettre en place des dispositifs de sécurité renforcés avec des authentifications fortes. Le responsable de la sécurité des systèmes d’information (RSSI) doit s’assurer que le niveau de sécurité du système d’information est satisfaisant. Si c’est nécessaire il peut se faire relayer par un administrateur de base de données sous le contrôle du responsable du système d’information.
2 . 6 Auditer périodiquement le système d’information. Il est périodiquement important de s’assurer que le système d’information respecte les règles de contrôle interne de l’entreprise et que le management et les différentes parties prenantes ont une assurance raisonnable de son fonctionnement régulier et sans interruption. Ces contrôles doivent être effectués par des auditeurs expérimentés. Des fonctions de contrôles sont à la disposition des auditeurs notamment pour vérifier le contenu des principales bases de données. Pour cela ils doivent pouvoir effectuer des requêtes sur l’ensemble des bases de données du système d’information. On peut renforcer les dispositifs en mettant en place des contrôles continus (CCM : Continuous Control Monitoring) de façon à s’assurer en temps réel que les règles de contrôle internes sont respectées.
2 . 7 Enregistrer tous les incidents et les tentatives de forçage. Dans le cadre du fonctionnement régulier du système d’information, il peut arriver que des incidents soient détectés (voir le point 8 ci-dessous). Ils sont enregistrés de façon à pouvoir être ensuite analysés. Ce peuvent être aussi des tentatives de forçage, voire des fraudes. Tous ces incidents sont systématiquement enregistrés de façon à les identifier et les analyser afin de prendre des mesures pour éviter qu’ils ne puissent pas se reproduire.
2 . 8 Enregistrer toutes les anomalies qui surviennent. Dans le cadre du fonctionnement normal du système d’information des anomalies peuvent survenir. Parmi celles-ci certains peuvent être dues à des erreurs de programme : les « bugs ». Ils doivent être rapidement corrigés. Mais il y a d’autres causes possibles d’anomalies : données inexactes, mauvaises manipulations, ... Elles sont normalement détectées par le système informatique mais certaines anomalies sont constatées par les personnes chargées des opérations courantes. Celles qui sont détectées par les systèmes informatiques sont automatiquement enregistrées. Les autres anomalies doivent être saisies manuellement par les personnes les constatant. Ensuite le principe des opérations est simple : toutes les anomalies constatées dans le cadre du fonctionnement du système d'information sont recensées, centralisées et analysées de façon à comprendre leur origine et pouvoir les corriger.
2 . 9 Effectuer un suivi des anomalies constatées. La base de données des anomalies permet de les recenser de manière exhaustive. Une personne qualifiée va périodiquement les analyser et prendre, si c’est nécessaire, les mesures qui s’imposent. Dans certains cas il est possible d’effectuer ce suivi en temps réel ou en temps légèrement différé mais la plupart du temps ce travail est fait de manière asynchrone. Périodiquement on va mesurer le taux d’anomalies réelles observé et le délai moyen de résolution des problèmes constatés. Un tableau de bord des anomalies permet de mesurer leur nombre, celui des bugs détectés et qui sont ceux qui sont corrigés, l'avancement des corrections effectuées ainsi que le délai moyen de réalisation de ces corrections.
2 . 10 Vérifier le contenu des bases de données. Il doit être possible d’analyser le contenu de toutes les bases de données mises en œuvre par le système d’information afin de pouvoir vérifier leurs contenus et de s'assurer qu'elles ne comprennent pas de données inexactes. Il peut arriver que les données soient physiquement réparties sur plusieurs bases de données. Il est souhaitable de les voir comme si elles constituaient une seule base. Des fonctions intégrées ou un logiciel spécifique permettent d’effectuer des analyses, des sélections, des classements, … sur cet ensemble de données.
2 . 11 Gérer les actifs informationnels. La valeur de certaines bases de données est considérable ; les clients, les ventes et les marges par client et par produit, les bases techniques des produits, les brevets, les dossiers de recherche, les plans à moyen terme, … De même certains programmes contiennent une bonne partie du savoir-faire de l’entreprise. Ces actifs sont stratégiques. Ils doivent faire l’objet d’une surveillance particulière pour s’assurer qu’ils ne sont pas dégradés ou, pire, volés.
2 . 12 Mettre en place des contrôles suffisants. L’objectif est de s'assurer de la qualité de l’ensemble du système d’information :
- Les données saisies pour alimenter le système d'information doivent être contrôlées de manière exhaustive dès leur saisie. On doit s’assurer que toutes les données saisies sont effectivement contrôlées et que les bases de données ne sont pas mises à jour avec des données erronées. Lors de la saisie, toute anomalie est immédiatement signalée pour être rapidement corrigée. Pendant ce temps, la mise à jour de la base de données est bloquée tant que les informations inexactes ne sont pas corrigées. Cette logique de contrôle s’applique aux opérations de saisie faites au clavier. Les mêmes contrôles sont effectués lors du transfert de données effectuées de manière automatique entre systèmes.
- Les bases de données existantes doivent pouvoir être contrôlées à tout moment de façon à pouvoir détecter d’éventuelles anomalies. Il est ainsi possible de détecter des informations se trouvant en double dans les bases de données. De même, il doit être possible de détecter des informations manquantes ou dégradées.
- Les traitements effectués sont contrôlés de façon à détecter des erreurs qui pourraient concerner les données, l’exécution des opérations, les bases de données mises à jour, … Un état « recap » ou une transaction de contrôle sont produits à la fin des traitements permettant de s’assurer qu’ils se sont correctement déroulés et ont donné les résultats attendus.
- Les différentes sorties notamment les éditions, la production de fichiers de transfert de données, les transactions de consultation, … peuvent être contrôlés pour s’assurer que les données affichées ou imprimées sont bien celles qui devraient y figurer.
L’expérience montre que les contrôles de données sont généralement de bonne qualité par contre le contrôle des bases de données, des traitements effectués et des différentes sorties sont plus fragiles.
2 . 13 Effectuer des contrôles particuliers des transactions délicates. Un certain nombre de transactions peuvent mettre en péril la sécurité du système d’information. Ainsi des changements de certaines données peuvent recouvrir des fraudes comme par exemple le changement de RIB d’un fournisseur, la réception d’une facture sans qu’il y ait eu au préalable une commande, une sortie de stocks qui n’est pas imputée à un client ou à un ordre de fabrication, ... Ces transactions particulières sont signalées en temps réel à un responsable, qui est chargé de les valider. En cas de situations critiques, ces transactions sont enregistrées dans une base spécifique.
2 . 14 Etablir un tableau de bord du contrôle interne du système d’information. L’ensemble des informations de contrôle interne disponibles est regroupé dans un document unique permettant d’avoir une assurance raisonnable du fonctionnement régulier du système d’information. Il est important de suivre le nombre, la fréquence et le degré de gravité des incidents détectés.
2 . 15 Documenter le système d’information. Pour que les utilisateurs maîtrisent correctement le système d’information, il est nécessaire qu’ils disposent d’un document de référence. Il décrit le fonctionnement du système d’information, non seulement sa partie informatique mais aussi l’ensemble des fonctions qu’il met en œuvre et l’organisation à mettre en place. Il comprend au moins quatre parties :
- une description détaillée de l’ensemble des fonctions disponibles,
- la liste des contrôles manuels ou informatiques en place,
- la liste des problèmes qui peuvent survenir dans le fonctionnement du système d’information,
- la manière de corriger ces incidents.
2 . 16 Disposer d’une procédure écrite. Un système d’information assure le fonctionnement d’un ou de plusieurs processus. Ainsi dans le cas des achats il y a deux grands processus : la passation des commandes d’approvisionnement et le choix des fournisseurs puis l’établissement des contrats. Pour éviter toute dérive il est nécessaire de décrire de manière suffisamment détaillée l’enchainement des opérations permettant d’assurer le fonctionnement en système d’information. C’est le rôle de la procédure écrite. C’est un point de contrôle important. L’absence d’un document de ce type est indiscutablement une fragilité.
2 . 17 Mesurer des indicateurs de performances significatifs. Pour piloter un système d’information il est nécessaire de mesurer régulièrement ses performances comme le nombre de dossiers reçus et traités, le délai moyen de traitement des dossiers, les temps de réponses observés, la charge transactionnelle, la disponibilité, ... Le responsable du système d’information pilote ce dernier sur la base de ces indicateurs. Il est aussi très utile d’évaluer la charge transactionnelle maximum supportée par une configuration donnée de façon à anticiper une éventuelle dégradation des temps de réponse.
2 . 18 Mesurer des indicateurs de productivité. Il est aussi important de mesurer régulièrement la productivité du système d’information et d’apprécier l’évolution de cet indicateur. Pour être efficace il doit couvrir l’ensemble de l’activité du système d’information. C’est par exemple le nombre de dossiers traités par personne et par jour ou le temps moyen de traitement d’un dossier. Normalement les actions réalisées pour améliorer la productivité doivent se traduire par des variations significatives de cet indicateur. S’il n’est pas sensible à ces actions il est possible que les mesures prises ne sont pas adaptées mais ceci peut aussi être dû au fait que l’indicateur est mal défini.
2 . 19 Suivre le coût global du système d’information. Pour maîtriser le système d'information il est nécessaire de suivre ses coûts, non seulement les coûts informatiques mais le coût complet du système d’information c’est-à-dire comprenant l’ensemble des dépenses du personnel chargé de le faire fonctionner, le coût des locaux, les quotes-parts de direction, … Ce suivi doit être régulièrement effectué, normalement à périodicité mensuelle ou, à la rigueur, trimestrielle. L’ignorance de ce coût ou son absence de suivi sont indiscutablement des faiblesses du management en charge du système d’information.
2 . 20 Calculer le coût moyen par unité produite. Le coût total d’un système d’information est un montant qui n’est pas toujours facile à interpréter. Il est plus significatif de calculer le coût moyen par unité produite. Cet indicateur de gestion permet d’apprécier la qualité du management du système d’information. On va par exemple suivre le coût d’une commande reçue ou envoyée, d’un dossier de prêt accordé, d’une pièce comptable, … Cet indicateur doit être conforme aux habitudes des métiers. Ainsi dans la banque on s’intéresse au coût de traitement d’un chèque ou d’un paiement par carte. La méconnaissance de cet indicateur est indiscutablement une faiblesse du management du système d’information.
2 . 21 Travailler les coûts unitaires. Il est nécessaire de mesurer périodiquement les coûts unitaires de façon à s’assurer de leur évolution dans le temps. Si le système d’information est correctement géré les coûts unitaires doivent régulièrement diminuer notamment grâce aux investissements effectués dans le système informatique et aux efforts de formation du personnel. Périodiquement il est nécessaire d’analyser les coûts unitaires du système d'information et de suivre leur évolution dans le temps. Il est toujours possible de diminuer les coûts unitaires par quelques mesures simples comme arrêter de renouveler les équipements, décaler la maintenance des matériels et des logiciels, stopper les nouveaux développements, confier le travail à du personnel peu qualifié ou peu encadré, ... Mais est-ce vraiment raisonnable ? Tôt au tard il faut bien renouveler les matériels et assurer la maintenance des équipements ou des logiciels. Dans ce cas, tôt ou tard, inéluctablement le coût unitaire remonte.
2 . 22 Analyser le détail des opérations effectuées. Il est nécessaire de revoir périodiquement le détail des opérations effectuées. On va pour cela repérer les tâches effectuées, les décomposer en tâches élémentaires, les analyser, étudier leurs enchaînements, … Il est presque toujours possible de dégager des améliorations de leur exécution. Dans ce but on va identifier les tâches, voir s’il est possible de les supprimer, de les automatiser, de les regrouper, ... Ainsi en regroupant toutes les tâches manuelles ensemble il est possible d’améliorer l’efficacité des processus. De même en renforçant et en automatisant les contrôles on peut améliorer la productivité du système d’information. Ce travail de rationalisation doit être périodiquement effectué afin d’améliorer de manière significative la productivité des systèmes d’information.
Comme on le voit la gouvernance du fonctionnement d’un système d’information repose sur l’application de quelques bonnes pratiques. Pour qu’un système d'information fonctionne de manière régulière et efficace il est notamment nécessaire de s’assurer qu’un responsable le gère et le pilote. Il faut ensuite s’assurer qu’il fonctionne de manière performante et sécurisée. Dès qu’il dérive il est important de réagir rapidement et de prendre des mesures permettant de revenir à un rythme de fonctionnement régulier.
Chapitre 3 – La gouvernance en matière de pilotage des systèmes d'information
Un système d’information est un ensemble complexe qui doit être piloté. L’expérience montre qu’un pilotage faible ou incertain peut se traduire par des pertes d’efficacité voire des dégradations du système d’information.
Il est nécessaire d’identifier les bonnes pratiques concernant le pilotage des systèmes d'information et notamment le pilotage des corrections ponctuelles qu’il est nécessaire d’effectuer régulièrement et qui sont souvent la cause des dérives constatées. Dans un prochain message nous étudierons la gestion des évolutions à moyen terme des systèmes d'information. Ils nécessitent d’avoir une réflexion de type stratégique, une démarche planifiée et un contrôle des opérations effectuées.
Le pilotage des systèmes d'information repose sur une vingtaine de bonnes pratiques. Il en existe peut-être d’autres mais elles sont moins importantes :
3 . 1 Désigner un pilote du système d’information. Un système d’information est un objet complexe. Pour le gérer de manière efficace il est nécessaire qu’il soit piloté par une personne ayant une vision d'ensemble du système. Il doit avoir la double responsabilité de gérer l’ensemble des opérations quotidiennes et périodiques et de piloter les évolutions qui seront réalisées dans les années à venir ([4]). Il a la responsabilité de détecter les goulets d’étranglement et de décider les mesures nécessaires pour améliorer le fonctionnement du système d’information. Très souvent celles-ci se traduisent par des modifications des programmes informatiques ou de l’organisation. Le pilote du système d’information doit prendre des décisions et ensuite s’assurer que ces mesures sont effectivement appliquées.
3 . 2 Avoir un décideur consensuel, reconnu par les autres décideurs concernés. Les différentes parties prenantes concernées par le système d'information doivent avoir confiance dans le pilote. Il dirige par consensus. S’il ne bénéficie pas de cet accord implicite il aura du mal à faire correctement fonctionner le système d’information. Pour cette raison il est recommandé qu’il puisse s’adosser à un comité de pilotage (voir ci-dessous le point 5).
3 . 3 Veiller à ce que le pilote ait des pouvoirs suffisants. Le pilote doit avoir une autorité suffisante afin d'être capable de faire exécuter les décisions qu'il est amené à prendre. Si ses choix et ses arbitrages sont contestés par les autres décideurs et leurs collaborateurs le pilotage du système d’information et la mise en place des mesures nécessaires seront difficiles à mettre en œuvre.
3 . 4 Nommer une personne réactive. Un pilote chargé de gérer le système d’information doit être capable de réagir rapidement à tout changement du contexte. Rien n’est pire qu’un pilote qui laisse filer en se disant que les « choses rentrerons dans l’ordre d’elle-même ». Un bon pilote doit même être capable d’anticiper les dérives possibles. Pour cela il doit sentir les évolutions du contexte, éventuellement avant que les changements soient manifestes.
3 . 5 Disposer d'un organe de pilotage adapté. La plupart des systèmes d’information sont utilisés par de nombreux partenaires de l’entreprise ([5]). Il est donc nécessaire de coordonner les opérations entre les différents responsables qui se partagent le management du fonctionnement du système d'information. Cela se fait en mettant en place un comité de pilotage dont font partie les différentes parties prenantes concernées. Ce comité doit être régulièrement informé du fonctionnement du système d’information et, le cas échant, il recommande les actions à entreprendre, fixe des priorités, dégage les ressources nécessaires, … Il ne se substitue pas au pilote, il renforce son pouvoir et son autorité ([6]).
3 . 6 Rendre périodiquement des comptes. Le pilote agit par délégation des différents responsables concourant au fonctionnement du système d’information. En conséquence il a l’obligation d’informer régulièrement ces différents décideurs du fonctionnement du système d’information, des incidents et des difficultés rencontrées, des changements en cours et de leur mise en œuvre. Ceci peut se faire par le biais d’une réunion périodique ou, à défaut, par une note d’information ou un tableau de bord.
3 . 7 Mettre en place un tableau de bord. Le pilote doit disposer d'un tableau de bord lui permettant de suivre le fonctionnement du système d'information. Il a pour but de lui donner une bonne visibilité sur l'ensemble du système d'information et sur toutes ses évolutions en cours. Il est recommandé de le mettre en diffusion auprès de tous les partenaires concourant au fonctionnement du système d’information de façon à ce que chacun dispose des mêmes informations. Une attention particulière doit être portée au choix des indicateurs qui permettent de suivre :
- Les volumes d’opérations traitées par période et les pointes de charge,
- Le nombre et la gravité des incidents constatés,
- Le délai moyen de traitement des opérations,
- Le nombre de modifications ou d’adaptations en cours,
- La productivité des opérations,
- Le coût des opérations (coût informatique, coût du système d’information)
Il peut contenir d’autres types d’information mais la liste ci-dessus est un minima à respecter.
Le tableau de bord du système d’information permet de connaître la situation actuelle du système d’information et de définir son plan d’évolution à moyen terme.
3 . 8 Mettre en place une procédure d’escalade des problèmes. Dans le cadre de l’exécution des opérations courantes des difficultés peuvent survenir. Certaines sont simples et sont traitées par le personnel ou l’encadrement. D’autres sont plus complexes et seront prises en charge par un « helpdesk » ou une équipe d’assistance. Tous les incidents doivent être enregistrés (voir point 10 ci-dessous) et analysés et sur la base de ces informations des améliorations informatiques, des formations ou des actions d’organisation doivent être apportées au système d’information.
3 . 9 Prévenir l’apparition des conflits et les traiter dès qu’ils se manifestent. Souvent, les différentes unités concourant au fonctionnement du système d’information ont, face à une opération ou un incident donné, des approches assez différentes. Cela peut se traduire par des tensions, voir des conflits entre les unités concernées. Le pilote du système d’information doit rapidement détecter ces problèmes potentiels et prendre des mesures pour qu’ils ne s’enveniment pas. Dans la mesure du possible, il doit veiller à prévenir leur apparition.
3 . 10 Suivre les incidents. De nombreuses difficultés peuvent survenir dans le cadre du fonctionnement normal des systèmes d’information car ce sont des mécanismes délicats à régler. Lorsqu’un incident survient, quelle que soit la partie du système d’information concernée, il doit être enregistré, analysé et traité ([7]). Pour les suivre et les gérer il est nécessaire de disposer d’une base de données des incidents qui est accessible et renseignée par tous les intervenants. Une personne désignée doit être chargée d’analyser et de statuer sur les incidents signalés. Une information doit être retournée vers la personne ayant signalé l’incident. Certains problèmes rencontrés peuvent donner lieu à des modifications de programmes ou à des changements dans l’organisation des tâches. Le délai moyen de traitement des incidents est un indicateur important qui doit être suivi.
3 . 11 Consulter périodiquement les utilisateurs et les décideurs pour recenser les demandes d’évolution qu’ils souhaitent mettre en œuvre ([8]). Périodiquement, et au moins une fois par an, il est souhaitable de consulter l’ensemble des personnes concernées par le fonctionnement du système d’information en leur demandant de signaler les améliorations qu’elles souhaitent voir mises en œuvre. Elles peuvent concerner les logiciels, leur paramétrage, les matériels, l’organisation ou la formation. Ce survol doit faire l’objet d’une synthèse largement diffusée. Elle permet d’identifier les opérations qui pourraient être effectuées et fixer leur priorité.
3 . 12 Sélectionner les demandes en fonctions de critères simples (5). Toutes les opérations suggérées par les utilisateurs et les décideurs n’ont pas la même importance. Certaines sont urgentes alors que d’autres sont plutôt accessoires. Pour établir un planning des opérations il est nécessaire de les classer en fonction de critères simples comme, par exemple, la complexité du travail à effectuer, la charge de travail nécessaire, les conséquences des changements notamment organisationnelles, les coûts et les délais.
3 . 13 Planifier les changements (5). Le pilote du système d’information a la responsabilité de définir un plan d’évolution à moyen terme du système d’information dont il a la charge. Il doit le fixer sur la base d’éléments objectifs et aussi subjectifs. Il doit évaluer la charge de travail de chaque opération demandée, la disponibilité des développeurs, la capacité de l’organisation à prendre en compte ces changements, … Il est aussi très important de tenir compte des appréciations des différentes parties prenantes. C’est l’aspect subjectif de la planification.
3 . 14 Pratiquer la délégation de pouvoir. Le pilote n’a pas le temps d’effectuer lui-même toutes les opérations qui doivent être effectuées, notamment les changements importants. Ce sont souvent des opérations délicates qui peuvent représenter une charge de travail importante. Il les confie à des tiers. Cela se traduit par une délégation d’une partie de ses pouvoirs à des chefs de projets chargés, par exemple, de la réalisation de la partie informatique du système d'information, à des formateurs pour les actions de formation, à des managers et des organisateurs ([9]) afin de faire évoluer les méthodes de travail ou les processus.
3 . 15 Suivre le planning et mesurer l’avancement (5). Le pilote doit nécessairement établir un planning des opérations qui doivent être effectuées et, périodiquement, il va mesurer leur avancement. C’est particulièrement le cas des changements apportés au système d’information mais ce suivi s’applique aussi aux opérations périodiques le concernant comme, par exemple, les clôtures (mensuelles, trimestrielles, annuelles) ainsi que certaines opérations quotidiennes délicates qui méritent d’être surveillées.
3 . 16 Prévoir et suivre la charge de travail (5). Il est indispensable de prévoir la charge de travail nécessaire permettant d’assurer les évolutions du système d'information et ensuite de suivre la charge consommée. C’est en particulier le cas du travail des informaticiens mais aussi celui des utilisateurs et de leur encadrement qui participent au développement des systèmes d’information ([10]). Un suivi du rythme de consommation de la charge doit être régulièrement effectué.
3 . 17 Fixer et suivre le budget des opérations (5). Chaque évolution apportée à un système d'information doit être identifiée et un budget doit être établi. Il doit comprendre les coûts correspondants à la charge de travail mais aussi tous les autres coûts notamment l’achat de matériels et de logiciels. Pour des raisons pratiques il est possible de regrouper ensemble différentes opérations. Périodiquement il est nécessaire de rapprocher le budget et les dépenses réelles afin de vérifier s’il n'y a pas eu sur ou sous-consommation de ressources.
3 . 18 Vérifier l’impact des changements. Une fois que les changements ont été effectués, que ce soit des modifications de programme ou des adaptations de l’organisation, il est nécessaire de s’assurer qu’elles ont effectivement été mises en œuvre et qu’elles ont produites les effets attendus.
3 . 19 Effectuer périodiquement une évaluation du système d’information. Un système d’information opérationnel évolue, dérive et fini par dysfonctionner. Pour éviter cela il doit être périodiquement audité. Ceci doit normalement être effectué tous les deux ou trois ans. Ce travail doit être confié à un tiers neutre et compétent. Généralement il porte sur trois domaines :
- La sécurité (accès au système, sécurité des données et des traitements, contrôles en place, …) ;
- Les fonctions du système et en particulier leur adaptation aux travaux à effectuer, aux compétences des personnes, ...
- Les performances du système d’information.
3 . 20 Evaluer la valeur créée par le processus. Les systèmes d’information contribuent à la création de valeur par l’entreprise. Certains ont une influence massive indiscutable alors que d’autres ont un impact plus incertain. De plus, cet effet peut changer et s’amenuiser dans le temps. Pour cette raison il est souhaitable d’effectuer périodiquement une appréciation de la contribution effective de chaque système d’information à la valeur créée par l’entreprise et d’évaluer l’impact des changements récents.
3 . 21 Gérer les risques. Tout système d’information doit faire face à des risques, notamment celui de cesser d’être opérationnel, de fonctionner en mode dégradé ou que des erreurs soient commises sans être détectées. Il est pour cela nécessaire d’identifier les principaux facteurs de risque et de les évaluer de façon à s’assurer que leur niveau reste raisonnable. S’il est trop élevé, des mesures doivent être prises pour diminuer le niveau de risque et, au cas où le ou les risques se manifestent, on doit avoir prévu des mesures pour reprendre le contrôle des opérations et diminuer l’impact de l’incident.
3 . 22 Gérer la sécurité. Les systèmes d’information doivent être protégés contre les fraudes, les incidents et aussi les erreurs que peuvent commettre des différents opérateurs intervenants dans le cadre de ce système. Il faut s’assurer que des dispositifs de sécurité ont été mis en place, qu’ils sont suffisants pour atteindre le niveau de sécurité recherché et qu’ils fonctionnent effectivement. De même des consignes doivent avoir été données au personnel et il est nécessaire de s’assurer qu’elles sont effectivement appliquées.
3 . 23 S’assurer du respect des règles de contrôle interne. Les systèmes d’information doivent respecter un certain nombre de règles fondamentales de contrôle interne comme le suivi des opérations, l’existence d’un tableau de bord, une définition claire des responsabilités, l’évaluation des risques, la gestion de la sécurité, la complétude de la documentation, ... Le management a la responsabilité de mettre en œuvre ces différents dispositifs.
Comme on le voit le pilotage des systèmes d’information est une tâche délicate. Il est pour cela nécessaire de mettre en place un dispositif adapté et efficace. La gestion des changements apportés demande une réflexion de type stratégique, une démarche planifiée et un contrôle des opérations effectuées. L’objectif est d’arriver à faire évoluer les systèmes d’information de manière régulière et efficace. Il est pour cela indispensable qu’il existe un responsable de la gestion et du pilotage des évolutions de chaque système d’information.
Chapitre 4 – La gouvernance en matière de gestion de l’évolution des systèmes d'information
Un système d’information change et évolue dans le temps. Ces modifications ne font progressivement. Dans ce domaine les changements rapides et brutaux sont rares. La plupart du temps ils se font par touches successives. Ceci fait qu’il existe un réel risque de dérive. Comme on le voit, les évolutions des systèmes d'information se font dans la durée. Dans ces conditions il est nécessaire de piloter ces opérations. L’expérience montre que la perte de contrôle de ce processus peut se traduire par une dégradation assez rapide des systèmes d’information.
Il est pour cela nécessaire d’identifier les bonnes pratiques concernant l’évolution des systèmes d'information : les changements apportés au système d'information nécessitent une réflexion de type stratégique (c’est-à-dire reposant sur une vision de son évolution à moyen terme), une démarche planifiée avec le positionnement dans le temps des différentes modifications et des changements, et finalement une méthode de contrôler des opérations effectuées. Une partie des bonnes pratiques de ce domaine sont communes avec celles concernant le pilotage des systèmes d’information. Nous les avons cités, ce sont les points 4.8 à 4.13, tout en renvoyant au chapitre précédant.
Le pilotage des systèmes d'information repose sur une trentaine de bonnes pratiques. Il en existe peut-être d’autres mais elles sont moins importantes :
4 . 1 Désigner un pilote des évolutions du système d’information. Un système d'information évolue, souvent de manière non-prévue, pour s’adapter à des contextes non-prévus à l’origine. Or ces changements sont toujours des opérations délicates à gérer. Mal maîtrisés ils peuvent entrainer des perturbations, des dégradations, voire des pertes de données ou pire, des pertes financières. Pour éviter ces situations dommageables il est nécessaire de piloter ces évolutions. C'est le rôle du pilote. Il doit assumer différentes responsabilités :
- identifier les opérations à effectuer,
- effectuer les études nécessaires pour les évaluer,
- arriver à un accord entre toutes les parties prenantes sur la liste de ces évolutions et sur les priorités à appliquer,
- choisir les personnes qui vont participer aux opérations (informatique, organisation, formation),
- lancer les actions d'évolution,
- vérifier que ces évolutions fonctionnent conformément à ce qui était prévu.
Ce pilote peut être le même que celui chargé du pilotage opérationnel du système d’information mais souvent, pour des raisons pratiques, ce sont deux personnes différentes.
4 . 2 Avoir une vision à moyen terme du système d’information. Pour éviter les dérives il est nécessaire de définir la cible que doit atteindre à terme ce système d’information. Pour cela on va s’attacher à décrire ce qu’il sera dans plusieurs années et la manière dont il s’intègre aux autres systèmes d’information de l’entreprise. L’absence de vision se traduit par des errements et finalement par une perte significative d’efficacité.
4 . 3 Rédiger un document d’orientation. Cette vision se traduit par un texte identifiant les objectifs et les actions globales à entreprendre ([11]). Certaines concernent le système informatique et d'autres intéressent plus les personnes et l’organisation. C’est un document de synthèse qui permet d’identifier les différentes orientations qui seront mises en œuvre à court et à moyen terme. Il ne s’agit pas de décrire le détail des opérations qui seront mises en œuvre. Ce travail sera fait plus tard. Pour l’instant, il se limite à la fixation des grandes orientations.
4 . 4 Faire valider ces orientations. Ce document doit être approuvé par l’ensemble des parties prenantes concernées par le système d’information. On va pour cela mettre en place un Comité de validation chargé de constater l’accord de tous sur ces orientations. Il peut exister au préalable et assure le pilotage du fonctionnement du système d’information. Mais, souvent, il n’est pas constitué par des personnes se trouvant à un niveau de décision suffisant. Ce Comité doit comprendre des décideurs ([12]) notamment des membres du Comité de Direction ayant en charge la conception et la mise en œuvre de la stratégie de l’entreprise.
4 . 5 Définir un cycle et une périodicité d’évolution du système d’information. Il est rare qu’un système d’information soit, d’un seul coup, bouleversé de fond en comble. La plupart du temps il évolue par touches successives. On risque alors de devoir faire face à un grand nombre de modifications allant en tous sens et qui finissent par perturber son fonctionnement. Pour éviter cela il est de bonne pratique de regrouper l’ensemble des modifications en versions successives livrées à des dates fixées longtemps à l’avance. Ce sera, par exemple, une version mineure tous les six mois et une version majeure tous les dix-huit mois ou tous les deux ans.
4 . 6 Stabiliser le périmètre du système d’information. Un système d’information dont le périmètre n'est pas stabilisé risque de connaître dans l'exécution de ses opérations des dérives significatives. En effet, selon l’interlocuteur on ajoute ou on soustrait des fonctions ou des données. Ceci fait que très vite le périmètre devient flou et se traduit par des dérives fonctionnelles, temporelles et budgétaires. Il est pour cela important de fixer très tôt le périmètre du système d'information et notamment de sa partie informatique.
4 . 7 Validation des extensions ou des réductions du périmètre du système d’information. Ce sont apparemment des choix secondaires mais en vérité ils sont très importants car ils ont des conséquences sur le contenu des évolutions et sur le futur fonctionnement du système d’information. Pour éviter toute remise en cause ultérieure cette validation doit être faite par le même groupe de personnes que celles ayant participées à la définition du système d’information. C’est le rôle généralement dévolu à un comité de pilotage du système d’information mais cela peut aussi être assuré par un comité ad-hoc.
A ces bonnes pratiques s’ajoutent six autres points clés qui sont communes au pilotage des systèmes d’information et à leur évolution. Ce sont des règles générales de la gestion de projet :
4 . 8 Consulter périodiquement les utilisateurs et les décideurs pour recenser les demandes d’évolution qu’ils souhaitent mettre en œuvre : Voir la bonne pratique n°3.11 du chapitre précédant relatif aux bonnes pratiques en matière de pilotage des systèmes d’information.
4 . 9 Sélectionner les demandes d’évolution en fonction de critères simples : Voir la bonne pratique n°3.12 du chapitre précédant relatif aux bonnes pratiques en matière de pilotage des systèmes d’information.
4 . 10 Planifier les changements : Voir la bonne pratique n°3.13 du chapitre précédant relatif aux bonnes pratiques en matière de pilotage des systèmes d’information.
4 . 11 Suivre le planning et mesurer l’avancement : Voir la bonne pratique n°3.15 du chapitre précédant relatif aux bonnes pratiques en matière de pilotage des systèmes d’information.
4 . 12 Prévoir et suivre la charge de travail : Voir la bonne pratique n°3.16 du chapitre précédant relatif aux bonnes pratiques en matière de pilotage des systèmes d’information.
4 . 13 Fixer et suivre le budget des opérations : Voir la bonne pratique n°3.17 du chapitre précédant relatif aux bonnes pratiques en matière de pilotage des systèmes d’information.
Ces règles ont pour but de renforcer la gestion des projets d’évolution des systèmes d’information.
4 . 14 Gérer les évolutions importantes en mode projet. Toutes les évolutions majeures du système d'information et notamment du système informatique doivent être gérées en mode projet, c'est-à-dire encadré par une date de début et une date de fin. C'est notamment le cas des modifications fonctionnelles et les développements de nouvelles fonctions. Dans ces différents cas l'idée d'une évolution en "tâche d'huile" est à éviter. L’ajout de fonctions par touches successives ne peut que dégrader l’ensemble du système d’information.
4 . 15 Préparer le travail à effectuer. Pour éviter les dérives, il est recommandé de commencer par identifier toutes les actions nécessaires qui doivent être effectuées afin de permettre l’évolution progressive du système d'information. Elles peuvent concerner les domaines suivants :
- Simplifier les tâches à effectuer,
- Supprimer les tâches inutiles. Jadis, lorsqu’elles ont été créées elles étaient surement très intéressantes mais aujourd’hui elles ont perdues une grande partie de leur actualité,
- Créer de nouvelles tâches nécessaires afin d’améliorer le fonctionnement des systèmes d’information,
- Mettre certaines tâches en parallèle de façon à améliorer la rapidité des opérations,
- Modifier l'enchaînement des tâches afin de fluidifier les opérations,
- Améliorer l'interface entre l'application et les utilisateurs de façon à simplifier les opérations de saisie, de modification et de consultation,
- Modifier le contenu des traitements, notamment pour les optimiser.
4 . 16 Evaluer la charge de travail nécessaire et fixer le budget. La définition du budgetest un point délicat car il est toujours difficile d’identifier toutes les opérations qu’il est nécessaire d’effectuer, de chiffrer la charge de travail correspondante et de déterminer le budget pour les réaliser. Dans le cas des projets cette évaluation n’est pas une opération simple et elle est particulièrement difficile à effectuer dans le cas des évolutions des systèmes d’information. Il n’existe aucune méthode reconnue permettant d’effectuer le chiffrage des opérations ponctuelles. Seul l’expertise et le savoir-faire de professionnels permettent d’effectuer des estimations raisonnables.
4 . 17 Fixer des priorités. Une fois que les opérations à effectuer ont été identifiées et chiffrées il est nécessaire de déterminer dans quel ordre elles seront effectuées. Différentes contraintes sont à prendre en compte : l’urgence, les enjeux, la logique des opérations, … Les parties prenantes concernées peuvent avoir sur ces différents critères des points de vue très différents. Pour fixer les priorités il est souvent nécessaire de négocier et de savoir faire des compromis.
4 . 18 Fixer des échéances. Sur la base des priorités, de la disponibilité des intervenants et des charges de travail évaluées il est possible de fixer des échéances de mise en œuvre des changements. Sur cette base, on peut établir un planning fixant les dates de début et de fin de chaque opération et de chaque tâche. Une première version de ce document est établie puis ensuite des adaptations sont faites pour tenir compte des évolutions des priorités.
4 . 19 Améliorer le système informatique. Compte tenu de la spécificité des actions concernant le système informatique (notamment le fait qu’une partie de ces travaux ne peuvent qu’être effectuées par les professionnels) il est nécessaire de les identifier et de les évaluer correctement. Ce sont, pour l'essentiel, des opérations de réalisation ou de modification de code :
- Des améliorations ponctuelles pour améliorer, adapter un écran de saisie ou de consultation, des adaptations des états édités, …
- L'optimisation des transactions et des traitements. L’objectif de ces interventions est d’améliorer les temps de réponse ou la charge machine des traitements des programmes « batch »,
- La refonte partielle ou totale de l'ensemble du système informatique de façon à améliorer sa fiabilité et réduire la charge ultérieure de maintenance.
Pour éviter des dérives il est nécessaire de définir ce qui relève des opérations de maintenance usuelles et ce qui doit être effectué dans le cadre d’un projet.
4 . 20 Faire tester les changements effectués par des personnes utilisant habituellement le système d’information. Une fois que les équipes chargées de la réalisation ont testé les programmes modifiés il est nécessaire qu’ils soient à leur tour vérifiés par des personnes qui vont ensuite les utiliser quotidiennement. Elles doivent être choisies dans différentes équipes de façon à couvrir les différentes manières de mettre en œuvre le système d’information. Il est important de s’assurer que ces personnes disposent du temps nécessaire pour effectuer des tests sérieux.
4 . 21 Disposer d’une plateforme de tests. Pour effectuer les tests, il est nécessaire de disposer d’un serveur dédié aux tests ne servant qu’à cet usage avec des bases de données de tests, distinctes de celles servant à effectuer les opérations courantes. Il doit être possible d’effacer les bases de données ayant servies aux tests et de recharger facilement de nouvelles bases. Ce système doit être convenablement sécurisé de façon à ce que les opérateurs ne puissent pas malencontreusement mélanger des tests avec les opérations courantes. Il est utile que les serveurs de tests puissent être accessibles de tous les postes de travail, moyennant quelques précautions de sécurité simples à mettre en œuvre (mot de passe spécifique, codes couleurs, message en clair, …) de façon à ce que les utilisateurs ayant du temps disponible puissent en profiter pour effectuer des tests.
4 . 22 Mettre à jour la documentation du système informatique. Lorsque les programmes sont modifiés il est important de mettre à jour la documentation de l’application informatique de façon à pouvoir effectuer dans de bonnes conditions les opérations de maintenance ultérieures.
4 . 23 Améliorer l’organisation en place. Parallèlement à l’évolution du code des applications informatiques, il est nécessaire de chercher à rendre l’organisation plus efficace. On va pour cela s’attacher à travailler les processus de façon à :
- modifier les tâches existantes,
- supprimer les tâches devenues inutiles,
- créer de nouvelles tâches nécessaires.
4 . 24 Mettre à jour la note de procédure. Une fois le processus redéfinit il est nécessaire de stabiliser l’organisation en place. C’est le rôle de la procédure. C’est un document écrit qui précise de manière détaillée la succession des opérations qui doivent être effectuées à chaque étape du processus. Il est recommandé de revoir le texte de la procédure à chaque vague de modifications du système d’information.
4 . 25 Donner des instructions écrites aux personnes utilisant le système d’information. Pour utiliser efficacement les systèmes d’information il est nécessaire que soit rédigées des instructions précises destinées aux opérateurs de façon à éviter les tâtonnements, les erreurs, les temps perdus par les différents intervenants.
4 . 26 Former les personnes intervenant dans le cadre du système d’information. Les changements de méthodes de travail doivent s'accompagner d'un certain nombre d'actions de formation de l'ensemble des personnes concernées. Il est nécessaire d’abord de s’assurer qu’elles ont les connaissances de base indispensables et si elles ne les ont pas, de leur donner la formation qui leur manque. Il est ensuite important de leur fournir une formation adaptée à une utilisation efficace du système d’information. De plus, toutes les personnes arrivant dans l’entreprise ou venant d’une autre activité doivent être formées à son utilisation et à sa maîtrise. A chaque série de changements importants et notamment lors de la mise en place des versions majeures il est nécessaire d’organiser une « piqure de rappel » pour s’assurer que l’ensemble des intervenants disposent des connaissances nécessaires.
4 . 27 Evaluer ultérieurement le système d’information. Une fois que les changements prévus ont été mis en œuvre il est nécessaire d'évaluer leur impact de façon à s'assurer que les objectifs fixés ont été atteints. Ce travail doit être fait dans les trois à six mois qui suivent le démarrage de la nouvelle version. Il doit faire apparaître les améliorations constatées mais aussi les faiblesses qui persistent, voire qui s’aggravent. Cette évaluation doit être faite par une personne indépendante du système d’information.
4 . 28 Fixer la date de la prochaine révision. Une fois la nouvelle version du système d’information déterminée il est recommandé de définir le contenu de la prochaine révision et la date prévisionnelle de sa mise à disposition.
Comme on le voit les systèmes d’information évoluent par étape et ainsi s’adaptent à l’évolution du contexte et des besoins. C’est un processus délicat et compliqué qu’il faut piloter avec dextérité. Elle repose sur l’existence d’un responsable du système d’information et le partage d’une vision commune avec l’ensemble des parties-prenantes concourants à son fonctionnement. Ce responsable et sa vision partagée sont les deux piliers de la gestion et de l’évolution des systèmes d’information. L’absence de responsable se traduit par des changements brusques en tous sens et qui ne correspondent pas forcément à un souci d’efficacité et de productivité. L’absence de vision ne peut mener qu’à des tensions et à des conflits. Ces deux piliers sont nécessaires mais ne sont pas suffisants. Ils doivent aussi être accompagnés par un ensemble de mesures souhaitables correspondant aux divers bonnes pratiques recensées dans ce message.
[1] - Ce seuil est variable. Au-delà de 50 mois-hommes (1.000 jours-hommes) il est impératif de mettre en place un dispositif de gestion de projet. Souvent le seuil est abaissé et peut descendre jusqu’à 10 mois-hommes (200 jours-hommes). En dessous de ce seuil, il est rare de rencontrer une organisation en mode projet digne de ce nom.
[2] - Il est assez étonnant de comparer les efforts effectués pour mesurer les coûts des projets et le faible intérêt porté à leur rentabilité.
[3] - Très souvent on appelle le personnel d’exécution les « utilisateurs ». Ce terme est imprécis. Ce sont des employés, des techniciens et des cadres chargés des opérations quotidiennes, hebdomadaires et mensuelles.
[4] - Il ne faut pas confondre la fonction de pilote d'un système d'information avec celle de maître d'ouvrage qui est un terme très général qui désigne la personne ayant la responsabilité de la conception du système d’information. Il faut noter que ce schéma ne correspond pas toujours aux pratiques observées.
[5] - S’il n’y a qu’un seul utilisateur du système d’information le pilotage devient beaucoup plus simple, mais ce n’est pas la situation la plus fréquente.
[6] - Parfois, il arrive que le comité de pilotage ait tendance à devenir un organisme chargé de juger le pilote du système d’information. Mais imaginer que c’est un tribunal est une mauvaise pratique contre laquelle il faut lutter.
[7] - Ce traitement ne doit pas être confondu avec l’ouverture des tickets au helpdesk lorsqu’un utilisateur l’appelle. Cependant une partie des problèmes qui sont signalés par les utilisateurs sont des incidents mais il y a dans le flux d’appels de nombreuses autres demandes.
[8] - Cette bonne pratique est commune à ce domaine et au domaine suivant : « les bonnes pratiques en matière de gestion de l’évolution des systèmes d’information ».
[9] - Jadis de nombreuses entreprises, notamment les banques et compagnies d’assurance, avaient dans leurs équipes des organisateurs. Aujourd’hui ils ont disparu. Leur rôle est pris en charge par les chefs de projets, le maître d’ouvrage, les analystes, … Il n’est pas certain qu’on ait gagné au change.
[10] - Très souvent la charge de travail des utilisateurs, des maîtres d’ouvrage et des décideurs n’est pas prise en compte dans les budgets. Ceci amène des sous-évaluations significatives et entraîne l’apparition de goulets d’étranglement qui peuvent se traduire par des retards significatifs.
[11] - Une présentation PowerPoint n’est pas suffisante. Elle est utile pour communiquer mais il est de plus nécessaire d’avoir un texte clair et structuré pour lever toutes les ambiguïtés.
[12] - Si les participants de ce Comité n’ont pas le niveau suffisant, il y a un risque de remise en cause ultérieure des orientations arrêtées.