“Piloter la maîtrise d’ouvrage des systèmes d’information”

Domaine D5

Compétence D5.1 : Comprendre les enjeux du système d’information du point de vue de la maîtrise d’ouvrage

Monsieur Elghoul, professeur associé à l’UFR Maths-Info et consultant en systèmes d’information, nous a présenté l’audit, et la sécurité des systèmes d’information (3 mai et 3 juin). J’ai particulièrement apprécié la présentation du métier d’auditeur puisque, contrairement à certains étudiants d’autres départements, ce métier ne m’avait jamais été présenté alors qu’il est essentiel de nos jours, d’un point de vue stratégique et de bon fonctionnement de l’entreprise. Il est aujourd’hui incontournable d’auditer les TIC.

L’audit des projets informatiques

L’objectif est de s’assurer que le projet se déroule normalement et que l’enchaînement des opérations se fasse de manière logique et efficace, de façon qu’on ait de fortes chances d’arriver à la fin de la phase de développement à une application qui sera performante et opérationnelle.

-conformité du projet aux objectifs généraux de l’entreprise

-mise en place d’une note de cadrage, d’un plan de management du projet ou d’un PAQ (Plan d’Assurance Qualité)

-qualité et complétude des études amont : étude de faisabilité et analyse fonctionnelle

-importance accordée aux tests, notamment aux tests faits par les utilisateurs

 

« Les bonnes pratiques » (audit des projets)

-existence d’une méthodologie de conduite des projets

-conduite des projets par étape quel que soit le modèle de gestion de projets (cascade, cycle de vie en V, W, en spirale…)

-respect des étapes et des phases du projet

-pilotage du développement et notamment des rôles respectifs du chef de projet et du comité de pilotage

-clarté et efficacité du processus de développement

-existence de procédures, de méthodes et de standards donnant des instructions claires aux développeurs et aux utilisateurs

-vérification de l’application effective de la méthodologie

-validation du périmètre fonctionnel faite suffisamment tôt dans le processus de développement

-gestion des risques du projet : une évaluation des risques doit être faite aux étapes clés du projet

 

Audit des applications (solutions, logiciels)

L’audit d’applications opérationnelles couvre un domaine plus large et s’intéresse au système d’information de l’entreprise. Ce sont des audits du système d’information : application comptable, paie, facturation, vente, production, achats, logistique…

Il s’agit d’auditer une application de gestion de façon à s’assurer qu’elle fonctionne correctement et lui apporter les améliorations souhaitables.

L’auditeur va notamment s’assurer du respect et de l’application des règles de contrôle interne. Il va en particulier vérifier que :

-les contrôles en place sont opérationnels et suffisants

-la performance est là

-les données saisies, stockées ou produites par les traitements sont de bonne qualité

-les traitements sont efficaces et donnent les résultats attendus

-l’application est correctement documentée

-les procédures mises en œuvre dans le cadre de l’application sont à jour et adaptées

-l’exploitation informatique de l’application se fait dans de bonnes conditions

-la fonction ou le processus couvert par l’application sont efficaces et productifs

Le but de l’audit d’une application opérationnelle est de donner au management une assurance raisonnable sur son fonctionnement. Ces contrôles sont par exemple réalisés par le Commissaire aux Comptes dans le cadre de sa mission légale d’évaluation des comptes d’une entreprise : est-ce que le logiciel utilisé est sûr, efficace et adapté ?

Pour effectuer l’audit d’une application opérationnelle, on va recourir aux objectifs de contrôle les plus courants.

L’auditeur doit s’assurer du contrôle de la conformité de l’application opérationnelle par rapport à la documentation utilisateur, et par rapport au cahier des charges d’origine, par rapport aux besoins actuels des utilisateurs.

La vérification des dispositifs de contrôle en place. Il doit exister des contrôles suffisants sur les données entrées, les données stockées, les sorties, les traitements…L’auditeur doit s’assurer qu’ils sont en place et donnent les résultats attendus.

L’évaluation de la fiabilité des traitements se fait grâce à l’analyse des erreurs ou des anomalies qui surviennent dans le cadre des opérations courantes. Pour aller plus loin, l’auditeur peut aussi être amené  à constituer des jeux d’essais pour s’assurer de la qualité des traitements. Il est aussi possible d’effectuer des analyses sur le contenu des principales bases de données afin de détecter d’éventuelles anomalies.

On doit aussi mesurer les performances de l’application pour s’assurer que les temps de réponse sont satisfaisants même en période de forte charge. L’auditeur va aussi s’intéresser au nombre d’opérations effectuées par le personnel dans des conditions normales d’utilisation (statistiques en termes de performances).

En conclusion, l’auditeur doit se charger d’évaluer la régularité, la conformité, la productivité, la pérennité de l’application opérationnelle.

Le sujet de la séance 13 est l’alignement de l’informatique sur la stratégie de l’entreprise (notamment sur la logistique, qui permet de réduire les coûts) : l’informatique est considéré comme une arme stratégique (réduire les coûts, être proactif = devancer les choses, dématérialiser…).

Initialement, le SI doit mémoriser et diffuser l’information, et permettre de la traiter. Il présente de nouvelles fonctions plus avancées, comme l’aide à la décision. Il est organisé par un ensemble de ressources : matériel, logiciel, personnel, données.

Son rôle et ses objectifs doivent être définis, soit :

-par le type de fonctions couvertes (SI marketing, SI des commandes clients…)

-par les caractéristiques des utilisateurs (SI pour les dirigeants, pour les acheteurs…)

Il ne faut pas confondre SI et informatique (i.e. la fin et les moyens). C’est à partir des années 90 que l’informatique commence à être exploitée pour remplir les objectifs stratégiques des entreprises.

L’évolution s’est faite en termes d’architecture et de moyens, d’organisation, et de stratégie.

A quoi sert un SI ? A gagner plus d’argent, en diminuant ses dépenses (réduire les coûts de production, d’approvisionnements, administratifs, par une refonte des processus d’entreprise qui serait impossible sans les TI), en augmentant ses recettes et en pilotant mieux son activité : augmentation de l’efficience interne de l’entreprise (« faire autant mais pour moins cher » : on imprime soi-même son e-billet ; on pèse soi-même ses légumes…). Il s’agit également de mieux connaître sa clientèle en la fidélisant, d’améliorer ses relations avec ses fournisseurs : augmentation de l’efficacité externe de l’entreprise (« faire mieux pour le même prix »).

Aussi, via les TIC, offrir de nouveaux services, s’ouvrir de nouveaux marchés…En conclusion le SI ne soutient pas la stratégie de l’entreprise. Il est la stratégie. Améliorer l’efficacité via originalité, productivité, qualité, rapidité.

Il est nécessaire de clairement séparer la stratégie des SI et la stratégie des TI (ne pas confondre le pourquoi et le comment).

Enfin, l’alignement de la stratégie de l’entreprise et de la stratégie du système d’information repose sur deux conditions préalables :

-compréhension et intégration de la stratégie de l’entreprise par la fonction système d’information dans son ensemble

-prise en compte des contraintes

 Compétence D5.2 : Identifier les acteurs et les étapes d’un projet « système d’information » pour  en assurer la conduite éclairée

Nous avons commencé la séance 10 par des définitions : qu’est-ce qu’un audit ? Qu’est-ce qu’un auditeur ? Que doit-on auditer ?

Il s ‘agit d’auditer avant, pendant et après le projet. Hors mis les projets, on audite aussi la sécurité (assurer le patrimoine de l’entreprise), une DSI (Direction des Systèmes d’Information), un site Web (peut booster les ventes).

  • Pourquoi auditer ?

On constate que l’informatique coûte cher, et devient bien sûr stratégique (par exemple, Air France a 1400 informaticiens), il créé de la valeur, et est un outil d’innovation. Les processus, les usines et les métiers sont dématérialisés, les SI sont distribués (répartis à travers le monde), les réseaux sociaux se développent. Il faut aussi garantir la continuité des organisations (pour éviter tout blocage, qui entraînerait une non-disponibilité provisoire), respecter les contraintes de normes, les exigences juridiques…

Le commanditaire de l’audit est un directeur général, directeur informatique, directeur opérationnel…Une lettre de mission précise le mandat à exécuter et donne les pouvoirs nécessaires à l’auditeur (donne la légitimité nécessaire).

L’audit est une procédure de contrôle de la comptabilité et de la gestion d’une entreprise. Il consiste en une vérification de la conformité aux règles de droit, de gestion d’une opération, d’une activité particulière ou de la situation générale d’une entreprise. C’est également un diagnostic informatique, juridique, social, fiscal. Il s’agit donc d’un examen de vérification de la conformité, par rapport à ce que ça devrait être.

Les activités de l’auditeur sont:

-observer le domaine audité

-analyser les faits observés

-écouter les explications des audités

-porter un jugement sur le domaine fonctionnel audité en se basant sur des référentiels largement reconnus

 

Compétence D5.3 : Exprimer son besoin dans toutes ses dimensions, et vérifier sa prise en compte par la maîtrise d’oeuvre, tout au long du projet

Un regard externe et neutre peut toujours apporter quelque chose à l’entreprise, un audit doit donc être vu comme une valeur. Cependant, les salariés ne sont pas naturellement enclins à aider les auditeurs (rétention d’information) : ils ont peur car tout devient transparent et contrôlable.

L’audit aide l’organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité.

Un audit de qualité doit :

-déterminer la conformité des éléments du système aux exigences spécifiées

-déterminer l’aptitude du système à atteindre les objectifs spécifiés

-donner à une organisation la possibilité d’améliorer son système et son efficacité

-s’assurer que les activités informatiques d’une entreprise ou d’une administration se déroulent conformément aux règles et aux usages professionnels (les « bonnes pratiques »)

-estimer les risques technologiques susceptibles d’impacter les opérations de production

-définir les points à améliorer

-obtenir des recommandations pour faire face aux faiblesses de l’entreprise

– évaluer le niveau de maturité de l’informatique de l’entreprise

 

Les apports d’un audit sont :

-une mesure d’écart

-une source d’amélioration

-un facteur d’économie

-une occasion de considérer son système de façon objective

-une approche à la compréhension de son système

  • Différents types d’audit (Quoi auditer ?) :
  • La fonction informatique
  • Les études informatiques
  • Les projets informatiques (participe à la réduction du taux d’échec)
  • L’exploitation
  • La sécurité informatique
  • L’alignement stratégique (l’informatique répond-il aux besoins stratégiques ?)
  • La planification de l’informatique
  • Les réseaux et les télécommunications
  • Les achats informatiques
  • La qualité de service
  • L’externalisation (différent de la délocalisation)
  • Les applications opérationnelles (différentes des projets, qui eux sont en cours d’étude ou de réalisation, mais pas encore exploités)

 Compétence D5.4 : Respecter les exigences de l’interopérabilité et de l’accessibilité du point de vue de la maîtrise d’ouvrage

Aujourd’hui, on parle de gouvernance de l’entreprise : il s’agit de contrôler le rôle de tous les acteurs (partenaires actionnaires…) afin de tout rendre transparent, de réguler son fonctionnement afin d’éviter les conflits d’intérêts liés à la séparation entre les ayants-droits et les acteurs. Toutefois, ce n’est pas forcément suffisant, on passe plutôt à l’IT Governance (bonne gouvernance d’une entreprise et bonne gouvernance de l’informatique sont indissociables) : dispositif visant à réguler et optimiser le management des SI d’une organisation.

Dans un contexte de concurrence, pour faire la différence, il faut vraiment mettre l’accent sur le client.

The basic economic resource is no longer capital, nor natural resources, nor labor. It is and will be knowledge” (P. Drucker)

Il s’agit alors, à la suite de différentes affaires révélées dans la presse (notamment double comptabilité qui masque des pertes), de redonner confiance aux actionnaires, créanciers et employés, par la mise en place d’une gouvernance d’entreprise.

De la gouvernance d’entreprise à la gouvernance des SI :

  • Aligner le système d’information avec la stratégie d’entreprise
  • Mettre en adéquation les structures et moyens organisationnels avec la stratégie et les objectifs de l’entreprise
  • Maîtriser, contrôler et mesurer la performance du système d’information

Le mécanisme de gouvernance s’appuie sur 3 grands axes : stratégie (définit les objectifs de la DSI) pilotage (atteindre les objectifs fixés et contrôler le SI), organisation (structure l’activité informatique de l’entreprise au travers d’un cadre de référence).

Les composantes de l’IT Governance sont :

-alignement sur la stratégie de l’entreprise et les processus

-management des ressources et des infrastructures

-gestion de la gouvernance et des ressources humaines

-maîtrise des risques sur le plan technologique et structurel

-maturité des infrastructures et des processus

 

Mais il existe des problèmes qui s’opposent à la propagation de la gouvernance :

-elle ne peut s’exercer qu’au travers d’indicateurs de performance et d’objectifs précis

-manque de maturité au niveau des entreprises françaises avec frein des dirigeants d’entreprise qui ont tout d’abord encore tendance à calculer les coûts informatiques plutôt que la valeur créée par leur système d’information

 

Conclusion

  • La gouvernance informatique est indispensable, mais périlleuse car on ne dispose pas encore de moyens précis et efficaces de mesure des coûts et des gains liés au SI
  • Sans ces indicateurs, il reste difficile pour un dirigeant de fixer des niveaux optimums de ressource et de déterminer des attentes en termes de valeur générée

 

Exemple : une voiture ne se vend pas bien (prix élevé). Comment changer ça ?

3 solutions : abandonner, se maintenir ou partir à la hausse

èAméliorer la communication, changer les caractéristiques du produit…Mais ce ne sont pas des idées durables. Une bonne idée serait de réduire le coût : cela permet de réduire le prix (sans toutefois toucher aux bénéfices), donc permet d’élargir le public.

 

Compétence D5.5 : Interpréter un document de modélisation de données ou de processus métiers

Cette sous-section n’a pas été très développée dans les différentes séances du cours. Le référentiel du Ministère indique que « l’ingénieur doit savoir interpréter des schémas identifiant les différents utilisateurs du SI et les cas d’utilisation qui les concernent ». Nous avons visionné plusieurs schémas de ce type lors des différentes interventions : il s’agit de comprendre le rôle de tous les intervenants d’un SI, et de les représenter en une vue synthétique, via un langage de modélisation (UML Langage de Modélisation Unifié pour un langage orienté objet, Merise pour la gestion de projets internes, et hiérarchiser les problèmes rencontrés).

Advertisements