Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Le Pensum du DSI

2,217 views

Published on

Document rédigé en 2013
Vision de la gouvernance du SI

Published in: Engineering

Le Pensum du DSI

  1. 1. DE LA GOUVERNANCE DU SI A LA GOUVERNANCE DES ACTIVITES DE LA DSI LE PENSUM DU DSI CHRISTINE DESSUS 2013
  2. 2. 2
  3. 3. 3 Christine DESSUS est consultant en système d’information. Elle travaille depuis de nombreuses années dans une société de services, en cabinet conseil à la fois comme directeur de projets et comme facilitateur dans la mise en œuvre de pratiques de gouvernance du système d’information ou à la réorganisation d’entités. Auparavant, elle a collaboré pendant près de 20 ans dans une grosse entreprise industrielle, comme directeur de projets puis responsable informatique. Mise en contact Ce texte n’a pas la prétention de faire un état de l’art de la gouvernance du SI. Ce n’est qu’un ensemble de réflexions pragmatiques de l’auteur issues d’activités de conseil auprès de DSI. Ce document date de 2013. Beaucoup de choses ont évoluées depuis. Aller plus loin signifie parfois se lancer dans une évaluation de vos besoins, de vos activités et processus. N’hésitez pas à me contacter : chdssus@gmail.com http://fr.linkedin.com/in/chdessus/fr http://fr.viadeo.com/fr/profile/christine.dessus Autres publications http://fr.slideshare.net/chdessus
  4. 4. 4 Mes sources www.afai.fr www.isaca.org www.iiba.org http://www.itil-officialsite.com/ www.itilfrance.com/ http://www.linternaute.com/ http://fr.wiktionary.org
  5. 5. 5 Introduction Chers DSI, responsables informatiques, responsables des études, des opérations, C’est en pensant à vous que j’ai écris ce document, en pensant à vous mais aussi aux nouveaux enjeux, aux changements parfois très durs qui vous sont imposés par les contraintes externes, l’externalisation, les réductions budgétaires et la nécessité de continuer à transformer le système d’information pour adapter le fonctionnement de l’entreprise aux nouvelles réalités et stratégies. L’entreprise ne peut changer et s’adapter qu’en adaptant son outil de travail et donc son système d’information. Ce dernier en contre partie doit devenir malléable et en ligne directe avec la stratégie d’entreprise. Le système d’information n’est finalement qu’un rouage de plus au même titre que les antennes commerciales de votre entreprise ou ses usines. Il est soumis aux mêmes contraintes. Exit la vision d’une direction informatique bicéphale avec d’un côté le responsable des opérations en charge des salles machines et de la technique et de l’autre le responsable des études et projets applicatifs chargé de piloter la réalisation et maintenance des applications. Un autre temps est venu avec une organisation mettant en avant les services et les activités nécessaires et suffisantes à la construction et la maintenance du SI avec en panache des indicateurs à suivre (les fameux SLA et OLA) et une tendance forte à l’externalisation de certaines activités. Une vision plus intégrée décrivant les processus, les activités de la DSI, et leur valeur ajoutée pour les directions industrielles et commerciales de l’entreprise est maintenant nécessaire.
  6. 6. 6 Les choix impossibles du DSI Ce n’est pas nouveau, les DSI sont faces à un dilemme : - faire plus, répondre aux enjeux stratégiques de leurs clients, maîtrise d’ouvrage, bâtir les applications du système d’information porteuses de valeur pour le métier, la direction - réduire les coûts du système d’information, maintenance, conduite, construction. Le DSI est donc face à des choix impossibles : - faire du clientélisme, en faisant plaisir à ses clients et prendre le risque de dépenser trop - agir fortement sur les coûts et faire plaisir à sa direction, souvent encore la direction financière et prendre le risque de perdre la confiance des acteurs du métier. Ce n’est plus un métier mais un pensum, un devoir et une corvée à la fois. Quoique l’on fasse, un mécontent est là pour nous le rappeler. Se réfugier dans la technique ne permet pas de s’en sortir. Au final, le DSI doit à la fois : - comprendre la stratégie de l’entreprise et savoir la décliner dans le système d’information sous forme d’applications et fonctions mettant en musique les processus des directions métier - faire son métier de responsable technique, maîtriser les architectures techniques, l’urbanisation du SI, savoir intégrer des applications et des bases de données et assurer la stabilité et la disponibilité du système informatique.
  7. 7. 7 Définition du terme « pensum » Le pensum est un travail fastidieux imposé par punition, une corvée Source : http://www.linternaute.com/dictionnaire/fr/definition/pensum/ Wikipédia nous en dit un peu plus sur son étymologie : Du latin pensum : « poids de laine que l’esclave devait filer par jour » dont le sens a évolué vers les « tâches quotidiennes » puis le sens actuel de « devoir » Source : http://fr.wiktionary.org/wiki/pensum Se doter des outils pour s’en sortir … Ce document décrit la mise en œuvre d’une nouvelle organisation pour les DSI et décrit de façon pragmatique l’alignement stratégique de la DSI et du système d’information à la stratégie de l’entreprise. Ce texte a pour but de donner un fil rouge pour s’en sortir et surtout pour faciliter les choix qui apporteront de la valeur à l’entreprise : constitution de portefeuilles de projets SI, gouvernance du SI et des projets, sélection de projets SI, priorisation d’activités. Le DSI devient un facilitateur, ce n’est plus lui ou son équipe qui portent les choix mais ils apportent toute la matière pour décider. Nous nous appuyons sur des travaux effectués dans des DSI petites ou grandes mais où les contraintes se ressemblent : - Une maîtrise d’ouvrage parfois peu organisée, prise dans la réalisation de ses activités opérationnelles immédiates - Des budgets en décroissance forte
  8. 8. 8 - Une organisation de la DSI peu adaptée à la réalisation de projets transverses - Un décalage fort entre la stratégie de l’entreprise et sa traduction dans le système d’information - Un système d’information existant peu performant, ne répondant plus aux attentes mais dont on n’arrive pas à se défaire - Parfois, un système d’information rénové mais ne se substituant pas complètement au système d’information existant et des gymnastiques d’interfaces, flux et partages de données entre l’existant et le rénové pour faire subsister les deux. - La résistance de certains membres de son équipe informatique avec l’arrivée des tentatives d’introduction de nouvelles méthodes telles que des revues de périmètre des projets, revues de risques, pilotage par les exigences… - L’externalisation d’activités soit disant peu valorisantes pour l’entreprise et surtout coûteuses, externalisation partielle ou totale, choisie ou subie, avec un transfert ou non de responsabilité. Quelques raccourcis … Tout au long de ce texte, nous jouons avec quelques raccourcis bien connus du métier mais pleins d’ambigüité et que nous devons rappeler pour en montrer les limites : - DSI : à la fois et au choix la DIRECTION DU SYSTEME D’INFORMATION ou le DIRECTEUR (TRICE) DU SYSTEME D’INFORMATION. Plus rarement maintenant la DSI est la direction du service informatique.
  9. 9. 9 - SI comme Système Informatique. Il s’agit dans ce cas d’une vision très technique de l’informatique : serveurs, postes de travail, réseau, bases de données, applications informatiques - Ou… SI comme Système d’Information. Le système d’information englobe le système informatique (la couche basse…) en y ajoutant les aspects métiers tels la description des pratiques métiers sous forme de processus, la gouvernance des données, la gouvernance des projets… Pour résumer très rapidement le système informatique ne parle que de technique alors que le système d’information vise aussi à décrire les modes de travail et les activités de l’entreprise ainsi que les données et objets métier manipulés par le système informatique.
  10. 10. 10 SOMMAIRE MES SOURCES ..................................................................................... 4 INTRODUCTION ................................................................................ 5 CAS D’USAGE – COMMENT RATER UN PROJET SI PEUT CONDUIRE A LA FAILLITE D’UN PROJET INDUSTRIEL..........12 GOUVERNER N’EST PAS MANAGER, PAS PLUS QUE GERER OU PILOTER ! .....................................................................................20 GOUVERNER ..........................................................................................................20 PILOTER ..................................................................................................................24 GOUVERNER LE SYSTEME D’INFORMATION....................................................26 Distinguer la gouvernance du SI et la gouvernance des projets.................................27 S’assurer que le SI répond aux décisions stratégiques et tactiques de l’entreprise .....28 LA MAITRISE DES SYSTEMES D’INFORMATION .......................29 AFAI - UNE ASSOCIATION FRANÇAISE POUR LE DEVELOPPEMENT DU REFERENTIEL COBIT ®......................................................................................29 PLANIFICATION DU SI ET INTEGRATION DANS LE PLAN STRATEGIQUE DE L’ENTREPRISE.........................................................................................................30 URBANISME ET ARCHITECTURE DU SI DE L’ENTREPRISE AU SERVICE DES ENJEUX STRATEGIQUES........................................................................................36 GESTION DU PORTEFEUILLE DE PROJETS ORIENTE CREATION DE VALEUR POUR LES DIRECTIONS « METIER »......................................................................37 MANAGEMENT DES RISQUES SI EN FONCTION DE LEURS IMPACTS « METIERS »................................................................................................................38 ALIGNEMENT DE LA FONCTION INFORMATIQUE PAR RAPPORT AUX PROCESSUS «DES DIRECTIONS « METIER ».........................................................38 MAITRISE DE LA REALISATION DES PROJETS EN FONCTION DES ENJEUX « METIERS »................................................................................................................39 FOURNITURE DE SERVICES INFORMATIQUES CONFORMES AUX ATTENTES CLIENTS ...................................................................................................................41
  11. 11. 11 PILOTAGE DES SERVICES EXTERNALISES.......................................................... 42 CONTROLE DE GESTION INFORMATIQUE FAVORISANT LA TRANSPARENCE .................................................................................................................................. 43 GESTION PROSPECTIVE DES COMPETENCES INFORMATIQUES .................... 43 GESTION ET MESURE DE LA PERFORMANCE DU SI ........................................ 43 GESTION DE LA COMMUNICATION.................................................................... 44 SECURITE DU SI..................................................................................................... 44 UNE ORGANISATION PENSEE POUR INDUSTRIALISER, MUTUALISER ET REDUIRE LES COUTS...................................... 46 CONNAITRE SON PERIMETRE DE RESPONSABILITES ...................................... 46 FAVORISER LA STANDARDISATION ET L’INDUSTRIALISATION DANS LA REALISATION DES ACTIVITES.............................................................................. 46 UNE ORGANISATION EN CENTRES DE SERVICES............................................. 47 SE DONNER DES OBJECTIFS DE REUSSITE : S’APPUYER SUR UN TABLEAU DE BORD ET DES INDICATEURS................................................................................. 48 ORGANISER LA DSI EN DEVELOPPANT UNE VISION PROCESSUS PARTAGEE ET COMMUNE ...................................... 49 DES REFERENTIELS DU SYSTEME D’INFORMATION AU SYSTEME INFORMATIQUE ............................................................ 50
  12. 12. 12 Cas d’usage – Comment rater un projet SI peut conduire à la faillite d’un projet industriel Le projet SI est un sous-ensemble du projet métier porté par la stratégie de l’entreprise et sa vision à long terme. Il est rare de commencer par un cas d’usage. Pourtant celui-ci très simplement va nous éclairer sur le rôle du SI dans un projet métier. Tout au long du document, nous nous rapporterons à cette histoire (car c’en est une …). Toute ressemblance avec des sociétés existant ou ayant existé est absolument fortuite. L’entreprise et son histoire ne sont que des inventions créées à partir d’autres cas bien réels et puisés dans des contextes industriels très différents. Imaginons une entreprise de friandises. - Une PME produisant environ 1000 tonnes de friandises pour un chiffre d’affaires de 50 Millions d’€, - 80 salariés avec actuellement 2 sites de production ayant une capacité de production : l’un de 800tonnes/an, l’autre de 400tonnes/an. Ces deux sites de production sont utilisés l’un à 80% de sa capacité de production et l’autre à 95%. La capacité de production de ces deux sites est donc difficilement extensible sauf à moderniser entièrement l’outil de production. - Les friandises sont commercialisées par des réseaux spécialisés : internet et vente par correspondance et chez certains distributeurs spécialisés. En 2011, le principal concurrent produit quelques milliards de tonnes de confiserie pour un chiffre d’affaires de 190 Millions d’€.
  13. 13. 13 La vision stratégique Pour assurer sa survie et se démarquer par rapport à son concurrent principal, notre PME souhaite multiplier son chiffres d’affaire en € par 2,4 tout en multipliant sa production en volume par 1,8. Pour atteindre cet objectif, notre entrepreneur s’est donné 2 ans. Cette entreprise a la capacité financière d’employer 130 personnes (au lieu de 109 actuellement), soit une embauche supplémentaire d’environ 20 personnes qui seraient dédiées essentiellement à la fabrication des friandises. Pour cet entrepreneur, ce projet signifie : - Faire travailler son service marketing et R&D sur la création de nouvelles recettes plus attractives, élargir sa gamme de friandise à des produits plus haut de gamme « tuiles », « macarons »… ou des spécialités régionales ou exotiques, le choix de produits d’origine biologique ou locale avec un circuit court.
  14. 14. 14 - Augmenter sa capacité de production. Il dispose aujourd’hui d’une seule usine avec deux unités de production mais il sait qu’il peut investir dans une friche industrielle à 3kms de son site actuel et y installer une nouvelle unité de production. Il bénéficiera pour cela d’aides de la Région et de la Communauté de Communes. - Moderniser son équipement industriel actuel : automatiser encore plus la fabrication et à terme embaucher 20 personnes supplémentaires. - Réorganiser sa direction industrielle pour répartir ses employés entre les unités de production La vision tactique La vision tactique décline la vision stratégique en plan d’actions et projets à mettre en œuvre. Toute l’entreprise est sollicitée par le plan de développement qui va obliger à une réorganisation en profondeur de la direction industrielle et des équipes de production des friandises. D’un point de vue tactique, cela signifie : - investir dans des équipements de fabrication plus automatisés, plus intégrés et améliorer l’intégration de ces équipements avec le système d’information : o système de pesée, mélange, découpe intégré avec le système d’information o système d’emballage plus automatisé pour certains produits tout en maintenant un emballage manuel pour les produits très fragiles et friables - améliorer la traçabilité des lots de matière première, gestion de stock - intégrer une gestion par lots des produits finis et matières premières
  15. 15. 15 - gagner du temps de fabrication en intégrant la chaîne logistique : gestion de stocks et gestion des emplacements de stockage, suivi des lots de fabrication & matières premières, packaging des friandises, préparation des livraisons et distribution. Cet entrepreneur avisé a déjà réalisé son plan de financement et calculé son ROI (retours sur investissement). Son banquier le suit et l’assiste dans la conduite de ce projet. Le projet dans sa globalité est constitué des étapes suivantes : - un projet immobilier : s’approprier (ou louer) une friche industrielle, obtenir des autorités locales l’autorisation de construire une unité de fabrication avec à la clef 20 embauches supplémentaires. - un projet marketing : développer de nouvelles gammes de produits plus attractifs - un projet industriel : acquérir des équipements industriels plus intégrés au système d’information avec un focus important sur la gestion des lots, stocks, emballages et distribution. - un projet SI avec la mise en œuvre d’un ERP intégré répondant aux attentes du projet industriel. - sans oublier la mise en œuvre des nouvelles réglementations obligeant à une traçabilité renforcée sur l’origine des matières premières utilisées.
  16. 16. 16 La vision opérationnelle D’un point de vue opérationnel, un comité stratégique de suivi des différentes actions et projet est mis en place composé des principaux directeurs impliqués dans la vision stratégique et tactique. Chaque directeur a nommé un chef de projet et une équipe chargée de réaliser les différentes opérations immobilières, construction de l’usine, développement des nouvelles recettes, intégration de la nouvelle réglementation, réorganisation de la production et embauche des nouveaux salariés et pour finir mise en œuvre du projet SI et choix du nouvelle ERP. Le projet SI va s’inscrire dans cette dynamique et ne sera qu’une composante du projet industriel : - Informatique industrielle : o Automatiser les chaînes de fabrication (machines de découpe, mélangeurs…) o Automatiser la gestion de stock pour accélérer les livraisons avec des entrées/sorties par RFID sur les palettes - Informatique de gestion o Améliorer la planification opérationnelle : mieux suivre les lots de fabrication, traçabilité o Intégrer les éléments de gestion dans un outil centralisé, type ERP : achats matières premières, stockage dans les entrepôts, entrées/sortie, lots de fabrication, logistique aval (distribution) en lien avec la gestion des commandes client… L’équipe projet SI n’est qu’une composante de l’équipe complète investie dans le développement de cette entreprise.
  17. 17. 17 Les impacts d’un échec du projet SI ou de difficultés majeures d’implémentation L’échec ou les difficultés du projet SI peuvent avoir pour origine : - ne pas choisir le logiciel répondant aux attentes de la direction industrielle, ne pas respecter le périmètre fonctionnel - ne pas savoir intégrer le SI de gestion (ERP) avec le SI industriel (les nouvelles machines de découpe, emballage…) - ne pas savoir identifier les risques technologiques à temps et ne pas savoir mettre en œuvre une technologie. Exemple : gestion automatisée des entrées et sorties de stocks grâce à des puces RFID. - Ne pas maîtriser le périmètre du projet et ne pas respecter les délais de mise en œuvre ou le budget Les impacts désastreux d’un échec du projet SI sur le projet de développement de cette entreprise sont identifiables même sur ce cas d’école (schéma ci-dessous des impacts). En fait, le système d’information que ce soit un système de gestion ou industriel fait partie des outils de production de l’entreprise au même titre que les machines de fabrication. Pour s’en persuader, une étude pourra être lancée avec profit pour : - identifier les activités critiques de l’entreprise, activités industrielles de fabrication, logistique, distribution, les modéliser et les décrire sous forme de processus - pour chacune de ces activités, identifier, décrire et modéliser les fonctions informatiques et les outils informatiques ou industriels supportant ces tâches. - Pour chaque fonction SI, les exigences de mise en œuvre de la solution seront décrites. Celles serviront de support au pilotage du projet SI.
  18. 18. 18 Ainsi l’impact du système d’information sur la production de cette usine et sur le projet global pourra être connu, piloté et communiqué. Le périmètre du projet informatique sera alors structuré selon la structuration des activités opérationnelles de l’entreprise. Les risques et les impacts seront analysés au regard de la criticité des activités de l’entreprise pour la continuité de l’activité industrielle et au regard des impacts sur le projet industriel et commercial de développement. Le pilotage du projet SI et son implication dans le projet global sont ainsi facilités. Cela s’appelle urbaniser le système d’information et aligner le système d’information sur la stratégie de l’entreprise. Tout ce qui suit dans ce document vise à faciliter cette urbanisation et améliorer l’organisation des DSI pour leur permettre de se mobiliser autours d’objectifs stratégiques industriels.
  19. 19. 19 Figure 1 Impacts des difficultés du projet SI sur le projet industriel et commercial
  20. 20. 20 Gouverner n’est pas manager, pas plus que gérer ou piloter ! Gouverner Gouverner consiste à faire des choix : - Définir des objectifs conformes à la stratégie - Décider d’engager - Allouer des ressources : machines, humains, €, achats de prestations de services, investissements… On prend des décisions et on gouverne à différents niveaux : au niveau de l’entreprise (corporate), au niveau d’une entité commerciale (business unit) ou opérationnelle. On gouverne aussi lorsque l’on réalise une activité opérationnelle. Ainsi par exemple, le chef de projet gouverne lorsqu’il décide de réunir un comité de pilotage extraordinaire suite à une analyse de risque désastreuse ou pour statuer d’un changement de périmètre majeur On gouverne dans tous les domaines et secteurs de l’entreprise - Le cœur de métier de l’entreprise : R&D (brevets), industriel, commerce. - Les fonctions support : achats, logistique amont, informatique, RH, accueil & services généraux. Les fonctions au cœur du métier de l’entreprise regroupent les unités qui produisent et rapportent le chiffre d’affaire de façon directe. Les fonctions support mêmes si elles y contribuent ne sont pas en lien direct avec le chiffre d’affaires de l’entreprise. Ces fonctions pour survivre dans l’entreprise doivent en permanence faire la preuve de la
  21. 21. 21 valeur qu’elles apportent. C’est le cas de fonctions comme l’informatique, les services comptables, les services d’accueil des visiteurs, la médecine du travail, les moyens généraux… On gouverne avec des échelles de temps différentes, échelles de temps qui sont propres à l’entreprise, au milieu dans lequel elle évolue… Gouverner permet de prendre des décisions qui sont souvent de l’ordre de la « survie ». Le rapport au temps compte alors beaucoup. L’échelle de temps utilisée par une entreprise n’est pas toujours le même, dépendant souvent de sa position sur son marché ou de la durée de vie moyenne de ses actifs. Plus la durée de vie de ses actifs est longue, plus la position de l’entreprise sur son marché est dominante et plus l’entreprise peut avoir une vision à très long terme de son avenir, au-delà de 5 ou 10 ans. Nous distinguons 3 visions temporelles stratégique, tactique et opérationnelle. Vision Stratégique Vision Tactique Vision Opérationnelle
  22. 22. 22 La vision « stratégique » La vision stratégique est celle du long terme. L’entreprise évalue ses chances de survie sur plusieurs années. Elle se pose la question des choix de marchés, produits, implantations, développement. L’échelle de temps utilisée est liée à la durée de vie des actifs de l’entreprise, à la pérennité des réglementations en vigueur, et à sa position sur son marché : - Pour les entreprises industrielles, ce temps peut être vraiment long. Environ 10 à 20 ans pour une entreprise soumise à des brevets de fabrication et jusqu’à 40 ans ou plus dans le secteur de l’énergie avec des actifs avec une durée de vie très longue, - Pour une société de services, une entreprise de travail temporaire: 3 à 5 ans sera un maximum pour se projeter à long terme, - Et pour une Start-up ou une PME dont la survie dépend du marché à très court terme : 18 mois à 2 ans est un maximum. Quelques exemples de questionnements stratégiques sont proposés : - Comment allonger la durée de vie des actifs industriels de l’entreprise, les rénover - Survivre dans un marché déclinant, faire évoluer son modèle économique, recentrer ou étendre ses activités par des acquisitions et fusions, ventes de sites - Répondre à la concurrence en couvrant un marché élargi plus attractif par des ouvertures & fermetures de succursales commerciales Pour une start-up ou une PME, la stratégie signifie souvent trouver rapidement un marché pour survivre au-delà de quelques mois.
  23. 23. 23 La vision « tactique » La vision tactique permet de décliner de façon opérationnelle les décisions stratégiques à moyen terme. La vision tactique se positionne sur un cycle budgétaire, entre 1 et 3 ans maximum. Pour une start-up, la vision stratégique et tactique se confondent. Quelques exemples de décisions tactiques sont proposés : - Lancement d’un projet, d’un plan social, d’une restructuration, de nouvelles embauches… - Achats de prestations, investissements - Constitution d’un portefeuille de projets d’évolution du système d’information. La vision « opérationnelle » La vision opérationnelle se positionne dans le quotidien, le pilotage d’activités opérationnelles nécessaires. Suivant l’entreprise, l’échelle de temps opérationnelle est aussi liée au suivi d’un cycle budgétaire et de décision beaucoup plus court qui peut être de l’ordre de la semaine, mois, trimestre, semestre et bilan annuel. Quelques exemples de décisions ayant une visée opérationnelles : le lancement et le phasage dans le temps d’un projet (sa ROADMAP), une décision d’achat ou d’investissement, une réunion de managers hebdomadaire…
  24. 24. 24 Piloter Piloter consiste à s’assurer que les décisions et plans d’action stratégiques, tactiques et opérationnels sont mis en œuvre et réalisés selon le planning établi, le budget défini, le périmètre engagé et un niveau de risques maîtrisé. Piloter suppose de vérifier la performance des actions entreprises : Est ce que les objectifs ont été atteints ? Est-ce que l’organisation mise en place est performante ? Piloter implique de rendre compte à la gouvernance des actions entreprises, réalisées, des écarts éventuels au travers de réunions de pilotage, tableaux de bord et indicateurs. Dans le cas du système d’information, nous parlons de commanditaire ou de sponsor lorsque nous évoquons la gouvernance et l’instance de gouvernance est le comité de pilotage. Comme pour la gouvernance, nous pilotons selon 3 niveaux ou visions : Pour chaque niveau, des tableaux de bords indicateurs agrégées doivent rendre compte des actions réalisées et surtout de leur performance au regard de la stratégie d’ensemble de l’entreprise et de la gouvernance. Vision stratégique Vision tactique Vision Opérationnelle Vision stratégique Vision tactique Vision Opérationnelle Gouvernance Pilotage Objectifs de la gouvernance Indicateurs de pilotage Niveau de performance Suivi de réalisation
  25. 25. 25 La stratégie de l’entreprise est donc constituée de l’ensemble des objectifs de la gouvernance et des actions à mettre en œuvre pour y répondre.
  26. 26. 26 Gouverner le Système d’Information La gouvernance du Système d’Information obéit aux mêmes règles que la gouvernance de l’entreprise. La gouvernance du Système d’Information est dépendante de la gouvernance de l’entreprise : - Le projet SI n’est décidé que si le projet d’entreprise est lancé. - Le projet SI s’inscrit donc dans une dynamique opérationnelle, tactique et stratégique - Le projet SI est un outil pour réaliser un projet industriel Gouverner le SI, c’est donc prendre des décisions à plusieurs niveaux : - Système d’information o Trajectoires d’évolution, décisions et rentabilité des investissements, processus budgétaire pluriannuel - Maintenance des applicatifs existants o Décision de maintenir ou non les applicatifs existants o Niveau de maintenance choisi : adaptatif, préventif, évolutions fonctionnelles ou techniques, budget accordé à la maintenance - Projets o Lancement des projets, capacité à faire (ressources) et planification des projets informatiques, alignement sur les besoins du métier (pilotage par les exigences) - Technologique o Obsolescence, coût de possession (acquisition + maintenance + fin de vie), services offerts (exploitation, help-desk, formation…), performance du système informatique - Sécurité et maîtrise des risques o Pilotage des projets par les risques et le périmètre
  27. 27. 27 Distinguer la gouvernance du SI et la gouvernance des projets La gouvernance du SI conduit à la prise de décision des évolutions du SI. Pour cela elle s’appuie sur les travaux effectués par les urbanistes (métier et SI) chargés de définir les trajectoires d’évolution. Lorsque le scénario d’évolution est choisit, une organisation en mode projet est définie. Les modes de décisions, enjeux du projet, critères de réussite, risques, périmètres, délais, budget, périmètre, organisation sont décrits dans un contrat de projet ou un plan projet. On parle alors de gouvernance de projet. La gouvernance de projet va permettre au projet de prendre les mesures et dispositions requises pour sa réussite. Toute décision n’affectant pas les enjeux du projet sera prise par cette gouvernance. Toute décision affectant les enjeux, périmètre, budget de façon significative sera remontée à la gouvernance du SI. La gouvernance du SI pourra décider l’arrêt du projet. La gouvernance des projets se matérialise par des comités de projet, comités de pilotage. La gouvernance du SI est constituée des responsables d’entités opérationnelles qu’elles soient industrielles, marketing ou financière… et impliqués dans la réussite du projet. Il s’agit de comité stratégique ou comité d’investissement, souvent rattaché au comité de direction de l’entreprise.
  28. 28. 28 S’assurer que le SI répond aux décisions stratégiques et tactiques de l’entreprise - Aligner le SI sur les besoins et objectifs de l’entreprise : Architecture d’Entreprise ou Urbanisme o Le métier de l’entreprise est décrit sous la forme de processus. o Le SI contribue à la réalisation d’une partie des activités des processus de l’entreprise o Décider et allouer les ressources à la DSI dans un contexte de réduction budgétaire. - S’assurer de la pertinence des investissements informatique : la Gouvernance opère un contrôle de l’usage des budgets : o Budget d’investissement  nouveaux projets, nouveaux SI o Budget de fonctionnement  maintenance du SI existant.
  29. 29. 29 La maîtrise des systèmes d’information AFAI - Une association française pour le développement du référentiel COBIT ® L’AFAI est l’association française de l’audit et du conseil informatique. Cette association est le chapitre français de l’ISACA, éditeur du référentiel de la gouvernance du SI : COBIT. L’AFAI a structuré la maîtrise du système d’information en 13 thèmes. Chacun de ces thèmes est décryptée et pour chacun d’eux, nous identifions des actions concrètes. Source : www.afai.fr
  30. 30. 30 Planification du SI et intégration dans le plan stratégique de l’entreprise Le SI a pour unique objectif d’automatiser des activités du métier. C’est le seul et unique objectif à défendre vis-à-vis de la direction de l’entreprise. Tous les autres objectifs découlent de cette première hypothèse. Les projets SI ne peuvent se planifier seuls, sans lien direct ou indirect à une exigence de l’entreprise. Même un projet purement technologique doit se raccrocher à une attente. Une obsolescence n’est jamais que technique. Si l’application concernée, la technologie n’a plus d’avenir dans l’entreprise, si aucun responsable métier n’attend rien de ce système informatique alors mieux vaut l’oublier. Les trajectoires d’évolutions du SI sont élaborées, chiffrées, évaluées, instruites pour être réalisées. On appelle cela plan stratégique, plan d’urbanisme, portefeuille de projets, roadmap… Tous ces éléments se complètes et sont liés à une source d’évolution du SI : les processus métiers et visent à justifier les évolutions requises et le budget associé.
  31. 31. 31 La planification d’un projet SI n’est en rien de la responsabilité exclusive de la DSI et c’est tant mieux. Un projet pour réussir doit avoir un sponsor - direction métier - s’engageant pour sa réussite et fournissant à la fois des ressources humaines - les fameux utilisateurs clés - et des moyens financiers. Les directions métier doivent porter la responsabilité de faire évoluer le SI au regard des enjeux de l’entreprise et en prenant en compte les avis de la DSI. Contrairement à une idée reçue, les moyens financiers sont définis en rapport avec la mesure des enjeux du projet et pas seulement avec le prix objectif de réalisation du projet.
  32. 32. 32 Le budget d’investissement comprend l’acquisition de machines, les licences logiciel, les frais du projet : conception, construction, recette et déploiement. Le coût complet du projet comprend le budget d’investissement initial et le coût annuel de maintenance. Les enjeux ont été chiffrés par la maîtrise d’ouvrage en première instance à 100K€ par an. Sur la base de ces hypothèses, le comité d’investissement ou de décision va raisonner par écart entre le coût complet du projet et les gains annuels. Les décisions d’évolutions seront sans doute arbitrées de la façon suivante : Dans ce processus de décision, quelles sont les actions de la DSI ? - Assister et participer à la cartographie des processus métier, plan d’urbanisme, - Proposer les évolutions technologiques, chiffrer les gains de maintenance en faisant évoluer les techniques, technologies,
  33. 33. 33 - Solliciter les directions métier, encadrer et cadencer les travaux de cartographie. Idéalement, des personnes clés sont identifiées pour participer à ces travaux à la fois côté DSI et à la fois côté directions métier. Et quelles sont les activités de la maîtrise d’ouvrage et des directions métier ? - Identifier les enjeux, les chiffrer au regard des coûts d’évolution du SI, - Participer activement à la cartographie des processus et activités de l’entreprise. Effectuer intelligemment, la cartographie peut répondre à plusieurs objectifs : évolution du SI, qualité, réorganisation des activités pour en améliorer la performance. - Proposer les améliorations du SI au regard de la stratégie de l’entreprise : nouveaux marchés, acquisitions, fusions, nouvelles activités, réduction de coût, amélioration de performances… En synthèse, les grandes activités réalisées en mode collaboratif DSI / Directions métier : - Urbaniser le SI, au travers d’un plan d’urbanisme, études d’urbanisme o Décrire les processus métier existant et cibles, le SI associé o Décrire la trajectoire d’évolution des processus métier et du SI - S’assurer que chaque projet SI répond aux objectifs stratégiques de l’entreprise et prioriser les projets SI selon les critères du métier.
  34. 34. 34 Example : - 1 - projet incontournable : fonctionnement de l’entreprise cotée, obligation réglementaire, continuité de service, sûreté & sécurité - 2 – projet à forte rentabilité : Gain / Investissement > x% - 3 – autre projet - Planification à 2-3 ans des projets SI de l’entreprise ROADMAP SI, ROADMAP Solution, ROADMAP Applicative., ROADMAP Projet, en lien avec la trajectoire métier d’évolution (ROADMAP Métier) Enfin, cela peut paraître trivial mais il est parfois bon de se le répéter…. la DSI doit constamment rappeler aux directions métier : - Que la DSI n’a absolument pas besoin du système d’information. La DSI n’utilise pas le système d’information, elle le maintient en état de fonctionnement acceptable. Par ailleurs la DSI a pour mission de maintenir la cartographie du système d’information pour en montrer son utilité ou au contraire les manques. - Que le système d’information n’est destiné qu’aux directions métier. Pour que le système d’information soit en plus un système « utile », il est donc impératif que les directions métier s’investissent dans le processus de construction des décisions puis dans le processus de décision et arbitrage. - Que la DSI n’est qu’un promoteur des évolutions technologiques. Toutes les évolutions du SI doivent donc être initiées par les directions métier.
  35. 35. 35 Pour finir, si une direction générale demande à un DSI de réduire ses coûts, la réponse la plus simple et la plus pragmatique à répondre est : quel système puis-je arrêter ? Et ainsi provoquer le lancement d’une démarche d’analyse de la valeur du système d’information passant pas la cartographie des activités de l’entreprise, la cartographie du SI etc… etc… etc… etc… etc… et la boucle est bouclée… Dernier point que nous soumettons à votre réflexion et que nous travaillerons ultérieurement… Gérer un système d’information revient au final à mettre en place une boucle d’amélioration de ce système d’information mais aussi des processus et activités des directions métier.
  36. 36. 36 Urbanisme et architecture du SI de l’entreprise au service des enjeux stratégiques Ce second point rejoint le premier : Planifier le SI signifie anticiper son évolution, décrire des scenarii possibles d’évolution, en évaluer les impacts pour le métier, fonctionnel (applicatif), technique, budgétaire. Le choix de la trajectoire est une décision de gouvernance du SI stratégique. La DSI doit donner tous les éléments requis au métier pour prendre ces décisions. Urbaniser signifie cartographier : - Processus métier et activités - Les outils SI permettant de réaliser les activités - On cartographie du niveau le plus haut métier jusqu’à décrire l’architecture technique utilisé : o L’entreprise, ses objectifs, son organisation o Ses processus, activités, tâches, fonctionnalités o Les solutions, applications utilisées, les fonctions des applications utilisées o Les technologies utilisées o Un état du SI : degré d’obsolescence, duplication d’outils, fonctionnalités non couvertes par le SI o Exigences du SI - On utilise le vocabulaire du bâtiment : quartier, bloc… - Toujours dans la même démarche : être en phase avec la ROADMAP métier et proposer les améliorations du SI adéquates. Les actions de la DSI : - Urbaniser le SI, au travers d’un plan d’urbanisme, études d’urbanisme o Décrire les processus métier existant et cibles, le SI associé o Décrire la trajectoire d’évolution des processus métier et du SI
  37. 37. 37 Gestion du portefeuille de projets orienté création de valeur pour les directions « métier » - La DSI collecte les besoins d’évolution du SI : o Évolution des processus métier de l’entreprise o Evolution techniques, obsolescence informatique o Changements de version des éditeurs o Exigences de sécurité du SI o Obsolescence métier o Demandes d’amélioration des applications existantes o …. - Les besoins d’évolution du SI sont triés, tamisés, lotis. Le coût complet de chaque évolution est évalué. Une priorité est définie. - Le portefeuille de besoins d’évolutions ainsi constitué est instruit et arbitré au regard : o De la planification stratégique des évolutions du SI (ROADMAP SI) o Des évolutions de processus métier (ROADMAP Métier) o Des attentes, objectifs stratégiques de la direction. Les actions de la DSI : - Constituer le portefeuille de besoins d’évolution du SI et proposer un arbitrage (avec le métier) - Evaluer le coût total de possession des scenarii d’évolution du SI et proposer une planification adéquate des projets SI (ROADMAP SI et ROADMAP projets) : o Investissement initial équipement, logiciel, études, projet prestations , licences… + Mise en œuvre + Déploiement & formation & conduite du changement + Frais d’exploitation (main d’œuvre interne) + Coût de maintenance (logiciel, exploitation, licences, prestation TMA…) + Coût de mise hors service
  38. 38. 38 Management des risques SI en fonction de leurs impacts « métiers » - Risques SI : o Défaillance technique, application, serveur, salle machine… o Effraction, vol de données, vol de matériel o Données sensibles, Information sensible, critique o Applications critiques, sensibles o Image de l’entreprise - Dans certaines entreprises : o un « risk manager » évalue pour toutes les activités opérationnelles de l’entreprise les risques, leur niveau, les parades et la manière dont les risques résiduels sont traités. o Un responsable des risques du SI est nommé. A défaut le DSI ou son responsable technique. Chaque risque est évalué au regard de son impact pour les activités opérationnelles du métier. Un risque est donc un événement fortuit qui ne s’est pas encore produit mais ayant un impact pour l’entreprise : délais de livraison, qualité des produits fabriqués ou services rendus, coût d’exploitation… Tout événement n’ayant pas de tels impacts est considéré comme un « événement ». C’est la mesure de son impact pour l’entreprise qui permet de le qualifier ou non de risques. Alignement de la fonction informatique par rapport aux processus «des directions « métier » L’entreprise a cartographié ses activités en processus : - Des propriétaires de processus sont nommés et en pilotent l’efficience (Coûts/Moyens & ressources/Résultat). - Les modes de pilotage de l’entreprise évoluent, plus transversaux, plus responsabilisant au regard des résultats, gains pour l’entreprise.
  39. 39. 39 - La DSI doit adapter son organisation : on passe d’une responsabilité technique, applicative à une vision par processus. Les actions de la DSI : - Adapter son organisation à la vision processus de l’entreprise, pour plus de transversalité - Cartographier aussi les processus de la DSI, y faire apparaître les bonnes pratiques (planning, exigences, risques, tests, configuration…) ainsi que le SI du SI - Adopter une culture du résultat. Le tableau de bord de la DSI doit s’appuyer sur cette vision par processus. - Le métier de la DSI change et la technologie n’est qu’au second plan, ce n’est plus le moteur des décisions d’un DSI. Maîtrise de la réalisation des projets en fonction des enjeux « métiers » En plus du pilotage par les coûts et les délais, adopter un pilotage par les exigences et les risques.
  40. 40. 40 - Les études d’urbanisme définissent le périmètre du projet, en lien avec les attentes du métier. - Chaque exigence (fonctionnelle) répond aux attentes d’un processus, activité cartographiée - Les risques métier et les enjeux métier sont évalués tout au long du projet - A reprendre la notion d’objectifs stratégiques, principes directeurs. Les actions de la DSI - Être garant des bonnes pratiques de conduite des projets o S’appuyer sur les référentiels type TOGAF ou IIBA mettant les exigences au cœur du dispositif o Suivre les phases et livrables du projet, planning, ressources… PMBOK, CAPM, PMI, PRINCE 2 sans oublier CMMI …. - Former et sensibiliser à la culture du résultat et intégrer les projets SI dans les projets métier. L’impact négatif d’un projet raté ce n’est pas que des € et des décalages planning, cela peut remettre en cause la stratégie de l’entreprise.
  41. 41. 41 Fourniture de services informatiques conformes aux attentes clients S’appuyer sur un catalogue de services - Un service est une prestation réalisée ou réalisable - Sa réalisation est mesurable, vérifiable : production d’un livrable, atteinte d’un objectif - Un suivi des coûts de chaque service est réalisé  le contrôle de gestion est impliqué. - Généralement, chaque service est facturé aux entités métier. - Définir le niveau d’engagement sur chaque service opéré : délais, €, performance (incidents, problèmes…) Donner de la visibilité, transparence - Un/des tableau(x) de bord permet de suivre, communiquer sur les indicateurs (balanced score card) - SLA, OLA…
  42. 42. 42 Les actions de la DSI : - Piloter la performance de chacune de ses missions : o Anticiper les besoins d’évolution du SI  ROADMAP o Maintenir le SI existant (maintenance applicative et technique) o Piloter sa performance technique (architecture, réseau, serveurs…) o Piloter la sécurité du SI o Conduire les projets d’évolution du SI avec le métier - Construire sa carte stratégique, ses indicateurs, son tableau de bord Etre garant de la continuité de service. S’appuyer sur les bonnes pratiques de pilotage de l’informatique (ITIL). Pilotage des services externalisés Apprendre à s’approvisionner et à piloter les contrats, engagements - Choix des sous-traitants - Savoir acheter - Adopter ou non une politique d’externalisation, la définir Choisir d’externaliser un ensemble d’activités, un processus de la DSI, un projet ? - S’assurer de la performance des réalisations - Piloter les sous-traitants : comités de pilotage, projet, suivi d’activité - Suivi contractuel, financier, opérationnel - Mesurer la satisfaction, résultats
  43. 43. 43 Contrôle de gestion informatique favorisant la transparence Les budgets du SI sont de plus en plus les budgets des entités, divisions métier. Les actions de la DSI : - Savoir suivre ses dépenses, les justifier, rendre compte des écarts. - Montrer les dépenses par typologie d’activité, par projet mais aussi montrer ses dépenses par processus du métier pour montrer sa compréhension des enjeux ou proposer des améliorations. Gestion prospective des compétences informatiques Les actions de la DSI : - Savoir identifier les compétences pérennes, requises. - Savoir identifier les compétences requises ponctuellement et les sous-traiter. Gestion et mesure de la performance du SI Le tableau de bord du SI doit mettre en évidence les coûts du SI mais aussi sa performance. Les actions de la DSI : - Faire des rapprochements coûts X Performance - Utiliser la carte stratégique avec la vision processus métier pour rendre compte de la performance et disponibilité - Définir la notion de performance : o Technique, temps de réponse o Technique, disponibilité
  44. 44. 44 - Pour le métier, automatisation efficace ou non des activités Gestion de la communication Les actions de la DSI : - Communiquer sur les changements, évolutions (prévenir) - Communiquer sur les nouvelles fonctionnalités. Demander soutien aux directions métier pour montrer l’enjeu d’un nouvel outil. - Gérer le changement (méthode CHAMP à reprendre) Sécurité du SI Les actions de la DSI : - Cartographier les données sensibles ou critiques et les systèmes sensibles ou critiques - Mesurer l’impact des réglementations : exemple de la validation informatique en pharmacie ou chimie - Gérer les risques : impacts du SI et impacts sur le SI - Authentifier les utilisateurs, gérer les habilitations - Tracer et journaliser - Assurer l’intégrité des données - Archiver les données : gérer la péremption - Sécurité des postes de travail, serveurs, réseau informatique (inventaire des équipements à jour & tracer les changements dans une gestion de configuration) - Sécurité des locaux - Anonymiser les données - Sécuriser les échanges avec des tiers (chiffrement, cryptage et système de transport)
  45. 45. 45 La CNIL a proposé une liste des menaces informatiques (cf annexe) - Mettre en place une check-list d’évaluation du niveau de sécurité mis en œuvre dans le cadre d’une activité opérationnelle.
  46. 46. 46 Une organisation pensée pour industrialiser, mutualiser et réduire les coûts Connaître son périmètre de responsabilités Il faut savoir rester modeste. Même si DSI signifie souvent Directeur du Système d’Information, nous ne sommes en fait DSI que des Systèmes INFORMATIQUES que l’on a bien voulu nous confier. Vous n’avez qu’une vue partielle de la situation, c’est normal, la vue globale n’est pas de votre responsabilité et c’est tant mieux… Ne prenez pas les responsabilités que l’on ne vous a pas confiées. On vous laisserait briller au soleil quelques mois pour mieux vous le reprocher au premier faut pas. Favoriser la standardisation et l’industrialisation dans la réalisation des activités L’organisation de la DSI doit favoriser la standardisation des activités, méthodes employées. Chaque tâche est normée. On ne se préoccupe pas de comment faire une activité mais des enjeux de cette activité. On favorise la répétition. Cela signifie avoir une organisation de l’assurance qualité solide avec des contrôles internes.
  47. 47. 47 Une organisation en centres de services Les activités similaires sont regroupées entre elles, en centres de services ou centres de compétences. Pour une DSI d’une certaine taille, nous proposons une organisation avec au moins 2 centres de compétences opérationnels : - Centre de services en ingénierie, pour toutes les activités de construction ou évolution du SI fonctionnant en mode projet - Centre de compétence en intégration & surveillance du SI, regroupant à la fois les activités d’intégration des nouvelles évolutions du SI mais aussi des activités de surveillance de la disponibilité du SI. - Des entités satellites, transverses, regroupées ou non effectuent des activités de support aux 2 centres opérationnels : o Architectes techniques o Urbanistes o Support du socle technique commun o Sécurité du SI
  48. 48. 48 o Assurance qualité o Achats de prestations et pilotage des contrats o Licences o RH, comptabilité…. L’intégration des 2 centres de compétences est assurée : - Par le partage d’outil, référentiels communs - Par le partage de méthodologies communes : gestion de configuration, planification opérationnelles des activités dont les activités de livraisons & intégration, référentiels d’urbanisation, référentiel des exigences, référentiel de conception, référentiel de construction… Se donner des objectifs de réussite : s’appuyer sur un tableau de bord et des indicateurs Les actions de la DSI - Définir son catalogue de services : s’appuyer sur les livrables des centres de services et leurs activités - Savoir définir la performance d’une activité - Savoir rendre compte aux directions métier de sa performance.
  49. 49. 49 Organiser la DSI en développant une vision processus partagée et commune Les questions à se poser : - Comment démarrer - Que construire - C’est quoi ma mission ? - A la recherche de l’essentiel : les objets métier et le fil rouge de la transformation Rappeler les notions d’analyse de la valeur Expliquer les 3 ou 4 grandes missions d’une DSI Processus de chaque mission. S’appuyer sur les référentiels les plus évidents : CMMI, COBIT et ITIL Expliquer organisation des ateliers de définition du contenu de chaque processus, entrées, sortie et transformation Exemples de définition de rôles et transformation en fiches de postes pour une vision organisationnelle. Définir les objets métier, leur associer des livrables. Faire porter les méthodologies et procédures sur la production des livrables. Savoir intégrer des pratiques AGILES, à la fois pour le développement et les équipes techniques. Combattre l’isolation des métiers : la guerre des DEV et des OPS.
  50. 50. 50 Des référentiels du Système d’Information au Système Informatique De nombreux référentiels sont disponibles - La gouvernance : COBIT - La conduite de projets : CMMI (et d’autres) - La disponibilité du système informatique : ITIL (je sais, c’est réducteur mais volontaire …) - L’analyse du métier et de la valeur (Business Analyst) : IIBA - L’analyse de la valeur et l’urbanisation du système d’information : TOGAFF - IT4IT, nouveau référentiel permettant d’améliorer l’agilité de la DSI. Ce qu’ils ont en commun ? Un objectif : que le système informatique et système d’information apportent de la valeur, et donc soit vu comme UTILE et NECCESSAIRE ! Christine DESSUS, le 21 juin 2013 Fontaines Saint-Martin.

×