Audit de la gouvernance des SI : ce qui change pour les DSI

Le colloque organisé en juin dernier par l’Afai, le Cigref et l’Ifaci sur la gouvernance de l’entreprise numérique a été l’occasion de rappeler les bonnes pratiques dans ce domaine. Et de s’interroger sur les missions de l’audit et l’avenir de la fonction SI.

Dans les entreprises, quels sont les deux métiers qui peuvent appréhender, par leur vision et leur expérience, le paradoxe « entre la frilosité et la flexibilité, entre une hiérarchie intangible et un centre qui occupe tout l’organigramme », dans un contexte où « plus que jamais, la coopération entre les métiers, la fluidité des processus et le couple vitesse-discernement fondent la différence compétitive ? »

Réponse, proposée par le document de référence issu d’un groupe de travail commun entre le Cigref (Réseau de grandes entreprises), l’Afai (Association française de l’audit et du conseil informatiques) et l’Ifaci (Institut français de l’audit et du contrôle internes) : l’informatique et l’audit. L’interdépendance de ces deux métiers devient encore plus cruciale dans l’entreprise numérique. Ce thème a été le pivot du dernier colloque organisé par l’Afai, le Cigref et l’Ifaci, en juin dernier.

L’entreprise numérique amène les DSI à jouer de nouveaux rôles : « Quand on parle système d’information, on ne parle pas d’informatique », rappelle Régis Delayat, DSI du groupe Scor, qui identifie les impacts multiples de la « e-transformation des entreprises » sur la fonction SI : « L’appropriation du SI par les métiers, le décalage des SI par rapport aux attentes des entreprises, le SI qui devient acteur de l’offre de l’entreprise, un portefeuille de projets et des budgets en augmentation, le focus sur la gestion de l’information et des données en assurant une cohérence de globale, le renforcement de la sécurité, du contrôle interne, de la mise en conformité, et une dualité des systèmes entre production robuste et solutions agiles… » D’où un challenge plutôt difficile qui consiste à « gérer à la fois la complexité et la réactivité », résume Régis Delayat.

Ce dernier dessine le profil du DSI de demain : « On peut prévoir un DSI chef d’orchestre, entre pilote des changements et garant de la cohérence, leader de la transformation de l’entreprise, et plus que jamais au carrefour des échanges en interne et avec l’externe. Je crois à ce scénario. »

Audit et DSI : vers un rapprochement fonctionnel

De fait, dans un tel contexte, les modes de gouvernance s’en trouvent modifiés. Farid Aractingi, directeur Audit et maîtrise des risques de Renault rappelle qu’auparavant, « le directeur de l’audit interne était vu comme « l’homme de l’assurance », aujourd’hui il est davantage positionné comme un partenaire métiers, avec accès direct à la direction générale, avec un recentrage sur les sujets de gouvernance, les processus transversaux et les sujets qui « grattent » ».

On observe ainsi, de plus en plus, un rapprochement fonctionnel entre la gestion des risques, le contrôle interne et l’audit interne : « La moitié des entreprises ont d’ores et déjà réalisé un tel rapprochement entre ces trois fonctions », assure Farid Aractingi. Après une décennie qui a suivi les scandales financiers comme ceux d’Enron ou de Worldcom et considérablement renforcé les contrôles et les pratiques de gouvernance : « Le slogan de la gouvernance moderne est : formalisation-transparence-pouvoir de dire non », résume Farid Aractingi, pour qui « de nombreux dysfonctionnements naissent par manque de formalisation, dans des contextes d’urgence où il faut être plus réactif, mais au nom de cette flexibilité, on risque de négliger cette exigence de formalisation. »

La direction de l’audit interne pose légitimement quatre grandes questions. Comment les décisions ont-elles été prises ? Sont-ce les bonnes décisions ? Comment est-on sûr que la mise en œuvre est conforme à la décision ? Comment est-on sûr que le déploiement est efficient ? « Chacune de ces questions peut couvrir des domaines typiques d’une DSI », assure Farid Aractingi, par exemple pour l’alignement métiers, la gestion des compétences, la sous-traitance, l’architecture, le développement ou la maintenance.

De même, chacune de ces questions peut être traitée selon trois dimensions : la formalisation (référentiels, traçabilité), la transparence (pilotage, communication, tableau de bord) et le « pouvoir de dire non » (analyse des risques et des scénarios alternatifs). Jean-Pierre Bouillot, directeur de l’audit informatique chez Sanofi-Aventis, estime pour sa part : « Prendre le sujet de l’audit de la DSI sous l’angle de l’efficacité de son dispositif de pilotage rend possible un nouveau dialogue entre auditeurs et experts des systèmes d’information. L’audit interne, par son indépendance, par son objectivité et son lien privilégié avec la direction générale est l’une des fonctions qui peuvent supporter la dimension stratégique de la fonction système d’information. »

Dans le cadre de leur groupe de travail commun, le Cigref, l’Afai et l’Ifaci ont formalisé, dans un document d’une centaine de pages, les bonnes pratiques en matière d’audit de la gouvernance du système d’information. La gouvernance du SI concerne trois niveaux, de façon indissociable : le management, l’opérationnel et le support. « Il est en effet illusoire de vouloir positionner le SI au niveau stratégique si les opérations ne sont pas sous contrôle, explique Jean-Louis Leignel, consultant chez Mage Conseil. À l’inverse, un SI performant au niveau opérationnel ne garantit pas nécessairement sa contribution au développement de l’entreprise, et, en tout état de cause, les activités de « support » doivent contribuer à développer la transparence et la proximité entre la DSI et les métiers. »

Prendre en compte le contexte

Avec ce document, « l’ambition est de démystifier et décomplexifier la spécificité du SI pour le rendre accessible aux parties prenantes de l’audit, explique Patrick Geai, directeur de la gouvernance du système d’information à la direction du Courrier de La Poste. Il s’agit de donner aux auditeurs et contrôleurs internes la légitimité pour évaluer le niveau de maîtrise du SI et de donner l’assurance raisonnable que les processus métiers sont bien soutenus par le SI . »

Ce document est aussi intéressant pour les DSI. « Il facilite le dialogue avec la DG et les directions métiers et leur permet d’aligner le SI sur la stratégie de l’entreprise, de façon partagée et en toute transparence », poursuit Patrick Geai. S’il s’agit de créer les conditions d’une collaboration « ouverte et contradictoire », il est inutile de « tenter de reproduire les normes certifiantes dans leur complétude et leur complexité, et de tomber dans le piège d’une « conformité formelle » aux bonnes pratiques, les jugements des auditeurs devant être pondérés par la prise en compte du contexte organisationnel », rappelle Jean-Pierre Bouillot, directeur de l’audit informatique chez Sanofi-Aventis. En effet, comme le précise Georges Epinette, « la gouvernance ne peut s’apprécier en termes de performance et n’a donc pas de dimension comparative. Et ce n’est pas parce que la gouvernance est formalisée qu’elle est efficiente… et inversement ».

  Vecteurs de gouvernance dans le domaine du management
Vecteurs   Quelques bonnes pratiques
Planification du SI et intégration dans le plan stratégique de l’entreprise
  • Le processus d’élaboration de la stratégie SI est intégré au processus de planification de l’entreprise (plan à moyen terme et budget annuel).
  • La cible SI à moyen ou long terme intègre les cibles métiers et technologiques ainsi que la planification des ressources nécessaires à leur atteinte.
  • Des indicateurs financiers ou non financiers permettent à la DSI de rendre compte de l’avancement de la mise en œuvre de la stratégie SI à la DG et aux directions métiers.
  • La vision SI à moyen terme est communiquée pour susciter l’adhésion des métiers et faciliter leur compréhension des options stratégiques du plan SI.
  • Une instance de pilotage du SI est mise en place dans l’entreprise.
Urbanisme et architecture d’entreprise au service des enjeux stratégiques
  • Impliquer les métiers dans la conception de l’architecture du SI de l’entreprise en simplifiant le vocabulaire et en s’appuyant sur les processus de l’entreprise ainsi que sur des cartographies simples.
  • Créer un dictionnaire de données référentielles de l’entreprise, classer les données et veiller à leur intégrité.
  • Le schéma directeur s’appuie sur un schéma d’urbanisation (cartographie, données) et constitue le plan à moyen terme d’évolution du SI. Il traduit la planification stratégique réalisée conjointement entre la SI, les métiers et la DG.
  • Édicter des règles et des principes d’architecture normalisés et facilement modЋlisables. Ils constituent un référentiel sur lequel s’appuient les équipes projets.
  • Une instance de pilotage du SI est mise en place au plus haut niveau de l’entreprise et pilote l’architecture d’entreprise (arbitrage, validation, suivi, révision…).
Gestion du portefeuille de projets orienté création de valeur pour les métiers
  • Les métiers élaborent avec l’aide de la DSI, pour chaque projet métier ayant un volet SI significatif, un  » business case  » mettant en relief, outre les coûts et les délais, les bénéfices métiers attendus et les conditions nécessaires à leur obtention.
  • Un processus de gestion des priorités de lancement des projets basé sur les  » business cases  » est mis en place et implique les directions métiers au niveau du comité de direction pour les projets clés.
  • Un processus de management de projets impliquant les directions métiers permet de suivre et de recadrer les projets lancés sur la base d’un reporting fiable et exhaustif, le cas ééchéant en actualisant les  » business cases « .
  • La DG responsabilise les directions métiers sur l’atteinte des bénéfices attendus dans les  » business cases  » qu’elles ont présentés.
  • La DG fait effectuer des bilans de projets métiers pour tirer les enseignements nécessaires à l’optimisation des processus de prise de décisions concernant les projets.
Gestion des risques SI en fonction de leurs impacts métiers
  • La DSI pilote la gestion des risques informatiques en prenant en compte le cadre global de la gestion des risques de l’entreprise.
  • La DSI procède à une identification et une évaluation des risques informatiques partagés avec
  • les métiers en prenant en compte les enjeux majeurs des métiers.
  • La DSI met en œuvre les contrôles sur les processus informatiques afin de réduire les risques à un niveau acceptable en liaison avec les contraintes des métiers.
  • La DSI prend en compte les contrôles embarqués dans les applications en relation avec le métier.
  • La DSI réalise une évaluation régulière de l’efficacité des contrôles SI.
  • La DSI est capable de réagir efficacement et dans les délais à des incidents majeurs avec un impact significatif pour les métiers.
  • Dans le cadre du pilotage des risques au niveau de l’entreprise, la DSI communique au management un reporting régulier des risques.
  Source : Gouvernance du système d’information, guide d’audit, Cigref, Ifaci, Afai, 2011.

 

  Vecteurs de gouvernance dans le domaine opérationnel
 Vecteurs  Quelques bonnes pratiques
Alignement de la fonction informatique par rapport aux processus métiers
  • L’entreprise a défini un schéma directeur du SI qui prend en compte les axes stratégiques de l’entreprise et les objectifs des métiers.
  • Les opérations de transformation de l’entreprise prennent en compte en amont la composante SI.
  • L’entreprise a mis en œuvre une démarche de type architecture d’entreprise et sa déclinaison en termes d’urbanisation du SI.
  • Le lien entre les processus métiers clés et les moyens SI en support de ces processus est explicite.
  • Les ressources de la DSI intègrent une composante métier et recrutent régulièrement des compétences proches des métiers supportés par le SI.
Maîtrise de la réalisation des projets en fonction des enjeux métiers
  • Les objectifs fonctionnels métiers du projet sont explicites, cohérents et partagés.
  • Les enjeux et les risques, financiers et humains du projet sont identifiés et connus de tous.
  • Le mode de gouvernance du projet est clair, partagé, légitime et reconnu.
  • Des jalons réguliers sont prévus pour le suivi des dérives : objectifs, coћts, dЋlais, faisabilité technique, exigences des métiers par rapport aux objectifs initiaux.
  • Le projet fait l’objet de recettes techniques et fonctionnelles avant mise en production.
  • Un bilan de fin de projet est réalisé une fois la phase de rodage terminée.
Fourniture de services informatiques conformes aux attentes clients
  • La DSI a mis en place un processus de gestion de la demande client, un catalogue de services, des contrats de services et un processus d’amélioration continu de ses services et s’appuie sur des outils de mesure de la qualité de service.
  • La DSI maîtrise ses activités de production et de support sur les services rendus au client.
Pilotage des services externalisés
  • Une stratégie de services externalisés et sa gouvernance associée ont bien été définies.
  • Pour chacune des activités candidates à l’externalisation, il y a eu une étude d’opportunité/faisabilité et une démarche de mise en œuvre.
  • La gestion des services est organisée au quotidien.
  • La clôture du service et la gestion de réversibilité ont été définies.
  Source : Gouvernance du système d’information, guide d’audit, Cigref, Ifaci, Afai, 2011.

 

  Vecteurs de gouvernance dans le domaine du support
 Vecteurs  Quelques bonnes pratiques
 Contrôle de gestion informatique favorisant la transparence
  • La DSI met en œuvre un processus de gestion budgétaire.
  • Un dispositif d’arbitrage budgétaire est en place entre la DSI, la DG et les directions métiers.
  • La DSI a mis en place un dispositif de mesure et d’analyse de la performance générateur de plans d’actions d’amélioration.
  • Un processus de réaffectation/refacturation des coûts de la DSI aux métiers existe.
 Gestion prospective des compétences informatiques
  • La gestion des compétences répond à des objectifs clairement identifiés.
  • Un référentiel des compétences requises est formalisé.
  • L’évaluation des compétences est réalisée.
  • Un plan de développement, issu des conclusions du bilan RH, est formalisé et mis en place.
  • La démarche compétences est alignée avec la stratégie et intégrée dans les processus de management de l’organisation.
 Gestion et mesure de la performance du SI
  • Le pilotage de la DSI s’appuie sur des objectifs de performance du SI.
  • La DSI a défini et mis en place des indicateurs de mesure de la performance.
  • La DSI produit et diffuse des tableaux de bord qui restituent de façon synthЋtique les niveaux et les évolutions des indicateurs de mesure de la performance.
  • La DSI met en place des plans d’actions nécessaires à l’atteinte de ses objectifs.
Gestion de la communication
  • Un plan de communication accompagne le développement du SI.
  • La communication de la fonction SI est organisée.
  • La communication du SI vers les principaux acteurs de l’entreprise est organisée.
  • La communication de crise est efficiente.
  • La maîtrise de la communication (interne et externe) est efficace, adaptée et évolutive.
  Source : Gouvernance du système d’information, guide d’audit, Cigref, Ifaci, Afai, 2011.

 

 Françoise Mercadal-Delasalles, directrice des ressources, groupe Société générale : « Le DSI ne va pas disparaître, au contraire »

D’une banque moyenne au milieu des années 1980, le groupe Société générale est devenu un groupe mondial avec 200 000 collaborateurs, dont la moitié hors de l’Hexagone. « Durant toute cette phase d’expansion, le pilotage a essentiellement reposé sur l’autonomie des nouveaux métiers et des nouveaux pays, explique Françoise Mercadal-Delasalles. L’IT a été asservie et se débrouillait pour accompagner la croissance. »La crise financière conjuguée à l’affaire Kerviel a amené des réflexions sur le fonctionnement et l’organisation. « Le système d’information a été caractérisé par une entropie croissante, avec 9 000 applications, ajoute Françoise Mercadal-Delasalles. Les coûts se sont accrus, de même que les risques opérationnels, du fait de la dispersion du SI. Au-delà de ces aspects coûts et risques, le SI était peu agile. » Et le DSI ne participait pas au comité exécutif.

Une direction des ressources a été créée. Elle regroupe les systèmes d’information, l’immobilier, les achats, les processus et l’innovation, et dont la mission officielle est la suivante : « Développer l’efficacité opérationnelle et la productivité du groupe à travers l’industrialisation de processus, la mutualisation des ressources et la mise en œuvre de politiques assurant un accès efficient aux ressources (« sourcing »). » « En 2008, nous avons commencé à demander à la DSI de sortir de sa situation d’asservissement, autrement dit, de penser au-delà de l’alignement métier, pour penser transformation », explique Françoise Mercadal-Delasalles. D’où des réflexions, au sein d’une DSI forte de 12 000 personnes et d’un budget de 3,4 milliards d’euros, sur la mise en commun des applicatifs, des infrastructures et sur les macroprocessus. « Autrefois asservie aux métiers, l’IT a désormais le droit de donner son point de vue et de dire non », assure Françoise Mercadal-Delasalles. Par conséquent, assène la directrice des ressources de la Société générale : « Le DSI ne va pas disparaître, au contraire, le système d’information étant au cœur de nos activités, les métiers de l’IT sont les métiers de l’avenir. »